https://virgool.io/feed/@Harry_esfandiari مدیر سیستم های فناوری اطلاعات، مدیریت زیرساخت سرور و شبکه، محیط های مجازی سازی و امنیت شبکه fa 2026-04-14 10:54:11 https://files.virgool.io/upload/users/3901296/avatar/KWSa4k.jpg?height=120&width=120 https://virgool.io/@Harry_esfandiari https://virgool.io/@Harry_esfandiari/%D9%86%D9%82%D8%A7%D8%B7-%D9%BE%D8%A7%DB%8C%D8%A7%D9%86%DB%8C-endpoints-end-devices-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D8%B3%DB%8C%D8%B2%D8%AF%D9%87%D9%85-daz2xrnoixmo این درس به موضوع End devices می‌پردازد که در سرفصل‌های آموزش شبکهبا نام Endpoints نیز شناخته می‌شوند. تمرکز این بخش بر مفاهیم کلیدی است که دانشجویان باید درباره Endpointها درک کنند تا بتوانند در درس‌های بعدی «ارتباط بین مفاهیم» (Connect the dots) را به‌خوبی درک کنند.لینک آموزش قسمت دوازدهم: https://vrgl.ir/6zAdXتجهیزات انتهایی (Endpoints) چیستند؟ابتدا با این واقعیت شروع کنیم که در این درس از عبارات End devices و Endpoints به‌جای یکدیگر استفاده خواهیم کرد؛ چراکه هر دو اساساً یک معنا دارند. گاهی اوقات ممکن است از اصطلاح End hosts (میزبان‌های انتهایی) نیز استفاده کنیم.تجهیزات انتهایی به تمامی کامپیوترها و ابزارهایی گفته می‌شود که در Edge (لبه) شبکه قرار دارند. موارد رایج عبارتند از:کامپیوترهای شخصی (PCs) و لپ‌تاپ‌هاسرورها (Web, Mail, File, Database)دستگاه‌های موبایل (گوشی‌های هوشمند و تبلت‌ها)تلفن‌های VoIPپرینترهاتجهیزات اینترنت اشیاء (IoT) مانند دوربین‌ها و سنسورها.Endpointها مبدأ و مقصد ترافیک هستندحالا بیایید کمی بیشتر روی خود اصطلاح Endpoints تمرکز کنیم.آن‌ها می‌خواهند بر این حقیقت تأکید کنند که تجهیزات انتهایی، مبدأ (Source) و مقصد (Destination) ترافیک هستند. ترافیک در یک دستگاه انتهایی تولید می‌شود و در دستگاه انتهایی دیگر به پایان می‌رسد (به همین دلیل به آن‌ها End-point یا نقطه پایانی می‌گویند). در واقع، شبکه فقط به عنوان یک زیرساخت عبوری (Transit infrastructure) عمل می‌کند که داده‌ها را بین Endpointها جابه‌جا می‌کند.شبکه را مانند شبکه جاده‌ای کشور تصور کنید. جاده‌ها و بزرگراه‌ها ضروری هستند، اما هیچ‌کس فقط برای «توی جاده بودن» سفر نمی‌کند. شما سوار ماشین نمی‌شوید که بگویید: «امروز می‌خواهم به جاده ۴۵ برسم.» بلکه می‌خواهید به ملاقات یک دوست بروید، به فروشگاه بروید یا به محل کار برسید. جاده فقط واسطه‌ای است که شما را به آنجا می‌رساند.شبکه‌ها هم دقیقاً همین‌طور هستند. روترها، سوئیچ‌ها، کابل‌کشی‌ها و لینک‌های وایرلس مانند بزرگراه‌ها، جاده‌ها و تقاطع‌ها هستند. آن‌ها حرکت را امکان‌پذیر می‌کنند، اما مبدأ یا مقصد ترافیک نیستند. مقصدهای واقعی همان Endpointها هستند.تجهیزات انتهایی دارای یک یا چند کارت شبکه (NIC) هستندهر Endpoint از طریق کارت‌های شبکه (NICs) به شبکه متصل می‌شود. با این حال، یکی از رایج‌ترین تصوراتی که دانشجویان فوراً دچار آن می‌شوند این است که هر دستگاه انتهایی فقط یک NIC و یک اتصال شبکه‌ای دارد (معمولاً یک کابل به نزدیک‌ترین دستگاه شبکه یا یک اتصال Wi-Fi).اگرچه این موضوع اغلب صادق است، اما همیشه این‌طور نیست. برخی از دستگاه‌ها بیش از یک رابط شبکه (NIC) دارند. به عنوان مثال، یک سرور می‌تواند دو کارت NIC داشته باشد که به‌طور همزمان به دو شبکه مجزا متصل هستند.این تغییر دیدگاه، درهای زیادی را به روی سوالات بعدی باز می‌کند. مثلاً اگر سروری دارای دو NIC متصل به دو شبکه باشد، از کجا می‌فهمد که انواع مختلف ترافیک را به کجا ارسال کند؟ چگونه تشخیص می‌دهد که ترافیک فیسبوک را از طریق اینترنت و ترافیک کاری را به شبکه داخلی شرکت بفرستد؟ این موضوع ما را به جنبه مهم بعدی Endpointها می‌رساند.مسیریابی (Routing) از Endpointها شروع می‌شودبه خاطر داشته باشید - هر Endpoint دارای منطق مسیریابی (Routing logic) است. فرقی نمی‌کند لپ‌تاپ باشد یا یک گجت ساده متصل به وای‌فای؛ آن دستگاه دارای یک Routing table (جدول مسیریابی) است. این جدول معمولاً ساده است، اما همچنان شامل فرآیند مسیریابی می‌شود. اکثر هاست‌ها از یک جدول مسیریابی با حداقل یک ورودی شبکه محلی و یک Default Route (مسیر پیش‌فرض) استفاده می‌کنند که به Default Gateway اشاره دارد.اما هاست‌ها می‌توانند فراتر از یک Default Gateway داشته باشند. یک هاست می‌تواند Static Routes (مسیرهای ایستا) داشته باشد، یا یک VPN داشته باشد که مسیرها را به آن تزریق (Push) کند. همچنین می‌تواند از چندین اینترفیس با رفتارهای مسیریابی متفاوت استفاده کند.به عنوان مثال، سرور S1 دارای سه کارت NIC متصل به دو شبکه مجزا است. برای استفاده از آن‌ها، مدیر شبکه منطق زیر را برنامه‌ریزی کرده است:قانون ۱: ترافیک سازمانی را از طریق NIC-1 ارسال کن.قانون ۲: ترافیک اینترنت را از طریق NIC-2 ارسال کن.قانون ۳: اگر NIC-2 قطع شد، ترافیک اینترنت را از طریق NIC-3 ارسال کن.این همان مفهومی است که نشان می‌دهد تجهیزات انتهایی چگونه اولین گام شبکه (First network hop) را برای ارسال ترافیک تعیین می‌کنند.نکته کلیدی: مسیریابی از Endpointها شروع می‌شود. آن‌ها هستند که اولین هاپ (Hop) را در شبکه انتخاب می‌کنند.با نوشتن دستور route print در CMD میتوانید Route های ویندوز خود را مشاهده کنید.آدرس‌دهی و شناسایی تجهیزات انتهاییجنبه مهم دیگر Endpointها این است که آن‌ها در فرآیند آدرس‌دهی (Addressing) مشارکت دارند. هر دستگاهی که به شبکه متصل می‌شود به یک هویت منحصربه‌فرد نیاز دارد.در لایه ۲ (Layer 2)، هر اینترفیس NIC دارای یک MAC address است. مک‌آدرس سخت‌افزاری و برای هر پورت منحصربه‌فرد است.در لایه ۳ (Layer 3)، هر اینترفیس NIC دارای یک IP address است. آدرس‌های IP می‌توانند استاتیک باشند یا توسط سرور DHCP اختصاص داده شوند.علاوه بر این، هویت‌های مدرن می‌توانند شامل Hostnames (نام میزبان)، گواهینامه‌های دستگاه (Device certificates) و امضاهای مبتنی بر سیستم‌عامل (OS-based signatures) باشند.در این سری آموزش ها، ما روی آدرس‌های MAC، آدرس‌های IP و Hostnameها تمرکز می‌کنیم. این‌ها شناسه‌های اصلی هستند که هنگام عیب‌یابی (Troubleshooting) مسائل مربوط به هاست‌های انتهایی از آن‌ها استفاده خواهید کرد.امنیت Endpoint (Endpoint Security)در نهایت، به موضوع امنیت می‌پردازیم. Endpointها رایج‌ترین اهداف حملات سایبری هستند. علاوه‌ بر این، محافظت از آن‌ها سخت‌ترین کار است زیرا بین شبکه‌های قابل اعتماد و غیرقابل اعتماد جابه‌جا می‌شوند، ممکن است به سرقت بروند یا تنظیمات آن‌ها اشتباه پیکربندی شود.نکته کلیدی: امنیت سازمانی از Endpointها شروع می‌شود.به عنوان یک دانشجو شبکه، باید بدانید که شبکه مکملِ امنیتِ Endpoint است. برخی از اقدامات امنیتی رایجی که در شبکه پیاده‌سازی می‌کنیم عبارتند از:DHCP snooping، Dynamic ARP inspection و IP source guard برای محدود کردن حملاتی که از Endpointها منشأ می‌گیرند.802.1X برای اجبار به احراز هویت دستگاه قبل از دسترسی به شبکه.VLANها برای جداسازی انواع مختلف دستگاه‌ها.ACLها و قوانین فایروال برای مسدود کردن ترافیک غیرقابل اعتماد.نکات کلیدی (Takeaways)Endpointها نقطه شروع و پایان تمام ارتباطات هستند.آن‌ها بسته‌ها (Packets) را ایجاد و مصرف می‌کنند.آن‌ها درباره اولین هاپِ مسیریابی تصمیم می‌گیرند.Endpointها جداول مسیریابی و ARP table را نگهداری می‌کنند.آن‌ها دارای هویت‌های MAC، IP و Hostname هستند.فراموش نکنید که سوئیچینگ و مسیریابی از لبه (Edge) شروع می‌شود، نه در سوئیچ‌ها و روترها.حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات حمید رضا اسفندیاری حمید رضا اسفندیاری Thu, 26 Feb 2026 10:54:09 +0330 https://virgool.io/@Harry_esfandiari/%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D9%BE%DB%8C%D8%B4%DA%AF%DB%8C%D8%B1%DB%8C-%D8%A7%D8%B2-%D9%86%D9%81%D9%88%D8%B0-ips-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D8%AF%D9%88%D8%A7%D8%B2%D8%AF%D9%87%D9%85-qqgrzhyymcem سیستم پیشگیری از نفوذ (IPS)در این درس، ما به بررسی سیستم پیشگیری از نفوذ (Intrusion Prevention System - IPS) می‌پردازیم؛ یک دستگاه امنیتی پیشرفته که برای شناسایی و متوقف کردن تهدیدات سایبری در زمان واقعی (Real-time) طراحی شده است. برخلاف دستگاه‌های قبلی که بررسی کردیم، IPS فراتر از آدرس‌ها و پورت‌ها می‌رود و مستقیماً به محتوای ترافیک نگاه می‌کند تا حملات را شناسایی کند.لینک آموزش قسمت یازدهم: https://vrgl.ir/lDnXDنمودار زیر رایج‌ترین آیکون‌های مورد استفاده برای نمایش یک Cisco IPS در توپولوژی شبکه را نشان می‌دهد.چرا به IPS نیاز داریم؟تا به اینجا یاد گرفتیم که فایروال‌ها ترافیک را بر اساس آدرس‌های IP و شماره پورت‌ها (لایه ۳ و ۴) مسدود یا مجاز می‌کنند. با این حال، مهاجمان مدرن از روش‌های پیچیده‌ای استفاده می‌کنند که برای یک فایروال سنتی، «ترافیک عادی» به نظر می‌رسد.به عنوان مثال، یک مهاجم ممکن است ترافیک را به پورت ۸۰ (HTTP) ارسال کند که در فایروال مجاز است. اما در داخل آن ترافیک وب، ممکن است یک اکسپلویت (Exploit) مخرب وجود داشته باشد که قصد دارد از یک آسیب‌پذیری در سرور وب شما سوءاستفاده کند. فایروال چون فقط به «پاکت» نگاه می‌کند و نه به «محتوا»، اجازه عبور این حمله را می‌دهد.اینجاست که IPS وارد عمل می‌شود. یک IPS ترافیک را به صورت عمیق بررسی می‌کند (Deep Packet Inspection - DPI) تا الگوهای حملات شناخته شده، بدافزارها و رفتارهای مشکوک را پیدا کند. اگر IPS یک تهدید را شناسایی کند، می‌تواند بلافاصله آن را مسدود کرده و از رسیدن آن به هدف جلوگیری کند.تفاوت IDS و IPS چیست؟بسیاری از افراد از اصطلاحات IDS (سیستم تشخیص نفوذ) و IPS (سیستم پیشگیری از نفوذ) به جای یکدیگر استفاده می‌کنند، اما آن‌ها یک تفاوت عملکردی بسیار مهم دارند:سیستم تشخیص نفوذ (IDS): یک دستگاه غیرفعال (Passive) است. ترافیک را مانیتور می‌کند و اگر تهدیدی پیدا کند، هشدار (Alert) صادر می‌کند. اما IDS ترافیک را متوقف نمی‌کند. مانند یک دوربین امنیتی است که دزدی را ضبط می‌کند اما جلوی او را نمی‌گیرد.سیستم پیشگیری از نفوذ (IPS): یک دستگاه فعال (Active) است. نه تنها تهدیدات را شناسایی می‌کند، بلکه به طور خودکار اقدام به مسدود کردن آن‌ها می‌کند. مانند یک نگهبان است که نه تنها دزد را می‌بیند، بلکه فیزیکی جلوی ورود او را می‌گیرد.یک IPS چگونه تهدیدات را شناسایی می‌کند؟سیستم‌های IPS عمدتاً از دو روش اصلی برای شناسایی فعالیت‌های مخرب استفاده می‌کنند:۱. شناسایی مبتنی بر امضا (Signature-based): این رایج‌ترین روش است. IPS پایگاه داده‌ای از «امضاها» دارد که الگوهای حملات شناخته شده هستند. وقتی ترافیک با یکی از این الگوها مطابقت داشته باشد، حمله شناسایی می‌شود. این روش بسیار دقیق است اما فقط می‌تواند حملاتی را که قبلاً شناخته شده‌اند شناسایی کند.۲. شناسایی مبتنی بر ناهنجاری (Anomaly-based): در این روش، IPS ابتدا یاد می‌گیرد که ترافیک «عادی» در شبکه شما چگونه به نظر می‌رسد (یک Baseline ایجاد می‌کند). اگر فعالیتی به شدت با این حالت عادی تفاوت داشته باشد (مثلاً افزایش ناگهانی و عظیم ترافیک از یک کشور خاص)، IPS آن را به عنوان یک تهدید احتمالی علامت‌گذاری می‌کند. این روش برای شناسایی حملات جدید (Zero-day) که هنوز امضایی برای آن‌ها وجود ندارد، عالی است.محل قرارگیری IPS (نصب در مسیر - In-line)برای اینکه یک IPS بتواند ترافیک را مسدود کند، باید در مسیر مستقیم ترافیک (In-line) قرار بگیرد. یعنی تمام ترافیک شبکه باید از داخل IPS عبور کند تا به مقصد برسد.اگر IPS در مسیر نباشد (مانند IDS)، نمی‌تواند ترافیک مخرب را قبل از رسیدن به هدف متوقف کند. به همین دلیل، IPSها معمولاً بلافاصله بعد از فایروال مرزی یا در نقاط حساس شبکه که سرورهای مهم قرار دارند، نصب می‌شوند.نکات کلیدییک IPS یک دستگاه امنیتی است که ترافیک را برای شناسایی و مسدود کردن حملات در زمان واقعی بازرسی می‌کند.تفاوت با فایروال: فایروال بر اساس آدرس‌ها/پورت‌ها فیلتر می‌کند، اما IPS محتوای بسته را برای یافتن اکسپلویت‌ها بررسی می‌کند.IDS در مقابل IPS: سیستم IDS فقط هشدار می‌دهد (غیرفعال)، اما IPS به طور فعال حمله را مسدود می‌کند.روش‌های شناسایی: IPS از امضاها (الگوهای شناخته شده) و ناهنجاری‌ها (رفتار غیرعادی) برای یافتن تهدیدات استفاده می‌کند.استقرار: یک IPS باید به صورت In-line (در مسیر) نصب شود تا بتواند ترافیک را متوقف کند.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Sun, 22 Feb 2026 10:45:06 +0330 https://virgool.io/@Harry_esfandiari/%D9%BE%D8%B1%D9%88%DA%A9%D8%B3%DB%8C-%D8%B3%D8%B1%D9%88%D8%B1-proxy-servers-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%DB%8C%D8%A7%D8%B2%D8%AF%D9%87%D9%85-kuor6gw5jkgj در این درس، ما دستگاه تخصصی دیگری را بررسی می‌کنیم که اغلب تحت مسئولیت تیم شبکه یا امنیت شبکه در سازمان قرار می‌گیرد. این دستگاه پروکسی (Proxy) یا سرور پروکسی (Proxy Server) نامیده می‌شود. بیایید ببینیم این دستگاه چه کاری انجام می‌دهد و چرا در زیرساخت به آن نیاز داریم.لینک آموزش قسمت دهم : https://vrgl.ir/wC2YEچرا به سرور پروکسی نیاز داریم؟دو دلیل اصلی برای استفاده از پروکسی وجود دارد. بیایید هر کدام را با یک مثال ساده و سطح بالا بررسی کنیم تا مفهوم آن روشن شود.امنیتبیایید از یک مثال ساده استفاده کنیم تا ببینیم چرا به سرور پروکسی نیاز است. تصور کنید مدیریت زیرساخت یک شرکت را بر عهده دارید. وظیفه شما محافظت از داده‌های حساس در برابر سرقت است.محافظت در برابر تهدیدات خارجی ساده است؛ شما می‌توانید از فایروال‌ها برای مسدود کردن اتصالات ورودی از منابع ناشناخته یا غیرمجاز استفاده کنید. اما در مورد تهدیدات داخلی چطور؟ چگونه می‌توانید جلوی کارمندی را بگیرید که به صورت مخفیانه در حال آپلود داده‌های حساس در یک سرور خارجی است؟برای جلوگیری از این اتفاق، به راهی برای بازرسی ترافیک کاربران و شناسایی فعالیت‌های مشکوک نیاز دارید. مشکل اینجاست که کاربران از طریق اتصالات رمزنگاری شده TLS به سرورهای خارجی متصل می‌شوند. حتی اگر ترافیک آن‌ها را در هر نقطه از مسیر ضبط کنید، نمی‌توانید ببینید که چه کاری انجام می‌دهند. داده‌ها رمزنگاری شده‌اند، بنابراین همانطور که در نمودار زیر نشان داده شده است، نمی‌توانید محتوای واقعی را مشاهده کنید.حتی اگر بسته‌ها (Packets) را ضبط کنید، فقط آدرس‌های IP مبدأ و مقصد، پورت‌ها و پیام‌های دست‌دهی (Handshake) مربوط به TLS را خواهید دید. با این حال، محتوای اپلیکیشن (مانند محتوای وب‌سایت و داده‌ها) را نخواهید دید زیرا رمزنگاری TLS آن را پنهان کرده است.تنها راه برای دیدن محتوای رمزگشایی شده این است که دستگاهی داشته باشید که اتصال TLS را در میانه مسیر قطع (Terminate) کند. شما به یک «واسطه» (Middleman) نیاز دارید. یکی از وظایف اصلی سرورهای پروکسی این است که ترافیک TLS را رمزگشایی کرده، آن را بازرسی کنند و سپس برای ارسال به سرور خارجی، مجدداً آن را رمزنگاری کنند (مطابق شکل زیر). سرور پروکسی به عنوان واسطه بین کلاینت‌ها و سرورها عمل می‌کند.پروکسی‌ها به سازمان‌ها اجازه می‌دهند تا سیاست‌های امنیتی شرکتی را روی اتصالات رمزنگاری شده TLS اعمال کنند. آن‌ها می‌توانند دسته‌های خاصی از وب‌سایت‌ها را مسدود کرده و فعالیت‌های کاربر را برای ممیزی (Audit) ثبت (Log) کنند.حریم خصوصی و ناشناس ماندنحریم خصوصی و ناشناس بودن نیز از دلایل استفاده از پروکسی‌ها هستند. یک پروکسی فوروارد (Forward Proxy) می‌تواند آدرس IP کلاینت را از سرورهای خارجی مخفی کند.بیایید از مثال نشان داده شده در نمودار زیر استفاده کنیم. یک کلاینت در ایالات متحده نمی‌تواند به سرویسی که فقط مخصوص اتحادیه اروپا (EU-only) است متصل شود، زیرا این سرویس فقط در اتحادیه اروپا در دسترس است. ارائه‌دهنده سرویس، آدرس‌های IP کلاینت را بررسی کرده و محدودیت‌های جغرافیایی (Geo-location) را برای آدرس‌های IP که خارج از اتحادیه اروپا ثبت شده‌اند، اعمال می‌کند.با این حال، کلاینت در این مثال از طریق پروکسی که در داخل اتحادیه اروپا قرار دارد، به سرویس مذکور متصل می‌شود. پروکسی اتصال TLS کلاینت را خاتمه داده و اتصال دیگری با سرویس برقرار می‌کند. در این حالت، سرور اتحادیه اروپا اتصال ورودی را به گونه‌ای می‌بیند که گویی از اروپا منشأ گرفته است و اجازه دسترسی می‌دهد.عملکرد (Performance)در نهایت، پروکسی‌ها به بهبود عملکرد نیز کمک می‌کنند. یک پروکسی می‌تواند پاسخ‌ها را کش (Cache) کند. اگر کاربران زیادی یک محتوای یکسان را درخواست کنند، پروکسی می‌تواند آن را از حافظه کش خود ارائه دهد. این کار مصرف پهنای باند را کاهش داده و سرعت دسترسی کاربر را افزایش می‌دهد. کشینگ به‌ویژه برای فایل‌های استاتیک بزرگ و صفحات وب محبوب مفید است.پروکسی چگونه کار می‌کند؟مهم‌ترین ویژگی پروکسی این است که همیشه بین کلاینت و سرور قرار می‌گیرد و درخواست‌ها را بازپخش (Relay) می‌کند. جریان اصلی شامل چندین مرحله است که در نمودار زیر نشان داده شده است.۱. کلاینت به جای ارسال مستقیم درخواست به مقصد، آن را به پروکسی می‌فرستد. این اتفاق می‌تواند به این دلیل رخ دهد که کلاینت با تنظیمات پروکسی پیکربندی شده است، یا به این دلیل که شبکه ترافیک را به سمت پروکسی هدایت می‌کند (Transparent Proxy). ۲. پروکسی درخواست را بررسی می‌کند. ممکن است با سیاست‌های امنیتی، حافظه کش یا سرویس‌های احراز هویت مشورت کند. ۳. اگر محتوای درخواستی در حافظه کش باشد و معتبر باشد، پروکسی بلافاصله آن را برمی‌گرداند. در غیر این صورت، پروکسی اتصالی به سرور مقصد برقرار کرده و درخواست را فوروارد می‌کند. ۴. وقتی سرور پاسخ می‌دهد، پروکسی می‌تواند پاسخ را بازرسی یا اصلاح کند. سپس پروکسی پاسخ نهایی را به کلاینت برمی‌گرداند.انواع سرورهای پروکسیعلاوه بر این، پروکسی‌ها را می‌توان بر اساس نقش آن‌ها در زیرساخت به انواع مختلفی طبقه‌بندی کرد:پروکسی فوروارد (Forward Proxy): نماینده یک یا چند کلاینت در دنیای خارج است. درخواست‌های خروجی را مدیریت کرده و می‌تواند سیاست‌های شرکتی را اعمال کند.پروکسی معکوس (Reverse Proxy): نماینده یک یا چند سرور برای کلاینت‌های خارجی است. درخواست‌های ورودی را مدیریت کرده و می‌تواند توزیع بار (Load Balancing)، خاتمه TLS و امنیت برنامه‌های تحت وب را فراهم کند.همچنین، پروکسی‌ها بر اساس اینکه کلاینت‌ها از وجود آن‌ها مطلع هستند یا خیر، به دو دسته تقسیم می‌شوند:حالت صریح (Explicit mode): کلاینت‌ها صراحتاً برای استفاده از پروکسی پیکربندی شده‌اند. کلاینت‌ها می‌دانند که پروکسی در مسیر شبکه وجود دارد. تمامی سیستم‌عامل‌ها و مرورگرهای مدرن اجازه پیکربندی IP پروکسی را می‌دهند.حالت شفاف (Transparent mode): شبکه بدون نیاز به پیکربندی در سمت کلاینت، ترافیک را به سمت پروکسی هدایت می‌کند. پروکسی‌های شفاف راحت هستند اما می‌توانند بازرسی TLS و احراز هویت کلاینت را پیچیده کنند.پروکسی معکوس (Reverse Proxy) چیست؟بیایید توجه ویژه‌ای به نوعی از پروکسی داشته باشیم که درخواست‌های ورودی را مدیریت می‌کند: پروکسی معکوس. این سروری است که در جلوی وب‌سرورها قرار می‌گیرد و درخواست‌های کلاینت را به آن‌ها فوروارد می‌کند (مطابق شکل زیر).این پروکسی هویت سرورهای پس‌زمینه (Backend) را از کلاینت‌ها مخفی می‌کند و می‌تواند ترافیک را بین چندین سرور توزیع کند. پروکسی‌های معکوس اغلب برای توزیع بار، امنیت و کشینگ استفاده می‌شوند.جایگاه پروکسی در طراحی شبکه‌های مدرن کجاست؟در شبکه‌های مدرن، پروکسی‌ها در چندین مکان ظاهر می‌شوند. مکان دقیق بستگی به نوع پروکسی و اهداف طراحی دارد.پروکسی فوروارد برای دسترسی به وب: معمولاً در لبه شبکه (Network Edge) قرار می‌گیرد؛ یعنی بین LAN داخلی و اینترنت. ترافیک کاربران سازمانی قبل از رسیدن به اینترنت به پروکسی می‌رود. این مکان امکان کنترل دسترسی‌های خروجی را فراهم می‌کند. همچنین به پروکسی اجازه می‌دهد محتوا را برای صرفه‌جویی در پهنای باند اینترنت کش کند. در بسیاری از طراحی‌ها، پروکسی فوروارد در همان ناحیه امنیتی فایروال اینترنت قرار دارد.پروکسی معکوس: در محیط پیرامونی (Perimeter) رو به اینترنت قرار می‌گیرد و اغلب در DMZ زندگی می‌کند. پروکسی معکوس درخواست‌های خارجی را می‌پذیرد و آن‌ها را به سرورهای اپلیکیشن داخلی فوروارد می‌کند. این چیدمان، سرورها را از قرارگیری مستقیم در معرض اینترنت محافظت می‌کند. همچنین اجازه تخلیه بار TLS (TLS offload)، عملکردهای فایروال اپلیکیشن تحت وب (WAF) و توزیع بار را می‌دهد.پروکسی معکوس ابری (Cloud Reverse Proxy)امروزه اکثر قابلیت‌های پروکسی معکوس به صورت SaaS (نرم‌افزار به عنوان سرویس) مصرف می‌شوند. برای مثال، Cloudflare پرکاربردترین پروکسی معکوس جهانی است که در ابر قرار دارد (مطابق شکل زیر). این سرویس بین یک وب‌سایت و بازدیدکنندگان آن قرار می‌گیرد و به عنوان یک سپر و تقویت‌کننده عملکرد عمل می‌کند.یک پروکسی معکوس جهانی به حل مشکلاتی کمک می‌کند که تیم‌های شبکه و امنیت اغلب به تنهایی با آن‌ها دست و پنجه نرم می‌کنند. در دنیای هوش مصنوعی امروز، بیشتر ترافیک اینترنت از سمت بات‌ها و عوامل خودکار هوش مصنوعی می‌آید که متوقف کردن حملات DDoS و سیل بات‌ها را سخت‌تر از همیشه می‌کند. با استفاده از کلودفلر (یا پروکسی ابری دیگر)، سازمان‌ها می‌توانند وظایف کلیدی امنیتی و عملکردی را به ارائه‌دهنده‌ای بسپارند که در آن‌ها تخصص دارد، از جمله:دفاع در برابر حملاتی مانند DDoS.افزایش سرعت وب‌سایت‌ها با کشینگ و شبکه توزیع محتوای جهانی (CDN).ایمن‌سازی ترافیک با فایروال‌ها، SSL و محافظت در برابر بات‌ها.افزایش در دسترس بودن از طریق مسیریابی هوشمند ترافیک.اگر وب‌سرورهای خود را مستقیماً در معرض اینترنت قرار دهید، چگونه از آن‌ها محافظت می‌کنید؟ بات‌ها و عوامل سرکش هوش مصنوعی آن‌ها را از بین خواهند برد.پروکسی معکوس در مقابل لود بالانسر (Load Balancer)در نهایت، بیایید ابهامی را برطرف کنیم که برخی دانشجویان ممکن است داشته باشند. هنگام یادگیری در مورد لود بالانسرها و پروکسی‌ها، آن‌ها اغلب در مورد تفاوت بین یک پروکسی معکوس و یک لود بالانسر دچار سردرگمی می‌شوند. از نظر عملکردی، به نظر می‌رسد هر دو دستگاه یک کار را انجام می‌دهند: هر دو به عنوان واسطه عمل می‌کنند، TLS را خاتمه می‌دهند و ترافیک را بین سرورها متعادل می‌کنند. این در واقع درست است؛ عملکردهای آن‌ها هم‌پوشانی دارند. اما تفاوت‌های زیادی نیز وجود دارد و هر کدام در حوزه خاص خود متخصص هستند:لود بالانسر در توزیع ترافیک بین سرورهای پس‌زمینه تخصص دارد.پروکسی معکوس در بازرسی و محافظت از سرورهای پس‌زمینه در برابر کلاینت‌های مخرب تخصص دارد.آن‌ها را مانند یک روتر و یک فایروال در نظر بگیرید. هم روتر و هم فایروال می‌توانند مسیریابی اولیه (Static, OSPF, BGP و غیره)، کنترل دسترسی پایه (ACLs) و NAT را انجام دهند. اما:یک روتر قابلیت‌های تخصصی فایروال مانند بازرسی لایه ۷، کلاسترینگ حالت‌مند (Stateful) و غیره را ندارد.یک فایروال قابلیت‌های تخصصی مسیریابی مانند BGP در داخل VRFها و فیلتر کردن پیشوندها با Route-map را ندارد.نکات کلیدی (Key Takeaways)پروکسی یک واسطه بین کلاینت‌ها و سرورها است که درخواست‌ها را بازپخش می‌کند.پروکسی‌ها امنیت را با رمزگشایی و بازرسی ترافیک TLS بهبود می‌بخشند.آن‌ها با مخفی کردن IP کلاینت و دور زدن محدودیت‌های جغرافیایی، حریم خصوصی فراهم می‌کنند.پروکسی‌ها با استفاده از کشینگ، عملکرد را افزایش داده و مصرف پهنای باند را کاهش می‌دهند.پروکسی‌های فوروارد دسترسی‌های خروجی را کنترل می‌کنند.پروکسی‌های معکوس از سرورهای ورودی محافظت می‌کنند.پروکسی‌های معکوس مبتنی بر ابر (مانند کلودفلر) امنیت و سرعت جهانی را اضافه می‌کنند.پروکسی‌های معکوس و لود بالانسرها هم‌پوشانی دارند اما نقش‌های تخصصی متفاوتی ایفا می‌کنند.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Thu, 18 Dec 2025 11:00:03 +0330 https://virgool.io/@Harry_esfandiari/%D9%84%D9%88%D8%AF%D8%A8%D8%A7%D9%84%D8%A7%D9%86%D8%B3%D8%B1-load-balancers-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D8%AF%D9%87%D9%85-ikezrqfuyzai لودبالانسر (Load Balancers)در این درس، به سرعت درباره یکی از دستگاه‌های رایج شبکه که در لایه ۷ مدل OSI فعالیت می‌کند و لودبالانسر نامیده می‌شود، بحث خواهیم کرد. در زیرساخت‌های مدرن، عملکرد و مقیاس‌پذیری برنامه (Application Performance and Scalability) بسیار مهم است. دستگاه‌های شبکه استاندارد مانند سوئیچ‌ها و مسیریاب‌ها ترافیک را جابجا می‌کنند، اما عملکرد یک برنامه را ردیابی نمی‌کنند. اینجاست که دستگاه‌های شبکه تخصصی وارد می‌شوند.لینک آموزش قسمت نهم: https://vrgl.ir/Vxkpcچرا به یک لودبالانسر نیاز داریم؟برای درک اینکه چرا به دستگاه‌های شبکه تخصصی مانند لودبالانسر نیاز داریم، بیایید مثال زیر را بررسی کنیم. تصور کنید که یک شرکت یک برنامه وب (فروشگاه آنلاین) دارد. آدرس وب فروشگاه www.xyz.com است.حالا، تصور کنید که برنامه وب بر روی یک سرور واحد، بسیار بزرگ و قدرتمند، اجرا می‌شود، همانطور که در نمودار زیر نشان داده شده است.بدیهی است که این طراحی چندین نقطه ضعف قابل توجه دارد - قابلیت دسترسی بالا (High Availability) ندارد و فاقد مقیاس‌پذیری (Scalability) است. به عنوان مثال، اگر سرور با مشکل سخت‌افزاری مواجه شده و از کار بیفتد، فروشگاه آنلاین آفلاین می‌شود و شرکت ضرر می‌کند (که همیشه چیز بدی است).علاوه بر این، حتی اگر سرور کاملاً سالم باشد، در نهایت اگر بیش از حد بار روی سرور بیاید، ظرفیت CPU، RAM و شبکه محدودی دارد. هنگامی که تعداد زیادی کاربر همزمان متصل می‌شوند، کند یا از دسترس خارج می‌شود. بنابراین فکر می‌کنید راه‌حل این مشکل زیرساختی چیست؟اولین چیزی که به ذهن می‌رسد، اجرای برنامه وب بر روی چندین سرور است. به این ترتیب، قادر خواهد بود تعداد بسیار بیشتری از کاربران را مدیریت کند. اما یک مشکل وجود دارد:کاربران از طریق نام دامنه فروشگاه آنلاین یعنی xyz.com به آن دسترسی پیدا می‌کنند.قبل از اینکه یک کاربر برنامه وب را باز کند، کامپیوتر او ابتدا نام دامنه را با استفاده از DNS به یک آدرس IP تبدیل می‌کند.با این حال، DNS می‌تواند یک نام دامنه را تنها به یک آدرس IP واحد تبدیل کند. آدرس xyz.com به 37.3.2.1 تبدیل می‌شود.بنابراین اگر ۱۰۰ سرور دارید، آدرس IP 37.3.2.1 که نام دامنه فروشگاه به آن تبدیل می‌شود را کجا قرار می‌دهید؟ اگر آن را روی هر یک از سرورها بگذارید، تمام کاربران همچنان فقط به یک سرور هدایت می‌شوند.لودبالانسر یک دستگاه شبکه است که برای حل این مشکل طراحی شده است، همانطور که در نمودار زیر نشان داده شده است.راه‌حل این است که آدرس IP برنامه وب را روی لودبالانسر قرار دهیم. DNS به IP لودبالانسر اشاره می‌کند. تمام اتصالات HTTPS کاربران در لودبالانسر خاتمه می‌یابند. سپس لودبالانسر هر اتصال ورودی را به یکی از سرورهای پشتیبان (Backend Servers) هدایت می‌کند. این کار ترافیک را در بین تمام سرورها توزیع می‌کند و از بارگذاری بیش از حد یک سرور جلوگیری می‌کند.به خط سبز ضخیم‌تر از اینترنت به لودبالانسر توجه کنید. این خط نشان‌دهنده هزاران اتصال ورودی است. LB (لودبالانسر) این هزاران اتصال را به چندین سرور توزیع می‌کند. بنابراین تعداد درخواست‌های ورودی به هر سرور به طور قابل توجهی کمتر است (از این رو خط سبز نازک‌تر به هر سرور کشیده شده است).لودبالانسر چگونه کار می‌کند؟وظیفه اصلی یک لودبالانسر، توزیع اتصالات ورودی در میان گروهی از سرورها است. از آنجایی که بیشتر ترافیک امروزه رمزنگاری شده با TLS است، لودبالانسر ابتدا با ارائه گواهی SSL سایت به کلاینت‌ها، رمزگشایی HTTPS را مدیریت می‌کند. پس از آن، با استفاده از یک روش زمان‌بندی مانند Round Robin یا Least Connections، یک سرور پشتیبان را انتخاب می‌کند. سپس لودبالانسر می‌تواند درخواست را بر روی HTTP ساده به سرور انتخاب شده ارسال کند، که این امر با آف‌لود کردن (Offloading) کار رمزنگاری، بار CPU را روی سرورها کاهش می‌دهد.با این حال، امروزه، یک لودبالانسر عملکردهای بسیار بیشتری نسبت به صرف توزیع ترافیک در بین سرورها و انجام خاتمه TLS انجام می‌دهد. مهمترین آن‌ها به شرح زیر است:بررسی سلامت (Health checking): وضعیت سرورها را نظارت می‌کند و فقط ترافیک را به سرورهای سالم ارسال می‌کند. اگر یک سرور از کار بیفتد، لودبالانسر به طور خودکار آن را از چرخه خارج می‌کند، همانطور که در نمودار زیر نشان داده شده است.انتقال به حالت اضطراری (Failover): اگر یک یا چند سرور باید برای نگهداری از دسترس خارج شوند، می‌تواند ترافیک را به سرورهای پشتیبان یا حتی یک مرکز داده دیگر هدایت کند. مسیریابی ترافیک (Traffic shaping and routing): می‌تواند درخواست‌ها را بر اساس قوانین، مانند ارسال انواع خاصی از ترافیک به نزدیک‌ترین موقعیت جغرافیایی، هدایت کند.فعالیت های امنیتی (Security functions): می‌تواند ترافیک مشکوک را مسدود کرده و سرورهای پشتیبان را از شبکه عمومی پنهان کند.مقیاس‌پذیری افقی (Horizontal Scalability): یک لودبالانسر این امکان را فراهم می‌کند که سرورها بدون ایجاد اختلال برای کاربران اضافه یا حذف شوند. این یکی از قابل توجه‌ترین مزایای لودبالانسر است.بنابراین در حالی که وظیفه اصلی آن توزیع اتصالات است، یک لودبالانسر همچنین دسترسی‌پذیری، عملکرد، امنیت و انعطاف‌پذیری زیرساخت برنامه را بهبود می‌بخشد.لودبالانسر محبوبحالا، بیایید به سرعت پرطرفدارترین فروشندگان لودبالانسر را که ممکن است در طول دوران کاری شبکه‌تان با آن‌ها مواجه شوید، معرفی کنیم.لودبالانسر سخت‌افزاریدر روزهای اولیه، لودبالانسر دستگاه‌های سخت‌افزاری و ملموسی بودند که در قفسه‌های رک در مرکز داده نصب می‌شدند. امروزه، این رایج‌ترین حالت نیست، اما هنوز هم بسیاری از تجهیزات سخت‌افزاری در حال کار هستند.محبوب‌ترین و گسترده‌ترین فروشنده لودبالانسر سخت‌افزاری F5 است. تجهیزات F5 سال‌هاست که به طور گسترده در مراکز داده برای مدیریت حجم زیادی از ترافیک و ارائه ویژگی‌های پیشرفته مانند آف‌لود SSL، فایروال برنامه و شکل‌دهی ترافیک استفاده می‌شوند.سایر برندهای شناخته شده شامل Citrix (NetScaler) و A10 Networks هستند، اما F5 به طور کلی شناخته‌شده‌ترین و پرکاربردترین است.لودبالانسر مجازیبیشتر لودبالانسر مدرن دیگر دستگاه‌های سخت‌افزاری فیزیکی نیستند. در گذشته، شرکت‌ها از تجهیزات اختصاصی لودبالانسر — جعبه‌های فیزیکی قرار گرفته در مراکز داده — استفاده می‌کردند. با این حال، مشکل تجهیزات سخت‌افزاری این است که ظرفیت ثابتی دارند و نیاز به راه‌اندازی و نگهداری دستی دارند.امروزه، بیشتر لودبالانسر مجازی هستند. آن‌ها به صورت نرم‌افزار در ابر (Cloud) یا روی ماشین‌های مجازی اجرا می‌شوند. به عنوان مثال، AWS Elastic Load Balancer (ELB) یک دستگاه فیزیکی نیست — بلکه یک سرویس مدیریت‌شده است. شما سخت‌افزار را نمی‌بینید یا لمس نمی‌کنید. AWS به طور خودکار آن را در پس‌زمینه ایجاد و مقیاس‌بندی می‌کند.این رویکرد مجازی انعطاف‌پذیرتر، مقیاس‌پذیری آسان‌تر و مدیریت ارزان‌تری نسبت به خرید و نگهداری لودبالانسر فیزیکی دارد.نکات کلیدیلودبالانسر ترافیک را در بین چندین سرور توزیع می‌کنند.آن‌ها از بارگذاری بیش از حد جلوگیری کرده و دسترسی‌پذیری بالا را تضمین می‌کنند.آن‌ها رمزگشایی TLS را از سرورها آف‌لود می‌کنند.آن‌ها بررسی سلامت را انجام داده و ترافیک را تنها به سرورهای سالم هدایت می‌کنند.آن‌ها از انتقال به حالت اضطراری (Failover) و شکل‌دهی ترافیک پشتیبانی می‌کنند.آن‌ها مقیاس‌پذیری، عملکرد و امنیت را بهبود می‌بخشند.فروشندگان محبوب شامل F5، Citrix، A10 و AWS هستند.حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات حمید رضا اسفندیاری حمید رضا اسفندیاری Tue, 09 Dec 2025 10:17:11 +0330 https://virgool.io/@Harry_esfandiari/%D9%81%D8%A7%DB%8C%D8%B1%D9%88%D8%A7%D9%84-%D9%87%D8%A7-firewalls-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D9%86%D9%87%D9%85-uasnkqgtgnq6 در این درس، فایروال شبکه را بررسی می‌کنیم — یک دستگاه امنیتی که تا لایه 7 مدل OSI کار می‌کند و از مرز شبکه محافظت می‌کند. نمودار زیر متداول‌ترین آیکون‌های مورد استفاده برای نمایش یک فایروال Cisco در توپولوژی شبکه را نشان می‌دهد.لینک آموزش قسمت هشتم : https://vrgl.ir/7ZTIZچرا به فایروال نیاز داریم؟اینترنت جای دوستانه‌ای نیست. هر دستگاهی که به آن متصل است، در معرض میلیون‌ها سیستم و کاربر ناشناس قرار دارد. برخی از این‌ها بی‌ضرر هستند، اما بسیاری می‌توانند تلاش کنند تا داده‌ها را سرقت کنند، خدمات را مختل سازند یا کنترل سیستم‌های داخلی سازمان را به دست بگیرند. امروزه، با ظهور هوش مصنوعی، تهدیدات اینترنتی پیچیده‌تر از همیشه شده‌اند.نمودار زیر یک شبکه داخلی کوچک را نشان می‌دهد که مستقیماً و بدون هیچ گونه محافظتی به اینترنت متصل است. سوئیچ‌ها و مسیریاب‌ها برای جابجایی ترافیک شبکه طراحی شده‌اند، نه برای متوقف کردن حملات. هر کسی از خارج می‌تواند به منابع داخلی دسترسی پیدا کند و تلاش کند تا داده‌های حساس را به سرقت ببرد یا خدمات ضروری را مختل کند.یک فایروال به عنوان اولین خط دفاعی عمل می‌کند، که اغلب در مرز شبکه قرار دارد. فایروال کمک می‌کند تا اطمینان حاصل شود که تنها ترافیک قابل اعتماد مجاز است، و ترافیک مشکوک یا خطرناک قبل از رسیدن به شبکه داخلی مسدود می‌شود.متداول‌ترین وظیفه فایروال، مسدود کردن ترافیک ناخواسته از خارج است که قصد دسترسی به منابع شبکه داخلی را دارد، همانطور که در نمودار زیر نشان داده شده است.فایروال بسته‌های شبکه را در برابر قوانین امنیتی پیکربندی شده بررسی می‌کند تا مشخص کند که آیا هر بسته باید عبور کند یا مسدود شود. این کار کمک می‌کند تا مطمئن شویم فقط ترافیک امن و قابل اعتماد عبور می‌کند.یک فایروال چگونه کار می‌کند؟یک فایروال تا لایه 7 مدل OSI کار می‌کند. این بدان معناست که سرآیندهای لایه ۲، لایه ۳ و لایه ۴ را می‌خواند، همانطور که در نمودار زیر به رنگ زرد نشان داده شده است. فایروال تمام اطلاعات موجود را در اختیار دارد، مانند آدرس‌های MAC، آدرس‌های IP و شماره پورت‌ها، و پروتکل انتقالی که استفاده شده است (TCP یا UDP).با استفاده از این اطلاعات، فایروال چیزی را به نام "۶-تایی" (6-tuple) می‌سازد — مجموعه‌ای از شش مقدار کلیدی از سرآیندهای یک بسته که فایروال می‌تواند از آن‌ها برای شناسایی منحصر به فرد یک جریان شبکه خاص استفاده کند. به عنوان مثال: مبدأ, IP مقصد, پورت مبدأ, پورت مقصد, پروتکل, جهتاین ترکیب ۶-تایی به طور منحصر به فرد جریان زیر را شناسایی می‌کند: ترافیک از IP مبدأ 192.168.1.10، پورت مبدأ 51514، که به سمت IP مقصد 23.0.13.20، پورت مقصد 443، با استفاده از پروتکل TCP، در جهت خروجی (Outbound) می‌رود. یک مدیر امنیتی می‌تواند فایروال را طوری پیکربندی کند که این جریان ترافیک را مجاز یا رد کند.ناحیه‌های داخلی و خارجی (Inside and Outside zones)یک جنبه ضروری دیگر این است که فایروال با جدا کردن شبکه به یک ناحیه داخلی (قابل اعتماد) و یک ناحیه خارجی (غیرقابل اعتماد) کار می‌کند، همانطور که در نمودار زیر نشان داده شده است:ناحیه داخلی (Inside) طرف قابل اعتماد است. این معمولاً شبکه داخلی سازمان است، جایی که کامپیوترها، سرورها و منابع داخلی شرکت قرار دارند. فرض بر این است که ترافیک در ناحیه داخلی ایمن است، و وظیفه فایروال محافظت از آن در برابر دسترسی خطرناک است.ناحیه خارجی (Outside) طرف غیرقابل اعتماد است. این معمولاً به اینترنت یا هر شبکه‌ای که سازمان کنترلی بر آن ندارد، اشاره دارد. ترافیک از این طرف می‌تواند خطرناک باشد زیرا از منابع بالقوه مخرب می‌آید.بسیاری از فایروال‌ها، به ویژه در شبکه‌های Cisco، از یک مقدار سطح امنیت (Security-level) برای تعریف میزان قابل اعتماد بودن یک رابط استفاده می‌کنند. سطح امنیت از ۰ تا ۱۰۰ متغیر است:رابط‌های داخلی (Inside) معمولاً روی ۱۰۰ (قابل اعتمادترین) تنظیم می‌شوند.رابط‌های خارجی (Outside) معمولاً روی ۰ (کمترین اعتماد) تنظیم می‌شوند.هر شبکه دیگری، مانند DMZ، ممکن است در جایی بین این دو (به عنوان مثال، ۵۰) تنظیم شود.به طور پیش‌فرض، جریان ترافیک از سطوح امنیتی بالاتر به پایین‌تر (داخلی به خارجی) مجاز است، اما در جهت مخالف (خارجی به داخلی) مسدود می‌شود، مگر اینکه قوانین خاصی آن را اجازه دهند. این مفهوم باعث می‌شود که فایروال به طور پیش‌فرض مرز شبکه را امن کند. حتی اگر تیم امنیتی یک قانون فایروال هم ننوشته باشد، دستگاه از قبل از شبکه محافظت می‌کند، زیرا:کاربران داخلی می‌توانند به اینترنت دسترسی پیدا کنند زیرا ترافیک خروجی مجاز است (پیکان سبز در نمودار بالا).کاربران خارجی نمی‌توانند به شبکه داخلی دسترسی پیدا کنند زیرا ترافیک ورودی ممنوع است (پیکان‌های قرمز در نمودار بالا).این محافظت "پیش‌فرض" تضمین می‌کند که مرز شبکه بلافاصله پس از تنظیم سطوح امنیتی رابط‌ها، در برابر اتصالات ورودی ناخواسته ایمن باشد.بازرسی حالت‌مند (Stateful inspection)ناحیه‌بندی فایروال با سطوح امنیتی با تکنیک دیگری به نام بازرسی حالت‌مند ترکیب می‌شود. این بدان معناست که فایروال تنها به هر بسته به صورت مجزا نگاه نمی‌کند — بلکه حالت اتصالات فعال را ردیابی می‌کند.هنگامی که یک اتصال جدید آغاز می‌شود (به عنوان مثال، یک کاربر یک وب‌سایت را باز می‌کند)، فایروال آن را مجاز می‌داند زیرا از یک سطح امنیتی بالاتر (۱۰۰) به یک سطح امنیتی پایین‌تر (۰) می‌آید. هنگامی که ترافیک خارج می‌شود، فایروال یک ورودی در جدول حالت (State Table) با جزئیاتی مانند IP/پورت‌های مبدأ/مقصد و پروتکل ایجاد می‌کند. ترافیک بازگشتی که با این ورودی مطابقت دارد، حتی اگر قانون صریحی برای آن وجود نداشته باشد، به طور خودکار مجاز می‌شود.هنگامی که اتصال خاتمه می‌یابد یا زمان آن تمام می‌شود، ورودی حذف می‌شود، و بسته‌های بعدی مسدود می‌شوند مگر اینکه جلسه جدیدی مجاز شود. چرا این امر مهم است:ترافیک ناخواسته را مسدود می‌کند در حالی که به پاسخ‌ها اجازه عبور می‌دهد.ایمن‌تر و کارآمدتر از فیلتر کردن صرفاً بر اساس قوانین ثابت است.از پروتکل‌هایی که پورت‌های موقت باز می‌کنند (مانند FTP، VoIP) پشتیبانی می‌کند.موارد استفاده از فایروال در نهایت، بیایید در مورد بخش طراحی صحبت کنیم. متداول‌ترین محل برای استقرار یک فایروال در مرز شبکه است— بین شبکه داخلی سازمان (قابل اعتماد) و اینترنت (غیرقابل اعتماد). این به فایروال اجازه می‌دهد تا ترافیک ورودی و خروجی را فیلتر کند و تهدیدات را قبل از رسیدن به شبکه داخلی مسدود نماید.بیشتر سازمان‌ها همچنین از فایروال‌های داخلی برای تقسیم‌بندی شبکه (Segment the network) استفاده می‌کنند. به عنوان مثال، یک سازمان یک فایروال بین شبکه‌های کاربر و بخش‌های حساس مانند مالی یا تحقیق و توسعه (R&D) قرار می‌دهد. این امر آسیب در صورت نفوذ مهاجم به داخل را محدود می‌کند و به اجرای کنترل‌های دسترسی بین تیم‌ها کمک می‌کند.نکات کلیدییک فایروال یک دستگاه امنیت است که با فیلتر کردن ترافیک بر اساس آدرس‌های IP، پورت‌ها و پروتکل‌ها، از مرز شبکه محافظت می‌کند.فایروال شبکه را به ناحیه‌هایی تقسیم می‌کند، که معمولاً داخلی (قابل اعتماد) و خارجی (غیرقابل اعتماد) هستند، و همچنین می‌تواند شامل ناحیه‌های واسطه مانند DMZ باشد.فایروال‌های Cisco از سطوح امنیتی (۰ تا ۱۰۰) برای تعریف اعتماد استفاده می‌کنند. به طور پیش‌فرض، ترافیک از سطوح بالاتر به پایین‌تر مجاز است، اما در جهت مخالف مسدود می‌شود. این حفاظت پیش‌فرض را حتی بدون قوانین سفارشی فراهم می‌کند.بازرسی حالت‌مند به فایروال اجازه می‌دهد تا اتصالات فعال را ردیابی کند و به طور خودکار ترافیک بازگشتی را مجاز کند در حالی که بسته‌های ناخواسته را مسدود می‌کند.فایروال‌ها را می‌توان در مرز برای فیلتر کردن ترافیک اینترنت یا در داخل شبکه برای تقسیم‌بندی و محافظت از مناطق حساس قرار داد.حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات حمید رضا اسفندیاری حمید رضا اسفندیاری Sat, 06 Dec 2025 13:45:09 +0330 https://virgool.io/@Harry_esfandiari/%D9%85%D8%B3%DB%8C%D8%B1%DB%8C%D8%A7%D8%A8-%D9%87%D8%A7-routers-%D9%88-%D8%B3%D9%88%D8%A6%DB%8C%DA%86-%D9%87%D8%A7%DB%8C-%D9%84%D8%A7%DB%8C%D9%87-%DB%B3-l3-switches-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D9%87%D8%B4%D8%AA%D9%85-nzniqzkryxtw در این درس، دستگاه‌های شبکه را که در لایه ۳ مدل OSI فعالیت می‌کنند، بررسی می‌کنیم. با معرفی مسیریاب شبکه شروع می‌کنیم و تا سوئیچ‌های مدرن لایه ۳ که قادر به انجام مسیریابی IP هستند، پیش می‌رویم.لینک آموزش قسمت هفتم: https://vrgl.ir/33zruچرا به یک مسیریاب شبکه یا روتر نیاز داریم؟بیایید به دهه ۱۹۸۰ برگردیم. مردم شروع به ساخت شبکه‌های محلی کوچک با چند دستگاه کردند. سرانجام، آن‌ها متوجه شدند که این شبکه‌ها می‌توانند برای تبادل منابع به یکدیگر متصل شوند. اما در عین حال، سوئیچ‌ها می‌توانند دستگاه‌ها را در داخل یک شبکه یکسان به هم متصل کنند، اما نمی‌توانند شبکه‌های IP متفاوت را به یکدیگر وصل کنند، همانطور که در نمودار زیر نشان داده شده است.یک سوئیچ در داخل یک VLAN و دامنه Broadcast واحد کار می‌کند، که با یک زیرشبکه (IP Subnet) مطابقت دارد. سوئیچ از فرآیند Flood-and-Learn استفاده می‌کند تا فریم‌ها با آدرس‌های MAC ناشناخته را به تمام دستگاه‌های درون VLAN سیل‌آسا (Flood) کند. یک مقاله درباره این مبحث منتشر خواهم کرد اما در حال حاضر، کافی است به خاطر بسپارید که یک سوئیچ تنها در یک شبکه محلی کار می‌کند.یک سوئیچ سرآیند IP بسته‌ها را نمی‌خواند، بنابراین آدرس‌های IP مبدأ و مقصد را نمی‌داند و نمی‌تواند بفهمد که چگونه بسته را به یک شبکه دیگر بفرستد. از آنجایی که در لایه ۲ کار می‌کند، نمی‌تواند بسته‌ها را بین زیرشبکه‌های مختلف ارسال کند.اتصال دو شبکه IP مجزا نیازمند دستگاهی است که قادر به خواندن و تفسیر سرآیندهای IP بسته‌ها باشد. این همان کاری است که مسیریاب برای انجام آن اختراع شد.مسیریاب (Router) چیست؟یک مسیریاب چندین سوئیچ و شبکه‌های آن‌ها را به هم متصل می‌کند تا یک شبکه IP بزرگ‌تر و به‌هم‌پیوسته ایجاد کند. به طور خلاصه، یک مسیریاب ارتباط بین شبکه‌های IP را امکان‌پذیر می‌سازد، در حالی که یک سوئیچ ارتباط درون یک شبکه اترنت محلی را مدیریت می‌کند.به عنوان مثال، ما دو شبکه داریم: /24 172.16.1.0 (A) و /24 10.1.1.0 (B). برای اتصال آن‌ها، از یک مسیریاب با یک رابط که به هر شبکه متصل شده است، استفاده می‌کنیم، همانطور که در نمودار زیر نشان داده شده است.متداول‌ترین مورد استفاده، مسیریاب خانگی شما است که شبکه محلی شما (مانند /24 192.168.1.0) را به ارائه‌دهنده خدمات اینترنت (ISP)، که یک شبکه دیگر است (از این رو متصل‌کننده شبکه‌هاست)، متصل می‌کند. در محیط‌های سازمانی، مسیریاب‌ها معمولاً بخش‌ها، ساختمان‌ها و سایت‌های راه دور مختلف را به مرکز داده (Data Center) یا ابر (Cloud) متصل می‌کنند.نکته کلیدی: دستگاه‌های انتهایی، مانند کامپیوترها و سرورها، مستقیماً به مسیریاب وصل نمی‌شوند. آن‌ها به یک سوئیچ متصل می‌شوند و سوئیچ به مسیریاب (مستقیم یا از طریق یک سوئیچ دیگر) متصل می‌شود.حالا بیایید به عملکرد مسیریاب و نحوه ارسال بسته‌ها با جزئیات بیشتری بپردازیم.یک مسیریاب چگونه کار می‌کند؟یک مسیریاب با استفاده از آدرس‌های IP مقصد تصمیم می‌گیرد که داده‌ها را بین شبکه‌های مختلف به کجا ارسال کند. هر مسیریاب دو جزء اصلی دارد که مربوط به نحوه ارسال بسته‌ها هستند:رابط‌ها (Interfaces): این‌ها پورت‌های فیزیکی یا مجازی هستند که مسیریاب را به شبکه‌های مختلف متصل می‌کنند. هر رابط متعلق به یک زیرشبکه متفاوت است و آدرس IP خاص خود را دارد، که هویت مسیریاب در آن زیرشبکه است. در اینجا، درک و به خاطر سپردن این نکته ضروری است که یک مسیریاب می‌تواند تنها یک رابط در یک شبکه داشته باشد، زیرا دستگاهی است که شبکه‌ها را از هم جدا می‌کند. نمی‌تواند دو یا چند رابط متصل به یک شبکه داشته باشد.جدول مسیریابی (Routing Table): این یک جدول داخلی در مسیریاب است که به آن می‌گوید بسته‌ها را به کجا ارسال کند. هر ورودی یک شبکه مقصد، پرش بعدی (Next Hop) (یا رابط خروجی) و یک معیار یا هزینه (Metric یا Cost) را نشان می‌دهد. این جدول می‌تواند به صورت دستی (مسیرهای ثابت - Static Routes) یا به صورت خودکار (پروتکل‌های مسیریابی پویا - Dynamic Routing Protocols) ساخته شود.بیایید از نمودار زیر به عنوان مثالی برای توضیح این دو جزء استفاده کنیم و ببینیم که مسیریاب چگونه کار می‌کند. ابتدا، توجه کنید که در سمت چپ، مسیریاب به شبکه /24 10.1.1.0 با رابط 0/0 خود که دارای IP 10.1.1.1 است، متصل شده است. در سمت راست، از طریق رابط 0/1 و IP 39.1.1.1 به ارائه‌دهنده خدمات اینترنت (ISP) متصل می‌شود.حالا بیایید ببینیم وقتی PC1 داده‌ها را به گوگل ارسال می‌کند، همانطور که در نمودار بالا نشان داده شده است، چه اتفاقی می‌افتد.مسیریاب یک فریم را روی رابط متصل به LAN محلی دریافت می‌کند.ابتدا فریم را حذف کرده و بسته IP (IP Packet) را بیرون می‌کشد.سپس سرآیند IP بسته را می‌خواند.هنگامی که آدرس IP مقصد را می‌داند، آن را با ورودی‌های موجود در جدول مسیریابی خود مقایسه می‌کند.جدول مسیریابی به مسیریاب می‌گوید که بسته را به کجا ارسال کند.هنگامی که مسیریاب می‌داند که باید از کدام رابط برای ارسال بسته به پرش بعدی (Next Hop) استفاده کند، آن را در یک فریم جدید کپسوله می‌کند که مقصد آن آدرس MAC دستگاه پرش بعدی است.با این حال، آنچه بسیاری از دانشجویان در ابتدا متوجه نمی‌شوند این است که چگونه فریم حاوی یک بسته IP که مقصدش Google.com است، در وهله اول به مسیریاب می‌رسد.مسیریابی IP از میزبان (Host) شروع می‌شوداولین تصمیم مسیریابی حتی قبل از اینکه بسته IP با شبکه تماس پیدا کند، اتفاق می‌افتد. میزبان (Host) که داده‌ها را ایجاد می‌کند، یک بسته IP با آدرس IP مبدأ و مقصد ایجاد می‌کند. در حین انجام این کار، میزبان از آدرس IP پیکربندی شده خود، Subnet Mask و IP مقصد استفاده می‌کند تا یکی از دو سناریوی زیر را دریابد:اگر آدرس IP مقصد در همان شبکه باشد، بسته را مستقیماً به آن دستگاه ارسال می‌کند و از ARP برای یافتن آدرس MAC آن استفاده می‌کند. نیازی به مسیریاب نیست.اگر مقصد در یک شبکه متفاوت باشد، میزبان می‌داند که باید بسته IP را به Default Gateway پیکربندی شده خود ارسال کند — که معمولاً یک مسیریاب متصل به شبکه محلی است. میزبان بسته را در فریمی که آدرس آن آدرس MAC مسیریاب است، می‌پیچد و آن را روی LAN قرار می‌دهد.مسیریاب تنها پس از اینکه میزبان تصمیم گرفته است که بسته باید شبکه محلی خود را ترک کند، وارد عمل می‌شود.بیایید دوباره همان مثال را ببینیم، اما با تمرکز بر PC1. PC1 می‌خواهد داده‌ها را به گوگل در آدرس IP 8.8.8.8 ارسال کند. PC1 IP 8.8.8.8 را با IP و ماسک پیکربندی شده خود یعنی 10.1.1.0 255.255.255.0 مقایسه می‌کند. با استفاده از محاسبه اولیه سابنت، PC1 مشخص می‌کند که IP گوگل خارج از LAN محلی آن است، بنابراین باید بسته را به مسیریاب دروازه محلی پیکربندی شده خود یعنی 10.1.1.1 ارسال کند. از این رو، هنگامی که PC1 بسته را در یک فریم اترنت کپسوله می‌کند، آدرس MAC مقصد را به آدرس MAC مسیریاب R1 یعنی CCC (به رنگ زرد) تنظیم می‌کند.با استفاده از این منطق، بسته IP که مقصدش گوگل است، به مسیریاب R1 می‌رسد، که مسیریابی IP را انجام می‌دهد و آن را در طول مسیر به هاپ بعدی ارسال می‌کند. بنابراین، اگرچه معمولاً فکر می‌کنیم "مسیریابی" کاری است که مسیریاب‌ها انجام می‌دهند، میزبان‌ها نیز جدول‌های مسیریابی خاص خود را دارند. تصمیم مسیریابی میزبان تعیین می‌کند که بسته به کجا برود.نکته کلیدی: درک و به خاطر سپردن این نکته ضروری است که هاست ها فرآیند مسیریابی IP را آغاز می‌کنند.حالا بیایید کمی بیشتر به فرآیند مسیریابی دقیق شویم.مسیریابی IP چیست؟مسیریاب‌ها ترافیک را بر اساس جداول مسیریابی IP خود ارسال می‌کنند. مسیریابی IP فرآیند انتقال بسته‌ها از یک شبکه به شبکه دیگر با استفاده از آدرس‌های IP به عنوان "برچسب‌های مقصد" است. یک مسیریاب به IP مقصد در هر بسته نگاه می‌کند، جدول مسیریابی خود را بررسی می‌کند و بهترین مسیر را برای ارسال آن بسته به سمت مقصدش انتخاب می‌کند.بیایید به نمودار زیر به عنوان یک مثال نگاه کنیم. ما سه مسیریاب داریم که هر کدام به یک شبکه متفاوت متصل هستند. شما می‌توانید جدول مسیریابی هر یک از مسیریاب‌ها را ببینید. توجه کنید که هر مسیریاب می‌تواند از طریق دو مسیر مختلف به هر شبکه برسد. به عنوان مثال، R1 می‌تواند به /24 10.1.1.0 از طریق R2 و از طریق R3 برسد. با این حال، R1 مستقیماً به /24 10.1.1.0 از طریق R2 متصل می‌شود زیرا این بهترین مسیر است (کمترین معیار یا Metric را دارد).یک مسیریاب می‌تواند جدول مسیریابی خود را با استفاده از دو روش مختلف بسازد:مسیریابی ثابت (Static Routing) زمانی است که یک مدیر، مسیرها را به صورت دستی پیکربندی می‌کند. مسیریاب از این مسیرهای ثابت برای ارسال بسته‌ها استفاده می‌کند و آن‌ها تغییر نمی‌کنند مگر اینکه مدیر آن‌ها را به‌روزرسانی کند. این روش قابل پیش‌بینی و سرراست است، اما در صورت تغییر توپولوژی شبکه، نیازمند تغییرات دستی است.مسیریابی پویا (Dynamic Routing) از پروتکل‌های مسیریابی برای یادگیری و به‌روزرسانی مسیرها به صورت خودکار استفاده می‌کند. مسیریاب‌ها اطلاعات مربوط به مسیرهای شبکه را مبادله می‌کنند و بهترین مسیرها را بر اساس معیارهایی مانند مسافت، هزینه یا سرعت انتخاب می‌کنند. این امر مسیریابی پویا را در شبکه‌های بزرگ‌تر یا شبکه‌هایی که دائماً در حال تغییر هستند، سازگارتر و کارآمدتر می‌سازد.چرا به سوئیچ‌های لایه ۳ نیاز داریم؟با تکامل طرح‌های شبکه، مردم متوجه شدند که اتکای صرف به مسیریاب‌ها برای انجام مسیریابی IP در مقیاس بزرگ یک نقص است. بیایید طرح معمول سه لایه‌ای زیر را به عنوان مثال در نظر بگیریم.تصور کنید که در لایه دسترسی (Access Layer)، چندین VLAN/زیرشبکه داریم که باید با سرعت بالا با یکدیگر ارتباط برقرار کنند. در گذشته، یک سوئیچ نمی‌توانست ترافیک را بین VLANها مسیریابی کند، بنابراین به یک مسیریاب نیاز بود. با این حال، ارسال تمام ترافیک بین VLANها به لایه WAN از طریق یک مسیریاب و بازگشت به لایه دسترسی، بسیار ناکارآمد است و می‌تواند گلوگاه قابل توجهی ایجاد کند.یک سوئیچ لایه ۳ با انجام مسیریابی مستقیماً در سخت‌افزار سوئیچینگ، این مشکل را حل می‌کند، که بسیار سریع‌تر از مسیریابی سنتی مبتنی بر نرم‌افزار است. این امر انعطاف‌پذیری یک مسیریاب را با سرعت یک سوئیچ فراهم می‌کند و آن را برای شبکه‌های LAN بزرگ، شبکه‌ها و مراکز داده که هم سوئیچینگ و هم مسیریابی مورد نیاز است، مناسب می‌سازد.سوئیچ لایه ۳ چیست؟یک سوئیچ لایه ۳ یک دستگاه شبکه است که عملکرد یک سوئیچ و یک مسیریاب را در یک واحد ترکیب می‌کند، همانطور که در نمودار زیر نشان داده شده است.مانند یک سوئیچ معمولی، می‌تواند فریم‌ها را در لایه ۲ بر اساس آدرس‌های MAC ارسال کند. در عین حال، می‌تواند مسیریابی لایه ۳ را بین VLANها یا زیرشبکه‌های IP با استفاده از آدرس‌های IP، درست مانند یک مسیریاب، انجام دهد. این به سوئیچ اجازه می‌دهد تا هم سوئیچینگ محلی با سرعت بالا و هم مسیریابی بین VLANها را مدیریت کند بدون اینکه ترافیک را به یک مسیریاب مجزا بفرستد، که آن را برای شبکه‌های بزرگی که نیاز به ارتباطات داخلی سریع و مسیریابی کارآمد دارند، ایده‌آل می‌کند.نکات کلیدیسوئیچ‌ها در لایه ۲ فعالیت می‌کنند و فریم‌ها را در داخل یک VLAN/زیرشبکه واحد ارسال می‌کنند. آن‌ها نمی‌توانند شبکه‌های IP مختلف را به هم متصل کنند.مسیریاب‌ها در لایه ۳ فعالیت می‌کنند و شبکه‌های IP متعدد را با خواندن سرآیندهای IP و استفاده از جداول مسیریابی برای ارسال بسته‌ها، به هم متصل می‌کنند.هاست ها اولین تصمیم مسیریابی را می‌گیرند: اگر مقصد خارج از زیرشبکه محلی باشد، بسته را به دروازه پیش‌فرض خود (یک مسیریاب) ارسال می‌کنند.مسیریابی IP می‌تواند ثابت (مسیرهای پیکربندی شده دستی) یا پویا (مسیرهای آموخته شده از طریق پروتکل‌های مسیریابی) باشد.سوئیچ‌های لایه ۳، سوئیچینگ و مسیریابی را در یک دستگاه ترکیب می‌کنند و مسیریابی بین VLANها را با سرعت بالا مستقیماً در سخت‌افزار و بدون نیاز به مسیریاب‌های خارجی امکان‌پذیر می‌سازند.حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات حمید رضا اسفندیاری حمید رضا اسفندیاری Mon, 10 Nov 2025 12:11:10 +0330 https://virgool.io/@Harry_esfandiari/%D9%87%D8%A7%D8%A8-%D9%87%D8%A7-%D8%A8%D8%B1%DB%8C%D8%AC-%D9%87%D8%A7-%D9%88-%D8%B3%D9%88%D8%A6%DB%8C%DA%86-%D9%87%D8%A7-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D9%87%D9%81%D8%AA%D9%85-cxxxrruhhvl5 در این درس، دستگاه‌های شبکه‌ای را بررسی می‌کنیم که در لایه ۲ مدل OSI کار می‌کنند. ما از همان ابتدا شروع می‌کنیم - معرفی هاب شبکه - و تا دوران مدرن که سوئیچ‌ها به طور گسترده‌ای پذیرفته‌شده‌ترین دستگاه‌ها در لایه پیوند داده هستند، پیش می‌رویم.لینک آموزش قسمت ششم : https://vrgl.ir/lTnEKچرا به هاب نیاز داریم؟برای اینکه واقعاً بفهمید هاب چیست و چه کاری در شبکه انجام می‌دهد، بیایید یک مثال ساده را مرور کنیم. تصور کنید یک کامپیوتر شخصی در خانه دارید و می‌خواهید آن را به یک پرینتر وصل کنید. حالا فرض کنید به دهه ۱۹۸۰ برگشته‌ایم. Wi-Fi وجود ندارد. چه کار می‌کنید؟ساده است — یک کابل از کامپیوتر به پرینتر می‌کشید، همانطور که در نمودار زیر نشان داده شده است. تمام.دو دستگاه، یک کابل، و زندگی خوب است. کامپیوتر شما اکنون می‌تواند با پرینتر ارتباط برقرار کرده و اسناد را برای چاپ ارسال کند. این ابتدایی‌ترین شکل یک شبکه است: دو دستگاه مستقیماً به هم متصل شده‌اند، با آدرس‌های IP در یک زیرشبکه.حالا، بیایید مثال را کمی گسترش دهیم. فرض کنید سه کامپیوتر شخصی و چند دستگاه دیگر — مانند پرینتر، سرور، و تلفن — دارید. چگونه همه آن‌ها را به هم وصل می‌کنید؟ اگر به همان منطق قبلی پایبند باشید، باید بین هر کامپیوتر و هر دستگاه یک کابل بکشید، همانطور که در نمودار زیر نشان داده شده است.اما اکنون چندین مشکل شروع به ظاهر شدن می‌کنند. برای اینکه آن تنظیمات کار کند، به ۹ کابل نیاز دارید. و هر دستگاه به ۳ پورت شبکه نیاز دارد — یکی برای هر اتصال. اما در زندگی واقعی، بیشتر دستگاه‌ها (کامپیوترها، پرینترها و غیره) فقط یک پورت شبکه دارند. نمی‌توانید سه کابل را به یک پورت وصل کنید.و موارد دیگری هم هست. هر اتصال باید در زیرشبکه IP خود باشد. بنابراین اکنون شما چندین آدرس IP و تنظیمات شبکه را مدیریت می‌کنید — فقط برای اتصال چند دستگاه.همانطور که تعداد دستگاه‌ها رشد می‌کند، اوضاع به سرعت از کنترل خارج می‌شود. تصور کنید تلاش کنید ۵ کامپیوتر را با استفاده از این روش به ۵ سرور وصل کنید. تعداد کابل‌ها و پیکربندی‌های IP به صورت لگاریتمی بالا می‌رود، همانطور که در نمودار زیر نشان داده شده است.حالا، تصور کنید که یک دفتر را اداره می‌کنید و باید ده‌ها یا حتی صدها دستگاه را با استفاده از این رویکرد وصل کنید. واضح است که اصلاً امکان‌پذیر نیست.به همین دلیل است که حتی در روزهای اولیه شبکه‌سازی، مردم متوجه شدند که به راه بهتری نیاز دارند — یک دستگاه مرکزی واحد که بتواند چندین دستگاه را به یک شبکه مشترک متصل کند و به آن‌ها اجازه دهد به راحتی ارتباط برقرار کنند. این منجر به ایجاد هاب شبکه شد.هاب شبکه چیست؟هاب (Hub) یک دستگاه شبکه ساده است که چندین دستگاه را در یک شبکه محلی (LAN) به هم متصل می‌کند. هنگام استفاده از هاب، هر دستگاه فقط به یک پورت شبکه و یک کابل برای اتصال به شبکه نیاز دارد. لازم نیست هر دستگاه را مستقیماً به هر دستگاه دیگر وصل کنید، همانطور که در بالا نشان داده شد.در عوض، همه دستگاه‌ها به هاب متصل می‌شوند. هاب مانند یک نقطه مرکزی عمل می‌کند و ساختن یک شبکه کوچک را بسیار ساده‌تر می‌کند. شما به سادگی هر دستگاه را به هاب وصل می‌کنید و به آن‌ها اجازه می‌دهید ارتباط برقرار کنند، همانطور که در نمودار زیر نشان داده شده است.هاب اولین گام در ایجاد شبکه محلی (LAN) بود. این یک دستگاه لایه ۱ است، به این معنی که فقط در لایه فیزیکی کار می‌کند و واقعاً نمی‌فهمد چه داده‌هایی را هدایت می‌کند — فقط سیگنال‌های الکتریکی را کپی کرده و به هر پورت ارسال می‌کند.برای شبکه‌های کوچک، هاب‌ها خوب کار می‌کردند. اما با رشد شبکه‌ها و اتصال دستگاه‌های بیشتر، مشکلات جدیدی شروع به ظاهر شدن کردند. یکی از معایب اصلی هاب این است که تمام دستگاه‌ها را به یک دامنه برخورد (Collision Domain) واحد متصل می‌کند. برخورد زمانی رخ می‌دهد که دو دستگاه همزمان داده ارسال کنند و سیگنال‌های آن‌ها با یکدیگر تداخل پیدا کنند، همانطور که در نمودار زیر نشان داده شده است.دامنه برخورد (collision domain) چیست؟collision domain بخشی از یک شبکه است که در آن برخورد داده‌ها می‌تواند اتفاق بیفتد. این بدان معنی است که اگر دو دستگاه در یک دامنه برخورد سعی کنند همزمان داده ارسال کنند، سیگنال‌های آن‌ها با یکدیگر تداخل پیدا می‌کنند — یک برخورد رخ می‌دهد. هنگامی که این اتفاق می‌افتد، دستگاه‌ها متوقف می‌شوند، صبر می‌کنند و بعداً دوباره تلاش می‌کنند. این کار سرعت شبکه را کاهش می‌دهد.در یک دامنه برخورد، فقط یک دستگاه می‌توانست در یک زمان صحبت کند. هرچه دستگاه‌های بیشتری اضافه کنید، عملکرد بدتر می‌شود.برای درک مفهوم، دامنه برخورد را مانند یک میز شام بزرگ تصور کنید که همه دور آن نشسته‌اند و می‌خواهند صحبت کنند. از آنجایی که فقط یک نفر می‌تواند در یک زمان صحبت کند بدون اینکه باعث سردرگمی شود، همه باید نوبت صحبت کردن را رعایت کنند. اگر دو نفر همزمان صحبت کنند، هیچ کس چیزی نمی‌فهمد — فقط سر و صدا است. این دقیقاً نحوه عملکرد دستگاه‌ها در یک دامنه برخورد با استفاده از ارتباط نیمه‌دوطرفه (Half-duplex) است.حال، اگر فقط تعداد کمی در میز باشند، نوبت گرفتن خوب کار می‌کند. همه فرصت صحبت کردن پیدا می‌کنند و گفتگو جریان دارد. اما اگر ده‌ها نفر در یک میز باشند چه؟ نوبت هر فرد کوتاه‌تر و کوتاه‌تر می‌شود. برخی از افراد ممکن است مدت زیادی منتظر بمانند تا چیزی بگویند، و اگر افراد زیادی بخواهند همزمان صحبت کنند، کل ماجرا به هم می‌ریزد. همین اتفاق در یک شبکه با یک دامنه برخورد بزرگ رخ می‌دهد. با اضافه شدن دستگاه‌های بیشتر، عملکرد به طور قابل توجهی کاهش می‌یابد.برای حل این مشکل، مهندسان یک دستگاه هوشمندتر به نام بریج شبکه اختراع کردند.بریج شبکه (Network Bridge) چیست؟بریج‌ها (Bridges) برای کمک به حل مشکل تعداد زیاد دستگاه در یک دامنه برخورد معرفی شدند. یک بریج شبکه محلی را به دو دامنه برخورد تقسیم می‌کند (از این رو نام "بریج" گرفته شده است). با تقسیم شبکه به دو قسمت، هر طرف دستگاه‌های کمتری برای رقابت برای ارسال داده داشت. این بدان معنی بود که برخوردهای کمتر و عملکرد بهتر داشتیم.یک بریج شبکه در لایه ۲ (پیوند داده) کار می‌کند و اطلاعات موجود در هدر فریم را می‌خواند. این دستگاه آدرس‌های MAC را می‌فهمد و یک جدول از اینکه کدام دستگاه‌ها در کدام طرف هستند، می‌سازد. این به بریج‌ها اجازه می‌دهد تا هدایت انتخابی فریم را انجام دهند و نه فقط تکرار سیگنال‌های الکتریکی مانند هاب.با این حال، بریج‌ها محدودیت‌های خود را داشتند. بیشتر آن‌ها فقط دو پورت داشتند، به این معنی که فقط می‌توانستند یک شبکه را به دو بخش تقسیم کنند. این فقط یک بهبود ۲ برابری در عملکرد ایجاد می‌کرد. با این وجود، بریج‌ها به توسعه منطقی کمک کردند که در نهایت منجر به سوئیچ شد — یک نسخه هوشمندتر، سریع‌تر و مقیاس‌پذیرتر از بریج با پورت‌های زیاد.چرا به سوئیچ شبکه نیاز داریم؟در دهه ۱۹۹۰، شبکه‌ها به رشد خود ادامه دادند و سرعت مورد نیاز همچنان افزایش یافت. مردم نیاز داشتند ده‌ها دستگاه را در یک شبکه محلی به هم وصل کنند و به آن‌ها اجازه دهند با سرعت بالا ارتباط برقرار کنند. هاب و بریج به سادگی قادر به ارائه عملکرد مورد نیاز برای اتصال بسیاری از دستگاه‌ها نبودند. این منجر به ایجاد سوئیچ شد.در حالی که بریج‌ها فقط می‌توانستند یک شبکه را به دو دامنه برخورد تقسیم کنند، هر پورت یک سوئیچ یک دامنه برخورد جداگانه است، همانطور که در نمودار زیر نشان داده شده است.هر دستگاه متصل به یک سوئیچ دامنه برخورد خاص خود را دریافت می‌کند، بنابراین در هنگام ارسال داده با یکدیگر تداخل نمی‌کنند. این باعث می‌شود شبکه بسیار مقیاس‌پذیرتر و کارآمدتر باشد، به ویژه با اضافه شدن دستگاه‌های بیشتر.سوئیچ شبکه چیست؟سوئیچ شبکه در لایه ۲ مدل OSI کار می‌کند و از آدرس‌های MAC برای تصمیم‌گیری در مورد ارسال داده استفاده می‌کند. هنگامی که دستگاهی داده ارسال می‌کند، سوئیچ به آدرس MAC مقصد نگاه می‌کند و داده را فقط به دستگاه صحیح هدایت می‌کند، نه به همه. این کار باعث صرفه‌جویی در پهنای باند و کاهش ترافیک غیرضروری می‌شود.هر دستگاه متصل به یک سوئیچ دامنه برخورد خاص خود را دارد، بنابراین چندین دستگاه می‌توانند همزمان داده ارسال کنند بدون اینکه با یکدیگر تداخل داشته باشند. این باعث می‌شود سوئیچ‌ها بسیار سریع‌تر و هوشمندتر از دستگاه‌های قدیمی مانند هاب باشند.عملکرد اصلی یک سوئیچ شبکه این است که چندین دستگاه را در یک شبکه محلی (LAN) به هم متصل کند و داده‌ها را فقط به دستگاه خاصی که برای آن در نظر گرفته شده است، هدایت کند. این کار را با خواندن هدر اترنت فریم‌ها، یادگیری آدرس‌های MAC دستگاه‌های متصل و ساختن یک جدول آدرس MAC انجام می‌دهد. سپس، فریم‌ها را مستقیماً مطابق با جدول آدرس MAC به پورت صحیح ارسال می‌کند. این کار سرعت را بهبود می‌بخشد، برخوردها را کاهش می‌دهد و به دستگاه‌ها اجازه می‌دهد تا به طور کارآمد ارتباط برقرار کنند.درک این نکته ضروری است که از دیدگاه دستگاه‌های نهایی، سوئیچ‌ها نامرئی هستند. می‌توانید سوئیچ را مانند یک چندراهی برق در نظر بگیرید—پورت‌های بیشتری به شما می‌دهد، اما با خود ترافیک تداخلی ایجاد نمی‌کند. دستگاه‌هایی مانند کامپیوترها، پرینترها یا تلفن‌های IP مستقیماً با سوئیچ تعامل ندارند و حتی نمی‌دانند که وجود دارد. به همین دلیل است که در بیشتر نمودارهای سطح بالا، سوئیچ‌ها به صورت خطوطی ترسیم می‌شوند که یک زیرشبکه را نشان می‌دهند، همانطور که در نمودار زیر نشان داده شده است.از دیدگاه دستگاه، آن صرفاً داده‌ها را از آدرس IP خود به یک آدرس IP راه دور ارسال می‌کند. دستگاه نیازی به دانستن نحوه رسیدن داده‌ها به آنجا ندارد — فقط کار می‌کند. سوئیچ وظیفه دریافت فریم، بررسی آدرس MAC و هدایت آن به پورت صحیح را انجام می‌دهد، همه این‌ها در پشت صحنه اتفاق می‌افتد.نکته کلیدی: برای دستگاه‌های نهایی، سوئیچ‌ها نامرئی هستند. یک دستگاه نهایی از آدرس IP خود به یک آدرس IP راه دور ارتباط برقرار می‌کند.سوئیچ‌ها فریم‌ها را خارج از کپسوله‌سازی و دوباره کپسوله‌سازی نمی‌کنند. آن‌ها در ارتباط شفاف هستند. به همین دلیل است که در بسیاری از نمودارهای شبکه، سوئیچ‌ها حتی نشان داده نمی‌شوند. در عوض، یک خط واحد با برچسب "اترنت" یا "VLAN" برای نشان دادن اتصال بین دستگاه‌ها استفاده می‌شود، زیرا سوئیچ بر نحوه صحبت دستگاه‌ها با یکدیگر در لایه IP تأثیری نمی‌گذارد.سوئیچ‌ها در شبکه‌های مدرن کجا استفاده می‌شوند؟در نهایت، بیایید به نقش‌های مختلفی که یک سوئیچ می‌تواند در طراحی شبکه مدرن، به ویژه در محیط‌های سازمانی، ایفا کند، بپردازیم. سوئیچ‌ها در سه لایه اصلی استفاده می‌شوند: دسترسی (Access)، توزیع (Distribution)، و هسته (Core). هر لایه نقش متفاوتی دارد و بسته به سرعت، ویژگی‌ها و تعداد پورت‌ها از انواع مختلفی از سوئیچ‌ها استفاده می‌کند.سوئیچ‌های لایه دسترسی در لبه شبکه قرار دارند. آن‌ها مستقیماً به دستگاه‌های نهایی مانند کامپیوترها، پرینترها، تلفن‌ها و نقاط دسترسی بی‌سیم متصل می‌شوند. وظیفه اصلی آن‌ها فراهم کردن اتصال و اجرای سیاست‌های شبکه پایه مانند تخصیص VLAN یا امنیت پورت است. این سوئیچ‌ها معمولاً پورت‌های زیادی و گاهی اوقات Power over Ethernet (PoE) برای تأمین برق دستگاه‌های متصل ارائه می‌دهند.سوئیچ‌های لایه توزیع بین لایه‌های دسترسی و هسته قرار می‌گیرند. آن‌ها ترافیک را از چندین سوئیچ دسترسی جمع‌آوری می‌کنند و بر اساس سیاست‌ها تصمیمات هدایت می‌گیرند. اینجاست که توابعی مانند مسیریابی بین VLAN (Inter-VLAN Routing)، کیفیت سرویس (QoS)، و لیست‌های کنترل دسترسی (ACLs) معمولاً اعمال می‌شوند. این سوئیچ‌ها اغلب از قابلیت‌های لایه ۳ پشتیبانی می‌کنند و قوی‌تر از سوئیچ‌های دسترسی هستند.سوئیچ‌های لایه هسته ستون فقرات شبکه را تشکیل می‌دهند. نقش اصلی آن‌ها جابجایی مقادیر زیادی داده به سرعت و به طور قابل اعتماد در سراسر شبکه، مانند بین ساختمان‌ها، مراکز داده یا مکان‌های پردیس، است. این سوئیچ‌ها برای سرعت، دسترسی بالا و افزونگی بهینه‌سازی شده‌اند. آن‌ها اغلب با سرعت‌های بسیار بالا (۱۰G، ۴۰G یا ۱۰۰G) کار می‌کنند و از مسیریابی لایه ۳ پشتیبانی می‌نمایند.هر یک از این نقش‌های سوئیچ از مقیاس‌پذیری، عملکرد و قابلیت مدیریت شبکه‌های بزرگ پشتیبانی می‌کند، با مسئولیت‌های واضح در لایه‌های مختلف سلسله مراتب شبکه.نکات کلیدیدر این درس، تکامل دستگاه‌های لایه ۲ را بررسی کردیم، از هاب‌ها شروع شد، از بریج‌ها عبور کرد و سرانجام به سوئیچ‌های مدرن رسید.هاب‌ها اولین راه برای اتصال چندین دستگاه در یک شبکه بودند، اما محدودیت‌های عمده‌ای داشتند. همه دستگاه‌ها یک دامنه برخورد مشترک داشتند، به این معنی که فقط یک دستگاه می‌توانست در یک زمان داده ارسال کند. با اضافه شدن دستگاه‌های بیشتر، عملکرد کاهش می‌یافت. به طور خلاصه:در لایه ۱ (لایه فیزیکی) کار می‌کند.تمام داده‌ها را به تمام پورت‌ها هدایت می‌کند.یک دامنه برخورد بزرگ ایجاد می‌کند.فاقد هوشمندی؛ یادگیری آدرس MAC ندارد.فقط ارتباط نیمه‌دوطرفه دارد.دیگر استفاده نمی‌شود.بریج‌ها این مشکل را با تقسیم یک شبکه به دو دامنه برخورد کوچک‌تر، کاهش ترافیک و برخوردها، بهبود بخشیدند. آن‌ها آدرس‌های MAC را می‌فهمیدند و داده‌ها را هوشمندانه‌تر از هاب‌ها هدایت می‌کردند، اما هنوز به فقط دو پورت محدود بودند. به طور خلاصه:در لایه ۲ (لایه پیوند داده) کار می‌کند.دو بخش شبکه را به هم متصل می‌کند.با تقسیم شبکه، برخوردها را کاهش می‌دهد.برای هدایت انتخابی فریم‌ها، آدرس‌های MAC را یاد می‌گیرد.محدود به ۲ پورت (معمولاً).دیگر استفاده نمی‌شود - با سوئیچ‌ها جایگزین شده است.سوئیچ‌ها این مشکلات را با دادن دامنه برخورد خاص خود به هر دستگاه متصل، از بین بردن برخوردها و بهبود سرعت و مقیاس‌پذیری، حل کردند. یک سوئیچ از آدرس‌های MAC برای هدایت داده‌ها فقط به دستگاه صحیح استفاده می‌کند، نه به همه، که ارتباط را بسیار کارآمدتر می‌سازد. به طور خلاصه:در لایه ۲ کار می‌کند (برخی از لایه ۳ نیز پشتیبانی می‌کنند).هر پورت یک دامنه برخورد خاص خود است.آدرس‌های MAC را یاد می‌گیرد و فریم‌ها را هوشمندانه هدایت می‌کند.از ارتباط تمام‌دوطرفه (Full-duplex) پشتیبانی می‌کند.مقیاس‌پذیر، سریع و به طور گسترده‌ای در شبکه‌های مدرن استفاده می‌شود.برای دستگاه‌های نهایی، سوئیچ‌ها نامرئی هستند. آن‌ها با ارتباط تداخلی ایجاد نمی‌کنند — آن‌ها به سادگی فریم‌ها را در پشت صحنه هدایت می‌کنند. به همین دلیل است که در بیشتر نمودارهای شبکه، سوئیچ‌ها اغلب به صورت یک خط نشان داده می‌شوند یا اصلاً نشان داده نمی‌شوند. حمید رضا اسفندیاری حمید رضا اسفندیاری Sat, 01 Nov 2025 12:31:24 +0330 https://virgool.io/@Harry_esfandiari/%D8%AA%D9%85%D8%B1%DB%8C%D9%86-%D8%B9%D9%85%D9%84%DB%8C-%DB%B1%DB%B1-%D9%85%D8%AF%D9%84-osi-%D8%AF%D8%B1-%D8%B9%D9%85%D9%84-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%DA%A9%D8%A8%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D8%B4%D8%B4%D9%85-sbxmgtpnbksa در این درس آزمایشگاهی، ما مدل OSI را در عمل خواهیم دید. با استفاده از Wireshark یک اتصال HTTP بین یک کلاینت و یک سرور را بررسی خواهیم کرد و مشاهده می‌کنیم که چگونه ترافیک شبکه با هدرها کپسوله‌سازی می‌شود.در پایان درس، می‌توانید فایل ضبط ترافیک (pcap) را دانلود کرده و آن را در Wireshark باز کنید تا بتوانید نگاه عمیق‌تری به هدرها داشته باشید.لینک آموزش قسمت پنجم : https://vrgl.ir/CRVOZتنظیمات آزمایشگاه (Lab Setup)ما از تنظیمات نشان داده شده در نمودار زیر استفاده خواهیم کرد تا نشان دهیم چگونه ترافیک HTTP از طریق لایه‌های مدل OSI کپسوله‌سازی می‌شود. توجه داشته باشید که وب‌سایتی که ما استفاده می‌کنیم وجود خارجی ندارد؛ فقط به عنوان یک مثال ساختگی برای نمایش استفاده می‌شود. با این حال، در خانه می‌توانید همین آزمایش را با هر وب‌سایت دیگری انجام دهید.توجه داشته باشید که ابزار Wireshark، همانطور که در بالا نشان داده شده است، ترافیک را در کارت شبکه (NIC) کامپیوتر ضبط می‌کند. با این حال، داده‌های شبکه را دقیقاً همانطور که در شبکه محلی (LAN) ظاهر می‌شود، نمایش می‌دهد.Wireshark چیست؟ابتدا، برنامه‌ای را معرفی می‌کنیم که برای ضبط و کاوش بسته‌های شبکه از آن استفاده می‌کنیم. Wireshark یک ابزار رایگان است که به شما امکان می‌دهد ترافیک شبکه را به صورت بلادرنگ (Real-time) ضبط و تحلیل کنید. این ابزار بسته‌هایی را که از شبکه شما عبور می‌کنند، از جمله منبع، مقصد، پروتکل و محتویات آن‌ها را به شما نشان می‌دهد. این یکی از پرکاربردترین ابزارهای شبکه در دنیای واقعی برای عیب‌یابی، نظارت، یادگیری نحوه کارکرد پروتکل‌ها و یافتن مسائل امنیتی است. آن را به عنوان یک میکروسکوپ برای داده‌های شبکه تصور کنید.کار با Wiresharkپس از نصب Wireshark بر روی کامپیوتر خود، به Capture > Options بروید، همانطور که در تصویر زیر نشان داده شده است.در مرحله بعد، رابط شبکهای را که می‌خواهید ترافیک را در آن ضبط کنید، انتخاب کنید. این معمولاً همان رابطی است که کامپیوتر شما را به اینترنت متصل می‌کند. به یاد داشته باشید که یک کامپیوتر می‌تواند چندین رابط داشته باشد. برای شناسایی رابط صحیح، نمودار ترافیک را بررسی کنید و به دنبال نشانه‌های عبور داده‌های زنده از آن باشید.به عنوان مثال، کامپیوتر من دو رابط دارد، همانطور که در نمودار زیر نشان داده شده است. می‌توانید ببینید که اولین رابط به شبکه متصل شده و ترافیک را عبور می‌دهد، در حالی که دیگری بیکار است (ترافیک یک خط مستقیم است).در نهایت، روی دکمه شروع (Start) در پایین پنجره کلیک می‌کنید تا ضبط ترافیک آغاز شود. اکنون باید بسته‌های شبکه را به صورت بلادرنگ مشاهده کنید.کاوش ترافیک با Wiresharkابتدا، یک بسته تصادفی را انتخاب می‌کنیم و می‌بینیم که چگونه ابزار Wireshark تمام هدرها و اطلاعات درون هر یک را به تصویر می‌کشد.لایه ۲تصویر زیر هدر بیرونی فریم – هدر اترنت لایه ۲ – را نشان می‌دهد. این یکی از ساده‌ترین هدرها در بین همه است، که فقط چند فیلد دارد.توجه داشته باشید که تنها اطلاعات مهم در این هدر، آدرس‌های MAC منبع و مقصد هستند، که آدرس‌های فیزیکی (سخت‌افزاری) دستگاه‌های ارسال و دریافت کننده فریم اترنت در شبکه محلی را نشان می‌دهند.MAC منبع — آدرس فیزیکی دستگاهی که فریم را ارسال کرده است (معمولاً کارت شبکه فرستنده).MAC مقصد — آدرس فیزیکی دستگاهی که باید فریم را در مرحله بعد دریافت کند. اگر بسته در حال خروج از شبکه محلی باشد (که در این مورد اینطور است)، MAC مقصد، آدرس MAC مسیریاب دروازه (Gateway Router) است.لایه ۳تصویر زیر محتوای هدر لایه ۳ یک بسته IP را نشان می‌دهد.در اینجا یک توضیح سطح بالا از مهم‌ترین فیلدهای موجود در هدر آورده شده است:نسخه (Version): ۴ — این یک بسته IPv4 است.طول هدر (Header Length): ۲۰ بایت — اندازه هدر IP.خدمات متمایز (Differentiated Services - DSCP/ECN) — اطلاعات اولویت کیفیت سرویس (QoS) را نشان می‌دهد؛ در اینجا پیش‌فرض است و هیچ علامت‌گذاری QoS ندارد.طول کلی (Total Length): ۵۱۹ — اندازه کامل بسته IP (هدر + داده) بر حسب بایت.فلگ‌ها (Flags): Don't fragment و Fragment Offset — بسته قطعه‌قطعه نشده است و نباید به قطعات کوچکتر تقسیم شود.زمان حیات (Time to Live - TTL): ۱۲۸ — حداکثر تعداد گام‌هایی که بسته می‌تواند قبل از دور انداخته شدن طی کند.پروتکل (Protocol): TCP (۶) — بار مفید (Payload) یک سگمنت TCP است.آدرس منبع (Source Address): 145.254.160.237 — مبدأ بسته.آدرس مقصد (Destination Address): 65.208.228.223 — مقصد بسته.نود و نه درصد مواقع، افراد به آدرس‌های IP منبع و مقصد در هدر لایه ۳ بسته‌ها نگاه می‌کنند.برقراری جلسه TCPحال، بیایید تمرکز خود را به لایه‌های بالاتر مدل OSI معطوف کنیم. به یاد بیاورید که هر اتصال HTTP/HTTPS کلاینت-سرور با دست‌دهی سه طرفه TCP آغاز می‌شود، همانطور که در نمودار زیر نشان داده شده است.بیایید ببینیم این دست‌دهی TCP در داخل ابزار Wireshark چگونه به نظر می‌رسد. توجه داشته باشید که کلاینت و سرور سه بسته TCP (که صحیح‌تر سگمنت TCP نامیده می‌شوند) را مبادله می‌کنند که هیچ بار مفید داده‌ای را حمل نمی‌کنند. آن‌ها فقط برای تأیید وجود اتصال شبکه بین کلاینت و سرور در لایه شبکه استفاده می‌شوند.حال بیایید هدر TCP را باز کنیم و به محتوای آن نگاهی بیندازیم. این بسته شروع یک اتصال TCP است (بخشی از دست‌دهی سه طرفه).به فلگ SYN در فیلد Flags توجه کنید. از آن برای آغاز اتصال TCP استفاده می‌شود. همچنین به سایر فلگ‌های موجود، مانند ACK و FIN، توجه کنید.بیایید به توضیح سطح بالا از مهم‌ترین فیلدهای موجود در هدر نگاه کنیم:پورت منبع (Source Port): ۳۳۷۲، پورت مقصد (Destination Port): ۸۰ — کلاینت در حال تلاش برای اتصال به یک وب سرور است (HTTP).فلگ‌های TCP (TCP Flags): SYN — این یک بسته SYN است که برای آغاز اتصال استفاده می‌شود.شماره توالی (Sequence Number): ۰ — اولین بایت در اتصال.طول سگمنت TCP (TCP Segment Length): ۰ — هنوز داده‌ای ارسال نمی‌شود؛ فقط نشان‌دهنده شروع اتصال است.پنجره (Window): ۸۷۶۰ — کلاینت می‌تواند ۸۷۶۰ بایت را قبل از ارسال یک ACK دریافت کند.طول هدر و گزینه‌ها (Header Length & Options) — شامل گزینه‌هایی مانند حداکثر اندازه سگمنت (Maximum Segment Size) و پشتیبانی از SACK (تأیید انتخابی).شماره تأیید (Acknowledgment Number): ۰ — در اولین SYN استفاده نمی‌شود.به طور خلاصه، این بسته به این معنی است که کلاینت می‌گوید: "من می‌خواهم یک اتصال TCP با تو برقرار کنم."HTTPهنگامی که کلاینت یک اتصال TCP با سرور برقرار می‌کند، صفحه وبی را که کاربر می‌خواهد از طریق HTTP درخواست می‌کند، همانطور که در نمودار زیر نشان داده شده است.بیایید ببینیم این درخواست HTTP GET در Wireshark چگونه به نظر می‌رسد.بیایید محتوای درخواست HTTP از کلاینت (مانند یک مرورگر) به وب سرور را بررسی کنیم، همانطور که در تصویر زیر نشان داده شده است.در اینجا یک توضیح سطح بالا از مهم‌ترین فیلدهای موجود در هدر آورده شده است:GET /download.html HTTP/1.1 — کلاینت از سرور درخواست صفحه download.html را با استفاده از HTTP/1.1 دارد.میزبان (Host): www.ethereal.com — مشخص می‌کند درخواست برای کدام وب‌سایت است.عامل کاربر (User-Agent): Mozilla/5.0… — مرورگر و سیستم‌عامل را شناسایی می‌کند.پذیرش (Accept) / زبان پذیرش (Accept-Language) / رمزگذاری پذیرش (Accept-Encoding) / مجموعه کاراکتر پذیرش (Accept-Charset) — به سرور می‌گویند که کلاینت قادر به مدیریت چه نوع محتوا، زبان‌ها، رمزگذاری و مجموعه‌های کاراکتری است.اتصال (Connection): keep-alive — کلاینت می‌خواهد اتصال را برای درخواست‌های بیشتر باز نگه دارد.ارجاع دهنده (Referer): http://www.ethereal.com/development.html — صفحه‌ای را نشان می‌دهد که به این درخواست پیوند داده است.به طور خلاصه، کلاینت یک صفحه وب را درخواست می‌کند و جزئیاتی در مورد نحوه مدیریت پاسخ ارائه می‌دهد.نکات کلیدینکته اصلی این درس این است که Wireshark یک ابزار ضروری برای مهندسان شبکه در هر مرحله از حرفه آن‌ها است. هر چه زودتر استفاده از آن را برای یادگیری و درک عمیق پروتکل‌ها شروع کنید، مهندس بهتری خواهید شد.مدل OSI به تجسم نحوه حرکت داده‌ها از طریق لایه‌های مختلف شبکه، از انتقال فیزیکی تا درخواست‌های سطح برنامه، کمک می‌کند.Wireshark ابزاری قدرتمند برای ضبط و تحلیل ترافیک در هر لایه OSI است.درک هدرهای هر لایه به تشخیص مشکلات شبکه و یادگیری رفتار پروتکل کمک می‌کند.حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات حمید رضا اسفندیاری حمید رضا اسفندیاری Sun, 26 Oct 2025 14:41:17 +0330 https://virgool.io/@Harry_esfandiari/%D8%B1%D8%A7%D9%87%D9%86%D9%85%D8%A7%DB%8C-%D8%AA%D8%B9%D8%B1%DB%8C%D9%81-%D8%AD%D8%AF%D8%A7%D9%82%D9%84-%D8%AF%D8%B3%D8%AA%D8%B1%D8%B3%DB%8C-least-privilege-%D8%A8%D8%B1%D8%A7%DB%8C-veeam-%D8%AF%D8%B1-vmware-vsphere-kwqwkiogoix0 امنیت و پایداری در زیرساخت مجازی، نیازمند جداسازی کامل وظایف است. استفاده از اکانت‌های مدیریتی (مانند Administrator@vsphere.local) برای ابزارهای بکاپ‌گیری مانند Veeam Backup & Replication، ریسک بزرگی محسوب می‌شود. این مقاله، راهنمای جامعی برای تعریف یک کاربر سرویس (Service Account) اختصاصی و یک Role سفارشی (Custom Role) با حداقل دسترسی‌های لازم در vCenter است تا Veeam بتواند تمامی عملیات‌ها از جمله بکاپ، بازگردانی، Replication، CDP و SureBackup را با موفقیت و در نهایت امنیت انجام دهد.۱. مراحل پیاده‌سازی کاربر سرویس Veeamایجاد کاربر: یک کاربر جدید (مانند Veeam-Backup-User) در سیستم Single Sign-On (SSO) در vCenter یا به عنوان یک کاربر سرویس در دامین (Active Directory) ایجاد کنید.ایجاد Role سفارشی: در vCenter، به قسمت Administration > Roles بروید و یک Role جدید با نامی مانند Veeam-Backup-Role ایجاد کنید.اختصاص Role: در بالاترین سطح Object در vCenter (معمولاً Datacenter یا خود vCenter Server)، به تب Permissions رفته و Role Veeam-Backup-Role را به کاربر Veeam-Backup-User اختصاص دهید. حتماً تیک Propagate to children را فعال کنید تا مجوزها به تمام اشیاء زیرین اعمال شوند.۲. لیست کامل مجوزهای مورد نیاز در Role سفارشیبرای اطمینان از عملکرد صحیح Veeam در تمامی قابلیت‌های اصلی و پیشرفته (به ویژه SureBackup و Instant Recovery که به ثبت و حذف ماشین‌های مجازی نیاز دارند)، Role سفارشی باید شامل مجوزهای زیر باشد:A. دسترسی‌های کلی و مدیریتیاین مجوزها برای مدیریت Objectهای عمومی vSphere، ارتباطات و دسترسی‌های اولیه به فایل‌ها ضروری هستند.Global: Disable methods, Enable methods, Licenses, Log event, Manage Custom Attributes, Set Custom AttributeDatastore: Allocate space, Browse datastore, Low level file operations, Update virtual machine files, Remove file, Configure datastore (اگر از vSAN یا Datastore Cluster استفاده می‌کنید)Network: Assign networkvApp: Add virtual machine, Assign resource pool, UnregisterCryptographic operations: Register VM (برای عملیات‌هایی که از رمزنگاری استفاده می‌کنند)B. دسترسی‌های موجودی و منابع (Inventory & Resource)این دسترسی‌ها برای عملیات‌هایی مانند بازگردانی کامل VM، Replication و SureBackup که نیاز به ایجاد، ثبت و حذف ماشین‌های مجازی جدید دارند، حیاتی هستند.Virtual Machine - InventoryResource: Assign virtual machine to resource pool, Create resource pool, Remove resource poolFolder: Create folder, Delete folder (برای مدیریت فولدرهای موقت Virtual Lab)dvPort Group: Create, Delete (اگر از Distributed Switch استفاده می‌کنید)C. دسترسی‌های پیکربندی و تعامل VMاین مجموعه، امکان اجرای Snapshot، دسترسی به دیسک‌ها، و مدیریت سرویس‌های درون VM (Guest Processing) را فراهم می‌کند.Virtual Machine - Configuration: Acquire disk lease, Add existing disk, Add new disk, Add or remove device, Advanced configuration, Configure RAW device (برای دیسک‌های RDM), Remove disk, Set Annotation, Toggle disk change tracking (برای فعال‌سازی CBT)Virtual Machine - Snapshot Management: Create snapshot, Remove snapshot (هسته اصلی عملیات بکاپ)Virtual Machine - Interaction: Power Off, Power On, Reset, Suspend, Guest operating system management by VIX APIVirtual Machine - Provisioning: Allow disk access, Allow read-only disk access, Allow virtual machine downloadVirtual Machine - Guest Operations: Guest operation modifications, Guest operation program execution, Guest operation queries (برای Application-Aware Processing)D. دسترسی‌های سطح میزبان (Host)Host - Configuration: Network configuration, Storage partition configuration (برای عملیات‌های NFS و اتصال به VPower)با اعمال این Role سفارشی فوق، شما نه تنها امنیت اکانت‌های مدیریتی خود را حفظ می‌کنید، بلکه تضمین می‌کنید که Veeam با دسترسی‌های لازم برای اجرای تمامی سناریوهای DR (Disaster Recovery) مجهز شده است.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Sun, 19 Oct 2025 09:57:58 +0330 https://virgool.io/@Harry_esfandiari/%D9%BE%D9%87%D9%86%D8%A7%DB%8C-%D8%A8%D8%A7%D9%86%D8%AF-%D8%AA%D8%A3%D8%AE%DB%8C%D8%B1-%D9%88-%D8%AA%D9%88%D8%A7%D9%86-%D8%B9%D9%85%D9%84%DB%8C%D8%A7%D8%AA%DB%8C-bandwidth-latency-and-throughput-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D9%BE%D9%86%D8%AC%D9%85-hbf6h87dkcva در این درس، اساسی‌ترین واحدهای اندازه‌گیری و داده مورد استفاده در شبکه‌سازی را پوشش می‌دهیم. همچنین در مورد اینکه چرا دستگاه‌های الکترونیکی به جای اعداد دهدهی (Decimal)، از بیت‌ها استفاده می‌کنند و تفاوت بین بیت و بایت چیست، بحث می‌کنیم.لینک آموزش قسمت چهارم : https://vrgl.ir/OmEwbبیت چیست؟ما انسان‌ها در تمام زندگی خود از ریاضیات پایه استفاده می‌کنیم. ریاضیات روزمره ما از سیستم دهدهی (Decimal) مبنای ۱۰ استفاده می‌کند، که نشان می‌دهد تنها ده رقم منحصربه‌فرد، ۰ تا ۹، وجود دارد. تمام اعداد دهدهی دیگر با استفاده از این ده رقم ایجاد می‌شوند.از طرف دیگر، مسیریاب‌ها (Routers)، سوئیچ‌ها (Switches) و کامپیوترها از یک سیستم عددی مبنای ۲ به نام دودویی (Binary) استفاده می‌کنند. در سیستم اعداد دودویی تنها دو رقم منحصربه‌فرد ممکن وجود دارد: ۰ و ۱. تمام اعداد دودویی دیگر از ترکیبی از این دو رقم ایجاد می‌شوند.چرا تمام دستگاه‌های الکترونیکی از دودویی استفاده می‌کنند؟اما چرا دستگاه‌های الکترونیکی به جای ارقام دهدهی، از دودویی استفاده می‌کنند؟ پاسخ ساده این است که ارقام دودویی - ۰ و ۱ - به شدت با دنیای فیزیکی مطابقت دارند. دستگاه‌های الکترونیکی از قطعاتی ساخته شده‌اند که طراحی آن‌ها تنها با دو حالت (روشن و خاموش) آسان‌تر است. به عنوان مثال، یک مدار می‌تواند روشن یا خاموش باشد، یک سیگنال می‌تواند ولتاژ بالا یا ولتاژ پایین باشد، می‌تواند جریان وجود داشته باشد یا نه، و می‌تواند نور وجود داشته باشد یا نه. هر یک از این جفت حالت‌ها به طور طبیعی با سیستم دودویی ۱ و ۰ مطابقت دارد.به عنوان مثال، انیمیشن بالا را در نظر بگیرید که مردی چراغ قوه در دست دارد. اگر می‌خواهید اطلاعات را از فاصله‌ای ارسال کنید، می‌توانید به سادگی از نور برای نمایش داده‌های دودویی استفاده کنید.وقتی چراغ قوه روشن است، آن یک ۱ است.وقتی چراغ قوه خاموش است، آن یک ۰ است.با چشمک زدن نور در یک الگوی خاص، می‌توانید پیامی را در کیلومترها ارسال کنید. اساساً شبکه‌ها به این شکل کار می‌کنند، فقط با سرعت‌های بسیار بالاتر و دقت بسیار بیشتر.موضوع کلیدی: ارقام دودویی ۰ و ۱ کاملاً با دنیای فیزیکی مطابقت دارند، زیرا بیشتر پدیده‌های فیزیکی می‌توانند روشن (۱) یا خاموش (۰) باشند.از طرف دیگر، تصور کنید بخواهید یک چراغ قوه را مجبور کنید در ده سطح مختلف روشنایی بدرخشد، یکی برای هر رقم دهدهی از ۰ تا ۹. حتی تغییرات کوچک - مانند باتری‌های ضعیف - می‌تواند تشخیص اینکه آیا قصد ارسال ۵ یا ۶ را دارید، دشوار کند. اما اگر چراغ قوه فقط دو حالت واضح، خاموش و روشن، داشته باشد، هیچ ابهامی وجود ندارد.چگونه بیت‌ها را در مقیاس اندازه‌گیری می‌کنیم؟کامپیوترها و شبکه‌ها در نهایت از بیت‌ها برای ارسال داده استفاده می‌کنند. یک بیت کوچک‌ترین واحد اطلاعات است – یا ۰ است یا ۱. با این حال، شبکه‌ها اکنون در هنگام انتقال داده به طور غیرقابل تصوری سریع هستند. وقتی در مورد سرعت شبکه صحبت می‌کنیم، اندازه‌گیری می‌کنیم که چند بیت در ثانیه ارسال می‌شود، اما در واحدهای مقیاس‌شده به شرح زیر:Bps (بیت در ثانیه): واحد پایه. یعنی 1 بیت در هر ثانیه.Kbps (کیلوبیت در ثانیه): ۱,۰۰۰ بیت در ثانیه.Mbps (مگابیت در ثانیه): ۱,۰۰۰,۰۰۰ بیت در ثانیه.Gbps (گیگابیت در ثانیه): ۱,۰۰۰,۰۰۰,۰۰۰ بیت در ثانیه.بنابراین دو نکته مهم وجود دارد که باید به خاطر بسپارید:شبکه‌ها داده‌ها را در بیت‌های دودویی منتقل می‌کنند زیرا با دنیای فیزیکی مطابقت دارد.نرخ‌های بیت در گام‌های هزارتایی رشد می‌کنند. به عنوان مثال، ۱ Kbps برابر با ۱,۰۰۰ bps است، و ۱ Mbps برابر با ۱,۰۰۰ Kbps است، و غیره.بایت چیست؟افراد غیرفنی اغلب بیت‌ها را با بایت‌ها اشتباه می‌گیرند. بایت واحد اصلی برای ذخیره اطلاعات است. از نظر تاریخی، بایت تعداد بیت‌های مورد نیاز برای ذخیره یک کاراکتر، مانند یک حرف یا عدد، در یک کامپیوتر بود. به همین دلیل، در بیشتر معماری‌های کامپیوتری، بایت به کوچک‌ترین بخش حافظه‌ای تبدیل شد که می‌توانید مستقیماً با آن کار کنید.به عنوان مثال، حرف W در حافظه کامپیوتر به صورت یک بایت ذخیره می‌شود، همانطور که در نمودار بالا نشان داده شده است.چگونه بایت‌ها را در مقیاس اندازه‌گیری می‌کنیم؟ما بایت‌ها را در مقیاس با استفاده از مضرب‌های بایت اندازه‌گیری می‌کنیم، که هر کدام ۱,۰۲۴ برابر بزرگتر از قبلی هستند. در اینجا مقیاس استاندارد در محاسبات آمده است:۱ KB (کیلوبایت) = ۱,۰۲۴ بایت۱ MB (مگابایت) = ۱,۰۲۴ KB = ۱,۰۴۸,۵۷۶ بایت۱ GB (گیگابایت) = ۱,۰۲۴ MB = ۱,۰۷۳,۷۴۱,۸۲۴ بایت۱ TB (ترابایت) = ۱,۰۲۴ GB = ۱,۰۹۹,۵۱۱,۶۲۷,۷۷۶ بایتبه این واقعیت مهم توجه کنید - بایت‌ها با مضرب‌های ۱۰۲۴ مقیاس‌بندی می‌شوند. اگرچه بسیاری از شرکت‌ها هنگام تبلیغ محصولات خود این را ساده‌سازی می‌کنند، به عنوان یک مهندس، باید این را در ذهن داشته باشید. (به همین دلیل است که یک هارد دیسک ۵۰۰ GB ممکن است در کامپیوتر شما فقط حدود ۴۶۵ GB را نشان دهد.)بیت در مقابل بایتمفهوم بیت و بایت مهم است، بنابراین بیایید آنچه را که تاکنون پوشش دادیم خلاصه کنیم. یک بیت کوچک‌ترین واحد داده است و می‌تواند ۰ یا ۱ باشد. یک بایت از ۸ بیت ساخته شده و یک کاراکتر داده را نشان می‌دهد.ما از بیت‌ها برای اندازه‌گیری سرعت شبکه، توان عملیاتی و پهنای باند استفاده می‌کنیم. به عنوان مثال، یک رابط اترنت دارای ظرفیت ۱۰۰ Mbps است.ما از بایت‌ها برای اندازه‌گیری اندازه داده و فضای ذخیره‌سازی دیجیتال استفاده می‌کنیم. به عنوان مثال، یک فایل ۳۰MB است. یک هارد دیسک ۲TB است.پهنای باند و توان عملیاتیحال، بیایید تمرکز خود را به واحدهای اندازه‌گیری مرتبط با شبکه معطوف کنیم. پهنای باند چیست؟پهنای باند (Bandwidth) ظرفیت یک لینک است. این حداکثر مقدار نظری داده است که می‌تواند در یک ثانیه از طریق یک لینک منتقل شود، همانطور که در نمودار زیر نشان داده شده است. پهنای باند با بیت در ثانیه (bps) اندازه‌گیری می‌شود. واحدهای رایج Kbps، Mbps و Gbps هستند.از طرف دیگر، توان عملیاتی (Throughput) نرخ واقعی داده است که مشاهده می‌کنید. این مقدار داده‌ای است که در زندگی واقعی از طریق لینک جریان می‌یابد. توان عملیاتی مانند تعداد خودروهایی است که واقعاً در هر دقیقه در بزرگراه حرکت می‌کنند. تراکم، خطاها و سایر ترافیک‌ها توان عملیاتی را کاهش می‌دهند.توان عملیاتی نیز با بیت در ثانیه اندازه‌گیری می‌شود. اگر یک لینک دارای پهنای باند ۱۰۰ Mbps باشد، اما کاربران زیادی آن را به اشتراک بگذارند، توان عملیاتی شما ممکن است ۲۰ Mbps باشد. توان عملیاتی به هر دو، یعنی لینک و شرایط شبکه، بستگی دارد.سرعت (Speed)ما باید این اصطلاح را نیز در این ترکیب بیاوریم. مردم اغلب اصطلاحات "سرعت" و "پهنای باند" را به جای یکدیگر استفاده می‌کنند. سرعت می‌تواند به معنای سرعت لینک ، توان عملیاتی یا هر دو باشد. مراقب این کلمه باشید. در امتحانات، مشخص کنید که منظور شما از چه نوع سرعتی است. اگر یک سوال می‌گوید "سرعت لینک"، اغلب به معنای پهنای باند پیوند فیزیکی است.تأخیر (Latency) و RTTتأخیر (Latency) زمانی است که طول می‌کشد تا یک بسته از منبع به مقصد برسد. تأخیر (Delay) کلمه دیگری برای زمان صرف شده است. آن‌ها اغلب با هم استفاده می‌شوند.زمان رفت و برگشت (Round-Trip Time - RTT) زمانی است که طول می‌کشد تا داده به مقصد برود و به منبع بازگردد.این اصطلاحات چگونه با هم سازگار می‌شوند؟بیایید از یکی از رایج‌ترین مثال‌هایی استفاده کنیم که در اینترنت منتشر می‌شود. به یک لوله آب فکر کنید، همانطور که در نمودار زیر نشان داده شده است.پهنای باند عرض لوله است — چه مقدار آب می‌تواند در یک لحظه از آن عبور کند.توان عملیاتی مقدار واقعی آبی است که در حال حاضر از طریق لوله جریان دارد.تأخیر مدت زمانی است که طول می‌کشد تا یک قطره آب از یک انتها به انتهای دیگر برود.از دست رفتن بسته (Packet Loss) زمانی است که مقداری آب قبل از رسیدن به انتها از لوله نشت می‌کند.اگر لوله باریک باشد، پهنای باند کم است. اگر لوله تا حدی مسدود شده باشد، توان عملیاتی کاهش می‌یابد. اگر لوله طولانی باشد، تأخیر افزایش می‌یابد. اگر نشتی وجود داشته باشد، از دست رفتن بسته رخ می‌دهد. این یک تمثیل خوب است که می‌تواند به شما کمک کند تا مفاهیم را درک کنید.نکات کلیدیتوضیحات کوتاه اصطلاحات:بیت (Bit): کوچک‌ترین واحد داده (۰ یا ۱).بایت (Byte): ۸ بیت.پهنای باند (Bandwidth): حداکثر ظرفیت داده (bps).توان عملیاتی (Throughput): نرخ واقعی داده به دست آمده (bps).تأخیر/تأخیر (Latency/Delay): زمان لازم برای حرکت داده.لرزش (Jitter): تغییر در تأخیر.از دست رفتن بسته (Packet Loss): بسته‌هایی که به مقصد نمی‌رسند.قوانین سرانگشتی ساده:همیشه بیت‌ها و بایت‌ها را با دقت تبدیل کنید. به یاد داشته باشید ۱ بایت = ۸ بیت.انتظار داشته باشید که توان عملیاتی کمتر از پهنای باند باشد. سربار ناشی از هدرها و پروتکل‌ها سرعت قابل استفاده را کاهش می‌دهد.همیشه با دقت به واحدهای اندازه‌گیری توجه کرده و آن‌ها را بنویسید:b برای بیت‌ها.B برای بایت‌ها.Mbps برای مگابیت در ثانیه.MB برای مگابایت.اشتباه گرفتن آن‌ها باعث اشتباهات بزرگ می‌شود.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Sat, 18 Oct 2025 09:47:46 +0330 https://virgool.io/@Harry_esfandiari/%D9%84%D8%A7%DB%8C%D9%87-%D9%BE%DB%8C%D9%88%D9%86%D8%AF-%D8%AF%D8%A7%D8%AF%D9%87-data-link-layer-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%DA%86%D9%87%D8%A7%D8%B1%D9%85-yee48f2wrikv در این درس، ما لایه دوم مدل OSI را که لایه پیوند داده نامیده می‌شود، بررسی می‌کنیم. وظیفه اصلی آن جابجایی داده‌ها بین دو دستگاه است که به طور مستقیم در لایه فیزیکی به هم متصل شده‌اند. این لایه قالب‌بندی (Framing)، تشخیص خطا (Error Detection)، و آدرس‌دهی MAC را اضافه می‌کند. سپس لایه فیزیکی این داده‌ها را به سیگنال‌های الکتریکی، نوری یا رادیویی تبدیل کرده و از طریق رسانه ارسال می‌نماید.لینک آموزش قسمت سوم: https://vrgl.ir/Pd9kZبرخلاف لایه ۳، که عمدتاً از پروتکل IP استفاده می‌کند، لایه ۲ مجموعه‌ای از پروتکل‌های متنوع را به کار می‌گیرد. این پروتکل‌ها به نوع شبکه فیزیکی مورد استفاده وابسته هستند. برخی از پروتکل‌های رایج لایه ۲ عبارتند از: اترنت (Ethernet) ۸۰۲.۳، شبکه بی‌سیم (Wi-Fi) ۸۰۲.۱۱، PPP (پروتکل نقطه به نقطه)، و HDLC (کنترل پیوند داده سطح بالا).با این حال، پرکاربردترین پروتکل‌های لایه ۲ امروزه، اترنت برای شبکه‌های سیمی و Wi-Fi برای شبکه‌های بی‌سیم هستند. در این دوره، هنگامی که لایه ۲ را بررسی می‌کنیم، پروتکل اترنت را مورد بحث قرار می‌دهیم.هدر اترنت (The Ethernet Header)ابتدا هدر لایه ۲ پروتکل اترنت را بررسی می‌کنیم و سپس در مورد عملکرد اصلی آن بحث خواهیم کرد.لایه پیوند داده یک هدر لایه ۲ و یک دنباله (Trailer) لایه ۲ به بسته‌ای که از لایه شبکه (لایه ۳) دریافت می‌کند، اضافه می‌نماید. این کار یک قاب اترنت (Ethernet Frame) را تشکیل می‌دهد، همانطور که در نمودار زیر نشان داده شده است.فریم شامل اطلاعات مهمی مانند آدرس MAC فرستنده و گیرنده و یک دنباله بررسی فریم (Frame Check Sequence - FCS) است که برای بررسی اینکه آیا فریم به درستی توسط دستگاه مستقیماً متصل دریافت شده است، استفاده می‌شود.حال، برای درک تصویر بزرگتر و نحوه عملکرد قالب‌بندی لایه ۲، تمثیل خود را با خدمات پستی ادامه می‌دهیم.لایه پیوند داده - تمثیل خدمات پستیوقتی نامه‌ای را برای شخصی در کشور دیگر ارسال می‌کنید، آن را در صندوق پستی محلی خود می‌اندازید. نگران نیستید که چگونه تمام مسیر را طی خواهد کرد. در پشت صحنه، سیستم پستی نامه شما را از یک اداره پست به اداره پست دیگر جابجا می‌کند. بین هر جفت اداره، ممکن است از خودرو، کامیون، قطار یا هواپیما استفاده کنند. بسته به روش حمل و نقل، آن‌ها نامه شما را در بسته‌ها یا کانتینرهای موقت مختلف قرار می‌دهند، همانطور که در نمودار زیر نشان داده شده است.لایه پیوند داده به همین شکل کار می‌کند. نحوه جابجایی داده‌ها از یک دستگاه به دستگاه مستقیماً متصل بعدی را مدیریت می‌کند، درست مانند نحوه حرکت یک نامه از یک اداره پست به اداره پست بعدی. این لایه یک «پوشش» اطراف داده (که فریم نامیده می‌شود) اضافه می‌کند تا به تحویل در آن پیوند (Link) خاص کمک کند. هر پیوند در طول مسیر ممکن است از پروتکل لایه ۲ متفاوتی استفاده کند (اترنت، بی‌سیم، PPP، HDLC، رله فریم و غیره)، درست مانند روش‌های حمل و نقل مختلف در سیستم پستی.ایده اصلی این است که:لایه پیوند داده تحویل محلی را مدیریت می‌کند — گام به گام (Hop-by-hop) (از اداره پست به اداره پست). در هر گام، آدرس اداره پست بعدی در بسته موقت وارد می‌شود.لایه شبکه (IP) تحویل انتها به انتها را مدیریت می‌کند — از آدرس خیابان فرستنده تا آدرس خیابان گیرنده (آدرس‌های فرستنده و گیرنده در طول تحویل تغییر نمی‌کنند).قالب‌بندی (Framing)حال، بیایید همان مثال را اما در زمینه شبکه‌سازی ببینیم. عملکرد اصلی لایه پیوند داده، بسته‌بندی بسته‌های لایه شبکه در قالب فریم‌ها است. فریم‌ها ساختاری اضافه می‌کنند تا دستگاه گیرنده بتواند:بداند داده از کجا شروع و به کجا پایان می‌یابد.تشخیص دهد که آیا مشکلی در ارسال رخ داده است.یک فریم را مانند یک بسته حمل و نقل در اطراف بسته IP تصور کنید، با:هدر - آدرس MAC منبع و مقصد.بار مفید (Payload) - داده از لایه ۳ (به عنوان مثال، بسته IP).دنباله (Trailer) - اطلاعات بررسی خطا.بیایید مثالی را ببینیم و با خدمات پستی مقایسه کنیم، همانطور که در بخش بالا نشان داده شده است. فرض کنید کاربر با IP آدرس 10.1.1.1 داده‌ای را به Google ارسال می‌کند. ابتدا داده را در یک بسته کپسوله‌سازی می‌کند. این بسته شامل آدرس IP مقصد google.com است. سپس آن بسته IP درون یک فریم لایه ۲، به عنوان مثال، یک فریم بی‌سیم ۸۰۲.۱۱، قرار می‌گیرد تا بتواند در سراسر شبکه محلی به سمت مسیریاب بی‌سیم محلی حرکت کند.مسیریاب بی‌سیم فریم را دریافت می‌کند، هدر و دنباله لایه ۲ را حذف می‌کند و بسته IP درون آن را نگه می‌دارد. سپس آدرس IP مقصد را بررسی کرده و تصمیم می‌گیرد که بسته را به کجا بفرستد. برای انجام این کار، همان بسته IP را در یک فریم لایه ۲ جدید می‌پیچد. این فریم جدید برای پیوند بعدی ساخته شده است — از آدرس MAC مسیریاب به عنوان منبع و آدرس MAC R2 به عنوان مقصد استفاده می‌کند.در مسیریاب بعدی، همین اتفاق دوباره رخ می‌دهد. فریم حذف می‌شود، بسته IP بررسی می‌شود و سپس برای گام بعدی در یک فریم جدید قرار می‌گیرد. این فرآیند ادامه می‌یابد تا زمانی که بسته به مقصد نهایی، که PC2 است، برسد.هنگامی که سرور Google فریم را دریافت می‌کند، اطلاعات لایه ۲ را حذف کرده و می‌بیند که بسته IP برای آن در نظر گرفته شده است. سپس داده‌ها را به سمت بالای پشته (Stack) به برنامه صحیح ارسال می‌کند.نکته کلیدی: بسته IP از ابتدا تا انتها بدون تغییر باقی می‌ماند، اما فریم لایه ۲ که بسته را احاطه کرده است، در هر مسیریاب جایگزین می‌شود تا با پیوند بین دستگاه‌ها مطابقت داشته باشد.زیرلایه‌های پیوند دادهیک جنبه مهم از لایه پیوند داده این است که به اندازه سایر لایه‌های مدل OSI مستقل نیست. برای جابجایی داده‌ها در یک شبکه، از نزدیک با لایه فیزیکی کار می‌کند. لایه پیوند داده دارای دو زیرلایه است، همانطور که در نمودار زیر نشان داده شده است:زیرلایه کنترل پیوند منطقی (Logical Link Control - LLC).زیرلایه کنترل دسترسی رسانه (Media Access Control - MAC).زیرلایه MAC به ویژه با لایه فیزیکی مرتبط است، زیرا نحوه دسترسی دستگاه‌ها به رسانه فیزیکی و نحوه قرارگیری داده‌ها در شبکه را کنترل می‌کند.لایه فیزیکی با سخت‌افزار واقعی سروکار دارد. چیزهایی مانند کابل‌ها و سیگنال‌های الکتریکی ارسال شده از طریق آن‌ها را تعریف می‌کند. لایه پیوند داده قواعدی را برای نحوه ارسال آن داده‌ها از طریق اتصال فیزیکی اضافه می‌کند.این دو لایه به تحویل داده‌ها از یک دستگاه به دستگاه دیگر کمک می‌کنند. هنگامی که یک کامپیوتر یا مسیریاب می‌خواهد یک بسته IP ارسال کند، از لایه پیوند داده استفاده می‌کند تا آن بسته را به دستگاه بعدی در مسیر برساند.چرا فقط بیت‌ها را به صورت خام ارسال نکنیم؟زیرا بدون ساختار، گیرنده نمی‌داند یک پیام کجا به پایان می‌رسد و پیام بعدی از کجا شروع می‌شود!آدرس‌های MAC چه هستند؟در لایه پیوند داده، دستگاه‌ها برای تحویل داده از آدرس‌های MAC استفاده می‌کنند. هر رابط شبکه، مانند کارت شبکه یا پورت مسیریاب، آدرس MAC منحصربه‌فرد خود را دارد. به عنوان مثال، به نمودار زیر نگاه کنید.PC1 دارای آدرس MAC A است.R1 دارای دو رابط است، یکی با آدرس MAC B و دیگری C.R2 دارای دو رابط است، یکی با آدرس MAC D و دیگری E.SRV1 دارای آدرس MAC F است.به یاد داشته باشید، این آدرس‌های MAC فقط مثال‌های ساختگی هستند. در واقعیت، یک آدرس MAC ۴۸ بیتی است و به صورت هگزادسیمال نوشته می‌شود، مانند 00aa.bbcc.ddee. با این حال، اجازه دهید از این MACهای خیالی کوتاه استفاده کنیم تا تأکید کنیم که یک بسته چگونه در سراسر شبکه از PC1 به سرور SRV1 حرکت می‌کند.هنگامی که دستگاهی مانند PC1 می‌خواهد داده ارسال کند، یک بسته با آدرس‌های IP منبع و مقصد (به رنگ سبز) ایجاد می‌کند. سپس، بسته IP را در یک فریم کپسوله‌سازی می‌کند که شامل آدرس فیزیکی خودش به عنوان MAC منبع و آدرس MAC مقصد مسیریاب گام بعدی در همان شبکه محلی است. در مثال ما، این مسیریاب R1 است.هنگامی که R1 فریم را دریافت می‌کند، هدر و دنباله‌های لایه ۲ را حذف می‌کند، یک تصمیم مسیریابی می‌گیرد و سپس بسته IP را در یک فریم جدید، با یک هدر لایه ۲ جدید، کپسوله‌سازی مجدد می‌کند. MAC منبع را روی آدرس فیزیکی خودش و MAC مقصد را روی آدرس فیزیکی مسیریاب گام بعدی R2 تنظیم می‌کند. این فرآیند در R2 تکرار می‌شود. هدر و دنباله لایه ۲ را حذف می‌کند و بسته IP را در یک فریم جدید کپسوله‌سازی مجدد می‌کند که مقصد آن آدرس MAC سرور SRV1 است. هنگامی که سرور فریم را دریافت می‌کند، هدر و دنباله لایه ۲ را حذف کرده و بسته IP را برای دریافت بار مفید (Payload) خارج از کپسوله‌سازی می‌کند.به چند جنبه ضروری ارتباط توجه کنید:در هر مسیریاب، فریم لایه ۲ حذف و بازسازی می‌شود. به این فرآیند کپسوله‌سازی مجدد فریم (Frame Re-encapsulation) گفته می‌شود.آدرس‌های MAC منبع و مقصد هنگام کپسوله‌سازی مجدد فریم توسط هر مسیریاب تغییر می‌کنند.بسته IP (هدر لایه ۳) در طول کل مسیر شبکه بدون تغییر باقی می‌ماند.اینگونه است که اطلاعات در سراسر شبکه حرکت می‌کند. اطلاعات موجود در هدر لایه ۳ (IPهای منبع و مقصد) در طول کل مسیر ثابت می‌ماند. از آن برای هدایت بسته به گیرنده مورد نظر بار مفید داده استفاده می‌شود. از طرف دیگر، هدر لایه ۲ در هر گام تغییر می‌کند. از اطلاعات موجود در هدر لایه ۲ برای هدایت فریم به مسیریاب گام بعدی که مستقیماً متصل است، استفاده می‌شود.نکته کلیدی: آدرس‌های MAC برای تحویل فریم‌ها در همان شبکه محلی (لایه ۲) استفاده می‌شوند.دنباله لایه ۲ (The Layer 2 trailer)بیایید دوباره به مثال نشان داده شده در نمودار بالا نگاه کنیم. دنباله لایه ۲ قبل از ارسال فریم از طریق شبکه، در انتهای آن اضافه می‌شود. هدف اصلی آن کمک به تشخیص خطا در طول ارسال است. رایج‌ترین بخش دنباله، دنباله بررسی فریم (Frame Check Sequence - FCS) است. FCS حاوی مقداری است که با استفاده از روشی به نام CRC (بررسی افزونگی دوره‌ای یا Cyclic Redundancy Check) از داده‌های موجود در فریم محاسبه می‌شود.هنگامی که فریم به مقصد می‌رسد، دستگاه گیرنده همان محاسبه CRC را انجام می‌دهد. نتیجه را با FCS موجود در دنباله مقایسه می‌کند. اگر مقادیر مطابقت داشته باشند، فرض می‌شود که فریم درست است. اگر مطابقت نداشته باشند، به این معنی است که داده‌ها در طول ارسال فاسد شده‌اند و فریم دور انداخته می‌شود.دنباله لایه ۲ برای تشخیص خطا مهم است، اما برای تصحیح خطا کاربردی ندارد.سوئیچ (Switch) چیست؟اغلب با این توضیح روبرو خواهید شد که سوئیچ یک دستگاه شبکه است که در لایه ۲ مدل OSI فعالیت می‌کند. اما این دقیقاً به چه معناست که سوئیچ‌ها در لایه پیوند داده کار می‌کنند؟این بدان معناست که سوئیچ‌ها فقط هدر لایه ۲ فریم‌ها را می‌خوانند و بر اساس آن اطلاعات تصمیمات سوئیچینگ می‌گیرند، همانطور که در نمودار زیر نشان داده شده است. به همین دلیل است که می‌گوییم آن‌ها در لایه ۲ فعالیت می‌کنند.مسیریاب‌ها شبکه‌های IP مختلف را به هم متصل می‌کنند و بسته‌ها را بین آن‌ها جابجا می‌کنند. آن‌ها آدرس IP مقصد را در هر بسته می‌خوانند و تصمیم می‌گیرند که آن را به کجا ارسال کنند. با استفاده از جداول مسیریابی، بهترین مسیر را انتخاب می‌کنند و بسته را به سمت مقصد هدایت می‌نمایند.اما سوئیچ‌ها در لایه ۲ فعالیت می‌کنند و از آدرس‌های MAC برای هدایت فریم‌ها بین دستگاه‌های موجود در همان شبکه استفاده می‌کنند.نکات کلیدیلایه پیوند داده (لایه ۲) مسئول تحویل محلی بین دستگاه‌های مستقیماً متصل در همان شبکه است.این لایه بسته‌های IP را از لایه ۳ گرفته و آن‌ها را در فریم‌هایی می‌پیچد که شامل یک هدر و یک دنباله هستند.هدر لایه ۲ حاوی آدرس‌های MAC منبع و مقصد است.دنباله لایه ۲ شامل FCS (دنباله بررسی فریم) است که برای تشخیص خطاهای ارسال استفاده می‌شود.برخلاف آدرس‌های IP که در طول کل مسیر شبکه ثابت می‌مانند، آدرس‌های MAC در هر گام تغییر می‌کنند.هر مسیریاب فریم قدیمی را حذف و یک فریم جدید اضافه می‌کند تا بسته IP را به دستگاه بعدی منتقل کند. این فرآیند کپسوله‌سازی مجدد فریم نامیده می‌شود.آدرس‌های MAC فقط در داخل شبکه محلی استفاده می‌شوند.مسیریاب‌ها بسته‌ها را بر اساس آدرس‌های IP هدایت می‌کنند اما برای هر پیوند آن‌ها را در فریم‌های لایه ۲ جدید کپسوله‌سازی مجدد می‌کنند.اترنت رایج‌ترین پروتکل لایه ۲ برای شبکه‌های سیمی است. Wi-Fi 802.11 استاندارد برای شبکه‌های بی‌سیم است.سوئیچ‌ها در لایه ۲ فعالیت می‌کنند و از آدرس‌های MAC برای هدایت فریم‌ها بین دستگاه‌های موجود در همان شبکه استفاده می‌کنند.لایه پیوند داده دارای دو زیرلایه است:کنترل پیوند منطقی (LLC).کنترل دسترسی رسانه (MAC).زیرلایه MAC دسترسی به رسانه فیزیکی را مدیریت می‌کند و از نزدیک با لایه فیزیکی کار می‌کند. مسئول مکانیسم‌هایی مانند CSMA/CA و CSMA/CD است .در نهایت، دنباله در انتهای فریم به تشخیص خطا کمک می‌کند اما آن‌ها را تصحیح نمی‌کند. اگر فریم فاسد شود، به سادگی دور انداخته می‌شود.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Tue, 07 Oct 2025 10:54:25 +0330 https://virgool.io/@Harry_esfandiari/%D9%84%D8%A7%DB%8C%D9%87-%D8%B4%D8%A8%DA%A9%D9%87-network-layer-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D8%B3%D9%88%D9%85-xp4mpiirrucp در این درس، ما لایه سوم مدل OSI را که لایه شبکه نامیده می‌شود، بررسی می‌کنیم. برخلاف سایر لایه‌های OSI که پروتکل‌های متعددی دارند، لایه ۳ عمدتاً به یک پروتکل وابسته است—پروتکل اینترنت (IP)، که به دو نسخه اصلی توسعه یافته است:لینک آموزش قسمت دوم: https://vrgl.ir/wUBrbIPv4 از آدرس‌های ۳۲ بیتی استفاده می‌کند و حدود ۴.۳ میلیارد آدرس IP منحصربه‌فرد را پشتیبانی می‌نماید.IPv6 از آدرس‌های ۱۲۸ بیتی استفاده می‌کند، که امکان تعداد بسیار بیشتری از آدرس‌های IP و بهبود کارایی شبکه را فراهم می‌آورد.اجازه دهید ابتدا هدر (Header) هر پروتکل را بررسی کنیم و سپس تفاوت‌های بین این دو را مطالعه نماییم.پروتکل اینترنت (IP)در چند درس گذشته، به تفصیل درباره لایه‌های کاربرد و انتقال بحث کردیم. دیدیم که لایه کاربرد پروتکل‌های زیادی مانند HTTP، FTP، SSH و DNS دارد. لایه انتقال پروتکل‌های کمتری دارد که دو مورد رایج آن‌ها TCP و UDP هستند. با این حال، لایه شبکه عمدتاً از یک پروتکل استفاده می‌کند—پروتکل اینترنت (IP)، همانطور که در نمودار زیر نشان داده شده است. به همین دلیل، لایه شبکه اغلب لایه IP نامیده می‌شود.لایه شبکه دو مسئولیت اصلی دارد:قرار دادن آدرس‌دهی منطقی در پیام به شکل آدرس‌های IP منبع و مقصد.تحویل پیام به گیرنده مورد نظر بر اساس آدرس IP مقصد.بیایید تمثیل خود را با خدمات پستی دوباره مرور کنیم تا نحوه عملکرد لایه شبکه و تعامل آن با لایه انتقال را توضیح دهیم.لایه شبکه در برابر خدمات پستیتصور کنید دوباره می‌خواهید نامه‌ای برای دوستی که در شهر یا حتی کشور دیگری زندگی می‌کند، ارسال کنید. چه کاری انجام می‌دهید؟ شما فقط نامه را می‌نویسید، آن را در یک پاکت با نام و آدرس فرستنده و گیرنده می‌گذارید و در صندوق پستی خود می‌اندازید. سپس انتظار دارید نامه توسط خدمات پستی به آدرس دوست شما تحویل داده شود. شما نیازی ندارید که مسیر دقیق حرکت نامه را بدانید.از طرف دیگر، خدمات پستی نمی‌داند محتوای داخل پاکت چیست—وظیفه آن تنها تحویل نامه به آدرس گیرنده صحیح است. این سرویس باید بداند که چگونه نامه را از طریق کوتاه‌ترین مسیر به آدرس مقصد مسیریابی کند.حال بیایید روی تفاوت بین شخصی که نامه را می‌فرستد و خدمات پستی تمرکز کنیم. شما به وضوح می‌توانید ببینید که هر کدام نقش و مسئولیت‌های جداگانه‌ای دارند:شخص فرستنده نامه محتوای داخل پاکت را می‌داند. نام فرستنده و گیرنده را می‌داند. با این حال، مسیری را که نامه باید طی کند تا به گیرنده برسد، نمی‌داند. او فقط پاکت را در صندوق پستی می‌اندازد و انتظار دارد خدمات پستی آن را تحویل دهد.خدمات پستی محتوای داخل پاکت را نمی‌داند. فقط آدرس‌های فرستنده و گیرنده را می‌داند. فقط نامه‌ها را می‌پذیرد و آن‌ها را به آدرس مقصدشان تحویل می‌دهد. این سرویس مسیر رسیدن به هر آدرس و کد پستی داخل کشور را می‌داند و همچنین می‌داند نامه‌هایی را که برای کشورهای خارجی هستند، به کجا ارسال کند.این یک تمثیل بسیار نزدیک به تعامل بین لایه‌های انتقال و شبکه مدل OSI است. لایه انتقال مانند فردی است که نامه را می‌فرستد. آن شماره پورت‌های منبع و مقصد را در پیام قرار می‌دهد و آن را برای تحویل به لایه شبکه می‌سپارد. لایه شبکه مسئول جابجایی بسته (Packet) از مسیریاب (Router) به مسیریاب دیگر است تا زمانی که به مقصد برسد. هر مسیریاب مانند یک اداره پست عمل می‌کند، به آدرس مقصد نگاه می‌کند و بسته را هدایت می‌نماید.می‌توانید ببینید که چگونه هر یک از این دو لایه (انتقال و شبکه) نقش و مسئولیت متمایز خود را دارند:لایه انتقال مانند فردی است که نامه را می‌فرستد. نیازی به دانستن نحوه حرکت داده‌ها ندارد—فقط به لایه شبکه اعتماد می‌کند که آن را تحویل خواهد داد.لایه شبکه مانند اداره پست است. با تأیید آدرس‌ها و انتخاب کارآمدترین مسیر، از تحویل بسته اطمینان حاصل می‌کند.هدر IPپروتکل اینترنت (IP) از طریق دو نسخه اصلی تکامل یافته است—IPv4 و IPv6. فعلاً، ما فقط در مورد پروتکل IPv4 صحبت خواهیم کرد، که هنوز هم بیشتر از IPv6 مورد پذیرش است. بیشتر مفاهیم به طور مساوی برای نسخه ۶ نیز اعمال می‌شوند. با این حال، تفاوت‌هایی بین این دو وجود دارد که در دوره آموزشی IPv6 ما درباره آن‌ها بحث می‌کنیم.هدر IPv4 بین ۲۰ تا ۶۰ بایت طول دارد و حاوی اطلاعات کلیدی برای مسیریابی و تحویل بسته‌ها است. همانطور که در نمودار زیر نشان داده شده است، شامل ۱۴ فیلد است. هر یک نقش خاصی دارد و اطلاعات مهمی را در طول مسیر به دستگاه‌های شبکه ارائه می‌دهد.به فیلدهای آدرس IP منبع و مقصد توجه ویژه‌ای داشته باشید. آن‌ها مهم‌ترین فیلدهای این هدر هستند. آن‌ها همان نقش آدرس خیابان روی یک نامه را دارند. آن‌ها به شبکه می‌گویند بسته را به کجا تحویل دهد.آدرس‌های IP چه هستند؟هر دستگاه در شبکه باید یک آدرس IP منحصربه‌فرد داشته باشد، درست مانند هر خانه در یک شهر که آدرس خیابان منحصربه‌فرد خود را دارد. آدرس IP مکان یک دستگاه را شناسایی می‌کند و امکان ارسال و دریافت داده‌ها را به آن و از آن فراهم می‌نماید، مانند یک آدرس خیابان برای کامپیوترها.در هدر لایه ۳ بسته‌ها، دو نوع آدرس IP وجود دارد: منبع و مقصد.آدرس IP مقصد به شبکه می‌گوید بسته به کجا باید برود.آدرس IP منبع به شبکه می‌گوید چه کسی بسته را ایجاد کرده است.آدرس‌های IP را می‌توان در بلوک‌هایی گروه‌بندی کرد، شبیه به نحوه گروه‌بندی آدرس‌های خیابان و کد پستی در محله‌ها، شهرها، ایالت‌ها و کشورها. این گروه‌بندی به مسیریاب‌ها کمک می‌کند تا ترافیک را به طور کارآمدتری مدیریت و هدایت کنند، درست مانند نحوه دسته‌بندی نامه‌ها توسط خدمات پستی بر اساس منطقه به جای هر خانه به صورت جداگانه.مسیریابی IP (IP Routing) چیست؟مسیریاب‌ها از آدرس‌های IP موجود در هدر IP برای هدایت بسته‌ها به مقصد استفاده می‌کنند. این فرآیند مسیریابی IP نامیده می‌شود و مشابه نحوه عملکرد خدمات پستی است.بیایید به مثال ارسال نامه‌هایمان برگردیم. یک اداره پست در نیویورک نیازی به دانستن آدرس هر خیابان و هر خانه در کالیفرنیا ندارد. به سادگی نیاز دارد که بداند نامه‌ای که مقصد آن لس آنجلس است، باید به اداره پست مرکزی لس آنجلس ارسال شود، که آن اداره می‌داند خیابان و کد پستی دقیق در منطقه آن‌ها کجاست.آدرس‌های IP مانند کد پستی و آدرس‌های خیابان عمل می‌کنند. یک مسیریاب در یک قسمت از شبکه نیازی به دانستن مکان هر آدرس جداگانه ندارد. تنها باید بداند که بلوک‌های فضای آدرس در کجا قرار دارند. به عنوان مثال، R1 می‌داند که بسته‌هایی که مقصدشان آدرس‌های IP با شروع 1.*.*.* است، باید به R4 ارسال شوند، همانطور که در نمودار زیر نشان داده شده است.هر مسیریاب سهم خود را انجام می‌دهد، درست مانند هر اداره پست. R1 نیازی به دانستن کل مسیر ندارد، درست مانند فردی که نامه‌ای را می‌فرستد که نیازی به دانستن نحوه حرکت نامه او از طریق پست ندارد.به طور خلاصه، IP و لایه شبکه مسئول تحویل داده‌ها بین دستگاه‌ها در شبکه‌ها هستند، با استفاده از آدرس‌ها و مسیریابی، درست مانند نحوه تحویل نامه‌ها توسط سیستم پستی.مسیریاب (Router) چیست؟اغلب با این توضیح روبرو خواهید شد که مسیریاب یک دستگاه شبکه است که در لایه ۳ مدل OSI فعالیت می‌کند. اما این دقیقاً به چه معناست که مسیریاب‌ها در لایه شبکه کار می‌کنند؟این بدان معناست که مسیریاب‌ها هدر لایه ۳ بسته‌ها را می‌خوانند و بر اساس آن اطلاعات تصمیمات هدایت (Forwarding Decisions) می‌گیرند، همانطور که در نمودار زیر نشان داده شده است. به همین دلیل است که می‌گوییم آن‌ها در لایه ۳ فعالیت می‌کنند.مسیریاب‌ها شبکه‌های IP مختلف را به هم متصل می‌کنند و بسته‌ها را بین آن‌ها جابجا می‌کنند. آن‌ها آدرس IP مقصد را در هر بسته می‌خوانند و تصمیم می‌گیرند که آن را به کجا ارسال کنند. با استفاده از جداول مسیریابی (Routing Tables)، آن‌ها بهترین مسیر را انتخاب می‌کنند و بسته را به سمت مقصد هدایت می‌نمایند.نکات کلیدیلایه شبکه (لایه ۳) مدل OSI عمدتاً مسئول مسیریابی و تحویل بسته‌ها در سراسر شبکه‌ها با استفاده از آدرس‌های IP است.برخلاف سایر لایه‌ها که از پروتکل‌های زیادی استفاده می‌کنند، لایه ۳ در درجه اول از یک پروتکل استفاده می‌کند – IP (پروتکل اینترنت)، که دو نسخه دارد: IPv4 و IPv6.IPv4 از آدرس‌های ۳۲ بیتی استفاده می‌کند و حدود ۴.۳ میلیارد آدرس IP منحصربه‌فرد را پشتیبانی می‌نماید.IPv6 از آدرس‌های ۱۲۸ بیتی استفاده می‌کند، که امکان تعداد بسیار بیشتری از دستگاه‌ها و کارایی بهتر در مسیریابی را فراهم می‌کند.هدر IP حاوی اطلاعات حیاتی از جمله آدرس‌های IP منبع و مقصد است، که مانند آدرس‌های خیابان روی یک نامه هستند—بسته را به مقصد هدایت می‌کنند.هر دستگاه در یک شبکه باید یک آدرس IP منحصربه‌فرد داشته باشد، درست مانند هر خانه در یک شهر که آدرس خیابان منحصربه‌فردی دارد.آدرس‌های IP به بلوک‌ها (زیرشبکه‌ها) گروه‌بندی می‌شوند، شبیه به نحوه گروه‌بندی آدرس‌های خیابان و کد پستی در محله‌ها و شهرها. این کار به مسیریاب‌ها کمک می‌کند تا ترافیک را به طور کارآمد هدایت کنند.مسیریاب‌ها (Routers) مانند ادارات پست عمل می‌کنند. آن‌ها نیازی به دانستن آدرس نهایی ندارند—فقط بر اساس بلوک‌های آدرس می‌دانند که بسته‌ها را در مرحله بعد به کجا ارسال کنند.مسیریابی IP فرآیند هدایت بسته‌ها بر اساس آدرس IP مقصد آن‌ها و انتخاب بهترین مسیر از طریق مسیریاب‌ها است.لایه انتقال (مانند فرستنده یک نامه) داده‌ها و پورت‌ها را مدیریت می‌کند اما برای تحویل آن به لایه شبکه (مانند سیستم پستی) متکی است.حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Sat, 04 Oct 2025 18:15:38 +0330 https://virgool.io/@Harry_esfandiari/%D9%84%D8%A7%DB%8C%D9%87-%D8%A7%D9%86%D8%AA%D9%82%D8%A7%D9%84-transport-layer-%D9%85%D8%A8%D8%A7%D9%86%DB%8C-%D8%B4%D8%A8%DA%A9%D9%87-%D9%82%D8%B3%D9%85%D8%AA-%D8%AF%D9%88%D9%85-u6ncvxpmna7a در این درس، ما لایه چهارم مدل OSI را که لایه انتقال نامیده می‌شود، بررسی می‌کنیم. چندین پروتکل در لایه انتقال فعالیت می‌کنند. با این حال، پرکاربردترین آن‌ها پروتکل‌های TCP و UDP هستند.لینک آموزش قسمت اول : https://vrgl.ir/wUBrbTCP زمانی استفاده می‌شود که قابلیت اطمینان و ترتیب داده‌ها اهمیت دارد.UDP زمانی استفاده می‌شود که سرعت و تأخیر کم مهم‌تر از تحویل کامل و بی‌نقص باشد.شکل ۱. لایه انتقال.اجازه دهید ابتدا هدر (Header) هر پروتکل را بررسی کنیم و سپس تفاوت‌های بین این دو را مطالعه نماییم.هدر لایه ۴هر پروتکل در مدل OSI هدر مخصوص به خود را دارد که در طی فرآیند کپسوله‌سازی داده‌ها (Data Encapsulation) روی بسته قرار می‌دهد. از آنجایی که فرآیند کپسوله‌سازی داده‌ها از بالا (لایه ۷) به پایین (لایه ۱) آغاز می‌شود، لایه کاربرد تعیین می‌کند که آیا TCP یا UDP در لایه انتقال استفاده خواهد شد. بنابراین، بسته، بسته به نوع کاربرد، با هدر TCP یا UDP کپسوله‌سازی می‌شود.نکته کلیدی: هر لایه از مدل OSI به لایه بالاتر از خود خدمت‌رسانی می‌کند. لایه کاربرد به کاربر خدمت‌رسانی می‌کند.بیایید هر هدر را با جزئیات بررسی کنیم. آگاهی از محتوای هر هدر لایه ۴ بسیار مهم است، زیرا آن‌ها اساس تمام فناوری‌های شبکه‌ای هستند که شما در مسیر صدور گواهینامه‌های CCNA/CCNP/CCIE خواهید آموخت.هدر TCPهدر TCP حاوی اطلاعاتی است که برای اطمینان از تحویل مطمئن داده‌ها استفاده می‌شود. این هدر شامل فیلدهای زیر است، همانطور که در نمودار زیر نشان داده شده است:پورت‌های منبع و مقصد (برای شناسایی کاربردها/برنامه‌ها).شماره‌های توالی (Sequence) و تأیید دریافت (Acknowledgment) (برای ردیابی و تأیید دریافت داده‌ها).فلگ‌ها یا پرچم‌ها (مانند SYN، ACK، و FIN) که وضعیت اتصال را کنترل می‌کنند.اندازه پنجره (Window size) برای کنترل جریان (Flow Control).Checksum (مجموع کنترلی) برای بررسی خطا.فیلدهای اختیاری (Optional) برای ویژگی‌های اضافی.شکل ۲. هدر TCP.TCP فیلدهای زیادی در هدر دارد زیرا برای مدیریت اتصال بین دو میزبان و اطمینان از تحویل مطمئن داده‌ها طراحی شده است. به همین دلیل به آن پروتکل اتصال‌گرا (connection-oriented) گفته می‌شود. هدر پرکاربرد TCP ۲۰ بایت طول دارد، اما اگر از گزینه‌های اختیاری استفاده شود، می‌تواند تا ۶۰ بایت نیز افزایش یابد.هدر UDPهدر UDP بسیار ساده‌تر است. اندازه ثابتی معادل ۸ بایت دارد و تنها شامل چهار فیلد است، همانطور که در زیر نشان داده شده است:پورت‌های منبع و مقصد (برای شناسایی کاربردها/برنامه‌ها).طول (اندازه کلی هدر UDP و داده).Checksum (مجموع کنترلی) (برای بررسی ابتدایی خطا استفاده می‌شود).شکل ۳. هدر UDP.UDP یک پروتکل بدون اتصال (connectionless) است. هدر آن تنها چهار فیلد دارد که آن را سریع‌تر و کارآمدتر از TCP می‌کند. با این حال، هیچ گونه قابلیت اطمینان داده را فراهم نمی‌کند، زیرا فیلدهای هدر لازم (شماره توالی و شماره تأیید دریافت) برای تأیید دریافت داده را ندارد.UDP برای کاربردهایی استفاده می‌شود که سرعت مهم‌تر از قابلیت اطمینان است، مانند پخش زنده ویدئو، بازی‌های آنلاین، و سایر خدمات بلادرنگ (Real-Time).عملکردهای اصلی لایه انتقال چیست؟حال که هدرهای TCP و UDP را دیدیم، اجازه دهید درباره عملکرد اصلی اطلاعات موجود در هدر لایه ۴ بحث کنیم.مالتی‌پلکسینگ (Multiplexing)اول و مهم‌تر از همه، از هدر لایه انتقال برای شناسایی کاربردی که داده‌ها را ارسال و دریافت می‌کند در شبکه استفاده می‌شود. این وظیفه پورت‌های منبع و مقصد است.پورت منبع مشخص می‌کند که کدام برنامه در دستگاه فرستنده، داده‌ها را ایجاد کرده است.پورت مقصد به دستگاه گیرنده می‌گوید که کدام برنامه باید داده‌ها را دریافت کند.به عنوان مثال، به نمودار زیر نگاه کنید. سرور چندین برنامه را به طور همزمان اجرا می‌کند و به دریافت بسته‌ها ادامه می‌دهد. همه بسته‌ها هدرهای MAC (لایه ۲) و IP (لایه ۳) یکسانی دارند. به همین دلیل، سرور نمی‌تواند صرفاً با خواندن اطلاعات لایه ۲ و ۳ تشخیص دهد که کدام برنامه باید داده‌های هر بسته را دریافت کند. اینجاست که اطلاعات موجود در هدر انتقال وارد عمل می‌شود.شکل ۴. مالتی‌پلکسینگ بر اساس پورت‌ها.هنگامی که بسته‌ها به یک دستگاه می‌رسند، شماره پورت‌های موجود در هدر لایه ۴ به دستگاه کمک می‌کند تا تعیین کند کدام برنامه باید داده‌ها را دریافت کند. هر فرآیندی که روی سرور اجرا می‌شود، به دنبال داده‌های ورودی در یک پورت TCP/UDP خاص «گوش می‌دهد»، همانطور که در خروجی زیر نشان داده شده است. به عنوان مثال، سرور وب روی پورت ۸۰ گوش می‌دهد، در حالی که سرور FTP روی پورت ۲۱ گوش می‌دهد.Microsoft Windows [Version 11.0.25621.5339] (c) Microsoft Corporation. All rights reserved. C:\> netstat -a -n Active Connections Proto Local Address Foreign Address State TCP 1.2.3.4:21 0.0.0.0:0 LISTENING TCP 1.2.3.4:80 0.0.0.0:0 LISTENING TCP 1.2.3.4:443 0.0.0.0:0 LISTENING UDP 1.2.3.4:6703 0.0.0.0:0 LISTENING در طول فرآیند خارج‌سازی کپسوله (Decapsulation)، هنگامی که سیستم عامل با سگمنت TCP با پورت مقصد ۸۰ روبرو می‌شود، بلافاصله تشخیص می‌دهد که باید داده‌ها را به سرور وبی که روی پورت ۸۰ گوش می‌دهد، تحویل دهد.اتصال انتها به انتها (End-to-End connectivity)یکی دیگر از عملکردهای ضروری لایه انتقال، فراهم کردن خدمات اتصال انتها به انتها و قابلیت اطمینان برای پروتکل‌های لایه‌های بالاتر است. TCP پروتکل لایه انتقالی است که این وظایف را انجام می‌دهد.برقراری یک جلسه TCP (Establishing a TCP session)TCP با برقراری یک sessionTCP که وضعیت اتصال را همیشه حفظ می‌کند، اتصال انتها به انتها را فراهم می‌نماید. این کار در سه مرحله انجام می‌شود که به آن دست‌دهی سه طرفه (three-way handshake) می‌گویند:گام ۱: کلاینتی که می‌خواهد اتصال را آغاز کند، یک پیام TCP با فلگ SYN تنظیم شده ارسال می‌کند. این یعنی: «من می‌خواهم یک اتصال را شروع کنم.»گام ۲: سرور با یک پیام TCP پاسخ می‌دهد که شامل فلگ‌های SYN و ACK است. این یعنی: «درخواستت را دریافت کردم و من هم آماده‌ام.»گام ۳: کلاینت یک پیام با فلگ ACK ارسال می‌کند تا تأیید کند. این یعنی: «ما متصل شدیم.»پس از انجام این سه مرحله، دو میزبان می‌توانند ارسال و دریافت داده‌ها را آغاز کنند. این فرآیند در نمودار زیر نشان داده شده است.شکل ۵. برقراری یک جلسه TCP.توجه داشته باشید که هر طرف اتصال از یک سوکت (Socket) استفاده می‌کند، که ترکیبی از آدرس IP و شماره پورت است. سوکت به میزبان کمک می‌کند تا دقیقاً تعیین کند داده‌ها باید به کدام برنامه ارسال یا از کدام برنامه دریافت شوند. به عنوان مثال، یک مرورگر وب از سوکت 10.1.1.1:53000 برای اتصال به یک سرور وب در سوکت 1.2.3.4:80 استفاده می‌کند.اتصال TCP همیشه بین دو سوکت برقرار می‌شود. به عنوان مثال، جلسه TCP بین کلاینت و سرور نشان داده شده در نمودار بالا را می‌توان به طور منحصر به فرد به صورت زیر شناسایی کرد:Microsoft Windows [Version 11.0.25621.5329] (c) Microsoft Corporation. All rights reserved. C:\> netstat -a -n Active Connections Proto Local Address Foreign Address State TCP 10.1.1.1:53000 1.2.3.4:80 ESTABLISHED در اینجا به یک مفهوم مهم توجه کنید. بیشتر ارتباطات اینترنتی از مدل کلاینت-سرور استفاده می‌کنند.کلاینت برنامه‌ای است که یک درخواست ارسال می‌کند. به عنوان مثال، یک مرورگر وب درخواست یک صفحه وب را دارد. توجه داشته باشید که کلاینت از یک شماره پورت دینامیک که به صورت تصادفی اختصاص داده شده است، استفاده می‌کند.سرور برنامه‌ای است که منتظر درخواست‌ها می‌ماند و خدماتی ارائه می‌دهد. به عنوان مثال، یک سرور وب صفحه وب درخواست شده را باز می‌فرستد. توجه داشته باشید که سرور از یک شماره پورت شناخته شده (Well-Known Port) استفاده می‌کند.مفهوم شماره پورت‌ها و سوکت‌ها این امکان را فراهم می‌کند که چندین برنامه بتوانند به طور همزمان و بدون اینکه در لایه شبکه با یکدیگر ترکیب شوند، فعالیت کنند. هر دو پروتکل TCP و UDP از این ایده استفاده می‌کنند.فراهم کردن قابلیت اطمینان (بازیابی خطای TCP)یکی دیگر از عملکردهای اساسی لایه انتقال، فراهم کردن تحویل مطمئن داده‌ها است. TCP بازیابی خطا را فراهم می‌کند تا به پروتکل‌های کاربردی، مانند HTTP و FTP، کمک کند به طور قابل اعتماد کار کنند.به عنوان مثال، فرض کنید یک کلاینت از یک مرورگر وب برای بازیابی صفحه اصلی از یک سرور وب از طریق HTTP استفاده می‌کند، همانطور که در نمودار زیر نشان داده شده است. بیایید قدم به قدم فرآیند را بررسی کنیم. ابتدا، کلاینت با آغاز یک دست‌دهی سه طرفه، یک جلسه TCP با سرور برقرار می‌کند. پس از برقراری جلسه TCP، کلاینت یک درخواست HTTP GET برای بازیابی صفحه اصلی سرور وب ارسال می‌کند. سپس سرور کل صفحه وب را از طریق HTTP ارسال می‌کند. اما اگر پاسخ سرور—یعنی خود صفحه وب—در طول انتقال گم شود چه؟ صفحه وب در مرورگر کلاینت نمایش داده نخواهد شد.شکل ۶. شماره‌های توالی TCP.به همین دلیل، TCP یک روش داخلی دارد تا مطمئن شود داده‌ها با موفقیت تحویل داده می‌شوند. بسیاری از برنامه‌ها به تحویل مطمئن نیاز دارند، بنابراین TCP با یک سیستم بازیابی خطا طراحی شده است. این کار را با استفاده از شماره‌های توالی (Sequence Numbers - SEQ) و تأییدیه‌ها (Acknowledgments - ACKs) انجام می‌دهد.در نمودار بالا، سرور صفحه وب را در سه سگمنت TCP به کلاینت می‌فرستد که هر کدام با یک شماره توالی (SEQ) برچسب‌گذاری شده‌اند. کلاینت سگمنت‌های ۱ و ۳ را دریافت می‌کند، اما سگمنت ۲ در شبکه گم می‌شود. لایه TCP کلاینت متوجه می‌شود که سگمنت ۲ مفقود است (زیرا ۱ و ۳ را دریافت کرده اما ۲ را نه). کلاینت پیامی به سرور می‌فرستد و از آن می‌خواهد سگمنت ۲ را دوباره ارسال کند.این فرآیند TCP را قادر می‌سازد تا داده‌های مفقود را شناسایی کرده و درخواست ارسال مجدد کند، و بدین ترتیب مطمئن می‌شود که برنامه (مانند مرورگر وب) تمام اطلاعات لازم را دریافت می‌کند.همکاری لایه‌های انتقال و شبکهدر نهایت، بیایید به تصویر بزرگتر نگاه کنیم و احتمالاً برخی از ابهاماتی را که ممکن است دانش‌آموزان داشته باشند، روشن کنیم. دیدیم که لایه انتقال (TCP) اتصال انتها به انتها را پیگیری می‌کند. با این حال، TCP بر نحوه حرکت اطلاعات از طریق شبکه به سمت میزبان راه دور تأثیری نمی‌گذارد.لایه شبکه (IP) مسئول تحویل واقعی بسته‌ها از مبدأ به مقصد است. این اطلاعات موجود در هدر لایه ۳ (آدرس‌های IP منبع و مقصد) است که بسته‌ها را در شبکه هدایت می‌کند. آدرس‌های IP منبع و مقصد مانند آدرس‌های فرستنده و گیرنده روی نامه‌ای هستند که از طریق خدمات پستی ارسال می‌شود - آن‌ها به خدمات پستی می‌گویند نامه از کجا آمده و به کجا باید برود. آدرس‌های IP نیز همین کار را می‌کنند؛ آن‌ها به شبکه می‌گویند بسته از کجا آمده و به کجا باید تحویل داده شود.شکل ۷. همکاری لایه‌های انتقال و شبکه.به طور خلاصه، لایه انتقال شامل اطلاعاتی درباره اینکه کدام برنامه داده‌ها را ارسال کرده و کدام برنامه در انتهای راه دور باید آن را دریافت کند، است. علاوه بر این، اگر از TCP استفاده شود، لایه انتقال وضعیت اتصال (اینکه آیا طرف راه دور می‌خواهد ارتباط برقرار کند) و قابلیت اطمینان (با استفاده از شماره‌های توالی و تأییدیه‌ها) را حفظ می‌کند.لایه انتقال فرض می‌کند که لایه شبکه بسته‌ها را به انتهای راه دور تحویل می‌دهد، همانطور که در درس بعدی با جزئیات بیشتری خواهیم دید.نکات کلیدی – لایه انتقال (مدل OSI)مهم‌ترین چیزی که افراد باید درک کنند و به خاطر بسپارند این است که چه اطلاعاتی در لایه انتقال مدل OSI قرار داده می‌شود و هدف از آن اطلاعات چیست.اول و مهم‌تر از همه، لایه انتقال (هم TCP و هم UDP) شماره پورت‌های منبع و مقصد را وارد می‌کند.شماره پورت منبع نشان می‌دهد که کدام برنامه داده‌ها را ارسال کرده است.شماره پورت مقصد نشان می‌دهد که کدام برنامه در انتهای راه دور باید داده‌ها را دریافت کند.اگر لایه کاربرد از UDP برای انتقال استفاده کند، اساساً همه چیز همین است. در هدر UDP، به جز شماره پورت‌ها، اطلاعات مهم دیگری وجود ندارد.اگر لایه کاربرد از TCP برای انتقال استفاده کند، لایه انتقال همچنین شماره‌های توالی، شماره‌های تأیید دریافت، و فلگ‌ها را در کنار شماره پورت‌ها وارد می‌کند. از شماره‌های توالی و تأییدیه‌ها برای تحویل مطمئن و ترتیب‌بندی داده‌ها استفاده می‌شود.شماره‌های توالی (SEQ) هر سگمنت ارسال شده را برچسب‌گذاری می‌کنند، بنابراین گیرنده ترتیب داده‌ها را می‌داند.تأییدیه‌ها (ACKs) توسط گیرنده بازگردانده می‌شوند تا تأیید کنند کدام سگمنت رسیده است. اگر داده‌ای مفقود یا نامنظم باشد، TCP می‌تواند آن را با استفاده از شماره‌های توالی تشخیص دهد و درخواست ارسال مجدد کند.فلگ‌های TCP بیت‌های کنترلی در هدر TCP هستند که به مدیریت وضعیت و رفتار اتصال TCP کمک می‌کنند. هر فلگ نقش خاصی دارد:SYN – شروع یک اتصال.ACK – تأیید دریافت داده‌ها.FIN – پایان دادن به یک اتصال.RST – بازنشانی (ریست) یک اتصال.PSH – به گیرنده می‌گوید که داده‌ها را فوراً پردازش کند.URG – داده‌ها را به عنوان فوری علامت‌گذاری می‌کند. از این فلگ‌ها در ترکیب‌های مختلف برای برقراری، مدیریت، و بستن اتصالات TCP استفاده می‌شود.با در نظر داشتن این نکات اساسی، می‌توانیم همه چیزهایی را که تاکنون بحث کردیم به شرح زیر خلاصه کنیم:TCP (Transmission Control Protocol):قابل اطمینان (Reliable): تضمین می‌کند که همه داده‌ها به ترتیب می‌رسند.با استفاده از دست‌دهی ۳ طرفه و فلگ‌های SYN و ACK یک جلسه TCP برقرار می‌کند.برای بازیابی خطا از شماره‌های توالی (SEQ) و تأییدیه‌ها (ACKs) استفاده می‌کند.به دلیل ویژگی‌های افزوده شده قابلیت اطمینان و اندازه هدر، کندتر است.معمولاً برای وب (HTTP/HTTPS)، ایمیل، و انتقال فایل استفاده می‌شود.UDP (User Datagram Protocol):غیرقابل اطمینان (Unreliable): تحویل یا ترتیب را تضمین نمی‌کند.نیاز به تنظیم اتصال ندارد، بنابراین سریع‌تر است.فاقد شماره توالی یا تأییدیه‌ها است.اغلب برای پخش صدا/ویدئو (Streaming)، بازی‌های آنلاین و سایر خدمات بلادرنگ استفاده می‌شود.برای کاربردهایی که به سرعت بیش از قابلیت اطمینان نیاز دارند، مناسب است.یک سوکت از یک آدرس IP و یک شماره پورت تشکیل شده است. یک جفت سوکت یک اتصال منحصر به فرد TCP را شناسایی می‌کند. بیشتر برنامه‌های اینترنتی از مدل کلاینت-سرور استفاده می‌کنند:کلاینت اتصال را آغاز می‌کند و درخواست برخی منابع را دارد.سرور منابع درخواست شده را فراهم می‌کند.کلاینت از یک شماره پورت دینامیک تصادفی استفاده می‌کند. به عنوان مثال، یک تب مرورگر وب از پورت TCP 61000 برای آغاز اتصال به google.com استفاده می‌کند.سرور از یک شماره پورت شناخته شده که توسط IANA ثبت شده است، استفاده می‌کند. به عنوان مثال، یک سرور وب روی پورت‌های ۸۰ و ۴۴۳ به دنبال اتصال گوش می‌دهد.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Thu, 02 Oct 2025 10:10:23 +0330 https://virgool.io/@Harry_esfandiari/%D8%A2%D8%B4%D9%86%D8%A7%DB%8C%DB%8C-%D8%A8%D8%A7-%D9%85%D8%AF%D9%84-osi-ou8knfmrukx9 در این درس، توضیح می‌دهیم که مدل OSI به زبان ساده و قابل فهم چیست. این مدل یکی از مهم‌ترین مفاهیم در شبکه است، بنابراین آن را به بخش‌های کوچکتر تقسیم می‌کنیم تا به شما کمک کنیم دقیقاً هدف آن را درک کنید.کپسوله‌سازی داده (Data Encapsulation) چیست؟برای درک مدل OSI، ابتدا باید بفهمید که کپسوله‌سازی داده چیست. بیایید مثال زیر را بررسی کنیم. فرض کنید می‌خواهید نامه‌ای برای دوستی که در شهر دیگری زندگی می‌کند ارسال کنید تا او را به عروسی خود دعوت کنید. اگر نامه را بدون پاکت، بدون هیچ اطلاعاتی مانند نام فرستنده و گیرنده، آدرس و کد پستی ارسال کنید، چه می‌شود؟ اگر فقط نامه را بنویسید و آن را در صندوق پستی اداره پست بیندازید، چه می‌شود؟شکل ۱. مثال کپسوله‌سازی داده با یک نامه.بیشتر خوانندگان این دوره CCNA آنقدر جوان هستند که هرگز در زندگی خود یک نامه فیزیکی ارسال نکرده‌اند. آن‌ها در عصر دیجیتال زندگی می‌کنند و با ایمیل‌ها و پیام‌های متنی فوری بزرگ شده‌اند. با این حال، با کمال تعجب، همه مفهوم خدمات پستی و ارسال نامه را درک می‌کنند.بیایید دو مثال زیر را بررسی کنیم: یک نامه بدون پاکت (سمت چپ) و نامه‌ای که داخل پاکت با تمام اطلاعات لازم در روی آن قرار داده شده است (سمت راست). اگر این دو را در صندوق پستی خود قرار دهید، کدام یک به گیرنده مورد نظر خود می‌رسد و کدام یک نمی‌رسد؟شکل ۲. دو نامه، با و بدون پاکت.بسیار واضح است، درست است؟ اگر نامه‌ای را بدون پاکت و بدون اطلاعات اضافی مانند جزئیات فرستنده و گیرنده ارسال کنید، سرویس پستی نمی‌داند آن را کجا تحویل دهد. نامه به دست هیچ‌کس نخواهد رسید. دوست شما به عروسی شما نخواهد آمد.برای اطمینان از اینکه اطلاعات (نامه) به گیرنده صحیح تحویل داده می‌شود، باید اطلاعات اضافی را در کنار نامه قرار دهیم تا سرویس پستی بداند چگونه آن را مدیریت کند (ما داده‌ها را کپسوله‌سازی می‌کنیم).شکل ۳. مثال کپسوله‌سازی داده، نامه‌ای با پاکت.پاکتی که نامه را کپسوله‌سازی می‌کند، حاوی اطلاعات زیر است که به سرویس پستی کمک می‌کند نامه را به درستی تحویل دهد:تمبر و کارت پستالنام فرستندهآدرس فرستندهکد پستی فرستندهنام گیرندهآدرس گیرندهکد پستی گیرندهبه صورت اختیاری، پاکت ممکن است شامل موارد زیر باشد:آدرس بازگشت (در صورت متفاوت بودن با آدرس فرستنده)مهر تاریخ و زمانعنوان یا خط ارجاع در داخل نامه (در نامه‌های رسمی)ایده اصلی این است که ارسال نامه برابر است با ارسال اطلاعات با استفاده از خدمات پستی به عنوان واسطه. ارسال ایمیل نیز به همین صورت است—این همچنان یک فرایند ارسال اطلاعات است، اما از طریق شبکه کامپیوتری. نکته کلیدی این است که در هر دو مورد، شما نمی‌توانید فقط اطلاعات را به تنهایی ارسال کنید؛ باید جزئیات اضافی را اضافه کنید که به واسطه حمل و نقل بگوید چگونه اطلاعات را تحویل دهد.کپسوله‌سازی داده در شبکهشبکه‌های کامپیوتری عملکردی شبیه به خدمات پستی دارند. تفاوت در این است که آن‌ها اطلاعات دیجیتال را به جای نامه‌های کاغذی جابه‌جا می‌کنند. با این حال، شما نمی‌توانید فقط داده‌های خام را به شبکه بفرستید و انتظار داشته باشید به مقصد برسد، درست همان‌طور که نمی‌توانید یک نامه ساده را در صندوق پستی بیندازید و انتظار تحویل داشته باشید. داده‌ها ابتدا باید با اطلاعات اضافی کپسوله‌سازی شوند، همان‌طور که در نمودار زیر نشان داده شده است.شکل ۴. داده‌های کپسوله‌شده قبل از ارسال در شبکه.تصور کنید دستگاهی (مانند لپ‌تاپ شما) می‌خواهد داده‌ها را به شبکه بفرستد. فرض کنید در حال ارسال یک پیام فیس‌بوک به یک دوست هستید. هنگامی که پیام را تایپ می‌کنید و دکمه Enter را می‌زنید، داده‌ها از مرورگر وب (جایی که فیس‌بوک را باز کرده‌اید)، به سیستم عامل (OS)، به کارت رابط شبکه (NIC)، و سپس به شبکه خارج می‌شوند. بسیاری از فرآیندها اطلاعات اضافی خود را به نام هدرها اضافه می‌کنند. این هدرها حاوی جزئیات مهمی هستند، مانند:این داده‌ها برای چه کسی است.از کجا آمده است.چگونه باید تحویل داده شود.چه نوع داده‌ای است.در پایان، پیام ساده فیس‌بوک "سلام! چه خبر؟" شبیه یک بسته شبکه (network packet) می‌شود که با چندین هدر کپسوله‌سازی شده است، همان‌طور که در نمودار زیر نشان داده شده است.شکل ۵. کپسوله‌سازی داده یک پیام ساده.این اطلاعات اضافه شده به دستگاه‌های شبکه (مانند روترها و سوئیچ‌ها) کمک می‌کند تا نحوه مدیریت و ارسال صحیح داده‌ها را به گیرنده درست - یکی از سرورهای فیس‌بوک - درک کنند.کپسوله‌سازی فرایند افزودن اطلاعات اضافی به داده (payload) است تا دستگاه‌های شبکه بدانند پیام را کجا تحویل دهند.در مقصد، داده‌ها تحت فرآیند معکوس حذف هدرها قرار می‌گیرند، قبل از اینکه به برنامه کاربردی (اپلیکیشن) صحیح ارائه شوند.چرا به مدل OSI نیاز داریم؟فرایند کپسوله‌سازی داده ساده نیست. این شامل بسیاری از پروتکل‌ها، هدرها و مراحل مختلف است. هر بخش از یک شبکه - مانند برنامه‌های کاربردی، دستگاه‌های شبکه و واسط‌های فیزیکی - باید بداند با داده‌ها چه کار کند و چگونه آن‌ها را به درستی مدیریت کند.در روزهای اولیه شبکه‌سازی، شرکت‌های مختلف سیستم‌های خود را با استفاده از روش‌های کپسوله‌سازی خاص خود ساختند. این سیستم‌ها اغلب نمی‌توانستند با هم کار کنند زیرا از قوانین یکسانی پیروی نمی‌کردند. به عنوان مثال، ممکن بود یک تولیدکننده، هدرهای خاصی را با ترتیبی منحصربه‌فرد اضافه کند که دستگاه تولیدکننده دیگری قادر به درک آن نباشد. این امر ارسال داده بین شبکه‌های مختلف یا حتی بین دستگاه‌های یک شرکت را دشوار می‌کرد.علاوه بر این، برای دستیابی به سرعت‌های فوق‌العاده بالا در شبکه‌های امروزی، دستگاه‌های شبکه باید اطلاعات مورد نیاز خود را به طور دقیق پیدا کنند، بدون اینکه هدرهایی که نامرتبط هستند را بررسی کنند، همان‌طور که در نمودار زیر نشان داده شده است.شکل ۶. چرا به مدل OSI نیاز داریم؟برای حل این مشکل، مهندسان متوجه شدند که این صنعت به یک چارچوب استاندارد نیاز دارد. آن‌ها به یک روش مشترک برای توصیف نحوه آماده‌سازی، ارسال و دریافت داده‌ها نیاز داشتند. اینجا جایی است که مدل OSI وارد عمل می‌شود.مدل OSI یک ساختار گام‌به‌گام برای نحوه عملکرد کپسوله‌سازی داده ارائه می‌دهد:هر لایه یک وظیفه مشخص دارد، مانند افزودن آدرس‌های مبدأ و مقصد یا بررسی خطاها.هر لایه از پروتکل‌های مشخصی استفاده می‌کند که از قوانین توافق شده پیروی می‌کنند.هر لایه هدر (و گاهی اوقات تریلر) خود را به پیام اضافه می‌کند، به طوری که سیستم گیرنده می‌داند چگونه آن را پردازش کند.به طور خلاصه، مدل OSI با ارائه یک روش واضح و استاندارد که هر کسی در شبکه می‌تواند از آن استفاده کند، به مدیریت پیچیدگی کپسوله‌سازی داده کمک می‌کند. این امر قابلیت همکاری متقابل (Interoperability)، سازگاری و عیب‌یابی آسان‌تر را تضمین می‌کند.مدل OSI به ما کمک می‌کند تا بفهمیم و توضیح دهیم که چگونه داده‌ها لایه به لایه بسته‌بندی می‌شوند (کپسوله‌سازی)، و چگونه در انتهای دیگر باز می‌شوند (برون‌کپسوله‌سازی یا De-encapsulation).مدل OSI چیست؟مدل OSI، یا مدل اتصال سیستم‌های باز (Open Systems Interconnection model)، یک چارچوب است که فرایند کپسوله‌سازی را به هفت لایه تقسیم می‌کند. هر لایه نقش خاصی دارد و بخشی از کپسوله‌سازی را مدیریت می‌کند، مانند قالب‌بندی داده‌ها، آدرس‌دهی منطقی، مسیریابی، آدرس‌دهی فیزیکی، یا بررسی خطا.مثال زیر نشان می‌دهد که چگونه داده‌ها از طریق لایه‌های OSI حرکت می‌کنند و قبل از ارسال در شبکه به دستگاه بعدی، در هر مرحله بسته‌بندی می‌شوند. توجه کنید که هر لایه هدر خاص خود را با اطلاعات مرتبط برای عملکرد شبکه اضافه می‌کند.شکل ۷. مدل OSI چیست؟هدف اصلی مدل OSI ایجاد یک چارچوب کپسوله‌سازی داده استاندارد و مستقل از تولیدکننده (vendor-agnostic) است. این مدل به دستگاه‌ها و سیستم‌های مختلف کمک می‌کند تا با پیروی از یک مجموعه قوانین و استانداردها، با یکدیگر همکاری کنند.نمودار زیر هر لایه را با یک توضیح مختصر و پروتکل‌هایی که در آن لایه کار می‌کنند، نشان می‌دهد. توجه کنید که به طور کلی، دستگاه‌های شبکه مختلف در لایه‌های مختلف مدل OSI کار می‌کنند. این بدان معناست که یک دستگاه شبکه فقط به هدرهای تا یک لایه خاص اهمیت می‌دهد و به بقیه هدرهای موجود در پیام توجه نمی‌کند. به عنوان مثال، یک سوئیچ فقط به هدر لایه پیوند داده (لایه ۲) اهمیت می‌دهد، که شامل آدرس‌های MAC مبدأ و مقصد است. یک روتر فقط به هدرهای لایه ۲ و لایه ۳ اهمیت می‌دهد و غیره.شکل ۸. ۷ لایه مدل OSI.همچنین توجه داشته باشید که ما به داده‌ها در هر لایه از مدل OSI با اصطلاح متفاوتی اشاره می‌کنیم. به عنوان مثال، در لایه ۴، یک پیام TCP را به عنوان یک سگمنت (segment) می‌شناسیم. در لایه ۳، آن را به عنوان یک بسته (packet) می‌شناسیم. در لایه ۲، آن را به عنوان یک قاب (frame) می‌شناسیم.مدل OSI در برابر مدل TCP/IPمدل OSI، با هفت لایه خود، روشی خوش‌ساختار و مفیدی برای درک نحوه عملکرد کپسوله‌سازی داده است. با این حال، مهندسان شبکه به سرعت متوجه می‌شوند که لایه‌های ۵، ۶ و ۷ مستقیماً به اکثر وظایف شبکه‌سازی مربوط نمی‌شوند. این لایه‌ها بیشتر بر نحوه مدیریت داده‌ها توسط برنامه‌های نرم‌افزاری تمرکز دارند، که معمولاً خارج از حوزه شبکه‌سازی است.در نتیجه، متخصصان شبکه، از طریق عمل و تجربه در دنیای واقعی، شروع به استفاده از یک مدل ساده‌تر کردند که بر جنبه‌هایی تمرکز دارد که برای شبکه‌سازی اهمیت بیشتری دارند—لایه‌های ۱ تا ۴. این امر منجر به توسعه مدل TCP/IP شد که لایه‌های کمتری دارد و بیشتر با نحوه عملکرد واقعی شبکه‌ها هماهنگ است.نمودار زیر مقایسه‌ای از مدل OSI (با ۷ لایه)، اولین نسخه TCP/IP (که ۴ لایه داشت)، و نسخه مدرن مدل TCP/IP (با ۵ لایه) را نشان می‌دهد.شکل ۹. مدل‌های OSI در برابر TCP/IP.مدل ۵ لایه مدرن TCP/IP از نام‌های مشابه مدل OSI برای لایه‌های پایین‌تر استفاده می‌کند و وظایف آن‌ها بسیار شبیه به هم هستند. بنابراین، هنگام مطالعه در مورد شبکه‌ها یا صحبت با دیگران در این زمینه، می‌توانید چهار لایه پایین‌تر را در هر دو مدل - OSI و TCP/IP - یکسان در نظر بگیرید.برای این دوره، مطمئن شوید که درک کرده‌اید چگونه مدل ۵ لایه TCP/IP با مدل ۷ لایه OSI مطابقت دارد (همان‌طور که در هر دو طرف نمودار بالا نشان داده شده است). همچنین، به یاد داشته باشید که وقتی مردم به «لایه ۷» اشاره می‌کنند، معمولاً منظورشان لایه بالایی در هر دو مدل است که برنامه‌های کاربردی را مدیریت می‌کند.نکته کلیدی: آزمون CCNA دیگر بر روی مدل‌های OSI و TCP/IP تمرکز نمی‌کند؛ با این حال، درک آن‌ها همچنان مهم است. مهندسان شبکه اغلب با استفاده از لایه‌های مدل OSI در مورد شبکه‌سازی بحث می‌کنند.به عنوان مثال، اغلب یکی از عبارات زیر را خواهید شنید که باید آن‌ها را درک کنید:"آیا به یک پورت لایه ۲ یا لایه ۳ نیاز دارید؟""آیا این یک سوئیچ لایه ۲ است یا لایه ۳؟""مشکل در لایه ۲ است."اگرچه شبکه‌های امروزی از TCP/IP استفاده می‌کنند، بسیاری از افراد هنوز به شماره لایه‌های OSI اشاره می‌کنند. به عنوان مثال، مردم یک پروتکل کاربردی را «پروتکل لایه ۷» می‌نامند، حتی با وجود اینکه TCP/IP برخی از آن لایه‌های OSI (کاربرد، نمایش و نشست) را در یک لایه ترکیب می‌کند.نکات کلیدی در مورد مدل OSIمدل OSI یک چارچوب نظری است که فرایند کپسوله‌سازی داده را به هفت لایه تقسیم می‌کند.هر لایه اطلاعات گنجانده شده در پیام را به عنوان یک هدر توصیف می‌کند.مدل OSI همچنان برای آموزش شبکه‌سازی و توضیح نحوه عملکرد پروتکل‌ها به طور گسترده استفاده می‌شود.با این حال، در حالی که سیسکو مدل OSI را در آزمون‌های CCNA/CCNP گنجانده است، دانستن بیش از اصول اولیه در شبکه‌سازی دنیای واقعی امروزی چندان مفید نیست.دانستن چهار لایه اول ضروری است زیرا آن‌ها مواردی هستند که بیشتر مورد توجه مهندسان شبکه قرار می‌گیرند.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Tue, 30 Sep 2025 14:37:13 +0330 https://virgool.io/@Harry_esfandiari/%D8%A7%D8%AD%D8%B1%D8%A7%D8%B2-%D9%87%D9%88%DB%8C%D8%AA-kerberos-%D8%A7%D8%B2-%D8%B5%D9%81%D8%B1-%D8%AA%D8%A7-%D8%B5%D8%AF-wetcj49nwuc3 سلام دوستان، حمیدرضا اسفندیاری هستم؛ کارشناس شبکه و امنیت شبکه.یکی از پرکاربردترین سرویس‌ها در سازمان‌ها، Active Directory ویندوز است. آشنایی با نحوه احراز هویت در اکتیودایرکتوری به ما کمک می‌کند شبکه را بهتر درک کنیم، عیب‌یابی ساده‌تر انجام دهیم و امنیت سازمان را ارتقا بدهیم.در این مقاله می‌خواهیم درباره Kerberos، سیستم احراز هویت پیش‌فرض در Active Directory صحبت کنیم.بخش ۱: مقدمه و مفاهیم پایه Kerberos۱.۱. Kerberos چیست؟Kerberos یک پروتکل احراز هویت (Authentication Protocol) است که اولین بار در دهه ۱۹۸۰ توسط MIT توسعه داده شد. ایده اصلی آن این بود که کاربران و سرویس‌ها بتوانند هویت یکدیگر را در شبکه تأیید کنند، بدون اینکه نیاز باشد رمز عبورشان مستقیماً در بستر شبکه ارسال شود.مایکروسافت از ویندوز 2000 به بعد، Kerberos را به عنوان پروتکل پیش‌فرض احراز هویت در Active Directory معرفی کرد. یعنی وقتی کاربری در دامین ویندوز لاگین می‌کند، تقریباً همیشه پشت صحنه Kerberos در حال کار است.۱.۲. چرا به Kerberos نیاز داریم؟قبل از Kerberos، پروتکل‌های ساده‌ای مثل NTLM یا حتی ارسال مستقیم رمز عبور (Plaintext Password) استفاده می‌شد. این روش‌ها آسیب‌پذیر بودند، چون مهاجم می‌توانست با ابزارهای شنود شبکه (Sniffer) رمز عبور را بدزدد. Kerberos این مشکل را با استفاده از رمزنگاری متقارن و بلیط‌های دیجیتال حل کرد.مزایا:امنیت بالاتر نسبت به NTLMپشتیبانی از Single Sign-On (SSO)سرعت بیشتر در احراز هویتجلوگیری از Replay Attack (استفاده مجدد از ترافیک شنود شده)۱.۳. احراز هویت vs مجوزدهیخیلی‌ها این دو اصطلاح را قاطی می‌کنند:احراز هویت (Authentication): شما چه کسی هستید؟ (مثلاً وارد کردن یوزرنیم/پسورد)مجوزدهی (Authorization): به چه چیزی اجازه دسترسی دارید؟ (مثلاً آیا می‌توانید به فایل سرور یا پرینتر وصل شوید؟)Kerberos روی بخش احراز هویت تمرکز دارد و بعد از آن، سیستم‌های دیگر (مثل Active Directory) تصمیم می‌گیرند کاربر چه دسترسی‌هایی دارد.۱.۴. مفهوم Realm و Domainدر Kerberos، تمام موجودیت‌ها داخل یک محدوده به نام Realm تعریف می‌شوند.در دنیای ویندوز، Realm معادل همان Domain است.مثلاً اگر دامین شما corp.local باشد، Realm هم همان CORP.LOCAL در نظر گرفته می‌شود.۱.۵. Single Sign-On (SSO)یکی از مهم‌ترین ویژگی‌های Kerberos این است که کاربر یک بار وارد سیستم می‌شود (با وارد کردن رمز عبور)، اما بعد از آن برای دسترسی به سرویس‌های مختلف (فایل سرور، پرینتر، SQL Server) نیاز ندارد دوباره رمز عبور بدهد. همه چیز با بلیط‌ها (Tickets) انجام می‌شود. این تجربه همان چیزی است که به آن SSO می‌گویند.۱.۶. مقایسه کوتاه با NTLMNTLM: قدیمی، ضعیف در برابر حملات Pass-the-Hash، فاقد پشتیبانی کامل از SSO.Kerberos: مدرن‌تر، سریع‌تر، امن‌تر، پشتیبانی کامل از SSO و رمزنگاری قوی‌تر.مایکروسافت هنوز هم NTLM را برای سازگاری نگه داشته، اما همیشه توصیه می‌کند که Kerberos به عنوان روش اصلی احراز هویت استفاده شود.بخش ۲: معماری KerberosKerberos مثل یک سیستم حمل‌ونقل عمومی با بلیط عمل می‌کند. هیچ‌کس بدون بلیط وارد مترو یا اتوبوس نمی‌شود، در Kerberos هم هیچ کاربر یا سرویسی بدون بلیط (Ticket) به منابع دسترسی ندارد.۲.۱. اجزای اصلی Kerberos۱. کلاینت:کاربری یا برنامه‌ای که قصد دسترسی به یک سرویس را دارد. مثلاً کاربری به نام Ali که می‌خواهد وارد فایل سرور شود.۲. سرویس:منبعی که کاربر می‌خواهد به آن دسترسی داشته باشد. مثل فایل سرور، پرینتر، SQL Server یا وب‌اپلیکیشن داخلی.۳. KDC (Key Distribution Center):مرکز توزیع کلید، قلب Kerberos است. در دنیای ویندوز، KDC همان Domain Controller است.KDC دو بخش دارد:Authentication Service (AS): مسئول اولین مرحله ورود کاربر و صدور بلیط TGT.Ticket Granting Service (TGS): مسئول صدور بلیط‌های دسترسی به سرویس‌ها.4. Ticketیک بسته رمزنگاری‌شده که شامل هویت کاربر، زمان اعتبار و کلید جلسه (Session Key) است. این بلیط فقط توسط KDC و سرویس مقصد قابل خواندن است. 5 . Session Key یک کلید موقت برای رمزنگاری ارتباط بین کاربر و سرویس. بعد از اتمام مدت اعتبار بلیط، این کلید هم بی‌اعتبار می‌شود.6 . Realmمحیط مدیریتی Kerberos که کاربران و سرویس‌ها داخل آن تعریف می‌شوند. در ویندوز همان Domain است.۲.۲. انواع بلیط‌ها1 . Ticket Granting Ticket (TGT) بلیط اولیه‌ای است که کاربر هنگام لاگین از AS دریافت می‌کند. این بلیط مثل پاسپورت عمل می‌کند و نشان می‌دهد کاربر در سیستم احراز هویت شده.3. Service Ticketوقتی کاربر می‌خواهد به یک سرویس خاص وصل شود، TGT خودش را به TGS ارائه می‌دهد. TGS یک Service Ticket برای همان سرویس صادر می‌کند. این بلیط فقط برای همان سرویس معتبر است.۲.۴. چرخه عمر یک بلیطهر بلیط TGT یا Service Ticket عمر مشخصی دارد (مثلاً ۱۰ ساعت).بعد از پایان اعتبار، کاربر باید بلیط جدید بگیرد.این کار باعث می‌شود اگر مهاجم بلیطی را بدزدد، نتواند برای مدت طولانی از آن استفاده کند.۲.۵. تشبیه ساده برای درک بهترتصور کن وارد یک فرودگاه می‌شوی:در ورودی پاسپورتت (TGT) بررسی می‌شود.اگر بخواهی وارد سالن پرواز بشوی، کارت پرواز (Service Ticket) لازم داری.کارت پرواز فقط برای همان پرواز معتبر است، اما پاسپورتت نشان می‌دهد تو یک مسافر معتبر هستی.بخش ۳: فرآیند احراز هویت مرحله‌به‌مرحلهفرآیند Kerberos معمولاً در سه فاز انجام می‌شه:۱. گرفتن TGT از AS۲. گرفتن Service Ticket از TGS۳. استفاده از Service Ticket برای دسترسی به سرویس مقصد۳.۱. ورود اولیه کاربر (AS-REQ / AS-REP)۱. کاربر در کلاینت، یوزرنیم و پسوردش رو وارد می‌کنه.۲. کلاینت یک درخواست به Authentication Service (AS) در KDC می‌فرسته، به این درخواست می‌گن AS-REQ.۳. اگر رمز درست باشه، AS یک پاسخ برمی‌گردونه که شامل یک TGT (Ticket Granting Ticket) و یک Session Key است. این پاسخ به اسم AS-REP شناخته می‌شه.۴. TGT رمزنگاری‌شده و فقط توسط KDC قابل خوندنه، بنابراین کاربر نمی‌تونه محتوای داخلی اون رو تغییر بده.مثال عملی:اگر روی ویندوز دستور klist tickets بزنی، بعد از لاگین موفق، می‌بینی که یک TGT برای کاربر صادر شده.۳.۲. درخواست دسترسی به سرویس (TGS-REQ / TGS-REP)۱. حالا کاربر می‌خواد به یک سرویس خاص (مثلاً فایل سرور) وصل بشه.۲. کلاینت، TGT خودش رو به Ticket Granting Service (TGS) ارائه می‌ده و درخواست یک بلیط سرویس می‌کنه (TGS-REQ).۳. TGS بررسی می‌کنه آیا کاربر مجوز دسترسی به اون سرویس رو داره یا نه. اگر بله، یک Service Ticket برای اون سرویس صادر می‌کنه و به کاربر برمی‌گردونه (TGS-REP).۳.۳. دسترسی به سرویس (AP-REQ / AP-REP)۱. کاربر حالا Service Ticket رو به سرویس مقصد (مثلاً فایل سرور) ارائه می‌ده. به این درخواست می‌گن AP-REQ.۲. سرویس بلیط رو با کلید مخصوص خودش بررسی می‌کنه. اگر معتبر باشه، دسترسی به کاربر داده می‌شه. در بعضی موارد سرویس یک پاسخ (AP-REP) هم برمی‌گردونه تا دوطرف مطمئن بشن که کلید جلسه یکیه. ۳.۵. سناریوی واقعی در اکتیو دایرکتوریکاربر Ali پشت یک کلاینت ویندوز ۱۰ وارد دامین corp.local می‌شه.KDC روی Domain Controller درخواست AS-REQ رو می‌گیره و به کاربر یک TGT می‌ده.وقتی Ali روی فایل سرور \\fileserver1\share کلیک می‌کنه، سیستم عامل به‌طور خودکار درخواست TGS-REQ می‌فرسته و Service Ticket فایل سرور رو دریافت می‌کنه.فایل سرور بلیط رو بررسی می‌کنه و اگر درست باشه، دسترسی به فولدر داده می‌شه.اگر در این حالت از Wireshark با فیلتر kerberos استفاده کنیم، می‌تونیم بسته‌های AS-REQ، TGS-REQ و AP-REQ رو در شبکه ببینیم.۳.۶. نکته امنیتی مهمرمز عبور کاربر هیچ‌وقت مستقیماً در شبکه ارسال نمی‌شه.همه چیز بر اساس بلیط‌های رمزنگاری‌شده و کلیدهای موقت (Session Key) انجام می‌شه.حتی اگر کسی بسته‌ها رو شنود کنه، نمی‌تونه به راحتی از اون‌ها استفاده کنه، چون اعتبار بلیط‌ها محدود و رمزنگاری‌شده است.بخش ۴: پیاده‌سازی و ابزارهای عملیمایکروسافت از ویندوز 2000 به بعد Kerberos رو به‌طور پیش‌فرض در Active Directory Domain Services (AD DS) پیاده‌سازی کرده. یعنی هر وقت شما وارد دامین می‌شید یا به یک سرویس شبکه وصل می‌شید، پشت‌صحنه Kerberos داره کار می‌کنه.۴.۱. ابزارها و دستورات کلیدی۱. klistاین ابزار برای مشاهده و مدیریت بلیط‌های Kerberos در کلاینت استفاده می‌شه.نمایش بلیط‌ها:klist ticketsپاک کردن همه بلیط‌ها:klist purgeمثال: وقتی کاربر لاگین می‌کنه و klist tickets رو می‌زنه، باید یک TGT و احتمالا چند Service Ticket ببینه.۲. setspnابزار مدیریت Service Principal Name (SPN) است. هر سرویس Kerberos باید یک SPN داشته باشه تا KDC بتونه اون رو شناسایی کنه.نمایش SPNهای یک حساب سرویس:setspn -L SQLServiceاضافه کردن یک SPN جدید:setspn -A MSSQLSvc/sqlserver.corp.local:1433 SQLService۳. Event Viewerوقتی Kerberos عمل می‌کنه یا شکست می‌خوره، لاگ‌های مربوط به اون توی Event Viewer ذخیره می‌شن. این لاگ‌ها خیلی برای عیب‌یابی مهمن.Event ID 4768 → درخواست TGTEvent ID 4769 → درخواست Service TicketEvent ID 4771 → شکست در احراز هویت Kerberos۴. Wiresharkیکی از بهترین ابزارها برای دیدن بسته‌های Kerberos در شبکه است. با فیلتر kerberos می‌تونی تبادل‌های AS-REQ، TGS-REQ و AP-REQ رو به صورت زنده ببینی.مثال:وقتی کاربر وارد دامین می‌شه، اولین پکت Kerberos که می‌بینی یک AS-REQ هست که از کلاینت به Domain Controller ارسال شده.۵. PowerShellPowerShell هم دستوراتی برای مدیریت Kerberos و Active Directory داره.نمایش SPNهای یک کاربر:Get-ADUser -Identity user1 -Properties ServicePrincipalNameنمایش تنظیمات Kerberos در دامنه:Get-ADDomain | fl kerberos۴.۲. سناریوی عملی: بررسی بلیط‌ها در لاگین۱. کاربر Ali وارد سیستم عضو دامین می‌شه.۲. پشت‌صحنه یک AS-REQ ارسال و یک TGT صادر می‌شه.۳. دستور klist tickets نشون می‌ده که TGT برای krbtgt/corp.local صادر شده.۴. وقتی Ali به فایل سرور می‌ره، یک TGS-REQ ارسال می‌شه و بلیط جدید برای cifs/fileserver.corp.local صادر می‌شه.۵. Event Viewer روی Domain Controller، Event ID 4769 رو لاگ می‌کنه (یعنی صدور Service Ticket).۶. با Wireshark می‌تونیم این پکت‌ها رو ببینیم.۴.۳. مشکلات رایج در پیاده‌سازی Kerberosاشتباه بودن SPN: اگر SPN درست ست نشده باشه، کاربرها با خطای Kerberos Error (KRB_AP_ERR_MODIFIED) مواجه می‌شن.اختلاف ساعت (Time Skew): Kerberos به همگام‌سازی ساعت حساسه. اگر ساعت کلاینت و سرور بیش از ۵ دقیقه اختلاف داشته باشه، احراز هویت شکست می‌خوره. (برای همین باید از NTP استفاده کرد).بلیط‌های قدیمی: بعضی وقت‌ها باید بلیط‌ها رو با klist purge پاک کرد تا دوباره صادر بشن.۴.۴. نکته مهم برای متخصص‌هاابزارهایی مثل Mimikatz یا Rubeus هم می‌تونن بلیط‌های Kerberos رو لیست، استخراج یا تزریق کنن (در تست نفوذ یا حملات). بنابراین در فاز امنیتی باید بدونید که مهاجم‌ها هم از همین مکانیسم‌ها سوءاستفاده می‌کنن.بخش ۵: حملات و آسیب‌پذیری‌های KerberosKerberos در تئوری امن طراحی شده، ولی در عمل، ضعف‌های پیاده‌سازی یا خطاهای مدیریتی باعث می‌شن مهاجم‌ها بتونن اون رو هدف قرار بدن.۵.۱. Pass-the-Ticket (PTT)ایده: مهاجم یک Ticket معتبر Kerberos (TGT یا Service Ticket) رو از حافظه کلاینت می‌دزده و روی سیستم خودش تزریق می‌کنه.ابزار: Mimikatz (دستور kerberos::ptt).سناریو: فرض کن مهاجم به سیستم کاربر دسترسی داره. با Mimikatz بلیط رو dump می‌کنه و روی سیستم خودش وارد می‌کنه → حالا می‌تونه مثل اون کاربر به منابع وصل بشه.۵.۲. Kerberoastingایده: گرفتن Service Ticketهای مربوط به Service Accountها و تلاش برای کرک کردن اون‌ها به صورت آفلاین.چرا کار می‌کنه؟ چون Service Ticket با کلید سرویس (مشتق‌شده از رمز سرویس‌اکانت) رمز می‌شه. اگر رمز ضعیف باشه، قابل کرک کردنه.ابزار: Rubeus، Mimikatz، Impacket.سناریو: مهاجم دستور زیر رو می‌زنه و بلیط‌ها رو می‌گیره:Rubeus kerberoastبعد Hash رو ذخیره و با ابزارهایی مثل Hashcat یا John کرک می‌کنه.۵.۳. Overpass-the-Hash (Pass-the-Key)ایده: استفاده از هش رمز (NTLM hash) برای درخواست مستقیم TGT از KDC.نتیجه: بدون نیاز به رمز عبور واقعی، مهاجم می‌تونه خودش رو به KDC معرفی کنه.ابزار: Mimikatz → sekurlsa::pth.۵.۴. Golden Ticket Attackایده: مهاجم با داشتن Hash حساب krbtgt (حساب سرویس اصلی Kerberos در دامنه) می‌تونه TGT جعلی تولید کنه.نتیجه: دسترسی کامل و دائمی به کل دامنه!ابزار: Mimikatz → kerberos::golden.ویژگی: چون TGT توسط مهاجم ساخته می‌شه، می‌تونه هر یوزر/دسترسی رو داخلش تعریف کنه.۵.۵. Silver Ticket Attackایده: مهاجم Service Ticket جعلی برای یک سرویس خاص تولید می‌کنه (بدون نیاز به KDC).نتیجه: مهاجم می‌تونه فقط به اون سرویس دسترسی پیدا کنه، ولی شناسایی این حمله سخت‌تر از Golden Ticket هست چون KDC درگیر نمی‌شه.ابزار: Mimikatz → kerberos::golden /ticket:... (با پارامترهای مخصوص سرویس).۵.۶. AS-REP Roastingایده: بعضی اکانت‌ها طوری تنظیم شدن که به رمز قوی نیاز ندارن یا “pre-authentication” براشون غیرفعاله.نتیجه: مهاجم می‌تونه درخواست AS-REQ بده و پاسخی (AS-REP) دریافت کنه که شامل هش رمز کاربره → بعد اون رو آفلاین کرک کنه.۵.۷. نکات امنیتی و چالش‌های رایجبلیط‌ها مدت اعتبار دارن، اما اگر طولانی باشه (مثلاً ۱۰ ساعت یا بیشتر)، مهاجم فرصت زیادی برای سوءاستفاده داره.بسیاری از سازمان‌ها Service Accountها رو با رمزهای ساده و بدون تغییر دوره‌ای نگه می‌دارن → این بزرگترین درگاه حمله برای Kerberoasting هست.Kerberos به زمان حساسه (۵ دقیقه اختلاف ساعت می‌تونه باعث خطا بشه). مهاجم‌ها بعضی وقت‌ها از این نقطه ضعف برای اختلال استفاده می‌کنن.۵.۸. نشانه‌های حمله در لاگ‌هاتعداد زیاد Event ID 4769 در مدت کوتاه (نشانه Kerberoasting).درخواست‌های TGT غیرعادی (Event ID 4768).دسترسی‌های غیرمعمول به سرویس‌ها با Service Ticketهای جعلی.فعالیت غیرعادی ابزارهایی مثل Rubeus/Mimikatz در Endpoint Detection.بخش ۶: راهکارهای امنیتی و بهینه‌سازی۶.۱. مدیریت حساب‌ها (Accounts Management)استفاده از gMSA (Group Managed Service Accounts): این نوع حساب‌ها رمز عبور رو به‌طور خودکار و منظم تغییر می‌دن، پس Kerberoasting سخت‌تر می‌شه.رمزهای پیچیده و طولانی برای Service Accountها: رمز باید حداقل ۲۵ کاراکتر باشه و دوره‌ای تغییر کنه.تفکیک حساب‌های کاربری و ادمین: هر کاربر نباید با همان حساب روزمره، کارهای مدیریتی انجام بده. برای ادمین‌ها حساب جداگانه در نظر بگیرید.۶.۲. تنظیمات Kerberos و بلیط‌هاکاهش عمر بلیط‌ها (Ticket Lifetime): به‌صورت پیش‌فرض TGT حدود ۱۰ ساعت اعتبار داره. بهتره در محیط‌های حساس این زمان کاهش پیدا کنه (مثلاً ۴ ساعت).تنظیم Renewal Policy: بلیط‌ها نباید بیش از چند روز قابل تمدید باشن.فعال‌سازی Kerberos Armoring (FAST): مکانیزمی برای رمزنگاری بیشتر در فرآیند AS-REQ/AS-REP که جلوی حملاتی مثل AS-REP Roasting رو می‌گیره.۶.۳. مانیتورینگ و لاگ‌برداریEvent Viewer: بررسی Event IDهای کلیدی مثل 4768، 4769، 4771 و 4776.SIEM Integration: جمع‌آوری لاگ‌های Kerberos در SIEM برای تشخیص رفتار مشکوک (مثل Kerberoasting).تشخیص الگوهای غیرعادی: تعداد زیاد درخواست Service Ticket در زمان کوتاه می‌تونه نشونه حمله باشه.۶.۴. همگام‌سازی زمان (Time Synchronization)Kerberos به زمان حساسه. اگر اختلاف ساعت بین کلاینت و سرور بیشتر از ۵ دقیقه باشه، احراز هویت شکست می‌خوره.استفاده از NTP (Network Time Protocol) برای همگام‌سازی همه سیستم‌ها.پایش منظم اختلاف زمان بین Domain Controllerها.۶.۵. به‌روزرسانی و Patch Managementهمه Domain Controllerها و کلاینت‌ها باید مرتب آپدیت بشن.مایکروسافت چندین بار Patch‌های مهمی برای Kerberos منتشر کرده که جلوی حملات رو گرفته.۶.۶. Principle of Least Privilege (کمترین سطح دسترسی)هر کاربر یا سرویس باید فقط به همون چیزی که نیاز داره دسترسی داشته باشه.به‌خصوص Service Accountها نباید عضو گروه‌های پرقدرت مثل Domain Admin باشن.۶.۷. دفاع در برابر حملات خاصPass-the-Ticket: استفاده از Credential Guard در ویندوز ۱۰ و بالاتر + مانیتورینگ لاگ‌ها.Kerberoasting: استفاده از gMSA و رمزهای طولانی برای سرویس‌اکانت‌ها.Golden Ticket: تغییر دوره‌ای رمز حساب krbtgt (حداقل دوبار پشت سر هم تا Hashهای قدیمی باطل بشن).AS-REP Roasting: اطمینان از اینکه برای همه اکانت‌ها گزینه Pre-authentication Required فعال باشه.۶.۸. آموزش و فرهنگ امنیتیمدیرهای شبکه باید با مفاهیم Kerberos و حملات رایج آشنا باشن.تیم SOC باید بتونه الگوهای غیرعادی در ترافیک Kerberos رو تشخیص بده.تست نفوذ داخلی (Red Team) می‌تونه کمک کنه تا نقاط ضعف قبل از مهاجم واقعی کشف بشن.بخش ۷: جمع‌بندی و منابع تکمیلی۷.۱. مرور مطالبما از پایه‌ترین مفاهیم شروع کردیم:در بخش ۱ دیدیم Kerberos چرا ایجاد شد و چه تفاوتی با پروتکل‌های قدیمی مثل NTLM داره.در بخش ۲ معماری اون رو بررسی کردیم: KDC، AS، TGS، Ticket، Session Key.در بخش ۳ قدم‌به‌قدم فرآیند احراز هویت (AS-REQ، TGS-REQ، AP-REQ) رو مرور کردیم.در بخش ۴ ابزارهای عملی مثل klist، setspn، Event Viewer و Wireshark رو شناختیم.در بخش ۵ حملات معروف مثل Pass-the-Ticket، Golden Ticket و Kerberoasting رو توضیح دادیم.در بخش ۶ یاد گرفتیم چطور با Best Practices امنیتی از Kerberos محافظت کنیم: gMSA، Kerberos Armoring، مانیتورینگ لاگ‌ها، همگام‌سازی زمان و …۷.۲. نکات کلیدیKerberos پایه و اساس احراز هویت در Active Directory است.رمز عبور هیچ‌وقت مستقیم در شبکه ارسال نمی‌شود. همه‌چیز با بلیط‌ها (Tickets) و کلیدهای رمزنگاری انجام می‌شود.بلیط‌ها عمر محدودی دارند، پس مدیریت صحیح آن‌ها حیاتی است.مهاجم‌ها از ابزارهایی مثل Mimikatz و Rubeus برای سوءاستفاده استفاده می‌کنند.دفاع موثر شامل ترکیب تنظیمات درست، مانیتورینگ، به‌روزرسانی مداوم و فرهنگ امنیتی است.۷.۳. منابع تکمیلی۱. RFC 4120: The Kerberos Network Authentication Service (V5)Microsoft Docs – Kerberos Authentication OverviewWindows Internals, Part 1 & 2 (Mark Russinovich, David Solomon, Alex Ionescu)توضیح عمیق درباره سازوکار داخلی ویندوز و Kerberos.SANS SEC505 و SEC560 Trainingدوره‌های تخصصی امنیت شبکه و تست نفوذ.وبلاگ Harmj0y (Will Schroeder)یکی از بهترین منابع برای یادگیری حملات Kerberos و تکنیک‌های Red Team.کتاب Active Directory Securityمنبع تخصصی برای امنیت Kerberos در سازمان‌ها.۷.۴. حرف آخرKerberos فقط یک پروتکل نیست؛ قلب امنیت در اکوسیستم ویندوز و Active Directory است. هر مدیر شبکه، متخصص امنیت یا تست نفوذگر باید درک عمیقی از اون داشته باشه، چون هم ابزار اصلی برای ایمن‌سازی سیستم‌هاست و هم هدف محبوب مهاجم‌ها.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Wed, 20 Aug 2025 10:55:43 +0330 https://virgool.io/@Harry_esfandiari/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%B1%D8%A7%D9%87-%D8%A7%D9%86%D8%AF%D8%A7%D8%B2%DB%8C-snmp-v2-%D8%B1%D9%88%DB%8C-%D8%AA%D8%AC%D9%87%DB%8C%D8%B2%D8%A7%D8%AA-%D8%B4%D8%A8%DA%A9%D9%87-%D8%B3%D9%88%D9%81%D9%88%D8%B3-%D9%88%DB%8C%D9%86%D8%AF%D9%88%D8%B2-%D8%B3%D8%B1%D9%88%D8%B1-%D9%85%DB%8C%DA%A9%D8%B1%D9%88%D8%AA%DB%8C%DA%A9-%D8%B3%D9%88%DB%8C%DB%8C%DA%86-%D8%B3%DB%8C%D8%B3%DA%A9%D9%88-c6ltrolufvea سلام حمید رضا اسفندیاری هستم در این مقاله قصد دارم نحوه کانفیگ SNMPv2 روی روی فایروال سوفوس ، سوییچ سیسکو ، ویندوز سرور و روتر میکروتیک رو قدم به قدم آموزش بدم. این راهنما به صورت گام‌به‌گام نوشته شده تا به‌راحتی بتوانید در محیط خود آن را پیاده‌سازی کنید. من در این مقاله از مانیتورینگ PRTG استفاده کردم ولی نحوه کانفیگ SNMP روی تجهیزات وابسته به نرم افزار مانیتورینگی که دارید نیست .پیش‌نیازهانصب نرم‌افزار PRTG Network Monitor روی ویندوزمشخص کردن یه Community String . از پیش فرضش که public هست به یه string پیچیده تر تغییرش بدید حتما.دسترسی مدیریتی به تجهیزات مورد نظرارتباط شبکه‌ای بین سرور PRTG و تجهیزاتمرحله اول: فعال‌سازی SNMP روی Sophos Firewallوارد پنل مدیریتی فایروال شویدبه مسیر Administration > SNMP برویدگزینه SNMP را فعال کرده و نسخه SNMP v2c را انتخاب کنیدیک Community String مانند "public" تعریف کنیدآدرس IP سرور PRTG را به لیست مجازها اضافه کنیدتنظیمات را ذخیره و اعمال کنیدمرحله دوم: فعال‌سازی SNMP روی Windows Serverدر Server Manager به مسیر Add Roles and Features برویددر بخش Features، گزینه SNMP Service را نصب کنیدبعد از نصب، به بخش Services رفته و SNMP Service را باز کنیددر تب Security، Community string را (مثلاً: public) اضافه کرده و سطح دسترسی را Read Only قرار دهیدIP سرور PRTG را به لیست مجاز اضافه کنیدسرویس SNMP را مجدداً راه‌اندازی کنیدمرحله سوم: فعال‌سازی SNMP روی MikroTikوارد Winbox یا WebFig شویدبه مسیر IP > SNMP برویدSNMP را فعال کنیدCommunity را با مقدار public تنظیم کنیدتنظیمات را ذخیره کنیدنکته امنیتی: حتماً با فایروال دسترسی SNMP را فقط به IP سرور PRTG محدود کنید.مرحله چهارم: فعال‌سازی SNMP روی سوئیچ Ciscoوارد CLI دستگاه شوید و دستورات زیر را وارد کنید:conf t snmp-server community public RO snmp-server location Datacenter snmp-server contact admin@example.com exitبرای محدود کردن دسترسی فقط از IP سرور PRTG:snmp-server community public RO 10 access-list 10 permit x.x.x.xجایگزین کردن x.x.x.x با IP سرور مانیتورینگمرحله پنجم: افزودن دستگاه‌ها به PRTGوارد کنسول مدیریتی PRTG شویدروی Add Device کلیک کرده و IP دستگاه را وارد کنیددر قسمت SNMP، Community string را وارد کنید (مثلاً public)نسخه SNMP را روی v2 قرار دهیدسنسورها را به صورت خودکار یا دستی اضافه کنیدنکات امنیتی پیشنهادیCommunity string پیش‌فرض را به عبارت خاص و قوی تغییر دهیدفقط به IP سرور مانیتورینگ اجازه دسترسی بدهیداز SNMPv3 در آینده برای امنیت بیشتر استفاده کنیدجمع‌بندیPRTG یکی از بهترین ابزارهای مانیتورینگ شبکه است که با استفاده از SNMP v2 می‌توان به راحتی دستگاه‌های مختلف را مانیتور کرد. با راه‌اندازی صحیح SNMP روی تجهیزات و رعایت نکات امنیتی، می‌توانید یک سیستم مانیتورینگ پایدار، کارآمد و امن داشته باشید.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Thu, 01 May 2025 14:32:36 +0330 https://virgool.io/@Harry_esfandiari/%D8%B1%DB%8C%D8%AF%DA%A9%D9%86%D8%AA%D8%B1%D9%84%D8%B1-raid-controller-%DA%86%DB%8C%D8%B3%D8%AA-%D9%88-%DA%86%D9%87-%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1%D8%AF%DB%8C-%D8%AF%D8%A7%D8%B1%D8%AF-ageixmr1fhq1 احتمالاً تا حالا اصطلاح RAID به گوشت خورده، مخصوصاً اگه با سرورها یا سیستم‌های ذخیره‌سازی کار کرده باشی. RAID در واقع یه روش برای ترکیب چند تا هارددیسک و ایجاد یه فضای ذخیره‌سازی مطمئن‌تر و سریع‌تره. اما این وسط یه قطعه سخت‌افزاری یا نرم‌افزاری وجود داره که همه چیزو مدیریت می‌کنه: RAID Controller.حالا RAID Controller دقیقاً چیه؟اینRAID Controller یه سخت‌افزار یا نرم‌افزاریه که مدیریت آرایه‌های RAID رو برعهده داره. به زبان ساده، این کنترلر وظیفه داره اطلاعات رو بین هاردها پخش کنه، داده‌ها رو بازسازی کنه (اگه یکی از هاردها خراب بشه)، و عملکرد کلی سیستم رو بهینه کنه.انواع RAID Controllerریدکنترلر (RAID Controller به دو نوع کلی تقسیم می‌شه:نرم‌افزاری (Software RAID Controller): این مدل وابسته به پردازنده سیستم عامله و از طریق نرم‌افزار مدیریت می‌شه. معمولاً توی سیستم‌های معمولی و حتی بعضی سرورها از این روش استفاده می‌شه چون ارزون‌تره ولی فشار بیشتری روی پردازنده میاره.سخت‌افزاری (Hardware RAID Controller): این نوع یه کارت فیزیکیه که روی مادربورد نصب می‌شه یا به صورت اکسترنال به سیستم متصل می‌شه. خودش پردازنده مخصوص داره و بار پردازشی رو از روی سیستم اصلی برمی‌داره. معمولاً عملکرد بهتر و پایدارتری نسبت به مدل نرم‌افزاری داره ولی گرون‌تره.چرا RAID Controller مهمه؟ریدکنترلر (RAID Controller) باعث می‌شه سیستم بتونه:داده‌ها رو بین چند هارد توزیع کنه تا سرعت بیشتر بشه.در صورت خرابی یک هارد، اطلاعات رو از دست نده.عملکرد ذخیره‌سازی رو بهینه کنه.انتخاب RAID Controller مناسبانتخاب RAID Controller بستگی به نیازت داره:برای استفاده‌های معمولی: Software RAID جواب می‌ده.برای سرورها و محیط‌های حرفه‌ای: Hardware RAID پیشنهاد می‌شه.نتیجه‌گیریاگه می‌خوای یه سیستم ذخیره‌سازی مطمئن و سریع داشته باشی، RAID Controller یه قطعه کلیدیه. حالا که با مفهومش آشنا شدی، می‌تونی بسته به نیازت بهترین گزینه رو انتخاب کنی.**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات** حمید رضا اسفندیاری حمید رضا اسفندیاری Fri, 21 Mar 2025 15:27:06 +0330