سنخصّص درسًا لاحقًا للحديث بالتفصيل عن صياغة (Syntax) لوائح التحكم في الوصول، وهي صياغة تتكون من أجزاء متعدّدة. سنتعرَّف في هذا الدرس على جزء خاص من صياغة ACL وهو قناع محرف البدل (Wildcard mask)، الذي يصعب من دون استيعابه فهمُ ما نريد فعله في لوائح التحكم في الوصول.

يشيع استخدام محارف البدل في جوانب مختلفة من التقنية، مثلًا في عبارات البحث عن الملفات في أنظمة التشغيل. عندما تريد أن تبحث عن ملف وورد في مستعرض الملفات Explorer الخاص بوندوز فتستخدم غالبًا عبارة بحث مثل ‎*.doc أو ‎*.docx، أو ربما تجمع العبارتين معًا باستخدام عبارة البحث ‎*.doc‎?‎. يُفهَم من هذه العبارات أنك تبحث عن الملفات التي تنتهي بالامتداد doc أو docx مهما كان اسمها. النجمة * وعلامة الاستفهام ? هما محرفا بدل، بمعنى أنهما محرفان خاصان سيُستبدَلان في نتيجة البحث بمحرف واحد (في حالة علامة الاستفهام) أو أكثر (في حالة النجمة).

تُطبَّق قواعد مشابهة للمبدأ أعلاه في لوائح التحكم بالوصول، إذ تُرفَق فيها عناوين IP بأقنعة محرف بدل، الغرض منها تعريف بتّات (Bits) محدَّدة من العنوان.

عندما نتحدَّث عن أقنعة محرف البدل فنحن أمام سلسلة من البتات بطول عنوان IP (وهو32 بتّا)، أي أنها مكوَّنة من أصفار وآحاد؛ وتختلف عن قناع الشبكة (Network mask) في إمكانية وضع الأصفار والآحاد في أي موضع من القناع، وليس واجبًا أن تكون الأصفار (أو الآحاد) متجاورة. رغم ذلك، فمن الشائع – إلّا في حالات خاصّة – أن تكون الأصفار أو الآحاد متجاورة في قناع محرف البدل..

عندما نوازن بين عناوين وأقنعة محرف البدل فإن الموزانة تكون على مستوى البتّات. إذا كانت قيمة البت في قناع المحرف تساوي 0 فهذا يعني أنه يجب أن يكون البتّ في عنوان IP موضوع الاختبار مساويًّا للبتّ المقابل في عنوان IP المرفَق بالقناع في لائحة التحكم في الوصول. أما إن كانت قيمة البت تساوي 0 فهذا يعني أنه لا يهم إن كان البت المُختبَر يساوي 0 أو 1. سنرى بعد قليل أمثلة لتطبيق القاعدة.

قلنا إن الموازنة بين القناع والعنوان تتمّ على مستوى البتات، إلّا أننا عمليًّا نستخدم قيمًا عشرية منقَّطة، مثل ما نفعل مع عناوين IP. تظهر في الصورة أعلاه البايتات (Bytes) شائعة الاستخدام في أقنعة محرف البدل. تتضمَّن البايتات المبيَّنة في الصورة آحادًا متجاورة، إلّا أن بعضها - مثل البايت ذي القيمة 63 - يحوي آحادًا متجاورة على اليمين، وليس اليسار كما يحدث في أقنعة الشبكة.

ينبغي الحذر عند استخدام أقنعة محرف البدل حتى لا نخلط بينها مع أقنعة الشبكة، ونحصل بالتالي على قناع محرف بدل لا يؤدّي الغرض منه. مثلًا، يشيع استخدام القيمة 252 في أقنعة الشبكة، إلّا أن هذه القيمة لها مدلول مختلف تمامًا في أقنعة محرف البدل. في أقنعة الشبكة تطابق القيمة 252 البتّات الستة الأولى من البايت، في حين تطابق في أقنعة محرف البدل البتّيْن الأخيريْن فقط، فلو استخدمنا تلك القيمة في قناع محرف بدل وكنّا نقصد بها مدلولها في قناع الشبكة فإننا نعكس الأمر تماما. الملاحظة نفسها تنطبق على القيمة 63 التي تطابق عند استخدامها في أقنعة الشبكة البتّيْن الأوليْن من البايت، في حين تطابق في أقنعة المحرف البتّات الستة الأخيرة.

أمثلة تطبيقية لمطابقة أقنعة محارف البدل

سنتعرَّف في الفقرات التالية بالتفصيل على كيفية استخدام لوائح التحكم في الوصول لأقنعة محرف البدل لمطابقة عناوين IP. من أجل ذلك سننزل إلى مستوى البتّات ونطابق العنوان مع القناع بتًّا بتّا، رغم أن الكتابة العشريّة هي المستخدمة في الواقع العملي، إلّا المطابقة على مستوى البتّات تفيد في الفهم الدقيق لآلية المطابقة.

لننظر إلى المطابقة بين العنوان 192.168.30.0 وقناع محرف البدل 0.0.0.255 في المثال الأول في الصورة التالية.

يظهر في المثال الأول أننا البايتات الثلاثة الأولى من قناع محرف البدل تحوي أصفارًا فقط، وهو ما يعني أنّ المطابقة بينها وبين عنوان IP يجب أن تكون تامّة، وبالتالي نحصل على البايتات الثلاثة الأولى من عنوان IP، أي 192.168.30، كما هي. الأمر مختلف بالنسبة للبايت الأخير من القناع، إذ أنه لا يحوي سوى آحاد، أي أنّنا لا نبحث عن مطابقة بين هذا البايت والبايت المقابل من عنوان IP، ويمكن بالتالي أن يأخذ أي بت إحدى القيمتيْن الممكنتيْن، 0 أو 1، وهو ما يُرمَز له في الصورة بالحرف x.

ما أدنى قيمة يُمكِن أن يأخذها هذا البايت؟ الجواب هو أنها القيمة التي تكون فيها البتّات جميعها مساوية للصفر؛ أمّا أعلى قيمة فهي التي تكون فيها البتّات مساويّة للواحد. أي أننا أمام مجال يبدأ بـ 00000000 وينتهي بـ11111111، وتمكن كتابة حدود المجال بالقيم العشريّة 0 و255.

نستنتج ممّا سبق أنّ المطابقة بين العنوان 192.168.30.0 وقناع محرف البدل 0.0.0.255 تُنتِج لنا مجالًا من عناوين IP يبدأ بالعنوان 192.168.30.0 وينتهي بالعنوان 192.168.30.255.

يتبع المثال الثاني المبدأ نفسه، وإنْ كان ببتّات مطابقة أكثر، إذ تشمل البايتات الثلاثة الأولى إضافة إلى خمس بتّات من البايت الأخير، فنحصل على مجال يبدأ بالعنوان 192.168.30.0 وينتهي بالعنوان 192.168.30.7.

يمكن أن نلاحظ من الشرح أعلاه أن نتيجة المطابقة بين عنوان IP وقناع محرف البدل هي دائمًا مجال من عناوين IP، لهذا نقول إن قناع محرف البدل هو عامل مجال (Range operator).

رأينا في الفقرات السابقة آلية عمل قناع محرف البدل على مستوى البتّات، إلّا أنّنا في الواقع العملي نستخدم الكتابة العشرية، واللجوء إلى البتّات ليس دائمًا سهلًا وقد يكون مشوِّشا. توجد طريقة سهلة للحصول على مجال العناوين الذي يحدِّده القناع.

تتمثل هذه الطريقة، كما تشرح الصورة أعلاه، في أخذ عنوان IP الذي نريد مطابقته وجعله بدايةَ المجال، ثم إجراء عمليّة بين جمع هذا العنوان والقناع للحصول على العنوان الأخير في مجال العناوين. بالنسبة للمثال الأول فإنّ بداية المجال هي العنوان 192.168.30.0 وعندما نجمعه مع قناع محرف البدل 0.0.0.255 نجد 192.168.30.255 الذي هو نهاية المجال.

الأمر نفسه ينطبق على المثال الثاني: 192.168.30.0 + 0.0.0.7 = 192.168.30.7.

ترجمة – وبتصرّف – للمقال Access Control Lists Wildcard Masking.

تُستخدَم لوائح التحكم في الوصول ACL (اختصار لـ Access Control Lists) في مجالات عدّة، إذ تحاكي في مبدئها الإجراءات الأمنية التي تُطبَّق لتأمين المباني، عندما يُحدَّد لكل شخص أو مجموعة من الأشخاص أماكن يمكنهم الدخول إليها، وأخرى لا يحق لهم الوصول إليها.

تعرِّف لوائح التحكم في الوصول ACL (تُكتَب أحيانًا "ackles") مجموعة من الأذونات (Permissions) المرتبطة بكائن، وتُحدِّد العمليّات التي يُسمَح لمستخدم أو برنامج إجراؤها على الكائن. سنشرح في هذا الدرس ماهية لوائح التحكم في الوصول والمبادئ التي تتحكم في عملها على موجِّهات Cisco.

في الشبكات تُستخدَم لوائح التحكم في الوصول للتعرف على البيانات المتبادلة في الشبكة، أو بين الشبكة والخارج، والتحكم في حركة تلك البيانات، وهي من هذا المنطلق وسيلة أمنية لتأمين الشبكات وعزل حركة البيانات غير المرغوب بها. توجد أنواع عدّة من لوائح التحكم في الوصول، سنتعرَّف عليها في درس لاحق.

لاستخدام ACL ننشئ لائحة من التعليمات (Statements) تتضمن مجموعة من المعاملات (Parameters) مثل الوِجهة، والمصدر وبطاقة الشبكة. نضع شروطًا على الرزم (Packets) مثل أن تكون قادمة من شبكة A أو متجه إلى الشبكة B، ثم نحدّد إجراءً (Action) ينبغي تنفيذه في حال تحقق الشروط. مثلًا، نقبل الرزم التي يتحقق فيها الشرط "قادمة من الشبكة A" ونتركها تمر عبرالموجِّه إلى وجهتها. يمكن أن يكون الإجراء واحدًا من اثنين : القبول (Permit) أو المنع (Deny). يعني القبول أننا نسمح بمرور الرزمة في حين يعني المنع أن الحزمة لن يسمح لها بالمرور.

يمكن أن تستخدم لوائح التحكم في الوصول على الموجِّهات، أو المبدلات، أو الجدران النارية (Firewalls).

العمليّات على لوائح التحكم في الوصول

تعمل لوائح التحكم في الوصول وفقًا للمخطَّط البياني الموضَّح في الشكل التالي.

يبدو المخطَّط للوهلة الأولى معقَّدًا، ويصعب فهم المثلّثات والمربّعات وتتبّع الإجابات فيه (نعم Y، ولا N). تشير المثلّثات إلى وجود اختبار، والمستطيلات إلى إجراء يمكن تنفيذه (القبول أو المنع). تبدأ الرزمة بالمرور على أول اختبار وفي حال تحقق الشروط يُنفَّذ الإجراء (Permit أو Deny) المُحدَّد، وإنْ لم يتحقق الشرط تتجاوز إلى الاختبار الموالي (المثلث).

تتبع لوائح التحكم في الوصول قواعد محدَّدة لمعالجة الرزم :

• البدء من الأعلى إلى الأسفل (تنفيذ الاختبارات أولًا بأول)،
• تنفيذ الإجراءات فور توافق الرزمة مع اختبار،
• المنع الضمني إن لم توافق الرزمة أي اختبار.

تلخّص هذه الخطوات الثلاث كل ما نراه في المخطَّط السابق.

تعمل لوائح التحكم في الوصول على تنفيذ الاختبارات الواحد تلو الآخر، بدءًا بأول اختبار (المبدأ الأول). إنْ تحقّق شرط فإننا نتوقف فورًا ولا نمرّ إلى الاختبار الموالي، وننتقل مباشرة إلى الإجراء المصاحب للشرط المتحقّق وننفذ هذا الإجراء (المبدأ الثاني). أما إنْ استنفدنا الاختبارات جميعها دون الحصول على توافق فإن الرزمة تُمنَع من المرور وفق ما يقتضيه المبدأ الثالث. يعني منع رزمة من المرور أنها ستُحذَف ولن تُعاد إلى المصدر الذي أتت منه.

تجدر الإشارة إلى أنه يمكن أن تكون لائحة التحكم في الوصول فارغة، وفي هذه الحالة سيُسمَح بمرور الرزم جميعها، ولا يُطبَّق عليها مبدأ المنع الضمني المذكور أعلاه. علاوةً على ذلك، لا تتحكم لوائح التحكم في الوصول في الرزم التي مصدرها الموجِّه الذي تعمل عليه، بل فقط في البيانات القادمة من بطاقات الشبكة.

ترجمة – وبتصرّف – للمقال Understanding Access Control Lists

نأتي في هذا الدرس، بعد أن تطرّقنا في دروس سابقة إلى مبادئ عمل OSPF، نأتي إلى طريقة ضبط البروتوكول للعمل على موجِّهات Cisco.

سنعمل خلال هذا الدرس على مُخطَّط شبكة ذات منطقة واحدة، وبموجهيْن كما في الصورة التوضيحية التالية.

تتكون الشبكة من موجه موجود في المقر الرئيس (Headquarter أو HQ) وآخر يوجد في فرع (Branch) يتصلان بشبكة نريد تفعيل بروتوكول OSPF عليها.

إعداد بروتوكول OSPF على موجه الفرع

نبدأ بتفعيل وضع الإدارة (enable) ثم ندخل إلى وضع الضبط العام (config t)، ثم نستخدم الأمر router لضبط إعدادات بروتوكول التوجيه، أي OSPF.

Branch(config)# router ospf 1
Branch(config-router)# network 10.0.0.0 0.255.255.255 area 0

معرّف العملية في OSPF

نمرِّر للأمر router معطى بالبروتوكول الذي نريد ضبطه (ospf) متبوعًا بعدد (‎1) يمثل معرّف العملية (Process ID)، وهو معرّف مختلف عن معرّف الموجّه (Router ID) الذي تحدثنا عنه في الدرس السابق. يمكِّن معرّف العملية من تشغيل عمليّات OSPF عدّة على الموجّه نفسه. من المهم الانتباه إلى أنه لا يُلجَأ لتشغيل عمليّات OSPF مختلفة على الموجّه نفسه إلا في حالات خاصة، مثلًا عندما يريد مزوِّد خدمة الفصل بين توجيه البيانات القادمة من شركاء مختلفين. لا يُنصَح في الحالات العادية باستخدام عمليّات OSPF عدّة على الموجّه.

احرص على التأكد من استخدام معرّف العمليّة المناسب، وإلا فقد يحصل خلط بين العمليّات يؤدّي إلى التشويش على الضبط. استخدمنا العدد 1 لمعرّف عمليّة OSPF في الأمثلة السابقة.

ننتقل بعد تنفيذ الأمر router ospf إلى وضع إعداد البروتوكول حيث ننفّذ الأمر network، وهو أمر مهمّ في ضبط إعدادات بروتوكول التوجيه. قد يبدو للوهلة الأولى أن مهمة الأمر هي الإعلان عن الشبكات المتصلة بالموجّه، إلا أن ذلك غير دقيق. تتمثّل مهمة الأمر network في تفعيل عمليّة التوجيه على بطاقات الشبكة (Interfaces).

يخبر الأمر network الموجّه أن بروتوكول OSPF يعمل على البطاقة المُحدَّدة. يعني إدراج بطاقة شبكة ضمن عمليّة OSPF أننا بصدد إدراجها ضمن النظام المستقل (Autonomous system) الخاصّ بعملية OSPF المذكورة. ينبغي أن تكون الإستراتيجية المبدئيّة هي تضمين جميع بطاقات الشبكة النشطة (الحالة up/up) التي لديها عنوان IP ضمن مجال التوجيه. يمكن أن تُستثنى بعضٌ من البطاقات في حالات خاصّة مثل الاتصال بشبكة خارجية - شريك تجاري أو شبكة للاختبار مثلًا - لا ترغب في تضمينها ضمن النظام المستقل. المشكل في الأمر هنا هو أنّنا لا نرى أي دور لبطاقات الشبكة عندما ننظر إلى صيغة الأمر network في الأمثلة السابقة.

قناع محرف البدل (Wildcard mask)

لا تظهر للوهلة الأولى علاقة البطاقات بالأمر، إلّا أن العلاقة تكمن في عنوان IP والقناع الذي يليه في الأمر، والذي يُسمَّى قناع محرف البدل. يعمل قناع مِحرف البدل كمحدِّد لمجال عناوين ويشبه قناع الشبكة في طريقة كتابته، إلّا أن البتات في محرف البدل تؤدّي دورًا معاكسًا لدورها في أقنعة الشبكة.

يدلّ البت 0 في قناع محرف البدل أنّ البت المقابل من عنوان IP يجب أن يكون مطابقًا، في حين يدلّ البت 1 أنه لا حاجة للمطابقة (لا ننسى أن 255 في الكتابة العشرية لعناوين IP تحلّ محل 11111111 في الكتابة بالنظام الثنائي). إذا كان لدينا مثلًا العنوان 192.168.2.0 وقناع محرف البدل 0.0.0.255 فإن مجال العناوين المطابقة هو الذي يبدأ بالعنوان 192.168.2.0 وينتهي بالعنوان 192.168.2.255. نرى هنا أن المواضع التي تحوي 0 في قناع محرف البدل تبقى ثابتة (192.168.2)، في حين تتغيّر المواضع التي تحوي 1 في قناع محرف البدل.

يعمل الأمر network على تضمين بطاقات الشبكة التي توافق العنوان وقناع محرف البدل ضمن عمليّة البروتوكول OSPF. يعني ذلك أنّ الأمر network 10.0.0.0 0.255.255.255 area 0 سيبحث عن بطاقات الشبكة النشطة على الموجّه والتي يقع عنوان IP الخاص بها ضمن المجال الذي يبدأ بالعنوان 10.0.0.0 وينتهي بالعنوان 10.255.255.255.

نستنتج من الفقرة أعلاه أن تفعيل عمليّة OSPF على بطاقات الشبكة يتمّ عبر مطابقة عنوانها مع مجال العناوين المحدَّد بالعنوان والقناع المُمرَّريْن للأمر network.

إنْ أمعنَّا النظر في إعدادات الموجّه Branch في الصورة التوضيحية أعلاه فسنلاحظ وجود أسماء مُنقَّطة لبطاقات الشبكة، مثلًا Gi0/0.1 وGi0/0.10. تحيل هذه الأسماء إلى بطاقات فرعية، أي أننا أمام شبكات محليّة وهمية (Virtual LAN). تدخل عناوين الشبكات الفرعية المُعدَّة على الموجّه Branch ضمن المجال المُحدَّد في أمر الإعداد network، وهو ما يعني أن الموجّه سيُعلِن عبر بروتوكول OSPF عن تلك الشبكات.

الأمر network فعّال جدًّا في ضبط بطاقات الشبكة للعمل ضمن عمليّة OSPF، إلّا أنه قد يتطلب استعمال أقنعة محرف بدل معقَّدة، لاختيار البطاقات المُراد ضمّها للعملية؛ لذا فقد عمدت Cisco إلى توفير طريقة أخرى لتضمين بطاقات الشبكة ضمن عمليّة OSPF.

ضبط عملية OSPF على بطاقات الشبكة مباشرة

تتمثّل هذه الطريقة في الذهاب مباشرة إلى بطاقة الشبكة وتفعيل العملية عليها. فيما يلي مثال لاستخدام هذه الطريقة على بطاقة الشبكة GigabitEthernet 0/1:

Branch(config)# interface GigabitEthernet 0/1
Branch(config-if)# ip ospf 1 area 0

يتلخص تفعيل عمليّة OSPF على بطاقة الشبكة في الدخول إلى وضع ضبط البطاقة عبر الأمر interface ثم الأمر ip ospf لضبط إعدادات بروتوكول OSPF إذ نمرّر له معرّف العمليّة والمنطقة.

يُرجَى ملاحظة أن الضبط على مستوى بطاقة الشبكة له الأولوية على الضبط على مستوى الشبكة (الأمر network)، أي أنه إذا كان عنوان بطاقة شبكة يقع ضمن مجال عناوين مُحدَّد بالأمر network وضُبِط باستخدام الأمر ip ospf بعد الدخول إلى وضع ضبط البطاقة، فإنّ هذا الضبط الأخير هو الذي سيُعتمَد.

نرى بالنظر في الأمر network في الأمثلة أعلاه أنه لا يكتمل بتمرير عنوان IP والقناع بل يُحدِّد المنطقة (Area) التي تنتمي إليها بطاقة الشبكة، وهي في هذه الحالة المنطقة 0، التي تعرَف بمنطقة العمود الفقري (Backbone area) والتي يجب أن ترتبط بها بقية مناطق OSPF جميعا.

إعداد بروتوكول OSPF على موجه المقر الرئيس

نطبِّق الأوامر التالية على الموجّه في المقر الرئيس (HQ):

HQ(config)# router ospf 1
HQ(config-router)# network 172.16.1.0 0.0.0.255 area 0
HQ(config-router)# network 192.168.1.2 0.0.0.0 area 0

نلاحظ استخدام المعرّف 1 لعمليّة OSPF في الأمر router، ولكن هذا لا يعني أن معرّف العملية يجب أن يطابق معرّف عملية OSPF على الموجّه الآخر (الفرع). يمكن أن نختار المعرّف الذي نريده، ولكن من الأفضل الاستقرار على معرّف واحد حتى لا يحدث خلط وتشويش فنضبط عمليات OSPF عدّة دون الحاجة لذلك. نلاحظ بالانتقال إلى أوامر network أن الأمر الأول يستخدم العنوان 172.16.1.0 مع قناع محرف البدل 0.0.0.255؛ وهو ما يعني أننا نريد تضمين بطاقات الشبكة التي يقع عنوانها في المجال من 172.16.1.0 إلى 172.16.1.255 ضمن نطاق التوجيه، وبالتالي يمكن إرسال رزم ترحيب (Hello packet) واستلامها، وبالتالي إنشاء علاقات جوار بين الموجّهات والشبكات.

قناع محرف بدل لعنوان IP مُحدَّد

نلاحظ في أمر network الثاني أن قناع محرف البدل يتكون من أصفار فقط (0.0.0.0). لا ننسى أن قناع محرف البدل يعبر عن مجال من عناوين IP، وعندما يتكون من أصفار فقط فهذا يعني أن المطابقة مع عنوان IP يجب أن تكون تامة، أي أن عنوان بداية المجال هو نفسه عنوان نهاية المجال، وبالتالي فمجال العناوين ينحصر في عنوان وحيد فقط، وهذا هو قناع محرف البدل الأكثر تحديدًا. يخبر هذا الأمر عملية OSPF أنه يريد بطاقة الشبكة لديها العنوان 192.168.1.2.

تنصح Cisco بتفضيل استخدام الأقنعة الأكثر تحديدًا، أي بمجال عناوين لا يحوي سوى عناوين البطاقة التي نحتاجها. قد يؤدي مجال بعناوين IP أكثر من الحاجة إلى حدوث مفاجآت من قبيل تضمين بطاقة تتصل بشبكة غير جاهزة أو غير مخصصة للعمل في إطار منطقة OSPF، وهو ما يعني صعوبة في تشخيص المشاكل. يؤدي استخدام أقنعة بعناوين محدَّدة إلى تحكم أكثر في عملية OSPF. يجب أن يوافق معرّف المنطقة (Area ID) على بطاقة الشبكة معرّف المنطقة المضبوط على بطاقة الشبكة في الموجّه الآخر حتى ينتميا للمنطقة نفسها. في المثال السابق، وبما أننا نعمل ضمن شبكة وحيدة – العمود الفقري – فإن بطاقات الشبكة تحمل جميعها معرّف المنطقة نفسه (0).

ترجمة – وبتصرف – للمقال Configuring Single Area OSPF.

نستخدم في حياتنا اليومية الكثير من الوحدات لقياس المسافة، مثل المتر، والبوصة، والياردة، وغيرها. بالنسبة للشبكات المعلوماتية – وخصوصًا عندما يتعلّق الأمر ببروتوكول OSPF - فإنّ وحدة القياس المستخدَمة هي الكلفة أو التكلفة (Cost). عندما نتحدّث عن وحدة القياس في إطار بروتوكول OSPF فإن المقصود هو التكلفة.

تكلفة المسار

يحتفظ كلّ موجِّه عامل ببروتوكول OSPF بتكلفة المسارات إلى كلّ واحدة من الوِجهات التي يمكنه الوصول إليها. يعتمد حساب التكلفة مبدئيًّا على سرعة التراسل الشبكي (Bandwidth) المتوفّرة، فإذا كانت السرعة عالية تكون التكلفة أقل، أما إذا كانت السرعة منخفضة فإن التكلفة تصبح أقل؛ أي أن التناسب عكسي. تجمع خوارزمية OSPF تكاليف التراسل عبر جميع الروابط في مسار معيَّن للحصول على التكلفة النهائية للمسار، ثم يوازن بين تكاليف المسارات لاختيار الأقل تكلفة.

تُحسَب التكلفة انطلاقًا من ما يُعرَف بالتراسل الشبكي المرجعي (Reference bandwidth)، الذي تساوي قيمته المبدئية 100‎ Mbps (بطاقة Fast Ethernet). تُقسَّم قيمة سرعة التراسل الشبكي بالنسبة لرابط معيَّن على القيمة المرجعية الآنفة الذكر للحصول على تكلفة الرابط؛ أي أن تكلفة رابط بسرعة 100‎ Mbps تبلغ 1.

يجب الانتباه إلى أن القيمة 1 هي أدنى قيمة للتكلفة بالنسبة لبروتوكول OSPF، كما أن القيمة عدد صحيح دائمًا، بمعنى أنها لا تحوي أي فاصلة. يعني ذلك أننا أمام إشكالية بالنسبة للروابط التي تزيد سرعتها عن 100‎ Mbps، فسرعات مثل 10‎ Gbps و40‎ Gbps تفوق كثيرًا 100‎ Mbps، إلّا أن تكلفتها بحساب القيمة المرجعية للتراسل الشبكي ستكون 1، وبالتالي تتساوى في التكلفة مع 100‎ Mbps رغم أنها أسرع منها بمئة مرة أو أكثر.

ضبط طريق حساب التكلفة

توجد طريقتان لمعالجة الإشكالية المذكورة أعلاه. الطريقة الأولى هي تحديد التكلفة مباشرة بالنسبة لكل بطاقة شبكة على الموجِّه بالأمر ip ospf cost؛ أما الطريقة الثانية – وهي الأفضل – فتتمثل في تغيير القيمة المرجعية للتراسل الشبكي. يُفضَّل أن تأخذ القيمة المرجعية بالحسبان سرعة الروابط المتوفرة في الشبكة بحيث تكون القيمة الدنيا للتكلفة (أي 1) من نصيب الروابط ذات السرعات العالية. تجدر الإشارة إلى أنّه يمكن أن تكون لكل موجِّه قيمة مرجعية خاصة به، إلا أنه يُنصَح باستخدام القيمة المرجعية نفسها في عموم الشبكة.

يُستخدَم الأمر auto-cost reference-bandwidth لتعيين قيمة التراسل الشبكي المرجعي (بالميغابت في الثانية Mbps):

Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# router ospf 100
Router(config-router)# auto-cost reference-bandwidth 1000
% OSPF: Reference bandwidth is changed.
Please ensure reference bandwidth is consistent across all routers.

آلية اختيار معرِّف الموجِّه

يدخُل معرِّف الموجِّه في الكثير من الاستخدامات، ممّا يجعل ثباته وتوقّع قيمته أمرًا أساسيًَّا، غير أنّ الطريقة المبدئية لتعيينه تجعله قيمته قابلة للتغير من إعادة تشغيل إلى أخرى.

يُختار معرّف الموجِّه أثناء بدء عمل بروتوكول OSPF. يعتمد البروتوكول على عناوين IP البطاقات لحساب المعرِّف. يبدأ الموجِّه الذي يشغِّل OSPF بالنظر في بطاقات الشبكة الفيزيائية (Physical interfaces) وينظُر في حالة البطاقة، فإذا كانت up/up فهي مؤهَّلة لأن يدخل عنوانها في عملية الاختيار، أما إذا كانت حالتها up/down أو down/down أو مُعطَّلة فلا تؤخَذ بالحسبان. إذا كانت بطاقة واحدة في وضع العمل (up/up) فسيختار البروتوكول عنوانها لحساب المعرِّف، أما إذا كان عدد البطاقات العاملة أكثر فسيُختار عنوان البطاقة الأكبر عدديًا، حيث توازن عناوين IP من اليسار إلى اليمين. عنوان يبدأ – مثلًا – بـ 192 أكبر من عنوان يبدأ بـ 10، فإذا كان الجزء الأول متساويًّا بين عنوانين ننتقل إلى الجزء الثاني، ثم إلى الجزء الثالث وهكذا. العنوان 192.168.2.110 - مثلًا - أكبر من 192.168.2.100.

يمكن أن نلاحظ أن طريقة الاختيار المبدئية للبطاقة والعنوان الذين سيعتمد عليهما حساب المعرِّف لا تضمن استقرار معرِّفات الموجِّهات، إذ يمكن أن تتغير بعد إعادة التشغيل إذا تغيرت حالة بطاقات الشبكة. توجد طريقتان لضمان استقرار معرِّف الموجِّه حتى بعد إعادة التشغيل.

تحديد قيمة المعرِّف يدويّا

تتمثل الطريقة الأولى في تحديد معرِّف الموجِّه يدويّا بالأمر router-id كما في المثال التالي:

RouterX(config)# router ospf 100
RouterX(config-router)# router-id 10.2.2.2
RouterX(config-router)# end
RouterX# copy running-config startup-config
RouterX# clear ip ospf process 

استخدام بطاقات الاسترجاع (Loopback interfaces)

تستخدم الطريقة الثانية ما يُعرَف ببطاقات الاسترجاع، وهي بطاقات شبكة برمجية افتراضية (غير فيزيائية) توجد على الموجِّهات، ومُعدَّة لمحاكاة بطاقة شبكة فيزائية. تُستخدَم بطاقات الاسترجاع لأغراض عدّة مثل إدارة الموجِّه ومحاكاة الاتصال بشبكة معيَّنة. تتميّز بطاقة الاسترجاع – على افتراض تفعيلها - بكونها دائمًا على وضع التشغيل، إذ أنها تبدأ في العمل فور تشغيل الموجِّه، وهو ما يعني أنها تتمتع بالاستقرار، عكس البطاقات الملموسة.

ماذا لو كانت لدينا بطاقات استرجاع عدة؟ في هذه الحالة يطبِّق بروتوكول OSPF المبدأ نفسه الذي يتبعه عند الاختيار بين بطاقات ملموسة عدّة، أي عنوان البطاقة الأكبر.

الخلاصة بخصوص معرّف الموجِّه هي أنه سيكون العنوان الأكبر من بين عناوين بطاقات الشبكة الملموسة، إلّا إذا ضُبطت إعدادات بطاقات الاسترجاع، وحينها سيكون معرِّف الموجِّه هو العنوان الأكبر بين عناوين بطاقات الاسترجاع.

يُستخدَم الأمر interface لإعداد بطاقات الاسترجاع، كما في المثال التالي:

R1# configure terminal
R1(config)# interface loopback 0
R1(config-if)# ip address 1.1.1.1 255.0.0.0
R1(config-if)# ip ospf 100 area 0
R1(config-if)# exit
R1(config)

ترجمة – وبتصرف – للمقال SPF Algorithm and OSPF Router ID

يُصنَّف بروتوكول OSPF (اختصارًا لـ Open Shortest Path First، المسار المفتوح الأقصر أولًّا) ضمن بروتوكولات حالة الربط، وقد طوّرته جمعيّة مجموعة مهندسي شبكة الإنترنت (IETF) ليكون بديلًا عن بروتوكول RIP.

تختلف بروتوكولات حالة الربط عن بروتوكولات متجه المسافة، إذ أن بروتوكولات حالة الربط تعمل على تكوين علاقات جوار بين مكوِّنات الشبكة عن طريق تتبّع حالة بطاقات الشبكة. تأخذ بطاقات الشبكة واحدةً من ثلاث حالات:

• up/up، وتعني أنّ كلًّا من الطبقة الأولى (الطبقة الفيزيائيّة) والثانيّة (طبقة وصل البيانات) تعملان جيّدًا؛
• up/down، وتدلّ على وجود مشكلة في بروتوكول وصل البيانات (الطبقة الثانيّة)؛
• down/down، وتشير إلى وجود مشكلة في الكابل (الطبقة الثانيّة).

استخدم الأمر sh ip int brie لعرض ملخَّص لضبط بطاقات الشبكة. راجع درس بدء تشغيل الموجهات (Routers) عند بناء الشبكات للمزيد.

يراقب الموجِّه، على افتراض استخدام البروتكول OSPF، حالة بطاقات الشبكة وفور تبدّل الحالة عن up/up فإنه يرسل إشعارًا بحالة الربط LSA‏ (Link-State Advertisement)، إذ نعني بالربط هنا بطاقة الشبكة، والحالة كونها تعمل (up) أم لا (down). في حال عودة بطاقة الشبكة للعمل (up/up) يرسل الموجِّه إشعارًا جديدًا بذلك. ينتشر الإشعار عبر ما يُعرَف بالمناطق (Areas)، ويمرّ على الأجهزة الموجودة بين المناطق، المعروفة بالموجِّهات الحدوديّة (Border routers) كما سنرى لاحقا. يجمع بروتوكول OSPF المعلومات التي يتحصّل عليها من أجل بناء مخطَّط يشمل جميع المسارات المتوفّرة في الشبكة، ويحتفظ بها في قاعدة بيانات تُسمَّى قاعدة بيانات حالة الربط (Link-State Database, LSDB)، ثم يستخدم خوارزميّة طوّرها عالم الحاسوب إدسخر ديكسترا (Edsger W. Dijkstra) سنة 1956 للحصول على أقصر مسار إلى كلّ شبكة أو شبكة فرعيّة ضمن المخطَّط. يعمل بروتوكول OSPF على إنشاء ثلاثة جداول:

• جدول الجوار (Neighbor table)، ويشمل جميع الموجهات المجاورة التي أنشأ معها علاقة جوار، والتي ستُتَبادل معها المعلومات.
• جدول المُخطَّط (Topology table)، ويحوي خارطة كاملة للشبكة بما في ذلك موجهات OSPF المتاحة والمسارات الأفضل، والمسارات البديلة للمسارات الأفضل في حال عدم توفرها.
• جدول التوجيه (Routing table)، ويتضمّن المسار الأفضل في الظروف الحاليّة، والذي سيُستخدَم لتوجيه حركة البيانات بين الموجهات المتجاورة.

مفهوم الجوار في OSPF

يعدّ مفهوم تقارب الجوار (Neighbor adjacency) أحد المفاهيم الأساسيّة في OSPF. إنْ أردنا معرفة طرق الوصول إلى الوِجهات باستخدام OSPF فعلينا إنشاء علاقات جوار بالموجِّهات. تُستخدَم لهذا الغرض رزم تُعرَف برزم الترحيب (Hello packet) التي تستخدم عناوين بثّ متعدّد (Multicast) معروفة. عرضنا للبثّ المتعدّد في السابق أثناء شرح بروتوكول Ethernet إذ قلنا إنّ الإرسال في الشبكة المحلية إمّا أن يكون ذا وجهة وحيدة (Unicast)، أو إلى جميع الأجهزة (البث الإذاعي Broadcast)، أو أن يكون وسطًا بين الإثنين (البث المتعدّد Multicast).

تحدّثنا في درس فهم طبقة الإنترنت في TCP/IP عن تقسيم عناوين IP إلى فئات A، و B، و C. توجد فئة عناوين آخرى خاصّة تُسمَّى الفئة D تشمل العناوين من 224.0.0.0 إلى 239.255.255.255. عندما يريد موجِّه إرسال رزمة إلى أجهزة محدَّدة فإنّه يرسل الرزمة إلى عنوان IP الذي يعرِّف مجموعة الأجهزة تلك، مثلًا 224.1.2.3، يتلقّى الموجِّه الرسالة عندما يكون عضوًا في المجموعة، بمعنى أنّ لديه عنوان البثّ المتعدّد نفسه (224.1.2.3 في المثال السابق)، فيُنشِئ نسخًا جديدة من الرزمة ويعيد بثّها إلى شبكته الفرعيّة باستخدام رزمة متعدّدة الوجهات من الطبقة الثانية (إيثرنت).

يستخدم بروتوكول OSPF عنوان البثّ المتعدّد 224.0.0.5 لإرسال رزم الترحيب التي تهدف إلى تكوين علاقات جوار بين الموجِّهات، لذا فإنّه على الموجِّه أن يكون عضوًا في المجموعة التي تستخدم العنوان المذكور. سنتعمّق في علاقات الجوار في OSPF في الدروس القادمة.

يبدأ بروتوكول OSPF إذن بتكوين علاقات جوار بين الموجِّهات التي تستخدمه، فيرسل كلّ موجِّه دوريًّا رزم ترحيب على بطاقات الشبكة التي فُعِّل عليها بروتوكول OSPF معلنة عن جاهزيّته لتكوين علاقات جوار. ولكن ممّ تتكوّن رزم الترحيب تلك؟ ماذا لو حلّلنا بنية رزم الترحيب. سيساعد هذا الأمر كثيرًا الطلاب الذين يستعدّون لخوض امتحان الشهادة المتخصّصة، فهو من المواضيع التي يركّز عليها الامتحان.

تتكوَّن رزم الترحيب من حقول عدّة، أهمّها:

• معرّف الموجِّه (ID): وهي قيمة من 32 بتًّا تُعرِّف الموجِّه في الشبكة، تُستنتَج عادةً من عنوان IP الخاص بالبطاق. يجب أن تكون هذه القيمة فريدة ومستقرّة.
• معرِّف المنطقة (Area) التي ينتمي إليها الموجِّه، والمنطقة – كما سنرى أدناه – هي تقسيم منطقي للنظام المستقلّ (Autonomous System) بحيث تجتمع موجِّهات ضمن منطقة واحدة من أجل تسهيل الإدارة والرفع من أداء البروتكول. يبلغ حجم معرِّف المنطقة 32 بتا.
• مؤقّت الترحيب (Hello interval): يحدّد المدة الفاصلة بين إرسال رزمتيْ ترحيب. يجب أن يتطابق مؤقِّت الترحيب بين الموجهات المتجاورة في OSPF، وإلّا فإن مخطَّط التجاور لن يعمل. القيمة المبدئيّة للمؤقّت هي 10 ثوان.
• مؤقّت الخمول (Dead interval): يحدّد المدّة القصوى التي إن تجاوزها الموجِّه دون إرسال رزمة ترحيب فإنّه يعدّ خارج الخدمة. تكون قيمة مؤقّت الخمول – مبدئيًّا – أربعة أضعاف قيمة مؤقّت الترحيب، فإذا كانت قيمة مؤقّت الترحيب 10 ثوان فإنّ قيمة مؤقّت الخمول 40 ثانية. يجب أن تتطابق هذه القيمة أيضًا بين الموجِّهات.
• معرّفات الموجِّهات المجاورة: تشمل الموجهات التي تلقى منها رزم ترحيب ضمن المجال المسموح به.

يجب الانتباه إلى أنّ علاقة الجوار في OSPF هي علاقة متبادلة، فالموجِّه R1 يرسل رزمة ترحيب إلى الموجِّه R2 ولكنه لا يعتمد هذا الموجِّه ضمن جواره إلّا إذا تلقى منه رزمة ترحيب تفيد بأنّ العلاقة متبادلة، بمعنى أنّ معرِّف R1 يوجد ضمن حقل معرّفات الموجِّهات المجاورة في رزمة الترحيب القادمة من الموجّه R2. الأمر نفسه ينطبق على R2.

مفهوم المنطقة في OSPF

يتوفّر بروتوكول OSPF على خاصيّة مميِّزة وهي مناطق التوجيه (Routing areas)، وتتمثّل في تقسيم الموجِّهات ضمن نظام مستقلّ يعمل ببروتوكول OSPF إلى مناطق بحيث تتكوّن كل منطقة من مجموعة من الموجِّهات المترابطة فيما بينها. تهدف المناطق إلى تسهيل الإدارة والتحسين من استخدام الموارد المتوفّرة في الشبكة. يعدّ ترشيد موارد الشبكة غاية الأهميّة في الشبكات الكبيرة، التي تحوي الكثير من الشبكات الفرعيّة والروابط. قد يؤدّي تبادل قاعدة بيانات حالة الربط (LSDB) في الشبكات الكبيرة إلى ملْء الشبكة بالرزم والحدّ بالتالي من أدائها، وبالتالي لُجئ إلى إنشاء المناطق.

تشترك الموجِّهات التي تنتمي إلى المنطقة نفسها في قيمة معرِّف المنطقة. تحمل المنطقة الأولى المُنشَأة في الشبكة الرقم 0 و تُسمَّى بمنطقة العمود الفقري (Backbone area). يجب أن ترتبط مناطق الشبكة جميعها بمنطقة العمود الفقري عن طريق موجِّهات تُسمَّى موجِّهات حدود المنطقة ABR‏ (اختصارًا إلى Area Boarder Routers). تمرّ البيانات التي تنتقل من منطقة إلى أخرى حتمًا بمنطقة العمود الفقري.

تتقاسم الموجهات في المنطقة جدول المُخطَّط وقاعدة بيانات حالة الربط، إلّا أنّ لكلّ منها جدول توجيه مختلفًا، نظرًا لكون OSPF يحسب المسارات الأفضل بالنسبة لكلّ موجِّه اعتمادًا على موقعه في الشبكة. لا يتضمّن جدول المُخطَّط داخل المنطقة سوى المعلومات المتعلِّقة بموجِّهات المنطقة

• تمنح حدود المناطق الفرصة لتجميع المسارات، رغم أنّ بروتوكولات حالة الربط لا تتيح هذه الإمكانيّة عادةً، نظرًا لأنّه من المفترَض أن يكون لدى الموجِّهات جميعًا مخطّط الشبكة نفسه، في حين أنّ OSPF يستخدم مناطق لها مخطّط خاصّ بها.
• تجنّب إغراق الشبكة بإشعارات حالة الربط (LSA)، خصوصًا في الشبكات الكبيرة جدًّا التي تتعرّض للتغيير باستمرار، حيث لا تتلقّى الموجّهات سوى الإشعارات من الموجِّهات التي تشترك معها في المنطقة.

ترجمة - بتصرّف - للمقال Introducing OSPF.

سنتناول في هذا المقال كيفيّة ضبط بروتوكول RIP، وهو من بروتوكولات متّجه المسافة، على موجّهات Cisco. سنحلّل هذا البروتوكول اعتمادًا على ثلاثة عوامل:

• استكشاف الموجّهات للشبكات الأخرى،
• الحصول على معلومات عن الشبكة،
• تعامل البروتوكول مع التغييرات في مخطَّط الشبكة.

نظرة عامّة على بروتوكول RIP

العامل الأوّل الذي سندرُس من خلاله بروتوكول RIP هو كيف يستكشف كلّ موجّه بقيّة الموجِّهات الموجودة معه في الشبكة. تعتمد الموجِّهات التي تستخدم بروتوكولات متّجه المسافة - مثل RIP - على الموجِّهات المجاورة لتخبرها بالاتجاه الذي يجب أخذه للوصول إلى الوجهة، والمسافة معها. أي أن موجِّهًا يستخدم بروتوكول RIP يخبرالموجِّهات المجاورة له بالوجهات التي لديه معلومات عنها، كما أنّه يتلقّى معلومات من الموجِّهات المجاورة له التي تستخدم نفس البروتوكول. يعني هذا أن التوجيه يعتمد على سلسلة من التفاعلات بين الموجِّهات.

إنْ حصل تغيير على وِجهة لا ترتبط مياشرةً بالموجِّه فسينتظر أن تصله التغييرات من الموجِّهات المجاورة له، والتي تنتظر أن تصلها التغييرات من الموجِّهات المجاورة لها، وهو ما يجعل اكتشاف التغييرات الحاصلة في الشبكة عمليّةً بطيئة، علاوة على أنها معلومات قد تكون من موجِّه ليس لديه اتّصال مباشر بمصدر التغيير، وهو ما يجعلها معلومات غير دقيقة. تتبادل الموجِّهات العاملة ببروتوكول RIP جداول التوجيه كاملةً مع الموجِّهات المجاورة لها، ممّا ينتُج عنه بطء في الأداء. يعتمد الإصدار الأوّل من RIP على إذاعة (Broadcast) هذه المعلومات على الشبكة، وهي طريقة أكثر بطئًا وأقل فاعليّة.

فيما يخصّ كيفية حصول بروتوكولات متجه المسافة على المعلومة، فإنّه توجد إشعارات دوريّة بجدول التوجيه كاملًا ترسلها الموجِّهات إلى الموجِّهات المتصلة بها مباشرة. بعضٌ من المسارات المُضمَّنة في جدول التوجيه المُرسَل قادمة من موجِّهات بعيدة، لذا فهي ليست شديدة الموثوقيّة. يوضّح الشكل أدناه سلسلة تفاعل بين ثلاثة موجِّهات A‏، B، وC؛ وكيف يمكن للموجِّه A الحصول على معلومات عن شبكات متّصلة بالموجِّه C. تُتَبادل المعلومات دوريًّا، وتشمل جدول التوجيه بكامله، فحتى إنْ لم يحدُث أي تغيير فإنّ الموجّهات تستمرّ في إخبار جيرانها بالمعلومات نفسها.

أداء بروتوكول RIP

تميل مدة التقارب في بروتوكولات متجه المسافة - مثل RIP - إلى البطء، ممّا يعني أن الموجِّه سيستغرق وقتًا طويلًا حتى يعرف بوجود تغيير في الشبكة ويختار بالتالي مسارًا مختلفًا للرزم. قد تصل هذه المدة إلى دقائق، وهي مدة طويلة. نظرًا لطول مدّة التقارب فإنّ بروتوكوللات متجه المسافة عرضة لحلقات التوجيه (Routing loops) التي تحصُل عندما تستمر الرزم في الانتقال بين الموجِّهات نفسها، ضمن حلقة غير منتهية. يستخدم بروتكول RIP لمنع حدوث الحلقات غير المنتهية حدًّا أقصى لتكلفة المسار، وإذا تجاوزت الرزمة هذا الحد فإنّ الموجِّه يلغيها ولا يعيد توجيهها.

تُحسَب التكلفة بالاعتماد على عدد القفزات (الموجّهات) التي يتكوَّن منها المسار. تعدّ هذه الوسيلة غير فعّالة في حالة وجود مُخطَّط شبكة بمسارات مُكرَّرة توصِل إلى الوجهة نفسها. إذا افترضنا أنّ السرعة T1 في المُخطَّط أعلاه أكبر بكثير من 19.2، فإنّ ذلك لن يشفع - عند استخدام RIP - للمسار الذي يمرّ عبر ثلاثة موجّهات رغم أنّه الأسرع، وسيُفضَّل عليه المسار الذي يمرّ على موجِّه واحد. يجعل هذا الأمر من RIP بروتوكولًا غير فعّال وغير مناسب للشبكات الكبيرة جدًّا، ينضاف إلى ذلك الإعلان عن المسارات بواسطة إشعارات دوريّة، ممّا يمثّل عبئًا إضافيّا.

موازنة بين الإصدارين الأول والثاني من بروتوكول RIP

أعدّ مصمّمو بروتوكول RIP إصدارًا ثانيًّا للتحسين من أداء البروتوكول. تضمّن الإصدار الثاني تحسينات من قبيل جعل البروتوكول عديم الفئة (Classless protocol)، وهو ما يعني أنه أصبح يدعم أقنعة شبكة بأحجام متغيّرة فغدت الإشعارات تتضمّن قناع الشبكة إضافة إلى عنوانها. يعني هذا أيضًا أن الإصدار الثاني من البروتوكول يمكنه تجميع المسارات. شملت التحسينات كذلك فاعليّة البروتوكول بحيث أصبحت الإشعارات تتمّ عن طريق بثّ بوِجهات محدَّدة (Multicast) بدلًا من بث إذاعي (Broadcast) شامل.

أُعدَّ الإصدار الثاني باحتساب أمان تبادل المعلومات، فأُضيف دعم الاستيثاق من موجِّه إلى موجِّه (Router-to-router authentication)، ما يعني أنّ الموجِّهات يمكن ألّا تتبادل المعلومات إلّا إذا كانت تتشارك مفتاحًا سرّيًّا خاصًّا. رغم ذلك، يبقى RIP بروتكول متّجه مسافة يعاني من مشاكل التقارب الطويل، وتعيقه الإشعارات الدوريّة وعدد القفزات المحدود.

ضبط توجيه رزم IP

من الأمور الجيّدة بخصوص بروتوكولات التوجيه أنّ إعدادها متجانس على موجّهات Cisco عمومًا، ويتبع الخطوات نفسها. تحتاج أولًا إلى اختيار بروتوكول التوجيه وتفعيله في وضع الضبط العامّ، ثم تحديد الشبكات التي تريد من هذا البروتوكول أن يعلن عنها، ويستقبل من خلالها إشعارات الموجِّهات المجاورة.

تؤدّي البروتوكولات عملها عبر إرسال إشعارات إلى بطاقات الشبكة المتّصلة، وتلقّي إشعارات بواسطتها، إلّا أنّ الإعداد يعتمد على عناوين الشبكات المضبوطة على بطاقات الشبكة في الموجِّه. يجب الانتباه إلى أنّ بعضًا من بروتوكولات التوجيه هي بروتوكولات ذات فئة (Classful) وبالتالي لن تفرّق بين الشبكات الفرعيّة.

ضبط إعدادات البروتوكول RIP

سنتعرّف من خلال هذه الفقرة على الأوامر الأساسيّة لضبط البروتوكول RIP على موجّهات Cisco. نبدأ بالأمر enable للدخول في وضع المستخدم ذي الامتيازات المرتفعة، ثم الأمر config t للدخول في وضع الإعداد العام. تبدأ عمليّة ضبط بروتوكول التوجيه بالأمر router متبوعًا بالبروتوكول الذي نريد ضبطه، أي RIP في هذه الحالة.

RouterA>enable
Password:
RouterA#
RouterA#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RouterA(config)#router rip
RouterA(config-router)#version 2
RouterA(config-router)#network 172.16.0.0
RouterA(config-router)#

نضبُط في السطر التالي الإصدار الذي نريد استخدامه، وهو الإصدار 2، الأحدث وعديم الفئة والأكثر فاعليّة. يعرّف الأمر network الشبكات المتصلة مباشرة بالموجِّه المشاركة في عمل البروتوكول. على الرغم من أنّ الإصدار الثاني من بروتوكول RIP عديم الفئة، إلّا أنّ ضبطه يتبع آليات ضبط البروتوكولات ذات الفئة، وبالتالي فإنّ عنوان الشبكة الذي تحدّده هنا هو عنوان شامل، بدون أقنعة للشبكة. يأخذ RIP قناع الشبكة من إعداد البطاقة التي تتّصل بها الشبكة.

مثال على ضبط RIP

يتطلّب ضبط RIP النظر في بطاقات الشبكة على الموجِّه، وفهم معرِّفات الشبكات المتّصلة بتلك البطاقات أو الموكلة إليها، ثم تفعيل البروتوكول على الشبكات المذكورة. نأخذ المثال المُوضَّح في الصورة أدناه.

يتّصل الموجِّه A في المثال بشبكتيْن عنوانيهما 10.0.0.0 و172.16.0.0، ولذا نفعِّل البروتوكول على الشبكتيْن بالأمر network.

RouterA#
RouterA#conf t
RouterA(config)#router rip
RouterA(config-router)#version 2
RouterA(config-router)#network 172.16.0.0
RouterA(config-router)#network 10.0.0.0

بالنسبة للموجِّه B فإنّ بطاقتيْ الشبكة اللتيْن يمتلكهما تتّصلان بشبكتيْن فرعيّتيْن تنتميان للشبكة الكبيرة 10.0.0.0، لذا لا نحتاج لتفعيل RIP إلّا إلى الأمر network 10.0.0.0 الذي يُفعِّل البروتوكول على جميع البطاقات التي تنتمي للشبكة 10.0.0.0، وهي في حالة الموجِّه B بطاقتا الشبكة التسلسليّتان s0/0 وs0/1.

RouterB#
RouterB#conf t
RouterB(config)#router rip
RouterB(config-router)#version 2
RouterB(config-router)#network 10.0.0.0

تشبه إعدادات الموجِّه C الموجِّه A:

RouterC#
RouterC#conf t
RouterC(config)#router rip
RouterC(config-router)#version 2
RouterC(config-router)#network 192.168.1.0
RouterC(config-router)#network 10.0.0.0

لو لم ننفّذ الأمر network 192.168.1.0 في الموجِّه C فلن يُفعَّل البروتوكول على البطاقة fa0/0 ولن يستخدم الموجِّه C بالتالي البروتوكول RIP لإشعار بقيّة الموجِّهات بمعرفته بمسار إلى الشبكة 192.168.1.0.

نخلُص من هذا المثال إلى أنّ عمل الأمر network يتمثّل في تفعيل البروتوكول على بطاقات الشبكة التي توافق عنوان الشبكة العامّة المذكور في الأمر.

التحقّق من إعدادات RIP

توجدة أوامر عدّة للتحقّق من الإعدادات، فإضافة إلى الأمر show running يمكن عرض معلومات أكثر عن كيفيّة إعداد RIP باستخدام الأمر show ip protocols. يُظهر الأمر معلومات عامّة عن المؤقِّتات (Timers) التي يستخدمها RIP ومرشحات (Filters) التوجيه في حال وجودها. تظهر في فقرة توجيهات الشبكة (Routing for networks) الشبكاتُ التي أعددت بروتوكول التوجيه للعمل عليها.

RouterA#show ip protocols
Routing Protocol is "rip"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Sending updates every 30 seconds, next due in 15 seconds
  Invalid after 180 seconds, hold down 180, flushed after 240
  Redistributing: rip
  Default version control: send version 2, receive version 2
    Interface             Send  Recv  Triggered RIP  Key-chain
    FastEthernet0/0       2     2
    Serial0/0             2     2
  Automatic network summarization is in effect
  Maximum path: 4
  Routing for Networks:
    10.0.0.0
    172.16.0.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    10.1.1.2             120      00:00:24
  Distance: (default is 120)

تعني البيانات في نتيجة تطبيق الأمر show ip protocols أعلاه على الموجِّه A أنّنا استخدمنا أمريْ network، واحد للشبكة 10.0.0.0 والآخر للشبكة 172.16.0.0. يظهر تأثير الأمريْن في أنّ الموجِّه A يستقبل ويُعلن عن مسارات RIP. نرى في نتيجة الأمر أنّ البطاقتيْن Fa0/0 وS0/0 اللتيْن تنتميان على التوالي للشبكتين 10.0.0.0 و172.16.0.0 أرسلتا إشعاريْ RIP واستقبلتا إشعاريْن كذلك.

عرض جدول التوجيه وتشخيص المشاكل

تكمن المهمّة الأساسيّة لأي بروتوكول توجيه في إنشاء جدول التوجيه وتحديث المعلومات المُدرَجة فيه، لذا فإنّ عرض الجدول خطوة أوليّة في التحقّق وتشخيص المشاكل. نستخدم الأمر show ip route لعرض جدول التوجيه على الموجِّه A فنحصُل على النتائج أدناه.

RouterA#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.1.0 is directly connected, FastEthernet0/0
     10.0.0.0/24 is subnetted, 2 subnets
R       10.2.2.0 [120/1] via 10.1.1.2, 00:00:16, Serial0/0
C       10.1.1.0 is directly connected, Serial0/0
R    192.168.1.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0

تظهر في بداية مُخرجات الأمر الرموز المستخدَمة في جدول التوجيه، حيث يشير الحرف C (الحرف الأول من Connected) إلى الشبكات المتّصلة مباشرة ببطاقات الموجِّه، والحرف R إلى المسارات التي حصل عليها الموجِّه عن طريق البروتوكول RIP. يشير جدول التوجيه كذلك إلى المسافة الإداريّة وتكلفة الوصول إلى كلّ شبكة بين قوسيْن معقوفيْن حيث يعني السطر

R       10.2.2.0 [120/1] via 10.1.1.2, 00:00:16, Serial0/0

أنّ المسافة الإداريّة للبروتوكول RIP (الحرف R) تساوي 120 (العدد الأول بين قوسيْن معقوفيْن) وأنّ تكلفة الوصول إلى الشبكة 10.1.1.2 عبر البطاقة Serial0/0 هي قفزة واحدة (العدد الثاني بين معكوفيْن). يقدِّم المؤقِّت 00:00:16 معلومات عن المدّة التي مرّت منذ آخر تحديث على المسار. يجب الانتباه إلى أنّ الموجِّه الذي يستخدم RIP يعلن دوريًّا (كل ثلاثين ثانيّة) عن المسارات التي بحوزته، وإنْ لم يحصُل دوريًّا على تحديث بخصوص المسارات التي تعرّف عليها عن طريق البروتوكول فإنّه سيعدّ الوجهة خارج مجال معرفته.

يمكن رؤية إشعارات RIP مباشرة أثناء عملها باستخدام debug ip rip. يظهر في المثال أدناه أنّ الموجِّه A يرسل إشعارات على بطاقتيْ الشبكة عبر بثّ إذاعي، كما أنّه يستقبل إشعارات من الموجِّه B على البطاقة التسلسليّة عن الوِجهة 10.1.1.2. تظهر مُخرجات المسارات في حالتيْ الإرسال والاستقبال، إضافة إلى كلفة الوصول إلى الوِجهة.

RouterA#deb ip rip
RIP protocol debugging is on
RouterA#
00:16:59.871: RIP: received v2 update from 10.1.1.2 on Serial0/0
00:16:59.875:      10.2.2.0/24 via 0.0.0.0 in 1 hops
00:16:59.875:      192.168.1.0/24 via 0.0.0.0 in 2 hops
00:17:00.747: RIP: sending v2 update to 224.0.0.9 via Serial0/0 (10.1.1.1)
00:17:00.747: RIP: build update entries
00:17:00.747:   172.16.0.0/16 via 0.0.0.0, metric 1, tag 0
00:17:22.779: RIP: sending v2 update to 224.0.0.9 via FastEthernet0/0 (172.16.1.1)
00:17:22.779: RIP: build update entries
00:17:22.779:   10.0.0.0/8 via 0.0.0.0, metric 1, tag 0
00:17:22.783:   192.168.1.0/24 via 0.0.0.0, metric 3, tag 0
00:17:28.907: RIP: received v2 update from 10.1.1.2 on Serial0/0
00:17:28.911:      10.2.2.0/24 via 0.0.0.0 in 1 hops
00:17:28.911:      192.168.1.0/24 via 0.0.0.0 in 2 hops
RouterA#un all
All possible debugging has been turned off
RouterA#

يعدّ الأمرdebug ip rip وسيلةً فعّالة للتحقّق ممّا إذا كانت الموجِّهات المجاورة تستخدم البروتوكول نفسه، وما إذا كانت تطبِّق مرشحات قد تتسبّب في حظر شبكات، كما أنّه يساعد في التحقّق من أخطاء إعداد بطاقات الشبكة.

ترجمة – بتصرّف – للمقال Configuring RIP

سنتعرّف من خلال هذا المقال على بروتوكولات التوجيه (Routing protocols) وبروتوكولات الإرسال (Routed protocols) والفرق بينها، مع أمثلة على كلّ منها. ثم نتطرّق بعد ذلك إلى تقسيم بروتوكولات التوجيه حسب موقعها من الشبكة، وحسب المعايير التي تستخدمها للحصول على المسارات.

ما هي بروتوكولات التوجيه؟

تعرّف بروتوكولات التوجيه القواعدَ التي تحكُم تبادل المعلومات تلقائيًّا بين الموجِّهات ، بهدف التعرّف على المسارات وإدراجها آليًّا في جدول التوجيه. تستخدم بروتوكولات الإرسال المسارات التي يوفّرها لها جدول التوجيه في توصيل الرزم إلى وِجهتها عبر أفضل مسار. يمكن تشبيه بروتوكولات التوجيه بالتطبيقات التي تقدّم خرائط المدن للمستخدمين، وبروتوكولات الإرسال بالسيّارات التي تنقل المستخدمين إلى وجهاتهم وتنقلهم عبر المدينة بالاعتماد على تلك الخرائط. تكون الموازنة كاملة إذا كان التطبيق يُعدِّل الخريطة تلقائيًّا ليتوافق مع التغييرات الطارئة مثل شق شارع جديد، أو إغلاق طريق كان مفتوحًا.

يعدّ بروتوكول الإنترنت IP بروتوكولَ الإرسال الوحيد في تجميعة TCP/IP، بينما توجد الكثير من بروتوكولات التوجيه مثل RIP وEIGRP. تتميّز بعضٌ من بروتوكولات التوجيه بدقّتها في صيانة المعلومات الخاصّة بمُخطَّط الشبكة وفي الحصول عليها، فيما تتميّز بروتوكولات أخرى بالسرعة في تأديّة تلك المهام. تُستخدَم ثلاثة عوامل أساسية لمقارنة بروتوكولات التوجيه:

1. كيف يكتشف الموجِّه بقيّة الموجِّهات، ومتى وكيف يتبادل معها المعلومات؛
2. كيف تعرِف الموجِّهات مختلف المعلومات المتعلِّقة بالشبكة؛
3. كيف تتجاوب الموجِّهات مع التغييرات الحاصلة في الشبكة، وما مدى سرعتها في العودة للعمل وفي العثور على مسارات بديلة.

بروتوكولات التوجيه الداخلي والخارجي في الأنظمة المستقلّة

ينبغي معرفة السياق الذي تعمل فيه بروتوكولات التوجيه حتى نفهم آلية عملها على نحو جيّد. الطريقة الأولى في تصنيف بروتوكولات التوجيه هي تقسيمها حسب تموضعها في الأنظمة المستقلّة (Autonomous systems). عندما نتحدّث عن نظام مستقل في إطار الشبكات فالمقصود هو مجموعة من الشبكات تخضع لإدارة مشتركة وتتشارك سيّاسات التوجيه نفسها. نُطلِق على بروتوكولات التوجيه التي تهتمّ بتحديد المسارات داخل الأنظمة المستقلّة اسمَ بروتوكولات البوّابات الداخليّة IGP (اختصارًا إلى Interior gateway protocols)، في حين نسمّي تلك التي تربط بين الأنظمة المستقلّة ببروتوكولات البوّابات الخارجيّة EGP (اختصارًا إلى Exterior gateway protocols). من الشائع وجود مجموعة من بروتوكولات التوجيه مضبوطة على شبكات مؤسّسات، حتى ولو كانت المؤسّسة أو الشركة تنتشر على أماكن جغرافية متباعدة.

يتعلّق مفهوم النظام المستقلّ بالناحية الإدارية أكثر من تعلّقه بالامتداد الجغرافي. إذا كانت لديك - مثلًا - شبكة واسعة النطاق (WAN) بين شبكتين يشرف عليهما الفريق نفسه، باستخدام سياسات توجيه متطابقة، وتمتلكهما المؤسّسة ذاتها، فإنّ بروتوكولات التوجيه في هذه الحالة داخليّة (IGP).

يرتبط مفهوم الأنظمة المستقلّة في الواقع العملي ارتباطًا وثيقًا بشبكة الإنترنت. لا تتجاوز الشبكات المتصلة بالإنترنت إحدى حالتيْن، فإمّا أن يكون لها نظام مستقلّ خاصّ بها، أو أن تنتمي لنظام مستقلّ يمتلكه مزوّد الخدمة. من هذا المُنطَلَق فإنّ BGP هو - عمليًّا - بروتوكول البوّابات الخارجيّة (EGP) الوحيد المعمول به على شبكة الإنترنت، في ما تعدّ البقية بروتوكولات بوّابات داخليّة (IGP) تعمل عادةً داخل نطاق الشبكات الخاصّة للشركات الكبيرة.

أقسام بروتوكولات التوجيه

يسمح مفهوما بروتوكولات البوّابات الداخلية (IGP) والخارجيّة (EGP) بأخذ فكرة عن كيفيّة عمل بروتوكولات التوجيه. تتميّز بروتوكولات EGP عادةً بقابليّة أكبر للتعامل مع مسارات شبكة الإنترنت، وبالتالي فهي مُصمَّمة لمعالجة بيانات كبيرة الحجم وملايين المسارات. في المقابل تتهيّأ بروتوكولات IGP لمعالجة عدد مسارات أقل لا يتجاوز الآلاف، وتركّز على مدّة التقارب (Convergence)، أي المدّة التي تحتاجها الموجِّهات لتكون لديها معلومات متطابقة عن حالة الشبكة، أكثر من تركيزها على القابليّة العاليّة للتوسّع.

تنقسم بروتوكولات التوجيه الداخليّة إلى ثلاثة أقسام:

• بروتوكولات متّجه المسافة (Distance vector protocols): هذه البروتوكولات هي الأولى ظهورًا، والأقل فاعليّة في أخذ التغييرات الطارئة على الشبكة في الحسبان. من أمثلتها RIP و IGRP. تعتمد هذه البروتوكولات على المسافة الفاصلة عن الوِجهة النهائية، والمتجه الذي يحدّد القفزة الموالية في المسار، لذا فمعرفتها بالمسار عمومًا محدودة وليست كاملة.
• بروتوكولات حالة الرابط (Link state protocols): أكثر فاعليّة وثباتًا من بروتوكولات متّجه المسافة. تعمل هذه البروتكولات على تجميع المعلومات التي تصل إلى الموجِّهات من أجل الحصول على معرفة كاملة بمخطَّط الشبكة. صُمِّمت من أجل الحصول على مدة تقارب سريعة. من أمثلتها OSPF و ISIS.
• بروتوكولات التوجيه المختَلط (Hybrid routing): يتأسّس هذا النوع من التوجيه على المزج بين الصنفيْن السابقيْن، فيأخذ جوانب من بروتوكولات متّجه المسافة، وجوانب من بروتوكولات حالة الربط بهدف الحصول على خوارزميّات توجيه ثابتة وسريعة التقارب. ينتمي بروتوكول EIGRP إلى هذا الصنف.

ترتيب المسارات باستخدام المسافة الإدارية

قد تجد أثناء تصميم الشبكات حالات تُستخدَم فيها بروتوكولات مختلفة للحصول على معلومات عن الوجهات. من الأفضل ألّا يتداخل عمل بروتوكولات التوجيه للإعلان عن الوجهة ذاتها، إلّا أن ذلك قد يحدُث. تكون المسافة الإداريّة (Administrative distance) في هذه الحالة عاملَ فصل بين بروتوكولات التوجيه. تشير المسافة الإداريّة إلى أولويّة بروتوكول توجيه ودرجة موثوقيّة المعلومات المُتحصَّل عليها عن طريقه بالنسبة لبروتوكول توجيه آخر. تتناسب أفضليّة البروتوكول عكسًا مع قيمة المسافة الإداريّة. يحصُل الموجِّه A في المثال أدناه على معلومات الوصول إلى الوِجهة E عن طريق بروتوكوليْن مختلفيْن: EIGRP الذي يعلمه بمسار يمرّ على الموجِّه B، وRIP الذي يخبره بمسار يمرّ على الموجِّه C؛ وبما أنّ المسافة الإداريّة لبروتوكول التوجيه ‏EIGRP ‏(90) أصغر من المسافة الإداريّة لبروتوكول التوجيه RIP ‏(90) فإنّ الموجِّه A يفضّل المسار المارّ على الموجِّه B.

يجب عدم الخلط بين المسافة الإداريّة والكلفة (Cost) أو القياس (Metric). تعدّ المسافة الإداريّة عامل ترتيب بين بروتوكولات التوجيه من ناحية وثوقيّتها بوصفها مصدرًا للمعلومات، في حين أنّ الكلفةَ عاملُ موازنة بين مسارات مختلفة إلى نفس الوجهة. يبدأ الموجِّه بالموازنة بين بروتوكولات التوجيه، وبالتالي فإنّ المسافة الإداريّة هي أول عامل تُحدَّد قيمته. بعد تحديد بروتوكول توجيه على أنه مصدر موثوق للمعلومة، ينظُر الموجِّه إذا كانت هناك طرق مختلفة تحصّل عليها باستخدام البروتكول المُختار للوصول إلى الوجهة. تُستخدَم الكلفة بعد ذلك لاختيار المسار الأفضل من بين المسارات المتاحة. يُلخّص الجدول التالي قيم المسافة الإداريّة لبعضٍ من أكثر بروتوكولات التوجيه الديناميكيّة انتشارا:

بروتوكولات التوجيه ذات الفئة

يوجد تصنيف مهم آخر ينبئ بالكثير عن كيفيّة عمل بروتوكولات التوجيه، وهو تصنيفها إلى صنفين: بروتوكولات ذات فئة (Classful routing protocols) وبروتوكولات عديمة الفئة (Classless routing protocols). يكمن الفرق بين الاثنين في تعامل بروتوكولات التوجيه مع أقنعة الشبكة. لا تُضمِّن بروتوكولات التوجيه ذات الفئة قناع الشبكة عند نشرها لمعلومات عن المسارات التي تعرفها، وهو ما يعني أنّه لا يمكن استخدام أقنعة شبكات فرعية بطول متغيّر VLSM ‏(اختصارًا إلى Variable Length Subnet Masks).

ينتُج عن استخدام بروتوكولات التوجيه ذات الفئة سلبيّات مؤثّرة؛ منها أنّه لا يمكن استخدام أقنعة بأحجام متعدّدة، وبالتالي يحدّ ذلك من مرونة توزيع عناوين IP. الإصدار الأول من بروتوكول RIP وبروتوكول IGRP مثالان على هذا النوع من بروتوكولات التوجيه.

بروتوكولات التوجيه عديمة الفئة

تُصنَّف بروتوكولات مثل الإصدار الثاني من RIP، وEIGRP، وOSPF، وIS-IS على أنّها بروتوكولات عديمة الفئة. يعني هذا أنّها ستعلن عن القناع إلى جانب عنوان الوجهة التي تريد نشر مسار إليها. أي أنه يمكن الحصول على بيئة بأقنعة شبكة متعدّدة. يصبح توزيع عناوين IP أسهل بكثير، فعلى سبيل المثال يمكنك استخدام قناع 30/ لوصلة طرف بطرف (Point-to-point) لأنّ هذا القناع سيتيح عنوانيْ IP فقط، ولن تخسر عناوين IP أخرى في شبكة صغيرة جدَّا كالاتصال بين طرفين.

يمكن علاوةً على ذلك التحكّم يدويًّا في المسارات المُجمَّعة داخل الشبكة، وهو ما يسمح بتقليص حجم جدول التوجيه وثبات عمليّة التوجيه. نعني بتجميع المسارات العمليّة التي تتمثّل في الإشعار عن مسارات أقلّ ولكنّها تتضمّن تجميعات من عناوين الشبكات الفرعيّة. تتمّ هذه العمليّة بإرسال عناوين شبكات فرعيّة بأقنعة صغيرة. يمكن تشبيه الأمر بإرسال خريطة تخبر بالطريق أو المسار الذي يقود إلى مدينة دون ذكر الشوارع والمناطق الموجودة داخل المدينة الوِجهة، ممّا يجعل الخريطة أبسط وأقلّ عرضة للتغييرات لأنّها لن تتغيّر إذا مُنِع الوصول إلى شارع داخليّ بالمدينة.

ترجمة – بتصرّف – للمقال Dynamic Routing and Routing Protocols

سنخصّص هذا الدرس بالكامل لتوجيه رزم IP. سنوازن بين التوجيه الثابت والتوجيه الديناميكي ونبيّن الفروق بينهما، كما سنبرز إيجابيّات كل خيار وسلبيّاته. سيُتاح لك من خلال هذا الدرس إمكانيّة ضبط المسارات (Routes) الثابتة على موجّهات تعمل بنظام IOS باستخدام سطر الأوامر، كما ستتعرّف على حالات خاصّة مثل المسارات الافتراضية.

العمليّات على الموجِّهات

نعرف أن الموجِّهات تحتفظ بمعلومات عن تخطيط الشبكة، وترسل الرزم (Packets) إلى وِجهتها عبر اختيار الطريق الأفضل حسب مخطّط الشبكة. توجد طريقتان تُضبَط بهما الموجِّهات للحصول على معلومات عن الشبكة، الطريقة الأولى هي المسارات الثابتة (Static routes)، والثانية هي المسارات الديناميكية أو المتغيرة (Dynamic routes).

يتعرّف الموجّه عند إعداد المسارات الديناميكية على الشبكات المتّصلة به، وهي شبكات يعلم الموجِّه بوجودها ويمكنه إدراجها ضمن جدول التوجيه (Routing table). إنْ قُطِع الاتصال بواحدة من هذه الشبكات فإن الموجِّه يعدِّل جدول التوجيه بحذف الوِجهة المعنية. تشمل المعلومات الديناميكية كذلك الوِجهات التي عرف الموجِّه المسار الذي يؤدّي إليها عن طريق بروتكولات التوجيه.

بالنسبة للحالات التي تكون فيها الشبكات المتصلة بالموجِّه محدودة ومعروفة سلفًا، فإنّ المسارات الثابتة تعدّ خيارًا مناسبا.

الاختيار بين المسارات الديناميكية والمسارات الثابتة

لا تمثل المسارات الثابتة حِمْلا كبيرًا على الموجِّه، فهي لا تستخدم بروتكولات التوجيه المتقدّمة، ولا تُرسل الإشعارات حول التغيرات الطارئة، ولا المعلومات المرتبطة بمخطّط الشبكة. يسهُل ضبطُ المسارات الثابتة ما دام عددها محدودًا، إلّا أن الموجِّه لن يتفاعل مع تغيّرات الشبكة.

بالنسبة للمسارات الديناميكية فإنّها تمثل حِملًا إضافيًّا على الموجِّه، بسبب استخدامها لبروتكولات التوجيه المتقدّمة من أجل الحصول على التغييرات الطارئة على الشبكة، والتعديل بما يتوافق مع تلك التغييرات، إلّا أنك ستحصُل في النهاية على جدول مسارات يعكس الحالة الدقيقة للشبكات التي يتصل بها الموجِّه. تختلف سرعة أخذ التغييرات في الحسبان من بروتوكول إلى آخر.

المسارات الثابتة

يناسب استخدام المسارات الثابتة الشبكات الجذعية (Stub network)، وهي شبكات ليست لديها معرفة بأي شبكة أخرى، وترتبط بالخارج عبر موجِه لديه اتصال واحد بالخارج، كما في الصورة أدناه.

يُستخدَم مسار ثابت لتوجيه البيانات من الشبكات الجذعية إلى جميع الوجهات خارج الشبكة. يُعرَف هذا النوع من المسارات بالمسار الافتراضي (Default route). الاتصال بالإنترنت مثال جيّد لاستخدام المسارات الافتراضية، ففي الشبكات الجذعية لا تهتم بالوِجهة النهائية التي تريد الوصول إليها، وكلّ ما يهمك هو أن هذه الوجهات توجد خارج شبكتك المحليّة، ويمكن الوصول إليها عبر الاتصال الوحيد الذي يتوفر عليه موجّهك. لذا فإنّ الإعداد الذي يقول "أرسل جميع البيانات التي لا تعرف وِجهتها عبرهذا المسار" (إلى الموجِّه A في المثال أعلاه) سيكون كافيا.

يجب الانتباه أثناء إعداد التوجيه الثابت إلى كون البيانات بطبيعتها ثنائية الوِجهات، فكما أننا نرسل بيانات إلى الخارج فسنتلقى بيانات منه. نستطيع في هذه الحالة إعداد مسارات ثابتة على الموجِّه A لتوجيه البيانات إلى الشبكة الجذعية. يمكن في بعض الحالات المزج بين التوجيه الثابت والتوجيه الديناميكي. مثلًا، نضبُط مسارًا مبدئيًّا على الموجِّه B بالنسبة للبيانات الخارجة من الشبكة المحليّة، وبالنسبة للبيانات الداخلة إلى الشبكة نضبُط B بحيث يرسل إشعارات بالمسارات داخل الشبكة التابعة له، وبالتالي يعرف الموجِّه A بوجودها، ويوجّهها إليه.

إعداد المسارات الثابتة

يُستخدَم الأمر التالي لإعداد المسارات الثابتة على موجهات Cisco :

Router(config)#ip route [network/host] [mask] [address/interface] [distance] [permanent]

يأخذ الأمر ip route وسيط يمثّل الشبكة الوِجهة، متبوعة بقناع الشبكة (Mask)، وبالتالي يمكن الإشارة إلى شبكات فرعيّة (sub networks) بأقنعة متعدّدة وذات أحجام مختلفة. القيمة الأكثر تخصيصًا هي 32/ التي تشير إلى أن الوجهة مضيف (Host) مخصوص وليست شبكة فرعية. ثم نحدد بعد ذلك القفزة (Hop) الموالية على المسار والتي قد تكون عنوان IP الخاص بالموجِّه الموالي على المسار إذا كانت بطاقة الشبكة من النوع ذي الوصول المتعدّد (Multi-access interface) كما هي الحال في شبكات Ethernet (أجهزة طرفية متعدّدة على نفس الوسيط يمكنها التخاطب بدون الحاجة لموجّه)، أو اسم البطاقة في حال الاتصال طرفًا بطرف (Point-to-point). قيمة المسافة الإدارية (Administrative distance) الافتراضية للمسارات الثابتة هي 1. يمكن تغيير هذه القيمة لإنشاء مسارات ثابتة من أجل الاتصال الاحتياطي. يجب أن تتذكر أن هذه القيمة تمثل الأولوية بالنسبة لبروتوكول التوجيه. تعني القيمة 1 أن المسارات الثابتة ستكون لها الأولوية على أغلب بروتكولات التوجيه الديناميكية. بعبارة أخرى، إذا أدرجت مسارًا ثابتًا إلى وجهة سبق للموجّه التعرّف عليها عبر مسارات ديناميكة، فإن الأفضلية ستكون للمسار الثابت نظرًا لأنّ لديه مسافة ثابتة بقيمة أصغر.

مثال على مسار ثابت

في ما يلي مثال على مسار ثابت مضبوط على الموجِّه A في الصورة أدناه.

RouterX(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1

أو:

RouterX(config)# ip route 172.16.1.0 255.255.255.0 s0/0/0

يشير المسار المضبوط بالأمر ip route أعلاه إلى الشبكة الجذعية (172.16.1.0/24). توجد طريقتان لإعداد هذا المسار. تستخدم الطريقة الأولى عنوان IP الخاصّ بالموجِّه B ‏(72.16.2.1)‎، بينما تستخدم الثانية اسم بطاقة الشبكة المحليّة على الموجِّه A ‏(s0/0/0).

يجب الانتباه إلى أن المسار الذي أعددناه بالأمر السابق هو مسار ذو اتجاه واحد. إنْ أردت السماح بحركة البيانات من الشبكة الجذعيّة إلى خارجها فستحتاج لتعيين مسار ثابت أو مسارات ديناميكة على الموجِّه B.

المسار الافتراضي

المسار الافتراضي هو مسار ثابت يتميّز بأنه يرسل الرزم مجهولة الوجهة جميعها إلى العنوان المحدّد في الأمر ip route (أي الموجِّه A في الشكل أدناه)، كما في المثال التالي، حيث تشير الأصفار مكان عنوان IP والقناع إلى الوجهة المجهولة.

RouterX(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2

يُستخدَم الأمرsh ip route لعرض المسارات الموجودة على الموجِّه، كما في المثال أدناه. يشير الحرف S أمام المسار إلى أنّه مسار ثابت مُعدّ بالأمر ip route، وتدلّ العلامة * مع الحرف S أنّ المسار مبدئي. تظهر في نتائج الأمر ip route البوابة الافتراضية (Default gateway) التي تُعرَف أيضًا باسم بوّابة الملجأ الأخير (Gateway of last resort).

Router# sh ip route  
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP  
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area  
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
E1 - OSPF external type 1, E2 - OSPF external type 2  
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
ia - IS-IS inter area, * - candidate default, U - per-user static route  
o - ODR, P - periodic downloaded static route  

Gateway of last resort is 192.168.1.1 to network 0.0.0.0  

C 192.168.62.0/24 is directly connected, FastEthernet0/0  
C 192.168.1.0/24 is directly connected, FastEthernet0/1  
S* 0.0.0.0/0 [1/0] via 192.168.1.1

في نتائج الأمر أعلاه، يشير السطرGateway of last resort is 192.168.1.1 to network 0.0.0.0 إلى المسار الافتراضي، ويعني أن 192.168.1.1 هو البوابة الافتراضية لجميع الوجهات المجهولة (العنوان 0.0.0.0).

ترجمة - بتصرّف - للمقال Enabling Static Routing.

سنشرح في هذا الدرس ميزات خادوم DHCP وسنبيّن كيف يمكن استعمال موجِّهات سيسكو للعمل كخادوم DHCP. يمكنك عبر «Security Device Manager» أن تضبط البروتوكول وتخصِّص مكوناته، وتراقب عملياته.

فهم بروتوكول DHCP

بروتوكول ضبط المضيف الديناميكي، أو ما يُعرَف اختصارًا بالاسم DHCP، هو برنامج من نمط عميل-خادوم يؤتمت عملية إسناد عنوان IP ومحلقاتها إلى أجهزة العملاء؛ أي أنَّ العملاء سيتصلون بالشبكة دون معلومات IP ثم سيطلبونها من خادوم DHCP.

المعلومات التي يوفرها خادوم DHCP تتراوح بين عنوان IP المطلوب والبوابة الافتراضية وقناع الشبكة الفرعية إلى خواديم DNS وخواديم أسماء NetBIOS وغيرها من المعلومات المخصصة مثل خواديم TFTP و SIP.

المعايير المُعرَّفة في RFC تتضمن مُعرِّفات الشبكات المحلية الوهمية (VLAN IDs) ومعاملات جودة الخدمة (QoS). يمكن أن يعمل البروتوكول بنمط «التأجير» (lease model) الذي تستأجر فيه الأجهزة المعاملات الخاصة بها التي يمكن أن تُستعمل من الأجهزة الأخرى إن لم يعد الجهاز الأصلي متوفرًا على الشبكة؛ تُستأجر تلك المعاملات بناءً على وقتٍ مُحدَّد، الذي يمكن أن يُعرَّف ويختلف لمجموعةٍ من عناوين IP أو لمجموعةٍ من الأجهزة؛ ويمكنك أيضًا إسناد عناوين ثابتة لأجهزة معيّنة. لنشرح الآن عمل DHCP بمزيدٍ من التفصيل.

في الشكل أعلاه، لدينا عميل يطلب عنوان IP من الخادوم (قد يبدو لك من الرسم أنَّ لدينا ثلاثة عملاء وخادومَين، لكن هذا لأغراضٍ توضيحيةٍ فقط، إذ نتحدث عن نفس العميل ونفس الخادوم هنا)، وأول ما علينا ملاحظته أنَّ تلك الرسائل هي رسائل إذاعيّة محليّة، لأن العملاء لا يعرفون الشبكة الفرعية، لأنهم لا يملكون عنوان IP وبالتالي لا يعرف الخادوم أين سيُرسِل البيانات.

سيُرسِل العملاء رسالة طلب (request massage)، وقد يرى الرسالة أكثر من خادوم، ولهذا السبب سنحتاج إلى أربع خطوات لإتمام هذه العملية. ستُجيب الخواديم برسالة عرض (offer massage)، وهي رسالة إذاعة محليّة لأن العميل لا يملك عنوان IP محلي؛ وهي رسالة إذاعية في الطبقة الثالثة، لكن عندما يُرسِل العميل رسالة الاستكشاف (discover massage)، فسيعلم عنوان MAC للعميل، ثم سيُرسِل رسالة unicast لاحقًا لأن الخادوم سيرسل المعلومات مباشرةً إلى عنوان MAC للعميل.

بعد رسالة الاستكشاف (discover)، قد يجيب أكثر من خادوم برسالة عرض (offer)، لذا على العميل اتخاذ القرار بأيّة معلومات عليه أخذها؛ لذلك سيُجيب برسالة طلب (request) مُقرِّرًا أي خادوم سيأخذ منه المعلومات. تُضمِّن رسائل العرض عناوين IP بجانب معاملات أخرى مثل البوابات الافتراضية، ووقت التأجير، ووقت انتهاء الصلاحية ...إلخ. في النهاية، سيقول الخادوم الذي تم اختياره: «حسنًا، لقد وصلني طلبك، وهذه هي المعلومات؛ وسنبدأ الآن وقت الإيجار، فأنت المالك المؤقت للعنوان»؛ وهذا هو إشعار الاستلام (acknowledgment message)، إذ سيراها العميل وسيبدأ عمله.

عليك الانتباه أنَّك إذا وضعت موجِّهًا بين الخادم والعميل، فلن تمر الرسائل الإذاعية المحلية؛ إذ أنَّ الموجِّهات لا تمررها؛ وعليك ضبط الموجِّه ليسمح بمرور تلك الرسائل، وإذا كنت ستضبط موجِّه سيسكو كخادوم DHCP، فعليه أولًا أن يدعم DHCP.

إسناد العناوين في DHCP

توفير عنوان IP للعميل هي أهم مهمة يُجريها بروتوكول ضبط المضيف؛ ومع ذاك العنوان، نحصل على معلومات حول القطع الشبكيّة، والبوابة الافتراضية، وخودايم DNS، واسم النطاق، وخواديم TFTP (المهمة في الاتصالات الهاتفية عبر IP) وهلم جرًا. ولكي يكون ضبط العناوين مرنًا لمختلف أنواع العملاء، فيُضمِّن معيار DHCP ثلاث آليات مختلفة لحجز العناوين.

• الحجز اليدوي (Manual Allocation): ويُعرَف أيضًا بالمصطلح «الحجز» (reservation). إذا يُحجَز عنوان IP معيّن مسبقًا إلى جهازٍ مُحدَّد من مدير الشبكة؛ ويُسنِد خادوم DHCP عنوان IP المعيّن إلى ذاك الجهاز فقط، إذ يُربَط عنوان IP إلى عنوان MAC للجهاز.
• الحجز التلقائي (Automatic Allocation): يُسنِد خادوم DHCP عنوان IP بشكلٍ دائمٍ إلى جهازٍ ما؛ ويختار الخادومُ العنوانَ من مجموعةٍ (تسمى بالمصطلح pool) من العناوين المتوفرة.
• الحجز الديناميكي (Dynamic Allocation): يُسنِد خادوم DHCP عنوان IP من مجموعة من العناوين لوقتٍ محدود ضُبِطَت قيمته في الخادوم، أو إلى أن يُخبِرَ العميلُ خادومَ DHCP أنَّ لم يعد بحاجةٍ إلى العنوان (كما لو نفذنا الأمر ipconfig /release في نظام ويندوز).

استخدام الموجه كخادوم DHCP

خدمة DHCP هي خدمة محورية ومهمة، ويمكن لنظام تشغيل سيسكو IOS للموجِّهات أن يكون خادوم DHCP بكامل الميزات. العديد من المعاملات والخيارات المُعرَّفة في RFC موجودة ومتوفرة في موجِّهات IOS. ومن المهم أن يستطيع الموجِّه توفير تلك الخدمة، لأنه موجود دائمًا في الشبكة، فيمكنه أن يوفِّر ذاك النوع من الخدمات دون الحاجة إلى ضبط خادوم كامل لذلك. إذ تستفيد المكاتب الفرعية والمكاتب الصغيرة من إمكانية تشغيل هذه الخدمة في عنصر من عناصر الشبكة.

هذه الخدمة هي خدمة برمجية، ويمكن أن تُضبَط ضبطًا كاملًا في موجِّهك لعدِّة بطاقات شبكيّة، ولعدة مجالات من العناوين، وتدعم هذه الخدمة أيضًا حجز العناوين يدويًا.

الأوامر والضبط

هذا مثال ضبطٍ عن كيفية إعداد مجموعة عناوين (pool) في خدمة DHCP في موجِّه سيسكو:

RouterX(config)#ip dhcp pool Marketing
RouterX(dhcp-config)#network 10.123.1.0 255.255.255.0
RouterX(dhcp-config)#default-router 10.123.1.1
RouterX(dhcp-config)#domain-name learncisco.net
RouterX(dhcp-config)#dns-server 172.16.4.10 172.16.4.12

هنالك أوامرٌ متوفرة لمساعدتك في مراقبة واستكشاف أخطاء تلك الخدمة.

RouterX#show ip dhcp pool Marketing
Pool Marketing :
  Utilization mark (high/low) : 100 / 0
  Subnet size (first/next)    : 0 / 0
  Total addresses             : 254
  Leased addresses            : 0
  Pending event               : none
  1 subnet is currently in the pool :
  Current index  IP address range           Leased addresses
  10.123.1.1     10.123.1.1 - 10.123.1.254  0 
RouterX#

Router#sh ip dhcp conflict
IP address      Detection   method  Detection time    VRF
192.168.200.58  Gratuitous  ARP     May 28 2012 03:31 PM
192.168.200.59  Gratuitous  ARP     May 28 2012 03:31 PM
192.168.200.64  Gratuitous  ARP     May 28 2012 03:39 PM

يُساعِدك آخر أمر (sh ip dhcp conflict) في التعرف على التضاربات في إسناد عناوين IP التي يتم العثور عليها من خواديم DHCP ومن العملاء. ويحدث التضارب في العناوين عندما يحاول خادوم أن يُسنِد عنوان IP، فيجد الخادوم أو العميل أنَّ هنالك أجهزة أخرى على الشبكة لها نفس العنوان. وستحاول الخواديم عميل ping لعناوين IP المُؤجَّرة قبل إسناد تلك العناوين لأجهزةٍ أخرى لتفادي حدوث تضاربات، وسيستعمل العملاء «gratuitous ARP» للعثور على جميع العملاء الذين يملكون نفس عنوان IP؛ إن حدث تضارب في العناوين، فسيُحذَف العنوان من مجموعة العناوين المتوفرة (pool)، ولن يُعاد إسناده حتى يحل مدير الشبكة التضارب. هذه الميزات تجعل من خادوم DHCP في موجِّهات سيسكو العاملة بنظام تشغيل IOS أداةً فعالةً جدًا.

ترجمة -وبتصرّف- للمقال Using Cisco Router as a DHCP Server.

سنبدأ درسنا بالحديث عن الحماية الفيزيائية، ثم سنتبعه بشرح بعض الأمور الأساسية مثل وضع استراتيجية لكلمات المرور، وضبط اللافتات التي تظهر عند تسجيل الدخول، واستخدام SSH للزيادة في أمان عملية الضبط.

التهديدات الفيزيائية الشائعة

يجب أن تكون السياسات الأمنية لحماية المعلومات مبنيةً على تحليل المخاطر وإدارتها؛ والمخاطر مبنية على احتمال استغلال الأجهزة التي فيها نقاط ضعف معيّنة. فالمخاطر الفيزيائية موجودةٌ منذ الأيام الأولى للشبكات، وازدادت تلك المخاطر بالتطورات التقنية التي حدثت في زماننا هذا؛ على سبيل المثال، من المحتمل ألّا تُعامَل المكونات الإلكترونية المهمة في الأجهزة المركبة من الوحدات بحذر (modular device) سواءً كان موجِّهًا أو مبدِّلًا الذي يتطلب تثبيت وحدات أو بطاقات شبكيّة لزيادة قدراته التشغيلية أو وظائفه.

أصبح فقدان الطاقة الكهربائية وغيرها من المخاطر الكهربائية مشكلةً كبيرةً، لأننا نزيد من عدد الأجهزة والخواديم والتطبيقات في مراكز البيانات عندنا، ونحاول التوسع لتخديم عدد أكبر من المستخدمين؛ وهذا يُسبِّب إجهادًا كبيرًا على مُعدات إدارة الطاقة عندنا، وقد يسبب ذلك حادثًا أمنيًا، وقد لا يرتبط بالضرورة بهجومٍ خبيث.

ضبط كلمة مرور للموجه

الحماية أمرٌ متعدد الجوانب، ولا نحتاج إلى القلق حول الحماية الفيزيائية فحسب، لكن يجب أيضًا التحكم في الوصول إلى الموجِّهات وإدارته.

RouterX(config)#no aaa new-model
RouterX(config)#line console 0
RouterX(config-line)#login
% Login disabled on line 0, until 'password' is set
RouterX(config-line)#password cisco
RouterX(config-line)#exi
RouterX(config)#line vty 0 4
RouterX(config-line)#login
% Login disabled on line 2, until 'password' is set
% Login disabled on line 3, until 'password' is set
% Login disabled on line 4, until 'password' is set
% Login disabled on line 5, until 'password' is set
% Login disabled on line 6, until 'password' is set
RouterX(config-line)#password sanjose
RouterX(config-line)#exi
RouterX(config)#enable password cisco
RouterX(config)#enable secret sanfran
RouterX(config)#service password-encryption

لقد شاهدنا تلك الأوامر مسبقًا عندما ضبط الوصول إلى الجهاز لأغراضٍ إدارية. لكل خط (line) كلمة مرور خاصة به، ويمكنك ربط كل الخطوط إلى قاعدة بيانات محلية، وقد تُفكِّر أيضًا بنقل أو بجعل قاعدة بيانات المستخدمين مركزية على شكل خادوم AAA، وتطلب من كل الأجهزة أن تستعلم في ذاك الخادوم لكي تحصل على معلومات الاستيثاق.

يجب أن تُبنى الإدارة أيضًا على «الأدوار»؛ وهذا هو ما يُعرَف بالتحكم بالوصول المبني على الأدوار؛ وبهذا يكون لديك مستخدمين لوظائف مُعيّنة في الجهاز ومستخدمين آخرين لوظائف أخرى تتطلب امتيازات، التي يمكن ضبطتها وتعريفها عبر الأمرَين enable و enable secret.

حتى ولو كان لديك استيثاق محلي، فمن المستحسن وبشدة أن تُعرِّف المستخدمين بمرحلة ملائمة من الامتيازات؛ ولإجبار عملية تسجيل دخول المستخدم (الاستيثاق) فعليك الانتقال إلى «AAA new-model» ثم أنشِئ مُستخدِمًا. وإذا كنت تستعمل secret بدلًا من password، فسيكون ضبطك أقوى أمنيًا.

RouterX(config)#aaa new-model
RouterX(config)#username admin privilege 15 secret learncisconet
RouterX(config)#
RouterX(config)#aaa authentication login default local
RouterX(config)#end
RouterX#wr
Building configuration...
[OK]
RouterX#
RouterX#quit
RouterX con0 is now available
Press RETURN to get started.
User Access Verification
Username: admin
Password:
RouterX>

ضبط لافتة تسجيل الدخول

عندما يُعلَم المستخدمون بالسياسة الأمنية، فستزداد قابلية التزامهم بها أو تعرفهم على الحالات التي لا تُطبَّق السياسات فيها. فلافتةٌ بسيطةٌ مضبوطةٌ بالأمر banner logging ستُبلِّغ سياسة الوصول إلى الموجِّه (وغيره من الأجهزة) لأغراضٍ إدارية. وقد تتضمن أيضًا معلوماتٍ حول الدعم والتبليغ عن المشاكل والحوادث.

المقارنة بين الوصول عبر Telnet و SSH

السرية هي أمرٌ جوهري يجب أخذه بعين الاعتبار في البنية التحتية لشبكتك؛ وهذا لا يعني أن عليك فقط تعديل كلمات المرور، فإن أرسلتها بنصٍ واضح (clear text) فيمكن لمهاجمٍ أن يعرفها...

ولا تنسَ أنَّك تشارك ملفات الضبط بين الموجِّات والأجهزة الشبكية، وتُرسِل رسائل الأخطاء والتنبيهات عبر الشبكة لأغراضٍ تتعلق باستكشاف الأخطاء أو للتوثيق.

لا تُضمِّن الأداة telnet أيّة آليات تتعلق بالسرية، ولهذا من المستحسن الانتقال إلى استخدام جلسات مُشفَّرة مثل SSH أو استخدام تقنيات تستعمل التعمية والتأكد من صحة نقل البيانات واستيثاق النهايات الشبكية عبر «strong authentication».

!
ip domain-name mydomain.com
!
crypto key generate rsa
!
ip ssh version 2
!
line vty 0 4
  login local
  transport input ssh
!
!

نحن نتحدث هنا عن مفاتيح التشفير والشهادات الرقمية. فعندما تضبط SSH، فعليك أن تأخذ بعين الاعتبار العملية ككل، من إنشاء المفاتيح حتى التحكم بالوصول المبني على الأدوار عبر قاعدة بيانات محلية.

ترجمة -وبتصرّف- للمقال Understanding Cisco Router Security.

يشرح هذا الدرس عملية توجيه الرزم الشبكيّة من وجهة نظر الموجَّه؛ وهذا يتضمن ربط عناوين الطبقتين الثانية والثالثة، بالإضافة إلى قدرة الموجِّه على حساب أفضل طريق للوصول إلى الوجهة. وسنلقي نظرةً على بعض الأدوات للتحقق من صحة الضبط التي سينتج عنه قابلية الاتصال بين الأجهزة على شبكاتٍ مختلفة، ومنها الأداة show ip arp، و ping، و trace.

عناوين الطبقة الثانية: عناوين MAC

عندما يكون لدينا موجِّه بين جهازين، فعلينا استعمال عناوين الطبقتين الثانية والثالثة؛ سنستعمل عناوين MAC المبيّنة في الشكل في أمثلتنا القادمة للموجِّه والمضيفين؛ تذكر أننا سنستبين عناوين MAC للموجِّه لإرسال الرزم من جهازٍ في القطعة الشبكيّة الأولى إلى جهازٍ آخر في قطعةٍ شبكية أخرى.

عناوين الطبقة الثالثة: عناوين IP

توضِّح هذه الصورة عناوين IP للمضيفين والموجِّه نفسه؛ تذكر أن تصميم شبكتك قد أتى من حقيقة أنَّك قسَّمتَ إلى قسمين لأغراضٍ تتعلق بالأداء أو الحماية (أو لغير ذلك من الأسباب) ثم وضعت موجِّهًا في المنتصف لكي تتمكن من تمرير الرزم الشبكيّة إلى وجهتها الصحيحة. سنفترض في الأمثلة القادمة أنَّ الموجِّه يقوم بدور توجيه الرزم فقط، لكن قد يقوم الموجِّه بوظائفَ أمنية، وترشيح الرزم، وإقامة جدر نارية، وتطبيق آليات لتحديد جودة الخدمة (QoS)؛ قد يؤثِّر ما سبق على كيفية تمرير الموجِّه للرزم، لكننا سنفترض أنَّه يؤدي دور التوجيه فقط.

عملية توصيل الرزم عبر توجيه IP

أول خطوة يجب على التطبيقات فعلها هي استبيان (resolve) أسماء DNS إن اُستخدِمَت، وتحويلها إلى عناوين IP واختيار بروتوكول النقل الذي سيُستعمَل؛ سنستخدم في هذا المثال بروتوكول UDP. يصبح السؤال هو التالي -بعد أن تصل المعلومات إلى طبقة الشبكة في نموذج OSI- أين تقع الوجهة، هل هي محليّة (local) أم بعيدة (remote)؟

ستُضيف كل طبقة ما يخصها على شكل ترويسات حتى تصل إلى الطبقة 3، التي ستضع ترويسة IP ثم ستطلب من الطبقة الثانية أن تُرسِل الرزمة «فعليًا».

ستجيب الطبقة الثانية قائلةً: «ليست عندي معلوماتٌ حول ذاك عنوان IP ذاك، فليس عندي عنوان MAC؛ لذا سأحاول أن أستبينه عبر طلبية ARP»، وستبقى الرزمة مخزنةً في الحافظة إلى أن تكتمل طلبية ARP.

وفي هذه المرحلة -التي هي بين الطبقتين الثالثة والثانية- سيقول الجهاز: «حسنًا، اعتمادًا على عنوان IP والقناع، فإن الشبكة هي ‎/24، والوجهة موجودة في شبكةٍ مختلفة؛ فأنا على الشبكة 192.168.3 والوجهة على الشبكة 192.168.4».

نذكِّر أن ذلك بسبب قناع الشبكة، الذي يقول أنَّ مُعرِّف الشبكة موجودٌ في أول ثلاثة بايتات من عنوان IP؛ لذا تقول عملية ARP: «حسنًا، لستُ بحاجةٍ إلى استبيان عنوان MAC للوجهة، لأنني لستُ موجِّهًا ولا أعرف كيف أرسل تلك الرزمة، لكن البوابة الافتراضية تعرف ذلك؛ لذا سأستبين عنوان MAC للبوابة الافتراضية، الذي يكون عنوان IP الخاص بها مضبوطًا في الجهاز».

ربما يكون أكثر الحلول شيوعًا للمشاكل هو التحقق من ضبط عنوان صحيح للبوابة الافتراضية؛ فلو لم أكن أعرف أين سأرسل الرزمة وأيّ موجِّه عليه معالجتها، فلن تصل الرزمة إلى وجهتها أبدًا.

هذه هي طلبية ARP، التي وجهتها هي الإذاعة في الطبقة الثانية، والطلبية نفسها تحتوي عنوان IP لكي يتم استبيانه، الذي هو في هذه الحالة 192.168.3.2 (عنوان IP للموجِّه). من المثير للاهتمام أن نذكر وجود آلية تُسمى «ARP وسيط» (proxy ARP)، فقد تُضبَط الموجِّهات للإجابة عن أيّة طلبيات ARP، حتى لو لم تكن الطلبية موجهةً لعنوان IP الخاص بالموجِّه. ويتم فيها معاملتهم كبوابات افتراضية كملاذٍ أخير، وسيكونون قادرين على الرد على الطلبيات التي تسأل عن البوابة الافتراضية القادمة من الأجهزة غير المضبوطة ضبطًا صحيحًا؛ لكن لهذا الميزة مشاكل وآثار جانبية وقد يتم تجاهلها من قِبل بعض السياسات الأمنية.

وفي أيّة حال، سيستلم الموجِّه الطلبية وسيبدأ عملية تمرير الرزم؛ لكنه سيحفظ عنوان MAC و IP للجهاز المُرسِل في جدول ARP الخاص به أولًا. فالموجِّه هو جهاز IP مثله كمثل أي جهاز آخر عليه أن يتبع قواعد بروتوكول IP.

وفي هذه المرحلة، سيُرسِل الموجِّه رد ARP قائلًا: «هذا أنا! وهذا عنوان MAC الخاص بي، ابدأ تمرير الرزم إليّ».

أصبح الجهاز المُرسِل يعرف ربط عنوان IP للبوابة الافتراضية إلى عنوان MAC الخاص بها في جدول ARP، وهو جاهز لإرسال الرزم إلى البوابة لكي تُمرَّر إلى وجهتها.

تذكر أن تلك المدخلات ستنتهي صلاحيتها، لذا قد يُعاد إجراء عملية ARP أثناء المحادثة اعتمادًا على أوقات الخمول أو الوقت المُطلَق (absolute).

الرزمة التي كانت «في الانتظار» قد أرسِلَت باستخدام عنوان IP الوجهة النهائية، وعنوان IP المصدر للمُرسِل، وعنوان MAC المصدر للمُرسِل، وعنوان MAC الوجهة للموجِّه.

ولمّا كنا نتحدث عن وظيفة التوجيه فقط في الموجَّهات، فعلينا أن نفهم كيف تعمل وظيفة التوجيه. يعمل الموجِّه في الطبقة الثالثة فقط، وإذا رأى إطارًا قادمًا، فسيحلله ويعالجه لأنه هو المُستلِم من حيث عنوان MAC في الطبقة الثانية؛ فسيزيل التغليف ويرسل الرزمة إلى الطبقة الثالثة التي يتم فيها التوجيه والتمرير؛ وهذا هو السبب وراء أن لا يكون عنوان IP للوجهة في الرزمة هو عنوان IP للموجِّه، إذ سيقول الموجِّه: «حسنًا، أنا موجِّه، لذلك سأمرِّر هذه الرزمة اعتمادًا على جدول التوجيهات الخاص بي».

عندما ينظر الموجِّه في جدول التوجيهات، فسيرى أنَّ عنوان IP الوجهة هو في مدخلاته؛ ويرى أنَّ 192.168.4.0 (بقناع الشبكة الصحيح) هي قطعة شبكية موصولة مباشرةً إليه عبر بطاقة Fast Ethernet 0/1؛ ثم سيقرر الإرسال إلى الطبقة الثانية ويجعلها تستبين عنوان MAC للوجهة. أما لو كانت القطعة الشبكية غير متصلة مباشرةً بالموجِّه، فستُشير المُدخلة في جدول التوجيهات إلى العقدة التالية على شكل عنوان IP لموجِّهٍ آخر في المسار الواصل إلى الوجهة. وفي هذه المرحلة، سيطلب الموجِّه تمرير الرزمة إلى ذاك الجهاز الوسيط، ثم سيُجرى استبيان ARP لمعرفة عنوان MAC لذاك الجهاز؛ لكن الحالة هنا مبسطة، والشبكتان متصلتان بالموجِّه مباشرةً.

وبسبب ذلك، ستُغيّر طبقة الشبكة في الموجِّه ترويسةَ IP، بما في ذلك عنوان IP للوجهة في حقل «IP الوجهة»؛ لاحظ كيف أنَّ عنوان IP المصدر بقي عنوان الجهاز المُرسِل، فالموجِّه مجرد وسيط كل ما يفعله هو تمرير الرزمة والمساعدة في إتمام عملية التواصل. والطبقة الثانية هي مرحلة بينية، وهذا هو سبب تغيير عنوان IP؛ لكننا ما زلنا نتحدث عن إرسال الرزمة من المصدر الأصلي إلى الوجهة في الطبقة الثالثة.

ستقول الطبقة الثانية: «هذا رائع، لكنني لا أملك عنوان MAC لجهاز الوجهة، لذلك سأحاول أن أستبين عنوان MAC اعتمادًا على عنوان IP في طبية ARP»؛ تذكر أن هذه الرسالة الإذاعية في الطبقة الثانية، لذا ستراها جميع الأجهزة في تلك القطعة الشبكية ثم ستعالجها، ثم ستحدِّد إن كانت سترد عليها أم لا.

ثم سيستقبل الجهاز الوجهة طلبية ARP ويعالجها.

لاحظ أنَّ عنوان IP يُطابِق الوجهة، وستجيب الوجهة بعنوان MAC الخاص بها.

قبل إرسال رد ARP، فسيحفظ الجهاز الوجهة ربط عنوان IP للموجِّه مع عنوان MAC الخاص به إلى جدول ARP. من الجميل مشاهدة كيف تملأ الأجهزة جداول ARP، فلا تُربَط عناوين الطبقتين 2 و3 عندما تتلقى الأجهزة رد ARP وحسب، وإنما عندما ترى طلبية ARP أيضًا. هذه الطريقة ليست مثاليةً -لأنها تستعمل الرسائل الإذاعية- لكنها فعالة إذ ستعرف جميع الأجهزة من معها في الشبكة من ناحية ربط عناوين الطبقة الثالثة إلى الثانية.

سيرى الموجِّه رد ARP، وسيعلم عنوان MAC للجهاز الوجهة، وسيكون جاهزًا لتجميع كامل الرزمة بعنوان IP للوجهة الهدف والمصدر الأصلي، وعنوان MAC المصدر هو عنوان MAC للموجِّه، وعنوان MAC الوجهة هو عنوان MAC لذاك الجهاز.

أي أنَّ اتصالات IP في الشبكات البعيدة ما هي إلا نتيجةٌ لعمل سلسلةٍ من الوسطاء الذين نسميهم «الموجِّهات» الموجودين في منتصف المسار لتمرير البيانات الشبكية بذكاء؛ وعلى أيّة حال، عملية الاتصال لجهازٍ بعيد هي مماثلة تمامًا لما شرحناها هاهنا من ناحية ARP والربط ...إلخ.

إذا أردت أن تتحقق من جداول ARP في الموجِّهات، فيمكنك استعمال الأمر sh ip arp؛ هنا ستشاهد ربط عناوين IP إلى عناوين MAC، والبطاقات التي تتواجد عليها عناوين MAC تلك.

Router#sh ip arp
Protocol Address     Age (min) Hardware Addr  Type Interface
Internet 10.10.98.1  -         7081.0597.ca61 ARPA GigabitEthernet0/1.1098
Internet 10.10.98.2  18        649e.f32c.7571 ARPA GigabitEthernet0/1.1098
Internet 10.10.98.3  76        001d.709f.d1e0 ARPA GigabitEthernet0/1.1098
Internet 10.100.0.1  237       0000.0c07.ac82 ARPA GigabitEthernet0/2.2939
Internet 10.100.0.2  14        000d.6630.a01a ARPA GigabitEthernet0/2.2939
Internet 10.100.0.3  30        000d.6630.9c1a ARPA GigabitEthernet0/2.2939
Internet 10.100.0.4  -         7081.0597.ca62 ARPA GigabitEthernet0/2.2939
Internet 10.100.0.5  -         0000.0c07.ac64 ARPA GigabitEthernet0/2.2939
Internet 10.201.1.1  138       a0f3.e433.6485 ARPA GigabitEthernet0/2.3057
Internet 10.201.1.2  92        001c.5821.968d ARPA GigabitEthernet0/2.3057
Internet 10.201.1.3  243       001a.6dbe.406c ARPA GigabitEthernet0/2.3057
Internet 10.201.1.4  221       001c.f6d5.f64d ARPA GigabitEthernet0/2.3057
Internet 10.201.1.5  148       649e.f32c.7572 ARPA GigabitEthernet0/2.3057

قد تشاهد أنَّ بعض مدخلات الربط السابقة ليس لها وقت انتهاء صلاحية، أي أنَّ ربط عنوان IP إلى عنوان MAC ثابتٌ؛ وهذا مفيدٌ ببعض الحالات، وخطير بحالاتٍ أخرى.

تتوفر عدِّة أدوات للمساعدة في عملية استكشاف الأخطاء. الأداة ping تُرسِل طلبية ping، وهي أداة تشخيص تسمح لك باختبار قابلية الاتصال، وستعرض لك معلومات خلال تلك العملية حول حالة الاتصال؛ وهي أداة في الطبقة الثالثة، لذا ستنفِّذ هذه الأداة على اسم مضيف أو عنوان IP؛ وستستعمل هذه الأداة طلبيات ICMP echo؛ إذ أنَّ ICMP هو بروتوكول في الطبقة الثالثة. وسنتنظر الأداة ping إلى أن تحصل على رد ICMP echo من الوجهة. ولها إعدادات معيّنة تتعلق بمدة الانتظار، وكم طلبية ستُرسِل، وحجم كل رزمة.

أما وظيفة Trace فستعطيك تمثيلًا للموجهات الموجودة في المسار الواصل إلى الوجهة. حيث ستذكر كل تلك العقد الشبكية على الطريق مع عناوين IP أو أسماء DNS مع معلومات إضافية معيّنة مثل وقت الرحلة (round-trip time). يكون ناتج خرج trace عبارة عن سلسلة من الأسطر حيث يمثِّل كل سطر موجِّهًا عالج الرزمة الشبكية ومررها إلى الوجهة. يمكن استخدام trace بشكلٍ شبيهٍ بالأداة ping، كأداةٍ لاختبار إن كان يعمل المضيف الوجهة، ولكن يمكن أن تُستعمَل أيضًا لتحديد المشاكل في الأداء، والمشاكل في تحديد المسارات، وخطوط الاتصال المقطوعة أو العقد الشبكية المتوقفة، والتأخير في زمن الرحلة من المصدر إلى الوجهة. يمكن استعمال وظيفة trace في موجِّهات سيسكو بالأمر traceroute.

ترجمة -وبتصرّف- للمقال Exploring the Network Routing Process.

سيُقدِّم هذا الدرس كيفية استخدام أنماط الضبط والتفاعل معها لمساعدتنا في إكمال الضبط الأساسي لموجِّهات سيسكو من واجهة سطر الأوامر. وسنشاهد أمثلة أساسية لضبط مكونات البطاقات بما في ذلك عناوين IP، ولمحةٌ عن أوامر عرض الضبط للتحقق من الإعداد السليم للموجِّه.

لمحة عن أنماط الموجه

أول خطوة في ضبط الموجِّه هي التواجد في نمط المستخدم ذي الامتيازات، تذكر أنَّ نمط EXEC له نمطان فرعيان: نمط المستخدم العادي (دون امتيازات) ونمط المستخدم ذو الامتيازات؛ تستطيع الانتقال من نمط المستخدم العادي (الذي يسمح لك باستعمال أوامر المراقبة والصيانة فقط) إلى نمط المستخدم ذي الامتيازات باستخدام الأمر enable. بعد أن تدخل إلى نمط الضبط العام (global) بمستخدمٍ ذي امتيازات، فيمكنك الذهاب إلى نمط ضبطٍ فرعي بكتابة -على سبيل المثال- configure terminal وستتاح لك مجموعة أوامر أخرى.

عندما تكون في نمط الضبط العام، فإن أيّ شيءٍ تضبطه في ذاك النمط سيؤثِّر على الموجِّه ككل؛ على سبيل المثال، اسم المضيف للموجِّه وكلمات المرور واللافتات (banners)، إذا أردت أن تضبط مكوِّنات محدَّدة، فعليك الذهاب إلى نمط ضبط تلك المكونات من نمط الضبط العام.

Router con0 is now available
Press RETURN to get started.
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Router(config)#hostname Branch
Branch(config)#^Z
Branch#
*Feb 4 20:09:54.192: %SYS-5-CONFIG_I: Configured from console by console
Branch#

يتطلب الدخول إلى نمط ضبط البطاقات أمرًا يُنفَّذ في نمط الضبط العام ثم سيتحول المِحَث مشيرًا إلى أنَّك في نمط ضبط مختلف. وهذا مماثل للبطاقات الفرعية، والمتحكمات (controllers)، وخطوط الوصول (access lines)، وبروتوكولات التوجيه. إذا أردت التنقل بين الأنماط، فالأمر exit يحوِّلك إلى النمط السابق، و Ctrl+Z يُعيدك إلى نمط EXEC ذي الامتيازات دون أخذ بعين الاعتبار موقعك الحالي في أنماط الضبط. إذا أردت أن تنتقل بين أنماطٍ فرعيّةٍ للضبط، فيمكنك فعل ذلك دون الحاجة إلى العودة إلى نمط الضبط العام.

حفظ الضبط

عملية الضبط هي عمليةٌ تراكمية تتم على فترةٍ من الزمن؛ وربما يبدأ بعض مدراء الشبكة هذه العملية بنسخ النصوص من ملفات الضبط ولصقها في واجهة سطر الأوامر؛ وبعد ذلك سيضبطون تدريجيًا مختلف وظائف ومكونات الموجِّه. ولكل سطر نكتبه أو ننسخه إلى واجهة سطر الأوامر ثم نضغط Enter، فسيصبح فعالًا ومتاحًا في الضبط التشغيلي (running configuration)، وإذا أعدنا إقلاع الموجِّه في هذه المرحلة، فسنفقد كل الضبط الذي ضبطناه إن لم نحفظه إلى إلى ذاكرة NVRAM، وعندها يُسمى الضبطُ ضبطًا إقلاعيًا (startup configuration). الأمر الآتي سيحفظ الضبط التشغيلي إلى ذاكرة NVRAM، ومن المستحسن استعماله بين الحين والآخر خصوصًا في عمليات الضبط الطويلة.

Branch#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Branch#

أو:

Branch#write memory
Building configuration...
[OK]

ضبط معرف للموجه

التوثيق الدقيقة والفعال عبر استعمال لافتة أو اسم الموجِّه هو أمرٌ مستحسن، وضبط الموجِّه ليس استثناءً وهنا سنرى بعض الأوامر التي تسمح لك بتوثيق الإعدادات وتوفير مساعداتٍ بصرية للتعرف على مكوِّنات محددة؛ على سبيل المثال، يمكن أن يُستعمَل اسم مضيف الموجِّه في مِحَث سطر الأوامر.

أول كلمة تراها في واجهة سطر الأوامر هي اسم المضيف. ويمكن أن تُساعد اللافتات (banners) -عند تسجيل دخول المستخدمين الذين يحاولون الاتصال بالموجِّه عبر أيّة وسيلةٍ من وسائل الاتصال- على إيصال رسالة تحتوي على السياسات المُتبَعَة وأوقات الدخول ومعلومات الدعم. وعندما تُعدِّل في ضبط الموجِّه، يكون من المهم توفير وصف لمختلف المكونات. فمثلًا لو استعملت الأمر description في نمط ضبط البطاقات، فسيسمح لك الوصف بالتعرف بسهولة على البطاقة عندما تستعمل أمر show عليها.

الأوامر المتعلقة بالطرفيات

موضوع آخر مهم لتضبطه في الموجهات هو الحماية والتحكم في الوصول، الأمر الذي سنشرحه في هذه الفقرة سيقلل من إمكانية حدوث اختراقاتٍ أمنيةً نتيجةً لعدم وجود حماية فيزيائية للمعدات، فلو سجل أحدهم دخوله عبر طرفية، ثم غادر فجأةً، فربما يأتي أحدهم ويستعمل تلك الجلسة لأغراضه الخاصة، فيمكنه رؤية الضبط، وكلمات المرور، وحتى أنَّه يستطيع تغييرهم. الأمر exec-timeout يسمح لك بضبط مهلة لصدفات (shells) واجهة سطر الأوامر؛ وفي هذا المثال، ستنتهي المهلة للمستخدمين الذي سجلوا دخولهم بعد 20 دقيقة و30 ثانية.

Branch(config)#
Branch(config)#line vty 0 4
Branch(config-line)#exec-timeout ?
<0-35791> Timeout in minutes
Branch(config-line)#exec-timeout 20 ?
<0-2147483> Timeout in seconds
<cr>
Branch(config-line)#exec-timeout 20 30 ?
<cr>
Branch(config-line)#exec-timeout 20 30

أحيانًا عندما تحاول استكشاف الأخطاء في الموجِّهات، قد تُفعِّل عددًا كبيرًا من الرسائل لتظهر في الطرفية، كي ترى ما الذي يحصل؛ لكن هذا يمنعك من كتابة الأوامر لتصحيح المشكلة، لذلك يسمح لنا الأمر logging synchronous بإعادة عرض المُدخلات التي تمت مقاطعتها بعد إظهار الرسالة. أي بكلامٍ آخر، كنت أكتب، فعُرِضَت رسالة، ثم سيعاد عرض الأمر الذي كنت أكتبه على الشاشة، كي أكمل الكتابة وأصلح الخلل.

Branch(config-line)#logging synchronous
Branch(config-line)#end
Branch#wr
Building configuration...
[OK]
Branch#

ضبط البطاقات

البطاقات هي الأبواب لبقية الشبكات، وأحد الأشياء التي تجعل من الموجِّه «موجِّهًا» الذي هو الجهاز القادر على وصل عدِّة قطع شبكيّة، لذا يكون من المهم جدًا ضبطها ضبطًا صحيحًا. يمكنك ضبط البطاقات عبر الانتقال إلى نمط ضبط البطاقات، وذلك عبر كتابة الأمر interface ثم تكتب بعده مُعرِّف البطاقة.

يتعلق مُعرِّف البطاقة عادةً بنوع الموجِّه الذي نملكه، فهنالك موجِّهات ذات ضبطٍ ثابت فيها Ethernet 0 أو Serial 0 على سبيل المثال؛ أما في الموجِّهات المركبة من الوحدات (modular)، فإن مُعرِّف البطاقة يعتمد على مكان البطاقة من ناحية الفتحات الموجودة في هيكل الموجِّه؛ وفي هذه الحالة عليك تعريف البطاقة برقم الذي هو الفتحة متبوعةً بشرطة مائلة / ثم المنفذ؛ فمثلًا لو كانت البطاقة التي أرغب في الوصول إليها موجودةً في الفتحة 1 ورقم المنفذ هو 3، فسيكون مُعرِّف البطاقة هو 1/3.

ضبط وصف للبطاقات

من المهم جدًا القدرة على التعرف السريع على مختلف مكونات الضبط. قد لا تكون أسماء وأرقام البطاقات مناسبةً جدًا لتذكر وظيفتها، فمن الأفضل تسمية البطاقة أنها «البطاقة 2 الفرع 1» بدلًا من تسميتها 00.

لذلك من المستحسن كتابة وصف جيد للبطاقات، لأنه يُحسِّن من التوثيق، ويساعد في استكشاف الأخطاء. الأمر الذي يُستعمَل لإضافة وصف للبطاقات هو الأمر description، المتوفر في نمط ضبط البطاقات.

تعطيل أو تفعيل بطاقة

هنالك عدِّة حالات للبطاقات، التي ترتبط بالطبقتين 1 و 2 عند عرض ناتج الأوامر؛ على سبيل المثال، إذا نفذنا الأمر show ip interface brief، فإن الناتج سيُظهِر حالة البطاقة في الطبقتين 1 و 2. قد تكون حالة البطاقة هي down (أي مُعطَّلة)، وقد يحدث هذا بسبب عدم وجود خدمة أو إشارة في تلك البطاقة، أو بسبب عدم الضبط بشكلٍ صحيح.

وفي مرحلةٍ ما أثناء استكشاف الأخطاء أو عند إجراء بعض المهام الإدارية؛ قد يُعطِّل مدراء الشبكة البطاقة إداريًا، الأمر shutdown يُعطِّل البطاقة، بينما نسخة no من الأمر ستُفعِّلها. يمكن استعمال الكلمة no قبل العديد من الأوامر، مما يسمح لك بعكس تأثير الأمر المُحدَّد.

ضبط عنوان IP

عناوين IP هي اللبنة الأساسية للتواصل عبر بروتوكول IP؛ وستتطلب أيّة بطاقة مُفعَّلة عنوان IP. عملية ضبط عنوان IP تتضمن إسناد العنوان نفسه بالإضافة إلى ضبط القناع. يخبر القناعُ الموجِّهَ كيف يقرأ ويفهم عنوان IP من ناحية تقسيمه إلى قسم الشبكة وقسم المضيفين. وإذا اتبعت تعلميات التصميم التي ذكرناها في درسٍ سابق، فسيكون عندك توافق أو تناغم في آلية حجز وإسناد عناوين IP إلى مختلف القطِع الشبكيّة والمضيفين على شبكتك.

نُذكِّر مرةً أخرى أنَّ كل البطاقات في الموجهات التي تنقل البيانات الشبكيّة تحتاج إلى عنوان IP؛ وهذا يساعد الموجِّه في تعريف مخطط الشبكات المتصلة مباشرةً إليه، وسيستطيع أن يُخبِرَ عن تلك الشبكات إلى أجهزةٍ أخرى عبر بروتوكولات التوجيه. وتخدم عناوين IP للموجِّه أيضًا كالبوابة الافتراضية التي يجب ضبطها على بقية الأجهزة والمضيفين.

Branch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Branch(config)#interface fa0/0
Branch(config-if)#ip address 192.168.10.1 255.255.255.0
Branch(config-if)#description ### LAN ###
Branch(config-if)#no shutdown
Branch(config-if)#
*Feb 4 20:21:05.434: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Feb 4 20:21:06.435: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Branch(config-if)#
Branch(config-if)#exi
Branch(config)#int fa0/1
Branch(config-if)#ip address 10.1.5.2 255.255.255.252
Branch(config-if)#description ### Internet ###
Branch(config-if)#no shu
*Feb 4 20:22:32.896: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Feb 4 20:22:33.899: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Branch(config-if)#end
Branch#
Branch#wr
Building configuration...
[OK]
Branch#

الأمر show interface في الموجهات

تتوفَّر عدِّة أوامر للتحقق من الضبط، ربما يكون الأمر show interface أحد الأوامر التي تَعرِض أغلبية المعلومات عن البطاقات في ناتج خرجها. النسخة الأساسية من ذاك الأمر تعرض عناوين MAC و IP وبعض الإحصائيات القيّمة بخصوص عدد الرزم التي أُرسِلَت أو استُلِمَت وتَعرِض أيضًا معدلات الخرج (output rates) وعدّادات (counters) للطبقتين الأولى والثانية. أسدِ لنفسك معروفًا وحاول حفظ هذين الأمرين المهمين والمفيدين:

Branch#show ip interface brief
Interface        IP-Address    OK? Method Status Protocol
FastEthernet0/0  192.168.10.1  YES manual up     up
FastEthernet0/1  10.1.5.2      YES manual up     up

Branch#show interfaces description
Interface Status Protocol Description
Fa0/0     up     up       ### LAN ###
Fa0/1     up     up       ### Internet ###
...
Branch#

تفسير حالة البطاقات

أول سطر من ناتج مخرجات أمر show interface هو حالة (status) البطاقة، وهو مُقسَّم إلى حالتين، إذ تتعلق كل واحدة بطبقة. فأول حالة هي حالة الطبقة الأولى، والحالة الثانية هي حالة الطبقة الثانية:

Router#sh int fa 0
FastEthernet0 is up, line protocol is up
  Hardware is PQ3_TSEC, address is 0021.a09d.1b6c (bia 0021.a09d.1b6c)
  Description: ### PROVIDER ###
  Internet address is 192.168.0.65/24
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
    reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 39
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 2000 bits/sec, 1 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
    491094 packets input, 487489009 bytes
    Received 245 broadcasts, 0 runts, 0 giants, 0 throttles
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
    0 watchdog
    0 input packets with dribble condition detected
    386363 packets output, 74996232 bytes, 0 underruns
    0 output errors, 0 collisions, 0 interface resets
    0 unknown protocol drops
    0 babbles, 0 late collision, 0 deferred
    0 lost carrier, 0 no carrier
    0 output buffer failures, 0 output buffers swapped out

إذا كان يعمل كلا المكونَين، فالبطاقة تعمل؛ أما إذا كانت تعمل الطبقة الفيزيائية، لكن طبقة نقل البيانات لا تعمل، فهذا يعني وجود مشكلة متعلقة (ولنقل) بإيثرنت؛ وفي حالة البطاقات التسلسلية (serial interfaces)، فربما لا يكون هنالك رسائل keepalive متبادلة، أو قد يكون هنالك اختلافٌ بأنواع التغليف (encapsulation). أما لو كانت كلا الطبقتين لا تعملان، فربما يدل ذلك على أنَّ الكابل غير موصول إلى المنفذ؛ وأخيرًا، لو أغلقت المنفذ إداريًا، فسيُكتَب «administratively down».

جولة في سطر الأوامر

لنراجع بعض أدوات التنقل وبعض الأوامر المفيدة؛ سنبدأ بنمط المستخدم ذي الامتيازات، ثم سنذهب إلى نمط الضبط العام بتنفيذ الأمر conf t، ثم سننتقل من هناك إلى أنماط ضبط أخرى مثل نمط ضبط البطاقات كي نضبط بطاقة معيّنة؛ ولا نستطيع من هنالك أن نستعمل أوامر show لأنها تتعلق بنمط EXEC ونحن الآن في نمط ضبط البطاقات؛ لذا لو نفذنا الأمر sh ip int brie (كما هو ظاهر في المثال الآتي)، فستظهر رسالة خطأ ولن يُنفَّذ الأمر؛ أما لو وضعنا الكلمة do قبل الأمر، فستنفَّذ الأوامر وكأنها في نمط EXEC، وبهذا سيظهر ناتج الأمر sh ip int brie بينما ما نزال في نمط ضبط البطاقات. إذا أردنا أن ننتقل بين الأنماط، فيمكننا استعمال الأمر exit للانتقال إلى الخلف خطوةً واحدةً فقط؛ أما لو عدنا إلى نمط ضبط البطاقات وأردنا الذهاب إلى نمط EXEC مباشرةً، فسنضغط على Ctrl+Z. شيءٌ آخر مفيدٌ لنتعلمه هو كيفية إيقاف تنفيذ الأوامر؛ فعلى سبيل المثال، لو كتبنا أمرًا غير ذي معنى (الكلمة unknown في المثال الآتي) فسيحاول الموجِّه البحث عن تلك الكلمة عبر خدمة DNS ويحاول استبيان الاسم وتحويله إلى عنوان IP ثم سيحاول الاتصال عبر telnet إليه، وهذا يأخذ وقتًا. لذا سأضغط على Ctrl+Shift+6 الذي يوقف عمل الأوامر مثل استبيان الأسماء، والأمريَن ping و trace؛ وستفيدك تجميعة المفاتيح تلك إن لم تكن ترغب بإضاعة وقتك في انتظار تنفيذ أوامر ليس لها معنى.

Router#
Router#
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int fa 0
Router(config-if)#
Router(config-if)#sh ip int brie
                      ^
% Invalid input detected at '^' marker.

Router(config-if)#do sh ip int brie
Interface     IP-Address     OK? Method Status                Protocol
BRI0          unassigned     YES NVRAM  administratively down down
BRI0:1        unassigned     YES unset  administratively down down
BRI0:2        unassigned     YES unset  administratively down down
FastEthernet0 192.168.0.65   YES NVRAM  up                    up
FastEthernet1 unassigned     YES NVRAM  administratively down down
FastEthernet2 unassigned     YES unset  down                  down
FastEthernet3 unassigned     YES unset  down                  down
FastEthernet4 unassigned     YES unset  up                    down
FastEthernet5 unassigned     YES unset  up                    down
FastEthernet6 unassigned     YES unset  up                    up
FastEthernet7 unassigned     YES unset  up                    up
FastEthernet8 unassigned     YES unset  up                    up
FastEthernet9 unassigned     YES unset  down                  down
NVI0          192.168.0.65   YES unset  up                    up
Tunnel1       10.10.1.65     YES NVRAM  up                    up
Tunnel2       10.10.2.65     YES NVRAM  up                    up
Vlan1         192.168.65.192 YES NVRAM  up                    up
Router(config-if)#
Router(config-if)#exi
Router(config)#
Router(config)#
Router(config)#int fa 0
Router(config-if)#
Router(config-if)#^Z
Router#
Router#unknown
Translating "unknown"

Translating "unknown"

% Bad IP address or host name
% Unknown command or computer name, or unable to find computer address
Router#

ترجمة -وبتصرّف- للمقال Configuring a Cisco Router.

لا توجد طريقة لفهم وظائف التوجيه أفضل من ضبط موجِّه حقيقي، لذا سنُشغِّل موجِّه سيسكو في هذا الدرس وسنهيئه باستخدام واجهة سطر أوامر نظام تشغيل IOS؛ ثم سنسجِّل دخولنا إلى الموجه لإكمال عملية الضبط، ثم مراقبة العتاد وحالة النظام.

الإعداد الابتدائي لموجه سيسكو

عملية تهيئة الموجِّهات شبيهة بمثيلتها في المبدِّلات (switches). سيفحص الجهاز نفسه أولًا عبر اختبار POST (اختصار للعبارة power-on self test) للتأكد من عمل العتاد، ثم سيحاول العثور على نسخة نظام التشغيل في عدِّة مسارات، وهو مضبوطٌ لكي يبحث في أماكن بديلة إن لم يعثر على نسخة نظام التشغيل الموجودة في قرص فلاش. وبعد تحميل الضبط إلى ذاكرة الوصول العشوائي (RAM)، فإنه سيُطبِّق التعليمات الواردة في ملف الضبط في NVRAM. وهنالك خياراتٌ بديلةٌ لملفات الضبط ستُستعمَل عند الحاجة.

مثالٌ على تلك الخيارات البديلة هو ميزة التثبيت التلقائي (auto install)، التي تسمح للموجه أن يحصل على عنوان IP ديناميكيًا من الشبكة -لأن الموجِّه يُقلِع دون ضبط- ثم يحاول الموجِّه أن يُحمِّل ملفات الضبط من خادم TFTP على الشبكة.

وللإكمال معنا في هذا الدرس، يجب أن تتحقق من أنَّ مقبس الطاقة موصولٌ، وأنَّك قادرٌ على الاتصال إلى الموجِّه عبر الطرفيات التي ستسمح لك بمشاهدة الخرج الناتج عن نظام تشغيل IOS أثناء عملية التهيئة. ولا تنسَ أيضًا أن يكون المفتاح الطاقة مُشيرًا إلى وضع التشغيل (on)، فالموجَّهات -على عكس المبدلات- فيها مفتاحٌ خاصٌ بالطاقة.

ناتج خرج الإقلاع في موجه

إن لم يكن للموجِّه ملفُ ضبطٍ موجود في NVRAM، فالإجراء الاحتياطي هنا هو التثبيت التلقائي (auto install)، وإن فشل الموجِّه في هذه الخطوة، فالبديل هو الدخول إلى وضع الإعداد (setup mode). تظهر في وضع الإعداد أسئلةٌ عن ضبط النظام -كما في المبدِّلات في الطبقة الثانية- التي تُهيّء الضبط المبدئي للموجِّه. لكن نوعية الأسئلة مختلفة هنا لأننا نضبط جهازًا في الطبقة الثالثة. ليس الغرض من وضع الإعداد أن نضبط ميزاتٍ معقدةً للبروتوكولات أو ضبطًا متقدمًا للموجِّه؛ وإنما يُستعمَل لإعداده بالحد الأدنى من الضبط.

إن كان للموجِّه ملفُ ضبطٍ صحيحٍ، فسيُرسِلنا إلى واجهة سطر الأوامر (Cisco CLI) في نمط EXEC؛ فافتراضيًا، يرسلنا الموجِّه إلى نمط المستخدم دون امتيازات، ثم بعد ذلك ندخل إلى نمط المستخدم ذي الامتيازات عبر إدخال الأمر enable.

Setup: الضبط الابتدائي

يمكنك استدعاء برمجية الضبط الابتدائي عبر كتابة الأمر setup. سنحتاج إلى أن نكون في نمط الضبط بمستخدمٍ ذي امتيازات (يمكنك معرفة ذلك إذا كان في المِحَث [prompt] إشارة المربع [#]). بعد ذلك ستَدخل إلى مربع حوار ضبط الإعداد، الذي سيسألك الموافقة إذا كنت تريد ضبط الجهاز، ثم سيسألك إن كنت تريد الذهاب إلى ضبط الإدارة الأساسي (basic management setup).

إذا ضغطت على No في مربع الحوار السابق الذي يسألك الدخول إلى ضبط الإدارة الأساسي، فستدخل إلى الضبط الموسَّع (extended setup) الذي يتيح لك ضبط خيارات متخصصة بالنظام. إذ أنَّ الضبط الأساسي سيسألك عدِّة أسئلة لضبط اسم المضيف، وكلمات المرور، وبعض المتغيرات الأساسية في ضبط البطاقات (interfaces)، وغيرها من الخيارات. تذكر أنَّ الضبط الافتراضي سيوضع ضمن أقواسٍ مربَّعة (أي «[]») ويمكنك ببساطة الضغط على Enter لقبول الضبط الافتراضي. تجميعة مفاتيح أخرى مهمة هي Ctrl+C التي تتيح لك إنهاء العملية الحالية لتبدأ من جديدٍ في أيّ وقت. فعند الضغط على Ctrl+C، ستعود إلى نمط EXEC بمستخدمٍ ذي امتيازات ويمكنك إكمال ضبط الموجِّه من هناك.

ملخص ضبط البطاقات

إذا ضغط على Yes في مربع الحوار الذي يسألك عن الدخول إلى ضبط الإدارة الأساسية، فستُسأل سؤالًا آخر إذا ما كنت تريد رؤية ملخص ضبط البطاقات الحالي؛ إذا ضغطت على Yes، فسترى شيئًا شبيهًا بما يلي، حيث تُعرَض قائمة بالبطاقات مع حالتها في الطبقتين الأولى والثانية. فمثلًا، تملك بعض البطاقات عنوان IP. والناتج المعروض هنا هو ناتج الأمر sh ip int brie:

Interface                  IP-Address      OK? Method Status                Protocol
BRI0                       unassigned      YES NVRAM  administratively down down
BRI0:1                     unassigned      YES unset  administratively down down
BRI0:2                     unassigned      YES unset  administratively down down
FastEthernet0              192.168.0.65    YES NVRAM  up                    up
FastEthernet1              unassigned      YES NVRAM  administratively down down
FastEthernet2              unassigned      YES unset  down                  down
FastEthernet3              unassigned      YES unset  down                  down
FastEthernet4              unassigned      YES unset  up                    down
FastEthernet5              unassigned      YES unset  up                    down
FastEthernet6              unassigned      YES unset  up                    up
FastEthernet7              unassigned      YES unset  up                    up
FastEthernet8              unassigned      YES unset  up                    up
FastEthernet9              unassigned      YES unset  down                  down
NVI0                       192.168.0.65    YES unset  up                    up
Tunnel1                    10.10.1.65      YES NVRAM  up                    up
Tunnel2                    10.10.2.65      YES NVRAM  up                    up
Vlan1                      192.168.65.192  YES NVRAM  up                    up

ميزة Cisco AutoSecure

قد تجد من ضمن الأسئلة التي ستُسأل عنها أسئلةً متعلقةً بتفعيل AutoSecure، التي هي ميزةٌ أمنيةٌ متوفرة في نسخٍ معيّنة من نظام التشغيل، تسمح لك بتقليل تعقيد تأمين الموجه ومعرفة الأوامر اللازمة لذلك، عبر إنشاء هذا الأمر الذي يؤتمت عملية ضبط تلك المزايا الأمنية؛ أي أنَّ تلك الميزة مكان جامعٌ لتأمين موجِّهك وتحسين السياسات الأمنية الحالية. وبالإجابة بنعم (yes) على السؤال المتعلق بتفعيل AutoSecure، فإنك ستُفعِّل AutoSecure، الذي يعني تنفيذ الأمر auto secure وبه تبدأ عملية تأمين الموجِّه. وتلك الأداة صارمةٌ جدًا وستحاول ضمان أكبر قدر من الحماية عن طريق (على سبيل المثال) تعطيل الخدمات العامة، وتعطيل الخدمات التي تعمل على مستوى البطاقة (interface)، وتفعيل أشياء مثل تشفير كلمات المرور، والتسجيل (logging)، والتحقق من أنَّ وجود كلمات مرور لموجِّهك، والتأكد من أنَّ SSH مضبوطٌ ضبطًا صحيحًا؛ وتُعطَّل أيضًا ميزة الإدارة عبر SNMP إن لم تكن مستخدمة. وتحاول تطبيق ميزات متعلقة بمكافحة التنصت واعتراض اتصالات TCP (أي TCP intercept) ومهلة فقدان اتصالات TCP. إنها أداةٌ شاملة، وعليك تفعيلها إذا كنت تعرف تمامًا ما هي تبعات ذلك.

مراجعة سكربت الإعداد واستخدامه

وبشكلٍ شبيهٍ بمربعات حوار الضبط في المبدِّلات، تنتهي هذه العملية بإظهار الموجِّه للسكربت التي أُنشِئ اعتمادًا على أجوبتك، متبوعًا بقرارك إن كنت تريد تريد العودة إلى المِحث دون الحفظ، أو بالعودة إلى أول الأسئلة مُعيدًا الضبط مرةً أخرى، أو حفظ الضبط والعودة إلى المِحَث.

تسجيل الدخول إلى موجه سيسكو

بعد إنهاء الضبط كما في الخطوة السابقة، يمكنك العودة إلى المِحَث وإعادة ضبط الموجِّه، أو إجراء المزيد من الضبط. الموجِّه هو جهاز يعمل بنظام IOS، أي أنه شبيه بالمبدِّلات في كونه يحتوي على نمط EXEC، الذي فيه نمطين فرعيين: نمط المستخدم دون امتيازات، ونمط المستخدم ذو الامتيازات. يمكنك الانتقال من نمط المستخدم العادي إلى نمط المستخدم ذي الامتيازات عبر استعمال الأمر enable. ويمكنك الخروج من نمط المستخدم ذي الامتيازات عبر الأمر disable، أو تسجيل الخروج كليًا بالأمر logout، والأمر exit يفعل المِثَل أيضًا. لاحظ أيضًا -وبما يشابه المبدلات- أنَّه يمكنك معرفة نمط المستخدم العادي من إشارة «أكبر من» (<) في المِحَث، بينما نمط المستخدم ذو الامتيازات يُعرَف بإشارة المربع (#).

Router>
Router> enable
Password:
Router#

قائمة بالأوامر التي يمكن تنفيذها على الموجهات بنمط المستخدم العادي

يمكنك استعمال إشارة الاستفهام (?) بجميع مستويات الامتيازات وبجميع أنماط الضبط لعرض قائمة بالأوامر التي يمكنك استعمالها في ذاك النمط؛ لاحظ أنك تستطيع التمرير إلى الأسفل لوجود الكلمة «More»، يمكنك الضغط على زر المسافة للتمرير صفحةً بصفحة، أو الضغط على زر Enter (أو Return في بعض لوحات المفاتيح) للتمرير سطرًا بسطر، أو بإمكانك استعمال الزر Q للخروج، أو عبر التجميعة Ctrl+C.

Router>?
Exec commands:
  <1-99>          Session number to resume
  access-enable   Create a temporary Access-List entry
  access-profile  Apply user-profile to interface
  clear           Reset functions
  connect         Open a terminal connection
  crypto          Encryption related commands.
  disable         Turn off privileged commands
  disconnect      Disconnect an existing network connection
  dot11           IEEE 802.11 commands
  emm             Run a configured Menu System
  enable          Turn on privileged commands
  exit            Exit from the EXEC
--More--

تختلف قائمة الأوامر بناءً على نسخة وميزات نظام التشغيل، وستختلف تبعًا لامتيازات الوصول وأنماط الضبط؛ فمثلًا، هنالك قائمةٌ محدودةٌ من الأوامر التي تستطيع تنفيذها في نمط المستخدم دون امتيازات تسمح لك بمراقبة عمل الموجِّه، بينما يمكنك في نمط المستخدم ذي الامتيازات أن تدخل إلى مختلف مستويات الضبط وتنفِّذ أوامر تتعلق بالصيانة.

قائمة بالأوامر التي يمكن تنفيذها على الموجهات بنمط المستخدم ذي الامتيازات

هذه قائمة مبسطة وجزئية بالأوامر المتوفرة في نمط المستخدم ذي الامتيازات الظاهرة بكتابة علامة استفهام في المحث؛ لاحظ أنَّ الأمر configure متوفرٌ في القائمة، وهو يسمح لك بالذهاب إلى نمط الضبط؛ وأيضًا الأمر copy، الذي يسمح بنسخ صور نظام التشغيل أو ملفات التشغيل من وإلى الموجِّه؛ وهنالك الأمر erase لمسح الصور من نظام الملفات.

Router#?
Exec commands:
  <1-99>           Session number to resume
  access-enable    Create a temporary Access-List entry
  access-profile   Apply user-profile to interface
  access-template  Create a temporary Access-List entry
  archive          manage archive files
  auto             Exec level Automation
  beep             Blocks Extensible Exchange Protocol commands
  bfe              For manual emergency modes setting
  calendar         Manage the hardware calendar
  cd               Change current directory
  clear            Reset functions
  clock            Manage the system clock
  cns              CNS agents
  configure        Enter configuration mode
  connect          Open a terminal connection
  copy             Copy from one file to another
  crypto           Encryption related commands.
  debug            Debugging functions (see also 'undebug')
  delete           Delete a file
  dir              List files on a filesystem
  disable          Turn off privileged commands
  disconnect       Disconnect an existing network connection
--More--

أمر إظهار نسخة نظام التشغيل

نحن الآن جاهزون لنخطي خطوةً إلى ضبط وإدارة الموجِّهات الخاصة بنا؛ ربما أحد أهم الأوامر من حيث إظهار إمكانيات الجهاز هو الأمر show version؛ وهو شبيه بالأمر الخاص بمبدلات الطبقة الثانية؛ حيث يُظهِر النسخة الحالية من نظام التشغيل ويعرض قائمة بالميزات، ويُظهِر نظام التشغيل الموجود في ذاكرة ROM الذي يُستخدم كنظام بديل إن لم يكن النظام الرئيسي متوفرًا. ويُعرَض أيضًا زمن تشغيل الموجِّه (uptime)، وكذلك المواصفات الفيزيائية بما في ذلك مقدار ذاكرة RAM، والبطاقات الفيزيائية (physical interfaces) في الموجِّه، ومقدار ذاكرة NVRAM، وذاكرة فلاش، وقيمة المُعامل «Configuration register».

Router#sh ver
Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Tue 23-Aug-11 05:42 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YH12, RELEASE SOFTWARE (fc1)

Router uptime is 1 day, 2 hours, 38 minutes
System returned to ROM by Reload Command
System restarted at 17:27:50 EET Wed Nov 28 2012
System image file is "flash:c181x-adventerprisek9-mz.124-24.T6.bin"

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1812 (MPC8500) processor (revision 0x400) with 236544K/25600K bytes of memory.
Processor board ID XXXXXXXXXXX, with hardware revision 0000

10 FastEthernet interfaces
1 ISDN Basic Rate interface
62720K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

التحقق من الضبط الأساسي للموجه

للتحقق من الضبط المبدئي للموجِّه، فعادةً ما تُستعمَل أوامرٌ مثل show running، الذي يعرض كل الضبط الحالي، ثم يمكنك البحث عن القطع التي تريد التحقق منها؛ قد يكون هذا أمرًا مرهقًا وغير فعال، لذلك يمكنك إظهار أقسام معيّنة من الضبط الحالي.

Router#sh run
Building configuration...

Current configuration : 3807 bytes
!
! Last configuration change at 19:41:49 EET Thu Nov 29 2012 by admin
! NVRAM config last updated at 19:43:50 EET Thu Nov 29 2012 by admin
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 65535
enable secret 5 $1$kqJ2$BwXEBY.OC1Fzj4QvofZXx/
!
no aaa new-model
clock timezone EET 2
!
!
dot11 syslog
ip source-route
!
!
ip cef
no ip domain lookup
ip domain name cisco.com
ip name-server 172.16.4.10
no ipv6 cef
!
multilink bundle-name authenticated
!
!
--More--

فيمكنك مثلًا استعمال الكلمة المفتاحية ‏(interface) لعرض الضبط المتعلق ببطاقة معيّنة فقط.

Router#sh run int fa 0
Building configuration...

Current configuration : 186 bytes
!
interface FastEthernet0
  description ### Sales Dept. ###
  ip address 192.168.0.1 255.255.255.0
  duplex auto
  speed auto
end

يمكنك أيضًا استخدام show run | in options مما يعرض الأسطر التي تحتوي كلمةً مُحدَّدة مثل «password»؛ وبهذا، نرى أنَّه لم تُضبَط أيّة كلمات مرور؛ والسطر الوحيد الذي تم إظهاره والذي يحتوي الكلمة «password» هو سطر service password-encryption.

Router#sh run | in password
service password-encryption

يمكنك أيضًا استعمال الأمر show running | section لعرض أقسامٍ كاملة؛ على سبيل المثال قسم line، الذي يعرض الأقسام التي تتعلق بالطرفيات أو VTYs ...إلخ.

يمكنك أيضًا استعمال b ‏(begin) مما يُظهِر الضبط الذي يبدأ بكلمة مفتاحية معيّنة. فسيعرض الأمر الآتي الضبط الذي يبدأ بالكلمة line وكل شيء يقع تحته.

Router#sh run | b line
line con 0
line aux 0
line vty 0 4
  exec-timeout 0 0
  privilege level 0
  login local
  transport preferred ssh
  transport input ssh
  transport output all
!
ntp server 172.16.4.10
end

يمكنك تطبيق ما سبق على بقية الأوامر؛ على سبيل المثال، الأمر show ip int brie سيعرض كل البطاقات وحالتها وعناوين IP المُسنَدة إليها؛ لكنك يمكننا استعمال الأنبوب (pipe) لعرض البطاقات التي لم يُسنَد إليها عنوان IP بالبحث عن الأسطر التي تحتوي على الكلمة المفتاحية unassigned.

Router#sh ip int brie | in unassigned
BRI0               unassigned   YES NVRAM administratively down down
BRI0:1             unassigned   YES unset administratively down down
BRI0:2             unassigned   YES unset administratively down down

FastEthernet1      unassigned   YES NVRAM administratively down down
FastEthernet2      unassigned   YES unset                  down down
FastEthernet3      unassigned   YES unset                  down down
FastEthernet4      unassigned   YES unset                  up   down
FastEthernet5      unassigned   YES unset                  up   down
FastEthernet6      unassigned   YES unset                  up   up
FastEthernet7      unassigned   YES unset                  up   up
FastEthernet8      unassigned   YES unset                  up   up
FastEthernet9      unassigned   YES unset                  down down

وكما ترى، البطاقة Fa0 ليست في القائمة، وكذلك Vlan1، التي تملك عنوان IP.

ترجمة -وبتصرّف- للمقال Starting a Router.

تقودنا معرفتنا بالأعداد الثنائية إلى التعرف على بنية عناوين IP وأفضل الطرق لحجزها؛ إذ سنشرح في هذا الدرس العمليات على الشبكات ذات الفئات (classful) أو عديمة الفئات (classless)، بما في ذلك استعمال الشبكات الفرعية (subnets)؛ وسنشرح مستخدمين أمثلةً واقعيةً تصف عملية حساب عناوينIP للمضيفين؛ وسنشرح أيضًا استعمال قناع الشبكة الفرعية (subnet mask)، وكيف تُستعمَل من الموجِّهات. وستتاح لك الفرصة للتدرب على العمليات على قناع الشبكة الفرعية بعناوين IP ذات الفئات A، و B، و C.

مخطط الشبكات المسطحة

عندما نتحدث عن التوجيه، فنميل إلى التفكير بتمرير الرزم الشبكية إلى الوجهات البعيدة؛ وأول ما سيطرأ ببالنا هي شبكات WAN والإنترنت؛ لكن من المنطقي استعمال التوجيه في شبكة الحرم الجامعي مثلًا، أو حتى في شبكات محلية صغيرة لخدمة غرض تقسيم البيانات التراسليّة (traffic segmentation)؛ فإن لم يكن لديك موجه في شبكتك، فهذا يعني أننا نتحدث عن شبكة مسطحة (flat) حيث فيها كل الأجهزة متصلة إلى نفس «القطعة» (segment) المنطقية؛ تُمثِّل القطعة المنطقية مجالًا إذاعيًا، ولهذا السبب ستتشارك جميع الأجهزة في شبكةٍ مسطحةٍ مجالَ الإذاعة نفسه مما يعني أنَّها ستشاهد جميع الرسائل الإذاعية المُرسَلة من بقية الأجهزة، مما يؤثِّر على أداء الشبكة. المُكوِّن الوحيد الذكي في آلية ترشيح الرزم الشبكية هي المبدِّلات التي تعمل في الطبقة الثانية، التي تمرِّر الرزم الشبكيّة بناءً على عناوين MAC؛ وتلك العناوين ليست ذاتُ بنيةٍ هيكليةٍ مما يجعل الشبكة «مسطحة». وكلما أضفت أجهزةً إلى الشبكة، فسيقل مستوى الأداء؛ يمكن أن تُستعمَل الموجِّهات في مثل هذه الحالات لتقسيم الشبكة إلى عدِّة مجالاتٍ إذاعية أو شبكاتٍ فرعية.

الشبكات الفرعية

المزايا التي سنحصل عليها لا ترتبط بتحسين الأداء فحسب، بل عندما تُقطِّع الشبكة إلى شبكاتٍ فرعيّة مختلفة، فسيقل تراسل البيانات الإجمالي، وستمثِّل كل شبكة فرعية مجالًا إذاعيًا مختلفًا، ولهذا فلن تستطيع البيانات الإذاعية القادمة من قسم «الهندسة» -في هذا المثال- الوصول إلى قسم «التصنيع».

يمنع الموجِّه مرور الرسائل الإذاعية؛ لكن هنالك المزيد من الميزات التي تأتي من الشبكات الفرعية؛ إذ يُمكِّنك تُقسيم الشبكة إلى قطعٍ صغيرة من اتباع منهجية «فرِّق تسد» لتسهيل الإدارة؛ ويُمكِّنك أيضًا من تطبيق سياسات (polices) مختلفة خاصة بكل قطعة من قطع الشبكة؛ إذ يُطبِّق الموجِّه السياسة المُعتمَدة، لأنه يتحكم بمرور البيانات من شبكةٍ فرعيةٍ إلى أخرى، وهذا يؤدي أيضًا إلى عزل مشاكل الشبكات؛ فلو حدث عطبٌ ما في شبكةٍ فرعيةٍ، فلن يكون له تأثيرٌ يُذكر على بقيّة الشبكات.

تتعلق المزايا الأخرى بالأمان؛ فلن تستطيع هجمات الحرمان من الخدمة (denial of service) الوصول إلى الشبكات الفرعية الأخرى إن كان يعمل الموجِّه كجدارٍ ناريٍ بينهم. وبغض النظر عن سبب تقسيمك للشبكة إلى شبكاتٍ فرعية، فيجب أن نُسنِد لكل شبكةٍ فرعيةٍ مُعرِّفًا فريدًا (subnet ID) ثم سيكون للمضيفين في تلك الشبكة الفرعية «مُعرِّف مضيف» (host ID) فريد في عنوان IP.

ماذا يفعل قناع الشبكة الفرعية

كيف نستطيع معرفة أي قسم من عنوان IP خاصٌ بالشبكة أو خاصٌ بالمضيف؟ في الشبكات ذات الفئات (classful)، ستخبرنا الفئة أيّة بايتات مخصصة لمعرِّف الشبكة وأيّة بايتات مخصصة للمضيف؛ وعندما نُنشِئ شبكة فرعية لعنوان IP ذي فئةٍ معيّنة، فإننا «نسرق» بعض البتات من قسم المضيف من العنوان ونجعلها جزءًا من قسم الشبكة الفرعية في العنوان؛ وبهذا تصبح لدينا «طبقة» جديدة في الهيكلية، إذ لدينا شبكة مُعرَّفة عبر فئة (class) ثم شبكة فرعية ثم المضيف؛ حيث نُقسِّم الشبكات إلى شبكاتٍ فرعية ثم ستحتوي تلك الشبكات الفرعية المضيفين.

تلك الهيكلية شبيهة بنظام الترقيم الهاتفي؛ لدينا رمز الدولة ثم رمز المدينة ثم أرقام الهواتف؛ وهذه بيئة عديمة الفئات؛ أما في بيئة ذات فئات، فإن الفئة لا تخبرنا أيّ جزء من العنوان مخصص للشبكة أو للشبكة الفرعية أو للمضيفين؛ إذ أنَّ تلك المعلومات موجودة في قناع الشبكة الفرعية، الذي يخبرنا بآلية تقسيم العناوين. وفي هذا السياق، لا يشبه قناع الشبكة الفرعية الأقنعة التي يرتديها الأولاد الصغار؛ وإنما مَثَلُه كمَثَلِ نظارةٍ لتنظر إلى العناوين بشكلٍ مختلف. وهو أداة قياس تخبرك بطول قسم الشبكة من العنوان، ثم قسم الشبكة الفرعية، ثم ما بقي مُخصصٌ للمضيفين.

الشبكات الفرعية والمضيفون المحتملون في شبكة ذات الفئة C

سيُستعمَل قناع الشبكة الفرعية من المضيفين للتعرف على بيانات التراسل التي تخرج من شبكتهم الفرعية، وسيُستعمَل أيضًا من الموجِّهات للتعرف على الشبكات والشبكات الفرعية ليكون قادرًا على تمرير الرزم الشبكيّة بينها. وإذا ابتغينا الدقة، القناع ما هو إلا آليةٌ لاقتراض البتات، فالمثال هنا يتحدث عن شبكة ذات الفئة C؛ تخبرنا الفئة C أنَّ أول ثلاثة بايتات من العنوان تُمثِّل قسم الشبكة، بينما يمثِّل آخر بايت قسم المضيفين؛ وعندما نُنشِئ شبكةً فرعيةً فستبقى بايتات الشبكة ثابتةً، وسنحتاج إلى استخدام بعض البايتات المخصصة للمضيفين للشبكة الفرعية؛ القاعدة العامة هنا هي أننا «نقترض» البايتات، بكلامٍ آخر، كلما أخذنا بايتات أكثر من قسم المضيف، كلما قلّ عدد المضيفين الذي يمكن أن يتواجدوا في الشبكة الفرعية، لكن سيزداد بذلك عدد الشبكات الفرعية التي سنُنشِئها؛ حيث يعتمد عدد الشبكات الفرعية وعدد المضيفين على عدد البتات التي سنقترضها، الذي سيكون من قوى الأساس 2.

في هذا المثال عن الفئة C، يمكننا أن نفرض عدد البتات التي سنقترضها (رمزنا لها بالرمز S)، ثم سيعطينا ذلك H الذي هو عدد المضيفين، إذ أنَّ H هو ناتج ‎8-S. تذكَّر أنَّه كلما اقترضنا بتات للشبكات الفرعية، كلما قلَّ عدد المضيفين الذي يمكن أن يصبحوا جزءًا منها، وأنَّ عدد البتات الكلي الذي يمكنك اقتراضه في شبكات ذات الفئة C هو 8.

إذا استعملنا بتًا وحيدًا، فيمكننا تمثيل «2 للأس 1» كعدد للشبكات الفرعية التي حاصلها هو شبكتان فرعيتان؛ مما يبقي لنا 7 بتات للمضيف، وهذا يعني 126 احتمالًا مختلفًا لعناوين المضيفين في كل شبكة فرعية؛ لاحظ أنَّ 2 للأس 7 تُعطي 128، لكن هنالك عنوانان محجوزان يُمثِّلان الشبكة نفسها وعنوان الإذاعة. ستحصل على نتائج مشابهة إذ اقترضت المزيد من البتات؛ لكن تذكر أنَّه كلما اقترضت بتاتٍ أكثر، كلما قل عدد المضيفين في شبكتك الفرعية.

الشبكات الفرعية والمضيفون المحتملون في شبكة ذات الفئة B

لدينا المزيد من البتات في قسم المضيف لنقترض منها في الفئة B؛ حيث أنَّ الطريقة مشابهة جدًا لما شرحناه أعلاه؛ ففي هذا المثال سنقترض -مثلًا- 4 بتات (إذ لدينا 16 شبكة فرعية في شبكةٍ ذات الفئة B) مما يُبقي لدينا 12 بت للمضيفين؛ وفي هذه المرة لدينا 16 بت ناقص 4 يساوي 12؛ و2 للقوة 12 تُنتِج 4096؛ ثم سنطرح عنوانين محجوزين مما يُبقي 4094 مضيفًا في كل شبكة فرعية.

الشبكات الفرعية والمضيفون المحتملون في شبكة ذات الفئة A

والأمر سيانٌ للشبكات ذات الفئة A؛ لكننا نتملك هذه المرة عددًا أكبر من البتات لنقترضها، وهذه الفئة هي أكثر الفئات مرونةً فيما يتعلق بموضوع الشبكات الفرعية، وهذا هو سبب اشتهار الشبكة 10 (عنوان من الفئة A للشبكات الخاصة [private]) كأكثر عناوين الشبكات الخاصة استعمالًا. وبهذا يمكننا أن نقترض البايت الثاني بأكمله لتمثيل الشبكة الفرعية، وتبقى لدينا إمكانية وصل عدِّة آلاف من المضيفين في كل شبكة فرعية.

آلية عمل القناع في المضيفين

سيستخدم المضيفون قناع الشبكة الفرعية للتعرف على الشبكة التي يتواجدون فيها من ناحية هيكلية عنوان IP؛ ثم سيقارنون تلك الشبكة مع عنوان الوجهة للرزم الشبكية المُرسَلة منهم؛ فإن طابق عنوانُ الوجهة الشبكةَ التي يتواجدون فيها اعتمادًا على قيمة القناع، فسيحاولون إرسال طلبية ARP لمحاولة الحصول على عنوان MAC للوجهة، ثم سيمررون الرزم مباشرةً إلى الوجهة في الشبكة الفرعية المحلية.

أما لو لم تتطابق الشبكة في المصدر والوجهة، فهذا يعني أنَّ الوجهة في شبكةٍ أخرى وسنحتاج إلى عنوان IP للموجِّه لتمرير الرزم إلى الوجهة البعيدة؛ وعنوان الموجه ما هو إلا البوابة الافتراضية المضبوطة في كل جهاز من أجهزة الشبكة.

كيف تستعمل الموجهات قناع الشبكة الفرعية

آلية عمل قناع الشبكة الفرعية هي ذاتها في الموجِّهات، لكن الموجِّهات ستستعمل هذه المعلومات بطريقةٍ مختلفة، إذ أنها تستلم الرزم الشبكيّة لكي تمررها إلى الوجهة المطلوبة؛ وستستخدم القناع لمقارنة عنوان IP الوجهة بعناوين الشبكات الموجودة في جدول التوجيه. أعراف تسمية قناع الشبكة الفرعية هي / ثم رقم، الذي يخبر الموجِّه أيّة بايتات ستمثِّل قسم الشبكة من العنوان؛ الرمز ‎/24 يعني أنَّ أول 3 بايتات أو أول 24 بت هي قسم الشبكة من العنوان.

يحاول المضيف A -في هذا المثال- إرسال رزم شبكيّة إلى الوجهة 10.3.1.23، ويستعمل ذاك المضيف القناع ‎/24 لمقارنة مُعرِّف شبكته الفرعية التي هي 10.1.1، لكن وجد أنَّ أول 3 بايت من مُعرِّف الشبكة الفرعية للوجهة التي هي 10.3.1 لا تتطابق، لهذا سيُرسِل المضيف A الرزم إلى الموجِّه؛ ثم سيستعمل الموجِّه معلومات القناع لمطابقة الشبكة الفرعية الوجهة في جدول التوجيه الخاص به، وكما هو ظاهر في المخطط أعلاه، الشبكات الموجودة في جدول التوجيه هي شبكات ‎/24 لذلك سيُقارِن الموجِّه أول 3 بايتات مع عنوان IP للوجهة كي يرى إن كانت هنالك مُدخَلة تُطابِق الوجهة. ثم سيكمل الموجِّه عمله بتمرير الرزم إلى المنفذ الموافق للوجهة الذي هو Fa0/0؛ ومن هنا تصل الرزمة إلى الموجِّه B، الذي يجري العملية ذاتها لتوصيل الرزمة إلى الشبكة الفرعية المتصلة به مباشرةً.

خطة تطبيق الشبكات الفرعية

علينا التأكد من عدِّة أشياء قبل أن نُقسِّم شبكاتنا إلى شبكاتٍ فرعية؛ فعلينا أولًا تخطيط لاستراتيجية التقسيم، ثم نقترض عدد البتات الملائم من قسم المضيف في العنوان لتمثيل الشبكات الفرعية؛ وبعد اكتمال مرحلة التصميم، سنحتاج إلى حجز وإسناد الشبكات الفرعية إلى مختلف القطع الشبكيّة. إذ أنَّ قناع الشبكة الفرعية هو أداةٌ تُخبِرُ الأجهزةَ والمضيفين والموجهات كيف ستقرأ وتُمرِّر الرزم الشبكيّة إلى الوجهة.

القيم الثمانية لقناع الشبكة الفرعية

أصبحنا الآن نعرف لماذا نحتاج إلى قناع الشبكة الفرعية، لكن كيف يبدو وكيف نصممه؟ حسنًا، القناع ما هو إلا سلسلة مكونة من 4 بايتات شبيهة بعنوان IP؛ أي بكلامٍ آخر، سلسلة من 32 بت، إما 1 أو 0. لذلك يشابه القناع عناوين IP لكنه ليس منهم؛ فهو يأتي مع عناوين IP للسماح لك بالتعرف على قسم المضيف وقسم الشبكة من العنوان؛ وفي هذا السياق، كل 1 في القناع يعني أنَّ البت الموافق له في عنوان IP هو جزء من قسم الشبكة من العنوان؛ وكل 0 في القناع يُشير إلى أنّ البت الموافق له في عنوان IP سيكون من قسم المضيف.

تذكر أننا قلنا أن قناع الشبكة الفرعية هو آلية «اقتراض»؛ فسننقل (shift) القناع الافتراضي إلى اليمين ونقترض البتات من قسم المضيفين من العنوان، وهذا سيُنتِج ميزةً محوريةً في قناع الشبكة، ألا وهي أنَّ الواحدات (1) متتالية ومتعاقبة دومًا، وكذلك الأصفار.

عندما ننتقل إلى الأسفل في الرسم التوضيحي السابق، نجد أنَّ تتالي الأرقام منطقي بعد تعلمنا للتحويل من النظام الثنائي إلى النظام العشري. وفي النهاية، سترى أنَّ وجود الرقم 1 في جميع البتات يساوي الرقم 255، الذي هو أكبر قناع للشبكة الفرعية، أو تمثيل للقناع كعدد عشري لأي بايت؛ وهذا هو سبب كون ناتج 24 بت متتالي يحتوي على 1 هو قناع الشبكة الفرعية 255.255.225.0؛ أصبح الأمر مربكًا الآن، لنلقِ نظرةً على بعض الأمثلة كي تتضح بعض الأمور.

الأقنعة الافتراضية للشبكات الفرعية

في حالة عناوين IP من الفئة A ‏(10.0.0.0) يُعرِّف القناع الافتراضي -الذي يخبرنا ما هي فئة العنوان- قسم الشبكة من العنوان الذي سيكون البايت الأول كله واحدات (1) وبقية البايتات الثلاثة كلها أصفار (0)، الذي قيمته هي 255.0.0.0 في النظام العشري. لكن ما هي ‎/8؟ نحن البشر كسالى! فبدلًا من كتابة 255.0.0.0 نود أن نختصر ونكتب ‎/8 الذي يعني أنَّه في القناع 8 بتات متتالية قيمتها 1 والباقي أصفار.

عندما نُنشِئ الشبكات الفرعية، فإننا نبدأ من اليسار وننتقل إلى اليمين عند تعريف عدد البتات التي ستكون قيمتها 1 التي تحدد قيمة معرِّف الشبكة؛ وبمعرفتنا أنَّ قناع الشبكة الفرعية فيه 32 بت، فكل ما علينا معرفته هو عدد البتات التي قيمتها 1، لأننا نعلم أنَّ بقية البتات ستكون سلسلة متتالية من الأصفار؛ والمِثلُ أيضًا لفئات B و C؛ فالقناع الافتراضي للفئة B ‏(172.16.0.0) -الذي يخبرنا أنَّ أول بايتين من الفئة يحتويان على واحدات- هو 255.255.0.0 أو ‎/16؛ والأمر سيانٌ لعناوين الفئة C، التي يكون قناعها هو ‎/24.

آلية استعمال الشبكات الفرعية

حان الوقت الآن لإلقاء نظرة على الحصول على عنوان IP من هيئة تسجيل العناوين مثل IANA ‏(Internet Assigned Numbers Authority) ثم تقسيم ذاك العنوان إلى عدِّة شبكات فرعية. إذ نحصل بادئ الأمر على شبكةٍ واحدة، لكننا نحتاج إلى أكثر من شبكة، لأنه من غير المحتمل أن يكون لدينا مخطط مسطح (flat) للشبكة. عدد القطع في شبكتنا سيعطينا فكرة عن عدد الشبكات الفرعية التي سنحتاج لها. وقد تعلمنا في هذا الدرس أن قناع الشبكة هو أداة اقتراض، فلنمضي قدمًا ولنحسب عدد البتات التي سنحتاج لها لتمثيل عدد الشبكات الفرعية التي نحتاج.

تذكَّر أن كل بت نقترضه من قسم المضيف سيقلل من عدد المضيفين؛ فكلما ازداد عدد الشبكات الفرعية، كلما نقص عدد المضيفين في كل شبكة. وبعد أخذ ما سبق بعين الاعتبار، فسنُنشِئ قناعًا جديدًا الذي سيكون سلسلةً من الأصفار والواحدات المتتالية؛ ثم سيكون على عاتقنا تحويله إلى قيمة عشرية وتمثيله بصيغةٍ شبيهةٍ بعناوين IP بوضع نقطةٍ بين كل بايتين.

بعد إنشائنا للقناع الجديد، حان الآن الوقت لتعريف الشبكات الفرعية؛ أي بكلامٍ آخر، هذه العملية شبيهة بتوليد أرقام المناطق في أنظمة الهواتف؛ فلو قارنا الشبكة التي أعطتنا إياها هيئة تسجيل العناوين بالرمز الدولي للاتصال، فستكون الخطوة التالية هي إنشاء رموز للمناطق من رمز الدولة؛ وسنحجز لكل قطعة شبكية مُعرِّف شبكة فرعية مختلف في الشبكة، ثم سيحصل كل مضيف في تلك الشبكة على مُعرِّف خاص به... وبعد انتهاء التخطيط، فسيحين الوقت للذهاب إلى كل مضيف وجهاز وموجِّه ثم تطبيق مخططنا لعناوين IP مع القناع الملائم.

ترجمة -وبتصرّف- للمقال Constructing an IP Network Addressing Scheme.

عناوين IP ما هي إلا سلسلة مكونة من 32 رقمًا ثنائيًا؛ وسنستعرض في هذا الدرس مراجعةً عن نظام العد الثنائي لكي نفهم عملها. وسنبدأ بمقارنته بالنظام العشري، وسنشرح كيف أنَّ الرقم 2 هو اللبنة الأساسية لعملية العد؛ وسنمنحك الفرصة في هذا الدرس للتدرب على التحويل من عددٍ بالنظام العشري إلى رقمٍ عددٍ الثنائي وبالعكس.

الأعداد بالنظام العشري والنظام الثنائي

لما كانت الأعداد بالنظام الثنائي مهمةً جدًا في عناوين IP والشبكات الفرعية (subnets)، فلنلقِ نظرةً أعمق على بنيتهم وقيمهم؛ وسنحتاج أيضًا إلى أن نتعلم كيفية تحويلهم إلى أعدادٍ بالنظام العشري لأننا -نحن البشر- لسنا «أذكياء» كفايةً للتعامل مع الأعداد بالنظام الثنائي، ونرغب في التعامل مع أشياءٍ ألفنا استعمالها (مثل الأرقام بالنظام العشري)؛ وفي الواقع، أفضل طريقة لفهم الأعداد الثنائية هي مقارنتها بالأعداد العشرية؛ فالسؤال الفلسفي الأول لهذا اليوم هو: ما هي الأعداد العشرية؟ نحن نعرفها ﻷننا نتعامل معها يوميًا؛ فأساسها (base) هو الرقم 10، والأعداد العشرية ما هي إلا سلسلة من الأرقام التي تتراوح بين 0 و 9؛ ونعلم أنَّ خانة أو منزلة الرقم في الأعداد العشرية تُفسِّر دلالة ذاك الرقم؛ أي بكلامٍ آخر، نحن نعلم معنى أول رقم في أول خانة في العدد؛ ونعلم أنَّ قيمة العدد هي الرقم نفسه إن كان أقل من 10؛ ونعلم أن الخانة الثانية هي العشرات، والقيمة الفعلية هي قيمة الرقم مضروبًا بالرقم 10، وبنفس الطريقة نعرف أنَّ الخانة الثالثة هي المئات، والرابعة هي الآلاف، والخامسة هي عشرات الآلاف، وهلمَّ جرًّا. وهذه العشرات والمئات والآلات ما هي إلا قوى الرقم 10.

حسنًا، الأعداد الثنائية شبيهة جدًا بالأعداد العشرية، لكن الأساس هو 2، لذا نتمكن من استعمال الرقمين 0 و 1 فقط؛ وهذان الرقمان يُستعمَلان من الحواسيب لأنه يسهل التعامل معهم؛ إذ نستطيع أن نبني حواسيب تستعمل الأعداد ذات الأساس 10، لكنها ستكون باهظة الثمن للغاية.

تتبع الأعداد الثنائية نفس الآلية أو العملية المستعملة لبناء الأعداد العشرية؛ إذ أنَّ العدد الثنائي هو سلسلةٌ من الأرقام، ويجب أن يكون كل رقم من تلك الأرقام إما 0 أو 1 وتلعب خانة (أو مكان) الرقم دورًا في تحديد قيمة العدد؛ فجميع الخانات تمثِّل قوى للأساس، وفي هذه الحالة أساس العد الثنائي هو الرقم 2؛ أي أنَّ الخانات تمثِّل قوة (Exponentiation) الرقم 2.

لمحة نظرية عن التحويل من النظام العشري إلى الثنائي

قد تستعجب من معرفة قيمة عدد ثنائي بسرعة بمجرد النظر إليه؛ حسنًا، سأخبرك أنَّ الأمر منوطٌ باعتيادك على قراءة الأعداد الثنائية. إذ نألف الأعداد العشرية ونعرف كيف نحسب القيمة الإجمالية للعدد، أو على الأقل تقديرها أو أن يكون لدينا فكرة عن الناتج. فيمكننا النظر إلى عددٍ ما ونرى أنَّ أول خانة هي الرقم 9، والخانة الثانية ستكون من العشرات وهي الرقم 2، التي تمثِّل القيمة 20؛ أما الخانة الثالثة فهي الرقم 8 وتمثِّل المئات، وتعني 800 وهكذا. ربما لا نفكِّر في الأمر كثيرًا عند قراءتنا للأعداد العشرية، لكن كل قيمة مرتبطة بمنزلة أو خانة ما هي إلا قوى الرقم 10.

مثال عن تفسير عدد ذي الأساس 10 – العدد: 63204829

60000000 + 3000000 + 200000 + 0 + 4000 + 800 + 20 + 9 = 63204829

كما ذكرنا سابقًا، الأمر متعلقٌ باعتيادك على إجراء عملية الحساب. فالتحويل الثنائي، أو حساب قيمة العدد الثنائي، هي نفس العملية تمامًا؛ لكن لدينا هنا أرقامٌ تحتوي 0 و 1، ثم سنطبِّق عليها نفس المبادئ التي تقول أن كل رقم يجب أن يُضرَب بقوى 2 لأن الأساس في الأعداد الثنائية هو2، فأول رقم (1) سيُضرَب بالرقم 1، أي 2 للقوة 0؛ أما الرقم الثاني (0) سيُضرَب بالرقم 2، الذي هو 2 للقوة 1؛ أما ثالث خانة فستُضرَب بالرقم 2 للقوة 2 (مربَّع)، والخانة الرابعة بالرقم 2 للقوة 3 (مُكعَّب) وهكذا. وعليك أن تعتبر أنَّ آخر بت في العدد هو أهم بت، مثَلُهُ كمَثَلِ الأعداد العشرية.

مثال عن تفسير عدد ذي الأساس 2 – العدد: 1110100 (223)

128 + 64 + 32 + 0 + 8 + 0 + 0 + 1 = 233

تبدأ مضاعفات العدد 2 من أقل البتات منزلةً ومن منزلة أو خانة الرقم الذي يمثِّل الأس للأساس 2 الذي علينا ضرب الرقم به بدءًا من الصفر؛ فعندنا 8 خانات في المثال السابق، الذي يتكون من 8 بتات التي تمثِّل بايتًا، تذكر أننا نُجمِّع البتات والبايتات، ونفصلها بنقط كي نحصل على عناوين IP. قيمة العدد الثنائي السابق هي 223 بالنظام العشري.

قوى الرقم 2

لقد تقلصت مشكلتنا الأساسية -التي هي النظر إلى العدد الثنائي وحساب قيمته العشرية بسرعة لكي نستطيع فهم عناوين IP بالنظر إليها- إلى معرفة قوى الرقم 2، لأننا نعرف أن الخانة أو مكان الرقم مهم ويعطينا قوى الرقم 2 التي سنستخدمها في حساباتنا. فلنعد إلى مثالنا السابق عن البايت (أو 8 بت)، فكل ما علينا تذكره هو ثماني قيم: أول قوى الرقم 2 هي 2 للقوة 0 وتساوي 1، و2 للقوة 1 هي 2، و2 مربع هي 4، وهلمَّ جرًا حتى يحصل على كل تلك القيم؛ فكر بها مليًّا، حفظها ليس صعبًا، 1، 2، 4، 8، 16، 32، 64، 128:

قوى الرقم 2	العملية الحسابية	القيمة
20		1
21	2	2
22	2 * 2	4
23	2 * 2 * 2	8
24	2 * 2 * 2 * 2	16
25	2 * 2 * 2 * 2 * 2	32
26	2 * 2 * 2 * 2 * 2 * 2	64
27	2 * 2 * 2 * 2 * 2 * 2 * 2	128

مثال عن التحويل من عدد عشري إلى ثنائي

من المفيد أحيانًا في عناوين IP التحويل من الأعداد العشرية إلى الأعداد الثنائية؛ وخصيصًا في الشبكات الفرعية، التي سنبحث أمرها في الدرس القادم. هذه طريقة التحويل: نحن نعلم أن القيمة العشرية ستكون سلسلة أرقامٍ ثنائية في العدد الثنائي، وكل رقم من تلك الأرقام سيكون له قيمة عشرية معيّنة بناءً على منزلته أو خانته. فمثلًا، الرقم 1 في الخانة السابعة (لاحظ أن الخانة السابعة رقمها 8، ﻷننا نعد من 0 إلى 7) يُمثِّل الرقم العشري 128؛ والرقم 1 في الخانة الثالثة (نذكر مرة أخرى أننا نعد من 0 إلى 7) يُمثِّل الرقم 8؛ فبعد أن نضع في بالنا قوى الرقم 2، كل ما علينا فعله (للتحويل بين العشري إلى الثنائي) هو العثور على أكبر قوى 2 التي تكون أصغر من العدد العشري الذي نريد تحويله، ثم نضع في تلك المنزلة الرقم الثنائي 1 ثم نطرح العدد الناتج من العدد العشري الأصلي.

ثم نكرر العملية حتى تصبح نتيجة عمليات لطرح مساويةً للرقم 0؛ لنلقِ نظرةً على هذا المثال، لنقل أننا نريد تحويل العدد 35 إلى النظام الثنائي، فلنفكر ما هي أكبر قوة للرقم 2 أصغر من (أو تتسع في) 35؟ الجواب بدهي، إنها 32، إذ لا تتسع 128 و 64 في العدد العشري المُحوَّل (35)، ولهذا تكون قيمة تلك المنزلتين الثنائية مساويةً للصفر (0)، أي أنَّ أول 1 هو 32، فنضع 1 في تلك المنزلة (أو الخانة) ثم نطرح 32 من 35، والناتج هو 3؛ لنكرر الآن العملية: ما هي أكبر قوة للرقم 2 تتسع في 3؟ لا تتسع 16 أو 8 أو 4، إذ أنها جميعًا أكبر من 3، وسنضع أصفارًا في خاناتها؛ فالرقم الذي يتسع في 3 هو 2 للقوة (أو للأس) 1، أي 2؛ ونضع الرقم الثنائي 1 في تلك المنزلة ونطرح 2؛ حيث 3 ناقص 2 يساوي 1، الذي يساوي إلى 2 للقوة 0، ونضع الرقم الثنائي 1 في تلك المنزلة ونطرح 1، والجواب النهائي هو 0؛ وبهذا يكتمل التحويل ويكون ناتج تحويل العدد العشري 35 إلى ثنائي هو 00100011.

مثال عن التحويل من عدد ثنائي إلى عشري

التحويلات من الأعداد الثنائية إلى الأعداد العشرية أكثر سهولةً، فكل ما علينا فعله هو تطبيق نفس العملية التي قادتنا إلى فهم الأعداد الثنائية كما يلي: نأخذ الأرقام في العدد الثنائي ونضربها بقوة العدد 2 الموافقة للخانة بدءًا من الخانة 0 في أقصى اليمين (التي هي «الرقم الأقل أهميةً») منتقلين إلى اليسار حتى نصل إلى الخانة السابعة (التي هي «الرقم الأكثر أهميةً»)، ثم سنجمع الأرقام الناتجة معنا لنحصل على القيمة العشرية له.

الرقم 1 في الخانة 0 يعني أنَّ علينا ضرب الرقم 1 بقوة الرقم 2 الموافقة للخانة، التي هي 1 أيضًا؛ أما الرقم 0 فيعني أن نضرب 0 بقوة العدد 2، ولهذا لن تُضاف أيّة قيمة للنتيجة النهائية؛ وكذلك الأمر بالنسبة إلى الخانة التي تليها؛ أما الخانة الرابعة ففيها الرقم 1، فسيضرب الرقم 1 بقوة الرقم 2 الملائمة للمنزلة (تذكر أنَّ ترتيب الخانة الرابعة هو 3 لأننا نبدأ العد من الصفر) التي هي 2 للقوة 3 ثم سنضيفها للناتج؛ وبإكمال تلك العملية حتى نصل إلى آخر خانة، ويصبح لدينا سلسلة من الأرقام العشرية التي عندما نجمعها مع بعضها فسنحصل على الناتج بالنظام العشري، الذي هو 185.

ترجمة -وبتصرّف- للمقال Understanding Binary Basics.

سنستكشف في هذا الدرس عملية توصيل الرزم الشبكيّة من منظور الموجِّهات، وسنرى كيف أنَّ إحدى أهم وظائف الموجِّهات هي تحديد المسار الأمثل لرزم IP بين الشبكات؛ وسنتعمَّق في بعض المكوِّنات مثل جداول التوجيه، وسنشرح الطرق المختلفة لملئها (أي جداول التوجيه الثابتة [static] والديناميكية [dynamic])؛ وسنُعدِّد خصائص بروتوكولات التوجيه ونصنِّفها إلى «distance vector» و «link-state».

الموجهات

نحن نعلم أنَّ الموجِّهات تطبِّق وظائف الطبقة الثالثة أو طبقة الشبكة؛ وأنَّ مهمتها الأساسية هي تمرير الرزم الشبكيّة بناءً على جدول التوجيه. وبهذا نحصل على تقسيم للبيانات التراسلية (traffic segmentation)، وعدِّة مجالات إذاعيّة (broadcast domains)، ونُعرِّف الشبكات الفرعية لعناوين طبقة الشبكة؛ تُعرَّف هذه الشبكات بالمنافذ التي تُسنَد إليها عناوين IP، والتي هي عادةً عناوين IP للبوابة الافتراضية (default gateway) للحواسيب والخواديم وغيرهما من المعدّات الشبكيّة.

تتصل الموجهات أيضًا إلى مزودي الخدمة إذ يعملون كبوابات إلى الشبكات الأخرى، وغالبًا ما يتواجدون في طرف (edge) الشبكة؛ قد لا تكون بعض تلك المحولات (adapters) الشبكية من نوع إيثرنت؛ فلديها قدرة على الاتصال إلى المنافذ التسلسلية، واتصالات DSL، وأشكالٍ أخرى من VAN؛ المكونات الرئيسية المذكورة هنا ستتشابه مع مكونات أي جهاز حاسوبي أو شبكي: معالج، ولوحة أم، وذاكرتَي RAM و ROM. وهنالك نوعٌ أخر من الذواكر في موجِّهات سيسكو هو ذاكرة flash، التي تُخزَّن فيها صورة نظام التشغيل؛ لكن النقطة الأساسية خلف خصائص تلك المكونات هي أنَّ العناصر المكونة للحاسوب أصبحت قويةٌ للغاية مما يُمكِّن الموجهات من أداء أدوار بقية الأجهزة الشبكيّة؛ إذ يمكن دمج وظائف الجدر النارية، وحتى إمكانية توجيه المكالمات الصوتية للبيئات التي تعتمد على الاتصالات الصوتية عبر بروتوكول IP؛ ولهذا تكون موجهاتنا العصرية أكثر من مجرد أجهزة تعمل في الطبقة الثالثة، إذ أصبحت متعددة الوظائف، مما يسمح لك بدمج عدِّة وظائف ضمن مكونات شبكتك: بعضها عبر تحديثات النظام، وبعضها عبر إضافات عتادية للموجهات التي تقبل تلك الإضافات.

وظائف الموجهات

يمكن تقسيم وظيفة التوجيه إلى قسمين؛ أولهما هو بناء خريطة للشبكة وتَستعمل الموجهات -لهذه المهمة- بروتوكولات التوجيه الثابتة أو الديناميكية؛ وبمساعدة بروتوكولات التوجيه الديناميكية، تسمح الموجهات لبقية أجهزة الشبكة بمعرفة مخطط الشبكة والتغيرات التي قد تحصل عليها؛ أما التوجيه الثابت فلن يتأقلم مع التغيرات التي قد تطرأ على الشبكة؛ لكن كلا الطريقتين تنجزان مهمة بناء خريطة للشبكة على شكل «جدول توجيه» (routing table).

تحديد المسار

أثناء عملية تحديد المسار، ستدرس الموجهات عدِّة مسارات بديلة للوصول إلى نفس المكان؛ وتأتي هذه البدائل نتيجةً للبنية التعويضية (redundancy) المبنيّة في أغلبية تصاميم الشبكة. وإنَّك ترغب بوجود عدِّة مسارات، فلو أصبح أحدها خارج الخدمة، فسيكون عندك بدائلٌ له.

عند تحديد أيُّ المسارات أفضل، فستأخذ الموجهات عدِّة عوامل بعين الاعتبار أحدها هو مصدر معلومات المسارات، وبهذا يمكن أن يكون لديك عدِّة بروتوكولات توجيه ديناميكية وحتى بروتوكولات توجيه ثابتة تملأ جدول التوجيهات وتخبر الموجه ما هي الخيارات المتاحة أمامه.

القطعة الثانية من المعلومات هي «كلفة» (cost) الاتصال عبر كل مسار؛ وبمراعاة أنَّ كل مسار مكوَّن من عدِّة وصلات أو عقد مُعرَّفة من موجهات أخرى، فيمكننا إضافة مفهوم «الكلفة» إلى المسارات، الذي هو مجموع كل الكلفات للوصول إلى العقدة التالية في المسار.

هنالك قراران محكومان بأجزاءٍ مختلفة من المعلومات؛ فلكي نُعرِّف مصدر المعلومات الراجح، فستستخدم الموجهات «المسافة الإدارية» (administrative distance)؛ فلو كان أحد بروتوكولات التوجيه مثل OSPF يخبر الموجه معلوماتٍ عن الوجهة، وكذلك يفعل بروتوكول RIP؛ فستُحدِّد المسافة الإدارية من الذي سنعتمد معلوماته؛ وعند اختيار المصدر، فستصبح الكلفة مهمةً؛ أي بكلامٍ آخر، إن أعطانا OSPF معلوماتٍ عن مسارين، فستكون كلفة المسار هي ما الذي سيحدد أيهما سأختار؛ وهذا شبيهٌ بامتلاك خريطتين للقيادة من مدينةٍ إلى أخرى؛ إذ ستختار الخريطة التي ستتبعها، ثم إن كانت تعطيك الخريطة أكثر من خيار، فستختار أفضلها اعتمادًا على الوقت اللازم للمرور فيها، أو المسافة التي عليك قيادتها.

جداول التوجيه

إذًا، تحتوي جداول التوجيه على «ذكاء» طبقة الشبكة لإخبار الموجه كيف يمرر الرزم إلى الوجهات البعيدة؛ وفي بادئ الأمر، يتكون جدول التوجيه من الشبكات التي تتصل مباشرةً بالموجه المعيّن؛ ومن ثم يُملأ الجدول إما عبر التوجيه الثابت الذي سيخبر المدير فيه الموجه كيف سيصل إلى الوجهة، أو عبر ملء الجدول عبر إشعارات جداول التوجيه القادمة من الموجهات الأخرى.

أي أنَّ الموجهات «كثيرة الكلام» وتخبر بعضها بعضًا المعلومات التي تسمح لها بمعرفة مكونات الشبكات؛ وفي كلا الحالتين، ستُستخدَم عناوين الشبكة الفرعية معكوسةً أو عناوين الشبكة التي تحتوي على أصفارٍ في قسم المضيف من عنوان IP.

ونحن نتحدث -في هذه الحالة- عن عنوان مقسَّم إلى شبكةٍ فرعية ليس لها فئة معيّنة أصلها شبكةٌ فئتها A؛ الشبكة 10.0.0.0 مقسّمة إلى شبكاتٍ فرعية تشبه الفئة C؛ لكن -في جميع الحالات هنا- قسم المضيف من العنوان (البايت الرابع) كله أصفار، الذي يمثِّل تلك الشبكة الفرعية. أي بكلامٍ آخر، هذه هي الشبكات الوجهة، وستحتوي جداول التوجيه في حالة الوجهات البعيدة مدخلاتٍ تُظهِر العقدة الشبكيّة التي يجب الاتصال بها للوصول إلى الوجهة؛ وفي هذه الحالة، للوصول إلى 10.1.3.0، فإن العقدة الشبكية هي الموجِّه 2 ذو العنوان 10.1.2.2.

هنالك تصنيفات لمدخلات (entries) جدول التوجيهات التي يمكن أن تُملأ إما ديناميكيًا أو يدويًا؛ بعضها يأتي مع الموجِّه. ويتعرف على جميع الشبكات المتصلة به مباشرةً عندما يُقلِع ويُعرِّفها كوجهات يمكن الوصول إليها؛ أما الجزء الذكي هو تواصل الموجهات مع بعضها وتبادلها معلومات التوجيه عبر بروتوكولات التوجيه الديناميكي مثل OSPF أو EIGRP، ثم سيعلمون عن تلك الوجهات، ويتأقلمون أيضًا مع التعديلات التي تجري عليها.

ستتمكن بروتوكولات التوجيه من التعرف على التغيرات في مخططات الشبكة ثم ستخبر الموجهات بعضها بعضًا بذلك؛ وستظهر المُدخلات وستختفي من جدول التوجيهات اعتمادًا على توفر تلك الشبكات؛ لكن تذكر أنَّه قد يأتي المدير ويُضيف المدخلات الثابتة يدويًا، وهذا غير مستحسن في بعض الأحيان، لأن تلك المدخلات ثابتة ولا تتأقلم مع التغييرات التي قد تحدث على الشبكة. أي بكلامٍ آخر، إذا كانت المُدخلة (أي الموجه) غير متوفرة، فستبقى المدخلة موجودةً في جدول التوجيهات وسيستمر الموجه بتمرير الرزم إلى وجهة غير موجودة.

حالة خاصة من التوجيه الثابت هي «المسار الافتراضي» (default route) الذي يمكن أن يتعلمه الموجه ديناميكيًا؛ يُستخدم المسار الافتراضي عندما لا توجد مسارات معروفة للوصول إلى الوجهة، إذ أنَّ هذه المدخلة تستعمل لجميع الوجهات غير المعروفة. سيقول الموجِّه: «إن لم أعرف المسار إلى وجهةٍ معيّنة، فسأمرر الرزم إلى من يعرف المسار، الذي يكون عادةً موجِّهًا آخر».

المقاييس المستعملة للتوجيه

يعتمد اختيار أمثل مسار على ما يُعرَف بكلفة الوصول إلى الوجهة عبر مسارٍ معيّن؛ وتُعرَف الكلفة بالمصطلح «المقياس» (metric)، وتضع مختلف بروتوكولات التوجيه معايير مختلفة لتعريف المقياس؛ فالتقنيات والبروتوكولات القديمة تأخذ عدد الموجهات في المسار للوصول إلى الوجهة بعين الاعتبار، وهذا ما يُسمى «hop count»، الذي قد لا يكون أحيانًا أفضل طريقة لحساب التكلفة، لأن هنالك مقدار تراسل شبكي مختلف لكل عقدة أو وصلة بين العقد.

يكون الطريق ذو العقدتين -في المثال التوضيحي السابق- أفضل، لامتلاكه تراسلًا شبكيًا أكبر. بدأت بروتوكولات التوجيه الأخرى باعتبار التراسل الشبكي مقياسًا للكلفة، وغيره من المعايير؛ فمثلًا يأخذ بروتوكول EIGRP التراسل الشبكي، وزمن التأخير، والوثوقية، والحِمل، ووحدة النقل القصوى (maximum transmission unit) بعين الاعتبار. وبهذا لن يتم اختيار مسار فيه تراسل شبكي كبير لكنه تحت حِملٍ ثقيل، وإنما سيتم اختيار مسار بتراسل شبكي أصغر لكن أقل حِملًا وأكثر وثوقيةً.

ربما أحد النقاط التي يركِّز عليها هذا الدرس هي أنَّ اختيار بروتوكول التوجيه -إن كنت تستعمل توجيهًا ديناميكيًا- هو المفتاح لتحديد الكلفة أو المقياس؛ وبالتالي تحديد آلية اختيار أمثل وأكثر المسارات كفاءة؛ ولكن الأمر منوطٌ أيضًا بزمن الاستجابة الذي سيستغرقه بروتوكول التوجيه لكي يستشعر تغييرًا في هيكلة الشبكة ويُعدِّل عمله باختيار مسارٍ بديل إذا لم يكن المسار الرئيسي متاحًا. فهنالك عدِّة تصنيفات لبروتوكولات التوجيه إذا كنت تستعمل التوجيه الديناميكي التي تُحدِّد -أي تلك التصنيفات- الكلفة والمقاييس، وأيضًا سلوك البروتوكولات في مثل الحالة السابقة.

بروتوكولات «Distance Vector» للتوجيه

أحد التصنيفات هو Distance Vector، الذي لن تحتاج الموجِّهات فيه إلى معرفة المسار بأكمله إلى الوجهة، بل كل ما يبغي معرفته هو الاتجاه (vector) الذي ستُرسَل إليه الرزمة، أي أنَّ الموجهات ستحتفظ بمعلوماتٍ في جداول التوجيه تتعلق بالعقدة الشبكيّة التالية التي يجب إرسال البيانات إليها للوصول إلى وجهة معيّنة.

تعاني بروتوكولات Distance Vector من عدِّة سلبيات؛ أحدها هي أنها توزِّع جدول التوجيهات بشكلٍ دوري. فبعضها يستخدم الإذاعة لتوزيع كامل جدول التوجيهات، وهذا يَتسبَّب بحِملٍ ثقيلٍ غير ضروريٍ على الشبكة إن لم تتغير بنيتها؛ وهذا شبيهٌ بالاتصال بجميع معارفك وإخبارهم إشاعاتٍ مرارًا وتكرارًا، حتى وإن لم تتغير الشائعة أو تغير جزءٌ صغيرٌ منها. مثالٌ عن بروتوكول Distance Vector هو بروتوكول RIP، الذي يستعمل عدد العقد الشبكيّة مقياسًا للكلفة.

بروتوكولات «Link-State» للتوجيه

تتسم بروتوكولات Link-State بالكفاءة والفعالية في إنشاء مخططات للشبكة، ومشاركتها، واختبار أفضل مسار مقارنةً مع بروتوكولات Distance Vector؛ هناك عدِّة اختلافات بين هذين التصنيفَين، فمثلًا لن تُذيع (broadcast) بروتوكولات Link-State المعلومات لكل موجه، إذ ستستخدم multicast حيث يعلن كل موجِّه عبر multicast الوصلة التي يعرفها لجيرانه. وثانيًا، لن تُذيع بروتوكولات Link-State جدول التوجيهات بشكلٍ دوري؛ فبعد إذاعة كامل الجدول لأول مرة، فسترسل بعد ذلك التغييرات في بنية الشبكة فقط؛ أي بكلامٍ آخر، إذا لم يعد مسارٌ من المسارات متوفرًا فسيذاع هذا التغيير الصغير عبر multicast؛ وثالثًا، لن يعلم الموجه ما هي العقدة التالية التي سيصل عبرها إلى الوجهة فحسب، وإنما سيعلم عن خريطة الشبكة بأكملها.

سيبني كل موجه خريطة الشبكة بعد حصوله على كامل معلومات الشبكة؛ التي تتضمن جميع الموجهات والوصلات؛ وبهذه المعلومات سيتمكن كل موجِّه من استعراض تلك الجداول عبر خوارزمية «أقصر مسار أولًا» (shortest path first algorithm)، ثم اختيار أفضل مسار إلى الوجهة. وبهذا، إذا حصل تغيير في الشبكة، لم يعد مسارٌ ما متوفرًا على سبيل المثال، الذي يؤثر على فرعٍ صغيرٍ في شجرة الشبكة؛ فسيُعلَن هذا التغيير فقط على الشبكة؛ وهذا سبب تسمية هذه التحديثات بالتحديثات التراكمية (incremental updates). كل هذه الاختلافات والفروقات تجعل من بروتوكولات Link-State أكثر كفاءة وفعاليةً في التعامل مع تغييرات الشبكة.

ترجمة -وبتصرّف- للمقال Exploring the Functions of Routing.

يشرح هذا الدرس آليات استخدام شبكات 802.11 اللاسلكية. سنشرح منطقة الخدمة الأساسية (basic service area) ومناطق الخدمة الموسعَّة (extended service areas) بخلايا متداخلة للتجوال (roaming) للتغلب على تأثير المسافة على سرعة نقل البيانات؛ المكونات الأساسية التي سنشرحها تتضمن نقاط الوصول والعملاء الذين يتصلون لاسلكيًا؛ وفي نهاية الدرس، سنوضِّح أفضل الممارسات العملية في مراقبة واستكشاف مشاكل الشبكات اللاسلكية الشائعة وإصلاحها.

البنية الأساسية لمخططات شبكات 802.11

يوفِّر معيار 802.11 عدَّة مخططاتٍ أو أنماطًا يمكن أن تُستخدَم في بناء الشبكات اللاسلكية؛ أولها هو نمط «الشبكة المخصصة» (ad hoc)، التي هي بيئةٌ تعتمد على اتصالٍ مباشرٍ بين الأجهزة (الند-للند [peer-to-peer]) إذ تتصل الأجهزة لاسلكيًا بين بعضها بعضًا؛ لكن التغطية فيها محدودة، وهنالك مخاوفٌ أمنيّةٌ يجب أخذها بعين الاعتبار؛ إلا أنَّ هذا النمط ملائمٌ للمكاتب الصغيرة والمنازل والبيئات الأصغر من ذلك (اتصال حواسيب محمولة إلى خادم رئيسي على سبيل المثال).

نمط «البنية التحتية» (infrastructure) يتطلب اتصال العملاء عبر نقاط الوصول؛ وهنالك نمطان من «البنية التحتية» والفرق الرئيسي بينهما هو قابلية التوسع. ففي نمط الخدمة الأساسية (basic service set)، هنالك نقطة وصول وحيدة لوصل العملاء لاسلكيًا، التي تملك مُعرِّف SSID خاص بها تذيعه لتُعلِن عن توفر الشبكة اللاسلكية، لكنها ستعاني من مشاكل في التوسع، لامتلاك نقاط الوصول طاقة استيعاب قصوى من ناحية عدد العملاء الذين يمكنهم الاتصال عبرها، وعدد الرزم المنقولة في الثانية ...إلخ.

أما إذا أردت التوسع لاستيعاب أعدادٍ أكبر وتوفيرٍ تغطيةٍ أفضل في منطقةٍ أوسع، فعليك بنمط الخدمة الموسّعة (extended service set)؛ إذ تتصل مجموعتان من الخدمات البسيطة عبر نظام توزيع أو عبر بنية تحتية سلكية؛ أي أنك تُنشِئ جسرًا بين نقطتَي وصول في نمط الخدمة الموسعة، لكن قد تكون الشبكة الواصلة بينهما سلكيةً؛ وعمومًا، تتشارك نقاط الوصول المختلفة في هذا النمط بمعرِّف SSID نفسه للسماح للعملاء بالتجوال ضمن منطقة التغطية بحرية.

«التغطية الأساسية» (basic coverage) في سياق ما يُعرَف بالخلايا (cells) متوفرةٌ من مجموعة الخدمة الأساسية (basic service set). ومساحة الخلية (cell size) هي مساحة حقل طاقة ترددات الراديو التي تُنشِئها نقطة الوصول، وتُعرَف أيضًا بالمصطلح «منطقة التغطية الأساسية» أو BSA؛ وتُستخدَم المصطلحات BSA و BSS في بعض الأحيان للدلالة على نفس المعنى.

يتمكن العملاء من العثور على الشبكة اللاسلكية عبر مُعرِّف SSID وستمكنون من الحصول على معلوماتٍ حول جميع مناطق التغطية الأساسية المتوفرة (BSAs)؛ وفي حالة نظام ويندوز وغيره من أنظمة التشغيل، ستُعرَض قائمة بالشبكات المُتاحة ويسمح للمستخدم بالاتصال إلى إحداها.

في الحالات الأكثر تعقيدًا وتأمينًا، ربما يكون لكل نقطة وصول أكثر من SSID واحد لتعريف شبكات مختلفة لمجموعات مختلفة من المستخدمين؛ وهذا شبيه بالشبكات المحلية الوهمية (VLAN) في الشبكات السلكية؛ يمكن إنشاء عدِّة شبكات لاسلكية عبر استخدام مُعرِّفات SSID مختلفة، وقد تُستخدَم آليات استيثاق مختلفة لكل شبكة لاسلكية، ويتم عزل البيانات المنقولة وفصلها عن بقية الشبكات اللاسلكية.

إن لم توفِّر خليةٌ واحدةٌ تغطيةً كافيةً، فيمكن إضافة أيّ عددٍ من الخلايا لزيادة المدى؛ المدى الناتج عن مجموعة خلايا معروفٌ بالمصطلح «منطقة التغطية الموسعة» أو ESA؛ ومن المستحسن عند تصميم مناطق التغطية الموسعة تعريف عدد نقاط الوصول بناءً على سرعة الاتصال، وكمية البيانات المنقولة المتوقعة، وعدد العملاء؛ ولا تنسَ أيضًا تعريف مناطق تداخل بين الخلايا تتراوح بين 10 و 15 بالمئة للسماح للمستخدمين المتصلين بالتجوال (roam) دون فقدان الاتصال.

فعندما تقترب من فقدان الاتصال بسبب ضعف الإشارة، فستدخل إلى مجالٍ جديد بإشارةٍ أقوى قادمةٍ من خليةٍ أخرى؛ يجب أخذ الاحتياط في هذه الحالة، فأنت عندما تتجول، فقد تدخل في شبكة وهمية (VLAN) مختلفة، وستحصل على عنوان IP مختلف من خادم DHCP على تلك الشبكة الوهمية.

معدلات نقل البيانات في شبكات 802.11b اللاسلكية

تمتلك معايير 802.11 (بما فيها معيار 802.11b كمثال) إجراءاتٍ تُمكِّن العملاء من التبديل بين مختلف معدلات نقل البيانات عند تحركهم؛ فتسمح هذه التقنية لنفس العميل -في حالة شبكات 802.11b- أن ينقل البيانات بمعدَّل ‎11 Mbps، ثم التبديل إلى ‎5.5 Mbps ثم إلى ‎2 Mbps، ويمكن التواصل أيضًا قريبًا من نهاية منطقة التغطية بمعدَّل ‎1 Mbps؛ يحدث تبديل معدل نقل البيانات دون فقدان الاتصال، ودون تفاعل من المستخدم؛ وهذا يعني أنَّه يمكن لنقاط الوصول أن تتصل بعدِّة عملاء بسرعاتٍ مختلفة تعتمد على مكان كل عميل. أي أنَّ سرعة نقل البيانات تعتمد على المسافة الفاصلة بين العميل ونقطة الوصول.

تَذكَّر القواعد التي تحكم عمل تقنيات 802.11 للشبكات اللاسلكية: تتطلب المعدلات العالية لنقل البيانات إشاراتٍ أقوى عند المُستقبِل، ولهذا يكون مدى المعدلات المنخفضة لنقل البيانات كبيرًا؛ وهذا هو السبب وراء إمكانية التواصل مع الشبكة عند مدى بعيد لكن بمعدل نقل صغير -1 ميغابت في الثانية في حالة 802.11b-. والعملاء أذكياء للتواصل بأعلى معدل نقل بيانات ممكن تبعًا للمسافة التي يبعدون فيها عن نقطة الوصول؛ ويمكن أن يقلل العملاء من معدل نقل البيانات إن كانت هنالك أخطاء في النقل أو عند إعادة محاولة النقل. واعتباراتٌ مشابهة تنطبق على تقنيات 802.11 الأخرى مثل 802.11a و 802.11b.

ضبط نقطة الوصول

عند تصميم الشبكة اللاسلكية، يجب أن تخطط لعملية ضبط الأجهزة الشبكية والعملاء؛ تتعلق بعض خصائص الضبط الأساسية بنقاط الوصول؛ فعليك -على الأقل- تحديد مُعرِّف SSID، وقنوات ترددات الراديو، وعليك اختياريًا تحديد «طاقة البث»، التي تُعرَّف في كثيرٍ من الأحيان من الهوائي والعتاد الموجود في نقاط الوصول، بالإضافة إلى الخاصيات المتعلقة بالاستيثاق والحماية. يتعلق ما سبق بنقاط الوصول؛ أما العميل فيحتاج فقط إلى معلوماتٍ عن ترددات الراديو المُستعمَلة ومُعرِّف SSID فقط؛ لكن تذكر أن العملاء قادرون على البحث عن ترددات الراديو المتوفِّرة، وتحديد قناة ترددات الراديو، ثم بدء عملية الاتصال؛ ويتمكنون أيضًا من اكتشاف مُعرِّفات SSID للشبكات اللاسلكية التي تذيعها نقاط الوصول.

إذا أردت تأمين عملية الاتصال (وهذا ما يجدر بك فعله في كثيرٍ من الأوقات)، فستحتاج إلى ضبط مختلف نماذج الحماية؛ فيمكنك مثلًا أن تستخدم مفاتيح مشاركة مسبقًا (pre-shared keys) في بيئة شبكيّة تستعمل WPA أو مفاتيح لكل مستخدم في كل جلسة باستخدام ‎.1x أو عبر تشفير WEP بسيط، ولكن قلّ استعمال ما سبق كثيرًا في شبكات الشركات. إذا استخدمت آليات الحماية المتقدمة مثل WPA و 802.1x و EIP، فستحتاج إلى خدماتٍ تعمل كسندٍ خلفي (back-end)، التي ربما تكون على شكل خادوم AAA ذي دعمٍ للشهادات الرقمية.

ستمنحك الشبكات اللاسلكية اتصالًا في الطبقتين الأولى والثانية، لكن يجب أن تُهيِّئ الطبقة الثالثة أيضًا، فعليك التخطيط لخادوم DHCP لمنح عناوين IP. تكون نقاط الوصول عادةً خواديم DHCP.

خطوات استخدام شبكة لاسلكية

أمثل طريقة تطبيقٍ لاستخدام الشبكات اللاسلكية هي ضبط الشبكة ووظائفها تدريجيًا؛ فإن اتبعت هذه الطريقة، فربما ستتأكد من أن الشبكة المحلية السلكية تعمل جيدًا قبل أن تصل نقاط الوصول إليها.

يجب التحقق من عمل خدمات الشبكة مثل DHCP؛ حيث يأتي تثبيت نقاط الوصول في الخطوة التالية، آخذين بعين الاعتبار حماية المعدات فيزيائيًا، وبعد إجراء فحص لموقع العمل.

إن كنت تتبع الطريقة التدريجية في الضبط، فربما تجرِّب نقاط الوصول دون ضبط حماية لاختبار قابلية اتصال العملاء إليها؛ فإن أجري الاتصال في الطبقتين الأولى والثانية، فربما تريد الآن تأمينها باستخدام التشفير والاستيثاق، ثم اختبار عمل الشبكة ككل والتأكد من قابلية الاتصال بعد ضبط الحماية في نقاط الوصول.

عملاء الشبكة اللاسلكية

هنالك أشكالٌ عدِّة لإمكانية إضافة قابلية الاتصال اللاسلكية إلى الأجهزة الموجودة. فيمكنك استخدام جهاز يعمل عبر USB يحتوي على هوائيات وبرمجيات تساعد على إتمام الاتصال اللاسلكي والتحكم بعمل العتاد وتوفير خيارات لضبط الاستيثاق والتشفير؛ تحتوي أغلبية الحواسيب المحمولة الجديدة على آلية للاتصال اللاسلكي، وأتمتةً لضبطه والارتباط بنقاط الوصول اللاسلكية.

تحتوي أنظمة ويندوز الحديثة على عميل أساسي للاتصال اللاسلكي اسمه WZC (اختصار للعبارة wireless zero configuration)، الذي يُسهِّل الاتصال إلى الشبكات اللاسلكية باكتشافه لمعرفات SSID التي تُذاع، ويسمح للمستخدمين بإدخال المفتاح المُشارك مسبقًا المُطابِق لنوع الحماية المُستعمَل في نقطة الوصول، وتحديد نوع التشفير، إن كانت مبنيًا على WEP أو WPA؛ وهذا ملائمٌ للاستعمال المنزلي أو في مكتبٍ صغير، لكننا نحتاج إلى المزيد من الإمكانيات والوظائف في بيئةٍ شبكيّةٍ في شركةٍ كبيرة.

ولهذا السبب أنشَأت سيسكو برنامج «Cisco compatible extensions» لدعم إضافات وتحسينات سيسكو لتقنيات الشبكات اللاسلكية؛ والذي هو شهادةٌ تتأكد أنَّ المصنعين يبنون عملاء متوافقين مع إضافات وتحسينات سيسكو؛ وهذا يتضمن التوافقية مع تقنيات Wi-Fi مثل 802.11 و 802.1x و WPA، بالإضافة إلى أخذ التوجهات الجديدة في نقل الصوت عبر الشبكات اللاسلكية بعين الاعتبار. من بين تلك الأشياء هنالك التحكم في قبول المكالمة (call admission control) وجودة نقل الصوت، وآليات جودة الخدمة (quality of service) على شكل وسائط Wi-Fi متعددة (Wi-Fi multimedia) أو WMM؛ وأصبحت توفر سيسكو الآن برمجيةً مساعدةً للشبكات السلكية وللاسلكية اسمها «Cisco Secure Services Client»

مشاكل شائعة في الشبكات اللاسلكية

تتعلق بعض المشاكل الشائعة بمرحلة التصميم، فإذا لم تأخذ مسحًا كافيًا عن الموقع، فلن تتمكن من تحديد مصادر التداخل أو المناطق التي فيها كميّةٌ كبيرةٌ من العملاء الذين يحتاجون إلى نوعٍ مختلفٍ من نقاط الوصول؛ وسيختلف أيضًا مدى الإشارات بين الأماكن المغلقة والأماكن المفتوحة (في الهواء الطلق)؛ أمثلة أخرى متعلقة بالتخطيط السيء لمكان تخديم الشبكة اللاسلكية تتضمن التداخلات في ترددات الراديو، والاختيار السيء لأماكن الهوائيات.

تتعلق المشاكل الأخرى بأخطاءٍ في الضبط؛ فقد لا يدعم بعض عملاء الشبكة اللاسلكية آلية الحماية المُستخدمَة في الشبكة من ناحية التشفير أو نوع كلمة المرور؛ وهذه أمرٌ واقعٌ بسبب العدد الكبير من نسخ (flavors) بروتوكولات الاستيثاق الموسعة (extensible authentication protocols).

ويجب أن يكون اختيار القناة تلقائيًا؛ لكن قد يُضبَط بعض العملاء إلى قناةٍ ثابتة محددة، التي قد لا تكون متوفرةً. وإن لم تكن مُعرِّفات SSID مذاعةً من نقاط الوصول، فربما يُخطِئ العميل في كتابتها، وهذه المُعرِّفات حساسةٌ لحالة الأحرف. لكن استخدام النهج الطبقي (layered approach) سيساعد عمومًا في استكشاف المشاكل على التعرف عليها بسهولة.

استكشاف الأخطاء في الشبكات اللاسلكية وإصلاحها

ستكون عملية استكشاف الأخطاء مرتبةً إن اتبعنا النهج الطبقي؛ يمكننا محاولة تتبع المشاكل في الطبقة الأولى، ومحاولة الاتصال دون مفاتيح حماية أو استيثاق؛ وعلينا أن نتأكد من عدم حدوث تداخل في موجات الراديو، وهنالك عدِّة أدوات وطرق للعثور على مصادر التداخل. ويمكنك تجاهل المشاكل الناتجة عن المدى بتواجدك قرب نقطة الوصول.

حاول أيضًا أن تكون نقطة الوصول في مجال بصرك عندما تتصل إليها، لتجنب تأثير الأجهزة الأخرى والعوائق على الاتصال؛ تذكر أن مصادر التداخل تتراوح بين أفران المايكرويف إلى أجهزة الهاتف المحمول؛ خذ بعين الاعتبار التغييرات التي تطرأ على التقنيات اللاسلكية فربما عليك أن تُحدِّث برمجيات نقاط الوصول، فقد تكون قديمةً أو فيها علل.

ترجمة -وبتصرّف- للمقال Implementing a WLAN.

لم تعد الحماية محلَّ نقاشٍ في الشبكات اللاسلكية، فأصبحت متطلبًا أساسيًا. سنتعلم في هذا الدرس ما هي التهديدات الشائعة للشبكات اللاسلكية ونشرح كيف تطوَّرت أساليب الحماية للتقليل من هذه المخاطر؛ فمن بين الحلول هنالك 802.1x للتحكم بالوصول (access control) و«الوصول المحمي إلى Wi-Fi» ‏(Wi-Fi protected access أو اختصارًا WPA) للسريّة (confidentiality) وسلامة البيانات المنقولة من التعديلات (integrity)، والاستيثاق من المتصل.

التهديدات الأمنية للشبكات اللاسلكية

تؤثر عواملٌ عدِّة على أمن الشبكات اللاسلكية؛ فالاستخدام واسع النطاق لتقنياتٍ معيّنة ستجعلها محطّ الأنظار، لأن المهاجمين يطمحون إلى إيجاد الثغرا في التقنيات التي تستعملها أعداد كبيرة؛ فالسعر المنخفض لتقنياتٍ مثل 802.11b و g تجعلها تقنيةً منتشرةً عالميةً؛ وبسبب ما أسلفنا ذكره، ستكون أقل أمانًا من غيرها.

سيحاول المهاجمون استغلال ثغراتٍ في الشبكات اللاسلكية عبر أدواتٍ جاهزةٍ للبحث عن نقاط الضعف؛ إذ تبحث تلك الأدوات عن الشبكات اللاسلكية أولًا ثم تحاول استغلال التقنيات التي فيها نقاط ضعف مثل WEP ‏(Wired Equivalent Privacy) التي هي خوارزمية التشفير التي استخدمت تقليديًا للسرية، وسلامة نقل المعلومات، والاستيثاق في الشبكات اللاسلكية. يسمى البحث عن الشبكات اللاسلكية بالكلمة «wardriving» التي تعني التجول مع حاسوب محمول فيه عميل للعثور على شبكات 802.11b أو g لمحاولة اختراقها؛ يسهل اختراق الشبكات غير المؤمنّة التي لا تستخدم التشفير، وكذلك الأمر بالنسبة للشبكات التي تمنح شعورًا زائفًا بالأمن باستخدامها لبروتوكولات قديمة فيها نقاط ضعف مثل WEP؛ وبعد ذلك ستبدأ نقاط الوصول الدخيلة (rogue access points) باستقبال البيانات الشبكيّة.

هذه الأجهزة -المجهولة للشبكة- قد تتداخل مع مهام الشبكة الاعتيادية، وقد تستعمل لهجمات الحرمان من الخدمة (denial of service attack) أو لجمع المعلومات، وإحصاء الأجهزة الموجودة في الشبكة. ولكن قد تُضاف هذه الأجهزة من موظفي الشركة لتسهيل تنقلهم في الأرجاء.

يجب أن نطبِّق منهجياتٍ وطرق تصميمٍ مشابهة للشبكات الأخرى عند تأمين وحماية الشبكات اللاسلكية، ويجب أن ندرك أن نقاط ضعف الشبكات اللاسلكية هي تنازل للحصول على ميزة الوصول الشامل (universal access) والمحمولية، فالنتيجة هي أن نكون أقل أمانًا وعلينا تحسين سياستنا الأمنية؛ نموذج «CIA» القديم هو نقطة بداية جيدة.

كلمة CIA هي اختصار إلى «السرية» (confidentiality)، سلامة نقل البيانات (integrity)، والتوفر (availability)؛ ونريد -خصوصًا في الشبكات اللاسلكية- أن نحمي البيانات عندما تُرسَل وتُستقبَل ونود أن نوفِّر آليات تشفير كي لا يرى المستخدمون الخبيثون المعلومات التي نرسلها؛ ونود أيضًا أن نتأكد من سلامة نقل البيانات، أي أنهم لا يستطيعون تغييرها، ونتأكد من استيثاق العملاء الشرعيين المرتبطين مع نقاط وصول موثوقة.

تتعلق النقطة الأخيرة بالعملاء ونقاط الوصول معًا؛ فعلينا التأكد أنَّ الأجهزة المتصلة مسموحٌ لها بالاتصال، وتتصل إلى نقاط الوصول الصحيحة وليس إلى نقاط الوصول الدخيلة. تتعلق غالبية المشاكل في التوفر في الشبكات اللاسلكية بهجمات الحرمان من الخدمة والنشاط الخبيث؛ وفي هذه الحالة، ستستفيد من أنظمة منع التطفل (intrusion prevention systems) لتتبع ومنع الوصول غير المُصرَّح به للشبكة، ومنع الهجمات.

تطور حماية الشبكات اللاسلكية

أولى محاولات استخدام الشبكات اللاسلكية لم تضع الحماية نصب عينيها؛ فوفرت خوارزمية تشفير بسيطة اسمها «Wired Equivalent Privacy» اختصارًا WEP؛ التي تتضمن مفاتيح 64-بت وآلية استيثاق غير قوية، وكان يمكن «كسر» مفاتيح 64-بت بسهولة، لأن قوة معالجة حواسيب المهاجمين كانت تستطيع كسر المفاتيح عبر جمع معلوماتٍ كافية من الشبكة اللاسلكية.

نقاط الضعف الأخرى تتضمن كون المفاتيح ثابتة (static) مما يجعلها قابلةً للكسر وغير قابلةٍ للتوسع لأن عليك ضبط المفاتيح يدويًا لكل جهاز، وهذا أصبح كابوسًا للمنظمات الكبيرة.

أجريت عدّة تحسينات مما فيها «مُرشِّحات MAC» التي كانت ثابتةً أيضًا ولم تكن قابلةً للتوسع، وإخفاء SSID، الذي ليس أكثر من عدم إذاعة SSID، الذي هو اسم الشبكة اللاسلكية؛ الذي كان يُظَّن أنه شبيه بكلمة المرور لكن تبين ضعفه أمنيًا؛ تضمَّن الجيل الجديد مفاتيح لكل مستخدم ولكل جلسة عبر استعمال آليات الاستيثاق في الطبقة الثانية (layer 2) مثل 802.1x، الذي يتضمن بروتوكولًا موسَّعًا للاستيثاق (extensible authentication protocol)، الذي كان يُستخدَم لطلب مفتاح يسمى «procession key» من خادم AAA مركزي عبر RADIUS.

النسخ (flavors) الأولية من EAP تتضمن بعض الخوازميات المملوكة (proprietary algorithms) مثل LEAP و PEAP‏ (Protected EAP)؛ ثم انتقلنا إلى الجيل الثالث، حيث حاولت هيئة Wi-Fi Alliance أن تضع معيارًا موحدًا للحماية في الشبكات اللاسلكية عبر WPA أو Wi-Fi Protected Access؛ الذي يحاكي أو يقلد البنية التحتية لمفاتيح التشفير الخاصة بكل مستخدم أو بكل جلسة؛ لكنه ما يزال يستخدم WEP كخوارزمية تشفير مثله كمثل الجيل الثاني الذي شرحناه في الأعلى، وبهذا ستبقى نقاط الضعف الأمنية موجودةً.

النسخ الإضافية من EAP أتت بتضمين أشكال معينة من الآليات القوية للاستيثاق مثل EAP Fast؛ النسخة الحالية هيWAP2، التي تتضمن تحسينات أضيفت إلى معيار 802.11i IEEE؛ الذي يتضمن إضافة أنظمة منع التطفل واستخدام خوازميات قوية للتشفير مثل AES.

عملية الارتباط لعميل شبكة لاسلكية

كانت بعض نقاط الضعف في الشبكات اللاسلكية القديمة متعلقةً بعملية الارتباط (association) بين العملاء ونقاط الوصول، فكان يُستخدم SSID كنوعٍ من كلمات المرور، لكنه ليس كذلك لأنه اسم الشبكة الذي يُذاع عادةً من نقاط الوصول، لكي يرى العملاء الشبكة ويتصلون بها. تُرسِل نقاط الوصول أيضًا المعلومات المتوفرة عن معدل نقل البيانات وغيرها من المعلومات؛ وبهذا يتمكن العملاء من إجراء مسح لكل القنوات والارتباط بنقطة الوصول ذات الإشارة الأقوى؛ ستتم إعادة عملية المسح مرةً أخرى إن ضعفت الإشارة واحتاج العميل إلى الارتباط مع نقطة وصولٍ مختلفة.

يتبادل العملاء -أثناء عملية الارتباط- معلوماتٍ مع نقطة الوصول بما فيها عناوين MAC وضبط الحماية؛ وهذا هو السبب وراء حماية النسخ الحديثة من WPA لعملية تبادل المعلومات؛ التي أضافت أيضًا أشكالًا جديدةً من الاستيثاق، لأن التعريف الأولي كان فيه الاستيثاق المفتوح فقط (open authentication)، الذي لم يكن يتضمن تبادل الأوراق الاعتمادية (credentials) والاستيثاق باستخدام المفتاح المشترك (shared key authentication)؛ التي تُعرِّف مفتاح WEP الثابت.

كيف يعمل 802.1X في شبكة لاسلكية

أفضل تحكمٍ في الحماية في الشبكات اللاسلكية يكون عبر استخدام أحد بروتوكول 2.1x للتحكم بالوصول. إن 2.1x هو معيار من معايير IEEE الذي يسمح بالتحكم بالوصول عبر الاستيثاق والتصريح بدخول العملاء إلى الشبكة.

يتألف من ثلاثة مكونات: صاحب الطلب (supplicant) الذي هو جهاز العميل الذي يحاول الاتصال بالشبكة؛ والموثق (authenticator) الذي يكون هو نقطة الوصول في الشبكات اللاسلكية؛ والذي سيمنع طلبيات العملاء ويتجاهل البيانات التي يرسلوها إلا إذا تمت عملية الاستيثاق والمصادقة بنجاح. وهذا شبيه بطلب جواز السفر في المطار، إذ يجب أن نُظهِر جواز السفر قبل الصعود إلى الطائرة. آلية العمل هي أن الموثق (authenticator) سيختبر العملاء، فعندما يشعر أن هنالك عميلًا يحاول الاتصال، فعلى العميل أن يوفِّر هويةً (identity) التي ستمرر من الموثق إلى مكوِّن ثالث هو خادم الاستيثاق (authentication server).

الذي هو عادةً خادم AAA يُشغِّل بروتوكولات AAA مثل RADIUS، ويحتوي على قاعدة بيانات بالعملاء، وقاعدة بيانات بالمستخدمين، ومضبوطٌ للعمل على بروتوكول تابعٍ لبروتوكولات ‎.1x يُسمى EAP؛ الذي هو بروتوكول استيثاق شامل يسمح للعملاء بتوفير الأوراق الاعتمادية بأشكالٍ عدِّة، بدءًا من اسم المستخدم وكلمة المرور، إلى شهادةٍ رقميةٍ بتشفير وتعمية. وعندما يرد خادم الاستيثاق ردًا إيجابيًا، فإن المنفذ سيخرج من حالة الاستيثاق (authentication status) وسيذهب إلى حالة التفعيل (effective status)، مما يمكِّن العملاء من الدخول إلى الشبكة؛ ويجب أن تُضبَط أجهزة العميل وأن تدعم طلبيات ‎.1x؛ وهذا يكون عادةً جزءًا من نظام تشغيل تلك الأجهزة؛ وسيحتاج الموثق إلى دعم ‎.1x؛ الذي تدعمه نقاط وصول سيسكو، ويجب أن يكون خادم الاستيثاق مزودًا بدعم لبروتوكول الاستيثاق الشامل ويعمل كخادم AAA باستخدام RADIUS.

نمطَي WPA و WPA2

WPA أو «الوصول المحمي إلى Wi-Fi» يرفع من إمكانيات طريقة 802.1x و EAP؛ إذ تدعم المفاتيح المُشارَكة مسبقًا (pre-shared keys) أو PSKs؛ وهذا يُعرِّف طبقتين من الاستيثاق، واحدة مناسبة للمنظمات التعليمية والحكومات وفي الشركات التي تستخدم مفاتيح لكل مستخدم ولكل جلسة يتم الحصول عليها عبر تبادل 802.1x EAP؛ والأخرى تُصنَّف للاستخدام الشخصي والمنزلي، التي تَستخدم مفاتيح مشاركة مسبقًا؛ ولا تتطلب حدوث تبادل ‎.1x EAP ويمكن أن تُعَدّ عبر ضبط مفتاح مشارك مسبقًا يدويًا.

في WPA، يستخدم كلا النمطين WEP كخوارزمية تشفير، ونحن نعلم أنَّ هذا البروتوكول فيه نقاط ضعف، لذا تمت إضافة المزيد من الإجراءات الوقائية في WEP على شكل بروتوكولَين: Temporal Key Integrity Protocol و Message Integrity Check الذي أضاف مفاتيح أطول وبعض الإجراءات للتحقق من سلامة النقل؛ توجد أنماط مشابهة في WPA2، الذي هو تطبيقٌ لنسخة Wi-Fi Alliance لمعيار IEEE 802.11i. الاختلاف الرئيسي هو أنه لم يعد WEP هو خوارزمية التشفير، وما زال إطار العمل يستخدم 802.1x EAP أو المفاتيح المشاركة مسبقًا، لكن خوارزمية التشفير هي AES (اختصار إلى Advanced Encryption Standard).

ترجمة وبتصرف للمقال: Understanding WLAN Security.

تقود توجهاتٌ عديدةٌ في عالم الأعمال والتقنية إلى زيادة استخدام الشبكات اللاسلكيّة؛ فلم نعد مقيّدين بمكانٍ ثابت، فتسمح الشبكات اللاسلكيّة لنا بحريّة التنقل والوصول إلى شبكاتٍ عامةٍ (public network) للتواصل في أيّ وقتٍ وفي أيّ مكان؛ وكانت ظروف عمل العاملين عن بعد والموظفين المسافرين تجبرهم على استخدام الهواتف العمومية لتَفقُّد إن كانت قد وصلتهم رسائل وللرد على المكالمات القليلة التي كانت تردهم، بينما يتوفَّر الآن البريد الإلكتروني، والبريد الصوتي، والخدمات التي تعتمد على الويب والهواتف الذكية. وستمثِّل محاولة الموازنة بين العمل والحياة الشخصية عاملًا في صالح العمل من المنزل عن بُعد، وبهذا يكون العاملون عن بعد في أماكن جغرافية متباعدة. توجّهٌ آخر هو التعاون (collaboration)، فقد يتواجد الموظفون وأعضاء الفريق في أيّ مكانٍ في العالم في الشركات التي تتكون من شبكةٍ من المكاتب (grid).

أدى ما سبق -من الناحية التقنية- إلى تطوير أجهزة أسرع وأكثر ملائمةً للاتصال إلى الشبكة؛ فلم نعد نرى الحواسيب المحمولة أكثر من الحواسيب المكتبية فحسب، وإنما أصبحنا نرى تطبيقاتٍ هدفها التعاون والتواصل مع بقيّة العالم في الوقت الحقيقي (real-time)؛ وهذا يتضمن المحادثة الفورية، والبريد الإلكتروني ...إلخ. تقود كل تلك التوجهات إلى زيادة استخدام التقنيات اللاسلكيّة وتطويرها.

الفرق بين شبكات WLAN و LAN

عندما نتحدَّث عن خليطٍ من شبكات LAN السلكية وشبكات LAN اللاسلكيّة، فعلينا أن نضع الاختلافات بينهما بعين الاعتبار. فمن المؤكَّد أنَّ استخدام موجات الراديو ستسبب مشاكل لا توجد في الأسلاك، ربما تواجه مشاكل في الاتصال والتغطية (coverage)، وقد يكون اتصالك عرضةً للتداخل (interference) والتشويش (noise). فستقل جودة اتصالك عندما تتواجد قريبًا من مصدر التداخل في الأمواج؛ وقد تفقد الإشارة أثناء تجوالك أو تجدها تضعف عندما تبدِّل بين الخلايا (cells) التي تبثّ الإشارة. ربما تواجه أيضًا مشاكل في الخصوصية ومخاوف أمنيةٍ؛ لأن الموقع الفيزيائي للشبكة ومعداتها لم يعد عقبةً أمام مهاجمي شبكتك.

بكلامٍ تقنيّ؛ سيتصل العملاء لا سلكيًا إلى نقاط الوصول (access points) التي تشبه موزَّع شبكات إيثرنت (hubs) لأنها تُشارِك تراسل البيانات (shared bandwidth) على النقيض من المبدِّلات؛ فعلينا الآن أن نولي اهتمامًا لتصميم البنية التحتية للشبكات وأخذ بعين الاعتبار التنافس على تراسل البيانات ( bandwidth) ...إلخ.

وستختلف في الشبكات اللاسلكية الطبقة الفيزيائية اختلافًا جذريًا، وستختلف طبقة وصل البيانات (data link) أيضًا. وستحاول شبكات WLAN أن تتجنب التصادمات (عبر استعمالها لبروتوكول Carrier sense multiple access with collision avoidance‏ [CSMA/CA]) بدلًا من تحسس التصادمات؛ لذلك ستكون آلية استكشاف الأخطاء وإصلاحها وجودة الخدمة مختلفةً مقارنةً مع شبكات LAN السلكية؛ والسبب بسيطٌ هو أنَّه لا توجد طريقة لتحسس التصادمات في شبكات LAN اللاسلكية؛ فلا تستطيع الأجهزة المُرسِلة أن تستقبل في نفس الوقت، فالاتصال وحيد الاتجاه (half-duplex).

الإطارات الشبكيّة (frames) مختلفةٌ أيضًا، إذ تتنوع تشريعات القوانين الناظمة لتردد الراديو (radio-frequency) وعليك الالتزام بتطبيقها تبعًا لدولتك ومكانك الجغرافي.

النقل عبر ترددات الراديو

آلية عمل الشبكات اللاسلكية هي أنَّ ترددات الراديو (radio frequencies) يتم بثّها في الهواء عبر هوائيات (antennas) تشكِّل موجات راديو (radio waves)؛ وتخضع هذا الموجات إلى تأثيرات محيطها؛ فمثلًا عندما تنتشر تلك الأمواج عبر الأشياء، فربما تمتصها الجدران أو تنعكس من على الأسطح المعدنية؛ وربما تُشتَّت (scattered) عندما تصطدم بسطحٍ غير مستوٍ، فقد تعكس السطوح الخشنة الأمواج إلى اتجاهاتٍ عديدة؛ ولأن هذه العوامل ستؤثِّر على جودة الاتصال، فيجب أن تُدرَس وثوقية (reliability) وتوفر (availability) الاتصال بعد الإطلاع على مكان تشغيل الشبكة قبل أن تصمم شبكتك اللاسلكية؛ فتصميم شبكةٍ لا سلكيةٍ في مكتبٍ عاديٍ فيه حجراتٌ مقطّعةٌ عبر جُدُرٍ رقيقةٍ سيختلف اختلافًا جذريًا عن تصميم الشبكة لطابق التصنيع الذي فيه منشآتٌ في الهواء الطلق حتى لو كان يبدو لك أنَّهما يشغلان نفس الحجم من ناحية مساحة الأرضية؛ وستصبح بعض المفاهيم مثل المدى (range) وقوة الإشارة (signal power) ونسبة «الإشارة-إلى-التشويش» (signal-to-noise) مهمةً الآن.

هنالك بعض القواعد التي تحكم عمل الشبكات اللاسلكية: فمثلًا نقل البيانات بسرعاتٍ عاليةٍ يتطلب مدىً قصيرًا لأن المستلم يجب أن يملك إشارةً قويةً ونسبةً أفضل للإشارة-إلى-التشويش؛ وبتعريف بسيط، إن نسبة «الإشارة-إلى-التشويش» هي نسبة قوة الإشارة إلى قوة التشويش الذي يؤثِّر سلبًا عليها.

يتطلَّب نقل البيانات بمعدِّل مرتفع في مدى قصير تراسلًا شبكيًا أكبر، الذي يمكن تحقيقه باستخدام ترددات عالية أو تعديلاتٍ معقَّدةً على الشبكة؛ فيمكنك زيادة المدى بزيادة قوة الإرسال وهذا يعني زيادة طاقة الهوائي؛ لاحظ أنك لو استعملت الترددات العالية، فسينخفض مدى الإرسال لأن تلك التردادات ستنفى وستكون أكثر عرضةً للامتصاص من ما حولها.

المنظمات التي تعرف WLAN

هنالك نوعان من المنظمات التي تحكم تعريف تقنيات الشبكة اللاسلكية وبنيتها التحتية؛ أولها هي وكالات التنظيم التي تتحكم باستعمال نطاقات ترددات الراديو، فيوجد مثلًا في الولايات المتحدة «لجنة الاتصالات الاتحادية» (Federal Communications Commission) أو FCC، وفي أوروبا «المعهد الأوروبي لمعايير الاتصالات» (European Telecommunication Standard Institute) أو ETSI؛ فيجب أخذ موافقة تلك الوكالات لأجهزة البث أو مجالات الترددات الجديدة. ويوجد غيرها من المنظمات في أماكن أخرى من العالم.

وعلى الجانب الآخر، هنالك هيئات لتنظيم المعايير القياسية مثل «معهد مهندسي الكهرباء والإلكترون» (Institute Of Electrical And Electronic Engineers) اختصارًا IEEE و «الاتحاد الدولي للاتصالات» (International Telecommunication Union) أو ITU. تُعرِّف هيئة IEEE معايير 802.11 لتقنيات الشبكات اللاسلكية. هنالك منظماتٌ أخرى يدفعها سوق العمل والمصنعين التجاريين مثل «Wi-Fi Alliance» التي هي هيئةٌ غير ربحيةٍ توفِّر شهاداتٍ لتكفل بها توافق الأجهزة التي تعتمد على معيار 802.11 من مختلف المصنعين؛ ما تفعله تلك الهيئة أمرٌ مهمٌ جدًا ﻷنها لا تُوفِّر راحةً وطمأنينةً للمنظمات التي تشتري تلك المنتجات فحسب، وإنما تساعد أيضًا في ترويج التوافقية بين منتجات عدِّة مصنعين، هذه المنظمة -تحديدًا- تُحسِّن وتؤثِّر على معايير WLAN تأثيرًا كبيرًا.

معيار ITU-R مع FCC للاتصالات اللاسلكية

ITU هي هيئة عالمية تحاول أن تنظِّم عملية توزيع الطيف الترددي (spectrum) بين مختلف الهيئات التنظيمية في كل منطقة جغرافية أو دولة؛ لكنها لا تستطيع أن تُجبِر الدول على الانصياع إلى توصياتها؛ فهي تأمل أن تستطيع التوفيق بين نشاطات الهيئات التنظيمية.

نطاقات الترددات المُستعمَلة في شبكات LAN اللاسلكية هي النطاقات غير المُسجّلة (unlicensed) عادةً، فهنالك نطاق 900 ميغاهرتز، ونطاق 2.4 غيغاهرتز الذي تعمل فيه المنتجات والتقنيات في معيارَيّ 802.11b و 802.11g؛ ونطاق 5 غيغاهرتز الذي يُستعمَل من 802.11a. ليس من الضروري الحصول على شهادة لتشغيل المعدّات اللاسلكية في نطاقات التردادات غير المسجلة؛ فلا يملك أي شخص أو منطقة الاستخدام الحصري لهذه التردادات؛ فيُستعمَل مثلًا النطاق 2.4 غيغاهرتز من الشبكات المحلية اللاسلكية، ومن أجهزة بث الفيديو (video transmitters) والأجهزة التي تعمل بتقنية بلوتوث، وأفران «المايكرويف»، والهواتف النقالة. إذ أنَّ هذه النطاقات غير المسجَّلة هي أفضل ما يمكن توفيره، لكنها تعاني من التداخلات وانخفاض قوة الإشارة؛ خذ بعين الاعتبار أنك ما زلت تخضع لقوانين دولتك المحلية ونُظُمِها التي تحكم طاقة النقل (transmit power)، وطاقة الهوائي (antenna gain) وهلمّ جرًا.

مقارنة بين معايير IEEE 802.11

أنشَأت IEEE معايير 802.11 لتعريف الطبقة الفيزيائية ومكونات التحكم في وصول الوسائط في طبقة نقل البيانات؛ ظهرت عدِّة نسخ (flavors) بتقنيات مختلفة في طبقة النقل تعمل بمجالات ترددات مختلفة وتملك مستوياتٍ مختلفة من التوافقية؛ فمثلًا، يعمل معيار 802.11B في نطاق 2.4 غيغاهرتز ويستخدم نقلًا للبيانات مبنيٌ على تقنية الطيف المنتشر عبر التسلسل المباشر (Direct Sequence Spread Spectrum) أو اختصارًا DSSS؛ التي تستخدم قناةً واحدةً التي تنشر البيانات عبر جميع الترددات المُعرَّفة من تلك القناة. وهنالك أيضًا تقسيم التردد المتعامد (Orthogonal Frequency Division Multiplexing) أو OFDM الذي يُقسِّم الإشارة إلى عدِّة قنوات في ترددات مختلفة؛ وهو يُستعمَل من 802.11a، بينما يَستعمل 802.11g التقنيتَين اعتمادًا على التراسل الشبكي المطلوب.

يمكنك ملاحظة معدلات نقل البيانات في أسفل الجدول، ويمكنك أن ترى اختلافات معدلات نقل البيانات في كل معيار لأنها تعتمد على المسافة يبن العميل ونقطة الوصول؛ فكلما ابتعدت عن نقطة الوصول، كلما قلّ معدل تراسل البيانات. لاحظ أن كل نطاق تردد مقسَّم إلى قنوات لكن هيئات التنظيم المحلية مثل FCC تُحدِّد القنوات التي يُسمَح باستعمالها؛ فمثلًا معيار 802.11 يُقسِّم نطاق 2.4 غيغاهرتز إلى 14 قناة، لكن FCC في الولايات المتحدة تسمح باستخدام 11 قناة؛ وهنالك فصل بين القنوات، فمن أصل 11 قناة تسمح FCC باستخدامها، هنالك ثلاث قنوات غير متداخلة (non-overlapping) فقط: 1 و 6 و 11.

أيّ معيار أستخدم؟ الأمر يعتمد كثيرًا على التوافقية؛ فيعمل 802.11g بنفس نطاق تردد 802.11b ولكن يستخدم تقنيات تعديل تردد (modulation) معقدة جدًا لكي يحقق معدلات نقل بيانات أعلى وهنالك توافقية بين g و b. ولم يكن 802.11a مقبولًا بسبب تكاليفه المرتفعة.

شهادات Wi-Fi

كانت التوافقية أحد أهم الدوافع في تنمية شبكات LAN المحليّة؛ فتشهد اتصالات Wi-Fi بالتوافقية بين المنتجات؛ وهذا يتضمن تقنيات IEEE مثل a و b و g، وتعريف المنتجات ثنائية النطاق (dual band)، وتجربتها من ناحية الحماية؛ وهذه الشهادة تمثِّل رسالة طمأنة للمستهلكين أن هنالك منتجاتٌ أخرى يمكن الهجرة إليها أو دمجها مع الشبكة الحالية.

تتضمن الشهادة تقنيات IEEE 802.11 RF الثلاث، وتبني مُسبَق لمسودات IEEE التي تهتم بمواضيع مثل الحماية؛ فعلى سبيل المثال، «Wi-Fi Alliance» تبنَّت مسودة IEEE 802.11i المتعلقة بالحماية، وأنشأت توصية «Wi-Fi Protected Access» المعروفة اختصارًا WPA؛ ثم عدلوها إلى WPA2 بعد إصدار المعيار الأمني النهائي 802.11i.

ترجمة -وبتصرّف- للمقال Exploring Wireless Networking.

سنستخدم في هذا الدرس نموذج OSI وواجهة سطر الأوامر لنظام سيسكو IOS للتعرف على المشاكل الشائعة في الشبكات؛ سنصنِّف المشاكل في مجموعات، فمثلًا مجموعة مشاكل الوسائط (media) كالتصادمات والتشويش (noise)؛ ومشاكل المنافذ مثل السرعة ونمط duplex؛ ومشاكل الضبط مثل إدارة كلمة المرور وملف الضبط.

النهج الطبقي

أفضل مكان لنبدأ فيه عند استكشاف الأخطاء هو نموذج OSI؛ حيث يسمح لنا النهج الطبقي (layered approach) بالتركيز على وظائف معيّنة لطبقاتٍ محددة، لنعلم ماذا يمكن لكل طبقةٍ أن تفعله؛ فسيساعدنا نهج «فرِّق تسد» على تصنيف الأدوات التي سنستعملها لاستكشاف الأخطاء في كل طبقة. فالمبدِّلات التقليدية (layer 2 switch) تعمل في الطبقتين 1 و 2 وهذا يعني أنَّ عليها التعامل مع الاتصالات الفيزيائية، كواصلات RJ-45 والأكبال ووصول إيثرنت للوسائط.

ستتعامل المبدِّلات متعددة الطبقات مع الطبقة الثالثة أيضًا، وفيها ميزة التوجيه، وهذا يتطلب استكشافًا للأخطاء في الطبقة الثالثة. وفي حالة المبدِّلات في الطبقة الثانية (layer 2 switches)، فربما يكون لديك مشاكل في الطبقة الثالثة، لكنها متعلقةٌ عمومًا بالوظائف الإدارية للمبدِّل؛ أي بكلامٍ آخر، ستتعامل منافذ المبدِّل مع مشاكل إيثرنت ومكونات الطبقة الثانية؛ لكن المبدِّل -كجهاز- سيملك عنوان IP وبوابة افتراضية، ولذلك تستطيع الاتصال عبر Telnet أو SSH إليه، واستخدام SNMP لمراقبته. في هذا السياق، ربما يكون لديك مشاكل في الطبقة الثالثة متعلقة بعناوين IP والبوابات الافتراضية.

المشاكل المتعلقة بالوسائط الفيزيائية

يبدأ بعض الأشخاص بالطبقة الأولى وينظرون إن كانت هنالك مشاكلٌ محتملة في الوسائط الفيزيائية كوجود ضرر في الأكبال أو تتداخل مع مصادر الأمواج الكهرومغناطيسية؛ تصنيف الأكبال المجدولة هو عاملٌ مؤثِّر، فستكون أكبال Cat-3 حساسةً لمصادرٍ معيّنة من الأمواج الكهرومغناطيسية مثل أنظمة تكييف الهواء؛ أما أكبال Cat-5، فلها تغليفٌ أفضل حول الأسلاك لحمايتها من تلك التداخلات. الحماية السيئة للأكبال قد تؤدي -مثلًا- إلى شد واصلات RJ-45 مما يسبب انقطاع بعض الأكبال.

يمكن أن تكون الحماية الفيزيائية سببًا لمشاكل الوسائط؛ فإذا سمحت للأشخاص بوصل الموزِّعات بمبدِّلاتك أو وصل مصادر غير مرغوبة للبيانات إلى المبدِّل؛ فقد تحدث تغييرات في أنماط البيانات التي ستُرسَل (التي قد لا تكون متعلقةً بالطبقة الفيزيائية) لكنها قد تتسبب في زيادة التصادمات إن وصلت موزِّعًا إلى مبدِّلاتك.

الأمر show interface

بعد أن تضع النهج الذي ستسير عليه لاستكشاف المشكلة، ولنقل مثلًا أنك ستبدأ بالطبقة الأولى وستحاول العثور على مشاكل فيها، فمن الضروري فهم مخرجات الأوامر وربطها بالطبقات؛ يعرض الأمر show interface معلومات قيّمة مفيدة؛ فمثلًا، أول سطر في مخرجات المثال الآتي سيُظهِر أنَّ Fast Ethernet 0/1 يعمل (الطبقة الأولى) وكذلك بروتوكول line (الطبقة الثانية)، فإذا وجدت أن البطاقة لا تعمل في الطبقة الفيزيائية، فستعرف أين تكمن المشكلة، وقد تكون مشكلة في الأكبال أو في التوصيلات، أو ببساطة أن الكابل ليس موصولًا، أو غير ذلك من الأخطاء التي ستجعل المبدِّلات تُعطِّل البطاقة.

Switch#sh interfaces fa 0/1
FastEthernet0/1 is up, line protocol is up (connected)
 Hardware is Fast Ethernet, address is 0023.aca4.f091 (bia 0023.aca4.f091)
 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
  reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation ARPA, loopback not set
 Keepalive set (10 sec)
 Full-duplex, 100Mb/s, media type is 10/100BaseTX
 input flow-control is off, output flow-control is unsupported
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input 00:00:14, output 00:00:00, output hang never
 Last clearing of "show interface" counters never
 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 1
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 0 bits/sec, 0 packets/sec
 5 minute output rate 5000 bits/sec, 6 packets/sec
  1065544 packets input, 229455974 bytes, 0 no buffer
  Received 109157 broadcasts (99147 multicasts)
  0 runts, 0 giants, 0 throttles
  0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
  0 watchdog, 99147 multicast, 0 pause input
  0 input packets with dribble condition detected
  8430743 packets output, 1316399122 bytes, 0 underruns
  0 output errors, 0 collisions, 1 interface resets
  0 babbles, 0 late collision, 0 deferred
  0 lost carrier, 0 no carrier, 0 PAUSE output
  0 output buffer failures, 0 output buffers swapped out

ويمكن أيضًا أن يكون معطلًا إداريًا، الذي يعني أنه قد أُغلِقَ يدويًا من مدير وسيتم تفعيله مرةً أخرى بأمرٍ بسيط. والإحصائيات مهمةٌ أيضًا، لأن وجود رسائل خطأ هنالك تعني وجود مشاكل فيزيائية، فلو كانت هنالك أخطاء عدِّة من نوع CRC، فهذا يعني وجود تشويش (noise) في الشبكة أو وجود عطب في معدات إيثرنت؛ وبشكلٍ مشابه، أخطاء «overruns» تعني أن معدَّل الدخل تجاوز قدرة معالجة المبدِّلات للبيانات، وتجاهل الإطارات يعني أن ذاكرة التخزين المؤقت قد أصبحت منخفضةً في المبدِّل. ستحصل أيضًا على إشارة لأخطاء الخرج، وعدد التصادمات (الذي لن يمثِّل دلالةً على حدوث مشكلة، بل تغير الرقم يدل على حدوثها)، وأيضًا عدد إعادات تشغيل المبدِّل يشير إلى عدد مرات إعادة تشغيل متحكِّم إيثرنت بسبب الأخطاء.

التشويش في الخلفية

إذا كنت تشك في وجود تشويش (noise)، فعليك النظر إلى عدد أخطاء CRC أو بالأحرى التغير في عدد أخطاء CRC غير المتعلقة بالتصادمات؛ بكلامٍ آخر، قد تكون أخطاء CRC نتيجةً للتصادمات، لكن عدد التصادمات ذا وتيرةٍ ثابتة، ولا يكون فيه تغييرات كبيرة؛ وبهذا تكون أخطاء CRC نتيجةً للتشويش (excessive noise).

عندما يحدث ذلك، فإن أول خطوة هي التحقق من الكابل، ويمكنك استخدام أدواتٍ خاصة بهذا الغرض؛ ربما يكون السبب هو التصميم السيئ للشبكة عبر استخدام أكبال ليست من تصنيف CAT-5 في شبكات Fast Ethernet و ‎100 Mb/s؛ فربما تستطيع حلّ هذه المشكلة عبر اختبار الأكبال وعبر قراءة توثيق تصميم الشبكة.

التصادمات

إذا تجاوز تواتر حدوث تصادمات حدًا معيّنًا في شبكتك، فهنالك أنواعٌ مختلفة من الحلول لهذه المشكلة؛ وهنالك عدِّة قواعد تتعلق بتلك الحدود. أغلبيتها تشير إلى أن التصادمات يجب أن تكون أقل من 0.1 بالمئة من الرزم.

إن شكَّلت التصادمات مشكلةً، فربما السبب هو جهازٌ معيب، على سبيل المثال، بطاقةٌ شبكيّة تُرسِل رزمًا غير مفهومة إلى الشبكة؛ وهذا يحدث عادةً عندما يكون هنالك تماس أو أخطاء منطقية أو فيزيائية في الجهاز. يمكن استخدام جهاز «time domain reflectometer» أو TDR للعثور على أكبال إيثرنت ذات النهايات غير الموصولة؛ التي قد تعكس الإشارات إلى الشبكة وتسبب تصادمات.

التصادمات المتأخرة

نحن نعلم أنَّ التصادمات تحدث عندما تكتشف إحدى محطات إيثرنت إشارةً عندما تحاول إرسال إطار. التصادمات المتأخرة (late collisions) هي نوعٌ خاصٌ من التصادمات؛ إذا حصل التصادم بعد إرسال أول 512 بت من البيانات، فيقال أن «تصادمًا متأخرًا» قد حدث. وأهم ما هنالك أنَّ التصادمات المتأخرة لا يُعاد إرسالها عبر بروتوكول إيثرنت، على العكس من التصادمات التي تحدث قبل إرسال أول 64 بايت؛ إذ ستصبح مهمة الطبقات العليا من تجميعة البروتوكولات أن تُحدِّد إن كان قد حصل تفقدان للبيانات، ثم ستتخذ قرارًا بطلب إعادة الإرسال.

لا يجب أن تحدث التصادمات المتأخرة في شبكات إيثرنت مصمّمة جيدًا؛ المسببات المحتملة هي استخدام أكبال غير ملائمة، أو عدد كبير من الموزِّعات في الشبكة، أو ربما بطاقة شبكيّة سيئة تسبب تصادماتٍ متأخرة. يمكن الكشف عن التصادمات المتأخرة عبر برمجيات تحليل البروتوكولات (protocol analyzers) وبالتحقق من المسافات الفيزيائية للأكبال وحدود (limits) بروتوكول إيثرنت.

مشاكل في الوصول إلى المنافذ

يكون عادةً للمشاكل في الوصول إلى المنافذ أعراضٌ ظاهرةٌ للعيان، فلن يتمكن المستخدمون من الاتصال إلى الشبكة، وسيلاحظ فريق الدعم المشكلة بسرعة لأن المستخدمين سيشتكون منها؛ كل تلك المشاكل متعلقةٌ بالوسائط والمعدِّات والبطاقات الشبكية المعيبة ...إلخ. وجزءٌ كبيرٌ منها سيكون متعلقًا بإعدادات duplex و السرعة.

يحدث أحد أكبر مسببات مشاكل الأداء في خطوط Fast Ethernet عندما يعمل منفذٌ من الوصلة باتجاهٍ وحيد (half-duplex)، بينما يعمل المنفذ الثاني من الوصلة باتجاهين (full-duplex)؛ وهذا يحدث عندما لا تثمر المفاوضة التلقائية (auto-negotiation) بحصول المنفذين على نفس الضبط؛ وهذا قد يحدث عندما يضبط المستخدم أحد المنافذ وينسى أن يضبط الآخر؛ بكلامٍ عام، يجب أن تكون المفاوضة التلقائية مفعّلةً على كلا الجانبين أو معطلةً؛ لكن ضبط duplex تابع لضبط السرعة، فلو ضُبِطَت السرعة إلى auto، فلن يمكن أن يُضبَط duplex يدويًا؛ ربما تجد رسائل أخطاء CRC عندما تُضبَط خيارات السرعة و duplex يدويًا على كلي الجهازين.

مشاكل متعلقة بنمط Duplex

هذا ملخصٌ عن المشاكل المتعلقة بنمط duplex؛ عندما تكون نهايةٌ مضبوطةٌ إلى full والأخرى إلى half فالنتيجة هي رسالة خطأٍ ظاهرة. نهاية مضبوطة إلى full والثانية إلى المفاوضة التلقائية ستؤدي إلى الرجوع إلى نمط الاتصالات أحادية الاتجاه إن فشلت المفاوضة التلقائية. ستؤدي التشكيلات الأخرى إلى الرجوع إلى نمط الاتصال أحادي الاتجاه؛ وحتى النهايات المضبوطة للمفاوضة التلقائية قد تستعمل ضبطًا مختلفًا، على سبيل المثال، القيمة الافتراضية لاتصالات gigabit Ethernet هي full-duplex، بينما القيمة الافتراضي لمنافذ 10/100 هي half-duplex. وبغض النظر أنَّ المفاوضة التلقائية هي ميزة مفيدة، لأنها تسمح لك بالحصول على منافذ شاملة (generic) تسمح بأي نوع من الاتصال، لكنها قد تكون مشكلةً ويتم تجنبها بتفضيل الضبط الثابت عليها.

المشاكل المتعلقة بالسرعة

أمرٌ مشابهٌ يحدث مع المشاكل المتعلقة بالسرعة؛ فإذا ضبطت نهايةً إلى سرعةٍ ما وضبطت الأخرى إلى سرعةٍ أخرى، فلن يحدث تطابق؛ وحتى لو كنت تستخدم ميزة المفاوضة التلقائية، فإن النتيجة هي عدم تطابق إن كان أحد الجانبين مضبوطًا على المفاوضة التلقائية ولكن لم يُضبَط الطرف الآخر عليها. نمط duplex متعلق كثيرًا بالسرعة وقد تؤدي المفاوضة التلقائية على السرعة إلى تغيير نمط الاتصال إلى أحادي الاتجاه.

المشاكل المتعلقة بالضبط

قد تتعلق بعض المشاكل بالضبط، فبعضها مرتبطٌ بفقدان الضبط وعدم وجود نسخ احتياطية منه، وبعضها متعلقٌ بمشاكل تغيير الإدارة؛ ففي تلك الحالة، فيستحسن أن تُصمَّم منهجية ضبط إدارة جيدة. أولى الخطوات هي إنشاء نسخ فيزيائية من الملفات النصية، وجعل الضبط مركزيًا في خوادم TFTP مثلًا، لكن خذ بعين الاعتبار المحدوديات الأمنية لاستخدام TFTP.

بخصوص تغيير الإدارة، خذ نسخًا متعددة قبل وبعد التغييرات، وتأكد من أنَّك قادرٌ على الرجوع إلى الإعدادات القديمة إن سببت مشاكل في أماكن أخرى؛ احفظ دومًا الضبط في NVRAM، كي يكون متاحًا في المرة القادمة التي تعيد فيها التشغيل.

أخيرًا، أمّن الضبط بحماية الطرفية و VTY وغيرها من طرق الوصول إلى الأجهزة بكلمة مرور؛ وأمِّن أيضًا النسخ الاحتياطية من ملفات الضبط على الخواديم وغيرها من الأماكن.

ترجمة -وبتصرّف- للمقال Troubleshooting Switch Issues.