دوره آموزشی سیسکو

سابنتینگ (Subnetting) چیست؟

در شبکه های کامپیوتری کلاس های آی پی وجود دارد با نام های A, B و C که در واقع یک نوع معماری آدرس دهی به تجهیزات شبکه می باشد که از سال 1981 تا زمان معرفی Classless Inter-Domain Routing در سال 1993 کاربرد داشت. در جدول ذیل اطلاعات کامل تری از این نوع آدرس دهی مشاهده می نمایید:

سابنت (Subnet) یک زیرشبکه یا (Sub-Network) از شبکه ها است که زیر کلاس های A, B و C قرار می گیرد.
برای مثال، 172.16.0.0/16 یک شبکه کلاس B می باشد. این نتورک با توجه به این که 65536 آی پی در آن وجود دارد می توان گفت که یک شبکه خیلی بزرگ است و استفاده از این شبکه برای یک شرکت کوچک با 6 دستگاه متصل به شبکه کار اشتباهی است.

حال به جای اینکه از این تکه بزرگ از کل آی پی های موجود برای یک شبکه کوچک استفاده کنیم، از یک قسمت کوچک تر آن بهره برداری می کنیم. برای مثال 172.16.3.0/24 یک سابنت Subnet از کلاس B می باشد که تعداد کمتری از آی پی ها را استفاده کرده است به همین دلیل به آن "زیر-شبکه" یا “Sub-Net” می گویند.

بیشتر بخوانید: دوره آموزشی CCNP Enterprise + گواهینامه

خب حالا بذارید ببینیم که دلیل این کار چیه؟ به توپولوژی زیر نگاه کنید:

در توپولوژی فوق شبکه کوچک یک شرکت را می بینید که یک روتر مرکزی (Core Router) به همراه 3 سوییچ دارد که هر سوییچ نشان دهنده یک شعبه از آن شرکت است. به هر یک از سوییچ ها و روتر های این مجموعه یک نتورک کلاس C اختصاص داده شده است که هیچ مشکلی از لحاظ فنی ندارد. اما چرا این طراحی اشتباه می باشد؟

1. کلاس آی پی C یک کلاس محدود است که می توانیم از بین 192.168.0.0/24 تا 192.168.255.0/24 استفاده کنیم. خب اگر این شرکت توسعه پیدا کند و تعداد دفاتر این شرکت به بیشتر از 256 شعبه افزایش پیدا کند چه؟ با توجه به این معماری آی پی دهی، باید کل شبکه را از ابتدا تغییر داد تا با سناریو جدید هم خوانی پیدا کند.
2. لینک بین روتر ها و سوییچ ها لینک های Point-to-Point برقرار شده است پس تنها به 2 آدرس آی پی نیاز داریم. زمانی که برای چنین لینکی یک سابنت /24 را استفاده می کنیم، عملا 252 آی پی را هدر می دهیم. هم چنین برای شعبه ای که می دانیم 2 کامپیوتر دارد و در شلوغ ترین حالت ممکن است 50 تجهیز در آن شعبه قرار بگیرد، استفاده از سابنت /24 در اینجا نیز اشتباه است و سبب به هدر رفتن منابع آی پی می شود و یا حتی اگر جایی که می دانیم ممکن است تعداد تجهیزات به بیش از 254 آی پی ارتقاء پیدا کند، استفاده از این سابنت نیز کار اشتباهی است. البته این نوع آدرس دهی در سابنت های Private مشکلی برای ما ایجاد نمی کند اما زمانیکه این روش آی پی دهی با استفاده از آی پی های Public پیاده سازی شود، مشکل های زیادی بوجود خواهد آمد. از هزینه بالای آن تا محدودیت شدید تعداد آی پی های Valid می تواند مشکل های ما باشد.

حال می توان برای رفع مشکل محدودیت آی پی ها از کلاس B یا A مانند 172.16.0.0/24 الی 172.31.255.0/24 که یک نتورک در سابنت B است استفاده کرد اما باز هم استفاده از سابنت /24 کار اشتباهی است. چرا که همچنان تعداد آی پی زیادی را هدر می دهیم.

زمانیکه در مورد سابنتینگ صحبت می کنیم، می بایست به دو چیز توجه کنیم:

• طراحی: همانند مثال بالا، شما باید به تعداد سابنت هایی که نیاز دارید فکر کنید. برای مثال اگر در توپولوژی فوق یک روتر دیگر اضافه کنیم چه سابنت هایی را باید استفاده کنیم؟ اگه تعدادی Sub-Interface روی روتر مرکزی ایجاد کنیم چطور؟ چه سابنت هایی برای این Sub-Interface ها استفاده خواهید کرد؟ شما باید ابتدا به این موارد فکر کنید و سپس اقدام به طراحی معماری آی پی دهی سازمان خود نمایید.
• محاسبات: در مثال بالا ما از یک سابنت /24 برای تمامی لینک ها استفاده کردیم که روش ساده اما غیر معقولی است. برای لینک های P2P استفاده از تنها 2 آی پی کافی است. این محاسبات را می توانید با استفاده از ابزار های آنلاین مانند این سایت انجام دهید.

حال برای اینکه درک بهتری از نحوه طراحی معماری یک شبکه داشته باشیم، بیایید با هم دیگر توپولوژی فوق را از ابتدا طراحی کنیم.

بیشتر بخوانید: آموزش مسیریابی یا IP Routing

طراحی سابنت

به توپولوژی زیر نگاه کنید:

برای طراحی معماری آی پی دهی توپولوژی فوق باید چند سوال از خودمان بپرسیم:

• چه تعداد سابنت برای اتصال روتر ها و سوییچ هایمان نیاز داریم؟
• چه تعدا VLAN برای هر سوییچ نیاز داریم؟
• چه تعداد Host به هر سوییچ متصل خواهند شد؟
• چه میزان رشدی را برای شبکه مان پیش بینی می کنیم؟

برای مثال فرض کنیم که جواب سوال هایمان به این شرح می باشد:

• برای اتصال روتر به سوییچ ها تعداد 3 سابنت نیاز خواهیم داشت.
• سوییچ 1 به دو VLAN نیاز دارد که هر VLAN به 100 کاربر سرویس خواهد داد
• سوییچ 2 به چهار VLAN نیاز دارد که هر VLAN به 30 کاربر سرویس خواهد داد
• سوییچ 3 به سه VLAN نیاز دارد که هر VLAN به 20 کاربر سرویس خواهد داد

انتظار ما از رشد این شبکه به این صورت است که امکان می دهیم که تعداد VLAN ها و کاربرانمان در آینده دو برابر افزایش خواهند داشت و همچنین 2 شعبه دیگر به این شبکه افزوده خواهد شد. حال چه کنیم؟

1. سابنت تک سایز

بزرگترین VLAN ای که داریم تعداد 100 کاربر را پشتیبانی خواهد نمود که انتظار داریم این تعداد در آینده دو برابر بشود که بنابراین به یک سابنت با 200 آی پی نیاز داریم. اما نزدیک ترین سابنت قانونی که به 200 آی پی وجود دارد سابنت /24 می باشد. طراحی شبکه ما باید چیزی شبیه به توپولوژی ذیل باشد:

در تصویر فوق ما برای VLAN هر شعبه یک سابنت /24 استفاده کردیم. اما چرا؟

اگر شبکه فوق را یک شبکه Enterprise در نظر بگیریم، به احتمال قریب به یقین از آی پی های Private در LAN این شبکه استفاده خواهد شد. بعضی از VLAN های مورد نیاز ما با احتساب گسترش آن به 40 عدد آی پی آدرس نیاز دارد که ما می توانستیم از سابنت های کوچکتر مانند /26 استفاده کنیم اما به دلایل ذیل این کار را انجام ندادیم.

ابتدا باید عنوان کرد که استفاده از سابنت /24 به مراتب راحت تر از خرد کردن این سابنت می باشد و استفاده از یک سابنت ثابت در همه جا شبکه را ساده تر می کند. افراد با سابنت /24 آشنایی بیشتری نسبت به سایر سابنت ها دارند. اولین آی پی این رنج .1 می باشد و آخرین آی پی این رنج .254 که یکی از این دو می تواند بعنوان دیفالت گیتوی (Default Gateway) استفاده شود.

بیشتر بخوانید: جامع ترین آموزش پروتکل BGP در تجهیزات Cisco, Mikrotik و Juniper

کلاسی که استفاده کردیم امکان استفاده از تعداد زیادی آی پی را به ما خواهد داد پس نگران کمبود آی پی در این شبکه نیستیم. ما همچنین در اینجا مقدار زیادی سابنت را بین هر شعبه خالی گذاشته ایم. برای مثال سوییچ 1 می تواند از سه VLAN موجود خود فراتر رفته و از سابنت های 172.16.0.0 – 172.16.9.255 استفاده نماید.

تنها مورد استثنا در اینجا لینک های بین روتر و سوییچ ها است که با توجه به اینکه به تنها 2 آی پی آدرس نیاز داریم، تصمیم گرفتیم که از سابنت /30 و همچنین رنج 172.16.100.0 استفاده کنیم.

2. سابنت چند سایز

حالا اگه فرض کنیم همون شبکه مربوط به یک شرکت ساده نبوده و این شرکت یک سرویس پروایدر اینترنت بوده که می بایست آی پی های Valid خودش رو مدیریت کند و بین مشترکینش به اشتراک بگذارد؟ اگر اینجا با مشکل کمبود آی پی آدرس مواجه باشیم دیگر مانند معماری "سابنت تک سایز" نمی توانیم دست و دل باز باشیم و باید با مدیریت صحیح، آی پی ها را بین مشترکین تقسیم کنیم. در این جا سناریو خود را بر این طرح میگذاریم که روتر R1 نقطه مرکزی شرکت ما می باشد و همچنین سوییچ های SW1, SW2, SW3 همگی سایت های شرکت ما در نقاط مختلف شهر می باشد.

بگذارید مجددا به سوال هایی که در قسمت قبل پرسیده شد پاسخ دهیم و معماری خود را بر آن اساس طراحی کنیم:

• روتر R1 به چهار Sub-Interface که هر Sub-Interface از 100 سرور پشتیبانی می کند نیاز دارد.
• سوییچ SW1 به دو VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 10 سرور دارد.
• سوییچ SW2 به سه VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 30 سرور دارد.
• سوییچ SW3 به دو VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 20 سرور دارد.

در نظر بگیریم که تعداد سایت ها، VLAN ها و همچنین سرور ها در آینده رشد 2 برابری خواهند داشت. پس می بایست برنامه ریزی و محاسبات خود را برای سابنتینگ توپولوژی ای به این شرح انجام دهیم:

• روتر R1 به هشت Sub-Interface که هر Sub-Interface از 200 سرور پشتیبانی می کند نیاز دارد.
• سوییچ SW1 به چهار VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 20 سرور دارد.
• سوییچ SW2 به شش VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 60 سرور دارد.
• سوییچ SW3 به چهار VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 40 سرور دارد.
• سابنت های احتمالی برای سایت هایی که در آینده به شرکت ما اضافه خواهند شد.

پس از بررسی ها و محاسبات برای سابنتینگ Subnetting این شبکه، توپولوژی ما به این صورت خواهد بود:

بگذارید شرح دلایلی که این نوع سابنت گذاری را در توپولوژی فوق انتخاب کردیم ذکر کنم:

• Sub-Interface های روتر R1 هر یک 200 سرور خواهند داشت که کوچک ترین سابنتی که این تعداد آی پی را در خود جا می دهد، سابنت /24 می باشد و 254 عدد آی پی قابل استفاده دارد.
• VLAN های سوییچ SW2 به 60 سرور متصل خواهند شد که کوچکترین سابنت در بر گیرنده این تعداد آی پی سابنت /26 خواهد بود که تعداد 62 آی پی قابل استفاده خواهد داشت.
• VLAN های سوییچ SW1 به 20 سرور سرویس دهی خواهند کرد که کوچکترین سابنت در بر گیرنده این تعداد آی پی، سابنت /27 خواهد بود که 30 آی پی قابل استفاده خواهد داشت.
• VLAN های سوییچ SW3 نیز به 40 سرور سرور متصل خواهند شد که کوچکترین سابنت در بر گیرنده این تعداد آی پی سابنت /26 خواهد بود که تعداد 62 آی پی قابل استفاده خواهد داشت.
• برای لینک های Point-to-Point بین سوییچ و روتر ها به دو عدد آی پی نیاز داریم که سابنت /30 می تواند این نیاز را بر آورده کند. اما این رنج را از 92.61.30.0 شروع کردیم چرا که آی پی های سایت ها از رنج 92.61.0.0 – 92.61.11.255 استفاده کرده بودند که با احتساب دو برابر شدن تعداد سایت ها ما به سابنت های 92.61.0.0 – 92.61.22.255 نیاز خواهیم داشت و فقط برای باز ماندن دستمان در شرایط اضطراری، فاصله بین رنج 92.61.23.0 تا 92.61.29.255 را خالی گذاشتیم.

در نظر داشته باشید این تنها یک مثال می باشد اما یک ایده ای از مواردی که نیاز دارید تا در طراحی سابنتینگ به آن توجه داشته باشید به شما می دهد.

سابنتینگ (Subnetting) چیست؟

در شبکه های کامپیوتری کلاس های آی پی وجود دارد با نام های A, B و C که در واقع یک نوع معماری آدرس دهی به تجهیزات شبکه می باشد که از سال 1981 تا زمان معرفی Classless Inter-Domain Routing در سال 1993 کاربرد داشت. در جدول ذیل اطلاعات کامل تری از این نوع آدرس دهی مشاهده می نمایید:

سابنت (Subnet) یک زیرشبکه یا (Sub-Network) از شبکه ها است که زیر کلاس های A, B و C قرار می گیرد.
برای مثال، 172.16.0.0/16 یک شبکه کلاس B می باشد. این نتورک با توجه به این که 65536 آی پی در آن وجود دارد می توان گفت که یک شبکه خیلی بزرگ است و استفاده از این شبکه برای یک شرکت کوچک با 6 دستگاه متصل به شبکه کار اشتباهی است.

حال به جای اینکه از این تکه بزرگ از کل آی پی های موجود برای یک شبکه کوچک استفاده کنیم، از یک قسمت کوچک تر آن بهره برداری می کنیم. برای مثال 172.16.3.0/24 یک سابنت Subnet از کلاس B می باشد که تعداد کمتری از آی پی ها را استفاده کرده است به همین دلیل به آن "زیر-شبکه" یا “Sub-Net” می گویند.

بیشتر بخوانید: دوره آموزشی CCNP Enterprise + گواهینامه

خب حالا بذارید ببینیم که دلیل این کار چیه؟ به توپولوژی زیر نگاه کنید:

در توپولوژی فوق شبکه کوچک یک شرکت را می بینید که یک روتر مرکزی (Core Router) به همراه 3 سوییچ دارد که هر سوییچ نشان دهنده یک شعبه از آن شرکت است. به هر یک از سوییچ ها و روتر های این مجموعه یک نتورک کلاس C اختصاص داده شده است که هیچ مشکلی از لحاظ فنی ندارد. اما چرا این طراحی اشتباه می باشد؟

1. کلاس آی پی C یک کلاس محدود است که می توانیم از بین 192.168.0.0/24 تا 192.168.255.0/24 استفاده کنیم. خب اگر این شرکت توسعه پیدا کند و تعداد دفاتر این شرکت به بیشتر از 256 شعبه افزایش پیدا کند چه؟ با توجه به این معماری آی پی دهی، باید کل شبکه را از ابتدا تغییر داد تا با سناریو جدید هم خوانی پیدا کند.
2. لینک بین روتر ها و سوییچ ها لینک های Point-to-Point برقرار شده است پس تنها به 2 آدرس آی پی نیاز داریم. زمانی که برای چنین لینکی یک سابنت /24 را استفاده می کنیم، عملا 252 آی پی را هدر می دهیم. هم چنین برای شعبه ای که می دانیم 2 کامپیوتر دارد و در شلوغ ترین حالت ممکن است 50 تجهیز در آن شعبه قرار بگیرد، استفاده از سابنت /24 در اینجا نیز اشتباه است و سبب به هدر رفتن منابع آی پی می شود و یا حتی اگر جایی که می دانیم ممکن است تعداد تجهیزات به بیش از 254 آی پی ارتقاء پیدا کند، استفاده از این سابنت نیز کار اشتباهی است. البته این نوع آدرس دهی در سابنت های Private مشکلی برای ما ایجاد نمی کند اما زمانیکه این روش آی پی دهی با استفاده از آی پی های Public پیاده سازی شود، مشکل های زیادی بوجود خواهد آمد. از هزینه بالای آن تا محدودیت شدید تعداد آی پی های Valid می تواند مشکل های ما باشد.

حال می توان برای رفع مشکل محدودیت آی پی ها از کلاس B یا A مانند 172.16.0.0/24 الی 172.31.255.0/24 که یک نتورک در سابنت B است استفاده کرد اما باز هم استفاده از سابنت /24 کار اشتباهی است. چرا که همچنان تعداد آی پی زیادی را هدر می دهیم.

زمانیکه در مورد سابنتینگ صحبت می کنیم، می بایست به دو چیز توجه کنیم:

• طراحی: همانند مثال بالا، شما باید به تعداد سابنت هایی که نیاز دارید فکر کنید. برای مثال اگر در توپولوژی فوق یک روتر دیگر اضافه کنیم چه سابنت هایی را باید استفاده کنیم؟ اگه تعدادی Sub-Interface روی روتر مرکزی ایجاد کنیم چطور؟ چه سابنت هایی برای این Sub-Interface ها استفاده خواهید کرد؟ شما باید ابتدا به این موارد فکر کنید و سپس اقدام به طراحی معماری آی پی دهی سازمان خود نمایید.
• محاسبات: در مثال بالا ما از یک سابنت /24 برای تمامی لینک ها استفاده کردیم که روش ساده اما غیر معقولی است. برای لینک های P2P استفاده از تنها 2 آی پی کافی است. این محاسبات را می توانید با استفاده از ابزار های آنلاین مانند این سایت انجام دهید.

حال برای اینکه درک بهتری از نحوه طراحی معماری یک شبکه داشته باشیم، بیایید با هم دیگر توپولوژی فوق را از ابتدا طراحی کنیم.

بیشتر بخوانید: آموزش مسیریابی یا IP Routing

طراحی سابنت

به توپولوژی زیر نگاه کنید:

برای طراحی معماری آی پی دهی توپولوژی فوق باید چند سوال از خودمان بپرسیم:

• چه تعداد سابنت برای اتصال روتر ها و سوییچ هایمان نیاز داریم؟
• چه تعدا VLAN برای هر سوییچ نیاز داریم؟
• چه تعداد Host به هر سوییچ متصل خواهند شد؟
• چه میزان رشدی را برای شبکه مان پیش بینی می کنیم؟

برای مثال فرض کنیم که جواب سوال هایمان به این شرح می باشد:

• برای اتصال روتر به سوییچ ها تعداد 3 سابنت نیاز خواهیم داشت.
• سوییچ 1 به دو VLAN نیاز دارد که هر VLAN به 100 کاربر سرویس خواهد داد
• سوییچ 2 به چهار VLAN نیاز دارد که هر VLAN به 30 کاربر سرویس خواهد داد
• سوییچ 3 به سه VLAN نیاز دارد که هر VLAN به 20 کاربر سرویس خواهد داد

انتظار ما از رشد این شبکه به این صورت است که امکان می دهیم که تعداد VLAN ها و کاربرانمان در آینده دو برابر افزایش خواهند داشت و همچنین 2 شعبه دیگر به این شبکه افزوده خواهد شد. حال چه کنیم؟

1. سابنت تک سایز

بزرگترین VLAN ای که داریم تعداد 100 کاربر را پشتیبانی خواهد نمود که انتظار داریم این تعداد در آینده دو برابر بشود که بنابراین به یک سابنت با 200 آی پی نیاز داریم. اما نزدیک ترین سابنت قانونی که به 200 آی پی وجود دارد سابنت /24 می باشد. طراحی شبکه ما باید چیزی شبیه به توپولوژی ذیل باشد:

در تصویر فوق ما برای VLAN هر شعبه یک سابنت /24 استفاده کردیم. اما چرا؟

اگر شبکه فوق را یک شبکه Enterprise در نظر بگیریم، به احتمال قریب به یقین از آی پی های Private در LAN این شبکه استفاده خواهد شد. بعضی از VLAN های مورد نیاز ما با احتساب گسترش آن به 40 عدد آی پی آدرس نیاز دارد که ما می توانستیم از سابنت های کوچکتر مانند /26 استفاده کنیم اما به دلایل ذیل این کار را انجام ندادیم.

ابتدا باید عنوان کرد که استفاده از سابنت /24 به مراتب راحت تر از خرد کردن این سابنت می باشد و استفاده از یک سابنت ثابت در همه جا شبکه را ساده تر می کند. افراد با سابنت /24 آشنایی بیشتری نسبت به سایر سابنت ها دارند. اولین آی پی این رنج .1 می باشد و آخرین آی پی این رنج .254 که یکی از این دو می تواند بعنوان دیفالت گیتوی (Default Gateway) استفاده شود.

بیشتر بخوانید: جامع ترین آموزش پروتکل BGP در تجهیزات Cisco, Mikrotik و Juniper

کلاسی که استفاده کردیم امکان استفاده از تعداد زیادی آی پی را به ما خواهد داد پس نگران کمبود آی پی در این شبکه نیستیم. ما همچنین در اینجا مقدار زیادی سابنت را بین هر شعبه خالی گذاشته ایم. برای مثال سوییچ 1 می تواند از سه VLAN موجود خود فراتر رفته و از سابنت های 172.16.0.0 – 172.16.9.255 استفاده نماید.

تنها مورد استثنا در اینجا لینک های بین روتر و سوییچ ها است که با توجه به اینکه به تنها 2 آی پی آدرس نیاز داریم، تصمیم گرفتیم که از سابنت /30 و همچنین رنج 172.16.100.0 استفاده کنیم.

2. سابنت چند سایز

حالا اگه فرض کنیم همون شبکه مربوط به یک شرکت ساده نبوده و این شرکت یک سرویس پروایدر اینترنت بوده که می بایست آی پی های Valid خودش رو مدیریت کند و بین مشترکینش به اشتراک بگذارد؟ اگر اینجا با مشکل کمبود آی پی آدرس مواجه باشیم دیگر مانند معماری "سابنت تک سایز" نمی توانیم دست و دل باز باشیم و باید با مدیریت صحیح، آی پی ها را بین مشترکین تقسیم کنیم. در این جا سناریو خود را بر این طرح میگذاریم که روتر R1 نقطه مرکزی شرکت ما می باشد و همچنین سوییچ های SW1, SW2, SW3 همگی سایت های شرکت ما در نقاط مختلف شهر می باشد.

بگذارید مجددا به سوال هایی که در قسمت قبل پرسیده شد پاسخ دهیم و معماری خود را بر آن اساس طراحی کنیم:

• روتر R1 به چهار Sub-Interface که هر Sub-Interface از 100 سرور پشتیبانی می کند نیاز دارد.
• سوییچ SW1 به دو VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 10 سرور دارد.
• سوییچ SW2 به سه VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 30 سرور دارد.
• سوییچ SW3 به دو VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 20 سرور دارد.

در نظر بگیریم که تعداد سایت ها، VLAN ها و همچنین سرور ها در آینده رشد 2 برابری خواهند داشت. پس می بایست برنامه ریزی و محاسبات خود را برای سابنتینگ توپولوژی ای به این شرح انجام دهیم:

• روتر R1 به هشت Sub-Interface که هر Sub-Interface از 200 سرور پشتیبانی می کند نیاز دارد.
• سوییچ SW1 به چهار VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 20 سرور دارد.
• سوییچ SW2 به شش VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 60 سرور دارد.
• سوییچ SW3 به چهار VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 40 سرور دارد.
• سابنت های احتمالی برای سایت هایی که در آینده به شرکت ما اضافه خواهند شد.

پس از بررسی ها و محاسبات برای سابنتینگ Subnetting این شبکه، توپولوژی ما به این صورت خواهد بود:

بگذارید شرح دلایلی که این نوع سابنت گذاری را در توپولوژی فوق انتخاب کردیم ذکر کنم:

• Sub-Interface های روتر R1 هر یک 200 سرور خواهند داشت که کوچک ترین سابنتی که این تعداد آی پی را در خود جا می دهد، سابنت /24 می باشد و 254 عدد آی پی قابل استفاده دارد.
• VLAN های سوییچ SW2 به 60 سرور متصل خواهند شد که کوچکترین سابنت در بر گیرنده این تعداد آی پی سابنت /26 خواهد بود که تعداد 62 آی پی قابل استفاده خواهد داشت.
• VLAN های سوییچ SW1 به 20 سرور سرویس دهی خواهند کرد که کوچکترین سابنت در بر گیرنده این تعداد آی پی، سابنت /27 خواهد بود که 30 آی پی قابل استفاده خواهد داشت.
• VLAN های سوییچ SW3 نیز به 40 سرور سرور متصل خواهند شد که کوچکترین سابنت در بر گیرنده این تعداد آی پی سابنت /26 خواهد بود که تعداد 62 آی پی قابل استفاده خواهد داشت.
• برای لینک های Point-to-Point بین سوییچ و روتر ها به دو عدد آی پی نیاز داریم که سابنت /30 می تواند این نیاز را بر آورده کند. اما این رنج را از 92.61.30.0 شروع کردیم چرا که آی پی های سایت ها از رنج 92.61.0.0 – 92.61.11.255 استفاده کرده بودند که با احتساب دو برابر شدن تعداد سایت ها ما به سابنت های 92.61.0.0 – 92.61.22.255 نیاز خواهیم داشت و فقط برای باز ماندن دستمان در شرایط اضطراری، فاصله بین رنج 92.61.23.0 تا 92.61.29.255 را خالی گذاشتیم.

در نظر داشته باشید این تنها یک مثال می باشد اما یک ایده ای از مواردی که نیاز دارید تا در طراحی سابنتینگ به آن توجه داشته باشید به شما می دهد.

کاربرد Security Level در فایرول ASA سیسکو چیست؟ Security Level مقداری است که به هر Interface اختصاص داده می شود و درجه اهمیت آنرا مشخص می کند. این مقدار میتواند عددی بین 0 تا 100 باشد . ترافیک TCP و UDP از اینترفیس با Security Level بالاتر می تواند وارد اینترفیس با Security Level پایین تر شود و با توجه به ویژگی Statefull ترافیک درخواستی از Security Level بالاتر از Security Level پایین تر امکان و اجازه پاسخگویی و ورود به Security Level بالاتر را پیدا می کند به عبارتی تنها به ترافیکی از سطح پایین تر اجازه ورود داده می شود که از داخل ان اینترفیس درخواست شده باشد.

غیر از Security Level برای هر اینترفیس یک نام (name if) در نظر می گیریم اگر برای اینترفیس نام inside در نظر گرفته شود به صورت خودکار مقدار Security Level برابر 100 و اگر outside را به عنوان نام اینترفیس انتخاب کنیم مقدار Security Level برابر صفر خواهد شد. به اینترفیس ها می توان یک Security Level یکسان اختصاص داد. به طور پیش فرض ترافیک بین اینترفیس هایی که دارای مقدار Security Level یکسان هستند عبور داده نمی شود

 فایروال شرکت سیسکو با نام Adaptive Security Appliance) ASA) تولید می شود که علاوه بر امکانات فایروال ، قابلیت های فراوانی را برای ما مهیا می سازد.فایروال ها وظیفه محافظت از شبکه داخلی را در برابر دسترسی غیر مجاز از بیرون شبکه دارند. علاوه بر این فایروال ها می توانند محافظت بخش های مختلف شبکه را نسبت به هم تامین کنند به طور مثال منابع شبکه را از کاربر شبکه جدا کنیم. همچنین فایروال امکان دسترسی به برخی از سرویس ها مانند وب که نیاز به ایجاد دسترسی برای کاربران خارج شبکه است را فراهم می کند.

فایروال شرکت سیسکو با نام Adaptive Security Appliance) ASA) تولید می شود که علاوه بر امکانات فایروال ، قابلیت های فراوانی را برای ما مهیا می سازد.فایروال ها وظیفه محافظت از شبکه داخلی را در برابر دسترسی غیر مجاز از بیرون شبکه دارند. علاوه بر این فایروال ها می توانند محافظت بخش های مختلف شبکه را نسبت به هم تامین کنند به طور مثال منابع شبکه را از کاربر شبکه جدا کنیم. همچنین فایروال امکان دسترسی به برخی از سرویس ها مانند وب که نیاز به ایجاد دسترسی برای کاربران خارج شبکه است را فراهم می کند.

به این صورت که سرورهای مربوطه را در یک شبکه جداگانه تحت عنوان Demilitarized Zone) DMZ) قرار می دهیم و توسط فایروال امکان دسترسی محدود از طریق محیط خارج از شبکه را به DMZ می دهیم. با اینکار یک محیط ایزوله ایجاد کرده ایم و در صورتی که حمله به این سرورها صورت گیرد فقط این سرورها تحت تاثیر قرار می گیرد و سرورهای داخلی از این حمله در امان هستند. علاوه بر این می توانید دسترسی کاربران به شبکه خارجی (مانند اینترنت) را نیز کنترل کنید مثلا به چه آدرس ها و سایت هایی دسترسی داشته باشند.

زمانی که بحث استفاده از فایروال در شبکه پیش می آید شبکه خارجی در مقابل فایروال است و شبکه داخلی و DMZ پشت فایروال قرار می گیرند و توسط آن محافظت می شوند و تنها اجازه دسترسی محدود به کاربران خارج از شبکه را به محیط DMZ می دهد. فایروال ASA دارای چندین اینترفیس است که می توان برای هر کدام آن سیاست های خاص خودش را در نظر گرفت. حتی شما می تواند چند شبکه داخلی ، DMZ و یا چند شبکه خارجی داشته باشید.

در دو Mode یا حالت Transparent و Routed کار می کند. در مقاله قبلی با عملکرد فایروال در حالت Transparent آشنا شدیم و در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Routed Mode را بررسی کنیم.

Routed Mode چیست؟

به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.0/24 ، اینترفیس 1 به نام inside به شبکه 192.168.200.0/24 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.