بدون أجهزة الربط، الشبكة مجرد أجهزة معزولة لا تتواصل. هي التي تُمدّد مدى الإشارة، توجّه البيانات، تُصفّي حركة المرور، وتحمي الشبكة من العالم الخارجي. كل جهاز منها يؤدي دورًا محددًا — ويعمل على طبقة بعينها من نموذج OSI — ويجلب معه إمكانات وثغرات مختلفة.
 |
| أجهزة الشبكة الكاملة — Repeater وHub وBridge وSwitch وRouter وFirewall |
محتويات المقال
في هذا المقال الختامي في سلسلة "تعلم الشبكات من الصفر"، ستُفرّق بدقة بين كل جهاز من أجهزة الربط الستة الأساسية: Repeater وHub وBridge وSwitch وRouter وFirewall. ستفهم كيف يقرر كل منها ماذا يفعل بالبيانات التي تصله، وما الذي يجعل بعضها خطرًا أمنيًا بطبيعة تصميمه.
الريبيتر (Repeater) — بسيط جدًا حتى أنه خطير
الريبيتر هو أبسط جهاز ربط في الشبكات — وظيفته الوحيدة: استقبال الإشارة المتضعضعة وإعادة تضخيمها وإرسالها. لا يقرأ عناوين، لا يُحلّل بيانات، لا يتخذ أي قرار. يتعامل مع الطبقة الأولى (الفيزيائية) فقط.
لماذا نحتاج الريبيتر؟
كل وسيط إرسال له حد أقصى للمسافة قبل أن تتضعضع الإشارة وتصبح غير مقروءة. كابل Ethernet القياسي (Cat5e/Cat6) يصل الحد الأقصى عند 100 متر. إن احتجت توصيل جهازين يبعدان 300 متر، تضع ريبيترَين في المسار كل منهما يُجدّد الإشارة.
الهاب (Hub) — البث للجميع وجنة المتجسسين
الهاب يشبه الريبيتر لكن بمنافذ متعددة (عادةً 4 إلى 24 منفذ). حين يصله إطار من أي منفذ، يُرسِله فورًا لجميع المنافذ الأخرى — بدون استثناء وبدون قراءة العنوان. يعمل على الطبقة الأولى.
مشكلة الهاب الجوهرية
كل الأجهزة المتصلة بالهاب تستقبل كل الإطارات. الجهاز المقصود يُعالج الإطار، الباقون يتجاهلونه. لكن أي جهاز مُشغَّل بـ Promiscuous Mode يقبل كل الإطارات ويسجّلها — هذا هو Packet Sniffing في أبسط صوره.
الهاب أيضًا يخلق Collision Domain واحدًا كبيرًا لجميع أجهزته: لا يستطيع أكثر من جهاز واحد الإرسال في أي لحظة دون تصادم. هذا يجعله بطيئًا وغير كفء في الشبكات الكبيرة.
البريدج (Bridge) — الخطوة الأولى نحو الذكاء
البريدج يعمل على الطبقة الثانية — يقرأ عناوين MAC. يربط شبكتين محليتين ويُقرر هل يُمرّر الإطار بين الشبكتين أم لا، بناءً على عنوان MAC الوجهة.
كيف يعمل البريدج؟
البريدج يبني جدولًا داخليًا يُخزّن فيه: عنوان MAC ← المنفذ الذي جاء منه. حين يصله إطار:
- يقرأ عنوان MAC الوجهة.
- يبحث في جدوله: هل هذا العنوان في نفس جانب الشبكة؟
- إن كان في نفس الجانب — يحجب الإطار ولا يُمرّره (لا داعي لإشغال الشبكة الأخرى).
- إن كان في الجانب الآخر — يُمرّر الإطار عبر الجسر.
- إن لم يعرف — يُبثّ الإطار لكلا الجانبَين (Flooding).
البريدج يُقلّص Collision Domain — كل جانب منه يصبح نطاق تصادم مستقل. لكنه لا يزال يُشارك نفس Broadcast Domain بين الجانبَين.
البريدج والسويتش:
السويتش هو في جوهره بريدج متعدد المنافذ. البريدج التقليدي له منفذان فقط، السويتش لديه عشرات المنافذ ويُطبّق نفس منطق الفلترة بالـ MAC على كل منفذ بشكل مستقل. لهذا السويتش حلّ محل البريدج في الشبكات الحديثة.
السويتش (Switch) — الذكاء على الطبقة الثانية
السويتش هو جهاز الشبكة المحلية الأساسي في أي بيئة احترافية. يعمل على الطبقة الثانية (وبعض أنواعه على الثالثة)، ويُرسِل كل إطار للمنفذ المقصود فقط — لا لجميع المنافذ.
جدول CAM — دماغ السويتش
السويتش يحتفظ بجدول يُسمى CAM Table (Content Addressable Memory): قائمة تربط كل عنوان MAC بالمنفذ الذي يتصل به الجهاز. حين يصله إطار:
- التعلم: يقرأ عنوان MAC المصدر — إن لم يكن في CAM Table يُضيفه مع رقم المنفذ.
- البحث: يبحث عن عنوان MAC الوجهة في CAM Table.
- التوجيه الذكي: إن وجده — يُرسِل الإطار لذلك المنفذ فقط (Unicast).
- الفيضان: إن لم يجده — يُرسِل لجميع المنافذ عدا المصدر (Flooding) حتى يتعلم الموقع.
 |
| رسم يُظهر سويتش بـ 4 منافذ. الجهاز A على المنفذ 1 يُرسِل لـ MAC الجهاز C على المنفذ 3. السويتش يُرسِل فقط للمنفذ 3. الأجهزة B وD على المنافذ 2 و4 لا تستقبل الإطار. جدول CAM مرسوم في الزاوية يُظهر MAC_A → Port1, MAC_B → Port2, MAC_C → Port3, MAC_D → Port4. |
Full Duplex وتقسيم الـ Collision Domains
كل منفذ في السويتش هو Collision Domain مستقل — لا تصادمات بين الأجهزة المختلفة. والسويتشات الحديثة تدعم Full Duplex: كل جهاز يستطيع الإرسال والاستقبال في نفس الوقت بكامل السرعة. هذا هو سبب تفوق السويتش الهائل على الهاب.
الراوتر (Router) — المايسترو على الطبقة الثالثة
الراوتر يتجاوز حدود الشبكة المحلية. يعمل على الطبقة الثالثة، يقرأ عناوين IP، ويُقرر كيف تنتقل الحزم بين شبكات مختلفة.
جدول التوجيه — خريطة طريق الراوتر
الراوتر يحتفظ بـ Routing Table: قائمة بالشبكات التي يعرفها وأفضل مسار للوصول لكل منها. حين تصله حزمة يقرأ عنوان IP الوجهة، يبحث في الجدول، يختار أفضل مسار، ويُرسِل الحزمة للراوتر التالي.
الراوتر يتعلم جدول التوجيه بثلاث طرق: المسارات الثابتة (Static) يُدخلها المدير يدويًا. الاكتشاف التلقائي (Dynamic) عبر بروتوكولات توجيه كـ OSPF وBGP التي تتبادل بها الراوترات معلوماتها. الشبكات المتصلة مباشرةً (Connected) يكتشفها تلقائيًا.
الراوتر وحدود Broadcast Domain
الراوتر لا يُمرّر رسائل البث (Broadcast) بين منافذه — كل منفذ هو Broadcast Domain مستقل. هذا يمنع "عاصفة البث" من الانتشار عبر الشبكة كلها، ويُحسّن الأداء والأمان.
الجدار الناري (Firewall) — حارس بوابة الشبكة
الجدار الناري ليس مجرد جهاز ربط — هو خط الدفاع الأول. يراقب حركة المرور الواردة والصادرة ويُطبّق قواعد محددة: ما يُسمح بمروره وما يُحجب.
أجيال الجدران النارية
الجيل الأول — Packet Filtering: يفحص رأس كل حزمة (عنوان IP، رقم المنفذ، البروتوكول) ويُطبّق قواعد بسيطة. سريع لكن يمكن التحايل عليه بتزوير العناوين.
الجيل الثاني — Stateful Firewall: يتتبع حالة كل اتصال (Connection State). يتذكر أن هذه الحزمة جزء من اتصال TCP جارٍ أم طلب جديد مشبوه. أذكى بكثير من الجيل الأول.
الجيل الثالث — Application Layer Firewall (NGFW): يُحلّل محتوى الطبقة السابعة — يفهم HTTP وDNS وSMTP ويكتشف الهجمات المختبئة داخلها. يُمكنه التعرف على التطبيقات بغض النظر عن رقم المنفذ.
| جيل الجدار الناري | الطبقات التي يفحصها | ما يمكنه اكتشافه | نقطة ضعفه |
|---|---|---|---|
| Packet Filter | 3 و4 فقط | عناوين IP، منافذ، بروتوكولات | يُخدَع بتزوير الرؤوس |
| Stateful | 3 و4 مع تتبع الحالة | الاتصالات غير المصرح بها، SYN Flood | لا يرى محتوى التطبيق |
| NGFW | 3 إلى 7 | هجمات التطبيق، البرمجيات الخبيثة، DPI | ثقيل على الأداء، يحتاج تهيئة خبيرة |
مفهوم Collision Domain وBroadcast Domain
لفهم الفرق بين الأجهزة بعمق، لا بد من إتقان هذين المفهومَين.
نطاق التصادم — Collision Domain
Collision Domain هو المنطقة التي يمكن فيها لإرسال جهازَين في نفس الوقت أن يتسبب في تصادم. الهاب يجعل كل أجهزته في نطاق تصادم واحد. السويتش يُعطي كل منفذ نطاق تصادم مستقل — لا تصادمات. الراوتر يُنهي نطاق التصادم تمامًا عند حدوده.
نطاق البث — Broadcast Domain
Broadcast Domain هو المنطقة التي تصلها رسائل البث (البيانات المُرسَلة لجميع الأجهزة). الهاب والسويتش يُمرّران رسائل البث لجميع منافذهما — كل الأجهزة المتصلة في نفس Broadcast Domain. الراوتر وحده يحجب رسائل البث ويُنشئ Broadcast Domains منفصلة لكل شبكة يتصل بها.
| الجهاز | الطبقة | Collision Domain | Broadcast Domain |
|---|---|---|---|
| Repeater | 1 | يوحّدها (لا يُقسّم) | يوحّدها (لا يُقسّم) |
| Hub | 1 | نطاق واحد للكل | نطاق واحد للكل |
| Bridge | 2 | يُقسّمها بين منافذه | يوحّدها (يُمرّر البث) |
| Switch | 2 | منفذ = نطاق مستقل | نطاق واحد للكل |
| Router | 3 | منفذ = نطاق مستقل | منفذ = نطاق مستقل |
| Firewall | 3–7 | منفذ = نطاق مستقل | يُقسّم ويُفلتر |
 |
| رسم يُظهر شبكة بها هاب (نطاق تصادم وبث واحد كبير) ← سويتش (نطاقات تصادم منفصلة لكن بث موحد) ← راوتر (كل جانب نطاق بث مستقل). بألوان مختلفة لكل نطاق. |
مقارنة شاملة — Hub مقابل Switch مقابل Router
| المعيار | Hub | Switch | Router |
|---|---|---|---|
| طبقة OSI | 1 | 2 | 3 |
| أساس القرار | لا قرار — يبثّ للكل | عنوان MAC | عنوان IP |
| الجدول الداخلي | لا يوجد | CAM Table | Routing Table |
| يُقسّم Collision Domain | لا | نعم (لكل منفذ) | نعم |
| يُقسّم Broadcast Domain | لا | لا | نعم |
| يُرسِل خارج الشبكة المحلية | لا | لا | نعم |
| مخاطر Sniffing | عالية جداً | منخفضة (مع تحفظات) | منخفضة |
| الاستخدام الحالي | منعدم (قديم) | أساسي في كل شبكة | أساسي للاتصال بالإنترنت |
الخلاصة الأمنية — أي الأجهزة الأكثر حساسية للهجوم؟
كل جهاز في الشبكة هو هدف محتمل — لكنها ليست متساوية في جاذبيتها للمهاجم أو خطورة اختراقها.
| الجهاز | أبرز الهجمات | خطورة الاختراق | أهم إجراء حماية |
|---|---|---|---|
| Hub | Packet Sniffing العشوائي | ⚠️ عالية بطبيعته | استبداله بسويتش فورًا |
| Switch | MAC Flooding, ARP Spoofing, VLAN Hopping | ⚠️ متوسطة إلى عالية | Port Security, DAI, تحديث الفيرموير |
| Router | Route Injection, BGP Hijacking, DoS | 🔴 عالية جداً — يتحكم في التوجيه | مصادقة بروتوكولات التوجيه، ACL صارمة |
| Firewall | Misconfiguration، ثغرات البرنامج | 🔴 كارثية — من يخترقه يتحكم في الكل | تحديث مستمر، مراجعة القواعد، Hardening |
الراوتر والجدار الناري هما "الملوك" في شبكتك — من يسيطر عليهما يسيطر على حركة المرور كلها. احمهما أولًا قبل كل شيء.
مبدأ في أولويات تأمين الشبكات
المبدأ الذهبي: الدفاع في العمق
لا تعتمد على جهاز واحد لحماية شبكتك. الاستراتيجية الصحيحة هي Defense in Depth: طبقات متعددة من الحماية — كل جهاز يُكمّل ما قبله. السويتش يمنع Sniffing. الراوتر يُقسّم الشبكات ويُطبّق ACL. الجدار الناري يُصفّي الاتصالات الخارجية. IDS/IPS يراقب ما يمر. معًا يُشكّلون درعًا يصعب اختراقه.
خلاصة — الرحلة لم تنتهِ
وصلت لنهاية جزء الاول من سلسلة "تعلم الشبكات من الصفر" بأساس متين يضم: مفهوم الشبكة، مكوناتها، أنواعها، توبولوجياتها، بروتوكولاتها، نماذجها النظرية والعملية، وأجهزة ربطها من أبسط ريبيتر إلى أذكى جدار ناري.
لكن الأساس ليس الهدف — الهدف هو تطبيقه. السلاسل القادمة ستأخذك أعمق: عنونة الشبكات IP والـ Subnetting، ثم بروتوكولات التوجيه، ثم الأمن الشبكي التطبيقي. كل ما تعلمته هنا سيكون اللبنة التي تُبنى عليها تلك المعرفة.
استمر في التعلم — الطريق طويل لكنك بدأت بداية صحيحة ومتينة.
أسئلة شائعة حول أجهزة الشبكة
ما الفرق العملي بين السويتش والراوتر في منزلي؟
السويتش يربط الأجهزة ببعضها داخل شبكتك المنزلية — لو كان لديك 4 أجهزة تريد توصيلها بكابل، تحتاج سويتشًا. الراوتر يربط شبكتك المنزلية بالإنترنت ويوزع العناوين على أجهزتك. الراوتر المنزلي الحديث يجمع الوظيفتَين في جهاز واحد: سويتش + راوتر + نقطة وصول WiFi.
هل الجدار الناري يحمي من جميع الهجمات؟
لا. الجدار الناري يُشكّل خط دفاع مهم لكنه ليس الدرع الكامل. لا يحمي من هجمات تأتي عبر حركة مرور مسموح بها (مثل هجمات SQL Injection عبر HTTP المسموح). لا يُوقف المهاجم الداخلي. لا يكتشف التهديدات غير المعروفة (Zero-Day). الأمن الصحيح يجمع جدارًا ناريًا مع IDS/IPS وAntivirus وتحديثات مستمرة وتدريب المستخدمين.
ما هو L3 Switch وكيف يختلف عن الراوتر؟
L3 Switch (سويتش الطبقة الثالثة) هو سويتش يملك قدرات توجيه IP إضافية — يستطيع التوجيه بين VLANs مختلفة دون الحاجة لراوتر خارجي. أسرع من الراوتر التقليدي لأن التوجيه مُنفَّذ في الأجهزة (Hardware) لا البرمجيات. لكنه أقل مرونة من الراوتر الكامل في دعم بروتوكولات التوجيه المعقدة والاتصال بالإنترنت.
ما الفرق بين Stateful وStateless Firewall؟
Stateless Firewall يفحص كل حزمة بمعزل عن السياق — لا يتذكر ما حدث قبلها. أسرع لكن أسهل في التحايل عليه. Stateful Firewall يتتبع حالة كل اتصال (جدول يسجل الاتصالات النشطة) — يعرف إن كانت الحزمة جزءًا من اتصال شرعي جارٍ أم حزمة مشبوهة خارج السياق. الأنظمة الحديثة كلها Stateful كحد أدنى.
ما الخطوات العملية لتأمين راوتر منزلي؟
ست خطوات أساسية: أولًا غيّر كلمة سر واجهة الإدارة من الافتراضية. ثانيًا حدّث الفيرموير لأحدث إصدار. ثالثًا استخدم WPA3 أو WPA2 للواي فاي مع كلمة سر قوية. رابعًا أغلق الإدارة عن بُعد (Remote Management) إن لم تحتجها. خامسًا فعّل جدار الراوتر الناري الداخلي. سادسًا غيّر اسم الشبكة (SSID) لاسم لا يُظهر الشركة المصنّعة أو موديل الجهاز.
