TCP/IP

Posted on by Ján Gašparík
TCP/IP

Proč je TCP/IP základním kamenem internetu

TCP/IP je soubor protokolů, který umožňuje interoperabilní komunikaci mezi heterogenními zařízeními a sítěmi. Není to jediný protokol, ale rodina pravidel a formátů zpráv, jež definují, jak se data adresují, směrují, přenášejí, kontrolují a zabezpečují. TCP/IP stojí na otevřených specifikacích a modulární architektuře, díky čemuž je škálovatelný od domácích sítí až po globální internet.

Model vrstev TCP/IP a vztah k OSI

  • Vrstva síťového rozhraní (Link/Access) – Ethernet, Wi-Fi, 5G; zajišťuje přístup k médiu, rámce a adresy L2 (MAC).
  • Internetová vrstva (L3)IP (IPv4/IPv6), ICMP/ICMPv6, ARP/ND; řeší logické adresování a směrování paketů.
  • Transportní vrstva (L4)TCP, UDP, (nověji QUIC nad UDP); zajišťuje koncový přenos dat (spolehlivý/nespolehlivý, porty).
  • Aplikační vrstva – HTTP(S), DNS, SMTP, SSH, MQTT aj.; konkrétní protokoly služeb.

Pro srovnání s OSI 7-layer modelu jsou v TCP/IP sloučeny některé horní vrstvy (prezentační/relace) do aplikace a spodní do linkové vrstvy.

IP: zodpovědné za adresování a směrování

Internet Protocol (IP) je nespojovaný a nespolehlivý – garantuje snahu doručit a poskytuje adresování a fragmentaci; spolehlivost řeší vyšší vrstvy.

  • IPv4: 32bitové adresy, zápis desetinně s tečkami (např. 192.0.2.10). Nedostatek adres řeší CIDR, NAT a soukromé adresní prostory.
  • IPv6: 128bitové adresy, hexadecimální zápis (např. 2001:db8::1), vestavěná autokonfigurace (SLAAC), zjednodušené hlavičky, odstraněna fragmentace směrovači.

CIDR, podsítě a směrovací prefixy

Beztřídní směrování CIDR vyjadřuje rozsah jako adresa/prefix (např. 203.0.113.0/24). Subnetování umožňuje efektivní alokaci adres a agregaci tras (route summarization), což snižuje velikost směrovacích tabulek.

ARP a ND: mapování L3 → L2

  • ARP (Address Resolution Protocol) – v IPv4 mapuje IP adresy na MAC v lokálním segmentu.
  • ND (Neighbor Discovery) – v IPv6 plní roli ARP, zároveň podporuje zjišťování směrovačů, detekci duplicit (DAD) a SLAAC.

ICMP/ICMPv6: diagnostika a řízení

ICMP nese zprávy o chybách a užitečné diagnostické informace (Destination Unreachable, Time Exceeded, Packet Too Big pro PMTUD), využívají je nástroje jako ping a traceroute. V IPv6 je ICMPv6 nezbytné i pro fungování ND.

MTU, MSS a Path MTU Discovery

  • MTU (Maximum Transmission Unit) – největší rámec na L2; typicky 1500 B u Ethernetu.
  • MSS (TCP Maximum Segment Size) – maximální užitečná data v segmentu TCP po odečtení hlaviček.
  • PMTUD – dynamicky zjišťuje nejnižší MTU po cestě a brání fragmentaci; v IPv6 fragmentuje pouze koncový uzel.

Transportní vrstva: TCP vs. UDP

Porty identifikují procesy na hostitelích (0–65535; známé porty 0–1023, registrované 1024–49151, dynamické 49152–65535).

Protokol Vlastnosti Typická použití
TCP spojovaný, spolehlivý, pořadí, řízení toku a zahlcení HTTP(S), SSH, SMTP, IMAP, SQL
UDP nespojovaný, bez záruk, nízká režie DNS, VoIP, video, QUIC/HTTP-3, hry

TCP: spolehlivost, řízení toku a zahlcení

  • Trojcestné navázání (3-way handshake): SYN → SYN-ACK → ACK; volitelně Fast Open s cookie.
  • Číslování bytů a ACK: každé potvrzení (ACK) deklaruje nejbližší očekávaný bajt (kumulativní ACK); zpožděná ACK minimalizují režii.
  • Řízení toku (flow control): Receive Window (rwnd) – kolik může odesílatel poslat bez přetečení bufferu; Window Scaling pro vysoké BDP linky.
  • Řízení zahlcení (congestion control): algoritmy Reno/NewReno, CUBIC (default u mnoha OS), moderní BBR (modeluje šířku pásma a RTT); detekce ztrát pomocí Fast Retransmit/Recovery a časových limitů (RTO).
  • ECN: Explicit Congestion Notification – signalizace zahlcení bez ztrát (CE značení, ECE/CWR bity v TCP).
  • MSS clamping: přizpůsobení MSS v sítích s nižší MTU nebo tunelováním.

UDP: minimalismus s možností rozšíření

UDP neposkytuje záruku doručení, pořadí či řízení toku; aplikační vrstva může přidat vlastní ARQ/FR (např. FEC ve streamingu). Výhodou je nízká latence a kompatibilita s multicastem.

QUIC a HTTP/3: moderní transport nad UDP

QUIC přináší šifrování a řízení spojení na transportu (TLS integrované přímo v transportní vrstvě), 0-RTT obnovení a odstranění Head-of-Line blocking díky multiplexingu streamů. V praxi nese HTTP/3.

Klíčové protokoly aplikační vrstvy v ekosystému TCP/IP

  • DNS – překlad jmen na IP (UDP 53/DoT 853/DoH 443).
  • HTTP/HTTPS – web a API; TLS poskytuje důvěrnost a integritu (nad TCP nebo QUIC).
  • SMTP/IMAP/POP3 – e-mailové služby.
  • SSH – vzdálená správa s šifrováním a tunelováním.
  • DHCP – dynamické přidělování adres (v6: prefix delegation, IA_NA, IA_PD).

NAT, NAPT a stavové překlady

NAT44 (včetně NAPT/PAT) překládá soukromé adresy (RFC1918) na veřejné; šetří adresy a izoluje vnitřek sítě, ale komplikuje end-to-end konektivitu (řeší se pomocí ALG, STUN/TURN/ICE). V IPv6 se preferuje end-to-end bez NAT (s výjimkami typu NPTv6/ULA).

QoS: priorizace a řízení přetížení

  • DSCP v IP hlavičce k označení třídy provozu (EF pro hlas, AFxy pro video, BE best effort).
  • Policing/Shaping na okrajích sítě; WRED a ECN v jádře pro řízené zahazování a signalizaci zahlcení.

Zabezpečení na IP stacku

  • IPsec (AH/ESP) pro šifrování a autentizaci na L3 – tunelový a transportní mód, IKE pro klíčování.
  • TLS pro aplikační protokoly (HTTPS, IMAPS, SMTPS); správa certifikátů, PFS (ECDHE).
  • Filtrace a firewalling – stavové vs. bezstavové, ACL, anti-spoofing (uRPF), segmentace (VRF/VLAN), mikrosegmentace.
  • Ochrana proti útokům – SYN cookies, rate-limit ICMP, BCP38 (hovorově anti-spoofing na okrajích), DDoS scrubbery.

Směrování: od lokální brány po globální internet

  • Statické směrování – malé sítě, deterministické trasy.
  • IGPOSPF, IS-IS (stav-linky), RIP (distance-vector) v menších či historických scénářích.
  • BGP – páteř internetu; politiky, přepis atributů (LOCAL_PREF, MED), agregace a filtrace prefixů.

Diagnostika a měření

  • ping (ICMP Echo) pro dosah a RTT.
  • traceroute/tracert využívá TTL/HL a ICMP zprávy pro mapování cesty.
  • mtr kombinuje obojí s průběžnou statistikou.
  • tcpdump/Wireshark – analýza paketů, filtr BPF.
  • iperf – kapacita a kvalita spojení (TCP/UDP, jitter, ztráty).

IPv6: nasazení a koexistence

  • Dual-stack – paralelní provoz IPv4 a IPv6.
  • Přechodové mechanismy – tunely (6in4, GRE), 464XLAT, NAT64/DNS64.
  • Adresace – GUA (2000::/3), ULA (fc00::/7), link-local (fe80::/10); stabilní a dočasné IID, SLAAC vs. DHCPv6.

Provozní metriky: latence, jitter a BDP

  • Latence – doba průchodu (RTT); zásadní pro interaktivní aplikace.
  • Jitter – variace zpoždění; důležité pro hlas/video.
  • Bandwidth-Delay Product (BDP) – určuje potřebnou velikost TCP okna k saturaci linky; řeší se Window Scaling a BBR.

Typické problémy a jejich kořenové příčiny

  • Asymetrické směrování – potíže s firewally a zpětným filtrováním.
  • Black-hole MTU – zablokované ICMP „Packet Too Big“ brání PMTUD → časové limity TCP.
  • Bufferbloat – přílišné fronty, vysoká latence; řešení: AQM (FQ-CoDel), ECN, shaping.
  • NAT traversal – potřeba STUN/TURN/ICE pro P2P.

Ukázkové porty běžných služeb

Služba Port/Protokol Poznámka
DNS 53/UDP, 53/TCP TCP pro zónové přenosy, DoT 853/TCP, DoH 443/UDP (QUIC) nebo TCP
HTTP/HTTPS 80/TCP, 443/TCP/UDP HTTP/3 nad QUIC (UDP/443)
SSH 22/TCP Správa, tunely
SMTP/IMAP 25/465/587 TCP, 143/993 TCP Implicitní/explicitní TLS
NTP 123/UDP Časová synchronizace

Best practices pro správu TCP/IP sítí

  1. Dodržujte hierarchickou adresaci a agregace prefixů; dokumentujte VLAN/VRF a podsítě.
  2. Používejte kontainment broadcastů (VLAN), minimalizujte L2 smyčky (RSTP/MSTP) a preferujte L3 na přístupu u větších sítí.
  3. Nechte průchod ICMP zpráv pro PMTUD a diagnostiku (omezte rate-limitem, ne blokací).
  4. Nastavte QoS pro citlivé třídy (voice/video) – DSCP mapování a policery/shapery na okrajích.
  5. Implementujte bezpečnost: uRPF, ACL, segmentaci, pravidelnou aktualizaci firmware, šifrované management kanály (SSH, TLS), MFA.
  6. Monitorujte teploty/napájení a linky, sbírejte flow data (NetFlow/IPFIX) a logy; sledujte PUE a spotřebu v síťových prvcích v datových centrech.
  7. Plánujte IPv6 – dual-stack, adresní plán, bezpečnostní politiky a školení týmu.

Závěr

TCP/IP představuje robustní, modulární a evolučně vyzrálý základ internetu. Kombinuje jednoduchost (nespojované IP s best-effort doručením) s mocnými mechanismy vyšších vrstev (TCP spolehlivost, moderní QUIC, DNS, TLS, BGP). Porozumění jednotlivým vrstvám a jejich interakcím je klíčem k návrhu škálovatelných, bezpečných a výkonných sítí v jakémkoli měřítku.

Related Posts

Top of Mind

Top of Mind v Marketingu Prvá menovaná značka alebo produkt v danom segmente, na ktorý si respondent dokáže spomenúť. Top of Mind je v marketingu […]

Trhová kapitalizácia

Trhová kapitalizácia: Význam a Vplyv na Finančné Trhy Trhová kapitalizácia je dôležitým pojmom v oblasti finančných a kapitálových trhov. Predstavuje hodnotu celkového trhu daného podniku […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *