Počítačové sítě

Co jsou počítačové sítě a proč na nich záleží

Počítačová síť je systém propojených uzlů (koncových zařízení, serverů, síťových prvků), který umožňuje výměnu dat a bezproblémové poskytování služeb. Moderní sítě jsou páteří digitální ekonomiky: propojují kanceláře, datová centra, cloudové regiony, mobilní uživatele i zařízení IoT. Klíčovými atributy jsou propustnost, latence, jitter, dostupnost a bezpečnost.

Referenční modely: OSI vs. TCP/IP

Model OSI (7 vrstev) je didaktický rámec: Fyzická, Linková, Síťová, Transportní, Relační, Prezentační a Aplikační. Praktická implementace se řídí modelem TCP/IP (4 vrstvy): Síťový přístup, Internetová, Transportní, Aplikační.

• Fyzická/linková: média, elektrické/optické signály, rámce (Ethernet 802.3, Wi-Fi 802.11).
• Síťová (Internetová): IP (IPv4/IPv6), směrování (OSPF, IS-IS, BGP).
• Transportní: TCP, UDP, QUIC (už kombinuje transportní a část aplikační logiky).
• Aplikační: DNS, HTTP/2–3, SMTP, MQTT, gRPC.

Topologie a architektury

• Hvězda: jednoduchá správa LAN, centrální přepínač.
• Spine–Leaf: horizontální škálování v datových centrech, predikovatelné latence.
• Full/Partial Mesh: vysoká redundance (MPLS core, WAN mesh).
• SD-WAN Overlay: logická topologie nad internetem/privátními okruhy s dynamickým výběrem trasy.

Přenosová média a fyzická vrstva

• Měděné kabely: Cat5e/6/6A/7 pro 1G–10G (délky do 100 m), PoE/PoE+ pro napájení koncových zařízení.
• Optická vlákna: MMF (OM3/OM4/OM5) pro kratší úseky vevnitř budov; SMF (OS1/OS2) pro dlouhé trasy (10G–400G+).
• Bezdrát: Wi-Fi 5/6/6E/7, směrové spoje (mikrovlnné, 60 GHz), 4G/5G (private/public).
• Transceivery: SFP+, QSFP28, OSFP; volba dle dosahu a formátu (SR, LR, ER, ZR).

Linková vrstva: Ethernet a Wi-Fi

• Ethernet: 802.3, rámce, duplex, autoneg, LACP (802.1AX) pro agregaci linek, VLAN 802.1Q, QoS 802.1p.
• Spanning Tree: STP/RSTP/MSTP pro prevenci smyček, v DC se často nahrazuje ECMP v L3.
• Wi-Fi: 802.11ax/802.11be (6/6E/7), plánování kanálů (2,4/5/6 GHz), roaming (802.11r/k/v), zabezpečení WPA3.

Adresování a podsíťování: IPv4/IPv6, CIDR a NAT

• IPv4: CIDR (např. /24), privátní rozsahy (RFC1918), NAT/PAT pro úsporu adres a izolaci.
• IPv6: 128bit, typy adres (global, ULA), SLAAC/DHCPv6, preferované /64 pro L2 segmenty.
• IPv6 výhody: end-to-end konektivita, jednodušší multicast/anycast, větší adresní prostor.

Směrování a přepínání: L2 vs. L3

• L2 Switching: MAC tabulky, VLANy, Storm-Control.
• L3 Routing: OSPF, IS-IS (IGP), BGP (EGP, ale i interně jako iBGP), ECMP pro škálování.
• MPLS a Segment Routing: label-switching, traffic engineering, L3VPN/L2VPN.

Transportní a aplikační protokoly

• TCP: řízení přetížení, spolehlivost, varianty (CUBIC, BBR).
• UDP: nízká latence (VoIP, video, DNS), vlastní řízení nad aplikační vrstvou.
• QUIC/HTTP-3: běží nad UDP, 0-RTT, lepší odolnost vůči ztrátám.
• DNS, DHCP: jmenné služby a dynamická konfigurace, důležitost rekurzivních resolverů a bezpečnosti (DNSSEC, DoH/DoT).
• MQTT/AMQP: lehké protokoly pro IoT a messaging.

Virtualizace a síť v cloudu

• Overlay sítě: VXLAN/GENEVE pro L2 nad L3, EVPN pro řízení směrování MAC/IP.
• NFV: virtualizace síťových funkcí (firewall, load balancer) na běžném HW.
• Cloud networking: VPC/VNet, peering, transit gateway, Direct Connect/ExpressRoute.
• Service Mesh: sidecar proxy, L7 routování, MTLS, observabilita (v prostředí Kubernetes).

Segmentace, izolace a přístup

• VLAN/VRF: logická separace L2/L3 domén.
• Microsegmentation: politky na úrovni workloadů (SG, ACL, ID-based).
• VPN: IPsec (site-to-site), SSL/TLS (remote access), WireGuard (moderní, jednoduchý).
• Zero Trust: ověřuj neustále, minimální oprávnění, continuous verification.

Bezpečnost sítí

• Perimetr a vnitřní obrana: NGFW, IDS/IPS, WAF, CASB, segmentace.
• Ochrana před DDoS: scrubbing centra, rate-limiting, BGP blackholing/RTBH.
• Šifrování: TLS 1.3, IPsec, MACsec (802.1AE).
• Identita a přístup: 802.1X, NAC, MFA, SSO, princip „need-to-know“.
• Bezpečnost Wi-Fi: WPA3-SAE, izolace klientů, správné nastavení PSK/Enterprise.

QoS a řízení provozu

• Marking: DSCP/802.1p, zachování značek napříč doménami.
• Queuing/Policing/Shaping: řízení zpoždění pro hlas/video, ochrana před přetížením.
• Traffic Engineering: SR-TE/MPLS-TE, aplikační povědomí (SD-WAN).

Monitorování, měření a observabilita

• SNMP/Telemetry: stav rozhraní, teplota, tabulky směrování; moderně streamovaná telemetrie (gNMI).
• Flow data: NetFlow/IPFIX/sFlow pro analýzu provozu a kapacitní plánování.
• Aktivní měření: syntetické testy latence, jitteru a ztrát paketů.
• Logy a události: centralizace (SIEM), korelace s aplikačními metrikami.

Automatizace, SDN a NetDevOps

• SDN: oddělení řídící a datové roviny, centralizované politiky.
• Infrastructure as Code: deklarativní šablony, CI/CD pro sítě, testování změn v labu.
• Intent-Based Networking: převod obchodního záměru na síťové politiky a jejich průběžná verifikace.

Bezdrátové návrhy: kapacita, pokrytí, rušení

• Plánování: heatmapy, hustota klientů, aplikace s real-time nároky.
• Kanály a šířky: 20/40/80/160 MHz; kompromis mezi kapacitou a rušením.
• 6 GHz (Wi-Fi 6E/7): více čistých kanálů, kratší dosah – nutnost hustější sítě AP.

WAN a internetová konektivita

• Typy okruhů: DIA, broadband, LTE/5G zálohy, pronajatá vlákna, satelit (LEO pro nižší latenci).
• SD-WAN: dynamický výběr trasy podle SLA, FEC, aplikační steering, centralizovaná správa.
• BGP: vícenásobný tranzit, policy-based směrování, komunitní tagy, anycast služby.

Synchronizace času a specializované směrování

• NTP/PTP: přesná synchronizace (např. finanční obchodování, průmysl).
• Multicast: PIM, IGMP/MLD pro distribuované streamy videa/dat.

Vysoká dostupnost a zotavení

• Redundance: dual-homing, více napájecích větví, redundantní fabric.
• First-Hop Redundancy: HSRP/VRRP/GLBP pro dostupnost default gateway.
• Design pro failover: rychlá konvergence, BFD, konzistentní politiky.

IoT a průmyslové sítě

• Protokoly: Modbus/TCP, OPC UA, MQTT-SN.
• Bezpečnost: oddělené segmenty, DPI pro průmyslové protokoly, inventarizace aktiv.
• Konektivita: LPWAN (LoRaWAN), privátní 5G, deterministické ethernety (TSN).

Metodika řešení problémů (troubleshooting)

• „Shora dolů“ vs. „zdola nahoru“: nejprve ověřit fyziku (link, světlo, napájení), poté L2/L3 a aplikace.
• Izolace: traceroute, ping s různým MTU, záznamy na rozhraních, dočasné obcházení politik.
• Change management: záznam změn, rychlý rollback, post-incident analýza.

Metriky výkonnosti a SLA

Checklist návrhu podnikové sítě

1. Definujte obchodní cíle a aplikační požadavky (SLA, compliance).
2. Navrhněte adresní plán (IPv4/IPv6), segmentaci (VLAN/VRF), DNS/DHCP.
3. Zvolte architekturu (spine-leaf, SD-WAN, bezpečnostní zóny) a redundanci.
4. Nastavte bezpečnostní politiku (NAC, NGFW, IPS, ZTNA) a logging/telemetrii.
5. Plánujte kapacity (uplinky, uplink diversity, optika) a QoS pro kritické aplikace.
6. Zaveďte IaC/automatizaci, testovací prostředí a postupy změn.
7. Definujte DR/BCP: zálohy konfigurací, out-of-band management, scénáře obnovy.

Best practices a doporučení

• Preferujte jednoduchost před nadměrnou komplexitou; dokumentujte.
• Oddělujte řídící, uživatelskou a úložnou síť tam, kde to dává smysl.
• Pravidelně revidujte ACL, role a certifikáty; automatizujte rotaci tajemství.
• Měřte a vizualizujte uživatelský zážitek, ne jen systémové metriky.
• Implementujte princip nejmenších oprávnění a Zero Trust.
• Počítejte s IPv6-only a dual-stack přechodovými scénáři.

Závěr

Počítačové sítě jsou komplexní, ale řiditelné, pokud je návrh opřený o jasné cíle, standardy a průběžnou observabilitu. Kombinace robustní architektury, segmentace, automatizace a bezpečnostních principů umožňuje škálovat od malé LAN po globální multicloud a zároveň doručit stabilní, bezpečný a předvídatelný provoz pro klíčové aplikace a uživatele.