Základy počítačových sítí

Posted on by Jana Farkašová
Základy počítačových sítí

Účel článku a co považujeme za „architekturu sítí“

Cílem je podat ucelený, technicky precizní přehled základů počítačových sítí a jejich architektury napříč vrstvami – od fyzické infrastruktury přes linkovou a síťovou vrstvu až po transport, aplikační služby a provozní disciplíny (bezpečnost, spolehlivost, monitoring). Architekturu zde chápeme jako kombinaci modelu vrstev, topologie, protokolů, adresace, politiky směrování a segmentace, provozních standardů a bezpečnostního rámce.

Referenční modely: OSI vs. TCP/IP

OSI vrstva Funkce Typické protokoly/objekty Mapování v TCP/IP
7 Aplikační Rozhraní pro aplikace HTTP(S), DNS, SMTP, SSH, SNMP Aplikační
6 Prezentační Kódování, šifrování TLS, ASN.1, MIME
5 Relační Relace, session RPC, gRPC
4 Transportní End-to-end přenos TCP, UDP, QUIC Transportní
3 Síťová Směrování paketů IP, ICMP, OSPF, BGP Internetová
2 Linková Rámce, L2 adresace Ethernet, VLAN, STP, ARP/ND Síťový přístup
1 Fyzická Přenosové médium UTP/STP, optika, 802.11 PHY

Fyzická vrstva: média, rozhraní a přenosové parametry

  • Kabeláž kroucenou dvojlinkou: kategorie Cat5e/Cat6/Cat6A/Cat7; délka do 100 m, podpora 1G–10G (Cat6A běžně 10G/100 m).
  • Optická vlákna: MMF (OM3/OM4) pro 10/40/100G na kratší vzdálenost; SMF (OS1/OS2) pro desítky km. Moduly SFP(+), SFP28, QSFP(+/28/56/112).
  • Bezdrát: 802.11 (Wi-Fi) – 2,4/5/6 GHz; šířky kanálů 20–160 MHz; OFDMA/MU-MIMO. Dále Bluetooth, LPWAN (LoRa/NB-IoT) v IoT.
  • Parametry: útlum, přeslech, zpoždění, jitter; napájení po Ethernetu (PoE 802.3af/at/bt).

Linková vrstva: Ethernet, přepínání a segmentace

  • Ethernet rámec: MAC zdroj/cíl, EtherType, payload, FCS. Maximální MTU 1500 B (Jumbo rámce 9000 B dle domluvy).
  • Přepínače (L2): učení MAC tabulky, přeposílání podle cílové MAC; STP/RSTP/MSTP zabraňují smyčkám.
  • VLAN (802.1Q): logická segmentace sítě; trunk/access; nativní VLAN; vícenásobná segmentace pro bezpečnost a QoS.
  • Agregace linek (LACP 802.1AX): zvýšení propustnosti a redundance; zátěžové rozkládání per tok.
  • Ethernet nad IP: overlay enkapsulace (VXLAN, GRE, Geneve) pro datacentrové sítě a multi-tenant prostředí.

Adresace a ARP/ND

  • MAC adresy: 48bit (EUI-48), OUI výrobce.
  • ARP (IPv4): mapování IP→MAC, cache, ARP spoofing (nutnost obrany: dynamické ARP inspekce).
  • Neighbor Discovery (IPv6): SLAAC, Router Advertisements, NDP cache, DAD (detekce duplicitní adresy).

IP vrstva: IPv4/IPv6, směrování a CIDR

  • IPv4: 32 bitů, soukromé rozsahy (10/8, 172.16/12, 192.168/16), CIDR bez „tříd“ A/B/C.
  • IPv6: 128 bitů, zápis hextetů, link-local fe80::/10, global unicast 2000::/3, ULA fc00::/7; multicast všudypřítomný, žádný broadcast.
  • Subnetting: prefixová délka (např. /24, /64); výpočet počtu hostů a sítí.
  • Směrování: statické a dynamické; metriky (cost, hop count, BW/Delay), ECMP, rekurzivní lookup.

Směrovací protokoly: IGP a EGP

  • RIP: distance-vector, metrika hop-count (zastaralý).
  • OSPF/IS-IS: link-state, SPF Dijkstrův algoritmus, oblasti (OSPF area 0, ABR/ASBR), rychlá konvergence.
  • BGP (EGP): politické směrování mezi AS, path-vector, atributy (AS-PATH, LOCAL_PREF, MED), route-maps, komunita, anycast.
  • MPLS (přesah): přepínání na základě labelů (LDP/RSVP-TE), L3VPN/L2VPN; v moderních DC často nahrazeno EVPN-VXLAN.

Transportní vrstva a řízení přenosu

  • TCP: spolehlivý tok, třífázový handshake, řízení zahlcení (Reno/CUBIC/BBR), okno, retransmise, Nagle/Delayed ACK.
  • UDP: bezspolehlivý datagram, vhodný pro real-time; aplikační ARQ a FEC dle potřeby.
  • QUIC: běží nad UDP, šifrování a řízení toku na aplikační vrstvě; základem pro HTTP/3.
  • Výkonové koncepty: bandwidth-delay product, goodput, vliv MTU/MSS a fragmentace.

Klíčové síťové služby: DHCP, DNS, NTP/PTP

  • DHCPv4/v6: přidělení adres, masky, brány, DNS; reservations; u IPv6 i SLAAC (RA) bez DHCP serveru.
  • DNS: hierarchický systém jmen, záznamy A/AAAA/CNAME/MX/TXT/SRV, rekurzivní resolver, caching, DNSSEC, split-horizon; Anycast pro dostupnost.
  • Čas: NTP pro synchronizaci, PTP (802.1AS) pro průmysl a trading s přesností v mikrosekundách.

Topologie sítí a návrhové vzory

  • Přístup–Distribuce–Jádro (CampuS): třívrstvá architektura; L2 v přístupu, L3 v distribuci/jádře.
  • Leaf–Spine (Datacentrum): deterministická latence, vysoká šířka pásma, ECMP mezi leafy a spine.
  • Hub-and-Spoke vs. Full-Mesh (WAN): kompromis mezi složitostí a redundancí; SD-WAN pro dynamickou volbu tras.

Segmentace a bezpečnost na L2/L3

  • VLAN a VRF: segmentace na L2 a L3; více virtuálních směrovacích tabulek na jednom zařízení.
  • ACL a firewall: L3/L4 filtrace, stateful inspekce; mikrosegmentace v DC (např. pomocí distribuovaných FW).
  • 802.1X (Port-Based NAC): autentizace zařízení (EAP), dynamické přiřazení VLAN/ACL.
  • NAT: SNAT/DNAT/PAT; hairpin, ALG; vliv na end-to-end konektivitu a P2P.

Bezpečnostní architektury a ochrana

  • Zero Trust: ověřuj neustále; minimální oprávnění; identita a kontext (uživatel/zařízení/umístění/čas).
  • TLS a PKI: šifrování na aplikační vrstvě, certifikáty (CA/CRL/OCSP), HSTS, PFS (ECDHE).
  • VPN: IPsec (IKEv2/ESP) pro L3 tunely; SSL-VPN na L7; WireGuard (moderní kryptografie, jednoduché klíče).
  • IDS/IPS a DDoS: detekce anomálií, signatury, rate-limiting, scrubbing centra, BGP Flowspec.

Bezdrátové sítě (WLAN) v kostce

  • Architektura: řadič (controller) vs. autonomní AP; PoE, stropní montáž, plán kanálů, řízení výkonu.
  • Standardy: 802.11n/ac/ax/be; pásma 2,4/5/6 GHz; 20/40/80/160 MHz kanály; 802.11k/v/r pro roaming.
  • Bezpečnost: WPA3-SAE/Enterprise, 802.1X, oddělení IoT/Guest (VLAN/ACL). Captive portal s uvážením právních požadavků.

Směrování na hraně internetu: CDN, Anycast, Load-balancing

  • CDN: edge cache, replikace obsahu, snižování RTT a přetížení originu.
  • Anycast: jedna IP inzerovaná více uzly; nejbližší cesta dle směrování – DNS servery, DDoS scrubbing, veřejné resolvery.
  • Load-balancery: L4 (TCP/UDP) vs. L7 (HTTP/HTTPS), sticky sessions, health-checks; reverzní proxy, WAF.

Multicast a doručování jedním vysíláním mnoha příjemcům

  • IGMP/MLD: správa skupin na L2/L3; snooping na přepínačích.
  • PIM (SM/SSM): směrování multicastu přes rendezvous point (SM) nebo přímé SSM (Source-Specific Multicast).

Provoz a spolehlivost: HA, redundance, dohled

  • Redundance brány: HSRP/VRRP/GLBP; sledování linek, preemption, object tracking.
  • Spanning-Tree a bezsmyčkové DC: RSTP/MSTP; v moderních DC nahrazeno L3 fabric (Leaf-Spine) a EVPN-VXLAN.
  • Monitoring: SNMP/Telemetry (gNMI), NetFlow/IPFIX; metriky (latence, jitter, ztráta, dostupnost), SLO/SLI.
  • Logování: Syslog, centrální SIEM, korelace událostí, alerting se závažností a záchytem kontextu.

Diagnostika a nástroje pro řešení problémů

  • Layer-3: ping, traceroute/mtr, path MTU discovery.
  • Výkon: iPerf (TCP/UDP), čtení TCP oken, BDP, zpoždění vs. propustnost.
  • Analýza paketů: tcpdump/Wireshark (filtry BPF, dekódování TLS handshake, retransmise), netcat pro rychlé testy.
  • Metodika: izolace vrstvy (L1→L7), binární dělení, reprodukce, baseline porovnání.

Protokoly aplikační vrstvy a moderní trendy

  • HTTP/2 a HTTP/3: multiplexing, header compression, QUIC nad UDP (nižší latence, odolnost vůči ztrátám).
  • SMTP/IMAP/POP: e-mailové služby; SPF/DKIM/DMARC pro důvěru.
  • gRPC/REST: binární vs. textová rozhraní; service mesh (Envoy/Istio) pro L7 politiky v mikroservisách.

Virtualizace sítí, SDN a cloud

  • SDN: centralizované řízení plane (OpenFlow/Netconf/gNMI); deklarativní konfigurace a automatizace (IaC).
  • Overlay: VXLAN/EVPN pro multi-tenant DC, control plane s BGP EVPN, distributed anycast gateway.
  • Cloud VPC/VNet: bezpečnostní skupiny (SG), NACL, routovací tabulky, peering, Transit Gateway.
  • Kontejnery a K8s: CNI (Calico, Cilium), Services (ClusterIP/NodePort/LoadBalancer), Ingress/Gateway API, eBPF pro observabilitu a bezpečnost.

QoS: řízení kvality a kapacity

  • Klasifikace a značení: DSCP/802.1p; mapování tříd (EF pro hlas, AF pro video, BE pro best-effort).
  • Fronty a plánování: WFQ/CBWFQ/LLQ; shaping/policing; buffer management (RED/WRED).
  • End-to-end návrh: konzistence tříd na všech hop-ech; měření a kalibrace.

IoT/OT sítě a specifika

  • Protokoly: MQTT, CoAP; nízká spotřeba a malé payloady.
  • Bezpečnost: silná segmentace, brány, oddělení od kancelářské sítě; management certifikátů.
  • Deterministický provoz: TSN (Time-Sensitive Networking) pro průmyslovou automatizaci.

Časování a synchronizace v sítích

  • NTP: hierarchie stratum, monokultura zdrojů vs. diverzita; korekce driftu.
  • PTP: hardware timestamping, boundary/transparent clocks pro sub-µs přesnost.

Certifikace a standardizační orgány (orientačně)

  • IETF: RFC standardy pro IP stack.
  • IEEE: 802.x (Ethernet, Wi-Fi).
  • ITU-T: telekomunikační doporučení (MPLS-TP, QoS v přenosových sítích).
  • Certifikace: CCNA/CCNP/CCIE, JNCx, NSE, AWS/Azure/GCP Networking, Linux LFCE/LFCS pro síťové adminy.

Návrhové zásady: bezpečný a robustní základ

  1. Jednoduchost a modularita: přednost má čitelné L3 fabric a deterministické cesty před komplexními L2 doménami.
  2. Redundance s jasnou konvergencí: ECMP, dvojice hran, žádné skryté smyčky; testované scénáře výpadků.
  3. Bezpečnost od návrhu: least-privilege, segmentace, 802.1X, MDM, kryptografie „by default“.
  4. Observabilita: telemetrie, centralizované logy, syntetické testy, SLO a runbooky incidentů.
  5. Automatizace a verze: deklarativní konfigurace, CI/CD pro síť, auditovatelnost změn.

Checklist pro návrh sítě od nuly

  • Use-case a požadavky (propustnost, latence, dostupnost, segmentace, compliance).
  • Adresní plán IPv4/IPv6, VLAN/VRF, DNS/DHCP design; plán NAT a veřejných rozsahů.
  • Topologie (Campus vs. DC vs. WAN), výběr IGP (OSPF/IS-IS) a politik BGP.
  • Bezpečnostní zóny, firewall politiky, 802.1X/NAC, IDS/IPS, VPN a vzdálený přístup.
  • QoS třídy a mapování, požadavky na hlas/video/VDI.
  • Monitoring/telemetrie, logování, testy SLA, kapacitní plánování.
  • Runbooky, zálohy konfigurací, break-glass přístupy, školení operátorů.

Závěr

Počítačové sítě jsou vrstvený systém protokolů a technik, jehož dobrá architektura stojí na jasné segmentaci, robustním směrování, bezpečnostní politice „least-privilege“, vysoké observabilitě a automatizaci. Porozumění principům na každé vrstvě – od fyzické infrastruktury přes L2/L3, transport, až po aplikační služby a provozní disciplíny – umožňuje stavět sítě, které jsou škálovatelné, bezpečné, výkonné a snadno provozovatelné.

Related Posts

zoznam nákladu v kontajneri

Zoznam nákladu v kontajneri: Kľúčový Doklad v Prepravnej a Špedičnej Logistike Zoznam nákladu v kontajneri: Detailné Uvádzanie Obsahu Prepravnej Jednotky Preprava nákladu v kontajneri je […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *