1. diel - Úvod do počítačových sietí

Vitajte v kurze Prevádzka počítačových sietí. V jeho priebehu si vysvetlíme, ako počítačové siete fungujú v každodennej prevádzke, ako sa konfigurujú sieťové zariadenia a ako sa riešia problémy v komunikácii medzi zariadeniami. Postupne sa zoznámime s témami ako IP adresácia, subnetting, smerovanie, sieťové služby, bezpečnosť, monitoring aj diagnostika sietí a ukážeme si ich použitie na praktických príkladoch.

V tomto tutoriáli sa pozrieme na základné princípy počítačových sietí. Pripomenieme si kľúčové pojmy, ktoré sú dôležité pre ich správu a prevádzku, vysvetlíme si roly jednotlivých sieťových zariadení a ukážeme si, ako pri prenose dát spolupracuje fyzická a logická časť siete.

Minimálne požiadavky

Predpokladom na úspešné absolvovanie tohto kurzu je znalosť kurzu Tvorba návrhov a štruktúry sietí.

Počítačové siete

Počítačové siete predstavujú neviditeľnú infraštruktúru, ktorá drží pohromade naše každodenné digitálne návyky: od streamovania filmu doma cez tlač vo firme až po platobný terminál v obchode. Vďaka sieťam spolu komunikujú notebooky, telefóny, servery aj inteligentné senzory, a to spoľahlivo, rýchlo a bezpečne. V pozadí beží jednoduchý princíp – informácia putuje z bodu A do bodu B podľa dohodnutých pravidiel (protokolov), ktorým rozumejú všetky zariadenia bez ohľadu na výrobcu.

Za touto dohodou stojí niekoľko jednoduchých princípov. V sieti sú rôzne prvky: niektoré prepájajú (switch, LAN/WLAN, VLAN), iné smerujú správnym smerom (router, IP/podsiete, WAN/internet) a ďalšie strážia pravidlá a bezpečnosť (firewall, ACL, NAT/PAT). Každé zariadenie má svoju adresu (IP v IPv4/IPv6 a hardvérovú MAC), ktorú často získa automaticky (DHCP), a mená sa prekladajú na adresy (DNS). Vďaka týmto rolám a adresám sa dá prevádzka prehľadne usporiadať, rozdeliť podľa potreby a udržať pod kontrolou aj vo chvíli, keď sieť rastie.

V praxi rozlišujeme fyzickú a logickú stránku siete. Fyzická zahŕňa hardvér a prenosové cesty – káble, konektory, antény či ďalšie prvky infraštruktúry. Logická predstavuje pravidlá a usporiadanie: kto s kým môže komunikovať, ako sa adresuje a aká prevádzka sa vpustí dovnútra alebo von. Obe vrstvy musia byť v súlade – dobre zapojený hardvér bez jasných pravidiel je rovnako nefunkčný ako premyslená konfigurácia nad zle postavenou fyzickou sieťou.

Pripomenutie pojmov

V sérii lekcií kurzu Tvorba návrhov a štruktúry sietí sme si predstavili základné pojmy na porozumenie sieťam. Poďme si tie najdôležitejšie pripomenúť. Nižšie na obrázku vidíme vrstvy podľa modelu ISO/OSI:

Model TCP/IP

TCP/IP je praktický referenčný model, ktorý opisuje, ako dáta putujú po sieti od aplikácie až ku káblu a späť. Vychádza z reálnych internetových protokolov (IP, TCP/UDP, HTTP, DNS…), takže sa hodí pre každodennú prax:

• Vrstva sieťového rozhrania (OSI L1, L2) – Spája zariadenia v tej istej miestnej sieti. Pracuje s MAC adresami a doručuje rámce susedovi v rámci jednej broadcast domény (ethernet, Wi-Fi, VLAN). PDU (Protocol Data Unit, teda jednotka dát na danej vrstve modelu) sú rámce.
• Sieťová vrstva (OSI L3) – Prepája rôzne siete medzi sebou. Pracuje s IP adresami a volí cestu (ďalší skok) cez router do inej podsiete alebo do internetu (IPv4, IPv6, CIDR). Tu sú PDU pakety.
• Transportná vrstva (OSI L4) – Zabezpečuje prenos medzi dvoma aplikáciami. Rozlišuje služby pomocou portov a volí spôsob doručenia: spoľahlivý (TCP) vs. ľahký bez potvrdenia (UDP). Tu sa ako PDU prenášajú segmenty v prípade TCP a datagramy v prípade UDP.
• Aplikačná vrstva (OSI L5–L7) – Nesie protokoly, ktorými si aplikácie vymieňajú správy. Protokol HTTPS pre komunikáciu na webe, názvové služby (DNS), adresovacie služby (DHCP), pošta (SMTP, IMAP/POP3) a pod. PDU sú tu samotné dáta či správy.

ISO/OSI je sedemvrstvový teoretický rámec, ktorý je detailnejší a historicky používaný na výučbu a terminológiu (L1–L7). V praxi sa však bežne pracuje so štyrmi vrstvami TCP/IP a súčasne sa čísluje podľa OSI (hovoríme napr. L2 switch, L3 router). Túto terminológiu budeme v kurze dodržiavať.

Prostredie a segmentácia

Broadcast doména je časť siete, v ktorej sa šíria správy určené všetkým zariadeniam. Je vymedzená logickým delením siete a rozhraniami na tretej vrstve. Prepínač šíri broadcast iba v rámci tej istej logickej časti, zatiaľ čo cez router alebo iné L3 zariadenie sa už ďalej nedostane. Zmenšovanie broadcast domén (napríklad rozdelením siete na viac logických celkov) znižuje zbytočný šum aj dopad chýb a zlepšuje stabilitu prevádzky.

Siete môžeme segmentovať podľa logickej aj fyzickej vzdialenosti:

• LAN (Local Area Network) – Miestna sieť v rámci jednej lokality (kancelária, poschodie, budova). Nízka latencia, vysoké rýchlosti, plná kontrola nad infraštruktúrou. Tu bývajú pripojené stanice, servery, tlačiarne a switche.
• WLAN (Wireless LAN) – Bezdrôtová časť LAN realizovaná cez Access Pointy. Pridáva témy umiestnenia, pokrytia a šifrovania. SSID (názov Wi-Fi siete) možno namapovať do konkrétnej VLAN, takže káblová aj bezdrôtová časť zdieľajú rovnaké logické delenie.
• VLAN (Virtual LAN) – Logické oddelenie siete vo vnútri infraštruktúry. Každá VLAN tvorí samostatnú broadcast doménu, komunikácia medzi jednotlivými VLAN vyžaduje L3 (router / L3 switch). Umožní oddeliť zamestnancov, servery, hostí, IoT a pod.
• WAN (Wide Area Network) – Ide o "cestu" mimo našej budovy, prenosovú trasu od poskytovateľa, ktorá prepája naše lokality alebo nás privádza na internet:

Siete môžeme podľa rozsahu deliť aj ďalej, napríklad na PAN (Personal Area Network – osobná sieť okolo jedného používateľa, bluetooth slúchadlá, USB link…), MAN (Metropolitan Area Network – prepojenie v rámci mesta/regiónu) či napríklad CAN (Campus Area Network – súhrn viacerých LAN v areáli univerzít či firiem).

Sieťové zariadenia a ich roly

Aby dohoda v sieti fungovala, majú jednotlivé časti jasne dané roly. Nasledujúci prehľad v krátkosti ukáže hlavné stavebné kamene a tiež to, čo robia a kedy dávajú zmysel. Vďaka tomu bude jednoduchšie udržať poriadok a bezpečnosť aj vo chvíli, keď sieť rastie.

Switch (prepínač)

Switch je centrálny uzol lokálnej siete, nachádza sa teda väčšinou na linkovej vrstve (podľa ISO/OSI L2). Vo vnútri pracuje s tabuľkou MAC adries zariadení a posiela rámce iba tam, kam patria, takže sa prevádzka zbytočne nemieša. V podnikových inštaláciách dáva zmysel riadený (managed) switch, ktorý umožní rozdeliť jednu fyzickú sieť na logické časti (VLAN – Virtual Local Area Network), pomenovať porty a zrkadliť prevádzku pre diagnostiku. Switch často vie aj napájať ďalšie zariadenia pomocou kábla (PoE – Power over Ethernet).

Vďaka tomu je sieť prehľadná a rozšíriteľná. Vo firme potom môžeme napr. oddeliť účtovníctvo, hostí či kamery do samostatných VLAN, zariadiť napájanie niekoľkých telefónov po jednom kábli či rýchlo prepojiť poschodia alebo kancelárie:

V minulosti sme mohli naraziť na zariadenie hub (rozbočovač), ktoré však posielalo všetko na všetky porty, čo viedlo k vysokému počtu kolízií. Dnes sa už prakticky nevyužíva.

Router

Router prepája rôzne siete a ukazuje cestu von do internetu, nachádza sa teda na sieťovej vrstve (podľa ISO/OSI L3). Pracuje s IP adresami, pozná predvolenú bránu a na hranici s poskytovateľom často zabezpečuje NAT/PAT, teda preklad privátnych adries na verejné. V menších prostrediach jeho rolu často prevezme L3 switch, ktorý okrem prepínania medzi portmi poskytne aj smerovanie medzi jednotlivými VLAN pomocou virtuálnych rozhraní:

Dobre navrhnuté smerovanie udržiava časti infraštruktúry oddelené podľa účelu, ale zároveň dostupné tam, kde to dáva zmysel.

V praxi sa často používa "všetko v jednom" škatuľka (gateway), ktorá v sebe spojí modem + router + firewall + základný switch + Wi-Fi (AP – Access Point). Pre domácnosti a malé kancelárie je to jednoduché riešenie. Vo firmách sa však tieto roly zvyčajne oddeľujú (samostatný firewall, samostatné AP…), pretože je potrebné prehľadnejšie a bezpečnejšie riešenie, ktoré sa tiež lepšie spravuje.

Firewall

Firewall je bod, kde sa sieťové pravidlá menia na prax. Ak filtruje na úrovni IP/portov, nachádza sa na úrovni L3/L4 (sieťová, transportná), pokročilé firewally rozpoznajú aj aplikačné protokoly na L7.

Na základe zvolených politík firewall rozhoduje, ktorá prevádzka prejde a ktorá nie, a zmeny zaznamenáva pre neskoršiu dohľadateľnosť. Na perimetri chráni prístup medzi internou sieťou a internetom, vo vnútri oddeľuje zóny s rozdielnou dôverou (napr. servery, hostia, IoT…). Dôležitá je rozumná predvolená politika (povoliť iba to potrebné), jasná štruktúra pravidiel a priebežné upratovanie výnimiek, aby konfigurácia zostala zrozumiteľná aj po čase.

Access Point

Prístupový bod privádza do siete bezdrôtové zariadenia. Nachádza sa na L1 (fyzická, prenos signálu) a L2 (linková, šifrovanie a overovanie na linke). Jedno fyzické AP môže vysielať niekoľko SSID, ktoré sa mapujú do rôznych VLAN – typicky zamestnanci, hostia a špeciálne zariadenia. Správne umiestnenie, rozumné nastavenie kanálov a bezpečné šifrovanie (WPA2/WPA3) zaistia stabilnú prevádzku bez zbytočných výpadkov. Vo väčších priestoroch sa oplatí centrálne riadenie (controller/cloud), ktoré zjednotí konfiguráciu a pomôže s plynulým prechodom klientov medzi viacerými AP.

Modem

Modem (často označovaný ako CPE – Customer Premises Equipment) je zariadenie na hranici našej siete, ktoré prevádza pripojenie od poskytovateľa (xDSL, kábel, optika, LTE/5G) na bežný ethernetový port. Na vstupe teda komunikuje technológiou operátora, na výstupe odovzdáva štandardný ethernet.

Modem môže pracovať dvoma spôsobmi:

• Bridge (priechodný režim) – Slúži iba ako prevodník signálu a všetky funkcie ako NAT či DHCP zabezpečuje iné zariadenie v našej sieti.
• Router režim – Okrem prevodu aj smeruje prevádzku, zvyčajne vykonáva NAT, poskytuje DHCP a niekedy aj Wi-Fi.

Vo firmách sa najčastejšie používa bridge, aby verejná IP adresa končila na firewalle alebo routeri, kde je plná kontrola nad prevádzkou. Router režim býva bežný skôr v domácnostiach a menších inštaláciách.

V ďalšej lekcii, IP adresy, si predstavíme základné pojmy k IPv4 adresám a pridruženým technológiám.