1. diel - Úvod do počítačových sietí Nové

Vitajte pri prvej lekcii kurzu Prevádzka počítačových sietí. V tomto tutoriále sa pozrieme na to, ako siete skutočne fungujú - od fyzického prepojenia zariadenia až po logické smerovanie a zabezpečenie dát. Ukážeme si, ako navrhovať a spravovať siete, ako funguje adresovanie a ako jednotlivé vrstvy spolupracujú. Cieľom je porozumieť nielen technickým postupom, ale aj princípom, na ktorých stojí spoľahlivá a bezpečná prevádzka modernej siete.

Minimálne požiadavky

Predpokladom pre úspešné absolvovanie tohto kurzu je znalosť kurzu Vytváranie návrhov a štruktúry sietí.

Počítačové siete

Počítačové siete predstavujú neviditeľnú infraštruktúru, ktorá drží pohromade naše každodenné digitálne návyky: od streamu filmu doma, cez tlač vo firme, až po platobný terminál v obchode. Vďaka nim spolu hovoria notebooky, telefóny, servery aj inteligentné senzory, a to spoľahlivo, rýchlo a bezpečne. Za kulisami beží jednoduchá myšlienka - informácia putuje z bodu A do bodu B podľa dohodnutých pravidiel (protokoly), ktorým rozumejú všetky zariadenia bez ohľadu na výrobcu.

Na pozadí tejto dohody stojí pár jednoduchých princípov. V sieti sú prvky, ktoré prepájajú (switch, LAN/WLAN, VLAN), iné smerujú správnym smerom (router, IP/podsiete, WAN/Internet), a ďalšie strážia pravidlá a bezpečnosť (firewall, ACL, NAT/PAT). Každé zariadenie má svoju adresu (IP v IPv4/IPv6 a hardvérovú MAC), často ju získa automaticky (DHCP), a mená sa prekladajú na adresy (DNS). Vďaka týmto rolám a adresám sa dá prevádzka prehľadne usporiadať, rozdeliť podľa potreby a udržať pod kontrolou aj vo chvíli, keď sieť rastie.

V praxi rozlišujeme fyzickú a logickú stránku siete. Fyzická zahŕňa hardvér a prenosové cesty – káble, konektory, antény či ďalšie prvky infraštruktúry. Logická predstavuje pravidlá a usporiadanie: kto s kým môže komunikovať, ako sa adresuje a aká prevádzka sa vpustí dovnútra alebo von. Obe vrstvy musia byť v súlade – dobre zapojený hardvér bez jasných pravidiel je rovnako nefunkčný ako premyslená konfigurácia nad zle postavenou fyzickou sieťou.

Pripomenutie pojmov

V sérii lekcií kurzu Vytváranie návrhov a štruktúry sietí sme si predstavili základné pojmy na porozumenie sieťam. Poďme si tie najdôležitejšie pripomenúť. Nižšie na obrázku vidíme vrstvy podľa modelu ISO/OSI:

Model TCP/IP

TCP/IP je praktický referenčný model, ktorý popisuje, ako dáta putujú po sieti od aplikácie až po drôt a späť. Vychádza z reálnych internetových protokolov (IP, TCP/UDP, HTTP, DNS,...), takže sa hodí pre každodennú prax:

• Vrstva sieťového rozhrania (OSI L1, L2) - Spája zariadenie v rovnakej miestnej sieti. Pracuje s MAC adresami a doručuje rámce susedovi v rámci jednej broadcast domény (Ethernet, Wi-Fi, VLAN). PDU (Protocol Data Unit, teda jednotka dát na danej vrstve modelu) sú rámce.
• Sieťová vrstva (OSI L3) - Prepája rôzne siete medzi sebou. Pracuje s IP adresami a volí cestu (ďalší skok) cez router do inej podsiete alebo do internetu. (IPv4, IPv6, CIDR). Tu sú PDU pakety.
• Transportná vrstva (OSI L4) - Zaisťuje prenos medzi dvoma aplikáciami. Rozlišuje služby pomocou portov a volí spôsob doručenia: spoľahlivý (TCP) vs. ľahký bez potvrdenia (UDP). Tu sa ako PDU prenášajú u TCP segmenty, u UDP datagramy.
• Aplikačná vrstva (OSI L5-L7) - Nesie protokoly, ktorými si aplikácie vymieňajú správy. Protokol HTTPS pre komunikáciu na webe, názvové služby (DNS), adresovacie služby (DHCP), pošta (SMTP, IMAP/POP3), apod. PDU sú tu samotné dáta či správa.

ISO/OSI je sedemivrstevný teoretický rámec, ktorý je detailnejší a historicky používaný pre výučbu a terminológiu (L1–L7). V praxi sa ale bežne pracuje so štyrmi vrstvami TCP/IP a súčasne sa čísluje podľa OSI (hovoríme napr. L2 switch, L3 router). Túto terminológiu budeme v kurze dodržiavať.

Prostredie a segmentácia

Broadcast doména je časť siete, v ktorej sa šíria správy určené všetkým zariadeniam. Je vymedzená logickým delením siete a rozhraniami na tretej vrstve. Prepínač šíri broadcast iba v rámci rovnakej logickej časti, zatiaľ čo cez router alebo iné L3 zariadenia sa už ďalej nedostane. Zmenšovanie broadcast domén (napríklad rozdelením siete na viac logických celkov) znižuje zbytočný šum aj dopad chýb a zlepšuje stabilitu prevádzky.

Siete môžeme segmentovať podľa logickej aj fyzickej vzdialenosti:

• LAN (Local Area Network) - Miestna sieť v rámci jednej lokality (kancelária, poschodie, budova). Nízka latencia, vysoké rýchlosti, plná kontrola nad infraštruktúrou. Tu bývajú pripojené stanice, servery, tlačiarne a switche.
• WLAN (Wireless LAN) – Bezdrôtová časť LAN realizovaná cez Access Pointy. Pridáva témy umiestnenia, pokrytia a šifrovania. SSID (názov Wi-Fi siete) je možné namapovať do konkrétnej VLAN, takže káblová aj bezdrôtová časť zdieľa rovnaké logické delenie.
• VLAN (Virtual LAN) – Logické oddelenie siete vo vnútri infraštruktúry. Každá VLAN tvorí samostatnú broadcast doménu, komunikácia medzi VLANami vyžaduje L3 (router/L3 switch). Umožní oddeliť zamestnancov, servery, hostí, IoT a pod.
• WAN (Wide Area Network) - "cesty" mimo našej budovy, prenosová trasa od poskytovateľa, ktorá prepája naše lokality alebo nás privádza na internet:

.<>

Siete môžeme podľa rozsahu deliť aj ďalej, napríklad PAN (Personal Area Network - Osobná sieť okolo jedného užívateľa, bluetooth slúchadlá, USB link,...), MAN (Metropolitan Area Network - Prepojenie v rámci mesta/regiónu) či napríklad CAN (Campus Area Network - Súhrn viacerých LAN v areáli univerzít či firiem).

Sieťové zariadenia a ich role

Aby dohoda v sieti fungovala, majú jednotlivé časti jasne dané role. Nasledujúci prehľad v krátkosti ukáže hlavné stavebné kamene, čo robia a kedy dávajú zmysel. Vďaka tomu bude jednoduchšie udržať poriadok a bezpečnosť aj vo chvíli, keď sieť rastie.

Switch (prepínač)

Switch je centrálny uzol lokálnej siete, nachádza sa teda väčšinou na linkovej vrstve (podľa ISO/OSI L2). Vnútri pracuje s tabuľkou MAC adries zariadenia a posiela rámce len tam, kam patrí, takže sa prevádzka zbytočne nemieša. V podnikových inštaláciách dáva zmysel riadený (managed) switch, ktorý umožní rozdeliť jednu fyzickú sieť na logické časti (VLAN – Virtual Local Area Network), pomenovať porty a zrkadliť prevádzku pre diagnostiku. Často vie aj napájať ďalšie zariadenia cez kábel (PoE - Power over Ethernet).

Vďaka tomu je sieť prehľadná a rozšíriteľná, môžeme napríklad vo firme oddeliť účtovníctvo, hostí či kamery do samostatných VLAN, zariadiť napájanie niekoľkých telefónov po jednom kábli či rýchlo prepojiť poschodia a kancelárie:

Predtým sme mohli naraziť na zariadenie húb (rozbočovač), ktorý však posielal všetko na všetky porty, čo viedlo k vysokému počtu kolízií, dnes je už prakticky nevyužívaný.

Router

Router prepája rôzne siete a ukazuje cestu von do internetu, nachádza sa teda na sieťovej vrstve (podľa ISO/OSI L3). Pracuje s IP adresami, pozná východiskovú bránu a na hranici s poskytovateľom často zaisťuje NAT/PAT, teda preklad privátnych adries na verejné. V menších prostrediach jeho rolu často prevezme L3 switch, ktorý okrem prepínania medzi portami poskytne aj smerovanie medzi VLANami pomocou virtuálnych rozhraní:

Dobre navrhnuté smerovanie udržuje časti infraštruktúry oddelené podľa účelu, ale zároveň dostupné tam, kde to dáva zmysel.

V praxi sa často používa všetko-v-jednom krabička (gateway), ktorá v sebe spojí modem + router + firewall + základný switch + Wi-Fi (AP - Access Point). Pre domácnosti a malé kancelárie je to jednoduché riešenie. Vo firmách sa ale tieto roly obvykle oddeľujú (samostatný firewall, samostatné AP...), pretože je potrebné prehľadnejšie a bezpečnejšie riešenie, ktoré sa tiež lepšie spravuje.

Firewall

Firewall je bod, kde sa sieťové pravidlá premieňajú v praxi. Pokiaľ filtruje na úrovni IP/portov, nachádza sa na úrovni L3/L4 (Sieťová, transportná), pokročilé firewally rozpoznajú aj aplikačné protokoly na L7.

Na základe zvolených politík rozhoduje, ktorá prevádzka prejde a ktorá nie, a zmeny zaznamenáva pre neskoršiu dohľadateľnosť. Na perimetri chráni prístup medzi internou sieťou a internetom, vo vnútri oddeľuje zóny s rozdielnou dôverou (napr. servery, hostia, IoT,...). Dôležitá je rozumná východisková politika (povoliť len to potrebné), jasná štruktúra pravidiel a priebežné upratovanie výnimiek, aby konfigurácia zostala zrozumiteľná aj po čase.

Access Point

Prístupový bod privádza do siete bezdrôtové zariadenia. Nachádza sa na L1 (fyzická, prenos signálu) a L2 (linková, šifrovanie a overovanie na linke). Jedno fyzické AP môže vysielať niekoľko SSID, ktoré sa mapujú do rôznych VLAN - typicky zamestnanci, hostia a špeciálne zariadenia. Správne umiestnenie, rozumné nastavenie kanálov a bezpečné šifrovanie (WPA2/WPA3) zaistí stabilnú prevádzku bez zbytočných výpadkov. Vo väčších priestoroch sa oplatí centrálne riadenie (controller/cloud), ktoré zjednotí konfiguráciu a pomôže s plynulým prechodom klientov medzi viacerými AP.

Modem

Modem (často označovaný ako CPE – Customer Premises Equipment) je zariadenie na hranici našej siete, ktoré prevádza pripojenie od poskytovateľa (xDSL, kábel, optika, LTE/5G) na bežný ethernetový port. Na vstupe teda komunikuje technológiou operátora, na výstupe odovzdáva štandardný Ethernet.

Modem môže pracovať dvoma spôsobmi:

• Bridge (priechodný režim) – slúži len ako prevodník signálu a všetky funkcie ako NAT či DHCP zaisťuje iné zariadenie v našej sieti.
• Router režim – okrem prevodu tiež smeruje prevádzku, obvykle vykonáva NAT, poskytuje DHCP a niekedy aj Wi-Fi.

Vo firmách sa najčastejšie používa bridge, aby verejná IP adresa končila na firewale alebo routeri, kde je plná kontrola nad prevádzkou. Router režim býva bežný skôr v domácnostiach a menších inštaláciách.

V ďalšej lekcii, IP adresy , si predstavíme základné pojmy k IPv4 adresám a pridruženým technológiám.