POUZE NYNÍ: Získej až 80 % extra kreditů ZDARMA na náš interaktivní e-learning. Zjistit více.
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 1 - Úvod do počítačových sítí Nové

Další

Vítejte u první lekce kurzu Provoz počítačových sítí. V tomto tutoriálu se podíváme na to, jak sítě skutečně fungují - od fyzického propojení zařízení až po logické směrování a zabezpečení dat. Ukážeme si, jak navrhovat a spravovat sítě, jak funguje adresování a jak jednotlivé vrstvy spolupracují. Cílem je porozumět nejen technickým postupům, ale i principům, na kterých stojí spolehlivý a bezpečný provoz moderní sítě.

Minimální požadavky

Předpokladem pro úspěšné absolvování tohoto kurzu je znalost kurzu Vytváření návrhů a struktury sítí.

Počítačové sítě

Počítačové sítě představují neviditelnou infrastrukturu, která drží pohromadě naše každodenní digitální návyky: od streamu filmu doma, přes tisk ve firmě, až po platební terminál v obchodě. Díky nim spolu mluví notebooky, telefony, servery i chytré senzory, a to spolehlivě, rychle a bezpečně. Za kulisami běží jednoduchá myšlenka - informace putuje z bodu A do bodu B podle dohodnutých pravidel (protokoly), kterým rozumí všechna zařízení bez ohledu na výrobce.

Na pozadí téhle dohody stojí pár jednoduchých principů. V síti jsou prvky, které propojují (switch, LAN/WLAN, VLAN), jiné směrují správným směrem (router, IP/podsítě, WAN/Internet), a další hlídají pravidla a bezpečnost (firewall, ACL, NAT/PAT). Každé zařízení má svou adresu (IP v IPv4/IPv6 a hardwarovou MAC), často ji získá automaticky (DHCP), a jména se překládají na adresy (DNS). Díky těmto rolím a adresám se dá provoz přehledně uspořádat, rozdělit podle potřeby a udržet pod kontrolou i ve chvíli, kdy síť roste.

V praxi rozlišujeme fyzickou a logickou stránku sítě. Fyzická zahrnuje hardware a přenosové cesty – kabely, konektory, antény či další prvky infrastruktury. Logická představuje pravidla a uspořádání: kdo s kým může komunikovat, jak se adresuje a jaký provoz se vpustí dovnitř nebo ven. Obě vrstvy musí být v souladu – dobře zapojený hardware bez jasných pravidel je stejně nefunkční jako promyšlená konfigurace nad špatně postavenou fyzickou sítí.

Připomenutí pojmů

V sérii lekcí kurzu Vytváření návrhů a struktury sítí jsme si představili základní pojmy pro porozumění sítím. Pojďme si ty nejdůležitější připomenout. Níže na obrázku vidíme vrstvy podle modelu ISO/OSI:

Model ISO/OSI - Provoz počítačových sítí

Model TCP/IP

TCP/IP je praktický referenční model, který popisuje, jak data putují po síti od aplikace až k drátu a zpět. Vychází z reálných internetových protokolů (IP, TCP/UDP, HTTP, DNS,...), takže se hodí pro každodenní praxi:

  • Vrstva síťového rozhraní (OSI L1, L2) - Spojuje zařízení ve stejné místní síti. Pracuje s MAC adresami a doručuje rámce sousedovi v rámci jedné broadcast domény (Ethernet, Wi-Fi, VLAN). PDU (Protocol Data Unit, tedy jednotka dat na dané vrstvě modelu) jsou rámce.
  • Síťová vrstva (OSI L3) - Propojuje různé sítě mezi sebou. Pracuje s IP adresami a volí cestu (další skok) přes router do jiné podsítě nebo do internetu. (IPv4, IPv6, CIDR). Zde jsou PDU pakety.
  • Transportní vrstva (OSI L4) - Zajišťuje přenos mezi dvěma aplikacemi. Rozlišuje služby pomocí portů a volí způsob doručení: spolehlivý (TCP) vs. lehký bez potvrzení (UDP). Zde se jako PDU přenášejí u TCP segmenty, u UDP datagramy.
  • Aplikační vrstva (OSI L5-L7) - Nese protokoly, kterými si aplikace vyměňují zprávy. Protokol HTTPS pro komunikaci na webu, názvové služby (DNS), adresovací služby (DHCP), pošta (SMTP, IMAP/POP3), apod. PDU jsou zde samotná data či zpráva.

ISO/OSI je sedmivrstevný teoretický rámec, který je detailnější a historicky používaný pro výuku a terminologii (L1–L7). V praxi se ale běžně pracuje se čtyřmi vrstvami TCP/IP a současně se čísluje podle OSI (říkáme např. L2 switch, L3 router). Tuto terminologii budeme v kurzu dodržovat.

Prostředí a segmentace

Broadcast doména je část sítě, ve které se šíří zprávy určené všem zařízením. Je vymezena logickým dělením sítě a rozhraními na třetí vrstvě. Přepínač šíří broadcast pouze v rámci stejné logické části, zatímco přes router nebo jiné L3 zařízení se už dál nedostane. Zmenšování broadcast domén (například rozdělením sítě na více logických celků) snižuje zbytečný šum i dopad chyb a zlepšuje stabilitu provozu.

Sítě můžeme segmentovat podle logické i fyzické vzdálenosti:

  • LAN (Local Area Network) - Místní síť v rámci jedné lokality (kancelář, patro, budova). Nízká latence, vysoké rychlosti, plná kontrola nad infrastrukturou. Zde bývají připojené stanice, servery, tiskárny a switche.
  • WLAN (Wireless LAN) – Bezdrátová část LAN realizovaná přes Access Pointy. Přidává témata umístění, pokrytí a šifrování. SSID (název Wi-Fi sítě) lze namapovat do konkrétní VLAN, takže kabelová i bezdrátová část sdílí stejné logické dělení.
  • VLAN (Virtual LAN) – Logické oddělení sítě uvnitř infrastruktury. Každá VLAN tvoří samostatnou broadcast doménu, komunikace mezi VLANami vyžaduje L3 (router/L3 switch). Umožní oddělit zaměstnance, servery, hosty, IoT apod.
  • WAN (Wide Area Network) - "silnice" mimo naši budovu, přenosová trasa od poskytovatele, která propojuje naše lokality nebo nás přivádí na internet:
Diagram WAN - Provoz počítačových sítí

Sítě můžeme podle rozsahu dělit i dále, například PAN (Personal Area Network - Osobní síť kolem jednoho uživatele, bluetooth sluchátka, USB link,...), MAN (Metropolitan Area Network - Propojení v rámci města/regionu) či třeba CAN (Campus Area Network - Souhrn více LAN v areálu univerzit či firem).

Síťová zařízení a jejich role

Aby dohoda v síti fungovala, mají jednotlivé části jasně dané role. Následující přehled v krátkosti ukáže hlavní stavební kameny, co dělají a kdy dávají smysl. Díky tomu bude snazší udržet pořádek a bezpečnost i ve chvíli, kdy síť roste.

Switch (přepínač)

Switch je centrální uzel lokální sítě, nachází se tedy většinou na vrstvě linkové (podle ISO/OSI L2). Uvnitř pracuje s tabulkou MAC adres zařízení a posílá rámce jen tam, kam patří, takže se provoz zbytečně nemíchá. V podnikových instalacích dává smysl řízený (managed) switch, který umožní rozdělit jednu fyzickou síť na logické části (VLAN - Virtual Local Area Network), pojmenovat porty a zrcadlit provoz pro diagnostiku. Často umí i napájet další zařízení přes kabel (PoE - Power over Ethernet).

Díky tomu je síť přehledná a rozšiřitelná, můžeme například ve firmě oddělit účetnictví, hosty či kamery do samostatných VLAN, zařídit napájení několika telefonů po jednom kabelu či rychle propojit patra a kanceláře:

Switch - Provoz počítačových sítí

Dříve jsme mohli narazit na zařízení hub (rozbočovač), který ovšem posílal vše na všechny porty, což vedlo k vysokému počtu kolizí, dnes je již prakticky nevyužívaný.

Router

Router propojuje různé sítě a ukazuje cestu ven do internetu, nachází se tedy na síťové vrstvě (podle ISO/OSI L3). Pracuje s IP adresami, zná výchozí bránu a na hranici s poskytovatelem často zajišťuje NAT/PAT, tedy překlad privátních adres na veřejné. V menších prostředích jeho roli často převezme L3 switch, který kromě přepínání mezi porty poskytne i směrování mezi VLANami pomocí virtuálních rozhraní:

Router - Provoz počítačových sítí

Dobře navržené směrování udržuje části infrastruktury oddělené podle účelu, ale zároveň dostupné tam, kde to dává smysl.

V praxi se často používá vše-v-jednom krabička (gateway), která v sobě spojí modem + router + firewall + základní switch + Wi-Fi (AP - Access Point). Pro domácnosti a malé kanceláře je to jednoduché řešení. Ve firmách se ale tyto role obvykle oddělují (samostatný firewall, samostatné AP...), protože je potřeba přehlednější a bezpečnější řešení, které se také lépe spravuje.

Firewall

Firewall je bod, kde se síťová pravidla proměňují v praxi. Pokud filtruje na úrovni IP/portů, nachází se na úrovni L3/L4 (Síťová, transportní), pokročilé firewally rozpoznají i aplikační protokoly na L7.

Na základě zvolených politik rozhoduje, který provoz projde a který ne, a změny zaznamenává pro pozdější dohledatelnost. Na perimetru chrání přístup mezi interní sítí a internetem, uvnitř odděluje zóny s rozdílnou důvěrou (např. servery, hosté, IoT,...). Důležitá je rozumná výchozí politika (povolit jen to potřebné), jasná struktura pravidel a průběžný úklid výjimek, aby konfigurace zůstala srozumitelná i po čase.

Access Point

Přístupový bod přivádí do sítě bezdrátová zařízení. Nachází se na L1 (fyzická, přenos signálu) a L2 (linková, šifrování a ověřování na lince). Jedno fyzické AP může vysílat několik SSID, která se mapují do různých VLAN - typicky zaměstnanci, hosté a speciální zařízení. Správné umístění, rozumné nastavení kanálů a bezpečné šifrování (WPA2/WPA3) zajistí stabilní provoz bez zbytečných výpadků. Ve větších prostorách se vyplatí centrální řízení (controller/cloud), které sjednotí konfiguraci a pomůže s plynulým přechodem klientů mezi více AP.

Modem

Modem (často označovaný jako CPE – Customer Premises Equipment) je zařízení na hranici naší sítě, které převádí připojení od poskytovatele (xDSL, kabel, optika, LTE/5G) na běžný ethernetový port. Na vstupu tedy komunikuje technologií operátora, na výstupu předává standardní Ethernet.

Modem může pracovat dvěma způsoby:

  • Bridge (průchozí režim) – slouží jen jako převodník signálu a veškeré funkce jako NAT či DHCP zajišťuje jiné zařízení v naší síti.
  • Router režim – kromě převodu také směruje provoz, obvykle provádí NAT, poskytuje DHCP a někdy i Wi-Fi.

Ve firmách se nejčastěji používá bridge, aby veřejná IP adresa končila na firewalu nebo routeru, kde je plná kontrola nad provozem. Router režim bývá běžný spíše v domácnostech a menších instalacích.

V další lekci, IP adresy, si představíme základní pojmy k IPv4 adresám a přidruženým technologiím.


 

Všechny články v sekci
Provoz počítačových sítí
Přeskočit článek
(nedoporučujeme)
IP adresy
Článek pro vás napsal Filip Zeman
Avatar
Uživatelské hodnocení:
Ještě nikdo nehodnotil, buď první!
Autor se věnuje vývojem aplikací hlavně kolem technologií .NET a to jak ve sféře desktopové, mobilní, tak hlavně samozřejmě webové. Nepohrdne ani Reactem či Djangem.
Aktivity