NOVINKA: Začni v IT jako webmaster s komplexním akreditovaným online kurzem Tvůrce WWW stránek. Zjisti více:
NOVINKA: Staň se datovým analytikem a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 1 - Úvod do počítačových sítí Nové

Další

Vítejte u první lekce kurzu Provoz počítačových sítí. V tomto tutoriálu se podíváme na to, jak sítě skutečně fungují – od fyzického propojení zařízení až po logické směrování a zabezpečení dat. Ukážeme si, jak sítě navrhovat a spravovat, jak funguje adresování a jak jednotlivé vrstvy spolupracují. Cílem kurzu je porozumět nejen technickým postupům, ale i principům, na nichž stojí spolehlivý a bezpečný provoz moderní sítě.

Minimální požadavky

Předpokladem pro úspěšné absolvování tohoto kurzu je znalost kurzu Vytváření návrhů a struktury sítí.

Počítačové sítě

Počítačové sítě představují neviditelnou infrastrukturu, která drží pohromadě naše každodenní digitální návyky: od streamu filmu doma přes tisk ve firmě až po platební terminál v obchodě. Díky sítím spolu mluví notebooky, telefony, servery i chytré senzory, a to spolehlivě, rychle a bezpečně. Za kulisami běží jednoduchý princip – informace putuje z bodu A do bodu B podle dohodnutých pravidel (protokoly), kterým rozumí všechna zařízení bez ohledu na výrobce.

Na pozadí této dohody stojí pár jednoduchých principů. V síti jsou různé prvky: některé propojují (switch, LAN/WLAN, VLAN), jiné směrují správným směrem (router, IP/podsítě, WAN/internet) a další hlídají pravidla a bezpečnost (firewall, ACL, NAT/PAT). Každé zařízení má svou adresu (IP v IPv4/IPv6 a hardwarovou MAC), kterou často získá automaticky (DHCP), a jména se překládají na adresy (DNS). Díky těmto rolím a adresám se dá provoz přehledně uspořádat, rozdělit podle potřeby a udržet pod kontrolou i ve chvíli, kdy síť roste.

V praxi rozlišujeme fyzickou a logickou stránku sítě. Fyzická zahrnuje hardware a přenosové cesty – kabely, konektory, antény či další prvky infrastruktury. Logická představuje pravidla a uspořádání: kdo s kým může komunikovat, jak se adresuje a jaký provoz se vpustí dovnitř nebo ven. Obě vrstvy musí být v souladu – dobře zapojený hardware bez jasných pravidel je stejně nefunkční jako promyšlená konfigurace nad špatně postavenou fyzickou sítí.

Připomenutí pojmů

V sérii lekcí kurzu Vytváření návrhů a struktury sítí jsme si představili základní pojmy pro porozumění sítím. Pojďme si ty nejdůležitější připomenout. Níže na obrázku vidíme vrstvy podle modelu ISO/OSI:

Model ISO/OSI - Provoz počítačových sítí

Model TCP/IP

TCP/IP je praktický referenční model, který popisuje, jak data putují po síti od aplikace až k drátu a zpět. Vychází z reálných internetových protokolů (IP, TCP/UDP, HTTP, DNS…), takže se hodí pro každodenní praxi:

  • Vrstva síťového rozhraní (OSI L1, L2) – Spojuje zařízení ve stejné místní síti. Pracuje s MAC adresami a doručuje rámce sousedovi v rámci jedné broadcast domény (ethernet, Wi-Fi, VLAN). PDU (Protocol Data Unit, tedy jednotka dat na dané vrstvě modelu) jsou rámce.
  • Síťová vrstva (OSI L3) – Propojuje různé sítě mezi sebou. Pracuje s IP adresami a volí cestu (další skok) přes router do jiné podsítě nebo do internetu (IPv4, IPv6, CIDR). Zde jsou PDU pakety.
  • Transportní vrstva (OSI L4) – Zajišťuje přenos mezi dvěma aplikacemi. Rozlišuje služby pomocí portů a volí způsob doručení: spolehlivý (TCP) vs. lehký bez potvrzení (UDP). Zde se jako PDU přenášejí segmenty v případě TCP a datagramy v případě UDP.
  • Aplikační vrstva (OSI L5–L7) – Nese protokoly, kterými si aplikace vyměňují zprávy. Protokol HTTPS pro komunikaci na webu, názvové služby (DNS), adresovací služby (DHCP), pošta (SMTP, IMAP/POP3) apod. PDU jsou zde samotná data či zprávy.

ISO/OSI je sedmivrstevný teoretický rámec, který je detailnější a historicky používaný k výuce a terminologii (L1–L7). V praxi se ale běžně pracuje se čtyřmi vrstvami TCP/IP a současně se čísluje podle OSI (říkáme např. L2 switch, L3 router). Tuto terminologii budeme v kurzu dodržovat.

Prostředí a segmentace

Broadcast doména je část sítě, ve které se šíří zprávy určené všem zařízením. Je vymezena logickým dělením sítě a rozhraními na třetí vrstvě. Přepínač šíří broadcast pouze v rámci stejné logické části, zatímco přes router nebo jiné L3 zařízení se už dál nedostane. Zmenšování broadcast domén (například rozdělením sítě na více logických celků) snižuje zbytečný šum i dopad chyb a zlepšuje stabilitu provozu.

Sítě můžeme segmentovat podle logické i fyzické vzdálenosti:

  • LAN (Local Area Network) – Místní síť v rámci jedné lokality (kancelář, patro, budova). Nízká latence, vysoké rychlosti, plná kontrola nad infrastrukturou. Zde bývají připojené stanice, servery, tiskárny a switche.
  • WLAN (Wireless LAN) – Bezdrátová část LAN realizovaná přes Access Pointy. Přidává témata umístění, pokrytí a šifrování. SSID (název Wi-Fi sítě) lze namapovat do konkrétní VLAN, takže kabelová i bezdrátová část sdílejí stejné logické dělení.
  • VLAN (Virtual LAN) – Logické oddělení sítě uvnitř infrastruktury. Každá VLAN tvoří samostatnou broadcast doménu, komunikace mezi jednotlivými VLAN vyžaduje L3 (router / L3 switch). Umožní oddělit zaměstnance, servery, hosty, IoT apod.
  • WAN (Wide Area Network) – Jde o "silnici" mimo naši budovu, přenosovou trasu od poskytovatele, která propojuje naše lokality nebo nás přivádí na internet:
Diagram WAN - Provoz počítačových sítí

Sítě můžeme podle rozsahu dělit i dále, například na PAN (Personal Area Network – osobní síť kolem jednoho uživatele, bluetooth sluchátka, USB link…), MAN (Metropolitan Area Network – propojení v rámci města/regionu) či třeba CAN (Campus Area Network – souhrn více LAN v areálu univerzit či firem).

Síťová zařízení a jejich role

Aby dohoda v síti fungovala, mají jednotlivé části jasně dané role. Následující přehled v krátkosti ukáže hlavní stavební kameny a také to, co dělají a kdy dávají smysl. Díky tomu bude snazší udržet pořádek a bezpečnost i ve chvíli, kdy síť roste.

Switch (přepínač)

Switch je centrální uzel lokální sítě, nachází se tedy většinou na vrstvě linkové (podle ISO/OSI L2). Uvnitř pracuje s tabulkou MAC adres zařízení a posílá rámce jen tam, kam patří, takže se provoz zbytečně nemíchá. V podnikových instalacích dává smysl řízený (managed) switch, který umožní rozdělit jednu fyzickou síť na logické části (VLAN – Virtual Local Area Network), pojmenovat porty a zrcadlit provoz pro diagnostiku. Switch často umí i napájet další zařízení pomocí kabelu (PoE – Power over Ethernet).

Díky tomu je síť přehledná a rozšiřitelná. Ve firmě pak můžeme např. oddělit účetnictví, hosty či kamery do samostatných VLAN, zařídit napájení několika telefonů po jednom kabelu či rychle propojit patra nebo kanceláře:

Switch - Provoz počítačových sítí

Dříve jsme mohli narazit na zařízení hub (rozbočovač), který ovšem posílal vše na všechny porty, což vedlo k vysokému počtu kolizí, dnes je již prakticky nevyužívaný.

Router

Router propojuje různé sítě a ukazuje cestu ven do internetu, nachází se tedy na síťové vrstvě (podle ISO/OSI L3). Pracuje s IP adresami, zná výchozí bránu a na hranici s poskytovatelem často zajišťuje NAT/PAT, tedy překlad privátních adres na veřejné. V menších prostředích jeho roli často převezme L3 switch, který kromě přepínání mezi porty poskytne i směrování mezi jednotlivými VLAN pomocí virtuálních rozhraní:

Router - Provoz počítačových sítí

Dobře navržené směrování udržuje části infrastruktury oddělené podle účelu, ale zároveň dostupné tam, kde to dává smysl.

V praxi se často používá "vše v jednom" krabička (gateway), která v sobě spojí modem + router + firewall + základní switch + Wi-Fi (AP – Access Point). Pro domácnosti a malé kanceláře je to jednoduché řešení. Ve firmách se ale tyto role obvykle oddělují (samostatný firewall, samostatné AP…), protože je potřeba přehlednější a bezpečnější řešení, které se také lépe spravuje.

Firewall

Firewall je bod, kde se síťová pravidla proměňují v praxi. Pokud filtruje na úrovni IP/portů, nachází se na úrovni L3/L4 (síťová, transportní), pokročilé firewally rozpoznají i aplikační protokoly na L7.

Na základě zvolených politik firewall rozhoduje, který provoz projde a který ne, a změny zaznamenává pro pozdější dohledatelnost. Na perimetru chrání přístup mezi interní sítí a internetem, uvnitř odděluje zóny s rozdílnou důvěrou (např. servery, hosté, IoT…). Důležitá je rozumná výchozí politika (povolit jen to potřebné), jasná struktura pravidel a průběžný úklid výjimek, aby konfigurace zůstala srozumitelná i po čase.

Access Point

Přístupový bod přivádí do sítě bezdrátová zařízení. Nachází se na L1 (fyzická, přenos signálu) a L2 (linková, šifrování a ověřování na lince). Jedno fyzické AP může vysílat několik SSID, která se mapují do různých VLAN – typicky zaměstnanci, hosté a speciální zařízení. Správné umístění, rozumné nastavení kanálů a bezpečné šifrování (WPA2/WPA3) zajistí stabilní provoz bez zbytečných výpadků. Ve větších prostorách se vyplatí centrální řízení (controller/cloud), které sjednotí konfiguraci a pomůže s plynulým přechodem klientů mezi více AP.

Modem

Modem (často označovaný jako CPE – Customer Premises Equipment) je zařízení na hranici naší sítě, které převádí připojení od poskytovatele (xDSL, kabel, optika, LTE/5G) na běžný ethernetový port. Na vstupu tedy komunikuje technologií operátora, na výstupu předává standardní ethernet.

Modem může pracovat dvěma způsoby:

  • Bridge (průchozí režim) – Slouží jen jako převodník signálu a veškeré funkce jako NAT či DHCP zajišťuje jiné zařízení v naší síti.
  • Router režim – Kromě převodu také směruje provoz, obvykle provádí NAT, poskytuje DHCP a někdy i Wi-Fi.

Ve firmách se nejčastěji používá bridge, aby veřejná IP adresa končila na firewallu nebo routeru, kde je plná kontrola nad provozem. Router režim bývá běžný spíše v domácnostech a menších instalacích.

V další lekci, IP adresy, si představíme základní pojmy k IPv4 adresám a přidruženým technologiím.


 

Všechny články v sekci
Provoz počítačových sítí
Přeskočit článek
(nedoporučujeme)
IP adresy
Článek pro vás napsal Filip Zeman
Avatar
Uživatelské hodnocení:
10 hlasů
Autor se věnuje vývojem aplikací hlavně kolem technologií .NET a to jak ve sféře desktopové, mobilní, tak hlavně samozřejmě webové. Nepohrdne ani Reactem či Djangem.
Aktivity