Učivo

Malá domáca sieť: Z pravidla jedna bytová jednotka, alebo dom, zvyčajne pripojená do internetu providerom.

Malá firemná sieť: Veľkosťou pripomína domácu sieť. Pripojených je však väčší počet koncových zariadení.

Stredná/Veľká počítačová sieť: Sieť veľkosti budovy. Školy, banky, úrady, veľké firmy, obchodné domy a i.

Celosvetové siete: Siete veľkého geografického rozsahu. Tvorené spájaním hore uvedených troch sietí.

Klient – server

Klient/server opisuje vzťah medzi dvoma počítačovými programami, z ktorých jeden, klient, odošle požiadavku na službu z druhého programu, servera, ktorá požiadavku splní.

Príklady:

• Klient: PC, notebook, telefón, tlačiareň a i.
• Server: Web server, File server, E-mail server a i.

Peer to peer

Predstavuje spojenie dvoch prepojených koncových staníc. Každá stanica je v úlohe aj servera aj klienta a sú si navzájom rovnocenné.

Príklady: Torrentové služby, Skype.

Koncové zariadenia: Sú to zariadenia schopné pripojiť sa do počítačovej siete, napríklad PC, notebook, mobil, tlačiareň, televízor. V dnešnej dobe sem patria aj inteligentné spotrebiče ako chladničky, práčky či hodinky.

Medziľahlé zariadenia:

• Router (smerovač): Zariadenie pracujúce na sieťovej vrstve TCP/IP modelu. Slúži na smerovanie IP paketov medzi sieťami.
• Switch (prepínač): Zariadenie pracujúce na linkovej vrstve TCP/IP modelu. Prepína tok dát v lokálnej sieti (LAN).

Médiá v sieti:

• Metalické káble: Najčastejšie TP (Twisted Pair) káble, ktoré prenášajú dáta pomocou elektrických signálov.
• Optické káble: Prenášajú dáta pomocou svetla.
• Bezdrôtové médiá: Prenos dát prebieha vzduchom, napríklad pomocou Wi-Fi.

Sieťová topológia je spôsob usporiadania uzlov a prepojení v sieti tak, aby tvorili funkčný celok.

Fyzická topológia určuje skutočné fyzické zapojenie zariadení a ich rozmiestnenie v priestore.

Príklady fyzických topológií:

• Zbernicová
• Kruhová
• Hviezda
• Mriežka
• Zmiešaná

Logická topológia určuje spôsob, akým sa v sieti šíria dáta.

Spôsoby šírenia dát:

• Unicast: jednosmerné vysielanie
• Multicast: viacsmerné vysielanie
• Broadcast: všesmerné vysielanie

LAN (Local Area Network): Sieť menšieho rozsahu s vysokými rýchlosťami. Zvyčajne ju vlastní a používa jedna organizácia, napríklad domáca alebo firemná sieť.

WAN (Wide Area Network): Sieť veľkého geografického rozsahu, ktorá prepája vzdialené lokality. Používateľ si ju zvyčajne prenajíma od poskytovateľa služieb (service provider).

Iné typy sietí:

• PAN: Personal Area Network
• MAN: Metropolitan Area Network
• SAN: Storage Area Network

Možnosti pripojenia do internetu:

• Dial-up (telephone)
• DSL
• Káblové pripojenie
• Celulárne pripojenie (bunkové) – WIFI, mobilné siete
• Satelitné pripojenie

Konvergencia (Spájanie sietí)

Siete donedávna existovali v oddelenej forme (oddelené siete). Jedným médiom bola prístupná len jedna služba (telefón, televízia, internet). Dnešný trend vedie k takzvanej konvergencii sietí. Jedným médiom sú poskytované viaceré služby.

Každá dobre navrhnutá sieť by mala spĺňať tieto základné požiadavky:

Odolnosť voči chybám (Fault tolerance): Sieť dokáže pracovať aj po výpadku niektorého uzla alebo linky a je dôležité, ako rýchlo sa z tohto výpadku zotaví.

Škálovateľnosť (Scalability): Schopnosť siete rásť bez negatívneho vplyvu na jej funkčnosť.

Kvalita služby (Quality of Service): Schopnosť siete uprednostňovať rôzne typy dát. Hlas a video neznesú veľké zdržanie, dáta zas neznesú straty.

Bezpečnosť (Security): Schopnosť siete chrániť informácie a prístup k nim pred neoprávneným použitím.

Najčastejšie hrozby:

• Vírusy, červy, trójske kone
• Hackerské útoky
• Útoky na vyradenie služby (DoS)
• Odpočúvanie a krádež dát
• Krádež identity

Protokoly sú pravidlá, podľa ktorých prebieha komunikácia v počítačových sieťach.

Protokol určuje:

• formát a význam prenášaných správ
• spôsob ich prenosu
• spôsob ich spracovania

Protokoly slúžia napríklad na:

• hľadanie ciest do iných sietí
• signalizáciu chýb
• zostavenie a ukončenie spojenia
• zabezpečenie služieb internetu (e-mail, web, prenos súborov a pod.)

Keďže procesy v sieťach sú veľmi rozmanité, sú usporiadané do hierarchických vrstiev, aby bol systém prehľadný a ľahšie spravovateľný.

Vrstvové modely zjednodušujú návrh a pochopenie fungovania počítačových sietí. Umožňujú rozdeliť sieť na vrstvy, kde má každá svoju úlohu a zmena v jednej vrstve neovplyvní ostatné.

Referenčný model OSI vytvorila organizácia ISO ako oficiálny model, ale v praxi sa nepresadil a prehral s modelom TCP/IP, na ktorom sú založené dnešné siete.

OSI má 7 vrstiev:

• Aplikačná
• Prezentačná
• Relačná
• Transportná
• Sieťová
• Spojová
• Fyzická

Model TCP/IP je najpoužívanejší protokolový model. Vznikol skôr než OSI a dnes tvorí základ internetu.

TCP/IP má 4 vrstvy:

• Aplikačná
• Transportná
• Internetová
• Vrstva prístupu k sieti

Hoci OSI a TCP/IP nie sú priamo rovnaké, ich vrstvy plnia podobné funkcie.

Riadiaca hlavička obsahuje adresy a riadiace informácie, ktoré sa pridávajú na každej vrstve modelu TCP/IP.

Enkapsulácia je proces postupného pridávania hlavičiek na jednotlivých vrstvách (odosielateľ „baľí“ dáta).

Dekapsulácia je opačný proces, pri ktorom sa hlavičky postupne odstraňujú (príjemca „rozbaľuje“ dáta).

Čiastočnú enkapsuláciu a dekapsuláciu vykonávajú aj medziľahlé zariadenia, napríklad routery a switche.

V paketových sieťach sa dáta prenášajú po častiach nazývaných datagramy (segmenty, pakety, rámce). Tento proces rozdelenia sa nazýva segmentácia.

Výhody segmentácie:

• datagramy sa prenášajú nezávisle od seba
• viac zariadení môže zdieľať jedno médium (multiplexovanie)
• pri chybe sa opakuje len poškodená časť, nie celá správa

Nevýhoda: každý datagram musí niesť vlastné adresné informácie.

Princíp činnosti TCP/IP: aplikácia vytvorí správu → transportná vrstva ju rozdelí na segmenty → sieťová vrstva pridá IP adresy a vytvorí paket → linková vrstva pridá MAC adresy a vytvorí rámec, ktorý sa odošle po médiu.

V reálnom prenose obsahuje rámec viacero adresných polí, s ktorými sa postupne zoznámiš pri štúdiu sietí.

Úlohou fyzickej vrstvy je prenášať jednotlivé bity alebo skupiny bitov daným médiom.

Fyzická vrstva špecifikuje:

• druh a vlastnosti média
• formát konektorov a rozhraní
• prevod dát na bitovú reprezentáciu
• riadiace signály (časovanie, synchronizácia)
• povahu signálov a spôsob modulácie
• činnosť sieťových rozhraní

Fyzická vrstva má priamy vplyv na výslednú rýchlosť komunikácie.

Bandwidth (šírka pásma): maximálna teoretická prenosová rýchlosť technológie (napr. 100 Mbps Ethernet).

Throughput (priepustnosť): skutočný objem prenesených dát vrátane hlavičiek a réžie.

Goodput (užitočná priepustnosť): objem prenesených používateľských dát bez hlavičiek a réžie.

Fyzické médiá delíme na:

• metalické
• optické
• bezdrôtové

Výber média ovplyvňuje:

• rýchlosť prenosu
• maximálnu vzdialenosť
• odolnosť voči rušeniu
• možnosť plne duplexnej komunikácie

Koaxiálny kábel (KOAX) sa dnes používa najmä na pripojenie antén, satelitov a set-top boxov. Neumožňuje plný duplex.

Krútená dvojlinka (TP) je najpoužívanejšie médium v LAN sieťach. Existujú varianty:

• UTP – bez tienenia
• FTP – spoločné tienenie
• STP – tienený každý pár aj celý kábel

Krútenie párov znižuje rušenie vplyvom elektromagnetickej indukcie.

Typy káblov:

• Priamy – prepojenie rôznych zariadení
• Krížený – prepojenie rovnakých zariadení
• Konzolový – konfigurácia sieťových zariadení

Konektor RJ-45 používa normy T568A a T568B.

Nevýhody metalických médií: náchylnosť na rušenie (EMI, RFI) a vedenie elektrického prúdu.

Optické vlákna prenášajú dáta pomocou svetla. Nie sú ovplyvňované rušením, sú nevodivé a dosahujú vysoké rýchlosti a veľké vzdialenosti.

Nevýhody: vyššia cena, náročnejšia inštalácia a údržba.

Optické vlákno má tri časti: core, cladding, buffer.

Rozlišujeme:

• Single-mode: veľký dosah (desiatky km), drahšie
• Multi-mode: menší dosah (stovky metrov), lacnejšie

Bezdrôtové médiá využívajú elektromagnetické žiarenie.

Patria sem technológie:

• WiFi (802.11)
• Bluetooth (802.15)
• WiMAX (802.16)
• Mobilné siete: GSM, LTE, 4G, 5G

Komponenty WiFi sietí:

• Access pointy
• Bridges
• Repeatery
• Klienti

Výhody: mobilita, flexibilita, pokrytie.

Nevýhody: ľahké odpočúvanie, nestabilný výkon, nemožnosť úplne obmedziť šírenie signálu.

Bezdrôtové siete nenahrádzajú pevné siete, ale vhodne ich dopĺňajú.

Linková vrstva umožňuje komunikáciu susedných uzlov nad spoločným médiom.

Jej hlavné úlohy:

• zapuzdrenie paketov do rámcov
• identifikácia L3 protokolov
• adresovanie uzlov
• riadenie prístupu k médiu
• kontrola správnosti prenosu
• určenie začiatku a konca rámca

Hranice medzi rôznymi linkovými technológiami sú na smerovačoch. Formát vyšších vrstiev sa nemení.

Linková vrstva sa delí na dve podvrstvy:

• LLC: rozlišuje, aký L3 protokol je prenášaný (IPv4, IPv6)
• MAC: rieši adresovanie uzlov a prístup k médiu pomocou MAC adries

Topológia určuje fyzické zapojenie siete a spôsob pohybu dát.

Logické topológie:

• Point-to-point
• Multiaccess (broadcast)
• Kruh (ring)

Na multi-access sieťach sa používajú MAC adresy na identifikáciu príjemcu.

• Simplex: len vysielanie alebo príjem
• Half-duplex: obojsmerne, ale nie naraz
• Full-duplex: súčasné vysielanie aj príjem

Moderné siete používajú full-duplex.

Ethernet je najpoužívanejšia linková technológia v LAN sieťach.

Rýchlosti:

• 10 Mbps
• 100 Mbps
• 1 Gbps
• 10 Gbps
• 40 Gbps
• 100 Gbps

Základná jednotka rýchlosti je bit za sekundu (bps).

Rámec Ethernetu obsahuje: preambulu, MAC adresu odosielateľa, MAC adresu príjemcu, typ, dáta a kontrolný súčet.

MAC adresa je 6-bajtové číslo (BIA).

• prvé 3 bajty = výrobca (OUI)
• ďalšie 3 bajty = sériové číslo

Typy MAC adries:

• Unicast: jedno zariadenie
• Broadcast: FF:FF:FF:FF:FF:FF – všetky zariadenia
• Multicast: skupina zariadení

1 bajt = 8 bitov.

Switch je zariadenie pracujúce na 2. vrstve.

Ukladá si MAC adresy zariadení do CAM tabuľky a posiela rámce len na port, kde sa nachádza cieľové zariadenie.

Na rozdiel od starého HUB-u neposiela dáta na všetky porty.

Sieťová vrstva zabezpečuje doručovanie dát medzi zariadeniami v rôznych sieťach.

Jej hlavné úlohy:

• logické adresovanie zariadení
• hľadanie cesty do cieľovej siete
• enkapsulácia segmentu do IP paketu
• smerovanie paketov najlepšou cestou
• de-enkapsulácia u príjemcu

Transportná vrstva vytvorí segment a sieťová vrstva k nemu pridá IP hlavičku.

IP bol navrhnutý len na čo najjednoduchšie doručenie paketov zo zdroja do cieľa.

Je:

• nespojovaný – neoveruje, či príjemca existuje
• nespoľahlivý – negarantuje doručenie (best-effort)
• nezávislý od média – funguje nad rôznymi technológiami

Spoľahlivosť zabezpečujú až protokoly vyšších vrstiev (napr. TCP).

IPv4 používa 32-bitové adresy (~4 miliardy), ktorých priestor sa vyčerpal, preto sa používa NAT.

IPv6 používa 128-bitové adresy, má obrovský adresný priestor, jednoduchšiu hlavičku a NAT nepotrebuje.

Počítač môže posielať pakety sebe, do lokálnej siete alebo do vzdialenej siete.

Default gateway (predvolená brána) je smerovač, ktorý posiela pakety do iných sietí.

Ak cieľ nie je v lokálnej sieti, paket sa vždy pošle na default gateway.

Postup pri strate konektivity:

1. ping 127.0.0.1 – test TCP/IP
2. ping moja IP adresa
3. ping default gateway
4. ping vonkajšie rozhranie smerovača
5. ping IP v internete
6. tracert cieľová IP – zistenie, kde sa spojenie preruší

Transportná vrstva je rozhraním medzi aplikáciami a sieťou. Pripravuje aplikačné dáta na prenos sieťou.

Dáta rozdeľuje na segmenty, pridáva im hlavičky a zabezpečuje, aby boli u príjemcu správne poskladané.

Zodpovedá za prenos dát medzi konkrétnymi aplikáciami na koncových zariadeniach.

• oddelenie konverzácií medzi aplikáciami
• segmentácia dát
• spätná rekonštrukcia dát
• identifikácia komunikujúcich aplikácií
• multiplexovanie viacerých prenosov

Transportná vrstva môže zabezpečovať:

• spoľahlivosť – potvrdenie prijatia a opakovanie stratených segmentov
• usporiadanosť – poskladanie segmentov do správneho poradia
• riadenie toku – prispôsobenie rýchlosti prenosu príjemcovi

Nie všetky aplikácie tieto vlastnosti potrebujú.

V TCP/IP architektúre sa používajú dva hlavné protokoly:

• TCP – spojovaný, spoľahlivý, usporiadaný, s riadením toku
• UDP – nespojovaný, nespoľahlivý, rýchly, bez kontroly poradia

TCP sa používa napr. pre web, e-mail, databázy.

UDP sa používa napr. pre VoIP, video, DNS, DHCP.

Pred prenosom dát musí TCP vytvoriť spojenie pomocou 3-krokovej výmeny:

1. Klient pošle SYN
2. Server odpovie SYN + ACK
3. Klient odpovie ACK

Až potom môže začať prenos dát.

TCP je stavový protokol – pamätá si, čo už bolo odoslané a potvrdené.

UDP neposkytuje spojenie ani spoľahlivosť.

• nekontroluje poradie segmentov
• neopakujú sa stratené segmenty
• má malú réžiu a je veľmi rýchly

Používa sa tam, kde je dôležitejšia rýchlosť než dokonalosť prenosu.

Transportná vrstva používa čísla portov na odlíšenie jednotlivých aplikácií.

Každá komunikácia je identifikovaná kombináciou:

• IP adresa + port

TCP a UDP majú oddelené priestory portov (TCP/80 ≠ UDP/80).

Port je číslo, ktoré operačný systém pridelí aplikácii pre sieťovú komunikáciu.

Na aplikačnej vrstve pracujú dva typy softvéru:

• Sieťové aplikácie – programy, s ktorými pracuje používateľ (prehliadač, email, chat, VoIP, P2P...)
• Aplikačné služby – služby bežiace na pozadí (DNS, DHCP, poštové servery...)

Väčšina aplikačných protokolov je popísaná v dokumentoch RFC.

Klient je konzument služby (prehliadač, emailový klient...).

Server je poskytovateľ služby (web server, mail server...).

Služba je poskytovaná centrálne.

Príklady protokolov: HTTP, DNS, DHCP, FTP, SSH.

V P2P modeli je každé zariadenie zároveň klient aj server.

Neexistuje centrálny riadiaci prvok.

Príklady: BitTorrent, Skype, Spotify.

HTTP je základný protokol služby WWW.

Umožňuje klientovi žiadať dokumenty zo servera alebo na server posielať dáta.

Formát adresy: http://server/cesta/subor

HTTP je textový a nešifrovaný protokol. Zabezpečená verzia sa volá HTTPS.

Základné metódy:

• GET – získanie dokumentu
• POST – odoslanie dát
• PUT – uloženie dokumentu

SMTP slúži na odosielanie e-mailov na server.

POP3 a IMAP slúžia na čítanie pošty.

• POP3 – sťahuje poštu do zariadenia
• IMAP – pošta zostáva na serveri a synchronizuje sa medzi zariadeniami

E-mail má tvar: meno@domena.sk

DNS je „telefónny zoznam internetu“.

Prekladá mená serverov na IP adresy.

DNS je stromová databáza domén. Napr. mail.skola.edu.sk obsahuje viacero úrovní domén.

DHCP slúži na automatické prideľovanie sieťových nastavení.

Priraďuje IP adresu, masku, bránu, DNS a ďalšie údaje.

Základné správy:

• Discover
• Offer
• Request
• Acknowledge
• Release

FTP slúži na prenos súborov medzi klientom a serverom.

Používa dve spojenia: riadiace a dátové.

FTP je nešifrované, dnes sa používa hlavne SFTP (zabezpečené).

SMB slúži na zdieľanie súborov a tlačiarní v sieti.

Používa architektúru client-server.

Slúžia na vzdialené ovládanie zariadení cez príkazový riadok.

• Telnet – nešifrovaný
• SSH – šifrovaný a bezpečný

IPv4 adresa má 32 bitov (4 bajty) a zapisuje sa ako 4 oktety v bodkovom desiatkovom tvare (napr. 192.168.10.10).

Každý oktet má 8 bitov a často sa pracuje aj s binárnym zápisom.

Sieťová maska určuje, ktorá časť IP adresy patrí sieti a ktorá stanici.

Má tvar súvislých jednotiek a núl (napr. 255.255.255.0).

Skrátený zápis sa nazýva CIDR a zapisuje sa ako /24, /16, atď.

Binárnym AND medzi IP adresou a maskou získame adresu siete.

• Adresa siete: najnižšia adresa v sieti
• Broadcastová adresa: najvyššia adresa v sieti
• Adresa uzla: každá iná použiteľná adresa

Prvá použiteľná adresa býva často default gateway.

Pomocou IP adresy a masky vieme určiť:

• adresu siete
• broadcastovú adresu
• počet použiteľných adries

Postup: AND medzi IP a maskou = adresa siete. K nej pripočítame veľkosť siete a získame broadcast.

Privátne adresy (RFC1918):

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Používajú sa v lokálnych sieťach a na internet idú cez NAT.

Ďalšie špeciálne rozsahy:

• 127.0.0.1 – loopback
• 169.254.0.0/16 – link-local
• 192.0.2.0/24 – testovacie adresy

Pôvodne sa IP adresy delili na triedy A, B, C (classful addressing), čo bolo neefektívne.

Dnes sa používa classless addressing, kde veľkosť siete určuje sieťová maska (CIDR).

Správu verejných IP rozsahov zabezpečujú regionálne registre, pre Európu napríklad RIPE.

Zo zadanej IP adresy a masky vieme vypočítať:

• adresu siete
• počet hostov
• prvú použiteľnú adresu
• poslednú použiteľnú adresu (broadcast)

Postup: IP adresu a masku zapíšeme v binárnom tvare a vykonáme binárny AND. Výsledok je adresa siete.

Príklad: 192.168.13.124 /24 → adresa siete: 192.168.13.0

Počet hostov vypočítame zo počtu bitov určených pre host časť:

2^n - 2

Dve adresy sa odpočítajú: adresa siete a broadcast.

Príklad: /24 → 8 bitov pre hostov → 2⁸ - 2 = 254 hostov

Prvá použiteľná adresa: adresa siete + 1

Posledná použiteľná adresa: broadcast - 1

Broadcast: posledná adresa v rozsahu siete

Príklad: 10.10.3.25 /16 → sieť: 10.10.0.0, broadcast: 10.10.255.255

Ak maska neláme adresu na hranici oktetu, hovoríme o beztriednom adresovaní (CIDR).

Príklad: 172.16.67.54 /21 → sieť: 172.16.64.0, broadcast: 172.16.71.255, počet hostov: 2046.

Hranica siete sa určuje podľa počtu jednotiek v maske.

Pri návrhu siete vyberáme najmenšiu možnú sieť, ktorá dokáže obslúžiť požadovaný počet zariadení.

Príklad: potrebujeme 111 zariadení → najbližšia vhodná veľkosť je 126 hostov → použijeme /25.

Sieť: 172.16.0.0/25 → rozsah: 172.16.0.1 – 172.16.0.126, broadcast: 172.16.0.127

Smerovač je špecializovaný počítač určený na preposielanie paketov medzi sieťami.

Obsahuje komponenty ako:

• CPU
• RAM, NVRAM, FLASH, ROM
• ASIC – špecializované obvody na rýchle spracovanie paketov

Je navrhnutý na vysokú priepustnosť a spoľahlivosť.

Smerovanie je proces výberu najlepšej cesty pre pakety do cieľovej siete.

Rozlišujeme:

• Statické smerovanie
• Dynamické smerovanie

Smerovač pozná automaticky len priamo pripojené siete. Ostatné sa musí naučiť.

Ak smerovač nepozná cieľovú sieť, paket zahodí.

Do smerovacej tabuľky sa záznamy dostávajú:

• staticky – ručne administrátorom
• dynamicky – pomocou smerovacích protokolov

Oba prístupy majú svoje výhody aj nevýhody.

Statické cesty sa zadávajú ručne.

• nezaberajú výkon smerovača
• nereagujú na zmeny v sieti
• za ich správnosť zodpovedá administrátor

Existuje aj default route a plávajúca statická cesta.

Administratívna vzdialenosť (AD) určuje dôveryhodnosť zdroja informácie.

Metrika vyjadruje výhodnosť cesty.

Vždy platí: čím menšie číslo, tým lepšia cesta.

Autonómny systém je skupina sietí a smerovačov pod jednou správou a jednou smerovacou politikou.

Navonok vystupuje ako jedna celistvá sieť.

EGP protokoly sa používajú medzi autonómnymi systémami.

Jediný dnes používaný EGP protokol je BGP.

• nerieši vnútornú topológiu sietí
• rieši prepojenia medzi AS
• pracuje s politikami a preferenciami

IGP protokoly sa používajú vo vnútri jedného AS.

Vymieňajú si informácie o vnútornej topológii siete.

Svet mimo AS je reprezentovaný zjednodušene (sumárne alebo default route).

DV protokoly poznajú:

• cieľové siete
• vzdialenosti cez susedov

Susedia si pravidelne vymieňajú smerovacie tabuľky.

Príklady: RIP, IGRP.

Sú jednoduché, ale pomalšie.

LS protokoly poznajú celú topológiu siete.

Používajú Dijkstrov algoritmus na výpočet najkratších ciest.

Sú rýchle, presné, ale náročnejšie na výkon.

Príklad: OSPF.

• DV: jednoduché, menej náročné, vhodné pre malé siete
• LS: rýchle, presné, náročnejšie, vhodné pre veľké siete

• show ip route – smerovacia tabuľka
• show running-config – bežiaca konfigurácia
• show startup-config – štartovacia konfigurácia
• show vlan – VLAN na prepínači

DTP (Dynamic Trunking Protocol) je proprietárny Cisco protokol, ktorý riadi negociáciu trunk režimu medzi portmi prepínačov.

Umožňuje automatické vytváranie trunk liniek bez nutnosti manuálne nastavovať režim portov na všetkých zariadeniach.

DTP funguje iba na Cisco zariadeniach.

Prečo použiť DTP:

• v distribučnej a jadrovej vrstve siete sa používajú najmä trunk porty
• znižuje množstvo manuálnej konfigurácie
• postačuje nastaviť len vybrané prepínače, ostatné sa prispôsobia

DTP definuje niekoľko režimov portov:

• dynamic auto – port sa prispôsobí, ale trunk neiniciuje
• dynamic desirable – port aktívne iniciuje trunk
• trunk – port je vždy trunk
• access – port je vždy prístupový

Správanie režimov:

• dynamic auto – vytvorí trunk len so susedom trunk alebo dynamic desirable
• dynamic desirable – vytvorí trunk so susedom trunk, dynamic desirable alebo dynamic auto
• access – nikdy nevytvorí trunk
• trunk – vždy trunk bez ohľadu na suseda

Konfiguračné príkazy:

switchport mode dynamic auto
switchport mode dynamic desirable
switchport mode access
switchport mode trunk

Na overenie DTP konfigurácie a stavu portov slúžia príkazy:

• show interfaces switchport – zobrazí administratívny a operačný režim portu
• show dtp interface – zobrazí detailné informácie o DTP negociácii

Tieto príkazy umožňujú overiť, či je port v access alebo trunk režime a či prebieha DTP vyjednávanie.

Dynamické režimy DTP môžu byť zneužité pri útoku typu switch spoofing.

Útočník môže z prístupového portu vyjednať trunk a získať prístup do viacerých VLAN.

Odporúčané opatrenia:

• používať statické režimy portov
• vypnúť DTP
• nepoužívané porty administratívne vypnúť

Vypnutie DTP:

switchport nonegotiate

Po vypnutí DTP je potrebné trunk linky konfigurovať manuálne na oboch stranách.

EtherChannel je technológia, ktorá zoskupuje viacero fyzických ethernetových liniek do jednej logickej linky.

Prepínač vníma EtherChannel ako jeden port, aj keď je v skutočnosti zapojených viac káblov s rovnakou konfiguráciou.

Hlavným účelom EtherChannel je:

• redundancia – spojenie funguje, pokiaľ je aktívna aspoň jedna linka
• zvýšenie prenosovej rýchlosti medzi dvoma zariadeniami

Pri výpadku jednej linky sa prevádzka automaticky presmeruje na zvyšné linky bez toho, aby si to koncová stanica všimla.

EtherChannel sa v protokole STP započítava ako jedna linka.

Aby bolo možné EtherChannel vytvoriť, musia byť splnené tieto podmienky:

• všetky porty musia mať rovnakú rýchlosť
• rovnaký duplex režim
• rovnaký mód portu (access alebo trunk)
• pri access porte musia patriť do rovnakej VLAN
• pri trunk porte musia mať rovnaké povolené VLAN
• rovnakú konfiguráciu na oboch zariadeniach

EtherChannel môže obsahovať maximálne 8 portov, čo umožňuje teoretickú prenosovú rýchlosť až 8 Gb/s (8 × 1 Gb/s).

EtherChannel je možné vytvoriť troma spôsobmi:

• Statická konfigurácia – bez použitia vyjednávacieho protokolu
• PAgP (Port Aggregation Protocol) – proprietárny Cisco protokol
• LACP (Link Aggregation Control Protocol) – štandard IEEE

Pri použití protokolov si prepínače vymieňajú riadiace pakety a pri zhodnej konfigurácii sformujú EtherChannel.

Bez ohľadu na použitý spôsob sa EtherChannel správa ako jedna logická linka.

PAgP je proprietárny protokol spoločnosti Cisco. Pracuje v módoch:

• On – EtherChannel sa vytvorí bez vyjednávania
• Desirable – aktívne vyjednávanie
• Auto – pasívne vyjednávanie

LACP je otvorený štandard IEEE (802.3ad / 802.1AX) a pracuje v módoch:

• On – bez vyjednávania
• Active – aktívne vyjednávanie
• Passive – pasívne vyjednávanie

Vzťah módov:

• PAgP Desirable = LACP Active
• PAgP Auto = LACP Passive

Oba protokoly zabezpečujú, že sa EtherChannel vytvorí len pri kompatibilnej konfigurácii na oboch koncoch.

HSRP (Hot Standby Router Protocol) je Cisco proprietárny protokol určený na zabezpečenie redundancie default gateway v sieti.

Viacero smerovačov sa správa ako jeden logický gateway.

Jeden smerovač je v stave Active a ostatné sú v stave Standby.

Ak aktívny smerovač zlyhá, standby smerovač ho automaticky nahradí bez výpadku pre klientov.

HSRP patrí medzi tzv. FHRP protokoly (First Hop Redundancy Protocols), spolu s VRRP a GLBP.

HSRP verzia 1 (HSRPv1):

• Group number: 0 – 255
• Multicast adresa: 224.0.0.2
• Virtuálne MAC adresy: 0000.0C07.AC00 – 0000.0C07.ACFF

HSRP verzia 2 (HSRPv2):

• Group number: 0 – 4095
• Multicast IPv4: 224.0.0.102
• Multicast IPv6: FF02::66
• Virtuálne MAC adresy IPv4: 0000.0C9F.F000 – 0000.0C9F.FFFF
• Virtuálne MAC adresy IPv6: 0005.73A0.0000 – 0005.73A0.0FFF
• Podpora MD5 autentifikácie

Priorita určuje, ktorý smerovač bude aktívny (vyššia hodnota = vyššia priorita).

Preempcia umožňuje smerovaču s vyššou prioritou získať späť rolu Active po návrate do siete.

Bez preempencie môže smerovač s nižšou prioritou zostať Active.

HSRP stavy:

• Initial
• Learn
• Listen
• Speak
• Standby
• Active

HSRP sa konfiguruje na rozhraní smerovača.

Základné príkazy:

standby version 2
standby [group-number] ip [virtual-ip]
standby [group-number] priority [value]
standby [group-number] preempt
standby [group-number] name [group-name]

Overovacie príkazy:

• show standby
• show standby brief

HSRP sa často kombinuje s technológiami ako EtherChannel a STP na zabezpečenie úplnej redundancie siete.

STP (Spanning Tree Protocol) zabraňuje vzniku sieťových slučiek v redundantných prepínaných sieťach.

Nad fyzickou topológiou vytvára logickú topológiu bez slučiek blokovaním vybraných portov.

Prepínače si volia Root Bridge na základe Bridge ID (BID).

Informácie o topológii sa prenášajú pomocou BPDU rámcov.

Typy BPDU:

• Configuration BPDU – výmena informácií o topológii
• TCN – Topology Change Notification
• TCA – Topology Change Acknowledgment

V základnom STP sa BPDU odosielajú každé 2 sekundy.

RSTP (IEEE 802.1w) je vylepšená verzia STP s výrazne rýchlejšou konvergenciou.

Kým STP potrebuje až 50 sekúnd, RSTP reaguje v priebehu milisekúnd.

RSTP nepoužíva len časovače, ale sync princíp – okamžité reakcie na zmeny.

Hlavné rozdiely oproti STP:

• Rozlišuje edge porty (porty bez susedného prepínača)
• BPDU sa vymieňajú len medzi susedmi
• Root port reaguje okamžite po prijatí BPDU
• Spätná kompatibilita so STP (802.1D)

RSTP je dnes najpoužívanejší STP protokol.

PVST+ (Per-VLAN Spanning Tree) rozširuje STP o podporu VLAN.

Pre každú VLAN existuje samostatná STP inštancia.

Najčastejšie sa používa na 802.1Q trunk linkách.

Rapid PVST+ (RPVST+) je kombinácia RSTP a PVST+.

• Pre každú VLAN existuje samostatný RSTP strom
• Rýchlejšia konvergencia než PVST+
• Spätne kompatibilný so STP

Problém PVST+/RPVST+:

• Každá VLAN = jedna STP inštancia
• Veľká záťaž CPU a pamäte prepínačov
• Neefektívne pri veľkom počte VLAN

MST (Multiple Spanning Tree Protocol) je štandardizovaný ako IEEE 802.1s.

Vychádza z RSTP a je určený pre siete s veľkým počtom VLAN.

MST zlučuje viac VLAN s rovnakou fyzickou topológiou do jednej STP inštancie.

Výsledkom je:

• menší počet STP inštancií
• nižšia záťaž prepínačov
• lepšia škálovateľnosť siete

MST je vhodný pre rozsiahle podnikové siete.

no spanning-tree vlan 1
spanning-tree mode rapid-pvst
spanning-tree vlan 1
show spanning-tree summary
show spanning-tree interface [interface]

Redundancia v prepínanej sieti zvyšuje spoľahlivosť a dostupnosť siete.

Zvyšovaním počtu fyzických trás medzi uzlami odstraňujeme Single Point of Failure.

Ak jedna cesta zlyhá, sieť sa musí vedieť automaticky zotaviť.

Redundancia však prináša aj problémy, najmä na 2. vrstve OSI modelu.

Redundantné prepojenia spôsobujú vznik L2 slučiek, ktoré vedú k vážnym problémom:

• Nestabilita MAC (CAM) tabuľky – rovnaká MAC adresa sa objavuje na rôznych portoch
• Broadcastové búrky – broadcast rámce sa šíria donekonečna
• Duplikácia komunikácie – rámce sa dostanú k príjemcovi viackrát

Ethernet rámce nemajú mechanizmus TTL, preto sa slučky samé nikdy nezastavia.

STP (Spanning Tree Protocol) je štandard IEEE 802.1D z roku 1990.

STP vytvára nad fyzickou topológiou logickú topológiu bez slučiek.

Dosahuje to blokovaním niektorých portov na redundantných linkách.

Ak aktívna trasa zlyhá, STP odblokuje záložný port a sieť zostane funkčná.

V každej sieti so zapnutým STP existuje jeden Root Bridge, ktorý slúži ako referenčný bod.

Root Bridge nie je pevne daný – je zvolený automaticky.

Prepínače si vymieňajú BPDU rámce každé 2 sekundy.

Root Bridge je prepínač s najnižším Bridge ID (BID).

BID je odvodené z priority a MAC adresy prepínača.

Ak majú prepínače rovnaké BID, rozhoduje nižšia MAC adresa.

V sieťach s VLAN existuje samostatný Root Bridge pre každú VLAN.

STP rozlišuje tieto roly portov:

• Root port – port s najnižšou cenou cesty k Root Bridge (na každom prepínači jeden)
• Designovaný port – port, ktorý môže preposielať rámce do segmentu
• Záložný port (Alternate / Backup) – zablokovaný port pripravený na rýchle aktivovanie
• Blokovaný port (Disabled) – administratívne vypnutý port

Na Root Bridge sú všetky porty designované.

STP stav siete je možné overiť pomocou týchto príkazov:

show spanning-tree
show spanning-tree summary
show spanning-tree interface [interface_id]

STP je základným mechanizmom ochrany prepínaných sietí pred slučkami.

Zlyhanie jednej linky, portu alebo sieťového zariadenia môže spôsobiť výpadok celej siete.

Preto je potrebné duplikovať linky a zariadenia, aby sa zabránilo tzv. single point of failure.

Redundancia zvyšuje spoľahlivosť a dostupnosť siete.

Redundantné linky prinášajú:

• vyššiu dostupnosť siete
• zachovanie komunikácie aj pri výpadku časti siete
• možnosť prerozdelenia sieťovej premávky
• zvýšenie prenosovej kapacity

Redundancia je výhodná na fyzickej vrstve (L1), ale na linkovej vrstve (L2) spôsobuje sieťové slučky.

Problémy spôsobené L2 slučkami:

• nestabilita prepínacej tabuľky
• broadcastové búrky
• duplikácia komunikácie

Ethernetové rámce neobsahujú TTL mechanizmus.

Pri existencii L2 slučky sa broadcast rámce šíria v sieti nekonečne.

Prepínače si neustále prepisujú MAC tabuľky, pretože rovnaká MAC adresa prichádza na rôznych portoch.

Postupne dochádza k zahlteniu siete a jej nedostupnosti.

Neznámy unicast je prepínačmi spracovaný ako broadcast.

V prípade slučky môže cieľový uzol dostať tú istú správu viackrát.

Väčšina protokolov vyšších vrstiev nepočíta s duplikovanými prenosmi, čo vedie k chybám.

Problémy L2 slučiek rieši STP (Spanning Tree Protocol).

STP dočasne blokuje niektorý port na redundantnej linke a tým odstráni slučku.

Pri výpadku aktívnej linky STP automaticky aktivuje záložný port.

Tým je zabezpečená redundancia bez vzniku slučiek.

VLAN (Virtual Local Area Network) je logická broadcastová oblasť.

Logická znamená, že zariadenia sa správajú, ako keby boli v jednej LAN, aj keď sú fyzicky pripojené na rôznych prepínačoch alebo v rôznych miestnostiach.

VLAN umožňuje oddeliť siete bez použitia smerovača a realizuje sa na zariadeniach 2. vrstvy – prepínačoch.

VLAN sa používajú na oddelenie sietí podľa funkcie, oddelenia firmy alebo typu prevádzky (dáta, hlas, správa).

Každá VLAN je identifikovaná jedinečným číslom (VLAN ID).

Na jednom prepínači nemôžu existovať dve VLAN s rovnakým ID.

Rozsahy VLAN:

• Normálny rozsah: VLAN 1 – 1005 (uložené v súbore vlan.dat, používané v malých a stredných sieťach)
• Špeciálne VLAN: VLAN 1 a VLAN 1002 – 1005 (automaticky vytvorené, nemožno ich vymazať)
• Rozšírený rozsah: VLAN 1006 – 4094 (uložené v bežiacej konfigurácii, používané vo veľkých sieťach)

Podľa účelu rozlišujeme tieto typy VLAN:

• Dátová VLAN – prenos používateľských dát
• Predvolená VLAN (VLAN 1) – všetky porty po zapnutí prepínača
• Natívna VLAN – prenos neznačkovaných rámcov na trunk linkách (často VLAN 1 – bezpečnostné riziko)
• Parkovacia VLAN – nepoužívané porty (bezpečnostný účel)
• Hlasová VLAN – Voice over IP (nízke oneskorenie, vysoká priorita, oddelená od dát)
• Správcovská VLAN – vzdialená správa zariadení (nikdy nie VLAN 1)

Rozhrania prepínača môžu pracovať v týchto módoch:

• ACCESS – pripojenie koncových zariadení, port patrí len do jednej VLAN
• TRUNK – prenos viacerých VLAN medzi prepínačmi alebo smerovačom
• DYNAMIC AUTO – dynamické prispôsobenie, preferuje access mód
• DYNAMIC DESIRABLE – dynamické prispôsobenie, preferuje trunk mód

Dynamické módy používajú protokol DTP a predstavujú bezpečnostné riziko – po vyjednaní sa odporúča nastaviť port staticky.

Aby rámce dorazili do správnej VLAN, musia byť označkované.

Na značkovanie sa používa štandard IEEE 802.1Q.

VLAN značka obsahuje:

• Typ – identifikátor protokolu
• Prioritu – uprednostnenie rámca
• CFI – kompatibilita s Token Ring
• VLAN ID – identifikátor VLAN

Rámce sa značkujú pri prenose cez trunkové linky. Natívna VLAN sa prenáša bez značky.

CAM tabuľka obsahuje záznamy o:

• VLAN
• MAC adresách zariadení
• portoch, ku ktorým sú zariadenia pripojené

Prepínač používa CAM tabuľku na správne doručovanie rámcov.

Zobrazenie CAM tabuľky:

show mac-address-table

VLAN (Virtual LAN) rozdeľuje sieť na logické časti, ktoré sú od seba izolované.

Zariadenia v rôznych VLAN nemôžu komunikovať priamo, aj keď sú fyzicky pripojené k rovnakému prepínaču.

V praxi však často vzniká potreba, aby zariadenia v rôznych VLAN medzi sebou komunikovali (napr. správa siete, servery, turnaje, tímová spolupráca).

Na tento účel sa používa smerovanie medzi VLAN (Inter-VLAN routing).

Smerovanie medzi VLAN rieši:

• prenos dát medzi rôznymi VLAN
• centralizovanú správu siete
• oddelenie bezpečnostných zón

Na smerovanie medzi VLAN používame:

• Smerovač (Router)
• Viacvrstvový prepínač (Multilayer Switch)

Existujú tri základné spôsoby realizácie Inter-VLAN routingu:

• Tradičné smerovanie medzi VLAN (Legacy)
• Smerovač na paličke (Router-on-a-Stick)
• Smerovanie pomocou viacvrstvového prepínača (MLS)

Každá VLAN má samostatné fyzické rozhranie smerovača, ktoré slúži ako jej gateway.

Výhody:

• jednoduchá konfigurácia
• oddelené linky pre každú VLAN

Nevýhody:

• zastaralé riešenie
• veľký počet rozhraní smerovača
• náročná kabeláž

Jedno fyzické rozhranie smerovača je rozdelené na virtuálne podrozhrania.

Každé podrozhranie slúži ako gateway pre jednu VLAN.

Prepojenie medzi prepínačom a smerovačom je nastavené v trunk móde.

Výhody:

• nízke nároky na kabeláž
• jedno rozhranie pre viac VLAN

Nevýhody:

• zložitejšia konfigurácia
• zdieľaná linka
• obmedzený počet VLAN (cca 50)

Základný postup:

1. Vytvorenie podrozhraní (subinterfaces)
2. Previazanie podrozhraní s VLAN (dot1Q)
3. Nastavenie IP adresy
4. Zapnutie hlavného rozhrania
5. Overenie funkčnosti

interface FastEthernet1/1.30
encapsulation dot1Q 30
ip address 192.168.30.254 255.255.255.0

interface FastEthernet1/1
no shutdown

Overenie:

• ping medzi VLAN
• show ip interface brief
• show running-config

Viacvrstvový prepínač (Multilayer Switch) kombinuje funkcie prepínača a smerovača.

Pre každú VLAN sa vytvorí SVI rozhranie, ktoré slúži ako gateway.

Výhody:

• vysoký výkon
• prepínanie aj smerovanie na jednom zariadení
• menej zariadení v sieti

Nevýhody:

• vyššia cena
• zložitejšia konfigurácia

VLAN (Virtual Local Area Network) je logické rozdelenie siete na menšie samostatné časti.

Zariadenia v rovnakej VLAN môžu komunikovať, aj keď nie sú fyzicky pripojené k rovnakému prepínaču.

Informácie o VLAN sú uložené v súbore vlan.dat v pamäti prepínača.

VLAN umožňujú zvýšenie bezpečnosti, lepšiu správu siete a obmedzenie broadcast domén.

Medzi základné úkony pri práci s VLAN patria:

• vytvorenie VLAN
• pomenovanie VLAN
• vymazanie VLAN
• vymazanie súboru vlan.dat
• priradenie a odobratie portov z VLAN
• overenie konfigurácie VLAN

Vytvorenie VLAN:

vlan 10

Pomenovanie VLAN:

vlan 10
name TEAM1

Vymazanie VLAN:

no vlan 10

Pomenovanie VLAN nie je povinné, ale výrazne zlepšuje prehľadnosť konfigurácie.

Súbor vlan.dat obsahuje všetky VLAN v prepínači.

Vymazávame ho v prípadoch:

• ak chceme odstrániť všetky VLAN naraz
• ak je konfigurácia chybná
• ak chceme uviesť prepínač do pôvodného stavu

delete vlan.dat

Reštart prepínača súbor vlan.dat nevymaže.

Porty prepínača sa do VLAN zaraďujú v access móde.

Priradenie portu do VLAN:

interface FastEthernet 0/5
switchport mode access
switchport access vlan 10

Odobratie portu z VLAN:

no switchport access vlan 10

Na kontrolu VLAN konfigurácie sa používajú príkazy:

• show vlan
• show vlan brief

Umožňujú overiť existenciu VLAN a priradenie portov.

Virtuálne rozhranie VLAN (SVI) je logické rozhranie, ktoré umožňuje komunikáciu prepínača na L3 vrstve.

Používa sa na:

• vzdialenú správu prepínača
• overovanie dostupnosti
• testovanie funkčnosti liniek

Vytvorenie SVI:

interface vlan 10

Vymazanie SVI:

no interface vlan 10

Trunk port umožňuje prenos viacerých VLAN cez jedno rozhranie.

Nastavenie trunk módu:

interface FastEthernet 0/22
switchport mode trunk

Nastavenie natívnej VLAN:

switchport trunk native vlan 40

Natívna VLAN prenáša rámce bez VLAN tagu.

Na kontrolu celej konfigurácie prepínača sa používa príkaz:

show running-config

Overenie je dôležité pred testovaním funkčnosti siete.

Pri veľkom počte prepínačov je manuálna konfigurácia VLAN časovo náročná a náchylná na chyby.

Každý prepínač musí poznať všetky VLAN, aby bola umožnená komunikácia v rámci rovnakej VLAN cez trunk linky.

VTP (VLAN Trunking Protocol) umožňuje spravovať VLAN centrálne z jedného prepínača.

Zmeny VLAN (vytvorenie, zmena názvu, odstránenie) sa automaticky distribuujú do celej siete.

VTP je Cisco protokol, ktorý distribuuje informácie o VLAN medzi prepínačmi cez trunk linky.

Jeden prepínač funguje ako VTP server a ostatné ako klienti.

Prepínače v rovnakej VTP doméne zdieľajú rovnakú VLAN konfiguráciu.

VLAN informácie sa prenášajú pomocou VTP správ na vyhradenú multicast adresu.

Bezpečnosť je možné zvýšiť použitím VTP hesla.

• Server – môže vytvárať, mazať a premenovávať VLAN, ukladá ich do súboru vlan.dat
• Client – preberá VLAN konfiguráciu od servera, nemôže ju meniť
• Transparent – neaplikuje VTP zmeny, ale VTP správy preposiela ďalej

Predvolený VTP režim je Server.

VTP používa tri základné typy správ:

• Summary Advertisement – oznamuje názov domény a číslo revízie
• Advertisement Request – žiadosť o novšiu konfiguráciu
• Subset Advertisement – prenáša konkrétne VLAN zmeny

Číslo revízie konfigurácie sa zvyšuje pri každej zmene VLAN.

Prepínač s vyšším číslom revízie má vždy prednosť.

VTP verzia 1:

• Podporuje VLAN 1 – 1005
• Predvolená verzia

VTP verzia 2:

• Podporuje VLAN 1 – 1005
• Kontroluje konzistenciu konfigurácie
• Preposiela VTP správy aj v transparentnom režime
• Podporuje Token Ring

V jednej VTP doméne by sa mala používať rovnaká verzia VTP.

Najväčším rizikom VTP je pripojenie prepínača s vyšším revíznym číslom do existujúcej siete.

Môže dôjsť k:

• vymazaniu existujúcich VLAN
• pridaniu nesprávnych VLAN

Pred pripojením prepínača je nutné vynulovať revízne číslo (zmenou domény alebo režimu).

V kritických častiach siete sa odporúča používať VTP transparentný režim.

Základné konfiguračné príkazy:

vtp version {1 | 2 | 3}
vtp domain <nazov>
vtp mode {server | client | transparent}
vtp password <heslo>

Overenie konfigurácie:

show vtp status
show vtp password

VTP funguje len na trunk linkách medzi prepínačmi.