Diagnostika a řešení síťových problémů

Diagnostika a řešení problémů v síti jako klíčová disciplína

Diagnostika a troubleshooting sítí představuje kombinaci metodického přístupu, důkladného porozumění protokolům a pevně nastavených provozních procesů. V prostředích s routery a switchemi je cílem rychle identifikovat, izolovat a odstranit příčinu incidentu tak, aby bylo minimalizováno porušení SLA a dopad na uživatele. Tento článek shrnuje ověřené postupy, nástroje, typické symptomy i rozhodovací stromy pro efektivní řešení problémů od fyzické vrstvy až po aplikační.

Metodika: od symptomu k příčině

• Definuj problém: kdo je dotčen, co přesně nefunguje, kdy to začalo, jak často se problém opakuje.
• Vymez rozsah: lokalita, VLAN, podsíť, konkrétní cesta, aplikace; stanov, zda jde o degradaci (latence, jitter, ztráty paketů) nebo úplný výpadek.
• Hypotéza a měření: navrhni jednu či několik hypotéz a pro každou určuj měřitelný test (latence mezi dvěma body, směrovací tabulky, STP topologie, ARP sousedé).
• Izolace: binární hledání podél cesty datového toku (klient → access switch → distribution → core → WAN → server).
• Náprava a ověření: aplikuj nápravu (konfigurace, restart služby, náhradní kabel), okamžitě ověř dopad a monitoruj případné regrese.
• RCA a prevence: analýza kořenové příčiny (root cause analysis), postmortem, aktualizace runbooku a kontrolních checklistů.

OSI perspektiva: strukturované hledání příčiny

• L1 – Fyzická vrstva: kabeláž, optika (útlum, výkon), typy SFP, duplex/rychlost, PoE, napájení, teplota.
• L2 – Linková vrstva: STP/RSTP/MSTP, VLAN, trunky, MAC tabulky, LACP, port-security, storm-control.
• L3 – Síťová vrstva: ARP/ND, routing (statický, OSPF, BGP, EIGRP), VRF, PBR, ICMP filtrování, MTU/MSS.
• L4 – Transportní vrstva: TCP retransmise, windowing, řízení přetížení, UDP ztráty.
• L7 – Aplikační vrstva: DNS, DHCP, HTTP(S), autentizace (RADIUS/TACACS+), proxy, certificate pinning, specifika aplikací.

Klíčové metriky: jak poznat, že je síť „zdravá“

• Dostupnost (SLA), latence (RTT), jitter, ztráta paketů.
• Využití linek/CPU, obsazenost bufferů, počty odhozených paketů (tail drops, WRED).
• Chybovost na portech (CRC, runts/giants, vstupní/výstupní chyby, FCS), flapping události.

Diagnostické nástroje v praxi

• ping: ověření dosažitelnosti, RTT, ztráty paketů; kombinuj s určením MTU pomocí DF flagu a velikosti payloadu.
• traceroute/mtr: sledování cesty paketů a míst výskytu ztrát či latence; pozor na asymetrii a omezení ICMP paketu (rate-limiting).
• arp/nd: mapování IP na MAC adresy, detekce konfliktů a neautorizovaných zařízení.
• show interface / show logging: počítadla, duplex/rychlost, důvody err-disable stavu, syslog události.
• show mac address-table / show fdb: smyčky, flooding, chybné segmentace.
• show spanning-tree: role root bridge, stav portů, změny topologie, nesprávné nastavení MST instance.
• show ip route / show bgp / show ospf: dosažitelnost, preferované cesty, flapping, stavy sousedství.
• tcpdump/pcap na koncových bodech nebo SPAN/monitor port pro detailní analýzu (Wireshark).
• SNMP/sFlow/NetFlow/IPFIX: dlouhodobé trendy, největší generátory provozu, anomálie, vzory DDoS útoků.
• Telemetry/Streaming: gNMI, modelově řízená telemetrie pro nízkolatenční monitoring a alertování.

Fyzická vrstva: optika, měď a napájení

• Kabeláž: vizuální kontrola, měřící přístroje (TDR), správné krimpování, délky a kategorie kabelů.
• Optika: kompatibilita SFP/SFP+, power budget, DOM hodnoty (Tx/Rx), typ vlákna (SM/MM), konektory (LC/SC), čistota ferulí.
• Duplex/rychlost: mismatch způsobuje FCS/CRC chyby a pokles výkonu; preferuj autonegociaci v souladu s best practices.
• PoE: rozpočet na switchi, třídy zařízení, přepětí/podpětí, přehřátí; měř odběr a sleduj logy poe-controlleru.
• Napájení a prostředí: redundantní PSU, UPS, monitoring teploty, stav ventilátorů, prachu a vibrací.

Linková vrstva: VLAN, STP a agregace

• VLAN/Trunky: zkontroluj seznam povolených VLAN, native VLAN, tagging (802.1Q), konzistenci mezi switchemi.
• STP/RSTP/MSTP: správně nastavený root bridge, BPDU guard/filter, loop guard; řeš změny topologie a nežádoucí smyčky.
• LACP/port-channel: rychlost (fast/slow), výměna LACPDU, hashing (src/dst IP/MAC/port), nesoulad parametrů.
• Port-security a storm-control: zabránění přetečení CAM tabulky a broadcast stormům; sleduj err-disable události.

Směrování: OSPF a BGP problémy

• OSPF: typy oblastí (backbone, stub, NSSA), shoda MTU, Hello/Dead timery, volba DR/BDR, LSA flapping, náklady (costy).
• BGP: stavy session (Idle → Established), TCP port 179 dosažitelnost, as-path/med/local-pref, filtrování cest, damping, časové výkyvy způsobené nesprávným keepalive/holdtime.
• Asymetrie: PBR, více výstupů, NAT; kontroluj návratové cesty a ACL/firewall pravidla.
• VRF: oddělení směrovacích tabulek, leakage, import/export route-targetů (u MPLS/VXLAN EVPN).

Adresace, ARP/ND a MTU

• ARP (IPv4) / ND (IPv6): zastaralé položky, ARP flux, gratuitous ARP; zvaž dynamické timeouty a kontrolu duplicit adres.
• MTU/MSS: černé díry při blokování ICMP; testuj pomocí DF flagu a postupného zvyšování payloadu; nastav MSS clamping na hranicích WAN.
• Subnetting a výchozí brány: nesprávná maska, chybějící default route, více DHCP serverů ve stejné VLAN.

DNS a DHCP: malé služby, velké dopady

• DNS: rozlišení vs. dosažitelnost; měř rekurzi, TTL, NXDOMAIN, split-horizon, validaci DNSSEC; sleduj latenci dotazů.
• DHCP: vyčerpání poolů, konflikty serverů, opce (router, DNS, MTU), relay (giaddr), ochrana proti stormům DISCOVER paketů (rate-limit).

Bezpečnostní incidenty a ochranné mechanismy

• DDoS/volumetrické útoky: NetFlow/sFlow pro detekci, RTBH, uRPF, policery a QoS shaping na hranicích sítě.
• L2 útoky: ARP spoofing (dynamic ARP inspection), rogue DHCP (DHCP snooping), BPDU útoky (BPDU guard), MAC flooding (port-security).
• Control-Plane Protection: CoPP/CPPr pro omezení managementu a routovacích protokolů; omez přístup ACL a management VRF.
• AAA: redundance RADIUS/TACACS+, fallback mechanismy, role-based přístupy a auditní logy.

QoS: když problém není výpadek, ale kvalita

• Klasifikace a značkování (DSCP/CoS), policery, queueing (PQ, CBWFQ), LLQ pro real-time provozy.
• Ladění bufferů: tail drop vs. AQM (WRED), shaping vs. policing; ověř mapování mezi L2 a L3 značkami.
• End-to-end konzistence: politika musí být konzistentní přes všechny přeskoky; jinak dochází k ztrátě priorit.

Wi-Fi a bezdrát: specifika diagnostiky

• RF prostředí: rušení, kanály, šířka pásma, SNR, prahy roamingu; měř spektrální analýzou a site-survey.
• Klientské problémy: ovladače, power save režimy, sticky clients, podpora standardů (802.11k/v/r).
• Backhaul: CAPWAP tunely, MTU, kontrola datových a řídicích toků.

NAT a firewally

• State tables: vyčerpání, timeouty, asymetrie; sleduj statistiky překladu a chybové stavy.
• Port forwarding a ALG: VoIP/SIP, FTP, hry; často vyžadují specifické výjimky.
• Pravidla ACL: shadowing, implicitní deny, pořadí pravidel, logování zásahů.

Rozhodovací strom pro rychlý troubleshooting

1. Nefunguje ping na gateway? Zkontroluj L1 (linku), VLAN tagging, ARP tabulku, err-disable stav, port-security.
2. Ping na gateway funguje, ale ne dále? Zkontroluj routing (default route, VRF), ACL na SVI, na WAN MTU/MSS.
3. Traceroute zobrazuje skok s vysokou latencí nebo ztrátou? Ověř vytížení, odhozené pakety ve frontách, policery, CPU na daném přeskoku.
4. ICMP funguje, ale aplikace ne? DNS rozlišení, TCP retransmise (pcap), firewallová pravidla, TLS/certifikátové problémy.

Logování, telemetrie a observabilita

• Syslog centralizovaný s korelací časových údajů (NTP), strukturované parsování (CEF/JSON), alertování na základě vzorů.
• SNMP polling a traps pro port flappy, teploty, PSU; NetFlow/IPFIX pro forenzní analýzu provozu.
• Modelově řízená telemetrie (gNMI/gRPC) pro téměř reálný čas metrik a s menším overheadem než SNMP.

Čas a synchronizace: nenápadný zdroj problémů

• NTP/PTP: drift mezi zařízeními narušuje korelaci logů a bezpečnostní mechanismy; validuj stratum a dosažitelnost.
• Časové pásmo a letní čas (DST): nekonzistence v reportech a měření SLA; požaduj UTC v logování, místní čas pouze pro prezentaci.

Automatizace a bezpečná změna konfigurací

• Change management: plán okna změn, plán návratu, peer review, schválení, měřitelné akceptační testy.
• Konfigurační management: verzování, rozdíly (diff), tzv. golden config, šablony; zálohy před každou změnou.
• Automatizace: deklarativní nástroje (Ansible, Nornir, Terraform pro sítě), režim „dry-run“ a health-checky zařízení po aplikaci změn.

Postmortem, RCA a znalostní báze

• RCA: metoda 5 Whys, Ishikawa; shromáždi důkazy (pcap, logy, show výstupy, diagram cesty).
• Akční položky: prevence opakování (monitoring, validace konfigurací, aktualizace runbooků).
• Runbooky: krokové návody pro často se opakující incidenty (např. „BGP session down“, „VLAN leak“).

Checklist: rychlé ověření při incidentu

• Synchronizace času (NTP) a konzistence časových razítek v logách.
• Status portů, počet chybových paketů, duplex/rychlost, stav PoE.
• Členství ve VLAN, seznam povolených trunk VLAN, stav STP a root bridge.
• Tabulky ARP/ND, výchozí brána, směrovací tabulka a sousedství (OSPF/BGP).
• MTU/MSS test, ICMP dosažitelnost, anomalies v traceroute.
• ACL a firewall logy, NAT překlady, kapacita stavových tabulek.
• Funkčnost DNS/DHCP, vyčerpání poolů, latence dotazů.
• Využití linek a CPU, počty zahozených paketů, fronty QoS.

Typické pasti a jak se jim vyhnout

• Asymetrický routing narušuje stateful firewally a troubleshooting; vizualizuj obě cesty provozu.
• Blokování ICMP komplikuje diagnostiku MTU; povol kontrolované ICMP pakety pro PMTUD a health-checky.
• Nekonzistentní QoS mezi zařízeními; sjednoť mapování DSCP a profily linek.
• Chybějící baseline: bez referenčních hodnot nelze roz