Funkce směrovačů a přepínačů v počítačové síti

Jana Farkašová

Role směrovačů a přepínačů v počítačových sítích

Směrovače (routery) a přepínače (switche) tvoří páteř moderních sítí. Přepínač propojuje koncová zařízení v rámci jedné lokální sítě (LAN) a pracuje převážně na 2. vrstvě OSI, zatímco směrovač propojuje různé sítě a rozhoduje o směrování paketů na 3. vrstvě OSI. Jejich správné pochopení – včetně toho, jak funguje učení adres, přeposílání, segmentace, redundance, bezpečnost a správa – je klíčem k návrhu rychlých, odolných a bezpečných sítí.

Referenční modely a datové jednotky

  • Vrstva 2 (Linková, L2): rámce (Ethernet), MAC adresy, přepínače, VLAN, STP.
  • Vrstva 3 (Síťová, L3): pakety (IP), směrování, ARP/ND, ICMP, routery.
  • Vrstva 4 (Transportní, L4): TCP/UDP porty, QoS klasifikace a ACL mohou využívat L4 hlavičky.

Jak funguje L2 přepínač: učení, tabulka MAC a přeposílání

  1. Učení (learning): Switch sleduje zdrojové MAC adresy příchozích rámců a mapuje je do MAC tabulky (MAC → port, VLAN).
  2. Přeposílání (forwarding): Při známém cíli odešle rámec pouze na příslušný port (unicast). Při neznámém cíli provede flooding v dané VLAN (všechny porty kromě zdrojového).
  3. Stárnutí záznamů: MAC záznamy expirují po timeoutu, aby se přizpůsobily změnám topologie.
  4. Broadcast a multicast: Broadcast (např. ARP) je floodován; multicast lze optimalizovat IGMP snoopingem.

Fyzické a logické porty, VLAN a trunky

  • Přístupový port (access) nese rámce jedné VLAN; rámce jsou na médiu neoznačené (untagged).
  • Trunk port přenáší více VLAN s označením 802.1Q (tagged); volitelně definovaná native VLAN (untagged) – z bezpečnostních důvodů se nedoporučuje používat pro produkční data.
  • VLAN logicky segmentuje broadcast domény; tím snižuje šum a zvyšuje bezpečnost i organizaci sítě.

Spanning Tree (STP): prevence smyček

  • Problém smyček: broadcast storm a mnohonásobné kopie rámců při redundanci.
  • STP/RSTP/MSTP: volí root bridge, blokuje nadbytečné porty a vytváří bezsmyčkovou stromovou topologii. RSTP výrazně zrychluje konvergenci; MSTP umožňuje více instancí pro různé VLAN.
  • Ochranné mechanismy: BPDU Guard (blokuje port při příchodu BPDU na access portu), Root Guard (chrání roli root bridge), Loop Guard, Storm Control.

Agregace linek a redundance na L2

  • LACP (802.1AX): logické sloučení více fyzických linek do jednoho svazku (port-channel/EtherChannel) pro zvýšení propustnosti a odolnosti.
  • Duální připojení: připojení přepínače k oběma distribučním prvkům; vyžaduje správnou STP a LACP politiku.

Bezpečnost na přepínači

  • Port Security: omezení počtu MAC adres na portu, sticky MAC, reakce na porušení (shutdown/restrict).
  • DHCP Snooping + Dynamic ARP Inspection: ochrana proti falešným DHCP serverům a ARP spoofingu.
  • Private VLAN: mikroseparace uvnitř VLAN (isolation, community).
  • 802.1X: autentizace zařízení před povolením přístupu (Network Access Control).

L3 přepínače: směrování „na drátu“

L3 switche kombinují ASIC přeposílání s funkcemi routeru. Umožňují inter-VLAN routing (SVI – Switch Virtual Interface), statické i dynamické směrování (OSPF/IS-IS/EIGRP) a aplikaci ACL a QoS na 3. vrstvě. Výhodou je line-rate propustnost a nízká latence uvnitř kampusových nebo datových center.

Jak funguje router: rozhodování podle směrovací tabulky

  1. Longest Prefix Match: router vyhledá v routingové tabulce záznam s nejdelším shodným prefixem cílové IP adresy.
  2. ARP/ND: pro výstupní next-hop v lokální síti zjistí L2 adresu (ARP pro IPv4, Neighbor Discovery pro IPv6).
  3. Přeposílání: upraví L2 hlavičku, sníží hodnotu TTL/Hop Limit, znovu vypočítá kontrolní součet a odešle paket.

Statické a dynamické směrování

  • Statické: jednoduché a predikovatelné; nevhodné pro rozsáhlejší nebo měnící se topologie.
  • OSPF/IS-IS (link-state): rychlá konvergence, škálovatelnost, hierarchie oblastí.
  • RIP (distance-vector): historický protokol, dnes vhodný spíše pro malé nebo laboratorní prostředí.
  • BGP: směrování mezi autonomními systémy, politika a škálování v datových centrech (EVPN). Klíčový protokol pro internet a overlay sítě.

NAT a překlad adres

  • SNAT/PAT (masquerade): více interních IP adres sdílí jednu veřejnou – překlad zdrojové adresy a portu pro přístup na internet.
  • DNAT/port forwarding: mapování veřejné IP adresy a portu na interní službu.
  • NAT64/NPTv6: speciální varianty pro přechod a normalizaci v prostředí IPv6.

Firewalling a ACL na routerech/přepínačích

  • ACL (L2–L4): filtrace podle zdrojové a cílové adresy, portu, protokolu, směru (in/out); používat explicitní deny any log pro audit.
  • Stavové firewally: sledují stav spojení (session table), chrání proti skenování a některým typům DoS útoků.
  • Zónová politika: rozdělení rozhraní do bezpečnostních zón a pravidla komunikace mezi nimi.

QoS: řízení kvality služeb

  • Klasifikace a značení: DSCP/CoS, třídy provozu (hlas, video, data, pozadí).
  • Policing/Queuing/Shaping: omezení rychlosti, prioritní fronty (LLQ), vyhlazování provozu.
  • Trust boundary: označení, kde přijímáme značky od koncových zařízení a kde je přepisujeme.

IPv6 specifika: SLAAC, RA a NDP

  • SLAAC: hosté si generují adresu z prefixu inzerovaného routerem (Router Advertisements).
  • NDP: ekvivalent ARP pro IPv6, zahrnuje detekci duplicit (DAD) a sousedské vyhledávání.
  • DHCPv6: doplňuje SLAAC o přidělení dalších parametrů (např. DNS).

VRF, segmentace a overlay sítě

  • VRF (Virtual Routing and Forwarding): více oddělených směrovacích tabulek na jednom routeru – logická separace tenantů.
  • VXLAN: enkapsulace L2 rámců přes L3 síť (overlay); v datových centrech často v kombinaci s EVPN jako řídícím rovinou (control-plane).
  • Micro-segmentace: jemnozrnná pravidla mezi workloady, často realizovaná na úrovni hypervizoru nebo SR-IOV.

Hardwarová akcelerace, data-plane vs. control-plane

  • ASIC: přeposílání na line-rate (TCAM pro ACL a QoS), nízká latence.
  • Control-plane: běh protokolů (OSPF/BGP/IS-IS), management; chránit pomocí CoPP (Control-Plane Policing).
  • Software routery: flexibilní řešení vhodné pro edge a SD-WAN; propustnost závislá na CPU, DPDK a akceleraci (SR-IOV, SmartNIC).

Redundance a vysoká dostupnost

  • HSRP/VRRP/GLBP: virtuální gateway pro L2 segment – rychlý failover výchozí brány na přístupové vrstvě.
  • ECMP: multipath směrování na L3 (více next-hopů se stejnou metrikou).
  • Dual-homing: připojení koncových switchů k dvojici distribučních routerů nebo switchů s použitím LACP, STP či MLAG.

Multicast v LAN/WAN

  • IGMP Snooping: switch přeposílá multicast provoz pouze na porty, které jsou přihlášené k příjmu.
  • PIM (Sparse/Dense): směrování multicastu na L3; RP (Rendezvous Point) pro Sparse mode.

Správa, telemetrie a automatizace

  • SNMP/NETCONF/RESTCONF: inventarizace, konfigurace a monitoring sítí.
  • Syslog, NetFlow/IPFIX: sběr událostí a toková telemetrie pro kapacitní plánování a detekci anomálií.
  • Automatizace: konfigurace pomocí šablon (Ansible), deklarativní konfigurace, intent-based řízení; CI/CD pro sítě.

Typický životní cyklus rámce/paketu (příklad)

  1. Host A (VLAN 10) chce komunikovat s Hostem B (VLAN 20). Vytvoří IP paket a předá ho výchozí bráně (SVI VLAN 10 na L3 switchi).
  2. Switch pomocí ARP zná MAC adresu gateway, odešle rámec; L3 switch paket směruje do VLAN 20 (SVI), aplikuje ACL a QoS, sníží TTL.
  3. Pro cíl ve VLAN 20 provede L3 switch ARP na Host B, zapouzdří rámec VLAN 20 a odešle jej pouze na port s MAC adresou Hostu B (unicast).

Výkon, latence a velikost MTU

  • Line-rate vyžaduje dostatečnou kapacitu backplane, dostatek bufferů a kvalitní QoS pro eliminaci ztrát paketů.
  • Jumbo frames (např. 9000 B) zvyšují efektivitu u storage a virtualizace; nutná je end-to-end konzistence MTU.

Nejčastější provozní chyby a prevence

  • Nesprávná native VLAN na trunku → VLAN hopping nebo nekonzistence. Doporučení: nepoužívat native VLAN pro produkční data, změnit native VLAN z výchozí a omezit VLANy na trunku (pruning).
  • Chybějící STP ochrany na access portech → riziko smyček. Aktivujte BPDU Guard a PortFast.
  • Rogue DHCP/ARP poisoning → zapněte DHCP Snooping a Dynamic ARP Inspection (DAI).
  • Nekonzistentní MTU a QoS → fragmentace a ztráty paketů; sjednoťte nastavení profilů na celé síti.

Check-list návrhu podnikové sítě

  • Definujte VLAN a IP plán, VRF/segmentaci tenantů a výchozí bezpečnostní politiky.
  • Navrhněte L3 jádro s ECMP, L2 přístupovou vrstvu s redundantní topologií a STP ochranami.
  • Implementujte HSRP/VRRP pro výchozí bránu, LACP pro uplinky, ACL a QoS na okrajích sítě.
  • Zapněte IGMP snooping, logování (syslog), tokovou telemetrii a CoPP.
  • Zaveďte automatizaci konfigurací a verzování (Git), nastavte standardy a audit změn.

Závěr

Přepínače poskytují rychlou a segmentovanou L2 konektivitu, směrovače zajišťují L3 propojení sítí, řízení politik a kontrolu toku dat. V moderních infrastrukturách se jejich role prolínají (L3 switche, SDN/EVPN/VXLAN), avšak principy zůstávají: správná segmentace, bezsmyčková redundance, deterministické směrování, bezpečnost na každé vrstvě a pozorovatelnost pomocí telemetrie. Důsledné uplatnění těchto zásad vede k síti, která je rychlá, stabilní, bezpečná a snadno spravovatelná.

Súvisiace články

Prospekt cenného papíru

Prospekt cenného papíru je zákonný dokument poskytující detailní informace o emitentovi, charakteristice cenného papíru, rizicích, nákladech a finančních údajích, umožňující investorům kvalifikovaně a informovaně rozhodovat o investicích.

Doplňující objednávka v logistice

Doplňující objednávka v logistice umožňuje optimalizovat využití nevyužité kapacity přepravy a skladování při dlouhých dodacích lhůtách, což vede ke snížení nákladů a zvýšení efektivity logistických procesů.

Cenová dohoda s dodavatelem

Cenové dohody s dodavateli zajišťují stabilní ceny, zlepšují cash flow a umožňují efektivní kontrolu nákladů. Typy dohod zahrnují pevné ceny, objemové slevy a balíčkové nabídky přizpůsobené obchodním strategiím.