Role směrovačů a přepínačů v počítačových sítích
Směrovače (routery) a přepínače (switche) tvoří páteř moderních sítí. Přepínač propojuje koncová zařízení v rámci jedné lokální sítě (LAN) a pracuje převážně na 2. vrstvě OSI, zatímco směrovač propojuje různé sítě a rozhoduje o směrování paketů na 3. vrstvě OSI. Jejich správné pochopení – včetně toho, jak funguje učení adres, přeposílání, segmentace, redundance, bezpečnost a správa – je klíčem k návrhu rychlých, odolných a bezpečných sítí.
Referenční modely a datové jednotky
- Vrstva 2 (Linková, L2): rámce (Ethernet), MAC adresy, přepínače, VLAN, STP.
- Vrstva 3 (Síťová, L3): pakety (IP), směrování, ARP/ND, ICMP, routery.
- Vrstva 4 (Transportní, L4): TCP/UDP porty, QoS klasifikace a ACL mohou využívat L4 hlavičky.
Jak funguje L2 přepínač: učení, tabulka MAC a přeposílání
- Učení (learning): Switch sleduje zdrojové MAC adresy příchozích rámců a mapuje je do MAC tabulky (MAC → port, VLAN).
- Přeposílání (forwarding): Při známém cíli odešle rámec pouze na příslušný port (unicast). Při neznámém cíli provede flooding v dané VLAN (všechny porty kromě zdrojového).
- Stárnutí záznamů: MAC záznamy expirují po timeoutu, aby se přizpůsobily změnám topologie.
- Broadcast a multicast: Broadcast (např. ARP) je floodován; multicast lze optimalizovat IGMP snoopingem.
Fyzické a logické porty, VLAN a trunky
- Přístupový port (access) nese rámce jedné VLAN; rámce jsou na médiu neoznačené (untagged).
- Trunk port přenáší více VLAN s označením 802.1Q (tagged); volitelně definovaná native VLAN (untagged) – z bezpečnostních důvodů se nedoporučuje používat pro produkční data.
- VLAN logicky segmentuje broadcast domény; tím snižuje šum a zvyšuje bezpečnost i organizaci sítě.
Spanning Tree (STP): prevence smyček
- Problém smyček: broadcast storm a mnohonásobné kopie rámců při redundanci.
- STP/RSTP/MSTP: volí root bridge, blokuje nadbytečné porty a vytváří bezsmyčkovou stromovou topologii. RSTP výrazně zrychluje konvergenci; MSTP umožňuje více instancí pro různé VLAN.
- Ochranné mechanismy: BPDU Guard (blokuje port při příchodu BPDU na access portu), Root Guard (chrání roli root bridge), Loop Guard, Storm Control.
Agregace linek a redundance na L2
- LACP (802.1AX): logické sloučení více fyzických linek do jednoho svazku (port-channel/EtherChannel) pro zvýšení propustnosti a odolnosti.
- Duální připojení: připojení přepínače k oběma distribučním prvkům; vyžaduje správnou STP a LACP politiku.
Bezpečnost na přepínači
- Port Security: omezení počtu MAC adres na portu, sticky MAC, reakce na porušení (shutdown/restrict).
- DHCP Snooping + Dynamic ARP Inspection: ochrana proti falešným DHCP serverům a ARP spoofingu.
- Private VLAN: mikroseparace uvnitř VLAN (isolation, community).
- 802.1X: autentizace zařízení před povolením přístupu (Network Access Control).
L3 přepínače: směrování „na drátu“
L3 switche kombinují ASIC přeposílání s funkcemi routeru. Umožňují inter-VLAN routing (SVI – Switch Virtual Interface), statické i dynamické směrování (OSPF/IS-IS/EIGRP) a aplikaci ACL a QoS na 3. vrstvě. Výhodou je line-rate propustnost a nízká latence uvnitř kampusových nebo datových center.
Jak funguje router: rozhodování podle směrovací tabulky
- Longest Prefix Match: router vyhledá v routingové tabulce záznam s nejdelším shodným prefixem cílové IP adresy.
- ARP/ND: pro výstupní next-hop v lokální síti zjistí L2 adresu (ARP pro IPv4, Neighbor Discovery pro IPv6).
- Přeposílání: upraví L2 hlavičku, sníží hodnotu TTL/Hop Limit, znovu vypočítá kontrolní součet a odešle paket.
Statické a dynamické směrování
- Statické: jednoduché a predikovatelné; nevhodné pro rozsáhlejší nebo měnící se topologie.
- OSPF/IS-IS (link-state): rychlá konvergence, škálovatelnost, hierarchie oblastí.
- RIP (distance-vector): historický protokol, dnes vhodný spíše pro malé nebo laboratorní prostředí.
- BGP: směrování mezi autonomními systémy, politika a škálování v datových centrech (EVPN). Klíčový protokol pro internet a overlay sítě.
NAT a překlad adres
- SNAT/PAT (masquerade): více interních IP adres sdílí jednu veřejnou – překlad zdrojové adresy a portu pro přístup na internet.
- DNAT/port forwarding: mapování veřejné IP adresy a portu na interní službu.
- NAT64/NPTv6: speciální varianty pro přechod a normalizaci v prostředí IPv6.
Firewalling a ACL na routerech/přepínačích
- ACL (L2–L4): filtrace podle zdrojové a cílové adresy, portu, protokolu, směru (in/out); používat explicitní deny any log pro audit.
- Stavové firewally: sledují stav spojení (session table), chrání proti skenování a některým typům DoS útoků.
- Zónová politika: rozdělení rozhraní do bezpečnostních zón a pravidla komunikace mezi nimi.
QoS: řízení kvality služeb
- Klasifikace a značení: DSCP/CoS, třídy provozu (hlas, video, data, pozadí).
- Policing/Queuing/Shaping: omezení rychlosti, prioritní fronty (LLQ), vyhlazování provozu.
- Trust boundary: označení, kde přijímáme značky od koncových zařízení a kde je přepisujeme.
IPv6 specifika: SLAAC, RA a NDP
- SLAAC: hosté si generují adresu z prefixu inzerovaného routerem (Router Advertisements).
- NDP: ekvivalent ARP pro IPv6, zahrnuje detekci duplicit (DAD) a sousedské vyhledávání.
- DHCPv6: doplňuje SLAAC o přidělení dalších parametrů (např. DNS).
VRF, segmentace a overlay sítě
- VRF (Virtual Routing and Forwarding): více oddělených směrovacích tabulek na jednom routeru – logická separace tenantů.
- VXLAN: enkapsulace L2 rámců přes L3 síť (overlay); v datových centrech často v kombinaci s EVPN jako řídícím rovinou (control-plane).
- Micro-segmentace: jemnozrnná pravidla mezi workloady, často realizovaná na úrovni hypervizoru nebo SR-IOV.
Hardwarová akcelerace, data-plane vs. control-plane
- ASIC: přeposílání na line-rate (TCAM pro ACL a QoS), nízká latence.
- Control-plane: běh protokolů (OSPF/BGP/IS-IS), management; chránit pomocí CoPP (Control-Plane Policing).
- Software routery: flexibilní řešení vhodné pro edge a SD-WAN; propustnost závislá na CPU, DPDK a akceleraci (SR-IOV, SmartNIC).
Redundance a vysoká dostupnost
- HSRP/VRRP/GLBP: virtuální gateway pro L2 segment – rychlý failover výchozí brány na přístupové vrstvě.
- ECMP: multipath směrování na L3 (více next-hopů se stejnou metrikou).
- Dual-homing: připojení koncových switchů k dvojici distribučních routerů nebo switchů s použitím LACP, STP či MLAG.
Multicast v LAN/WAN
- IGMP Snooping: switch přeposílá multicast provoz pouze na porty, které jsou přihlášené k příjmu.
- PIM (Sparse/Dense): směrování multicastu na L3; RP (Rendezvous Point) pro Sparse mode.
Správa, telemetrie a automatizace
- SNMP/NETCONF/RESTCONF: inventarizace, konfigurace a monitoring sítí.
- Syslog, NetFlow/IPFIX: sběr událostí a toková telemetrie pro kapacitní plánování a detekci anomálií.
- Automatizace: konfigurace pomocí šablon (Ansible), deklarativní konfigurace, intent-based řízení; CI/CD pro sítě.
Typický životní cyklus rámce/paketu (příklad)
- Host A (VLAN 10) chce komunikovat s Hostem B (VLAN 20). Vytvoří IP paket a předá ho výchozí bráně (SVI VLAN 10 na L3 switchi).
- Switch pomocí ARP zná MAC adresu gateway, odešle rámec; L3 switch paket směruje do VLAN 20 (SVI), aplikuje ACL a QoS, sníží TTL.
- Pro cíl ve VLAN 20 provede L3 switch ARP na Host B, zapouzdří rámec VLAN 20 a odešle jej pouze na port s MAC adresou Hostu B (unicast).
Výkon, latence a velikost MTU
- Line-rate vyžaduje dostatečnou kapacitu backplane, dostatek bufferů a kvalitní QoS pro eliminaci ztrát paketů.
- Jumbo frames (např. 9000 B) zvyšují efektivitu u storage a virtualizace; nutná je end-to-end konzistence MTU.
Nejčastější provozní chyby a prevence
- Nesprávná native VLAN na trunku → VLAN hopping nebo nekonzistence. Doporučení: nepoužívat native VLAN pro produkční data, změnit native VLAN z výchozí a omezit VLANy na trunku (pruning).
- Chybějící STP ochrany na access portech → riziko smyček. Aktivujte BPDU Guard a PortFast.
- Rogue DHCP/ARP poisoning → zapněte DHCP Snooping a Dynamic ARP Inspection (DAI).
- Nekonzistentní MTU a QoS → fragmentace a ztráty paketů; sjednoťte nastavení profilů na celé síti.
Check-list návrhu podnikové sítě
- Definujte VLAN a IP plán, VRF/segmentaci tenantů a výchozí bezpečnostní politiky.
- Navrhněte L3 jádro s ECMP, L2 přístupovou vrstvu s redundantní topologií a STP ochranami.
- Implementujte HSRP/VRRP pro výchozí bránu, LACP pro uplinky, ACL a QoS na okrajích sítě.
- Zapněte IGMP snooping, logování (syslog), tokovou telemetrii a CoPP.
- Zaveďte automatizaci konfigurací a verzování (Git), nastavte standardy a audit změn.
Závěr
Přepínače poskytují rychlou a segmentovanou L2 konektivitu, směrovače zajišťují L3 propojení sítí, řízení politik a kontrolu toku dat. V moderních infrastrukturách se jejich role prolínají (L3 switche, SDN/EVPN/VXLAN), avšak principy zůstávají: správná segmentace, bezsmyčková redundance, deterministické směrování, bezpečnost na každé vrstvě a pozorovatelnost pomocí telemetrie. Důsledné uplatnění těchto zásad vede k síti, která je rychlá, stabilní, bezpečná a snadno spravovatelná.