Směrovače a přepínače v počítačových sítích

Ján Gašparík

Role směrovačů a přepínačů v počítačových sítích

Směrovače (routery) a přepínače (switche) tvoří páteř moderních sítí. Přepínač propojuje koncová zařízení v rámci jedné lokální sítě (LAN) a pracuje převážně na 2. vrstvě OSI, zatímco směrovač propojuje různé sítě a rozhoduje o směrování paketů na 3. vrstvě OSI. Jejich správné pochopení – včetně principů učení adres, přeposílání, segmentace, redundance, bezpečnosti a správy – je klíčové pro návrh rychlých, odolných a bezpečných sítí.

Referenční modely a datové jednotky

  • Vrstva 2 (Linková, L2): rámce (Ethernet), MAC adresy, přepínače, VLAN, STP.
  • Vrstva 3 (Síťová, L3): pakety (IP), směrování, ARP/ND, ICMP, routery.
  • Vrstva 4 (Transportní, L4): TCP/UDP porty, QoS klasifikace a ACL mohou využívat L4 hlavičky.

Jak funguje L2 přepínač: učení, tabulka MAC a přeposílání

  1. Učení (learning): Přepínač sleduje zdrojové MAC adresy příchozích rámců a mapuje je do MAC tabulky (MAC → port, VLAN).
  2. Přeposílání (forwarding): Pokud je cílová MAC adresa známá, rámec odešle pouze na odpovídající port (unicast). Pokud je cíl neznámý, provede flooding v dané VLAN (všechny porty mimo zdrojový).
  3. Stárnutí záznamů: MAC záznamy expirují po určité době, aby se přizpůsobily změnám topologie sítě.
  4. Broadcast a multicast: Broadcast (např. ARP) je floodován do všech portů; multicast lze optimalizovat pomocí IGMP snoopingu.

Fyzické a logické porty, VLAN a trunky

  • Přístupový port (access) přenáší rámce jedné VLAN; rámce jsou na vedení neoznačené (untagged).
  • Trunk port přenáší více VLAN s označením podle standardu 802.1Q (tagged); volitelně je definována native VLAN (untagged) – z bezpečnostních důvodů se nedoporučuje používat ji pro produkční data.
  • VLAN logicky segmentují broadcast doménu, což snižuje šum a zvyšuje bezpečnost a organizaci sítě.

Spanning Tree Protocol (STP): prevence smyček

  • Problém smyček: broadcast storm a multiplikace rámců v případě redundance.
  • STP/RSTP/MSTP: vybírají root bridge, blokují nadbytečné porty a vytvářejí bezsmyčkovou stromovou strukturu. RSTP výrazně urychluje konvergenci; MSTP umožňuje více instancí pro různé VLAN.
  • Ochranné mechanismy: BPDU Guard (blokuje port při přijetí BPDU na access portu), Root Guard (chrání roli root bridge), Loop Guard, Storm Control.

Agregace linek a redundance na L2

  • LACP (802.1AX): logické seskupení více fyzických linek do jednoho svazku (port-channel/EtherChannel) pro zvýšení kapacity a odolnosti.
  • Duální připojení: připojení přepínače k oběma distribučním zařízením; nezbytná je korektní konfigurace STP a LACP politiky.

Bezpečnost na přepínači

  • Port Security: omezení počtu MAC adres na portu, sticky MAC, akce při porušení pravidel (shutdown nebo restrict).
  • DHCP Snooping a Dynamic ARP Inspection: ochrana proti neautorizovaným DHCP serverům a ARP spoofingu.
  • Private VLAN: mikroseparace v rámci VLAN (izolace, komunitní VLAN).
  • 802.1X: autentizace zařízení před povolením přístupu (Network Access Control, NAC).

L3 přepínače: směrování „na drátě“

L3 switche kombinují hardwarovou akceleraci přeposílání s funkcemi směrovače. Umožňují inter-VLAN routing (SVI – Switch Virtual Interface), statické i dynamické směrování (OSPF/IS-IS/EIGRP) a implementaci ACL a QoS na L3 vrstvě. Hlavní výhodou je line-rate propustnost a nízká latence uvnitř kampusové nebo datacentrové sítě.

Jak funguje router: rozhodování podle směrovací tabulky

  1. Longest Prefix Match: router vybere z routingové tabulky záznam s nejdelším shodným prefixem cílové IP adresy.
  2. ARP/ND: pro next-hop ve stejné lokální síti zjistí linkovou adresu (ARP pro IPv4, Neighbor Discovery pro IPv6).
  3. Přeposílání: upraví L2 hlavičku, sníží TTL/Hop Limit, přepočítá kontrolní součet a odešle paket dále.

Statické a dynamické směrování

  • Statické: jednoduché, predikovatelné; nevhodné pro rozsáhlejší či dynamicky se měnící topologie.
  • OSPF/IS-IS (link-state): rychlá konvergence, škálovatelnost, hierarchická struktura oblastí.
  • RIP (distance-vector): historický protokol, dnes vhodný spíše pro malé nebo lab prostředí.
  • BGP: směrování mezi autonomními systémy, politika, škálování v DC (EVPN). Klíčový protokol pro internet a overlay sítě.

NAT a překlad adres

  • SNAT/PAT (masquerade): více interních IP adres sdílí jednu veřejnou adresu – překlad zdrojové IP adresy a portu pro přístup k internetu.
  • DNAT/port forwarding: mapování veřejné IP adresy/portu na interní službu.
  • NAT64/NPTv6: speciální varianty pro přechod a normalizaci provozu v IPv6 prostředí.

Firewalling a ACL na routerech a přepínačích

  • ACL (L2–L4): filtry podle zdroje, cíle, portu, protokolu, směr in/out; doporučuje se používat explicitní pravidla deny any log pro auditování.
  • Stavové firewally: sledují stav spojení (session table), chrání proti skenování a některým útokům DoS.
  • Zónová politika: rozdělení rozhraní do bezpečnostních zón a nastavování pravidel mezi nimi.

QoS: řízení kvality služeb

  • Klasifikace a značení: DSCP/CoS, definice tříd provozu (hlas, video, data, background).
  • Policing/Queuing/Shaping: omezení rychlosti, prioritní fronty (LLQ), vyhlazování provozu.
  • Trust boundary: místa, kde přijímáme značky od koncových zařízení, a místa, kde je přepisujeme.

IPv6 specifika: SLAAC, RA a NDP

  • SLAAC: hosté generují adresu z prefixu inzerovaného routerem prostřednictvím Router Advertisements.
  • NDP: ARP ekvivalent pro IPv6, zahrnuje detekci duplikátů (DAD) a sousedské vyhledávání.
  • DHCPv6: doplňuje SLAAC o přidělení dalších parametrů, jako jsou DNS.

VRF, segmentace a overlay sítě

  • VRF (Virtual Routing and Forwarding): umožňuje mít více oddělených směrovacích tabulek na jednom routeru – logická segregace tenantů.
  • VXLAN: enkapsulace L2 provozu přes L3 (overlay); v datacentrech často používá EVPN jako control-plane.
  • Micro-segmentation: jemnozrnná pravidla mezi workloady, často realizována na úrovni hypervizoru nebo SR-IOV.

Hardwarová akcelerace, data-plane vs. control-plane

  • ASIC: přeposílání na line-rate (TCAM pro ACL/QoS), nízká latence.
  • Control-plane: běh protokolů (OSPF/BGP/IS-IS) a správa zařízení; chránit pomocí CoPP (Control-Plane Policing).
  • Software routery: flexibilita, vhodné pro edge a SD-WAN; propustnost závislá na CPU, DPDK a akceleraci (SR-IOV/SmartNIC).

Redundance a vysoká dostupnost

  • HSRP/VRRP/GLBP: tvorba virtuální gateway na L2 segmentu – rychlý failover default gateway na přístupové vrstvě.
  • ECMP: multipath směrování na L3 vrstvě (více next-hopů se stejnou metrikou).
  • Dual-homing: připojení koncových switchů k dvojici distribučních routerů/přepínačů s LACP, STP nebo MLAG.

Multicast v LAN a WAN

  • IGMP Snooping: přepínač přeposílá multicast pouze na porty s příslušnou registrací.
  • PIM (Sparse/Dense): směrování multicastu na L3; RP (Rendezvous Point) pro sparse mode.

Správa, telemetrie a automatizace

  • SNMP/NETCONF/RESTCONF: inventarizace, konfigurace a monitoring zařízení.
  • Syslog, NetFlow/IPFIX: událostní a toková telemetrie pro kapacitní plánování a detekci anomálií.
  • Automatizace: šablony (Ansible), deklarativní konfigurace, intent-based management; CI/CD pro sítě.

Typický životní cyklus rámce/paketu (příklad)

  1. Host A (VLAN 10) chce komunikovat s Hostem B (VLAN 20). Vytvoří IP paket a předá ho svému default gateway (SVI VLAN 10 na L3 switchi).
  2. Switch pomocí ARP zjistí MAC adresu gateway, odešle rámec; L3 switch paket směruje do VLAN 20 (SVI), aplikuje ACL/QoS, sníží TTL.
  3. Pro cíl v VLAN 20 provede L3 switch ARP na Host B, zapouzdří paket do rámce VLAN 20 a odešle jej pouze na port s MAC adresou B (unicast).

Výkon, latence a velikost MTU

  • Line-rate vyžaduje dostatečnou kapacitu backplane, bufferů a kvalitní QoS pro eliminaci ztrát.
  • Jumbo frames (např. 9000 bajtů) zvyšují efektivitu zejména pro storage a virtualizaci; vyžadují end-to-end konzistenci MTU.

Nejčastější provozní chyby a prevence

  • Nesprávná native VLAN na trunk portu → VLAN hopping a nekonzistence. Doporučení: nepoužívat native VLAN pro produkční data, změnit native VLAN z výchozí hodnoty a omezit VLANy na trunku (prune).
  • Chybějící STP ochrany na access portech → riziko smyček. Aktivujte BPDU Guard a PortFast.
  • Rogue DHCP/ARP poisoning → zapněte DHCP Snooping a DAI.
  • Nekonzistentní MTU a QoS → fragmentace a ztráty; sjednoťte konfigurace profilů na celé trase.

Check-list návrhu podnikové sítě

  • Definujte VLAN a IP plán, VRF a segregaci tenantů a počáteční bezpečnostní politiku.
  • Navrhněte L3 jádro s ECMP, L2 přístup s redundantní topologií a STP ochranami.
  • Implementujte HSRP/VRRP pro gateway, LACP pro uplinky, ACL a QoS na hraničních prvcích sítě.
  • Zapněte IGMP snooping, logování (syslog), tokovou telemetrii a CoPP.
  • Zaveďte automatizaci konfigurací a verzování (Git), standardizaci a audit změn.

Závěr

Přepínače poskytují rychlou a segmentovanou L2 konektivitu, směrovače zajišťují L3 propojení sítí, politiku a řízení toku dat. V moderních infrastrukturách se jejich role prolínají (L3 switche, SDN/EVPN/VXLAN), nicméně základní principy zůstávají: správná segmentace, bezsmyčková redundance, deterministické směrování, bezpečnost na všech vrstvách a pozorovatelnost prostřednictvím telemetrie. Důsledná aplikace těchto zásad vede k síti, která je rychlá, stabilní, bezpečná a snadno spravovatelná.

Súvisiace články