Třetí část seriálu o počítačových sítích. OSI model je zažitý termín pro Open Systems Interconnection Basic Reference Model. Jedná se o abstraktní popis síťové komunikace a protokolů použitých pro komunikaci mezi počítači, který je dělen do sedmi vrstev. Při komunikaci se provádí zapouzdření - encapsulate na straně odesílatele a rozbalování na straně příjemce. Začíná se vrstvou 7, ta se zabalí do vrstvy 6, atd. Tento model byl vytvořen, aby se standardizovala komunikace a hardware i software různých výrobců mohl vzájemně komunikovat.

Osmá část seriálu o počítačových sítích. VLAN neboli virtuální lokální síť je v dnešní době běžná technologie, která přináší řadu výhod. Myslím, že všechny střední a větší firmy technologii VLAN používá a i pro malé firmy může být zajímavá. VLANy slouží k logickému členění sítě bez vazby na členění fyzické. V článku se pokouším popsat vše potřebné k pochopení toho, co to VLAN je, jaké jsou výhody a způsoby nasazení.

Tímto článkem, který pouze shrnuje obecné základy o počítačových sítích, bych chtěl začít sérii článků o základech počítačových sítí (computer networks), jinak řečeno networkingu. V článku naleznete stručný popis termínu počítačová síť a základní dělení sítí.

V druhé části popisu základních termínů a funkcí počítačových sítí se stručně věnuji síťovým topologiím. Síťová topologie popisuje uspořádání síťových prvků, ať už fyzické nebo logické. Základní topologie používané v lokálních sítích (LAN) jsou sběrnice, hvězda a kruh.

Čtvrtá část popisu základních termínů počítačových sítí se věnuje nejpoužívanější síťové technologii (hlavně v LAN) Ethernetu. Zároveň je zde popis souvisejících termínů kolizní doména a duplex (half a full). Pokud byste hledali třetí část, tak to je popis ISO/OSI modelu, který jsem zveřejnil již dříve.

V pátém díle seriálu o počítačových sítích stručně sepisuji základní informace o nejpoužívanějším protokolu TCP/IP. Je zde zmíněn TCP/IP model a princip encapsulace při odesílání dat. Pokouším se popsat rozdíly mezi běžnými termíny paket (packet) a rámec (frame). A nakonec je zobrazen formát rámce.

Šestá část základů počítačových sítí se věnuje metodám vysílání (nevím, zda je to nejvhodnější označení). Je zde stručně popsáno broadcastové, unicastové a multicastové vysílání v síti.

Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.

Devátá část seriálu o počítačových sítích je opět stručná a krátká. Je zde krátce popsán způsob, jakým TCP protokol navazuje a ukončuje spojení.

V desáté části série o počítačových sítích se věnuji způsobům, jakými se doručují (a adresují) data (rámce) na síti. Beru v potaz ethernet (a tedy rámec a fyzické adresování) a TCP/IP (paket a logické adresování). V praxi se jedná buď o přímé doručení, nebo o doručení nepřímé. Vše také záleží na použitých aktivních (pasivních) prvcích, takže popisuji tři běžné příklady (sdílené médium, switch, router). V druhé části článku je stručný popis aktivních síťových prvků a principů jejich funkce.

V jedenácté části seriálu o počítačových sítích se věnuji routingu, tedy směrování v sítích. Je zde stručný popis, vysvětlení termínů a pak jsou velmi stručně popsány některé běžnější routovací metody (RIP, IGRP, EIGRP a OSPF) včetně dělení těchto metod. U metod je ukázka základní konfigurace na Ciscu. Článek není zdaleka vyčerpávající a popis je často bodový. V závěru je zmíněno routování na Windows.

Zatím poslední dvanáctá část seriálu o počítačových sítích se stručně věnuje protokolu ARP. Jedná se o důležitý protokol, který slouží k nalezení MAC adresy stanice, která má určitou IP adresu. Protože MAC adresy potřebujeme při každé komunikaci, tak se ARP využívá velice často.

Tento článek uzavírá sérii o počítačových sítích. Některé díly seriálu se věnovaly věcem jednoduchým a obecně známým, jiné něčemu složitějšímu. Nesnažil jsem se jít v popisu do úplných detailů, ale naopak přinést globální pohled na danou problematiku, a pokud někdo potřebuje detailnější popis, tak již jednoduše najde podle klíčových slov potřebné materiály na internetu. Tento článek shrnuje odkazy na předchozí díly a jednoduše popisuje vazby a návaznosti jednotlivých kapitol.

Tento článek tematicky navazuje na sérii o základech počítačových sítí, ale je psán jinou formou. K jeho napsání mne inspirovaly certifikační testy firmy Microsoft, které velmi často obsahují otázky zaměřené na DNS a to hlavně na použití různých typů zón. Takže v první části je určitý teoreticko-praktický popis funkce DNS, který rozhodně není vyčerpávající. A v druhé části se řeší různé použití DNS v podání Microsoftu. Jedná se i o věci, které jsem v praxi nikdy nepoužil, ale jsou potřebné do testů.

Grafická dokumentace sítě je velice důležitá. U malé sítě to tak nemusí vypadat, protože ten jeden admin, který ji spravuje ji má celou v hlavě nebo se dá vše jedním pohledem rozeznat. Ale jak síť narůstá, je dokumentace stále důležitější. Síť se stává složitější, na správě se podílí více lidí, do něčeho třeba musí zasáhnout externí firma nebo se mění správci. V článku budu používat pro kreslení diagramů MS Visio, které sice nepovažuji za dokonalé, ale je značně rozšířené (lze do něj získat obrázky většiny výrobců) a ve větších firmách asi není problém získat licenci.

Asi každý má představu o tom, co je to Wake on LAN, tedy vzdálené zapnutí (probuzení) počítače. Když jsem ale začal přemýšlet o použití WOL na počítač, který je v jiném subnetu a je tedy mezi ním router, tak jsem si uvědomil řadu komplikací. Prostudoval jsem množství článků a diskuzí a zjistil jsem, že většinou je popis neúplný a často dokonce nesprávný. Proto v tomto článku shrnuji komplexně celou problematiku, kterou jsem nastudoval. Popisuji řešení pro probuzení počítače ve stejném, ale i vzdáleném (třeba přes internet) subnetu. A uvádím také příklad skriptu v PHP.

Internet Protocol (IP) se používá pro datovou komunikaci v přepínaných počítačových sítích, které používají TCP/IP. Jedná se o nejrozšířenější protokol na internetu i v LAN. První hlavní verze se dnes označuje jako IPv4 a stále se jedná o majoritně používanou verzi. Její hlavní nevýhodou je, že adresy jsou velké 32 bitů. Proto vznikla nová verze IPv6, která přináší řadu výhod, ale hlavní rozdíl je, že adresy jsou velké 128 bitů. IPv6 se dnes již celosvětově nasazuje.

Multicast je metoda efektivní komunikace jednoho odesílatele více příjemcům. Příkladem může být internetové rádio (a přirovnání běžné rádio), kdy je jeden zdroj a mnoho příjemců, kteří přijímají stejná data ve stejnou chvíli. V praxi se to často řeší tak, že se vytvoří jednotlivá spojení pro každého příjemce. Takže je značně zatěžován server a část síťové infrastruktury je zbytečně přetížená přenosem duplicitních dat. Pomocí multicastu doručujeme informaci současně skupině příjemců co nejefektivnějším způsobem, aby zpráva přes každý síťový uzel cestovala pouze jednou, kopie se vytváří pouze, když se cesty k příjemcům rozdělují. V článku je vysvětlen obecný princip multicastu a dále se věnuje skupinovému protokolu IGMP (Internet Group Management Protocol) a směrovacímu protokolu PIM (Protocol Independent Multicast) ve všech jeho variantách.

Tento článek pouze shrnuje základní informace o nejběžnějších typech útoků na switche. Informace, které přináší, nalezneme na mnoha místech, zde je uvádím kvůli úplnosti. Popsány jsou útoky MAC flooding, ARP spoofing, VLAN hopping a zmíněny jsou metody, jak se jim bránit na Cisco switchích. Také je rozebrána metoda obrany zvaná Dynamic ARP Inspection.

Když router nebo L3 switch přeposílá pakety (routuje), tak používá některou z metod označovaných jako Router Switching Path, od ní se odvíjí, jak rychle může pracovat. Některé z těchto metod jsou Process Switching, Fast Switching a Cisco Express Forwarding. Článek se stručně zmiňuje o těchto metodách a popisuje i související termíny, jako CAM tabulka, FIB, ARP, ale také switch, MLS a router. Některé z těchto termínů jsou podrobněji popsány ve starších článcích.

Návrh a realizaci rozsáhlejší počítačové sítě asi nebudeme provádět vlastními silami, ale svěříme nějaké specializované firmě. Přesto je dobré mít minimálně základní přehled o této oblasti a ideálně detailní znalosti, aby výsledná síť odpovídala našim představám a ne pohledu realizátora. Podíváme se tedy na oblasti a problémy, které musíme při návrhu sítě vzít v úvahu.

NLB slouží k tomu, co již říká název, vyvažování zátěže na více serverů, jinak můžeme říci, vytvoření clusteru. Celý princip je značně jednoduchý. Výhoda (ale z toho plynou i nevýhody) je, že se jedná o softwarové řešení a obejdeme se bez HW load balanceru. Nebudeme se zde věnovat vlastní konfiguraci NLB (ta je mimochodem docela triviální pomocí průvodce), ale tomu, jak se NLB chová v síti (speciálně s Cisco prvky).

Studoval jsem na zkoušku Cisco Designing for Cisco Internetwork Solutions (pro certifikaci CCDA) a jako hlavní bod, z kterého se vychází, je Cisco Enterprise Architecture. O této architektuře jsem dříve neslyšel, tak zde uvedu alespoň stručnou zmínku.

V článku se podíváme na používané typy kabelů pro telekomunikační sítě LAN (nemusí se jednat pouze o lokální sítě, ale také rozsáhlejší typy Ethernetových sítí) a datové (Storage) sítě SAN. Pro oba typy sítí se využívají stejná přenosová média, kabeláž i konektory. Věnovat se budeme metalickým a optickým médiím (kabelům).

Navážeme na minulý článek, který popisoval používané typy kabelů pro telekomunikační sítě LAN a datové (Storage) sítě SAN, a popíšeme si používané konektory, Transceivery (převodníky) a Direct Attach (přímé propojovací) kabely. Opět se budeme věnovat metalickým médiím (kroucená dvojlinka) a optickým médiím (optické vlákno).

DNSSEC slouží k zabezpečení DNS záznamům před podvržením pomocí digitálního podpisu a řetězu důvěry. Pokud na doméně (DNS zóně) využíváme DNSSEC, tak podepisujeme všechny DNS zdrojové záznamy. DNS Resolver může díky tomu zkontrolovat, že záznam pochází od jeho vlastníka a nebyl změněn. Článek se pokouší (stručně) popsat princip fungování DNSSEC a souvisejících technologií.

DNSSEC slouží k zabezpečení DNS záznamům před podvržením. Na Windows Server můžeme nainstalovat roli DNS Server a provozovat Authoritative Name Server, který spravuje určitou doménu (zónu), nebo Recursive Name Server, který slouží k vyhledání odpovědi na DNS dotaz klienta. V obou případech je podporován DNSSEC. V článku si popíšeme, jak se DNSSEC na Microsoft DNS Serveru používá. Zaměříme se na podpis veřejné domény v internetu, ale zmíníme i další využití.

Při posílání zpráv, pomocí protokolu SMTP mezi poštovními servery, se již hodně využívá TLS šifrování. Poštovní servery standardně neověřují validitu použitého certifikátu. Údaj o tom, že podporují šifrování, se posílá v čistém textu v protokolu. Pro zabezpečení je možno využít DNS-based Authentication of Named Entities. Do DNS publikujeme speciální TLSA záznam, který říká, že určitá služba podporuje šifrování a jaký využívá certifikát.