🌐 BI-PSI – Počítačové sítě

📚 ISO/OSI referenční model – 7 vrstev

Klíčová vlastnost modelu: vrstvy jsou funkčně disjunktní – každá vrstva spolupracuje pouze s vrstvou bezprostředně nad a pod ní, a komunikuje s odpovídající vrstvou na vzdálené stanici (tzv. peer-to-peer komunikace vrstev).

Zařízení v síti pracují jen na vrstvách, které „vidí": Hub pracuje na vrstvě 1, Switch na vrstvě 2, Router na vrstvě 3.

📦 Enkapsulace a dekapsulace dat

PDU = hlavička vrstvy + data (PDU vyšší vrstvy)

• PDU7 (Aplikační) = ALH + DATA
• PDU6 (Prezentační) = PLH + PDU7
• PDU5 (Relační) = SLH + PDU6
• PDU4 (Transportní) = TLH + PDU5 → Segment
• PDU3 (Síťová) = NLH + PDU4 → Paket
• PDU2 (Linková) = DLH + PDU3 → Rámec
• PDU1 (Fyzická) → Bity

Dekapsulace je opačný proces na přijímající straně – každá vrstva odebere svoji hlavičku a předá data vrstvě výše.

🌐 TCP/IP model vs. OSI model

V praxi se používá TCP/IP model (4 vrstvy), který sloučil horní 3 vrstvy OSI do jedné aplikační vrstvy:

IP protokol se týká síťové (3.) vrstvy ISO/OSI modelu.

🔢 Princip IP adresace a IPv4

Proč 32 bitů? V 80. letech se zdálo, že 2³² ≈ 4 miliardy adres stačí. Kolem roku 1995 se ukázalo, že nestačí → vznikl IPv6 se 128 bity (3×10³⁸ adres).

Zápis IPv4: 32 bitů se zapisuje jako 4 oktety v desítkové soustavě oddělené tečkami: 192.168.1.1

• IPv4 adresa: 32 bitů, max. 4 294 967 296 adres
• IPv6 adresa: 128 bitů, max. ~3,4 × 10³⁸ adres

🔲 Síťová maska, prefix a adresa sítě

Maska je posloupnost N jedniček zleva a (32-N) nul zprava. Prefix /24 = maska 255.255.255.0.

• Adresa sítě = nejnižší adresa rozsahu (hostitelské bity = 0); např. pro /30 → 120
• Broadcast = nejvyšší adresa rozsahu (hostitelské bity = 1); pro /30 → 123
• Brána (gateway) = typicky druhá nejnižší nebo druhá nejvyšší adresa

Výpočet adresy sítě: bitový AND IP adresy a masky sítě.

Příklad pro /30 (4 adresy, z toho 2 využitelné pro stanice):

• 123.122.120.120/30 → adresa sítě
• 123.122.120.121 → stanice
• 123.122.120.122 → brána
• 123.122.120.123 → broadcast

📋 Speciální adresní rozsahy IPv4

Privátní adresy nejsou směrovatelné v Internetu – mohou existovat ve více sítích souběžně. Překlad na veřejné adresy zajišťuje NAT (viz okruh 2).

🧪 Shrnutí a kontrolní otázky – Okruh 1

🔗 Linková vrstva a její účel

Linková vrstva se skládá ze dvou podvrstev:

• MAC (Medium Access Control) – hardwarově závislá; zajišťuje přístup k médiu, fyzickou adresaci přes MAC adresy, přepínání rámců, VLAN, QoS.
• LLC (Logical Link Control) – hardwarově nezávislá; specifikována v IEEE 802.2; zajišťuje kódování, řízení toku, potvrzovací schémata, framing.

📡 MAC podvrstva – multiplex a přístup k médiu

WDM (Wavelength Division Multiplex) = frekvenční multiplex v optice; do vlákna svítí více různobarevných zdrojů, každá barva nese vlastní data.

⚠️ Kolizní doména a metody CSMA

Metody CSMA (Carrier Sense Multiple Access) = přístupové metody, kde stanice naslouchají médiu před vysíláním:

• Prostá CSMA: Naslouchá před vysíláním, čeká, je-li médium obsazené. Nedokáže detekovat kolizi. Kolizi musí řešit vyšší vrstvy.
• CSMA/CD (Collision Detection): Detekuje kolizi během vysílání; vyšle Jam signál (informuje všechny o kolizi); čeká náhodnou dobu. Používá Ethernet (dnes jen historicky u half-duplex). Existence kolizního okénka (KO) = doba od začátku vysílání, během níž se signál šíří po médiu.
• CSMA/CA (Collision Avoidance): Pokouší se kolizím předcházet. Používá Wi-Fi (IEEE 802.11).

🔧 LLC podvrstva – řízení toku a detekce chyb

LLC zajišťuje:

• Framing – rozdělení datového toku do rámců, určení začátku a konce rámce.
• Řízení toku – zdroj nesmí posílat více rámců, než je cíl schopen přijmout.
• Detekci chyb – CRC (Cyclic Redundancy Check)

Potvrzovací schémata LLC:

• Stop & Wait – po každém rámci čeká na potvrzení; jednoduché, ale neefektivní.
• Selective Repeat – kontinuální vysílání, opakuje se pouze chybný rámec.
• Go-Back-N – po chybě zopakuje chybný i všechny následující rámce.
• Sliding Window – klouzavé okénko (podrobně viz TCP).

CRC-32 je polynomem stupně 32; používá ho Ethernet (IEEE 802), ale také SATA protokol pevných disků.

🔀 Přepínač (switch) a princip přepínání

Přepínací tabulka mapuje MAC adresy na porty switche. Záznamy se vytvářejí učením:

1. Příchozí rámec s neznámou cílovou MAC → switch pošle rámec na všechny porty kromě příchozího (flooding).
2. Zdrojová MAC příchozího rámce se zapíše do tabulky k příslušnému portu.
3. Jakmile je MAC adresa v tabulce, rámce se posílají pouze na příslušný port (unicast switching).

Režimy přepínání:

• Store-and-Forward (SF): Přijme celý rámec, uloží jej, zkontroluje CRC, pak odešle. Pomalejší, ale detekuje chyby.
• Cut-Through (CT): Načte jen cílovou adresu (6 bajtů) a okamžitě přeposílá. Rychlejší, ale neprovádí kontrolu chyb.
• Fragment-Free (FF): Načte celou hlavičku (64 bajtů). Kompromis mezi SF a CT.

🌉 Mosty vs. přepínače a broadcastová doména

🏷️ MAC adresy a Ethernet

• První 3 bajty = OUI (Organizationally Unique Identifier) – identifikuje výrobce.
• Poslední 3 bajty = sériové číslo konkrétního zařízení.
• Broadcast MAC adresa = FF:FF:FF:FF:FF:FF

Ethernet rámec obsahuje: preambule → SOF → cílová MAC → zdrojová MAC → EtherType → Data (max. 1500 B) → FCS (CRC-32).

MTU (Maximum Transfer Unit) = maximální velikost dat v rámci (u Ethernetu 1500 B). Není součástí rámce, nastavuje se na rozhraní.

Ethernet se označuje jako rychlost BASE specifikace. Příklad: 100BASE-T = 100 Mbit/s, základní pásmo, kroucená dvoulinka (twisted pair).

🏢 VLAN – Virtuální lokální sítě

Proč VLAN?

• Přehlednost – oddělení skupin patřících k sobě (např. oddělení KPS a KIB na FIT ČVUT)
• Bezpečnost – provoz jde jen tam, kam má
• Efektivita – broadcastový provoz se nešíří do nesouvisejících VLAN
• Jednoduchost správy – jeden fyzický switch jako více logických

Druhy VLAN:

• Dle portů – příslušnost k VLAN dána fyzickým portem na switchi (nejčastější pro menší sítě).
• Dle MAC adres – rámec je zařazen dle zdrojové MAC adresy.
• Dle protokolu – zařazení dle protokolu vyšší vrstvy (hlas, video, data).
• Dle značky (tagované) – IEEE 802.1Q; dnes nejběžnější.
• Vícenásobné (Q-in-Q) – VLAN uvnitř VLAN.

Access port = port pro jednu VLAN (stanice). Rámce jsou netagované; switch sám tag přidá/odebere.

🧪 Shrnutí a kontrolní otázky – Okruh 1

📮 Síťová vrstva a IP protokol

Klíčové protokoly síťové vrstvy:

• IP (Internet Protocol) – základní protokol doručování, přiřazuje IP adresy.
• ICMP (Internet Control Message Protocol) – ověřování dostupnosti zařízení (ping), chybové hlášení (TTL exceeded). Zprávy: REQUEST (type 8), REPLY (type 0), ERROR (type 11). Traceroute používá ICMP REQUEST s inkrementálně rostoucím TTL.
• ARP (Address Resolution Protocol) – mapuje IP adresy na MAC adresy v lokální síti.
• DHCP – automatická konfigurace IP adresy (porty 67/server, 68/klient); 4 fáze: Discover → Offer → Request → ACK.

📄 Struktura IPv4 paketu

Hlavička IPv4 paketu má proměnnou velikost (min. 20 bajtů). Klíčové položky:

• Verze – 0x4 pro IPv4.
• IHL – délka hlavičky v 32bitových slovech.
• TOS (Type of Service) – QoS značkování.
• Celková délka – délka celého paketu v bajtech.
• Identifikace, Příznaky, Offset fragmentu – pro skládání fragmentů.
• TTL (Time To Live) – ochrana proti zacyklení; každý router sníží o 1; při 0 paket zahodí. Typicky nastaveno na 64 nebo 128.
• Protokol – identifikuje protokol vyšší vrstvy (6 = TCP, 17 = UDP).
• Kontrolní součet hlavičky – jen hlavičky, ne dat.
• Zdrojová a cílová IP adresa.

🗺️ Směrovač a princip směrování

Princip směrování:

1. Příchod paketu na vstupní rozhraní.
2. Přečtení cílové IP adresy z hlavičky paketu.
3. Vyhledání záznamu ve směrovací tabulce (nejdelší shoda prefixu – longest prefix match).
4. Snížení TTL o 1; při TTL=0 paket zahodit (a poslat ICMP ERROR).
5. Odeslání paketu příslušným výstupním rozhraním prostřednictvím linkové vrstvy.

Směrovač patří adresně do všech sítí, které propojuje. Při průchodu paketu směrovačem (hop) se TTL sníží o 1.

Směrovací tabulka – obsahuje záznamy: Cíl (Destination), Brána (Gateway), Maska, Metrika, Rozhraní. Záznam s bránou 0.0.0.0 = přímá doručitelnost přes linkovou vrstvu (lokální síť).

⚙️ Statické vs. dynamické směrování

Proaktivní směrování = předem vyplněné směrovací tabulky (nejběžnější). Reaktivní směrování = cesta se hledá až při potřebě (ad-hoc, mobilní sítě). Záplavové směrování = paket se rozesílá všemi směry (nejjednodušší, základ STP).

📊 Dynamické směrovací algoritmy

Tři druhy dynamických algoritmů, pojmenovány dle obsahu zasílaných zpráv:

1. Distance Vector Algoritmy (DVA)

• Směrovače si vyměňují záznamy svých směrovacích tabulek (vektory vzdáleností).
• Optimalizace pomocí distribuované verze Bellman-Fordova algoritmu (relaxace hran).
• Relace: pro každého souseda Yi platí: nahraď záznam pro Zj, pokud vzdálenost(X,Zj) > vzdálenost(X,Yi) + vzdálenost(Yi,Zj).
• Implementace: RIP (Routing Information Protocol) – metrika = počet skoků (hop count), max. 15 skoků (16 = nedosažitelný).
• Při výpadku linky se metrika nastaví na ∞, zprávy se šíří dál a směrovací tabulky se postupně opraví.

2. Link-State Algoritmy (LSA)

• Každý směrovač zná stav všech linek v síti.
• Směrovače si vyměňují stavy linek (Link State Advertisements) → každý sestaví graf sítě.
• Nad grafem hledá nejkratší cesty pomocí Dijkstrova algoritmu.
• Implementace: OSPF (Open Shortest Path First) – vnitřní směrování v AS. IS-IS – vnitřní i vnější.
• Výhoda vs. DVA: méně zatěžuje linky (posílají se jen stavy linek, ne celé tabulky). Nevýhoda: více zatěžuje CPU (Dijkstrův algoritmus se spustí při každé změně).

3. Path Vector Algoritmy (PVA)

• Směrovače si vyměňují kompletní cesty (posloupnosti AS/směrovačů) ke každému cíli.
• Ochrana proti smyčkám: pokud cesta obsahuje AS příjemce, zpráva se zahodí.
• Implementace: BGP (Border Gateway Protocol) – páteřní protokol Internetu, vnější směrování mezi AS.

🌍 Autonomní systémy a BGP

• Vnitřní směrování (IGP) = uvnitř AS; protokoly RIP, OSPF.
• Vnější směrování (EGP) = mezi různými AS; protokol BGP.
• Hraniční směrovač = propojuje různé AS; používá BGP.
• Transientní AS = přeposílá provoz určený jiným AS přes svoji síť.
• Netransientní AS = přijímá provoz pouze pro své vnitřní stanice.

Internet = množina vzájemně propojených AS.

BGP cesta = posloupnost AS identifikátorů od zdroje k cíli. Metrika v BGP = vektor hodnot (primárně délka cesty = počet AS na trase).

🔵 IPv6 – charakteristika a adresy

Proč IPv6? Veřejné IPv4 adresy byly vyčerpány v roce 2011. IPv6 zavádí dostatek adres (3,4×10³⁸) a přidává nové funkce.

Zápis IPv6: 8 skupin po 16 bitech, hexadecimálně, oddělené dvojtečkou:

• Nevýznamné nuly zleva lze vynechat: 1234:0217:... → 1234:217:...
• Sérii nulových bloků lze nahradit :: (maximálně jednou v adrese): 1234:217:2344:0:2345::1111
• Loopback: ::1, nedefinovaná: ::

IPv6 nezná broadcast – nahrazen specifickými multicast adresami.

Druhy IPv6 adres:

🔍 ICMPv6 a Neighbor Discovery (ND)

Neighbor Discovery (ND) zajišťuje:

• Zjišťování linkových adres (náhrada ARP) – Neighbor Solicitation (NS) / Neighbor Advertisement (NA)
• Automatickou konfiguraci – bezstavová (SLAAC) nebo stavová (DHCPv6)
• Hledání směrovačů – Router Solicitation (RS) / Router Advertisement (RA)
• Detekci duplicitních adres
• Přesměrování

Mapování skupinové IPv6 adresy na MAC: Posledních 32 bitů IPv6 adresy + prefix 33:33 = cílová MAC adresa rámce.

NAT64 = přechodový mechanismus IPv6→IPv4. Prefix 64:FF9B::/96 + 32 bitů IPv4 adresy = přechodová IPv6 adresa. TEREDO = tunel IPv6 paketů přes IPv4 síť.

🧪 Shrnutí a kontrolní otázky – Okruh 1

🚚 Transportní vrstva – účel a porty

Port = 16bitový identifikátor aplikace; adresování: [zdrojová IP:zdrojový port] → [cílová IP:cílový port].

• Privilegované porty (0–1023) – vyhrazeny pro systémové služby (HTTP: 80, HTTPS: 443, DNS: 53, SSH: 22).
• Neprivilegované porty (1024–65535) – dynamicky přiřazovány jádrem OS klientským aplikacím.

Parametry přenosu:

• Ztrátovost (packet loss) [%] – ztracené pakety; řeší se retransmisí.
• Zpoždění (delay/latency) [ms] – průměrná doba doručení.
• RTT (Round Trip Time) [ms] – doba tam i zpět; typicky 2× zpoždění.
• Jitter – kolísání zpoždění; problematické pro VoIP, streaming.

📶 TCP – Transmission Control Protocol

Vlastnosti TCP:

• Přenáší se v položce DATA IPv4/IPv6 paketu.
• Duplexní – každá strana otevírá vlastní jednosměrné spojení.
• Sekvenční čísla – každý byte má pořadové číslo; garantuje pořadí.
• Detekuje duplicitní pakety.
• Řízení toku: klouzavé okénko (sliding window).
• Řízení zahlcení: Congestion Window (CWL).
• Není šifrovaný (šifrování zajišťuje TLS nad TCP).

TCP příznaky (flags) v hlavičce: URG, ACK (potvrzení), PSH (push dat aplikaci), RST (reset spojení), SYN (zahájení), FIN (ukončení).

🤝 Životní cyklus TCP spojení

Problém dvou armád (Two Generals' Problem): Spolehlivé zahájení spojení v nespolehlivém prostředí nelze 100% garantovat. Praktickým řešením je 3-cestná výměna (3-way handshake).

1. Sestavení spojení (3-way handshake):

1. SYN – klient pošle SYN s náhodným sekvenčním číslem x (→ stav SYN_SENT).
2. SYN+ACK – server potvrdí (ACK=x+1) a pošle vlastní SYN s číslem y (→ stav SYN_RCVD).
3. ACK – klient potvrdí (ACK=y+1). Obě strany → stav ESTABLISHED.

2. Přenos dat:

• DATA pakety + ACK potvrzení. Sekvenční čísla sledují každý byte.

3. Ukončení spojení (4-way handshake):

1. FIN – strana A uzavře svůj směr (→ FIN_WAIT_1).
2. ACK – strana B potvrdí (→ CLOSE_WAIT). A přechází do FIN_WAIT_2.
3. FIN – strana B uzavře svůj směr (→ LAST_ACK).
4. ACK – A potvrdí (→ TIME_WAIT). B → CLOSED.

Stav TIME_WAIT trvá 2× MSL (Maximum Segment Lifetime) – zabraňuje doručení pozdních paketů do nového spojení.

🪟 Řízení toku – klouzavé okénko (Sliding Window)

Délka okna (DO) = počet nepotvrzených paketů, které lze mít „ve vzduchu". Určuje ji přijímač dle svých kapacit.

• Přijímač dynamicky upravuje velikost okna dle svých kapacit (buffer).
• DO = 0 → vysílač zastaví odesílání.
• Srovnání: Stop&Wait = okénko o velikosti 1 (velmi neefektivní pro linky s vysokým RTT).

🚦 Řízení zahlcení – Congestion Window

CWL si určuje vysílač sám; pokud je DO (přijímač) < CWL, posílá se DO paketů; jinak CWL paketů.

TCP Tahoe (základní algoritmus):

1. Slow Start: CWL = 1; při každém úspěšném ACK se CWL zdvojnásobí (exponenciální růst).
2. Jakmile CWL dosáhne ssthresh (threshold): přechod na lineární růst (Congestion Avoidance).
3. Timeout (ztráta paketu): ssthresh = CWL/2; CWL = 1; opět Slow Start.

TCP Reno (optimističtější):

• Stejné jako Tahoe do detekce výpadku.
• Po výpadku: CWL = CWL_před_výpadkem / 2 (ne 1 jako Tahoe); ssthresh se sníží o 25%.
• Rychlejší obnova u krátkodobých výpadků.

Existují i TCP CUBIC, Vegas, New Reno – liší se algoritmem nastavení CWL.

⚡ UDP – User Datagram Protocol

Struktura UDP paketu: Zdrojový port (16b) | Cílový port (16b) | Délka (16b) | Kontrolní součet (16b) | Data

Výhody UDP:

• Minimální overhead (pouze 8 bajtů hlavičky).
• Nízká latence – žádné ACK, žádné řízení toku.
• Vhodný pro real-time aplikace: VoIP, video streaming, online hry, DNS.

Při spolehlivých nižších vrstvách (např. interní LAN) může mít vyšší propustnost než TCP.

🔄 NAT – Překlad síťových adres

Proč NAT? Veřejných IPv4 adres není dostatek. Privátní adresy (10.x.x.x, 192.168.x.x…) nejsou směrovatelné v Internetu → NAT je „překladač" na hranici privátní a veřejné sítě.

Princip NAT (na síťové vrstvě):

1. Stanice uvnitř sítě (privátní IP) pošle paket ven.
2. Směrovač v NAT tabulce vytvoří záznam {privátní IP + privátní port} → {veřejná IP + veřejný port}.
3. Zdrojová IP v hlavičce paketu se přepíše na veřejnou IP směrovače.
4. Odpověď přijde na {veřejná IP, veřejný port} → směrovač přeloží zpět na {privátní IP, privátní port}.

🔤 DNS – Systém doménových jmen

Proč DNS? IP adresy jsou pro lidi špatně zapamatovatelné a nestabilní (mění se). Doménová jména jsou stabilní a srozumitelná.

Vlastnosti DNS:

• Hierarchický systém (stromová struktura domén).
• Standardně port 53, většinou UDP; velké odpovědi nebo zónové přenosy používají TCP.
• Základní DNS je nezabezpečený (DNSSEC přidává ověřování pomocí asymetrické kryptografie).
• Umožňuje i load balancing (střídání různých IP adres pro jedno jméno).

🌳 Hierarchie domén v DNS

Doménová jména tvoří stromovou strukturu. Čtou se zprava doleva:

• Kořenová doména (.) – úroveň 0; 13 skupin kořenových serverů (A–M); dotazy přes anycast.
• TLD (Top-Level Domains) – úroveň 1: gTLD (com, org, gov, edu), ccTLD (cz, de, us), ngTLD (.london, .berlin)
• Doménová jména vyšších úrovní – cvut.cz, fit.cvut.cz, mail.fit.cvut.cz

FQDN (Fully Qualified Domain Name) = plné doménové jméno od listu ke kořeni (zakončeno tečkou). Max. 255 znaků, každá část max. 63 znaků. Case-insensitive.

Zóna = konkrétní podmnožina domény spravovaná konkrétním DNS serverem. Autoritativní DNS server = server zodpovědný za záznamy v dané zóně.

📋 DNS záznamy a typy DZZ

SOA (Start of Authority) = úvodní záznam zóny; obsahuje MNAME (autoritativní server), RNAME (správce), SERIAL (verze), REFRESH, RETRY, EXPIRE, MINIMUM (TTL).

Doménové zdrojové záznamy (DZZ) = {Jméno, TTL, Třída (IN), Typ, Hodnota}

TTL záznamu = doba, po kterou smí být DZZ uložen v cache DNS serverů. Po uplynutí musí být dotaz zopakován.

🔎 Překlad jmen v DNS – iterativní a rekurzivní

Iterativní překlad:

1. Resolver počítače dotáže svůj DNS server X.
2. X se dotáže kořenového serveru → dostane odkaz na TLD server.
3. X se dotáže TLD serveru → dostane odkaz na autoritativní server nižší úrovně.
4. Opakuje se po úrovních dolů, až X dostane výsledek.
5. X vrátí resolveru výsledek.

Rekurzivní překlad:

1. Resolver dotáže rekurzivní DNS server Y.
2. Y se dotáže kořenového serveru; kořenový server sám přepošle dotaz níže.
3. Dotaz putuje rekurzivně dolů po stromové hierarchii.
4. Odpověď se vrátí postupně zpět až k Y → Y vrátí resolveru.

🔒 DNSSEC a DNS bezpečnostní rizika

DNS Cache Poisoning: Útočník podvrhne DNS odpověď s falešnou IP adresou. DNS používá UDP s 16bitovým ID dotazu → útočník může vygenerovat odpověď se stejným ID dříve než autoritativní server. Výsledek se uloží do cache (poisoning).

DynDNS = dynamický DNS server, který dokáže měnit A záznamy za běhu. Vhodný pro zařízení s dynamicky přidělovanou IP adresou (připojí se, nahlásí svoji IP, server aktualizuje záznam).

DNS load balancing = autoritativní server při opakovaných dotazech na stejné jméno vrací různé IP adresy (round-robin) → distribuce zátěže mezi více serverů.

🧪 Shrnutí a kontrolní otázky – Okruh 2