Część 3: Urządzenia warstwy 2 ISO/OSI

Witam na trzecim wykładzie!

Witam Państwa na trzecim wykładzie z budowy i konfiguracji urządzeń sieciowych. Dziś wkraczamy w kluczową warstwę modelu ISO/OSI – warstwę łącza danych, zwaną również warstwą 2. Na poprzednich spotkaniach poznaliśmy podstawy Ethernetu oraz urządzenia warstwy fizycznej. Dzisiaj zajmiemy się urządzeniami, które potrafią analizować ramki, podejmować decyzje na podstawie adresów MAC i efektywnie zarządzać ruchem w sieci lokalnej. To właśnie te urządzenia – przede wszystkim przełączniki – stanowią kręgosłup współczesnych sieci LAN.

Warstwa druga modelu OSI odpowiada za niezawodne przesyłanie danych między sąsiednimi węzłami sieciowymi w obrębie tego samego segmentu. Operuje ona na jednostkach danych zwanych ramkami (ang. frames), które są enkapsulacją pakietów z warstwy trzeciej. Przełączniki podejmują decyzje o przekazywaniu ramek wyłącznie na podstawie adresów MAC źródła i przeznaczenia.

W przeciwieństwie do warstwy pierwszej, która zajmuje się transmisją bitów surowego sygnału, warstwa druga musi zapewnić mechanizmy wykrywania i korekcji błędów powstałych podczas fizycznego przesyłu. Każda ramka zawiera znacznik początku i końca, pole adresów MAC, pole długości lub typu oraz dane użyteczne. Bez poprawnego działania warstwy łącza dane wyższe warstwy nie mogłyby być niezawodnie transportowane nawet w prostej sieci lokalnej.

Na poprzednim wykładzie poznaliśmy huby i repeatery – urządzenia warstwy 1, które działają w trybie „powtórz wszystko". Ich największą wadą było propagowanie kolizji na wszystkie porty. Cała sieć zbudowana na hubach stanowiła jedną, wielką domenę kolizyjną. Im więcej urządzeń podłączaliśmy, tym więcej kolizji występowało, a wydajność sieci drastycznie spadała. Potrzebowaliśmy urządzenia, które potrafiłoby segmentować sieć – tworzyć osobne, izolowane domeny kolizyjne dla każdego portu. Rozwiązaniem okazała się warstwa 2 modelu ISO/OSI.

Koncentrator (hub) powiela każdy odebrany sygnał elektryczny na wszystkich pozostałych portach, nie analizując przy tym adresacji ani treści ramki. W rezultacie wszystkie urządzenia podłączone do huba współdzielą to samo medium transmisyjne, a każda kolizja powoduje konieczność retransmisji dla wszystkich nadawców jednocześnie. W sieci Ethernet opartej na hubach wydajność gwałtownie spada wraz ze wzrostem liczby urządzeń, ponieważ wzrasta prawdopodobieństwo kolizji.

W skrajnym przypadku, gdy dwa urządzenia nadają w tej samej chwili, ich sygnały nakładają się i ulegają zniekształceniu, co unieważnia obie transmisje. Protokół CSMA/CD wymaga wówczas od obu nadawców odczekania losowego czasu przed ponowną próbą wysłania danych. To właśnie ten problem – globalna domena kolizyjna – stał się główną motywacją do wprowadzenia urządzeń zdolnych do segmentacji ruchu na warstwie drugiej.

Warstwa łącza danych (Data Link Layer) to druga warstwa modelu ISO/OSI. Jej głównym zadaniem jest niezawodne przesyłanie danych między dwoma bezpośrednio połączonymi węzłami sieci. Dzieli się ona na dwie podwarstwy:

LLC (Logical Link Control) – odpowiada za kontrolę logicznego połączenia, multipleksowanie protokołów warstwy wyższej oraz kontrolę przepływu.
MAC (Media Access Control) – zarządza dostępem do fizycznego medium, odpowiada za adresację i wykrywanie ramek. To właśnie w tej podwarstwie operują adresy MAC i działają przełączniki.

Warstwa 2 operuje na ramkach (frames), które zawierają nagłówek z adresami MAC źródła i celu, dane oraz sumę kontrolną.

Warstwa łącza danych (ang. Data Link Layer) jest drugą warstwą modelu OSI i stanowi pośrednika między transmisją fizyczną a komunikacją sieciową wyższych warstw. Została podzielona na dwie podwarstwy: LLC (Logical Link Control) odpowiedzialną za multipleksację protokołów sieciowych oraz MAC (Media Access Control) zarządzającą dostępem do medium fizycznego. Podział ten umożliwia współistnienie różnych technologii warstwy drugiej, takich jak Ethernet, Wi-Fi czy PPP, pod wspólnym interfejsem LLC.

Podwarstwa MAC jest ściśle związana z konkretnym typem medium i określa reguły, według których urządzenia uzyskują prawo do nadawania. LLC natomiast zapewnia identyfikację protokołu warstwy trzeciej (np. IPv4 lub IPv6) poprzez pole DSAP i SSAP w nagłówku. Dzięki temu ramka Ethernet może przenosić dane różnych protokołów sieciowych, a stacja odbierająca wie, do którego stosu protokołów przekazać odebrane dane.

Adres MAC (Media Access Control) to unikalny, 48-bitowy identyfikator przypisany do każdego interfejsu sieciowego. Jest on zapisany w pamięci ROM karty sieciowej i składa się z dwóch części: pierwsze 24 bity (OUI – Organizationally Unique Identifier) identyfikują producenta, a pozostałe 24 bity to unikalny numer seryjny nadawany przez producenta. Adres MAC zapisujemy w postaci szesnastkowej, np. 00:1A:2B:3C:4D:5E. To właśnie na podstawie adresów MAC urządzenia warstwy 2 podejmują decyzje o przekazywaniu ramek.

Adres MAC (Media Access Control) to 48-bitowy identyfikator przypisywany fabrycznie każdemu interfejsowi sieciowemu, zapisywany w pamięci ROM karty sieciowej. Pierwsze 24 bity stanowią identyfikator producenta (OUI – Organizationally Unique Identifier) nadawany przez IEEE, a pozostałe 24 bity są unikatowym numerem nadanym przez producenta. Adres ten jest powszechnie zapisywany w formacie szesnastkowym z dwukropkami, np. 00:1A:2B:3C:4D:5E.

Choć adres MAC jest nazywany adresem fizycznym, można go zmienić programowo w systemie operacyjnym, co jest stosowane w mechanizmach maskowania lub wirtualizacji. Adres MAC typu broadcast (FF:FF:FF:FF:FF:FF) służy do wysyłania ramek do wszystkich urządzeń w segmencie sieci, natomiast adresy multicast zaczynają się od bitu najmniej znaczącego pierwszego oktetu ustawionego na 1. IEEE prowadzi publicznie dostępny rejestr OUI, co pozwala jednoznacznie zidentyfikować producenta karty sieciowej na podstawie jej adresu MAC.

Zanim powstały przełączniki, problem segmentacji domen kolizyjnych rozwiązywano za pomocą mostów (bridges). Most to urządzenie warstwy 2 posiadające zazwyczaj dwa porty. Jego zadaniem było analizowanie adresów MAC w ramkach i podejmowanie decyzji, czy ramkę przepuścić do drugiego segmentu, czy zatrzymać w bieżącym. Most potrafił więc oddzielić dwie domeny kolizyjne. Był jednak wolny – działał głównie w oprogramowaniu (software), co ograniczało jego wydajność do kilku tysięcy ramek na sekundę. Mimo to mosty były pierwszym krokiem w kierunku inteligentnej segmentacji.

Most (bridge) był pierwszym urządzeniem wprowadzającym inteligentną segmentację sieci Ethernet, działającym w całości na warstwie łącza danych. Dysponował zazwyczaj zaledwie dwoma portami i podejmował decyzje o przekazywaniu ramek na podstawie analizy adresów MAC, co odróżniało go od pasywnych koncentratorów. Ponieważ most opierał się na przetwarzaniu programowym przy użyciu ogólnego procesora, jego przepustowość była ograniczona do kilku tysięcy ramek na sekundę.

Most działał w trybie store-and-forward – odbierał całą ramkę, sprawdzał sumę kontrolną FCS, a dopiero potem decydował o retransmisji na drugi port. Opóźnienie wnoszone przez most było znaczne, często przekraczające kilkaset mikrosekund na ramkę, co stawało się problemem przy większym obciążeniu. Mimo tych ograniczeń mosty zrewolucjonizowały sieci lokalne, ponieważ umożliwiły podział jednej domeny kolizyjnej na dwa odizolowane segmenty, znacząco redukując liczbę kolizji.

Most (a następnie przełącznik) uczy się, które urządzenia znajdują się po której stronie, budując tablicę adresów MAC (MAC address table). Proces uczenia wygląda następująco: gdy most otrzymuje ramkę na którymś z portów, odczytuje adres źródłowy MAC. Jeśli tego adresu nie ma jeszcze w tablicy, most zapisuje go wraz z numerem portu, na którym ramka wpłynęła. W ten sposób most wie, że urządzenie o danym adresie MAC znajduje się za konkretnym portem. Gdy później nadejdzie ramka skierowana do tego adresu, most będzie wiedział, przez który port ją wysłać. Jeśli adres docelowy nie jest znany, most rozsyła ramkę na wszystkie pozostałe porty (flooding).

Mechanizm uczenia się mostu polega na analizie adresu źródłowego każdej odebranej ramki i zapisaniu go w tablicy MAC wraz z numerem portu, na którym ramka została odebrana. Jeśli most odbierze ramkę od nadawcy A na porcie 1, zapamiętuje, że adres A znajduje się za portem 1 i nie będzie już przesyłał ramek do A przez drugi port. Proces ten w pełni automatyczny nosi nazwę uczenia się wstecznego (ang. backward learning).

Tablica MAC mostu ma ograniczoną pojemność, a nieużywane wpisy są usuwane po upływie czasu życia (ang. aging time), który domyślnie wynosi 300 sekund. Gdy most otrzymuje ramkę z nieznanym adresem docelowym, wysyła ją na wszystkie porty z wyjątkiem portu źródłowego – jest to mechanizm rozgłaszania (ang. flooding). Dzięki uczeniu się tablica MAC budowana jest dynamicznie bez potrzeby ręcznej konfiguracji, co było kluczową innowacją w stosunku do wcześniejszych rozwiązań.

Przełącznik (switch) jest ewolucyjnym następcą mostu. Podobnie jak most, działa w warstwie 2 i podejmuje decyzje na podstawie adresów MAC, ale robi to znacznie szybciej i wydajniej. Kluczową różnicą jest to, że przełącznik posiada wiele portów (od kilku do kilkudziesięciu) i wykorzystuje wyspecjalizowane układy scalone ASIC (Application-Specific Integrated Circuit) do przetwarzania ramek w sprzęcie, a nie w oprogramowaniu. Dzięki temu przełączniki mogą przesyłać miliony ramek na sekundę, oferując tzw. wydajność wire-speed. Przełącznik segmentuje domenę kolizyjną – każdy port to osobna domena kolizyjna.

Przełącznik (switch) jest ewolucyjnym następcą mostu, który zastąpił przetwarzanie programowe dedykowanymi układami ASIC (Application-Specific Integrated Circuit). Zastosowanie ASIC pozwoliło na podejmowanie decyzji o przekazywaniu ramek w czasie rzeczywistym, przy opóźnieniach rzędu kilku mikrosekund, niezależnie od liczby portów. Przełączniki oferują obecnie od kilku do kilkuset portów, obsługując prędkości od 100 Mb/s do 400 Gb/s na jednym porcie.

Wewnętrzna architektura przełącznika opiera się na macierzy połączeniowej (ang. switch fabric), która umożliwia równoczesne zestawienie wielu ścieżek transmisyjnych między różnymi parami portów. Każdy port przełącznika dysponuje własnym buforem i kontrolerem MAC, co pozwala na niezależne negocjowanie prędkości i dupleksu. Współczesne przełączniki obsługują także zaawansowane funkcje warstwy trzeciej, takie jak routing VLAN-ów czy QoS, zacierając granicę między przełącznikiem a routerem.

Kluczową zaletą przełącznika jest segmentacja domen kolizyjnych. W przeciwieństwie do huba, który łączył wszystkie urządzenia w jedną domenę kolizyjną, przełącznik tworzy osobną domenę dla każdego portu. Oznacza to, że kolizja na jednym porcie nie wpływa na inne porty. Dwa komputery podłączone do różnych portów przełącznika mogą jednocześnie nadawać i odbierać dane, nie powodując kolizji między sobą. To diametralnie zwiększa przepustowość sieci w porównaniu do architektury z hubem. Każde połączenie między dwoma portami przełącznika staje się niezależnym kanałem komunikacyjnym.

Każdy port przełącznika tworzy oddzielną domenę kolizyjną, co oznacza, że kolizja na jednym porcie nie wpływa na transmisję na żadnym innym porcie. W praktyce, jeśli do przełącznika podłączonych jest 24 urządzeń, mamy 24 niezależne domeny kolizyjne, podczas gdy w hubie o tej samej liczbie portów istnieje tylko jedna wspólna domena. Eliminacja współdzielenia medium pozwala każdej parze urządzeń komunikować się bez ryzyka wzajemnych zakłóceń.

Segmentacja domen kolizyjnych jest realizowana przez wewnętrzną logikę przełącznika, która izoluje ruch na poszczególnych portach do czasu podjęcia decyzji o przekazaniu ramki. Jeśli ramka ma być dostarczona do odbiorcy znajdującego się na tym samym porcie nadawcy, przełącznik nie transmituje jej na żadne inne porty. Dzięki temu całe pasmo łącza jest dostępne wyłącznie dla pary komunikujących się urządzeń, a nie współdzielone przez wszystkie stacje w sieci.

Domena kolizyjna (collision domain) to fragment sieci, w którym ramki wysłane przez dwa różne urządzenia mogą się ze sobą zderzyć. W sieci z hubem wszystkie porty należą do tej samej domeny kolizyjnej. W sieci z przełącznikiem każdy port stanowi osobną domenę kolizyjną. Oznacza to, że w przełączniku maksymalna liczba jednoczesnych transmisji bez kolizji jest równa połowie liczby portów (każde urządzenie może rozmawiać z innym w tym samym czasie). Przełącznik wirtualnie izoluje każdy port, tworząc oddzielne „rury" transmisyjne.

Domena kolizyjna to zbiór urządzeń sieciowych, których transmisje mogą ze sobą kolidować, gdy dwa lub więcej z nich nadaje jednocześnie. W sieci opartej na hubie każda karta sieciowa musi nasłuchiwać medium przed nadawaniem, a w razie wykrycia kolizji zastosować algorytm wykładniczego wycofania (ang. exponential backoff). Im więcej urządzeń znajduje się w tej samej domenie kolizyjnej, tym większe jest prawdopodobieństwo kolizji i tym niższa wypadkowa przepustowość sieci.

Przełącznik całkowicie likwiduje problem domen kolizyjnych w obrębie swoich portów, ponieważ każdy port jest odizolowanym segmentem. Dwie stacje podłączone do różnych portów przełącznika mogą nadawać jednocześnie, a ich ramki zostaną zbufforowane i przekazane niezależnie. W odróżnieniu od huba, który działa w warstwie fizycznej i powiela sygnał, przełącznik analizuje ramki logicznie, dzięki czemu kolizja na jednym porcie jest zjawiskiem lokalnym, niesłyszalnym dla innych portów.

Aby w pełni zrozumieć, dlaczego przełącznik jest lepszy od huba, warto zajrzeć do wnętrza huba. Hub posiada wewnętrzną magistralę elektryczną, do której podłączone są wszystkie jego porty. Gdy sygnał dociera na jeden port, jest on regenerowany i wypychany na tę magistralę, a stamtąd trafia na wszystkie pozostałe porty. To sprawia, że cały hub działa jak jeden długi kabel – wszystkie urządzenia współdzielą to samo medium. Przełącznik natomiast nie ma takiej magistrali. Każdy port jest odizolowany, a ramki są przesyłane bezpośrednio między portami przez macierz przełączającą (switch fabric).

W hubie wszystkie porty są połączone wewnętrznie wspólną magistralą elektryczną, która działa jak jedno współdzielone medium transmisyjne. Sygnał odebrany na dowolnym porcie jest wzmacniany i rozsyłany do wszystkich pozostałych portów bez żadnej filtracji ani buforowania. Taka konstrukcja sprawia, że hub jest urządzeniem warstwy fizycznej, nieposiadającym żadnej inteligencji sieciowej.

Przełącznik natomiast wykorzystuje macierz połączeniową (ang. crossbar switch fabric), która umożliwia jednoczesne zestawienie wielu niezależnych połączeń między parami portów. W przeciwieństwie do magistrali huba, macierz przełącznika jest połączeniem punkt-punkt, w którym dane nie są rozgłaszane na wszystkie porty. Wewnętrzna przepustowość macierzy jest sumą przepustowości wszystkich portów, co określa się mianem przepustowości sumarycznej (ang. backplane bandwidth) i wyraża w gigabitach na sekundę.

Dzięki segmentacji każdy port przełącznika tworzy własną, malutką domenę kolizyjną składającą się z zaledwie dwóch elementów: portu przełącznika i podłączonego do niego urządzenia. To zjawisko nazywamy mikrosegmentacją. W takiej sytuacji protokół CSMA/CD staje się zbędny – nie ma sensu nasłuchiwać, czy medium jest wolne, skoro tylko dwa urządzenia dzielą to medium i każde ma dedykowaną parę przewodów do nadawania i odbierania. Dzięki mikrosegmentacji możliwe jest przejście na tryb pełnego dupleksu (full-duplex), który całkowicie eliminuje kolizje i podwaja efektywną przepustowość połączenia.

Mikrosegmentacja to technika, w której każde urządzenie końcowe ma do dyspozycji dedykowany port przełącznika, tworząc osobny segment sieci o pełnym paśmie. Ponieważ na każdym segmencie znajduje się tylko jedno urządzenie, nie ma ryzyka kolizji, a protokół CSMA/CD staje się zbędny. Wyłączenie mechanizmu wykrywania kolizji pozwala na rezygnację z nasłuchiwania medium przed nadawaniem, co skraca czas oczekiwania i zwiększa efektywność transmisji.

Eliminacja CSMA/CD umożliwia pracę w trybie full-duplex, w którym urządzenie może jednocześnie nadawać i odbierać dane, podwajając teoretyczną przepustowość łącza. W trybie half-duplex, wymuszanym przez obecność wielu stacji w jednej domenie kolizyjnej, wykorzystanie łącza rzadko przekracza 50–60% jego nominalnej przepustowości. Mikrosegmentacja i full-duplex są ze sobą ściśle powiązane – dopiero wyeliminowanie kolizji pozwala w pełni wykorzystać zalety transmisji dwukierunkowej.

Przełącznik buduje swoją tablicę adresów MAC dynamicznie w procesie uczenia. Oto jak to działa krok po kroku:

Przełącznik odbiera ramkę na porcie nr 1.
Odczytuje adres źródłowy MAC z nagłówka ramki.
Sprawdza, czy ten adres znajduje się już w tablicy MAC. Jeśli nie – dodaje go wraz z numerem portu (port 1) i znacznikiem czasu.
Następnie sprawdza adres docelowy ramki i szuka go w tablicy.
Jeśli adres docelowy jest znany – przekazuje ramkę tylko na odpowiedni port (forwarding). Jeśli nie – wysyła ramkę na wszystkie porty oprócz tego, z którego przyszła (flooding).
Jeśli adres docelowy znajduje się w tym samym segmencie co źródło – ramka jest odrzucana (filtering).

Wpisy w tablicy mają ograniczony czas życia (aging time), zwykle 300 sekund. Po tym czasie nieaktywny wpis jest usuwany.

Proces uczenia się tablicy MAC w przełączniku rozpoczyna się w momencie odebrania pierwszej ramki od podłączonego urządzenia. Przełącznik odczytuje adres źródłowy ramki i sprawdza, czy istnieje już wpis dla tego adresu w tablicy – jeśli nie, dodaje nowy rekord zawierający adres MAC, numer portu i znacznik czasowy. Jeśli wpis już istnieje, przełącznik aktualizuje znacznik czasu i ewentualnie koryguje numer portu w przypadku przeniesienia urządzenia do innego portu.

Parametr czasu życia (aging time) domyślnie wynosi 300 sekund w większości implementacji, ale może być konfigurowany przez administratora w zakresie od kilkunastu sekund do kilku godzin. Krótki czas starzenia jest korzystny w sieciach z częstymi zmianami topologii, ponieważ zapobiega przechowywaniu nieaktualnych wpisów. Po przekroczeniu czasu życia wpis jest usuwany, a kolejna ramka do tego adresu spowoduje rozgłoszenie (flooding) i ponowne nauczenie się lokalizacji urządzenia.

Przełącznik podejmuje jedną z trzech decyzji dla każdej odebranej ramki:

Forward (przekazanie): gdy adres docelowy znajduje się w tablicy MAC i jest przypisany do innego portu niż źródłowy. Ramka jest przekazywana tylko na ten jeden port.
Flood (zalanie): gdy adresu docelowego nie ma w tablicy MAC (nieznany adres unicast) lub gdy ramka jest rozgłoszeniowa (broadcast). Ramka jest wysyłana na wszystkie porty oprócz źródłowego.
Filter (odrzucenie): gdy adres docelowy znajduje się w tym samym segmencie (porcie), z którego przyszła ramka. Ramka jest odrzucana, ponieważ urządzenie docelowe już ją otrzymało.

Gdy przełącznik odbiera ramkę, porównuje adres docelowy z zawartością tablicy MAC i podejmuje jedną z trzech decyzji. Jeśli adres docelowy jest przypisany do tego samego portu, z którego ramka nadeszła, przełącznik odrzuca ramkę (filtering), ponieważ odbiorca znajduje się w tym samym segmencie i już ją otrzymał. Jeśli adres docelowy znajduje się w tablicy i jest związany z innym portem, ramka jest przekazywana wyłącznie na ten port (forwarding).

Trzecia sytuacja ma miejsce, gdy adres docelowy nie znajduje się w tablicy MAC – przełącznik wysyła wówczas ramkę na wszystkie porty z wyjątkiem portu źródłowego (flooding). Mechanizm floodingu jest również używany dla ramek broadcastowych i multicastowych, które z definicji muszą dotrzeć do wielu odbiorców. Zbyt częste rozgłaszanie może prowadzić do przeciążenia sieci, dlatego nowoczesne przełączniki implementują mechanizmy ograniczające, takie jak storm control dla ruchu broadcastowego.

W przełącznikach zarządzalnych (np. Cisco) możemy podejrzeć zawartość tablicy MAC za pomocą interfejsu wiersza poleceń (CLI). Oto przykładowe polecenie i jego wynik:

Switch# show mac address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0050.7966.6800    DYNAMIC     Gi0/1
   1    0050.7966.6801    DYNAMIC     Gi0/2
   1    aaaa.bbbb.cccc    STATIC      Gi0/24
   1    ffff.ffff.ffff    STATIC      CPU

Widzimy tu adresy MAC, typ wpisu (DYNAMIC – poznany dynamicznie, STATIC – skonfigurowany ręcznie), numer VLAN oraz port, przez który dany adres jest osiągalny.

W systemie Cisco IOS tablicę adresów MAC można wyświetlić poleceniem `show mac address-table`, które pokazuje adres MAC, typ wpisu (dynamiczny, statyczny lub stały), numer VLAN oraz port przypisany do adresu. Wpisy dynamiczne są dodawane automatycznie przez proces uczenia się, natomiast wpisy statyczne mogą być zdefiniowane ręcznie przez administratora w celu zwiększenia bezpieczeństwa. Polecenie `show mac address-table count` podaje liczbę wpisów w tablicy oraz pojemność całkowitą, co jest przydatne przy diagnozowaniu przepełnienia tablicy.

Dodatkowe polecenia, takie jak `show mac address-table aging-time`, informują o skonfigurowanym czasie starzenia wpisów. Administrator może ręcznie wyczyścić tablicę poleceniem `clear mac address-table dynamic`, co jest pomocne po zmianie topologii sieci. W systemach operacyjnych innych producentów, jak Juniper JunOS czy Arista EOS, składnia poleceń różni się, ale koncepcja i informacje zwracane przez tablicę MAC pozostają takie same.

Jedną z największych zalet przełącznika w porównaniu z hubem jest zdolność do obsługi wielu jednoczesnych transmisji bez kolizji. W hubie, jeśli komunikują się pary A-B i C-D, to i tak tylko jedna para mogła nadawać w danym momencie. W przełączniku obie pary mogą komunikować się jednocześnie – przełącznik tworzy tymczasowe, wirtualne ścieżki między odpowiednimi portami. Całkowita przepustowość przełącznika jest sumą przepustowości wszystkich jednoczesnych połączeń. Przykładowo, 24-portowy przełącznik Gigabit Ethernet może teoretycznie osiągnąć całkowitą przepustowość 48 Gb/s (24 porty × 2 dla full-duplex ÷ 2 dla dwóch stron każdej rozmowy).

Dzięki mikrosegmentacji przełącznik może obsługiwać wiele równoczesnych transmisji między różnymi parami portów bez wzajemnych zakłóceń. Jeśli przełącznik ma 24 porty i każdy pracuje z prędkością 1 Gb/s, teoretyczna przepustowość sumaryczna może osiągnąć 48 Gb/s (24 × 1 Gb/s w każdą stronę). W praktyce przepustowość tę ogranicza wydajność macierzy połączeniowej i przepustowość magistrali wewnętrznej przełącznika.

Przełączniki nieblokujące (ang. non-blocking) są zaprojektowane tak, aby mogły obsłużyć pełną prędkość na wszystkich portach jednocześnie, bez utraty ramek. W przełącznikach blokujących niektóre transmisje mogą być opóźniane, jeśli wiele strumieni danych konkuruje o tę samą ścieżkę wewnętrzną. Wybór między przełącznikiem blokującym a nieblokującym zależy od charakterystyki ruchu sieciowego i budżetu – przełączniki nieblokujące są droższe ze względu na bardziej wydajną macierz połączeniową.

Tryb pełnego dupleksu (Full-Duplex) jest standardem we współczesnych sieciach przełączanych. Wykorzystuje on osobne pary przewodów w kablu skrętki do nadawania i odbierania danych (dwie pary dla 100 Mb/s, cztery pary dla Gigabit Ethernet). Dzięki temu urządzenie może jednocześnie wysyłać i odbierać dane, co efektywnie podwaja przepustowość połączenia. Na przykład port Gigabit Ethernet (1000 Mb/s) w trybie full-duplex oferuje 1000 Mb/s w każdą stronę jednocześnie, co daje łączną przepustowość 2000 Mb/s. Aby tryb full-duplex działał, oba urządzenia muszą go obsługiwać i być poprawnie skonfigurowane – niedopasowanie dupleksu jest częstą przyczyną problemów z wydajnością.

Tryb full-duplex umożliwia jednoczesne nadawanie i odbieranie danych na tym samym łączu, ponieważ wykorzystuje dwie oddzielne pary przewodów: jedną do transmisji (TX) i drugą do odbioru (RX). W standardzie 100BASE-TX (Fast Ethernet) pary 1-2 służą do nadawania, a pary 3-6 do odbioru, co całkowicie eliminuje potrzebę wykrywania kolizji. Aby tryb full-duplex działał poprawnie, obie strony łącza muszą być skonfigurowane zgodnie – zarówno pod względem prędkości, jak i dupleksu.

Niezgodność dupleksu (ang. duplex mismatch) występuje, gdy jedna strona łącza pracuje w trybie full-duplex, a druga w half-duplex. Strona full-duplex nie nasłuchuje medium przed nadawaniem, podczas gdy strona half-duplex stosuje CSMA/CD, co prowadzi do kolizji i błędów ramek (tzw. late collisions). Objawy niezgodności dupleksu to duża liczba błędów CRC widoczna w interfejsie oraz niska przepustowość mimo pozornie poprawnego połączenia fizycznego.

Przełączniki mogą przekazywać ramki na kilka sposobów. Najbardziej niezawodną metodą jest Store-and-Forward (magazynuj i przekaż). W tej metodzie przełącznik odbiera całą ramkę, zapisuje ją w pamięci buforowej, a następnie analizuje:

Sprawdza sumę kontrolną FCS (Frame Check Sequence) w stopce ramki, aby upewnić się, że ramka nie jest uszkodzona.
Jeśli ramka jest uszkodzona – zostaje odrzucona.
Jeśli ramka jest poprawna – przełącznik odczytuje adres docelowy i przekazuje ramkę na odpowiedni port.

Zaletą tej metody jest eliminacja uszkodzonych ramek z sieci. Wadą – wyższe opóźnienie (latency), ponieważ przełącznik musi odebrać całą ramkę przed jej przekazaniem.

W metodzie store-and-forward przełącznik odbiera całą ramkę do bufora, sprawdza poprawność sumy kontrolnej FCS (Frame Check Sequence) w polu FCS na końcu ramki, a dopiero po stwierdzeniu poprawności podejmuje decyzję o przekazaniu. Jeśli ramka jest uszkodzona, zostaje odrzucona, co zapobiega rozprzestrzenianiu błędnych ramek w sieci. Metoda ta zapewnia najwyższy poziom integralności danych, gdyż eliminuje ryzyko przekazania ramek z przekłamaniami bitów.

Opóźnienie wnoszone przez store-and-forward jest proporcjonalne do długości ramki – im większa ramka, tym dłużej przełącznik musi czekać na jej pełne odebranie. Dla ramki o maksymalnym rozmiarze 1518 bajtów w sieci 1 Gb/s opóźnienie wynosi około 12 mikrosekund, co jest akceptowalne w większości zastosowań. Metoda ta jest domyślnie stosowana w większości przełączników korporacyjnych, ponieważ bezpieczeństwo transmisji jest ważniejsze niż minimalne opóźnienie.

Drugą metodą przekazywania ramek jest Cut-Through (przetnij i przekaż). Jest to szybsza, ale mniej bezpieczna technika. Przełącznik zaczyna przekazywać ramkę na port wyjściowy natychmiast po odczytaniu adresu docelowego, jeszcze zanim reszta ramki zostanie odebrana. Dzieli się na dwa warianty:

Fast-forward: przekazuje po odczytaniu pierwszych 6 bajtów (adres docelowy). Najmniejsze opóźnienie, ale ryzyko propagowania uszkodzonych ramek.
Fragment-free: odczekuje na pierwsze 64 bajty ramki (rozmiar minimalnej ramki Ethernet). Eliminuje tzw. runt frames (ramki mniejsze niż 64 bajty, które są wynikiem kolizji).

Cut-Through ma niższe opóźnienie niż Store-and-Forward, ale może propagować uszkodzone ramki. Jest preferowany w środowiskach, gdzie liczy się szybkość, a błędy transmisji są rzadkie.

W metodzie cut-through przełącznik rozpoczyna przekazywanie ramki natychmiast po odczytaniu adresu docelowego MAC, który znajduje się w pierwszych 6 bajtach nagłówka ramki. Eliminuje to konieczność buforowania całej ramki, co znacząco redukuje opóźnienie do zaledwie kilku mikrosekund. Odmiana fast-forward przekazuje ramkę już po odebraniu adresu docelowego, natomiast fragment-free odczekuje do odebrania pierwszych 64 bajtów, co pozwala odrzucić ramki powstałe w wyniku kolizji.

Główną wadą metody cut-through jest możliwość propagowania uszkodzonych ramek, ponieważ przełącznik nie sprawdza sumy kontrolnej FCS przed rozpoczęciem transmisji. Ramka z błędem może zostać przekazana do odbiorcy, który dopiero po odebraniu całej ramki stwierdzi jej uszkodzenie. Mimo to cut-through jest preferowane w środowiskach o niskim poziomie błędów, takich jak nowoczesne sieci światłowodowe, gdzie opóźnienie jest krytycznym parametrem, na przykład w zastosowaniach High-Frequency Trading (HFT).

Fragment-Free to kompromis między metodami Store-and-Forward a Cut-Through. Przełącznik odbiera pierwsze 64 bajty ramki (czyli minimalny rozmiar ramki Ethernet, zwany także fragmentem kolizyjnym), zanim podejmie decyzję o przekazaniu. Dlaczego akurat 64 bajty? Ponieważ w sieci Ethernet ramka krótsza niż 64 bajty (tzw. runt) jest prawie na pewno wynikiem kolizji – to fragment uszkodzonej ramki. Jeśli ramka ma co najmniej 64 bajty, jest z dużym prawdopodobieństwem wolna od błędów kolizyjnych, choć nadal może zawierać inne błędy (wykrywane dopiero przez sumę FCS). Fragment-Free oferuje niższe opóźnienie niż Store-and-Forward przy jednoczesnym eliminowaniu ramek powstałych w wyniku kolizji.

Fragment-free, zwany również cut-through bez fragmentów, oczekuje na odebranie pierwszych 64 bajtów ramki przed podjęciem decyzji o przekazaniu. W sieciach Ethernet ramki krótsze niż 64 bajty to tak zwane collision fragments lub runt frames – powstają one, gdy dwie stacje nadają jednocześnie i kolizja powoduje przerwanie transmisji. Przełącznik pracujący w tym trybie eliminuje takie uszkodzone ramki, nie pogarszając znacząco opóźnienia w porównaniu z czystym cut-through.

W praktyce tryb fragment-free sprawdza się dobrze w sieciach o umiarkowanym natężeniu ruchu, gdzie kolizje zdarzają się sporadycznie. Mimo że nie chroni przed błędami CRC w dalszej części ramki, to eliminuje najbardziej powszechny typ uszkodzeń w domenie kolizji. Dlatego wielu producentów przełączników (np. Cisco) oferuje go jako domyślny tryb pracy w starszych urządzeniach, w których pełne buforowanie store-and-forward nie jest konieczne.

Opóźnienie (latency) to czas, jaki upływa od momentu odebrania pierwszego bitu ramki na porcie wejściowym do momentu wysłania pierwszego bitu na porcie wyjściowym. W metodzie Store-and-Forward opóźnienie zależy od rozmiaru ramki – dla ramki 1500 bajtów przy prędkości 1 Gb/s wynosi około 12 mikrosekund. W metodzie Cut-Through opóźnienie jest stałe i wynosi zaledwie kilka mikrosekund, niezależnie od rozmiaru ramki. W nowoczesnych sieciach centrów danych, gdzie wymagana jest ekstremalnie niska latencja (np. w handlu algorytmicznym), różnica ta ma ogromne znaczenie. Przełączniki high-end potrafią osiągać opóźnienia poniżej 1 mikrosekundy.

Opóźnienie wprowadzane przez przełącznik, nazywane latencją przełączania, ma kluczowe znaczenie w aplikacjach czasu rzeczywistego, takich jak VoIP czy wideokonferencje. W metodzie store-and-forward opóźnienie wynosi od kilkudziesięciu do kilkuset mikrosekund, ponieważ przełącznik musi odebrać całą ramkę, zweryfikować sumę CRC i dopiero wtedy wysłać ją do portu docelowego. W metodzie cut-through opóźnienie spada do kilku mikrosekund, kosztem braku kontroli błędów – różnica staje się zauważalna dopiero przy dużym obciążeniu sieci.

W nowoczesnych sieciach szkieletowych, gdzie przez przełącznik przepływa miliony ramek na sekundę, każde mikrosekundowe opóźnienie kumuluje się na każdym przeskoku między urządzeniami. Łańcuch dziesięciu przełączników pracujących w store-and-forward może dodać łącznie nawet milisekundę opóźnienia, co dla protokołów takich jak NFS czy iSCSI jest wartością znaczącą. Dlatego w centrach danych często stosuje się przełączniki z możliwością przełączania w trybie cut-through, a krytyczne aplikacje projektuje się tak, by minimalizować liczbę przeskoków między urządzeniami.

Większość nowoczesnych przełączników obsługuje przełączanie adaptacyjne (adaptive switching), które dynamicznie wybiera metodę przekazywania ramek w zależności od warunków panujących w sieci. Przełącznik monitoruje poziom błędów na każdym porcie. Gdy poziom błędów jest niski (poniżej progu, np. 0.1%), przełącznik stosuje metodę Cut-Through dla maksymalnej wydajności. Gdy poziom błędów wzrasta, przełącznik automatycznie przełącza się na Store-and-Forward, aby eliminować uszkodzone ramki i zapobiegać propagacji błędów. Dzięki temu przełączanie adaptacyjne łączy zalety obu metod – niskie opóźnienie przy normalnej pracy i niezawodność w przypadku problemów z łączem.

Przełączanie adaptacyjne łączy zalety obu metod: urządzenie domyślnie pracuje w trybie cut-through, zapewniającym niskie opóźnienie, ale monitoruje bieżący współczynnik błędów na każdym porcie. Gdy liczba uszkodzonych ramek CRC przekroczy zdefiniowany próg, przełącznik automatycznie przełącza dany port w tryb store-and-forward. Po ustabilizowaniu się łącza i spadku liczby błędów poniżej progu, port wraca do trybu cut-through.

Mechanizm ten jest szczególnie przydatny w sieciach, w których okresowo występują zakłócenia elektromagnetyczne (np. w halach produkcyjnych) lub gdy używane są przewody miedziane o niskiej jakości. Przełączniki Cisco określają tę funkcję mianem Adaptive Cut-Through, a próg przełączania można konfigurować przez interfejs CLI. Warto pamiętać, że przełączanie adaptacyjne wymaga buforowania całych ramek nawet w trybie cut-through, co nieznacznie zwiększa złożoność sprzętową układu ASIC.

Ważne jest zrozumienie, że przełącznik co prawda segmentuje domeny kolizyjne, ale nie segmentuje domen rozgłoszeniowych. Oznacza to, że wszystkie porty przełącznika (bez konfiguracji VLAN) należą do tej samej domeny rozgłoszeniowej. Jeśli któreś urządzenie wyśle ramkę broadcast (adres docelowy FF:FF:FF:FF:FF:FF), przełącznik rozsyła ją na wszystkie porty. W dużych sieciach może to prowadzić do nadmiernego ruchu broadcastowego. Rozwiązaniem jest podział sieci na mniejsze domeny rozgłoszeniowe za pomocą VLAN (Virtual LAN), które pozwalają na logiczne wydzielenie grup urządzeń w ramach jednego fizycznego przełącznika.

Przełącznik warstwy łącza danych (L2) podejmuje decyzje forwardingu wyłącznie na podstawie adresów MAC i nie ingeruje w adresy IP ani w warstwę sieciową. Ramki rozgłoszeniowe (broadcast) z docelowym adresem MAC FF:FF:FF:FF:FF:FF są domyślnie przekazywane na wszystkie porty z wyjątkiem portu źródłowego. Oznacza to, że wszystkie urządzenia podłączone do jednego przełącznika (lub kaskadowo połączonych przełączników) znajdują się w tej samej domenie rozgłoszeniowej.

Brak segmentacji domeny rozgłoszeniowej prowadzi do problemów w rozbudowanych sieciach – każda ramka broadcastowa jest obsługiwana przez wszystkie stacje, nawet jeśli nie są adresatem. W sieci liczącej tysiąc hostów ruch broadcastowy może pochłonąć znaczną część przepustowości i obciążyć procesory wszystkich urządzeń. Rozwiązaniem tego problemu są sieci VLAN, które dzielą fizyczną sieć przełącznika na logicznie odizolowane domeny rozgłoszeniowe.

Domena rozgłoszeniowa (broadcast domain) to zbiór urządzeń sieciowych, które otrzymują ramki rozgłoszeniowe (broadcast) wysłane przez którekolwiek z nich. Adres broadcast MAC to FF:FF:FF:FF:FF:FF. Ramka broadcast musi być obsłużona przez każde urządzenie w domenie, co zużywa zasoby procesora i pasmo. Routery (warstwa 3) nie propagują broadcastów dalej, więc granice domeny rozgłoszeniowej wyznaczają routery. W obrębie przełącznika bez VLAN cała sieć LAN stanowi jedną domenę rozgłoszeniową. Im większa domena rozgłoszeniowa, tym więcej ruchu broadcastowego i gorsza wydajność. Optymalna wielkość to kwestia projektu sieci – zwykle nie więcej niż kilkaset urządzeń w jednej domenie.

Domena rozgłoszeniowa to zbiór urządzeń, które odbierają wszystkie ramki broadcastowe wysłane w sieci – adres docelowy FF:FF:FF:FF:FF:FF oznacza, że ramka ma być dostarczona do każdej stacji w tej samej domenie. Przełącznik warstwy 2 przekazuje broadcasty na wszystkie swoje porty, nie wykonując żadnej filtracji. Jedynym urządzeniem, które naturalnie zatrzymuje propagację broadcastów, jest router pracujący w warstwie 3 (IP), ponieważ nie przekazuje on ramek między interfejsami na poziomie MAC.

Wielkość domeny rozgłoszeniowej ma bezpośredni wpływ na wydajność sieci – w standardzie Ethernet każda stacja musi przetworzyć każdą odebraną ramkę broadcastową w warstwie łącza, nawet jeśli wyższe warstwy protokołu TCP/IP odrzucą ją jako nieadresowaną do siebie. W sieciach liczących setki hostów może to powodować znaczne obciążenie procesora każdej stacji. Z tego powodu projektanci sieci dążą do ograniczania wielkości domen rozgłoszeniowych poprzez podział na mniejsze podsieci IP i stosowanie VLAN-ów.

Choć broadcasty są często postrzegane jako „zło konieczne", pełnią one kluczowe funkcje w sieci LAN. Są niezbędne do automatycznego wykrywania i konfiguracji urządzeń:

ARP (Address Resolution Protocol): służy do mapowania adresów IP na adresy MAC. Gdy komputer chce wysłać dane do innego urządzenia w tej samej sieci, zna jego adres IP, ale nie zna adresu MAC. Wysyła więc ramkę ARP Request na adres broadcast, pytając: „Kto ma adres IP 192.168.1.10?". Urządzenie z tym IP odpowiada unicastem, podając swój adres MAC.
DHCP (Dynamic Host Configuration Protocol): nowy komputer w sieci wysyła ramkę broadcast (DHCP Discover) z pytaniem o adres IP. Serwer DHCP odpowiada, oferując adres.

Bez broadcastów dynamiczna konfiguracja sieci byłaby niemożliwa.

Protokół ARP (Address Resolution Protocol) jest niezbędny do działania sieci IP w technologii Ethernet, ponieważ umożliwia odwzorowanie adresu logicznego (IPv4) na adres fizyczny (MAC). Gdy host chce wysłać dane do innego hosta w tej samej sieci, wysyła ramkę ARP Request z broadcastowym adresem MAC FF:FF:FF:FF:FF:FF, pytając: „Kto ma adres IP X.X.X.X?". Właściwy host odpowiada unicastową ramką ARP Reply ze swoim adresem MAC, a odpowiedź jest zapisywana w lokalnej tablicy ARP na potrzeby przyszłych transmisji.

Protokół DHCP (Dynamic Host Configuration Protocol) również korzysta z ramek broadcastowych w fazie początkowej – klient wysyła DHCP Discover na adres IP 255.255.255.255 z docelowym adresem MAC FF:FF:FF:FF:FF:FF, ponieważ nie zna jeszcze swojego adresu IP ani adresu serwera DHCP. Serwer DHCP odpowiada ramką DHCP Offer, również broadcastową, jeśli klient nie ma jeszcze przypisanego adresu IP. Oba protokoły obrazują, dlaczego broadcasty są potrzebne w sieci lokalnej – służą do automatycznego wykrywania i konfiguracji urządzeń bez ręcznego nadzoru.

Gdy w sieci z przełącznikami istnieje więcej niż jedna ścieżka między dwoma punktami (redundantne połączenia), może powstać pętla sieciowa (loop). Pętla powoduje tzw. burzę broadcastową (broadcast storm) – ramka broadcast jest nieustannie przesyłana między przełącznikami, mnożąc się i zajmując całe dostępne pasmo. Wyobraźmy sobie dwa przełączniki połączone dwoma kablami. Gdy jeden komputer wyśle broadcast, przełącznik A przesyła go na wszystkie porty, w tym na oba połączenia do przełącznika B. Przełącznik B odbiera tę samą ramkę dwukrotnie i ponownie rozsyła ją dalej, również wracając do A. Proces się zapętla. W ciągu kilku sekund sieć zostaje całkowicie sparaliżowana.

Pętla w sieci przełączanej powstaje, gdy istnieje więcej niż jedna aktywna ścieżka między dwoma przełącznikami – ramka broadcastowa wysłana przez jeden host jest przekazywana dalej przez każdy przełącznik, który następnie odbiera ją ponownie z innego portu i transmituje jeszcze raz. Proces ten powtarza się w nieskończoność, a każda kopia ramki jest rozsyłana na wszystkie porty, co prowadzi do lawinowego wzrostu ruchu w sieci. Zjawisko to nosi nazwę burzy broadcastowej (broadcast storm) i może całkowicie zablokować działanie sieci w ciągu kilku sekund.

Efektem burzy broadcastowej jest całkowite wysycenie przepustowości łączy – rzeczywisty ruch użytkowników nie ma szansy zostać przesłany, ponieważ wszystkie łącza są zajęte przez kopie tych samych ramek broadcastowych. Obciążenie procesorów przełączników i podłączonych stacji rośnie wykładniczo, często prowadząc do odmowy usługi (DoS). Aby zapobiec powstawaniu pętli, w sieciach przełączanych stosuje się protokół STP (Spanning Tree Protocol), który blokuje nadmiarowe porty, pozostawiając tylko jedną aktywną ścieżkę między każdą parą przełączników.

Aby zapobiec pętlom, w przełącznikach stosuje się protokół STP (Spanning Tree Protocol, IEEE 802.1D). STP tworzy logiczną strukturę drzewiastą (bez pętli) w sieci fizycznie posiadającej redundantne połączenia. Działa w ten sposób, że blokuje niektóre porty, aby przerwać pętle, ale pozostawia je w gotowości (w stanie Blocking). Jeśli aktywne łącze ulegnie awarii, STP automatycznie odblokowuje zapasowy port, przywracając łączność. Cały proces zajmuje od kilkunastu do kilkudziesięciu sekund. Nowoczesne warianty, takie jak Rapid STP (RSTP, IEEE 802.1w), potrafią skrócić ten czas do kilku sekund. STP był jednym z kluczowych wynalazków umożliwiających budowanie niezawodnych sieci przełączanych.

Protokół STP (Spanning Tree Protocol) zdefiniowany w standardzie IEEE 802.1D zapobiega powstawaniu pętli w sieciach przełączanych. Przełączniki wymieniają się ramkami BPDU (Bridge Protocol Data Units), na podstawie których wybierany jest przełącznik główny (root bridge) i wyznaczane są najkrótsze ścieżki do niego. Porty, które nie leżą na tych ścieżkach, są blokowane – nie przekazują ruchu, ale w dalszym ciągu nasłuchują BPDU, by w razie awarii aktywnej ścieżki przejść w stan forwarding.

Wadą klasycznego STP jest czas zbieżności (convergence) wynoszący od 30 do 50 sekund, co w nowoczesnych sieciach jest niedopuszczalnie długie. Protokół RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w) skraca ten czas do kilku sekund, wprowadzając role portów alternate i backup oraz szybsze stany dysku. W środowiskach centrów danych często stosuje się jeszcze bardziej zaawansowane protokoły, takie jak MSTP (Multiple Spanning Tree Protocol), które pozwalają na równoważenie obciążenia między wieloma instancjami drzewa rozpinającego.

Przełączniki dzielą się na dwie podstawowe kategorie:

Switch niezarządzalny (unmanaged): urządzenie typu „plug-and-play". Nie ma interfejsu konfiguracyjnego, działa z domyślnymi ustawieniami. Obsługuje podstawowe funkcje warstwy 2 – uczenie tablicy MAC, forward/filter/flood. Jest tani, prosty w użyciu, ale nie oferuje zaawansowanych funkcji jak VLAN, STP, port security. Stosowany w domach i małych biurach.
Switch zarządzalny (managed): posiada interfejs konfiguracyjny (CLI, web, SNMP) i oferuje zaawansowane funkcje: VLAN, STP/RSTP, Port Security, LACP, QoS, mirroring portów, zarządzanie pasmem, monitorowanie. Jest droższy, wymaga wiedzy do konfiguracji, ale niezbędny w sieciach korporacyjnych.

Większość przełączników zarządzalnych obsługuje również zarządzanie przez sieć (np. SNMP, SSH).

Przełącznik niezarządzalny (unmanaged switch) to urządzenie działające w trybie „podłącz i graj" – nie ma interfejsu konfiguracyjnego, samodzielnie negocjuje szybkość i dupleks, a tablica adresów MAC jest zarządzana automatycznie. Jest to rozwiązanie tanie i proste, ale pozbawione jakichkolwiek mechanizmów bezpieczeństwa, QoS czy obsługi VLAN. Przełączniki niezarządzalne znajdują zastosowanie w sieciach domowych i małych biurach, gdzie wymagania co do kontroli ruchu są minimalne.

Przełącznik zarządzalny udostępnia interfejs konfiguracyjny (CLI, SNMP, HTTP/HTTPS), umożliwiający tworzenie VLAN-ów, konfigurację Port Security, STP/RSTP, agregację łączy (LACP) oraz monitorowanie ruchu. Zaawansowane modele oferują również funkcje warstwy 3, takie jak routing między VLAN-ami (inter-VLAN routing) czy listy kontroli dostępu ACL. Cena przełącznika zarządzalnego jest wyższa, ale elastyczność konfiguracji i możliwość diagnostyki sieci czynią go niezbędnym w środowiskach korporacyjnych i centrach danych.

W przełącznikach Cisco podstawowa konfiguracja portu odbywa się w trybie konfiguracji interfejsu. Oto przykładowe polecenia:

Switch> enable
Switch# configure terminal
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# description Port dla serwera
Switch(config-if)# speed 1000
Switch(config-if)# duplex full
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# spanning-tree portfast
Switch(config-if)# no shutdown
Switch(config-if)# end
Switch# copy running-config startup-config

Polecenia te ustawiają opis portu, szybkość i dupleks, przypisują port do VLAN 10, włączają PortFast (szybsze przejście do stanu Forwarding w STP) oraz aktywują interfejs.

W systemie Cisco IOS konfiguracja interfejsu przełącznika rozpoczyna się od wejścia w tryb konfiguracji interfejsu poleceniem `interface GigabitEthernet0/1`. Szybkość transmisji ustawia się komendą `speed {10|100|1000}`, a tryb dupleksu poleceniem `duplex {half|full|auto}`, przy czym zaleca się pozostawienie ustawień automatycznych (auto) dla obu parametrów. Błędna konfiguracja dupleksu – na przykład half z jednej strony łącza i full z drugiej – prowadzi do licznych błędów CRC i znaczącego spadku wydajności.

VLAN na porcie przypisuje się komendą `switchport access vlan `, a włączenie funkcji PortFast dla pojedynczego portu dostępowego wykonuje się poleceniem `spanning-tree portfast`. PortFast pomija etapy nasłuchiwania i uczenia w STP dla portów dostępowych (edge ports), dzięki czemu host może uzyskać adres DHCP natychmiast po podłączeniu. Dla dodatkowego bezpieczeństwa można połączyć PortFast z funkcją BPDU Guard, która automatycznie wyłącza port po odebraniu ramki BPDU, zapobiegając atakom na protokół STP.

VLAN (Virtual Local Area Network) to technologia pozwalająca na logiczny podział jednego fizycznego przełącznika (lub sieci przełączników) na kilka odizolowanych od siebie sieci LAN. Urządzenia w różnych VLAN-ach nie widzą swoich ramek, chyba że zostaną połączone przez router (routing między VLAN-ami). VLAN-y umożliwiają:

Segmentację domen rozgłoszeniowych – każdy VLAN to osobna domena rozgłoszeniowa.
Zwiększenie bezpieczeństwa – ruch między VLAN-ami jest blokowany na poziomie przełącznika.
Elastyczność – urządzenia mogą być grupowane logicznie, niezależnie od fizycznego położenia.
Redukcję kosztów – mniej fizycznych przełączników.

Ramki między przełącznikami są oznaczane znacznikiem VLAN (tagging) zgodnie ze standardem IEEE 802.1Q.

Sieć VLAN (Virtual Local Area Network) umożliwia logiczny podział infrastruktury fizycznej na odizolowane segmenty warstwy 2, bez względu na fizyczne położenie urządzeń. Każda sieć VLAN stanowi odrębną domenę rozgłoszeniową – ramki broadcastowe nie są przekazywane między różnymi VLAN-ami bez użycia routera lub przełącznika warstwy 3. Dzięki temu administrator może rozdzielić ruchem poszczególne działy firmy (np. kadry, księgowość i IT) w ramach jednego przełącznika fizycznego.

Standard IEEE 802.1Q definiuje sposób tagowania ramek Ethernet znacznikiem VLAN (VLAN tag) o długości 4 bajtów, który jest wstawiany między adres źródłowy MAC a pole EtherType. Tag zawiera 12-bitowy identyfikator VLAN (VLAN ID) pozwalający na wyróżnienie maksymalnie 4094 sieci VLAN. Gdy ramka opuszcza port trunk łączący przełączniki, znacznik jest zachowywany; po dotarciu do portu dostępowego (access port) znacznik jest usuwany, a ramka trafia do stacji końcowej w formie standardowego Ethernet II.

Port Security to funkcja dostępna w przełącznikach zarządzalnych, która pozwala ograniczyć liczbę adresów MAC dozwolonych na danym porcie. Dzięki temu możemy zapobiec podłączaniu nieautoryzowanych urządzeń do sieci. Działa to w następujący sposób: administrator określa maksymalną liczbę adresów MAC na porcie (np. 1, 2 lub 5) oraz definiuje, co ma się stać w przypadku naruszenia (violation). Dostępne są trzy tryby reakcji:

Protect: odrzuca ramki z nieznanych adresów MAC, ale nie zgłasza naruszenia.
Restrict: odrzuca ramki i wysyła powiadomienie (log/syslog).
Shutdown: blokuje port (errdisable) – najbezpieczniejszy tryb.

Przykładowa konfiguracja: switchport port-security maximum 1, switchport port-security violation shutdown.

Funkcja Port Security ogranicza liczbę adresów MAC, które mogą być aktywne na pojedynczym porcie przełącznika – administrator definiuje maksymalną liczbę dozwolonych adresów (domyślnie 1) oraz sposób postępowania po jej przekroczeniu. W trybie `protect` ramki z nieznanego adresu MAC są odrzucane, ale port pozostaje aktywny. Tryb `restrict` działa podobnie, dodatkowo generując komunikat syslog i zwiększając licznik naruszeń. Tryb `shutdown` jest najsurowszy – port przechodzi w stan err-disable i wymaga ręcznego lub automatycznego przywrócenia.

Konfiguracja Port Security w Cisco IOS obejmuje polecenia: `switchport port-security` włączające funkcję na interfejsie, `switchport port-security maximum ` określające limit adresów MAC oraz `switchport port-security violation {protect | restrict | shutdown}` definiujące reakcję na naruszenie. Adresy MAC można wpisać statycznie lub pozwolić przełącznikowi na ich dynamiczne uczenie do określonego limitu. Należy pamiętać, że Port Security nie jest skutecznym zabezpieczeniem przed atakiem MAC spoofing, ponieważ atakujący może podszyć się pod dozwolony adres – w takiej sytuacji niezbędne są dodatkowe mechanizmy, takie jak 802.1X.

MAC Flooding to jeden z podstawowych ataków na warstwę 2. Atakujący wysyła ogromną liczbę ramek z losowymi, fałszywymi adresami MAC źródłowymi. Celem jest przepełnienie tablicy MAC przełącznika. Gdy tablica MAC zostanie zapełniona (pamięć CAM się wyczerpie), przełącznik nie jest w stanie zapamiętać nowych adresów i przechodzi w tryb „fail-open" – zaczyna zachowywać się jak hub, wysyłając wszystkie ramki na wszystkie porty (flooding nieznanych unicastów). Dzięki temu atakujący może przechwytywać ruch przeznaczony dla innych urządzeń. Zabezpieczeniem przed tym atakiem jest funkcja Port Security (ograniczenie liczby adresów MAC na porcie) oraz stosowanie przełączników z większymi tablicami MAC.

Atak MAC flooding polega na wysłaniu przez atakującego dużej liczby ramek Ethernet z losowymi adresami źródłowymi MAC w krótkim czasie. Tablica CAM (Content Addressable Memory) przełącznika ma ograniczoną pojemność – po jej wypełnieniu przełącznik nie może już zapamiętać nowych adresów i przechodzi w tryb awaryjny. W tym trybie ramki kierowane do nieznanych adresów MAC są rozsyłane na wszystkie porty, tak jak w koncentratorze (hubie), co umożliwia atakującemu przechwytywanie ruchu kierowanego do innych hostów.

Aby zabezpieczyć się przed atakiem MAC flooding, stosuje się funkcję Port Security, która ogranicza liczbę adresów MAC na porcie, lub dynamiczną kontrolę portów przez protokół 802.1X. W bardziej zaawansowanych sieciach wykorzystuje się również mechanizmy takie jak DHCP Snooping i DAI, które uniemożliwiają atakującemu podszycie się pod adres MAC serwera DHCP. Mimo tych zabezpieczeń administrator powinien regularnie monitorować obciążenie tablicy CAM oraz logi przełącznika w poszukiwaniu nietypowych zdarzeń.

ARP Spoofing (zwany również ARP Poisoning) to atak polegający na wysyłaniu fałszywych odpowiedzi ARP w sieci lokalnej. Atakujący wysyła ramkę ARP Reply, w której podszywa się pod inne urządzenie (np. bramę domyślną), podając swój adres MAC jako adres MAC bramy. Ofiary aktualizują swoje tablice ARP i zaczynają wysyłać ruch przeznaczony do bramy na adres MAC atakującego. Atakujący może następnie przechwytywać, modyfikować lub blokować ten ruch (man-in-the-middle). Zabezpieczeniem są:

Statyczne wpisy ARP (na małą skalę).
Funkcja DAI (Dynamic ARP Inspection) na przełącznikach zarządzalnych, która weryfikuje poprawność pakietów ARP.
Segmentacja sieci za pomocą VLAN-ów.

ARP spoofing (zwany również ARP poisoning) polega na wysyłaniu przez atakującego sfałszowanych ramek ARP Reply do ofiary, w których adres IP bramy domyślnej (lub innego hosta) jest powiązany z adresem MAC atakującego. Ofiara aktualizuje swoją tablicę ARP i od tego momentu cały ruch przeznaczony do bramy domyślnej trafia do maszyny atakującego. Atakujący może następnie przeglądać pakiety w trybie MITM (Man-in-the-Middle), modyfikować je lub blokować, zanim przekieruje je do prawdziwej bramy.

Skutecznym zabezpieczeniem przed ARP spoofingiem jest mechanizm DAI (Dynamic ARP Inspection), który działa w połączeniu z DHCP Snoopingiem. Przełącznik przechwytuje wszystkie ramki ARP i weryfikuje je względem bazy danych DHCP Snooping – jeśli adres MAC nadawcy nie zgadza się z danymi przypisanymi przez serwer DHCP, ramka jest odrzucana. Dodatkowo można stosować statyczne wpisy ARP na krytycznych urządzeniach oraz szyfrowanie ruchu na wyższych warstwach (IPsec, TLS), które uniemożliwia odczytanie danych nawet po przechwyceniu ramek.

Drugim kluczowym urządzeniem warstwy 2 jest Access Point (AP), czyli punkt dostępowy sieci bezprzewodowej. AP działa jako pomost między siecią kablową (przewodową) a bezprzewodową. Z jednej strony podłączony jest do przełącznika za pomocą kabla Ethernet, z drugiej strony komunikuje się z urządzeniami klienckimi (laptopami, smartfonami) za pomocą fal radiowych. W uproszczeniu AP można traktować jako przełącznik bezprzewodowy – każdy klient Wi-Fi jest traktowany jak „wirtualny port". AP działa w warstwie 2, ponieważ operuje na ramkach Ethernet (choć z dodatkowym nagłówkiem 802.11).

Punkt dostępowy (Access Point) pełni rolę pomostu (bridge) między przewodową siecią Ethernet a bezprzewodową siecią Wi-Fi, pracując w warstwie łącza danych (L2). Ramki Ethernet ze strony przewodowej są przekształcane w ramki 802.11 i odwrotnie – AP nie wykonuje routingu IP, a jedynie przekazuje ramki między dwoma segmentami sieci. Dzięki temu urządzenia bezprzewodowe traktowane są jako pełnoprawni członkowie tej samej domeny L2 co urządzenia przewodowe, o ile znajdują się w tej samej sieci VLAN.

Współczesne punkty dostępowe obsługują standardy 802.11a/b/g/n/ac/ax (Wi-Fi 6) i oferują zaawansowane funkcje, takie jak obsługa wielu sieci SSID mapowanych na różne VLAN-y, równoważenie obciążenia między pasmami 2,4 GHz i 5 GHz oraz mechanizmy QoS (WMM). W dużych wdrożeniach korporacyjnych stosuje się kontrolery WLC (Wireless LAN Controller), które centralnie zarządzają setkami punktów dostępowych, dbając o ciągłość sesji podczas roamingowania klientów między AP-ami (fast roaming zgodny z 802.11r).

Wielu użytkowników domowych myli Access Point z routerem bezprzewodowym. Typowe urządzenie domowe (np. popularny router TP-Link) to tak naprawdę trzy urządzenia w jednym: router (warstwa 3), przełącznik (warstwa 2) i Access Point (warstwa 2). Sam Access Point jest urządzeniem warstwy 2 – nie wykonuje translacji adresów (NAT), nie przydziela adresów IP (DHCP) i nie kieruje ruchem między sieciami. Jego jedynym zadaniem jest konwersja ramek Ethernet na ramki 802.11 (Wi-Fi) i odwrotnie. Router domowy łączy te funkcje dla wygody użytkownika, ale w sieciach korporacyjnych są to osobne, wyspecjalizowane urządzenia.

Punkt dostępowy jest urządzeniem warstwy 2, a nie routerem – nie wykonuje translacji adresów NAT, nie przydziela adresów IP (z wyjątkiem wbudowanego serwera DHCP w modelach domowych) i nie podejmuje decyzji routingu. Jego zadaniem jest wyłącznie konwersja ramek między medium przewodowym a bezprzewodowym oraz przekazywanie ich na podstawie adresów MAC. W domowym urządzeniu określanym potocznie „routerem" tak naprawdę mamy do czynienia z trzema odrębnymi urządzeniami w jednej obudowie: routerem L3, przełącznikiem L2 (zwykle 4-portowym) i punktem dostępowym Wi-Fi.

Konsekwencją pracy AP w warstwie 2 jest fakt, że wszystkie urządzenia bezprzewodowe podłączone do tego samego AP znajdują się w tej samej domenie rozgłoszeniowej co hosty w sieci przewodowej. Oznacza to, że ramki ARP i DHCP są przekazywane między segmentem Wi-Fi a Ethernetem bez żadnej filtracji. Jeśli potrzebna jest separacja ruchu między siecią przewodową a bezprzewodową, konieczne jest skonfigurowanie oddzielnych VLAN-ów dla poszczególnych sieci SSID oraz zastosowanie przełącznika zarządzalnego lub routera obsługującego tagowanie 802.1Q.

Każda sieć bezprzewodowa identyfikowana jest przez dwa podstawowe parametry:

SSID (Service Set Identifier): to nazwa sieci Wi-Fi widoczna dla użytkowników. Może mieć długość do 32 znaków. Może być ukryta (nie jest rozgłaszana w beacon frames), ale to tylko pozorne zabezpieczenie – ukryte SSID można łatwo wykryć za pomocą odpowiednich narzędzi.
BSSID (Basic Service Set Identifier): to adres MAC interfejsu radiowego Access Pointa. Każde radio w AP ma swój unikalny adres MAC, który staje się BSSID. W przypadku sieci z wieloma AP o tym samym SSID (roaming), każdy z nich ma inny BSSID. Dzięki temu klient może odróżnić różne punkty dostępowe tej samej sieci.

SSID to ciąg znaków o maksymalnej długości 32 bajtów, umieszczany w ramkach zarządzających Beacon i Probe Response. BSSID to 48-bitowy adres MAC interfejsu radiowego punktu dostępowego – każda radiowa karta AP ma unikalny BSSID, nawet jeśli wiele interfejsów nadaje ten sam SSID. Ukrywanie SSID (tzw. closed network) polega na wyłączeniu pola SSID w ramkach Beacon, ale SSID i tak jest przesyłany jawnie w ramkach Probe Request i Probe Response, co czyni tę technikę nieskuteczną z punktu widzenia bezpieczeństwa.

Narzędzia takie jak Kismet czy Airodump-ng bez trudu wykrywają ukryte SSID, gdy klient łączy się z siecią lub gdy wysyła ramkę Probe Request. W standardzie IEEE 802.11w-2009 wprowadzono zarządzanie ramkami chronionymi (Protected Management Frames), które zapobiega fałszowaniu ramek deautoryzacji i rozłączania. W praktyce filtrowanie SSID nie jest mechanizmem ochronnym, a jedynie utrudnia konfigurację nowym klientom.

W sieciach bezprzewodowych nie można stosować protokołu CSMA/CD, ponieważ nadajnik nie jest w stanie jednocześnie nadawać i nasłuchiwać – sygnał własny zagłuszyłby sygnały innych. Ponadto nie wszystkie węzły mogą się wzajemnie słyszeć (problem ukrytego węzła). Dlatego w sieciach Wi-Fi stosuje się protokół CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Zamiast wykrywać kolizje po fakcie, CSMA/CA stara się im zapobiegać. Mechanizm działa następująco:

Urządzenie nasłuchuje, czy kanał jest wolny (Clear Channel Assessment – CCA).
Jeśli kanał jest zajęty, czeka losowy czas (backoff).
Jeśli kanał jest wolny, wysyła krótki sygnał RTS (Ready to Send), a AP odpowiada CTS (Clear to Send).
Dopiero po wymianie RTS/CTS urządzenie wysyła właściwe dane.

CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) różni się od CSMA/CD stosowanego w Ethernetu tym, że w łączu radiowym nadajnik nie może jednocześnie słuchać własnej transmisji – nie jest w stanie wykryć kolizji w locie. Zamiast tego stosuje się unikanie kolizji: stacja przed transmisją nasłuchuje kanału (CCA – Clear Channel Assessment), a gdy kanał jest zajęty, czeka losowy czas Backoff. Wykrywanie kolizji zastąpiono potwierdzeniami – po odebraniu ramki stacja docelowa wysyła ramkę ACK, a jej brak oznacza konieczność retransmisji.

Mechanizm CCA opiera się na dwóch metodach: pomiarze mocy sygnału (Energy Detection) oraz detekcji preambuły 802.11 (Carrier Sensing). Próg CCA dla pasma 20 MHz w standardzie 802.11n i nowszych wynosi minus 82 dBm dla sygnałów tego samego standardu. Jeśli suma czasu Backoff i retransmisji przekroczy limit (domyślnie 7 prób w 802.11a/g), ramka jest odrzucana przez warstwę MAC.

Problem ukrytego węzła (Hidden Node Problem) jest charakterystyczny dla sieci bezprzewodowych. Wyobraźmy sobie trzy urządzenia: A, B i C. A i C znajdują się po przeciwnych stronach Access Pointa B i nie słyszą się nawzajem (są poza zasięgiem). Gdy A zaczyna nadawać do B, C nie wie o tym (bo nie słyszy A) i również może zacząć nadawać. Dochodzi do kolizji w punkcie B. CSMA/CA nie rozwiązuje tego problemu w pełni, ponieważ A i C nie słyszą swoich transmisji i nie wiedzą, że medium jest zajęte. Rozwiązaniem jest mechanizm RTS/CTS, który rezerwuje kanał na czas transmisji – CTS wysłany przez B jest słyszany zarówno przez A, jak i C, więc C wstrzymuje się z nadawaniem.

Problem ukrytego węzła występuje, gdy dwie stacje (A i C) znajdują się w zasięgu tego samego punktu dostępowego, ale nie słyszą wzajemnie swoich transmisji. W efekcie obie mogą rozpocząć nadawanie w tym samym momencie, powodując kolizję ramek po stronie AP. Zjawisko to dotyczy szczególnie sieci o topologii rozproszonej, gdzie odległość między stacjami jest większa niż zasięg ich radia, lecz każda z nich łączy się z centralnym AP.

Problem nasila się w pasmach wyższych częstotliwości (5 GHz i 6 GHz), gdzie tłumienie sygnału jest silniejsze, a zasięg mniejszy. Rozwiązaniem jest mechanizm RTS/CTS, który wymusza rezerwację kanału przed transmisją – stacja wysyła krótką ramkę RTS, a AP odpowiada ramką CTS, słyszalną przez wszystkie węzły w swojej domenie. W praktyce RTS/CTS włącza się tylko dla ramek powyżej określonego progu długości (domyślnie 2346 bajtów), aby uniknąć narzutu protokołu przy małych pakietach.

Mechanizm RTS/CTS (Request to Send / Clear to Send) to opcjonalna funkcja w standardzie 802.11, która pomaga rozwiązać problem ukrytego węzła. Proces wygląda następująco:

Urządzenie A chce wysłać dane do AP B. Najpierw wysyła krótką ramkę RTS, zawierającą adres docelowy i przewidywany czas trwania transmisji.
AP B odpowiada ramką CTS, która zawiera ten sam czas trwania. CTS jest wysyłany broadcastem – słyszą go wszystkie urządzenia w zasięgu, w tym C.
Wszystkie urządzenia, które usłyszały CTS (w tym C), ustawiają swój licznik NAV (Network Allocation Vector) na określony czas i wstrzymują się z nadawaniem.
A wysyła dane, a B potwierdza odbiór ramką ACK.

RTS/CTS zwiększa narzut protokołu, więc stosuje się go głównie dla dużych ramek lub w środowiskach z widocznym problemem ukrytego węzła.

Ramka RTS (Request to Send) zawiera adres nadawcy, adres odbiorcy oraz pole Duration określające czas potrzebny na pełną wymianę ramek (RTS + CTS + data + ACK + przerwy SIFS). Punkt dostępowy po odebraniu RTS wysyła CTS (Clear to Send) z tym samym polem Duration, które jest odczytywane przez wszystkie inne stacje – ustawiają one lokalny licznik NAV (Network Allocation Vector) i wstrzymują transmisję na ten czas. Dzięki temu nawet węzły niewidzące nadawcy (ukryte) wiedzą, że kanał jest zajęty.

Wartość NAV jest przechowywana w każdym węźle jako wskaźnik zajętości kanału na poziomie MAC – nie jest to fizyczny pomiar CCA, lecz wirtualny mechanizm wykrywania nośnej. Długość wymiany RTS/CTS jest niewielka (20 bajtów RTS, 14 bajtów CTS), więc narzut protokołu jest akceptowalny przy większych ramkach danych. W standardzie 802.11e (Wi-Fi Multimedia) wprowadzono możliwość nadawania priorytetów poprzez modyfikację przerw SIFS i okien rywalizacji.

Access Point może pracować w różnych trybach, w zależności od potrzeb sieci:

Root Mode (tryb główny): standardowy tryb AP – podłączony do sieci przewodowej, tworzy własną sieć bezprzewodową, do której mogą dołączać klienci.
Repeater Mode (wzmacniacz): AP łączy się bezprzewodowo z innym AP, wzmacniając sygnał i zwiększając zasięg sieci. Nie wymaga kabla Ethernet, ale traci połowę przepustowości.
Bridge Mode (most): AP łączy dwie oddzielne sieci przewodowe za pomocą łącza bezprzewodowego (point-to-point). Używane do łączenia budynków.
Client Mode (klient): AP działa jak klient Wi-Fi, podłączając się do innego AP. Używane w urządzeniach takich jak game adapters czy IoT bridge.

W trybie Root (znanym także jako Infrastructure Mode) AP działa jako punkt dostępowy podłączony przewodowo do sieci szkieletowej – jest to podstawowy tryb pracy, w którym AP przekazuje ramki między klientami bezprzewodowymi a siecią kablową. Tryb Repeater (wzmacniacz) odbiera sygnał od AP nadrzędnego i retransmituje go, działając jako most bezprzewodowy – wymaga jednak obsługi WDS (Wireless Distribution System) i powoduje spadek przepustowości o połowę na każdym skoku.

Tryb Bridge (most) łączy dwa segmenty sieci kablowej za pomocą łącza bezprzewodowego, najczęściej w topologii punkt–punkt (PtP) z dedykowanymi antenami kierunkowymi. Tryb Client (stacja kliencka) przekształca AP w zwykłą kartę sieciową Wi-Fi – np. router domowy w trybie Client może łączyć się z innym AP i udostępniać Internet swoim portom Ethernet. Współczesne kontrolery SD-WAN i systemy mesh (np. Google Wi-Fi, UniFi) zacierają te podziały, dynamicznie wybierając najlepszą rolę dla każdego węzła.

W sieciach bezprzewodowych wyróżniamy dwie podstawowe struktury organizacyjne:

BSS (Basic Service Set): podstawowa jednostka sieci Wi-Fi. Składa się z jednego AP oraz wszystkich klientów, którzy są z nim połączeni. Każdy BSS jest identyfikowany przez unikalny BSSID (adres MAC AP). Wszystkie klienty w BSS komunikują się przez AP.
ESS (Extended Service Set): zestaw wielu BSS połączonych ze sobą za pomocą systemu dystrybucyjnego (zwykle sieci przewodowej). Wszystkie AP w ESS mają ten sam SSID, co pozwala klientom na płynne przechodzenie między nimi (roaming). Dzięki ESS można pokryć dużym zasięgiem całe biura, kampusy czy hotele.

Dodatkowo istnieje tryb IBSS (Independent BSS), czyli sieć ad-hoc bez AP, gdzie urządzenia komunikują się bezpośrednio.

Podstawowa jednostka strukturalna sieci 802.11 to BSS (Basic Service Set), składająca się z pojedynczego AP oraz wszystkich stacji klienckich z nim stowarzyszonych. Każdy BSS jest jednoznacznie identyfikowany przez BSSID (MAC interfejsu AP), a ramki w obrębie BSS są adresowane właśnie tym adresem docelowym. W trybie infrastruktury wszystkie ramki przechodzą przez AP – stacje nie komunikują się bezpośrednio między sobą, chyba że włączono tryb Tunneled Direct Link Setup (TDLS).

ESS (Extended Service Set) to zbiór wielu BSS połączonych tym samym SSID i siecią szkieletową (DS – Distribution System), umożliwiający płynne przejście (roaming) między komórkami. Roaming w 802.11 jest decyzją klienta – stacja samodzielnie wybiera AP na podstawie siły sygnału (RSSI), obciążenia kanału i listy preferowanych sieci. W standardzie 802.11r (Fast Roaming) zredukowano czas przełączania dzięki wcześniejszemu uzgodnieniu kluczy szyfrowania z docelowym AP.

Bezpieczeństwo sieci bezprzewodowej opiera się na szyfrowaniu transmisji. Na przestrzeni lat stosowano różne standardy:

WEP (Wired Equivalent Privacy, 1997): pierwszy standard szyfrowania Wi-Fi. Używał 64- lub 128-bitowego klucza statycznego i algorytmu RC4. Szybko okazał się całkowicie niebezpieczny – złamanie klucza trwa kilka minut przy użyciu narzędzi takich jak aircrack-ng. Dziś uznawany za przestarzały i nigdy nie powinien być używany.
WPA2 (Wi-Fi Protected Access 2, 2004): standard obowiązkowy od 2006 roku. Używa AES (Advanced Encryption Standard) i CCMP. W trybie osobistym (WPA2-PSK) wykorzystuje współdzielone hasło (Pre-Shared Key). W trybie korporacyjnym (WPA2-Enterprise) integruje się z serwerem RADIUS. Do 2024 roku był złoty standardem bezpieczeństwa Wi-Fi.
WPA3 (2018): najnowszy standard. Wprowadza Simultaneous Authentication of Equals (SAE) zamiast PSK, co zapobiega atakom słownikowym offline. Oferuje też OWE (Opportunistic Wireless Encryption) dla otwartych sieci.

Protokół WEP (Wired Equivalent Privacy) z 1997 roku używał 40- lub 104-bitowego klucza statycznego oraz algorytmu RC4 z wektorem inicjalizującym (IV) o długości 24 bitów. Ponieważ IV jest przesyłany jawnie i powtarza się po wyczerpaniu puli 16,7 miliona wartości, atakujący może przechwycić wystarczającą liczbę pakietów (kilkadziesiąt tysięcy w ruchliwych sieciach) i odzyskać klucz w kilka sekund. Standard 802.11i z 2004 roku definitywnie wycofał WEP, zastępując go WPA2.

WPA2-PSK z szyfrowaniem AES-CCMP (Counter Mode with CBC-MAC Protocol) jest nadal powszechnie stosowany, jednak jest podatny na ataki offline na hasło (PMKID lub słownikowy atak na 4-way handshake). WPA3 wprowadza protokół SAE (Simultaneous Authentication of Equal) – pochodną metody Dragonfly – który zapewnia bezpieczeństwo nawet przy słabych hasłach i uniemożliwia przechwycenie klucza parytetowego. Dodatkowo tryb OWE (Opportunistic Wireless Encryption) w WPA3 umożliwia szyfrowanie sieci otwartych, zapobiegając pasywnemu podsłuchiwaniu w hotspotach.

Karta sieciowa (NIC – Network Interface Card) jest urządzeniem warstwy 2, ponieważ operuje na ramkach Ethernet. Każda karta sieciowa ma unikalny adres MAC i potrafi:

+------------------------------------------+
|         KARTA SIECIOWA - NIC             |
+------------------------------------------+
| Warstwa 2: analiza ramek, adres MAC      |
| Warstwa 1: kodowanie/dekodowanie sygnału |
+------------------------------------------+
| Interfejs: PCIe / USB / M.2              |
| Łącze: RJ-45 (Ethernet) / Antena (Wi-Fi)|
+------------------------------------------+
| Buforowanie ramek                        |
| Obliczanie sumy kontrolnej (FCS)         |
| Filtrowanie ramek (nieunicast/broadcast) |
+------------------------------------------+

Karta sieciowa odbiera wszystkie ramki docierające na jej interfejs, ale przekazuje do systemu operacyjnego tylko te, które są adresowane do niej (lub broadcast/multicast, jeśli jest skonfigurowana). Tryb promiscuous pozwala na przechwytywanie wszystkich ramek.

Karta sieciowa (NIC) w warstwie łącza danych odpowiada za tworzenie ramek Ethernet: dodaje nagłówek z adresem MAC źródła i przeznaczenia, identyfikatorem EtherType oraz sekwencję kontrolną FCS (Frame Check Sequence) opartą na algorytmie CRC-32. Po stronie odbiorczej NIC weryfikuje FCS – jeśli suma kontrolna się nie zgadza, ramka jest odrzucana w milczeniu, bez powiadamiania warstwy wyższej. Karta filtruje również ramki według adresu MAC: odrzuca wszystkie, których adres docelowy nie jest jej własnym adresem, adresem rozgłoszeniowym (FF:FF:FF:FF:FF:FF) ani adresem multicastowym, na który karta została zaprogramowana.

Współczesne karty sieciowe korzystają z techniki offloadingu – część zadań L2 (obliczanie sumy kontrolnej TCP/IP, segmentacja dużych pakietów TSO/LSO) jest wykonywana sprzętowo, co odciąża procesor główny. Karty 10 GbE i szybsze używają interfejsu PCIe 3.0/4.0 i wielościeżkowego RSS (Receive Side Scaling), który rozdziela przychodzące ramki między wiele rdzeni procesora. W środowiskach serwerowych stosuje się funkcję SR-IOV, umożliwiającą bezpośrednie przypisanie funkcji wirtualnej NIC do maszyny wirtualnej z pominięciem hipernadzorcy.

Link Aggregation (znany również jako EtherChannel u Cisco, LACP – Link Aggregation Control Protocol, IEEE 802.3ad) to technika łączenia kilku fizycznych portów przełącznika w jeden logiczny interfejs. Daje to dwie główne korzyści:

Zwiększenie przepustowości: agregacja czterech portów 1 Gb/s daje logiczne łącze 4 Gb/s (w full-duplex 8 Gb/s).
Redundancja: jeśli jeden z fizycznych portów ulegnie awarii, ruch jest automatycznie przenoszony na pozostałe, bez przerywania połączenia.

Mechanizm dystrybucji ramek między porty fizyczne opiera się na funkcji skrótu (hash) z adresów MAC źródła i celu oraz opcjonalnie adresów IP i numerów portów. Dzięki temu ramki w ramach jednej sesji są zawsze przesyłane tym samym łączem fizycznym, co zachowuje kolejność pakietów.

Agregacja łączy (Link Aggregation) zdefiniowana w standardzie IEEE 802.3ad (obecnie 802.1AX) pozwala na połączenie wielu fizycznych portów Ethernet w jeden interfejs logiczny (LAG). Ruch jest rozdzielany między łącza według algorytmu haszującego (hash), który może uwzględniać adresy MAC źródła i przeznaczenia, adresy IP oraz numery portów TCP/UDP. Dzięki haszowaniu wszystkie pakiety należące do jednej sesji trafiają do tego samego łącza, co zachowuje kolejność pakietów (nie ma potrzeby resekwencjonowania).

Protokół LACP (Link Aggregation Control Protocol) automatyzuje negocjację agregacji – wysyła ramki LACPDU w celu wykrycia sąsiedniego urządzenia, uzgodnienia parametrów i monitorowania stanu łącza. Maksymalna liczba portów w jednym LAG-u według standardu wynosi 8 (choć niektórzy producenci implementują więcej). Przełącznik może tworzyć do 128 grup agregacji (liczby zależą od platformy sprzętowej i pojemności pamięci CAM).

Przełącznik warstwy 3 (Layer 3 Switch, zwany też multilayer switch) to urządzenie hybrydowe łączące funkcje przełącznika warstwy 2 i routera warstwy 3. Potrafi zarówno przełączać ramki w obrębie VLAN (jak zwykły switch L2), jak i routować pakiety między różnymi VLAN-ami (jak router), ale robi to w sprzęcie (ASIC), a nie w oprogramowaniu, co zapewnia dużo wyższą wydajność niż tradycyjny router. Przełączniki L3 są standardem w szkieletach sieci korporacyjnych (warstwa dystrybucji i rdzenia w modelu hierarchicznym). Umożliwiają routing między VLAN-ami bez potrzeby stosowania osobnego routera, co upraszcza architekturę sieci i obniża koszty.

Przełącznik warstwy 3 (zwany również przełącznikiem wielowarstwowym lub multilayer switch) łączy w jednym urządzeniu funkcje przełączania L2 z rutowaniem L3 realizowanym w dedykowanych układach ASIC. W przeciwieństwie do routera programowego, gdzie decyzja o przekazaniu pakietu jest podejmowana przez procesor ogólnego przeznaczenia, przełącznik L3 wykonuje rutowanie z prędkością zbliżoną do wire-speed – sięgającą milionów pakietów na sekundę. Typowym przykładem jest seria Cisco Catalyst 3550/3650/9300, która potrafi rutować zarówno protokół IPv4, jak i IPv6 na wszystkich portach jednocześnie.

Decyzja rutingu w przełączniku L3 opiera się na trzech głównych krokach: sprawdzeniu tablicy rutingu (FIB), zmianie adresów MAC w nagłówku ramki, oraz zmniejszeniu pola TTL i ponownym obliczeniu sumy kontrolnej IP. Przełącznik L3 zazwyczaj obsługuje protokoły rutingu dynamicznego, takie jak OSPF, EIGRP i BGP (w modelach wyższych klas), ale w odróżnieniu od routera granicznego ma ograniczoną pamięć tablicy routingu. W praktyce przełączniki L3 pełnią rolę szkieletową w sieciach przedsiębiorstw, zastępując tradycyjne routery dystrybucyjne.

Porównanie działania urządzeń warstwy 2 i warstwy 3:

Warstwa 2 (przełącznik): decyzje oparte na adresach MAC. Operuje na ramkach. Nie analizuje adresów IP. Działa w obrębie jednej sieci LAN/VLAN. Nie blokuje ruchu broadcast. Oferuje niskie opóźnienia (latency w mikrosekundach). Wykorzystuje STP do zapobiegania pętlom. Segmentuje tylko domeny kolizyjne.
Warstwa 3 (router): decyzje oparte na adresach IP. Operuje na pakietach. Łączy różne sieci LAN/VLAN. Blokuje ruch broadcast (granica domeny rozgłoszeniowej). Wyższe opóźnienia (latency w milisekundach). Wykorzystuje protokoły routingu (OSPF, EIGRP, BGP). Segmentuje zarówno domeny kolizyjne, jak i rozgłoszeniowe.

Przełączniki L3 łączą zalety obu światów, umożliwiając szybkie przełączanie w obrębie VLAN i routowanie między VLAN-ami.

Podstawowa różnica między warstwą 2 a warstwą 3 tkwi w jednostce adresacji i zasięgu dostarczania ramek. Warstwa 2 operuje na adresach MAC (48 bitów, przypisanych na stałe do interfejsu) i dostarcza ramki tylko w obrębie jednej domeny kolizyjnej lub domeny rozgłoszeniowej – nie jest w stanie przekazać danych poza przełącznik bez rutingu. Warstwa 3 używa adresów IP (32 bity dla IPv4, 128 bitów dla IPv6), które mają strukturę hierarchiczną z częścią sieciową i hostową, co umożliwia skalowalne rutowanie w skali globalnego Internetu.

Domena rozgłoszeniowa warstwy 2 jest wyznaczana przez granice przełącznika (lub sieci VLAN) – ramka broadcast MAC (FF:FF:FF:FF:FF:FF) jest dostarczana do wszystkich portów w tej samej VLAN. Warstwa 3 natomiast nie propaguje pakietów broadcast przez rutery – rutownik zatrzymuje je na interfejsie, co zapobiega zalewaniu całej sieci ruchem rozgłoszeniowym. Z tego powodu projektowanie sieci opiera się na równowadze: im mniejsza domena L2, tym mniej niepotrzebnego ruchu broadcast, ale więcej konieczności rutowania.

Warstwa łącza danych (warstwa 2) pełni w modelu ISO/OSI następujące kluczowe funkcje:

Adresacja fizyczna: wykorzystuje adresy MAC do identyfikacji urządzeń w sieci lokalnej.
Hermetyzacja: tworzy ramki, dodając nagłówek (adresy MAC źródła i celu) oraz stopkę (FCS).
Segmentacja domen kolizyjnych: przełączniki izolują ruch między portami, eliminując kolizje.
Wykrywanie błędów: suma kontrolna FCS pozwala wykryć uszkodzone ramki.
Kontrola dostępu do medium: CSMA/CD (dla hubów) lub CSMA/CA (dla Wi-Fi) zarządza dostępem do wspólnego medium.
Przekazywanie ramek: na podstawie tablicy MAC – forward, flood lub filter.

Bez warstwy 2 komunikacja w sieci lokalnej byłaby niemożliwa – to ona stanowi pomost między warstwą fizyczną (bity) a warstwą sieciową (pakiety).

Warstwa łącza danych (L2) modelu OSI jest odpowiedzialna za niezawodną komunikację między dwoma bezpośrednio połączonymi węzłami w tej samej sieci fizycznej lub logicznej. Do jej kluczowych funkcji należy enkapsulacja pakietów warstwy 3 w ramki (ang. frame) z odpowiednim nagłówkiem i zakończeniem, w tym adresowaniem MAC oraz sumą kontrolną FCS. Ponadto L2 odpowiada za kontrolę dostępu do medium (MAC sublayer) – w Ethernetu jest to CSMA/CD (historycznie) lub przełączanie pełnodupleksowe, a w sieciach Wi-Fi – CSMA/CA.

Funkcja detekcji błędów w L2 opiera się na ciągu CRC-32 umieszczonym w polu FCS – karta sieciowa oblicza sumę dla odebranej ramki i porównuje z wartością w ramce; w przypadku niezgodności ramka jest cicho odrzucana. W przeciwieństwie do warstwy transportowej (TCP) L2 nie zapewnia retransmisji zagubionych ramek – to zadanie protokołów wyższych warstw. W sieciach przewodowych współczynnik błędów ramek (FER) jest bardzo niski (rzędu 10^-12), podczas gdy w łączach bezprzewodowych może sięgać 10^-4 lub więcej, co wymaga mechanizmów korekcji błędów (FEC) w standardach 802.11n/ac/ax.

Termin wire-speed (linia szybkości łącza) oznacza, że przełącznik jest w stanie przetwarzać ramki z prędkością równą prędkości łącza fizycznego, bez opóźnień związanych z przeciążeniem procesora. Kluczem do osiągnięcia wire-speed są specjalizowane układy scalone ASIC (Application-Specific Integrated Circuit). W przeciwieństwie do mostów, które przetwarzały ramki w oprogramowaniu na ogólnym procesorze CPU, przełączniki wykonują logikę przekazywania ramek w sprzęcie – w ASIC-ach zaprojektowanych specjalnie do tego zadania. ASIC potrafi analizować nagłówki ramek, wyszukiwać adresy MAC w tablicy CAM i przekazywać ramki na odpowiednie porty w czasie rzędu nanosekund. Nowoczesne przełączniki mają wiele ASIC-ów pracujących równolegle.

Wire-speed to termin określający zdolność przełącznika do przetwarzania i przekazywania ramek z prędkością równą szybkości interfejsu fizycznego. Dla portu Gigabit Ethernet oznacza to przepustowość 1 Gb/s w każdą stronę (full duplex), co przy minimalnym rozmiarze ramki 64 bajtów wymaga obsłużenia około 1,488 mln ramek na sekundę (pps). Przełączniki osiągają tę wydajność dzięki dedykowanym układom ASIC (Application-Specific Integrated Circuit), które wykonują całe przetwarzanie ścieżki danych w sprzęcie, bez angażowania procesora ogólnego przeznaczenia.

ASIC przełącznika implementuje w krzemie takie funkcje, jak odczyt adresu MAC źródła, wyszukiwanie w tablicy CAM (Content-Addressable Memory), dodanie lub usunięcie znacznika VLAN, aktualizację czasu wygaśnięcia wpisu, oraz przekazanie ramki do odpowiedniego portu wyjściowego. Wyszukiwanie w pamięci CAM odbywa się w jednym cyklu zegara (rzędu kilku nanosekund), niezależnie od liczby wpisów. Współczesne układy ASIC w przełącznikach 100 GbE (np. Broadcom Tomahawk 5) osiągają przepustowość ponad 25 Tb/s i obsługują zaawansowane funkcje, takie jak VXLAN, ACL czy szyfrowanie MACsec.

Podczas pracy z sieciami warstwy 2 można napotkać typowe problemy:

Niedopasowanie dupleksu (duplex mismatch): jeden koniec łącza pracuje w full-duplex, drugi w half-duplex. Skutkuje dużą liczbą błędów CRC i kolizji późnych (late collisions). Diagnoza przez show interfaces – szukamy błędów i kolizji.
Burza broadcastowa: pętla w sieci. Objawia się 100% użyciem CPU na przełącznikach i ekstremalnym ruchem broadcast. Diagnoza przez policzenie broadcastów na interfejsie. Rozwiązanie: STP.
Błędy FCS/CRC: uszkodzone ramki. Przyczyną może być uszkodzony kabel, zakłócenia elektromagnetyczne lub uszkodzony port.
Przepełnienie tablicy MAC: objawia się spowolnieniem sieci. Diagnoza przez show mac address-table count.

Podstawowe narzędzia diagnostyczne: ping (do testowania łączności), show interfaces, show mac address-table, analizator protokołów (Wireshark).

Niedopasowanie dupleksu (duplex mismatch) jest jednym z najczęstszych problemów w sieciach Ethernet – występuje, gdy jedna strona łącza działa w trybie pełnego dupleksu, a druga w półdupleksie. W takiej sytuacji strona półdupleksowa włącza mechanizm wykrywania kolizji i interpretuje ramki od strony pełnodupleksowej jako kolizję, co prowadzi do masowych retransmisji, błędów FCS i gwałtownego spadku przepustowości (efekt późnej kolizji). Diagnoza polega na sprawdzeniu liczników interfejsu: narastające wartości w kolumnach runts, CRC errors, collisions dla półdupleksu oraz frame check sequence errors dla pełnego dupleksu.

Burza rozgłoszeniowa (broadcast storm) zachodzi, gdy pętla w topologii L2 powoduje niekontrolowane namnażanie ramek broadcast – każdy przełącznik retransmituje ramkę na wszystkie porty, a ta wraca przez pętlę i jest retransmitowana ponownie. Mechanizmem obronnym jest STP (Spanning Tree Protocol) oraz funkcje ochronne, takie jak storm-control i BPDU Guard. Przepełnienie tablicy MAC (MAC table overflow) następuje, gdy atakujący wysyła ramki z losowymi adresami źródłowymi MAC, wypełniając pamięć CAM i zmuszając przełącznik do trybu floodowania (hub mode) – zapobiega temu limitowanie liczby adresów MAC na port (port security).

Projektując sieć warstwy 2, należy starannie zaplanować wielkość domen rozgłoszeniowych. Zbyt duża domena rozgłoszeniowa prowadzi do nadmiernego ruchu broadcast, który obciąża wszystkie urządzenia. Zbyt mała domena (zbyt wiele małych VLAN-ów) zwiększa złożoność konfiguracji i wymaga routingu między VLAN-ami. Zasady planowania:

Grupuj urządzenia według funkcji (np. admini, księgowość, goście) – każda grupa w osobnym VLAN-ie.
Uwzględnij ruch broadcast generowany przez protokoły (ARP, DHCP, NetBIOS). Jako regułę kciuka przyjmuje się nie więcej niż 200-500 urządzeń w jednej domenie rozgłoszeniowej.
Stosuj VLAN-y do izolacji ruchu wrażliwego (np. kamery IP, systemy kontroli dostępu).
Pamiętaj o routingu między VLAN-ami – musi być zapewniona łączność między sieciami tam, gdzie jest potrzebna.

Domena rozgłoszeniowa (broadcast domain) to zbiór urządzeń, które odbierają wzajemnie swoje ramki broadcast – w przełączanej sieci Ethernet bez VLAN jest to cała sieć L2, a po podziale na VLAN każda VLAN stanowi odrębną domenę. Zbyt duża domena rozgłoszeniowa powoduje marnowanie przepustowości: każdy host wysyła np. zapytania ARP (dla IPv4) lub Neighbor Solicitation (dla IPv6), które są obsługiwane przez wszystkie urządzenia w domenie, nawet jeśli nie dotyczą danej stacji. Zalecana wielkość domeny rozgłoszeniowej w sieci przedsiębiorstwa to 200–500 urządzeń, choć wartość ta zależy od charakteru ruchu i wydajności przełączników.

Projektowanie domen rozgłoszeniowych opiera się na odpowiednim przypisaniu VLAN do grup funkcjonalnych – osobna VLAN dla transmisji danych głosowych (VoIP), osobna dla ruchu zarządzającego, osobna dla gości i osobna dla urządzeń IoT. Router lub przełącznik L3 pełni funkcję bramy domyślnej dla każdej VLAN, umożliwiając komunikację między domenami. W nowoczesnych sieciach stosuje się zasadę zero-trust i mikrosegmentację opartą na grupach zabezpieczeń (SGACL w Cisco ISE), co wykracza poza tradycyjny podział na VLAN.

Najważniejsze pojęcia:

Warstwa 2 (łącza danych) odpowiada za adresację MAC, hermetyzację ramek i niezawodną transmisję między sąsiednimi węzłami.
Przełącznik (switch) to kluczowe urządzenie L2 – segmentuje domeny kolizyjne, uczy się adresów MAC i podejmuje decyzje forward/flood/filter.
Mikrosegmentacja tworzy osobne domeny kolizyjne dla każdego portu, umożliwiając tryb full-duplex i eliminując CSMA/CD.
STP (Spanning Tree Protocol) zapobiega pętlom w sieci przełączanej, blokując redundantne ścieżki.
VLAN-y dzielą sieć fizyczną na logiczne domeny rozgłoszeniowe, zwiększając bezpieczeństwo i elastyczność.
Access Point (AP) to urządzenie L2 łączące sieć kablową z bezprzewodową, stosujące CSMA/CA zamiast CSMA/CD.
Port Security i DAI chronią przed atakami MAC Flooding i ARP Spoofing.

Dziękuję Państwu za uwagę. Na następnym wykładzie przejdziemy do warstwy 3 – poznamy routery i adresację IP.

Warstwa łącza danych (L2) stanowi pomost między fizycznym medium transmisyjnym a warstwą sieciową, odpowiadając za niezawodną ramkę danych w obrębie jednego segmentu sieci. Przełącznik Ethernet (most wieloportowy) zastąpił koncentratory i mosty, wprowadzając mikrosegmentację – każdy port stanowi oddzielną domenę kolizyjną, co umożliwia jednoczesną transmisję wielu ramek bez kolizji. Protokół STP (802.1D), a następnie RSTP (802.1w) i MSTP (802.1s), eliminuje pętle w topologii sieci, zapewniając nadmiarowe ścieżki bez ryzyka burzy rozgłoszeniowej.

Sieci VLAN (802.1Q) dzielą jedną fizyczną sieć L2 na logicznie odizolowane segmenty, umożliwiając separację ruchu bez zmiany okablowania. W sieciach bezprzewodowych punkt dostępowy (AP) działa jako pomost L2 między klientami Wi-Fi a siecią kablową, enkapsulując ramki 802.11 do ramek Ethernet. Łącząc wszystkie te elementy – przełączanie, VLAN, STP, agregację łączy i bezpieczeństwo portowe – warstwa 2 dostarcza solidnego fundamentu dla komunikacji w sieciach lokalnych i kampusowych.