Strona Główna Część 1: Ethernet - Podstawy Część 2: Warstwa 1 OSI Część 3: Warstwa 2 OSI Część 4: Warstwa 3 OSI Część 5: Warstwy Wyższe
1/59
Część 3: Urządzenia Warstwy 2 - Świat Ramek i Adresów MAC

Witam na trzecim wykładzie!

Zostawiamy za sobą świat surowych bitów i sygnałów elektrycznych, wkraczając do Warstwy 2 Modelu OSI, czyli Warstwy Łącza Danych. To tutaj po raz pierwszy pojawia się inteligencja. Urządzenia tej warstwy potrafią już "czytać" podstawowe informacje adresowe i podejmować na ich podstawie decyzje. Gwiazdą dzisiejszego wykładu będzie przełącznik (switch) – urządzenie, które zrewolucjonizowało sieci lokalne, eliminując problemy wydajnościowe hubów. Zrozumiemy, jak działają, uczą się i przekazują dane. Przyjrzymy się też punktom dostępowym (Access Points), które pełnią rolę mostów do świata bezprzewodowego.
2/59
Problem do rozwiązania: Jedna domena kolizyjna
Przypomnijmy sobie największy problem urządzeń Warstwy 1, takich jak huby. Tworzyły one jedną, wielką domenę kolizyjną. Każda transmisja była rozsyłana do wszystkich, a w danym momencie mogło nadawać tylko jedno urządzenie. Prowadziło to do masowych kolizji, drastycznego spadku wydajności i braku bezpieczeństwa. Sieć przypominała jeden wielki, głośny pokój, w którym wszyscy próbowali mówić naraz. Potrzebny był mechanizm, który podzieliłby ten pokój na mniejsze, wyciszone kabiny, w których mogłyby odbywać się prywatne rozmowy.
3/59
Rola Warstwy 2: Warstwa Łącza Danych
Warstwa Łącza Danych (Data Link Layer) ma dwa główne zadania. Po pierwsze, zajmuje się ramkowaniem (framing), czyli pakowaniem danych z wyższych warstw w struktury zwane ramkami, dodając do nich nagłówek i stopkę. Po drugie, odpowiada za adresowanie fizyczne i kontrolę dostępu do medium. To właśnie w tej warstwie operujemy na adresach MAC. Głównym celem urządzeń L2 jest zapewnienie niezawodnej dostawy ramek w obrębie jednej sieci lokalnej (jednego segmentu). Dzieli się ona na dwie podwarstwy: LLC (Logical Link Control) - komunikacja z warstwą 3, oraz MAC (Media Access Control) - komunikacja z warstwą 1.
4/59
Adres MAC: Klucz do działania Warstwy 2
Jak już wiemy, adres MAC to unikalny, 48-bitowy identyfikator karty sieciowej. Z perspektywy Warstwy 2, adres MAC jest jak numer mieszkania w bloku. Jest to adres fizyczny, który pozwala jednoznacznie zidentyfikować konkretne urządzenie w danej sieci lokalnej. Urządzenia Warstwy 2, w przeciwieństwie do hubów, potrafią odczytać adresy MAC (źródłowy i docelowy) z nagłówka każdej ramki Ethernet. Ta umiejętność "czytania adresów" jest fundamentem ich inteligentnego działania i pozwala im przestać rozgłaszać wszystko do wszystkich.
5/59
Przodek przełącznika: Most (Bridge)
Zanim pojawiły się przełączniki, do segmentacji sieci używano mostów (bridges). Most to proste, zazwyczaj dwuportowe urządzenie Warstwy 2, które służyło do łączenia dwóch segmentów sieci (np. dwóch sieci na hubach). Jego zadaniem było inteligentne filtrowanie ruchu. Most uczył się, które adresy MAC znajdują się w którym segmencie i przepuszczał ramki przez siebie tylko wtedy, gdy adres docelowy znajdował się w innym segmencie niż adres źródłowy. Dzięki temu ruch lokalny w jednym segmencie był odizolowany od drugiego, co tworzyło dwie oddzielne domeny kolizyjne.
6/59
Jak uczył się most? Tablica MAC
Most, podobnie jak późniejszy przełącznik, budował w swojej pamięci tablicę adresów MAC (MAC address table). Proces nauki był prosty: gdy ramka przychodziła na dany port (np. Port 1), most odczytywał jej źródłowy adres MAC i zapisywał w tablicy informację: "Adres MAC nadawcy jest osiągalny przez Port 1". Następnie patrzył na adres docelowy. Jeśli znał port docelowy, wysyłał ramkę tylko tam. Jeśli nie znał, rozsyłał ją na wszystkie inne porty (w tym przypadku tylko na Port 2). Mosty były jednak urządzeniami programowymi (działały na CPU), co sprawiało, że były stosunkowo wolne.
7/59
Urządzenie nr 1: Przełącznik (Switch)
Przełącznik (switch) to ewolucyjne rozwinięcie idei mostu. Można go określić jako wieloportowy most działający w sprzęcie. Zamiast dwóch portów ma ich wiele (8, 24, 48 lub więcej), a proces podejmowania decyzji o przełączaniu ramek jest realizowany przez wyspecjalizowane układy scalone (ASIC - Application-Specific Integrated Circuit). Dzięki temu przełączniki mogą operować z pełną prędkością portów (wire-speed) i nie stanowią "wąskiego gardła" dla sieci. Przełącznik to absolutny fundament nowoczesnych sieci LAN.
8/59
Główna funkcja: Segmentacja Domen Kolizyjnych
Najważniejszą cechą przełącznika jest to, że każdy jego port tworzy osobną, niezależną domenę kolizyjną. Jeśli do 24-portowego przełącznika podłączymy 24 komputery, stworzymy 24 małe domeny kolizyjne, z których każda zawiera tylko dwa urządzenia: komputer i port przełącznika. W takiej sytuacji kolizje stają się praktycznie niemożliwe (zwłaszcza w trybie full-duplex). To rozwiązuje największy problem hubów i pozwala na jednoczesną, bezkolizyjną komunikację między wieloma parami urządzeń.
9/59
Domena Kolizyjna: Definicja i Analogia
Zdefiniujmy precyzyjniej: domena kolizyjna to logiczny obszar sieci komputerowej, w którym ramka danych wysłana z jednego urządzenia może zderzyć się z ramką wysłaną z innego urządzenia. Kolizja prowadzi do uszkodzenia obu ramek, co zmusza urządzenia do ich retransmisji po odczekaniu losowego czasu.

Analogia: Wyobraźmy sobie wąski, jednokierunkowy korytarz, którym poruszają się posłańcy. Domena kolizyjna to cały ten korytarz. Jeśli dwóch posłańców wejdzie do niego w tym samym czasie z przeciwnych końców, zderzą się w połowie drogi, zgubią swoje wiadomości i będą musieli wrócić, aby zacząć od nowa. Im więcej posłańców (urządzeń) korzysta z korytarza, tym częściej dochodzi do zderzeń.
10/59
Architektura Huba a Domena Kolizyjna
Hub jest jedną, wielką domeną kolizyjną ze względu na swoją wewnętrzną architekturę. Wewnątrz huba wszystkie porty są połączone ze sobą w jedną, wspólną magistralę elektryczną (shared bus). Sygnał wchodzący na dowolny port jest po prostu kopiowany elektrycznie i propagowany na wszystkie pozostałe porty. Nie ma tu żadnej inteligencji ani izolacji. Z elektrycznego punktu widzenia, hub to po prostu kawałek drutu rozgałęziony na wiele portów. Dlatego właśnie kolizja na jednym porcie jest natychmiast "widoczna" na wszystkich innych.
11/59
Mikrosegmentacja i Eliminacja Kolizji
Przełącznik realizuje koncepcję zwaną mikrosegmentacją. Każdy port jest odizolowany i tworzy swój własny, malutki segment sieci. Gdy do portu podłączone jest tylko jedno urządzenie, domena kolizyjna zostaje zredukowana do absolutnego minimum - obejmuje tylko kabel łączący to urządzenie z portem. Ponieważ na tym "mikrosegmencie" są tylko dwa punkty końcowe, a przełącznik jest na tyle inteligentny, by zarządzać przepływem danych, kolizje w praktyce nie występują. To z kolei pozwala na rezygnację z mechanizmu CSMA/CD i włączenie trybu full-duplex, co jest niemożliwe w jakiejkolwiek współdzielonej domenie kolizyjnej.
12/59
Proces uczenia się: Budowa Tablicy MAC
Przełącznik, tak jak most, buduje dynamicznie tablicę adresów MAC. Proces ten składa się z trzech kroków:
  1. SŁUCHAJ: Gdy ramka wpływa na port (np. Port 5), przełącznik odczytuje jej źródłowy adres MAC.
  2. UCZ SIĘ: Zapisuje w swojej tablicy powiązanie: adres MAC nadawcy jest na Porcie 5.
  3. DECYDUJ: Następnie patrzy na docelowy adres MAC i na podstawie tablicy podejmuje decyzję co dalej.
Wpisy w tablicy mają swój "czas życia" (aging time), zwykle 5 minut. Jeśli z danego adresu nie nadejdzie żadna ramka przez ten czas, wpis jest usuwany, aby tablica była zawsze aktualna.
13/59
Proces przełączania: Trzy scenariusze
Po zbudowaniu tablicy, proces podejmowania decyzji (przełączania) ma trzy możliwe ścieżki:
  1. Forwarding (Przekazanie): Switch zna port docelowy (jest w tablicy MAC). Przekazuje ramkę tylko i wyłącznie na ten jeden konkretny port. Jest to tzw. ramka unicast.
  2. Flooding (Zalewanie): Switch nie zna portu docelowego (nie ma go w tablicy). Rozsyła ramkę na wszystkie porty z wyjątkiem tego, z którego ją otrzymał. Jest to tzw. unknown unicast.
  3. Filtering (Filtrowanie): Port docelowy jest tym samym portem, z którego ramka przyszła. Switch po prostu ją odrzuca (filtruje), bo nie ma sensu wysyłać jej z powrotem.
Dodatkowo ramki broadcast (MAC FF:FF:FF:FF:FF:FF) są zawsze zalewane.
14/59
Przykład CLI: Wyświetlanie tablicy MAC
W przełącznikach zarządzalnych (managed switches), takich jak te firmy Cisco, możemy podłączyć się do interfejsu wiersza poleceń (CLI) i podejrzeć działanie urządzenia. Podstawową komendą do wyświetlenia tablicy adresów MAC jest `show mac address-table`. Pozwala ona zobaczyć, jakich adresów przełącznik nauczył się na poszczególnych portach, jakiego są typu (dynamiczne/statyczne) oraz do jakiego VLANu należą (o tym w przyszłości).
15/59
Wydajność: Równoległe konwersacje
Największą zaletą przełączników jest możliwość prowadzenia wielu jednoczesnych "rozmów". Ponieważ switch tworzy dedykowane, wirtualne połączenie między portem źródłowym a docelowym na czas transmisji jednej ramki, nie koliduje to z innymi transmisjami. Oznacza to, że w tym samym czasie komputer A może wysyłać duży plik do serwera B, a komputer C może strumieniować wideo z serwera D. Każda z tych transmisji może odbywać się z pełną prędkością portu (np. 1 Gb/s), a ich przepustowości się sumują. W sieci z hubem byłoby to niemożliwe.
16/59
Tryb Full-Duplex
Ponieważ każdy port przełącznika stanowi osobną domenę kolizyjną, a połączenia są realizowane w trybie punkt-punkt (komputer-port), nie ma potrzeby stosowania protokołu CSMA/CD. To z kolei pozwala na pracę w trybie full-duplex. Oznacza to, że urządzenie może jednocześnie nadawać i odbierać dane, wykorzystując osobne pary żył w skrętce do transmisji w każdą stronę. Efektywnie podwaja to przepustowość łącza – port 100 Mb/s w trybie full-duplex oferuje 100 Mb/s na wysyłanie i 100 Mb/s na odbieranie, co daje łączną przepustowość 200 Mb/s.
17/59
Metody przełączania: Store-and-Forward
To najpopularniejsza i najbardziej niezawodna metoda przełączania. W trybie Store-and-Forward przełącznik odbiera całą ramkę i zapisuje ją w buforze pamięci. Następnie sprawdza jej sumę kontrolną (FCS). Jeśli ramka jest uszkodzona (błędna suma kontrolna), zostaje odrzucona. Jeśli jest poprawna, przełącznik odczytuje docelowy adres MAC i wysyła ramkę na odpowiedni port.
  • Zalety: Bardzo wysoka niezawodność, odrzucanie uszkodzonych ramek.
  • Wady: Większe opóźnienie (latency), ponieważ switch musi czekać na całą ramkę.
Współczesne przełączniki są tak szybkie, że to opóźnienie jest pomijalne w większości zastosowań.
18/59
Metody przełączania: Cut-Through
Alternatywną, znacznie szybszą metodą jest Cut-Through. W tym trybie przełącznik nie czeka na całą ramkę. Zaczyna ją przesyłać dalej zaraz po odczytaniu docelowego adresu MAC, który znajduje się na samym początku nagłówka.
  • Zalety: Bardzo niskie opóźnienie, idealne do zastosowań wymagających minimalnych opóźnień, jak np. obliczenia o wysokiej wydajności (HPC).
  • Wady: Brak sprawdzania błędów. Przełącznik przesyła dalej również ramki uszkodzone, które i tak zostaną odrzucone przez urządzenie docelowe, co niepotrzebnie obciąża sieć.
19/59
Metody przełączania: Fragment-Free
Fragment-Free to metoda hybrydowa, stanowiąca kompromis między Store-and-Forward a Cut-Through. Przełącznik odczytuje pierwsze 64 bajty ramki, a następnie zaczyna ją przesyłać dalej. Dlaczego akurat 64 bajty? Ponieważ większość kolizji i błędów w sieciach Ethernet występuje na samym początku transmisji. Odczytanie 64 bajtów pozwala odfiltrować najbardziej oczywiste błędy (tzw. "runts", czyli ramki karłowate), jednocześnie zachowując niższe opóźnienie niż w Store-and-Forward. Dziś, ze względu na ogromną moc obliczeniową układów ASIC, większość przełączników domyślnie używa Store-and-Forward.
20/59
Algorytmy przełączania: Analiza opóźnień
Opóźnienie (latencja) wprowadzane przez przełącznik zależy od wybranej metody.
  • Cut-Through: Latencja jest stała i minimalna, niezależnie od rozmiaru ramki. Zależy tylko od czasu potrzebnego na odczytanie adresu MAC.
  • Store-and-Forward: Latencja jest zmienna i zależy od rozmiaru ramki. Im większa ramka, tym dłużej przełącznik musi czekać na jej całość, a więc tym większe opóźnienie.
Dla ramki o rozmiarze 1500 bajtów w sieci 1 Gb/s, różnica w opóźnieniu może wynosić kilkanaście mikrosekund. W większości zastosowań biurowych jest to niezauważalne, ale w centrach danych czy na giełdach papierów wartościowych każda mikrosekunda ma znaczenie.
21/59
Algorytm adaptacyjny (Adaptive Switching)
Niektóre zaawansowane przełączniki implementują czwartą, inteligentną metodę: przełączanie adaptacyjne. Taki przełącznik monitoruje na bieżąco jakość transmisji na każdym porcie, licząc liczbę błędnych ramek (np. z błędnym CRC).

Domyślnie, porty działają w trybie Cut-Through dla maksymalnej prędkości. Jeśli jednak liczba błędów na danym porcie przekroczy zdefiniowany próg, przełącznik automatycznie przełączy ten konkretny port w tryb Store-and-Forward. Dzięki temu zacznie on odfiltrowywać uszkodzone ramki, poprawiając stabilność sieci. Gdy liczba błędów spadnie, port może wrócić do trybu Cut-Through. To dynamiczne podejście łączy zalety obu głównych metod.
22/59
Switch a Domena Rozgłoszeniowa
Bardzo ważna zasada: przełączniki dzielą domeny kolizyjne, ale nie dzielą domen rozgłoszeniowych! Oznacza to, że jeśli jeden komputer wyśle ramkę broadcastową (do wszystkich), przełącznik, zgodnie ze swoją logiką, roześle ją na wszystkie inne porty. W standardowej konfiguracji, cała sieć podłączona do jednego lub wielu połączonych ze sobą przełączników stanowi jedną, wielką domenę rozgłoszeniową. W małych sieciach nie jest to problem, ale w dużych może prowadzić do "burzy broadcastowych" i spadku wydajności, bo każdy komputer musi przetwarzać każdą taką ramkę.
23/59
Domena Rozgłoszeniowa: Definicja i Analogia
Domena rozgłoszeniowa (broadcast domain) to logiczny obszar sieci, w którym wszystkie urządzenia otrzymają ramkę wysłaną na specjalny adres rozgłoszeniowy (MAC: FF:FF:FF:FF:FF:FF).

Analogia: Wyobraźmy sobie biurowiec, w którym zainstalowano system przeciwpożarowy. Domena rozgłoszeniowa to cały ten budynek. Niezależnie od tego, na którym piętrze i w którym pokoju zostanie wciśnięty przycisk alarmowy (wysłany broadcast), alarm (ramka broadcastowa) włączy się we wszystkich pomieszczeniach na wszystkich piętrach. Każdy musi przerwać pracę i zareagować na alarm. Granicą dla alarmu są dopiero drzwi wyjściowe z budynku (router).
24/59
Dlaczego broadcasty są potrzebne?
Skoro broadcasty mogą być problematyczne, to po co w ogóle istnieją? Są one niezbędne do działania kluczowych protokołów sieciowych, które muszą znaleźć jakąś usługę lub urządzenie bez znajomości jego konkretnego adresu. Dwa najważniejsze przykłady:
  • Protokół ARP (Address Resolution Protocol): Komputer zna adres IP sąsiada (np. 192.168.1.1), ale nie zna jego adresu MAC. Wysyła więc broadcast z pytaniem: "Kto ma adres IP 192.168.1.1? Podaj mi swój adres MAC!". Pytanie muszą usłyszeć wszyscy, aby właściwy adresat mógł na nie odpowiedzieć.
  • Protokół DHCP (Dynamic Host Configuration Protocol): Nowy komputer podłączony do sieci nie ma adresu IP. Wysyła więc broadcast z komunikatem: "Czy jest tu jakiś serwer DHCP? Potrzebuję adresu IP!".
25/59
Jak Switch Propaguje Broadcasty
Przełącznik zawsze przesyła dalej (zalewa) ramki broadcastowe, ponieważ jest to jego fundamentalne zadanie w Warstwie 2. Adres docelowy `FF:FF:FF:FF:FF:FF` jest adresem specjalnym. Nigdy nie pojawi się on w tablicy MAC jako adres źródłowy, więc przełącznik nigdy się go "nie nauczy" jako przypisanego do konkretnego portu. Zgodnie z logiką działania, każda ramka z nieznanym adresem docelowym musi zostać zalana. A ponieważ adres broadcast jest z definicji "nieznany" (bo oznacza "wszyscy"), reguła zalewania jest zawsze stosowana. Granicą domeny rozgłoszeniowej jest dopiero urządzenie Warstwy 3 - router.
26/59
Problem pętli w sieci: Burza Broadcastowa
Co się stanie, jeśli przez pomyłkę połączymy dwa porty tego samego przełącznika kablem, albo połączymy dwa przełączniki dwoma kablami dla redundancji? Stworzymy pętlę (loop) w topologii Warstwy 2. W takiej sytuacji jedna ramka broadcastowa wpadnie w nieskończoną pętlę - będzie krążyć między przełącznikami, a jej kopie będą wciąż zalewać wszystkie porty. Po kilku sekundach sieć zostanie całkowicie zapchana przez te krążące ramki i przestanie działać. Zjawisko to nazywamy burzą broadcastową.
27/59
Rozwiązanie: Spanning Tree Protocol (STP)
Aby zapobiegać pętlom, przełączniki zarządzalne używają protokołu STP (Spanning Tree Protocol). Protokół ten automatycznie wykrywa pętle w topologii sieci. Przełączniki komunikują się ze sobą, wybierają "główny" przełącznik (Root Bridge) i obliczają najlepszą, pozbawioną pętli ścieżkę do niego z każdego punktu sieci. Jeśli wykryją nadmiarową ścieżkę, która tworzy pętlę, jeden z portów na tej ścieżce jest logicznie blokowany. Port jest sprawny, ale nie przesyła danych, zapobiegając w ten sposób pętli. Jeśli główna ścieżka zawiedzie, STP automatycznie odblokuje port zapasowy, przywracając łączność.
28/59
Przełącznik niezarządzalny vs zarządzalny
Na rynku dostępne są dwa podstawowe typy przełączników. Przełączniki niezarządzalne (unmanaged) to proste urządzenia typu "plug-and-play". Nie posiadają żadnego interfejsu konfiguracyjnego. Wykonują swoje podstawowe zadanie przełączania ramek i tyle. Są tanie i idealne do małych, domowych sieci. Przełączniki zarządzalne (managed) to zaawansowane urządzenia z własnym systemem operacyjnym i interfejsem konfiguracyjnym (CLI, web, SNMP). Pozwalają na konfigurację zaawansowanych funkcji, takich jak STP, VLANy, Port Security, agregacja portów itp. Są one podstawą profesjonalnych sieci firmowych.
29/59
Podstawowa konfiguracja portu (CLI)
W przełącznikach zarządzalnych Cisco, konfiguracja odbywa się w trybie tekstowym. Aby skonfigurować pojedynczy port, wchodzimy w jego kontekst i możemy ustawić podstawowe parametry. Możemy dodać opis, aby wiedzieć, co jest podłączone, ręcznie ustawić prędkość i tryb dupleksu (choć auto-negocjacja zazwyczaj działa dobrze), czy też wyłączyć port administracyjnie.
30/59
Wirtualne sieci LAN (VLAN) - Wprowadzenie
Jak rozwiązać problem jednej, wielkiej domeny rozgłoszeniowej? Odpowiedzią są VLANy (Virtual LANs). Jest to technologia, która pozwala na logiczny podział jednego fizycznego przełącznika na wiele mniejszych, wirtualnych przełączników. Każdy VLAN stanowi osobną domenę rozgłoszeniową. Komputery w VLAN 10 nie "widzą" broadcastów z VLAN 20 i odwrotnie, mimo że są podłączone do tego samego fizycznego urządzenia. To tak, jakbyśmy w jednym dużym biurze postawili dźwiękoszczelne ściany, tworząc oddzielne działy (Księgowość, Marketing), które nie słyszą swoich rozmów.
31/59
Bezpieczeństwo w Warstwie 2: Port Security
Przełączniki zarządzalne oferują mechanizmy bezpieczeństwa na poziomie portu. Jednym z najważniejszych jest Port Security. Funkcja ta pozwala ograniczyć liczbę adresów MAC, które mogą być używane na danym porcie, a nawet przypisać na stałe konkretny adres MAC do portu. Jeśli nieautoryzowane urządzenie zostanie podłączone, przełącznik może podjąć jedną z trzech akcji: protect (odrzuca ramki z obcego MAC), restrict (odrzuca i wysyła alert) lub shutdown (całkowicie wyłącza port). To skuteczna metoda zapobiegania nieautoryzowanemu dostępowi do sieci.
32/59
Ataki w Warstwie 2: MAC Flooding
Jednym z klasycznych ataków na przełączniki jest MAC Flooding. Atakujący podłącza do portu komputer i za pomocą specjalnego oprogramowania zaczyna generować tysiące ramek, każdą z innym, losowym źródłowym adresem MAC. Przełącznik, próbując się ich wszystkich nauczyć, zapycha swoją tablicę MAC. Gdy tablica jest pełna, przełącznik nie może uczyć się nowych adresów i przechodzi w tryb "fail-open" – zaczyna zachowywać się jak hub, zalewając cały ruch na wszystkie porty. W tym momencie atakujący może podsłuchać cały ruch w sieci. Port Security jest skuteczną obroną przed tym atakiem.
33/59
Ataki w Warstwie 2: ARP Spoofing
Kolejnym groźnym atakiem jest ARP Spoofing lub ARP Poisoning. Protokół ARP służy do mapowania znanych adresów IP na nieznane adresy MAC (o tym więcej w cz. 4). Atakujący wysyła do ofiary (np. PC-A) i do bramy sieciowej (routera) fałszywe odpowiedzi ARP, w których twierdzi: "Adres IP routera to mój adres MAC" oraz "Adres IP PC-A to mój adres MAC". W rezultacie cały ruch między ofiarą a routerem zaczyna przechodzić przez komputer atakującego, co pozwala mu na podsłuchiwanie i modyfikowanie całej komunikacji (atak Man-in-the-Middle).
34/59
Urządzenie nr 2: Punkt Dostępowy (Access Point)
Przechodzimy do świata bezprzewodowego. Punkt dostępowy (AP) to urządzenie Warstwy 2, które działa jak most łączący sieć przewodową (Ethernet) z siecią bezprzewodową (WLAN, opartą na standardach 802.11, czyli Wi-Fi). Jego głównym zadaniem jest translacja (tłumaczenie) ramek. Odbiera ramkę Ethernet z kabla, konwertuje ją na ramkę 802.11 i wysyła drogą radiową do klienta bezprzewodowego. W drugą stronę, odbiera ramkę 802.11 od klienta, konwertuje ją na ramkę Ethernet i wysyła do sieci kablowej.
35/59
AP to NIE router!
To jedno z najczęstszych nieporozumień. Standardowy, "czysty" punkt dostępowy nie jest routerem. Działa on w Warstwie 2, co oznacza, że nie ma pojęcia o adresach IP ani o routingu między sieciami. Jest przezroczysty dla warstwy 3. Domowe "routery Wi-Fi" to w rzeczywistości urządzenia wielofunkcyjne, które w jednej obudowie łączą funkcje routera, przełącznika (zwykle 4-portowego) oraz punktu dostępowego. Ale w sieciach korporacyjnych te funkcje są realizowane przez oddzielne, dedykowane urządzenia.
36/59
Identyfikatory sieci Wi-Fi: SSID i BSSID
Każda sieć bezprzewodowa jest identyfikowana na dwa sposoby. SSID (Service Set Identifier) to publiczna, tekstowa nazwa sieci, którą widzimy na liście dostępnych sieci (np. "Uczelnia_WiFi", "Dom_Goscie"). Służy ona do tego, by użytkownicy mogli łatwo zidentyfikować sieć. Z kolei BSSID (Basic Service Set Identifier) to adres MAC interfejsu radiowego punktu dostępowego. Jest to unikalny identyfikator na poziomie Warstwy 2. Gdy łączymy się z siecią o danym SSID, nasz komputer w rzeczywistości nawiązuje połączenie z konkretnym BSSID.
37/59
Wi-Fi: Współdzielone Medium i CSMA/CA
Wszystkie urządzenia bezprzewodowe podłączone do jednego punktu dostępowego na tym samym kanale radiowym, współdzielą to medium. Działają więc w jednej domenie kolizyjnej. Jednak w radiu wykrywanie kolizji (Collision Detection) jest bardzo trudne. Dlatego sieci Wi-Fi używają mechanizmu CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) - Unikanie Kolizji. Zasada jest prosta: nasłuchuj, czy kanał jest wolny. Jeśli tak, odczekaj jeszcze krótki, losowy czas i dopiero zacznij nadawać. Dodatkowo, każda ramka musi być potwierdzona przez odbiorcę (ACK), co spowalnia komunikację, ale zapewnia jej niezawodność.
38/59
Problem Ukrytej Stacji (Hidden Node)
Jednym z fundamentalnych problemów CSMA/CA jest tzw. problem ukrytej stacji. Wyobraźmy sobie punkt dostępowy pośrodku i dwa laptopy na jego przeciwnych krańcach zasięgu. Laptop A "słyszy" AP, Laptop C "słyszy" AP, ale A i C są zbyt daleko, by słyszeć siebie nawzajem. Z perspektywy A, kanał jest wolny. Z perspektywy C, kanał też jest wolny. Mogą więc zacząć nadawać w tym samym czasie, a ich sygnały zderzą się w punkcie dostępowym, powodując kolizję, której nie mogły przewidzieć.
39/59
Rozwiązanie: RTS/CTS
Rozwiązaniem problemu ukrytej stacji jest opcjonalny mechanizm RTS/CTS (Request to Send / Clear to Send). Zanim stacja wyśle dużą ramkę danych, może najpierw wysłać do AP małą ramkę RTS. Punkt dostępowy, jeśli jest gotowy, odpowiada ramką CTS, która jest rozgłaszana do wszystkich w jego zasięgu. Stacja C, mimo że nie słyszała RTS od A, usłyszy CTS od AP. Ramka CTS zawiera informację o tym, jak długo A będzie nadawać. Dzięki temu C wie, że musi powstrzymać się od nadawania na ten czas, co zapobiega kolizji.
40/59
Tryby pracy punktu dostępowego
Punkty dostępowe mogą pracować w różnych trybach, w zależności od potrzeb. Najpopularniejsze to:
  • Access Point (Root Mode): Standardowy tryb, w którym AP jest podłączony do sieci przewodowej i obsługuje klientów bezprzewodowych.
  • Repeater/Extender: AP nie jest podłączony do kabla. Odbiera sygnał z innego AP i retransmituje go dalej, aby zwiększyć zasięg. Wadą jest spadek przepustowości o połowę.
  • Bridge (Point-to-Point): Dwa AP są skonfigurowane tak, aby tworzyły bezprzewodowy "most" tylko między sobą, łącząc dwie oddalone od siebie sieci przewodowe.
  • Client Mode: AP działa jak bezprzewodowa karta sieciowa dla urządzenia, które ma tylko port Ethernet (np. starsza drukarka).
41/59
Zestawy usług: BSS, ESS
W terminologii 802.11, sieć stworzona przez jeden punkt dostępowy i jego klientów nazywa się BSS (Basic Service Set). Jest ona jednoznacznie identyfikowana przez BSSID. W większych obiektach, jak kampus uniwersytecki, jeden AP to za mało. Używa się wtedy wielu punktów dostępowych, skonfigurowanych z tym samym SSID, ale działających na różnych kanałach radiowych i podłączonych do tej samej sieci przewodowej. Taka konfiguracja nazywa się ESS (Extended Service Set). Pozwala ona użytkownikom na płynne przemieszczanie się po całym obiekcie, a ich urządzenia automatycznie przełączają się między AP (tzw. roaming).
42/59
Bezpieczeństwo w Wi-Fi: Szyfrowanie
Ponieważ fale radiowe rozchodzą się we wszystkich kierunkach, podsłuchanie transmisji bezprzewodowej jest trywialnie proste. Dlatego absolutnie kluczowe jest szyfrowanie. Jest to mechanizm działający w Warstwie 2, który koduje zawartość ramek 802.11 tak, aby były nieczytelne dla osób nieznających hasła.
  • WEP (Wired Equivalent Privacy): Stary i całkowicie złamany standard. Nigdy nie należy go używać.
  • WPA (Wi-Fi Protected Access): Znacznie ulepszony następca WEP.
  • WPA2: Przez wiele lat standard branżowy, używający silnego szyfrowania AES. Nadal bardzo bezpieczny.
  • WPA3: Najnowszy standard, wprowadzający dodatkowe zabezpieczenia, np. przed atakami siłowymi (brute-force).
43/59
Uwierzytelnianie: PSK vs Enterprise
Samo szyfrowanie to nie wszystko, trzeba jeszcze uwierzytelnić użytkownika. Wyróżniamy dwa główne modele:
  • WPA-Personal (PSK - Pre-Shared Key): Najpopularniejszy model domowy. Wszyscy użytkownicy sieci znają i wpisują to samo hasło. Proste w konfiguracji, ale problematyczne, gdy ktoś odchodzi z firmy (trzeba zmieniać hasło wszystkim).
  • WPA-Enterprise (802.1X): Model korporacyjny. Nie ma jednego hasła. Każdy użytkownik loguje się swoim indywidualnym loginem i hasłem (lub certyfikatem), które są weryfikowane przez centralny serwer uwierzytelniający (RADIUS). Daje to pełną kontrolę nad dostępem i indywidualną odpowiedzialność.
44/59
Inne Urządzenie L2: Karta Sieciowa (NIC)
Choć myślimy o niej jako o części komputera, karta sieciowa (NIC - Network Interface Card) jest pełnoprawnym urządzeniem działającym na styku Warstwy 1 i 2. Odpowiada za fizyczne nadawanie i odbieranie sygnałów (Warstwa 1), ale również posiada wbudowany na stałe, unikalny adres MAC i jest odpowiedzialna za tworzenie i odbieranie poprawnie sformatowanych ramek Ethernet (Warstwa 2). Bez karty sieciowej komputer nie mógłby w ogóle uczestniczyć w komunikacji sieciowej na poziomie lokalnym. 
   Wnętrze Komputera
+----------------------------+
| Płyta główna               |
|   +-----+                  |
|   | CPU | -> dane          |
|   +-----+                  |
|     |                      |
|     V                      |
|   +-------------------+    |
|   | Karta Sieciowa    |    |
|   |-------------------|    |
|   | L2: MAC, Ramkowanie|    |
|   | L1: Sygnalizacja  |------> Port RJ-45
|   +-------------------+    |
+----------------------------+
45/59
Struktura Ramki: Ethernet II vs IEEE 802.3
Historycznie istniały dwa nieco różniące się formaty ramek. Ethernet II (standard DIX) stał się de facto standardem w sieciach IP. Posiada on 16-bitowe pole Type (Typ), które identyfikuje protokół warstwy wyższej (np. 0x0800 dla IPv4). Oficjalny standard IEEE 802.3 w tym samym miejscu ma pole Length (Długość), a informacja o typie protokołu jest przeniesiona do nagłówka LLC (podwarstwy L2). Współczesne karty sieciowe potrafią rozpoznać i obsłużyć oba formaty. Jeśli wartość w tym polu jest większa niż 1536 (0x0600), jest interpretowana jako Typ; jeśli mniejsza, jako Długość.
46/59
Agregacja Łączy (Link Aggregation)
Co zrobić, gdy potrzebujemy większej przepustowości między dwoma przełącznikami niż oferuje pojedyncze łącze 1 Gb/s, a nie chcemy jeszcze inwestować w 10 Gb/s? Rozwiązaniem jest agregacja łączy, znana też jako EtherChannel (Cisco) lub LACP (standard IEEE 802.3ad). Pozwala ona na logiczne połączenie kilku fizycznych portów (np. czterech portów 1 Gb/s) w jedno, logiczne łącze o sumarycznej przepustowości (4 Gb/s). Ruch jest rozkładany (balansowany) pomiędzy fizyczne linki, co zwiększa przepustowość i zapewnia redundancję – w razie awarii jednego kabla, ruch jest automatycznie przenoszony na pozostałe.
47/59
Przełącznik Warstwy 3 (Layer 3 Switch)
Na granicy między warstwą 2 a 3 znajduje się urządzenie hybrydowe: przełącznik warstwy 3. Jest to zaawansowany przełącznik, który oprócz wszystkich funkcji warstwy 2 (przełączanie ramek na podstawie MAC) posiada również część funkcjonalności routera (warstwa 3). Potrafi on routować pakiety IP między różnymi sieciami/VLANami. Robi to jednak za pomocą wyspecjalizowanych układów ASIC, dzięki czemu jest znacznie szybszy niż tradycyjny router. Jest to idealne urządzenie do routingu wewnątrz dużej sieci lokalnej (tzw. routing inter-VLAN).
57/59
Warstwa 2 vs Warstwa 3: Kluczowe rozróżnienie
Zbliżając się do końca tego wykładu, musimy podkreślić fundamentalną różnicę między Warstwą 2 a Warstwą 3, którą zajmiemy się następnym razem.
  • Warstwa 2 (Przełączanie): Używa adresów MAC do dostarczania ramek w obrębie jednej sieci lokalnej (jednej domeny broadcastowej/VLANu). Adresy MAC są fizyczne i niezmienne. Analogia: dostarczanie listu do konkretnego mieszkania w danym bloku.
  • Warstwa 3 (Routing): Używa adresów IP do przesyłania pakietów pomiędzy różnymi sieciami. Adresy IP są logiczne i mogą się zmieniać. Analogia: planowanie trasy dla listu między miastami (blokami).
Przełącznik jest jak listonosz na osiedlu, a router jak sortownia pocztowa między miastami.
58/59
Rola Warstwy 2: Podsumowanie
Warstwa 2 jest kluczowa dla wydajności i organizacji nowoczesnych sieci LAN. Jej głównym zadaniem jest inteligentne, lokalne dostarczanie ramek na podstawie adresów MAC. Urządzenia takie jak przełączniki rozwiązały problem wydajnościowy sieci opartych na hubach, poprzez drastyczną segmentację domen kolizyjnych. Punkty dostępowe rozszerzyły zasięg tej lokalnej dostawy na medium bezprzewodowe. To właśnie w tej warstwie podejmowane są decyzje "kto z kim rozmawia" wewnątrz naszej sieci lokalnej, zanim ruch zostanie ewentualnie przekazany wyżej, do Warstwy 3, aby opuścić sieć lokalną.
59/59
Podsumowanie Części 3

Najważniejsze pojęcia z dzisiejszego wykładu:

  • Domena kolizyjna to obszar, gdzie ramki mogą się zderzyć. Switch dzieli ją, tworząc osobny mikro-segment na każdym porcie.
  • Domena rozgłoszeniowa to obszar, do którego docierają broadcasty. Switch domyślnie jej nie dzieli.
  • Przełącznik (Switch) uczy się adresów MAC i na ich podstawie inteligentnie przekazuje ruch, eliminując kolizje i zwiększając wydajność.
  • Algorytmy przełączania (Store-and-Forward, Cut-Through) oferują kompromis między niezawodnością a szybkością.
  • Punkt dostępowy (Access Point) to most łączący sieć przewodową z bezprzewodową, tłumacząc ramki między tymi standardami.
Dziękuję Państwu za uwagę. W kolejnej części zajmiemy się Warstwą 3, gdzie poznamy routery i dowiemy się, jak dane podróżują pomiędzy różnymi sieciami.