Witam na czwartym wykładzie!

Dotarliśmy do serca komunikacji między sieciami – warstwy 3 modelu OSI, czyli warstwy sieciowej. Do tej pory skupialiśmy się na budowaniu wydajnych sieci lokalnych. Dziś nauczymy się, jak umożliwić im kontakt ze światem zewnętrznym. Centralnym punktem naszego wykładu będzie router – „mózg" operacji międzysegmentowych. Zgłębimy tajniki adresacji IP, zrozumiemy różnicę między pakietem a ramką i odkryjemy, jak routery wyznaczają najlepszą drogę dla danych. To właśnie tutaj zaczyna się prawdziwy „internetworking".

Dzięki przełącznikom (warstwa 2) potrafimy tworzyć szybkie sieci lokalne, w których komputery wewnątrz jednego VLANu komunikują się bez przeszkód. Co jednak, gdy stacja z sieci A chce wysłać dane do sieci B? Przełącznik jest tu bezradny – jego świat kończy się na granicach domeny rozgłoszeniowej i adresach MAC. Nie posiada on wiedzy o strukturze innych sieci.

Analogia: listonosz osiedlowy (przełącznik) doskonale zna każdy numer domu na swoim rewirze. Jeśli jednak list ma trafić do innego miasta (inna sieć), musi przekazać go do sortowni (router), która zajmie się wyznaczeniem trasy dalekobieżnej.

Warstwa sieciowa (Network Layer) pełni trzy główne role:

• Adresacja logiczna: nadaje urządzeniom unikalne adresy o charakterze logicznym (np. IP), niezależne od stałych adresów fizycznych (MAC).
• Routing (trasowanie): wyznacza optymalne ścieżki dla danych przepływających przez wiele połączonych sieci.
• Enkapsulacja i fragmentacja: przygotowuje pakiety do transportu, dzieląc je na mniejsze fragmenty, jeśli wymaga tego medium transmisyjne.

Podstawową jednostką danych w tej warstwie jest pakiet, na którym operują routery.

Pakiet (L3) jest jak list w kopercie – zawiera stały, niezmienny adres nadawcy i odbiorcy IP. Ramka (L2) to z kolei „pojazd", który przewozi ten list na konkretnym odcinku drogi. Adresy na ramce (MAC) zmieniają się na każdym etapie podróży (przy każdym przeskoku między routerami). Router odbiera ramkę, „wyjmuje" z niej pakiet IP, sprawdza adres docelowy w swojej tablicy, a następnie „pakuje" go w nową ramkę z nowymi adresami MAC i wysyła do kolejnego punktu na trasie.

Router to fundament warstwy 3. Łączy on co najmniej dwie odrębne sieci i zarządza ruchem między nimi na podstawie adresów IP. Cechy routera:

• Każdy interfejs routera posiada własny adres IP i należy do innej podsieci.
• Utrzymuje tablicę routingu – cyfrową mapę połączonych sieci.
• Działa jako bariera dla rozgłoszeń, nie pozwalając im opuścić sieci lokalnej.
• Wyznacza najlepszą ścieżkę do celu na podstawie metryk (np. liczby przeskoków czy prędkości łączy).

IPv4 wykorzystuje 32-bitowe adresy. Dla wygody zapisujemy je jako cztery oktety (liczby od 0 do 255) oddzielone kropkami.

Przykład: `192.168.10.5` | Binarnie: `11000000.10101000.00001010.00000101`

Adres IP pozwala na precyzyjną lokalizację urządzenia w dowolnym miejscu globalnej sieci, podobnie jak pełny adres pocztowy (Miasto, Ulica, Dom) pozwala znaleźć budynek na mapie świata.

Adres IP jest dwuczęściowy:

• Network ID (część sieciowa): identyfikuje konkretną podsieć. Jest identyczna dla wszystkich urządzeń w danej grupie lokalnej.
• Host ID (część hosta): identyfikuje konkretne urządzenie wewnątrz tej podsieci. Musi być unikalna lokalnie.

To jak nazwa ulicy i numer domu. Wszyscy sąsiedzi mieszkają na jednej „ulicy" (sieć), ale każdy pod innym numerem (host).

Maska podsieci informuje urządzenie, gdzie kończy się adres sieci, a zaczyna adres hosta. W zapisie binarnym maska to ciąg jedynek (oznaczających sieć) oraz zer (oznaczających hostów).

Przykład: `255.255.255.0` | Binarnie: `11111111.11111111.11111111.00000000`

Oznacza to, że pierwsze trzy oktety to „ulica", a ostatni to „numer domu", co pozwala na zaadresowanie do 254 urządzeń w jednej podsieci.

Komputer oblicza adres swojej sieci za pomocą logicznego AND (iloczynu bitowego) między adresem IP a maską.

Przykład: IP: `192.168.1.15` | Maska: `255.255.255.0` | Wynik AND: `192.168.1.0` (adres sieci)

Wszystkie hosty o tym samym wyniku operacji AND należą do tej samej podsieci i mogą rozmawiać bezpośrednio przez przełącznik, bez udziału routera.

W puli każdej sieci dwa adresy są „nietykalne":

• Adres sieci: pierwszy adres w puli (np. `.0`). Reprezentuje całą podsieć jako całość.
• Adres rozgłoszeniowy (broadcast): ostatni adres w puli (np. `.255`). Służy do wysyłania pakietu do absolutnie wszystkich hostów w danej podsieci.

Dlatego w sieci klasowej `/24` (maska `255.255.255.0`) mamy do dyspozycji 254 użyteczne adresy (od `.1` do `.254`).

Internet nie routuje wszystkich adresów. Pule prywatne (RFC 1918) są zarezerwowane dla sieci domowych i firmowych:

• `10.0.0.0 – 10.255.255.255` (10/8)
• `172.16.0.0 – 172.31.255.255` (172.16/12)
• `192.168.0.0 – 192.168.255.255` (192.168/16)

Każda inna pula to adresy publiczne, unikalne globalnie. Aby urządzenia z adresami prywatnymi mogły „wyjść" do Internetu, router musi zastosować mechanizm NAT (Network Address Translation).

Jeśli komputer chce wysłać pakiet do innego miasta (sieci), a po sprawdzeniu maski widzi, że odbiorca nie mieszka na jego „ulicy", wysyła pakiet do bramy domyślnej. Brama domyślna to adres IP interfejsu routera w naszej sieci lokalnej. To jedyne „wyjście" na świat. Bez poprawnie wpisanej bramy komputer może rozmawiać z sąsiadami przez przełącznik, ale nigdy nie otworzy strony internetowej hostowanej w innej sieci.

Do poprawnego działania w sieci urządzenie potrzebuje zestawu nazwanego tu „pełnym kwartetem":

1. Własny adres IP: unikalny identyfikator.
2. Maska podsieci: do rozróżniania sieci lokalnej od zdalnej.
3. Brama domyślna: adres routera wyjściowego.
4. Serwer DNS: adres tłumacza nazw (np. `google.pl` na konkretne IP).

Te dane mogą być wpisane ręcznie lub pobrane automatycznie przez DHCP.

W systemie Windows stan swojej konfiguracji L3 sprawdzisz poleceniem `ipconfig /all` w wierszu poleceń. Wynik pokaże ci m.in. adres fizyczny karty (MAC) oraz logiczny (IPv4/IPv6), a także czy adres został przypisany na stałe, czy pobrany z serwera DHCP. To pierwsze narzędzie, jakiego używa inżynier sieciowy podczas diagnozowania braku połączenia u użytkownika.

Dawniej adresy dzielono na sztywne klasy (A, B, C) o narzuconych maskach (8, 16, 24 bity). Było to skrajnie nieefektywne – gigantyczne firmy dostawały miliony adresów, których nie mogły zużyć. Obecnie stosujemy CIDR (zapis z ukośnikiem, np. `/24`), który pozwala na dowolne dzielenie puli adresowej. Pozwala to dostawcy Internetu (ISP) na precyzyjne przydzielanie klientom dokładnie takiej liczby adresów, jakiej potrzebują (np. sieci o masce `/29` dla małej firmy z 6 komputerami).

Tablica routingu to baza danych określająca, jak dotrzeć do poszczególnych sieci. Zawiera:

• Docelowa sieć i maska: region, do którego chcemy trafić.
• Interfejs wyjściowy: fizyczny port, przez który należy wypuścić pakiet.
• Next Hop (następny przeskok): adres IP kolejnego routera na trasie.
• Metryka: „koszt" trasy. Im niższa metryka, tym chętniej router wybierze tę drogę.

To jak tablica odjazdów: „Kraków – peron 4 – pociąg pośpieszny".

Proces przesyłania pakietu przez router:

1. Zdjęcie ramki L2 i odczytanie nagłówka IP.
2. Weryfikacja sumy kontrolnej nagłówka.
3. Szukanie w tablicy routingu najbardziej precyzyjnego dopasowania (zasada Longest Match).
4. Zmniejszenie pola TTL (Time to Live) o 1. Jeśli TTL osiągnie zero, pakiet ginie (zapobiega to pętlom).
5. Ponowne opakowanie w nową ramkę L2 i wysłanie dalej.

Jeśli router nie znajdzie żadnej pasującej trasy, pakiet jest natychmiast odrzucany.

W routerach Cisco tablicę routingu podejrzysz komendą `show ip route`. Litery na początku linii mówią o pochodzeniu trasy:

• C: Directly Connected – sieć podłączona bezpośrednio do routera.
• S: Static – trasa wpisana ręcznie przez administratora.
• O / D / B: trasy nauczone automatycznie od innych routerów (OSPF, EIGRP, BGP).
• L: Local – adres IP samego interfejsu routera.

Router automatycznie dodaje do tablicy trasy do sieci, które są podłączone bezpośrednio do jego portów. Wystarczy nadać interfejsowi adres IP i go włączyć. Takie trasy są uznawane za najbardziej wiarygodne (mają dystans administracyjny 0). Jeśli interfejs ulegnie awarii, trasa ta znika z tablicy, a router szuka alternatywnych dróg przez inne swoje porty.

Administrator ręcznie wpisuje trasę: „Do miasta X jedź przez bramę Y".

Zalety: nie obciąża procesora, jest bezpieczny (nikt „nie oszuka" routera nową trasą) i idealny dla małych sieci. Wady: nie skaluje się (ręczne wpisanie tysięcy tras jest niemożliwe) i nie reaguje na awarie. Jeśli łącze padnie, trasa statyczna nadal tam jest, a pakiety trafiają w próżnię.

W Cisco służy do tego prosta komenda: ip route [sieć] [maska] [następny_skok]
Przykład: Router(config)# ip route 10.10.10.0 255.255.255.0 192.168.1.1 Oznacza to: „Jeśli chcesz wysłać coś do sieci 10.10.10.x, przekaż to do sąsiada o adresie 192.168.1.1".

Trasa domyślna to „koło ratunkowe". Wpisuje się ją jako sieć `0.0.0.0` z maską `0.0.0.0`. Pasuje ona do każdego adresu IP. Jeśli router sprawdzi całą tablicę i nie znajdzie precyzyjnej drogi do celu, użyje trasy domyślnej i wyśle pakiet na ten interfejs. Zazwyczaj jest to kierunek do dostawcy Internetu (ISP).

Routery uruchamiają specjalne protokoły (OSPF, RIP, EIGRP), by rozmawiać ze sobą. Wymieniają się informacjami: „U mnie jest sieć A, jak chcesz tam wysłać, to dawaj do mnie". Dzięki temu mapa sieci buduje się sama. Jeśli dowolne łącze zostanie przerwane, routery błyskawicznie wykryją brak sygnału, powiadomią sąsiadów i wspólnie wyliczą nową drogę objazdową w ułamku sekundy.

Protokoły dzielimy na dwie klasy zasięgu:

• IGP (Interior): działają wewnątrz jednej firmy (np. OSPF). Szukają najszybszej ścieżki do drukarki czy serwera plików.
• EGP (Exterior): działają między globalnymi dostawcami Internetu (standard BGP). Służą do łączenia całych krajów i kontynentów, dbając o bezpieczeństwo i politykę biznesową wymiany ruchu.

Router musi umieścić pakiet w ramce L2, ale zna tylko IP sąsiada, a nie jego MAC. Używa więc protokołu ARP: wysyła zapytanie do sieci: „Kto posiada IP x.x.x.x? Podaj mi swój adres fizyczny". Urządzenie o tym IP odpowiada swoim adresem MAC. Router zapisuje to w pamięci (tablica ARP) i od tej pory może bez przeszkód „pakować" pakiety w ramki i wysyłać pod właściwy adres fizyczny następnego routera.

Adresy IPv4 wyczerpały się 3 lutego 2011 roku (data wyczerpania puli IANA), szybciej niż przewidywano. Globalny niedobór uniemożliwił przydzielenie publicznego adresu każdemu smartfonowi czy laptopowi na świecie. Rozwiązaniem tymczasowym, które stało się standardem, jest NAT (Network Address Translation). Pozwala on na ukrycie całej domowej czy firmowej sieci za jednym, wspólnym adresem publicznym.

Router brzegowy działa jak recepcjonista w firmie. Poczta wychodząca od pracowników (adresy prywatne) jest stemplowana adresem firmy (publiczny IP routera) i wysyłana w świat. Kiedy przychodzi odpowiedź, router zagląda do swojej „księgi gości" (tablicy translacji), sprawdza kto wysłał to zapytanie i przekazuje list do odpowiedniego biurka wewnątrz sieci lokalnej. Dzięki temu świat widzi tylko jeden adres, choć za routerem mogą być setki urządzeń.

Większość z nas używa PAT (Port Address Translation), często nazywanego NAT z nadmiarem (NAT Overload). Router rozróżnia urządzenia nie tylko po IP, ale po numerach portów. Jeśli dwóch domowników otwiera stronę Google naraz, router wysyła ich zapytania przez różne porty (np. 50001 i 50002). Kiedy przychodzi odpowiedź z serwera na port 50001, router wie, że to dla laptopa córki, a port 50002 to odpowiedź dla komputera ojca.

Aby uruchomić NAT, administrator musi:

1. Wskazać interfejs wewnętrzny (`ip nat inside`).
2. Wskazać interfejs zewnętrzny do Internetu (`ip nat outside`).
3. Stworzyć listę (ACL) adresów, które mają prawo korzystać z translacji.
4. Uruchomić samą regułę translacji z dopiskiem `overload`, aby włączyć wielokrotne wykorzystanie jednego adresu publicznego.

Jeśli prowadzisz serwer gier wewnątrz sieci i chcesz, by koledzy z zewnątrz mogli się połączyć, używasz NAT statycznego (przekierowania portów). Tworzysz na stałe powiązanie: „Każdy ruch z Internetu na mój publiczny IP ma natychmiast trafić do komputera o prywatnym adresie 192.168.1.50". To jedyny sposób, by ktoś z zewnątrz mógł zainicjować połączenie z urządzeniem ukrytym za NATem.

W dużej sieci (np. na lotnisku czy uczelni) ręczne wpisywanie IP każdemu jest niemożliwe. Prowadzi to do:

• Konfliktów adresów (dwie osoby z tym samym numerem).
• Błędów ludzkich (zły DNS lub brama).
• Ogromnych kosztów zarządzania i czasu.

Dlatego wymyślono DHCP – automat, który robi to za nas w ułamku sekundy po podłączeniu kabla.

DHCP to protokół klient-serwer. Serwer (często router) posiada pulę wolnych adresów. Gdy nowa stacja wchodzi do sieci, wysyła głośne wołanie o pomoc. Serwer „wydzierżawia" jej adres na określony czas (np. 24 godziny). Kiedy czas mija, stacja musi poprosić o przedłużenie, inaczej adres wraca do puli i może zostać nadany komuś innemu.

Komunikacja DHCP to cztery kroki:

1. Discover: klient woła: „Halo, szukam serwera!".
2. Offer: serwer odpowiada: „Mam dla Ciebie IP 192.168.1.50".
3. Request: klient decyduje: „Biorę ten adres, dziękuję".
4. Acknowledge: serwer potwierdza: „Zapisane, możesz używać przez 8 godzin".

W Cisco konfiguracja polega na stworzeniu „puli" (`dhcp pool`), nadaniu jej nazwy i określeniu zakresu sieci. Musimy też podać stacjom adres bramy (`default-router`) oraz serwerów DNS. Warto wykluczyć pewne adresy z automatycznego nadawania (np. pierwsze dziesięć numerów), by móc je nadać na stałe serwerom lub drukarkom bez ryzyka konfliktu.

To urządzenie „5 w 1". Choć nazywamy je routerem, w środku siedzi:

• Router (L3).
• Przełącznik 4-portowy (L2).
• Access Point Wi-Fi (L2).
• Serwer DHCP.
• Zapora sieciowa (bezpieczeństwo).

To serce domowej cyfrowej infrastruktury, które łączy te wszystkie różne technologie w jedną spójną całość.

ACL to zestaw reguł sprawdzanych od góry do dołu. Działają jak bramkarz w klubie: sprawdzają adres IP nadawcy, odbiorcy oraz porty. Jeśli pakiet pasuje do reguły `Permit`, przechodzi dalej. Jeśli trafi na `Deny`, jest natychmiast niszczony. Na końcu każdej listy jest niewidoczna reguła: „Czego nie pozwoliłem wyraźnie, to zabraniam" (Implicit Deny).

Standardowe ACL (numery 1-99) sprawdzają tylko adres nadawcy – są mało precyzyjne (blokują cały ruch od kogoś). Rozszerzone ACL (100-199) są „chirurgiczne": potrafią zablokować komuś dostęp do portalu Facebook, ale pozwolić tej samej osobie na wysyłanie e-maili do serwera firmowego. Są fundamentem bezpieczeństwa wewnątrz sieci firmowych.

ICMP to protokół „informacyjno-ratunkowy". Nie przenosi filmów ani poczty, ale komunikaty o błędach: „Cel nieosiągalny", „Czas TTL minął", „Zwolnij transmisję". Dzięki serii pytań i odpowiedzi ICMP działają narzędzia takie jak ping (sprawdzasz czy ktoś żyje) oraz traceroute (sprawdzasz przez jakie routery płyną twoje dane).

Ping wysyła sygnał sprawdzający obecność urządzenia. Traceroute to jednak „wyższa szkoła jazdy": pokazuje ci listę wszystkich routerów na drodze do celu. Jeśli Internet „wolno działa", traceroute pokaże ci dokładnie, w którym kraju lub u którego dostawcy pakiety zaczynają krążyć zbyt długo. Działa on poprzez celowe psucie pakietów (ustawianie niskiego TTL), by wymusić na routerach odpowiedź diagnostyczną.

W puli IPv4 zabrakło adresów już w 2011 roku. IPv6 to nowa generacja Internetu z 128-bitowymi adresami. Liczba dostępnych adresów w IPv6 jest tak ogromna, że moglibyśmy nadać unikalny numer każdemu ziarnku piasku na Ziemi. Eliminuje to potrzebę NATu i pozwala na bezpośrednie połączenie między dowolnymi dwoma urządzeniami na świecie (p2p).

Adresy IPv6 są heksadecymalne (szesnastkowe) i długie.
Przykład: `2001:0db8:0000:0000:0000:8a2e:0370:7334`
Zasady skracania pozwalają usunąć zera i zapisać to jako: `2001:db8::8a2e:370:7334` Podwójny dwukropek `::` zastępuje najdłuższą przerwę wypełnioną zerami, czyniąc adres bardziej czytelnym dla człowieka.

IPv6 to skok jakościowy:

• Uproszczony nagłówek: routery szybciej przerzucają pakiety.
• SLAAC: urządzenie samo generuje swój adres bez serwera DHCP.
• IPsec: bezpieczeństwo i szyfrowanie wpisane w samą naturę protokołu.
• Mobile IP: lepsze wsparcie dla urządzeń ciągle zmieniających sieć (np. smartfony).

Router to prawdziwy multimedalista:

• Trasowanie: szuka najlepszych dróg przez świat.
• Segmentacja: dzieli świat na izolowane podsieci IP.
• Przekład: dzięki NAT łączy świat prywatny z publicznym.
• Ochrona: filtruje ruch przez ACL i zaporę sieciową.
• Administracja: serwuje adresy przez DHCP i pomaga w testach (ping).

Warstwa sieciowa uwalnia nas od fizyczności kabli. Pozwala myśleć o sieciach jako o logicznych strukturach, które można łączyć, dzielić i filtrować. To dzięki standardowi IP możliwe jest połączenie miliardów różnych urządzeń – od lodówek po superkomputery – w jeden, spójny globalny system. Routery pracujące w tej warstwie pilnują, by każda z bilionów wysłanych codziennie paczek danych trafiła pod właściwy adres logiczny, niezależnie od tego, jakiej firmy kable leżą po drodze.

Jeśli sieć nie działa, sprawdź kolejno:

1. Czy masz poprawny adres IP i maskę (`ipconfig`)?
2. Czy pingujesz bramę domyślną (router)?
3. Czy pingujesz serwer DNS (np. 8.8.8.8)?
4. Czy DNS tłumaczy nazwy (ping google.pl)?

Większość problemów sieciowych da się rozwiązać, idąc tym prostym schematem warstwa po warstwie.

Przechodzimy od Internetu opartego na stacjonarnych komputerach i NAT do Internetu Rzeczy i IPv6. Choć fundamenty warstwy 3 (routing, pakiety) pozostają te same, technologia staje się bardziej zautomatyzowana i inteligentna. Routery nie są już tylko skrzynkami przekazującymi pakiety, ale zaawansowanymi systemami dbającymi o jakość usług (QoS), bezpieczeństwo i optymalizację ruchu w chmurach obliczeniowych.

Najważniejsze punkty:

• Router to inteligentny łącznik sieci L3.
• Adres IP i maska to podstawa adresacji logicznej.
• NAT i DHCP to narzędzia oszczędzające czas i adresy.
• Routing to proces szukania najlepszej drogi do celu.
• IPv6 to jedyna droga rozwoju współczesnych sieci.

Dziękuję za uwagę. Widzimy się na ostatniej części kursu!