Prezentacja podsumowująca cały kurs BiKUS dotyczący Ethernetu i przełączników LAN stanowi swoistą mapę ewolucji technologii sieciowych na przestrzeni ponad czterdziestu lat. Na osi czasu przedstawione zostały kluczowe etapy rozwoju: od współdzielonego medium, poprzez huby i mosty, aż po nowoczesne przełączniki warstwy 3 z routingiem w układzie ASIC. Materiał został zaprojektowany tak, aby w syntetyczny sposób przypomnieć siedem fundamentalnych koncepcji, które stanowią trzon wiedzy o sieciach Ethernet.

Każda z omawianych koncepcji została szczegółowo przeanalizowana we wcześniejszych modułach kursu i teraz wymaga zebrania w jedną spójną całość. TCAM i CAM odpowiadają za szybkie wyszukiwanie adresów MAC oraz wzorców w tablicy ACL, natomiast metody Store-and-Forward i Cut-Through definiują sposób przetwarzania ramek. VLAN-y umożliwiają logiczną segmentację sieci, STP chroni przed pętlami, a LACP agreguje łącza w celu zwiększenia przepustowości.

Bezpieczeństwo warstwy 2 oraz sprzętowy routing L3HW to tematy zamykające listę kluczowych zagadnień. Przełącznik Ethernet okazuje się być nie tylko sercem nowoczesnej sieci LAN, ale również urządzeniem, którego możliwości wykraczają daleko poza proste przekazywanie ramek między portami.

Podczas kursu BiKUS odbyta została podróż przez kolejne etapy rozwoju sieci Ethernet, począwszy od archaicznego współdzielonego medium aż po zaawansowane przełączniki L3 zdolne do routowania w układzie ASIC. Najważniejszym przesłaniem płynącym z tego wykładu jest stwierdzenie, że przełącznik to nie inteligentny hub, lecz urządzenie warstwy 2 i 3 o zupełnie innej architekturze. Kluczowa różnica polega na zdolności uczenia się adresów MAC oraz podejmowania świadomych decyzji forward lub filter.

W toku wykładu omówionych zostało siedem kluczowych koncepcji, które muszą być zrozumiane przez każdego administratora sieci LAN. Należą do nich: technologia TCAM i CAM umożliwiająca szybkie wyszukiwanie w pamięci adresów, metody przetwarzania ramek Store-and-Forward i Cut-Through, wirtualne sieci VLAN 802.1Q, protokoły drzewa rozpinającego STP, RSTP i MSTP, agregacja łączy LACP, mechanizmy bezpieczeństwa warstwy 2 oraz sprzętowy routing L3.

Zrozumienie tych siedmiu obszarów stanowi solidny fundament dla każdego inżyniera sieciowego. Bez tej wiedzy projektowanie, konfiguracja i diagnostyka nowoczesnych sieci LAN nie są w pełni możliwe.

Ewolucja Ethernetu od lat osiemdziesiątych XX wieku do czasów współczesnych jest świetnym przykładem stopniowego i systematycznego rozwiązywania problemów wydajnościowych oraz funkcjonalnych. Każdy kolejny krok w rozwoju tej technologii eliminował ograniczenia poprzednika, jednocześnie wprowadzając nowe możliwości. Na osi czasu ewolucji widzimy pięć kluczowych etapów: współdzielone medium, hub, most, przełącznik L2 oraz przełącznik L3.

Współdzielone medium w standardzie 10BASE2 i 10BASE5 charakteryzowało się tym, że wszystkie stacje podłączone do jednej szyny koncentrycznej dzieliły tę samą domenę kolizyjną. Wprowadzenie huba w latach dziewięćdziesiątych przyniosło topologię gwiazdy i łatwiejszą diagnostykę, ale nie zmieniło natury sieci. Most był pierwszym urządzeniem warstwy 2 zdolnym do segmentacji domeny kolizyjnej poprzez uczenie się adresów MAC i podejmowanie decyzji forward lub filter.

Przełącznik L2 stanowił przełom dzięki implementacji mostu wieloportowego w pojedynczym układzie ASIC. Ostatecznie przełącznik L3 dodał możliwość routowania IP w sprzęcie, zacierając granicę między switchingiem a routingiem.

W początkowej fazie rozwoju Ethernetu stosowano topologię szyny z wykorzystaniem kabla koncentrycznego, gdzie wszystkie stacje były podłączone do wspólnego medium transmisyjnego. W takiej konfiguracji każda stacja słyszała wszystkie transmisje, a dostęp do medium był regulowany przez protokół CSMA/CD. Mechanizm ten polega na słuchaniu medium przed nadawaniem oraz wykrywaniu kolizji, które następnie są rozwiązywane poprzez algorytm wykładniczego opóźniania.

Dwa główne standardy dla współdzielonego medium to 10BASE5, znany jako Thick Ethernet, który oferował maksymalną długość segmentu 500 metrów, oraz 10BASE2, czyli Thin Ethernet o zasięgu do 185 metrów. W obu przypadkach topologią szyny sprawiała, że awaria jednego złącza lub uszkodzenie kabla mogło unieruchomić cały segment sieci. Reguła 5-4-3 określała maksymalną liczbę segmentów i wzmacniaków w ścieżce między dwiema stacjami.

Wydajność takiej sieci była silnie ograniczona przez liczbę aktywnych stacji, ponieważ przepustowość nominalna musiała być dzielona pomiędzy wszystkich uczestników domeny kolizyjnej. Tryb half-duplex oraz konieczności używania CSMA/CD sprawiały, że rzeczywista przepustowość była znacznie niższa od nominalnej.

Koncentrator, określany również mianem huba, jest urządzeniem działającym w warstwie fizycznej modelu OSI, które pełni funkcję wieloportowego wzmacniacza sygnału. Jego zadanie polega na odebraniu sygnału elektrycznego z jednego portu, zregenerowaniu go i przesłaniu na wszystkie pozostałe porty bez podejmowania jakichkolwiek decyzji logicznych. Wprowadzenie huba przyniosło istotną zmianę w topologii sieci z szyny na topologię gwiazdy, co znacząco ułatwiło okablowanie i diagnostykę usterek.

Mimo tych zalet hub nie zmienił fundamentalnej natury sieci Ethernet – wciąż pozostawał on pojedynczą domeną kolizyjną, w której wszystkie stacje musiały konkurować o dostęp do medium. Każda ramka wysłana przez jedną stację była transmitowana do wszystkich pozostałych portów, co stanowiło poważny problem bezpieczeństwa. Sniffing ruchu sieciowego był trywialny, ponieważ każdy użytkownik mógł przechwytywać pakiety kierowane do innych stacji.

Skalowalność sieci opartej na hubach była bardzo ograniczona – wraz ze wzrostem liczby podłączonych stacji wydajność spadała wykładniczo. Dlatego też huby zostały szybko wyparte przez bardziej zaawansowane urządzenia warstwy 2.

Most przezroczysty zdefiniowany w standardzie IEEE 802.1D stanowi pierwsze urządzenie warstwy 2, które aktywnie uczy się topologii sieci i podejmuje decyzje o przekazywaniu ramek. Most dwuportowy analizuje źródłowe adresy MAC w nadchodzących ramkach i buduje tablicę przekazywania FDB, która mapuje adresy MAC na konkretny port. Dzięki temu most może podejmować decyzje forward, gdy ramka ma być przesłana do drugiego segmentu, lub filter, gdy adres docelowy znajduje się w tym samym segmencie co źródło.

Najważniejszym osiągnięciem mosta jest segmentacja domeny kolizyjnej – każdy port mosta stanowi oddzielną domenę kolizyjną, co oznacza, że kolizje w jednym segmencie nie zakłócają transmisji w drugim. To fundamentalne usprawnienie w stosunku do huba, które poprawia ogólną wydajność sieci. Most operuje w trybie half-duplex i działa z prędkością od 10 do 100 megabitów na sekundę.

Mimo swoich zalet most dwuportowy miał ograniczoną funkcjonalność – umożliwiał połączenie tylko dwóch segmentów sieci. Rozwiązaniem tego problemu okazał się przełącznik wieloportowy, który w istocie jest mostem o wielu portach zaimplementowanym w układzie ASIC.

Przełącznik L2, zwany również switchem warstwy 2, jest w istocie mostem wieloportowym, którego funkcjonalność została zaimplementowana w pojedynczym układzie scalonym ASIC. Każdy port przełącznika stanowi oddzielną domenę kolizyjną, a transmisja odbywa się w trybie full-duplex, co całkowicie eliminuje potrzebę stosowania protokołu CSMA/CD. To przełomowe rozwiązanie sprawia, że switch może obsługiwać wiele równoczesnych transmisji między różnymi parami portów bez żadnych kolizji.

Sercem przełącznika L2 jest pamięć CAM, która umożliwia wyszukiwanie adresów MAC w czasie stałym O(1). Tablica FDB przechowuje wpisy zawierające adres MAC, numer portu, identyfikator VLAN oraz znacznik czasu. Dzięki temu proces uczenia się adresów źródłowych i podejmowania decyzji forward lub filter odbywa się w sprzęcie, co gwarantuje pracę z prędkością liniową niezależnie od liczby obsługiwanych ramek.

Przełącznik L2 oferuje izolację ruchu pomiędzy portami, co znacząco poprawia bezpieczeństwo sieci w porównaniu do huba. Ruch BUM, czyli broadcast, unknown unicast i multicast, jest domyślnie rozsyłany na wszystkie porty z wyjątkiem portu źródłowego, chyba że zastosowano optymalizacje takie jak IGMP Snooping.

Przełącznik L3, czyli switch warstwy 3 z funkcją L3 Hardware Offloading, stanowi połączenie możliwości przełącznika L2 z routerem IP w jednym układzie ASIC. Podstawowa zaleta tego rozwiązania jest możliwość routowania pakietów między różnymi sieciami VLAN bez potrzeby używania zewnętrznego routera. Ruch między VLAN-ami jest przetwarzany w sprzęcie z prędkością liniową, często sięgającą 100 gigabitów na sekundę lub więcej.

L3HW działa w oparciu o tablicę routingu przechowywaną w pamięci TCAM, która umożliwia wyszukiwanie najdłuższego dopasowania prefiksu w czasie stałym. Przełącznik L3 wewnątrz sieci LAN przejmuje funkcję routera, podczas gdy dedykowany router pozostaje na brzegu sieci jako granica między LAN a WAN. Taka architektura zapewnia optymalną wydajność przy zachowaniu elastyczności konfiguracji.

Granica między switchingiem a routingiem w nowoczesnych sieciach stopniowo się zaciera, a przełączniki L3 wypierają tradycyjne routery w środowiskach LAN. Należy jednak pamiętać, że L3HW wymaga spełnienia określonych warunków, takich jak brak reguł firewalla na interfejsie mostu oraz włączone filtrowanie VLAN.

Slajd podsumowujący ewolucję Ethernetu w pięciu zwięzłych zdaniach przedstawia najważniejsze cechy każdego etapu rozwoju. Rok 1980 to początek współdzielonego medium, gdzie wszystkie stacje korzystały ze wspólnej szyny koncentrycznej, a każdy użytkownik mógł nasłuchiwać ruchu innych. Protokół CSMA/CD był niezbędny do zarządzania dostępem do medium i rozwiązywania kolizji, które stawały się częstsze wraz ze wzrostem liczby stacji.

W 1990 roku pojawił się hub, który zastąpił topologię szyny topologią gwiazdy, co znacząco ułatwiło zarządzanie okablowaniem i lokalizację usterek. Niestety, hub wciąż pozostawiał jedną domenę kolizyjną, więc problem skalowalności pozostał nierozwiązany. W tym samym roku debiutował most, który jako pierwszy wprowadził segmentację domeny kolizyjnej poprzez uczenie się adresów MAC.

Przełom nastąpił w 1995 roku wraz z przełącznikiem L2, który zapewnił każdemu portowi oddzielną domenę kolizyjną, tryb full-duplex i wyszukiwanie w pamięci CAM. Rok 2000 przyniósł przełącznik L3 z routingiem w ASIC, co ostatecznie zatarło granicę między switchingiem a tradycyjnym routingiem.

Tabela porównawcza umieszczona na tym slajdzie zestawia cztery typy urządzeń sieciowych: hub, most, przełącznik L2 oraz przełącznik L3 pod kątem warstwy modelu OSI, w której działają. Hub operuje wyłącznie w warstwie fizycznej i nie podejmuje żadnych decyzji dotyczących przekazywania danych, co czyni go urządzeniem pasywnym. Most i przełącznik L2 działają w warstwie łącza danych, podejmując decyzje forward lub filter na podstawie adresów MAC.

Każde z porównywanych urządzeń oferuje inny stopień segmentacji domen kolizyjnych: hub tworzy jedną domenę dla wszystkich portów, most zapewnia jedną domenę na port przy ograniczeniu do dwóch portów, a przełączniki L2 i L3 oferują osobne domeny dla każdego z wielu portów. Przełącznik L3 dodatkowo działa w warstwie sieciowej, umożliwiając routing IP i podejmowanie decyzji na podstawie adresów logicznych.

Prędkości działania urządzeń ewoluowały od 10-100 megabitów na sekundę w przypadku huba i mosta, przez 0,1 do 100 gigabitów na sekundę dla przełącznika L2, aż po 1-400 gigabitów na sekundę dla zaawansowanych przełączników L3.

Określenie przełącznika mianem inteligentnego huba jest często spotykane, szczególnie wśród osób rozpoczynających naukę o sieciach komputerowych, jednak jest ono całkowicie błędne i wprowadzające w błąd. Hub jest urządzeniem warstwy fizycznej, które wyłącznie regeneruje sygnał elektryczny i rozsyła go na wszystkie porty bez analizowania zawartości ramki. Przełącznik natomiast działa w warstwie 2 lub 3, podejmując złożone decyzje na podstawie adresów MAC i IP przechowywanych w tablicy FDB.

Fundamentalna różnica między hubem a przełącznikiem polega na zdolności do segmentacji domen kolizyjnych oraz możliwości jednoczesnej transmisji między wieloma parami portów. Przełącznik uczy się topologii sieci, filtruje ruch, obsługuje tagowanie VLAN, chroni przed pętlami za pomocą STP i agreguje łącza dzięki LACP. Żadna z tych funkcji nie jest dostępna w hubie, który pozostaje urządzeniem pasywnym i nieinteligentnym.

Określenie inteligentny hub jest krzywdzące dla przełącznika, ponieważ bagatelizuje ogromny postęp technologiczny, jaki dokonał się w ciągu ostatnich trzydziestu lat. Przełącznik to urządzenie o jakościowo wyższej funkcjonalności, które stanowi serce każdej nowoczesnej sieci LAN.

Ethernet współdzielony i hub to pierwszy temat kursu, który wprowadza podstawowe pojęcia związane z transmisją danych w sieciach LAN w erze przed przełącznikami. Protokół CSMA/CD, czyli Carrier Sense Multiple Access with Collision Detection, był mechanizmem niezbędnym do zarządzania dostępem do wspólnego medium transmisyjnego. Każda stacja przed nadaniem nasłuchiwała medium, a w przypadku wykrycia kolizji stosowano algorytm wykładniczego opóźniania przed ponowną próbą transmisji.

Topologie stosowane we wczesnym Ethernet to 10BASE5 z szyną koncentryczną o maksymalnej długości 500 metrów oraz 10BASE2 z cieńszym kablem o zasięgu 185 metrów. Standard 10BASE-T wprowadził topologię gwiazdy z maksymalną odległością 100 metrów od koncentratora do stacji, co znacząco ułatwiło zarządzanie okablowaniem. Hub był kluczowym elementem topologii gwiazdy, ale wciąż pozostawał urządzeniem warstwy fizycznej bez zdolności do podejmowania decyzji.

Głównymi mankamentami sieci opartych na hubach były degradacja wydajności wraz ze wzrostem liczby stacji, brak izolacji ruchu umożliwiający łatwy sniffing oraz ograniczona skalowalność uniemożliwiająca budowę dużych sieci.

Narodziny przełącznika to temat poświęcony mostowi przezroczystemu zdefiniowanemu w standardzie IEEE 802.1D, który stanowi pierwowzór dla wszystkich współczesnych przełączników. Most był urządzeniem dwuportowym, którego głównym zadaniem była segmentacja domeny kolizyjnej poprzez uczenie się adresów MAC. Proces uczenia polega na analizowaniu źródłowego adresu MAC w każdej odebranej ramce i zapisywaniu go w tablicy FDB wraz z numerem portu, na którym ramka została odebrana.

Przełącznik jako most wieloportowy zaimplementowany w układzie ASIC stanowi naturalną ewolucję mosta dwuportowego. ASIC, czyli Application-Specific Integrated Circuit, jest układem scalonym zaprojektowanym specjalnie do szybkiego przetwarzania ramek Ethernet. Dzięki temu przełącznik może obsługiwać dziesiątki, a nawet setki portów jednocześnie z prędkością liniową.

Miejscem przełącznika w modelu OSI jest warstwa łącza danych, gdzie operuje on na ramkach i adresach MAC. Kluczowymi skutkami wprowadzenia przełącznika są segmentacja domen kolizyjnych, możliwość pracy w trybie full-duplex oraz eliminacja protokołu CSMA/CD.

Anatomia przełącznika Ethernet to temat poświęcony budowie sprzętowej urządzenia, który wyjaśnia rolę poszczególnych komponentów odpowiedzialnych za przetwarzanie ramek. Sercem przełącznika jest układ ASIC, który pełni funkcję Switch Fabric i jest odpowiedzialny za faktyczne przełączanie ramek między portami. Architektura Switch Fabric może być zrealizowana jako crossbar lub wspólna pamięć, przy czym każde z rozwiązań ma swoje wady i zalety.

Procesor CPU w przełączniku pełni funkcję zarządzającą i nie bierze udziału w przełączaniu danych w normalnych warunkach. CPU zajmuje się obsługą protokołów takich jak STP, SNMP czy interfejsu CLI, a także przetwarza ramki, które nie mogą być obsłużone przez ASIC. Pamięć buforowa Packet Buffer służy do tymczasowego przechowywania ramek w przypadku przeciążenia ruchu lub gdy port wyjściowy jest zajęty.

Pamięci CAM i TCAM są kluczowe dla wydajności przełącznika, umożliwiając wyszukiwanie adresów MAC i wzorców ACL w czasie stałym. Switching capacity to całkowita przepustowość przełącznika, która w przypadku konstrukcji non-blocking pozwala na jednoczesną transmisję z pełną prędkością na wszystkich portach.

Technologie CAM i TCAM stanowią fundament wydajności nowoczesnych przełączników Ethernet, umożliwiając wyszukiwanie informacji w pamięci w czasie stałym O(1). CAM, czyli Content-Addressable Memory, jest pamięcią asocjacyjną wykorzystywaną przede wszystkim do przechowywania tablicy FDB zawierającej adresy MAC. W tradycyjnej pamięci RAM wyszukiwanie adresu wymagałoby przeszukania wszystkich wpisów, natomiast CAM porównuje zadaną wartość ze wszystkimi wpisami równolegle w jednym cyklu zegara.

TCAM, czyli Ternary Content-Addressable Memory, jest rozszerzoną wersją CAM, która przechowuje trzy stany logiczne: 0, 1 oraz don't care. Trzeci stan umożliwia dopasowywanie wzorców z maską, co jest niezbędne dla działania list ACL, routingu L3 oraz mechanizmów QoS. Pojemność TCAM jest ograniczona i wynosi zazwyczaj od 1 do 32 tysięcy wpisów, co wynika z wysokich kosztów produkcji i znacznego poboru energii przez te pamięci.

W CAM stosuje się haszowanie w celu przyspieszenia wyszukiwania, ale może ono prowadzić do kolizji, które są rozwiązywane przez mechanizm chainingu. Mimo ograniczonej pojemności CAM i TCAM są niezbędne do działania przełącznika z prędkością liniową.

Zasada działania przełącznika Ethernet opiera się na trzech podstawowych procesach: uczeniu się adresów MAC, podejmowaniu decyzji przekazywania oraz obsłudze ruchu BUM. Tablica FDB jest kluczową strukturą danych, która przechowuje wpisy zawierające adres MAC, numer portu, identyfikator VLAN oraz znacznik czasu. Gdy przełącznik odbiera ramkę, odczytuje źródłowy adres MAC i zapisuje go do tablicy FDB, jeśli jeszcze nie istnieje, lub aktualizuje znacznik czasu jeśli wpis już istnieje.

Decyzja dotycząca ramki jest podejmowana na podstawie adresu docelowego MAC. Jeśli adres docelowy znajduje się w tablicy FDB i jest przypisany do innego portu niż źródłowy, ramka jest przekazywana tylko do tego portu. Jeśli adres docelowy jest na tym samym porcie co źródło, ramka jest filtrowana i odrzucana. W przypadku braku wpisu w FDB ramka jest rozsyłana na wszystkie porty z wyjątkiem portu źródłowego, co nazywa się floodingiem.

Ruch BUM, czyli broadcast, unknown unicast i multicast, jest domyślnie poddawany floodingowi, co może prowadzić do niepotrzebnego obciążenia sieci. IGMP Snooping to mechanizm optymalizujący przetwarzanie ruchu multicastowego, który pozwala przekazywać ramki multicast tylko do tych portów, które zgłosiły zainteresowanie daną grupą.

Metody przełączania ramek w przełącznikach Ethernet dzielą się na trzy główne kategorie: Store-and-Forward, Cut-Through oraz Adaptive Switching. Store-and-Forward to najbezpieczniejsza metoda, w której cała ramka jest buforowana, a następnie sprawdzana jest suma kontrolna FCS przed podjęciem decyzji o przekazaniu. Dzięki temu uszkodzone ramki są odrzucane i nie są transmitowane dalej, co zapobiega propagacji błędów w sieci.

Cut-Through to metoda, w której przełącznik rozpoczyna przekazywanie ramki już po odebraniu pierwszych sześciu bajtów zawierających adres docelowy MAC. Wariantem tej metody jest Fragment-Free, który czeka na odebranie 64 bajtów, aby wyeliminować ramki kolizyjne. Cut-Through oferuje niskie opóźnienie, ale ma poważną wadę w postaci propagacji uszkodzonych ramek i niemożliwości obsługi różnych prędkości na porcie wejściowym i wyjściowym.

Adaptive Switching to metoda hybrydowa, która automatycznie wybiera między Store-and-Forward a Cut-Through na podstawie poziomu błędów CRC obserwowanego na danym porcie. Metoda ta łączy zalety obu rozwiązań, ale nie jest dostępna we wszystkich modelach przełączników.

Tabela porównawcza metod Store-and-Forward oraz Cut-Through przedstawia kluczowe różnice między tymi dwiema technikami przełączania ramek. Store-and-Forward zapewnia pełne bezpieczeństwo dzięki weryfikacji sumy kontrolnej FCS przed przekazaniem ramki, co eliminuje ryzyko propagacji uszkodzonych danych. Z kolei Cut-Through nie weryfikuje FCS, co może prowadzić do rozsyłania uszkodzonych ramek w sieci, ale jednocześnie zapewnia znacznie niższe opóźnienie.

Opóźnienie w metodzie Store-and-Forward dla ramki o długości 1518 bajtów przy prędkości 1 Gb/s wynosi około 13-14 mikrosekund, podczas gdy w przypadku Cut-Through jest to tylko 1-5 mikrosekund. Ważne jest również to, że Store-and-Forward charakteryzuje się zmiennym opóźnieniem zależnym od długości ramki, natomiast Cut-Through oferuje stałe opóźnienie. Store-and-Forward może obsługiwać różne prędkości na porcie wejściowym i wyjściowym, podczas gdy Cut-Through wymaga identycznych prędkości.

Wybór metody przełączania ma istotny wpływ na projekt sieci – Store-and-Forward jest zalecany dla sieci wymagających wysokiego bezpieczeństwa, natomiast Cut-Through sprawdza się w środowiskach HPC i finansowych, gdzie kluczowe jest minimalne opóźnienie.

Adaptive Switching to zaawansowana technika przełączania, która łączy zalety metod Store-and-Forward i Cut-Through w jednym mechanizmie automatycznie dostosowującym się do warunków panujących w sieci. Przełącznik monitoruje poziom błędów CRC na każdym porcie i w zależności od niego wybiera optymalną metodę przetwarzania ramek. Gdy liczba błędów CRC przekracza określony próg, przełącznik przełącza się na metodę Store-and-Forward, która odrzuca uszkodzone ramki i zapobiega ich propagacji.

Po ustabilizowaniu się łącza i spadku liczby błędów CRC poniżej progu, przełącznik powraca do metody Cut-Through, aby zapewnić niskie opóźnienie. Mechanizm ten działa niezależnie dla każdego portu, co pozwala na optymalizację przetwarzania ramek w całym urządzeniu. Niestety, Adaptive Switching ma również pewne wady, do których należą opóźnienie związane z przełączaniem między trybami oraz konieczność stosowania histerezy w celu uniknięcia częstych oscylacji.

Nie wszystkie przełączniki na rynku oferują funkcję Adaptive Switching, a jej dostępność zależy od producenta i modelu urządzenia. Jest to jednak bardzo użyteczna funkcja w środowiskach, gdzie jakość łącza może się zmieniać w czasie.

Mapa myśli prezentowana na tym slajdzie stanowi wizualne podsumowanie pierwszych pięciu tematów kursu, które obejmują zagadnienia od współdzielonego medium po metody przełączania. Centralnym punktem mapy jest przełącznik Ethernet, wokół którego rozmieszczone są poszczególne gałęzie reprezentujące hub, most, układ ASIC, tablicę FDB oraz metody Store-and-Forward i Cut-Through. Taka wizualizacja pomaga zrozumieć relacje między poszczególnymi koncepcjami i ich miejsce w całym ekosystemie sieci LAN.

Każda gałąź mapy reprezentuje jeden z tematów szczegółowo omówionych podczas pierwszych pięciu wykładów kursu. Hub został omówiony jako urządzenie warstwy fizycznej, most jako pierwsze urządzenie warstwy 2, a ASIC jako serce współczesnego przełącznika. Tablica FDB i proces uczenia się adresów MAC zostały przedstawione w kontekście zasady działania przełącznika.

Mapa myśli jest szczególnie przydatna jako narzędzie do powtórki przed egzaminem, ponieważ w syntetyczny sposób łączy wszystkie poznane koncepcje w jedną spójną całość. Zrozumienie relacji między tymi koncepcjami jest kluczowe dla dalszej nauki o bardziej zaawansowanych funkcjach przełączników.

Pytania kontrolne dla bloku tematów 1-5 mają na celu sprawdzenie zrozumienia podstawowych koncepcji związanych z działaniem przełączników Ethernet. Pierwsze pytanie dotyczy różnicy między switchem a hubem, która jest fundamentalna dla zrozumienia ewolucji sieci LAN. Student powinien umieć wskazać, że switch działa w warstwie 2 i podejmuje decyzje na podstawie adresów MAC, podczas gdy hub jest wyłącznie wzmacniaczem warstwy fizycznej.

Drugie pytanie dotyczy zalet pamięci TCAM w porównaniu do tradycyjnych tablic przeszukiwania sekwencyjnego. Odpowiedź powinna wskazywać na równoległe porównywanie wszystkich bitów w jednym cyklu zegara, co zapewnia czas wyszukiwania O(1) niezależny od liczby wpisów. Trzecie pytanie sprawdza znajomość tablicy FDB i procesu uczenia się adresów MAC, który polega na zapisie źródłowego adresu z odebranej ramki do tablicy wraz z timerem.

Czwarte pytanie dotyczy ograniczeń metody Cut-Through, która nie może obsługiwać różnych prędkości na porcie wejściowym i wyjściowym ze względu na brak buforowania całej ramki. Jest to ważne ograniczenie, które należy uwzględnić przy projektowaniu sieci wymagających niskiego opóźnienia.

Odpowiedzi do pytań kontrolnych z bloku 1-5 zostały przedstawione w zwięzłej formie, aby umożliwić studentom szybkie zweryfikowanie swojej wiedzy. Prawidłowa odpowiedź na pytanie o różnicę między switchem a hubem wskazuje, że switch działa w warstwie 2, podejmuje decyzje na podstawie adresów MAC i zapewnia segmentację domen kolizyjnych, podczas gdy hub to urządzenie warstwy 1 bez zdolności podejmowania decyzji. Ta różnica jest kluczowa dla zrozumienia, dlaczego przełączniki zdominowały współczesne sieci LAN.

Odpowiedź dotycząca TCAM wyjaśnia, że pamięć ta umożliwia równoległe porównanie wszystkich bitów w jednym cyklu zegara, co jest niemożliwe w tradycyjnych pamięciach RAM. TCAM przechowuje trzy stany logiczne: 0, 1 oraz don't care, co pozwala na dopasowywanie wzorców z maską i jest wykorzystywane w listach ACL oraz routingu L3. Tablica FDB działa na zasadzie zapisu źródłowego adresu MAC do tablicy wraz z timerem, a każdy wpis zawiera adres MAC, numer portu i identyfikator VLAN.

Ograniczenie metody Cut-Through wynika z braku buforowania całej ramki, co uniemożliwia obsługę różnych prędkości na porcie wejściowym i wyjściowym. Jest to ważny czynnik, który należy uwzględnić podczas wyboru metody przełączania dla konkretnego zastosowania.

Slajd ze wskazówkami do dalszej nauki dla bloku 1-5 zawiera praktyczne zalecenia, które pomogą studentom pogłębić wiedzę o podstawach działania przełączników Ethernet. Pierwsza wskazówka dotyczy eksperymentów z użyciem narzędzia Wireshark, które pozwala na obserwację procesu uczenia się adresów MAC w czasie rzeczywistym. Poprzez wysłanie polecenia ping i analizę przechwyconych ramek ARP można zaobserwować, jak przełącznik buduje swoją tablicę FDB.

Druga wskazówka zaleca zapoznanie się z dokumentacją techniczną układów ASIC, w szczególności z serią Broadcom StrataXGS, która jest powszechnie stosowana w przełącznikach renomowanych producentów. Zrozumienie architektury tych układów pozwala lepiej pojąć ograniczenia i możliwości nowoczesnych przełączników. Trzecia wskazówka dotyczy ćwiczenia obliczeń związanych z switching capacity i opóźnieniami, co jest niezbędne przy projektowaniu sieci.

Dodatkowo zaleca się samodzielne konfigurowanie przełączników w środowisku laboratoryjnym lub symulatorze, aby w praktyce sprawdzić działanie poznanych mechanizmów. Wiedza teoretyczna poparta praktycznymi eksperymentami daje najlepsze efekty w nauce.

Wirtualne sieci LAN zdefiniowane w standardzie IEEE 802.1Q stanowią rozwiązanie problemu jednej domeny rozgłoszeniowej, która w klasycznej sieci Ethernet obejmuje wszystkie porty przełącznika. W sieci bez VLAN-ów ramka broadcast jest rozsyłana na wszystkie porty, co powoduje niepotrzebne obciążenie łączy i stwarza zagrożenie bezpieczeństwa. VLAN umożliwia logiczny podział fizycznego przełącznika na kilka odizolowanych od siebie sieci warstwy 2, z których każda stanowi osobną domenę rozgłoszeniową.

Ramka 802.1Q zostaje rozszerzona o dodatkowe 4 bajty umieszczone pomiędzy źródłowym adresem MAC a polem Typ długość. Rozszerzenie to zawiera pole TPID identyfikujące ramkę jako tagged, pole PCP służące do priorytetyzacji ruchu, pole DEI wskazujące na możliwość odrzucenia ramki oraz pole VID o długości 12 bitów, które identyfikuje VLAN. Wprowadzenie tagu powoduje zwiększenie maksymalnego rozmiaru ramki Ethernet do 1522 bajtów, co określa się mianem Baby Giant.

Porty przełącznika mogą być skonfigurowane jako Access, Trunk lub Hybrid. Port Access przekazuje ramki bez tagu VLAN i przypisuje im określony PVID. Port Trunk przesyła ramki z tagami VLAN i służy do łączenia przełączników. Port Hybrid łączy cechy obu typów, umożliwiając zarówno ruch tagged, jak i untagged.

Logika Ingress i Egress w kontekście VLAN określa, w jaki sposób przełącznik przetwarza ramki przychodzące i wychodzące względem tagowania VLAN. Na wejściu Ingress przełącznik sprawdza, czy ramka posiada tag 802.1Q. Jeśli ramka jest tagged, przełącznik odczytuje pole VID i na tej podstawie przypisuje ją do odpowiedniego VLAN-u. Jeśli ramka nie ma tagu, przełącznik dodaje do niej tag z wartością PVID przypisaną do portu, na który ramka wpłynęła.

Na wyjściu Egress decyzja o tagowaniu zależy od konfiguracji portu docelowego. Dla portu skonfigurowanego jako Access, przełącznik usuwa tag VLAN przed wysłaniem ramki do stacji końcowej, która nie musi mieć świadomości istnienia VLAN. Dla portu Trunk tag jest pozostawiany, aby informacja o przynależności do VLAN była dostępna dla kolejnego przełącznika. Dla portu Hybrid decyzja o tagowaniu zależy od szczegółowej konfiguracji.

Zrozumienie logiki Ingress i Egress jest kluczowe dla poprawnej konfiguracji VLAN w sieci. Błędne skonfigurowanie PVID lub typu portu może prowadzić do problemów z komunikacją między urządzeniami lub wycieków ruchu między VLAN-ami, co stanowi poważne naruszenie bezpieczeństwa.

Protokoły drzewa rozpinającego STP, RSTP i MSTP są niezbędne do ochrony sieci Ethernet przed pętlami warstwy 2, które powstają w momencie wprowadzenia nadmiarowych połączeń między przełącznikami. Problem pętli L2 polega na tym, że ramki Ethernet nie mają mechanizmu TTL, który ograniczałby czas życia pakietu. W rezultacie ramka broadcast może krążyć w pętli w nieskończoność, powodując zjawisko broadcast storm, które całkowicie paraliżuje działanie sieci.

Standard STP 802.1D działa poprzez wybranie jednego przełącznika jako Root Bridge, a następnie zbudowanie drzewiastej topologii bez pętli przez blokowanie nadmiarowych łączy. Proces zbieżności STP trwa od 30 do 50 sekund i obejmuje pięć stanów: Disabled, Blocking, Listening, Learning i Forwarding. RSTP 802.1w to ulepszona wersja, która skraca czas zbieżności do 1-3 sekund dzięki mechanizmowi Proposal i Agreement oraz trzem stanom zamiast pięciu.

MSTP 802.1s rozszerza możliwości RSTP o wiele instancji drzewa rozpinającego, co pozwala na równoważenie obciążenia pomiędzy nadmiarowymi łączami dla różnych VLAN-ów. Dzięki temu można efektywniej wykorzystać dostępną przepustowość w rozległych sieciach LAN.

Tabela porównawcza STP, RSTP i MSTP przedstawia kluczowe różnice między trzema generacjami protokołu drzewa rozpinającego. Najważniejsza różnica dotyczy czasu zbieżności, czyli czasu potrzebnego na dostosowanie się topologii po zmianie konfiguracji lub awarii. STP 802.1D wymaga od 30 do 50 sekund, co jest czasem zbyt długim dla współczesnych sieci wymagających wysokiej dostępności. RSTP i MSTP oferują czas zbieżności na poziomie 1-3 sekund.

Różnica w liczbie stanów jest również istotna: STP definiuje pięć stanów portów przez które przechodzi interfejs przed rozpoczęcie przekazywania ramek. RSTP uprościł ten proces do trzech stanów: Discarding, Learning i Forwarding, co przyczynia się do szybszej zbieżności. Kolejna różnica dotyczy liczby instancji drzewa rozpinającego: STP i RSTP obsługują tylko jedną instancję dla całego switcha, podczas gdy MSTP umożliwia tworzenie wielu instancji przypisanych do różnych grup VLAN.

RSTP wprowadza również nowe typy portów: Alternate Port, który stanowi alternatywną ścieżkę do Root Bridge, oraz Backup Port, który jest zapasowym łączem do tego samego segmentu sieci. MSTP łączy zalety RSTP z możliwością tworzenia wielu instancji, co czyni go najbardziej elastycznym rozwiązaniem.

Agregacja łączy zdefiniowana w standardzie LACP 802.3ad rozwiązuje problem zwiększenia przepustowości między dwoma przełącznikami przy jednoczesnym zachowaniu ochrony przed pętlami. W tradycyjnym podejściu dodanie więcej niż jednego kabla między dwoma przełącznikami powoduje powstanie pętli, która musi zostać zablokowana przez STP. LACP rozwiązuje ten problem poprzez połączenie wielu fizycznych łączy w jeden logiczny interfejs LAG, który dla protokołu STP jest postrzegany jako pojedyncze łącze.

Protokół LACP używa ramek typu LACPDU do negocjacji i utrzymania agregacji. Ramki heartbeat są wymieniane między przełącznikami co sekundę, a w przypadku braku trzech kolejnych ramek łącze jest uznawane za uszkodzone i wykluczane z LAG-u. Mechanizm ten zapewnia szybkie wykrywanie awarii i automatyczne dostosowanie przepustowości bez ręcznej interwencji administratora.

Dystrybucja ramek w LAG-u nie odbywa się w sposób równomierny round-robin, ale na podstawie haszowania, co zapewnia zachowanie kolejności ramek w ramach pojedynczej sesji TCP. Algorytm haszowania może być oparty na parach adresów MAC, parze adresów IP lub kombinacji adresów IP i portów TCP.

Zasada haszowania w LACP jest kluczowa dla zrozumienia, w jaki sposób ruch sieciowy jest dystrybuowany pomiędzy fizycznymi łączami w ramach agregacji. Gdyby zastosowano prostą metodę round-robin, kolejne pakiety z tej samej sesji TCP mogłyby być przesyłane różnymi łączami fizycznymi, co doprowadziłoby do zaburzenia kolejności pakietów i masowych retransmisji. Haszowanie rozwiązuje ten problem poprzez zapewnienie, że wszystkie pakiety należące do tej samej sesji są zawsze przesyłane tym samym fizycznym łączem.

Algorytm haszowania oblicza wartość funkcji skrótu na podstawie wybranych pól nagłówka ramki lub pakietu, a następnie przypisuje wynik do jednego z łączy fizycznych wchodzących w skład LAG-u. Najbardziej uniwersalnym algorytmem jest src-dst-IP, który zapewnia zrównoważoną dystrybucję dla ruchu IP. W przypadku ruchu nie-IP stosuje się src-dst-MAC, a dla najbardziej zaawansowanych zastosowań src-dst-IP plus port TCP.

Problemem haszowania jest potencjalnie nierównomierna dystrybucja w przypadku małej liczby strumieni, co może prowadzić do przeciążenia jednego łącza fizycznego podczas gdy inne są niedostatecznie wykorzystane. W praktyce algorytm haszowania działa dobrze przy dużej liczbie równoczesnych sesji.

Bezpieczeństwo warstwy 2 stanowi krytyczny aspekt projektowania i utrzymania sieci LAN, który jest często pomijany na rzecz zabezpieczeń warstw wyższych takich jak firewall. Ataki na warstwie 2 wykorzystują zaufanie, jakim przełączniki darzą ramki odebrane na swoich portach, oraz domyślne mechanizmy działania, takie jak floodowanie nieznanego ruchu. Najpowszechniejsze ataki to MAC Flooding, który polega na wysyłaniu ogromnej liczby ramek z różnymi źródłowymi adresami MAC w celu przepełnienia tablicy FDB.

ARP Spoofing to atak polegający na wysyłaniu fałszywych odpowiedzi ARP, które umożliwiają przechwycenie ruchu między dwiema stacjami. Rogue DHCP polega na umieszczeniu w sieci nieautoryzowanego serwera DHCP, który przydziela stacjom fałszywe konfiguracje sieciowe. STP Manipulation wykorzystuje protokół drzewa rozpinającego do zmiany topologii sieci, a VLAN Hopping umożliwia przeskakiwanie między VLAN-ami bez autoryzacji.

Każdy z tych ataków wykorzystuje inny aspekt działania przełącznika i wymaga zastosowania odpowiednich mechanizmów obronnych. Przełącznik jako pierwsza linia obrony musi być odpowiednio skonfigurowany, aby zapobiec tym zagrożeniom.

Mechanizmy obrony warstwy 2 stanowią kompleksowy zestaw narzędzi, które umożliwiają zabezpieczenie sieci LAN przed najczęstszymi atakami. Port Security to pierwszy i najbardziej podstawowy mechanizm, który ogranicza liczbę adresów MAC możliwych do użycia na pojedynczym porcie. Po przekroczeniu zdefiniowanego limitu port może zostać automatycznie wyłączony, co skutecznie blokuje ataki MAC Flooding.

Standard 802.1X zapewnia uwierzytelnianie urządzeń przed przyznaniem dostępu do sieci, co zapobiega podłączaniu nieautoryzowanych stacji. DHCP Snooping dzieli porty na zaufane i niezaufane, a następnie buduje tablicę przypisań MAC-IP na podstawie poprawnych transakcji DHCP. DAI korzysta z tablicy DHCP Snooping do weryfikacji poprawności pakietów ARP i odrzucania fałszywych odpowiedzi ARP.

BPDU Guard chroni przed manipulacją protokołem STP poprzez blokowanie portów, na których odebrano ramki BPDU, a które nie powinny ich otrzymywać. Private VLAN zapewnia izolację stacji w obrębie tego samego VLAN-u, uniemożliwiając komunikację między urządzeniami na tym samym porcie.

L3 Switching to technologia, która łączy możliwości przełącznika warstwy 2 z funkcjonalnością rutera IP w jednym urządzeniu, wykorzystując sprzętowe przetwarzanie w układzie ASIC. Głównym problemem rozwiązywanym przez L3 Switch jest potrzeba routowania między sieciami VLAN, która w tradycyjnej architekturze wymagałaby dodatkowego rutera zewnętrznego. Taki router stanowił wąskie gardło i dodawał dodatkowy hop w ścieżce transmisji, zwiększając opóźnienie i zmniejszając przepustowość.

L3 Hardware Offloading umożliwia routowanie pakietów IP bezpośrednio w sprzęcie ASIC, co zapewnia pracę z prędkością liniową sięgającą 100 Gb/s lub więcej. Aby L3HW działał poprawnie, muszą być spełnione określone warunki, takie jak włączone filtrowanie VLAN na interfejsie mostu, brak reguł firewalla oraz skonfigurowany routing na interfejsie mostu. Switch L3 wewnątrz sieci LAN przejmuje funkcję rutera, podczas gdy dedykowany router pozostaje na brzegu sieci.

Taka architektura jest optymalną z punktu widzenia wydajności i kosztów, ponieważ eliminuje potrzebę zakupu osobnego rutera do komunikacji między VLAN-ami. Granica między switchingiem a routingiem w nowoczesnych sieciach stopniowo się zaciera, a przełączniki L3 wypierają tradycyjne routery w środowiskach LAN.

Porównanie systemów RouterOS i SwOS dotyczy dwóch różnych podejść do zarządzania przełącznikami firmy MikroTik. RouterOS to pełnoprawny system operacyjny oferujący zaawansowane funkcje, takie jak firewall, routing, VPN i wiele innych. Jednakże użycie zaawansowanych funkcji w RouterOS może spowodować utratę sprzętowego przyspieszania L3HW, co negatywnie wpływa na wydajność przełączania. Jest to ważna kwestia do rozważenia podczas projektowania sieci z wykorzystaniem sprzętu MikroTik.

SwOS to uproszczony system operacyjny zaprojektowany specjalnie dla przełączników, który zawsze wykorzystuje sprzętowe przyspieszanie i oferuje gwarantowaną wydajność. Wadą SwOS jest ograniczona funkcjonalność w porównaniu do RouterOS, co może być problematyczne w bardziej złożonych środowiskach. Wybór między RouterOS a SwOS zależy od konkretnych wymagań sieci: jeśli potrzebne są zaawansowane funkcje, RouterOS jest lepszym wyborem, ale jeśli priorytetem jest wydajność przełączania, SwOS będzie odpowiedniejszy.

W praktyce często stosuje się podejście hybrydowe, w którym RouterOS jest używany do zarządzania i zaawansowanych funkcji na brzegu sieci, a SwOS dla prostych przełączników w rdzeniu sieci LAN. Takie rozwiązanie łączy zalety obu systemów w optymalnej konfiguracji.

Mapa myśli dla bloku tematów 6-10 stanowi wizualne podsumowanie zaawansowanych koncepcji związanych z przełącznikami Ethernet. Centralnym punktem tej mapy jest zaawansowany przełącznik, wokół którego rozmieszczone są gałęzie reprezentujące VLAN, STP RSTP MSTP, LACP, bezpieczeństwo L2 oraz L3 Switching. Taka wizualizacja pozwala na szybkie przypomnienie wszystkich omówionych zagadnień i ich wzajemnych powiązań.

Każda gałąź mapy reprezentuje jeden z tematów szczegółowo omówionych podczas wykładów 6-10 kursu. VLAN stanowi podstawę logicznej segmentacji sieci L2, protokoły drzewa rozpinającego chronią przed pętlami, LACP agreguje łącza, bezpieczeństwo L2 zapewnia ochronę przed atakami, a L3 Switching umożliwia routing w sprzęcie. Wszystkie te koncepcje są ze sobą powiązane i razem tworzą kompletny obraz nowoczesnego przełącznika.

Mapa myśli jest szczególnie przydatna jako narzędzie do powtórki przed egzaminem lub kolokwium, ponieważ w syntetyczny sposób łączy wszystkie poznane koncepcje. Zrozumienie związków między nimi jest kluczowe dla efektywnego projektowania i diagnozowania sieci LAN.

Pytania kontrolne dla bloku tematów 6-10 sprawdzają zrozumienie zaawansowanych koncepcji związanych z VLAN, STP, LACP i L3 Switching. Pierwsze pytanie dotyczy PVID i jego roli w przetwarzaniu ramek na porcie przełącznika. PVID to domyślny identyfikator VLAN przypisany do portu, który jest dodawany do ramek nieotagowanych wchodzących na ten port. Zrozumienie różnicy między PVID a VID jest kluczowe dla poprawnej konfiguracji VLAN.

Drugie pytanie dotyczy przyczyn szybszego działania RSTP w porównaniu do STP. RSTP wprowadza mechanizm Proposal i Agreement, który umożliwia bezpośrednie przejście do stanu Forwarding bez czekania na timery. Trzecie pytanie dotyczy mechanizmu LACP omijającego problem pętli: poprzez agregację wielu fizycznych łączy w jeden logiczny interfejs, który dla STP jest postrzegany jako pojedyncze łącze.

Czwarte pytanie dotyczy L3 Hardware Offloading, czyli możliwości routowania pakietów IP bezpośrednio w układzie ASIC z pominięciem procesora CPU. Mechanizm ten zapewnia routing z prędkością liniową, która może sięgać setek gigabitów na sekundę.

Slajd wprowadzający do siedmiu kluczowych koncepcji kursu BiKUS stanowi most między szczegółową wiedzą przedstawioną w poprzednich blokach a syntetycznym podsumowaniem. Z całego materiału kursu wyodrębniono siedem koncepcji, które mają fundamentalne znaczenie dla zrozumienia działania nowoczesnych sieci Ethernet. Każda z tych koncepcji była szczegółowo analizowana we wcześniejszych modułach i teraz wymaga zebrania w jedną spójną całość.

Lista siedmiu koncepcji obejmuje technologię TCAM i CAM, która umożliwia szybkie wyszukiwanie adresów, metody przetwarzania ramek Store-and-Forward oraz Cut-Through, wirtualne sieci VLAN, protokoły drzewa rozpinającego STP RSTP MSTP, agregację łączy LACP, mechanizmy bezpieczeństwa warstwy 2 oraz sprzętowy routing L3. Każda z tych koncepcji została szczegółowo omówiona w oddzielnym wykładzie lub bloku wykładów.

Zrozumienie tych siedmiu koncepcji daje solidny fundament wiedzy o przełącznikach Ethernet, który jest niezbędny dla każdego inżyniera sieciowego. Bez tej wiedzy projektowanie, konfiguracja i diagnostyka nowoczesnych sieci LAN nie są w pełni możliwe.

Koncepcja TCAM i CAM jako pierwsza z siedmiu kluczowych zagadnień kursu stanowi fundament wydajności wszystkich współczesnych przełączników Ethernet. CAM jest wykorzystywana przede wszystkim do przechowywania tablicy FDB, która zawiera adresy MAC i umożliwia ich wyszukiwanie w czasie stałym O(1). Dzięki temu przełącznik może podejmować decyzje forward lub filter z prędkością liniową, niezależnie od liczby wpisów w tablicy.

TCAM rozszerza możliwości CAM o trzeci stan don't care, co pozwala na wyszukiwanie wzorców z maską i jest wykorzystywane w listach ACL, routingu L3 oraz mechanizmach QoS. W TCAM każdy wpis może być dopasowany do wzorca zawierającego dowolną kombinację zer, jedynek i stanów obojętnych. Proces haszowania w CAM może prowadzić do kolizji, które są rozwiązywane przez mechanizm chainingu, ale w praktyce CAM jest zaprojektowany tak, aby minimalizować ryzyko kolizji.

Bez CAM i TCAM przełącznik nie mógłby działać z prędkością liniową, a wyszukiwanie adresów MAC musiałoby odbywać się w pamięci RAM z wykorzystaniem procesora CPU, co drastycznie ograniczyłoby przepustowość urządzenia.

Druga kluczowa koncepcja kursu dotyczy wyboru metody przełączania ramek między Store-and-Forward a Cut-Through, który ma istotny wpływ na parametry działania sieci. Store-and-Forward to metoda bezpieczna, w której cała ramka jest buforowana i sprawdzana pod kątem poprawności sumy kontrolnej FCS przed przekazaniem. Metoda ta zapewnia, że uszkodzone ramki nie są transmitowane dalej, ale wprowadza zmienne opóźnienie zależne od długości ramki. Jest to szczególnie ważne w sieciach, gdzie jakość łącza może być różna.

Cut-Through to metoda o minimalnym opóźnieniu, w której przełącznik rozpoczyna przekazywanie ramki po odebraniu zaledwie sześciu bajtów zawierających adres docelowy MAC. Metoda ta oferuje stałe i bardzo niskie opóźnienie, ale nie weryfikuje poprawności ramki i może propagować uszkodzone ramki. Dodatkowo Cut-Through nie może obsługiwać różnych prędkości na porcie wejściowym i wyjściowym.

Adaptive Switching to metoda hybrydowa, która automatycznie wybiera optymalną technikę na podstawie poziomu błędów CRC na porcie. Wybór metody przełączania ma kluczowe znaczenie dla projektu sieci, szczególnie w środowiskach o wysokich wymaganiach co do opóźnienia, takich jak HPC czy sieci finansowe.

Trzecia kluczowa koncepcja kursu dotyczy wirtualnych sieci VLAN, które stanowią podstawę logicznej segmentacji we współczesnych sieciach LAN. VLAN umożliwia podział jednego fizycznego przełącznika na wiele odizolowanych sieci warstwy 2, z których każda stanowi osobną domenę rozgłoszeniową. Standard 802.1Q definiuje sposób tagowania ramek Ethernet dodatkowym polem zawierającym identyfikator VLAN, co pozwala na przesyłanie informacji o przynależności do VLAN między przełącznikami.

Konfiguracja portów przełącznika w kontekście VLAN obejmuje trzy tryby: Access, Trunk i Hybrid. Port Access jest używany do podłączania stacji końcowych i przekazuje ramki bez tagu VLAN. Port Trunk służy do łączenia przełączników i przesyła ramki z tagami VLAN. Port Hybrid może obsługiwać zarówno ruch tagged, jak i untagged, co jest przydatne w bardziej złożonych konfiguracjach.

VLAN to podstawa projektowania nowoczesnych sieci LAN, ponieważ umożliwia logiczne odseparowanie ruchu dla różnych grup użytkowników lub usług. Bez VLAN każda zmiana w strukturze sieci wymagałaby fizycznego przełączania kabli, co byłoby niepraktyczne w dużych środowiskach.

Czwarta kluczowa koncepcja kursu dotyczy protokołów drzewa rozpinającego, które chronią sieci Ethernet przed niszczycielskimi skutkami pętli warstwy 2. Pętla w sieci Ethernet powstaje, gdy istnieje więcej niż jedna ścieżka między dwoma przełącznikami, co jest często stosowane w celu zapewnienia nadmiarowości. W przeciwieństwie do protokołu IP, ramki Ethernet nie mają mechanizmu TTL, który ograniczałby czas życia, więc ramka broadcast może krążyć w pętli bez końca.

STP 802.1D rozwiązuje ten problem poprzez wybranie Root Bridge i zbudowanie drzewiastej topologii bez pętli, w której nadmiarowe łącza są blokowane. Proces zbieżności STP jest jednak powolny i trwa od 30 do 50 sekund, co jest nieakceptowalne w nowoczesnych sieciach. RSTP 802.1w skraca ten czas do 1-3 sekund dzięki mechanizmowi Proposal i Agreement, który umożliwia szybkie przejście portów do stanu forwarding.

MSTP 802.1s rozszerza możliwości RSTP o wiele instancji drzewa rozpinającego, co pozwala na równoważenie obciążenia między nadmiarowymi łączami. Bez STP lub jego nowszych wersji sieć z redundantnymi łączami byłaby całkowicie niestabilna i nie mogłaby działać poprawnie.

Piąta kluczowa koncepcja kursu dotyczy agregacji łączy LACP, która umożliwia łączenie wielu fizycznych łączy Ethernet w jeden logiczny interfejs o zwiększonej przepustowości. Głównym problemem rozwiązywanym przez LACP jest potrzeba zwiększenia przepustowości między przełącznikami bez tworzenia pętli L2. W tradycyjnym podejściu dodanie drugiego kabla między przełącznikami powoduje powstanie pętli, która zostaje zablokowana przez STP, co marnuje dostępną przepustowość.

Protokół LACP 802.3ad negocjuje agregację za pomocą ramek LACPDU i monitoruje stan łączy poprzez mechanizm heartbeat. W przypadku awarii jednego z łączy fizycznych, LACP automatycznie usuwa je z agregacji i przekazuje ruch na pozostałe sprawne łącza. Dystrybucja ramek w LAG-u odbywa się na podstawie haszowania, co zapewnia zachowanie kolejności pakietów, ale może prowadzić do nierównomiernego obciążenia przy małej liczbie strumieni.

LACP zwiększa przepustowość i zapewnia redundancję bez potrzeby ręcznej interwencji administratora. Jest to standardowy mechanizm dostępny we wszystkich profesjonalnych przełącznikach Ethernet.

Szósta kluczowa koncepcja kursu dotyczy bezpieczeństwa warstwy 2, które jest często pomijane w projektach sieciowych na rzecz firewalli i systemów wykrywania intruzów działających w wyższych warstwach. Ataki na warstwie 2 są szczególnie niebezpieczne, ponieważ firewall sieciowy nie jest w stanie ich wykryć ani zablokować. Przełącznik Ethernet stanowi pierwszą linię obrony i musi być odpowiednio skonfigurowany, aby zapobiec atakom takim jak MAC Flooding, ARP Spoofing czy Rogue DHCP.

Mechanizmy obrony warstwy 2 obejmują Port Security, który ogranicza liczbę adresów MAC na porcie, 802.1X zapewniający uwierzytelnianie urządzeń, DHCP Snooping budujący tablicę zaufanych przypisań MAC-IP oraz DAI weryfikujący poprawność pakietów ARP. Dodatkowo BPDU Guard chroni przed manipulacją protokołem STP, a Private VLAN izoluje stacje w obrębie tego samego VLAN-u.

Wszystkie te mechanizmy muszą być stosowane łącznie, aby zapewnić skuteczną ochronę przed atakami warstwy 2. Pojedynczy mechanizm obronny nie jest w stanie zabezpieczyć sieci przed wszystkimi rodzajami ataków.

Siódma kluczowa koncepcja kursu dotyczy L3 Hardware Offloading, czyli sprzętowego routingu w przełącznikach warstwy 3. L3 Switch to urządzenie, które łączy funkcjonalność przełącznika L2 z routerem IP w jednym układzie ASIC, umożliwiając routing między VLAN-ami z prędkością liniową. Technologia L3HW eliminuje potrzebę stosowania zewnętrznego rutera do komunikacji między sieciami VLAN, co zmniejsza koszty i upraszcza architekturę sieci.

Warunkiem działania L3HW jest odpowiednia konfiguracja mostu z filtrowaniem VLAN oraz brak reguł firewalla, które mogłyby wymusić przetwarzanie pakietów przez CPU. L3 Switch wewnątrz sieci LAN przejmuje funkcję rutera dla ruchu między VLAN, podczas gdy dedykowany router na brzegu sieci obsługuje ruch do sieci zewnętrznych. Taka architektura zapewnia optymalną wydajność przy zachowaniu elastyczności.

Granica między switchingiem a routingiem w nowoczesnych sieciach stopniowo się zaciera, a przełączniki L3 wypierają tradycyjne routery w środowiskach LAN. Wybór między RouterOS a SwOS w sprzęcie MikroTik ma istotny wpływ na dostępność L3HW.

Podsumowanie kursu BiKUS zawiera dziesięć najważniejszych wniosków, które stanowią kwintesencję całej prezentacji. Pierwszy wniosek przypomina, że Ethernet ewoluował od współdzielonego medium z protokołem CSMA/CD do w pełni przełączanych sieci L3 opartych na układach ASIC. Drugi wniosek podkreśla, że przełącznik to nie inteligentny hub, lecz urządzenie warstwy 2 lub 3 o jakościowo wyższej funkcjonalności, co było wielokrotnie powtarzane w trakcie kursu.

Kolejne trzy wnioski dotyczą technologii CAM i TCAM umożliwiających wyszukiwanie w czasie stałym, metod przełączania Store-and-Forward i Cut-Through oraz wirtualnych sieci VLAN dzielących fizyczny przełącznik na logiczne segmenty. Wnioski od szóstego do ósmego obejmują protokoły drzewa rozpinającego STP RSTP MSTP, agregację łączy LACP oraz mechanizmy bezpieczeństwa warstwy 2, które stanowią pierwszą linię obrony sieci LAN.

Ostatnie dwa wnioski dotyczą L3 Hardware Offloading zacierającego granicę między switchingiem a routingiem oraz faktu, że wiedza o przełącznikach Ethernet stanowi fundament nowoczesnych sieci LAN. Dziesięć wniosków w syntetyczny sposób podsumowuje cały kurs i stanowi doskonałą ściągę dla studentów przygotowujących się do egzaminu.