Siodma czesc wykladu poswiecona jest protokolom warstwy sieciowej (L3) i lacza danych (L2) modelu OSI. To fundamentalne zagadnienie dla kazdego administratora i projektanta sieci komputerowych, poniewaz protokoly te stanowia szkielet komunikacji we wspolczesnych sieciach.

W warstwie sieciowej omowimy protokoly IP (IPv4 i IPv6), ICMP sluzacy do diagnostyki i raportowania bledow, ARP odpowiedzialny za mapowanie adresow IP na MAC, oraz IGMP do zarzadzania transmisja grupowa (multicast).

W warstwie lacza danych skoncentrujemy sie na Ethernet - dominujacej technologii sieci lokalnych, analizie ramki, adresacji MAC, mechanizmach CSMA/CD i CSMA/CA, dzialaniu przelacznikow oraz protokolach STP i RSTP zapobiegajacych petlom.

Material zawiera liczne przyklady praktyczne, cwiczenia z Wireshark, pytania kontrolne oraz studium przypadku wykrywania petli. Umiejetnosc analizy protokolow warstw 2 i 3 jest niezbedna przy diagnozowaniu problemow sieciowych.

Plan siodmej czesci wykladu obejmuje kompletny przeglad protokolow warstwy sieciowej i lacza danych. Rozpoczniemy od budowy datagramu IPv4, mechanizmu fragmentacji pakietow, a nastepnie przejdziemy do protokolu ICMP i jego zastosowan diagnostycznych.

Omowimy protokol ARP sluzacy do rozpoznawania adresow MAC na podstawie adresow IP, zagadnienia zwiazane z atakiem ARP spoofing, oraz protokol IGMP umozliwiajacy transmisje multicast w sieciach IP.

W czesci poswieconej warstwie lacza danych przeanalizujemy szczegolowo budowe ramki Ethernet II, znaczenie minimalnego rozmiaru ramki (64B), rodzaje adresow MAC oraz mechanizmy CSMA/CD (Ethernet) i CSMA/CA (Wi-Fi).

Na zakonczenie omowimy zasady dzialania przelacznikow, protokoly STP i RSTP zapobiegajace petlom, a takze narzedzia do diagnostyki i monitorowania sieci, w tym Wireshark, ethtool i iperf3.

Datagram IPv4 jest podstawowa jednostka danych w warstwie sieciowej modelu TCP/IP. Jego naglowek ma standardowo 20 bajtow (przy braku opcji) i zawiera wszystkie informacje niezbedne do prawidlowego przekazania pakietu przez siec.

Najwazniejsze pola naglowka to: wersja (IPv4), IHL (dlugosc naglowka), DSCP/ECN (jakosc obslugi), Total Length (calkowita dlugosc pakietu), pola fragmentacji (Identification, Flags, Fragment Offset), TTL (Time To Live), Protocol (identyfikuje protokol warstwy wyzszej) oraz suma kontrolna.

Pole TTL jest dekrementowane przez kazdy router na trasie - gdy osiagnie zero, pakiet jest odrzucany, a nadawca otrzymuje komunikat ICMP Time Exceeded. Zapobiega to zapetleniu pakietow w przypadku bledow routingu.

Pole Protocol okresla protokol warstwy transportowej: wartosc 6 oznacza TCP, 17 - UDP, 1 - ICMP. Dzieki temu po odebraniu pakietu system operacyjny wie, ktoremu protokolowi przekazac dane do dalszego przetworzenia.

Fragmentacja IP jest mechanizmem pozwalajacym na podzial duzych pakietow na mniejsze czesci, ktore moga byc przesylane przez lacza o mniejszym MTU. Typowy MTU dla Ethernet wynosi 1500 bajtow, a dla lacz z dodatkowymi naglowkami (np. PPPoE, VPN) moze byc mniejszy.

Kazdy fragment otrzymuje ten sam identyfikator (Identification), dzieki czemu host docelowy moze zlozyc oryginalny pakiet. Flaga MF (More Fragments) informuje, czy sa kolejne fragmenty - gdy MF=0, jest to ostatni fragment.

Pole Fragment Offset okresla pozycje danego fragmentu w oryginalnym datagramie, wyrazona w jednostkach 8-bajtowych. Dzieki temu mozliwe jest prawidlowe uporzadkowanie fragmentow podczas skladania.

Wspolczesnie fragmentacja jest czesto unikana dzieki mechanizmowi PMTUD (Path MTU Discovery), ktory pozwala na znalezienie minimalnego MTU na calej trasie, zanim pakiet zostanie wyslany. PMTUD wykorzystuje komunikaty ICMP Fragmentation Needed.

ICMP (Internet Control Message Protocol) jest protokolem warstwy sieciowej sluzacym do diagnostyki i raportowania bledow w komunikacji IP. Mimo ze dziala na warstwie 3, jego komunikaty sa przenoszone wewnatrz datagramow IP z polem Protocol ustawionym na 1.

Najczesciej uzywane typy ICMP to: typ 0 (Echo Reply) i typ 8 (Echo Request) uzywane przez narzedzie ping, typ 3 (Destination Unreachable) informujacy o nieosiagalnosci sieci, hosta, protokolu lub portu, typ 5 (Redirect) wskazujacy lepsza trase, oraz typ 11 (Time Exceeded) uzywany przez traceroute.

Ping jest podstawowym narzedziem diagnostycznym - wysyla pakiety ICMP Echo Request i mierzy czas odpowiedzi (RTT), utrate pakietow oraz ewentualne roznice w kolejnosci. Wartosc TTL pinga mozna zmieniac, aby testowac trase pakietu (np. w narzedziu traceroute). Do testowania fragmentacji sluzy zmiana rozmiaru pakietu (-s w Linux, -l w Windows) oraz flaga Don't Fragment.

Traceroute wykorzystuje komunikaty ICMP Time Exceeded do mapowania trasy pakietu. Wysyla pakiety z rosnącym TTL (zaczynajac od 1), a kazdy router, ktory zdekremetuje TTL do zera, odsyla komunikat ICMP z wlasnym adresem IP.

ARP (Address Resolution Protocol) jest protokolem dzialajacym na granicy warstwy lacza i warstwy sieciowej, odpowiedzialnym za mapowanie adresow IP na adresy MAC. Bez ARP komunikacja w sieci LAN nie jest mozliwa, poniewaz urzadzenia musza znac adres MAC celu, aby wyslac ramke Ethernet.

Dzialanie ARP jest proste: host wysyla ramke broadcast ARP Request z pytaniem 'Kto ma adres IP X.X.X.X?'. Urzadzenie, ktore rozpoznaje swoj adres IP, odsyla odpowiedz ARP Reply (unicast) zawierajaca swoj adres MAC.

System operacyjny przechowuje poznane mapowania IP-MAC w tablicy ARP. W systemie Windows mozna ja wyswietlic komenda 'arp -a', w Linux 'arp -n' lub 'ip neigh show'. Wpisy moga byc dynamiczne (czasowe, odswiezane automatycznie) lub statyczne (recznie skonfigurowane).

ARP dziala tylko w obrebie tej samej sieci LAN. Jezeli host chce wyslac pakiet do adresu IP spoza swojej sieci, uzywa adresu MAC bramy domyslnej (routera), a nie docelowego hosta - to router odpowiada za dalsze przekazywanie pakietu.

ARP spoofing (ARP poisoning) jest atakiem polegajacym na wyslaniu falszywej odpowiedzi ARP Reply, w ktorej atakujacy podszywa sie pod inny adres IP (np. brame domyslna). Ofiara aktualizuje swoja tablice ARP i zaczyna wysylac ruch do atakujacego.

Atak ten umozliwia przechwycenie ruchu w trybie MITM (Man-in-the-Middle) - atakujacy moze podslychiwac, modyfikowac lub blokowac komunikacje miedzy ofiara a brama. Narzedzia takie jak arpspoof, ettercap czy yersinia automatyzuja ten proces.

Zabezpieczeniem przed ARP spoofingiem jest DAI (Dynamic ARP Inspection) na zarzadzalnych przelacznikach Cisco. DAI weryfikuje poprawnosc pakietow ARP, porownujac je z baza DHCP snooping, i blokuje falszywe odpowiedzi ARP.

Inne metody ochrony to statyczne wpisy ARP (recznie okreslone mapowania IP-MAC, ktore nie ulegaja zmianie), segmentacja sieci z uzyciem VLANow, oraz szyfrowanie ruchu (np. HTTPS, VPN), ktore uniemozliwia odczytanie przechwyconych danych.

IGMP (Internet Group Management Protocol) jest protokolem warstwy sieciowej sluzacym do zarzadzania transmisja multicast. Umożliwia hostom zglaszanie checi dolaczenia do grupy multicast, a przelacznikom i routerom odpowiednie kierowanie ruchem grupowym.

Komunikacja multicast jest efektywniejsza od broadcastu, gdy dane maja trafic tylko do wybranej grupy odbiorcow. Zamiast wysylac osobne kopie do kazdego odbiorcy (unicast) lub zalewac cala siec (broadcast), multicast dostarcza dane tylko do zainteresowanych hostow.

Zastosowania multicastu obejmuja IPTV i transmisje strumieniowe, wideokonferencje, aktualizacje oprogramowania dla wielu stacji, gry sieciowe oraz systemy alarmowe. Adresy multicast IPv4 mieszcza sie w zakresie 224.0.0.0/4 (klasa D).

Host dolacza do grupy multicast, wysylajac komunikat IGMP Membership Report. Router slucha tych raportow i przekazuje ruch grupowy tylko do tych sieci, w ktorych sa zaintersowani odbiorcy. Przelaczniki warstwy 2 moga uzywac IGMP snooping do optymalizacji.

Ramka Ethernet II jest podstawowa jednostka danych w warstwie lacza danych w sieciach Ethernet. Jej budowa jest kluczowa dla zrozumienia dzialania wspolczesnych sieci LAN - kazdy pakiet przesylany w sieci Ethernet jest opakowany w ramke o okreslonej strukturze.

Ramka rozpoczyna sie preambula (7 bajtow sluzacych do synchronizacji nadajnika i odbiornika) oraz SFD (Start Frame Delimiter, 1 bajt oznaczajacy poczatek ramki). Te pola sa dodawane przez karte sieciowa i nie sa widoczne w analizie Wireshark.

Naglowek ramki zawiera adres MAC docelowy (6 bajtow), adres MAC zrodlowy (6 bajtow) oraz pole EtherType (2 bajty) identyfikujace protokol warstwy 3: 0x0800 dla IPv4, 0x0806 dla ARP, 0x86DD dla IPv6. Dane maja od 46 do 1500 bajtow.

Ramke konczy pole FCS (Frame Check Sequence, 4 bajty) zawierajace sume kontrolna CRC32, sluzaca do wykrywania bledow transmisji. Jezeli FCS obliczony przez odbiornik nie zgadza sie z wartoscia w ramce, ramka jest odrzucana.

Minimalny rozmiar ramki Ethernet wynosi 64 bajty (liczac od adresu MAC docelowego do FCS, bez preambuly). Ten wymog wynika z mechanizmu CSMA/CD stosowanego w tradycyjnych sieciach Ethernet dzialajacych w trybie half-duplex.

Powod jest nastepujacy: nadawca musi kontynuowac nadawanie na tyle dlugo, aby zdazyc wykryc kolizje, zanim zakonczy transmisje. Maksymalny czas propagacji w obie strony dla sieci Ethernet (ok. 2500 metrow) wynosi okolo 512 bitow czasu transmisji przy 10 Mb/s.

Jezeli pakiet jest krotszy niz 64 bajty, karta sieciowa dodaje padding (wyrownanie) do minimalnego rozmiaru. Padding jest wypelnieniem bitami zerowymi, ktore nie niosa informacji, ale zapewniaja prawidlowe dzialanie mechanizmu wykrywania kolizji.

Wspolczesne sieci Ethernet dzialaja w trybie full-duplex (dzieki przelacznikom), gdzie CSMA/CD jest wylaczone, a kolizje nie wystepuja. Mimo to standard Ethernet wciaz wymaga minimalnego rozmiaru ramki 64 bajty dla zachowania zgodnosci.

Adres MAC (Media Access Control) jest 48-bitowym identyfikatorem przypisanym fabrycznie do kazdej karty sieciowej. Pierwsze 24 bity to OUI (Organizationally Unique Identifier) przypisany producentowi, pozostale 24 bity to unikalny numer interfejsu nadawany przez producenta.

Pierwszy bit adresu MAC (I/G - Individual/Group) okresla typ adresu: 0 oznacza adres unicast (dla pojedynczego interfejsu), 1 oznacza adres grupowy (multicast lub broadcast). Adres broadcast FF:FF:FF:FF:FF:FF ma wszystkie bity ustawione na 1.

Drugi bit (U/L - Universal/Local) informuje o zakresie adresu: 0 oznacza adres globalnie unikalny (przypisany przez producenta z OUI), 1 oznacza adres lokalnie administrowany (recznie zmieniony przez administratora).

Adresy multicast MAC maja I/G bit ustawiony na 1 i sa uzywane do transmisji grupowych. Przelacznik rozpoznaje typ adresu MAC i odpowiednio przekazuje ramki: unicast tylko do okreslonego portu (jesli zna adres), multicast/broadcast do wielu portow.

CSMA/CD (Carrier Sense Multiple Access with Collision Detection) jest protokolem dostepu do medium stosowanym w tradycyjnych sieciach Ethernet z magistrala wspoldzielona lub koncentratorami (hub). Mechanizm ten zapewnia uporzadkowany dostep wielu urzadzen do wspolnego medium transmisyjnego.

Dzialanie CSMA/CD sklada sie z czterech etapow: (1) Carrier Sense - nasluchiwanie, czy medium jest wolne, (2) Multiple Access - jesli wolne, rozpoczecie nadawania, (3) Collision Detection - wykrycie kolizji przez porownanie nadawanego sygnalu z odebranym, (4) Backoff - wyslanie sygnalu zagluszania i losowy czas oczekiwania przed ponowna proba.

Po wykryciu kolizji nadajacy host wysyla 32-bitowy sygnal zagluszania (jam signal), aby wszystkie urzadzenia w domenie kolizyjnej wiedzialy o kolizji. Algorytm backoff stosuje wykladnicze opoznienie - kazda nastepna kolizja wydluza maksymalny czas oczekiwania.

W nowoczesnych sieciach z przelacznikami (switch) lacze miedzy hostem a przelacznikiem dziala w trybie full-duplex, co calkowicie eliminuje kolizje. W trybie full-duplex host moze jednoczesnie nadawac i odbierac, a CSMA/CD nie jest uzywane.

CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) jest protokolem dostepu do medium stosowanym w sieciach bezprzewodowych WLAN (Wi-Fi). W odroznieniu od CSMA/CD, ktore wykrywa kolizje po fakcie, CSMA/CA stara sie kolizjom zapobiegac.

Dzialanie CSMA/CA opiera sie na mechanizmie CCA (Clear Channel Assessment) - stacja nasluchuje kanalu przed nadawaniem. Jesli kanal jest zajety, stacja czeka losowy czas (backoff), a nastepnie probuje ponownie. Po otrzymaniu wolnego kanalu stacja nadaje i czeka na potwierdzenie ACK.

Brak potwierdzenia ACK oznacza, ze ramka nie dotarla do celu (prawdopodobnie wystapila kolizja). W takim przypadku nastepuje retransmisja po kolejnym losowym backoff. Mechanizm ACK jest niezbedny w sieciach Wi-Fi ze wzgledu na ukryte stacje, ktore moga powodowac kolizje.

Dodatkowo CSMA/CA wykorzystuje mechanizm RTS/CTS (Request to Send / Clear to Send) do rezerwacji kanalu przed transmisja wiekszych ramek. Pozwala to na zminimalizowanie ryzyka kolizji w sytuacjach, gdy wiele stacji konkuruje o dostep do medium.

Przelacznik (switch) jest urzadzeniem warstwy 2 dzialajacym w oparciu o adresy MAC, sluzacym do l aczenia urzadzen w sieci lokalnej. Kazdy port przelacznika stanowi oddzielna domena kolizyjna, co eliminuje kolizje typowe dla hubow i umozliwia jednoczesna komunikacje wielu par urzadzen.

Przelacznik uczy sie adresow MAC, analizujac pole zrodlowego adresu MAC w kazdej odebranej ramce. Na tej podstawie buduje tablice MAC (MAC address table), ktora mapuje adresy MAC na numery portow. Tablica ta jest przechowywana w pamieci CAM (Content Addressable Memory) dla szybkiego wyszukiwania.

Gdy przelacznik otrzymuje ramke, sprawdza docelowy adres MAC w tablicy. Jesli zna port, na ktorym znajduje sie to urzadzenie, przekazuje ramke tylko na ten port. W przeciwnym razie wykonuje flood - wysyla ramke na wszystkie porty oprocz zrodlowego.

Przelaczniki moga dzialac w trybach store-and-forward (odebranie calej ramki, sprawdzenie FCS, dopiero przekazanie) lub cut-through (rozpoczecie przekazywania po odczytaniu adresu MAC, bez sprawdzania FCS). Store-and-forward jest wolniejszy, ale bardziej niezawodny.

STP (Spanning Tree Protocol, IEEE 802.1D) jest protokolem zapobiegajacym powstawaniu petli w sieciach z nadmiarowymi polaczeniami miedzy przelacznikami. Bez STP ramki broadcast moga krazyc w petli bez konca, powodujac broadcast storm - wysycenie lacza i calkowita blokade sieci.

STP dziala na zasadzie wyboru jednego przelacznika jako mostu glownego (root bridge). Wszystkie inne przelaczniki wyznaczaja najkrotsza sciezke do root bridge i ustawiaja odpowiednie stany portow: porty znajdujace sie na najkrotszej sciezce sa w stanie forwarding, a nadmiarowe porty sa blokowane.

Kazdy przelacznik wysyla ramki BPDU (Bridge Protocol Data Units) z informacjami o swoim identyfikatorze (priorytet + adres MAC) i koszcie sciezki do root bridge. Root bridge ma najnizszy identyfikator mostu. Port z najnizszym kosztem do root bridge staje sie portem glownym.

Konwergencja STP (czas potrzebny na dostosowanie sie do zmiany topologii) wynosi 30-50 sekund, co jest bardzo dlugo jak na wspolczesne standardy. Z tego powodu w nowych instalacjach zaleca sie stosowanie RSTP (Rapid STP, IEEE 802.1w), ktore skraca konwergencje do 1-3 sekund.

RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w) jest usprawniona wersja STP, ktora znaczaco skraca czas konwergencji sieci po zmianie topologii. Podczas gdy STP potrzebuje 30-50 sekund, RSTP osiaga konwergencje w 1-3 sekund, co jest krytyczne dla nowoczesnych sieci.

RSTP wprowadza nowa klasyfikacje portow: root port (najlepsza sciezka do root bridge), designated port (jedyny port przekazujacy dane w segmencie), alternate port (zapasowy port do root bridge) i backup port (zapasowy w tym samym segmencie). Alternatywne porty sa gotowe do natychmiastowego przelaczenia.

Zamiast polegac na timerach (jak STP), RSTP uzywa mechanizmu uzgadniania (handshake) miedzy przelacznikami. Gdy port staje sie nowym portem glownym, natychmiast wysyla prosbe o synchronizacje do sasiedniego przelacznika, ktory blokuje swoje nie-designated porty.

RSTP jest w pelni zgodny wstecz ze STP - moze wspolpracowac z przelacznikami STP, automatycznie przechodzac w tryb zgodnosci. Porty rozpoznaja protokol sasiada po typie odebranych ramek BPDU. W nowych instalacjach zawsze nalezy uzywac RSTP lub MSTP.

Pytanie o MTU (Maximum Transmission Unit) sprawdza podstawowa wiedze o ograniczeniach warstwy lacza danych. MTU okresla maksymalny rozmiar jednostki danych (payload), jaka moze byc przeslana w pojedynczej ramce bez koniecznosci fragmentacji na poziomie warstwy sieciowej.

Typowy MTU dla Ethernet wynosi 1500 bajtow. Oznacza to, ze datagram IP wiekszy niz 1500 bajtow musi zostac podzielony na fragmenty (chyba ze flaga Don't Fragment jest ustawiona, wtedy pakiet jest odrzucany z komunikatem ICMP Fragmentation Needed).

W niektorych sieciach stosuje sie Jumbo Frames z MTU 9000 bajtow, co zwieksza wydajnosc w sieciach Storage Area Network (SAN) i przy przesyle duzych plikow. Jumbo frames wymagaja wsparcia przez wszystkie urzadzenia na trasie.

MTU moze byc mniejsze niz 1500 w przypadku dodatkowych naglowkow, np. w polaczeniach VPN (PPPoE, IPsec), gdzie naglowek tunelu zmniejsza dostepny MTU. W takich przypadkach stosuje sie PMTUD do wykrycia efektywnego MTU na trasie.

TTL (Time To Live) jest polem 8-bitowym w naglowku IPv4, ktore sluzy do zapobiegania zapetleniu pakietow w sieci. Kazdy router na trasie pakietu dekrementuje wartosc TTL o 1. Jesli TTL osiagnie 0, pakiet jest odrzucany, a nadawca otrzymuje komunikat ICMP Time Exceeded.

Maksymalna wartosc TTL wynosi 255. Typowe wartosci poczatkowe: Windows ustawia TTL=128, Linux TTL=64, routery Cisco TTL=255. Dzieki temu ping lub traceroute moga zidentyfikowac system operacyjny zdalnego hosta na podstawie wartosci TTL w odebranym pakiecie.

TTL jest nie tylko mechanizmem bezpieczenstwa, ale takze narzedziem diagnostycznym. Narzedzie traceroute wykorzystuje TTL, wysylajac pakiety z coraz wyzszym TTL (1, 2, 3...), a kolejne routery odpowiadaja komunikatem ICMP Time Exceeded z wlasnym adresem IP.

W IPv6 pole TTL zostalo zastapione przez Hop Limit, ktore dziala analogicznie. Wspolczesne mechanizmy routingu (np. RPF - Reverse Path Forwarding) rowniez wykorzystuja informacje o TTL do zapewnienia bezpieczenstwa i zapobiegania atakom typu spoofing.

Pytanie o typy ICMP sprawdza znajomosc najwazniejszych komunikatow protokolu ICMP. Te komunikaty sa niezbedne do diagnostyki sieci i zrozumienia bledow komunikacji, a kazdy administrator sieci powinien je znac i umiec interpretowac.

Typ 0 (Echo Reply) i typ 8 (Echo Request) sa uzywane przez narzedzie ping do testowania lacznosci. Ping wysyla pakiet ICMP Echo Request i oczekuje odpowiedzi Echo Reply, mierzac czas RTT (Round Trip Time) i identyfikujac utrate pakietow.

Typ 3 (Destination Unreachable) ma wiele kodow: kod 0 (siec nieosiagalna), kod 1 (host nieosiagalny), kod 2 (protokol nieosiagalny), kod 3 (port nieosiagalny). Te kody pomagaja zdiagnozowac, na ktorym etapie komunikacja zostaje przerwana.

Typ 5 (Redirect) jest uzywany przez routery do poinformowania hosta o lepszej trasie. Typ 11 (Time Exceeded) jest kluczowy dla dzialania traceroute - wysylany, gdy TTL pakietu osiagnie 0. Istnieje rowniez typ 4 (Source Quench), obecnie przestarzaly.

Pytanie o protokol ARP weryfikuje zrozumienie mechanizmu mapowania adresow IP na adresy MAC. Jest to fundamentalna wiedza potrzebna do zrozumienia komunikacji w sieci LAN oraz do rozwiazywania problemow z lacznoscia na poziomie warstwy 2.

ARP jest protokolem warstwy lacza (bezposrednio nad warstwa fizyczna), dzialajacym tylko w obrebie jednej sieci LAN. Nie mozna uzywac ARP do mapowania adresow poza siecia lokalna - w takim przypadku pakiet jest kierowany do bramy domyslnej.

Tablica ARP przechowuje pary IP-MAC dla ostatnio komunikujacych sie hostow. Wpisy dynamiczne wygasaja po okresie bezczynnosci (zwykle 2-4 minuty dla niekompletnych, 15-20 minut dla kompletnych wpisow w Windows). Wpisy statyczne pozostaja do momentu recznego usuniecia.

Ataki ARP (spoofing, poisoning, flood) wykorzystuja brak wbudowanego mechanizmu autentykacji w protokole ARP. Zabezpieczenia obejmuja DAI, statyczne wpisy ARP, segmentacje sieci i szyfrowanie ruchu w warstwie 3 lub wyzszej.

Pytanie o roznice miedzy unicast a multicast sprawdza zrozumienie podstawowych typow transmisji w sieciach IP. Wybor odpowiedniego typu transmisji ma kluczowe znaczenie dla wydajnosci sieci, szczegolnie przy przesyle danych do wielu odbiorcow.

Unicast to transmisja jeden-do-jednego, gdzie kazdy pakiet jest dostarczany do pojedynczego adresata. Jest to najczesciej uzywany typ komunikacji - wszystkie standardowe polaczenia HTTP, SSH, FTP, poczta elektroniczna dzialaja w trybie unicast.

Multicast to transmisja jeden-do-wielu, gdzie pakiet jest dostarczany do wybranej grupy odbiorcow. W przeciwienstwie do broadcastu (jeden-do-wszystkich), multicast nie zalewa calego segmentu sieci, lecz tylko te urzadzenia, ktore wyrazily zainteresowanie.

Broadcast (adres 255.255.255.255 lub adres sieciowy z wszystkimi bitami hosta na 1) jest dostarczany do wszystkich hostow w segmencie sieci. Broadcast jest nieefektywny, obciaza wszystkie urzadzenia i jest czesto blokowany na routerach (broadcast nie przechodzi miedzy sieciami).

Pytanie o rodzaje adresow MAC sprawdza znajomosc struktury 48-bitowego adresu MAC i znaczenia poszczegolnych bitow w pierwszym bajcie. Ta wiedza jest niezbedna przy analizie ruchu sieciowego i zrozumieniu, jak urzadzenia warstwy 2 przetwarzaja ramki.

Adres unicast MAC (I/G=0) jest unikalny dla pojedynczego interfejsu sieciowego. Ramka z docelowym adresem unicast jest przekazywana przez przelacznik tylko na port, na ktorym znajduje sie docelowe urzadzenie (jesli adres jest znany w tablicy MAC).

Adres multicast MAC (I/G=1) sluzy do transmisji do grupy urzadzen. Przelacznik przekazuje ramki multicast na wiele portow, ale niekoniecznie na wszystkie (wspomagany przez IGMP snooping). Przykadem jest adres 01:00:5E:XX:XX:XX dla multicastu IPv4.

Adres broadcast FF:FF:FF:FF:FF:FF (I/G=1, wszystkie bity na 1) jest dostarczany do wszystkich hostow w sieci LAN. Jest uzywany m.in. przez ARP Request do znalezienia hosta o okreslonym adresie IP oraz przez DHCP przy rozgloszeniu zapytania o serwer DHCP.

Pytanie o roznice miedzy CSMA/CD a CSMA/CA weryfikuje zrozumienie dwoch fundamentalnie roznych mechanizmow dostepu do medium. Wybor odpowiedniego mechanizmu zalezy od rodzaju medium transmisyjnego - przewodowego (Ethernet) lub bezprzewodowego (Wi-Fi).

CSMA/CD (Carrier Sense Multiple Access with Collision Detection) dziala w sieciach przewodowych, gdzie stacje moga wykryc kolizje podczas nadawania. Po wykryciu kolizji nadawca wysyla sygnal zagluszania i czeka losowy czas przed ponowna proba (algorytm wykladniczy backoff).

CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) dziala w sieciach bezprzewodowych, gdzie wykrycie kolizji podczas nadawania jest niemozliwe (sygnal radiowy nadajnika zaglusza odbior). Dlatego CSMA/CA stara sie kolizjom zapobiegac przez nasluchiwanie kanalu i losowe backoff przed nadawaniem.

W switchach pracujacych w trybie full-duplex CSMA/CD jest calkowicie wylaczone, poniewaz kazdy port ma dedykowane lacze punkt-punkt - nie ma wspoldzielonego medium, wiec kolizje nie moga wystapic. Wi-Fi zawsze dziala w half-duplex, wiec CSMA/CA jest zawsze aktywne.

Pytanie o minimalny rozmiar ramki Ethernet 64 bajtow sprawdza znajomosc zaleznosci miedzy fizycznymi ograniczeniami medium a konstrukcja protokolu Ethernet. Jest to klasyczny przyklad, jak inzynierowie musza uwzgledniac parametry fizyczne przy projektowaniu protokolow.

Przy predkosci 10 Mb/s przeslanie 512 bitow (64 bajtow) zajmuje 51.2 mikrosekundy. W tym czasie sygnal musi dotrzec na drugi koniec sieci i ewentualny sygnal kolizji musi wrocic do nadawcy. Dlatego maksymalna srednica sieci Ethernet (10 Mb/s) wynosi okolo 2500 metrow.

Dla szybszych sieci Ethernet (100 Mb/s, 1 Gb/s) mechanizm jest inny: albo zmniejsza sie maksymalna srednice sieci, albo wprowadza sie extension bits (dodatkowe bity za ramka) lub carrier extension, aby zapewnic minimalny czas nadawania umozliwiajacy wykrycie kolizji.

W sieciach gigabitowych i szybszych tryb half-duplex praktycznie nie wystepuje - wszystkie nowoczesne przelaczniki i karty sieciowe dzialaja w trybie full-duplex, gdzie minimalny rozmiar ramki nie ma znaczenia dla wykrywania kolizji, ale standard Ethernet wciaz go wymaga.

Pytanie o dzialanie przelacznika weryfikuje wiedze o fundamentalnym urzadzeniu warstwy 2. Przelacznik jest sercem nowoczesnych sieci LAN i zrozumienie jego dzialania jest niezbedne dla kazdego administratora sieci przy projektowaniu i diagnozowaniu sieci.

Przelacznik przechowuje tablice adresow MAC w pamieci CAM (Content Addressable Memory), ktora umozliwia bardzo szybkie wyszukiwanie. Tablica ta ma ograniczona pojemnosc - przelaczniki klasy enterprise moga przechowywac setki tysiecy wpisow, a male przelaczniki SOHO tylko kilka tysiecy.

Gdy przelacznik nie zna adresu docelowego (nie ma go w tablicy MAC), wykonuje flood na wszystkich portach oprocz zrodlowego. Flood moze byc wykorzystany do ataku MAC flooding, ktory zapelnia tablice MAC i zmusza przelacznik do dzialania jak hub.

Kazdy port przelacznika jest oddzielna domena kolizyjna, ale wszystkie porty naleza do tej samej domeny broadcast. Aby podzielic siec na mniejsze domeny broadcast, nalezy uzyc VLANow (Virtual LAN), ktore dziela przelacznik na logicznie odseparowane sieci warstwy 2.

Pytanie o burze broadcast (broadcast storm) sprawdza znajomosc patologii sieciowej, ktora moze wystapic w przypadku powstawania petli w sieci przelacznikow. Jest to jeden z najgorszych scenariuszy awarii sieci, prowadzacy do calkowitej niedostepnosci sieci.

Broadcast storm powstaje, gdy ramki broadcast (np. ARP Request, DHCP Discover) sa nieustannie przekazywane miedzy przelacznikami w petli. Kazdy przelacznik po odebraniu ramki broadcast na jednym porcie wysyla ja na pozostale porty, a te trafiaja z powrotem do pierwszego przelacznika.

Objawy broadcast storm to: gwałtowny wzrost wykorzystania lacza (do 100%), bardzo wysokie obciazenie CPU przelacznikow, ogromne opoznienia w sieci (skaczace do sekund), utrata lacznosci z wieloma urzadzeniami oraz bledy timeout w komunikacji.

Zapobieganie broadcast storm wymaga stosowania protokolu STP/RSTP na wszystkich zarzadzalnych przelacznikach, ktory blokuje nadmiarowe porty i zapobiega tworzeniu sie petli. Dodatkowo niektore przelaczniki oferuja mechanizmy storm control, ktore ograniczaja przepustowosc dla ruchu broadcast.

Pytanie o protokol STP sprawdza zrozumienie mechanizmu zapobiegania petlom w sieciach przelacznikow. STP jest standardem IEEE 802.1D, ktory mimo swojego wieku wciaz jest szeroko stosowany, choc w nowych instalacjach jest wypierany przez szybszy RSTP.

Root bridge jest wybierany na podstawie najnizszego identyfikatora mostu (Bridge ID), ktory sklada sie z priorytetu (domyslnie 32768) i adresu MAC. Administrator moze wymusic wybor okreslonego przelacznika jako root bridge przez ustawienie nizszego priorytetu.

Kazdy przelacznik wyznacza jedną najkrotsza sciezke do root bridge, sumujac koszty poszczegolnych lacz (koszt jest odwrotnie proporcjonalny do przepustowosci: 10 Mb/s = 100, 100 Mb/s = 19, 1 Gb/s = 4, 10 Gb/s = 2). Port o najnizszym koszcie staje sie root portem.

Stany portow STP to: Blocking (blokada, brak przekazywania danych), Listening (nasluchiwanie BPDU bez przekazywania danych), Learning (nauka adresow MAC bez przekazywania), Forwarding (normalne dzialanie) i Disabled (port wylaczony administracyjnie). Czas konwergencji wynika z timerow: forward delay 15s + max age 20s.

Pytanie o roznice miedzy RSTP a STP weryfikuje znajomosc ewolucji protokolu Spanning Tree. RSTP (IEEE 802.1w) zostal opracowany, aby rozwiazac problem dlugiego czasu konwergencji STP, ktory w nowoczesnych sieciach o duzej gestosci jest nieakceptowalny.

Glowna roznica to czas konwergencji: STP potrzebuje 30-50 sekund (zalezy od timerow), podczas gdy RSTP osiaga konwergencje w 1-3 sekund. RSTP osiaga to dzieki aktywnemu uzgadnianiu (handshake) miedzy przelacznikami zamiast polegania na timerach.

RSTP wprowadza nowe role portow: alternate port jest natychmiastowym zapasem dla root portu, a backup port dla designated portu. Ponadto RSTP l aczy stany Blocking, Listening i Disabled STP w jeden stan Discarding, a porty Learning i Forwarding sa przyspieszone przez uzgadnianie.

RSTP jest wstecznie zgodny ze STP i automatycznie wykrywa sasiadow STP. W trybie zgodnosci z STP port RSTP dziala tak samo jak STP (z timerami). MSTP (Multiple STP, IEEE 802.1s) rozszerza RSTP o obsluge wielu instancji STP dla roznych VLANow.

Pytanie o pole EtherType sprawdza znajomosc struktury ramki Ethernet II. EtherType jest 2-bajtowym polem w naglowku ramki, ktore identyfikuje protokol warstwy sieciowej przenoszony w danych ramki. Jest to kluczowe pole umozliwiajace multipleksacje protokolow warstwy 3 na pojedynczym interfejsie.

Najwazniejsze wartosci EtherType: 0x0800 oznacza IPv4, 0x0806 oznacza ARP, 0x86DD oznacza IPv6, 0x8100 oznacza ramke z tagiem VLAN (802.1Q), 0x88CC oznacza LLDP (Link Layer Discovery Protocol). Wartosci ponizej 0x0600 sa uzywane do okreslenia dlugosci ramki w standardzie IEEE 802.3.

W analizie Wireshark filtr 'eth.type == 0x0800' wyswietli tylko ramki zawierajace pakiety IPv4, podczas gdy 'eth.type == 0x0806' pokaze tylko ruch ARP. L aczenie filtrow pozwala na precyzyjna analize interesujacego nas ruchu.

Pole EtherType jest rowniez uzywane w ramkach VLAN (802.1Q), gdzie po standardowym EtherType (0x8100) nastepuje 2-bajtowy tag VLAN i 2-bajtowy oryginalny EtherType. Dzieki temu przelaczniki moga identyfikowac przynaleznosc VLAN i jednoczesnie zachowac informacje o protokole warstwy 3.

Pytanie o sprawdzanie tablicy ARP weryfikuje praktyczna umiejetnosc diagnozowania sieci. Znajomosc polecen do wyswietlania tablicy ARP jest niezbedna przy rozwiazywaniu problemow z lacznoscia w sieci LAN, szczegolnie przy podejrzeniu ataku ARP spoofing.

W systemie Windows komenda 'arp -a' wyswietla wszystkie wpisy w tablicy ARP. W Linux uzywa sie 'arp -n' (bez rozpoznawania nazw DNS) lub 'ip neigh show'. Na routerach Cisco podobna funkcje pelni komenda 'show ip arp'.

Interpretacja wynikow: kazdy wpis zawiera adres IP, adres MAC, typ interfejsu oraz typ wpisu (dynamiczny - automatycznie poznany, statyczny - skonfigurowany recznie). Jesli widzisz dwa rozne adresy IP z tym samym adresem MAC, moze to wskazywac na atak ARP spoofing.

Wyczyszczenie tablicy ARP moze pomoc przy problemach z lacznoscia: w Windows komenda 'arp -d *' usuwa wszystkie wpisy, w Linux 'ip neigh flush all'. Po wyczyszczeniu tablica zostanie automatycznie odbudowana przez komunikacje ARP.

Pytanie o atak ARP spoofing weryfikuje zrozumienie zagrozen bezpieczenstwa w sieci LAN. Jest to jeden z najprostszych i najbardziej popularnych atakow w sieciach lokalnych, ktory moze byc wykonany za pomoca latwo dostepnych narzedzi.

Atak ARP spoofing polega na wyslaniu falszywej odpowiedzi ARP Reply, w ktorej atakujacy podaje swoj adres MAC jako adres MAC bramy domyslnej (lub innego hosta). Ofiara aktualizuje swoja tablice ARP i zaczyna wysylac ruch do atakujacego zamiast do prawdziwej bramy.

Atakujacy moze nastepnie przegladac, modyfikowac lub blokowac ruch ofiary (atak typu man-in-the-middle). W trybie MITM mozliwe jest przechwycenie haseł, danych logowania, tresci wiadomosci - o ile nie sa one szyfrowane przez protokoly warstwy wyzszej (HTTPS, SSH, TLS).

Zabezpieczeniem na poziomie przelacznika jest DAI (Dynamic ARP Inspection), ktory weryfikuje pakiety ARP na podstawie bazy danych DHCP snooping. Na poziomie hosta mozna stosowac statyczne wpisy ARP dla bramy domyslnej oraz narzedzia do wykrywania ARP spoofingu (np. arpwatch, XArp).

Cwiczenie z tablica ARP pozwala na praktyczne zapoznanie sie z mechanizmem mapowania adresow IP na MAC w systemie operacyjnym. Wykonanie tego cwiczenia rozwija umiejetnosc diagnozowania problemow sieciowych i identyfikowania urzadzen w sieci LAN.

Po wykonaniu 'arp -a' zobaczysz liste wpisow: kazdy zawiera adres IP, adres MAC (w formacie xx-xx-xx-xx-xx-xx w Windows) oraz typ interfejsu (np. 192.168.1.1 na interfejsie 192.168.1.100). Wpisy dynamiczne maja ograniczony czas zycia.

Brama domyslna jest najwazniejszym wpisem w tablicy ARP - to przez nia host laczy sie z internetem. Jesli adres MAC bramy zmieni sie nagle (bez zmiany sprzetu), moze to wskazywac na atak ARP spoofing.

Wpisy statyczne mozna dodac recznie komenda 'arp -s IP MAC' w Windows lub 'arp -s IP MAC' w Linux (z uprawnieniami administratora). Statyczne wpisy sa uzywane do zabezpieczenia sie przed ARP spoofingiem dla krytycznych hostow, ale wymagaja recznej administracji.

Cwiczenie analizy ramki Ethernet w Wireshark rozwija praktyczna umiejetnosc korzystania z najwazniejszego narzedzia do diagnostyki sieci. Wireshark pozwala na przechwycenie i szczegolowa analize kazdego pakietu przechodzacego przez interfejs sieciowy.

Rozwijajac sekcje Ethernet II w Wireshark, zobaczysz: Destination MAC (adres MAC docelowy), Source MAC (adres MAC zrodlowy) oraz Type (EtherType). Pierwszym bajtem Destination MAC mozna okreslic typ adresu: unicast, multicast lub broadcast.

Jesli Destination MAC zaczyna sie od 01:00:5E lub 33:33 (dla IPv6), jest to adres multicast. Jesli to FF:FF:FF:FF:FF:FF - broadcast. Adres unicast jest unikalny dla pojedynczej karty sieciowej i zwykle zaczyna sie od OUI producenta (np. 00:1A:2B dla Cisco).

Pole EtherType (Type w Wireshark) pokazuje protokol warstwy 3: 0x0800 dla IPv4, 0x86DD dla IPv6, 0x0806 dla ARP. To pole okresla, jak Wireshark (i system operacyjny) zinterpretuje dane znajdujace sie w ramce za naglowkiem Ethernet.

Cwiczenie z pingiem i ICMP w Wireshark umozliwia praktyczna analize dzialania protokolu ICMP w rzeczywistej sieci. Wykonanie pingu i obserwacja wymienianych pakietow w Wireshark pomaga zrozumiec szczegoly dzialania tego protokolu.

Komenda 'ping -c 5 8.8.8.8' (Linux) lub 'ping -n 5 8.8.8.8' (Windows) wysyla 5 pakietow ICMP Echo Request do serwera Google DNS. Wireshark pokaze pakiety Type 8 (Echo Request) i Type 0 (Echo Reply) wraz z polami Identifier, Sequence Number i Timestamp.

Identifier pozwala odroznic sesje pingu uruchomione na tym samym hoacie (kazdy proces ping ma unikalny identyfikator). Sequence Number numeruje pakiety w danej sesji, umozliwiajac wykrycie utraty pakietow (brak odpowiedzi dla danego numeru).

Timestamp w ICMP sluzy do obliczenia czasu RTT (Round Trip Time). Host docelowy kopiuje timestamp z Echo Request do odpowiedzi Echo Reply, dzieki czemu host zrodlowy moze obliczyc czas podrozy pakietu w obie strony. Wireshark automatycznie oblicza i wyswietla czas odpowiedzi.

Cwiczenie z fragmentacja IP w praktyce pozwala na zrozumienie, jak dziala PMTUD i jakie sa konsekwencje wyslania pakietu wiekszego niz MTU. Jest to cenna umiejetnosc przy diagnozowaniu problemow z polaczeniami VPN, gdzie MTU jest czesto zmniejszone.

W Linux komenda 'ping -M do -s 1472 8.8.8.8' wysyla pakiet o rozmiarze 1472 bajtow danych ICMP plus 28 bajtow naglowka IP+ICMP = lacznie 1500 bajtow, co miesci sie w MTU Ethernet. Flaga -M do (Don't Fragment) zabrania fragmentacji.

Proba 'ping -M do -s 1473 8.8.8.8' wysyla pakiet o lacznej dlugosci 1501 bajtow, co przekracza MTU. Poniewaz flaga Don't Fragment zabrania fragmentacji, router odrzuca pakiet i odsyla komunikat ICMP Fragmentation Needed (typ 3, kod 4) z informacja o MTU nastepnego lacza.

PMTUD (Path MTU Discovery) wykorzystuje wlasnie ten mechanizm: host wysyla pakiety z DF=1, a gdy otrzyma ICMP Fragmentation Needed, zmniejsza rozmiar pakietu do wartosci MTU podanej w komunikacie. Proces powtarza sie, az pakiet osiagnie cel bez bledu.

Cwiczenie analizy przelacznika pozwala na praktyczne zapoznanie sie z dzialaniem urzadzenia warstwy 2. Na zarzadzalnym przelaczniku Cisco komenda 'show mac-address-table' wyswietla tablice adresow MAC z informacja o porcie i sieci VLAN.

W Linux polecenie 'bridge fdb show' (z pakietu iproute2) wyswietla tablice forwarding database mostu, zawierajaca adresy MAC poznane przez most. Jest to analogiczne do tablicy MAC przelacznika i pozwala zrozumiec, jak most warstwy 2 uczy sie adresow.

Analiza tablicy MAC pomaga w identyfikacji, ktore urzadzenia sa podlaczone do ktorego portu. Jesli ten sam adres MAC pojawia sie na wielu portach, moze to wskazywac na petle w sieci (jesli STP jest wylaczone) lub na adres MAC mostu (np. dla przelacznika jako calosci).

Wazne parametry w tablicy MAC to: adres MAC, typ (dynamiczny - nauczony, statyczny - recznie skonfigurowany), port (fizyczny port przelacznika), oraz VLAN (siec VLAN, do ktorej nalezy adres). Wpisy dynamiczne wygasaja po okresie bezczynnosci (domyslnie 300 sekund w Cisco).

Cwiczenie sprawdzania stanu STP na przelaczniku pozwala na praktyczne zrozumienie dzialania protokolu Spanning Tree. Na przelacznikach Cisco komenda 'show spanning-tree' wyswietla szczegolowe informacje o stanie protokolu STP/RSTP dla kazdej instancji.

Wyswietlane informacje obejmuja: identyfikator mostu glownego (root bridge), priorytet i adres MAC, koszt sciezki do root bridge, role portow (root, designated, alternate, backup), stany portow (forwarding, blocking/discarding), oraz informacje o timerach STP.

Root bridge jest najwazniejszym przelacznikiem w topologii STP - wszystkie decyzje o blokowaniu portow sa podejmowane wzgledem niego. Administrator moze ustawic nizszy priorytet na okreslonym przelaczniku, aby wymusic jego wybor na root bridge.

W przypadku awarii lacza primary, STP/RSTP automatycznie przelacza na lacze zapasowe. W STP konwergencja trwa 30-50 sekund, w RSTP 1-3 sekund. Monitorowanie stanu STP jest wazne dla zapewnienia niezawodnosci sieci - porty w stanie blocking/alternate swiadcza o dzialajacej ochronie przed petlami.

Filtry Wireshark dla warstwy 2 i 3 umozliwiaja precyzyjna analize ruchu sieciowego. Znajomosc odpowiednich filtrow jest niezbedna dla efektywnego korzystania z Wireshark, szczegolnie przy diagnozowaniu problemow sieciowych w ruchliwych sieciach.

Filtry Ethernet: 'eth.addr == XX:XX:XX:XX:XX:XX' wyswietla ramki od lub do okreslonego adresu MAC, 'eth.type == 0x0800' pokazuje tylko IPv4, 'eth.type == 0x0806' tylko ARP. Filtry te pomagaja w identyfikacji ruchu generowanego przez konkretne urzadzenia.

Filtry IP: 'ip.src == 192.168.1.1' wyswietla pakiety z okreslonego zrodla, 'ip.dst == 8.8.8.8' do okreslonego celu, 'ip.ttl < 10' pokazuje pakiety z niskim TTL (przydatne do diagnozowania petli), 'ip.flags.mf == 1' wyswietla tylko fragmenty pakietow.

L aczenie filtrow: 'eth.type == 0x0800 and ip.src == 192.168.1.0/24' wyswietli tylko pakiety IPv4 z sieci 192.168.1.0/24. 'arp or icmp' wyswietli tylko ruch ARP i ICMP. Wireshark wspiera zlozone wyrazenia logiczne z operatorami and, or, not.

Podsumowanie pierwszej czesci wykladu obejmuje najwazniejsze informacje o protokolach warstwy sieciowej i lacza. Te protokoly stanowia fundament komunikacji we wspolczesnych sieciach, a ich zrozumienie jest niezbedne dla kazdego specjalisty IT.

IPv4: 32-bitowe adresy, pole TTL zapobiegajace zapetleniu, fragmentacja pakietow dla dopasowania do MTU, oraz rozne protokoly warstwy transportowej identyfikowane przez pole Protocol (TCP=6, UDP=17, ICMP=1). Naglowek IP ma standardowo 20 bajtow.

ARP: mapuje adresy IP na adresy MAC w sieci LAN - bez ARP zadne urzadzenie nie moze komunikowac sie w sieci lokalnej, poniewaz ramki Ethernet wymagaja adresow MAC. ARP dziala tylko w obrebie tej samej podsieci.

Ethernet: ramka z preambula, SFD, adresami MAC, EtherType i FCS. CSMA/CD dla half-duplex (wykrywanie kolizji), CSMA/CA dla WLAN (unikanie kolizji). Przelaczniki warstwy 2 z STP/RSTP zapewniaja wydajna i niezawodna komunikacje w sieciach LAN.

Tabela protokolow warstw 2 i 3 przedstawia hierarchie i funkcje poszczegolnych protokolow w modelu odniesienia. Ethernet i ARP dzialaja na warstwie lacza danych, podczas gdy IP, ICMP i IGMP dzialaja na warstwie sieciowej.

Ethernet (warstwa 2) odpowiada za ramkowanie danych, adresacje MAC i wykrywanie bledow transmisji przez FCS (CRC32). Jego jednostka danych to ramka (frame), ktora opakowuje pakiety warstwy 3 przed transmisja przez medium fizyczne.

ARP dziala na granicy warstw 2 i 3, l aczac swiat adresow logicznych (IP) z fizycznymi (MAC). Mimo ze ARP nie jest typowym protokolem warstwy 2, jest niezbedny do dzialania komunikacji w sieci Ethernet.

IP (warstwa 3) odpowiada za adresacje logiczna i routing miedzy sieciami. ICMP sluzy do diagnostyki i raportowania bledow, a IGMP do zarzadzania transmisja multicast. Jednostka danych warstwy 3 to pakiet (packet).

Pytania powtorkowe do samodzielnego sprawdzenia pozwalaja na weryfikacje zrozumienia kluczowych koncepcji z zakresu protokolow warstwy sieciowej i lacza. Odpowiedzi na te pytania pomagaja utrwalic material przed egzaminem lub kolokwium.

Pytanie o pola naglowka IPv4: najwazniejsze pola to Version (wersja), IHL (dlugosc naglowka), DSCP/ECN (jakosc obslugi), Total Length (calkowita dlugosc), Identification (fragmentacja), TTL (czas zycia), Protocol (protokol wyzszy) oraz Source/Destination IP (adresy zrodla i celu).

ICMP Redirect (typ 5) jest komunikatem wysylanym przez router do hosta, gdy router wie o lepszej (krotszej) trasie do okreslonej sieci docelowej. Host moze dzieki temu zaktualizowac swoja tablice routingu i wysylac pakiety bezposrednio do lepszego routera.

Preambula w ramce Ethernet to 7 bajtow naprzemiennych jedynek i zer (101010...), sluzacych do synchronizacji odbiornika z nadajnikiem. Po preambule nastepuje SFD (Start Frame Delimiter) o wartosci 10101011, oznaczajacy poczatek ramki.

Odpowiedzi do pytan powtorkowych pozwalaja na samodzielne sprawdzenie poprawnosci udzielonych odpowiedzi. Dokladne przestudiowanie odpowiedzi pomaga zidentyfikowac obszary, ktore wymagaja dodatkowej nauki lub utrwalenia.

Pola naglowka IPv4: Version (4 bity, dla IPv4 wartosc 4), IHL (4 bity, dlugosc naglowka w 32-bitowych slowach), DSCP/ECN (8 bitow, jakosc obslugi), Total Length (16 bitow, calkowita dlugosc pakietu z naglowkiem), Identification (16 bitow, fragmentacja), TTL (8 bitow, czas zycia), Protocol (8 bitow), Header Checksum (16 bitow), Source/Dest IP (32 bity kazdy).

ICMP Redirect (typ 5) jest wysylany przez router, gdy otrzyma pakiet od hosta, ale wie, ze lepsza trasa dla tego pakietu prowadzi przez inny router w tej samej sieci. Host moze zaktualizowac tablice routingu, ale nie musi - jest to tylko sugestia.

ARP spoofing: atakujacy wysyla falszywe ARP Reply z adresem IP bramy domyslnej (lub innego hosta) i swoim adresem MAC. Ofiara aktualizuje tablice ARP, a jej ruch trafia do atakujacego (MITM). CSMA/CD wykrywa kolizje przez porownanie nadawanego i odbieranego sygnalu, full-duplex eliminuje kolizje przez dedykowane lacze punkt-punkt.

Cwiczenie kompleksowej analizy pakietu w Wireshark rozwija umiejetnosc interpretacji danych na roznych warstwach modelu OSI. Jest to jedno z najwazniejszych cwiczen praktycznych, l aczace wiedze o warstwie 2 i 3 w jednym zadaniu.

W warstwie 2 identyfikujemy: adres MAC zrodla i celu (pozwala stwierdzic, miedzy ktorymi urzadzeniami w sieci lokalnej odbywa sie komunikacja), EtherType (okresla protokol warstwy 3: IPv4, IPv6, ARP) oraz FCS (sume kontrolna ramki).

W warstwie 3 identyfikujemy: adres IP zrodla i celu, TTL (pozwala na oszacowanie odleglosci od zrodla), Protocol (okresla protokol warstwy transportowej: TCP=6, UDP=17, ICMP=1), oraz pola fragmentacji (Flags i Fragment Offset).

Sprawdzenie, czy pakiet byl fragmentowany: jesli pole More Fragments (MF) = 1, sa to fragmenty i trzeba czekac na pozostale. Jesli MF = 0, a Fragment Offset = 0, pakiet nie byl fragmentowany. Jesli MF = 0, a Fragment Offset > 0, jest to ostatni fragment.

Cwiczenie symulacji ataku ARP w izolowanym srodowisku laboratoryjnym pozwala na praktyczne zrozumienie mechanizmu ARP spoofingu i jego wplywu na bezpieczenstwo sieci. Cwiczenie to powinno byc wykonywane wylacznie na wlasnym sprzecie w odizolowanej sieci.

Do przeprowadzenia ataku potrzebne sa narzedzia takie jak arpspoof (z pakietu dsniff), ettercap (zaawansowane narzedzie z interfejsem graficznym i tekstowym) lub yersinia. W systemie Windows mozna uzyc programu Cain & Abel lub narzedzia xarp.

Przebieg ataku: (1) atakujacy uruchamia arpspoof z adresem IP bramy, (2) wysyla falszywe ARP Reply do ofiary z adresem MAC atakujacego jako MAC bramy, (3) ofiara aktualizuje tablice ARP, (4) ruch ofiary do bramy przechodzi przez atakujacego.

Po przeprowadzeniu ataku nalezy wlaczyc Wireshark na interfejsie atakujacego i przechwycic ruch. Wazne jest, aby po cwiczeniu przywrocic prawidlowa konfiguracje sieci (np. wyczyscic tablice ARP komenda 'arp -d *' i odczekac na odnowienie wpisow).

Studium przypadku wykrywania petli w sieci przelacznikow pokazuje typowy scenariusz awarii sieci spowodowanej bledem konfiguracji lub przypadkowym polaczeniem dwoch przelacznikow. Jest to czesty problem w dynamicznie rozwijanych sieciach, gdzie nowe urzadzenia sa dodawane bez odpowiedniego planowania.

Glownym objawem petli jest gwałtowny wzrost ruchu broadcast w sieci - broadcast storm. Ramki broadcast sa nieustannie przekazywane miedzy przelacznikami, co powoduje wysycenie lacza sieciowego (do 100% wykorzystania) i dramatyczny wzrost obciazenia CPU przelacznikow.

Opóznienia w sieci skacza z milisekund do sekund, a niektore urzadzenia moga calkowicie utracic lacznosc z powodu timeoutow. Przelaczniki moga wyswietlac komunikaty o wysokim obciazeniu CPU, a narzedzia monitorujace (SNMP, syslog) rejestruja anormalny wzrost liczby ramek.

Rozwiazanie: przede wszystkim nalezy wlaczyc STP lub RSTP na wszystkich zarzadzalnych przelacznikach. Jesli STP jest juz wlaczone, nalezy sprawdzic, czy nie ma fizycznej petli w okablowaniu (np. dwoch polaczonych przelacznikow bez STP). W ostatecznosci mozna odlaczyc podejrzane lacza jeden po drugim.

Narzedzia dla warstwy 2 i 3 stanowia podstawowy zestaw kazdego administratora sieci. Znajomosc tych narzedzi i umiejetnosc ich efektywnego uzycia jest niezbedna przy codziennej administracji, diagnozowaniu problemow i monitorowaniu sieci.

Ping: podstawowe narzedzie testujace lacznosc ICMP. Wysyla pakiety Echo Request i mierzy RTT, utrate pakietow, oraz pozwala na wykrycie problemow z fragmentacja (opcja -M do w Linux, -f w Windows). Przy przekroczeniu MTU z DF=1 ping zwraca blad 'Message too long'.

Traceroute (tracert w Windows, traceroute w Linux): sluzy do sledzenia trasy pakietow do celu. Wykorzystuje ICMP Time Exceeded (typ 11) - wysyla pakiety z kolejno zwiekszanym TTL. W Windows domyslnie uzywa ICMP, w Linux UDP. Mtrace jest wersja dla multicastu.

Wireshark jest najwazniejszym narzedziem do analizy ruchu sieciowego. Pozwala na szczegolowe badanie kazdego pakietu, stosowanie filtrow, sledzenie strumieni TCP, analize protokolow. Wspiera setki protokolow i jest niezbedny przy diagnozowaniu zlozonych problemow sieciowych.

Pytania podsumowujace pierwszej czesci pozwalaja na kompleksowa weryfikacje wiedzy o protokolach warstwy lacza i sieci. Kazde pytanie dotyczy innego kluczowego zagadnienia, a odpowiedzi na nie wymagaja zrozumienia kilku powiazanych koncepcji.

MTU (Maximum Transmission Unit) to maksymalny rozmiar danych (payload), ktory moze byc przeslany w pojedynczej ramce bez fragmentacji. Dla Ethernet typowa wartosc to 1500 bajtow. MTU moze byc mniejsze dla lacz z dodatkowymi naglowkami (PPPoE = 1492, VPN = ok. 1400).

Pole Identification w naglowku IP (16 bitow) sluzy do identyfikowania fragmentow pochodzacych z tego samego oryginalnego datagramu. Wszystkie fragmenty danego pakietu maja ta sama wartosc Identification, co umozliwia hostowi docelowemu poprawne zlozenie oryginalnego pakietu.

CSMA/CA w WLAN: stacja sprawdza, czy kanal jest wolny (CCA), jesli tak - czeka losowy czas (backoff), nastepnie nadaje i czeka na potwierdzenie ACK. Brak ACK oznacza kolizje i retransmisje. W odroznieniu od CSMA/CD, CSMA/CA nie wykrywa kolizji, lecz im zapobiega.

Odpowiedzi do pytan podsumowujacych pozwalaja na samodzielne sprawdzenie poprawnosci odpowiedzi i identyfikacje ewentualnych brakow w wiedzy. Wartosci liczbowe i definicje nalezy zapamietac, poniewaz czesto pojawiaja sie na egzaminach zawodowych.

MTU Ethernet = 1500 bajtow (bez naglowka ramki). Dla jumbo frames 9000 bajtow. Pole Identification identyfikuje fragmenty - wszystkie fragmenty tego samego pakietu maja identyczny identyfikator, natomiast rozne pakiety maja rozne identyfikatory (zwykle zwiekszane o 1).

Roznica miedzy mostem (bridge) a przelacznikiem (switch): most dziala w software, jest wolniejszy, obsluguje mniej portow i wprowadza wieksze opoznienia. Przelacznik dziala sprzetowo (ASIC - Application-Specific Integrated Circuit), jest szybszy i ma wiele portow. Wspolczesnie mosty sa uzywane glownie jako mosty programowe w Linux (bridge utils) lub maszynach wirtualnych.

Stany portow STP: Blocking (blokada portu, brak przekazywania danych ani nauki MAC), Listening (nasluchiwanie BPDU, brak przekazywania danych, trwa 15s), Learning (nauka adresow MAC, brak przekazywania danych, trwa 15s), Forwarding (normalne dzialanie), Disabled (port wylaczony administracyjnie). RSTP l aczy Blocking/Listening/Disabled w stan Discarding.

Cwiczenie z ethtool (Linux) pozwala na praktyczne sprawdzenie parametrow interfejsu sieciowego i diagnostyke warstwy fizycznej. ethtool jest standardowym narzedziem w systemach Linux do konfiguracji i diagnostyki kart sieciowych.

Komenda 'ethtool eth0' wyswietla podstawowe informacje: Speed (predkosc w Mb/s - 10, 100, 1000, 10000), Duplex (Half/Full), Auto-negotiation (wl/wyl), Link detected (yes/no). Jesli karta pokazuje 'Speed: 10 Mb/s, Duplex: Half', moze to wskazywac na problem z kablem lub niedopasowanie duplex.

Komenda 'ethtool -S eth0' wyswietla statystyki interfejsu: tx_packets (wyslane pakiety), rx_packets (odebrane), collisions (kolizje - powinny byc 0 w trybie full-duplex), errors (bledy CRC, frame errors - swiadcza o problemach z laczen fizycznym).

Wazne statystyki do monitorowania: rx_errors, tx_errors, rx_crc_errors, collisions, frame_too_long_errors. Wysokie wartosci tych licznikow swiadcza o problemach z okablowaniem, zakloceniach lub wadliwym sprzecie. Narzedzie 'ip -s link' w Linux rowniez wyswietla statystyki interfejsow.

Cwiczenie z iperf3 pozwala na praktyczny pomiar przepustowosci sieci LAN. iperf3 jest standardowym narzedziem do testowania wydajnosci sieci, umozliwiajacym generowanie ruchu TCP lub UDP i pomiar rzeczywistej przepustowosci.

Na serwerze uruchamiamy 'iperf3 -s' (nasluchiwanie na porcie 5201). Na kliencie 'iperf3 -c 192.168.1.100 -t 30' (test przez 30 sekund). iperf3 mierzy przepustowosc, straty pakietow (dla UDP), opoznienia i roznice w kolejnosci pakietow (jitter dla UDP).

Wynik pokazuje przepustowosc w Mb/s lub Gb/s. Dla sieci 1 Gb/s spodziewana wartosc to okolo 940 Mb/s (straty na naglowki TCP/IP i opoznienia). Nizsze wartości moga wskazywac na problemy: zle okablowanie, niedopasowanie duplex, przeciążenie CPU lub problemy z karta sieciowa.

Test UDP: 'iperf3 -c 192.168.1.100 -u -b 100M' wysyla 100 Mb/s ruchu UDP. Wynik pokazuje rzeczywista przepustowosc, utrate pakietow i jitter. Test UDP jest przydatny do oceny jakosci lacza dla aplikacji czasu rzeczywistego (VoIP, streaming wideo).

Pytania koncowe do samodzielnego sprawdzenia obejmuja material z calej czesci 7 wykladu. Odpowiedzi wymagaja znajomosci zarowno teorii protokolow, jak i praktycznych aspektow administracji sieciowej.

Pytanie o kanaly w 2.4 GHz: w standardzie 802.11b/g/n w pasmie 2.4 GHz kanaly 1, 6 i 11 sa jedynymi nie nakladajacymi sie kanalami (przy szerokosci 20 MHz). W Europie dostepne sa kanaly 1-13, ale tylko 1, 6 i 11 nie nakladaja sie na siebie.

RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w) rozni sie od STP przede wszystkim czasem konwergencji (1-3s vs 30-50s). RSTP uzywa mechanizmu uzgadniania zamiast timerow, wprowadza nowe role portow (alternate, backup) i l aczy stany STP w jeden stan Discarding.

Sprawdzenie duplex karty sieciowej: w Linux uzyj 'ethtool eth0' i sprawdz pole Duplex, w Windows w Panelu sterowania lub komenda 'Get-NetAdapter | Select Name, LinkSpeed, FullDuplex' w PowerShell. FCS (Frame Check Sequence) w ramce Ethernet to 4-bajtowa suma kontrolna CRC32 sluzaca do wykrywania bledow transmisji.

Odpowiedzi do pytan koncowych pozwalaja na ostateczna weryfikacje wiedzy przed przystapieniem do nastepnej czesci wykladu. Dokladne zrozumienie tych odpowiedzi jest wskaznikiem gotowosci do kontynuowania nauki o adresacji IPv4.

Kanaly 1, 6, 11 w 2.4 GHz sa oddalone od siebie o 5 kanalow (25 MHz), co zapewnia, ze sie nie nakladaja. Wszystkie inne kombinacje kanalow (np. 1 i 3, 6 i 8) nakladaja sie, powodujac zaklocenia i obnizenie wydajnosci sieci Wi-Fi.

RSTP a STP: najwazniejsze roznice to czas konwergencji (1-3s vs 30-50s), mechanizm (handshake vs timery), role portow (alternate/backup vs tylko root/designated/blocked) oraz stany (Discarding vs Blocking/Listening/Disabled). RSTP jest zalecany we wszystkich wspolczesnych sieciach.

Sprawdzenie duplex: ethtool pokazuje 'Duplex: Full' lub 'Half'. Jesli widzisz 'Duplex: Half' dla nowoczesnej karty, moze to oznaczac problem z autonegocjacją. FCS (CRC32) wykrywa bledy transmisji - jesli FCS sie nie zgadza, ramka jest odrzucana, a licznik rx_crc_errors w ethtool rosnie.

Mapa mysli warstw 2 i 3 przedstawia graficzne podsumowanie najwazniejszych protokolow i ich wzajemnych powiazan. Jest to przydatne narzedzie do szybkiego przypomnienia materialu przed egzaminem lub kolokwium.

Warstwa lacza danych (warstwa 2): Ethernet - dominujaca technologia sieci LAN, odpowiada za ramkowanie danych i adresacje MAC. Mechanizmy dostepu do medium: CSMA/CD (Ethernet half-duplex) i CSMA/CA (Wi-Fi). Urzadzenia: przelaczniki (switche) z protokolami STP/RSTP.

Warstwa sieciowa (warstwa 3): protokoly IP (IPv4, IPv6) odpowiedzialne za adresacje logiczna i routing miedzy sieciami. ICMP sluzy do diagnostyki (ping) i raportowania bledow. IGMP zarzadza transmisja multicast do grup odbiorcow.

L acznikiem miedzy warstwami 2 i 3 jest protokol ARP, ktory mapuje adresy IP (L3) na adresy MAC (L2). Bez ARP komunikacja w sieci LAN nie jest mozliwa, poniewaz ramki Ethernet wymagaja adresow MAC, a aplikacje uzywaja adresow IP.

Dobre praktyki administracji sieciowej dla warstw 2 i 3 pomagaja w utrzymaniu stabilnej, wydajnej i bezpiecznej sieci. Przestrzeganie tych praktyk minimalizuje ryzyko awarii i ulatwia diagnozowanie problemow.

Zawsze sprawdzaj duplex i predkosc karty sieciowej po podlaczeniu nowego urzadzenia. Niedopasowanie duplex (jedna strona half, druga full) jest czesta przyczyna problemow z wydajnoscia i utrata pakietow. Uzywaj ethtool (Linux) lub odpowiednich narzedzi do weryfikacji.

W monitoringu uzytkuj SNMP do odczytu statystyk interfejsow przelacznikow i routerow. Ustaw alerty na poziomie bledow CRC, kolizji i obciazenia CPU. Narzedzia takie jak Cacti, Zabbix, PRTG lub LibreNMS umozliwiaja graficzna prezentacje trendow.

Wlacz STP/RSTP na wszystkich zarzadzalnych przelacznikach - zapobiega to petlom w przypadku przypadkowego polaczenia dwoch przelacznikow. Uzywaj Wireshark z odpowiednimi filtrami (np. 'eth.type == 0x0800' dla IPv4, 'arp' dla ARP) do precyzyjnej analizy ruchu.

Siodma czesc wykladu poswiecona protokolom warstwy sieciowej i lacza danych stanowi fundamentalna wiedze o komunikacji we wspolczesnych sieciach. Poznalismy szczegolowo budowe datagramu IPv4, mechanizm fragmentacji, protokoly ICMP i ARP, oraz technologie Ethernet.

Omowilismy dzialanie przelacznikow warstwy 2, protokoly STP i RSTP zapobiegajace petlom, mechanizmy CSMA/CD i CSMA/CA, oraz wiele zagadnien praktycznych zwiazanych z diagnostyka i bezpieczenstwem sieci.

Umiejetnosc analizy protokolow warstw 2 i 3 w Wireshark jest niezbedna w codziennej pracy administratora sieci. Praktyczne cwiczenia z ping, traceroute, arp, ethtool i iperf3 rozwijaja kompetencje diagnostyczne wymagane na egzaminach zawodowych.

Nastepna czesc: IPv4 - klasy adresow, maska podsieci, CIDR, VLSM, adresy prywatne i publiczne, NAT, DHCP, ARP, przyklady obliczeniowe. Praca wlasna: przechwyc w Wireshark pakiety ICMP i ARP, przeanalizuj ich budowe, sprawdz ethtool swojej karty sieciowej.