Wykład ten poświęcamy kluczowym protokołom, które definiują logiczną topologię sieci, niezależnie od fizycznego okablowania. Skupimy się na protokołach routingu dynamicznego w warstwie 3 oraz mechanizmach wirtualizacji i redundancji w warstwach 2 i 3. W złożonych sieciach protokoły te są fundamentem przewidywalności, skalowalności i szybkiej zbieżności (konwergencji). Bez tych mechanizmów nawet najbardziej redundantna fizycznie sieć nie będzie w stanie efektywnie działać.

W topologii hierarchicznej, protokół IGP (Interior Gateway Protocol) jest niezbędny do wymiany informacji o trasach między routerami (Warstwa Dystrybucji i Rdzenia). Zapewnia on dynamiczne uczenie się tras, eliminując potrzebę ręcznej konfiguracji statycznej. W przypadku awarii łącza, protokół IGP automatycznie oblicza nową, optymalną ścieżkę, co jest kluczowe dla konwergencji. Głównymi protokołami IGP są OSPF i EIGRP.

OSPF jest najczęściej stosowanym protokołem Link-State w dużych sieciach kampusowych. Każdy router tworzy pełną mapę (bazę danych LSA) całej topologii, co umożliwia algorytmowi Dijkstry (SPF) szybkie obliczenie najlepszej ścieżki. Jako metrykę wykorzystuje koszt (Cost), oparty na przepustowości łącza. Zapewnia to szybką konwergencję i optymalny routing.

Dla skalowalności, OSPF dzieli sieć na obszary (Areas). Wymagany jest Area 0 (Backbone), do którego muszą być podłączone wszystkie inne obszary. Podział na obszary zmniejsza rozmiar baz danych LSA i ogranicza zasięg obliczeń SPF po zmianie topologii, co minimalizuje obciążenie routerów dystrybucyjnych i rdzeniowych. Routery łączące obszary to ABR (Area Border Routers).

W topologiach z równoległymi ścieżkami (np. Leaf-Spine lub redundantne łącza między Dystrybucją a Rdzeniem), OSPF wykorzystuje ECMP (Equal-Cost Multi-Path). Jeśli dwie lub więcej tras do tego samego celu ma ten sam koszt, ruch jest równoważony na wszystkich tych ścieżkach. Zwiększa to efektywne wykorzystanie całej dostępnej przepustowości łącza.

BGP jest protokołem EGP (Exterior Gateway Protocol), używanym na krawędzi sieci (router brzegowy) do wymiany tras między Systemami Autonomicznymi (AS). Jest to protokół typu Path Vector, który wybiera najlepszą ścieżkę na podstawie zestawu atrybutów, a nie metryki kosztu. BGP jest kluczowy w topologii krawędziowej dla zarządzania redundantnymi łączami do Internetu.

FHRP zapewnia redundancję bramy domyślnej dla hostów w topologii L2. Jest to niezbędne w Warstwie Dystrybucji, gdzie routery pełnią funkcję bram dla wielu VLANów. Routery fizyczne (np. dwa routery dystrybucyjne) tworzą jedną wirtualną bramę (Virtual IP/MAC), a awaria routera aktywnego jest przejmowana przez router zapasowy (Standby).

HSRP to zastrzeżony protokół Cisco i najczęściej stosowany FHRP w środowiskach jednorodnych. Routery w grupie HSRP komunikują się poprzez Hello Packets. Router z najwyższym priorytetem zostaje Active. Kluczowa jest opcja Preempt, która wymusza przejęcie roli przez router z wyższym priorytetem po jego ponownym uruchomieniu.

HSRP Tracking jest niezbędne, aby zapobiec sytuacji, w której router Active nie ma łączności z resztą sieci (np. stracił łącze do Rdzenia). Tracking powiązuje priorytet HSRP ze stanem konkretnego interfejsu fizycznego. W przypadku awarii śledzonego łącza, priorytet routera Active jest dynamicznie obniżany, wymuszając przełączenie na router Standby.

VSS (Cisco) pozwala logicznie połączyć dwa fizyczne przełączniki lub routery w jeden, pojedynczy, nadmiarowy element. Eliminuje to potrzebę protokołu STP na połączeniu między tymi urządzeniami, umożliwiając wykorzystanie obu fizycznych łączy do przesyłania danych. Jest często stosowany w Warstwie Dystrybucji lub Rdzenia w tradycyjnej hierarchii.

vPC (Cisco Nexus) jest zaawansowanym mechanizmem wirtualizacji na Warstwie 2, podobnym do VSS. Pozwala na logiczne połączenie dwóch przełączników. Kluczową funkcją vPC jest umożliwienie hostom (serwerom lub innym przełącznikom) tworzenia EtherChannel do obu fizycznych przełączników jednocześnie. Jest to kluczowy element topologii Leaf-Spine.

Główną zaletą jest możliwość całkowitego wyeliminowania blokowania łączy przez STP. Wszystkie redundantne łącza są aktywne, co zwiększa dostępną przepustowość. Ponadto, wirtualne połączenie dwóch urządzeń w jedno logiczne upraszcza konfigurację i zarządzanie, szczególnie w topologiach siatkowych. Wirtualizacja L2 jest niezbędna dla topologii non-blocking (nieblokujących).

W topologii Leaf-Spine, routing L3 jest rozciągnięty do samej Warstwy Leaf. Każdy przełącznik Leaf ma wiele równoległych ścieżek do przełączników Spine. Protokół OSPF lub BGP (iBGP) z ECMP aktywnie wykorzystuje wszystkie te ścieżki, równoważąc ruch między Leaf a Spine. Jest to klucz do osiągnięcia wysokiej, sumarycznej przepustowości.

W hierarchicznej topologii, sumaryzacja tras jest kluczowa dla skalowalności OSPF. Polega na ogłaszaniu jednej, ogólnej trasy (np. 10.1.0.0/16) dla wielu mniejszych podsieci w Warstwie Dystrybucji. Zmniejsza to rozmiar tablic routingu w Warstwie Rdzenia i routerach w innych obszarach, przyspieszając ich działanie.

W centrach danych technologia VXLAN (Virtual eXtensible LAN) pozwala na rozciągnięcie topologii L2 (sieci VLAN) na rozległą topologię L3. VXLAN tuneluje ramki L2 w pakietach UDP. Umożliwia to migrację maszyn wirtualnych między serwerami podłączonymi do różnych przełączników typu Leaf w topologii Leaf-Spine L3, co jest kluczowe dla wirtualizacji.

EVPN to nowoczesny protokół Warstwy Kontroli, który zarządza adresacją MAC i routingiem w środowisku VXLAN. EVPN wykorzystuje BGP do dystrybucji informacji o hostach L2 i L3, zastępując tradycyjny flooding ARP/Broadcast. Jest to kluczowy element w budowaniu skalowalnych i efektywnych topologii Leaf-Spine.

Router brzegowy BGP (krawędź topologii) otrzymuje setki tysięcy tras z Internetu. Filtrowanie tras jest absolutnie kluczowe dla bezpieczeństwa i stabilności. Router powinien akceptować tylko wiarygodne trasy od ISP i rozgłaszać do Internetu tylko własne, autoryzowane prefiksy IP, aby zapobiec BGP Hijacking.

W przeciwieństwie do OSPF, BGP ma złożony algorytm wyboru trasy, oparty na kilkunastu atrybutach. Najważniejsze to Weight (lokalny priorytet), Local Preference (preferencja wychodząca) i AS_Path (długość ścieżki). Atrybuty te pozwalają administratorowi na bardzo precyzyjną kontrolę nad ruchem.

VRF to mechanizm wirtualizacji na routerze, który tworzy logicznie oddzielone instancje tablic routingu i przesyłania. Umożliwia to jednemu routerowi fizycznemu (np. Rdzenia) symulowanie wielu niezależnych routerów. Jest idealny do izolowania ruchu gości od ruchu produkcyjnego.

W kampusie stosuje się VRF Lite (uproszczona wersja) na routerach dystrybucyjnych w celu separacji ruchu. Przykładowo, tworzymy osobną instancję VRF dla sieci zarządzania oraz drugą dla sieci studenckiej. To zapewnia, że błędy routingu czy ataki w jednej domenie nie wpłyną na drugą.

Chassis Aggregation to ogólny termin dla technologii VSS/vPC. Polega na łączeniu dwóch oddzielnych obudów (chassis) w jedną logiczną jednostkę. Redundancja jest osiągnięta przez fizyczne połączenie obudów szybkim łączem (Virtual Switch Link), które synchronizuje stan obu urządzeń.

W topologii z vPC, serwer podłączony do dwóch różnych przełączników Leaf za pomocą EtherChannel (Dual-Homed) widzi je jako jeden logiczny przełącznik. Jest to kluczowe dla serwerów w Centrach Danych, ponieważ eliminowane są problemy z STP i zwiększana jest dostępna przepustowość do rdzenia sieci.

W protokołach FHRP, routery używają wirtualnego adresu MAC, który jest automatycznie generowany (np. 0000.0C07.ACxx dla HSRP). Wirtualny MAC pozwala hostom na ciągłą komunikację z bramą, nawet po zmianie routera aktywnego. Jest to krytyczne dla transparentności redundancji na Warstwie 2.

W złożonej topologii stosuje się głównie routing dynamiczny (OSPF/BGP). Routing statyczny jest używany tylko w specyficznych, małych segmentach (np. łącze do Firewalla) lub dla trasy domyślnej (Default Route) do Internetu. Ręczna konfiguracja statyczna byłaby koszmarem w utrzymaniu i nie zapewniłaby szybkiej konwergencji.

W punkcie styku różnych protokołów (np. BGP na krawędzi, OSPF wewnątrz), następuje redystrybucja tras. Trasy BGP są wstrzykiwane do OSPF i odwrotnie. Ten proces jest bardzo wrażliwy i wymaga precyzyjnego ustawienia metryk oraz Route Maps, aby zapobiec pętlom i niepożądanym ścieżkom.

EIGRP (Enhanced Interior Gateway Routing Protocol) to protokół Cisco Distance Vector z elementami Link-State. W redundantnych topologiach (Dual-Homing), EIGRP ma szybką konwergencję, ponieważ utrzymuje zapasowe trasy w tablicy topologii. Jest często wybierany zamiast OSPF w środowiskach wyłącznie Cisco.

EtherChannel może działać zarówno na Warstwie 2 (trunking), jak i Warstwie 3 (routing). EtherChannel L3 tworzy logiczny interfejs routowany (Port-Channel) z wielu fizycznych łączy. Jest to idealne rozwiązanie dla łączy między Warstwą Dystrybucji a Rdzenia, zapewniając redundancję i agregację na poziomie routingu.

W topologiach MPLS, protokół LDP jest używany do dystrybucji etykiet (Labels) między routerami. Routery używają etykiet do szybkiego przełączania pakietów, co jest kluczowe dla usług VPN w złożonych sieciach WAN. Topologia LDP jest logiczną siatką nakładaną na fizyczną topologię L3.

Split-Brain to krytyczny scenariusz, w którym dwa routery FHRP (HSRP/VRRP) jednocześnie uważają się za aktywne. Zazwyczaj jest to spowodowane awarią łącza synchronizacyjnego lub problemami z Hello Packets. Prowadzi to do niestabilności, konfliktów IP i MAC. Wymaga mechanizmów monitorowania i szybkiego przejmowania.

Topologia logiczna jest trójwymiarowa: L2 (VLAN/STP/vPC), L3 (OSPF/BGP/FHRP) i Wirtualizacja (VRF/VXLAN/MPLS). W złożonych sieciach, inżynier musi zapewnić spójność i redundancję na wszystkich tych poziomach, aby zagwarantować ciągłość działania niezależnie od awarii fizycznej.

VRF można również stosować na routerze brzegowym (BGP). Dwa różne VRF mogą być połączone z dwoma różnymi dostawcami Internetu (ISP). Pozwala to na pełną izolację ruchu i polityk routingu między połączeniami internetowymi, co zwiększa elastyczność i bezpieczeństwo.

Aby wykorzystać oba routery FHRP do przesyłania ruchu, stosuje się Load Sharing. Konfigurujemy dwie grupy FHRP, przypisując każdemu routerowi rolę Active w jednej grupie i Standby w drugiej. Na przykład, Router A jest Active dla VLAN 10, a Router B jest Active dla VLAN 20.

GLBP (Cisco) jest najbardziej zaawansowanym FHRP, ponieważ domyślnie zapewnia aktywne równoważenie obciążenia. Wszystkie routery w grupie są aktywne (AVG) i odpowiadają na ten sam wirtualny adres IP. Różnicą jest, że każdy router odpowiada własnym wirtualnym MAC adresem, równoważąc ruch.

Mimo że EVPN/VXLAN jest topologią opartą na L3, która omija problemy STP, nadal wymaga mechanizmów kontroli pętli. Split Horizon w tunelach VXLAN oraz zaawansowane funkcje vPC są używane do zapewnienia, że ramki L2 nie krążą w tunelach, co mogłoby sparaliżować sieć DC.

W hierarchicznej topologii OSPF (wiele obszarów), ruch między obszarami musi przejść przez Area 0. Router ABR sumaryzuje trasy i rozgłasza je jako LSA typu 3. To minimalizuje wielkość baz danych LSA i przyspiesza konwergencję w odległych obszarach sieci.

Protokoły routingu (zwłaszcza BGP) mogą być użyte do obsługi QoS (Quality of Service) poprzez manipulację ścieżkami. Można wymusić, aby ruch wrażliwy na opóźnienia (np. VoIP) był kierowany przez łącze z najniższym opóźnieniem (nawet jeśli ma wyższy koszt OSPF).

Wirtualizacja (VRF, VXLAN) wprowadza nowe wymogi dla adresacji. VRF wymaga unikatowej adresacji w każdym wirtualnym routerze. VXLAN, tunelując L2 nad L3, pozwala na ponowne użycie tych samych adresów MAC i IP w różnych tunelach.

Koncepcja L3 Everywhere w Leaf-Spine polega na utrzymaniu routingu (L3) na każdym przełączniku (Leaf i Spine). Minimalizuje to ryzyko pętli L2 (eliminuje potrzebę STP) i zapewnia, że wszystkie ścieżki są aktywnie wykorzystywane przez ECMP. Ruch L2 jest enkapsulowany (VXLAN).

W sesjach BGP (zwłaszcza eBGP) między AS, konieczne jest uwierzytelnianie MD5 połączenia. Zapobiega to przejęciu lub wstrzyknięciu fałszywych tras przez atakujących, którzy podszywają się pod sąsiada. Jest to podstawowy mechanizm bezpieczeństwa na krawędzi topologii.

Serwery (np. w Centrali) osiągają redundancję sieciową poprzez NIC Teaming/Bonding. Łączy to karty sieciowe serwera w jeden logiczny interfejs, co działa w połączeniu z EtherChannel/vPC na przełącznikach. Zapewnia to, że awaria jednego kabla lub portu switcha nie przerywa pracy serwera.

Nowoczesne protokoły routingu są zarządzane poprzez NETCONF/YANG. Zapewnia to programowalny i ustrukturyzowany dostęp do konfiguracji routingu. Zastępuje to ręczne CLI i jest kluczowe dla automatyzacji zmian w złożonych topologiach.

MLAG jest ogólnym terminem na mechanizmy takie jak vPC/VSS, umożliwiające łączenie wielu obudów i tworzenie logicznego EtherChannel do hosta. Jest to niezbędny element architektury Centrach Danych i topologii Leaf-Spine.

W złożonych topologiach mogą pojawiać się ukryte trasy (Hidden Routes), które nie są widoczne w tablicy routingu (np. z powodu niepoprawnej sumaryzacji). Jest to jeden z najtrudniejszych problemów do zdiagnozowania, prowadzący do asymetrycznego routingu i problemów z łącznością.

W ZTA, routing jest używany do kierowania ruchu do mikrosegmentacji. Zamiast tradycyjnego routingu, stosuje się Policy-Based Routing (PBR), aby wymusić inspekcję ruchu przez Firewall (VNF) przed jego dostarczeniem do celu, nawet jeśli jest to ruch wewnętrzny.

MED jest atrybutem BGP używanym do wpływania na ruch wchodzący do naszego AS od sąsiada. Jeśli mamy dwóch ISP, możemy użyć MED, aby poinformować ISP, które z naszych połączeń preferujemy. Niższy MED jest bardziej preferowany.

Narzędzia takie jak Ansible są kluczowe do zarządzania konfiguracją OSPF/BGP. Playbooki definiują żądany stan routingu, a Ansible wdraża go transakcyjnie na wszystkich routerach Warstwy Dystrybucji i Rdzenia. Minimalizuje to błędy i skraca czas wdrożenia zmian.

W chmurze publicznej (AWS, Azure) topologia jest zdefiniowana przez wirtualne sieci VPC/VNet. Router brzegowy kampusu musi rozgłaszać trasy do tego środowiska chmurowego (np. za pomocą BGP przez Direct Connect), efektywnie włączając chmurę do swojej topologii.

Protokół ARP jest trudny w zarządzaniu w dużych, płaskich topologiach L2 (VXLAN). Zbyt duża domena L2 prowadzi do nadmiernego ruchu ARP. EVPN i inne mechanizmy L3 pomagają w efektywnym mapowaniu IP do MAC, minimalizując flooding ARP.

Podsumowując, topologia logiczna sieci jest kształtowana głównie przez OSPF/BGP oraz wirtualizację L2/L3. Zrozumienie, jak te protokoły współpracują (HSRP, vPC, VXLAN), jest kluczowe dla projektowania niezawodnych i skalowalnych sieci złożonych.

Kolejny wykład poświęcimy szczegółowej implementacji segmentacji (VLAN, VRF) oraz bezpieczeństwu w kontekście topologii. Omówimy projektowanie ACL, NAT i mechanizmy Zero Trust Architecture. Skupimy się na tym, jak topologia logiczna wspiera zaawansowane strategie obrony.