Sieci komputerowe — Baza Wiedzy

Model OSI — 7 warstw

#	Warstwa	Zadanie	Protokoły / Przykłady	Jednostka
7	Aplikacji	Interfejs dla aplikacji użytkownika	HTTP, HTTPS, FTP, SMTP, DNS, SSH, SNMP	Dane
6	Prezentacji	Szyfrowanie, kompresja, kodowanie	TLS/SSL, JPEG, MPEG, ASCII	Dane
5	Sesji	Zarządzanie sesjami, synchronizacja	NetBIOS, RPC, PPTP	Dane
4	Transportowa	Niezawodny/szybki transport, porty	TCP, UDP, SCTP	Segment
3	Sieci	Adresowanie logiczne, routing	IP (v4/v6), ICMP, ARP, OSPF, BGP	Pakiet
2	Łącza danych	Adresowanie fizyczne (MAC), wykrywanie błędów	Ethernet, Wi-Fi (802.11), VLAN, STP	Ramka
1	Fizyczna	Przesyłanie bitów, medium transmisji	Ethernet kable, światłowód, Radio, USB	Bit

Podstawowe pojęcia sieciowe

Adres IPwarstwa 3

Logiczny identyfikator hosta w sieci. IPv4: 32 bity (np. 192.168.1.10). IPv6: 128 bitów (np. 2001:db8::1). Dzieli się na część sieciową i część hosta — granicę wyznacza maska.

Maska podsiecisubnetting

Określa, ile bitów należy do sieci, a ile do hosta. /24 = maska 255.255.255.0 → 254 hosty. CIDR (Classless Inter-Domain Routing) zastąpił klasy A/B/C.

Brama domyślnarouting

Router obsługujący ruch wychodzący poza lokalną sieć. Gdy host nie zna trasy do celu, pakiet trafia właśnie tu. Zwykle pierwszy lub ostatni adres w podsieci (np. 192.168.1.1).

Adres MACwarstwa 2

48-bitowy fizyczny adres karty sieciowej, zapisywany jako AA:BB:CC:DD:EE:FF. Unikalny na poziomie producenta (OUI = pierwsze 3 bajty). Używany w obrębie jednej sieci lokalnej.

NATrouting

Network Address Translation — zamiana prywatnego adresu IP na publiczny przy wyjściu do internetu. Pozwala wielu urządzeniom dzielić jeden publiczny adres IP. SNAT = źródłowy, DNAT = docelowy.

VLANwarstwa 2

Virtual LAN — logiczne segmentowanie sieci na przełączniku bez osobnego sprzętu. Ruch między VLANami wymaga routera (lub Layer 3 switch). Standard IEEE 802.1Q dodaje 4-bajtowy tag do ramki.

DNSaplikacja

Domain Name System — tłumaczy nazwy domenowe na adresy IP. Hierarchia: Root → TLD (. com, .pl) → authoritative serwer. Typy rekordów: A, AAAA, CNAME, MX, TXT, NS, PTR.

DHCPaplikacja

Dynamic Host Configuration Protocol — automatyczne przydzielanie IP, maski, bramy i DNS. Sekwencja DORA: Discover → Offer → Request → Acknowledge. Lease time = czas ważności dzierżawy.

TCP vs UDPtransport

TCP — połączeniowy, niezawodny, kontrola przepływu (3-way handshake: SYN, SYN-ACK, ACK). UDP — bezpołączeniowy, szybki, brak gwarancji dostarczenia. UDP wybierany do streamingu, DNS, gier, VoIP.

Porttransport

16-bitowa liczba (0–65535) identyfikująca usługę na hoście. Zakresy: Well-known 0–1023 (HTTP=80, HTTPS=443), Registered 1024–49151, Dynamic/Ephemeral 49152–65535.

TTLwarstwa 3

Time To Live — licznik w nagłówku pakietu IP zmniejszany o 1 przez każdy router. Gdy osiągnie 0, pakiet jest odrzucany i nadawca otrzymuje ICMP Time Exceeded. Zapobiega nieskończonemu krążeniu pakietów.

Routingwarstwa 3

Wybór ścieżki pakietu w sieci. Statyczny — ręczne wpisy w tablicy routingu. Dynamiczny — protokoły: OSPF (link-state, obszary), BGP (między AS, internet), RIP (distance-vector, do 15 hopów).

Zakresy adresów prywatnych (RFC 1918)

10.0.0.0/8

Maska: 255.0.0.0

16 777 214 hostów · klasa A

172.16.0.0/12

Maska: 255.240.0.0

1 048 574 hostów · klasa B

192.168.0.0/16

Maska: 255.255.0.0

65 534 hostów · klasa C

127.0.0.0/8

Loopback

Lokalny host (127.0.0.1)

169.254.0.0/16

APIPA / Link-local

Brak DHCP — auto-konfiguracja

0.0.0.0/0

Trasa domyślna

Wszystkie adresy (default route)

Przydatne prefiksy CIDR

/30

255.255.255.252

2 hosty · łącze P2P

/29

255.255.255.248

6 hostów

/28

255.255.255.240

14 hostów

/27

255.255.255.224

30 hostów

/26

255.255.255.192

62 hosty

/25

255.255.255.128

126 hostów

/24

255.255.255.0

254 hosty · typowa LAN

/22

255.255.252.0

1022 hosty

/16

255.255.0.0

65 534 hosty

Protokoły warstwy aplikacji

Protokół	Port	Transport	Opis
HTTP	80	TCP	Protokół transferu hipertekstu; bezstanowy, tekstowy, podstawa WWW. Metody: GET, POST, PUT, DELETE, PATCH, HEAD, OPTIONS.
HTTPS	443	TCP	HTTP szyfrowany TLS/SSL. Handshake: uzgodnienie szyfru, wymiana kluczy (asymetryczny), komunikacja (symetryczny). Certyfikaty X.509.
DNS	53	TCP/UDP	Rozwiązywanie nazw domen. UDP dla zapytań <512 B, TCP dla transferów stref. Typy rekordów: A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV.
DHCP	67/68	UDP	Dynamiczne przydzielanie konfiguracji sieciowej. Serwer nasłuchuje na 67, klient na 68. DORA: Discover → Offer → Request → ACK.
SSH	22	TCP	Szyfrowane zdalne połączenie. Uwierzytelnienie hasłem lub kluczem publicznym (RSA, Ed25519). Zastępuje Telnet i rsh. Tunelowanie portów.
FTP	20/21	TCP	Transfer plików. Port 21 = sterujący, 20 = dane. Tryb aktywny (serwer otwiera połączenie danych) vs pasywny (PASV — klient otwiera). Brak szyfrowania!
SFTP	22	TCP	Transfer plików po SSH (nie jest FTP). Pełne szyfrowanie, jedno połączenie, obsługuje operacje na plikach (rename, delete, chmod).
SMTP	25 / 587	TCP	Wysyłanie e-mail. Port 25 = serwer-serwer, 587 = klient-serwer z STARTTLS. SMTPS = 465. Uwierzytelnienie: SASL. SPF, DKIM, DMARC — zabezpieczenia.
IMAP	143 / 993	TCP	Odbieranie e-mail (synchronizacja ze skrzynką). Stan wiadomości synchronizowany między urządzeniami. IMAPS = 993 (TLS).
POP3	110 / 995	TCP	Pobieranie e-mail (zapis lokalny, usuwanie z serwera). Brak synchronizacji. POP3S = 995. Starszy protokół, IMAP jest zalecanym zastępnikiem.
NTP	123	UDP	Synchronizacja czasu. Stratum 0 = zegar atomowy/GPS, Stratum 1 = serwer podłączony do S0, Stratum 2 = klient S1 itd. Drift mierzony w milisekundach.
SNMP	161/162	UDP	Monitorowanie i zarządzanie urządzeniami sieciowymi. Wersje: v1/v2c (community string), v3 (szyfrowanie + uwierzytelnienie). Trap = alerty z urządzenia.
LDAP	389 / 636	TCP/UDP	Protokół katalogowy. Active Directory, OpenLDAP. Hierarchia: CN (Common Name), OU (Organizational Unit), DC (Domain Component). LDAPS = 636.
RDP	3389	TCP/UDP	Zdalny pulpit Windows. Szyfrowanie TLS. UDP dla lepszej wydajności (RemoteFX). Uwaga: częsty cel ataków brute-force — należy stosować VPN lub zmienić port.

Protokoły warstwy sieciowej i transportowej

Protokół	Warstwa	Opis
IP v4	3	32-bitowe adresowanie, fragmentacja pakietów, TTL, nagłówek 20 B (bez opcji). Brak gwarancji dostarczenia — best-effort delivery.
IP v6	3	128-bitowe adresy, brak NAT (każdy host może mieć publiczny IP), brak fragmentacji po trasie, wbudowane IPSec. Nagłówek 40 B.
ICMP	3	Diagnostyczny — ping (Echo Request/Reply), Traceroute (TTL Exceeded), komunikaty błędów (Host Unreachable, Port Unreachable). ICMPv6 obsługuje też NDP (Neighbor Discovery).
ARP	2/3	Mapowanie IP → MAC w sieci lokalnej. ARP Request (broadcast), ARP Reply (unicast). ARP Cache = tablica buforująca. Gratuitous ARP — ogłoszenie własnego IP.
TCP	4	Połączeniowy, niezawodny. 3-way handshake (SYN, SYN-ACK, ACK). 4-way close (FIN, ACK, FIN, ACK). Kontrola przepływu (okno), retransmisja, kolejność.
UDP	4	Bezpołączeniowy, brak potwierdzenia. Mały overhead. Stosowany: DNS, DHCP, VoIP, gaming, streaming, TFTP.
BGP	4 (app)	Protokół trasowania między systemami autonomicznymi (AS) — "klej internetu". eBGP (między AS), iBGP (wewnątrz AS). Path-vector routing.
OSPF	3	Link-state protokół wewnątrz AS. Dijkstra SPF, obszary (Area 0 = backbone). Szybka konwergencja. Koszt = 100 Mbps / bandwidth łącza.

TLS Handshake w skrócie: Klient wysyła ClientHello (wersja TLS, szyfry). Serwer odpowiada ServerHello + certyfikat. Klient weryfikuje certyfikat (CA). Uzgodnienie klucza (np. ECDHE). Od tego momentu komunikacja zaszyfrowana kluczem symetrycznym (AES-256-GCM). TLS 1.3 eliminuje osobny krok wymiany klucza — wszystko w 1 RTT.

Topologie sieci

⭐ Gwiazda (Star)

Wszystkie urządzenia podłączone do centralnego przełącznika/routera. Dominująca topologia w sieciach LAN. Awaria centrum wyłącza całą sieć.

Łatwe zarządzanie Izolacja awarii Single point of failure

🔗 Siatka (Mesh)

Każde urządzenie połączone z wieloma innymi. Pełna siatka (full mesh): n(n-1)/2 połączeń. Używana w WAN, centrach danych, sieciach bezprzewodowych mesh.

Redundancja Wysoka dostępność Koszt kabli

🚌 Szyna (Bus)

Urządzenia podłączone do wspólnego medium (kabel koncentryczny). Historyczna (10BASE-5, 10BASE-2). Kolizje — CSMA/CD. Dziś praktycznie nieużywana.

Proste okablowanie Kolizje Awaria kabla = brak sieci

💍 Pierścień (Ring)

Urządzenia tworzą pętlę; token krąży po sieci (Token Ring, FDDI). Podwójny pierścień dla redundancji. W nowoczesnych sieciach zastąpiony przez Ethernet.

Deterministyczny dostęp Awaria węzła zatrzymuje sieć

🌳 Drzewo (Tree/Hierarchical)

Sieć korporacyjna podzielona na 3 warstwy: Core (rdzeniowa, duże routery), Distribution (agregacja, ACL), Access (przełączniki brzegowe, end-hosty).

Skalowalność Łatwa rozbudowa Zależy od core

🔀 Hybrydowa

Połączenie kilku topologii. Np. gwiazdy połączone siatką (typowe enterprise). Centrum danych: spine-leaf (każdy leaf połączony z każdym spine).

Elastyczność Redundancja Złożoność

Sieć domowa / małego biura (SOHO)

Internet 🌐

↕

Modem / ONTWAN IP (publiczny)

↕

Router (brama domyślna)NAT · DHCP · firewall · 192.168.1.1

↕ LAN

Switch 🔀192.168.1.x

·

Wi-Fi AP 📶SSID · WPA3

↕

PC

·

Laptop

·

Telefon

·

Smart TV

Typowa sieć SOHO — jeden segment, NAT, prywatne adresy 192.168.1.0/24

Sieć firmowa z DMZ

Internet 🌐Publiczne IP

↕

Firewall zewnętrznyFiltruje ruch przychodzący

↕

DMZ (Demilitarized Zone)Web Server · Mail Server · DNS · Reverse Proxy

↕

Firewall wewnętrznyOgranicza dostęp DMZ → LAN

↕

LAN korporacyjna10.0.0.0/8

|

VLAN Serwery10.10.x.x

|

VLAN Management10.20.x.x

DMZ izoluje publicznie dostępne serwery od sieci wewnętrznej

VPN — rodzaje

🔐 Site-to-Site VPN

Łączy dwie sieci lokalne przez internet. Szyfrowany tunel między routerami/firewallami. Protokoły: IPSec (IKEv2), OpenVPN. Używany: oddział ↔ centrala.

Stałe połączenieTransparent dla hostów

👤 Remote Access VPN

Pracownik łączy się ze zdalną siecią przez klienta VPN. Protokoły: OpenVPN, WireGuard, SSL/TLS VPN, L2TP/IPSec. Split tunneling — tylko firmowy ruch przez VPN.

Praca zdalnaZależy od klienta

🌐 SSL/TLS VPN

Dostęp przez przeglądarkę lub lekki klient. Działa przez port 443 (ominięcie firewalli). Fortigate SSL VPN, Cisco AnyConnect, GlobalProtect.

Port 443 (przechodzi przez NAT)Brak specjalnego klienta

⚡ WireGuard

Nowoczesny, szybki VPN (~4000 linii kodu vs 400k OpenVPN). Używa ChaCha20, Curve25519, BLAKE2s. Domyślny port UDP 51820. Wbudowany w Linux kernel od 5.6.

SzybkiProsta konfiguracja

Urządzenia sieciowe

🔀 Switch (przełącznik) L2

Łączy urządzenia w sieci LAN. Przesyła ramki na podstawie tablicy MAC (CAM table). Zarządzalny switch obsługuje VLAN, STP, LACP, QoS, port mirroring, ACL. Unmanaged = brak konfiguracji.

🛤️ Router L3

Kieruje pakiety między sieciami na podstawie tablicy routingu (IP). Obsługuje NAT, DHCP, firewalling, QoS, VPN. Layer 3 switch robi routing sprzętowo (szybciej) w centrum danych.

🔥 Firewall L3–L7

Filtruje ruch na podstawie reguł (ACL). Stateless = każdy pakiet oceniany osobno. Stateful = śledzi stan połączeń. NGFW (Next-Gen): inspekcja DPI, IPS/IDS, filtrowanie URL, sandbox, decrypcja TLS.

📶 Access Point (AP) L2

Punkt dostępu Wi-Fi. Standardy: 802.11ac (Wi-Fi 5), 802.11ax (Wi-Fi 6/6E), 802.11be (Wi-Fi 7). Pasma: 2.4 GHz (zasięg), 5 GHz (prędkość), 6 GHz (Wi-Fi 6E). Szyfrowanie: WPA3 (zalecany).

🔌 Hub L1

Historyczne urządzenie — rozgłasza ruch do wszystkich portów (brak inteligencji). Jedna domena kolizji. Całkowicie zastąpiony przez switche. Nadal spotykany jako "hub USB" (inny kontekst).

🖧 Proxy / Reverse Proxy L7

Forward proxy: klient → proxy → internet (filtrowanie, cache, anonimizacja). Reverse proxy: internet → proxy → serwery (load balancing, SSL termination, cache, WAF). Popularne: nginx, HAProxy, Traefik, Squid.

⚖️ Load Balancer L4/L7

Rozkłada ruch między wiele serwerów. Algorytmy: Round Robin, Least Connections, IP Hash, Weighted. L4 LB: na poziomie TCP/UDP. L7 LB: na poziomie HTTP (routing po URL, nagłówkach). Health checks.

📡 Modem / ONT L1

Modem: moduluje/demoduluje sygnał (ADSL, VDSL, kablówka DOCSIS). ONT (Optical Network Terminal): punkt zakończenia światłowodu u klienta (GPON/EPON). Często modem+router w jednym urządzeniu.

🕵️ IDS / IPS L7

IDS (Intrusion Detection System): wykrywa ataki, wysyła alerty (pasywny). IPS (Intrusion Prevention System): wykrywa i blokuje ataki (inline). Sygnatury + anomalie. Popularne: Snort, Suricata, Zeek.

Media transmisji

🔶Skrętka (UTP/STP)

Najczęstsze medium w LAN. Kategorie: Cat5e (1 Gbps/100m), Cat6 (10 Gbps/55m), Cat6a (10 Gbps/100m), Cat8 (40 Gbps/30m). UTP = nieekranowana, STP = ekranowana.

💡Światłowód

Jednomodowy (SM, 9 µm) — do 100 km, centra danych, operatorzy. Wielomodowy (MM, 50/62.5 µm) — do ~300m, wewnątrz budynku. Odporny na EMI, brak podsłuchu. Konektory: LC, SC, MPO.

📻Bezprzewodowe (RF)

Wi-Fi (2.4/5/6 GHz), Bluetooth (2.4 GHz, BLE), Cellular (4G LTE / 5G), Zigbee/Z-Wave (IoT). Czynniki: zasięg, przeszkody, zakłócenia, MIMO (wiele anten), beamforming.

🔍 Diagnostyka — podstawowe polecenia Win + Linux

ping 8.8.8.8Test połączenia ICMP Echo. Pokazuje RTT i utratę pakietów. Win: -n (liczba), Linux: -c. ping -t = ciągły (Win).

tracert / tracerouteTrasa pakietu przez kolejne routery. Win: tracert google.com. Linux: traceroute -I google.com. Pokazuje RTT na każdym hopie.

nslookup / digZapytanie DNS. nslookup google.com 8.8.8.8. Linux: dig @8.8.8.8 google.com MX. dig +short = tylko wynik.

netstat -anLista otwartych połączeń i portów. -a = wszystkie, -n = numerycznie. Linux: ss -tlnp (nowszy, szybszy zamiennik).

arp -aWyświetla tablicę ARP (IP ↔ MAC). Przydatne do sprawdzenia czy urządzenie jest w sieci lokalnej. arp -d = czyszczenie cache.

pathping / mtrPołączenie ping + traceroute. Win: pathping google.com. Linux: mtr google.com (interaktywny). Pokazuje utratę pakietów na każdym hopie.

curl -I https://example.comNagłówki HTTP. -v = verbose (TLS handshake). --resolve = ominięcie DNS. Nieoceniony do debugowania API i certyfikatów.

nc / ncatNetcat — "szwajcarski scyzoryk sieci". Test portu: nc -zv 10.0.0.1 443. Prosty serwer/klient TCP/UDP. -u = UDP.


          💡 Do skanowania portów: nmap -sV -O 192.168.1.1 — skanuje usługi i system operacyjny. Tylko w autoryzowanej sieci!



      
        
          🪟 Konfiguracja sieci — Windows
          Windows
        
        
          ipconfig /allPełna konfiguracja interfejsów: IP, maska, brama, DNS, MAC, DHCP lease. Bez /all — skrócony widok.
          ipconfig /release
ipconfig /renewZwolnienie i pobranie nowego adresu IP z DHCP. Przydatne po zmianie podsieci lub problemach z adresem.
          ipconfig /flushdnsCzyści cache DNS Windowsa. Rozwiązuje problemy ze starymi wpisami DNS (po migracji serwera itp.).
          netsh interface ip set addressStatyczny IP: netsh interface ip set address "Ethernet" static 192.168.1.100 255.255.255.0 192.168.1.1
          netsh interface ip set dnsUstawienie DNS: netsh interface ip set dns "Ethernet" static 8.8.8.8. Drugi DNS: add dns "Ethernet" 8.8.4.4 index=2
          route printTablica routingu. Kolumny: sieć docelowa, maska, brama, interfejs, metryka. route add / route delete — modyfikacja.
          netsh wlan show profilesLista zapamiętanych sieci Wi-Fi. netsh wlan show profile "Nazwa" key=clear — wyświetla hasło w plaintext.
          Get-NetAdapter (PowerShell)Lista interfejsów sieciowych. Get-NetIPAddress = adresy IP. Set-NetIPAddress = zmiana IP. Resolve-DnsName = zapytanie DNS.
        
      

      
        
          🐧 Konfiguracja sieci — Linux
          Linux
        
        
          ip addr showWszystkie interfejsy z adresami IP i MAC. Skrót: ip a. Zastępuje stary ifconfig. ip addr show eth0 = konkretny interfejs.
          ip link set eth0 up/downWłącza/wyłącza interfejs sieciowy. Przydatne do restartu po zmianie konfiguracji.
          ip addr add 192.168.1.100/24 dev eth0Tymczasowe przypisanie adresu IP. Nie przeżywa restartu — do trwałej konfiguracji użyj pliku lub nmcli.
          ip route showTablica routingu. Dodanie trasy: ip route add 10.0.0.0/8 via 192.168.1.1. Domyślna: ip route add default via 192.168.1.1.
          nmcli con showNetworkManager — lista połączeń. nmcli dev status = status interfejsów. nmcli con up "Nazwa" = aktywacja połączenia.
          nmcli con mod "eth0" ipv4.addresses 192.168.1.100/24Statyczny IP przez NetworkManager. Dodatkowo: ipv4.gateway, ipv4.dns, ipv4.method manual.
          resolvectl statusStatus DNS (systemd-resolved). Alternatywnie: cat /etc/resolv.conf. Zmiana DNS: edycja /etc/systemd/resolved.conf.
          ss -tlnpNasłuchujące porty TCP z procesami. -u = UDP, -s = podsumowanie. Szybszy i nowszy zamiennik netstat.
          💡 Trwała konfiguracja IP (Ubuntu/Debian): plik /etc/netplan/*.yaml, następnie netplan apply. Na RHEL/CentOS: pliki /etc/sysconfig/network-scripts/ifcfg-*.
        
      

      
        
          🔥 iptables — podstawy firewalla (Linux)
          Linux
        
        
          iptables -L -n -vLista reguł ze statystykami. -n = numerycznie (szybciej), -v = verbose (bajty/pakiety).
          iptables -A INPUT -p tcp --dport 22 -j ACCEPTZezwól na połączenia SSH. -A = dodaj na końcu, -I = wstaw na początku. -j DROP = odrzuć pakiet.
          iptables -A INPUT -s 10.0.0.0/8 -j ACCEPTZezwól na cały ruch z podsieci 10.0.0.0/8. -s = source IP/sieć.
          iptables -P INPUT DROPDomyślna polityka: odrzuć wszystko co nie pasuje do żadnej reguły. Ustawiać po dodaniu reguł dla SSH, żeby się nie odciąć!
          iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADENAT maskarada — hostowanie routera. Cały ruch wychodzący przez eth0 tłumaczony na IP interfejsu (SNAT dynamiczny).
          💡 Nowoczesna alternatywa: nftables (zastępuje iptables na nowych systemach) lub ufw (uproszczony interfejs do iptables na Ubuntu). Sprawdź: ufw status verbose.
        
      

      
        
          📄 /etc/hosts — lokalna rezolucja DNS
          Win + Linux
        
        
          127.0.0.1  localhostStandard — localhost wskazuje na pętlę zwrotną.
          192.168.1.50  serwer-dev.localWłasny wpis — nazwa domenowa wskazuje na IP. Przydatne do testów lokalnych, ominięcia DNS.
          0.0.0.0  ads.example.comBlokowanie domeny — kieruje na nieistniejący adres. Używane przez blokery reklam (Pi-hole robi to automatycznie).
          📁 Lokalizacja: Linux = /etc/hosts | Windows = C:\Windows\System32\drivers\etc\hosts (edycja wymaga uprawnień admina).