Przedmiot „Architektura sieci teleinformatycznych" (AST) koncentruje się na projektowaniu i organizacji nowoczesnych sieci komputerowych. Sieć to nie tylko okablowanie i sprzęt — to przemyślana struktura, która zapewnia wydajność, skalowalność oraz bezpieczeństwo. Podczas tego wykładu przeanalizujemy dwa fundamentalne podejścia do budowy sieci: model hierarchiczny oraz model rozproszony. Zrozumienie różnic między nimi pozwala świadomie wybrać architekturę dopasowaną do potrzeb biznesowych. Każda sieć, od biura małej firmy po potężne centrum danych, opiera się na jednym z tych modeli lub ich połączeniu. Ten wykład stanowi fundament dla dalszej części kursu.

Architektura sieci definiuje sposób rozmieszczenia, połączenia i współpracy urządzeń sieciowych. Obejmuje ona zarówno warstwę fizyczną (media transmisyjne, sprzęt), jak i logiczną (protokoły, adresowanie, polityki bezpieczeństwa). Prawidłowo zaprojektowana architektura ułatwia zarządzanie, zapewnia odporność na awarie i umożliwia bezproblemową rozbudowę. Wady projektowe ujawniają się zazwyczaj podczas wzrostu obciążenia — pojawiają się wówczas wąskie gardła, trudności w konfiguracji i nieoczekiwane błędy. Inwestycja w solidny projekt na początku eksploatacji przekłada się na oszczędność czasu i kosztów w przyszłości. Architektura to zatem decyzja o charakterze strategicznym.

Model hierarchiczny opiera się na podziale sieci na warstwy o ściśle określonych funkcjach i zakresach odpowiedzialności. Każda warstwa realizuje dedykowane zadania i komunikuje się wyłącznie z warstwami sąsiednimi. Takie podejście znacząco upraszcza projektowanie, diagnostykę problemów (troubleshooting) i rozbudowę infrastruktury. Trójwarstwowy model hierarchiczny spopularyzowany przez Cisco jest standardem w sieciach kampusowych i centrach danych na całym świecie. Dzięki hierarchii zmiany w jednym obszarze nie wpływają negatywnie na pozostałe. Można to porównać do struktury firmy: pracownicy, kadra kierownicza i zarząd — każdy szczebel ma swoje cele i kompetencje.

Standardowy model trójwarstwowy składa się z warstwy dostępu (Access), warstwy dystrybucji (Distribution) oraz warstwy rdzenia (Core). Warstwa dostępu stanowi punkt przyłączenia urządzeń końcowych, takich jak komputery, drukarki czy telefony IP — to „ostatnia mila" infrastruktury. Warstwa dystrybucji agreguje ruch z wielu przełączników dostępowych i odpowiada za wdrażanie polityk: routing między sieciami VLAN, listy kontroli dostępu (ACL) czy kształtowanie ruchu. Warstwa rdzenia (Core) pełni rolę szybkich „pleców" sieci (backbone) — jej jedynym celem jest błyskawiczne przesyłanie danych między segmentami. Każda warstwa stawia inne wymagania urządzeniom; użycie sprzętu niedostosowanego do roli danej warstwy jest częstym błędem projektowym.

Warstwa dostępu to interfejs między użytkownikiem a infrastrukturą sieciową. Przełączniki w tej warstwie posiadają dużą gęstość portów i wspierają kluczowe technologie dostępowe: standard 802.1X (uwierzytelnianie), PoE (zasilanie przez skrętkę) oraz segmentację VLAN. To tutaj wdraża się mechanizmy bezpieczeństwa, np. Port Security (ograniczenie dostępu do portu dla konkretnych adresów MAC). Typowa przepustowość portów to 1 Gb/s, co w zupełności wystarcza dla nowoczesnych stacji roboczych. Połączenia w górę (uplink) do warstwy dystrybucji realizowane są za pomocą szybkich łączy (10 Gb/s lub więcej). Prawidłowa konfiguracja tej warstwy decyduje o poziomie bezpieczeństwa całej sieci i komforcie pracy użytkowników końcowych.

Warstwa dystrybucji pełni rolę pośrednika i „centrum decyzyjnego" — tu zapadają decyzje dotyczące trasowania i egzekwowania polityk. Przełączniki warstwy 3 (L3) lub routery agregują połączenia z przełączników dostępowych i kierują je do rdzenia. Do kluczowych zadań należą: routing między sieciami VLAN (Inter-VLAN routing), filtrowanie ruchu za pomocą list ACL oraz zarządzanie jakością usług (QoS). Warstwa ta musi zapewniać wysoką dostępność; stosuje się tu mechanizmy redundancji bramy, takie jak HSRP lub VRRP, eliminując punkt pojedynczej awarii. Filtrowanie niepożądanego ruchu w tym miejscu chroni szkielet sieci (Core) przed zbędnym obciążeniem. To granica między segmentem użytkownika a szybkim kręgosłupem sieci.

Warstwa rdzenia to autostrada informacyjna sieci — jej zadaniem jest przełączanie pakietów z maksymalną prędkością interfejsu (wire-speed), bez ingerencji w ich treść czy stosowania skomplikowanych polityk. Urządzenia rdzeniowe muszą cechować się najwyższą wydajnością, niezawodnością i pełną redundancją. Stosuje się tu topologie typu „pełna siatka" (full mesh) lub „podwójna gwiazda", aby awaria pojedynczego modułu nie przerwała transmisji. W tej warstwie celowo unika się list ACL i zaawansowanego przetwarzania QoS, gdyż każda dodatkowa operacja zwiększa opóźnienia. Przełączniki rdzeniowe wykorzystują dedykowane układy ASIC do sprzętowego przekazywania danych. Złota zasada projektowa: jeśli w rdzeniu wymagana jest złożona logika przetwarzania, architektura wymaga poprawy.

W mniejszych infrastrukturach (obsługujących do kilkuset użytkowników), wydzielanie osobnych warstw rdzenia i dystrybucji bywa ekonomicznie nieuzasadnione. W takich przypadkach stosuje się model dwuwarstwowy, w którym funkcje rdzenia i dystrybucji są zintegrowane w jednym urządzeniu (lub parze urządzeń). Rozwiązanie to znane jest jako „Collapsed Core" (rdzeń skonsolidowany). Pozwala ono na zachowanie korzyści płynących z hierarchii przy mniejszych kosztach zakupu sprzętu. Głównym ograniczeniem jest mniejsza skalowalność i nieco trudniejsza diagnostyka w porównaniu do pełnej struktury trójwarstwowej. W praktyce, dla sieci liczących do ok. 250 użytkowników, Collapsed Core jest wyborem optymalnym.

Model hierarchiczny dominuje w projektowaniu sieci ze względu na szereg kluczowych zalet:

• Skalowalność: Dodawanie nowych segmentów lub użytkowników nie wymaga przebudowy szkieletu sieci.
• Łatwość zarządzania: Dzięki separacji funkcji, konfiguracja i monitorowanie są bardziej przejrzyste.
• Izolacja problemów: Awarie w warstwie dostępu nie wpływają na stabilność pozostałych obszarów.
• Przewidywalna wydajność: Ruch sieciowy przepływa w sposób zorganizowany, co eliminuje przypadkowe przeciążenia.

Model ten ułatwia również precyzyjny dobór urządzeń — inżynier dokładnie wie, że od switcha dostępowego oczekuje zarządzania użytkownikami, a od rdzeniowego ekstremalnej przepustowości.

Choć model hierarchiczny jest standardem, posiada pewne ograniczenia. Koszt początkowy budowy trzech odrębnych warstw jest wyższy niż w przypadku prostych sieci „płaskich". Urządzenia warstw wyższych (Distribution/Core) są kosztowne i wymagają od administratora zaawansowanej wiedzy. Ruch między użytkownikami w różnych sieciach VLAN musi zostać przesłany do warstwy dystrybucji, co może wprowadzać minimalne opóźnienia. Wprowadzanie zmian w kluczowych węzłach wymaga precyzyjnego planowania i wyznaczania okien serwisowych. Dla bardzo małych instalacji (dom, małe biuro) hierarchia jest przerostem formy nad treścią. Wybór architektury musi być zawsze skorelowany ze skalą i budżetem projektu.

Architektura rozproszona zakłada, że funkcje sieciowe są równomiernie rozlokowane w wielu węzłach, bez wyraźnie zaznaczonego centrum sterowania. Każdy element sieci posiada podobne uprawnienia i samodzielnie podejmuje decyzje o sposobie przekazywania ruchu. Internet jest najlepszym przykładem takiej struktury — nie istnieje jeden punkt krytyczny, którego wyłączenie unieruchomiłoby całość. Modele rozproszone oferują najwyższą odporność na awarie: w przypadku uszkodzenia jednego łącza lub węzła, protokoły routingu błyskawicznie wyznaczają ścieżkę alternatywną. Do wad zaliczamy znaczną złożoność zarządzania oraz trudność w utrzymaniu spójnych polityk bezpieczeństwa w całej infrastrukturze.

Topologia siatki jest fundamentem architektury rozproszonej. W wariancie „pełnej siatki" (Full Mesh), każdy węzeł jest połączony bezpośrednio z każdym innym. Gwarantuje to maksymalną niezawodność, jednak liczba łączy rośnie wykładniczo (N*(N-1)/2), co staje się nieopłacalne w dużych skalach. W praktyce częściej spotyka się „siatkę częściową" (Partial Mesh), gdzie redundantne połączenia otrzymują jedynie kluczowe punkty sieci (np. routery brzegowe ISP). Takie rozwiązanie stanowi balans między kosztem a bezpieczeństwem. W sieciach bezprzewodowych (Wi-Fi Mesh) topologia ta pozwala na budowę zasięgu na dużej powierzchni bez konieczności doprowadzania kabla do każdego punktu dostępowego.

Sieci P2P to przykład rozproszenia na poziomie aplikacji. Każdy komputer („peer") pełni jednocześnie rolę klienta i serwera — pobiera dane od innych i udostępnia je współużytkownikom. Brak centralnego serwera sprawia, że zasoby są rozproszone dynamicznie, co wykorzystują protokoły takie jak BitTorrent do błyskawicznej dystrybucji dużych plików. Technologia ta ma ogromne znaczenie systemowe: od budowy botnetów (zagrożenie), przez sieci rozproszonego obliczeń, aż po Blockchain. W łańcuchu bloków rozproszenie gwarantuje, że dane są odporne na manipulacje i cenzurę. Model P2P udowadnia, że architektura rozproszona może być zarówno potężnym narzędziem użytkowym, jak i wyzwaniem dla systemów bezpieczeństwa.

Wybór między hierarchią a rozproszeniem to zawsze kompromis (trade-off) między łatwością obsługi a niezawodnością. Model hierarchiczny pozwala na centralizację zarządzania i przewidywalność przepływów, co jest kluczowe w firmach. Jest jednak wrażliwy na awarie w kluczowych węzłach (np. switch rdzeniowy). Model rozproszony przetrwa niemal każdą awarię, ale aktualizacja polityk bezpieczeństwa na setkach niezależnych węzłów to logistyczny koszmar. W nowoczesnych projektach często stosuje się podejście hybrydowe: modele hierarchiczne wewnątrz lokalnych oddziałów i rozproszone łącza między nimi (np. przez routery brzegowe połączone w siatkę).

Model Klient-Serwer to scentralizowane podejście do usług: jeden potężny system (serwer) obsługuje zapytania od wielu użytkowników (klientów). Z perspektywy inżyniera sieci, serwery muszą znajdować się w specjalnej strefie (Data Center/Server Room) o najwyższym priorytecie dostępności i ogromnej przepustowości. Największym ryzykiem jest tu Single Point of Failure — padnie serwer, cała usługa znika. Dlatego stosuje się klastry wysokiej dostępności (High Availability) i load balancery. Ten model idealnie wpisuje się w hierarchiczną strukturę sieci: serwery umieszczamy blisko rdzenia lub dystrybucji, a klientów na brzegu (w warstwie dostępu). Poprawna architektura musi gwarantować, że droga pakietu od klienta do serwera jest optymalna i bezpieczna.

Sieć kampusowa (Campus Network) łączy wiele budynków danej instytucji (np. uniwersytet, duża fabryka) w jeden organizm. Zazwyczaj opiera się na rozbudowanym modelu hierarchicznym: każdy budynek posiada własną warstwę dostępu i dystrybucji, które łączą się światłowodami z centralnym rdzeniem kampusu. Wyzwaniem jest tu obsługa ruchu konwergentnego: danych (Ethernet), głosu (VoIP) oraz systemów mobilnych (Wi-Fi). Kluczowym wymogiem jest spójność polityk bezpieczeństwa — student lub pracownik powinien mieć te same uprawnienia niezależnie od budynku, w którym się znajduje. Roaming bezprzewodowy bez przerywania sesji to jedna z technicznych wizytówek profesjonalnie zaprojektowanego kampusu.

Sieć rozległa (WAN — Wide Area Network) łączy odległe lokalizacje geograficzne: biura w różnych miastach, kraje, a nawet kontynenty. Tu korzystamy z usług operatorów telekomunikacyjnych (ISP) i technologii takich jak MPLS, SD-WAN czy tunele VPN przez publiczny Internet. Klasycznym układem jest „Hub-and-Spoke" (gwiazda), gdzie oddziały łączą się z centralą. Nowocześniejsze podejście to SD-WAN (Software-Defined WAN), który pozwala inteligentnie rozdzielać ruch między tanie łącza internetowe a drogie łącza dedykowane, w zależności od potrzeb aplikacji (np. priorytet dla wideokonferencji). Projekt WAN musi uwzględniać opóźnienia (latency), zmienność tych opóźnień (jitter) oraz bezpieczeństwo danych przesyłanych przez obce infrastruktury.

W centrach danych dominującym ruchem jest komunikacja między serwerami (ruch wschód-zachód). Tradycyjna hierarchia trójwarstwowa nie radzi sobie z taką charakterystyką — wprowadza zbyt duże opóźnienia. Rozwiązaniem jest nowoczesna architektura Spine-Leaf (Kręgosłup-Liście). Każdy przełącznik typu „Leaf" łączy się z każdym przełącznikiem „Spine". Dzięki temu droga między dowolnymi dwoma serwerami zawsze wynosi tyle samo skoków (hopów), co gwarantuje stałe i niskie opóźnienia. Jest to idealne pod wirtualizację i systemy chmurowe. Redundancja jest tu ekstremalna — każde urządzenie ma dublowane zasilanie i powielone ścieżki transmisji do macierzy danych (iSCSI, Fibre Channel).

Innowacja SDN (Software-Defined Networking) polega na rozdzieleniu warstwy sterowania (Control Plane — mózg) od warstwy danych (Data Plane — mięśnie). Centralny kontroler SDN zarządza całą infrastrukturą, automatycznie programując przełączniki przez protokoły takie jak OpenFlow. Zamiast logować się do 100 urządzeń i ręcznie wpisywać komendy, administrator definiuje cel w panelu kontrolera, a ten wdraża go w całej sieci. SDN rewolucjonizuje szybkość wprowadzania zmian i pozwala na pełną automatyzację środowiska IT. To podejście dominuje w chmurach publicznych i nowoczesnych korporacjach, gdzie „sieć musi nadążać za kodem aplikacji". Inteligencja przenosi się ze sprzętu do centralnych algorytmów programowych.

Redundancja to strategiczne powielanie kluczowych elementów infrastruktury, by wyeliminować punkt pojedynczej awarii (SPOF). Projektant sieci musi założyć, że każda część sprzętu kiedyś zawiedzie. Redundancję łączy fizycznych osiągamy przez protokół STP (eliminacja pętli) lub EtherChannel (łączenie pasm). Na poziomie logicznym stosujemy protokoły bramy domyślnej (FHRP): HSRP, VRRP lub GLBP, aby w razie awarii routera inny przejął jego rolę w czasie mniejszym niż sekunda. Wysoka dostępność (uptime rzędu 99,99%) to marzenie biznesu, ale wymaga to podwojenia liczby urządzeń i skomplikowania konfiguracji. Dobra architektura to balans: maksymalna niezawodność przy akceptowalnym koszcie (ROI).

Skalowalność to zdolność architektury do wzrostu bez konieczności kosztownej wymiany całości. Rozróżniamy skalowanie poziome (dodanie kolejnych przełączników na danym poziomie) oraz pionowe (wymiana modułów/urządzeń na wydajniejsze). System hierarchiczny skaluje się „przez klocki" — nowy budynek w kampusie to po prostu kolejna szafa z warstwą dostępu dopięta do istniejącej dystrybucji. Kluczem do sukcesu jest planowanie z marginesem: wybór urządzeń z odpowiednią liczbą wolnych slotów, nadmiarowym zasilaniem i zapasem w tabelach routingu. Sieć, której nie da się rozbudować, staje się „technologicznym długiem", który zablokuje rozwój firmy w przyszłości.

Nawet najlepsza sieć jest bezużyteczna, jeśli administrator nie wie, jak ona działa. Dokumentacja to fundament pracy inżynierskiej. Tworzymy dwa rodzaje diagramów:

• Logiczny: Pokazuje adresację IP, sieci VLAN, nazwy urządzeń i obszary routingu.
• Fizyczny: Wskazuje konkretne szafy rackowe, numery portów na panelach krosowniczych i rodzaje kabli.

Używamy narzędzi klasy IPAM (zarządzanie adresami) oraz systemów zbierających topologię (np. NetBox, SolarWinds). Pamiętaj: dokumentacja nieaktualna to kłamstwo, które w trakcie awarii może doprowadzić do błędnych decyzji. Każda zmiana (Change Management) musi zostać odnotowana na schematach.

Adresacja IP nie może być losowa — musi odzwierciedlać strukturę fizyczną sieci. Stosujemy zasadę hierarchiczną, np. budynek A dostaje sieć 10.1.0.0/16, budynek B 10.2.0.0/16. Pozwala to na agregację tras (summarization), co sprawia, że routery rdzeniowe działają szybciej, mając mniejsze tablice routingu. Każda sieć VLAN powinna mieć przypisaną jedną unikalną podsieć IP. Wewnątrz firmy pracujemy na adresach prywatnych (RFC 1918), a wyjście na świat realizujemy przez NAT (Network Address Translation). Przemyślany schemat IP to mniej problemów z konfliktami adresów i łatwiejszy troubleshooting (np. od razu wiesz, z którego działu dzwoni użytkownik, patrząc na jego adres IP).

Routing dynamiczny sprawia, że sieć „żyje" i sama znajduje ścieżki. Protokoły IGP (np. OSPF, EIGRP) działają wewnątrz Twojej firmy. OSPF to otwarty standard, świetnie radzi sobie z dużymi strukturami. EIGRP to autorskie rozwiązanie Cisco, słynące z szybkości zbieżności (convergence). BGP (Border Gateway Protocol) to „protokół Internetu" — zarządza wymianą danych między różnymi instytucjami i systemami autonomicznymi (AS). Wybór zależy od skali: w małej firmie wystarczy routing statyczny lub lekki OSPF, w globalnej korporacji BGP i zaawansowana inżynieria ruchu. Kluczowym parametrem jest czas zbieżności — jak szybko sieć naprawi się sama po awarii łącza.

Architekt musi projektować sieć pod kątem bezpieczeństwa, tworząc strefy zaufania. Sieć LAN to nasz „dom", gdzie ufamy użytkownikom. Internet to dzicz, skąd płyną ataki. Strefa DMZ (Demilitarized Zone) to wydzielony „przedsionek" dla serwerów publicznych (WWW, poczta). Firewall pilnuje, aby ruch z Internetu mógł trafić TYLKO do DMZ, a nigdy bezpośrednio do bazy danych w LAN. Jeśli haker przejmie serwer WWW w DMZ, dzięki poprawnej architekturze wciąż nie ma klucza do reszty Twojej firmy. To koncepcja „Defense in Depth" (obrona głęboka) — błąd w jednym miejscu nie może skutkować upadkiem całego systemu bezpieczeństwa.

Nowoczesne firmy nie trzymają wszystkiego u siebie (on-premises). Chmura (AWS, Azure) stała się częścią architektury sieciowej. Twoja sieć biurowa to teraz często „rura" do zasobów chmurowych. Połączenia realizujemy przez bezpieczne tunele IPsec VPN lub dedykowane łącza fizyczne (np. ExpressRoute). Architektura hybrydowa to wyzwanie: ruch musi być priorytetyzowany (QoS), aby praca w chmurze była tak płynna, jakby serwer stał obok biurka. Musimy też pamiętać o kosztach transferu (egress fees) i o tym, że w chmurze to My odpowiadamy za konfigurację wirtualnych routerów i firewalli (Shared Responsibility Model). Chmura zmienia miejsce, gdzie są dane, ale nie zwalnia z myślenia o architekturze połączeń.

Projektowanie i diagnostyka wymagają znajomości modeli odniesienia. 7-warstwowy model OSI to „mapa drogowa" dla inżyniera. Pozwala precyzyjnie nazwać problem: „mamy problem w warstwie 2" oznacza kłopoty ze switchami lub kablami; „warstwa 4" to błędy portów TCP/UDP lub firewalla. Model TCP/IP to z kolei obraz tego, jak faktycznie działają protokoły w Twoim systemie operacyjnym. Zrozumienie, na której warstwie pracuje dane urządzenie (L2 switch vs L3 router vs L7 Firewall), pozwala dobrać odpowiednie narzędzie do zadania. Inżynier biegły w modelach OSI/TCP-IP szybciej znajduje przyczyny awarii, nie szukając po omacku.

Nikt rozsądny nie testuje nowej architektury bezpośrednio „na produkcji". Do tego służą symulatory i emulatory. W ramach tego kursu naszym głównym narzędziem będzie Cisco Packet Tracer — idealny do nauki podstaw i testowania topologii kampusowych. Bardziej zaawansowani inżynierowie używają GNS3 lub EVE-NG, gdzie uruchamia się prawdziwe systemy operacyjne Cisco IOS. Symulacja pozwala na bezpieczne błędy: możesz „spalić" sieć, źle konfigurując routing, i naprawić to jednym kliknięciem. Pozwala to sprawdzić, jak zachowa się redundancja w ekstremalnych warunkach bez ryzyka zatrzymania pracy firmy. Umiejętność „budowania wirtualnego" to kluczowa kompetencja na rynku pracy IT.

Inżynier to nie tylko technik, to doradca biznesowy. Dobierając architekturę, musimy zważyć:

• Wymagany Uptime: Czy sieć musi działać 24/7/365 (np. szpital) czy wystarczy 8/5 (biuro).
• Skalę i Budżet: Ile mamy pieniędzy na starcie, a ile na utrzymanie (OpEx vs CapEx).
• Specyfikę ruchu: Czy dominują pliki graficzne, bazy danych czy rozmowy głosowe i wideo.
• Przyszłościowość: Czy firma planuje podwoić liczbę pracowników w przyszłym roku.

Prostota jest często zaletą (KISS principle — Keep It Simple, Stupid), dopóki nie ogranicza bezpieczeństwa. Zawsze miej argumenty, dlaczego wybrałeś dany model — to podstawa profesjonalizmu.

Podczas wykładu 1 poznaliśmy architekturę sieci nie jako rysunki, lecz jako żywy organizm. Omówiliśmy fundamenty: model hierarchiczny (Access-Distribution-Core) zapewniający porządek i model rozproszony dający niezależność. Wiemy już, czym różni się Spine-Leaf w Data Center od Hub-and-Spoke w sieciach WAN. Zrozumieliśmy potęgę redundancji, SDN i rolę chmury hybrydowej. Najważniejszy wniosek: sieć to dobrze zaplanowany fundament — błędy na tym etapie będą boleć przez lata. Zapraszam do laboratoriów, gdzie w Packet Tracerze zbudujemy Waszą pierwszą małą hierarchię i sprawdzimy, czy „odporność na awarie" naprawdę działa w praktyce. Do zobaczenia na ćwiczeniach!