Zadania projektowe — Przełączanie i Routing w sieciach IP

W1 Działanie przełącznika, ramka Ethernet. W2 Technologia VLAN i standard 802.1Q.

Celem projektu jest zaprojektowanie i wdrożenie w programie Cisco Packet Tracer logicznej struktury sieci lokalnej dla firmy posiadającej trzy działy: IT, Księgowości i Kadr. Należy zapewnić izolację ruchu w warstwie 2 poprzez zastosowanie oddzielnych sieci VLAN dla każdego działu, co zwiększy bezpieczeństwo i usprawni zarządzanie ruchem sieciowym. Projekt ma również na celu umożliwienie kontrolowanego routingu między podsieciami przy użyciu jednego fizycznego łącza do routera (metoda Router-on-a-Stick), co jest ekonomicznie uzasadnione w małych i średnich przedsiębiorstwach. Student zdobędzie praktyczne umiejętności konfiguracji subinterfejsów routera z enkapsulacją 802.1Q oraz nauczy się weryfikować poprawność komunikacji między VLAN-ami za pomocą narzędzi diagnostycznych.

W przedsiębiorstwie funkcjonują trzy działy, które wymagają odrębnych segmentów sieciowych ze względu na różne poziomy bezpieczeństwa oraz odmienne potrzeby komunikacyjne. Dział IT, odpowiedzialny za zarządzanie infrastrukturą techniczną, potrzebuje pełnego dostępu do wszystkich zasobów sieciowych oraz możliwości zarządzania pozostałymi segmentami. Dział Księgowości wymaga izolowanego środowiska do przetwarzania wrażliwych danych finansowych, z ograniczonym dostępem z zewnątrz, lecz z możliwością komunikacji z działem Kadr w zakresie realizacji płac. Dział Kadr potrzebuje dostępu do Internetu oraz komunikacji z działem Księgowości w celu obsługi listy płac, ale nie powinien mieć dostępu do wewnętrznych zasobów technicznych działu IT. Sieć będzie zarządzana przez przełącznik warstwy 2 z funkcjami VLAN oraz router zapewniający routing między VLAN-ami metodą "Router-on-a-Stick", co pozwoli na oszczędność portów fizycznych i uproszczenie okablowania.

• Utworzenie trzech sieci VLAN (10, 20, 30) i przypisanie do nich odpowiednich portów dostępowych.
• Konfiguracja portu Trunk łączącego przełącznik z routerem.
• Podział fizycznego interfejsu routera na subinterfejsy z przypisaniem odpowiednich tagów 802.1Q i adresacji IP.
• Weryfikacja komunikacji za pomocą narzędzia Ping między hostami w różnych VLAN-ach.

Referat musi zawierać schemat logiczny sieci, tabelę adresacji IP dla podsieci, konfigurację CLI interfejsów wirtualnych oraz uzasadnienie wyboru metody Router-on-a-Stick w kontekście wydajności i kosztów.

1. Wprowadzenie do technologii VLAN i podziałów sieci lokalnych
2. Analiza wymagań sieciowych przedsiębiorstwa i projekt topologii logicznej
3. Konfiguracja VLAN na przełączniku Cisco (tworzenie, przypisywanie portów)
4. Konfiguracja łącza Trunk i protokołu 802.1Q
5. Konfiguracja subinterfejsów routera z enkapsulacją dot1q
6. Adresacja IP podsieci i konfiguracja bram domyślnych na stacjach roboczych
7. Weryfikacja komunikacji w obrębie tego samego VLAN (ping lokalny)
8. Weryfikacja routingu między VLAN-ami (ping z użyciem routera)
9. Analiza problemów i rozwiązania konfiguracyjne
10. Podsumowanie i wnioski z realizacji projektu

Podczas konfiguracji VLAN pamiętaj o prawidłowym ustawieniu trybu portów dostępowych (access mode) na przełączniku dla stacji końcowych oraz trybu Trunk dla portu łączącego przełącznik z routerem. Na routerze subinterfejs musi być skonfigurowany przed przypisaniem adresu IP, ponieważ enkapsulacja jest wymagana przed adresacją. Użyj polecenia encapsulation dot1q [numer_vlan] na każdym subinterfejsie. Domyślna sieć VLAN 1 nie powinna być używana dla sieci produkcyjnych ze względów bezpieczeństwa. Podczas weryfikacji używaj polecenia show vlan brief do sprawdzenia konfiguracji VLAN oraz show ip interface brief do weryfikacji interfejsów. Jeśli ping między VLAN-ami nie działa, sprawdź czy brama domyślna na stacji jest skonfigurowana poprawnie i czy adres IP subinterfejsu routera należy do właściwej podsieci.

! KONFIGURACJA PRZEŁĄCZNIKA
Switch#configure terminal
Switch(config)#vlan 10
Switch(config-vlan)#name IT
Switch(config-vlan)#exit
Switch(config)#vlan 20
Switch(config-vlan)#name KSIEGOWOSC
Switch(config-vlan)#exit
Switch(config)#vlan 30
Switch(config-vlan)#name KADRY
Switch(config-vlan)#exit

! PRZYPISANIE PORTÓW DO VLAN
Switch(config)#interface FastEthernet0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface FastEthernet0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#interface FastEthernet0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#exit

! KONFIGURACJA TRUNK DO ROUTERA
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 10,20,30
Switch(config-if)#exit

! WERYFIKACJA - WYŚWIETLENIE VLAN
Switch#show vlan brief
! =============================================
! KONFIGURACJA ROUTERA (ROUTER-ON-A-STICK)
! =============================================
Router#configure terminal
Router(config)#interface GigabitEthernet0/0.10
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface GigabitEthernet0/0.20
Router(config-subif)#encapsulation dot1q 20
Router(config-subif)#ip address 192.168.20.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface GigabitEthernet0/0.30
Router(config-subif)#encapsulation dot1q 30
Router(config-subif)#ip address 192.168.30.1 255.255.255.0
Router(config-subif)#exit

! WŁĄCZENIE INTERFEJSU FIZYCZNEGO
Router(config)#interface GigabitEthernet0/0
Router(config-if)#no shutdown
Router(config-if)#exit

! WERYFIKACJA - PODSUMOWANIE INTERFEJSÓW
Router#show ip interface brief
! WERYFIKACJA - PING MIĘDZY VLAN
PC-IT#ping 192.168.20.10
PC-IT#ping 192.168.30.10

W5 Problemy pętli L2 i burz broadcastowych. W6 Optymalizacja STP, PortFast i BPDU Guard.

Celem projektu jest zbudowanie odpornej na awarie infrastruktury sieciowej składającej się z wielu przełączników połączonych redundantnymi łączami fizycznymi w topologię pierścienia. Kluczowym elementem jest świadoma elekcja jednostki centralnej (Root Bridge) poprzez ręczną zmianę priorytetu STP, co pozwala na optymalizację ścieżek przesyłania danych i eliminację pętli logicznych mogących spowodować burzę broadcastową. Projekt ma na celu zademonstrowanie działania protokołu Spanning Tree Protocol (STP) w praktycznej konfiguracji, w tym analizę stanów portów oraz ról w procesie wyboru ścieżki. Student nauczy się również wdrażać optymalizacje STP, takie jak PortFast na portach dostępowych dla stacji końcowych, co przyspieszy ich przejście do stanu Forwarding.

W firmie działa kluczowy system informatyczny wymagający ciągłej dostępności. Aktualna infrastruktura sieciowa oparta na jednym przełączniku stanowi pojedynczy punkt awarii (Single Point of Failure). W celu zwiększenia niezawodności postanowiono wdrożyć redundantną strukturę z trzema przełącznikami połączonymi w topologię pierścienia, co zapewni alternatywną ścieżkę transmisji w przypadku awarii jednego łącza lub przełącznika. Topologia pierścienia wymaga zastosowania protokołu STP do zablokowania jednej z redundantnych ścieżek i zapobieżenia pętlom warstwy 2. Dwa przełączniki przeznaczone są do pełnienia roli przełączników dystrybucyjnych, trzeci pełni funkcję przełącznika dostępowego dla stacji roboczych. Ze względu na centralizację zarządzania, przełącznik w pomieszczeniu serwerowym zostanie skonfigurowany jako Root Bridge poprzez ustawienie najniższego priorytetu. Pozwoli to na optymalizację ścieżek od stacji roboczych do serwerów.

• Połączenie trzech przełączników w topologię pierścienia (redundancja fizyczna).
• Zmiana priorytetu STP (bridge priority) w celu wymuszenia wyboru konkretnego przełącznika na Root Bridge.
• Analiza stanów portów (Forwarding/Blocking) oraz ról portów (Root, Designated).
• Wdrożenie funkcji PortFast na portach dostępowych dla stacji końcowych.

Opis procesu negocjacji BPDU, zrzuty ekranu z komendy show spanning-tree oraz analiza korzyści płynących z redundancji łączy w warstwie 2.

1. Wprowadzenie do problematyki pętli w sieciach Ethernet i roli STP
2. Analiza topologii fizycznej i projekt sieci z redundantnymi połączeniami
3. Konfiguracja podstawowych parametrów STP na przełącznikach
4. Proces elekcji Root Bridge i konfiguracja priorytetu bridge priority
5. Analiza stanów portów (Disabled, Blocking, Listening, Learning, Forwarding)
6. Identyfikacja ról portów (Root Port, Designated Port, Alternate Port)
7. Konfiguracja PortFast na portach dostępowych dla stacji końcowych
8. Weryfikacja działania STP przy symulacji awarii łącza
9. Analiza wykorzystania poleceń diagnostycznych STP
10. Podsumowanie i wnioski z realizacji projektu

Przed rozpoczęciem konfiguracji STP upewnij się, że przełączniki mają unikalne adresy MAC, ponieważ są one wykorzystywane jako tie-breaker w procesie elekcji Root Bridge. Domyślny priorytet mostu (bridge priority) wynosi 32768 i można go zmienić poleceniem spanning-tree vlan [numer] priority [wartość] lub ustawić switch jako root primary poleceniem spanning-tree vlan [numer] root primary. Pamiętaj, że port przechodzi przez stany Listening i Learning (łącznie około 30 sekund), zanim wejdzie w stan Forwarding, co może opóźnić dostępność sieci dla stacji. Funkcja PortFast powinna być używana TYLKO na portach podłączonych do stacji końcowych, nigdy do przełączników lub routerów. Użyj polecenia show spanning-tree vlan [numer] do weryfikacji stanu STP. Jeśli obserwujesz niestabilne wybory Root Bridge, sprawdź czy priorytety są skonfigurowane poprawnie na wszystkich przełącznikach.

! =============================================
! KONFIGURACJA ROOT BRIDGE (SWITCH-1 - SERWEROWY)
! =============================================
Switch-1#configure terminal
Switch-1(config)#spanning-tree vlan 1 priority 4096
Switch-1(config)#spanning-tree vlan 1 root primary
Switch-1(config)#exit

! WERYFIKACJA - STATUS STP
Switch-1#show spanning-tree
! =============================================
! KONFIGURACJA SWITCH-2 (DYSTRYBUCYJNY)
! =============================================
Switch-2#configure terminal
Switch-2(config)#spanning-tree vlan 1 priority 8192
Switch-2(config)#exit

! KONFIGURACJA PORTFAST NA PORTACH DOSTĘPOWYCH
Switch-2(config)#interface FastEthernet0/1
Switch-2(config-if)#spanning-tree portfast
Switch-2(config-if)#exit
Switch-2(config)#interface FastEthernet0/2
Switch-2(config-if)#spanning-tree portfast
Switch-2(config-if)#exit

! WERYFIKACJA - SZCZEGÓŁY STP
Switch-2#show spanning-tree vlan 1
! =============================================
! KONFIGURACJA SWITCH-3 (DOSTĘPOWY)
! =============================================
Switch-3#configure terminal
Switch-3(config)#spanning-tree vlan 1 priority 32768
Switch-3(config)#exit

! KONFIGURACJA PORTFAST
Switch-3(config)#interface FastEthernet0/1
Switch-3(config-if)#spanning-tree portfast
Switch-3(config-if)#exit
Switch-3(config)#interface FastEthernet0/2
Switch-3(config-if)#spanning-tree portfast
Switch-3(config-if)#exit

! WERYFIKACJA - STAN PORTÓW
Switch-3#show spanning-tree interface FastEthernet0/1
! =============================================
! KONFIGURACJA ŁĄCZY MIĘDZY PRZEŁĄCZNIKAMI
! =============================================
! Switch-1 (Gig0/1) <-> Switch-2 (Gig0/1)
! Switch-2 (Gig0/2) <-> Switch-3 (Gig0/1)
! Switch-3 (Gig0/2) <-> Switch-1 (Gig0/2)
! UWAGA: Te łącza muszą być w trybie trunk
! =============================================
Switch-1(config)#interface GigabitEthernet0/1
Switch-1(config-if)#switchport mode trunk
Switch-1(config-if)#exit
Switch-1(config)#interface GigabitEthernet0/2
Switch-1(config-if)#switchport mode trunk
Switch-1(config-if)#exit

Switch-2(config)#interface GigabitEthernet0/1
Switch-2(config-if)#switchport mode trunk
Switch-2(config-if)#exit
Switch-2(config)#interface GigabitEthernet0/2
Switch-2(config-if)#switchport mode trunk
Switch-2(config-if)#exit

Switch-3(config)#interface GigabitEthernet0/1
Switch-3(config-if)#switchport mode trunk
Switch-3(config-if)#exit
Switch-3(config)#interface GigabitEthernet0/2
Switch-3(config-if)#switchport mode trunk
Switch-3(config-if)#exit

! WERYFIKACJA KOŃCOWA
Switch-1#show spanning-tree summary

W0 Budowa routera i tablica routingu. W3 Konfiguracja tras statycznych, Next-Hop i trasy domyślne.

Celem projektu jest zrealizowanie komunikacji między odległymi sieciami LAN firmy posiadającej dwa oddziały geograficznie oddalone od siebie za pomocą tras statycznych. Projekt musi zapewniać wysoką dostępność poprzez wykorzystanie zapasowej ścieżki (Floating Static Route), która aktywuje się automatycznie po awarii łącza głównego, co jest kluczowe dla krytycznych aplikacji biznesowych. Student zdobędzie umiejętności konfiguracji tras statycznych z różnymi typami next-hop (adres IP lub interfejs wyjściowy), zrozumie pojęcie dystansu administracyjnego (AD) oraz nauczy się analizować tablice routingu w celu weryfikacji poprawności działania routingu.

Firma posiada dwa oddziały: Centralę w dużym mieście oraz Oddział w odległej lokalizacji. Każdy oddział dysponuje własną siecią LAN i oba muszą komunikować się ze sobą oraz z siecią Internet (symulowaną przez zewnętrzny router dostępowy). Główna trasa komunikacji między oddziałami prowadzi przez łącze dzierżawione (tunel VPN lub Ethernetowe 1 Gbps), które jest droższe, ale bardziej niezawodne. Jako zapasowe łącze wykorzystywane jest łącze awaryjne (tańsze łącze 100 Mbps lub alternatywna ścieżka) aktywujące się automatycznie po awarii łącza głównego. Dodatkowo każdy router musi mieć skonfigurowaną trasę domyślną do Internetu dla ruchu zmierzającego poza wewnętrzne sieci przedsiębiorstwa. Konfiguracja tras statycznych jest wymagana na wszystkich routerach w obu lokalizacjach.

• Konfiguracja tras statycznych dla wszystkich podsieci zdalnych w topologii.
• Wdrożenie pływającej trasy statycznej z podwyższonym dystansem administracyjnym (np. AD=10).
• Ustanowienie "bramy ostatniej szansy" (default route) do symulowanego Internetu.
• Symulacja awarii łącza głównego i obserwacja zmian w tablicy routingu (komenda show ip route).

Szczegółowa analiza tablicy routingu przed i po awarii, wyjaśnienie pojęcia dystansu administracyjnego oraz opis algorytmu wyboru najlepszej trasy (Longest Prefix Match).

1. Wprowadzenie do routingu statycznego i jego zastosowań w sieciach korporacyjnych
2. Projekt topologii sieci z dwoma oddziałami i redundantnym dostępem do Internetu
3. Konfiguracja adresacji IP na routerach i hostach
4. Konfiguracja tras statycznych do sieci zdalnych z użyciem adresu next-hop
5. Konfiguracja trasy domyślnej (default route/gateway of last resort)
6. Konfiguracja pływającej trasy statycznej z podwyższonym dystansem administracyjnym
7. Analiza i weryfikacja tablicy routingu przed awarią
8. Symulacja awarii łącza głównego i obserwacja zmian w tablicy routingu
9. Analiza procesu powrotu do trasy głównej po jej naprawieniu
10. Podsumowanie i wnioski z realizacji projektu

Korzystaj z adresów IP next-hop zamiast interfejsów wyjściowych dla tras statycznych, ponieważ zapewnia to lepszą skalowalność i czytelność tablicy routingu. Trasa pływająca musi mieć wyższy dystans administracyjny (np. AD=10) niż trasa główna (domyślnie 1 dla tras connected i 90 dla EIGRP), aby była używana tylko w przypadku awarii. Użyj polecenia ip route [sieć] [maska] [next-hop] [dystans] do skonfigurowania trasy z niestandardowym AD. Sprawdzaj tablice routingu poleceniem show ip route - litera "S" oznacza trasę statyczną, a gwiazdka (*) wskazuje trasę domyślną. Algorytm Longest Prefix Match oznacza, że router wybiera trasę z najdłuższą zgodnością prefiksu adresu docelowego. Po awarii łącza sprawdź czy trasa alternatywna pojawiła się w tablicy routingu jako aktywna.

! =============================================
! KONFIGURACJA ROUTERA CENTRALA
! =============================================
Centrala#configure terminal
Centrala(config)#interface Serial0/0/0
Centrala(config-if)#ip address 192.168.0.1 255.255.255.252
Centrala(config-if)#no shutdown
Centrala(config-if)#exit
Centrala(config)#interface Serial0/0/1
Centrala(config-if)#ip address 192.168.0.5 255.255.255.252
Centrala(config-if)#no shutdown
Centrala(config-if)#exit
Centrala(config)#interface GigabitEthernet0/0
Centrala(config-if)#ip address 192.168.10.1 255.255.255.0
Centrala(config-if)#no shutdown
Centrala(config-if)#exit

! TRASY STATYCZNE - ŚCIEŻKA GŁÓWNA
Centrala(config)#ip route 192.168.20.0 255.255.255.0 192.168.0.2
! TRASA PŁYWAJĄCA - Zapasowa (wyższy AD)
Centrala(config)#ip route 192.168.20.0 255.255.255.0 192.168.0.6 10
! TRASA DOMYŚLNA DO INTERNETU
Centrala(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.1
Centrala(config)#exit

! WERYFIKACJA - TABLICA ROUTINGU
Centrala#show ip route
! =============================================
! KONFIGURACJA ROUTERA ODDZIAŁ
! =============================================
Oddzial#configure terminal
Oddzial(config)#interface Serial0/0/0
Oddzial(config-if)#ip address 192.168.0.2 255.255.255.252
Oddzial(config-if)#no shutdown
Oddzial(config-if)#exit
Oddzial(config)#interface Serial0/0/1
Oddzial(config-if)#ip address 192.168.0.6 255.255.255.252
Oddzial(config-if)#no shutdown
Oddzial(config-if)#exit
Oddzial(config)#interface GigabitEthernet0/0
Oddzial(config-if)#ip address 192.168.20.1 255.255.255.0
Oddzial(config-if)#no shutdown
Oddzial(config-if)#exit

! TRASA DO SIECI CENTRALI (GŁÓWNA)
Oddzial(config)#ip route 192.168.10.0 255.255.255.0 192.168.0.1
! TRASA PŁYWAJĄCA (ZAPASOWA)
Oddzial(config)#ip route 192.168.10.0 255.255.255.0 192.168.0.5 10
! TRASA DOMYŚLNA
Oddzial(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1
Oddzial(config)#exit

! WERYFIKACJA
Oddzial#show ip route
! =============================================
! SYMULACJA AWARII ŁĄCZA (TEST)
! =============================================
! 1. Wyłącz łącze główne na centrali:
Centrala#configure terminal
Centrala(config)#interface Serial0/0/0
Centrala(config-if)#shutdown
! 2. Sprawdź tablicę routingu - trasa zapasowa aktywna
Centrala#show ip route
! 3. Przywróć łącze
Centrala(config)#interface Serial0/0/0
Centrala(config-if)#no shutdown

W3 Protokoły stanu łącza. W4 Algorytm SPF, proces sąsiedztwa i pakiety Hello.

Celem projektu jest wdrożenie protokołu routingu dynamicznego OSPF (Open Shortest Path First) w ramach jednego obszaru (Backbone Area 0) w sieci korporacyjnej składającej się z co najmniej trzech routerów. Projekt ma na celu automatyzację procesu budowania tablic routingu oraz zapewnienie szybkiej zbieżności sieci po zmianach topologii. Student zdobędzie praktyczne umiejętności konfiguracji procesu OSPF, zrozumie mechanizm działania protokołu stanu łącza (Link-State), nauczy się weryfikować nawiązywanie sąsiedztwa oraz analizować bazę danych stanu łącza (LSDB).

W nowoczesnym biurowcu wdrażana jest sieć komputerowa z trzema routerami połączonymi w topologię trójkąta (z redundancją). Sieć obejmuje trzy segmenty LAN obsługujące różne działy przedsiębiorstwa oraz łącza międzyrouterowe zapewniające komunikację między segmentami. Ze względu na umiarkowaną wielkość sieci zdecydowano się użyć jednego obszaru OSPF (Area 0), co upraszcza konfigurację i zarządzanie. Każdy router musi mieć skonfigurowany unikalny identyfikator Router-ID (RID) oraz aktywne interfejsy w procesie OSPF. Projekt wymaga optymalizacji ścieżek poprzez dostosowanie kosztów łączy (cost), szczególnie gdy łącza mają różne przepustowości. Weryfikacja obejmuje sprawdzenie sąsiedztwa, stanów LSDB oraz poprawności tras w tablicy routingu.

• Uruchomienie procesu OSPF na co najmniej 3 routerach.
• Ręczna konfiguracja unikalnych identyfikatorów Router-ID (RID).
• Weryfikacja stanów sąsiedztwa (komenda show ip ospf neighbor).
• Dostosowanie kosztu łączy (bandwidth/cost) w celu optymalizacji ścieżek przesyłania.

Opis procesu nawiązywania relacji (Down -> Init -> 2-Way -> ... -> Full), analiza bazy danych stanu łącza (LSDB) oraz uzasadnienie użycia protokołu dynamicznego zamiast tras statycznych.

1. Wprowadzenie do protokołów routingu stanu łącza i protokołu OSPF
2. Projekt topologii sieci z trzema routerami w jednym obszarze
3. Konfiguracja adresacji IP na interfejsach routerów
4. Uruchomienie procesu OSPF i aktywacja sieci w obszarze 0
5. Konfiguracja unikalnych identyfikatorów Router-ID (RID)
6. Analiza procesu nawiązywania sąsiedztwa
7. Konfiguracja kosztów łączy i optymalizacja ścieżek w OSPF
8. Analiza bazy danych stanu łącza (LSDB) - polecenie show ip ospf database
9. Weryfikacja tablicy routingu i tras OSPF (kod O)
10. Podsumowanie i wnioski z realizacji projektu

Router-ID jest ustalany na podstawie najwyższego adresu IP interfejsu loopback (preferowane) lub najwyższego adresu IP interfejsu fizycznego. Dla lepszej kontroli skonfiguruj go ręcznie poleceniem router-id [adres_ip]. Sieci w OSPF aktywujesz poleceniem network [adres] [maska_wieloznaczna] area [numer]. Pamiętaj o użyciu poprawnej maski wieloznacznej (wildcard - odwróconej maski podsieci). Koszt łącza obliczasz jako 10^8 / przepustowość w bps, np. dla 100 Mbps koszt=1, dla 10 Mbps koszt=10. Możesz też zmienić Cost bezpośrednio poleceniem ip ospf cost [wartość] na interfejsie. Sąsiedztwo nawiązywane jest po wymianie pakietów Hello - sprawdzaj poleceniem show ip ospf neighbor. Trasy OSPF w tablicy routingu mają kod "O".

! =============================================
! KONFIGURACJA ROUTERA R1 (OSPF)
! =============================================
R1#configure terminal
R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
! SIECI W OBSZARZE 0
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0
R1(config-router)#network 10.0.0.0 0.0.0.3 area 0
R1(config-router)#network 10.0.0.4 0.0.0.3 area 0
R1(config-router)#exit

! KONFIGURACJA INTERFEJSÓW
R1(config)#interface GigabitEthernet0/0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Serial0/0/0
R1(config-if)#ip address 10.0.0.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Serial0/0/1
R1(config-if)#ip address 10.0.0.5 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit

! OPTYMALIZACJA KOSZTU (DLA S2B=1 Gbps)
R1(config)#interface Serial0/0/0
R1(config-if)#ip ospf cost 64
R1(config-if)#exit

! WERYFIKACJA - SĄSIEDZI OSPF
R1#show ip ospf neighbor
! WERYFIKACJA - LSDB
R1#show ip ospf database
! =============================================
! KONFIGURACJA ROUTERA R2
! =============================================
R2#configure terminal
R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#network 192.168.20.0 0.0.0.255 area 0
R2(config-router)#network 10.0.0.0 0.0.0.3 area 0
R2(config-router)#network 10.0.0.8 0.0.0.3 area 0
R2(config-router)#exit

! INTERFEJSY
R2(config)#interface GigabitEthernet0/0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface Serial0/0/0
R2(config-if)#ip address 10.0.0.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface Serial0/0/1
R2(config-if)#ip address 10.0.0.9 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

! WERYFIKACJA
R2#show ip ospf neighbor
! =============================================
! KONFIGURACJA ROUTERA R3
! =============================================
R3#configure terminal
R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#network 192.168.30.0 0.0.0.255 area 0
R3(config-router)#network 10.0.0.4 0.0.0.3 area 0
R3(config-router)#network 10.0.0.8 0.0.0.3 area 0
R3(config-router)#exit

! INTERFEJSY
R3(config)#interface GigabitEthernet0/0
R3(config-if)#ip address 192.168.30.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface Serial0/0/0
R3(config-if)#ip address 10.0.0.6 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface Serial0/0/1
R3(config-if)#ip address 10.0.0.10 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

! WERYFIKACJA KOŃCOWA
R3#show ip ospf neighbor
R3#show ip route

W4 Typy LSA (1, 2, 3), rola routera ABR i hierarchiczna budowa obszarów.

Celem projektu jest zaprojektowanie hierarchicznej architektury OSPF podzielonej na obszary, co jest kluczowe dla większych sieci korporacyjnych. Projekt ma na celu ograniczenie rozmiaru bazy danych LSDB wewnątrz obszarów nieszkieletowych (non-backbone areas) oraz optymalizację ruchu protokołowego poprzez sumaryzację tras na granicach obszarów wykonywaną przez router ABR (Area Border Router). Student zdobędzie umiejętności konfiguracji wielu obszarów OSPF, zrozumie różnice między typami LSA (Router LSA, Network LSA, Summary LSA) oraz nauczy się weryfikować trasy międzyobszarowe (Inter-Area routes).

Przedsiębiorstwo rozbudowuje swoją sieć obejmującą główne biuro (Centrala) z wieloma działami oraz oddziały terenowe w różnych lokalizacjach. Zdecydowano się na architekturę wieloobszarową: Area 0 (Backbone) obejmuje routery rdzenne w centrali, natomiast każdy oddział stanowi oddzielny obszar OSPF (np. Area 1, Area 2). Routery ABR łączą obszary peryferyjne z obszarem głównym, filtrując szczegółowe informacje o topologii i agregując trasy. Taka architektura zmniejsza obciążenie CPU routerów w obszarach peryferyjnych oraz ogranicza ruch protokołowy. W projekcie należy skonfigurować co najmniej dwa obszary i zademonstrować działanie sumaryzacji tras na routerze ABR.

• Podział sieci na Area 0 oraz Area 1.
• Konfiguracja routera ABR łączącego oba obszary.
• Weryfikacja obecności tras międzyobszarowych (Inter-Area) w tablicy routingu.
• Konfiguracja interfejsów pasywnych (passive-interface) na portach połączonych z sieciami LAN.

Schemat topologii z zaznaczonymi granicami obszarów, opis typów ogłoszeń LSA wymienianych między routerami oraz analiza korzyści płynących z wieloobszarowej architektury OSPF.

1. Wprowadzenie do architektury wieloobszarowej OSPF i roli routera ABR
2. Projekt topologii sieci z obszarem Backbone i obszarami peryferyjnymi
3. Konfiguracja obszaru Backbone Area 0
4. Konfiguracja obszarów peryferyjnych (Area 1, Area 2)
5. Konfiguracja routera ABR łączącego obszary
6. Analiza typów LSA w multi-area (Type 1, 2, 3)
7. Konfiguracja interfejsów pasywnych (passive-interface)
8. Sumaryzacja tras na granicy obszarów
9. Weryfikacja tras międzyobszarowych (kod O IA)
10. Podsumowanie i wnioski z realizacji projektu

Pamiętaj, że wszystkie obszary muszą być bezpośrednio lub pośrednio połączone z Area 0. Konfiguruj sieci w odpowiednich obszarach używając polecenia network [adres] [wildcard] area [numer]. Router ABR musi mieć aktywne interfejsy w obu obszarach. Na interfejsach LAN z samymi hostami użyj passive-interface, aby router nie próbował nawiązywać sąsiedztwa. Trasy międzyobszarowe w tablicy routingu mają kod "O IA", co odróżnia je od tras wewnątrzobszarowych (kod "O"). Sprawdzaj LSDB każdego obszaru poleceniem show ip ospf database [router|summary|network] dla konkretnego typu LSA. Sumaryzacja domyślnie nie jest aktywna - skonfiguruj ją poleceniem area [numer] range [adres_sumaryczny] [maska] na ABR.

! =============================================
! KONFIGURACJA ROUTERA ABR (R1) - AREA 0 I AREA 1
! =============================================
R1-ABR#configure terminal
R1-ABR(config)#router ospf 1
R1-ABR(config-router)#router-id 1.1.1.1
! OBSZAR 0 - BACKBONE
R1-ABR(config-router)#network 10.0.0.0 0.0.0.3 area 0
R1-ABR(config-router)#network 10.0.0.4 0.0.0.3 area 0
! OBSZAR 1 - PERYFERYJNY
R1-ABR(config-router)#network 192.168.10.0 0.0.0.255 area 1
! SUMARYZACJA TRAS NA GRANICY OBSZARÓW
R1-ABR(config-router)#area 1 range 192.168.10.0 255.255.255.0
R1-ABR(config-router)#exit

! INTERFEJSY
R1-ABR(config)#interface GigabitEthernet0/0
R1-ABR(config-if)#ip address 192.168.10.1 255.255.255.0
R1-ABR(config-if)#ip ospf passive
R1-ABR(config-if)#no shutdown
R1-ABR(config-if)#exit
R1-ABR(config)#interface Serial0/0/0
R1-ABR(config-if)#ip address 10.0.0.1 255.255.255.252
R1-ABR(config-if)#no shutdown
R1-ABR(config-if)#exit
R1-ABR(config)#interface Serial0/0/1
R1-ABR(config-if)#ip address 10.0.0.5 255.255.255.252
R1-ABR(config-if)#no shutdown
R1-ABR(config-if)#exit

! WERYFIKACJA - LSDB AREA 0
R1-ABR#show ip ospf database area 0
! WERYFIKACJA - LSDB AREA 1
R1-ABR#show ip ospf database area 1
! =============================================
! KONFIGURACJA ROUTERA W OBSZARZE 1 (R2)
! =============================================
R2#configure terminal
R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#network 192.168.20.0 0.0.0.255 area 1
R2(config-router)#network 10.0.0.8 0.0.0.3 area 1
R2(config-router)#exit

! INTERFEJS LAN - PASSIVE
R2(config)#interface GigabitEthernet0/0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#ip ospf passive
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface Serial0/0/0
R2(config-if)#ip address 10.0.0.9 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

! WERYFIKACJA - TRASY MIĘDZYOBSZAROWE (O IA)
R2#show ip route
! =============================================
! KONFIGURACJA ROUTERA BACKBONE (R3)
! =============================================
R3#configure terminal
R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#network 10.0.0.4 0.0.0.3 area 0
R3(config-router)#network 10.0.0.8 0.0.0.3 area 0
R3(config-router)#network 192.168.30.0 0.0.0.255 area 0
R3(config-router)#exit

! INTERFEJSY
R3(config)#interface GigabitEthernet0/0
R3(config-if)#ip address 192.168.30.1 255.255.255.0
R3(config-if)#ip ospf passive
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface Serial0/0/0
R3(config-if)#ip address 10.0.0.6 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface Serial0/0/1
R3(config-if)#ip address 10.0.0.10 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

! WERYFIKACJA - TABLICA ROUTINGU
R3#show ip route

W4 Cechy EIGRP i algorytm DUAL. W5 Metryka złożona (K-values) i sumaryzacja tras.

Celem projektu jest wdrożenie protokołu EIGRP (Enhanced Interior Gateway Routing Protocol), własnościowego firmy Cisco (proprietary) hybrydowego protokołu routingu, w sieci korporacyjnej opartej na routerach Cisco. Projekt skupia się na wykorzystaniu unikalnych cech EIGRP, takich jak bardzo szybka konwergencja dzięki algorytmowi DUAL (Diffusing Update Algorithm) oraz mechanizmowi Feasible Successors. Student zdobędzie umiejętności konfiguracji EIGRP z użyciem numeru AS, zrozumie działanie metryki złożonej opartej na wartościach K (bandwidth, delay, reliability, load) oraz nauczy się wdrażać nierównomierne rozłożenie obciążenia (Unequal Cost Load Balancing).

Sieć korporacyjna firmy obejmuje trzy routery połączone redundantnymi łączami o różnych przepustowościach. Główne łącze to gigabitowy Ethernet łączący oddziały, podczas gdy zapasowe łącze to wolniejsze łącze 100 Mbps. Ze względu na różne przepustowości łączy, zdecydowano się wykorzystać funkcję Unequal Cost Load Balancing w EIGRP, która pozwala na rozkładanie ruchu proporcjonalnie do jakości (metric) trasy. Projekt wymaga konfiguracji EIGRP z wyłączoną automatyczną sumaryzacją (no auto-summary), ręczną konfiguracją uwierzytelniania MD5 oraz analizą tabel topologii w poszukiwaniu następców (Successor) i następców dopuszczalnych (Feasible Successor).

• Konfiguracja EIGRP z użyciem wspólnego numeru Systemu Autonomicznego (AS).
• Ręczne wyłączenie automatycznej sumaryzacji tras (no auto-summary).
• Weryfikacja tablicy topologii i identyfikacja tras następcy (Successor) oraz następców dopuszczalnych (Feasible Successor).
• Konfiguracja metryki z użyciem wartości K (opcjonalnie - uwierzytelnianie MD5 dla wymiany komunikatów routingu).

Wyjaśnienie wzoru na metrykę EIGRP (przepustowość i opóźnienie), tabela FD (Feasible Distance) oraz RD (Reported Distance) dla wybranych tras oraz opis działania algorytmu DUAL.

1. Wprowadzenie do protokołu EIGRP i algorytmu DUAL
2. Projekt topologii sieci z redundantnymi połączeniami o różnych przepustowościach
3. Konfiguracja adresacji IP i uruchomienie procesu EIGRP
4. Wyłączenie automatycznej sumaryzacji tras (no auto-summary)
5. Analiza tabeli topologii EIGRP - identyfikacja Successor i Feasible Successor
6. Konfiguracja metryki EIGRP - wartości K i ich wpływ na wybór trasy
7. Konfiguracja Unequal Cost Load Balancing (variance)
8. Implementacja uwierzytelniania MD5 dla EIGRP
9. Weryfikacja tras w tablicy routingu (kod D)
10. Podsumowanie i wnioski z realizacji projektu

Numer AS musi być identyczny na wszystkich routerach dla nawiązania sąsiedztwa EIGRP. Domyślna metryka EIGRP wykorzystuje bandwidth i delay (K1=1, K3=1, pozostałe K=0). Feasible Successor to trasa, której Reported Distance (RD) jest mniejsza niż Feasible Distance (FD) aktualnej trasy. Użyj polecenia show ip eigrp topology do analizy tabeli topologii. Unequal Cost Load Balancing konfigurujesz poleceniem variance [mnożnik], gdzie mnożnik określa ile razy metryka Feasible Successor może być gorsza od FD. Uwierzytelnianie MD5 wymaga identycznego klucza na wszystkich routerach. Sprawdzaj poleceniem show ip eigrp neighbors - litera "K" oznacza sąsiedztwo z uwierzytelnianiem.

! =============================================
! KONFIGURACJA ROUTERA R1 (EIGRP AS 100)
! =============================================
R1#configure terminal
R1(config)#router eigrp 100
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.10.0 0.0.0.255
R1(config-router)#network 10.0.0.0 0.0.0.3
R1(config-router)#network 10.0.0.4 0.0.0.3
R1(config-router)#exit

! INTERFEJSY
R1(config)#interface GigabitEthernet0/0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Serial0/0/0
R1(config-if)#ip address 10.0.0.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Serial0/0/1
R1(config-if)#ip address 10.0.0.5 255.255.255.252
R1(config-if)#bandwidth 100000
R1(config-if)#no shutdown
R1(config-if)#exit

! WERYFIKACJA - SĄSIEDZI EIGRP
R1#show ip eigrp neighbors
! WERYFIKACJA - TOPOLOGIA
R1#show ip eigrp topology
! =============================================
! KONFIGURACJA R2 (EIGRP)
! =============================================
R2#configure terminal
R2(config)#router eigrp 100
R2(config-router)#no auto-summary
R2(config-router)#network 192.168.20.0 0.0.0.255
R2(config-router)#network 10.0.0.0 0.0.0.3
R2(config-router)#network 10.0.0.8 0.0.0.3
R2(config-router)#exit

! INTERFEJSY
R2(config)#interface GigabitEthernet0/0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface Serial0/0/0
R2(config-if)#ip address 10.0.0.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface Serial0/0/1
R2(config-if)#ip address 10.0.0.9 255.255.255.252
R2(config-if)#bandwidth 10000
R2(config-if)#no shutdown
R2(config-if)#exit

! UNEQUAL COST LOAD BALANCING
R2(config)#router eigrp 100
R2(config-router)#variance 2
R2(config-router)#exit

! WERYFIKACJA - TOPOLOGIA EIGRP
R2#show ip eigrp topology
! =============================================
! KONFIGURACJA R3 (EIGRP)
! =============================================
R3#configure terminal
R3(config)#router eigrp 100
R3(config-router)#no auto-summary
R3(config-router)#network 192.168.30.0 0.0.0.255
R3(config-router)#network 10.0.0.4 0.0.0.3
R3(config-router)#network 10.0.0.8 0.0.0.3
R3(config-router)#exit

! INTERFEJSY
R3(config)#interface GigabitEthernet0/0
R3(config-if)#ip address 192.168.30.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface Serial0/0/0
R3(config-if)#ip address 10.0.0.6 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface Serial0/0/1
R3(config-if)#ip address 10.0.0.10 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

! WERYFIKACJA - TABLICA ROUTINGU
R3#show ip route

W6 Składnia list ACL, filtrowanie portów TCP/UDP i najlepsze praktyki lokalizacji filtrów.

Celem projektu jest wzmocnienie bezpieczeństwa sieci poprzez implementację list kontroli dostępu (ACL - Access Control Lists) do kontroli przepływu pakietów. Projekt polega na precyzyjnym definiowaniu polityk dostępu do zasobów serwerowych w oparciu o adresy źródłowe, docelowe oraz konkretne numery portów usług (TCP/UDP). Student zdobędzie umiejętności tworzenia zarówno list standardowych (filtry oparte na adresie źródłowym), jak i rozszerzonych (filtry oparte na adresach źródłowych, docelowych i portach), nauczy się prawidłowo lokalizować filtry oraz analizować statystyki dopasowań reguł.

Przedsiębiorstwo posiada serwerownię z serwerami: serwerem WWW z dostępem publicznym, serwerem baz danych dostępnym tylko z wewnętrznej sieci LAN oraz serwerem administracyjnym z dostępem ograniczonym do stacji zarządzających. Dodatkowo wdrażana jest strefa DMZ dla serwera WWW. Zadaniem jest skonfigurowanie list ACL zapewniających: (1) blokadę nieautoryzowanego dostępu z zewnątrz do wewnętrznych sieci LAN, (2) dostęp HTTP/HTTPS i DNS do serwera WWW z dowolnego miejsca w Internecie, (3) dostęp do serwera baz danych tylko z sieci LAN działu Księgowości, (4) blokadę Telnet/SSH do serwera administracyjnego od strony LAN. Stosowane będą zarówno listy standardowe (numeryczne) jak i rozszerzone (nazwane lub numeryczne z zakresu 100-199).

• Utworzenie standardowej listy ACL do blokowania wybranego hosta przed dostępem do segmentu administracyjnego.
• Wdrożenie rozszerzonej listy ACL pozwalającej tylko na ruch HTTP/HTTPS i DNS do serwera w sieci DMZ.
• Poprawna aplikacja list na interfejsach routera (Inbound/Outbound).
• Weryfikacja działania przy użyciu statystyk list ACL (komenda show access-lists).

Zestawienie reguł filtrowania w postaci tabeli, uzasadnienie miejsca umieszczenia list w topologii (blisko źródła/celu) oraz opis zasady domyślnego odrzucenia (Implicit Deny Any).

1. Wprowadzenie do list kontroli dostępu (ACL) i ich zastosowań w sieciach
2. Analiza wymagań bezpieczeństwa i projekt polityk dostępu
3. Konfiguracja standardowej ACL do blokowania hosta
4. Konfiguracja rozszerzonej ACL dla serwera WWW w DMZ
5. Konfiguracja ACL dla serwera baz danych
6. Aplikacja list ACL na interfejsach routera (inbound/outbound)
7. Weryfikacja statystyk ACL - polecenie show access-lists
8. Testowanie reguł z różnych lokalizacji
9. Analiza problemów i rozwiązania konfiguracyjne
10. Podsumowanie i wnioski z realizacji projektu

Standardowe ACL (1-99) filtrują tylko na podstawie adresu źródłowego i powinny być umieszczane jak najbliżej źródła. Rozszerzone ACL (100-199, 2000-2699) filtrują na podstawie źródła, celu, protokołu i portu - umieszczaj je bliżej źródła, ale pozwól na przejście innym przydatnym ruchom. Pamiętaj o zasadzie "Implicit Deny Any" na końcu każdej listy - jeśli nie zdefiniujesz reguły permit dla całego ruchu, cały ruch będzie zablokowany. Zawsze dodawaj na końcu listy regułę zezwalającą na cały ruch lub inny ważny ruch, który ma przechodzić. Używaj trybu ip access-list [standard|extended] [numer] dla czytelniejszej konfiguracji. Sprawdzaj poleceniem show ip interfaces, czy ACL jest aktywna na interfejsie.

! =============================================
! KONFIGURACJA STANDARDOWEJ ACL (BLOKADA ADMIN)
! =============================================
Router#configure terminal
Router(config)#ip access-list standard BLOKADA-ADM
Router(config-std-nacl)#permit 192.168.10.100 0.0.0.0
Router(config-std-nacl)#deny any log
Router(config-std-nacl)#exit

! APLIKACJA NA INTERFEJS WYJŚCIOWY
Router(config)#interface GigabitEthernet0/1
Router(config-if)#ip access-group BLOKADA-ADM out
Router(config-if)#exit

! =============================================
! KONFIGURACJA ROZSZERZONEJ ACL (DMZ HTTP)
! =============================================
Router(config)#ip access-list extended DMZ-WWW
Router(config-ext-nacl)#permit tcp any host 192.168.50.10 eq 80
Router(config-ext-nacl)#permit tcp any host 192.168.50.10 eq 443
Router(config-ext-nacl)#permit udp any host 192.168.50.10 eq 53
Router(config-ext-nacl)#permit icmp any host 192.168.50.10
Router(config-ext-nacl)#exit

! APLIKACJA NA INTERFEJS WEJŚCIOWY (WAN)
Router(config)#interface Serial0/0/0
Router(config-if)#ip access-group DMZ-WWW in
Router(config-if)#exit

! =============================================
! KONFIGURACJA ACL (Baza danych KSIĘGOWOŚĆ)
! =============================================
Router(config)#ip access-list extended BAZA-DANYCH
Router(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.255 host 192.168.60.10 eq 1433
Router(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.255 host 192.168.60.10 eq 3306
Router(config-ext-nacl)#deny ip any host 192.168.60.10 log
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit

! APLIKACJA NA INTERFEJS LAN
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip access-group BAZA-DANYCH in
Router(config-if)#exit

! WERYFIKACJA - LISTY ACL
Router#show access-lists
! WERYFIKACJA - NA INTERFEJSACH
Router#show ip interfaces

W6 Agregacja łącz EtherChannel, protokoły LACP i PAgP, load balancing w warstwie 2.

Celem projektu jest zwiększenie dostępnej przepustowości oraz zapewnienie redundancji magistral między przełącznikami szkieletowymi (core switches) w warstwie 2. Zadaniem jest zgrupowanie wielu fizycznych połączeń Ethernet w jeden interfejs logiczny (Port-Channel) przy użyciu standardu LACP (Link Aggregation Control Protocol). Student zdobędzie umiejętności konfiguracji agregacji łączy, zrozumie różnice między protokołami LACP i PAgP oraz nauczy się weryfikować stan grupy EtherChannel i Load Balancing w warstwie 2.

W centrum danych przedsiębiorstwa zainstalowano dwa przełączniki szkieletowe (Core-1 i Core-2) wymagające nadmiarowego połączenia o wysokiej przepustowości. Aktualne połączenie Ethernetowe 1 Gbps stanowi wąskie gardło dla ruchu do serwerów. W celu zwiększenia przepustowości postanowiono połączyć przełączniki czterema kablami Ethernetowymi 1 Gbps i zagregować je w Port-Channel. Agregacja zapewni przepustowość do 4 Gbps (suma łączy) oraz redundancję - awaria jednego lub dwóch kabli nie spowoduje przerwy w komunikacji. Projekt wymaga konfiguracji LACP w trybie Active (inicjowanie negocjacji) na obu przełącznikach oraz konfiguracji trybu Trunk na interfejsie Port-Channel dla obsługi wielu VLAN-ów.

• Fizyczne połączenie dwóch przełączników za pomocą co najmniej dwóch kabli.
• Konfiguracja grupy EtherChannel w trybie LACP Active.
• Ustawienie interfejsu Port-Channel w trybie Trunk.
• Weryfikacja stanu łączy składowych i poprawnej agregacji (komenda show etherchannel summary).

Opis korzyści płynących z agregacji łączy, analiza zachowania sieci po odłączeniu jednego z kabli fizycznych wewnątrz grupy oraz wyjaśnienie procesu równoważenia obciążenia (Load Balancing).

1. Wprowadzenie do agregacji łączy i protokołu LACP
2. Projekt topologii sieci z dwoma przełącznikami szkieletowymi
3. Konfiguracja fizycznych połączeń między przełącznikami
4. Konfiguracja grupy EtherChannel - LACP Active/Passive
5. Konfiguracja interfejsu Port-Channel w trybie Trunk
6. Weryfikacja stanu EtherChannel - polecenie show etherchannel summary
7. Analiza zachowania sieci po odłączeniu kabla
8. Konfiguracja Load Balancing w warstwie 2
9. Analiza problemów i rozwiązania konfiguracyjne
10. Podsumowanie i wnioski z realizacji projektu

Użyj polecenia channel-group [numer] mode active dla LACP (preferowane) lub channel-group [numer] mode desirable dla PAgP. LACP Active inicjuje negocjację, LACP Passive tylko odpowiada - do działania potrzebny tryb Active na przynajmniej jednym końcu. Przed konfiguracją channel-group upewnij się, że interfejsy nie mają ustawień wpływających na agregację (np. niektóre funkcje bezpieczeństwa). Port-Channel dziedziczy ustawienia z pierwszego interfejsu fizycznego dodanego do grupy. Podczas usuwania interfejsu z grupy użyj najpierw no channel-group, nie wyjmuj kabla fizycznie. Użyj polecenia show etherchannel port-channel do weryfikacji stanu portu w kanale.

! =============================================
! KONFIGURACJA CORE-1 (LACP ACTIVE)
! =============================================
Core-1#configure terminal
! INTERFEJSY DO ETHERCHANNEL
Core-1(config)#interface range GigabitEthernet0/1 - 2
Core-1(config-if-range)#switchport
Core-1(config-if-range)#switchport mode trunk
Core-1(config-if-range)#channel-group 1 mode active
Core-1(config-if-range)#exit

! WERYFIKACJA - PODSUMOWANIE ETHERCHANNEL
Core-1#show etherchannel summary
! WERYFIKACJA - PORT-CHANNEL
Core-1#show etherchannel port-channel
! =============================================
! KONFIGURACJA CORE-2 (LACP ACTIVE)
! =============================================
Core-2#configure terminal
! INTERFEJSY DO ETHERCHANNEL
Core-2(config)#interface range GigabitEthernet0/1 - 2
Core-2(config-if-range)#switchport
Core-2(config-if-range)#switchport mode trunk
Core-2(config-if-range)#channel-group 1 mode active
Core-2(config-if-range)#exit

! WERYFIKACJA - SĄSIEDZI LACP
Core-2#show lacp neighbors
! =============================================
! KONFIGURACJA TRUNK NA PORT-CHANNEL
! =============================================
Core-1(config)#interface Port-channel1
Core-1(config-if)#switchport trunk allowed vlan 10,20,30
Core-1(config-if)#switchport trunk native vlan 1
Core-1(config-if)#exit

Core-2(config)#interface Port-channel1
Core-2(config-if)#switchport trunk allowed vlan 10,20,30
Core-2(config-if)#switchport trunk native vlan 1
Core-2(config-if)#exit

! KONFIGURACJA VLAN NA PRZEŁĄCZNIKACH
Core-1(config)#vlan 10
Core-1(config-vlan)#name SERWERY
Core-1(config-vlan)#exit
Core-1(config)#vlan 20
Core-1(config-vlan)#name UZYTKOWNICY
Core-1(config-vlan)#exit

! TEST AWARII - WYŁĄCZENIE JEDNEGO KABLA
Core-1#configure terminal
Core-1(config)#interface GigabitEthernet0/1
Core-1(config-if)#shutdown
! SPRAWDŹ CZY ETHERCHANNEL DZIAŁA
Core-1#show etherchannel summary
! PRZYWRÓĆ KABEL
Core-1(config-if)#no shutdown

W6 Protokoły redundancji pierwszej bramy (FHRP), wirtualny adres IP i rola routera Active/Standby.

Celem projektu jest zapewnienie ciągłości routingu dla hostów w sieci LAN w przypadku awarii fizycznego routera pełniącego rolę bramy domyślnej. Projekt wykorzystuje protokół HSRP (Hot Standby Router Protocol) do stworzenia wirtualnej bramy o wysokiej dostępności dla stacji roboczych. Student zdobędzie umiejętności konfiguracji grupy HSRP z priorytetami i funkcją Preempt, zrozumie stany automatu skończonego HSRP oraz nauczy się weryfikować działanie redundantnej bramy w przypadku awarii routera Active.

W biurowcu przedsiębiorstwa stacje robocze używają routera R1 jako bramy domyślnej. Awaria routera spowodowałaby przerwę w dostępie do sieci i Internetu dla wszystkich użytkowników. W celu zapewnienia ciągłości usług postanowiono zainstalować drugi router R2 pełniący rolę zapasowej bramy. Oba routery zostaną skonfigurowane w grupie HSRP z wirtualnym adresem IP (VIP), który jest używany przez stacje jako brama domyślna. Router R1 otrzyma wyższy priorytet (np. 110) i będzie pełnił rolę Active, natomiast R2 będzie w stanie Standby. Jeśli R1 ulegnie awarii, R2 automatycznie przejmie rolę Active i będzie obsługiwać ruch. Funkcja Preempt zapewni powrót do R1 po jego naprawie.

• Zastosowanie dwóch routerów połączonych wspólnym segmentem LAN.
• Konfiguracja grupy HSRP z wirtualnym adresem IP (VIP).
• Ręczne ustawienie priorytetów w celu zdefiniowania routera głównego (Active).
• Włączenie funkcji Preempt umożliwiającej powrót do roli aktywnej po odzyskaniu sprawności przez jednostkę główną.

Opis stanów automatu skończonego HSRP (Speak, Standby, Active), analiza procesu przełączania ruchu po awarii oraz zrzuty ekranu potwierdzające statusy routerów w grupie.

1. Wprowadzenie do protokołów FHRP i roli HSRP w zapewnieniu wysokiej dostępności
2. Projekt topologii sieci z dwoma routerami pracującymi w redundancji
3. Konfiguracja HSRP z wirtualnym adresem IP (VIP)
4. Konfiguracja priorytetów routerów (priority)
5. Włączenie funkcji Preempt dla automatycznego powrotu
6. Konfiguracja parametrów czasowych HSRP (hello i hold timers)
7. Śledzenie interfejsów (tracking) dla dynamicznego obniżania priorytetu
8. Weryfikacja stanów HSRP - polecenie show standby
9. Symulacja awarii routera Active i obserwacja przejęcia
10. Podsumowanie i wnioski z realizacji projektu

HSRP używa wirtualnego adresu MAC w formacie 0000.0c07.acXX (XX to numer grupy). Konfiguruj IP bramy domyślnej na stacjach jako adres VIP (nie fizyczny adres routera). Domyślny priorytet to 100, wyższy priorytet oznacza preferowanego Active. Preempt powoduje, że router z wyższym priorytetem przejmuje rolę Active - jeśli wyłączone, nowy Active pozostaje Active nawet po naprawie poprzedniego. Użyj polecenia standby [grup] priority [wartość] do ustawienia priorytetu i standby [grup] preempt do włączenia przejęcia. Tracking obniża priorytet o 10 (domyślnie) gdy śledzony interfejs padnie - użyj do dynamicznej reakcji. Sprawdzaj stan poleceniem show standby brief - "P" oznacza Preempt, "a" to Active.

! =============================================
! KONFIGURACJA R1 (ACTIVE ROUTER)
! =============================================
R1#configure terminal
R1(config)#interface GigabitEthernet0/0
R1(config-if)#ip address 192.168.10.2 255.255.255.0
R1(config-if)#standby 1 ip 192.168.10.1
R1(config-if)#standby 1 priority 110
R1(config-if)#standby 1 preempt delay minimum 10
R1(config-if)#standby 1 track Serial0/0/0
R1(config-if)#no shutdown
R1(config-if)#exit

! WYŚWIETLANIE STANU HSRP
R1#show standby brief
! =============================================
! KONFIGURACJA R2 (STANDBY ROUTER)
! =============================================
R2#configure terminal
R2(config)#interface GigabitEthernet0/0
R2(config-if)#ip address 192.168.10.3 255.255.255.0
R2(config-if)#standby 1 ip 192.168.10.1
R2(config-if)#standby 1 priority 100
R2(config-if)#standby 1 preempt delay minimum 10
R2(config-if)#standby 1 track Serial0/0/0
R2(config-if)#no shutdown
R2(config-if)#exit

! WYŚWIETLANIE STANU HSRP
R2#show standby brief
! =============================================
! KONFIGURACJA ŁĄCZY WAN
! =============================================
R1(config)#interface Serial0/0/0
R1(config-if)#ip address 10.0.0.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R2(config)#interface Serial0/0/0
R2(config-if)#ip address 10.0.0.5 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

! SYMULACJA AWARII R1
! 1. WYŁĄCZ INTERFEJS WAN NA R1
R1#configure terminal
R1(config)#interface Serial0/0/0
R1(config-if)#shutdown
! 2. SPRAWDŹ STAN R2 - TERAZ POWINIEN BYĆ ACTIVE
R2#show standby brief
! 3. PRZYWRÓĆ R1
R1(config-if)#no shutdown
! 4. POCZEKAJ NA PREEMPT I SPRAWDŹ
R1#show standby brief

W3 Adresacja IPv6 (GUA, LLA) i ICMPv6. W4 Protokół routingu OSPFv3 dla IPv6.

Celem projektu jest przygotowanie infrastruktury sieciowej do pełnej obsługi stosu protokołów IPv6 przy zachowaniu kompatybilności wstecznej z IPv4 (Dual-Stack). Projekt symuluje nowoczesne środowisko korporacyjne z dynamiczną autokonfiguracją adresów (SLAAC - Stateless Address Autoconfiguration) oraz routingiem OSPFv3. Student zdobędzie umiejętności konfiguracji adresacji IPv6, zrozumie różnice między adresami GUA (Global Unicast Address) i LLA (Link-Local Address) oraz nauczy się wdrażać OSPFv3 dla IPv6.

Przedsiębiorstwo przechodzi modernizację infrastruktury sieciowej w kierunku pełnej obsługi IPv6. Istniejąca sieć IPv4 musi zostać rozszerzona o adresację IPv6 dla kompatybilności z nowymi systemami i urządzeniami. Sieć będzie działać w trybie Dual-Stack - każdy interfejs routera i serwera posiada zarówno adres IPv4 jak i IPv6. Hosty klienckie skonfigurowano do automatycznego uzyskiwania adresu IPv6 metodą SLAAC. Routing dynamiczny IPv6 realizowany jest przez OSPFv3, który jest odpowiednikiem OSPFv2 dla IPv6. Projekt wymaga włączenia routingu IPv6 na routerach, skonfigurowania adresów GUA i uruchomienia OSPFv3.

• Równoległe adresowanie interfejsów adresami IPv4 oraz IPv6 Global Unicast.
• Uruchomienie procesu routingu dynamicznego OSPFv3 na routerach.
• Wdrożenie mechanizmu SLAAC do automatycznego nadawania adresacji końcówkom klienckim.
• Weryfikacja bazy sąsiedztwa i tablicy routingu dla protokołu IPv6.

Porównanie struktur nagłówka IPv4 i IPv6, opis roli adresów Link-Local w komunikacji wewnątrzsegmentowej oraz analiza korzyści płynących z braku mechanizmu NAT w świecie IPv6.

1. Wprowadzenie do protokołu IPv6 i adresacji Dual-Stack
2. Projekt topologii sieci z obsługą IPv4 i IPv6
3. Konfiguracja adresacji IPv6 Global Unicast (GUA) na routerach
4. Konfiguracja adresacji IPv6 Link-Local (LLA)
5. Konfiguracja SLAAC na interfejsach dostępowych
6. Konfiguracja OSPFv3 dla IPv6
7. Weryfikacja sąsiedztwa OSPFv3 - polecenie show ospfv3 neighbor
8. Analiza tablicy routingu IPv6 - polecenie show ipv6 route
9. Testowanie komunikacji Dual-Stack (IPv4 i IPv6)
10. Podsumowanie i wnioski z realizacji projektu

Włącz IPv6 na routerze poleceniem ipv6 unicast-routing. Adres IPv6 przypisujesz poleceniem ipv6 address [adres]/[prefiks] - adres LLA jest generowany automatycznie. Użyj polecenia ipv6 address [prefix]/[długość] eui-64 do skonfigurowania adresu z automatycznym generowaniem ID interfejsu (SLAAC). OSPFv3 wymaga włączenia w trybie konfiguracji routera: ipv6 router ospf [pid], a następnie network [prefix]/[długość] area [numer]. Pamiętaj, że OSPFv3 nie używa OSPFv2 authentication - używa IPsec. Sprawdzaj stan poleceniem show ipv6 interface brief dla interfejsów i show ipv6 route dla tras. Adresy IPv6 w ping: ping ipv6 [adres].

! =============================================
! WŁĄCZENIE IPv6 NA ROUTERZE
! =============================================
Router#configure terminal
Router(config)#ipv6 unicast-routing
! =============================================
! KONFIGURACJA IPv4
! =============================================
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

! KONFIGURACJA IPv6 (GUA + SLAAC)
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ipv6 address 2001:DB8:10::1/64
Router(config-if)#exit

! KONFIGURACJA ŁĄCZA WAN
Router(config)#interface Serial0/0/0
Router(config-if)#ip address 10.0.0.1 255.255.255.252
Router(config-if)#ipv6 address 2001:DB8:1::1/64
Router(config-if)#no shutdown
Router(config-if)#exit

! KONFIGURACJA OSPFV3
Router(config)#ipv6 router ospf 1
Router(config-router)#router-id 1.1.1.1
Router(config-router)#exit

! AKTYWACJA SIECI W OSPFv3
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ipv6 ospf 1 area 0
Router(config-if)#exit
Router(config)#interface Serial0/0/0
Router(config-if)#ipv6 ospf 1 area 0
Router(config-if)#exit

! WERYFIKACJA - INTERFEJSY IPv6
Router#show ipv6 interface brief
! WERYFIKACJA - TABLICA ROUTINGU IPv6
Router#show ipv6 route
! WERYFIKACJA - SĄSIEDZTWO OSPFv3
Router#show ospfv3 neighbor
! =============================================
! TEST PING DUAL-STACK
! =============================================
! TEST IPv4
Router#ping 192.168.10.10
! TEST IPv6
Router#ping ipv6 2001:DB8:10::10
! TEST KOMPUTER - KONFIGURACJA ADRESU IPv6 NA PC
PC#ipv6 address 2001:DB8:10::10/64
PC#ipv6 address autoconfig
! BRAMA DOMYŚLNA IPv6
PC#ipv6 default-gateway 2001:DB8:10::1