Zadania projektowe – Przełączanie i Routing w Sieciach IP

W0_SW Przełączniki, W6 Agregacja łączy (EtherChannel), MSTP (IEEE 802.1s).

Zaprojektowanie i wdrożenie wysokodostępnego szkieletu sieciowego na podstawie redundancji łączy fizycznych oraz optymalizacja protokołu drzewa rozpinającego. Celem jest wyeliminowanie pętli przy jednoczesnym zachowaniu pełnej przepustowości (load balancing). Projekt obejmuje konfigurację agregacji łączy za pomocą protokołu LACP (Link Aggregation Control Protocol), który umożliwia łączenie (bundlowanie) wielu fizycznych portów w jeden logiczny interfejs Port-Channel, co zwiększa przepustowość i zapewnia redundancję w przypadku awarii pojedynczego łącza. Dodatkowo zostanie wdrożony protokół MSTP (Multiple Spanning Tree Protocol) w celu optymalizacji wykorzystania łączy w środowisku z wieloma sieciami VLAN, w którym różne instancje drzewa rozpinającego mogą niezależnie wyznaczać ścieżki dla różnych grup VLAN. Projekt ma na celu osiągnięcie pełnej zbieżności sieci (network convergence) w czasie subsekundowym oraz zapewnienie ciągłości działania usług sieciowych klasy korporacyjnej.

• 1. Inwentaryzacja zasobów i przygotowanie schematu logicznego sieci szkieletowej łączącej węzły dystrybucyjne.
• 2. Definicja puli sieci VLAN i ich podział na grupy (np. VLAN 10–20 dla pierwszej instancji, VLAN 30–40 dla drugiej).
• 3. Konfiguracja interfejsów fizycznych do pracy w trybie trunk (enkapsulacja 802.1Q) na połączeniach między przełącznikami.
• 4. Inicjalizacja protokołu LACP (Link Aggregation Control Protocol) i utworzenie interfejsów Port-Channel.
• 5. Konfiguracja algorytmu load balancingu w EtherChannel (np. src-dst-ip) dla optymalnego wykorzystania pasma.
• 6. Globalne włączenie trybu MST (Multiple Spanning Tree) na wszystkich przełącznikach w domenie.
• 7. Konfiguracja parametrów regionu MST (identyczna nazwa i numer rewizji na każdym urządzeniu).
• 8. Precyzyjne przypisanie zakresów VLAN do konkretnych instancji MST (Instance 1 i Instance 2).
• 9. Ręczne ustawienie priorytetów Bridge ID dla każdej instancji w celu wyznaczenia Primary i Secondary Root.
• 10. Weryfikacja poprawności formowania agregatów łączy oraz topologii drzewa rozpinającego za pomocą poleceń diagnostycznych.

1. Wprowadzenie do protokołów redundancji i agregacji łączy w sieciach korporacyjnych.
2. Analiza wymagań biznesowych i specyfikacja techniczna infrastruktury szkieletowej.
3. Projektowanie topologii fizycznej i logicznej z uwzględnieniem redundancji L2.
4. Konfiguracja EtherChannel z wykorzystaniem protokołu LACP - aspekty praktyczne.
5. Implementacja Multiple Spanning Tree Protocol (MSTP) w środowisku wielowlanowym.
6. Optymalizacja ścieżek i mechanizmy load-balancingu w sieci szkieletowej.
7. Zabezpieczenia portów dostępowych - BPDU Guard i PortFast.
8. Procedury testowania i weryfikacji poprawności konfiguracji redundancji.
9. Analiza scenariuszy awaryjnych i pomiary czasu zbieżności sieci.
10. Podsumowanie wdrożenia i rekomendacje dotyczące utrzymania infrastruktury.

Przed przystąpieniem do konfiguracji należy dokładnie zaplanować podział sieci VLAN na instancje MSTP, biorąc pod uwagę przepływy ruchu między segmentami. Warto pamiętać, że wszystkie przełączniki w domenie MST muszą mieć identyczną konfigurację regionu (nazwa i numer rewizji), aby mogły uczestniczyć w tym samym drzewie rozpinającym. Podczas testowania redundancji zaleca się użycie narzędzi do generowania ruchu sieciowego (np. iperf, ciągły ping) oraz obserwację, czy pakiety nie są gubione podczas awarii jednego z łączy w agregacie. Konfigurację BPDU Guard należy stosować na wszystkich portach dostępowych, aby zapobiec nieautoryzowanemu podłączeniu przełącznika do sieci, co mogłoby spowodować powstanie pętli lub destabilizację domeny STP.

W1 Segmentacja sieci (VLAN), W2 Ruting statyczny, W6 FHRP (HSRP/VRRP).

Zapewnienie ciągłości działania bramy domyślnej dla wielu podsieci VLAN przy użyciu protokołów redundancji pierwszego skoku oraz mechanizmów monitorowania stanu łączy zewnętrznych. Projekt koncentruje się na wdrożeniu protokołu HSRP (Hot Standby Router Protocol) lub VRRP (Virtual Router Redundancy Protocol), który tworzy wirtualny adres IP pełniący rolę bramy domyślnej dla wszystkich stacji w sieci, ukrywając rzeczywiste adresy fizyczne ruterów. Kluczowym elementem jest implementacja mechanizmu Object Tracking, który monitoruje stan interfejsów WAN i automatycznie obniża priorytet aktywnego rutera w przypadku awarii łącza zewnętrznego, wymuszając płynne przejęcie roli przez urządzenie zapasowe. Dodatkowo projekt obejmuje konfigurację uwierzytelniania MD5 dla pakietów FHRP, co zabezpiecza przed atakami polegającymi na wstrzykiwaniu fałszywych komunikatów i przejęciu kontroli nad ruchem sieciowym. Efektem końcowym ma być infrastruktura zdolna do automatycznej konwergencji w czasie poniżej sekundy bez utraty aktywnych sesji użytkowników.

• 1. Zaprojektowanie planu adresacji IP dla sieci VLAN (HR, IT, Produkcja) z wyznaczeniem adresów fizycznych i VIP.
• 2. Konfiguracja bazy VLAN oraz trunkingu 802.1Q na przełącznikach dystrybucyjnych warstwy 3.
• 3. Utworzenie interfejsów SVI (Switch Virtual Interface) na obu urządzeniach dla każdego z segmentów sieci.
• 4. Przypisanie fizycznych adresów IP do interfejsów SVI (np. .2 dla Switch-A i .3 dla Switch-B).
• 5. Inicjalizacja protokołu HSRP w wersji 2, zapewniającej obsługę IPv6 i rozszerzoną numerację grup.
• 6. Konfiguracja wirtualnego adresu IP (VIP), który będzie służył jako brama domyślna dla stacji końcowych.
• 7. Ustawienie priorytetów (np. 120 dla urządzenia głównego, 100 dla zapasowego) w celu wymuszenia roli Active.
• 8. Implementacja mechanizmu Object Tracking monitorującego stan interfejsu WAN (uplink) z automatycznym obniżaniem priorytetu.
• 9. Konfiguracja usługi DHCP Relay (ip helper-address) wskazującej na centralny serwer DHCP.
• 10. Weryfikacja stanów i ról FHRP oraz przeprowadzenie testów typu Failover w celu potwierdzenia ciągłości działania.

1. Wprowadzenie do protokołów redundancji bramy domyślnej (FHRP) w sieciach VLAN.
2. Analiza wymagań ciągłości działania i projektowanie adresacji dla wielu segmentów.
3. Konfiguracja HSRP/VRRP z uwierzytelnianiem na przełącznikach warstwy 3.
4. Implementacja mechanizmu Object Tracking dla monitorowania łączy WAN.
5. Konfiguracja DHCP Relay i integracja z centralnym serwerem DHCP.
6. Testowanie scenariuszy awaryjnych i pomiary czasu przełączenia (Failover).
7. Analiza logów i statystyk protokołu FHRP w normalnym trybie pracy.
8. Dokumentacja procedur administracyjnych i procedur awaryjnych.
9. Podsumowanie wyników testów i rekomendacje eksploatacyjne.

Podczas konfiguracji HSRP należy pamiętać o włączeniu funkcji Preemption z odpowiednim opóźnieniem (delay), aby zapobiec częstym przełączeniom w sytuacjach, gdy urządzenie jest niestabilne po restarcie. Object Tracking powinien monitorować interfejs WAN lub line protocol, a nie sam interfejs – wtedy przełączenie nastąpi tylko wtedy, gdy faktycznie wystąpi problem z komunikacją. Zaleca się również skonfigurowanie uwierzytelniania MD5, aby chronić przed atakami polegającymi na podszywaniu się pod urządzenie FHRP. Podczas testów failover najlepiej użyć ciągłego pingu (ping -t w systemie Windows, ping w systemie Linux) i obserwować, czy pakiety nie są gubione podczas symulowanej awarii.

W3 Routing dynamiczny, W4 Zaawansowany OSPF (ABR, LSA Types, Areas).

Zaprojektowanie skalowalnej architektury rutingowej dla firmy wielooddziałowej z wykorzystaniem hierarchicznej domeny OSPF oraz optymalizacja baz danych LSDB. Projekt obejmuje implementację wielostrefowego protokołu OSPF (Multi-Area OSPF), w którym Area 0 (Backbone) łączy obszary dystrybucyjne, a oddziały firmy są zorganizowane w osobnych obszarach (Area 1, Area 2). Kluczowym elementem jest sumaryzacja tras (route summarization) na ruterach ABR (Area Border Router), która redukuje wielkość tablic rutingu w poszczególnych obszarach i zmniejsza obciążenie procesora ruterów podczas obliczeń SPF. Projekt zakłada również konfigurację obszarów Stub (Stub Area) lub Totally Stubby Area w oddziałach, co eliminuje LSA typu 5 (External Routes) z zewnątrz domeny, dodatkowo odciążając rutery w tych lokalizacjach. Całość prac ma na celu uzyskanie zbieżności sieci (network convergence) w czasie poniżej 5 sekund oraz minimalizację wykorzystania zasobów sprzętowych.

• 1. Analiza hierarchicznej struktury sieci korporacyjnej i podział domeny na Area 0 (Backbone), Area 1 (Centrala) i Area 2 (Oddział).
• 2. Opracowanie precyzyjnego schematu adresacji IP (VLSM) umożliwiającego agregację prefiksów na granicach obszarów.
• 3. Inicjalizacja procesu OSPF na wszystkich ruterach i konfiguracja unikalnego Router ID (RID) dla stabilności procesu.
• 4. Aktywacja OSPF na interfejsach fizycznych i logicznych (Loopback) oraz przypisanie ich do właściwych obszarów.
• 5. Konfiguracja mechanizmu „Passive Interface” na portach kierujących ruch do stacji roboczych i serwerów.
• 6. Implementacja ręcznej sumaryzacji tras na ruterach ABR w celu ograniczenia liczby wpisów w tablicach rutingu (LSA typu 3).
• 7. Konfiguracja obszaru Area 2 jako „Totally Stubby Area” w celu odciążenia ruterów o mniejszej mocy w oddziale.
• 8. Wdrożenie uwierzytelniania OSPF MD5 na wszystkich łączach łączących poszczególne obszary.
• 9. Ręczne dostosowanie kosztów interfejsów (ip ospf cost) w celu wymuszenia przepływu ruchu przez łącza o najwyższej przepustowości.
• 10. Analiza i weryfikacja bazy danych LSDB, tablic rutingu oraz pomiar czasu konwergencji sieci.

1. Wprowadzenie do protokołu OSPF i hierarchicznej architektury wielostrefowej.
2. Projektowanie podziału na obszary OSPF z uwzględnieniem przepływów ruchu.
3. Schemat adresacji VLSM i plan sumaryzacji tras na granicach obszarów.
4. Konfiguracja OSPF z uwierzytelnianiem MD5 na wszystkich ruterach.
5. Implementacja obszarów Stub i Totally Stubby Area dla optymalizacji LSDB.
6. Analiza typów LSA i ich propagacji w hierarchii obszarów.
7. Konfiguracja ABR i sumaryzacja tras między obszarami.
8. Testowanie zbieżności i weryfikacja działania mechanizmów SPF.
9. Dokumentacja wyników pomiarów i rekomendacje eksploatacyjne.

Przy projektowaniu wielostrefowego OSPF należy pamiętać, że Area 0 (Backbone) musi być ciągła i łączyć wszystkie obszary niestandardowe – każdy obszar musi mieć bezpośrednie połączenie do Area 0. Sumaryzację tras należy konfigurować tylko na ruterach ABR i ASBR, a zakresy adresów do sumaryzacji powinny być ciągłe (contiguous), aby agregacja była możliwa. W obszarach Stub i Totally Stubby Area nie mogą znajdować się rutery ASBR, ponieważ obszary te nie przyjmują tras zewnętrznych (LSA typu 5). Podczas konfiguracji uwierzytelniania OSPF klucz musi być identyczny na wszystkich ruterach w tym samym segmencie sieci.

W4 Mechanizmy EIGRP, W5 Rozwiązywanie problemów w EIGRP.

Wdrożenie protokołu EIGRP w sieci WAN o zróżnicowanej charakterystyce łączy, głęboka analiza algorytmu DUAL oraz optymalizacja zbieżności. Protokół EIGRP (Enhanced Interior Gateway Routing Protocol) jest protokołem hybrydowym łączącym zalety rutingu wektorowego i stanu łącza, co zapewnia szybką zbieżność i efektywne wykorzystanie pasma. W projekcie szczególną uwagę poświęcono mechanizmowi DUAL (Diffusing Update Algorithm), który zapewnia bezpieczną i szybką konwergencję poprzez utrzymywanie zapasowych ścieżek (Feasible Successors) dla każdej trasy. Projekt obejmuje również konfigurację parametru `variance` dla Unequal Cost Load Balancing, co umożliwia wykorzystanie ścieżek o różnych kosztach metrycznych, oraz konfigurację urządzeń w oddziałach jako EIGRP Stub, co ogranicza propagację zapytań (Query messages) i zapobiega problemom SIA (Stuck In Active). Efektem końcowym jest uzyskanie subsekundowej zbieżności (< 1 s) w przypadku awarii dowolnego łącza w sieci szkieletowej.

• 1. Analiza charakterystyki łączy WAN (światłowody, radiolinie) i identyfikacja parametrów pasma (Bandwidth) oraz opóźnienia (Delay).
• 2. Konfiguracja procesu EIGRP z wykorzystaniem wspólnego numeru Autonomous System (AS) dla całej domeny.
• 3. Aktywacja protokołu na interfejsach ruterów za pomocą polecenia `network` z precyzyjnymi maskami typu wildcard.
• 4. Ręczne sterowanie metryką EIGRP poprzez modyfikację parametru `delay` na interfejsach wolnych łączy zapasowych.
• 5. Konfiguracja Router ID oraz włączenie mechanizmu `passive-interface` w kierunku sieci lokalnych.
• 6. Głęboka analiza tablicy topologii (Topology Table) w celu identyfikacji Successorów i Feasible Successorów dla każdej trasy.
• 7. Weryfikacja spełnienia warunku wykonalności (Feasibility Condition: RD < FD) dla ścieżek redundantnych.
• 8. Implementacja sumaryzacji tras (Manual Summarization) na ruterach brzegowych i konfiguracja EIGRP Stub w oddziałach.
• 9. Testowanie mechanizmu Unequal Cost Load Balancing przy użyciu parametru `variance` dla łączy o zbliżonej metryce.
• 10. Symulacja awarii głównego łącza i weryfikacja natychmiastowej konwergencji subsekundowej.

1. Wprowadzenie do protokołu EIGRP i algorytmu DUAL.
2. Analiza metryki EIGRP i parametrów K1-K5.
3. Projektowanie adresacji i konfiguracja procesu EIGRP w domenie AS.
4. Analiza tablicy topologii i identyfikacja Successorów oraz Feasible Successors.
5. Konfiguracja EIGRP Stub i mechanizmów ograniczania propagacji zapytań.
6. Implementacja Unequal Cost Load Balancing z wykorzystaniem parametru variance.
7. Sumaryzacja tras manualna i automatyczna na ruterach brzegowych.
8. Testowanie zbieżności i weryfikacja działania algorytmu DUAL.
9. Dokumentacja procesu wyboru trasy i analiza atrybutów metryki.

Przy konfiguracji EIGRP należy pamiętać, że domyślne wartości wag K (K1=1, K2=0, K3=1, K4=0, K5=0) powodują, że metryka zależy głównie od pasma (bandwidth) i opóźnienia (delay), a nie od obciążenia czy niezawodności. Urządzenia EIGRP Stub nie wysyłają zapytań o trasy do swoich sąsiadów, co znacząco redukuje ruch protokołowy w oddziałach i zapobiega problemom SIA. Parametr `variance` musi być większy od 1, aby aktywować Unequal Cost Load Balancing, a jego wartość określa, ile razy trasa może być gorsza od najlepszej, aby nadal była używana. W sieciach z wieloma ścieżkami redundantnymi zawsze należy weryfikować warunek wykonalności (RD < FD) dla Feasible Successorów.

W5 Protokoły EGP, koncept BGP, atrybuty ścieżki.

Nawiązanie sesji peeringowych eBGP z dostawcami ISP, ogłoszenie własnej przestrzeni adresowej oraz implementacja polityki manipulacji ruchem przychodzącym i wychodzącym. Projekt dotyczy konfiguracji BGP (Border Gateway Protocol) w scenariuszu Dual-Homing, w którym firma posiada dwa niezależne łącza do różnych dostawców internetowych w celu zapewnienia wysokiej dostępności usług. Kluczowym elementem jest konfiguracja polityki rutingu poprzez manipulację atrybutami BGP, takimi jak Local Preference (dla ruchu wychodzącego) oraz AS-Path Prepending (dla ruchu przychodzącego), co umożliwia kontrolę nad przepływem ruchu sieciowego. Projekt obejmuje również konfigurację sesji iBGP między ruterami brzegowymi oraz zabezpieczenie sesji BGP poprzez uwierzytelnianie MD5 i limity liczby prefiksów (maximum-prefix) dla ochrony przed atakami lub błędami konfiguracyjnymi. Efektem końcowym jest uzyskanie pełnej redundancji z automatycznym przełączaniem ruchu w przypadku awarii jednego z dostawców.

• 1. Analiza wymagań dotyczących wysokiej dostępności usług internetowych i identyfikacja własnego numeru AS oraz publicznego prefiksu /24.
• 2. Konfiguracja interfejsów fizycznych łączących ruter brzegowy z ruterami dostawców ISP1 i ISP2.
• 3. Inicjalizacja procesu BGP i nawiązanie zewnętrznych sesji peeringowych eBGP z obydwoma dostawcami za pomocą polecenia `neighbor`.
• 4. Konfiguracja sesji iBGP między parą ruterów brzegowych wewnątrz firmy z wykorzystaniem interfejsów Loopback dla stabilności sesji.
• 5. Zastosowanie mechanizmu `next-hop-self` dla sesji iBGP, aby zapewnić osiągalność adresów IP dostawców wewnątrz własnej sieci.
• 6. Opracowanie i wdrożenie list prefiksów (Prefix-lists) w celu ścisłej kontroli rozgłaszanych i przyjmowanych tras.
• 7. Implementacja polityki wyjścia (ruch wychodzący) poprzez ustawienie wyższej wartości atrybutu Local Preference dla tras otrzymywanych od ISP1.
• 8. Implementacja polityki wejścia (ruch przychodzący) poprzez mechanizm AS-Path Prepending w stronę ISP2.
• 9. Konfiguracja uwierzytelniania sesji za pomocą haseł MD5 oraz limitowanie liczby akceptowanych prefiksów (maximum-prefix).
• 10. Weryfikacja statusu sesji peeringowych i analiza tablicy BGP z testami przełączania ruchu w przypadku awarii.

1. Wprowadzenie do protokołu BGP i architektury rutingu internetowego.
2. Analiza scenariusza Dual-Homing i wymagania wysokiej dostępności.
3. Konfiguracja sesji eBGP z wieloma dostawcami ISP.
4. Implementacja sesji iBGP dla pełnej widoczności tras w firmie.
5. Polityka rutingu – manipulacja atrybutem Local Preference.
6. Polityka rutingu – mechanizm AS-Path Prepending dla ruchu przychodzącego.
7. Zabezpieczenie sesji BGP - uwierzytelnianie MD5 i limity prefiksów.
8. Analiza algorytmu wyboru najlepszej ścieżki BGP (Best Path Selection).
9. Testowanie redundancji i przełączania awaryjnego.
10. Dokumentacja polityk i rekomendacje eksploatacyjne.

Przy konfiguracji BGP w scenariuszu Dual-Homing należy pamiętać, że atrybut Local Preference jest używany tylko wewnątrz AS i wpływa na wybór trasy dla ruchu wychodzącego (od firmy do internetu), natomiast AS-Path Prepending wpływa na trasy przychodzące (z internetu do firmy). Domyślna wartość Local Preference to 100, więc ustawienie wyższej wartości (np. 200) spowoduje preferowanie tego dostawcy dla ruchu wychodzącego. Wartości AS-Path Prepending powinny być realistyczne (zazwyczaj 2–3 powtórzenia własnego AS), ponieważ zbyt duże wartości mogą być ignorowane przez niektóre systemy autonomiczne. Zazwyczaj prependujemy łącze zapasowe (np. ISP2), aby skierować ruch przychodzący na łącze główne (ISP1). Parametr maximum-prefix powinien być ustawiony z marginesem (np. 200% oczekiwanego limitu), aby umożliwić normalny wzrost ruchu bez rozłączania sesji.

W2 IPv4, W3 Podstawy i adresowanie IPv6, W4 OSPFv3.

Zapewnienie nowoczesnej łączności IPv6 przy jednoczesnym zachowaniu obsługi IPv4, wdrożenie autokonfiguracji oraz rutingu dynamicznego nowej generacji. Projekt obejmuje wdrożenie stosu Dual-Stack, w którym urządzenia działają jednocześnie w obu rodzinach adresów (IPv4 i IPv6), co zapewnia kompatybilność wsteczną i stopniową migrację do IPv6. Kluczowym elementem jest implementacja mechanizmu SLAAC (Stateless Address Autoconfiguration), który umożliwia automatyczne przypisanie adresów IPv6 na podstawie prefiksu otrzymanego od rutera (Router Advertisement) i adresu MAC interfejsu (EUI-64), bez potrzeby serwera DHCPv6. Projekt zawiera również konfigurację OSPFv3 dla rutingu IPv6 (z osobnym procesem lub w trybie multi-instance), uwierzytelnianie za pomocą IPsec oraz zabezpieczenia protokołu Neighbor Discovery (ND) poprzez mechanizm RA Guard. Efektem końcowym jest w pełni funkcjonalna sieć z obsługą obu protokołów, zdolna do komunikacji z dowolnym hostem w internecie.

• 1. Audyt infrastruktury sieciowej pod kątem wsparcia dla stosu IPv6 (przełączniki, rutery, systemy operacyjne hostów).
• 2. Precyzyjny podział otrzymanego od dostawcy prefiksu /48 na podsieci /64 dla poszczególnych oddziałów i VLAN-ów.
• 3. Globalna aktywacja rutingu IPv6 typu Unicast na wszystkich ruterach i przełącznikach warstwy 3.
• 4. Konfiguracja adresacji Global Unicast (GUA) oraz optymalizacja adresów Link-Local na interfejsach ruterów.
• 5. Implementacja mechanizmu SLAAC (Stateless Address Autoconfiguration) dla automatycznej adresacji stacji roboczych.
• 6. Konfiguracja serwerów DHCPv6 (tryb Stateless dla DNS lub Stateful dla pełnej kontroli) oraz relaying dla oddalonych podsieci.
• 7. Inicjalizacja i konfiguracja protokołu OSPFv3 obsługującego tablice rutingu dla obu rodzin adresów.
• 8. Ręczne ustawienie 32-bitowego Router ID dla procesu OSPFv3 (wymagane nawet w czystym środowisku IPv6).
• 9. Wdrożenie list kontroli dostępu (IPv6 ACL) i mechanizmów ochronnych RA Guard.
• 10. Weryfikacja osiągalności węzłów w obu stosach i analiza tablic rutingu IPv6.

1. Wprowadzenie do protokołu IPv6 i stosu Dual-Stack.
2. Adresowanie IPv6 – struktura adresów GUA, ULA i Link-Local.
3. Projektowanie podziału prefiksu /48 na podsieci /64.
4. Konfiguracja rutingu IPv6 i OSPFv3 na ruterach.
5. Implementacja mechanizmu SLAAC i DHCPv6.
6. Protokół NDP i proces Neighbor Discovery.
7. Zabezpieczenia IPv6 – RA Guard, IPv6 ACL, SeND.
8. Testowanie komunikacji Dual-Stack i weryfikacja rutingu IPv6.
9. Dokumentacja adresacji i wyników pomiarów.

Przy wdrażaniu IPv6 należy pamiętać, że każdy interfejs musi mieć co najmniej adres Link-Local (fe80::/10), a adresy Global Unicast (GUA) są opcjonalne, ale wymagane dla komunikacji globalnej. Mechanizm SLAAC automatycznie generuje adresy IPv6 z prefiksu otrzymanego w RA i adresu MAC interfejsu (poprzez konwersję na format EUI-64), ale zaleca się również skonfigurowanie adresów statycznych dla urządzeń krytycznych (rutery, serwery). OSPFv3 wymaga jawnego skonfigurowania Router ID (nawet dla czystego IPv6), ponieważ protokół nie może go wygenerować automatycznie bez adresów IPv4. RA Guard powinien być włączony na wszystkich portach dostępowych, aby zapobiec atakom polegającym na wysyłaniu fałszywych komunikatów Router Advertisement przez nieautoryzowane urządzenia.

W0_SW Przełączanie, W6 Zabezpieczenia portów, DHCP Snooping i DAI.

Zabezpieczenie infrastruktury LAN przed atakami wewnątrz sieci lokalnej, takimi jak podszywanie się pod serwer DHCP, ataki ARP spoofing oraz ataki siłowe na tablicę adresów MAC. Projekt obejmuje implementację wielowarstwowych mechanizmów bezpieczeństwa na przełącznikach warstwy dostępowej, gdzie kluczowym elementem jest Port Security chroniący przed nieautoryzowanym dostępem do sieci poprzez limitowanie liczby adresów MAC na porcie i automatyczne wyłączanie portu w przypadku naruszenia polityki. Dodatkowo wdrażany jest mechanizm DHCP Snooping, który buduje bazę powiązań adresów IP-MAC na podstawie prawidłowego ruchu DHCP, a następnie stanowi podstawę do weryfikacji pakietów ARP przez mechanizm DAI (Dynamic ARP Inspection). Projekt zawiera również konfigurację BPDU Guard uniemożliwiającego podłączenie nieautoryzowanego przełącznika do portu dostępowego oraz Storm Control ograniczającego ruch broadcastowy i multicastowy. Efektem końcowym jest w pełni zabezpieczona warstwa dostępu, zdolna do reakcji na wszystkie typy ataków warstwy 2.

• 1. Audyt bezpieczeństwa fizycznego i logicznego portów na przełącznikach dostępowych (Access Switches).
• 2. Natychmiastowe wyłączenie (shutdown) wszystkich nieużywanych interfejsów i przypisanie ich do nieaktywnego VLAN-u.
• 3. Konfiguracja "Port Security" na aktywnych portach użytkowników z ograniczeniem dopuszczalnych adresów MAC do jednego na port.
• 4. Aktywacja funkcji "MAC Address Sticky" w celu automatycznego i trwałego zapamiętania autoryzowanego urządzenia.
• 5. Ustawienie trybu naruszenia "Shutdown", który izoluje port w stanie err-disabled po wykryciu próby podpięcia obcego urządzenia.
• 6. Globalna aktywacja mechanizmu "DHCP Snooping" dla wszystkich produkcyjnych VLAN-ów w domenie przełączania.
• 7. Ręczne wskazanie portów zaufanych (Trusted Ports) dla łączy typu Trunk prowadzących do serwerów DHCP i ruterów.
• 8. Włączenie mechanizmu "Dynamic ARP Inspection" (DAI) w celu weryfikacji pakietów ARP z bazą DHCP Snooping.
• 9. Konfiguracja "BPDU Guard" na portach typu Edge i wdrożenie "Storm Control" dla ruchu broadcast/multicast.
• 10. Monitoring bazy powiązań IP-MAC, weryfikacja statystyk i procedury przywracania portów po incydencie.

• Port Security z opcją Sticky MAC i automatycznym wyłączaniem portu (violation shutdown).
• DHCP Snooping z wyznaczeniem zaufanych portów (trusted ports) dla serwerów.
• Dynamic ARP Inspection (DAI) weryfikujące poprawność komunikatów ARP.
• Ochrona przed pętlami STP (BPDU Guard) na portach użytkowników.

1. Wprowadzenie do zagrożeń bezpieczeństwa warstwy 2 w sieciach LAN.
2. Analiza wektorów ataków: DHCP Spoofing, ARP Spoofing, MAC Flooding.
3. Implementacja Port Security - konfiguracja i weryfikacja działania.
4. DHCP Snooping - budowa bazy powiązań i konfiguracja portów zaufanych.
5. Dynamic ARP Inspection (DAI) - weryfikacja pakietów ARP.
6. IP Source Guard - ochrona przed IP Spoofingiem.
7. BPDU Guard i Storm Control - ochrona przed atakami STP i przeciążeniem.
8. Procedury monitorowania i reagowania na incydenty bezpieczeństwa.
9. Testowanie skuteczności mechanizmów obronnych.
10. Rekomendacje i dokumentacja procedur bezpieczeństwa.

Przy konfiguracji Port Security należy pamiętać, że opcja Sticky MAC jest bardzo wygodna, ale wymaga późniejszego manualnego usunięcia zapisanych adresów, gdy użytkownik zmienia laptop. DHCP Snooping musi być włączony globalnie, a następnie na każdym VLAN osobno, a porty do serwerów DHCP i ruterów muszą być oznaczone jako Trusted – w przeciwnym razie serwer nie będzie mógł obsługiwać żądań. DAI działa tylko na VLAN-ach, gdzie włączony jest DHCP Snooping, ponieważ wykorzystuje bazę powiązań do weryfikacji. BPDU Guard należy włączyć na każdym porcie dostępowym, gdzie podłączone są końcowe urządzenia, a nie gdzie indziej, aby uniknąć zablokowania prawidłowego działania STP w przypadku awarii.

W6 Filtrowanie ruchu (ACL), translacja adresów (NAT/PAT).

Zabezpieczenie brzegu sieci i ochrona zasobów wewnętrznych przed niepowołanym dostępem z zewnątrz oraz oszczędność publicznej puli adresów IP. Projekt obejmuje implementację mechanizmów translacji adresów NAT (Network Address Translation) i PAT (Port Address Translation, znany również jako NAT Overload), które umożliwiają wielu użytkownikom sieci wewnętrznej (LAN) dostęp do internetu przy użyciu jednego lub niewielu publicznych adresów IP. Kluczowym elementem jest konfiguracja list kontroli dostępu (ACL – Access Control Lists), które filtrują ruch na podstawie adresów IP, numerów portów i protokołów, zapewniając ochronę przed nieautoryzowanym dostępem z zewnątrz. Projekt zawiera również implementację strefy DMZ (Demilitarized Zone), w której publikowane są serwery dostępne z internetu, przy jednoczesnym zachowaniu izolacji między strefami. Efektem końcowym wdrożenia jest bezpieczna infrastruktura z wielowarstwową ochroną, w której ruch z zewnątrz jest ściśle kontrolowany, a dostęp do zasobów wewnętrznych jest możliwy tylko w dozwolonych przypadkach.

• 1. Inwentaryzacja adresów IP w segmentach LAN i DMZ oraz wyznaczenie puli adresów publicznych przekazanych przez ISP.
• 2. Konfiguracja interfejsów rutera brzegowego i przypisanie im ról `ip nat inside` (LAN, DMZ) oraz `ip nat outside` (WAN).
• 3. Opracowanie szczegółowej polityki bezpieczeństwa określającej dozwolone kierunki przepływu ruchu i numery portów.
• 4. Konfiguracja standardowej listy ACL do identyfikacji ruchu wewnątrzsieciowego podlegającego translacji (Interesting Traffic).
• 5. Implementacja Dynamic NAT z przeciążeniem (PAT) w celu zapewnienia dostępu do internetu dla wszystkich stacji roboczych z sieci LAN.
• 6. Konfiguracja statycznej translacji adresów (Static NAT) dla serwera WWW w strefie DMZ w celu udostępnienia usług w sieci internetowej.
• 7. Tworzenie rozszerzonych list ACL (Extended ACL) na interfejsie zewnętrznym w celu filtrowania ruchu przychodzącego z internetu.
• 8. Zastosowanie mechanizmu kontroli stanowej poprzez zezwolenie na ruch powrotny (`established`) dla sesji TCP.
• 9. Weryfikacja aktywnych sesji NAT i analiza trafień w reguły ACL z testami dostępności usług.
• 10. Dokumentacja reguł filtrowania i izolacji stref.

• Konfiguracja Dynamic NAT z Overload (PAT) dla użytkowników LAN.
• Wdrożenie Static NAT dla serwera WWW w strefie DMZ.
• Zastosowanie Extended ACL do filtrowania ruchu na interfejsie zewnętrznym (inbound).
• Standardowe ACL do definicji ruchu podlegającego translacji adresów.

1. Wprowadzenie do translacji adresów NAT i filtrowania ruchu na brzegu sieci.
2. Projektowanie stref i segmentacji sieci (LAN, DMZ, WAN).
3. Konfiguracja NAT/PAT dla ruchu wychodzącego i przychodzącego.
4. Polityka bezpieczeństwa i projektowanie macierzy dostępu.
5. Implementacja ACL - standardowe i rozszerzone listy kontroli dostępu.
6. Konfiguracja strefy DMZ i publikacja serwisów internetowych.
7. Stateful Firewall - kontrola stanowa połączeń i ruch powrotny.
8. Testowanie polityki filtrowania i weryfikacja izolacji stref.
9. Analiza logów i dokumentacja incydentów bezpieczeństwa.
10. Rekomendacje i optymalizacja reguł firewall.

Przy konfiguracji NAT/PAT i ACL należy pamiętać, że reguły ACL są przetwarzane sekwencyjnie od góry do pierwszego dopasowania (first-match), więc najbardziej szczegółowe reguły powinny być na początku listy, a reguły blokujące (deny) powinny być na końcu z logiem dla celów audytowych. Polecenie `established` w ACL dla ruchu powrotnego pozwala na pakiety TCP należące do nawiązanych sesji, ale nie na nowe połączenia. Strefa DMZ powinna być wydzielona jako osobny VLAN z własnym zakresem adresów prywatnych, a dostęp z WAN do serwerów w DMZ powinien być jawnie dozwolony tylko dla potrzebnych portów (np. 80/443 dla WWW). Dostęp do interfejsów zarządzania (SSH, HTTPS) rutera powinien być dozwolony tylko z sieci zarządzania (Management VLAN), a nie z LAN użytkowników ani z WAN.

W6 Parametry sieci (Latency, Jitter, Packet Loss), mechanizmy QoS.

Zaprojektowanie i wdrożenie mechanizmów jakości usług (QoS), które zagwarantują stabilne parametry transmisji dla rozmów VoIP podczas dużego obciążenia sieci ruchem danych (np. FTP). Projekt obejmuje implementację kompleksowego systemu QoS w modelu MQC (Modular QoS CLI), który składa się z trzech głównych faz: klasyfikacji ruchu (Class Maps), definiowania polityk (Policy Maps) i przypisywania polityk do interfejsów (Service Policies). Kluczowym elementem jest konfiguracja priorytetowej kolejki LLQ (Low Latency Queuing) dla ruchu VoIP, która gwarantuje pasmo i minimalizuje opóźnienia nawet w warunkach przeciążenia, oraz mechanizm CBWFQ (Class-Based Weighted Fair Queuing) dla pozostałych klas ruchu zapewniający sprawiedliwy podział dostępnego pasma. Projekt zawiera również implementację mechanizmu WRED (Weighted Random Early Detection) zapobiegającego globalnej synchronizacji TCP i markowanie pakietów wartościami DSCP (Differentiated Services Code Point) dla informowania kolejnych urządzeń o priorytecie ruchu. Efektem końcowym jest uzyskanie parametrów jakości dla VoIP spełniających normy (opóźnienie < 150 ms, jitter < 30 ms, utrata pakietów < 1%) nawet przy 80% wykorzystaniu pasma łącza WAN.

• 1. Analiza profilu ruchu sieciowego i identyfikacja aplikacji krytycznych (VoIP, Video) oraz ruchu tła (FTP, WWW).
• 2. Konfiguracja "Class Maps" w celu precyzyjnej klasyfikacji ruchu na podstawie list ACL lub protokołów (mechanizm NBAR2).
• 3. Opracowanie polityki QoS ("Policy Map") określającej hierarchię ważności poszczególnych klas ruchu.
• 4. Implementacja priorytetyzacji ruchu głosowego (Priority Queue – LLQ) w celu minimalizacji opóźnień i jitteru w rozmowach.
• 5. Konfiguracja mechanizmu CBWFQ (Class-Based Weighted Fair Queuing) dla gwarancji pasma dla krytycznych aplikacji biznesowych.
• 6. Zastosowanie mechanizmu Traffic Shaping na interfejsie WAN w celu dostosowania ruchu do wykupionej przepustowości łącza.
• 7. Oznaczanie pakietów (Marking) na brzegu sieci za pomocą wartości DSCP (np. EF dla głosu, AF41 dla wideo) w celu informowania kolejnych ruterów o priorytecie.
• 8. Aktywacja mechanizmu WRED (Weighted Random Early Detection) w celu zapobiegania globalnej synchronizacji TCP.
• 9. Weryfikacja statystyk działania polityki QoS i przeprowadzenie testów pod obciążeniem.
• 10. Dokumentacja profilu ruchu i optymalizacja parametrów QoS na podstawie wyników pomiarów.

• Klasyfikacja i markowanie ruchu za pomocą Class-Map i Policy-Map (model MQC).
• Markowanie pakietów wartościami DSCP (EF dla głosu, AF31 dla sygnałów sterujących).
• Kolejkowanie LLQ (Low Latency Queuing) na interfejsie WAN.
• Zastosowanie Traffic Shaping w celu dopasowania ruchu do pasma fizycznego.

1. Wprowadzenie do Quality of Service (QoS) i parametry transmisji.
2. Analiza problemu przeciążenia i mechanizmy kolejkowania.
3. Model MQC (Modular QoS CLI) - klasyfikacja i markowanie ruchu.
4. Konfiguracja LLQ (Low Latency Queuing) dla ruchu VoIP.
5. Implementacja CBWFQ dla pozostałych klas ruchu.
6. Traffic Shaping i Policing - zarządzanie pasmem.
7. Mechanizmy WRED i unikanie przeciążeń TCP.
8. Konfiguracja AutoQoS na przełącznikach dostępowych.
9. Testowanie i pomiary jakości VoIP pod obciążeniem.
10. Dokumentacja i optymalizacja parametrów QoS.

Przy konfiguracji QoS należy pamiętać, że LLQ (Low Latency Queuing) powinien być skonfigurowany z limitem pasma (np. priority percent 20) aby nie zagłodzić innych kolejek, a suma wszystkich gwarantowanych pasm nie może przekraczać 100% dostępnego pasma interfejsu. Markowanie DSCP powinno odbywać się jak najbliżej brzegu sieci (na przełącznikach dostępowych lub portach VoIP), a kolejne urządzenia tylko respektują te znaczniki bez zmiany. WRED powinien być stosowany tylko dla klas ruchu TCP, ponieważ protokoły UDP (jak VoIP) nie mają mechanizmu retransmisji i nie reagują na odrzucanie pakietów. Przed wdrożeniem QoS w produkcji zaleca się przeprowadzenie testów obciążeniowych z użyciem narzędzi do generowania ruchu (np. iperf) i pomiarem parametrów jakości ( jitter, latency, packet loss) podczas szczytowego obciążenia.

W1-W6 Całość materiału kursu PiRwSIP.

Kompleksowe zaprojektowanie i wdrożenie infrastruktury sieciowej „od zera”, integrując kluczowe technologie rutingu, przełączania i zabezpieczeń omówione w trakcie semestru. Zadanie to stanowi syntezę całej wiedzy zdobytej podczas kursu i wymaga zaprojektowania kompletnej infrastruktury sieciowej przedsiębiorstwa od etapu konceptualnego poprzez szczegółowe projektowanie, implementację w środowisku symulacyjnym lub rzeczywistym, aż po testowanie funkcjonalne i bezpieczeństwa. Projekt obejmuje wszystkie kluczowe elementy: redundantną infrastrukturę szkieletową z agregacją łączy LACP i protokołem MSTP, ruting wieloprotokołowy (OSPF, EIGRP lub BGP w zależności od topologii), wielowarstwowe zabezpieczenia warstwy 2 i 3 (Port Security, DHCP Snooping, DAI, ACL), mechanizmy QoS dla ruchu krytycznego, a także stos Dual-Stack IPv4/IPv6 dla gotowości do migracji na nowy protokół. W przypadku zdalnych oddziałów projekt zawiera również konfigurację bezpiecznych tuneli VPN Site-to-Site, zapewniających poufność i integralność danych przesyłanych przez sieć publiczną. Efektem końcowym jest oddanie kompletnego, w pełni udokumentowanego i przetestowanego systemu, gotowego do produkcyjnej eksploatacji.

• 1. Kompleksowa inwentaryzacja zasobów i analiza potrzeb biznesowych dla nowej infrastruktury sieciowej siedziby firmy.
• 2. Opracowanie zintegrowanego planu adresacji IPv4 i IPv6 z podziałem na segmenty LAN, DMZ i Management.
• 3. Konfiguracja fizycznej topologii przełączania z wykorzystaniem agregacji łączy LACP (EtherChannel) dla kluczowych połączeń.
• 4. Implementacja rutingu między-VLAN-owego na przełącznikach warstwy 3 oraz konfiguracja redundancji bramy domyślnej (HSRP).
• 5. Konfiguracja skalowalnej domeny rutingu dynamicznego OSPF obejmującej wszystkie segmenty sieci szkieletowej i oddziałów.
• 6. Wdrożenie bezpiecznej łączności z internetem poprzez ruter brzegowy z wykorzystaniem NAT/PAT oraz rozszerzonych list ACL.
• 7. Konfiguracja bezpiecznego tunelu VPN IPsec (Site-to-Site) do zdalnego oddziału firmy w celu bezpiecznej wymiany danych.
• 8. Implementacja wielowarstwowych zabezpieczeń warstwy dostępu (Port Security, DHCP Snooping, DAI, BPDU Guard).
• 9. Konfiguracja mechanizmów QoS (MQC) dla priorytetyzacji ruchu głosowego oraz krytycznych aplikacji biznesowych.
• 10. Aktywacja stosu Dual-Stack IPv4/IPv6 i zabezpieczenie dostępu do urządzeń sieciowych.
• 11. Przeprowadzenie kompleksowych testów funkcjonalnych, wydajnościowych i bezpieczeństwa.
• 12. Przygotowanie finalnego raportu z wdrożenia i dokumentacji powykonawczej.

• Kompletna segmentacja VLAN oraz ruting między-VLAN-owy (przełącznik warstwy 3 lub ruter-on-a-stick).
• Wdrożenie redundancji bramy HSRP oraz agregacji łączy LACP między przełącznikami.
• Ruting OSPF integrujący wszystkie podsieci w firmie.
• Zabezpieczenie dostępu do urządzeń (SSH) oraz filtrowanie ruchu ACL.
• Translacja NAT/PAT dla użytkowników lokalnych.

Dokumentacja tego projektu jest najbardziej obszerna i musi zawierać kompletne rozdziały dotyczące analizy potrzeb, doboru technologii, szczegółowego planu wdrożenia oraz scenariuszy testowych (testy akceptacyjne).

1. Analiza wymagań biznesowych i specyfikacja infrastruktury sieciowej.
2. Projektowanie topologii fizycznej i logicznej - dobór technologii i urządzeń.
3. Projekt adresacji IPv4/IPv6 i plan segmentacji sieci.
4. Implementacja infrastruktury przełączania z redundancją L2.
5. Konfiguracja rutingu i redundancji bramy domyślnej.
6. Wdrożenie zabezpieczeń warstwy 2 i 3.
7. Konfiguracja brzegu sieci i tuneli VPN.
8. Implementacja QoS dla ruchu krytycznego.
9. Testowanie funkcjonalne, wydajnościowe i bezpieczeństwa.
10. Dokumentacja powykonawcza i procedury eksploatacyjne.

Projekt zintegrowany (Capstone) wymaga łączenia wiedzy ze wszystkich poprzednich zadań, więc najlepiej zacząć od stworzenia spójnego planu obejmującego wszystkie warstwy infrastruktury. Podczas projektowania topologii fizycznej należy pamiętać o zasadzie hierarchii sieci (Core, Distribution, Access) oraz odpowiednim doborze urządzeń do każdej warstwy. Dokumentacja powinna zawierać nie tylko konfiguracje, ale także uzasadnienie podjętych decyzji projektowych i wyniki testów. Testy funkcjonalne powinny obejmować scenariusze awaryjne (testy przełączenia awaryjnego – failover) dla każdego mechanizmu redundancji, a testy bezpieczeństwa – próby ataków reprodukujące zagrożenia omówione w materiałach. Końcowy raport musi być kompletny i gotowy do przekazania jako dokumentacja powykonawcza dla zespołu obsługi.