Laboratorium: Sieci Transportu Danych (STD)

Środowisko: Cisco Packet Tracer
Instrukcja dla studenta:
Każde zadanie projektowe należy zrealizować w programie Cisco Packet Tracer. Dokumentacja (sprawozdanie) musi zawierać: treść zadania, opis wykonania, zestawienie użytych technologii z uzasadnieniem ich wyboru, zrzuty ekranu z topologią i konfiguracją, szczegółowy opis oraz uzasadnienie konfiguracji urządzeń, napotkane problemy i sposoby ich rozwiązania, a także sformułowane wnioski końcowe.

Spis zagadnień laboratoryjnych

  1. Analiza ścieżki i diagnostyka sieci transportowej
  2. Szkielet optyczny i agregacja łączy światłowodowych
  3. Dostęp szerokopasmowy xDSL i autoryzacja PPPoE
  4. Routing statyczny i bramy domyślne w architekturze ISP
  5. Segmentacja ruchu (VLAN) i inter-VLAN routing
  6. Wysoka dostępność — protokół HSRP na brzegu sieci
  7. Fundamenty MPLS — Przełączanie etykiet (LSR/LER)
  8. Protokół OSPF jako IGP w sieci transportowej
  9. Bezpieczeństwo brzegowe i translacja NAT/PAT
  10. Monitorowanie i hardening urządzeń sieciowych
01
Analiza ścieżki i diagnostyka sieci transportowej
Podstawa merytoryczna

Część 1 Modele OSI/TCP-IP, narzędzia diagnostyczne (ping, tracert), mechanizm TTL.

Scenariusz problemowy

Użytkownicy w sieci lokalnej zgłaszają sporadyczne problemy z dostępem do zasobów znajdujących się w innej części miasta. Jako inżynier wsparcia technicznego musisz zbadać strukturę połączeń między oddziałami. Wykorzystując terminale końcowe oraz urządzenia pośredniczące, przeprowadź dogłębną analizę drogi, jaką pokonują pakiety. Twoim zadaniem jest sprawdzenie, czy pakiety nie są odrzucane przez błędną konfigurację bram domyślnych lub zbyt niski parametr Time To Live (TTL). Pamiętaj, że w sieciach transportowych precyzyjna identyfikacja miejsca awarii (hopu) pozwala na skrócenie czasu przestoju.

Wymagania techniczne
  • Stworzenie topologii składającej się z dwóch podsieci LAN połączonych przez trzy routery ISP.
  • Poprawna adresacja interfejsów zgodnie ze schematem 192.168.x.x dla LAN oraz 10.x.x.x dla WAN.
  • Użycie polecenia ipconfig /all do weryfikacji konfiguracji hostów końcowych.
  • Wykonanie testów łączności ping między hostami w różnych podsieciach.
  • Wykorzystanie narzędzia tracert do identyfikacji wszystkich routerów pośredniczących.
  • Zbadanie zachowania sieci przy modyfikacji parametru TTL (w symulacji Packet Tracer).
  • Ustalenie, który router pełni rolę Bramy Domyślnej (Default Gateway) w każdej lokalizacji.
  • Udokumentowanie komunikatów ICMP (Echo Request/Reply) w trybie symulacji (Simulation Mode).
  • Sprawdzenie poprawności mapowania nazw na adresy IP (symulacja serwera DNS).
  • Weryfikacja tabel ARP na routerach po wykonaniu testów komunikacji.
  • Zabezpieczenie dostępu do trybu uprzywilejowanego routerów hasłem.
  • Opisanie znaczenia kodów odpowiedzi (np. "Destination host unreachable").
Wskazówki
  1. Podczas analizy wyników tracert, zwróć uwagę na czasy odpowiedzi każdego przeskoku.
  2. Jeśli którykolwiek z routerów nie odpowiada (gwiazdki), sprawdź, czy nie blokuje on ruchu ICMP lub czy posiada poprawną trasę powrotną.
  3. Pamiętaj, że pole TTL w nagłówku IP jest zmniejszane o 1 przez każdy router przesyłający pakiet.
  4. Gdy TTL osiągnie wartość 0, router odrzuca pakiet i wysyła komunikat ICMP Time Exceeded.
  5. Narzędzie traceroute wykorzystuje ten mechanizm, wysyłając pakiety z kolejno zwiększaną wartością TTL (1, 2, 3...), aby zidentyfikować kolejne hopy na ścieżce.
  6. W Packet Tracer możesz użyć trybu symulacji (Simulation Mode) do podglądu pakietów ICMP i ich nagłówków.
  7. Upewnij się również, że bramy domyślne na komputerach są skonfigurowane poprawnie — bez nich hosty nie będą mogły komunikować się poza własną podsieć.
  8. Do weryfikacji konfiguracji użyj polecenia ipconfig /all, które wyświetli adres IP, maskę podsieci, bramę domyślną oraz adresy serwerów DNS.
Wnioski do opracowania

Wyjaśnij, w jaki sposób narzędzie traceroute wykorzystuje pole TTL nagłówka IP do odkrywania ścieżki. Opisz szczegółowo mechanizm działania protokołu ICMP w kontekście diagnostyki sieci. Uzasadnij, dlaczego ICMP jest wykorzystywany jako podstawowe narzędzie diagnostyczne w warstwie trzeciej modelu OSI. Wytłumacz, jakie informacje zawierają komunikaty ICMP typu Echo Request i Echo Reply oraz dlaczego odpowiedź "Destination host unreachable" może wskazywać na problem z konfiguracją routingu lub tabelą ARP. Omów również znaczenie protokołu ARP w procesie komunikacji między hostami w tej samej podsieci oraz rolę bramy domyślnej przy komunikacji z sieciami zewnętrznymi.

Przykładowe polecenia CLI
! Konfiguracja interfejsów na routerze R1 R1# configure terminal R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit ! Konfiguracja interfejsu WAN R1(config)# interface Serial0/0/0 R1(config-if)# ip address 10.0.0.1 255.255.255.252 R1(config-if)# no shutdown R1(config-if)# exit ! Zabezpieczenie routera - ustawienie hasła R1(config)# enable secret class R1(config)# line con 0 R1(config-line)# password cisco R1(config-line)# login R1(config-line)# exit ! Weryfikacja konfiguracji IP R1# show ip interface brief ! Testowanie łączności R1# ping 192.168.1.10 R1# traceroute 192.168.2.10 ! Weryfikacja tabeli routingu R1# show ip route ! Weryfikacja tabeli ARP R1# show arp
Topologia zadania 01
02
Szkielet optyczny i agregacja łączy światłowodowych
Podstawa merytoryczna

Część 2 Światłowody SMF/MMF, złącza optyczne, agregacja EtherChannel (LACP).

Scenariusz problemowy

Główny węzeł dystrybucyjny firmy obsługuje coraz większy ruch, co powoduje nasycenie pojedynczych łączy gigabitowych. Zarząd zdecydował o wymianie okablowania miedzianego na światłowodowe oraz wdrożeniu mechanizmu agregacji łączy, aby zwiększyć dostępną przepustowość i zapewnić redundancję. Twoim zadaniem jest połączenie dwóch switchy warstwy trzeciej za pomocą dwóch równoległych par włókien światłowodowych i skonfigurowanie ich jako jednego interfejsu logicznego. Musisz zapewnić, aby w przypadku fizycznego uszkodzenia jednego z włókien, ruch był nieprzerwanie przesyłany drugim kablem bez zmiany konfiguracji logicznej.

Wymagania techniczne
  • Użycie switchy wielowarstwowych (np. 3560 lub 3650) obsługujących wkładki SFP.
  • Połączenie urządzeń za pomocą dwóch kabli Copper Straight-Through lub Cross-Over (Uwaga: Packet Tracer nie obsługuje fizycznie kabli światłowodowych Fiber do łączenia switchy - należy użyć kabli miedzianych Ethernet).
  • Konfiguracja protokołu LACP (Link Aggregation Control Protocol) na obu przełącznikach lub trybu manualnego "on".
  • Stworzenie interfejsu interface Port-channel 1.
  • Przypisanie fizycznych portów do grupy kanałów za pomocą channel-group 1 mode active lub channel-group 1 mode on (tryb manualny).
  • Ustawienie interfejsu Port-channel jako trunk dla przesyłu wielu VLANów.
  • Weryfikacja statusu agregacji poleceniem show etherchannel summary.
  • Sprawdzenie przepustowości logicznego kanału (powinna wynosić 2 Gbps dla dwóch portów 1Gbps).
  • Przeprowadzenie testu odporności poprzez odłączenie jednego z kabli w trybie Realtime.
  • Dokumentacja komunikatów systemowych (syslog) informujących o zmianie stanu łącza.
  • Konfiguracja poprawnych opisów (description) dla interfejsu Port-channel.
  • Weryfikacja działania protokołu Spanning Tree (STP) w kontekście EtherChannel.
Wskazówki
  1. Pamiętaj, że wszystkie parametry fizyczne portów (prędkość, duplex, typ medium) muszą być identyczne we wszystkich członkach grupy Port-channel.
  2. W Packet Tracer należy użyć kabli Copper Straight-Through lub Cross-Over (nie ma fizycznej możliwości użycia kabli Fiber w tym środowisku symulacyjnym).
  3. W starszych wersjach PT konfiguracja Port-channel wymaga trybu "channel-group 1 mode on" zamiast LACP.
  4. Przed konfiguracją EtherChannel upewnij się, że interfejsy fizyczne nie mają przypisanego adresu IP — adres IP należy nadać dopiero na interfejsie Port-channel.
  5. Aby włączyć routing na switchu wielowarstwowym, użyj polecenia ip routing w trybie konfiguracji globalnej.
  6. Weryfikację poprawności konfiguracji rozpocznij od polecenia show etherchannel summary, które powinno wyświetlić status "SU" (Layer 2 EtherChannel) lub "R" (Layer 3 EtherChannel).
  7. Pamiętaj również o włączeniu protokołu Spanning Tree na portach wchodzących w skład EtherChannel — STP nadal działa, ale blokuje tylko jeden fizyczny port w grupie, co zapobiega pętlom w sieci.
Wnioski do opracowania

Opisz zalety stosowania światłowodów jednomodowych (SMF) nad wielomodowymi (MMF) w sieciach szkieletowych, ze szczególnym uwzględnieniem zasięgu transmisyjnego i przepustowości. Wyjaśnij, czym różnią się światłowody SMF od MMF pod względem średnicy rdzenia i dyspersji modalnej. Uzasadnij wpływ agregacji łączy na wydajność i niezawodność sieci transportowej. Omów, w jaki sposób EtherChannel zapewnia redundancję — gdy jeden z fizycznych linków ulegnie awarii, ruch jest automatycznie przekierowany pozostałymi linkami bez utraty sesji. Wyjaśnij również różnicę między protokołami LACP i PAgP oraz wskaż, który z nich jest preferowany w środowiskach wielovendorowych. Na koniec przedstaw, jakie korzyści niesie ze sobą zwiększona przepustowość logicznego kanału (w tym przypadku 2 Gbps) dla aplikacji wrażliwych na opóźnienia.

Przykładowe polecenia CLI
! Konfiguracja EtherChannel z LACP na Switch1 Switch1# configure terminal Switch1(config)# vlan 10 Switch1(config-vlan)# name ADMIN Switch1(config-vlan)# exit Switch1(config)# vlan 20 Switch1(config-vlan)# name GOŚCIE Switch1(config-vlan)# exit ! Tworzenie Port-channel i przypisanie do trunk Switch1(config)# interface Port-channel 1 Switch1(config-if)# switchport mode trunk Switch1(config-if)# switchport trunk allowed vlan 10,20 Switch1(config-if)# description POLACZENIE_DO_SW2 Switch1(config-if)# exit ! Przypisanie portów do grupy EtherChannel Switch1(config)# interface range GigabitEthernet0/1 - 2 Switch1(config-if-range)# channel-protocol lacp Switch1(config-if-range)# channel-group 1 mode active Switch1(config-if-range)# switchport mode trunk Switch1(config-if-range)# exit ! Weryfikacja EtherChannel Switch1# show etherchannel summary Switch1# show interfaces trunk Switch1# show spanning-tree
03
Dostęp szerokopasmowy xDSL i autoryzacja PPPoE
Podstawa merytoryczna

Część 5 Technologie xDSL, DSLAM, protokół PPPoE, modulacja sygnału.

Scenariusz problemowy

Lokalny operator telekomunikacyjny świadczy usługi dostępu do Internetu wykorzystując istniejącą infrastrukturę miedzianą (POTS). Jako technik musisz przygotować stanowisko testowe emulujące dostęp klienta indywidualnego do sieci poprzez modem ADSL. Musisz skonfigurować koncentrator dostępowy (DSLAM) oraz router brzegowy klienta tak, aby nawiązały połączenie sesyjne za pomocą protokołu PPPoE. Twoim celem jest poprawne przejście procesu autoryzacji login/hasło i uzyskanie publicznego adresu IP dla routera domowego z puli operatora.

Wymagania techniczne
  • Użycie urządzenia "DSL Modem" połączonego z chmurą ISP ("Cloud-PT").
  • Konfiguracja interfejsu Dial-up na ruterze domowym (konfiguracja klienta PPPoE).
  • Dodanie na ruterze domowym komendy pppoe-client dial-pool-number 1.
  • Stworzenie interfejsu interface Dialer1 z kapsułkowaniem PPP.
  • Ustawienie autoryzacji ppp authentication pap lub chap.
  • Konfiguracja serwera PPPoE po stronie routera ISP (serwer pppoe).
  • Stworzenie lokalnej bazy użytkowników na ruterze ISP dla klienta.
  • Definicja puli adresów IP (ip local pool) przydzielanej klientom DSL.
  • Weryfikacja statusu połączenia poleceniem show ip interface brief (sprawdzenie adresu Dialer).
  • Sprawdzenie tablicy routingu (brama domyślna powinna wskazywać na Dialer).
  • Dokumentacja narzutu protokołu PPPoE (mechanizm MTU/MSS clamping).
  • Użycie debug ppp negotiation w celu analizy fazy autoryzacji.
Wskazówki
  1. W Packet Tracer chmura (Cloud-PT) musi być odpowiednio skonfigurowana w zakładce "Config" -> "DSL", aby zmapować odpowiedni port modemu do portu Ethernet routera ISP.
  2. Uważaj na parametr MTU – PPPoE dodaje 8 bajtów nagłówka, co często wymaga obniżenia MTU do 1492 bajtów na interfejsie Dialer.
  3. W przypadku problemów z transmisją danych sprawdź również ustawienie MSS clamping na wartość 1452 bajtów.
  4. Podczas konfiguracji serwera PPPoE na routerze ISP pamiętaj o utworzeniu grupy VPDN (Virtual Private Dialup Network) oraz interfejsu Virtual-Template z poprawnymi parametrami IP.
  5. Użyj polecenia debug ppp negotiation do śledzenia procesu negocjacji PPP — pozwoli to zidentyfikować problem z autoryzacją lub przydzielaniem adresu IP.
  6. Upewnij się, że serwer PPPoE ma skonfigurowaną pulę adresów (ip local pool) oraz że interfejs fizyczny (np. GigabitEthernet) ma włączone PPPoE poleceniem pppoe enable.
  7. Na routerze klienckim interfejs Dialer musi mieć skonfigurowany numer puli dialera odpowiadający wartości w poleceniu pppoe-client dial-pool-number.
Wnioski do opracowania

Wyjaśnij, dlaczego technologia ADSL jest asymetryczna i jakie pasma częstotliwości są rezerwowane dla pobierania i wysyłania danych. Opisz rolę splittera (rozdzielacza) w instalacji abonenckiej POTS/DSL oraz wyjaśnij, jak splitter oddziela pasmo głosowe od pasma danych. Omów protokół PPPoE i uzasadnij, dlaczego jest on wykorzystywany przez operatorów ISP do zarządzania sesjami klientów. Wyjaśnij różnicę między autoryzacją PAP i CHAP oraz wskaż, która z nich zapewnia większe bezpieczeństwo i dlaczego. Opisz również proces negocjacji IPCP (IP Control Protocol) w ramach PPP, który umożliwia przydzielenie dynamicznego adresu IP klientowi.

Przykładowe polecenia CLI
! Konfiguracja serwera PPPoE na routerze ISP ISP# configure terminal ISP(config)# username klient1 password cisco123 ISP(config)# ip local pool DSL-POOL 84.3.98.2 84.3.98.6 ISP(config)# bba-group pppoe global ISP-PPPOE ISP(config-bba-group)# virtual-template 1 ISP(config-bba-group)# exit ISP(config)# interface Virtual-Template 1 ISP(config-if)# ip address 84.3.98.1 255.255.255.248 ISP(config-if)# peer default ip address pool DSL-POOL ISP(config-if)# ppp authentication chap ISP(config-if)# exit ISP(config)# interface GigabitEthernet0/0 ISP(config-if)# pppoe enable group ISP-PPPOE ISP(config-if)# no shutdown ! Konfiguracja klienta PPPoE na routerze domowym Client# configure terminal Client(config)# interface GigabitEthernet0/0 Client(config-if)# pppoe-client dial-pool-number 1 Client(config-if)# no shutdown Client(config-if)# exit Client(config)# interface Dialer1 Client(config-if)# mtu 1492 Client(config-if)# ip address negotiated Client(config-if)# encapsulation ppp Client(config-if)# dialer pool 1 Client(config-if)# ppp authentication chap callin Client(config-if)# ppp chap hostname klient1 Client(config-if)# ppp chap password cisco123 Client(config-if)# exit Client(config)# ip route 0.0.0.0 0.0.0.0 Dialer1 ! Weryfikacja połączenia PPPoE Client# show ip interface brief Client# show ppp session
Topologia zadania 03
04
Routing statyczny i bramy domyślne w architekturze ISP
Podstawa merytoryczna

Część 1 Adresowanie IP, podsieci, routing hop-by-hop.

Scenariusz problemowy

Firma posiada dwa odległe biura połączone przez sieć operatora ISP. Routery operatora nie uczestniczą w wymianie tras z sieciami lokalnymi klienta (ukryta struktura transportowa). Musisz ręcznie zaprogramować routery brzegowe obu oddziałów tak, aby potrafiły komunikować się między sobą. Kluczem do sukcesu jest zrozumienie, że router nie widzi sieci, które nie są do niego bezpośrednio podłączone. Twoim zadaniem jest stworzenie stabilnego połączenia "end-to-end" poprzez zestawienie tras statycznych oraz poprawną konfigurację bram domyślnych na hostach wewnątrz firm.

Wymagania techniczne
  • Implementacja topologii z minimum czterema routerami (2x Klient, 2x ISP).
  • Podział dostępnej puli adresowej 10.0.0.0/8 na mniejsze podsieci dla łącz punkt-punkt (/30).
  • Konfiguracja polecenia ip route [network] [mask] [next-hop] na routerach brzegowych.
  • Ustawienie trasy domyślnej ip route 0.0.0.0 0.0.0.0 [provider-ip] dla wyjścia w świat.
  • Zapewnienie "widoczności" tras powrotnych na wszystkich węzłach (uniknięcie asymetrii).
  • Weryfikacja tabel routingu poleceniem show ip route.
  • Wykonanie testów ping z komputera w Oddziale A do komputera w Oddziale B.
  • Użycie polecenia show ip route connected do analizy lokalnych interfejsów.
  • Konfiguracja interfejsów Loopback na routerach jako adresów zarządzania.
  • Analiza błędu "Default gateway is not set" na przełącznikach warstwy drugiej.
  • Udokumentowanie ścieżki pakietu za pomocą traceroute.
  • Zabezpieczenie routerów przed nieautoryzowanym dostępem do konsoli (line con 0).
Wskazówki
  1. Pamiętaj, że routing statyczny jest jednokierunkowy. Jeśli dodasz trasę z A do B, musisz również pamiętać o trasie powrotnej z B do A.
  2. Brak trasy powrotnej to najczęstsza przyczyna problemów w zadaniach z warstwy trzeciej.
  3. Podczas planowania adresacji sieci WAN użyj podsieci /30 (punkt do punktu) dla każdego łącza między routerami — zapewni to minimalne zużycie przestrzeni adresowej.
  4. Trasa domyślna (ip route 0.0.0.0 0.0.0.0) powinna wskazywać na najbliższy router ISP i być skonfigurowana tylko na routerach klienta, nie na routerach ISP.
  5. Użyj polecenia show ip route static do wyświetlenia tylko tras statycznych w tabeli routingu.
  6. Interfejsy Loopback (np. loopback 0 z adresem 10.0.0.1/32) są przydatne do testowania routingu, ponieważ są zawsze w stanie "up" niezależnie od stanu fizycznych interfejsów.
  7. Pamiętaj, że przełączniki warstwy drugiej (L2) nie posiadają bramy domyślnej w tradycyjnym rozumieniu — do komunikacji z sieciami zewnętrznymi wymagają skonfigurowanego polecenia ip default-gateway.
Wnioski do opracowania

Przedstaw zalety i wady routingu statycznego w porównaniu do protokołów dynamicznych. Wyjaśnij pojęcie "Administrative Distance" i jego znaczenie w wyborze najlepszej trasy przez router. Opisz, w jaki sposób router podejmuje decyzję o przesłaniu pakietu, gdy dostępnych jest wiele tras do tej samej sieci docelowej. Wyjaśnij, czym różni się trasa statyczna od trasy domyślnej i w jakich scenariuszach każda z nich znajduje zastosowanie. Omów również problem asymetrii routingu i jej potencjalne konsekwencje dla działania sieci.

Przykładowe polecenia CLI
! Konfiguracja routingu statycznego na routerze brzegowym R1# configure terminal R1(config)# interface Loopback0 R1(config-if)# ip address 10.0.0.1 255.255.255.255 R1(config-if)# exit R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# interface Serial0/0/0 R1(config-if)# ip address 10.0.12.1 255.255.255.252 R1(config-if)# no shutdown R1(config-if)# exit ! Konfiguracja tras statycznych R1(config)# ip route 192.168.2.0 255.255.255.0 10.0.12.2 R1(config)# ip route 0.0.0.0 0.0.0.0 10.0.12.2 ! Zabezpieczenie konsoli R1(config)# line con 0 R1(config-line)# password cisco R1(config-line)# login R1(config-line)# exit ! Weryfikacja tabeli routingu R1# show ip route R1# show ip route static R1# show ip route connected
Topologia zadania 04
05
Segmentacja ruchu (VLAN) i inter-VLAN routing
Podstawa merytoryczna

Część 1 Topologie sieciowe, Część 3 Warstwa 2 Models, 802.1Q Trunking.

Scenariusz problemowy

Nowoczesna sieć transportowa musi zapewniać logiczną izolację różnych działów firmy w obrębie tej samej infrastruktury fizycznej. Jako administrator musisz skonfigurować VLANy dla działów Administracji i Gości. Twoim celem jest zapewnienie, aby komputery z różnych VLANów nie mogły się widzieć bezpośrednio na poziomie przełącznika (L2), ale miały możliwość komunikacji przez router (L3) w sytuacjach, gdy jest to wymagane przez politykę bezpieczeństwa. Wykorzystasz do tego technikę "Router-on-a-stick".

Wymagania techniczne
  • Stworzenie bazy VLAN na switchu (VLAN 10 i VLAN 20).
  • Przypisanie portów dostępowych (access ports) do odpowiednich VLANów.
  • Konfiguracja portu trunk między switchem a routerem (dot1Q).
  • Konfiguracja subinterfejsów na routerze (np. Gig0/0.10).
  • Przypisanie enkapsulacji encapsulation dot1Q 10 dla każdego subinterfejsu.
  • Nadanie adresów IP subinterfejsom działającym jako bramy dla poszczególnych VLANów.
  • Weryfikacja działania mechanizmu VLAN Trunking Protocol (VTP) w teorii.
  • Sprawdzenie łączności między hostami w tym samym VLANie i między różnymi VLANami.
  • Analiza komunikatów protokołu STP przy przełączaniu portów.
  • Wyświetlenie tablicy MAC przełącznika poleceniem show mac-address-table.
  • Udokumentowanie różnicy w adresacji IP i bramach dla obu podsieci.
  • Dodanie trzeciego VLANu dla personelu IT i sprawdzenie jego izolacji.
Wskazówki
  1. Upewnij się, że numer VLAN w definicji subinterfejsu na routerze zgadza się z numerem VLAN utworzonym na switchu.
  2. Zapomnienie o komendzie no shutdown na interfejsie fizycznym routera (pod którym są subinterfejsy) to częsty błąd – subinterfejsy pozostaną wyłączone.
  3. Pamiętaj, że interfejs fizyczny musi być skonfigurowany jako no switchport (dla routera) lub switchport mode trunk (dla interfejsu łączącego switch z routerem).
  4. Przed konfiguracją VTP sprawdź tryb pracy przełącznika (Server, Client, Transparent) — tylko tryb Server może tworzyć i modyfikować VLANy.
  5. W Packet Tracer VLANy tworzy się w trybie konfiguracji globalnej poleceniem vlan [numer], a następnie przypisuje do portów access za pomocą switchport mode access i switchport access vlan [numer].
  6. Do weryfikacji użyj poleceń show vlan brief oraz show interfaces trunk.
Wnioski do opracowania

Uzasadnij potrzebę stosowania VLANów w kontekście ograniczenia domen rozgłoszeniowych (broadcast domains). Wyjaśnij, jak technologia 802.1Q pozwala na przesyłanie informacji o VLANach jednym kablem poprzez dodanie znacznika (tag) w ramce Ethernet. Opisz różnicę między sieciami VLAN a podsieciami — choć często pokrywają się, nie jest to wymagane. Omów, dlaczego komunikacja między VLANami wymaga urządzenia warstwy trzeciej (routera lub switcha L3). Wyjaśnij pojęcie inter-VLAN routing i przedstaw różne metody jego realizacji (router-on-a-stick, switch L3, routing na SVI). Na koniec opisz korzyści z separacji ruchu w sieciach przedsiębiorstwa.

Przykładowe polecenia CLI
! Konfiguracja VLAN na switchu Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name ADMIN Switch(config-vlan)# exit Switch(config)# vlan 20 Switch(config-vlan)# name GOŚCIE Switch(config-vlan)# exit Switch(config)# vlan 30 Switch(config-vlan)# name IT Switch(config-vlan)# exit ! Przypisanie portów do VLAN Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# exit Switch(config)# interface FastEthernet0/2 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 20 Switch(config-if)# exit ! Konfiguracja trunku do routera Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# exit ! Konfiguracja subinterfejsów na routerze Router(config)# interface GigabitEthernet0/0.10 Router(config-subif)# encapsulation dot1Q 10 Router(config-subif)# ip address 192.168.10.1 255.255.255.0 Router(config-subif)# exit Router(config)# interface GigabitEthernet0/0.20 Router(config-subif)# encapsulation dot1Q 20 Router(config-subif)# ip address 192.168.20.1 255.255.255.0 Router(config-subif)# exit Router(config)# interface GigabitEthernet0/0 Router(config-if)# no shutdown ! Weryfikacja VLAN Switch# show vlan brief Switch# show mac-address-table Switch# show interfaces trunk
Topologia zadania 05
06
Wysoka dostępność — protokół HSRP na brzegu sieci
Podstawa merytoryczna

Część 1 Topologia gwiazdy, niezawodność, FHRP (First Hop Redundancy Protocols).

Scenariusz problemowy

Kluczowe systemy transportowe firmy wymagają dostępności na poziomie 99,99%. Awaria pojedynczego routera brzegowego skutkuje całkowitym odcięciem biura od świata. Musisz wdrożyć mechanizm nadmiarowości bramy domyślnej, wykorzystując dwa routery pracujące pod jednym wirtualnym adresem IP. Dzięki temu, w przypadku awarii jednego ze sprzętów, drugi przejmie jego funkcję w sposób przezroczysty dla użytkowników końcowych. Jest to fundament projektowania profesjonalnych sieci transportu danych.

Wymagania techniczne
  • Dodanie do topologii dwóch routerów brzegowych podłączonych do tego samego switcha LAN.
  • Konfiguracja protokołu HSRP (Hot Standby Router Protocol) w wersji 2.
  • Ustawienie wirtualnego adresu IP (VIP) np. 192.168.1.254 jako bramy dla hostów.
  • Ustawienie priorytetów dla routerów w celu wyłonienia routera Active i Standby.
  • Konfiguracja mechanizmu preemption (powrót roli po restarcie).
  • Użycie polecenia show standby brief do weryfikacji ról urządzeń.
  • Wykonanie testu ciągłości połączenia (ping -t) z komputera podczas wyłączania routera Active.
  • Analiza wirtualnego adresu MAC przydzielanego przez HSRP.
  • Ustawienie mechanizmu śledzenia interfejsu WAN (tracking) – wpływ stanu WAN na priorytet HSRP.
  • Dokumentacja komunikatów przechodzenia stanów: Speak -> Standby -> Active.
  • Ustawienie haseł uwierzytelniających dla komunikatów HSRP.
  • Zapewnienie identycznej konfiguracji usług (NAT, ACL) na obu routerach.
Wskazówki
  1. Wirtualny adres IP (VIP) musi znajdować się w tej samej podsieci co adresy fizyczne interfejsów routerów, ale nie może być przypisany do żadnego z nich jako adres fizyczny.
  2. Komputery w sieci powinny mieć ustawiony VIP jako swoją Bramę Domyślną.
  3. Domyślna wartość priorytetu w HSRP wynosi 100 — router z wyższym priorytetem zostanie routerem Active.
  4. Aby wymusić przejęcie roli przez router o wyższym priorytecie po jego awarii i powrocie, włącz mechanizm preemption poleceniem standby [numer] preempt.
  5. Funkcja track pozwala na dynamiczne obniżenie priorytetu HSRP, gdy śledzony interfejs (np. łącze WAN) przejdzie w stan down — router Standby przejmie wtedy rolę Active.
  6. HSRP używa adresu MAC w formacie 0000.0c07.acXX, gdzie XX to numer grupy w systemie szesnastkowym.
  7. Weryfikuj stan HSRP poleceniem show standby brief.
Wnioski do opracowania

Wyjaśnij różnicę między protokołami HSRP (Cisco) a otwartym standardem VRRP (Virtual Router Redundancy Protocol). Wskaż główne różnice w zakresie multicast address, numeracji grup i zachowania priorytetów. Wyjaśnij, dlaczego mechanizm "tracking" jest kluczowy dla poprawności działania bramy nadmiarowej w dostępie do Internetu — bez niego router mógłby pozostać Active mimo niedostępności łącza WAN. Opisz stany HSRP (Init, Listen, Speak, Standby, Active) i czas potrzebny na przełączenie. Omów również scenariusz, w którym oba routery mają identyczny priorytet — który z nich zostanie wybrany i dlaczego.

Przykładowe polecenia CLI
! Konfiguracja HSRP na routerze Active (R1) R1# configure terminal R1(config)# interface GigabitEthernet0/0 R1(config-if)# standby version 2 R1(config-if)# standby 1 ip 192.168.1.254 R1(config-if)# standby 1 priority 110 R1(config-if)# standby 1 preempt R1(config-if)# standby 1 track Serial0/0/0 R1(config-if)# standby 1 authentication md5 key-string cisco123 R1(config-if)# exit ! Konfiguracja HSRP na routerze Standby (R2) R2# configure terminal R2(config)# interface GigabitEthernet0/0 R2(config-if)# standby version 2 R2(config-if)# standby 1 ip 192.168.1.254 R2(config-if)# standby 1 priority 100 R2(config-if)# standby 1 preempt R2(config-if)# standby 1 authentication md5 key-string cisco123 R2(config-if)# exit ! Weryfikacja stanu HSRP R1# show standby brief R1# show standby R1# debug standby
Topologia zadania 06
07
Fundamenty MPLS — Przełączanie etykiet (LSR/LER)
Podstawa merytoryczna

Część 3 Multiprotocol Label Switching (MPLS), nagłówek etykiety, routery LSR i LER.

Scenariusz problemowy

Jako inżynier w sieci operatora szkieletowego musisz uruchomić szkielet MPLS wewnątrz chmury ISP. Tradycyjny routing IP oparty na tablicach routingu (najdłuższe dopasowanie prefiksu) zostanie zastąpiony szybszym przełączaniem bazującym na krótkich etykietach o stałej długości. Musisz skonfigurować routery rdzeniowe tak, aby wymieniały się etykietami dla sieci wewnętrznych operatora. To zadanie pozwoli Ci zrozumieć fundamenty dzisiejszych sieci WAN i usług VPN warstwy trzeciej.

Wymagania techniczne
  • Zbudowanie liniowej topologii szkieletowej z 3-4 routerów ISP.
  • Włączenie CEF poleceniem ip cef (wymagane dla MPLS w rzeczywistym IOS, w PT symulowane).
  • Uruchomienie procesu mpls ip globalnie na wszystkich routerach ISP.
  • Aktywacja protokołu mpls ip na wszystkich interfejsach wewnętrznych.
  • Uruchomienie prostego routingu IGP (np. OSPF z loopbackami), aby routery znały swoje adresy Loopback.
  • Weryfikacja sąsiedztwa protokołu LDP poleceniem show mpls ldp neighbor (Uwaga: w PT może nie działać w pełni, stosować polecenia weryfikacyjne).
  • Analiza tablicy LFIB (Label Forwarding Information Base) za pomocą show mpls forwarding-table.
  • Zidentyfikowanie ról routerów: LER (wejściowy/wyjściowy) i LSR (tranzytowy).
  • Wykonanie testu traceroute między brzegami chmury i obserwacja zachowania pakietów.
  • Udokumentowanie procesu operacji na etykietach: PUSH, SWAP, POP (opis teoretyczny + weryfikacja w PT).
  • Sprawdzenie statusu interfejsów MPLS za pomocą show mpls interfaces.
  • Analiza nagłówka MPLS w trybie symulacji (pole Label, EXP, S, TTL) jeśli dostępne w PT.
Wskazówki
  1. MPLS do poprawnego działania wymaga działającego routingu IP pod spodem (Underlay). Zanim włączysz MPLS, upewnij się, że routery mogą do siebie "pingować" po adresach Loopback.
  2. W Packet Tracer funkcjonalność MPLS jest ograniczona do podstawowej konfiguracji poleceń mpls ip bez pełnej symulacji LDP. Opis teoretyczny operacji etykietowania pozostaje kluczowy dla zrozumienia technologii.
  3. Pamiętaj o włączeniu CEF poleceniem ip cef przed aktywacją MPLS — w rzeczywistym IOS CEF jest wymagany dla działania przełączania po etykietach.
  4. Adresy Loopback z maską /32 są niezbędne do poprawnego działania LDP i identyfikacji routerów w sieci MPLS.
  5. Użyj polecenia show mpls ldp bindings do weryfikacji przydzielonych etykiet dla tras.
  6. Włączenie MPLS na interfejsie odbywa się poleceniem mpls ip w trybie konfiguracji interfejsu.
Wnioski do opracowania

Wyjaśnij, dlaczego MPLS nazywany jest protokołem warstwy 2.5 — operuje między warstwą 2 (łącza danych) a warstwą 3 (sieciową) modelu OSI. Przedstaw korzyści z zastosowania przełączania po etykietach w dużych sieciach operatorskich w porównaniu do klasycznego routingu IP, ze szczególnym uwzględnieniem szybkości przesyłania pakietów i niezależności od protokołu warstwy 3. Opisz operacje na etykietach: PUSH (dodanie etykiety na wejściu do sieci MPLS), SWAP (zamiana etykiety podczas tranzytu przez LSR) i POP (usunięcie etykiety na wyjściu z sieci MPLS). Wyjaśnij różnicę między routerami LER (Label Edge Router) a LSR (Label Switching Router). Omów również protokół LDP (Label Distribution Protocol) i jego rolę w dystrybucji etykiet między routerami.

Przykładowe polecenia CLI
! Włączenie CEF na routerach MPLS PE1# configure terminal PE1(config)# ip cef PE1(config)# exit ! Konfiguracja adresów Loopback dla LDP PE1(config)# interface Loopback0 PE1(config-if)# ip address 10.0.0.1 255.255.255.255 PE1(config-if)# no shutdown PE1(config-if)# exit ! Włączenie MPLS na interfejsach wewnętrznych PE1(config)# interface Serial0/0/0 PE1(config-if)# mpls ip PE1(config-if)# exit PE1(config)# interface Serial0/0/1 PE1(config-if)# mpls ip PE1(config-if)# exit ! Konfiguracja routingu IGP (OSPF) dla adresów Loopback PE1(config)# router ospf 1 PE1(config-router)# network 10.0.0.0 0.0.0.255 area 0 PE1(config-router)# exit ! Weryfikacja MPLS PE1# show mpls interfaces PE1# show mpls ldp neighbor PE1# show mpls forwarding-table PE1# show mpls ldp bindings
Topologia zadania 07
08
Protokół OSPF jako IGP w sieci transportowej
Podstawa merytoryczna

Część 3 Protokoły stanu łącza (Link-State), routing dynamiczny, hierarchia OSPF.

Scenariusz problemowy

Ręczne zarządzanie trasami statycznymi w rozrastającej się sieci transportowej staje się niemożliwe. Jako administrator musisz wdrożyć protokół OSPF (Open Shortest Path First), który automatycznie wykryje topologię sieci i wyznaczy najkrótsze ścieżki do celów. System musi być odporny na awarie – w przypadku przecięcia kabla, OSPF powinien w ciągu kilku sekund przekierować ruch trasą zapasową. Skupisz się na budowie szkieletu w obszarze Area 0.

Wymagania techniczne
  • Konfiguracja procesu router ospf 1 na wszystkich routerach w topologii.
  • Nadanie unikalnych router-id dla każdego urządzenia.
  • Ogłoszenie podsieci do procesu OSPF za pomocą polecenia network [address] [wildcard] area 0.
  • Ustawienie opisu passive-interface na interfejsach skierowanych do użytkowników.
  • Weryfikacja sąsiedztwa protokołu OSPF poleceniem show ip ospf neighbor (status FULL).
  • Analiza bazy danych stanu łącza za pomocą show ip ospf database.
  • Sprawdzenie tablicy routingu i tras oznaczonych literą "O".
  • Wykonanie testu odporności (odłączenie kabla) i analiza logów informujących o przeliczeniu SPF.
  • Udokumentowanie kosztu (metric) dla różnych typów łączy (Serial vs Gigabit).
  • Konfiguracja uwierzytelniania MD5 dla komunikatów routingu.
  • Użycie debug ip ospf events do obserwacji wymiany pakietów Hello.
  • Optymalizacja czasów Hello/Dead (opcjonalnie dla przyspieszenia zbieżności).
Wskazówki
  1. Wildcard mask używana w OSPF to odwrócona maska podsieci (zera stają się jedynkami). Na przykład dla maski 255.255.255.252 wildcard wynosi 0.0.0.3.
  2. Błędna maska wildcard to najczęstszy powód, dla którego router nie ogłasza swoich sieci.
  3. Domyślny interwał Hello w OSPF wynosi 10 sekund dla sieci broadcast (Ethernet) i 30 sekund dla sieci point-to-point. Czas Dead jest czterokrotnością czasu Hello.
  4. Router-id w OSPF jest wybierany automatycznie na podstawie najwyższego adresu IP interfejsu loopback lub fizycznego — zaleca się jawne skonfigurowanie router-id poleceniem router-id x.x.x.x.
  5. Aby przyspieszyć zbieżność sieci, można zmniejszyć czasy Hello/Dead, ale należy to robić ostrożnie, aby nie przeciążyć routerów.
  6. Polecenie show ip ospf neighbor powinno pokazać stan FULL dla wszystkich sąsiadów — stan 2-WAY jest normalny dla sieci broadcast z wybranym DR i BDR.
Wnioski do opracowania

Opisz zasadę działania algorytmu Dijkstry (SPF) w wyznaczaniu najkrótszej drogi do sieci docelowej na podstawie kosztów łączy. Uzasadnij, dlaczego interfejsy skierowane do sieci lokalnych LAN powinny być ustawione jako pasywne — zapobiega to generowaniu niepotrzebnych pakietów Hello na interfejsach, gdzie nie ma sąsiadów OSPF. Wyjaśnij różnicę między routerami wewnętrznymi (Internal), brzegowymi (Area Border), i szkieletowymi (Backbone) w hierarchii OSPF. Omów rolę Designated Router (DR) i Backup DR w sieciach broadcast multiaccess. Opisz typy LSA (Link State Advertisement) wykorzystywane w OSPF: LSA typu 1 (Router LSA), LSA typu 2 (Network LSA), LSA typu 3 (Summary LSA). Wyjaśnij również, dlaczego uwierzytelnianie MD5 jest zalecane w produkcyjnych sieciach OSPF.

Przykładowe polecenia CLI
! Konfiguracja OSPF na routerze R1# configure terminal R1(config)# router ospf 1 R1(config-router)# router-id 1.1.1.1 R1(config-router)# network 192.168.1.0 0.0.0.255 area 0 R1(config-router)# network 10.0.12.0 0.0.0.3 area 0 R1(config-router)# network 10.0.13.0 0.0.0.3 area 0 R1(config-router)# exit ! Ustawienie interfejsów LAN jako pasywne R1(config)# router ospf 1 R1(config-router)# passive-interface GigabitEthernet0/0 R1(config-router)# exit ! Konfiguracja uwierzytelniania MD5 R1(config)# router ospf 1 R1(config-router)# area 0 authentication message-digest R1(config-router)# exit R1(config)# interface Serial0/0/0 R1(config-if)# ip ospf message-digest-key 1 md5 cisco123 R1(config-if)# exit ! Optymalizacja czasów zbieżności R1(config)# router ospf 1 R1(config-router)# timers spf 2 5 R1(config-router)# timers throttle spf 100 10000 20000 R1(config-router)# exit ! Weryfikacja OSPF R1# show ip ospf neighbor R1# show ip ospf database R1# show ip ospf interface R1# show ip route ospf
Topologia zadania 08
09
Bezpieczeństwo brzegowe i translacja NAT/PAT
Podstawa merytoryczna

Część 1 Adresy prywatne (RFC 1918), Część 5 Translacja adresów network address translation.

Scenariusz problemowy

Firma posiada tylko jeden publiczny adres IP przydzielony przez ISP, ale dziesiątki komputerów wewnątrz biura muszą mieć dostęp do Internetu. Jako inżynier musisz wdrożyć mechanizm PAT (Port Address Translation - NAT Overload), który pozwoli wielu użytkownikom współdzielić ten sam adres zewnętrzny. Dodatkowo musisz skonfigurować podstawowe reguły filtrujące (ACL), aby zabezpieczyć sieć przed niepożądanym ruchem z zewnątrz. Sukcesem będzie udowodnienie, że stacje LAN mają dostęp do WWW, podczas gdy próba pingu z zewnątrz do sieci wewnętrznej jest blokowana.

Wymagania techniczne
  • Konfiguracja interfejsów jako ip nat inside oraz ip nat outside.
  • Stworzenie Access Listy (ACL 10) definiującej ruch, który podlega translacji.
  • Konfiguracja polecenia ip nat inside source list 10 interface [ext] overload.
  • Weryfikacja tablicy translacji poleceniem show ip nat translations.
  • Stworzenie ACL filtrującej ruch przychodzący (Inbound) na interfejsie WAN.
  • Dopuszczenie wyłącznie ruchu powrotnego dla nawiązanych sesji (established).
  • Weryfikacja łączności z serwerem HTTP znajdującym się w Internecie.
  • Analiza zmiany adresu IP źródłowego w nagłówku pakietu za pomocą sniffera.
  • Statystyki NAT widoczne za pomocą show ip nat statistics.
  • Konfiguracja przekierowania portów (Static NAT) dla lokalnego serwera WWW.
  • Test blokady ruchu skanującego z zewnątrz.
  • Udokumentowanie ścieżki pakietu z adresem prywatnym i po zmianie na publiczny.
Wskazówki
  1. Pamiętaj, że NAT/PAT działa tylko wtedy, gdy router posiada poprawną trasę domyślną (Default Route). Bez niej pakiet zostanie odrzucony zanim router zdąży go przetłumaczyć i wysłać do Internetu.
  2. Interfejs NAT "inside" to ten, który patrzy w stronę sieci wewnętrznej (prywatnej), a interfejs "outside" — w stronę Internetu (publicznego).
  3. Pamiętaj o poprawnej kolejności konfiguracji: najpierw przypisz interfejsy do NAT (ip nat inside/outside), następnie utwórz ACL definiującą ruch do translacji, a dopiero potem skonfiguruj polecenie translacji PAT.
  4. Polecenie show ip nat translations wyświetla aktywne translacje — powinieneś zobaczyć mapowanie adresów IP i portów źródłowych na adres zewnętrzny.
  5. Do testowania użyj polecenia debug ip nat — pokazuje ono każdą translację w czasie rzeczywistym.
  6. Pamiętaj, że statyczny NAT (ip nat inside source static) tworzy stałe mapowanie, natomiast dynamiczny NAT przydziela adresy z puli. Opcja "overload" włącza PAT — translator wielu do jednego.
Wnioski do opracowania

Wyjaśnij znaczenie pul adresowych RFC 1918 w dzisiejszym internecie — wytłumacz, dlaczego adresy prywatne nie są routowalne w internecie publicznym i jaką rolę odgrywa NAT. Opisz mechanizm PAT (Port Address Translation), który umożliwia rozróżnianie ruchu powrotnego od wielu komputerów używających tego samego adresu IP — wyjaśnij, jak router wykorzystuje numery portów źródłowych do tworzenia unikalnych wpisów w tablicy translacji. Omów różnicę między NAT a PAT oraz scenariusze, w których każde z nich znajduje zastosowanie. Wyjaśnij, dlaczego protokół ACL jest niezbędny w konfiguracji NAT i jakie ryzyka niesie brak filtracji ruchu. Opisz również problem z protokołami, które przekazują adresy IP w payload (np. FTP, SIP) i jak NAT traversal rozwiązuje te problemy.

Przykładowe polecenia CLI
! Konfiguracja interfejsów NAT R1# configure terminal R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip nat inside R1(config-if)# exit R1(config)# interface Serial0/0/0 R1(config-if)# ip nat outside R1(config-if)# exit ! Konfiguracja ACL dla ruchu podlegającego translacji R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255 ! Konfiguracja PAT (NAT Overload) R1(config)# ip nat inside source list 10 interface Serial0/0/0 overload ! Konfiguracja Static NAT dla serwera WWW R1(config)# ip nat inside source static tcp 192.168.1.10 80 84.3.98.2 80 ! Konfiguracja ACL filtrującej ruch przychodzący R1(config)# access-list 100 permit tcp any host 84.3.98.2 eq 80 established R1(config)# access-list 100 deny tcp any host 84.3.98.2 R1(config)# access-list 100 permit ip any any R1(config)# interface Serial0/0/0 R1(config-if)# ip access-group 100 in R1(config-if)# exit ! Weryfikacja NAT R1# show ip nat translations R1# show ip nat statistics R1# debug ip nat
Topologia zadania 09
10
Monitorowanie i hardening urządzeń sieciowych
Podstawa merytoryczna

Część 1 Bezpieczeństwo zarządzania, protokoły SSH vs Telnet, diagnostyka systemowa.

Scenariusz problemowy

Ostatnim etapem budowy sieci transportowej jest jej zabezpieczenie i przygotowanie do monitorowania. Zarządzanie urządzeniami przez nieszyfrowany Telnet jest niedopuszczalne. Twoim zadaniem jest przeprowadzenie procesu "utwardzania" konfiguracji routerów (Hardening). Musisz wyłączyć nieużywane usługi, skonfigurować bezpieczny dostęp zdalny przez SSH oraz ograniczyć możliwość logowania tylko do komputerów z sieci Administratorów. Pełna kontrola nad tym, kto i jak zarządza szkieletem sieci, jest absolutnym wymogiem bezpieczeństwa IT.

Wymagania techniczne
  • Wyłączenie niebezpiecznych usług (np. no ip http server, wyłączenie Telnetu).
  • Konfiguracja nazwy domeny ip domain-name std.edu.pl (wymagane dla SSH).
  • Generowanie kluczy asymetrycznych crypto key generate rsa (minimum 1024 bity).
  • Włączenie wersji drugiej protokołu SSH (ip ssh version 2).
  • Konfiguracja linii VTY tak, aby akceptowały tylko transport input ssh.
  • Stworzenie ACL ograniczającej dostęp do linii VTY tylko dla konkretnych adresów IP.
  • Ustawienie logowania zdarzeń na serwer syslog (symulacja serwera w Packet Tracer).
  • Konfiguracja SNMP do monitorowania obciążenia interfejsów (w teorii/sim).
  • Zabezpieczenie haseł w pliku konfiguracyjnym service password-encryption.
  • Ustawienie limitów czasowych sesji (exec-timeout).
  • Weryfikacja działania SSH poprzez próbę połączenia z terminala PC.
  • Dokumentacja komunikatów systemowych po błędnej próbie logowania.
Wskazówki
  1. Przy generowaniu kluczy RSA, router zapyta o nazwę modułu – pamiętaj, że nazwa hosta (hostname) nie może być domyślna (Router). Przed tym krokiem nadaj urządzeniu unikalną nazwę, np. R1-CORE.
  2. W nowszych wersjach IOS minimalna długość klucza RSA wynosi 2048 bitów — w przypadku problemów z generowaniem klucza użyj polecenia crypto key generate rsa modulus 2048.
  3. Do weryfikacji wygenerowanych kluczy użyj polecenia show crypto key mypubkey rsa.
  4. Pamiętaj o skonfigurowaniu hasła do trybu uprzywilejowanego poleceniem enable secret [hasło] — jest to podstawowe zabezpieczenie przed nieautoryzowanym dostępem.
  5. Linia konsolowa (line con 0) powinna mieć ustawione hasło i timeout.
  6. Włączenie service password-encryption powoduje, że hasła w konfiguracji są szyfrowane algorytmem type 7 (słabe) lub type 5 (MD5 — silniejsze).
  7. Dla linii VTY rozważ użycie lokalnej bazy użytkowników (username ... password ...) zamiast prostych haseł.
Wnioski do opracowania

Wyjaśnij, dlaczego protokół SSH jest uważany za bezpieczniejszy od Telnetu — wytłumacz różnicę w szyfrowaniu transmisji danych uwierzytelniających i konfiguracji. Opisz rolę list kontroli dostępu (ACL) w zabezpieczaniu płaszczyzny zarządzania (Management Plane) routera. Wyjaśnij koncepcję "utwardzania" (hardening) urządzeń sieciowych i wymień podstawowe kroki tego procesu. Omów znaczenie protokołów AAA (Authentication, Authorization, Accounting) w zarządzaniu dostępem do urządzeń sieciowych. Wyjaśnij, czym różni się szyfrowanie hasła typu 7 od typu 5 i dlaczego żadne z nich nie jest wystarczające dla poufnych danych. Opisz również rolę syslog w monitorowaniu zdarzeń bezpieczeństwa i przedstaw, jakie informacje powinny być logowane na produkcyjnych urządzeniach sieciowych.

Przykładowe polecenia CLI
! Podstawowe utwardzanie routera R1# configure terminal R1(config)# hostname R1-CORE R1-CORE(config)# no ip http server R1-CORE(config)# no ip source-route R1-CORE(config)# no ip directed-broadcast R1-CORE(config)# no service pad R1-CORE(config)# service password-encryption R1-CORE(config)# enable secret class R1-CORE(config)# exit ! Konfiguracja nazwy domeny i kluczy SSH R1-CORE# configure terminal R1-CORE(config)# ip domain-name std.edu.pl R1-CORE(config)# crypto key generate rsa modulus 2048 R1-CORE(config)# ip ssh version 2 R1-CORE(config)# ip ssh time-out 60 R1-CORE(config)# ip ssh authentication-retries 3 R1-CORE(config)# exit ! Konfiguracja konsoli z hasłem i timeoutem R1-CORE(config)# line con 0 R1-CORE(config-line)# password cisco R1-CORE(config-line)# login R1-CORE(config-line)# exec-timeout 5 0 R1-CORE(config-line)# logging synchronous R1-CORE(config-line)# exit ! Konfiguracja VTY - tylko SSH z ACL R1-CORE(config)# access-list 99 permit 192.168.1.0 0.0.0.255 R1-CORE(config)# line vty 0 4 R1-CORE(config-line)# access-class 99 in R1-CORE(config-line)# transport input ssh R1-CORE(config-line)# password cisco R1-CORE(config-line)# login R1-CORE(config-line)# exec-timeout 10 0 R1-CORE(config-line)# exit ! Konfiguracja syslog R1-CORE(config)# logging host 192.168.1.100 R1-CORE(config)# logging facility local6 R1-CORE(config)# logging trap informational R1-CORE(config)# exit ! Weryfikacja SSH R1-CORE# show crypto key mypubkey rsa R1-CORE# show ip ssh R1-CORE# show users R1-CORE# show log
Topologia zadania 10
© Igor Brzeżek 2026
© NETStudio Sp. z o.o. 2026
Laboratorium Sieci Transportu Danych (STD). Materiały opracowane dla studentów IT.
biuro@netstudio.net.pl
itblog.netstudio.net.pl