Zadania projektowe - Sieci Transportu Danych

Część 3 MPLS (LSR, LER), Inżynieria ruchu (RSVP-TE), Niezawodność (FRR).

Celem projektu jest zbudowanie odpornej sieci szkieletowej MPLS wykorzystującej mechanizmy inżynierii ruchu (Traffic Engineering) oraz szybkiej ochrony przed awariami (Fast Reroute). Standardowe protokoły routingu, takie jak OSPF czy IS-IS, wyznaczają najkrótszą ścieżkę na podstawie metryki, co prowadzi do nierównomiernego obciążenia łączy i potencjalnych przeciążeń. Technologia RSVP-TE umożliwia jawne wyznaczanie tras z rezerwacją pasma, zapewniając gwarantowaną przepustowość dla krytycznych usług. Mechanizm Fast Reroute w trybie Link Protection pozwala na lokalne przełączenie ruchu na ścieżkę zapasową w czasie krótszym niż 50 milisekund od momentu awarii fizycznego łącza, co jest kluczowe dla systemów wymagających ciągłości działania.

Projekt zakłada realizację odpornej sieci szkieletowej MPLS w środowisku symulacyjnym GNS3 lub EVE-NG, składającej się z co najmniej sześciu routerów brzegowych (PE) i rdzeniowych (P). Pierwszym krokiem jest skonfigurowanie podstawowej łączności z wykorzystaniem protokołu LDP, który odpowiada za automatyczną dystrybucję etykiet transportowych. Następnie należy aktywować MPLS Traffic Engineering w protokole OSPF poprzez włączenie mechanizmu Opaque LSA, który umożliwia propagację informacji o zasobach sieci. Kluczowym elementem jest skonfigurowanie protokołu RSVP na wszystkich interfejsach uczestniczących w szkielecie, tworząc jawne ścieżki (Explicit Path) z rezerwacją pasma dla tuneli o wysokim priorytecie. Ostatnim etapem jest włączenie mechanizmu Fast Reroute w trybie Link Protection, który tworzy tunele zapasowe omijające zagrożone łącza. Po zakończeniu konfiguracji przeprowadza się symulację awarii fizycznego łącza, mierząc czas przełączenia ruchu na ścieżkę zapasową.

1. Utwórz topologię w GNS3 z minimum 6 routerami Cisco (IOL lub IOSv) połączonymi w pierścień/siatkę.
2. Skonfiguruj adresy IP na interfejsach fizycznych oraz adresy Loopback0 na każdym routerze.
3. Włączpolecenieip cefna wszystkich routerach – bez CEF inżynieria ruchu nie będzie działać.
4. Skonfiguruj protokół OSPF w obszarze 0 na wszystkich interfejsach fizycznych i Loopback.
5. W OSPF włącz wsparcie dla TE poleceniemmpls traffic-eng area 0w trybie router-ospf.
6. Skonfiguruj identyfikator TE poleceniemmpls traffic-eng router-id Loopback0na każdym routerze.
7. Włącz MPLS LDP poleceniemmpls ipna wszystkich interfejsach szkieletowych łącz między routerami.
8. Włącz RSVP poleceniemip rsvp bandwidthna każdym interfejsie fizycznym w szkielecie.
9. Zdefiniuj ścieżkę jawną poleceniemip explicit-path name NAZWA enable, dodając węzły poleceniemnext-address ADRES_LOOPBACK.
10. Utwórz tunel TE polecenieminterface Tunnel0następnietunnel mode mpls traffic-eng.
11. Skonfiguruj cel tunelu poleceniemtunnel destination ADRES_LOOPBACK_KOŃCOWY.
12. Przypisz ścieżkę jawną poleceniemtunnel mpls traffic-eng path-option 1 explicit name NAZWA.
13. Włącz rezerwację pasma poleceniemtunnel mpls traffic-eng bandwidth PASMO.
14. Aktywuj FRR poleceniemtunnel mpls traffic-eng fast-reroutedla tuneli priorytetowych.
15. Utwórz tunel zapasowy (backup) chroniący łącze polecenieminterface Tunnel1z alternatywną trasą.
16. Zweryfikuj poleceniemshow mpls traffic-eng tunnels brief– tunele muszą być w stanie UP.
17. Przetestuj awarię wyłączając interfejs: w trybie konfiguracjishutdownna interfejsie fizycznym.
18. Sprawdź czas przełączenia w logach lub poleceniemshow mpls traffic-eng tunnelspo awarii.

• Konfiguracja OSPF ze wsparciem dla MPLS TE (Opaque LSAs).
• Utworzenie tuneli TE z rezerwacją pasma (Bandwidth Reservation).
• Wdrożenie mechanizmu ochrony łączy (Backup Tunnels).
• Weryfikacja poprawności przełączania etykiet (`mpls forwarding-table`).

Część 3 MPLS L3VPN, VRF, MP-BGP, RD/RT.

Operatorzy sieci transportowych oferują usługi VPN pozwalające na bezpieczne łączenie oddziałów wielu klientów w ramach jednej infrastruktury, przy zachowaniu pełnej separacji adresowej (nawet przy nakładających się podsieciach prywatnych).

Celem projektu jest zbudowanie wielodostępowych usług L3VPN w architekturze Carrier-Grade umożliwiających bezpieczną komunikację między oddziałami wielu klientów biznesowych na wspólnej infrastrukturze szkieletowej MPLS. Technologia MP-BGP (Multi Protocol Border Gateway Protocol) z rodziną adresów VPNv4 stanowi fundament wymiany tras między routerami brzegowymi PE, zapewniając pełną separację przestrzeni adresowych różnych klientów, nawet w przypadku nakładania się prywatnych podsieci. Instancje VRF (Virtual Routing and Forwarding) tworzą izolowane tablice routingu dla każdego klienta, co gwarantuje, że ruch jednego klienta nie jest widoczny ani dostępny dla innego klienta. Kluczowym elementem jest prawidłowe skonfigurowanie Route Distinguishers (RD) identyfikujących każdą instancję VRF oraz Route Targets (RT) kontrolujących import i eksport tras między VRF. Projekt wymaga również zaimplementowania mechanizmu Shared Services, umożliwiającego wybranym klientom dostęp do wspólnych zasobów (np. serwery DNS, NTP) z zachowaniem izolacji pozostałego ruchu. Realizacja obejmuje konfigurację rdzenia MPLS, instancji VRF na obu routerach PE, sesji MP-iBGP, polityk RD/RT oraz połączeń PE-CE z wykorzystaniem BGP lub routingu statycznego.

1. Skonfiguruj rdzeń MPLS: OSPF w area 0 +mpls ipna wszystkich interfejsach szkieletowych.
2. Utwórz instancję VRF poleceniemip vrf KLIENT_Anastępnierd 65000:101dla identyfikatora.
3. Dodaj Route Targets poleceniemroute-target export 65000:1001iroute-target import 65000:1001.
4. Powtórz kroki 2-3 dla KLIENT_B z innymi RD/RT (np. 65000:102 i 65000:2002).
5. Skonfiguruj BGP poleceniemrouter bgp 65000, dodaj sąsiada drugiego PE:neighbor 2.2.2.2 remote-as 65000.
6. Aktywuj rodzinę adresów vpnv4:address-family vpnv4, następnieneighbor 2.2.2.2 activate.
7. Włącz rozszerzone community:neighbor 2.2.2.2 send-community extended.
8. Przypisz interfejs do VRF: najpierwip address ADRES, potemip vrf forwarding KLIENT_A.
9. Skonfiguruj BGP z CE: w trybie VRF dodajaddress-family ipv4oraz sąsiada CE.
10. Zweryfikuj VRF poleceniemshow ip vrf– powinny widnieć obie zdefiniowane instancje.
11. Sprawdź trasy w VRF:show ip route vrf KLIENT_A– powinny być trasy od CE i z sąsiada PE.
12. Wymuś redystrybucję:address-family ipv4, potemredistribute connectedlubredistribute static.
13. Utwórz VRF dla Shared Services z RT eksportowanym do obu klientów (import z obu).
14. Zweryfikuj LFIB:show mpls forwarding-table– sprawdź stos etykiet (transport + VPN).
15. Testuj izolację: ping z Klienta A do adresu w sieci Klienta B – musi się niepowieść.
16. Udokumentuj tablice: RIB/FIB/LFIB na routerach P (bez tras klientów) i PE (z trasami).

• Implementacja stosu dwóch etykiet (Transport + VPN Label).
• Konfiguracja sesji iBGP między routerami PE.
• Zastosowanie polityki importu/eksportu tras dla Shared Services.
• Routing między PE a CE (np. BGP lub OSPF).

Część 3 MPLS L2VPN, VPLS, Pseudowire.

VPLS (Virtual Private LAN Service) umożliwia emulację gigantycznego przełącznika Ethernet nad siecią MPLS. Jest to kluczowe dla klientów wymagających transparentności warstwy 2 między oddziałami (np. wspólna domena rozgłoszeniowa, transmisja niestandardowych protokołów L2).

Celem projektu jest implementacja usługi VPLS (Virtual Private LAN Service) umożliwiającej transparentne połączenie wielu oddziałów klienta w jedną logiczną sieć Ethernet warstwy 2, rozciągającą się ponad infrastrukturą szkieletową MPLS. Technologia VPLS emuluje gigantyczny przełącznik Ethernet, co pozwala klientom na wspólną domenę rozgłoszeniową (broadcast domain) i niewidoczną dla aplikacji transmisję ramek między oddziałami, w tym niestandardowych protokołów warstwy 2, które nie działają w środowisku routowanym. Projekt wymaga skonfigurowania wirtualnych tuneli Pseudowire (PW) w topologii pełnej siatki (Full-Mesh) między wszystkimi routerami PE uczestniczącymi w usłudze, co zapewnia bezpośrednią komunikację każdego węzła z każdym innym. Kluczowym wyzwaniem jest rozwiązanie problemu pętli warstwy 2 bez użycia protokołu STP – mechanizm Split Horizon w VPLS zapobiega niekończącej się krążeniu ramek broadcast i multicast, eliminując potrzebę STP. Projekt obejmuje również konfigurację Bridge Domain grupującej porty klienckie i instancję VFI (Virtual Forwarding Instance) oraz testowanie transmisji ramek tagged i untagged z translacją VLAN (VLAN push/pop).

1. Skonfiguruj rdzeń MPLS podstawowy: OSPF +mpls ipna wszystkich interfejsach szkieletowych.
2. Podnieś MTU do 1550 na portach szkieletowych poleceniemmtu 1550w trybie interfejsu.
3. Utwórz VFI polecenieml2 vfi VPLS_KLIENT manualnastępnievpn id 100dla identyfikatora.
4. Dodaj sąsiadów PE w VFI poleceniemneighbor 2.2.2.2 encapsulation mplsineighbor 3.3.3.3 encapsulation mpls.
5. Utwórz Bridge Domain poleceniembridge-domain 1, dodaj członków:member vfi VPLS_KLIENT.
6. Skonfiguruj port kliencki: wejdź w interfejs fizyczny, dodajservice instance 1 ethernet.
7. Ustaw enkapsulację:encapsulation untaggeddla ruchu bez VLAN lubencapsulation sde 10dla VLAN 10.
8. Powiąż z Bridge Domain:member service-instance 1w trybie bridge-domain.
9. Weryfikuj PW poleceniemshow mpls l2vc brief– wszystkie PW muszą być w stanie UP/ACTIVE.
10. Sprawdź tablice MAC:show bridge-domain 1 mac– adresy z wszystkich lokalizacji.
11. Testuj ruch: ping z hosta w lokalizacji A do hosta w lokalizacji B – musi działać.
12. Weryfikuj brak pętli: przy włączonym Split Horizon ramki broadcast nie wracają tym samym PW.

• Konfiguracja LDP-based VPLS lub BGP-based VPLS.
• Zapewnienie odpowiedniego MTU w szkielecie sieci (rozliczanie narzutu etykiet).
• Bridge-grouping na portach klienckich.
• Weryfikacja tablic MAC na ruterach PE (`show bridge-domain`).

Część 2 GPON, OLT, ONT, Splittery, Budżet mocy.

Technologia GPON (Gigabit Passive Optical Network) zdominowała dostęp szerokopasmowy FTTH. Kluczowym wyzwaniem jest poprawne zaplanowanie tłumienia sygnału w drodze od portu OLT przez kaskadę splitterów do końcówki ONT.

Celem projektu jest zaprojektowanie i symulacja pasywnej sieci optycznej GPON (Gigabit Passive Optical Network) dostarczającej usługi szerokopasmowe do osiedla 64 domków jednorodzinnych. Technologia GPON wykorzystuje pasywną architekturę optyczną (splittery), co eliminuje aktywne elementy w terenie i znacząco obniża koszty utrzymania. Kluczowym elementem projektu jest prawidłowe zaplanowanie trasy światłowodowej oraz dobór odpowiedniej klasy wkładek OLT (Class B+ lub C+) gwarantujących wystarczającą moc optyczną dla najdalszego klienta. Projekt wymaga wyboru architektury splitterów – kaskadowej (rozproszonych splitterów w szafkach) lub centralnej (jeden splitter 1:64 przy OLT) – zależnie od topografii osiedla i dopuszczalnego tłumienia. Obliczenia budżetu mocy muszą uwzględniać tłumienie włókna (ok. 0,2 dB/km), straty na spawach (0,1 dB/sztuka), złączach (0,5 dB/sztuka) oraz tłumienie splitterów (np. 1:16 = 12 dB). Kolejnym etapem jest konfiguracja urządzeń OLT i ONT obejmująca Profile DBA (Dynamic Bandwidth Assignment) zarządzające dynamicznym przydziałem pasma, Profile Linii definiujące mapowanie GEM Portów do T-CONTów, procedurę autentykacji końcówek ONT przez Serial Number oraz mapowanie VLANów dla usług (Internet, IPTV).

1. Zmapuj lokalizację OLT i ONT na planie osiedla – dobierz trasę splitterów kaskadową lub centralną.
2. Oblicz budżet mocy: straty włókna (0.2dB/km) + spawy (0.1dB/sztuka) + złącza (0.5dB/sztuka) + splitter (np. 1:16 = 12dB).
3. Sprawdź czy moc na ONT (min -28dB dla klasy B+) mieści się w marginesie – użyj wzoru: TxPower - Budget -28dB.
4. Na OLT utwórz profil DBA poleceniemdba-profile add profile-id 10 type3 assure 10240 max 102400.
5. Utwórz ONT line-profile:ont-lineprofile gpon profile-id 20 profile-name MOJ_PROFIL.
6. Dodaj T-CONT do profilu:tcont 1 dba-profile-id 10orazgem add 1 tcont 1.
7. Mapuj GEM do VLAN:gem mapping 1 0 vlan 10dla Internetu igem mapping 2 0 vlan 20dla TV.
8. Wejdź w interfejs PON:interface gpon 0/1i dodaj ONT:ont add 0 1 sn-auth SERIAL_NUMER.
9. Przypisz line-profile:ont lineprofile-id 20do zarejestrowanego ONT.
10. Skonfiguruj porty ONT:ont port native-vlan 0 1 eth 1 vlan 10dla Ethernet.
11. Zweryfikuj moc:display ont optical-info 0 1– sprawdź RxPower (powinno być powyżej -28dB).
12. Sprawdź stan:display ont info–ONT powinien być w stanie online/active.
13. Dokumentuj pomiary tłumienia: włókno od OLT do splittera + od splittera do ONT.

• Opracowanie tabeli bilansu mocy (Power Budget Table).
• Konfiguracja profilów ruchu (DBA profiles) – gwarantowane pasmo dla VoIP.
• Mapowanie VLANów usługowych (Internet, IPTV) na porcie PON.
• Analiza statusu optycznego (Rx Power) na końcówce ONT.

Część 4 SDH, PDH (E1), SAToP, CESoPSN.

Mimo odwrotu od technologii SDH, systemy legacy (centrale telefoniczne, systemy sterowania ruchem, energetyka) nadal wymagają łączności typu E1 (2.048 Mbps). Rozwiązaniem jest emulacja tych obwodów nad nowoczesnym szkieletem IP/MPLS.

Celem projektu jest realizacja "uwolnienia" od przestarzałej infrastruktury SDH poprzez migrację tradycyjnych interfejsów TDM (E1) do nowoczesnej sieci pakietowej MPLS z wykorzystaniem technologii Circuit Emulation. Wielu operatorów i przedsiębiorstw (centrale telefoniczne, systemy sterowania ruchem, energetyka) nadal korzysta z urządzeń wymagających łączości E1 o przepustowości 2.048 Mbps, które nie mogą być łatwo zastąpione rozwiązaniami IP. Technologia PWE3 (Pseudowire Emulation Edge-to-Edge) z enkapsulacją SAToP (Structure-Agnostic TDM over Packet) umożliwia transparentną transmisję sygnału TDM nad siecią IP/MPLS, zachowując pełną kompatybilność z urządzeniami końcowymi. Projekt wymaga skonfigurowania trzech niezależnych strumieni E1 z protokołem SAToP, obejmującego kontrolery E1 z odpowiednim kodowaniem (HDB3) i ramowaniem (CRC4/no-CRC4), grup TDM dla wybranych kanałów czasowych, klas Pseudowire z enkapsulacją MPLS oraz mechanizmów xconnect między kontrolerami na obu końcach. Kluczowym elementem jest analiza wpływu jittera i opóźnień w sieci pakietowej na stabilność synchronizacji zegara oraz dobór odpowiedniego rozmiaru bufora de-jitter (playout buffer), typowo 64-128ms dla transmisji VoIP.

1. Sprawdź dostępność kontrolera E1:show controllers e1– szukaj wolnych kanałów.
2. Skonfiguruj kontroler:controller E1 0/1/0następnieframing no-crc4iclock source internal.
3. Zdefiniuj grupę TDM:tdm-group 1 timeslots 1-31na obu końcach.
4. Utwórz klasę PW:pseudowire-class SATOPnastępnieencapsulation mplsicontrol-word.
5. Skonfiguruj interfejs wirtualny:interface Serial0/1/0:1następniexconnect 10.10.10.10 501 pw-class SATOP.
6. Ustaw priorytet QoS: w interfejsie fizycznym dodajqos pre-classifyi w mapie polityk QoS.
7. Skonfiguruj ACR na odbiorcy:clock recovery adaptivelubclock recovery differential.
8. Ustaw de-jitter buffer:tdm-category 1z buforem np. 64ms dla VoIP.
9. Zweryfikuj PW:show mpls l2vc vc-id 501– sprawdź stan UP i liczników pakietów.
10. Testuj loopback:loopback localna kontrolerze iloopback remotena przeciwległym.
11. Sprawdź błędy:show controllers e1 0/1/0– szukaj Slips, LCV i innych błędów.
12. Wykonaj BERT:bert startna kontrolerze, testuj min. 15 minut, sprawdźbert stopi wyniki.
13. Obciążsieć IP i sprawdź wpływ na jitter:pingz obciążonego łącza, monitoruj błędy.

• Konfiguracja kontrolerów E1 i grup PWE3.
• Zapewnienie synchronizacji zegara (Clock Recovery - ACR/DCR).
• Ustawienie priorytetów QoS dla ruchu PWE3.
• Weryfikacja błędów bitowych (BERT test).

Część 1 Routing Internetowy, Część 3 Atrybuty BGP.

Ruting BGP jest fundamentem Internetu. Duże organizacje posiadające własne numery AS muszą aktywnie zarządzać ruchem przychodzącym i wychodzącym, aby optymalizować koszty łączy i wydajność dostępu do globalnych zasobów.

Celem projektu jest implementacja zaawansowanego BGP Multihomingu z polityką sterowania ruchem internetowym dla organizacji posiadającej własny numer AS i połączenia z dwoma niezależnymi dostawcami Internetu (ISP1 i ISP2). Technologia Dual-Homing zapewnia redundancję łączy oraz umożliwia optymalizację kosztów i wydajności poprzez świadome kierowanie ruchu do określonych sieci przez preferowanego dostawcę. Protokół BGP (Border Gateway Protocol) stanowi fundament routingu w internecie i oferuje bogaty zestaw atrybutów umożliwiających precyzyjne sterowanie przepływem ruchu. Projekt wymaga skonfigurowania sesji eBGP z oboma dostawcami oraz iBGP wewnątrz organizacji, a następnie wdrożenia zaawansowanych polityk: atrybut Local Preference służący do preferowania określonego łącza dla ruchu wychodzącego, AS-Path Prepending wydłużający ścieżkę AS w celu zniechęcenia ruchu przychodzącego od strony drugiego dostawcy, atrybut MED (Multi-Exit Discriminator) umożliwiający wpływanie na decyzję routingu dostawcy o tym, którym łączem kierować ruch do nas, oraz mechanizm Route Flap Damping chroniący sieć przed niestabilnymi trasami z internetu. Testowanie obejmuje weryfikację tabeli BGP, śledzenia tras oraz symulację awarii jednego z łączy.

1. Skonfiguruj BGP:router bgp TWÓJ_AS, dodaj sąsiadów ISP:neighbor 1.1.1.1 remote-as ISP1_AS.
2. Aktywuj IPv4 unicast:address-family ipv4,neighbor 1.1.1.1 activate.
3. Deklaruj swoją sieć:network 192.168.0.0 mask 255.255.2400w trybie address-family.
4. Utwórz prefix-list filtrujący:ip prefix-list MOJA_SIECA seq 5 permit 192.168.0.0/20.
5. Utwórz route-map dla Local Preference:route-map LP_ISP1 permit 10następnieset local-preference 200.
6. Zastosuj na sesji przychodzącej:neighbor 1.1.1.1 route-map LP_ISP1 in(dla ISP1 wyższy LP).
7. Utwórz AS-Path Prepending:route-map PREPEND_ISP2 permit 10następnieset as-path prepend 65111 65111.
8. Zastosuj na sesji wychodzącej do ISP2:neighbor 2.2.2.2 route-map PREPEND_ISP2 out.
9. Skonfiguruj MED:route-map MED_SET permit 10zset metric 100, zastosujneighbor 1.1.1.1 route-map MED_SET out.
10. Włącz damping:bgp dampening 750 2000 2000 60w trybie router BGP.
11. Sprawdź trasy:show ip bgp– sprawdź atrybuty (LP, AS-Path, MED).
12. Weryfikuj ścieżkę:traceroute 8.8.8.8– ruch powinien iść przez ISP1.
13. Testuj przełączenie: wyłącz interfejs do ISP1 (shutdown), sprawdź czy ruch idzie przez ISP2.

• Filtrowanie tras za pomocą Prefix-lists i Route-maps.
• Wykorzystanie atrybutu Community do sterowania ruchem u dostawcy.
• Zastosowanie BGP Peer Groups dla uproszczenia konfiguracji.
• Weryfikacja decyzji rutingu za pomocą `show ip bgp`.

Część 1 Parametry sieci, Część 3 Markowanie etykiet EXP.

W sieciach transportowych krytyczne jest zapewnienie, że pakiety wrażliwe na opóźnienia (VoIP, Video) nie są blokowane przez transfery plików. Mechanizmy QoS muszą być spójne na całej ścieżce pakietu, od brzegu po rdzeń.

Celem projektu jest implementacja kompleksowego zarządzania jakością usług (End-to-End QoS) w szkielecie sieci MPLS, zapewniającego, że ruch wrażliwy na opóźnienia (VoIP, wideokonferencje) nie jest blokowany przez mniej krytyczne transfery danych. Architektura DiffServ (Differentiated Services) stanowi model QoS oparty na klasyfikacji ruchu i znacznikach priorytetu przenoszonych w polu DSCP (Differentiated Services Code Point) nagłówka IP. Projekt wymaga skonfigurowania klasyfikacji i markowania ruchu na routerach wejściowych (Ingress PE), wykorzystując Class-Mapy rozpoznające aplikacje po protokole (RTP dla VoIP), portach lub znacznikach DSCP. Kluczowym elementem jest mapowanie wartości DSCP na bity EXP w etykietach MPLS, co umożliwia zachowanie priorytetów w rdzeniu sieci. Na routerach wyjściowych необходимо skonfigurować kolejkowanie: LLQ (Low Latency Queuing) dla ruchu real-time z gwarantowanym pasmem oraz CBWFQ (Class-Based Weighted Fair Queuing) dla pozostałych klas ruchu. Mechanizm WRED (Weighted Random Early Detection) zapobiega przeciążeniom w kolejkach TCP poprzez aktywne zarządzanie buforami. Testowanie obejmuje generowanie obciążenia i pomiar opóźnień/jittera dla VoIP przy wysokim wykorzystaniu łącza.

1. Utwórz class-map dla VoIP:class-map match-any VOICE,match protocol rtp audiolubmatch dscp ef.
2. Utwórz class-map dla sieci:class-map match-any CRITICAL,match dscp af31.
3. Utwórz class dla best-effort:class-map match-any BEST_EFFORT,match dscp default.
4. Utwórz policy-map na wejściu:policy-map QOS_IN,class VOICE,set dscp ef.
5. Dodaj MPLS EXP marking:set mpls experimental topmost 5w tej samej klasie.
6. Zastosuj na wejściu:interface GigabitEthernet0/0,service-policy input QOS_IN.
7. Utwórz kolejkowanie na wyjściu:policy-map QOS_OUT,class VOICE,priority percent 20.
8. Dodaj klasę krytyczną:class CRITICAL,bandwidth percent 40.
9. Dodaj WRED:random-detect dscp-baseddla klasy BEST_EFFORT lub CRITICAL.
10. Zastosuj na wyjściu:interface GigabitEthernet0/1,service-policy output QOS_OUT.
11. Weryfikuj polityki:show policy-map interface– sprawdź liczniki i kolejki.
12. Testuj z iperf: generuj ruch VoIP + dane, sprawdź opóźnienia i jitter pod obciążeniem.

• Tworzenie hierarchicznych polityk QoS (HQoS).
• Markowanie i policowanie ruchu na ingressie.
• Konfiguracja unikania przeciążeń (Congestion Avoidance).
• Weryfikacja (`show policy-map interface`) pod sztucznym obciążeniem łącza.

Część 2 DWDM, Tłumienie, Dyspersja, Wzmacniacze EDFA.

Sieci DWDM (Dense Wavelength Division Multiplexing) stanowią fizyczny fundament transportu danych. Przy prędkościach 10G i wyższych, największym wyzwaniem staje się dyspersja chromatyczna i szumy wzmacniaczy optycznych.

Celem projektu jest zaprojektowanie systemu DWDM (Dense Wavelength Division Multiplexing) łączącego dwa miasta oddalone o 400 km, stanowiącego fizyczny fundament transportu danych o pojemności rzędu Tb/s. Technologia DWDM umożliwia jednoczesną transmisję wielu niezależnych kanałów optycznych na różnych długościach fali w pasmie C (1530-1565 nm), znacząco zwiększając przepustowość istniejącej infrastruktury światłowodowej. Przy prędkościach 10G i wyższych kluczowymi wyzwaniami są: dyspersja chromatyczna (Chromatic Dispersion) powodująca rozmywanie impulsów i limitująca zasięg, straty mocy sygnału wzdłuż włókna (ok. 0,22 dB/km), oraz szumy wzmacniaczy EDFA (Erbium-Doped Fiber Amplifier) kumulujące się wraz z liczbą wzmacniaczy w torze. Projekt wymaga wykonania szczegółowego bilansu łącza (Link Budget) uwzględniającego tłumienie przęseł, wzmocnienie wzmacniaczy (Booster na TX, Pre-amp na RX, In-line) oraz margines bezpieczeństwa (min. 3 dB), obliczenia skumulowanej dyspersji chromatycznej i doboru modułów kompensacyjnych DCF (Dispersion Compensation Fiber), wyboru siatki kanałów zgodnej z ITU-T (np. 100 GHz = 0,8 nm) oraz oszacowania współczynnika OSNR (Optical Signal-to-Noise Ratio) na odbiorniku. Symulację można przeprowadzić w darmowych narzędziach (VPItransmissionMaker) lub arkuszu kalkulacyjnym.

1. Określ liczbę kanałów: np. 40 kanałów × 100G = 4 Tb/s (użyj pasma C, 1530-1565 nm).
2. Oblicz tłumienie przęsła: długość [km] × 0.22 dB/km + liczba_spawów × 0.1 + liczba_złączy × 0.5.
3. Dobierz EDFA: booster na TX (+13-17 dBm), pre-amp na RX (NF ~5 dB), in-line co 80-100 km.
4. Oblicz CD: 17 ps/(nm·km) × długość [km] = całkowite ps/nm – dobierz DCF kompensujący.
5. Wykonaj bilans mocy: MocTX - Sumatłumień + ZyskEDFA - MarginesBezpieczeństwa (3dB) ≥ CzułośćRX.
6. Oblicz OSNR: OSNR = Pmoc - NF - 10log10(Ns), gdzie Ns to liczba wzmacniaczy w torze.
7. Wybierz siatkę: 100 GHz = 0.8 nm, λn = 1550.12 nm - (n-1) × 0.8 nm dla kanałów ITU-T.
8. Dla 40G+ uwzględnij PMD: < 10 ps dla 40G, < 3 ps dla 100G – sprawdź w specyfikacji włókna.
9. Sporządź wykres Power Profile: moc [dBm] na TX, po każdym wzmacniaczu i na RX.

• Obliczenie współczynnika OSNR (Optical Signal-to-Noise Ratio).
• Dobór mocy wyjściowej nadajników i czułości odbiorników.
• Analiza strat na multiplexerach i demultiplexerach.
• Protokół ochrony łącza optycznego (Optical Channel Protection).

Część 1 Topologie, Część 5 Sieci VPN.

Dla wielu firm transport danych przez publiczny Internet jest jedyną ekonomiczną opcją. Wymaga to jednak budowy dynamicznych, bezpiecznych tuneli, które automatycznie zestawiają się między oddziałami bez udziału administratora.

Celem projektu jest wdrożenie bezpiecznej infrastruktury rozległej (WAN) opartej na technologii DMVPN (Dynamic Multipoint VPN) Phase 3 dla firmy z jedną centralą (Hub) i dziesięcioma oddziałami (Spokes). Dla wielu przedsiębiorstw transport danych przez publiczny Internet jest jedyną ekonomiczną opcją łączenia rozproszonych lokalizacji, co wymaga budowy dynamicznych, bezpiecznych tuneli automatycznie zestawiających się między oddziałami bez interwencji administratora. DMVPN Phase 3 wykorzystuje interfejsy mGRE (Multipoint GRE) pozwalające na utworzenie jednego tunelu obsługującego wielu sąsiadów, protokół NHRP (Next Hop Resolution Protocol) do dynamicznego mapowania adresów tunelowych na publiczne adresy NBMA (Non-Broadcast Multiple Access) oraz szyfrowanie IPsec chroniące przesyłane dane. Projekt wymaga skonfigurowania infrastruktury IKEv2 z silnym szyfrowaniem (AES-256), IPsec Transform Set i Crypto Profile, interfejsów Tunnel w trybie mGRE na Hub i Spoke, serwera NHS (Next Hop Server) na Hubie rejestrującego Spoki oraz protokołu rutingu EIGRP działającego nad tunelami. Kluczową funkcją jest mechanizm Spoke-to-Spoke Shortcuts w Phase 3, umożliwiający bezpośrednią komunikację między oddziałami po zestawieniu tunelu, z pominięciem Hub-a i znaczącym zmniejszeniem opóźnień.

1. Skonfiguruj IKEv2:crypto key generate rsa modulus 2048,crypto ikev2 keyring KR.
2. Utwórz proposal:crypto ikev2 proposal P1,encryption aes-256,group 5.
3. Utwórz policy:crypto ikev2 policy P1,proposal P1.
4. Utwórz profile:crypto ikev2 profile PROFIL,match address local 0.0.0.0.
5. Utwórz IPsec profile:crypto ipsec transform-set TS esp-aes-256 esp-sha-hmac.
6. Utwórz IPsec profile:crypto ipsec profile IPsec_PROFIL,set transform-set TS.
7. Konfiguruj Hub:interface Tunnel0,ip address 10.0.0.1 255.255.255.0.
8. Ustaw tryb:tunnel mode gre multipoint,tunnel source GigabitEthernet0/0.
9. Włącz NHRP na Hubie:ip nhrp network-id 1,ip nhrp map multicast dynamic,ip nhrp redirect.
10. Konfiguruj Spoke:interface Tunnel0,ip address 10.0.0.X,tunnel source.
11. Dodaj NHS na Spoke:ip nhrp nhs 10.0.0.1 nbma PUBLICZNY_IP_HUB multicast.
12. Włącz EIGRP:router eigrp 1,network 10.0.0.0na interfejsie tunelowym.
13. Wyłącz Split-Horizon:no ip split-horizon eigrp 1na interfejsie Hub.
14. Włącz Phase 3:ip nhrp shortcutna Spoke,iip nhrp redirectna Hubie.
15. Weryfikuj:show crypto session,show ip nhrp,show crypto ipsec sa.
16. Testuj Spoke-to-Spoke:traceroute 10.0.0.Xz innego Spoke – powinna być trasa bezpośrednia.

• Konfiguracja interfejsów mGRE (Multipoint GRE).
• Implementacja IKEv2 z uwierzytelnianiem certyfikatami.
• Zapewnienie rzetelnej dystrybucji kluczy szyfrujących.
• Weryfikacja sesji krypto (`show crypto ipsec sa`).

Część 1 IPv6, Część 3 MPLS usługi.

Wraz z wyczerpaniem adresów IPv4, sieci transportowe muszą natywnie wspierać IPv6. Technologia 6VPE (IPv6 VPN Provider Edge) pozwala na oferowanie usług L3VPN IPv6 nad istniejącym rdzeniem MPLS IPv4.

Celem projektu jest modernizacja istniejącego szkieletu MPLS IPv4 w celu natywnego wsparcia usług L3VPN dla klientów IPv6 bez konieczności zmiany protokołu routingu w rdzeniu sieci (routery P nadal działają na IPv4). Wraz z wyczerpaniem puli adresów IPv4, operatorzy sieci transportowych muszą oferować usługi oparte na IPv6, co wymaga zaadaptacji istniejącej infrastruktury MPLS. Technologia 6VPE (IPv6 VPN Provider Edge) stanowi rozszerzenie standardowej usługi L3VPN (MPLS L3VPN) umożliwiające oferowanie usług VPN dla ruchu IPv6 nad rdzeniem MPLS IPv4. Projekt wymaga skonfigurowania instancji VRF z rodziną adresów IPv6 unicast, unikalnych Route Distinguishers i Route Targets dla usług IPv6, sesji MP-BGP z aktywowaną rodziną adresów vpnv6, interfejsów klienckich z adresami GUA (Global Unicast Address) i Link-Local, protokołu rutingu IPv6 między PE a CE (np. BGP IPv6 lub statyczny) oraz tunelowania ruchu IPv6 wewnątrz etykiet MPLS. Testowanie obejmuje weryfikację łączności end-to-end między oddziałami klienta, działania protokołów ICMPv6 (Neighbor Discovery Protocol) oraz sprawdzenie poprawności stosu etykiet (VPN Label + Transport Label) w tablej LFIB.

1. Włącz IPv6 globalnie:ipv6 unicast-routingna wszystkich routerach PE.
2. Utwórz VRF z IPv6:vrf definition KLIENT_V6,address-family ipv6.
3. Dodaj RD/RT:rd 100:6,route-target export 100:600,route-target import 100:600.
4. Skonfiguruj BGP:router bgp 100,address-family vpnv6.
5. Aktywuj sąsiada:neighbor 2.2.2.2 activate,neighbor 2.2.2.2 send-community extended.
6. Przypisz interfejs do VRF:interface GigabitEthernet0/2,vrf forwarding KLIENT_V6.
7. Przypisz adres IPv6:ipv6 address 2001:DB8:A::1/64na interfejsie.
8. Włącz BGP IPv6 w VRF:address-family ipv6 vrf KLIENT_V6.
9. Dodaj sieć klienta:network 2001:DB8:A::/64lubredistribute connected.
10. Weryfikuj BGP VPNv6:show bgp vpnv6 unicast all– sprawdź trasy z RD.
11. Sprawdź tablice IPv6 VRF:show ipv6 route vrf KLIENT_V6– powinny być trasy od CE.
12. Testuj ping:ping vrf KLIENT_V6 2001:DB8:A::2między lokalizacjami.
13. Sprawdź stos etykiet:show mpls forwarding-table vrf KLIENT_V6– VPN Label + Transport.
14. Utwórz IPv6 ACL:ipv6 access-list ACL_V6,permit ipv6 2001:DB8:A::/64 any.

• Konfiguracja Dual-Stack na ruterach PE.
• Wymiana etykiet VPNv6 przez MP-BGP.
• Zapewnienie poprawności rekursji Next-Hop dla tras IPv6 do IPv4 Loopbacków.
• Konfiguracja IPv6 ACL wewnątrz instancji VRF.