Laboratorium: Architektura Sieci Teleinformatycznych

Wykład 1 Model trójwarstwowy, przełączniki, Wykład 2 Rola routera i bramy domyślnej.

W firmie działają dwa niezależne działy: Administracja oraz Produkcja. Obecnie wszystkie komputery pracują w jednej wspólnej sieci LAN bez żadnej izolacji — ruch broadcast z jednego działu dociera do wszystkich stacji, co powoduje niepotrzebne obciążenie sieci i stanowi zagrożenie bezpieczeństwa (pracownicy Produkcji mogą teoretycznie przechwycać dane sieciowe serwerów działu Administracji). Jako administrator sieci musisz wdrożyć segmentację sieci przy użyciu sieci VLAN, dzieląc fizyczną infrastrukturę przełącznika na dwie oddzielne domeny rozgłoszeniowe. Komputery działu Administracji muszą mieć możliwość komunikacji z siecią Produkcji przez routera (warstwa 3), natomiast bezpośrednia komunikacja na warstwie 2 (bez udziału routera) musi być zablokowana. Zastosuj technikę Router-on-a-stick z enkapsulacją 802.1Q na łączu między przełącznikiem a routerem.

• Zastosowanie routera 2911, przełącznika 2960 oraz co najmniej dwóch komputerów PC.
• Utworzenie dwóch sieci VLAN z różnymi numerami (np. VLAN 10 i VLAN 20).
• Przypisanie portów dostępowych do odpowiednich VLAN.
• Konfiguracja portu Trunk między przełącznikiem a routerem (enkapsulacja 802.1Q).
• Utworzenie subinterfejsów na routerze dla każdego VLAN.
• Przypisanie adresów IP subinterfejsom jako bramy domyślne dla poszczególnych sieci.
• Konfiguracja komputerom adresów IP z odpowiednich podsieci i bram domyślnych.
• Weryfikacja łączności między komputerami w różnych VLAN (ping przez router).
• Sprawdzenie tablicy VLAN na przełączniku (show vlan brief).
• Weryfikacja routingu między VLAN (show ip route).
• Analiza przesyłania ramek z tagiem 802.1Q w trybie symulacji.
• Udokumentowanie różnic w komunikacji L2 (brak) vs L3 (przez router).

Wyjaśnij różnicę między sieciami VLAN a podsieciami IP oraz uzasadnij, dlaczego każdy VLAN powinien mieć własną podsieć adresową. Opisz zasadę działania enkapsulacji 802.1Q i rolę znacznika (tag) VLAN w rozróżnianiu ruchu należącego do różnych sieci w ramach jednego fizycznego łącza. Wyjaśnij, dlaczego komunikacja między urządzeniami w różnych VLAN wymaga urządzenia warstwy trzeciej — routera lub warstwy 3 przełącznika. Omów korzyści z segmentacji sieci przy użyciu VLAN: izolacja ruchu broadcast, zwiększone bezpieczeństwo oraz zmniejszenie domeny rozgłoszeniowej.

Wykład 2 Routing dynamiczny, IGP, algorytm stanu łącza, OSPF.

Sieć transportowa firmy rozrasta się dynamicznie poprzez dodawanie nowych oddziałów w różnych miastach. Obecnie wszystkie trasy między routerami są skonfigurowane statycznie, co oznacza, że każda zmiana topologii sieci (dodanie nowego routera, awaria łącza) wymaga ręcznej rekonfiguracji wszystkich urządzeń przez administratora — jest to czasochłonne i podatne na błędy. Jako administrator musisz wdrożyć protokół routingu dynamicznego OSPF (Open Shortest Path First), który automatycznie wykryje aktualną topologię sieci i wyznaczy najkrótsze ścieżki do każdej sieci docelowej na podstawie kosztu łączy. System musi być odporny na awarie — w przypadku przecięcia kabla lub routera, OSPF powinien w ciągu kilkudziesięciu sekund przekierować ruch trasą zapasową bez interwencji administratora.

• Wykorzystanie trzech routerów 2911 połączonych w topologię trójkąta.
• Adresacja sieci łączących routery w masce /30 (point-to-point).
• Konfiguracja co najmniej jednej sieci LAN za każdym routerem.
• Uruchomienie procesu OSPF z identycznym Process ID na wszystkich urządzeniach.
• Ustawienie unikalnego Router ID dla każdego routera.
• Dodanie wszystkich sieci do obszaru Area 0 (Backbone).
• Weryfikacja ustanowienia sąsiedztwa (show ip ospf neighbor).
• Analiza bazy danych LSA (show ip ospf database).
• Weryfikacja tras OSPF w tabeli routingu.
• Test zbieżności: odłączenie łącza i obserwacja zmiany trasy.
• Użycie traceroute do dokumentacji ścieżki.
• Dokumentacja kosztu (cost) dla tras.

Opisz zasadę działania algorytmu Dijkstry (SPF) w wyznaczaniu najkrótszej trasy do sieci docelowej. Wyjaśnij różnice między stanami sąsiedztwa OSPF: Down, Init, 2-Way, ExStart, Exchange, Loading oraz Full. Omów rolę routera wyznaczonego (DR) i routera zapasowego (BDR) w sieciach wielodostępowych Ethernet i ich wybór w procesie Hello. Wyjaśnij znaczenie wartości kosztu (cost) interfejsu w algorytmie SPF i wyborze najlepszej trasy.

Wykład 3 Warstwa aplikacji, protokoły DHCP (DORA) i DNS.

Firma dynamicznie się rozwija i regularnie dodaje nowe stanowiska pracy. Każdy nowy pracownik wymaga ręcznej konfiguracji adresu IP, maski, bramy domyślnej i serwera DNS na stacji roboczej — jest to czasochłonne, a błędy w konfiguracji (np. pomyłka w adresie bramy) powodują brak łączności z siecią. Jednocześnie użytkownicy zgłaszają problemy z dostępem do wewnętrznych zasobów firmy — muszą wpisywać adresy IP serwerów zamiast przyjaznych nazw domenowych (np. serwer.firma.local zamiast 192.168.1.10). Jako administrator musisz wdrożyć automatyczną alokację adresów IP przy użyciu serwera DHCP, który samodzielnie przydzieli wszystkie niezbędne parametry sieciowe nowym stacjom. Dodatkowo skonfiguruj serwer DNS, który będzie rozwiązywał nazwy domenowe wewnętrzne na adresy IP.

• Zastosowanie serwera Generic w topologii.
• Konfiguracja usługi DHCP z pulą adresową i wykluczeniami.
• Ustawienie opcji DHCP (brama, serwer DNS).
• Konfiguracja DNS z rekordem typu A.
• Uruchomienie usługi HTTP na serwerze.
• Ustawienie komputerów w tryb DHCP.
• Weryfikacja otrzymanych parametrów (ipconfig /all).
• Test rozwiązania nazwy (nslookup).
• Otwarcie strony WWW przez nazwę domenową.
• Analiza procesu DORA w trybie symulacji.
• Dokumentacja portów UDP 67/68.

Opisz czteroetapowy proces DORA (Discover, Offer, Request, Ack) i role klienta oraz serwera DHCP w każdej fazie tej wymiany. Wyjaśnij różnice między dynamiczną alokacją adresów IP przez DHCP a statyczną konfiguracją IP na stacji roboczej, wskazując zalety automatycznego zarządzania adresacją. Omów znaczenie czasu dzierżawy (lease time) oraz proces jej odnowienia przez klienta przed wygaśnięciem. Wyjaśnij rolę rekordu typu A w systemie DNS i jego znaczenie dla użytkowników końcowych posługujących się nazwami domenowymi zamiast adresów IP.

Wykład 2 Adresy prywatne i publiczne, NAT, PAT, oszczędność IPv4.

Firma posiada tylko jeden publiczny adres IP przydzielony przez ISP (dostarczony wraz z łączem internetowym), ale wewnątrz biura pracuje kilkadziesiąt komputerów, które muszą mieć dostęp do Internetu. Wszystkie komputery w sieci wewnętrznej używają adresów prywatnych z puli RFC 1918 (np. 192.168.1.0/24), które nie są routowalne w Internecie publicznym — pakiety z tymi adresami zostaną odrzucone przez routery ISP. Jako inżynier sieciowy musisz wdrożyć mechanizm PAT (Port Address Translation, zwany też NAT Overload), który pozwoli wielu użytkownikom współdzielić jeden publiczny adres IP poprzez translację numerów portów źródłowych. Dodatkowo firma posiada wewnętrzny serwer WWW, który musi być dostępny z Internetu — wymaga to konfiguracji statycznego NAT (przekierowania portu 80 na adres serwera wewnętrznego).

• Dodanie routera ISP i serwera zewnętrznego.
• Konfiguracja interfejsów NAT (inside/outside).
• Utworzenie ACL dla ruchu do translacji.
• Implementacja PAT (overload).
• Konfiguracja Static NAT dla serwera.
• Weryfikacja tablicy translacji.
• Test łączności z Internetu.
• Test dostępu do serwera z zewnątrz.
• Analiza zmiany adresu w trybie symulacji.

Uzasadnij konieczność stosowania mechanizmu PAT (Port Address Translation) w kontekście globalnego deficytu publicznych adresów IPv4. Opisz różnice między NAT statycznym (mapowanie jeden-do-jednego), NAT dynamicznym (z puli) oraz PAT (z przeciążeniem). Wyjaśnij zasadę działania PAT — jak router wykorzystuje unikalne numery portów źródłowych do rozróżniania wielu wewnętrznych połączeń współdzielących jeden publiczny adres IP. Omów wady i ograniczenia NAT w kontekście niektórych protokołów i aplikacji wymagających połączeń przychodzących.

Wykład 2 Redundancja bramy domyślnej, protokoły FHRP, HSRP.

Krytyczne systemy teleinformatyczne firmy wymagają dostępności na poziomie 99,99% (dopuszczalny przestój to maksymalnie około 52 minuty rocznie). Obecnie firma posiada tylko jeden router brzegowy łączący sieć wewnętrzną z Internetem — awaria tego urządzenia skutkuje całkowitym odcięciem wszystkich pracowników od sieci zewnętrznej i Internetu, co powoduje znaczne straty czasowe i finansowe. Jako administrator musisz wdrożyć mechanizm nadmiarowości bramy domyślnej wykorzystujący dwa fizyczne routery pracujące pod jednym wirtualnym adresem IP (Virtual Router). W normalnych warunkach ruch wychodzący i przychodzący jest obsługiwany przez router główny (Active), natomiast w przypadku jego awarii router zapasowy (Standby) automatycznie przejmuje wszystkie funkcje w sposób przezroczysty dla użytkowników końcowych — nie muszą oni ręcznie zmieniać konfiguracji bramy domyślnej.

• Zastosowanie dwóch routerów 2911.
• Konfiguracja adresów fizycznych na LAN.
• Uruchomienie grupy HSRP (standby 1).
• Ustawienie wirtualnego adresu IP.
• Ustawienie priorytetu na routerze aktywnym.
• Włączenie preemption.
• Weryfikacja stanu HSRP.
• Test awarii i przełączenia.
• Pomiar czasu przełączenia.

Porównaj protokół HSRP (Cisco) z otwartym standardem VRRP (Virtual Router Redundancy Protocol) — wskaż główne różnice w multicast address i zachowaniu priorytetów. Wyjaśnij stany protokołu HSRP: Init, Listen, Speak, Standby oraz Active, opisując przejścia między nimi. Opisz rolę wirtualnego adresu MAC przydzielanego przez HSRP (format 0000.0c07.acXX) i jego znaczenie dla przeźroczystego przełączenia w przypadku awarii routera Active na router Standby.

Wykład 2 Protokół IPv6, autokonfiguracja SLAAC, adresy Link-Local.

Globalny deficyt publicznych adresów IPv4 (wyrażany w dokumentach IANA i RIR) wymusza na firmie migrację na nowy protokół IPv6. Jednakze przejście nie może spowodować przestoju w działaniu usług — firmowe serwery i stacje robocze muszą nadal działać, komunikując się zarówno z sieciami IPv4 jak i z nowymi sieciami IPv6 dostępnymi w Internecie. Jako inżynier sieciowy musisz wdrożyć mechanizm Dual-Stack, który pozwoli na jednoczesną pracę urządzeń w obu protokołach (IPv4 i IPv6). Komputery i routery będą posiadały jednocześnie adresy IPv4 i IPv6, a ruch wychodzący do sieci IPv6 będzie kierowany odpowiednim protokołem. Proces migracji musi być stopniowy, bez konieczności jednoczesnej wymiany całej infrastruktury sieciowej.

• Włączenie routingu IPv6.
• Konfiguracja adresów IPv6 /64 na LAN i WAN.
• Uruchomienie Router Advertisement.
• Konfiguracja hostów do auto-pozyskania IPv6.
• Weryfikacja adresu Link-Local.
• Test ping IPv6.
• Konfiguracja trasy domyślnej IPv6.
• Analiza Neighbor Discovery.

Opisz główne zalety protokołu IPv6 względem IPv4: uproszczony nagłówek, praktycznie nieograniczoną przestrzeń adresową oraz wbudowane bezpieczeństwo IPsec. Wyjaśnij mechanizm SLAAC (Stateless Address Autoconfiguration) umożliwiający hostom automatyczne pozyskanie adresu IPv6 na podstawie prefixu otrzymanego w Router Advertisement. Omów rolę adresów Link-Local (FE80::/10) w komunikacji wewnątrzsegmentowej. Wyjaśnij działanie protokołu Neighbor Discovery (ICMPv6) i mechanizmu DAD (Duplicate Address Detection) zapobiegającego konfliktom adresów w sieci.

Wykład 1 Topologia gwiazdy, Spanning Tree (STP), agregacja łączy.

Główny węzeł dystrybucyjny firmy obsługuje coraz większy ruch sieciowy i pojedyncze łącze gigabitowe między dwoma przełącznikami jest niewystarczające — przepustowość osiąga 100% podczas szczytowego obciążenia. Firma zdecydowała o dodaniu drugiego fizycznego kabla między przełącznikami w celu zwiększenia pasma, jednak protokół Spanning Tree (STP) automatycznie blokuje jeden z portów jako redundantny, aby uniknąć pętli warstwy 2 — w rezultacie drugi kabel jest nieużywany i marnuje się jego potencjalna przepustowość. Jako administrator musisz wdrożyć mechanizm EtherChannel (agregacja łączy), który połączy dwa fizyczne kable w jeden logiczny interfejs o dwukrotnie większej przepustowości (2 Gbps), jednocześnie zachowując redundancję — w przypadku awarii jednego kabla ruch nadal płynie drugim bez przerwy w transmisji.

• Połączenie dwóch switchy dwoma kablami.
• Obserwacja blokady STP.
• Konfiguracja EtherChannel (LACP).
• Utworzenie Port-channel 1.
• Weryfikacja agregacji.
• Konfiguracja Trunk na Port-channel.
• Test redundancji (odłączenie kabla).

Wyjaśnij znaczenie Root Bridge w topologii Spanning Tree i kryteria jego wyboru (najniższy Bridge ID). Omów różnice między protokołem LACP (Link Aggregation Control Protocol — standard IEEE 802.3ad) a PAgP (Port Aggregation Protocol — protokół Cisco). Opisz korzyści z agregacji łączy: zwiększenie przepustowości (suma pasma portów) oraz redundancję (awaria jednego kabla nie przerywa ruchu). Wyjaśnij, dlaczego EtherChannel jest rozwiązaniem lepszym niż poleganie wyłącznie na STP blokującym porty.

Wykład 2 Filtrowanie pakietów IP, ACL standardowe i rozszerzone.

Dział bezpieczeństwa IT przeprowadził audyt sieci i zidentyfikował poważne zagrożenie: użytkownicy z działu Produkcji mogą bezproblemowo pingować (ICMP) serwery w sieci działu Administracji, co teoretycznie pozwala na skanowanie topologii sieciowej i ataki na te serwery. Polityka bezpieczeństwa firmy wymaga izolacji ruchu między działami — dział Produkcji nie powinien mieć dostępu do wewnętrznych zasobów Administracji, z wyjątkiem dozwolonych usług (serwer WWW i serwer DNS). Jako administrator musisz wdrożyć mechanizm list kontroli dostępu (ACL), który zablokuje nieautoryzowany ruch ICMP z podsieci Produkcyjnej do podsieci Administracyjnej, jednocześnie zezwalając na dostęp do serwera WWW (port 80) i serwera DNS (port 53). Lista ACL powinna być umieszczona możliwie najbliżej źródła ruchu dla optymalnej wydajności.

• Utworzenie rozszerzonej ACL (100-199).
• Blokada ICMP z Prod do Admin.
• Zezwolenie HTTP z Prod do serwera.
• Zezwolenie DNS.
• Zastosowanie ACL na interfejsie.
• Test ping (blokada).
• Test HTTP (dostęp).
• Weryfikacja trafień w reguły.

Wyjaśnij różnice między listami ACL standardowymi (1-99) a rozszerzonymi (100-199) w zakresie możliwości filtrowania (adresy źródłowe vs źródłowe i docelowe + numery portów). Omów znaczenie kolejności wpisów w ACL — pierwszy pasujący wpis decyduje o akcji (permit lub deny). Wyjaśnij działanie niejawnej reguły "deny all" (implicit deny) na końcu każdej listy ACL i konieczność jawnego dodania permit all, jeśli ruch ma być dozwolony. Opisz różnicę między zastosowaniem ACL jako inbound (in) a outbound (out) na interfejsie routera.

Wykład 1 Port Security, Wykład 3 Bezpieczeństwo zarządzania, SSH.

Ostatnim etapem budowy bezpiecznej infrastruktury sieciowej jest "utwardzenie" (hardening) urządzeń. Zarządzanie przełącznikami i routerami odbywa się obecnie przez protokół Telnet, co jest niedopuszczalne w profesjonalnej sieci — wszystkie hasła i konfiguracja są przesyłane tekstem jawnym i mogą zostać przechwycone przez atakującego w tej samej sieci LAN. Dodatkowo dział ochrony zgłosił przypadki podłączania nieautoryzowanych prywatnych laptopów do gniazd sieciowych w biurze — stwarza to ryzyko wycieku danych i nieautoryzowanego dostępu do sieci firmowej. Jako administrator musisz przeprowadzić hardening urządzeń: skonfigurować bezpieczny dostęp zdalny przez protokół SSH (Secure Shell) z szyfrowaniem oraz wdrożyć Port Security na portach dostępowych przełącznika, aby blokować nieautoryzowane urządzenia końcowe na poziomie warstwy 2.

• Konfiguracja hosta i domeny dla SSH.
• Generowanie kluczy RSA (min. 1024 bity).
• Włączenie SSH, wyłączenie Telnet.
• Konfiguracja lokalnego użytkownika.
• Konfiguracja VTY tylko SSH.
• Konfiguracja Port Security na porcie.
• Ustawienie max MAC=1, sticky.
• Test SSH z PC.
• Test blokady Port Security.

Wyjaśnij różnice między protokołem Telnet a SSH — szyfrowanie transmisji danych, porty (23 vs 22) i bezpieczeństwo uwierzytelniania. Omów tryby naruszenia Port Security: shutdown (blokuje port), restrict (blokuje ruch z naruszycielem, ale port działa) oraz protect (odrzuca pakiety, nie blokuje portu). Opisz znaczenie kluczy asymetrycznych RSA w procesie uwierzytelniania SSH i wymiany klucza sesji. Wyjaśnij, dlaczego SSH jest preferowanym protokołem zarządzania zdalnego w profesjonalnych sieciach.

Wykład 3 Bezpieczeństwo warstwy transportowej, VPN, tunelowanie.

Firma posiada dwa oddziały w różnych miastach, które muszą wymieniać dane między sobą przez sieć publiczną Internet. Tradycyjne połączenie przez routery ISP nie zapewnia możliwości komunikacji między prywatnymi sieciami — pakiety z adresami prywatnymi RFC 1918 nie są routowane w Internecie. Dodatkowo firmowe sieci LAN używają tej samej prywatnej przestrzeni adresowej (np. 192.168.1.0/24 w obu oddziałach), co powoduje konflikty routingu. Jako inżynier sieciowy musisz wdrożyć tunel GRE (Generic Routing Encapsulation), który opakowuje oryginalne pakiety w nowy nagłówek IP, umożliwiając ich przesłanie przez sieć publiczną. Tunel pozwoli na komunikację między sieciami LAN oddziałów oraz rozwiąże problem nakładających się przestrzeni adresowych.

• Zastosowanie dwóch routerów 2911 przez ISP.
• Konfiguracja routingu statycznego (widoczność WAN).
• Utworzenie interfejsu Tunnel na obu routerach.
• Przypisanie adresów IP do interfejsów Tunnel.
• Konfiguracja tras statycznych przez tunel.
• Weryfikacja działania tunelu (ping przez tunel).
• Test łączności między sieciami LAN oddziałów.
• Analiza enkapsulacji GRE w trybie symulacji.

Wyjaśnij zasadę działania tunelowania GRE — enkapsulacja pakietów IP w protokole GRE i ich przesyłanie przez sieć publiczną. Opisz strukturę nagłówka GRE (flagi, typ protokołu) i proces enkapsulacji/dekapsulacji. Omów różnice między GRE a IPsec: GRE nie szyfruje danych, ale obsługuje wiele protokołów i/multicast. Wyjaśnij, dlaczego tunel GRE rozwiązuje problem nakładających się prywatnych przestrzeni adresowych (overlapping networks). Wymień zalety i wady GRE w porównaniu z pełnymi rozwiązaniami VPN.