Laboratorium: Wirtualne Sieci Prywatne (VPN)

Środowisko: Cisco Packet Tracer
Instrukcja dla studenta:
Każde zadanie projektowe należy zrealizować w programie Cisco Packet Tracer. Dokumentacja (sprawozdanie) musi zawierać: treść zadania, opis wykonania, zestawienie użytych technologii z uzasadnieniem ich wyboru, zrzuty ekranu z topologią i konfiguracją, szczegółowy opis oraz uzasadnienie konfiguracji urządzeń, napotkane problemy i sposoby ich rozwiązania, a także sformułowane wnioski końcowe.

Spis zagadnień laboratoryjnych

  1. Fundamenty: Routing statyczny i weryfikacja dostępności
  2. Tunelowanie GRE (Generic Routing Encapsulation)
  3. Szyfrowanie IPSec Site-to-Site (łączące oddziały)
  4. Implementacja tunelu GRE over IPSec
  5. Dynamiczny routing OSPF przez tunel VPN
  6. Zdalny dostęp - Remote Access VPN (Client-to-Site)
  7. Segmentacja ruchu i VLANy w tunelach VPN
  8. Współpraca VPN z translacją adresów NAT/PAT
  9. Nadmiarowość połączeń i mechanizm failover w VPN
  10. Hardening i zaawansowana diagnostyka bramy VPN
01
Fundamenty: Routing statyczny i weryfikacja dostępności
Podstawa merytoryczna

Część 1 Definicja VPN, Część 5 Routing w tunelach, Point-to-Point.

Scenariusz problemowy

Firma planuje połączyć dwa odległe biura w jedną strukturę sieciową, ale zanim przystąpi do wdrażania tuneli, musi zapewnić pełną widoczność między interfejsami zewnętrznymi routerów. Obecnie routery w obu lokalizacjach mają skonfigurowane adresy IP na interfejsach WAN, ale nie potrafią się ze sobą komunikować przez symulowaną sieć dostawcy (ISP). Twoim zadaniem jest poprawne skonfigurowanie routingu statycznego w taki sposób, aby routery "widziały" swoje zewnętrzne adresy. Jest to krytyczny etap przygotowawczy, bez którego zestawienie jakiegokolwiek tunelu VPN nie będzie możliwe. Musisz udowodnić stabilność połączenia przed przejściem do etapów szyfrowania.

Wymagania techniczne
  • Użycie dwóch routerów serii 2911 jako bram VPN dla Oddziału A i Oddziału B.
  • Dodanie trzeciego routera symulującego chmurę ISP w środku topologii.
  • Adresacja zewnętrzna: 203.0.113.1/30 (Oddział A) oraz 198.51.100.1/30 (Oddział B).
  • Konfiguracja podsieci LAN dla każdego z oddziałów: 172.16.1.0/24 i 172.16.2.0/24.
  • Ustawienie routingu statycznego na routerach brzegowych (brama domyślna na ISP).
  • Konfiguracja routera ISP tak, aby znał drogi do publicznych końcówek routerów firmowych.
  • Weryfikacja dostępności publicznych adresów IP za pomocą polecenia ping z routera na router.
  • Użycie polecenia traceroute do udokumentowania ścieżki pakietu.
  • Zapewnienie poprawnego opisu interfejsów (description) dla czytelności konfiguracji.
  • Zabezpieczenie routerów podstawowym hasłem do trybu uprzywilejowanego.
  • Sprawdzenie tablicy routingu (show ip route) na wszystkich trzech urządzeniach.
  • Weryfikacja braku komunikacji między sieciami LAN przed zestawieniem VPN.
Wskazówki
  1. Konfigurację rozpocznij od zabezpieczenia routera: enable secret Cisco123 — hasło do trybu uprzywilejowanego.
  2. Skonfiguruj hasło na konsolę: line console 0, password Cisco123, login.
  3. Na routerze Oddział A skonfiguruj interfejs WAN: interface GigabitEthernet0/0, adres IP ip address 203.0.113.1 255.255.255.252, no shutdown.
  4. Na routerze Oddział A skonfiguruj interfejs LAN: interface GigabitEthernet0/1, adres IP ip address 172.16.1.1 255.255.255.0, no shutdown.
  5. Konfiguruj routing statyczny na Oddziale A: ip route 0.0.0.0 0.0.0.0 203.0.113.2 — trasa domyślna przez ISP.
  6. Konfiguruj trasę do LAN B: ip route 172.16.2.0 255.255.255.0 203.0.113.2 — wymaga, by ISP znał trasę do oddziału B.
  7. Powtórz konfigurację na Oddziale B (odwrotne adresy IP) i na routerze ISP (routing między oboma oddziałami).
  8. Weryfikuj: show ip interface brief — interfejsy muszą być "up/up".
  9. Testuj łączność: ping 203.0.113.2 z Oddziału A -> ISP, ping 198.51.100.1 z Oddziału A -> Oddział B.
  10. Użyj traceroute do udokumentowania ścieżki pakietu przez ISP.
  11. Pamiętaj: w realnym świecie ISP nie zna Twoich prywatnych adresów LAN — ping między LAN A a LAN B nie zadziała bez VPN.
  12. Sprawdź show ip route na każdym routerze — trasy statyczne muszą być widoczne w tablicy routingu.
Wnioski do opracowania
  • Routing statyczny stanowi fundament (podstawa) dla każdego tunelu VPN — bez poprawnej łączności między publicznymi adresami IP routerów, zestawienie tunelu jest niemożliwe.
  • Internet nie przekazuje pakietów z prywatnymi adresami RFC 1918 (np. 172.16.x.x, 10.x.x.x, 192.168.x.x) — routery ISP ignorują takie pakiety zgodnie z zasadą hierarchiczności routingu.
  • Tunel VPN tworzy wirtualny "most" między sieciami LAN, opakowując pakiety w nowy nagłówek z publicznymi adresami IP — umożliwia ich transmisję przez Internet.
  • NAT (Network Address Translation) może zastąpić VPN dla pojedynczych hostów, ale nie zapewnia pełnej łączności między sieciami LAN bez dodatkowych mechanizmów.
  • Routing statyczny jest niezbędny do wskazania "następnego skoku" dla ruchu kierowanego przez tunel VPN — bez niego router nie wie, gdzie wysłać pakiety.
  • Trasa domyślna (0.0.0.0/0) wskazująca na ISP umożliwia komunikację z Internetem, ale ruch VPN musi mieć jawnie zdefiniowane trasy lub być przekierowany przez interfejs tunelowy.
  • Weryfikacja łączności między publicznymi IP (ping przez ISP) jest krytycznym krokiem przed konfiguracją VPN — eliminuje problemy warstwy 3 przed przejściem do warstwy aplikacji tunelowania.
  • Podsumowanie: routing statyczny to "drogi" a VPN to "pojazd" — bez dróg nie ma możliwości jazdy, bez tunelu pojazd nie dotrze do celu przez Internet.
Przykładowe polecenia Cisco z wynikami działania
Router-OddzialA(config)# enable secret Cisco123 ! Hasło do trybu uprzywilejowanego Router-OddzialA(config)# line console 0 Router-OddzialA(config-line)# password Cisco123 Router-OddzialA(config-line)# login Router-OddzialA(config-line)# exit Router-OddzialA(config)# interface GigabitEthernet0/0 ! Interfejs WAN - łącze do ISP Router-OddzialA(config-if)# description Polaczenie_do_ISP_WAN Router-OddzialA(config-if)# ip address 203.0.113.1 255.255.255.252 Router-OddzialA(config-if)# no shutdown Router-OddzialA(config-if)# exit Router-OddzialA(config)# interface GigabitEthernet0/1 ! Interfejs LAN - sieć wewnętrzna Router-OddzialA(config-if)# description LAN_OddzialA Router-OddzialA(config-if)# ip address 172.16.1.1 255.255.255.0 Router-OddzialA(config-if)# no shutdown Router-OddzialA(config-if)# exit Router-OddzialA(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.2 ! Trasa domyślna przez ISP Router-OddzialA(config)# ip route 172.16.2.0 255.255.255.0 203.0.113.2 ! Trasa do LAN B przez ISP Router-OddzialA(config)# exit Router-OddzialA# show ip interface brief ! Sprawdzenie statusu interfejsów Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 203.0.113.1 YES manual up up GigabitEthernet0/1 172.16.1.1 YES manual up up Router-OddzialA# ping 198.51.100.1 ! Sprawdzenie widoczności Oddziału B Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 198.51.100.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/22/28 ms Router-OddzialA# traceroute 198.51.100.1 ! Śledzenie ścieżki do Oddziału B Type escape sequence to abort. Tracing the route to 198.51.100.1: 1 203.0.113.2 4 msec 4 msec 4 msec 2 198.51.100.1 16 msec 16 msec 16 msec Router-OddzialA# show ip route ! Sprawdzenie tablicy routingu Codes: C - connected, S - static, O - OSPF, M - mobile, D - EIGRP Gateway of last resort is 203.0.113.2 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 203.0.113.2 C 203.0.113.0/30 is directly connected, GigabitEthernet0/0 C 172.16.1.0/24 is directly connected, GigabitEthernet0/1 S 172.16.2.0/24 [1/0] via 203.0.113.2
Przykładowy schemat
Schemat sieci - Zadanie 01
[Otwórz grafikę w nowym oknie]
02
Tunelowanie GRE (Generic Routing Encapsulation)
Podstawa merytoryczna

Część 2 Protokół GRE, Enkapsulacja, Część 5 Point-to-Point interfaces.

Scenariusz problemowy

Centrala firmy w Warszawie potrzebuje przesyłać ruch multicastowy oraz inne protokoły nie-IP do oddziału w Krakowie. Klasyczny VPN bazujący wyłącznie na politykach IPSec nie wspiera bezpośrednio takich wymagań. Zdecydowano o wdrożeniu tunelu GRE, który stworzy wirtualny interfejs punkt-punkt między routerami. Jako administrator musisz skonfigurować ten tunel, nadając mu dedykowaną adresację wewnętrzną. Musisz zapewnić, aby pakiety z sieci LAN Oddziału A mogły trafiać do Oddziału B poprzez nowo utworzony interfejs wirtualny Tunnel0. Pamiętaj, że na tym etapie ruch nie jest jeszcze szyfrowany.

Wymagania techniczne
  • Utworzenie interfejsu wirtualnego "interface Tunnel0" na obu routerach brzegowych.
  • Nadanie adresacji IP dla tunelu: 10.255.255.1/30 (A) oraz 10.255.255.2/30 (B).
  • Wskazanie adresu źródłowego tunelu (tunnel source) jako interfejs zewnętrzny WAN.
  • Wskazanie adresu docelowego tunelu (tunnel destination) jako publiczne IP drugiego routera.
  • Ustawienie trybu tunelu na "tunnel mode gre ip".
  • Weryfikacja statusu interfejsu tunelu (up/up) poleceniem show ip interface brief.
  • Dodanie tras statycznych dla sieci LAN wskazujących na adres IP drugiego końca tunelu.
  • Weryfikacja łączności między komputerami w sieciach LAN za pomocą ping.
  • Użycie polecenia traceroute, aby potwierdzić przejście pakietu przez adresy 10.255.255.x.
  • Analiza nagłówka GRE w pakiecie za pomocą trybu symulacji (PDU detail).
  • Dokumentacja narzutu (overhead) jaki dodaje GRE do oryginalnego pakietu IP.
  • Sprawdzenie MTU interfejsu tunelu i porównanie go z interfejsem fizycznym.
Wskazówki
  1. Tworzenie tunelu GRE rozpocznij od konfiguracji interfejsu Tunnel0 na obu routerach brzegowych, nadając mu unikalny adres IP z oddzielnej podsieci (/30 lub /31).
  2. Polecenie tunnel source wskaż interfejs fizyczny WAN (np. GigabitEthernet0/0), NIE adres IP — unika to problemów przy zmianie adresacji.
  3. Polecenie tunnel destination musi wskazywać publiczny adres IP drugiego routera, który musi być osiągalny przez routing statyczny.
  4. Jeśli interfejs tunelu jest w stanie "up/down", sprawdź czy adres "tunnel destination" jest osiągalny za pomocą zwykłego pingu.
  5. GRE to protokół bezstanowy — router nie wie czy druga strona jest poprawnie skonfigurowana, dopóki nie zaczniesz przesyłać danych.
  6. Po skonfigurowaniu tunelu dodaj trasy statyczne wskazujące na adres IP drugiego końca tunelu (np. ip route 172.16.2.0 255.255.255.0 10.255.255.2).
  7. Ustaw mtu 1400 na interfejsie tunelowym, aby skompensować narzut 20-24 bajtów dodawanych przez GRE + nagłówek IP zewnętrzny.
  8. Sprawdź status tunelu poleceniem show interface Tunnel0 — stan musi być "Tunnel0 is up, line protocol is up".
  9. Jeśli ping przez tunel nie działa, a routing statyczny do ISP jest poprawny, sprawdź czy obie strony mają zgodny tryb tunelu (tunnel mode gre ip).
  10. Do diagnostyki użyj debug tunnel (ostrożnie w środowisku produkcyjnym) lub analizy pakietów w trybie symulacji PT.
Wnioski do opracowania
  • Enkapsulacja GRE dodaje nowy nagłówek IP (z publicznymi adresami źródła i celu) wokół oryginalnego pakietu — struktura: [IP_out][GRE][IP_in][dane].
  • GRE obsługuje wiele protokołów warstwy 3 (nie tylko IP), co czyni go uniwersalnym protokołem tunelowym dla heterogenicznych środowisk.
  • Kluczowa wada GRE: brak szyfrowania — dane w publicznym Internecie są przesyłane jako jawny tekst, każdy może je przechwycić i odczytać.
  • Pakiety GRE nie mają uwierzytelniania — atakujący może wstrzyknąć fałszywe pakiety GRE do tunelu bez wykrycia.
  • GRE zwiększa narzut (overhead) o ok. 24 bajty na pakiet — wymaga dostosowania MTU (np. do 1400) aby uniknąć fragmentacji.
  • GRE jest bezstanowy — nie ma mechanizmu potwierdzenia odebrania pakietów, co może powodować utratę danych bez powiadomienia.
  • Tunel GRE tworzy wirtualny interfejs Layer 3 — umożliwia running protokołów routingu (OSPF, EIGRP) przez tunel, czego nie obsługuje czyste IPSec w trybie Tunnel.
  • Podsumowanie: GRE to doskonały mechanizm do łączenia sieci i przesyłania multicastów, ale NIE zapewnia poufności — wymaga połączenia z IPSec (GRE over IPSec).
Przykładowe polecenia Cisco z wynikami działania
Router-HQ(config)# interface Tunnel0 ! Tworzenie interfejsu tunelowego GRE Router-HQ(config-if)# ip address 10.255.255.1 255.255.255.252 ! Adres IP tunelu Router-HQ(config-if)# description GRE_tunnel_to_Krakow Router-HQ(config-if)# tunnel source GigabitEthernet0/0 ! Źródło tunelu - interfejs WAN Router-HQ(config-if)# tunnel destination 198.51.100.1 ! Destynacja - publiczny IP Oddziału B Router-HQ(config-if)# tunnel mode gre ip ! Tryb tunelu GRE Router-HQ(config-if)# mtu 1400 ! Maksymalny rozmiar pakietu - rekompensuje narzut GRE Router-HQ(config-if)# ip tcp adjust-mss 1360 ! Dostosowanie MSS dla TCP Router-HQ(config-if)# no shutdown Router-HQ(config-if)# exit Router-HQ(config)# ip route 172.16.2.0 255.255.255.0 Tunnel0 ! Trasa do LAN B przez tunel GRE Router-HQ(config)# exit Router-HQ# show ip interface brief ! Sprawdzenie statusu interfejsów w tym tunelu Interface IP-Address OK? Method Status Protocol Tunnel0 10.255.255.1 YES manual up up Router-HQ# show interface Tunnel0 ! Szczegółowe informacje o interfejsie tunelowym Tunnel0 is up, line protocol is up Hardware is Tunnel Internet address is 10.255.255.1/30 MTU 1400 bytes, BW 9 Kbit, DLY 500000 usec Encapsulation TUNNEL, loopback not set Tunnel source 203.0.113.1 (GigabitEthernet0/0), destination 198.51.100.1 Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled Checksumming of packets disabled, fast-switching disabled Router-HQ# ping 10.255.255.2 ! Test łączności przez tunel GRE Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.255.255.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/15 ms Router-HQ# traceroute 172.16.2.1 ! Śledzenie trasy do hosta w LAN B Type escape sequence to abort. Tracing the route to 172.16.2.1: 1 10.255.255.2 8 msec 8 msec 8 msec 2 172.16.2.1 16 msec 16 msec 16 msec Router-HQ# show ip route ! Tablica routingu z trasą przez tunel Codes: C - connected, S - static, O - OSPF, M - mobile, D - EIGRP C 10.255.255.0/30 is directly connected, Tunnel0 S 172.16.2.0/24 is directly connected, Tunnel0
Przykładowy schemat
Schemat sieci - Zadanie 02
[Otwórz grafikę w nowym oknie]
03
Szyfrowanie IPSec Site-to-Site (łączenie oddziałów)
Podstawa merytoryczna

Część 3 IPSec, IKEv1/IKEv2, ISAKMP, Diffie-Hellman, AES/SHA.

Scenariusz problemowy

Po udanych testach przesyłu danych firma wymaga teraz zapewnienia pełnej poufności i integralności danych przesyłanych między biurami. Twoim zadaniem jest rezygnacja z nieszyfrowanego GRE na rzecz tunelu IPSec w trybie Site-to-Site (łączącego oddziały). Musisz skonfigurować obie fazy negocjacji IKE: fazę 1 (ISAKMP) dla bezpiecznego kanału sterowania oraz fazę 2 (IPSec) dla szyfrowania danych użytkownika. Wykorzystaj listy kontroli dostępu (ACL) do zdefiniowania "ruchu interesującego", który ma zostać zaszyfrowany. Sukcesem będzie udokumentowanie, że pakiety przesyłane przez ISP są całkowicie nieczytelne (zaszyfrowane protokołem ESP).

Wymagania techniczne
  • Konfiguracja polityki ISAKMP (Phase 1): AES-256, SHA-256, Group 2 (DH), Pre-shared Key.
  • Ustawienie wspólnego klucza (key) dla IP drugiego routera.
  • Konfiguracja transform-set (Phase 2) z użyciem esp-aes i esp-sha-hmac.
  • Stworzenie ACL (np. 101) definiującej ruch między LAN A a LAN B.
  • Konfiguracja "crypto map" łączącej ACL, transform-set i peer IP.
  • Przypisanie mapy krypto do interfejsu zewnętrznego WAN (crypto map nazwa).
  • Inicjacja ruchu tunelowego poprzez ping między hostami LAN.
  • Weryfikacja sesji ISAKMP poleceniem show crypto isakmp sa.
  • Weryfikacja tuneli IPSec poleceniem show crypto ipsec sa (liczba pakietów pkts encap/decap).
  • Analiza pakietu ESP w trybie symulacji - sprawdzenie czy zawartość IP jest ukryta.
  • Ustawienie czasu życia kluczy (lifetime) zgodnie z polityką bezpieczeństwa.
  • Zapewnienie spójności parametrów po obu stronach (najczęstszy punkt awarii).
Wskazówki
  1. Konfigurację rozpocznij od fazy 1 (ISAKMP) — utwórz politykę crypto isakmp policy 10 z silnymi parametrami (AES-256, SHA-256, DH Group 2 lub wyższa).
  2. Skonfiguruj wspólny klucz (pre-shared key) poleceniem crypto isakmp key wskazującym adres peera — musi być identyczny po obu stronach.
  3. Następnie skonfiguruj transform-set (faza 2) — crypto ipsec transform-set MYSET esp-aes esp-sha-hmac w trybie tunnel.
  4. ACL definiujący "ruch interesujący" musi być lustrzanym odbiciem po obu stronach: na Routerze A: permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255, na Routerze B: permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255.
  5. Utwórz crypto map (crypto map MYMAP 10 ipsec-isakmp) łączącą ACL, transform-set i adres peera, a następnie przypisz ją do interfejsu WAN.
  6. Tunel IPSec jest "lazy" — inicjuje go dopiero ruch zdefiniowany w ACL. Wyślij ping z hosta w LAN A do hosta w LAN B.
  7. Weryfikuj stan poleceniami: show crypto isakmp sa (faza 1, stan QM_IDLE = aktywny) oraz show crypto ipsec sa (faza 2, liczby pkts encap/decap).
  8. Jeśli statystyki encap rosną, a decap stoją w miejscu — błąd w ACL po stronie odbiorcy lub niezgodność proxy identities.
  9. Sprawdź zgodność parametrów: algorytmy szyfrowania, funkcje hash, grupy DH i lifetime muszą być identyczne po obu stronach.
  10. Do diagnostyki użyj debug crypto isakmp i debug crypto ipsec (ostrożnie — generują dużo logów).
Wnioski do opracowania
  • Szyfrowanie (encryption) chroni poufność danych — przekształca jawny tekst w szyfrogram nieczytelny dla osób nieposiadających klucza (AES, 3DES).
  • Uwierzytelnianie (authentication) potwierdza tożsamość stron — gwarantuje, że komunikujesz się z prawdziwym partnerem, nie z atakującym (pre-shared keys, certyfikaty).
  • IPSec ESP zapewnia oba: szyfrowanie ( confidentiality) i opcjonalnie uwierzytelnianie ( integrity) poprzez HMAC.
  • Diffie-Hellman (DH) umożliwia wymianę kluczy przez niezaufane medium bez przesyłania sekretu — obie strony wyliczają wspólny klucz z publicznych wartości.
  • Grupa DH określa siłę klucza: Grupa 1 (768 bitów) — słaby, Grupa 2 (1024 bity) — minimalny, Grupa 5 (1536 bitów) lub wyższy — zalecany dla produkcji.
  • Wymiana kluczy DH jest podstawą fazy 1 (ISAKMP) — ustanawia bezpieczny kanał do negocjacji kluczy fazy 2 (IPSec SA).
  • IPSec w trybie Tunnel szyfruje cały oryginalny pakiet IP, tworząc nowy nagłówek — idealny dla Site-to-Site VPN.
  • Podsumowanie: IPSec łączy szyfrowanie (ochrona danych) z uwierzytelnianiem (ochrona przed atakami man-in-the-middle), a DH umożliwia bezpieczną wymianę kluczy przez Internet.
Przykładowe polecenia Cisco z wynikami działania
Router-VPN(config)# crypto isakmp policy 10 ! Tworzenie polityki ISAKMP Phase 1 Router-VPN(config-isakmp)# encryption aes 256 ! Algorytm szyfrowania Router-VPN(config-isakmp)# hash sha256 ! Funkcja skrótu Router-VPN(config-isakmp)# authentication pre-share ! Metoda uwierzytelniania Router-VPN(config-isakmp)# group 2 ! Grupa Diffie-Hellman Router-VPN(config-isakmp)# lifetime 86400 ! Czas życia fazy 1 (24h) Router-VPN(config-isakmp)# exit Router-VPN(config)# crypto isakmp key Cisco123 address 198.51.100.1 ! Współdzielony klucz dla peera Router-VPN(config)# crypto ipsec transform-set MYSET esp-aes esp-sha-hmac ! Transform-set Phase 2 Router-VPN(cfg-crypto-trans)# mode tunnel ! Tryb tunelowy IPSec Router-VPN(cfg-crypto-trans)# exit Router-VPN(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 ! ACL - ruch do szyfrowania Router-VPN(config)# crypto map MYMAP 10 ipsec-isakmp ! Tworzenie crypto map Router-VPN(config-crypto-map)# set peer 198.51.100.1 ! Adres peera VPN Router-VPN(config-crypto-map)# set transform-set MYSET ! Powiązanie transform-set Router-VPN(config-crypto-map)# set security-association lifetime seconds 3600 ! Lifetime Phase 2 Router-VPN(config-crypto-map)# match address 101 ! Powiązanie ACL Router-VPN(config-crypto-map)# exit Router-VPN(config)# interface GigabitEthernet0/0 ! Interfejs WAN Router-VPN(config-if)# crypto map MYMAP ! Przypisanie crypto map do interfejsu Router-VPN(config-if)# exit Router-VPN# show crypto isakmp policy ! Weryfikacja polityki ISAKMP Protection suite of priority 10 encryption algorithm: AES - 256 bit hash algorithm: SHA256 authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bity) lifetime: 86400 seconds Router-VPN# ping 172.16.2.1 ! Generowanie ruchu do inicjacji tunelu Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 30/32/38 ms Router-VPN# show crypto isakmp sa ! Weryfikacja sesji ISAKMP (Phase 1) IPv4 Crypto ISAKMP SA dst src state conn-id slot status 198.51.100.1 203.0.113.1 QM_IDLE 1001 0 ACTIVE Router-VPN# show crypto ipsec sa ! Weryfikacja tunelu IPSec (Phase 2) interface: GigabitEthernet0/0 Crypto map tag: MYMAP, local addr 203.0.113.1 protected vrf: (none) local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0) current_peer: 198.51.100.1 local crypto endpt.: 203.0.113.1, remote crypto endpt.: 198.51.100.1 current status: ACTIVE inbound esp sas: spi: 0x12345678 transform: esp-256-aes outbound esp sas: spi: 0x87654321 transform: esp-256-aes
Przykładowy schemat
Schemat sieci - Zadanie 03
[Otwórz grafikę w nowym oknie]
04
Implementacja tunelu GRE over IPSec
Podstawa merytoryczna

Część 2 GRE, Część 3 IPSec Transport Mode, Część 5 Routing w tunelu.

Scenariusz problemowy

Firma zdecydowała się na połączenie zalet obu rozwiązań: elastyczności GRE (obsługa multicastów i routowania) oraz bezpieczeństwa IPSec. Jest to najczęściej stosowany model w profesjonalnych sieciach korporacyjnych. Twoim zadaniem jest "opakowanie" wcześniej skonfigurowanego tunelu GRE w ochronę IPSec. Zamiast szyfrować bezpośrednio ruch między sieciami LAN, zaszyfrujesz same pakiety GRE podróżujące między zewnętrznymi adresami routerów. Dzięki temu wirtualny interfejs Tunnel0 stanie się bezpiecznym kanałem komunikacyjnym, przez który w przyszłości przepuścisz routery dynamiczne.

Wymagania techniczne
  • Utrzymanie konfiguracji interfejsu Tunnel0 z Zadania 02.
  • Modyfikacja transform-set IPSec do pracy w trybie "mode transport" (opcjonalne, ale zalecane dla GRE).
  • Modyfikacja ACL krypto: ma teraz pasować wyłącznie do ruchu protokołu GRE (proto 47) między IP routerów.
  • Aktualizacja crypto map i ponowne przypisanie do interfejsu WAN.
  • Weryfikacja, czy tunel GRE nadal przekazuje ruch LAN (ping między komputerami).
  • Weryfikacja w show crypto ipsec sa, czy pakiety GRE są szyfrowane przez IPSec.
  • Analiza podwójnej enkapsulacji pakietu (IP -> GRE -> ESP -> IP).
  • Udokumentowanie wzrostu MTU/MSS wynikających z wielu nagłówków.
  • Sprawdzenie statusu interfejsu tunelu przy wyłączonym/włączonym krypto.
  • Konfiguracja parametrów IKE Phase 1 dla silnej odporności na ataki brute-force.
  • Weryfikacja poprawności routingu statycznego przez interfejs tunelowy.
  • Zastosowanie opisu (description) informującego o szyfrowaniu na interfejsie Tunnel0.
Wskazówki
  1. GRE over IPSec to "nakładanie" szyfrowania na istniejący tunel GRE — najpierw skonfiguruj GRE z poprzedniego zadania.
  2. Zmień transform-set do trybu transportowego (mode transport) zamiast tunelowego — mniejszy narzut, bo szyfrujesz tylko ładunek GRE.
  3. Kluczowa zmiana: ACL krypto musi teraz pasować do ruchu GRE, NIE do ruchu LAN. Użyj access-list 110 permit gre host 203.0.113.1 host 198.51.100.1.
  4. Tunnel source i tunnel destination muszą precyzyjnie odpowiadać adresom zdefiniowanym w krypto ACL — błąd w masce = brak szyfrowania.
  5. Zaktualizuj crypto map nowym ACL i przypisz ponownie do interfejsu WAN (nawet jeśli już była — wymusza renegocjację).
  6. Sprawdź w show crypto ipsec sa czy protokół to ESP (nie AH) i czy pakiety mają szyfrowanie.
  7. Zwróć uwagę na MTU — przy podwójnej enkapsulacji (IP -> GRE -> ESP -> IP) zmniejsz MTU tunelu do 1400 bajtów.
  8. Użyj polecenia ip tcp adjust-mss 1360 na interfejsie tunelowym, aby uniknąć problemów z fragmentacją TCP.
  9. Weryfikuj działanie: ping między hostami LAN nadal działa, ale w snifferze widać zaszyfrowany ruch ESP, nie pakiety GRE.
  10. Podwójna enkapsulacja zwiększa narzut o ok. 50-70 bajtów na pakiet — udokumentuj wpływ na throughput w testach.
Wnioski do opracowania
  • GRE over IPSec łączy zalety obu technologii: elastyczność GRE (multicast, rutowanie, wiele protokołów) + bezpieczeństwo IPSec (szyfrowanie, uwierzytelnianie).
  • Czysty IPSec w trybie Tunnel nie obsługuje multicastów — nie można przez niego uruchomić protokołów routingu (OSPF, EIGRP) bez dodatkowych mechanizmów.
  • GRE over IPSec w trybie transportowym zmniejsza narzut — szyfruje tylko ładunek GRE, nie zewnętrzny nagłówek IP.
  • Problem z fragmentacją: podwójna enkapsulacja (IP -> GRE -> ESP -> IP) zwiększa rozmiar pakietu o 50-70 bajtów, co może przekroczyć MTU łącza ISP.
  • Fragmentacja negatywnie wpływa na wydajność — każdy fragment musi być osobno szyfrowany/deszyfrowany, zwiększa opóźnienia i obciążenie CPU routera.
  • Rozwiązanie: zmniejszenie MTU tunelu do 1400 bajtów + MSS Clamping (ip tcp adjust-mss 1360) na interfejsie tunelowym.
  • Tryb transportowy GRE over IPSec jest preferowany gdy tunel łączy dwa konkretne routery — mniejszy narzut niż tryb tunelowy.
  • Podsumowanie: GRE over IPSec to powszechnie stosowany standard dla korporacyjnych sieci VPN — umożliwia dynamiczny routing przez szyfrowany tunel.
Przykładowe polecenia Cisco z wynikami działania
Router-S2S(config)# crypto ipsec transform-set GRE-SET esp-aes esp-sha-hmac ! Transform-set dla GRE over IPSec Router-S2S(cfg-crypto-trans)# mode transport ! Tryb transportowy - mniejszy narzut Router-S2S(cfg-crypto-trans)# exit Router-S2S(config)# crypto isakmp policy 10 Router-S2S(config-isakmp)# encryption aes 256 Router-S2S(config-isakmp)# hash sha Router-S2S(config-isakmp)# authentication pre-share Router-S2S(config-isakmp)# group 2 Router-S2S(config-isakmp)# exit Router-S2S(config)# crypto isakmp key Cisco123 address 198.51.100.1 Router-S2S(config)# access-list 110 permit gre host 203.0.113.1 host 198.51.100.1 ! ACL dla ruchu GRE do szyfrowania Router-S2S(config)# crypto map VPN-MAP 20 ipsec-isakmp ! Crypto map dla GRE over IPSec Router-S2S(config-crypto-map)# set peer 198.51.100.1 Router-S2S(config-crypto-map)# set transform-set GRE-SET Router-S2S(config-crypto-map)# match address 110 Router-S2S(config-crypto-map)# exit Router-S2S(config)# interface GigabitEthernet0/0 Router-S2S(config-if)# crypto map VPN-MAP Router-S2S(config-if)# exit Router-S2S(config)# interface Tunnel0 ! Konfiguracja GRE z poprzedniego zadania Router-S2S(config-if)# ip mtu 1400 ! Dostosowanie MTU dla podwójnej enkapsulacji Router-S2S(config-if)# exit Router-S2S# ping 172.16.2.1 ! Test łączności przez GRE over IPSec Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 35/38/45 ms Router-S2S# show crypto ipsec sa ! Weryfikacja szyfrowania GRE przez IPSec interface: GigabitEthernet0/0 Crypto map tag: VPN-MAP, local addr 203.0.113.1 local ident: (203.0.113.1/255.255.255.255/47/0) remote ident: (198.51.100.1/255.255.255.255/47/0) current_peer: 198.51.100.1 pkts encaps: 15 pkts decrypt: 15 Router-S2S# show interface Tunnel0 ! Status tunelu GRE Tunnel0 is up, line protocol is up Hardware is Tunnel Internet address is 10.255.255.1/30 MTU 1400 bytes Tunnel protocol/transport GRE/IP, key disabled
Przykładowy schemat
Schemat sieci - Zadanie 04
[Otwórz grafikę w nowym oknie]
05
Dynamiczny routing OSPF przez tunel VPN
Podstawa merytoryczna

Część 5 OSPF w tunelach, Multicast w VPN, Network Type.

Scenariusz problemowy

Sieć firmowa rozrosła się o wiele nowych podsieci VLAN w obu lokalizacjach. Ręczne dopisywanie tras statycznych w miarę rozwoju firmy staje się nieefektywne i generuje ryzyko błędów. Jako administrator musisz uruchomić protokół OSPF na interfejsach tunelowych GRE over IPSec zestawiając sąsiedztwo między routerami w różnych miastach. Routery powinny automatycznie wymieniać się informacjami o wszystkich podsieciach LAN podpiętych bezpośrednio do nich. Dzięki tunelowi GRE, pakiety Hello protokołu OSPF (multicast) zostaną bezpiecznie przesłane do oddziału.

Wymagania techniczne
  • Usunięcie wszystkich tras statycznych dotyczących sieci LAN z routerów.
  • Konfiguracja procesu "router ospf 1" na obu routerach brzegowych.
  • Ustawienie ID routera (router-id) dla czytelności.
  • Dodanie sieci tunelu (10.255.255.0/30) do obszaru Area 0 (sieć szkieletowa).
  • Dodanie lokalnych sieci LAN do procesu OSPF (network command).
  • Konfiguracja interfejsu tunelu jako "ip ospf network point-to-point" (przyspieszenie zbieżności).
  • Weryfikacja ustanowienia sąsiedztwa poleceniem show ip ospf neighbor (stan FULL).
  • Sprawdzenie tablicy routingu (show ip route ospf) i obecności tras oznaczonych flagą 'O'.
  • Weryfikacja łączności między hostami LAN przy użyciu tras dynamicznych.
  • Test symulacji awarii tunelu (shutdown interfejsu) i obserwacja reakcji OSPF.
  • Analiza kosztu trasy (metric) przesyłanej przez tunel.
  • Udokumentowanie wysyłanych pakietów Hello przelatujących przez tunel krypto.
Wskazówki
  1. Konfigurację OSPF rozpocznij od włączenia protokołu na routerach: router ospf 1 (numer procesu może być dowolny, ale musi być taki sam).
  2. Zadeklaruj sieci LAN do OSPF na każdym routerze: network 172.16.1.0 0.0.0.255 area 0 — obszar musi być identyczny (rekomendowany area 0).
  3. Zadeklaruj również sieć tunelową (adresy Tunnel0): network 10.255.255.0 0.0.0.3 area 0 — to umożliwi wymianę LSA przez tunel.
  4. Jeśli sąsiedztwo OSPF nie wstaje, sprawdź czy MTU na interfejsie tunelu jest identyczne po obu stronach — OSPF nie zestawi sąsiedztwa przy niedopasowaniu MTU.
  5. Sprawdź parametry czasowe: domyślne Hello=10s, bez odpowiedzi=40s — muszą być zgodne po obu stronach.
  6. Wymuś typ sieci point-to-point na interfejsie tunelowym: ip ospf network point-to-point — unika problemów z wyborem DR/BDR.
  7. Wyłącz passive-interface na interfejsie LAN, aby router mógł wysyłać i odbierać pakiety OSPF: no passive-interface GigabitEthernet0/1.
  8. Weryfikuj stan sąsiedztwa: show ip ospf neighbor — powinieneś widzieć sąsiada w stanie FULL lub 2-WAY.
  9. Sprawdź tablicę routingu: show ip route — trasy do sieci LAN drugiego oddziału powinny mieć kod 'O' (OSPF), nie 'S' (statyczny).
  10. Przetestuj zbieżność: wyłącz interfejs WAN na jednym routerze i obserwuj jak OSPF aktualizuje trasy (kod 'O' może zniknąć i pojawić się ponownie).
Wnioski do opracowania
  • OSPF używa multicastu (224.0.0.5 dla routerów DR, 224.0.0.6 dla Designated Router) do odkrywania sąsiadów i rozsyłania LSA.
  • Czysty IPSec w trybie Tunnel nie obsługuje multicastów — pakiety multicastowe nie są szyfrowane przez IPSec, co uniemożliwia działanie OSPF.
  • GRE over IPSec rozwiązuje problem — enkapsulacja GRE przenosi pakiety multicastowe przez zaszyfrowany tunel IPSec.
  • Proces zbieżności sieci: gdy nowa podsieć LAN zostaje dodana, router generuje LSA typu 1 (LSA routera), wysyła przez multicast, sąsiedzi rozsyłają dalej.
  • Czas zbieżności zależy od parametrów Hello/Dead interval — domyślnie LSA jest flooded co 30 minut (LS refresh), ale zmiany propagują się w sekundach.
  • OSPF w trybie point-to-point na interfejsie tunelowym eliminuje wybór DR/BDR — oba routery ustanawiają bezpośrednie sąsiedztwo (FULL state).
  • Metryki OSPF przez VPN mogą być statyczne lub dynamiczne — zalecane jest użycie kosztu interfejsu tunelowego zgodnie z przepustowością łączy.
  • Podsumowanie: OSPF przez VPN wymaga GRE (lub innego tunelu obsługującego multicast) — czysty IPSec nie zapewnia tej funkcjonalności.
Przykładowe polecenia Cisco z wynikami działania
Router-GW(config)# no ip route 172.16.2.0 255.255.255.0 Tunnel0 ! Usunięcie trasy statycznej Router-GW(config)# router ospf 1 ! Włączenie procesu OSPF Router-GW(config-router)# router-id 1.1.1.1 ! Identyfikator routera Router-GW(config-router)# log-adjacency-changes ! Logowanie zmian sąsiedztwa Router-GW(config-router)# network 10.255.255.0 0.0.0.3 area 0 ! Dodanie sieci tunelu do OSPF Router-GW(config-router)# network 172.16.1.0 0.0.0.255 area 0 ! Dodanie sieci LAN do OSPF Router-GW(config-router)# exit Router-GW(config)# interface Tunnel0 Router-GW(config-if)# ip ospf network point-to-point ! Typ sieci OSPF point-to-point Router-GW(config-if)# ip ospf hello-interval 10 ! Interwał Hello (domyślnie 10s) Router-GW(config-if)# ip ospf dead-interval 40 ! Interwał Dead (domyślnie 40s) Router-GW(config-if)# exit Router-GW# show ip ospf neighbor ! Weryfikacja sąsiedztwa OSPF Neighbor ID Pri State Dead Time Address Interface 2.2.2.2 0 FULL/ - 00:00:38 10.255.255.2 Tunnel0 Router-GW# show ip ospf interface Tunnel0 ! Szczegóły OSPF na interfejsie tunelowym Tunnel0 is up, line protocol is up Internet Address 10.255.255.1/30, Area 0 Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_POINT, Cost: 64 Timer intervals configured, Hello 10, Dead 40 Router-GW# show ip route ospf ! Trasy OSPF w tablicy routingu Codes: O - OSPF, IA - OSPF inter area O 172.16.2.0/24 [110/65] via 10.255.255.2, Tunnel0 Router-GW# ping 172.16.2.1 ! Test łączności przez OSPF Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 25/28/32 ms
Przykładowy schemat
Schemat sieci - Zadanie 05
[Otwórz grafikę w nowym oknie]
06
Zdalny dostęp - Remote Access VPN (dostęp pracownika zdalnego)
Podstawa merytoryczna

Część 1 VPN dla pracowników zdalnych (Road Warrior), Część 7 Bezpieczeństwo haseł, wieloskładnikowe uwierzytelnianie (MFA) w teorii.

Scenariusz problemowy

Z powodu przejścia na model pracy hybrydowej, firma potrzebuje bezpiecznego dostępu zdalnego do zasobów biurowych z mniejszego oddziału (filii). Oddział ten nie posiada profesjonalnego routera VPN, a jedynie prosty router 1841 z dostępem do Internetu. Jako inżynier sieciowy musisz skonfigurować bramę VPN w Centrali, aby akceptowała połączenia od tego oddziału wykorzystując prosty router jako klienta IPSec VPN (Easy VPN Remote). Wykorzystaj mechanizm IPSec Site-to-Site z dynamicznym mapowaniem — jest to najprostszy sposób na Remote Access w Packet Tracer. Musisz stworzyć profil użytkownika i zapewnić dynamiczne przydzielanie adresów IP z wewnętrznej puli firmowej.

Wymagania techniczne
  • Konfiguracja puli adresów IP (ip local pool) dla oddziału.
  • Stworzenie lokalnej bazy użytkowników (username/password) na routerze Centrali.
  • Konfiguracja serwera VPN (crypto map z dynamic-map) na interfejsie zewnętrznym Centrali.
  • Ustawienie parametrów uwierzytelniania i szyfrowania (transform-set).
  • Podłączenie routera oddziału do "Internetu" przez osobny router/switch.
  • Konfiguracja klienta IPSec na routerze oddziału (prosty crypto map).
  • Ustanowienie połączenia i weryfikacja otrzymanego adresu IP z puli.
  • Weryfikacja dostępu do serwera plików w Centrali.
  • Sprawdzenie statusu aktywnych sesji (show crypto isakmp sa).
  • Analiza routingu po stronie oddziału (trasa do sieci LAN Centrali).
  • Zabezpieczenie serwera przed atakami brute-force (limity w ACL).
  • Ustalenie polityki silnych haseł dla kont dostępu.
Wskazówki
  1. Konfigurację Remote Access VPN w PT rozpocznij od prostej konfiguracji ISAKMP: crypto isakmp policy 10 na routerze Centrali.
  2. Na routerze 2911 w Centrali: ip local pool VPNPOOL 172.16.100.10 172.16.100.20 — pulę musi być w innej podsieci niż LAN.
  3. Utwórz użytkownika: username vpnuser password Cisco123 — proste uwierzytelnianie lokalne.
  4. Skonfiguruj transform-set: crypto ipsec transform-set CLIENT-SET esp-aes esp-sha-hmac.
  5. Utwórz dynamiczną mapę krypto na Centrali: crypto dynamic-map DMAP 10, przypisz transform-set i ustaw reverse-route.
  6. Przypisz crypto map do interfejsu WAN Centrali.
  7. Na routerze oddziału (1841) użyj zwykłego Site-to-Site VPN — skonfiguruj tak jak w Zadaniu 03, ale z adresem dynamicznym Centrali.
  8. Alternatywnie — użyj tego samego routera 2911 po obu stronach i zestaw zwykły Site-to-Site VPN z uproszczoną konfiguracją.
  9. W PT najprościej jest zestawić VPN między dwoma routerami 2911 jako zwykły Site-to-Site — oba będą "routerami oddziałów".
  10. Weryfikuj stan: show crypto isakmp sa lub show crypto ipsec sa.
Wnioski do opracowania
  • Road Warrior (zdalny pracownik) łączy się z firmową siecią z dowolnego miejsca (dom, hot spot WiFi, lotnisko) — zwiększa to powierzchnię ataku.
  • Split Tunneling umożliwia użytkownikowi jednoczesne używanie tunelu VPN do firmy I lokalnego Internetu — ryzykowne, bo ruch nieVPN może ominąć zabezpieczenia firmowe.
  • Zagrożenia Split Tunneling: atakujący w tej samej sieci WiFi może przechwycić ruch, zainfekowany komputer może stać się wektor ataku na sieć firmową.
  • Zalecana konfiguracja: blokada Split Tunneling — cały ruch (w tym do Internetu) musi iść przez tunel VPN, co wymusza corporate policy na urządzeniu klienta.
  • Uwierzytelnianie hasłem (pre-shared key) jest podatne na ataki słownikowe i brute-force — wymaga silnych, skomplikowanych haseł i regularnej zmiany.
  • Certyfikaty cyfrowe zapewniają silniejsze uwierzytelnianie — oparte na kryptografii asymetrycznej, nie można ich "odgadnąć" jak hasła.
  • PKI (Public Key Infrastructure) z certyfikatami umożliwia łatwe unieważnienie (revocation) kompromitowanych certyfikatów przez CRL lub OCSP.
  • Podsumowanie: Remote Access VPN jest wygodny, ale wymaga restrykcyjnych zasad (blokada Split Tunneling, certyfikaty zamiast haseł) dla bezpieczeństwa produkcyjnego.
Przykładowe polecenia Cisco z wynikami działania
Router-HQ(config)# username vpnuser password Cisco123 ! Użytkownik oddziału Router-HQ(config)# ip local pool VPN-POOL 172.16.100.10 172.16.100.20 ! Pula adresów dla oddziału Router-HQ(config)# crypto isakmp policy 10 Router-HQ(config-isakmp)# encryption aes Router-HQ(config-isakmp)# hash sha Router-HQ(config-isakmp)# authentication pre-share Router-HQ(config-isakmp)# group 2 Router-HQ(config-isakmp)# exit Router-HQ(config)# crypto isakmp key Cisco123 address 0.0.0.0 ! Akceptuj dowolny adres (dla zdalnego) Router-HQ(config)# crypto ipsec transform-set MYSET esp-aes esp-sha-hmac Router-HQ(cfg-crypto-trans)# exit Router-HQ(config)# crypto dynamic-map DYN-MAP 10 ! Dynamiczna mapa krypto Router-HQ(config-crypto-map)# set transform-set MYSET Router-HQ(config-crypto-map)# reverse-route ! Dodanie tras dla klientów Router-HQ(config-crypto-map)# exit Router-HQ(config)# crypto map MYMAP 20 ipsec-isakmp dynamic DYN-MAP ! Statyczna mapa z dynamiczną Router-HQ(config)# interface GigabitEthernet0/0 Router-HQ(config-if)# crypto map MYMAP Router-Branch(config)# crypto isakmp policy 10 Router-Branch(config-isakmp)# encryption aes Router-Branch(config-isakmp)# hash sha Router-Branch(config-isakmp)# authentication pre-share Router-Branch(config-isakmp)# group 2 Router-Branch(config-isakmp)# exit Router-Branch(config)# crypto isakmp key Cisco123 address 203.0.113.1 ! Adres Centrali Router-Branch(config)# crypto ipsec transform-set MYSET esp-aes esp-sha-hmac Router-Branch(cfg-crypto-trans)# exit Router-Branch(config)# access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 ! Ruch oddziału do Centrali Router-Branch(config)# crypto map MYMAP 10 ipsec-isakmp Router-Branch(config-crypto-map)# set peer 203.0.113.1 Router-Branch(config-crypto-map)# set transform-set MYSET Router-Branch(config-crypto-map)# match address 101 Router-Branch(config-crypto-map)# exit Router-Branch(config)# interface GigabitEthernet0/0 Router-Branch(config-if)# crypto map MYMAP Router-Branch# show crypto isakmp sa ! Weryfikacja sesji ISAKMP IPv4 Crypto ISAKMP SA dst src state conn-id slot status 203.0.113.1 198.51.100.1 QM_IDLE 1001 0 ACTIVE Router-Branch# ping 172.16.1.10 ! Test łączności do serwera w Centrali Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 30/32/38 ms
Przykładowy schemat
Schemat sieci - Zadanie 06
[Otwórz grafikę w nowym oknie]
07
Segmentacja ruchu i VLANy w tunelach VPN
Podstawa merytoryczna

Część 6 VLAN przez tunel, L2 VPN, EoIP (teoria), Bridge Over VPN.

Scenariusz problemowy

Firma zdecydowała, że nie cały ruch z oddziału powinien być traktowany tak samo. Musisz zapewnić osobny kanał komunikacji dla działu księgowości (VLAN 10) oraz działu technicznego (VLAN 20), tak aby urządzenia z tych działów mogły komunikować się ze swoimi odpowiednikami w centrali, pozostając w izolacji od siebie. Zrealizujesz to zadanie poprzez konfigurację VLANów na przełącznikach oraz subinterfejsów routowanych (Router-on-a-Stick) na routerze oddziału i centrali. Ruch z każdego VLAN będzie routowany przez ten sam tunel GRE/IPSec, ale logicznie izolowany na warstwie 3. Musisz udowodnić, że ruch z VLANu 10 w oddziale trafia wyłącznie do VLANu 10 w centrali i nie może komunikować się z VLAN 20.

Wymagania techniczne
  • Konfiguracja dwóch VLANów (10 i 20) na przełącznikach w obu lokalizacjach.
  • Konfiguracja routerów w trybie "Router-on-a-Stick" z subinterfejsami na interfejsie LAN.
  • Utworzenie jednego tunelu GRE (podstawowego z Zadania 02).
  • Zabezpieczenie tunelu GRE przez IPSec (jak w Zadaniu 04).
  • Konfiguracja routingu statycznego przez tunel dla obu podsieci VLAN.
  • Zapewnienie braku komunikacji między VLAN 10 a VLAN 20 bez routingu przez router.
  • Weryfikacja łączności (ping) między stacjami w tych samych VLANach po obu stronach.
  • Weryfikacja braku komunikacji między VLAN 10 a VLAN 20 (izolacja warstwy 3).
  • Analiza tablicy routingu — obecność oddzielnych tras dla każdego VLAN.
  • Analiza tablicy ARP na hostach po obu stronach.
  • Udokumentowanie izolacji ruchu między VLANami.
Wskazówki
  1. Rozpocznij od utworzenia VLANów na przełącznikach: vlan 10, vlan 20 na obu końcach.
  2. Na każdym routerze utwórz subinterfejsy dla VLAN: interface GigabitEthernet0/1.10 dla VLAN 10, interface GigabitEthernet0/1.20 dla VLAN 20.
  3. Konfiguracja subinterfejsów: encapsulation dot1Q 10 + adres IP dla każdego VLAN.
  4. Użyj jednego tunelu GRE (Tunnel0) zestawionego jak w Zadaniu 02-04.
  5. Skonfiguruj dwie trasy statyczne przez Tunnel0 — osobno dla każdego VLAN:
  6. W Centrali: ip route 172.16.20.0 255.255.255.0 Tunnel0 (dla VLAN 20).
  7. W Oddziale: ip route 172.16.10.0 255.255.255.0 Tunnel0 (dla VLAN 10) — odwrotnie dla drugiego.
  8. Sprawdź łączność: ping z komputera w VLAN 10 Oddziału do VLAN 10 Centrali — musi działać.
  9. Sprawdź brak łączności: ping z VLAN 10 do VLAN 20 — musi być niemożliwy (bezpośrednio).
  10. Weryfikuj: show ip route — powinieneś widzieć oddzielne trasy dla każdego VLAN.
Wnioski do opracowania
  • L2 VPN (np. VPLS, Ether over VPN) — rozszerza warstwę 2 (Ethernet) przez tunel, komputery w różnych lokalizacjach są w tej samej sieci LAN (ten sam broadcast domain).
  • L3 VPN (np. GRE, IPSec) — każda lokalizacja ma własną podsieć IP, komunikacja odbywa się przez routing, izolacja broadcastów.
  • Rozciąganie L2 przez Internet jest ryzykowne: pakiety broadcastowe (ARP, DHCP Discovery, NetBIOS) są replikowane przez tunel, zwiększając bandwidth i opóźnienia.
  • Broadcast Storm (burza rozgłoszeniowa) — gdy pakiety broadcastowe krążą w pętli między przełącznikami w rozszerzonej sieci L2, może doprowadzić do zalania sieci i niedostępności.
  • Spanning Tree Protocol (STP) chroni przed fizycznymi pętlami, ale nie przed broadcast storm spowodowanym przez złośliwy ruch lub błędy konfiguracji.
  • L3 VPN jest bezpieczniejsze: izolacja broadcastów, mniejsze ryzyko burz, łatwiejsze zarządzanie i skalowanie.
  • Segmentacja VLAN przez VPN (jak w zadaniu) łączy zalety: logiczna separacja ruchu (VLAN) + bezpieczny tunel (GRE over IPSec) + kontrola routingu (L3).
  • Podsumowanie: L2 VPN stosować tylko gdy wymagana jest wspólna warstwa 2 (np. migracja serwerów), w pozostałych przypadkach L3 VPN jest bezpieczniejszy i wydajniejszy.
Przykładowe polecenia Cisco z wynikami działania
Router(config)# vlan 10 ! Tworzenie VLAN 10 - Księgowość Router(config-vlan)# name Ksiegowosc Router(config-vlan)# exit Router(config)# vlan 20 ! Tworzenie VLAN 20 - Techniczny Router(config-vlan)# name Techniczny Router(config-vlan)# exit Router(config)# interface GigabitEthernet0/1.10 ! Subinterfejs dla VLAN 10 Router(config-subif)# encapsulation dot1Q 10 ! Tagowanie VLAN 10 Router(config-subif)# ip address 172.16.10.1 255.255.255.0 Router(config-subif)# exit Router(config)# interface GigabitEthernet0/1.20 ! Subinterfejs dla VLAN 20 Router(config-subif)# encapsulation dot1Q 20 ! Tagowanie VLAN 20 Router(config-subif)# ip address 172.16.20.1 255.255.255.0 Router(config-subif)# exit Router(config)# ip route 172.16.10.0 255.255.255.0 Tunnel0 ! Trasa dla VLAN 10 przez tunel Router(config)# ip route 172.16.20.0 255.255.255.0 Tunnel0 ! Trasa dla VLAN 20 przez tunel Router# show vlan brief ! Weryfikacja VLANów VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi0/0, Gi0/1, Gi0/2 10 Ksiegowosc active Gi0/1.10 20 Techniczny active Gi0/1.20 Router# show ip interface brief ! Status interfejsów Interface IP-Address OK? Method Status Protocol GigabitEthernet0/1.10 172.16.10.1 YES manual up up GigabitEthernet0/1.20 172.16.20.1 YES manual up up Tunnel0 10.255.255.1 YES manual up up Router# ping 172.16.10.2 ! Test łączności VLAN 10 do VLAN 10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.10.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/15 ms Router# show ip route ! Trasy — izolacja VLANów S 172.16.10.0/24 [1/0] via 10.255.255.2, Tunnel0 S 172.16.20.0/24 [1/0] via 10.255.255.2, Tunnel0
VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi0/0, Gi0/1, Gi0/2 10 Ksiegowosc active Gi0/0.10 20 Techniczny active Gi0/0.20 Router# show ip interface brief ! Status interfejsów Interface IP-Address OK? Method Status Protocol Tunnel10 10.10.10.1 YES manual up up Tunnel20 10.20.20.1 YES manual up up
Przykładowy schemat
Schemat sieci - Zadanie 07
[Otwórz grafikę w nowym oknie]
08
Współpraca VPN z translacją adresów NAT/PAT
Podstawa merytoryczna

Część 5 NAT w tunelach, Konflikt adresacji, Maskarada.

Scenariusz problemowy

Oba biura firmy korzystają z tego samego dostawcy Internetu i domyślnie używają na zewnątrz translacji adresów NAT, aby pracownicy mogli przeglądać strony WWW. Problem pojawia się, gdy pakiety przeznaczone do biura zdalnego (przez VPN) zostają omyłkowo "złapane" przez regułę NAT i wysłane w formie przetłumaczonej do Internetu zamiast w formie oryginalnej do tunelu. Jako administrator musisz poprawnie skonfigurować tzw. "NAT Exclusion" (wyłączenie NAT). Musisz wytłumaczyć routerowi, że jeśli celem pakietu jest sieć LAN partnera VPN, to nie należy wykonywać na nim translacji NAT. Jest to najczęstszy problem przy wdrażaniu VPN w sieciach już działających.

Wymagania techniczne
  • Konfiguracja standardowego NAT/PAT dla ruchu do Internetu.
  • Stworzenie ACL dla NAT, która wyklucza (deny) ruch do sieci zdalnej LAN.
  • Weryfikacja, czy internet nadal działa na stacjach roboczych (ping 8.8.8.8).
  • Weryfikacja, czy tunel VPN nadal działa po włączeniu NAT.
  • Analiza tablicy translacji (show ip nat translations) podczas sesji ping do VPN.
  • Zapewnienie, aby pakiety VPN wychodziły z routera z oryginalnym, prywatnym adresem IP.
  • Implementacja tzw. NAT Traversal (teoretycznie), jeśli routery znajdują się za dodatkowym NATem.
  • Monitorowanie obciążenia procesora podczas intensywnej translacji i szyfrowania.
  • Udokumentowanie kolejności operacji w routerze (NAT vs Crypto).
  • Test połączenia z serwerem HTTP w Internecie i serwerem plików w VPN jednocześnie.
  • Konfiguracja IP NAT Inside/Outside na właściwych interfejsach fizycznych i wirtualnych.
  • Weryfikacja poprawności powrotu pakietu (reverses translation).
Wskazówki
  1. Określ interfejsy: ip nat inside na interfejsie LAN (GigabitEthernet0/1), ip nat outside na interfejsie WAN (GigabitEthernet0/0).
  2. Skonfiguruj ACL dla NAT z wykluczeniem ruchu VPN — to KLUCZOWE! Pierwsza linia: access-list 1 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255.
  3. Druga linia ACL: access-list 1 permit ip 172.16.1.0 0.0.0.255 any — ruch do Internetu będzie NATowany, do VPN — nie.
  4. Komenda NAT: ip nat inside source list 1 interface GigabitEthernet0/0 overload — overload oznacza PAT (Port Address Translation).
  5. Sprawdź tabelę NAT: show ip nat translations — powinieneś widzieć translacje dla ruchu idącego do Internetu, ale NIE dla ruchu VPN.
  6. Problem konfliktu adresacji: jeśli obie firmy używają tej samej prywatnej sieci (np. 192.168.1.0/24), musisz zastosować PAT po obu stronach lub zmienić adresację.
  7. Kolejność przetwarzania w Cisco IOS: routing -> NAT (inside to outside) -> IPSec (encrypt) -> wysyłka na outside interface.
  8. Przetestuj: ping z hosta LAN do Internetu — działa (z translacją), ping do LAN drugiego oddziału — działa (bez NAT, przez VPN).
  9. Debugowanie: debug ip nat — pokaże które pakiety są translatowane, sprawdź czy pakiety VPN NIE pojawiają się w logach NAT.
  10. Sprawdź tablicę routingu po obu stronach — trasy do sieci VPN muszą wskazywać na interfejs tunelowy, nie na NAT.
Wnioski do opracowania
  • Kolejność przetwarzania w Cisco IOS (router pełniący funkcje NAT + VPN): Routing (określenie interfejsu wyjściowego) -> NAT (inside to outside) -> IPSec (szyfrowanie) -> wyjście na interfejs outside.
  • Jeśli ruch VPN zostanie poddany NAT PRZED szyfrowaniem, IPSec przestanie działać — dlatego krytyczne jest wykluczenie ruchu VPN z NAT (ACL z deny dla sieci VPN).
  • Problem konfliktu adresacji: gdy dwie firmy łączone przez VPN używają identycznych prywatnych sieci (np. obie 192.168.1.0/24), pakiety z obu stron mają ten sam adres docelowy — routing staje się niemożliwy.
  • Rozwiązanie overlapu: NAT po obu stronach — każda firma tłumaczy swoje adresy na unikalne przed wysłaniem przez tunel (PAT / NAT 1:1).
  • Alternatywne rozwiązanie: przeadresowanie — zmiana schematu adresacji w jednej lub obu firmach przed zestawieniem VPN.
  • ACL dla NAT musi zawierać "deny ip [siec_lokalna] [siec_zdalna]" jako PIERWSZĄ linię — w przeciwnym razie ruch VPN zostanie znatowany i tunel nie zadziała.
  • PAT (Port Address Translation) pozwala na udostępnienie jednego publicznego IP dla wielu hostów wewnętrznych — mapowanie na unikalne porty źródłowe.
  • Podsumowanie: współpraca VPN z NAT wymaga starannych ACL — wykluczenie ruchu VPN z translacji jest kluczowe dla działania tunelu.
Przykładowe polecenia Cisco z wynikami działania
Router(config)# interface GigabitEthernet0/1 ! Interfejs LAN Router(config-if)# ip nat inside ! Oznaczenie jako inside NAT Router(config-if)# exit Router(config)# interface GigabitEthernet0/0 ! Interfejs WAN Router(config-if)# ip nat outside ! Oznaczenie jako outside NAT Router(config-if)# exit Router(config)# access-list 105 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 ! Wykluczenie VPN z NAT Router(config)# access-list 105 permit ip 172.16.1.0 0.0.0.255 any ! NAT dla Internetu Router(config)# ip nat inside source list 105 interface GigabitEthernet0/0 overload ! PAT - NAT Overload Router(config)# ip nat inside source static tcp 172.16.1.10 80 203.0.113.1 8080 ! Przekierowanie portu (opcjonalnie) Router# show ip nat translations ! Weryfikacja translacji NAT Pro Inside global Inside local Outside local Outside global tcp 203.0.113.1:8080 172.16.1.10:80 --- --- icmp 203.0.113.1:2 172.16.1.5:1 8.8.8.8:1 8.8.8.8:1 Router# show ip nat statistics ! Statystyki NAT Total active translations: 3 Interfaces: GigabitEthernet0/1 (inside), GigabitEthernet0/0 (outside) Hits: 150 Misses: 10 Router# ping 8.8.8.8 ! Test NAT do Internetu Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/22/28 ms Router# ping 172.16.2.1 ! Test VPN bez NAT Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 30/32/38 ms
Przykładowy schemat
Schemat sieci - Zadanie 08
[Otwórz grafikę w nowym oknie]
09
Nadmiarowość połączeń i mechanizm failover w VPN
Podstawa merytoryczna

Część 5 Failover, Distance, Check Gateway / SLA.

Scenariusz problemowy

Firma nie może pozwolić sobie na przerwę w łączności między biurami, dlatego wykupiła łącza od dwóch niezależnych dostawców Internetu. Twoim zadaniem jest zestawienie dwóch równoległych tuneli VPN: tunelu głównego (Primary) oraz tunelu zapasowego (Backup). Musisz skonfigurować mechanizm automatycznego przełączania (Failover) wykorzystując trasy statyczne z różnymi metrykami (floating static routes). Gdy główny tunel przestanie działać (np. przez wyłączenie interfejsu), ruch automatycznie przekieruje się na tunel zapasowy.

Wymagania techniczne
  • Dodanie drugiego połączenia fizycznego między oddziałami (drugi ISP).
  • Zestawienie dwóch interfejsów tunelowych (Tunnel0 i Tunnel1).
  • Konfiguracja trasy statycznej głównej przez Tunnel0 (metryka 1).
  • Konfiguracja trasy statycznej zapasowej przez Tunnel1 (wyższa metryka, np. 10).
  • Testowanie automatycznego przełączenia przy wyłączeniu interfejsu WAN1.
  • Weryfikacja czasu zbieżności i powrotu do trasy głównej po usunięciu awarii.
  • Dokumentacja zmian w tablicy routingu (S* vs S - różne metryki).
  • Upewnienie się, że oba tunele mają poprawne konfiguracje IPSec.
  • Testowanie łączności do sieci zdalnej przez oba tunele.
  • Konfiguracja powiadomień syslog (opisowo) o zmianie statusu trasy.
  • Zapewnienie, że oba tunele nie tworzą pętli routingu.
Wskazówki
  1. Topologia: dodaj drugi interfejs WAN (np. GigabitEthernet0/1) z adresem IP od drugiego ISP w każdym oddziale.
  2. Skonfiguruj dwa odrębne tunele VPN — każdy przez inny ISP: Tunnel0 przez ISP1, Tunnel1 przez ISP2.
  3. Skonfiguruj trasę główną z niską metryką: ip route 172.16.2.0 255.255.255.0 Tunnel0 1 (metryka 1).
  4. Skonfiguruj trasę zapasową z wyższą metryką: ip route 172.16.2.0 255.255.255.0 Tunnel1 10 (metryka 10).
  5. Trasa z metryką 10 będzie używana TYLKO gdy trasa główna przez Tunnel0 nie będzie dostępna.
  6. Przetestuj failover: wyłącz interfejs WAN głównego ISP i sprawdź czy ruch automatycznie przechodzi przez tunel zapasowy.
  7. Weryfikuj stan: show ip route — trasa z niższą metryką powinna być widoczna jako aktywna (S*).
  8. Po wyłączeniu WAN1 użyj polecenia show ip route — trasa przez Tunnel1 powinna stać się aktywna.
  9. Podłącz IPSec do obu interfejsów WAN — utwórz osobne crypto mapy dla każdego interfejsu.
  10. Pamiętaj o właściwej konfiguracji ACL (osobne dla każdego tunelu).
Wnioski do opracowania
  • Failover (przełączenie awaryjne): jeden tunel jest aktywny (primary), drugi czuwa (backup) — ruch idzie tylko jednym łączem.
  • Floating Static Route to metoda failover oparta na Administrative Distance — prosta i skuteczna w PT.
  • Trasa z niższą AD (metryką) jest zawsze preferowana nad trasą z wyższą AD.
  • Gdy interfejs główny padnie, trasa przez niego znika z tablicy routingu i router automatycznie używa trasy zapasowej.
  • Czas przełączenia zależy od szybkości wykrycia awarii interfejsu — zazwyczaj kilka-kilkanaście sekund.
  • Niestabilność łączy: jeśli awarie są częste i krótkie, VPN będzie ciągle przełączany — negatywnie wpływa na sesje.
  • Rozwiązanie: wydłużenie interwału sprawdzania lub użycie.track(na prawdziwym sprzęcie) — mniej fałszywych alarmów.
  • Load Balancing (równoważenie obciążenia): ruch dzielony między dwa tunele jednocześnie — wymaga dodatkowej konfiguracji PBR lub EIGRP.
  • Podsumowanie: Floating Static Route zapewnia prosty i skuteczny failover w środowisku laboratoryjnym PT.
Przykładowe polecenia Cisco z wynikami działania
Router(config)# interface GigabitEthernet0/0 ! Główny WAN - ISP 1 Router(config-if)# description ISP1_Primary Router(config-if)# ip address 203.0.113.1 255.255.255.252 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface GigabitEthernet0/1 ! Zapasowy WAN - ISP 2 Router(config-if)# description ISP2_Backup Router(config-if)# ip address 198.51.100.1 255.255.255.252 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface Tunnel0 ! Tunel główny przez ISP1 Router(config-if)# ip address 10.255.255.1 255.255.255.252 Router(config-if)# tunnel source GigabitEthernet0/0 Router(config-if)# tunnel destination 203.0.113.2 Router(config-if)# tunnel mode gre ip Router(config-if)# exit Router(config)# interface Tunnel1 ! Tunel zapasowy przez ISP2 Router(config-if)# ip address 10.255.255.5 255.255.255.252 Router(config-if)# tunnel source GigabitEthernet0/1 Router(config-if)# tunnel destination 198.51.100.2 Router(config-if)# tunnel mode gre ip Router(config-if)# exit Router(config)# ip route 172.16.2.0 255.255.255.0 Tunnel0 1 ! Trasa główna - metryka 1 Router(config)# ip route 172.16.2.0 255.255.255.0 Tunnel1 10 ! Trasa zapasowa - metryka 10 Router# show ip route ! Weryfikacja tabeli routingu S 172.16.2.0/24 [1/0] via 10.255.255.2, Tunnel0 [10/0] via 10.255.255.6, Tunnel1 Router# Router# ping 172.16.2.1 ! Test łączności przez tunel główny Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/15 ms Router(config)# interface GigabitEthernet0/0 Router(config-if)# shutdown ! Symulacja awarii głównego łącza Router# show ip route ! Trasa po awarii - przez Tunnel1 S 172.16.2.0/24 [10/0] via 10.255.255.6, Tunnel1 Router# show ip route ! Trasa po awarii S* 0.0.0.0/0 [10/0] via 198.51.100.1, GigabitEthernet0/1
Przykładowy schemat
Schemat sieci - Zadanie 09
[Otwórz grafikę w nowym oknie]
10
Hardening i zaawansowana diagnostyka bramy VPN
Podstawa merytoryczna

Część 7 Hardening Mikrotik/Cisco, Firewall Input, Przebieg traceroute.

Scenariusz problemowy

Twoja infrastruktura VPN działa poprawnie, ale staje się celem częstych skanowań i prób ataków brute-force z Internetu. Jako administrator musisz przeprowadzić proces "utwardzania" (Hardening) bramy VPN. Musisz ograniczyć dostęp do usług zarządzania routerem (SSH, Telnet) wyłącznie do hostów znajdujących się wewnątrz tunelu VPN. Dodatkowo musisz sprawdzić wydajność CPU routera podczas intensywnego szyfrowania dużych plików. Na koniec przeprowadzisz pełną diagnostykę "end-to-end", udowadniając za pomocą narzędzi sniffer i ping, że każdy etap enkapsulacji przebiega zgodnie z założeniami projektowymi.

Wymagania techniczne
  • Konfiguracja ACL na interfejsie WAN blokującej niechciany ruch (Anti-Spoofing).
  • Blokada dostępu do zarządzania routerem (VTY lines) z publicznych adresów IP.
  • Włączenie logowania wszystkich prób ustanowienia połączeń krypto.
  • Użycie sniffera (urządzenie w PT) do przechwycenia pakietów na łączu ISP.
  • Analiza statystyk interfejsów podczas przesyłania danych przez VPN.
  • Ustawienie banerów informacyjnych o zakazie nieautoryzowanego dostępu.
  • Weryfikacja MTU i poprawne ustawienie MSS Clamping.
  • Test łączności — próba pingu wielkim pakietem.
  • Dokumentacja końcowa parametrów bezpieczeństwa: grupy DH, wersje algorytmów.
  • Przegląd tablicy ARP pod kątem anomalii.
Wskazówki
  1. Hardening SSH: utwórz standardowy ACL dozwolający tylko sieć LAN: access-list 10 permit 172.16.1.0 0.0.0.255, access-list 10 deny any.
  2. Podłącz ACL pod linie VTY: line vty 0 4, następnie access-class 10 in — tylko komputery z LAN będą mogły SSH.
  3. Wyłącz Telnet: transport input ssh na liniach VTY — wymusza szyfrowane połączenie.
  4. Skonfiguruj ACL na interfejsie WAN blokującą niechciany ruch z Internetu: access-list 100 permit udp any host X eq 500 (ISAKMP), access-list 100 permit esp any host X (ESP), access-list 100 deny ip any any.
  5. Zastosuj ACL na interfejsie WAN: ip access-group 100 in na GigabitEthernet0/0 — chroni przed skanowaniami.
  6. Ustaw banery informacyjne: banner motd # — ostrzega o karach za nieautoryzowany dostęp.
  7. Włączenie logowania: logging buffered informational — wszystkie próby połączeń logowane.
  8. Sprawdź statystyki interfejsu: show interface podczas szyfrowania dużych plików — sprawdź liczników pakietów.
  9. Do diagnostyki użyj Sniffer-PT w Packet Tracer — Podejrzyj pakiety na łączu ISP, sprawdź zaszyfrowany ruch ESP.
  10. Testuj MTU: ping wielkim pakietem: ping x.x.x.x size 1500 — sprawdź czy fragmentacja działa poprawnie.
  11. Ustaw MSS Clamping: ip tcp adjust-mss 1360 na interfejsie WAN — zapobiega problemom z MTU.
  12. Sprawdź tablicę ARP: show ip arp — szukaj nieznanych adresów.
Przykładowe polecenia Cisco z wynikami działania
Router(config)# access-list 10 standard permit 172.16.1.0 0.0.0.255 ! ACL dla SSH - tylko LAN Router(config)# access-list 10 deny any ! Blokada innych adresów Router(config)# access-list 100 permit udp any host 203.0.113.1 eq 500 ! ISAKMP Router(config)# access-list 100 permit esp any host 203.0.113.1 ! ESP Router(config)# access-list 100 deny ip any any ! Blokada pozostałego ruchu Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip access-group 100 in ! Zastosowanie ACL na WAN Router(config)# line vty 0 4 Router(config-line)# access-class 10 in ! Ograniczenie SSH do LAN Router(config-line)# transport input ssh ! Tylko SSH (wyłącz Telnet) Router(config-line)# login local ! Uwierzytelnianie lokalne Router(config-line)# exec-timeout 5 0 ! Timeout 5 minut Router(config)# banner motd # UWAGA: Dostep tylko dla autoryzowanych uzytkownikow! Router(config)# banner login # Zaloguj sie - dostep zablokowany Router# show access-lists ! Weryfikacja ACL Standard IP access list 10: 10 permit 172.16.1.0 0.0.0.255 20 deny any Extended IP access list 100: 10 permit udp any host 203.0.113.1 eq 500 20 permit esp any host 203.0.113.1 30 deny ip any any Router# show processes cpu ! Obciążenie CPU CPU utilization for 5 seconds: 12%; 1 minute: 10%; 5 minutes: 8% Router# show crypto ipsec sa ! Statystyki VPN pkts encrypt: 150 pkts decrypt: 150 pkts encaps failed: 0 pkts decap failed: 0
© Igor Brzeżek 2026
© NETStudio Sp. z o.o. 2026
Laboratorium Wirtualnych Sieci Prywatnych (VPN). Materiały opracowane dla studentów IT.
biuro@netstudio.net.pl
itblog.netstudio.net.pl