PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI
Transcript
PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI
VOLUME_1.book Page 1 Monday, March 5, 2012 11:47 AM QUADERNI PER LA PROGETTAZIONE ICT PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI VOLUME I FONDAMENTI DI SWITCHING Per la preparazione agli esami CCNA e SWITCH della carriera CISCO CCNP di ENRICO CIPOLLONE FRANCESCO CIPOLLONE VOLUME_1.book Page 5 Monday, March 5, 2012 11:47 AM QUADERNI per la progettazione ICT PIANO DELL’OPERA VOLUME I - FONDAMENTI DI SWITCHING CAP. 1 Natura e caratteristiche delle informazioni trasportate da reti tcp-ip CAP. 2 Ethernet e altri modelli di distribuzione in area locale CAP. 3 Virtualizzazione e gestione della congestione e tecniche di ridondanza in reti LAN CAP. 4 Servizi e sicurezza in reti LAN. Sicurezza nelle reti Ethernet CAP. 5 Soluzioni e tecnologie per l’estensione WAN di reti tcp-ip CAP. 6 Accesso e configurazione di macchine intermedie in reti tcp-ip CAP. 7 Network management Configurazione di snmp, ntp, syslog in apparati di reti tcp-ip VOLUME II - ROUTING BASE CAP. 8 Tecnica di indirizzamento nelle reti tcp-ip CAP. 9 Principi di routing CAP. 10 Rip versione 1 e 2 CAP. 11 Il protocollo di routing Ospf single-area CAP. 12 Il protocollo di routing Ospf multi-area CAP. 13 Il protocollo di routing EIGRP 5 VOLUME_1.book Page 6 Monday, March 5, 2012 11:47 AM VOLUME III - ROUTING BGP CAP. 14 Border Gateway Protocol VOLUME IV - CONTROLLO E MANIPOLAZIONI NEL CONTROL-PLANE E DATA-PLANE CAP. 15 Tecniche di controllo dei flussi nel control-plane e nel data-plane CAP. 16 Completamento del control-plane in ambiente complesso: redistribuzione di informazioni tra protocolli di routing CAP. 17 Domini di indirizzamento pubblico e privato e relative traslazioni CAP. 18 Comunicazione Sicura: IPSEC ed altri schemi 6 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 7 Monday, March 5, 2012 11:47 AM QUADERNI per la progettazione ICT INDICE GENERALE PIANO DELL’OPERA ...................................................................... 5 PARTE PRIMA NATURA E CARATTERISTICHE DELLE INFORMAZIONI TRASPORTATE IN RETE CAPITOLO 1 NATURA E CARATTERISTICHE DELLE INFORMAZIONI TRASPORTATE DA RETI TCP-IP ............ 21 1.1 Natura e caratteristiche delle informazioni trasportate da reti TCP-IP................................................. 23 1.1.1 Analogie e differenze con una rete telefonica con nodi-switch e segnalamento esplicito .......................... 24 1.1.2 Struttura delle informazioni trasportate in reti senza elemento di nodi-switch ................................ 25 1.1.2.1 Dati numerici ed alfanumerici ....................................... 28 1.1.2.2 Voce.......................................................................... 30 1.1.2.3 Immagini e multimedia in streaming .............................. 32 1.2 Dal circuito al pacchetto ................................................. 33 1.3 Schema di trasmissione tra apparati in rete....................... 34 1.3.1 Composizione dello standard OSI ................................... 35 1.3.2 Lo standard TCP-IP ......................................................... 37 1.4 1.4.1 Schema complessivo di una comunicazione il rete LAN ...... 38 II dialogo Client-server http.............................................. 38 7 VOLUME_1.book Page 8 Monday, March 5, 2012 11:47 AM PARTE SECONDA SWITCHING CAPITOLO 2 ETHERNET E ALTRI MODELLI DI DISTRIBUZIONE IN AREA LOCALE ........................................................................ 47 2.1 2.1.1 Token-ring modello a trasmissione controllata .................... 48 2.2 Ethernet modello a trasmissione libera .............................. 49 2.3 Ethernet migliorata (switched) .......................................... 52 2.3.1 Realizzazione di reti switched: cavi in rame e fibra............ 53 2.3.2 Reti switched comportamento dell’elemento centrale HUB ... 54 2.3.3 Logica del collegamento di due o più macchine: cavi diritti e cavi cross .................................................... 56 2.3.4 Switches: modelli di Ingresso-uscita delle frames ............... 57 2.4 Indirizzamento in rete ethernet il Mac address ed il Burned-In Addres .................................................... 58 2.5 Composizione delle intestazioni delle frames..................... 59 2.6 La microsegmentation e l’uso contemporaneo del mezzo da parte di periferiche: throughput di uno switch ............... 61 2.7 Come realizzare la microsegmentation: costruzione della mac-address-table.................................. 64 2.7.1 Meccanismo di autoapprendimento dinamico.................... 64 2.7.2 Manipolazione statica della tabella dei Mac ..................... 67 2.7.3 Limitazione del numero di Mac appresi per ogni porta ....... 67 2.7.4 Port Security: come assegnare limiti al numero di Mac appresi da una porta........................................... 68 2.7.5 Metodi di reazione ad una Security Violation .................... 70 2.7.6 Limitazione temporale della presenza delle righe Mac address-porta apprese in modo port-secure ................ 70 2.7.7 Span e Rspan lo switch e la cattura-ispezione delle frames................................................................... 71 2.7.7.1 8 La trasmissione in rete locale ........................................... 47 Chi può essere porta sorgente ..................................... 73 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I 2.7.7.2 Chi può essere porta destinazione ................................73 2.7.7.3 Sintassi di span ...........................................................73 2.8 BRIDGE vs SWITCH ....................................................... 74 2.9 Elementi di prima configurazione di un switch................... 74 2.9.1 Configurazione del nome e di comandi di servizio ............ 74 2.9.2 Configurazione minima di sicurezza ................................ 75 2.9.3 Configurazione della raggiungibilità e vlan di management.................................................... 77 2.9.4 Configurazione di una porta: duplex full, speed auto in access ..................................................... 77 2.9.5 Configurazione del controllo snmp di uno switch ............... 77 2.9.6 Alcuni comandi di show per il controllo ............................ 78 QUADERNI per la progettazione ICT VOLUME_1.book Page 9 Monday, March 5, 2012 11:47 AM CAPITOLO 3 VIRTUALIZZAZIONE, GESTIONE DELLA CONGESTIONE E TECNICHE DI RIDONDANZA IN RETI LAN ............................... 79 3.1 Le reti di dimensioni medie-grandi criteri di progetto ......... 79 3.2 Virtualizzazione di macchine, collegamenti, servizi ........... 80 3.3 Struttura e organizzazione.............................................. 81 3.4 Virtual LAN un filo e molti servizi ..................................... 82 3.4.1 VLAN funzionamento e strumenti ..................................... 83 3.4.2 Sintassi della creazione delle VLAN ................................. 86 3.4.3 Sintassi dell’assegnazione delle porte alle VLAN in modo esclusivo (modo access) ..................................... 88 3.4.4 Assegnazione di una porta al trasporto di tutte le VLAN (modo tunk)............................................ 88 3.4.5 Sintassi del trunk ISL ....................................................... 90 3.4.6 Sintassi del trunk IEEE .................................................... 90 3.4.7 Sintassi DTP .................................................................. 92 3.4.8 Controllo dei trunk: limitazione delle VLAN ....................... 93 3.4.9 Ridondanza di percorsi fisici e loop logici ........................ 95 3.5 Il protocollo Spanning-Tree.............................................. 98 9 VOLUME_1.book Page 10 Monday, March 5, 2012 11:47 AM 3.5.1 Lo standard Spanning-Tree (IEEE 802-1D): le bpdu............. 98 3.5.2 Spanning-Tree (IEEE 802-1D): Funzionamento ................. 100 3.5.3 Spanning-Tree (IEEE 802-1D): la elezione del root-bridge.. 100 3.5.3.1 3.5.4 Spanning-Tree (IEEE 802-1D): la elezione delle root-port nei non-root-bridges................. 102 3.5.5 Spanning-Tree (IEEE 802-1D): Stato delle porte................ 103 3.5.5.1 Porte in stato di blocking ........................................... 103 3.5.5.2 Porte in stato di listening ............................................ 103 3.5.5.3 Porte in stato di learning ............................................ 104 3.5.5.4 Porte in stato di forwarding ........................................ 104 3.5.5.5 Porte in stato di disabled ........................................... 104 3.5.6 Spanning-Tree (IEEE 802-1D): il meccanismo di aggiornamento ed i timers......................................... 105 3.5.7 Applicazione di STP a porte virtuali che raggruppano più porte fisiche: gli EtherChannel .................................. 106 3.5.8 Etherchannel Configurazione manuale ........................... 108 3.5.9 Etherchannel Configurazione dinamica i protocolli LA-CP e PA-CP ............................................. 109 3.5.10 LA-CP (link Aggregation Control Protocol) ....................... 110 3.5.11 STP e Mac Address table .............................................. 111 3.6 3.6.1 3.7 3.7.1 10 Elezione iniziale: Flooding e confronto delle frames BPDU, mantenimento e cambiamento del root-bridge ................................... 101 Per Vlan Spanning-Tree e PVST+ .................................... 112 Come realizzare il PER VLAN STP .................................. 113 Rapid Spanning-Tree (IEEE 802-1W) .............................. 114 Rapid Spanning-Tree (IEEE 802-1W): Nuova gestione delle BPDU .......................................... 115 3.7.1.1 Le BPDU sono trasmesse ad ogni Hello-Time ................. 115 3.7.1.2 Le tabelle Mac sono aggiornate più rapidamente ........ 115 3.7.1.3 Concetto di backbone-fast: Sono processate anche le Inferior BPDUs ............................................ 116 3.7.1.4 La transizione rapida da blocked a forward: PortFast e Edge Ports e tipo di link ............................. 116 3.7.1.5 Confronto Processo di convergenza 802.1D e 802.1W .............................................................. 117 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 11 Monday, March 5, 2012 11:47 AM 3.7.1.5.1 Convergenza 802.1D ...........................................117 3.7.1.5.2 Convergenza 802.1w...........................................118 La negoziazione Proposal/Agreement ........................119 3.7.2 Rapid Spanning-Tree (IEEE 802-1W): Stato delle porte ..... 120 3.7.3 Nuovi stati delle porte nel control plane ......................... 121 3.7.4 Nuovi stati delle porte nel data plane ............................ 122 3.7.5 Cisco BPDU Guard ...................................................... 123 3.7.6 Cisco Root Guard ........................................................ 123 3.7.7 I meccanismi di security –Violation e le procedure di error-disable ............................................................ 123 3.8 MST e IEEE 802.1s: la virtualizzazione delle istanze STP.......................................................... 124 3.8.1 Funzionamento di MST in ambiente complesso: IST, CIST, and CST....................................................... 125 3.8.2 Funzionamento di MST all’interno di una zona ................ 127 3.8.3 Funzionamento di MST in ambiente multizona................. 127 3.9 Switches in Stack ......................................................... 127 3.9.1 Creazione e gestione dello stack ................................... 129 3.9.2 Modello di ridondanza 1:N ......................................... 129 3.9.3 Master Switch Election.................................................. 129 3.9.4 Funzioni del Master Switch ........................................... 130 3.9.5 Funzioni degli Switch subordinati................................... 130 3.10 3.10.1 La distribuzione delle Vlan - il protocollo VTP................... 130 Caratteristiche e formato dei messaggi VTP .................... 131 3.10.1.1 Summary Advertisements ............................................132 3.10.1.2 I modi degli switch per il protocollo VTP ......................133 3.10.1.3 VTP Password ..........................................................134 3.10.1.4 VTP Pruning .............................................................135 3.10.1.5 Configurazione di VTP ...............................................136 3.11 La virtualizzazione del default gateway .......................... 139 3.11.1 Ruolo del default-gateway............................................. 139 3.11.2 Virtualizzazione del default-gateway.............................. 140 3.11.3 HSRP.......................................................................... 142 3.11.3.1 QUADERNI per la progettazione ICT 3.7.1.6 Funzionamento del protocollo HSRP ............................143 11 VOLUME_1.book Page 12 Monday, March 5, 2012 11:47 AM 3.11.3.2 Configurazione di HSRP ............................................ 144 3.11.3.3 Uso di più gruppi: la distribuzione dei carichi secondo HSRP ......................................... 146 3.11.3.4 Il controllo dei percorsi di uplink in HSRP (tracking) ...... 148 3.11.4 VRRP .......................................................................... 151 3.11.5 Configurazione di VRRP ............................................... 152 3.11.6 GLPB (Gateway Load Balancing Protocol) ...................... 154 3.11.7 GLBP elezione e ruolo di Active Virtual Gateway ............ 156 3.11.8 GLBP distribuzione dei Virtual MAC Address .................. 157 3.11.9 GLBP meccanismo di ridondanza degli Active Virtual Forwarder ...................................... 157 3.11.10 GLBP Gateway Priority ................................................. 157 3.11.11 Uso della funzione Preemption ...................................... 158 3.11.12 GLBP Gateway Weighting and Tracking ........................ 158 3.11.13 Configurazione di GLPB................................................ 158 3.11.13.1 Abilitazione GLBP .................................................... 159 3.11.13.2 Configurazione opzioni GLBP ................................... 160 3.11.13.3 Configurazione di GLBP Weighting e di Object Tracking ................................................ 161 3.12 3.12.1 Caratteristiche del protocollo ......................................... 162 3.12.1.1 Configurazione del Cisco Discovery Protocol .............. 164 3.12.1.2 Configurazione dei timers ......................................... 164 3.12.1.3 Attività di Monitoring di CDP .................................... 165 3.12.1.4 Alcuni esempi di configurazioni CDP .......................... 166 3.13 Specifiche di Progetto di switches reti LAN ..................... 168 3.13.1 Switches di accesso...................................................... 169 3.13.2 Switches di instradamento ............................................. 170 3.13.3 Switches di core........................................................... 171 3.13.3.1 12 CDP ........................................................................... 162 Switches di server farm ............................................. 172 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 13 Monday, March 5, 2012 11:47 AM CAPITOLO 4 4.1 Alcuni strumenti operativi per la sicurezza informatica delle reti .................................................... 173 4.2 I software per il controllo ............................................. 174 4.2.1 4.3 IPSCAN...................................................................... 175 Ethereal-Wireshark....................................................... 176 4.3.1 Ethereal funzionamento ................................................ 177 4.3.2 Ethereal e le performances della rete.............................. 178 4.3.3 Layout della pagina ethereal ........................................ 178 4.4 Esempio di Frame di Spanning-Tree ............................... 179 4.5 LAN e sicurezza: alcuni limiti ........................................ 180 4.6 Il protocollo ARP (stateless: senza cognizione di stato)...... 181 4.6.1 Funzionamento del protocollo ....................................... 181 4.6.2 Mis-uso del protocollo ARP ........................................... 184 4.6.2.1 QUADERNI per la progettazione ICT SERVIZI E SICUREZZA IN RETI LAN SICUREZZA NELLE RETI ETHERNET ......................................... 173 Dynamic ARP Inspection (DAI): Associare alla porta anche l’indirizzo IP ......................187 4.7 Il protocollo DHCP (Dynamic Host Configuration Protocol) ........................... 189 4.8 Funzionamento del protocollo........................................ 190 4.9 Formato dei messaggi standardizzati ............................. 191 4.9.1 Tipi di messaggi utilizzati ............................................ 194 4.9.2 Il client DHCP ............................................................. 195 4.9.3 Il server DHCP ............................................................. 197 4.9.4 Configurazione del protocollo: il lato client windows ....... 198 4.9.5 Configurazione di un Router Cisco come server DHCP per un gruppo di Virtual LAN ........................................ 198 4.9.5.1 Caso notevole: servizio DHCP RELAY (helper address) ...199 4.9.5.2 Caso notevole: DHCP in ambiente voce: la option 150 ..200 4.9.5.3 Caso notevole: DHCP in ambiente wireless (option 43) ..201 4.9.5.4 Mis-uso del protocollo DHCP ......................................201 13 VOLUME_1.book Page 14 Monday, March 5, 2012 11:47 AM 4.9.6 Quando usare DHCP: vantaggi svantaggi....................... 201 4.10 DTP per la configurazione automatica dei trunk .............. 202 4.11 VTP per la configurazione centralizzata di VLAN ............. 203 4.11.1 Salto di VLAN.............................................................. 204 4.11.2 Private VLAN ............................................................... 205 4.11.3 Rapid Spanning-Tree Bpdu guard, portfast ...................... 206 4.11.4 Root guard .................................................................. 207 4.11.5 UDLD percorsi unidirezionali con collegamenti in fibra ..... 208 4.11.6 Contromisure disponibili in caso di security violation ........ 209 4.11.6.1 Caso della violazione di max-numero di host ............... 209 4.11.6.2 Caso dello storm control ............................................ 210 PARTE TERZA LE RETI CONDIVISE DEGLI ISP: NATURA E COMPOSIZIONE DEI SERVIZI CAPITOLO 5 SOLUZIONI E TECNOLOGIE PER L’ESTENSIONE WAN DI RETI TCP-IP .......................................................................... 213 14 5.1 Soluzioni e tecnologie WAN ......................................... 213 5.2 Partizione dei ruoli tra utenti e service provider ............... 215 5.2.1 Leased lines: protocollo di livello 2 a carico di utente ....... 215 5.2.2 Shared bandwith: protocollo di livello 2 a carico di ISP .... 216 5.2.3 Commutazione di pacchetto e commutazione di circuito ... 219 5.2.4 Protocolli per instradamento di frame in un backbone esclusivo o condiviso ............................. 220 5.2.4.1 Analogie e differenze dei protocolli ethernet e seriali: livello fisico ................................................. 221 5.2.4.2 Analogie e differenze dei protocolli ethernet e seriali: Emulazione di messaggi multicast e broadcast ................................................ 222 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I 5.2.4.3 Analogie e differenze dei protocolli ethernet e seriali: velocità e protocolli di servizio ....................................222 5.2.4.4 Analogie e differenze dei protocolli ethernet e seriali: esigenze di autenticazione e di nat ............................223 5.2.5 Collegamenti on-demand, dial-up su collegamento analogico, isdn, gsm, gprs ......... 225 5.2.5.1 Collegamento on-demand: segnalamento e trasmissione analogica .......................227 5.2.5.2 Collegamento on-demand o permanente: Segnalamento e trasmissione digitale. Il protocollo ISDN ......................................................230 5.2.5.3 GSM-GPRS ...............................................................234 5.2.5.4 Universal Mobile Telecommunications System (UMTS) ....235 5.2.6 Configurazione di un servizio Dial-up............................. 236 5.2.6.1 Dial-up analogico ......................................................236 5.2.6.2 Dial-up digitale .........................................................239 5.3 QUADERNI per la progettazione ICT VOLUME_1.book Page 15 Monday, March 5, 2012 11:47 AM Collegamenti permanenti con terminali DTE/DCE collegati localmente con cavo seriale protocolli di trasmissione .............................................. 241 5.3.1 Protocollo HDLC standard ed HDLC Cisco....................... 243 5.3.2 Protocollo PPP e sue funzioni principali........................... 244 5.3.2.1 Autenticazione PAP E CHAP .......................................247 5.3.2.2 Autenticazione PAP ...................................................247 5.3.2.3 Autenticazione CHAP ................................................248 5.4 Shared bandwidth: banda condivisa tra più utenti: tecnologia frame-relay ed ATM...................................... 251 5.5 Frame-RELAY ............................................................... 253 5.5.1 Lo standard frame-relay ............................................... 253 5.5.2 Funzionamento del protocollo........................................ 254 5.5.3 Composizione della Frame ........................................... 255 5.5.4 Meccanismi di controllo della congestione ...................... 256 5.5.5 Il protocollo LMI Local Management Interface ................. 257 5.5.6 Inverse ARP la scoperta automatica degli indirizzi IP in collegamenti punto-punto .......................................... 258 5.5.7 Topologie WAN.......................................................... 259 5.5.8 Esempi di configurazioni .............................................. 261 15 VOLUME_1.book Page 16 Monday, March 5, 2012 11:47 AM 5.5.9 5.6 Verifiche di funzionalità ................................................ 263 ATM .......................................................................... 265 5.6.1 Celle ATM................................................................... 265 5.6.2 Servizi offerti in ATM .................................................... 267 5.6.3 Piano di indirizzamento ATM ........................................ 270 5.6.4 ILMI protocollo per la scoperta dello stato e le caratteristiche di un end point ................................. 271 5.6.4.1 Cosa trasporta il Link MIB nel protocollo ILMI ............... 272 5.6.4.2 Cosa trasporta il Address-registration MIB nel protocollo ILMI .................................................... 274 5.6.4.3 ColdStart Traps ........................................................ 274 5.6.5 ATM-lan emulation protocollo LANE ............................... 275 5.6.6 Tecnologie x DSL ......................................................... 278 5.6.6.1 La tecnologia ADSL ................................................... 281 5.6.6.2 Gli standard ........................................................... 282 5.6.6.3 Schemi e configurazioni ........................................... 283 PARTE QUARTA STRUTTURA, CONFIGURAZIONE, GESTIONE DI MACCHINE DI RETE CAPITOLO 6 ACCESSO E CONFIGURAZIONE DI MACCHINE INTERMEDIE IN RETI TCP-IP .......................................................................... 289 16 6.1 Cosa è una configurazione .......................................... 289 6.2 Come si accede ad una macchina di rete ....................... 290 6.3 La protezione degli accessi e la sicurezza delle macchine di rete: gli schemi di riferimento............... 292 6.4 Accesso locale dalle porte fisiche e controllo del livello di privilegio ................................................. 297 6.5 Centralizzazione della tabella delle verità per il Controllo di accesso. Primi elementi di architettura AAA.................................. 299 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 17 Monday, March 5, 2012 11:47 AM 6.6.1 I protocolli di accesso da remoto ................................... 302 Il protocollo Telnet........................................................ 303 6.6.1.1 Dettagli del protocollo ................................................303 6.6.1.2 Cattura di una sessione Telnet con wireshark ................305 6.6.1.3 Configurazione del protocollo Telnet ...........................307 6.6.1.4 Come scoprire e rimuovere collegamenti Telnet sulla propria macchina ..............................................308 6.6.2 Il protocollo SSH.......................................................... 310 6.6.2.1 TLS: funzionamento ...................................................311 6.6.2.2 Requisiti minimi (HW e SW) e configurazioni preliminari ........................................312 6.6.3 Le interfacce grafiche: SDM, ASDM ............................... 314 6.6.3.1 Http caratteristiche di base del protocollo .....................314 6.6.3.2 Http impiegato per la configurazione remota di apparati ....................................................316 6.6.3.3 Il protocollo secure HTTP ............................................318 6.6.3.4 Requisiti minimi (hw e sw) e configurazioni preliminari del protocollo secure http ...........................318 6.6.3.5 Una sequenza di configurazione mediante interfaccia grafica .......................................319 6.6.3.6 Controllo degli accessi da remoto mediante access-list, limiti di scalabilità ......................................323 6.7 Centralizzazione dei filtri di accesso architettura AAA ..... 324 6.8 La configurazione del controllo AAA centralizzato nelle machine client .................................................... 327 6.8.1 La configurazione del server AAA-Cisco ACS appliance... 328 6.8.2 Il protocollo di comunicazione cifrata RADIUS................. 333 6.8.3 Il protocollo di comunicazione cifrata TACACS+ ............. 334 6.8.4 Il protocollo di comunicazione con un database remoto LDAP....................................... 334 6.8.5 Architettura active-directory .......................................... 338 6.9 L’ambiente di programmazione delle configurazioni ........ 340 6.10 Schematizzazioni a blocchi dell’hardware di una macchina di rete................................................ 343 6.10.1 QUADERNI per la progettazione ICT 6.6 La memoria permanente (Non Volatile Random Access Memory NVRAM) e la memoria dinamica (DRAM) .......... 345 17 VOLUME_1.book Page 18 Monday, March 5, 2012 11:47 AM 6.10.2 La memoria permanente non riscrivibile (Read Only Memory) .................................................... 346 6.10.3 Configuration register ................................................... 346 6.10.4 Come visualizzare le diverse memorie ........................... 349 6.11 Il sistemo operativo IOS e le convenzioni dei nomi ........... 350 6.11.1 Convenzioni e tipologie nelle macchine Cisco ................. 351 6.11.2 Alcune nomenclature notevoli ........................................ 351 6.11.3 Operazioni sul sistema operativo (aggiornamenti) ........................................................... 352 6.11.4 Altri programmi disponibili per disaster recovery (z-modem) ................................................................... 356 6.12 La configurazione ........................................................ 357 6.13 START-UP di switches e routers....................................... 358 6.13.1 6.13.2 6.13.3 Operazioni preliminary di controllo integrità ................... 358 Controllo e fasi del processo di start-up (le opzioni di config-register) ......................................... 359 La procedura di password recovery: esempio di manipolazioni del configuration register......... 361 CAPITOLO 7 NETWORK MANAGEMENTCONFIGURAZIONE DI SNMP, NTP, SYSLOG IN APPARATI DI RETI TCP-IP ...................................... 363 7.1 7.1.1 In-band out-of-band management .................................. 365 7.1.1.1 In-band management ................................................. 366 7.1.1.2 Out-of-band management ........................................... 366 7.1.2 Cosa contiene un sistema di management ...................... 367 7.1.3 Come funziona un sistema di management ..................... 368 7.1.3.1 Interrogazione ciclica (polling) caratterizzazione .......... 368 7.2 Management information base (MIB) .............................. 369 7.3 Cosa è un System Message Logging .............................. 370 7.4 Organizzazione dei MIB .............................................. 372 7.5 Simple Network Management Protocol (SNMP) .............. 373 7.5.1 18 Network management: nascita ed evoluzione.................. 363 SNMPv1 .................................................................... 376 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I 7.5.2 SNMPv2 .................................................................... 378 7.5.3 SNMPv3..................................................................... 379 7.5.4 Una funzione di una interfaccia con SNMP-manager: Autodiscovery ............................................................. 380 7.6 Network Time Protocol ................................................. 380 7.7 Configurazione di un System Message Logging............... 381 7.7.1 Come è composto un System Log Message .................... 382 7.7.2 Scelte di default del System Message Logging ................ 383 7.7.3 Disabilitare il Message Logging .................................... 384 7.7.4 Sincronizzazione dei Log Messages .............................. 384 7.7.5 Abilitazione dei Time Stamps nei Log Messages ............. 385 7.7.6 Abilitazione dei Sequence Numbers in Log Messages ......................................................... 386 7.7.7 Limitazione dei livelli di Message Severity raccolti ........... 386 7.7.8 Configurazione dei controllo-traccia del cambio di configurazione ....................................................... 387 7.8 Configurazione del protocollo SNMP ............................. 389 7.8.1 Scelte della configurazione di Default ............................ 389 7.8.2 Come abilitare/disabilitare SNMP Agent ...................... 389 7.8.3 Come configurare la SNMP shared password detta community string ................................................. 389 7.8.4 Come configurare gruppi e utenti SNMP (Groups and Users) scalabilità delle configurazioni.......... 390 7.8.5 Come configurare le notifiche SNMP ............................. 392 7.8.6 Come limitare gli accessi a server TFTP usando SNMP ............................................................ 394 7.8.7 Esempi di configurazione SNMP .................................. 394 7.8.8 Visualizzazioni dello Status SNMP................................. 395 7.9 Configurazione del protocollo NTP ................................ 396 7.9.1 Modello Client-Server ................................................... 396 7.9.2 Modello Piatto, Modello a Strati e altri comandi di rilievo............................................... 397 7.9.3 Comandi per il Controllo dello stato............................... 399 7.10 QUADERNI per la progettazione ICT VOLUME_1.book Page 19 Monday, March 5, 2012 11:47 AM Riferimenti RFC ............................................................ 400 19 PARTE PRIMA NATURA E CARATTERISTICHE DELLE INFORMAZIONI TRASPORTATE IN RETE QUADERNI per la progettazione ICT VOLUME_1.book Page 21 Monday, March 5, 2012 11:47 AM VOLUME_1.book Page 23 Monday, March 5, 2012 11:47 AM CAPITOLO 1 QUADERNI per la progettazione ICT NATURA E CARATTERISTICHE DELLE INFORMAZIONI TRASPORTATE DA RETI TCP-IP 1.1 Natura e caratteristiche delle informazioni trasportate da reti TCP-IP Le moderne reti di calcolatori trasportano oggi, ed a maggior ragione nel futuro informazioni molto variegate che possono essere schematizzate in: dati numerici ed alfanumerici; voce; immagini e file multimediali. Il trasporto avviene sulla stessa struttura fisica condivisa che, nel caso più generale, comprende: lan di origine; infrastruttura di trasporto pubblica; lan di arrivo. Nelle comunicazioni di tutti verso tutti (full-meshed) e contemporanea presenza di flussi di diverse tipologie (voce, dati), la distribuzione agli utenti finali è complessa. Essa è ulteriormente complicata dalla diversa percezione della qualità del servizio offerto per le diverse tipologie di traffico. Accade spesso che le esigenze minime di qualità dei diversi flussi siano in antagonismo tra loro. È obiettivo del progetto di una rete di trasporto l’ottimizzazione dei compromessi tra le esigenze contrastanti. I compromessi sono realizzati utilizzando le diverse tecniche disponibili nei diversi ambienti attraversati da ogni singolo elemento di informazione. Alla trattazione dettagliata delle tecniche disponibili nei diversi ambienti sono dedicati capitoli ad hoc. 23 VOLUME_1.book Page 24 Monday, March 5, 2012 11:47 AM Reti e servizi remoti Figura 1.1 La trasmissione in reti IP Real time Communication server Application servers switch Email server Ethernet router Database servers Web servers firewall Co Ve nn e r so ss re m ione oto Rete ed utenti locali Rete pubblica laptop Smart Sip phone ne ssio to nne mo Co s o re Ver Access point Ethernet pc Telefono ip firewall Local server pda In questo capitolo invece si vuole rappresentare una vista complessiva d’insieme che consenta immediatamente di collocare le differenti tematiche nel giusto contesto. 1.1.1 Analogie e differenze con una rete telefonica con nodi-switch e segnalamento esplicito Una rete TCP-IP si differenzia in parte dalle reti telefoniche tradizionali con cui condivide alcuni aspetti. Il confronto aiuta a capire le novità introdotte. Il trasporto di informazioni in reti telefoniche tradizionali è caratterizzato da: 24 esistenza di un piano di indirizzamento globale scalabile e geografico (ITU-T E-164); PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I presenza di nodi intermedi di commutazione e sezionamento; presenza di protocolli di segnalamento atti a determinare percorsi univoci, costanti, esclusivi per la durata della comunicazione (e non di una singola unità di informazione). QUADERNI per la progettazione ICT VOLUME_1.book Page 25 Monday, March 5, 2012 11:47 AM Il piano di indirizzamento complessivo consiste nell’assegnazione a ciascuno degli utenti finali di un indirizzo univoco. L’assegnazione coordinata su scala mondiale è resa scalabile mediante l’assegnazione di regole di indirizzamento agli operatori su scala nazionale (piani di indirizzamento a 10 cifre) ed assegnazione di codici a ciascun paese (1-5 cifre). L’uso di indirizzi con significato geografico permette di utilizzare piani di tariffazione basati sulla distanza (chiamate locali, nazionali, internazionali). L’uso di nodi intermedi di commutazione e sezionamento permettono di realizzare la scalabilità fisica della rete si realizzano in contemporanea più circuiti indipendenti collegando le tratte interessate. I collegamenti tra gli utenti e la rete sono di tipo HUB&spoke e permettono di concentrare le comunicazioni mentre procedono all’interno della rete. I fattori di concentrazione sfruttano la non contemporaneità della richiesta di risorse. I protocolli di segnalamento definiscono di volta in volta le tratte locali da selezionare per realizzare il percorso complessivo. Le risorse selezionate sono impegnate in modo esclusivo per una comunicazione. La rete TCP-IP introduce un ulteriore livello di ottimizzazione. L’ottimizzazione ulteriore delle risorse consiste nel realizzare circuiti le cui tratte costitutive siano istantaneamente assegnate in modo dinamico alle istanze di comunicazione presenti in rete. Queste reti assumono come unità di riferimento non la comunicazione ma il pacchetto. Accade così che i percorsi di una stessa comunicazione non siano più univocamente determinati. Le reti di calcolatori basate sulla tecnica TCP-IP realizzano questo miglioramento utilizzando e migliorando i criteri di scalabilità e addensamento del traffico ed introducendo un gran numero di innovazioni che stanno progressivamente rivoluzionando il modo di comunicare e tutto ciò che a questo consegue. 1.1.2 Struttura delle informazioni trasportate in reti senza elemento di nodi-switch Le reti di calcolatori, rinunciando all’uso di percorsi dedicati per una intera comunicazione ed a protocolli per la loro realizzazione, non fanno uso di tradizionali sistemi di commutazione. Ciascun elemento in cui è frazionata la complessiva comunicazione (pacchetto) 25 VOLUME_1.book Page 26 Monday, March 5, 2012 11:47 AM diviene invece oggetto a se stante e è trasportato nella rete indipendentemente dagli altri. Con questo modo di procedere diventa necessario che ogni entità, in cui il messaggio complessivo è frazionato, debba contenere indirizzi delle unita sorgente e destinazione del contenuto trasportato. Tali informazioni sono aggiunte al messaggio attraverso una struttura nidificata di intestazioni (header e foother). Un aspetto molto importante della nuova tecnica TCP-IP è l’uso di in indirizzamento progressivo e scalabile. Un secondo aspetto è rappresentato dalla capacità di organizzare l’attività complessiva di trasmissione in un sequenza di operazioni più semplici e modulari. Un terzo aspetto è il comportamento client server per cui ciascuna macchina si specializza in un ruolo. Il comportamento complessivo di un insieme di macchine diviene così molto complesso pur essendo il risultato dell’assemblaggio di macchine semplici in cui molto intenso è lo scambio di informazioni tra i membri. Il principio generale è quello di rendere le singole macchine responsabili di comportamenti semplici e modulari (server). Queste informazioni possono essere aggregate in composizioni molto variegate attraverso gli scambi in rete (scambi client-server) ed essere rese disponibili a macchine client. Figura 1.2 La trasmissione in reti senza commutazione necessità di indirizzamento su ogni unita di trasmissione Applicazione Applicazione Client Client Applicazione Applicazione Server Server Protocolli Protocolli applicativi applicativi Protocolli Protocolli applicativi applicativi Protocolli Protocolli di direte rete Infrastruttura Infrastruttura Di Direte rete Protocolli Protocolli di direte rete CLIENT SERVER Nelle comunicazioni in rete si suole distinguere il traffico (unpayload) di servizio da quello che effettivamente è percepito dagli utenti (payload). Con analogo criterio anche all’interno delle unità informative che compongono tutte le conversazioni si distingue tra payload e la somma di header e footer necessari per il trasporto in rete. La somma dei bit consumati in header è spesso considerato traffico di servizio. In definitiva la comunicazione tra due end-point è frazionata in molti frammenti la cui propagazione nella rete è governata da una somma di informazioni di instradamento aggiunte a più riprese dalle macchine intermedie. Nella pratica delle reti TCP-IP è invalsa la regola di frammentare le informazioni aggiuntive al contenuto (headers e footers) del messaggio da trasportare dividendole per livelli diversi. 26 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 27 Monday, March 5, 2012 11:47 AM QUADERNI per la progettazione ICT Questo ha permesso di realizzare ambienti multivendoor permettendo a diverse aziende di specializzarsi nell’affrontare le problematiche caratteristiche di ogni livello della trasmissione ed inglobando le conoscenze in macchine specializzate (router, switches, firewalls, acceleratori….). Nelle reti è inoltre invalso l’uso di suddividere interazioni complesse di comunicazioni in azioni semplici, affidate a macchine specializzate (servers che distribuiscono a client). Nel comportamento client server è importante notare che spesso il client richiedente non conosce l’esatta ubicazione del server che eroga il servizio. In alcuni ambienti, detti a capacità di trasmissione broadcast - ad esempio l’ambiente ethernet - questo “impasse” è superato permettendo al client di inoltrare una richiesta verso una destinazione virtuale (messaggi broadcast) cui tutte le macchine dell’ambiente danno ascolto. Tuttavia, questo modo di procedere, ingenera: una inefficienza nelle trasmissioni: tutte le macchine della rete ricevono e processano l’annuncio con interrupt al sistema operativo di ogni macchina. Questo si traduce in un apparente rallentamento della rete; la possibilità di portare taluni attacchi alla sicurezza delle trasmissioni denominati spoof di identità in cui l’attaccante prende il ruolo del server e offre in sua vece il servizio al client che non ha mezzi per discriminare un attaccante da un server effettivo. Esempi di questo tipo di comportamento si hanno: - il traffico di un server DHCP che distribuisce in una rete locale informazioni per la configurazione di client quali: - indirizzo ip e maschera, - default gateway, - indirizzo del server tftp (opzione 150 utilizzato nella telefonia ip), - il traffico del protocollo ARP nelle reti LAN per l’associazione tra indirizzo ip e Mac address. Proprio in conseguenza di questa somma di comportamenti, per evidenziare la maggiore o minore efficienza delle reti, Spesso si ricorre alla nozione di payload o traffico pagante e traffico di servizio (in cui è incluso il traffico di comando e controllo oltre a quello di incapsulamento). È obiettivo di progetto di reti la: minimizzazione del traffico di servizio; 27 VOLUME_1.book Page 28 Monday, March 5, 2012 11:47 AM messa in priorità del traffico di comando e controllo. Una cattiva progettazione della rete genera molto traffico di servizio. Questo comportamento limita drasticamente l’efficienza del mezzo fisico utilizzato. Infatti l’uso dei broadcast cresce al crescere del numero di componenti della rete. In un ambiente ethernet il numero massimo di host è limitato a 60 per evitare significativi degradi di banda. La nozione oggettiva di efficienza della rete non dà piena ragione della efficienza percepita. L’efficienza percepita è fortemente dipendente dal tipo di traffico che attraversa la rete. Infatti un ritardo di qualche secondo in una operazione di download di un file o di un contenuto multimediale di durata complessiva di decine di minuti è del tutto trascurabile mentre diventa molto rilevante in comunicazioni real time con scambio interattivo tra due utenti. Per dar conto delle diverse caratteristiche delle diverse topologie di traffico e della loro influenza sulla qualità percepita si usa distinguere in traffico in: - traffico dati; - traffico real-time. 1.1.2.1 Dati numerici ed alfanumerici Il traffico dati risponde ai seguenti al requisiti di progetto: trasmissione di blocchi della massima dimensione possibile per minimizzare il peso dell’intestazione dei pacchetti (unpayload). 1) La massima dimensione dei messaggi trasmessi dipende dalla natura del mezzo trasmissivo e dal protocollo di trasmissione adottato. Ad esempio la trasmissione su ethernet consente una Maximum Transfer Unit (MTU) di oltre 1500 Bytes mentre una trasmissione Frame-relay è spesso limitata a 300 Bytes (in presenza di comunicazione contestuale voce-dati) oppure in una trasmissione ATM a 53 Bytes (celle). 2) Nelle normali trasmissioni questi diversi ambienti sono attraversati successivamente nell’ambito dello stesso percorso complessivo. 3) L’intero contenuto informativo sarà frazionato in parti prima di essere trasmesso. 28 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 29 Monday, March 5, 2012 11:47 AM Real time Communication server QUADERNI per la progettazione ICT Reti e servizi remoti Email server Application servers Dimensione Header Crc Utile per ethernet check Il trasporto dati La frame:unità elementare per tasporto Ethernet Database servers router Web servers firewall Rete ed utenti locali Co Ve n ne r so ss r em io ne o to Figura 1.3 Rete pubblica Smart Sip phone Access point laptop Dimensione Utile per Il trasporto dati Header ethernet Crc check ne ss io o nne mot C o so re r Ve La frame:unità elementare per tasporto Ethernet pc Telefono ip Local server La trasmissione dati in reti IP: minimizzare l’unpayload compatibilmente con la trame ethernet firewall pda 4) La dimensione di ogni unità dipende, il linea generale, dai limiti imposti dai mezzo trasmissivo utilizzato e dai protocolli di trasmissione. 5) La unità trasmettente si riferirà all’ambiente trasmissivo cui è collegata (esempio ethernet e frammenterà il materiale in funzione delle caratteristiche di questo. 6) Le macchine intermedie incontrate nel percorso saranno, il più delle volte, autorizzate a frammentare ulteriormente l’iniziale contenuto informativo in unità di dimensioni compatibili con l’ambiente trasmissivo cui tali macchine sono collegate e con le eventuali limitazioni imposte via programmazione. Nella trasmissione di un messaggio tra sorgente e destinatario sono quindi normalmente adottati diversi formati dell’unità di trasmissione. Sono inoltre da prevedere operazioni di frammentazio29 VOLUME_1.book Page 30 Monday, March 5, 2012 11:47 AM ne e riassemblaggio del contenuto informativo cui la unità trasmittente assegna talvolta una sequenzialità. La frammentazione dei pacchetti e dà luogo a diverse problematiche di sicurezza. La sequenzialità dei pacchetti è il problema più grave per i pacchetti voce. Trasmissione senza perdita di bit. Infatti nella trasmissione di un file con eventuale controllo di (algoritmi SHA o MD5) la perdita di una solo bit conduce ad errore e da luogo a ritrasmissione di una frazione o dell’intero file (alta sensibilità alla perdite di pacchetti). La trasmissione di un file non è una procedura real-time (insensibilità al ritardo). 1) La trasmissione non prevede una interazione real-time con la macchina o con altro interlocutore umano ed inoltre nella grande maggioranza dei casi richiede tempi dell’ordine di minuti assolutamente maggiori dei tempi medi di attraversamento della rete da parte di ogni messaggio. L’aspettativa di qualità del servizio è slegata entro certi limiti dalla durata della trasmissione (bassa sensibilità al delay, bassa priorità di delivery, alla sensibilità alle perdite). 1.1.2.2 Voce Il traffico voce risponde ai seguenti al requisiti di progetto: trasmissione a blocchi di minime dimensioni. La dimensione del singolo elemento è determinata dalla condizione di emulare la continuità di una comunicazione real-time con la trasmissione di un numero discreto di pacchetti. A differenza del traffico dati ed indipendentemente dall’ambiente di trasporto si fa convenzionalmente riferimento a 33 0 50 pacchetti per secondo per ogni conversazione real-time. In conseguenza di ciò: 1) il trasporto di stessa quantità di payload richiede un maggior numero di pacchetti e conseguentemente il numero di bytes di intestazione di quelli richiesti per una trasmissione dati; 2) in relazione al tipo di tecnica di codifica (codec) varia la dimensione della quantità di bit trasmessi in ognuno dei 50 pacchetti al secondo; 3) la dimensione della parte contenuto del pacchetto varia da 20 a 160 Bytes rimanendo sempre molto piccola rispetto alla dimensione della trasmissione dati. Risulta così che per trasmettere 8000 bit di dati, equivalenti al minuto di conversazione codificato G729, sono necessari 16000 bit di intestazione (2/3 unpayload, 1/3 payload). 30 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 31 Monday, March 5, 2012 11:47 AM Real time Communication server QUADERNI per la progettazione ICT Reti e servizi remoti Fram mento Crc Trama di check ethernet voce La frame voce:piccole e molto frequente Header ethernet Ethernet router firewall Rete ed utenti locali Co Ve nn e r so ss re m ione oto Rete pubblica Smart Sip phone Laptop Access point Con softphone Fram mento Crc Header Trama di ethernet check ethernet voce La frame voce:piccole e molto frequente Ethernet Figura 1.4 La trasmissione di voce in reti ip - pacchetti di piccole dimensioni, real time, alta frequenza ne ssio to nne remo o C so r Ve firewall Telefono ip Trasmissione poco sensibile perdita di bit (bassa sensibilità allo scarto). 1) La catena di trasmissione della voce prevede nell’apparecchio telefonico ricevente una struttura dati (buffer di dejittering). 2) Tale struttura è preposta a ricevere i pacchetti dagli apparati di rete e riordinarli in sequenze corrette e quindi trasferire la sequenza ordinata al telefono ricevente (playback). 3) Questo processo è effettuato anche in caso di perdita o di ritardato arrivo di alcuni pacchetti. 4) Gli algoritmi di codifica utilizzati sono predittivi e hanno capacità di interpolazione. 31 VOLUME_1.book Page 32 Monday, March 5, 2012 11:47 AM 5) L’interpolazione risente poco della eventuale perdita di pacchetti (bassa sensibilità alle perdite). La trasmissione di un voce è una procedura real time (molto sensibile al ritardo): 1) la trasmissione prevede una interazione real-time con la macchina o con altro interlocutore umano. 2) intervalli di frazioni di secondo sono percepiti; 3) tempi di attraversamento dell’ordine delle centinaio di millisecondi sono richiesti per giudicare adeguato il servizio. 1.1.2.3 Immagini e multimedia in streaming Il traffico steaming di immagini e di contenuti multimediali risponde a requisiti di progetto intermedi rispetto a voce e dati. Infatti: Trasmissione a blocchi di medie dimensione per minimizzare il ritardo di trasporto e non appesantire ulteriormente con intestazioni la già enorme quantità di dati da trasmettere (quasi-real-time). In relazione al tipo di tecnica di codifica (codec) per dare sembianza di flusso continuo devono essere trasmesse almeno 26 immagini al secondo. Ogni immagine è composta di punti che possono avere un numero minimo di 8 diverse colorazioni e risoluzioni tipiche per uno schermo di dimensioni minime (display di telefono) conduce a dover trasportare miliardi di bit anche dopo il filtro di riduzione operato con i migliori codec. Trasmissione poco sensibile perdita di bit: 1) Anche per lo stream video nella catena di trasmissione sono previsti buffer di dejittering con funzione analoga a quella già descritta per il traffico audio. 2) Questo processo di dejittering è effettuato anche in caso di perdita o di ritardato arrivo di alcuni pacchetti. 3) Gli algoritmi di code sono predittivi e hanno capacità di interpolazione e consentono di non risentire della eventuale perdita di pacchetti. La trasmissione di un file-multimediale è una procedura quasi-real-time. Devono essere affrontate anche le problematiche di sincronia tra flusso audio e video. 1) La trasmissione prevede una interazione real-time con la macchina o con altro interlocutore umano. 32 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 33 Monday, March 5, 2012 11:47 AM QUADERNI per la progettazione ICT 2) Come per la voce, intervalli di qualche secondo sono percepiti e sono sufficienti per giudicare assolutamente inadeguato il servizio. 1.2 Dal circuito al pacchetto La descrizione sommaria delle caratteristiche di progetto tre diverse tipologie di traffico che attraversano le moderne reti evidenzia la possibilità ed il vantaggio di integrare le caratteristiche di ciascuna tipologia di oggetti all’interno della medesima infrastruttura fisica con un modello logico di trasporto unificato. In questo modo si unificano le infrastrutture di trasporto dei Service–provider e si realizzano reti più efficienti di quelle della generazione del trasporto isdn. È infatti obiettivo del progetto di reti integrate trasportare la voce, contenuti multimediali ed i dati contemporaneamente sullo stesso supporto fisico. Come si usa dire nel gergo, riempire di dati i silenzi della voce. Per realizzare questo obiettivo si utilizza un contenitore unificato di trasporto che prescinde dai contenuti. I dati della intestazione del contenitore sono utilizzati per il recapito di materiali informativi da una sorgente qualsiasi ad una destinazione qualsiasi. In analogia allo standard E-164 è stato realizzato nelle reti TCP-IP un piano di indirizzamento mondiale (indirizzamento IP). L’unità di trasporto, pacchetto IP, è stata progettata per contenere mittente e destinatario (specificati nello standard di indirizzamento IP) nella stessa busta di incapsulamento che viaggia tra mittente e destinatario. Questa busta è frammentata e ricomposta ma non perde mai la sua identità originale specificata nella stazione sorgente. Ulteriori campi sono inclusi nella busta di intestazione per realizzare tipologie di servizio differenziato. Infatti il traffico è classificato e convogliato in code in caso di congestione. Alle code si assegnano attributi diversi di priorità e di probabilità di scarto. Il trasporto mediante pacchetti IP specifica le destinazioni in termini di macchine sorgenti e di destinazione. Tuttavia le macchine, a loro volta, sono un insieme di applicazioni operanti nello spazio comune della memoria della macchina sotto il controllo di un sistema operativo. La sequenza di intestazioni aggiunta al contenuto informativo è in grado di discriminare a quale applicazione e con quali caratteristiche di comunicazione debba essere recapitato il materiale informativo. All’interno della intestazione IP dei pacchetti è contenuto l’indice della tecnica di trasporto desiderata tra le diverse possibili (intestazione del datagramma). 33 VOLUME_1.book Page 34 Monday, March 5, 2012 11:47 AM 1.3 Schema di trasmissione tra apparati in rete Datagram IP Figura 1.5 bit 0 La trasmissione in reti IP L’intestazione IP dei pacchetti 4 Versione 8 IHL 16 31 Tipo di servizio Identificativo Tempo di vita Lunghezza totale Flags Protocollo Offset frammento (13 bit) Checksum intestazione Indirizzo IP mittente Indirizzo IP destinatario Opzioni IP Padding Dati L’intera organizzazione delle informazioni (header e footer) da aggiungere ai contenuti informativi per una loro corretta trasmissione è stata oggetto di normalizzazione. Come spesso accade questo processo è intervenuto a ratificare e razionalizzare scelte che erano già state assunte dal mercato come standard di fatto. La standardizzazione è stata condotta dalla International Standardization Organization ed è universalmente nota con il nome di pila OSI. I fondamenti di questo standard sono stati anticipati dallo standard TCP/IP con cui sono state costruite le prime reti a standard di trasmissione non proprietario ed in particolare la rete Arpanet scaturita da un progetto militare negli USA. La standardizzazione ha riguardato la suddivisione dell’intera attività di trasmissione-ricezione in una sequenza di moduli più semplici definiti livelli. Sono stati distinti sette livelli. Ogni livello a sua volta è stato popolato da protocolli, a loro volta oggetto di standardizzazione. Qui di seguito alcuni esempi di protocolli standardizzati: 34 OSI livello 1: codifica bit in impulsi: Zero Return, Non Zero Return, Manchester. Codifica cavi e terminazioni. OSI livello 2: livello di trasporto locale (frame): protocolli Ethernet, token ring, fddi, Seriale (PPP, FRAME-RELAY, ...). OSI livello 3: trasporto su scala globale: protocollo IPv4, IPv6, IPX. OSI livello 4: protocolli TCP, UDP; TLS per il recapito a specifici programmi. PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I OSI livello 5: sessionizzazione: costruzione di un indice interno per la gestione dei programmi in esecuzione e dei interrupt. OSI livello 6: codifiche standard Ascii, ebcdic, cifratura. OSI livello 7: applicazione protocolli http, ftp, telnet. QUADERNI per la progettazione ICT VOLUME_1.book Page 35 Monday, March 5, 2012 11:47 AM La specializzazione in protocolli ha riguardato anche gli apparati che tali protocolli implementano: HUB: layer 1 Swicthes: layer 2 Router: layer 3 Firewall: livelli 3,4,5,6,7 IDS livello 7 Content-engine livelli 4, 5, 6, 7. 1.3.1 Composizione dello standard OSI La trasmissione di documenti o comandi tra macchine, anche con diversi sistemi operativi, avviene in modo automatico mediante una procedura standard inglobata all’interno dei sistemi operativi delle macchine. Nella quasi totalità delle comunicazioni tra apparati è usato il modello standard OSI nella sua versione pre-standard di stack TCP-IP. Lo stack è quindi unico in tutte le macchine di rete. Si incontrano differenze nei collegamenti dello stack alla restante parte del sistema operativo di cui esso è parte (moduli di interfaccia con i sistemi operativi Windows, Linux, Unix, MAC-OS). L’azione complessiva dei protocolli dello stack è quella di organizzare il contenuto da trasmettere in parti di opportune dimensioni corredandole di sistemi di indirizzamento a più livelli in modo da rendere possibile l’interpretazione e l’esecuzione dei comandi nella macchina ricevente. Oltre allo specifico contenuto, i messaggi dovranno perciò includere un set di informazioni per: permettere di individuare la macchina cui il messaggio è destinato; all’interno della macchina il programma destinatario distinguendo anche all’occorrenza tra le diverse sessioni del programma. Il tutto sarà inserito in unità di trasmissione coerenti con il mezzo su cui si trasmette (rete ethernet, seriale punto punto, seriale multipunto, wireless ...). Quindi per ognuno dei messaggi affidati alla rete, dovrà essere trasmesso anche: 35 VOLUME_1.book Page 36 Monday, March 5, 2012 11:47 AM - indirizzo della macchina ricevente; - modalità di trasmissione (affidabile-inaffidabile); - programma ricevente; - sessione del programma. Il tutto sarà reso coerente con le caratteristiche del mezzo trasmissivo usato. Queste informazioni sono aggiunte al messaggio generato dal programma sorgente da alcune componenti del sistema operativo della macchina origine, mediante l’aggiunta di intestazioni standardizzate. Queste sono progressivamente nidificate attorno al messaggio. Nello Standard OSI, sono stati distinti 7 livelli di interazione con il contenuto da trasportare, alcuni dei livelli sono interni alle macchine sorgente e destinatario, altri gestiti da apparecchiature di rete. Lo schema in figura 1.6 rappresenta la segmentazione standardizzata della trasmissione tra due macchine collegate in rete. I sette livelli distinti rappresentano le funzioni standard assegnate a ciascun livello. Alcune funzioni sono in carico ai sistemi operativi delle macchine trasmittente e ricevente altre sono in carico a tutte le macchine attraversate durante l’intero percorso. application Codifica delle applicazioni Figura 1.6 Lo stack ISO-OSI datagramma pacchetto presentation Codifica del formato (ascii, ebcdic, cifratura…) session Discrimina sessioni transport Trasporto affidabile, inaffidabile (tcp, udp) network Indirizzamento di apparati: Ipv4, ipv6, ipx, In carico al sistema operativo di macchina trasmitterite e ricevente Attivitità In carico frame Data-link Formato frame: ethernet, framefelay, ppp... Ai protocolli Di rete Bit,byte phisical Connettori rj45, forma elettrica segnale Ognuno dei livelli può essere realizzato con protocolli diversi in funzione della specificità della comunicazione in esame. Le funzioni possono essere realizzate in modalità differente (esempio presentation con o senza crittografia oppure trasporto UDP, TCP, TLS). 36 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 37 Monday, March 5, 2012 11:47 AM QUADERNI per la progettazione ICT Uno sguardo di insieme dei diversi protocolli che popolano i diversi livelli della pila osi è riportata in figura 1.7. I protocolli della pila iso-osi HTTP HTTP FTP FTP …. …. SNMP SNMP DNS DNS ESP ESP TCP TCP UDP UDP IP IP ICMP ICMP ARP ARP Data DataLink Link I livelli trasporto, network, data-link e phisical riguardano direttamente tutte le macchine di rete. I livelli session, presentation e application riguardano le macchine di trasmissioni e di ricezione e sono gestiti direttamente nei sistemi operativi delle stesse. Le funzioni standardizzate nei livelli sono state realizzate in vario modo e sono combinate tra loro. 1.3.2 Figura 1.7 Alcuni protocolli dello stack Lo standard TCP-IP Lo standard Osi ha raccolto e organizzato quanto già in uso nello stack protocollare TCP-IP. Lo stack in figura 1.8 rappresenta le successive fasi di un processo di trasmissione con maggiore attenzione ai processi che coinvolgono macchine di rete. Architettura TCP/IP Figura 1.8 Applicazione Applicazione Trasporto Trasporto IP IP Accesso Accessoalla allaRete Rete Fornisce agli utenti il servizio di cui hanno bisogno Lo stack TCP-IP Risoluzione di situazioni di errore Controllo del flusso Mascherare differenze apparati e reti coinvolte nella comunicazione Sincronizzazione stazioni Rilevazione errore Accesso al mezzo condiviso Risoluzione problematiche meccaniche, elettriche e funzionali del mezzo 37 VOLUME_1.book Page 38 Monday, March 5, 2012 11:47 AM Il processo di trasporto riceve dalle gerarchie superiori i materiali oggetto della trasmissione. Il livello trasporto aggiunge un header in cui si specifica il tipo di trasporto e la porta sorgente e destinazione formando i datagrammi (quale applicazione genera/riceve i contenuti nella macchina sorgente/destinazione). Le informazioni del livello trasporto sono integrate con quelle del livello IP. Al livello IP sono infatti aggiunti gli indirizzi sorgente e destinatario ed altre informazioni riguardanti il processo di trasporto in rete. I pacchetti così composti sono inviati al livello di accesso alla rete (pacchetti). Tra le funzioni di questo livello si distinguono i sottolivelli logical link control LLC e MAC. Il logical link control specifica le modalità cui il pacchetto è inglobato in una o più frames. Il LLC esegue inoltro il calcolo del Cyclical Redundancy Check (CRC) che è l’insieme di calcoli effettuati sulle frame appena composta per consentire alla macchina ricevente di scoprire gli eventuali errori di trasmissione avvenuti. La macchina ricevente infatti esegue il calcolo del CRC della frame ricevuta e lo confronta con quello trasportato insieme alla frame. Solo in caso di coincidenza la frame sarà considerata integra. Il LLC trasferisce quindi al Mac Address Control MAC che si occupa di aggiungere un indirizzo fisico per completare le frames. Le frames complete sono trasferite al livello fisico per la conversione binario / segnale elettrico e la trasmissione. 1.4 Schema complessivo di una comunicazione il rete LAN 1.4.1 II dialogo Client-server http Per esemplificare l’uso di tutti i concetti e le schematizzazioni introdotte, si illustra l’intero processo di trasmissione tra un client ed un server http nella stessa LAN. Nella sequenza sono evidenziati i servizi offerti dalla rete (DHCP, DNS e ARP) alla comunicazione. Le macchine in rete sono configurate per ricevere: 38 un indirizzo ip; maschera; default gateway; server per la risoluzione degli indirizzi dns in modo automatico (client DHCP) da un server centralizzato. PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I 001 cap. 1.fm Page 39 Monday, March 5, 2012 12:21 PM Lato SERVER QUADERNI per la progettazione ICT Dns-server Ip 192.168.1.252 http-server Ip 192.168.1.254 Dhcp-server Ip 192.168.1.253 Lato CLIENT Il primo messaggio è inviato al server DHCP per acquisire l’indirizzo e gli altri parametri di rete. Non essendo noto l’indirizzo MAC del server, la richiesta è inviata all’indirizzo broadcast (FFFF:FFFF:FFFF) e quindi invade tutte le schede di rete di tutte le macchine collegate alla rete. Dns-server Ip 192.168.1.252 Lato SERVER http-server Ip 192.168.1.254 Figura 1.9 Schema complessivo di comunicazione http Figura 1.10 Request DHCP Dhcp-server Ip 192.168.1.253 Lato CLIENT Frame header D.mac S.mac ffff:ffff:ffff aaaa:aaaa:aaaa Ip header D.ip Loc broad S.ip 0.0.0.0 Udp header dati crc Ricevendo il messaggio, tutte le macchine in rete inviano l’interrupt al proprio sistema operativo per segnalare la richiesta di procedere al riscontro del broadcast. Il riscontro consiste nel controllare se la macchina è server-DHCP. Solo la macchina server DHCP ha riscontro positivo e prepara una risposta. Tutte le altre pur essendo state interessate non generano risposta e cestinano la richiesta. La risposta del server DHCP è un messaggio unicast inviato direttamente al richiedente. Il messaggio di risposta contiene l’indirizzo IP, la mask il Default-gateway e il server DNS (il server può essere configurato per distribuire altri parametri). 39 VOLUME_1.book Page 40 Monday, March 5, 2012 11:47 AM Lato SERVER Figura 1.11 Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Response DHCP http-server Ip 192.168.1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Frame header D.mac aaaa :aaaa :aaaa S.mac Dhcp serv mac Ip header D.ip 192.168. 1.1 S.ip 192.168. 1.253 Udp header Dati Ip, def.gate, dns, options crc Il client è ora in grado di inoltrare richieste in rete. In particolare ha necessità di tradurre il nome MIOSERVER nell’indirizzo ip di una macchina. L’informazione è centralizzata nella macchina server DNS di cui il client conosce l’indirizzo ip avendolo avuto dal server DHCP. Il client prepara, utilizzando il suo stack, il pacchetto con la richiesta al server DNS. Il client tuttavia non è in grado di predisporre una frame verso il DNS perché non ha una tabella in cui sia costruita l’associazione Ip/mac di ciascuna macchina ed in particolare quella del server DNS. La tabella è nota con il nome di arp cache. Lato SERVER Figura 1.12 Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Request a DNS manca MAC di destinazione http-server Ip 192.168.1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Frame header D.mac ?:?:? S.mac aaaa:aaaa:aaaa Ip header D.ip S.ip 192.168.1. 250 192 .168.1.1 Udp header Dati Ip di MIOSERVER? crc Questa tabella è dinamica ed è aggiornata continuamente nelle macchine end-user (per default ogni 2 secondi nel sistema operativo windows). Per aggiornare la tabella si usano messaggi broadcast (del tutto analoghi a quelli già descritti) continuamente inviati nella rete. Le richieste di risoluzione IP/MAC sono 40 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 41 Monday, March 5, 2012 11:47 AM inviate all’indirizzo broadcast e quindi invadono tutte le schede di rete di tutte le QUADERNI per la progettazione ICT macchine collegate pur essendo una sola quella di reale destinazione. Dns-server Ip 192.168.1.252 Lato SERVER http-server Ip 192.168.1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Frame header D.mac S.mac ffff:ffff:ffff aaaa:aaaa:aaaa Ip header D.ip Loc broad S.ip Dati Udp header 192 .168.1.1 Mio ip 192 .168.1.1 Mio mac aaaa :aaaa :aaaa ip cercato 192.168 .1.252 Mac cercato:?:?:? crc Il messaggio di arp request è evidentemente molto frequente e fortemente pervasivo. Il messaggio è standardizzato (ARP-Request). In conseguenza di questo Figura 1.13 Request di arp resolutione messaggio, la macchina che detiene l’indirizzo ip richiesto prepara un messaggio di Arp Response che trasmette in modalità unicast verso il richiedente. Anche questo messaggio è standardizzato (ARP-Reponse). Lato SERVER Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Mac dddd :dddd :dddd Figura 1.14 Arp Response http-server Ip 192.168.1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Frame header D.mac aaaa :aaaa :aaaa S.mac Dddd:dddd :dddd Ip header D.ip 192.168. 1.1 S.ip 192.168. 1.252 Dati Udp header Mio ip 192.168.1.1 Mio mac aaaa:aaaa:aaaa Ip richiesto 192.168.1.252 crc Mac richiesto dddd:dddd:dddd Avendo Il client ottenuto l’aggiornamento della arp cache con la coppia IP/MAC del Server DNS il messaggio di richiesta risoluzione nome, precedentemente sospeso, può essere inoltrato. 41 VOLUME_1.book Page 42 Monday, March 5, 2012 11:47 AM Lato SERVER Figura 1.15 Default-gateway Ip 192.168.1.250 Dns-server Ip 192 .168 .1.252 Mac dddd :dddd:dddd Request a DNS http-server Ip 192 .168 .1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Ip Arp-cache mac 192.168.1.1 dddd :dddd :dddd Frame header D.mac Dddd:dddd :dddd S.mac aaaa :aaaa :aaaa Ip header D.ip S.ip 192.168. 1.252 192.168 .1.1 Udp header Dati Ip di MIOSERVER? crc Nel server DSN è configurata è gestita la tabella di risoluzione nome-ip. Il server DNS risponde con un messaggio unicast e fornisce l’indirizzo ip 192.168.1.254 del server http cercato. Dns-tabella nome Ip Figura 1.16 192.168.1.254 MIOSERVER Response DNS Lato SERVER Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Mac dddd :dddd :dddd http-server Ip 192.168.1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Frame header D.mac aaaa :aaaa :aaaa S.mac Dddd:dddd :dddd Ip header D.ip 192.168. 1.1 S.ip 192.168. 1.252 Udp header Dati Myserver Ip address 192.168.1.254 crc Finalmente la macchina client può predisporre la richiesta al server HTTP. La sessione http utilizza il trasporto TCP implica quindi uno scambio di segnalamento e sincronizzazione (messaggi syn, syn-ack, ack) tra le due macchine. Lo sc am bio è c om unq ue pr eced uto ancora da uno scam bi o a rp request-response per aggiornare la tabella arp con il Mac della macchina 192.168.1.254. 42 PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I VOLUME_1.book Page 43 Monday, March 5, 2012 11:47 AM QUADERNI per la progettazione ICT Dns-server Ip 192.168.1.252 Lato SERVER http-server Ip 192.168.1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Frame header D.mac S.mac ffff:ffff:ffff aaaa:aaaa:aaaa Ip header D.ip Loc broad Lato SERVER Dati Udp header S.ip 192 .168.1.1 Default -gateway Ip 192.168.1.250 Mio ip 192 .168.1.1 Mio mac aaaa :aaaa :aaaa ip cercato 192.168 .1.254 Mac cercato:?:?:? Dns-server Ip 192.168.1.252 Mac dddd :dddd :dddd http-server Ip 192.168.1.254 Mac eeee :eeee :eeee Lato CLIENT Figura 1.17 Request di arp resolution per server http Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 ARP Cache Ip mac 192.168.1.252 dddd :dddd :dddd 192.168.1.254 eeee :eeee :eeee crc Frame header D.mac aaaa :aaaa :aaaa S.mac Eeee :eeee :eeee Ip header D.ip 192.168. 1.1 S.ip 192.168. 1.254 Figura 1.18 Dati Udp header Mio ip 192.168.1.1 Mio mac aaaa:aaaa:aaaa Ip richiesto 192.168.1.254 crc Mac richiesto eeee:eeee:eeee Arp response server htt La sincronizzazione TCP per l’avvio della sessione http prevede lo scambio di 3 messaggi (3 way handshake): Lato SERVER Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Mac dddd :dddd :dddd Figura 1.19 Request tcp-syn http-server Ip 192.168.1.254 Tcp-syn Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Ip Arp-cache mac 192.168 .1.252 dddd :dddd :dddd 192.168 .1.254 eeee :eeee :eeee Frame header D.mac Eeee:eeee:eeee S.mac aaaa:aaaa:aaaa Ip header D.ip S.ip 192.168.1. 254 192 .168.1.1 tcp Header syn Dati crc vuoto 43 VOLUME_1.book Page 44 Monday, March 5, 2012 11:47 AM Lato SERVER Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Mac dddd :dddd :dddd Figura 1.20 Request tcp syn-ack http-server Ip 192.168.1.254 Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Ip Arp-cache mac 192.168 .1.252 dddd :dddd :dddd Frame header D.mac aaaa :aaaa :aaaa S.mac Eeee :eeee :eeee Ip header D.ip 192.168 .1.1 Dati tcp Header Syn-ack S.ip 192. 168.1. 254 crc vuoto 192.168 .1.254 eeee :eeee :eeee Lato SERVER Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Mac dddd :dddd :dddd Figura 1.21 Request tcp-ack http-server Ip 192.168.1.254 Tcp -ack Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Ip Arp-cache mac 192.168 .1.252 dddd :dddd :dddd Frame header D.mac Eeee:eeee:eeee S.mac aaaa:aaaa:aaaa Ip header D.ip S.ip 192.168.1. 254 192 .168.1.1 tcp Header ack 192.168 .1.254 eeee :eeee :eeee Dati crc vuoto Completata la fase di apertura della sessione è finalmente trasmesso il messaggio di put/get verso il server http. Lato SERVER Default -gateway Ip 192.168.1.250 Dns-server Ip 192.168.1.252 Mac dddd :dddd :dddd Figura 1.22 http get Lato CLIENT Dhcp-server Ip 192.168.1.253 Dati Ip 192.168.1.1 Mask 255.255.255.0 Def.gate 192.168.1.250 Dns 192.168.1.252 Ip Arp-cache mac 192.168 .1.252 dddd :dddd :dddd 192.168 .1.254 eeee :eeee :eeee 44 http-server Ip 192.168.1.254 Http get//:192.168.1.254/filexyz Frame header D.mac Eeee:eeee:eeee S.mac aaaa:aaaa:aaaa Ip header S.ip Sport tcp Header Dati D.ip d.port Myseq 1234 192.168.1. 254 : 80 192.168.1.1 1234 yourseq 4321 Get//:192.168.1.254/ filexyz PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI - VOL. I crc