reti e dintorni 1
Post on 06-Jul-2015
122 Views
Preview:
TRANSCRIPT
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 1/20
Reti e dintorniMarzo 2001 N° 1
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 2/20
2
TECNONET S.p.A.
PREMESSA
Lo scopo di “RETI E DINTORNI” è cercare
di creare una base cooperativa per lo scambio
di informazioni tecniche-teoriche e tecnico-
pratiche sul mondo delle reti. Per questo
ognuno può contribuire alla formazione di
queste pagine, inviando il vostro contributo a
rgaeta@tecnonetspa.it
L’aggiornamento tecnico è fondamentale per
mantenere una competitività e un’affidabilità
che ci consenta di affrontare con
professionalità le situazioni tecniche più
svariate.
Il problema principale è il tempo a
disposizione, che è sicuramente molto poco,
presi dai problemi dei clienti e dalle nuove
commesse, talvolta è proprio impossibile
soffermarsi a riflettere su quello che è stato
fatto o come sono stati risolti certi problemi.
In questo modo è difficile che l’esperienza e
la conoscenza individuale venga trasmessa
agli altri.
Personalmente ritengo di fondamentale
importanza, creare un punto d’incontro dove
queste conoscenze possano incontrarsi, e
credo che “RETI E DINTORNI” possa essere
un buon punto di partenza.
Gli apparati con i quali si può operare in
Tecnonet sono molteplici: Enterasys (ex
Cabletron); Cisco; Intel; Nortel; Alcatel; ecc.
Ogni prodotto ha i suoi pregi e i suoi difetti,
ha il suo sistema operativo o il menù di
configurazione, praticamente una vera e
propria babele…..dove ognuno di noi deve
poter operare, e non è sicuramente una cosa
da poco.
Esistono poche ma sicure regole in Tecnonet:
1) I commerciali trovano il cliente
2) I commerciali vendono qualsiasi cosa
3) I tecnici devono essere esperti su tutto(logicamente anche di apparati visti per la primavolta dal cliente!!)
Quindi come al solito rimbocchiamoci le
maniche e andiamo avanti.
R. Gaeta
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 3/20
3
TECNONET S.p.A.
Interconnessione di reti locali
Dispositivi di interconnessione
Le reti locali hanno limiti in termini di dimensionimassime ammesse, carico massimo supportato enumero massimo di sistemi collegabili. Quando si
vuole oltrepassare uno o più di questi limiti, bisognacreare una LAN estesa (a volte indicata con le sigleELAN, XLAN o BLAN). Le possibili tipologie di
interconnessione si distinguono in base al livello a cuisi opera nella pila OSI. Se l’interconnessione riguardail livello fisico si avranno i “repeater”, se riguarda il
livello data-link si avranno i bridge, i router per illivello network e i gateway per i livelli superiori al
livello rete.I repeater consentono il collegamento a livello fisicodi due LAN omogenee, ossia caratterizzate dalla stessainterfaccia e dallo stesso protocollo d’accesso al mezzo
trasmissivo. La topologia risultante non deve presentare anelli. In base al loro modo di operare sidistinguono in:
bit repeater: ricevono, rigenerano, risincronizzano
e trasmettono il segnale. Introducono ritardi e si possono utilizzare in reti caratterizzate dalla stessavelocità di trasmissione.
buffer repeater: introducono buffer e vengonoutilizzati nell’interconnessione di LAN con
velocità diverse. Non effettuano controllo diflusso.
I bridge, che sono apparati di livello 2, interconnettono
LAN con livelli fisico e MAC differenti ma ca-
ratterizzate dallo stesso livello LLC. Essi trasmettonosolo i pacchetti che devono effettivamente transitare da
una LAN ad un’altra, mantenendo separati i trafficilocali delle singole LAN che interconnettono. Questa
loro funzionalità, detta di “ filtraggio” (filtering), permette di ottenere un traffico globale sulla BLAN
superiore a quello massimo ammesso per ogni singolaLAN. Tale ritrasmissione avviene con una modalità di“ store & forward”, cioè il pacchetto è ricevuto dal
bridge, che si limita solo a leggerlo e a ritrasmetterlo se
è destinato a macchine residenti su LAN differentirispetto a quella che l’ha generato. I bridge possono
interconnettere LAN con lo stesso MAC oppure conMAC differenti. In questo secondo caso devonotradurre la PDU di livello 2, ricevuta da una LAN,
nella PDU di livello 2 da trasmettere all’altra LAN. Inreti che utilizzano protocolli ad accesso casuale (adesempio CSMA/CD), i bridge hanno sia la proprietà di
rompere i domini di collisione, dove per dominio dicollisione si intende la porzione di rete in cui duetrame, trasmesse simultaneamente da due stazioni
diverse, collidono, sia di trasmettere, con modalità“store & forward”, solo i pacchetti che realmente
devono transitare da una rete all’altra, mantenendoseparati i traffici delle singole LAN. Con riferimentoalla figura le quattro stazioni connesse alla LAN, ad
esempio una Ethernet a 10 Mb/s, appartengono allo
stesso dominio di collisione: una trasmissione di Averso B occupa tutto il canale (10 Mb) e toglie, ad ognialtra stazione, la possibilità di trasmettere; anche C e D,
se vogliono comunicare tra loro, sono costrette ad
aspettare che il canale sia libero. Al contrario, se si suddivide lo stesso numero di
stazioni su due reti Ethernet a 10 Mb, connesse tramiteun bridge, si realizzano due domini di collisione
separati, permettendo così simultaneamente unacomunicazione tra A e B e una tra C e D. Nel primo caso il traffico smaltito è di 10 Mb/s e ladimensione massima della rete, 2 km, nel secondo caso
si ha un traffico smaltito di 20 Mb/s in condizioni ditotale località di traffico ed una dimensione massimacomplessiva di circa 4 km (2 km per ogni spezzone); il
bridge ha quindi permesso la creazione di una rete piùestesa e con una capacità totale maggiore.L’interconnessione di più LAN tramite bridge presentale seguenti caratteristiche:
si migliora l’affidabilità della rete (se si guasta una
delle LAN le altre continuano a funzionare);
si migliorano le prestazioni: separando il trafficolocale da quello globale si sfrutta la diversitàspaziale;
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 4/20
4
TECNONET S.p.A.
si migliorano le caratteristiche di sicurezza: è
possibile, se necessario, confinare il trafficocontenente informazioni riservate;
è possibile collegare reti distanti fisicamenteutilizzando due half-bridge collegati tra loro con
un canale punto-punto.
I router, cioè commutatori di pacchetto operanti alivello 3 del modello di riferimento OSI, garantisconol’interconnessione tra reti eterogenee a livello MAC eLLC. Eseguono algoritmi di instradamento, ovveroscelgono il percorso ottimale tra la sorgente e la
destinazione utilizzando opportuni algoritmi diinstradamento.Analogamente ai bridge, memorizzano e ritrasmettono
pacchetti ( store & forward). L’instradamento nella reteInternet è basato sull’uso di tabelle di instradamentoall’interno di router IP. Ciascun router sa verso quale
altro router deve indirizzare i pacchetti che riceve manon ha conoscenza del percorso completo, né della
posizione della sorgente e del destinatario. I router, adifferenza dei bridge, permettono l’esistenza di anellinella topologia.Il gateway è utilizzato quando le architetture delle due
reti che si vogliono interconnettere sono talmentediverse da richiedere di risalire a livelli superiori allivello rete, spesso addirittura fino al livello
applicativo.
Interconnessione mediante bridge
I bridge hanno le seguenti caratteristiche generali:
operano al livello 2 del modello di riferimento
OSI, e più precisamente al sottolivello MAC; per questo sono molto spesso detti MAC-Bridge;
hanno algoritmi di instradamento molto semplici:ogni bridge calcola autonomamente le sue tabelledi instadamento senza interagire con gli altri bridge, con un algoritmo di routing isolato;
si utilizzano normalmente per le interconnessionilocali, anche se sono stati usati nel passato, inmodo un poco problematico, anche per le
interconnessioni geografiche.I bridge possono essere realizzati secondo due filosofie
diverse che differiscono per il luogo dove sonomemorizzate le tabelle di instradamento (o tabelle difiltraggio):è
transparent bridge: sono i bridge conformi allostandard IEEE 802.1d, di derivazione Ethernet.
Hanno le tabelle di instradamento a bordo e sonotrasparenti, nel senso che i sistemi interconnessialle LAN ignorano la loro esistenza;
source routing bridge: sono i bridge diderivazione token-ring. Non hanno tabelle di
instradamento a bordo, che sono invece mantenutedai sistemi connessi alle LAN; in fase ditrasmissione del pacchetto, le stazioni devono
specificare esplicitamente il cammino che il pacchetto dovr` a fare per giungere a destinazione,indicando tutti i bridge da attraversare (che quindi
sono indirizzati esplicitamente).
Vengono qui di seguito descritti brevemente i duediversi modi di realizzazione.
Transparent Bridge
Sono conformi allo standard IEEE 802.1d e servono per l’interconnessione di LAN IEEE 802 comprese leLAN Ethernet.I bridge sono formati da una CPU general purpose, da
due o più interfacce per l’interconnessione con le LANe da un filtering database (una tabella di instradamento)contenuto in una memoria RAM. Ogni riga della
tabella è formata da una coppia “ indirizzodestinazione/interfaccia di uscita”, che ne costituisceuna riga (o entry). Le entry sono di due tipi:
statiche: cioè configurate, tramite operazioni dimanagement dal gestore;
dinamiche: cioè inserite autonomamente dal
bridge ( learning process). Il bridge, infatti, memorizza, per ogni trama ricevuta, la porta di arrivo e il mittente, informazioni che gli
serviranno quando dovrà instradare pacchetti chehanno quella stazione come destinazione. Le entrystatiche hanno priorità su quelle dinamiche: non
verranno quindi mai create entry dinamiche per unindirizzo MAC di cui vi sia già un’entry statica. Leentry dinamiche hanno un tempo di vita limitato: ad
ognuna è associato un timeout entro il quale la entrydeve essere aggiornata o eliminata, questo per impedireche eventuali cambiamenti della rete rendano le tabelle
inconsistenti. E’ preferibile che il bridge non conosca
come raggiungere una destinazione piuttosto cheinstradi le trame secondo informazioni vecchie e
magari non più valide a causa di guasti oriconfigurazioni.Quando una trama arriva su un’interfaccia, la CPU ne
analizza l’intestazione per individuare l’indirizzo MACdi destinazione; è importante osservare che i pacchettinon sono mai indirizzati direttamente ai Trasparent
Bridge, di cui è ignorata l’esistenza (da qui il nome di bridge “trasparenti”), ma sempre alle stazioni di utente.L’indirizzo destinazione è confrontato con tutte le entry
della tabella di instradamento; se è rilevata unacorrispondenza, la CPU inoltra la trama unicamente
sulla porta associata, in caso contrario la trama èinoltrata su tutte le porte attive in forwarding, trannequella di provenienza.Come detto i bridge devono instradare pacchetti sulla
rete e quindi hanno bisogno di costruirsi tabelle diinstradamento. Se la topologia della BLAN è ad albero,la costruzione di tali tabelle può avvenire con unalgoritmo molto semplice, in modo automatico, tramiteun processo di apprendimento (learning process).Poichè è tuttavia preferibile avere topologie magliate
per ragioni di affidabilità, occorre integrare il learning process con un algoritmo detto di spanning tree per riportare dinamicamente una topologia magliata ad una
topologia ad albero, escludendo dall’operativitàopportune porte di opportuni bridge. Tale problemanon esiste nei source routing bridge, in quanto il
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 5/20
5
TECNONET S.p.A.
pacchetto, quando viene generato, contiene la specificacompleta del cammino che dovrà seguire.
Le funzioni fondamentali svolte da un bridgetrasparente sono quindi:
ricezione, filtraggio, processo di apprendimento einoltro dei pacchetti;
mantenimento delle informazioni necessarie per prendere le decisioni di filtraggio;
governo e controllo della correttezza delle precedenti funzioni (management).
Ricezione dei pacchetti (Frame
Reception)
Esiste un database che associa gli indirizzi MAC dellestazioni di utente collegate alla rete, alle “porte”(connessioni) del bridge ad una LAN. L’entità MAC
associata ad ogni porta riceve ed esamina tutti i
pacchetti trasmessi sulla LAN cui è connessa.La prima analisi riguarda il campo FCS per
determinare se il pacchetto è corretto o errato. I pacchetti errati sono scartati.I pacchetti indirizzati effettivamente alle entità di
livello superiore del bridge (che sono normalmente una piccola parte) vengono affidati al livello LLC associatoalla porta di ricezione. Questi pacchetti contengono
come indirizzo MAC o l’indirizzo di una porta del bridge o un indirizzo multicast cui appartiene almenouna porta del bridge.
Gli altri pacchetti sono passati all’entità MAC diinoltro.
Filtraggio dei pacchetti (Filtering
Database)
I pacchetti trasmessi da un sistema S1 verso un sistema
S2 vengono confinati dai bridge nelle LAN cheformano il percorso da S1 a S2. Questo tipo difiltraggio è il più comune e serve a ridurre il traffico
globale in rete.Le funzioni principali che riguardano il mantenimentodelle informazioni di filtraggio sono essenzialmente:
l’apprendimento automatico ( learning process)delle informazioni relative al filtraggio dinamico,attraverso l’osservazione del traffico della BLAN;
definizione dell’et` a massima ( ageing time) delleinformazioni relative al filtraggio che sono stateapprese automaticamente, oltre la quale le
informazioni stesse vengono invalidate;
calcolo e configurazione della topologia logica
della BLAN (tramite l’algoritmo detto ” spanningtree” che sarà presentato successivamente).
Inoltro dei pacchetti (Frame
Forwarding)
Un pacchetto ricevuto su una porta di un bridge viene
affidato al processo di inoltro che deve deciderne un
eventuale accodamento per la trasmissione su altre porte. Condizione necessaria è che sia la porta di
ricezione sia le porte di destinazione si trovino in statodi forwarding. Il processo di inoltro accoda il pacchettosu una singola porta se questo ha un indirizzo di
destinazione MAC di tipo singolo, su tutte le porte se
tale indirizzo è multicast o broadcast.Il processo di inoltro consulta la tabella di
instradamento per determinare su quale portaeventualmente accodare il pacchetto in funzione delsuo indirizzo di destinazione. Tale accodamento
rispetta rigorosamente l’ordine di arrivo dei pacchetti,opera cioè in modalità FIFO (First-In First-Out). Un pacchetto viene rimosso da tale coda quando viene
trasmesso, indipendentemente dall’esitodell’operazione, nel caso in cui venga superato il tempomassimo di transito del pacchetto nel bridge (
maximum bridge transit delay) e quando la porta inconsiderazione abbandona lo stato di forwarding.
Processo di apprendimento (Learning
Process)
Il processo di apprendimento osserva l’indirizzosorgente dei pacchetti ricevuti su ogni porta e aggiornale entry dinamiche della tabella di instradamento,
condizionatamente allo stato delle porte.Il MAC-SAP indica al processo di apprendimento chela stazione con quell’indirizzo è raggiungibile
attraverso la porta che ha ricevuto il pacchetto. Talemetodologia di apprendimento conosciuta come“routing isolato - backward learning” in quanto unindirizzo di sorgente attuale crea o aggiorna una entrydinamica della tabella di instradamento relativamentead una destinazione che potrà essere utilizzata in
fututo. Le condizioni in cui è possibile creare oaggiornare una entry dinamica sono:
la porta da cui è stato ricevuto il pacchetto deveessere in uno stato che permetta l’apprendimentodell’indirizzo MAC (stato di learning o di
forwarding);
non esiste già un’entry statica (una entry fissata
staticamente che non può cambiare durante il
processo) per quell’indirizzo MAC.Se il numero risultante di tutte le entry supera lacapacità massima della tabella di instradamento, unaentry più vecchia viene rimossa per fare spazio alla
nuova entry. Si ricordi che esiste anche il meccanismodel timeout per tenere le tabelle compatte.
Algoritmo di Spanning Tree
L’algoritmo di spanning tree riconfigura una topologia
magliata di una BLAN in una topologia ad albero,eliminando gli anelli, mediante la disabilitazione di
alcune porte dei bridge, nel caso in cui ci siano più percorsi alternativi (si avrebbe altrimenti un fenomenodi duplicazione dei pacchetti). Si osservi infatti cosaaccadrebbe se ci fosse un anello.
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 6/20
6
TECNONET S.p.A.
Si supponga che A, appartenente alla LAN1, trasmettaun pacchetto a B, appartenente alla LAN2. Entrambi i
bridge, B1 e B2, ritrasmettono il pacchetto sulla LAN2:in tal modo B riceverà due copie del pacchetto, una da
B1 e l’altra da B2. Supponiamo che B1 trasmetta il pacchetto che ha come indirizzo sorgente A e comeindirizzo destinazione B prima di B2; il pacchetto saràricevuto sulla LAN1 tramite B2 che, prima di B2, che
che penserà che A si trovi nella LAN1. La destinazioneB riceverà un’altra copia generata da B1; da questomomento in poi A non riceve più pacchetti poichè
entrambi i bridge credono di essere collegati allaLAN2.In caso di guasto sul percorso primario, lo spanning
tree deve inoltre riconfigurare automaticamente latopologia della BLAN, senza la formazione di anelli intransitorio. Per gestire la configurazione della topologia
attiva, l’algoritmo di spanning tree prevedel’assegnazione di una priorità ai bridge e alle porte diciascun bridge. Tutti i bridge devono inoltre avere un
identificatore univoco. A tal fine si definisce un“bridge ID” (identifica la priorità del bridge), un “portID” (identifica la priorità della porta di un bridge). E’
essenziale anche la definizione di un indirizzomulticast che identifichi tutti i bridge del sistema. Ivalori più bassi di tali identificatori indicano priorità
maggiore. La configurazione di una topologia attiva(albero) partendo da una topologia arbitraria (maglia)avviene ponendo alcune porte di alcuni bridge in
blocking state (stato di disabilitazione temporanea). Le
porte che sono in blocking state non partecipano allatopologia attiva, ma sono pronte ad entrare a farne
parte in caso di guasto di qualche componente dellaBLAN.
Passi dell’algoritmo di spanning tree
L’algoritmo opera nei seguenti passi:
elezione del bridge radice (root bridge): poichè sivuole identificare un albero, il primo passoconsiste nell’identificare la radice dell’albero. Per definizione è il bridge con identificativo (bridge
ID) minore (oppure il MAC minore); selezione della porta del bridge radice (root port):
per ogni bridge si identifica la porta più conve-
niente per interconnettere il bridge verso il bridgeradice;
selezione del bridge designato (designated bridge): per ogni LAN si sceglie quale bridge è
designato a interconnettere la LAN con il root bridge. Questo passo è particolarmente importante
quando esistono più cammini tra la LAN e il bridge radice. Ogni LAN ha solo un bridgedesignato che è il bridge più vicino al bridgeradice (ha costo minore) e che si incaricherà ditrasmettere i pacchetti verso il bridge radice. A parità di costo si sceglie il bridge con bridge IDminore. La porta del bridge designato che
interconnette la LAN è detta porta designata(designeted port). Il bridge radice è l’unico bridgeche ha tutte porte designate.
La comunicazione tra i bridge per l’esecuzionedell’algoritmo avviene mediante lo scambio continuodi BPDU contenenti:
identificatore del bridge sorgente (chi ha trasmessola BPDU-Bridge Protocol Data Unit);
identificatore del bridge considerato radice;
identificatore della porta considerata come root
port dalla sorgente (e relativo costo).Inizialmente tutti i bridge trasmettono BPDUdichiarandosi bridge radice. Su ogni LAN dopo breve
tempo solo il bridge con identificativo inferiore crededi essere radice; questo anche sulla LAN su cui ècollegato il vero bridge radice. Quando un bridgecollegato alla LAN su cui è presente il bridge radice
riceve la BPDU con indicazione del bridge radice, è ingrado di determinare la sua porta verso la radice ed il
costo per raggiungere la radice (pari al costo della portacui è collegato al bridge radice). Questi bridgetrasmettono BPDU contenenti informazioni sul bridge
radice e sul loro costo per raggiungerlo. Basandosi suqueste informazioni gli altri bridge calcolano il lorocosto verso il bridge radice (sommando al costo che
ricevono il costo della loro porta) e la loro porta radice.Al termine di questo processo tutti i bridge conosconoil bridge radice, e la loro distanza dal bridge radice. Suciascuna LAN, diventa bridge designato il bridge con
costo minimo verso il bridge radice. A parità di costoviene considerato più “vicino” alla radice il bridge con
identificatore più basso; sullo stesso bridge, a parità dicosto di porte, ha la precedenza la porta conidentificatore più basso. Determinato ciò si procede
alla messa in stato di blocking delle porte che non sononé root port né designated port. Fatto ciò si èdeterminata la topologia attiva e si può procedere alla
trasmissione dei pacchetti.R.Gaeta
Bibliografia
“RETI LOCALI Dal cablaggio all’intenetworking”Scuola Superiore G.REISS ROMOLIS. Gai, P.L. Montessoro, P. Nicoletti
“Interconnections: Bridges and Routes”Addison Wesley
R. Perlman
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 7/20
7
TECNONET S.p.A.
Comandi di configurazione
Spanning Tree su Switch/Router Enterasys (ex Cabletron): SSR2000 –
SSR8000 – SSR8600
Lo Spanning Tree Protocol (IEEE802.1D) è disabilitatodi default su tutte le porte. Per abilitare lo STP su una porta specifica o su un opportuno range di porte si
esegua, dalla modalità di configurazione, il seguente
comando:
stp enable port port-list per esempio stp enable port et.1.5 (abilito STP sulla porta
3 del modulo 1 ethernet) Per esempio stp enable port gi.(10-12).(1-2) (abilito STP
sulle porte Gigabit 1 e 2 dei moduli da 10, 11 e 12)
Si consiglia di abilitare lo spanning tree soltanto sulle
porte che effettivamente fanno parte di anelli fisici.Ricordo che in caso di cambiamenti di topologia tuttele porte abilitate allo spanning tree entrano in stato di
blocking, e ritornano in stato di forwanding all’incircadopo un minuto.Per modificare la root priority si utilizzi il comando:
Stp set bridging priority num Dove num deve essere un numero compreso fra 0 e
65535, di default è uguale a 32768
E’ conveniente far diventare Root Bridge, lo switch piùcentrale. Ricordo che nel caso non si modifichi ilvalore di default, diventerà Root Bridge quello che ha
il valore di MAC più basso.Si sconsiglia di modificare i timer relativi allo spanningtree o comunque di modificarli dopo attenta
valutazione.
Per modificare il tempo di trasmissione che intercorretra una BPDU e un’altra si utilizzi il comando:
Stp set bridging hello-time num
Dove num è un numero compreso tra 1 e 10 (secondi). Di
default è uguale a 2.
Per modificare il Maximum Age (tempo che intercorre
dallo stato di blocking allo stato di listening. Default =20 sec) si usi il comando:
Stp set bridging max-age num Dove num è compreso tra 6 e 40 (secondi)
Per modificare il Forward Delay (tempo che intercorredallo stato di listening allo stato di learning e dallo
stato di learning allo stato di forwarding. Default = 15sec) si usi il comando:
Stp set bridging forward-delay num Dove num è compreso tra 4 e 30
Per modificare la priority delle porte si usi:
Stp set port port-list priority num Dove num è compreso tra 0 e 255 (default = 128)
Il costo associato alle porte è di default come in tabella:
Velocità porta Costo
1000 Mb/s 1
100 Mb/s 10
10 Mb/s 100
Nel caso si voglia modificare questi valori si usi ilcomando:
Stp set port port-list port-cost num Dove num è compreso tra 1 e 65535
Spanning Tree su Switch Cisco basati
su comandi di tipo SET
Tutti gli switch Cisco hanno lo Spanning Tree abilitato
di default su tutte le porte. (Personalmente consiglio didisabilitarlo su tutte le porte dove non sia strettamentenecessario!). I comandi per abilitare e disabilitare lo
spanning tree sono:
Set spantree enable mnum/pnum
Dove mnum = numero modulo e pnum = numero porta
Set spantree disable mnum/pnum
Per modificare la root priority si utilizzi il comando:
Set spantree priority num Dove num è compreso tra 0 e 65535
Oppure si possono utilizzare i comandi:
Set spantree root Il valore della root priority diviene 8192 (default 32768)
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 8/20
8
TECNONET S.p.A.
Set spantree secondary Il valore della root priority diviene 16384
Per modificare il tempo di trasmissione che intercorretra una BPDU e un’altra si utilizzi il comando:
Set spantree hello num Default 2 sec
Per modificare il Maximum Age (tempo che intercorre
dallo stato di blocking allo stato di listening. Default =20 sec) si usi il comando:
Set spantree maxage num Dove num è compreso tra 6 e 40
Per modificare il Forward Delay (tempo che intercorre
dallo stato di listening allo stato di learning e dallo
stato di learning allo stato di forwarding. Default = 15sec) si usi il comando:
Set spantree fwdelay num Dove num è compreso tra 4 e 30
Il comando seguente permette al root bridge di settarein modo automatico i timers dello spanning treedefinendo il numero massimo di bridge che collegano
due end-points:
Set spantree root dia num Dove num è compreso tra 2 e 7
Per modificare la priority delle porte si usi:
Set spantree portpri mnum/pnum num Dove num è compreso tra 0 e 63
Per modificare il costo associato alle porte si usi:
Set spantree portcost mnum/pnum num Dove num è compreso tra 1 e 65535
Dato che tutte le porte di default hanno lo spanning treeabilitato, un qualsiasi cambiamento topologico sugli
anelli fisici presenti comporta che tutte le porte degli
switch entrano in blocking. Per evitare questo gliswitch Cisco possono utilizzare sulle porte dove sono
collegati Pc o Server il seguente comando:
Set spantree portfast mnum/pnum enable
(La domanda è per quale motivo Cisco non suggerisce
semplicemente di disabilitare lo spanning tree su queste porte?…. domanda in effetti posta da me all’istruttoredel corso Cisco BCSMN …. La risposta incredibile èche non ci aveva mai pensato!!!!….. se qualcuno hauna vaga idea del perché si debba preferire il portfast
alla semplice disabilitazione dello STP sulla porta, sifaccia avanti.)
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 9/20
9
TECNONET S.p.A.
Il livello transport di Internet
Il livello transport di Internet è basato su due
protocolli:
TCP (Transmission Control Protocol ) RFC 793,1122 e 1323;
UDP (User Data Protocol ) RFC 768.
Il secondo è di fatto IP con l’aggiunta di un breveheader, e fornisce un servizio di trasporto datagram
(quindi non affidabile). Lo vedremo brevemente nelseguito.
Il protocollo TCP è stato progettato per fornire un
flusso di byte affidabile, da sorgente a destinazione, suuna rete non affidabile.
Dunque, offre un servizio reliable e connectionoriented, e si occupa di:
accettare dati dal livello application;
spezzarli in segment , il nome usato per i TPDU(dimensione massima 64 Kbyte, tipicamente circa1.500 byte);
consegnarli al livello network, eventualmente
ritrasmettendoli;
ricevere segmenti dal livello network;
rimetterli in ordine, eliminando buchi e doppioni;
consegnare i dati, in ordine, al livello application.E’ un servizio full-duplex con gestione di ack e
controllo del flusso.
Indirizzamento
I servizi di TCP si ottengono creando connessione di
livello transport identificata da una coppia di puntid’accesso detti socket . Ogni socket ha un socket
number che consiste della coppia:
IP address: Port number
Il socket number costituisce il TSAP.
I port number hanno 16 bit. Quelli minori di 256 sono icosidetti well-known port , riservati per i servizi
standard. Ad esempio:
Port number Servizio
7 Echo
20 Ftp (control)
21 Ftp (data)
23 Telnet
25 Smtp
80 Http
110 Pop versione 3
Poiché le connessioni TCP, che sono full duplex e point to point, sono identificate dalla coppia di socketnumber alle due estremità, è possibile che su un
singolo host più connessioni siano attestate localmentesullo stesso socket number.
Le connessioni TCP trasportano un flusso di byte, nondi messaggi: i confini fra messaggi non sono né definitiné preservati. Ad esempio, se il processo mittente (di
livello application) invia 4 blocchi di 512 byte, quellodestinatario può ricevere:
8 “pezzi” da 256 byte;
1 “pezzo” da 2.048 byte;
ecc.
Ci pensano le entità TCP a suddividere il flusso inarrivo dal livello application in segmenti, a trasmetterli
e a ricombinarli in un flusso che viene consegnato allivello application di destinazione.
C’è comunque la possibilità, per il livello application,di forzare l’invio immediato di dati; ciò causa l’invio diun flag urgent che, quando arriva dall’altra parte, fa sì
che l’applicazione venga interrotta e si dedichi aesaminare i dati urgenti (questo succede quando, adesempio, l’utente durante una sessione di emulazione
di terminale digita il comando ABORT (CTRL-C)della computazione corrente).
Il protocollo TCP
Le caratteristiche più importanti sono le seguenti:
ogni byte del flusso TCP è numerato con unnumero d’ordine a 32 bit, usato sia per il controllodi flusso che per la gestione degli ack;
un segmento TCP non può superare i 65.535 byte;
un segmento TCP è formato da:
uno header, a sua volta costituito da:
una parte fissa di 20 byte;
una parte opzionale; i dati da trasportare;
TCP usa un meccanismo di sliding window di tipogo-back-n con timeout. Se questo scade, il
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 10/20
10
TECNONET S.p.A.
segmento si ritrasmette. Si noti che le dimensionidella finestra scorrevole e i valori degli ack sono
espressi in numero di byte, non in numero disegmenti.
I campi dell’header hanno le seguenti funzioni:
Source port,
destination port
identificano gli end point
(locali ai due host) dellaconnessione. Essi, assieme aicorrispondenti numeri IP,formano i due TSAP.
Sequence number il numero d’ordine del primo
byte contenuto nel campodati.
Ack. Number il numero d’ordine del prossimo byte aspettato.
TCP header length quante parole di 32 bit ci sononell’header (necessario perchéil campo options è di
dimensione variabile).
URG 1 se urgent pointer è usato, 0altrimenti.
ACK 1 se l’ack number è valido(cioè se si convoglia un ack),0 altrimenti.
PSH dati urgenti ( pushed data), da
consegnare senza aspettare
che il buffer si riempia. RST richiesta di reset della
connessione (ci sono problemi!).
SYN usato nella fase di setup dellaconnessione:
SYN=1 ACK=0 richiestaconnessione;
SYN=1 ACK=1 accettata
connessione.
FIN usato per rilasciare una
connessione.
Window size il controllo di flusso è di tiposliding window di dimensionevariabile. Window size dicequanti byte possono essere
spediti a partire da quello
(compreso) che vieneconfermato con l’ack number.Un valore zero significa:
fermati per un po’, riprenderaiquando ti arriverà un uguale
ack number con un valore diwindow size diverso da zero.
Checksum simile a quello di IP; il calcolo
include uno pseudoheader.
Urgent pointer puntatore ai dati urgenti.
Options fra le più importanti,
negoziabili al setup:
dimensione massima deisegmenti da spedire;
uso di selective repeatinvece che go-back-n;
uso di NAK.
Attivazione della connessione
Si usa il three-way handshake:
una delle due parti (diciamo il server) esegue due
primitive, listen() e poi accept() rimanendo
così in attesa di una richiesta di connessione su undeterminato port number e, quando essa arriva,
accettandola;
l’altra parte (diciamo un client) esegue la primitiva
connect(), specificando host, port number e altri
parametri quali la dimensione massima deisegmenti, per stabilire la connessione; tale primitiva
causa l’invio di un segmento TCP col bit syn a uno
e il bit ack a zero;
quando tale segmento arriva a destinazione, l’entitydi livello transport controlla se c’è un processo in
ascolto sul port number in questione:
se non c’è nessuno in ascolto, invia un
segmento di risposta col bit rst a uno, per
rifiutare la connessione;
altrimenti, consegna il segmento arrivato al
processo in ascolto; se esso accetta laconnessione, l’entity invia un segmento di
conferma, con entrambi i bit syn ed ack
ad uno, secondo lo schema sotto riportato.
Client Server
syn(seq=x)
syn(seq=y, ack=x+1)
syn(seq=x+1, ack=y+1)
Destination port
Sequence number
Options (zero o più parole di 32 bit)
32 bit
Source port
Ack. number
TCPheader len.
UR G
ACK
PSH
R ST
SY
N
FI
N
Window size
Urgent pointer Checksum
Dati (opzionali)
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 11/20
11
TECNONET S.p.A.
I valori di x e y sono ricavati dagli host sulla base deiloro clock di sistema; il valore si incrementa di una
unità ogni 4 microsecondi.
Il rilascio della connessione
Il rilascio della connessione avviene considerando la
connessione full-duplex come una coppia diconnessioni simplex indipendenti, e si svolge nel
seguente modo:
quando una delle due parti non ha più nulla da
trasmettere, invia un fin;
quando esso viene confermato, la connessione inuscita viene rilasciata;
quando anche l’altra parte completa lo stesso procedimento e rilascia la connessione nell’altra
direzione, la connessione full-duplex termina.
Politica di trasmissione
L’idea di fondo è la seguente: la dimensione delle
finestre scorrevoli non è strettamente legata agli ack (come invece di solito avviene), ma viene
continuamente adattata mediante un dialogo fradestinazione e sorgente.
In particolare, quando la destinazione invia un ack diconferma, dice anche quanti ulteriori byte possonoessere spediti.
Nell’esempio che segue, le peer entity si sono preventivamente accordate su un buffer di 4K a
destinazione.
Mittente Destinatario
vuoto0 4K
Buffer
2K seq=0
Dati
ack=2048, win=2048
2K seq=2048
ack=4096 win=0
ack=4096 win=2048
1K seq=4096
2K
4K Letturadi 2K
2K
2K 1K
Anche se riceve win=0, il mittente può comunqueinviare:
dati urgenti; richieste di reinvio dell’ultimo ack spedito (per
evitare il deadlock se esso si è perso).
Controllo delle congestioni
Il protocollo TCP assume che, se gli ack non tornano
in tempo, ciò sia dovuto a congestione della subnet
piuttosto che a errori di trasmissione (dato che lemoderne linee di trasmissione sono molto affidabili).
Dunque, TCP è preparato ad affrontare due tipi di problemi:
scarsità di buffer a destinazione;
congestione della subnet.
Ciascuno dei problemi viene gestito da una specificafinestra mantenuta dal mittente:
la finestra del buffer del ricevitore (quella di cuiall’esempio precedente);
la congestion window , che rappresenta quanto si
può spedire senza causare congestione.
Il mittente si regola sulla più piccola delle due.
La congestion window viene gestita in questo modo:
il valore iniziale è pari alla dimensione del massimo
segmento usato nella connessione;
ogni volta che un ack torna indietro in tempo la
finestra si raddoppia, fino a un valore threshold ,inizialmente pari a 64 Kbyte, dopodiché aumentalinearmente di 1 segmento alla volta;
quando si verifica un timeout per un segmento:
il valore di threshold viene impostato allametà della dimensione della congestion
window;
la dimensione della congestion windowviene impostata alla dimensione delmassimo segmento usato nella
connessione.
Vediamo ora un esempio, con segmenti di dimensione1 Kbyte, threshold a 32 Kbyte e congestion window
arrivata a 40 Kbyte:
1K
4K
8K
16K
32K
40K
2K
Congestion window è 40K, si verifica un timeout
Thresholdviene ridotta
(da 32K a 20K)
Congestion window torna ad 1K Congestion window è 1K
20K
R. GaetaBibliografia: “TCP/IP” McGraw-Hill Sidnie Feit
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 12/20
12
TECNONET S.p.A.
Generalità sui comandi per i router Cisco Scopo di questo documento è il fornire una guida rapida per la configurazione dei router Cisco.
GENERALITA’ I router Cisco si possono distinguere nei seguenti componenti principali:
Schede di interfaccia: sono normalmente delle schede di espansione che si inseriscono in appositi
alloggiamenti e che ospitano vari tipi di interfacce fisiche (Ethernet, ...), la logica per il loro funzionamento,etc.; normalmente il router viene venduto spoglio (senza interfacce di rete) ed è l'utente che decide, in base ai propri bisogni, qual è l'insieme di schede più appropriate per le proprie esigenze.
interfacce di rete: comprendono i connettori destinati ad attacchi di rete; tra le principali si possono citare:
AUI: interfaccia Ethernet di tipo AUI
10BaseT: interfaccia Ethernet di tipo 10BasetT
SERIAL: interfacce seriali sincrone (da collegare, con apposito cavo proprietario, a modem sincronicon interfaccia V.35)
BRI: interfaccia verso l'NT di un ISDN basic rate
ATM: interfaccia ATM, in fibra oppure in rame
interfacce di gestione: comprendono i connettori necessari alla configurazione del router, e principalmente:
CONSOLE: interfaccia seriale (asincrona), usata per il collegamento di un terminale seriale per laconfigurazione del router
AUX: porta seriale asincrona RS232 usata per il collegamento di altre periferiche (modem, cavo
seriale null modem), spesso per la configurazione remota
supporti di memorizzazione
memoria ROM: memoria nella quale è memorizzato il software di base del router (fondamentalmentequello necessario all'accensione)
memoria FLASH: memoria di tipo "permanente", nella quale è memorizzato il sistema operativo
(IOS) e la configurazione "salvata"
memoria RAM: memoria di tipo "temporaneo" (si cancella allo spegnimento del router) nella quale è
memorizzata la configurazione "corrente" del router e le varie variabili temporanee necessarie alrouter per il suo funzionamento (es. tabelle di routing, ...)
CPU: componente che sovrintende al funzionamento di tutta la macchina, la cui potenza varia a seconda dellaclasse della macchina (e che possono essere anche più di una a seconda della classe del router). Il compito
della CPU si può riassumere in:
svolgimento del processo di forwarding (lettura dei pacchetti in input dalle varie interfacce,
determinazione dell'interfaccia di uscita, invio del pacchetto su tale interfaccia)
calcolo delle tabelle in instradamento, aggiornamento dei dati di routing
supervisione del router (gestione dei comandi dell'operatore, ...)La potenza di un router (intesa in numero di pacchetti al secondo inoltrati) è variabile a seconda di alcune sceltearchitetturali del router:
i router di fascia bassa hanno schede (interfacce) "stupide", e tutto il lavoro è fatto dall'unica CPU centrale, lacui potenza può essere variabile a seconda delle prestazioni richieste
i router di fascia media hanno schede intelligenti con CPU dedicate a bordo, le quali svolgono autonomamente buona parte del processo di forwarding; la CPU centrale si occupa del calcolo delle tabelle di instradamento e
della gestione della macchina
i router di fascia alta (layer 3 switch) hanno schede intelligenti con processo di forwarding in hardware, con
prestazioni altissime; la CPU centrale si occupa del calcolo delle tabelle di instradamento e della gestione dellamacchina
Il grosso punto di vantaggio dei router Cisco sta nel sistema di gestione, tradizionalmente molto potente (anche se ostico
ad un primo impatto); questo sistema operativo (IOS) risiede nella memoria Flash. Dall'interfaccia di gestione è possibile dare comandi appositi per la configurazione della macchina.
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 13/20
13
TECNONET S.p.A.
Configurazione: FLASH e memoria, terminale e reteQuando si configura il router (gli si cambiano i parametri, ...) questi comandi vengono salvati nella memoria RAM delrouter. Il router rende questi comandi immediatamente operativi, ma il loro effetto si esaurisce allo spegnimento delrouter. Per rendere questa configurazione effettiva anche ad un successivo reboot è necessario salvare la configurazione
in Flash, da dove verrà letta all'accensione del router. Ne consegue che: non è detto che la configurazione RAM e FLASH siano allineate; in mancanza della configurazione RAM (ad
esempio allo startup del router) viene letta quella della FLASH, altrimenti è la prima ad avere la precedenza
la configurazione RAM viene trasferita in FLASH solo in corrispondenza di uno specifico comandodell'operatore
è possibile procedere ad una opportuna politica di backup, copiando la configurazione RAM in FLASHsolamente quando si è sicuri dalla correttezza della stessa (ad esempio si è verificato il corretto comportamentodel router in queste condizioni per un certo tempo).
La configurazione corrente del router può essere anche salvata (o letta) via rete, attraverso il protocollo TFTP. E' possibile quindi indicare al router di scrivere il file di configurazione in rete (anziché in FLASH) su uno specifico TFTPserver, ottenendo il file testuale della configurazione. Analogamente è possibile indicare al router di leggere un file di
configurazione via rete anziché procedere alla configurazione manuale del tutto.I router Cisco fanno largo uso di server TFTP; anche il caricamento di una nuova versione del sistema operativo fa uso
di questi tipi di servers.
Menù e comandi
L'IOS ha interfaccia completamente testuale. I suoi menù seguono un'organizzazione gerarchica su N livelli annidati:
modalità utente: è possibile visualizzare alcuni dati di funzionamento del router
modalità privilegiata: è possibile visualizzare tutti i dati di funzionamento del router e viene abilitatala possibilità di cambiarne la configurazione
modalità configurazione: è possibile variare i parametri di funzionamento del router e procedere alla sua configurazione
sub-menù di configurazione di una funzione specifica (ad esempio laconfigurazione di una interfaccia)
E' possibile passare da un livello all'altro con specifiche parole chiave; per uscire dallo specifico sottomenù si usa la
parola chiave exit. La parola chiave end permette invece il ritorno diretto da qualunque sottomenù di configurazionealla modalità privilegiata.
In ogni momento l'IOS rende disponibile un help contestuale, richiamabile digitando il carattere "?". Vengono quindi
elencati tutti i comandi disponibili in quella particolare modalità; per un help più specifico è possibile digitare
"comando ?" in riferimento al comando desiderato.
Ogni comando è disponibile in forma negata e affermata: è possibile abilitare una determinata funzione digitando
"stringa_di_comando" e disabilitare la funzione stessa digitando "no stringa_di_comando".
Ogni comando è disponibile in forma abbreviata (corrispondente ad accorciare le parole dei vari comandi) purché quella
parola non sia ambigua. Il comando corrente è automaticamente è completato con la pressione del tast Tab.
Passi principali per la configurazione
I principali passi necessari alla configurazione completa dei router Cisco può essere così schematizzata:
configurazione di base: parametri di sistema, password configurazione delle interfacce: configurazione a basso livello, imbustamento, velocità, indirizzi
configurazione del routing: route di default, attivazione dell’instradamento (forwarding), parametri propri diciascun processo di routing (OSPF, …)
configurazione avanzata: access lists, etc
Accesso e configurazione di baseL'accesso al router può avvenire via rete (telnet) oppure collegando un terminale (o un PC) alla console (fisicamente è
una porta seriale classica) del router. Nel primo caso è possibile la gestione da remoto; nel secondo caso è necessarioessere in locale (oppure collegato al router tramite modem).
Accesso via telnet Accesso via console
telnet indirizzo_ip
Sono ammessi gli indirizzi IP di tutte le interfacce attive non
unnumbered del router
Dopo aver collegato un terminale VT100 (oppure un PC mediante un
cavo seriale) è possibile inserire direttamente i comandi del sistema
operativo.
Parametri per l'emulazione terminale:
9600 bps
8 bit
No parity
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 14/20
14
TECNONET S.p.A.
Stop Bit 1
Flow Control Hardware
Richiede normalmente due password di accesso:
quella per l'accesso al router
quella per l'accesso alla modalità privilegiata
Richiede una sola password di accesso, quella per l'accesso alla
modalità privilegiata.
L'accesso in locale è obbligatorio nella fase di configurazione iniziale
del router; successivamente è possibile utilizzare anche l'accesso telnet
(se il router è raggiungibile).
Procedura per l'accesso (via telnet):telnet indirizzo_ip
viene richiesta la password di accesso
si entra in modalità utente
Per entrare in modalità privilegiata:enable
viene richiesta la password di amministrazione
Per entrare in modalità di configurazione:configure terminal (abbreviato: conf t)
(oppure configure network
per la configurazione via rete)
il prompt cambia e ci si trova in modalità di configurazione
Procedura per l'accesso (via terminale): uguale a quella via telnet,tranne per il fatto che di default ci si ritrova direttamente in modalità
utente (si risparmia una password).
Comandi principali a router spoglio
enable Entra in modalità amministrazione (richiede una password).
Erase startup_config Cancella la configurazione della FLASH.
Configure terminal Entra in configurazione; la configurazione è fatta da terminale (non da rete).
Hostname Cisco1 Assegnazione del nome al router.
Enable password ena_pwd Abilitazione (e configurazione) della password del router locale (quella richiesta alla
digitazione del comando enable).
Line vty 0 4 Configurazione dei terminali virtuali: il primo numero dopo il VTY indica il numero del
primo terminale virtuale; il secondo indica il numero dell’ultimo terminale virtuale (in
questo .caso è stata configurata la possibilità di 5 accessi contemporanei al router)
login Imposizione del login nell’accesso via telnet (ma non impone una password).
password telnet_pwd Abilitazione (e configurazione) della password di accesso al router via telnet.exit Esce dalla modalità di configurazione dei terminali virtuali.
Exit Esce dalla modalità di configurazione.
Altri comandi fondamentali (attivabili solo in modalità enable )
write [memory] Salva nella FLASH la configurazione attiva.
Write network Salva su un server TFTP la configurazione attiva.
Reload Effettua il reboot del router.
Write terminal
show running-config
Comandi equivalenti; visualizzano su monitor l'attuale configurazione del router (quella in
RAM).
show configuration Visualizza su monitor la configurazione salvata su FLASH.
NOTA: quando viene visualizzata una configurazione, vengono riportate solo le opzioni che
non sono al valore standard.
Configurazione e controllo delle interfacceL'IOS assegna ad ogni interfaccia fisica di rete un identificativo univoco all'interno del sistema. Questo identificativo èformato dal loro nome "tecnologico" più un identificativo numerico (quindi si troveranno Ethernet0, Ethernet1, Serial 0,Serial1) in ordine crescente.
Da questo punto in poi si seguiranno le seguenti regole:
i comandi, eccetto quando chiaramente specificato, saranno comandi disponibili solamente da in modalità
configurazione (o da un suo sottomenu)
a questa regola fanno eccezione i comandi inizianti per "show", i quali sono disponibili esclusivamente in
modalità "enable".
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 15/20
15
TECNONET S.p.A.
Comandi fondamentali
ip subnet-zero Abilita l’uso della subnet zero sulle interfacce e sulle routing updates. In mancanza
di questo comando non è possibile configurare una rete come 130.192.1.0 netmask
255.255.255.252, ma solo 130.192.1.4.
ip address indirizzo maschera [secondary] Assegna all’interfaccia l’indirizzo indirizzo. Questo comando permette
l'entrata nel sottomenu di configurazione delle interfacce. L’opzione secondary
indica che l’indirizzo è secondario.Description descrizione_interfaccia Assegna una stringa letterale per la descrizione dell’interfaccia.
Shutdown Disabilita il funzionamento di quell'interfaccia (può essere utilizzato ad esempio
dalle interfacce ISDN per forzare la terminazione della chiamata corrente); per
riattivare l'interfaccia è necessario digitare no shutdown.
mtu valore Definisce una MTU diversa rispetto a quella standard.
ip proxy arp Abilita il proxy arp su quell’interfaccia.
Show interface [nome] Visualizza gli attuali dati relativi alle interfacce del router; se viene specificato
nome, vengono visualizzati solamente i dati relativi a quell'interfaccia.
Encapsulation ppp | hdlc
(solo link seriali e ISDN)
Definisce il tipo di protocollo sul link fisico. HDLC è una versione proprietaria
CISCO (permette il multiprotocol), per cui è necessario usare il PPP quando è
necessaria l’interoperabilità con altri costruttori. HDLC non prevede
autenticazione.
Clockrate valore
(solo su link seriali)
Definisce la velocità del link seriale (non usato per ISDN). Il clock rate va abilitato
solo nel caso di connessione di router con cavo DCE/DTE, e solo sul router che
dispone del lato DCE. In un normale collegamento il clock viene fornito dal
modem e non dall’interfaccia.
ppp authentication {chap | pap} Abilita l’uso dell’autenticazione su quel particolare link PPP. Per autenticarsi
dall'altra estremità del link, il router usa come nome utente il proprio nome.
Entrambi i protocolli di autenticazione possono essere contemporaneamente attivi,
e vengono tentati nell’ordine in cui compaiono.
Username name password secret passwd Associa password a nomi, ed è un comando di configurazione globale (non di
interfaccia). Il router usa come password quella associata al proprio nome;
secret è un numero che specifica il tipo di cifratura per la password.
Esempi di configurazione interface Ethernet1
ip address 128.99.3.8 255.255.255.0ip addr 128.99.4.9 255.255.255.0 sec
no shutdown
exit
interface Bri0
ip address 128.99.9.2 255.255.255.0no shutdown
exit
interface Serial0
ip address 128.99.10.3 255.255.255.0clockrate 2000000
encapsulation ppp
no shutdown
end
Configurazione ISDN I passi fondamentali per la configurazione di ISDN sono:
configurazione del tipo di ISDN
configurazione delle interfacce
configurazione dei gruppi
configurazione delle eventuali access-list
Comandi principali
isdn switch-type basic-net3 Imposta il tipo di switch con cui operare (euro-isdn).
Nelle ultime versioni di IOS questo comando è diventato comando di
interfaccia (prima era globale), per cui diventa possibile avere interfacce ISDN
attaccate a diversi tipi di centralini (con segnalazione diversa).
Show isdn status Visualizza lo stato delle connessione; la voce “layer 3” indica se la chiamata è
in piedi oppure no.Dialer string num Utilizza sempre il numero num per aprire una chiamata.
Questo comando (oppure in alternativa quello successivo) è sempre
obbligatorio.
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 16/20
16
TECNONET S.p.A.
dialer map prot indir [name name] num Permette di definire più numeri a cui instradare la chiamata a seconda del
pacchetto che si presenta all’interfaccia, con il significato "per instradare un
pacchetto del protocollo prot verso il next-hop indir apri una connessione
con il numero ISDN num". Il pacchetto deve essere di interesse per
l’interfaccia; inoltre la corrispondenza tra indir e num è utilizzata anche in
fase di accettazione delle chiamate (“Se devo raggiungere l'indirizzo indir
devo comporre il numero num” ma anche: “Riconosco come pacchetti validi
provenienti da indir solo quelli che provengono da una connessione colnumero num”).
dialer-group num Indica il tipo di filtro da applicare ai pacchetti che attraversano l’interfaccia
(specifica il gruppo di accesso cui appartiene l’interfaccia); è un comando
obbligatorio.
dialer idle-timeout sec Tempo dopo il quale, se non viene rilevato traffico su quell'interfaccia, il
collegamento viene disattivato. Se non specificato viene adottato quello
standard (120 sec).
isdn answer1 num Indica che può accettare chiamate provenienti dal numero ISDN num; è usato
per il controllo accessi.
dialer-list num protocol proto [permit |deny]
Definisce la dialer-list numero num, abilitando (permit) o negando (deny)
la chiamata per tutti i pacchetti del protocollo proto. E' un comando di
configurazione globale.
dialer-list num protocol proto listnum_list
Abbina la dialer-list numero num (che vale solamente per un certo protocollo
proto) all’access-list num_list.
access-list num {permit | deny} proto
source [source-mask]
Crea la lista di accesso numero num:
permit: identifica pacchetti che causeranno l’instaurazione di una
connessione
deny: identifica pacchetti che non causeranno l’instaurazione di
una connessione
source-mask: i bit a 1 indicano le posizioni che si vogliono
ignorare (l'opposto della netmask IP)
Esempio: permettere l’ingresso e l’uscita a tutti i pacchetti IP:access-list 101 permit ip any any
access-list num {permit | deny} proto
source source-mask dest dest-mask
Analoga alla versione precedente, ma con sintassi estesa; controlla i pacchetti
in base agli indirizzi sorgente e destinazione degli stessi.
Esempio: disabilitare l’inoltro dei pacchetti IGRP provenienti da qualunque
sorgente e diretti verso qualunque destinazione:access-list 101 deny igrp 0.0.0.0
255.255.255.255 0.0.0.0 255.255.255.255
show dialer Visualizza le informazioni sui dialers attivati; il campo "last called" indica il
tempo trascorso da quando l'interfaccia indicata ha effettuato una chiamata
ISDN.
show dialer interface Visualizza le informazioni sui dialer profiles attivati.
show dialer map Visualizza i dialer map correnti, l’indirizzo del next hop a cui instradare la
chiamata, username utilizzati, le interfacce sulle quali sono configurati.
clear dialer Azzera i valori delle statistiche.
Configurazione dei gruppi e delle Access ListsOgni interfaccia dial-up deve appartenere ad almeno un gruppo logico (dialer-group) che identifica una serie di
interfacce con determinate caratteristiche (ad esempio quelle di sicurezza) comuni. Un gruppo di esempio può essere“chiamate dial-up verso la sede centrale”. Se l'interfaccia appartiene a più gruppi (dialer_list), sarà possibile specificarein ognuno di essi diverse politiche di accesso per un ben determinato protocollo (IP, IPX, …).
Dopo aver specificato l'appartenenza di ogni interfaccia ad almeno un gruppo, è necessario definire le caratteristiche diogni gruppo, ossia definire in base a che pacchetti l’interfaccia è abilitata a fare la chiamata verso la sede remota. Nell'esempio seguente la chiamata viene instradata se ci sono dei pacchetti IP da instradare:
Interface BRI0
dialer-group 1
exit
dialer-list 1 protocol ip permit
La dialer-list non permette tuttavia di definire politiche sofisticate in quanto permette di scegliere solo il protocollo manon altri dettagli (ad es. abilitare alla chiamata solo i pacchetti che arrivano da una certa sottorete). Per politiche più
complesse la dialer-list viene associata ad una access-list, permettendo di abbinare quel particolare gruppo ad una serie
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 17/20
17
TECNONET S.p.A.
di politiche estese definite da queste ultime strutture. Per una data dialer-list e un dato protocollo è possibile una solaaccess-list, la quale può essere composta da più righe rendendo possibili diverse politiche contemporaneamente.
L'access-list specificherà in dettaglio le politiche che daranno luogo all’instaurazione della chiamata.
Esempio completo di configurazioneconf t Entra in modalità configurazione.Isdn switch-type basic-net3 Definisce il tipo di ISDN utilizzato.
Interface BRI0 Entra in configurazione interfaccia.
Ip address 130.192.27.33 255.255.255.240 Definisce l'indirizzo IP.
Encapsulation ppp Definisce il livello 2.
Dialer map ip 130.192.27.34 5178046 Abbina il numero telefonico da chiamare con l'indirizzo IP remoto.
Dialer-group 1 Assegna l'interfaccia al gruppo numero 1.
Exit Esce dalla configurazione dell'interfaccia.
ip route 130.192.27.0 255.255.255.0
130.192.27.34
Configura le route statiche necessarie per raggiungere il resto della rete
attraverso ISDN.
Dialer-list 1 protocol ip list 101 Dialer-list: definisce come “interessanti” tutti i pacchetti IP, quindi associa il
dialer-group 1 alla access-list 101 per un miglior raffinamento della politica
di accesso.
Access-list 101 permit ip any any Filtro (numero 101) da applicare ai pacchetti. In questo caso, una access-listcosì semplice è superflua in quanto sarebbe bastato il semplice comando
dialer-list. Una access list “migliore” potrebbe essere:access-list 101 permit ip 126.0.0.0
0.255.255.255128.16.64.0 0.0.0.255
access-list 101 deny igrp 0.0.0.0
255.255.255.255
0.0.0.0 255.255.255.255
dove si accettano in ingresso i pacchetti della rete 126.x diretti verso la
128.16.64.x, purché questi pacchetti non siano IGRP.
End Termina la configurazione corrente.
Comandi comuni ai vari protocolli di routing
router proto [ID] Abilita il protocollo di routing specificato; entra in modalità di configurazione di tale
protocollo; ha modalità leggermente diverse per ogni protocollo.
Network indirizzo_di_rete Specifica le reti (direttamente connesse al router) che sono nel dominio di routing in
esame (e che verranno annunciate dal protocollo); il router automaticamente capisce quali
sono le sue interfacce interessate dal dominio, ed abilita l'invio e le ricezione di messaggi
di updates attraverso quelle interfacce. La sintassi del comando è leggermente diversa in
OSPF e in BGP.
Passive-interface interfaccia Inibisce l’invio di messaggi di update sull’interfaccia (che, ad esempio, è al bordo del
dominio di routing). Può essere una ragione amministrativa (evitare di propagare
messaggi in una specifica direzione) oppure economica (impedire la generazione di
messaggi di routing su linee commutate quali ISDN).
Default-metric metrics Comando abbinato al redistribute , indicando che tutte le route apprese dall’esterno
sono da ridistribuire con metrica metrics; ha modalità leggermente diverse per ogni
protocollo.
Comandi specifici per ogni protocollo
Router rip Abilita il protocollo di routing RIP.RIP Version 1 | 2 Abilita l’invio di messaggi secondo la versione 1 o 2 (default 1);
nella ricezione capisce ambedue le versioni.
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 18/20
18
TECNONET S.p.A.
Neighbor indirizzo Indica al router di inviare i messaggi RIP non solo in broadcast, ma
anche all’indirizzo indirizzo specificato; è usato su reti senza
capacità broadcast oppure per prevenire l'invio dei messaggi di
aggiornamento a specifici routers (ad esempio su LAN in
congiunzione al comando passive-interface , per abilitare
solo specifici neighbors, per ragioni di policy).
Esempio:interface Ethernet 0
ip address 128.99.1.8 255.255.255.0
exitrouter rip
passive interface Ethernet0
network 128.99.1.0
neighbor 128.99.1.11end
Default-metric metric Comando abbinato al redistribute, indicando che tutte le
route apprese dall’esterno sono da redistribuire con metrica
metric (in questo caso un numero).
Esempio di configurazione:
aggrega più reti (le 129.99.x.x) in un'unica entry
evita l'invio degli annunci sull'interfaccia ISDN,
ponendola passiva
interface Ethernet 0ip address 128.99.1.8 255.255.255.0
exit
interface Ethernet 1
ip address 128.99.3.8 255.255.255.0
exitinterface Bri 0
ip address 128.99.9.15 255.255.255.0
exitinterface Serial 0
ip address 192.31.7.22 255.255.255.0
exit
router ripversion 2
network 128.99.0.0
network 192.31.7.0
passive-interface Bri0end
router igrp process_id
router eigrp process_id
Attiva il processo di routing.
process_id: identifica il particolare processo di
routing in esecuzione, che deve essere uguale in tutti i
router del dominio IGRP/EIGRP in quantol’informazione viene inclusa negli annunci. Se si è in un
AS registrato è buona norma porre questo identificativo
pari al numero dell’AS; nel caso si voglia impiegare
contemporaneamente IGRP e EIGRP (per esempio per
necessità di transizione), IGRP e EIGRP possono
scambiarsi informazioni solo se process_id = AS.
default-metric k1 k2 k3 k4 k5 Comando abbinato al redistribute, indicando che tutte le route
apprese dall’esterno sono da redistribuire con metrica indicata.
Esempio: default-metric 10000 100 255 11500
Significato dei termini: banda, ritardo, affidabilità,
carico, MTU
metric weights tos k1 k2 k3 k4 k5 Cambia il valore dei parametri utilizzati per il calcolo del costo per
uno specifico codice Tipe Of Service (anche se è fortemente
sconsigliato cambiarli); il significato dei termini è analogo alcomando default-metric .
Valori di default: tos: 0, k1=k3= 1, k2=k4=k5= 0.
no metric holddown
(solo IGRP)
Disabilita l’algoritmo di hold down di IGRP, migliorando il tempo
di convergenza a scapito di possibilità di loop.
IGRP -
EIGRP
show ip eigrp interfaces
show ip eigrp neighbors
show ip eigrp topology
show ip eigrp traffic
(solo EIGRP)
Comandi di controllo del funzionamento del processo EIGRP.
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 19/20
19
TECNONET S.p.A.
Esempio di configurazione interface Ethernet 0
ip address 128.99.1.6 255.255.255.0
exitinterface Ethernet 1
ip address 128.99.3.12 255.255.255.0
exit
interface Bri 0
ip address 128.99.9.4 255.255.255.0
exitinterface Serial 0
ip address 192.31.7.4 255.255.255.0
exitrouter EIGRP 143
passive-interface Bri 0
network 128.99.0.0
network 192.31.7.0end
router ospf process_id Abilita un processo di routing OSPF:
process_id: identifica il processo di routing OSPF
all’interno del router ed ha significato locale (non viene
trasmesso all’esterno del router)
network indirizzo maschera area id_area La coppia <indirizzo,maschera> individua una o più
interfacce che si trovano nell’area id_area sulle quali vengono
inviati e ricevuti i messaggi OSPF; OSPF annuncia le reticorrisponenti.
maschera è di tipo wildcard (opposta alla netmask
IP), dove
un bit a 0 identifica la parte di rete
un bit a 1 identifica la parte host
id_area è codificato su 4 byte, ed è possibile
utilizzare sia la notazione decimale che quella decimale
puntata.
area id_area stub Dichiara l’area id_area una stub area.
area id_area range indirizzo maschera Specifica un address range da annunciare all’esterno dell’area
id_area, consentendo l'aggregazione di informazioni per la
propagazione all’esterno dell’area id_area (se all’interno
dell’area c’è almeno un’interfaccia con l’indirizzo che cade
all’interno dell’address range, all’esterno è annunciato l’address
range invece dei singoli indirizzi).area id_area virtual-link ID_router Crea un link virtuale con il router che ha ID_router , dove questo
alore è individuabile visualizzando i database di OSPF; l’area
id_area è comune ai due router.
default-information originate [always] Abilita il router di annunciare una route di default all'interno del
suo dominio OSPF, comportandosi da AS Boundary Router (lo
stesso scopo può essere ottenuto con il redistribute). Un AS
boundary router non annuncia necessariamente la route di default,
in quanto potrebbe annunciare più route esterne imparate da altri
protocolli.
Se il router non ha alcuna route di default, questo comando è
ininfluente, a meno che si specifichi la keyword always, nel qual
caso viene comunque sempre immessa una route di default in quel
dominio, anche se il router non ne ha una propria.
show ip ospf database Mostra il database di link state advertisement ricevuti.
OSPF
sh ip ospf neighbor Visualizza tutti i router OSPF adiacenti, indipendentementedall'area a cui appartengono; il campo neighbor_ID mostra
l'identificativo (router_ID) del router remoto.
5/8/2018 Reti e dintorni 1 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-1 20/20
20
TECNONET S.p.A.
Esempio di configurazione interface Ethernet 0
ip address 128.99.1.6 255.255.255.0
exitinterface Ethernet 1
ip address 128.99.3.6 255.255.255.0
exit
interface Bri 0
ip address 128.99.119.8 255.255.255.0
exitinterface Serial 0
ip address 192.31.177.12 255.255.255.0
exitinterface Serial 1
ip address 128.99.27.12 255.255.255.0
exit
router OSPF 1passive-interface Bri 0
network 128.99.1.0 0.0.15.255 area 1
network 128.99.27.12 0.0.0.255 area 1
network 192.31.177.0 0.0.0.255 area 0network 128.99.119.0 0.0.0.255 area 2
area 1 range 128.99.0.0 0.0.31.255
end
router bgp AS Attiva il processo di routing BGP nell’Autonomous System AS.
La configurazione del BGP è leggermente più complessa degli altri protocolli in quanto, oltre alla configurazione delle reti, è
necessario procedere alla configurazione manuale dei neighbors.
network indirizzo mask netmask Identifica questa rete come appartenente al dominio BGP locale e
la inserisce nella propria routing table. Il significato è diverso dai
protocolli IGP in quanto il comando network non definisce le
interfacce sulle quali bisogna inviare gli annunci.
neighbor indirizzo remote-as AS Dichiara come peer (neighbor) il router indirizzo
dell’Autonomous System AS . I neighbor possono essere Internal o
External:
External: normalmente il router condivide un link con
questo peer
Internal: è normalmente posizionato in un qualsiasi
posto dell’AS.
aggregate-address indirizzo maschera Se esiste almeno una route per una rete che rientra nel range di
indirizzi (indirizzo , maschera) BGP annuncia questo range
BGP
Esempio di configurazione interface Ethernet0
ip address 131.108.1.6 255.255.255.0
exitinterface Ethernet1
ip address 192.31.7.6 255.255.255.0
exit
interface Bri0ip address 128.99.119.8 255.255.255.0
exit
router bgp 109
network 131.108.1.0
network 192.31.7.0neighbor 131.108.200.1 remote-as 167
neighbor 131.108.234.2 remote-as 109
neighbor 150.136.64.19 remote-as 99
end
top related