reti e dintorni 10

Reti e dintorniMaggio 2002 N 10

RETI E DINTORNI N 10

Pag. 2

EDITORIALE MA CHI SIAMO?Profilo aziendale Fondata a Roma nel 1992, TECNONET Spa, ha raggiunto in dieci anni una posizione di leadership nell'ambito delle aziende di System Integration Italiane. Dieci anni in continua crescita ed in costante evoluzione che l'hanno vista superare i 51 miliardi di lire (oltre 26,339 milioni di euro) in fatturato nel 2001. L'Azienda opera nell'ambito delle reti dati, della fonia e del networking, con accordi diretti con i maggiori vendor del settore, fornisce soluzioni e servizi per le aziende, i gestori di telecomunicazioni e la pubblica amministrazione. Il percorso evolutivo della Societ passato attraverso alcune tappe importanti: apertura di 9 filiali e sedi in Italia crescita dell'organico a oltre 110 dipendenti acquisizione del controllo di tre Societ: TELE.EST con sedi a Padova e Udine, TECNODATI con sede a Roma, TELESYS con sedi a Napoli e Bari l'arrivo della partecipazione azionaria in TECNONET da parte della multinazionale USA MRV (www.mrv.com , Nasdaq : MRVC). Con questi punti di forza, TECNONET ha raggiunto solidit, una capillare presenza e un'estesa copertura del territorio nazionale. In questi anni ha mantenuto intatta la sua connotazione di azienda con un'alta qualit di servizi dedicati per l'assistenza tecnica e per l' outsourcing. Qualit che la contraddistingue dalle altre Societ operanti nel settore delle reti dati. Oggi il servizio di assistenza e manutenzione viene svolto direttamente su tutto il territorio nazionale con tempi di intervento medi di 4 ore. Tramite le societ collegate al gruppo, possibile effettuare installazioni ed interventi in qualsiasi paese del mondo, sempre con personale altamente qualificato. Contratti di manutenzione personalizzati "a misura di cliente", in grado di mettere ogni cliente al sicuro da problematiche di rete, completano efficacemente l'offerta. (http://www.grandangolo.it/Tecnonet/tecnonet.htm)

Tecnonet SpA (www.tecnonetspa.it), azienda italiana che opera nell'ambito delle reti dati, della fonia e del networking, ha chiuso l'esercizio 2001 con un fatturato di oltre 26 milioni di euro, registrando una crescita del 25% rispetto all'anno precedente. Per far fronte alla crescita e proseguire nella sua espansione, Tecnonet ha avviato una nuova struttura organizzativa, l'apertura di nuove filiali e l'inserimento in organico di nuovi manager. Inoltre, la societ ha rafforzato la propria partnership con Cisco e, per i prossimi anni, prevede un ulteriore rafforzamento degli accordi. Prosegue intanto anche il percorso di specializzazione e certificazione secondo il nuovo programma di Cisco. (http://zerouno.mondadori.com/news.html) 7 maggio 2002 Accordo tra FastWeb e Tecnonet per la connessione a larga banda anche nelle citt non cablate FastWeb, la societ del Gruppo e.Biscom che offre servizi di telecomunicazione integrati su proprie infrastrutture di rete in fibra ottica, ha firmato un accordo di collaborazione commerciale con TECNONET, societ che da dieci anni opera nel settore della System Integration, per diffondere i servizi VPN a larga banda anche nelle citt non ancora raggiunte dalla rete in fibra. TECNONET fornir e installer le attrezzature tecniche prodotte da Cisco Systems, grazie alle quali sar possibile connettere alla larga banda di FastWeb, attraverso la tradizionale rete telefonica, le sedi dei clienti business localizzate in qualsiasi parte d'Italia. Il progetto, denominato Extra 6, consentir a una vasta clientela, con sedi localizzate anche al di fuori delle citt gi raggiunte dai cavi in fibra ottica di FastWeb, di accedere ugualmente ai servizi di telecomunicazione offerti dall'operatore del Gruppo e.Biscom. Attualmente sono sei le citt italiane nelle quali la rete a banda larga e fibra ottica di FastWeb in via di completamento o espansione: Milano, Roma, Torino, Genova, Napoli, Bologna. Al di fuori di queste aree urbane, l'accesso ai servizi di FastWeb sar assicurato con il supporto locale di TECNONET che, grazie alla presenza capillare su tutto il territorio nazionale, potr garantire un'assistenza immediata e completa in tempi rapidissimi in ogni localit. "L'importanza del progetto Extra 6 - ha dichiarato Onofrio Pecorella, responsabile Vendite Clientela Top di FastWeb - risiede nella possibilit di diffondere a tutte le sedi delle grandi aziende clienti Fastweb i benefici del servizio VPN. Con TECNONET assicuriamo ai nostri potenziali clienti la qualit e l'affidabilit richieste da questo tipo di collegamenti e l'intervento immediato di tecnici specializzati in caso di necessit". Giampiero Bianchi, direttore Marketing Strategico di TECNONET, ha sottolineato l'importanza del progetto Extra 6: "Siamo molto contenti di poter collaborare con FastWeb per questo grande progetto. Con la nostra capillare presenza e organizzazione siamo in grado di gestire tutto il processo produttivo, dal sopralluogo alla fornitura dei prodotti, all'attivazione del nodo di rete e della sua manutenzione. La nostra organizzazione copre tutto il territorio nazionale e assicura al cliente finale la qualit, la tempestivit e la competenza che un servizio di questo livello richiede." La supervisione delle fasi di avanzamento del progetto affidata alla piattaforma di servizi interattivi Web&Tecno di TECNONET, che permette il costante monitoraggio delle fasi di programmazione e realizzazione delle attivazioni e lo scrupoloso rispetto dei tempi, richiesti da FastWeb e soprattutto dai clienti.


Pag. 3

9 maggio 2002 Accordo di collaborazione tra TECNONET Spa, Cisco Systems Italy e Compagnia Delle Opere (CDO) Il triplice accordo commerciale offre vantaggi esclusivi a tutti gli associati CDO (Compagnie delle Opere) TECNONET SpA, azienda italiana che opera nell'ambito delle reti dati, della fonia e del networking, stata nel 2001 per Cisco Systems Italy, leader del mercato delle soluzioni di Networking, uno dei TOP premier partner italiani del settore. Nel 2002 TECNONET ha consolidato la collaborazione attiva con Cisco, finalizzando nuovi accordi commerciali. L'ultimo, in ordine di tempo, quello che offre prodotti e soluzioni, a condizioni speciali, ai circa 20.000 associati della Compagnia Delle Opere, l'associazione senza scopo di lucro di aziende e imprenditori, di cui TECNONET stessa fa parte. "E' per noi un accordo molto importante perch ci permette di offrire l'opportunit di utilizzare prodotti Cisco Systems Italy alle imprese, piccole e grandi associate alla CDO di tutta Italia" - ha dichiarato Gianpiero Bianchi Direttore Marketing Strategico di TECNONET. "Per soddisfare questa necessit, abbiamo attivato una struttura di supporto commerciale e tecnica dedicata, gestita on-line su sito web o tramite contatto diretto laddove richiesto. Le soluzioni scelte vanno a coprire le esigenze di Connettivit, Networking, Wireless, prodotti per la Sicurezza delle reti, soluzioni di convergenza vocedati del pacchetto AVVID Cisco Systems." Oltre a questi prodotti, che vengono forniti in pacchetti base acquistabili sul sito web dedicato ai soci, possibile richiedere anche opzioni pi complesse di tutte le tecnologie Cisco Systems. In questo caso TECNONET fornisce l'adeguato supporto commerciale e progettuale che queste soluzioni richiedono. Le proposte sono tutte chiavi in mano, complete di assistenza, installazione (se richiesta) e manutenzione, il tutto a condizioni economiche veramente convenienti e particolari, riservate ai soli associati. Marco Vergani, Regional Channel Manager di Cisco Systems Italy, in merito a questo accordo ha aggiunto: "I nostri clienti hanno bisogno degli strumenti e dell'aiuto necessario per differenziarsi dalla concorrenza, trarre beneficio dalle attuali opportunit offerte dal mercato ed essere competitivi. Con l'accordo con TECNONET e CDO rendiamo disponibili le nostre tecnologie anche alle piccole aziende associate che vogliono entrare nella Net Economy, ottimizzando gli investimenti. Oltre ai prodotti viene offerta anche una serie di servizi di supporto, installazione e manutenzione, che rendono sicure ed affidabili le realizzazioni. Gli associati CDO godranno di una particolare attenzione da parte del nostro partner TECNONET, anche per progetti complessi ed importanti al di fuori delle offerte pacchettizzate reperibili sul sito web." Sandro Bicocchi, Direttore Generale della Compagnia delle Opere, ha dichiarato: "Questa partnership permetter a tutti i nostri associati di utilizzare i prodotti e le tecnologie di networking dell'azienda leader del settore Cisco Systems. Il tutto sar possibile con il supporto tecnico-commerciale di TECNONET SpA, Top partner certificato di CISCO System. Gli associati CDO avranno l'opportunit di effettuare sia il semplice acquisto di materiale per reti di comunicazione e sicurezza, che richiedere ed utilizzare appieno tutte le tecnologie CISCO System, mentre TECNONET, System Integrator presente su tutto il territorio nazionale, offrir prodotti e servizi a tutti gli associati, a condizioni economiche dedicate e particolarmente convenienti."


Pag. 4

DNS (Domain Name System)Struttura del servizio Il Domain Name System (DNS) e' un database distribuito usato dagli applicativi TCP/IP per la mappatura da nomi host ad indirizzi di Internet. Non esiste un singolo sito in Internet che conosca tutte le informazioni del database, invece ogni sito mantiene la sua porzione di database limitata alla descrizione del sito, e gestisce un server di questa porzione di database, che puo' essere interrogato da altri sistemi in Internet. Gli applicativi accedono al servizio DNS tramite un resolver. Questo non e' un programma specifico, ma e' invece un insieme di funzioni di programmazione predisposte a contattare il server DNS, che vengono collegate nellapplicativo stesso. Molto spesso le funzioni o subroutine che implementano il resolver sono raccolte in una libreria dinamica. Il resolver non e' quindi parte dei protocolli TCP/IP del kernel, ma dei protocolli applicativi. quindi compito degli applicativi convertire il nome host in indirizzo IP prima di invocare i protocolli TCP o UDP. I concetti ed i dettagli implementativi del DNS sono contenuti nei documenti RFC1034 ed RFC1035. L'implementazione DNS pi comune per UNIX si chiama BIND Berkeley Internet Domain Server. Domini DNS Lo spazio dei nomi del DNS e' gerarchico ed implementato in una struttura ad albero. Ogni nodo ha un'etichetta di lunghezza massima 63 caratteri. La radice e' un nodo speciale senza etichetta. Non vi e' differenza nelle etichette tra maiuscole e minuscole, non sono case-sensitive Il nome di dominio la sequenza di etichette che parte dal nodo verso la radice, e usa il carattere 'punto' (.) come separatore di etichetta. Ogni nodo dell'albero DNS deve avere un nome di dominio univoco. Le etichette possono essere ripetute in locazioni diverse dell'albero (stesse regole dei nomi di files e directory in un file system). Un nome dominio che termina con un punto si dice nome di dominio completo o Fully Qualified Domain Name (FQDN). Se il nome di dominio non termina con un punto si presume che non sia completamente qualificato, e che mancano quindi etichette di nodi. Un nodo dell'albero direttamente sotto il nodo radice si chiama dominio ad alto livello (Top-Level Domain) TLD. Questi sono divisi in tre aree: 1. 2. 3. arpa - dominio speciale usato per le mappature da indirizzi IP a nomi domini generici - sono 7 e sono identificati da codici a tre caratteri domini nazionali - sono a due caratteri e definiti dallo standard ISO 3166.

Non vi e' nessuna motivazione per cui i domini generici siano riservati agli Stati Uniti, infatti esiste anche il dominio nazionale US. Molte nazioni (Gran Bretagna, Germania, ecc.) suddividono il dominio nazionale ad alto livello in domini di secondo ed anche di terzo livello predeterminati. Altre nazioni non lo fanno (Italia). Il concetto principale amministrativo del DNS e' la delega di responsabilita'. L'organizzazione principale del DNS, il Network Information Center (NIC) amministra solo la porzione dell'albero che copre i domini ad alto livello e delega la responsabilit amministrativa dei sottodomini a singole organizzazioni nazionali. Si definisce zona la porzione dell'albero DNS sottoposta ad amministrazione singola. Molti domini di secondo livello sono separati in zone. Ogni zona ha una persona amministratrice responsabile, che si cura dell'allocazione dei nomi ed indirizzi della zona e della manutenzione del database e configurazione delle macchine server. Un name server un programma e una macchina che ha autorit su una o pi zone E' necessario configurare per ogni zona un name server primario ed alcuni (minimo due) name server secondari. Il primario ed i secondari devono essere indipendenti e ridondanti, in modo da offrire un servizio continuativo.

Il server primario contiene il database DNS vero e proprio in file di configurazione, i server secondari contattano il server primario a intervalli regolari (p.es. ogni 3 ore) ed eseguono un zone transfer, cioe' il download del database corrente. Se un server che viene interpellato da un resolver, non conosce l'informazione richiestagli, puo' agire in uno di due modi: prendersi carico della richiesta del resolver e contattare a sua volta un altro server (ricerca ricorsiva) fornire al resolver una lista di altri server da contattare direttamente (ricerca iterativa)


Pag. 5

La maggior parte dei server compiono una ricerca ricorsiva. Esiste un certo numero di server DNS ad alto livello, mantenuti dal NIC, i root server. Ogni server di zona deve possedere la lista completa dei root server e contattare loro per risolvere richieste non locali. I root server possiedono la lista completa di tutti i server di zona al primo livello, ciascuno dei quali possiede la lista dei server a secondo livello nel proprio sottoalbero, e cosi' via fino ad arrivare ad un server autorevole per la zona in cui si trova il nome di dominio richiesto. Quest'ultimo server fornisce il messaggio di responso con l'informazione desiderata direttamente al resolver richiedente originale. Ogni server mantiene una cache di informazioni risolte recentemente, per alleviare il numero di messaggi DNS scambiati in rete. Formato dei messaggi Il formato generale di un messaggio DNS definisce sia le richieste che i responsi.

-

RD - Ricorsione Desiderata se 1,altrimenti ricerca iterativa RA - Ricorsione Disponibile, settato dal server Ritorno - Codice di ritorno: Nessun Errore=0, Errore=3

I quattro campi seguenti specificano il numero di entries nei quattro campi a lunghezza variabile che seguono. Per una richiesta, il Numero Richieste e' solitamente 1 e gli altri valori sono 0. Per un responso, il Numero Responsi e' almeno 1 e i campi successivi possono essere 0 o maggiori. Formato della richiesta

Il campo Nome Richiesto e' una sequenza di una o piu' etichette. Ciascuna etichetta inizia con un byte contenente la lunghezza dell'etichetta seguito dai caratteri dell'etichetta. La sequenza e' terminata da un byte zero. Il campo puo' terminare ad un confine qualsiasi, non necessariamente di 32 bit. Non si usa pad. Il campo Tipo Richiesta ed il campo Tipo responso nei responsi contengono un'etichetta di tipo. Vi sono piu' di 20 tipi definiti, chiamati anche tipi di Resource Record. Alcuni sono piu' comuni.

Il messaggio ha una testata fissa di 12 byte seguita da quattro campi a lunghezza variabile. Il campo Identificativo e' deciso dal client e ritornato nei messaggi del server.

Il campo Flag e' a 16 bit e contiene i seguenti sottocampi: QR - richiesta (0) o responso (1) Codice - Richiesta Standard=0, Richiesta Inversa=1, Richiesta di Stato del Server=2 AA - Risposta Autorevole del server se 1 TC - Troncato se 1: il responso eccedeva i 512 byte ed e' stato troncato

Il campo Classe Richiesta e' normalmente 1, a specificare indirizzo Internet. Altre classi sono solo sperimentali.


Pag. 6

Formato record di risposta Domini e zone : i nameserver La struttura gerarchica dello spazio dei nomi si riflette nella relazione trai nameserver. Il meccanismo della delega di autorit si basa sui seguenti principi: - ogni nameserver di un dominio, per essere conosciuto nel DNS deve essere stato registrato dal nameserver del dominio di livello superiore. Questo crea la delega. - i nameserver delegati possono essere pi di uno, ma uno solo possiede la vera autorit, perch gestisce i files contenenti le informazioni. Il Nome Dominio e' il nome a cui i dati che seguono si riferiscono. Il Tipo specifica il Resource Record. Il Tempo di Vita e' la validita' in secondi del Resource Record fornito (dell'ordine di 2 giorni, solitamente). La lunghezza Dati fornisce la lunghezza in byte del campo Dati che segue. Nomi di domini - Per dominio si intende il sottoalbero che inizia dal nodo con il nome a dominio in questione. - Ai nodi sono associate le informazioni relative a quel nome dominio (RR) I root-servers I root-servers sono i name server della radice . Sono essenziali al funzionamento del DNS perch contengono informazioni sui Top-Level-Domain e sui relativi nameserver ai quali ne delegano la gestione. I root-server contengono informazioni per la risoluzione inversa (indirizzo-nome). Ogni nameserver deve conoscere nomi e indirizzi dei root-servers. La lista aggiornata dei root-servers mantenuta da Internic ftp://ftp.rs.internic.net/domain/named.root Nodo con nome a dominio head.acme.com Un nameserver autoritativo quando in possesso dei dati per una determinata zona. Possono essere pi di uno. Un nameserver si definisce primario quando possiede i files di informazioni di zona. Un nameserver si definisce secondario quando acquisisce informazioni in maniera automatica (procedura nominata zone-tranfer) o acquisisce i dati dalla cache. Ogni nameserver mantiene traccia di tutte le informazioni di cui venuto a conoscenza che vengono poi usate per il processo di risoluzione dei nomi. Le risposte date dal server sulla base della cache sono non autoritative. Tipi di record Il file per la risoluzione diretta contiene i riferimenti necessari allassociazione tra i nomi delle macchine appartenenti ad una zona ed i loro indirizzi. Lassociazione fatta mediante specifici record che descrivono le caratteristiche e le funzionalit del dominio delle macchine che gli appartengono. I pi importanti sono: SOA NS MX A

.

com acme sale comp head www duck goofy

dominio com dominio acme.com dominio comp.acme.com


Pag. 7

-

CNAME HINFO TXT PTR

Mail

A MX

192.168.196.4 10mail

SOA: il record SOA (Start of Authority) definisce qual la macchina su cui attivo il nameserver primario per il dominio in questione, e dei parametri di refresh. NS: i record NS (nameserver) definiscono quali sono i nameserver autoritativi per il dominio MX: i record MX (Mail Exchanger) definisce qual il Mail exchanger per il dominio A: il record A (Address) definisce qual lindirizzo IP della singola macchina CNAME: il record CNAME (canonical name) definisce un nome alternativo con cui pu essere identificata la stessa macchina HINFO: il record HINFO (Information) fornisce le informazioni relative allhardware e al sistema operativo della macchina TXT: il record TXT informazioni testuali (textual info) fornisce

Il record SOA il preambolo di tutti i files di zona e deve esistere esattamente per ogni file di zona. Descrive da quale zona esso proviene. Zone mantenance e transfer Il mantenimento delle zone deve essere effettuato su tutti i nameserver per cui la zona autoritativa. Quando ci sono inevitabili cambiamenti nelle zone , questi aggiornamenti devono essere distribuiti a tutti i nameserver. Gli aggiornamenti possono essere fatti semplicemente con trasferimenti FTP, tuttavia il metodo pi usato quello automatico denominato zone transfer. I cambiamenti sono effettuati sul nameserver primario semplicemente editando modificando il file named, gli altri server a intervalli regolari interrogano il nameserver primario per vedere se ci sono cambiamenti nel file di zona. La verifica del cambiamento eseguita sul campo SERIAL nel record SOA. Processo di risoluzione

PTR: il record PTR (pointer) definisce la corrispondenza tra lindirizzo IP della singola macchina ed il suo nome di dominioDefault nameserver

query per www.iat.cnr.it 2 referral al NS per it. query per www.iat.cnr.it 3 referral al NS per cnr.it. query per www.iat.cnr.it 4 referral al NS per iat.cnr.it. query per www.iat.cnr.it 5 RR per www.iat.cnr.it.6 1 Applicazione resolver

root nameserver

"."

it. nameserver

IT

Configurazione I files necessari alla configurazione di un DNS sono: - named.boot: definisce le directory dove risiedono gli altri files per il funzionamento del nameserver, definisce quali sono i name server che possono prelevare le zone per cui il nameserver autoritativo. - named.local: viene usato dal nameserver per lindirizzo di loopback. - named.root: contiene informazioni dei root-servers. Esempio di file di zona: @ IN SOA ns.linux.bogus 19980212 (Serial) 1800 (refresh) 300 (retry) 604800 (expire) 86400 (minimum) ns 10mail 127.0.0.1

cnr.it nameserver

CNR

iat.cnr.it nameserver

IAT

www

Protocollo di trasporto Il protocollo di trasporto usato per i messaggi DNS sia TCP su porta 53, che UDP porta 53. Luso del protocollo UDP adottato per le risoluzioni dei nomi fatte dai client poich meno pesante per le frequenti richieste di nomi sulla rete Internet. Il protocollo TCP usato per le specifiche richieste AXFR di zone transfer tra nameserver. In-addr.Arpa Internet usa uno speciale dominio per supportare il mapping tra indirizzi IP conosciuti e nomi host.

NS MX Localhost ns www A

A 192.168.196.2 MX 10mail CNAME ns


Pag. 8

Il dominio inizia con in-addr.arpa e segue la struttura degli indirizzi internet. (Es.) lindirizzo 10.2.52.4 allocato nel dominio 4.52.2.10.in-addr.arpa. Un revolver che vuole trovare il nome host corrispondente allindirizzo IP 192.15.0.3 far una richiesta con Qtype=PTR , Qname= 3.0.15.192.inaddr.arpa. Utility nslookup: un utility per la risoluzione e interrogazione dei nameserver. Esempio : cerchiamo di trovare prep.ai.mit.edu. facendo una ricerca ricorsiva. $ nslookup Default Server : localhost Address : 127.0.0.1 Iniziamo a interrogare un rootservers chiedendo quali sono i nameserver dei TLD; > server c.root-server.net. Default server : c.root-server.net. Adderss : 192.33.4.12 > set q=ns interroghiamo il dominio edu. > edu. edu nameserver = A.ROOT-SERVERS.NET edu nameserver = H.ROOT-SERVERS.NET edu nameserver = C.ROOT-SERVERS.NET edu nameserver = D.ROOT-SERVERS.NET edu nameserver = E.ROOT-SERVERS.NET edu nameserver = F.ROOT-SERVERS.NET edu nameserver = I.ROOT-SERVERS.NET edu nameserver = G.ROOT-SERVERS.NET a.root-server.net internet address = 192 41.0.4 h.root-server.net internet address = 128.63.2.53 b.root-server.net internet address =128.9.0.107 c.root-server.net internet address = 192.33.4.12 d.root-server.net internet address = 128.8.10.90 e.root-server.net internetaddress =192.203.230.10 f.root-server.net internet address = 192.5.5.241

Authoritative answer can be found from: W20NS.mit.edu internet address=18.70.0.160 BITSY.mit.edu internet address=18.72.0.3 STRAWB.mit.edu internet address=18.71.0.151 Adesso sappiamo che la zona mit.edu su uno dei server che abbiamo trovato.Quindi cambiamo server e cerchiamo il nameserver che risolve la prossima zona. Server W20NS.mit.edu Address: 18.70.0.160 > ai.mit.edu. Authoritative answer: ai.mit.edu nameserver = alpha-bits.ai.mit.edu ai.mit.edu nameserver = trix.ai.mit.edu ai.mit.edu nameserver = life.ai.mit.edu

alpha-bits.ai.mit.edu internet address=128.52.32.5 trix.ai.mit.edu internet address=128.52.37.6 life.ai.mit.edu internet address=128.52.32.80 Adesso sappiamo che uno dei tre server un nameserver del dominio ai.mit.edu. Cambiamo server e tipo di interrogazione e cerchiamo tutto quello che life.ai.mit.edu a conoscenza di prep.ai.mit.edu. > server life.ai.mit.edu Default server: life.ai.mit.edu Address: 128.52.32.80 > set q=any > prep.ai.mit.edu prep.ai.mit.edu CPU= dec/decstation-5000.25 OS=unix, inet address=18.159.0.42, protocol=TCP FTP Telnet smtp finger prep.ai.mit.edu preference=1, mail exchanger = gnulife.ai.mit.edu Abbiamo scoperto un host del dominio ai.mit.edu ed un mailserver. Biblografia: - RFC 1034 (Domain Name Concept) - RFC 1035 (Domain Name Implementation)

Questi server sono in grado di risolvere il dominio edu., quindi utilizziamo lo stesso server per cercare la zona mit.edu > mit.edu. Server : c.root-server.net Address: 192.33.4.12 Authoritative answer: mit.edu nameserver = W20NS.mit.edu mit.edu nameserver = BITSY.mit.edu mit.edu nameserver = STRAWB.mit.edu

Luciano Natale


Pag. 9

PROCEDURA PER IL RECOVERY PASSWORD SU CISCO 761 MIn questo documento spiegher la procedura per il recovery password sul cisco 761 M, procedura facile da eseguire su tutte le piattaforme cisco con IOS, ma pi complessa su questa piattaforma.

Usando un programma di emulazione terminale eseguire il download dellerase code (consiglio di usare il procomm plus per windows con il quale molto pi facile eseguire il download dei file via seriale). Attenzione il download pu essere eseguito soltanto via console e non via lan. Durante il caricamento del file il LINE LED lampegger velocemente. Al termine di tale operazione il sistema risponder: Firmware transfer successful. Now writing firmware into FLASH, standby ... Firmware upload complete. Erase Version of 750/760 firmware. This will erase all configured parameters ERASING NVRAM...

Innanzitutto mi sembra utile aprire una parentesi sul tipo di sistema operativo che gestisce queste macchine, un sistema molto diverso dal conosciutissimo IOS dei router ma similare al vecchio CAT-OS dei vecchi switch catalyst, questo per dimostrare che anche questo prodotto stato acquistato e non costruito da Cisco System. Questa procedura utilizza il codice di cancellazione ( erase code ) dell NVRAM, consistente in un file di circa 1 Mb 760erase.hex, scaricabile dal sito stesso al link:http://www.cisco.com/warp/public/779/smbiz/serv ice/knowledge/general/760erase.hex Una volta scaricato il file, collegheremo il router al nostro pc tramite porta seriale, ( nota, il cavo console proprietario di questa macchina quindi non utilizzare il classico cavo cisco, ma bens il cavo 9pin maschio femmina in dotazione con il router ) si proceder eseguendo un reset hardware della macchina, durante la fase di POST ( power on self test ) premere ripetutamente il tasto ESC per portare il router in software load mode. A questo punto il sistema chieder di scegliere la velocit desiderata : Ready to upload new firmware into flash. Baud (1=19.2K, 2=2400, 3=38.4K, 9=9600)? ( Nota, sui nuovi firmware c la possibilit di arrivare sino a 115.2 K) . Premere il numero relativo alla velocit scelta, es: 9 = 9600 bps. Il sistema risponder con : Begin baud. ascii upload at 8n1/9600

A questo punto il router eseguir automaticamente un reload. Al termine di tale reload il sistema risponder Ready to upload new firmware into flash. Baud (1=19.2K, 2=2400, 3=38.4K, 9=9600)? Scegliere la velocit desiderata e ripetere gli step precedenti per eseguire il download della vecchia release software ormai cancellata dal router. Se non si fosse a conoscenza del vecchio software della macchina , sar possibile scaricarne uno dal software center cisco alla voce access software, dalla quale sceglieremo la piattaforma 760/770, badando bene di scegliere un software adatto alle normative europee (c760-in.rxd-NET3.44-6.bin C760/770 Series Remote Office X.25/B&D Europe , NET3 lidentificativo per le release Europee ). Una volta eseguito il download il router eseguir automaticamente un reload e sar pronto per essere nuovamente configurato. Attenzione eseguendo tale procedura sar possibile accedere nuovamente al router perdendo per la configurazione dello stesso. A questo punto potremmo verificare il software con il comando version , e controllare la configurazione con il comando upload .

Giorgio Grassi


Pag. 10

CARICAMENTO IOS SU PIATTAFORME CISCO- E una procedura che si attua quando abbiamo un apparato cisco (router ,sw.) privo di IOS. La prima operazione da fare dopo aver stabilito quale IOS usare, prelevarla dal sito cisco sul quale ci autenticheremo con login e password, dopo di che potremo trovare il file come di seguito riportato: - Cliccando su login ci dovremo autenticare come detto precedentemente. - Una volta autenticati dovremo accedere nel mondo software

Cisco IOS 12.1 Cisco IOS 12.0 Cisco IOS 11.3 Cisco IOS 11.2 Cisco IOS 11.1 Cisco IOS 11.0 Cisco IOS 10.3 Una volta scelta la versione (es.IOS 12.2) dovremo fare il download cliccando su

Download Cisco IOS 12.2 Software Ora si dovr selezionare il tipo di apparato cui si deve caricare lIOS.

Cliccando su Software CenterTechnical Support Help -- Cisco TAC Technical Documents Software Center Service Contract Center Manage Service Orders/Parts Service & Support Solutions Select Platform 800 805 806 820 828 10000 1400 1601-1604 1601R-1605R 1720 1721 1750 1751 1760 2420 2500FRAD 2501-2525 25FX 2610-2613 Ora il tipo di software

-

Successivamente

Software Products & Downloads

Select Software Feature Cisco IOS Software Access Software Cable/Broadband Software Cisco Secure Software CiscoWorks2000 Software Content Networking Software Customer Contact Software ENTERPRISE PLUS ENTERPRISE PLUS IPSEC 56 ENTERPRISE PLUS/H323 MCM ENTERPRISE/FW/IDS PLUS IPSEC 56 ENTERPRISE/SNASW PLUS ENTERPRISE/SNASW PLUS IPSEC 56 IP IP PLUS IP PLUS IPSEC 56

A questo punto cliccheremo su Cisco IOS Software; - Fatto ci dovr scegliere la versione del della IOS tra le varie elencate(es.) Cisco IOS Software Indexes Cisco IOS 12.2

Sono solo alcuni Feature presenti Ora specificheremo la release da usare; Select Release


Pag. 11

Major Release Updates 12.2.10 12.2.7b 12.2.7a 12.2.7

LD ED LD LD

Dovremo aprire sul nostro pc il TFTPserver con indicato il percorso da fare per arrivare a prendere il file tramite il tftp aperto.Fatto ci il TFTP dovr rimanere aperto sino alla conclusione del caricamento e solo dopo potr essere chiuso. Alimentando lapparato partir in modalit rommon,digiter allora tftpdnld(download) Mi apparir :rommon 1 > tftpdnld IP_ADDRESS: The IP address for this unit IP_SUBNET_MASK: The subnet mask for this unit DEFAULT_GATEWAY: The default gateway for this unit TFTP_SERVER: The IP address of the server to fetch from TFTP_FILE: The filename to fetch

Sono alcune delle varie opzioni che potremmo trovare.

-

Ora cliccheremo per conferma su

I read above requirements and agree w ith them

-

Adesso riconfermeremo il file

Software Download File name Description c2600-is-mz.122-7.bin IP PLUS

Size 'Bytes' 9939316

Dovremo dargli quindi le informazioni che lapp.ci richiede ovvero: IP_ADDRESS =ind.ip fittizio dell eth. IP_SUBNET_MASK=mask.relativo DEFAULT_GATEWAY=ind. del nostro pc TFTP_SERVER=ind.del nostro pc TFTP_FILE=il nome della release da noi scelta

Cliccheremo quindi sul nome del file. Una volta aperto il TFTP, digiteremo ancora una volta il comando tftpdnld e lapp. comincer a mostrarci una serie di ###### che ci confermeranno lesito positivo del caricamento della IOS.Al termine di questa operazione digiteremo la lettera i dopo di che il caricamento del software sar terminato.Alla successiva domanda: Would you like to enter the initial configuration dialog? [yes/no]:digitando n entreremo in configurazione sul nostro apparato.

- Ci apparir ora una schermata che noi faremo scorrere sino alla fine cliccando poi su accept (Accept Decline ).

-

Ora daremo il via al download cliccando nuovamente sul nome del file scelto

Download : c2600-is-mz.122-7.bin

UPGRADE IOS PIATTAFORMA CISCO Ci apparir poi lopzione salva su disco o apri file.Questo a nostra discrezione. Molto importante che, al momento di selezionare la versione, ci dovremmo basere sulla capacit della Flash e della RAM che il nostro apparato ha in dotazione.E possibile vedere le capacit della flash e della RAM richiesta dalla release da noi scelta ,nella schermata dove si richiede la prima conferma del file,ovvero(es.): Minimum Recommended Memory to download image - 16 MB Flash and 40 MB RAMI read above requirements and agree w ith them

- E unoperazione che si attua quando si ha la necessit di cambiare versione IOS su un apparato che gi ne possiede una. In questo caso loperazione di aggiornamento, viene effettuata direttamente in console sullapparato in questione andando a mettere sulla porta eth. un indirizzo fittizio con il relativo mascheramento (ovviamente).Fatto ci,si dovr fare un ping tra il pc e la porta eth cos da verificarne la raggiungibilit dal pc che vi sar collegato direttamente tramite un cavo cross.Stabilita la connessione pc router si pu iniziare a caricare la release nellapparato. Ovviamente la prima operazione da fare quella di selezionare il file che ci occorre dal sito della Cisco,dopo di che digitare(entrando in console sul router) : Router#copy tftp: flash: Address or name of remote host []? 10.1.1.1(ind. Pc) Source filename []? : c2600-is-mz.122-7.bin Destination filename [:]? : c2600-is-mz.122-7.bin Ora avr inizio il caricamento del software sullapparato.Pu capitare che lapp. ci chieda se si

Una volta avuta la certezza della compatibilit allora si pu procedere al caricamento del software. Tutta questa procedura,come detto prima , solamente la fase del caricamento della IOS dal sito di cisco.Ora bisogna caricarla sullapparato .


Pag. 12

vuole eliminare dalla flash la vecchia IOS nel caso in cui i due software occupino pi spazio di quello disponibile sulla flash stessa.A questo punto avremo una serie di ###### (come detto precedentemente) che ci mostreranno lesito del caricamento del file.Terminata questa fase con esito OK si potr iniziare a configurare lapparato.Per vedere se il file da noi caricato realmente presente sulla flash, digiteremo: Router#sh ver quindi vedremo se il nome del file corrisponde a quello da noi caricato : System image file is "flash:c2600-is56i-mz.1213.T.BIN"

dellhardware. A questo punto prima che la macchina inizi a caricare la release, bisogna premere contemporaneamente i tasti Ctrl-pausa cos da mandare la macchina in rommon.Fatto ci la procedura da seguire : rommon 2 > confreg Configuration Summary (Virtual Configuration Register: 0x2102) enabled are: load rom after netboot fails console baud: 9600 boot: image specified by the boot system commands or default to: cisco2-SOHO 77 Ora la macchina (soho 77) mi chieder delle informazioni,ovvero: do you wish to change the configuration? y/n [n]: y enable "diagnostic mode"? y/n [n]: n enable "use net in IP bcast address"? y/n [n]: n disable "load rom after netboot fails"? y/n [n]: n enable "use all zero broadcast"? y/n [n]: n enable "break/abort has effect"? y/n [n]: n enable "ignore system config info"? y/n [n]: y change console baud rate? y/n [n]: n change the boot characteristics? y/n [n]: n Configuration Summary (Virtual Configuration Register: 0x2142) enabled are: load rom after netboot fails ignore system config info console baud: 9600 boot: image specified by the boot system commands or default to: cisco2-SOHO 77 do you wish to change the configuration? y/n [n]: n You must reset or power cycle for new config to take effect Ora dovremo far caricare la IOS alla macchina,quindi: rommon 3 > i System Bootstrap, Version 12.1(3r)XP, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. SOHO 77 platform with 16384 Kbytes of main memory program load complete, entry point: 0x80013000, size: 0x34958c Self decompressing the image : ############################################ ##### ############################################ #################################### ############################################ ####################################

RECOVERY PASSWORD ( ROMMON ) Sicuramente saremo nel panico totale!!!!!!! Se dobbiamo entrare in un app. con password sconosciuta, lunica maniera per accedervi il recovery password . Questa operazione per necessita di un reset hardware che ci consente di entrare nellapp. in rommon che altro non uno stato di preconfigurazione della macchina.Difatti le operazioni che sono possibili in rommon sono limitate,ovvero: rommon 1 > ? alias boot break confreg cont context cookie dev dir dis dnld frame help history meminfo repeat reset set stack sync sysret tftpdnld unalias unset set and display aliases command boot up an external process set/show/clear the breakpoint configuration register utility continue executing a downloaded image display the context of a loaded image display contents of cookie PROM in hex list the device table list files in file system display instruction stream serial download a program module print out a selected stack frame monitor builtin command help monitor command history main memory information repeat a monitor command system reset display the monitor variables produce a stack trace write monitor environment to NVRAM print out info from last system return tftp image download unset an alias unset a monitor variable

ovviamente in rommon non sar possibile accedere alla configurazione della macchina,sar per possibile vederne la versione con il relativo software. Per entrare nella macchina quindi, bisogna fare un reset


Pag. 13

############################################ #################################### ############################################ #################################### ####### [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706

00:00:18: %LINK-3-UPDOWN: Interface ATM0, changed state to down 00:00:19: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0, changed state to down 00:00:21: %PQUICC-1-LOSTCARR: Unit 0, lost carrier. Transceiver problem? 00:00:25: %SYS-5-RESTART: System restarted -Cisco Internetwork Operating System Software IOS (tm) SOHO70 Software (SOHO7 Router>0-Y1-M), Version 12.1(5)YB4, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) TAC Support: http://www.cisco.com/tac Copyright (c) 1986-2001 by cisco Systems, Inc. Compiled Tue 03Jul-01 19:53 by ealyon 00:00:27: %LINK-5-CHANGED: Interface ATM0, changed state to administratively down 00:00:27: %LINK-5-CHANGED: Interface Ethernet0, changed state to administratively down 00:00:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed state to down Router>ena Router#sh run -Entreremo cos in configurazione che per sar quella di default. Per vedere la configurazione reale del router dovremo digitare: -----------------------Router#sh startup-config ------------------------

Cisco Internetwork Operating System Software IOS (tm) SOHO70 Software (SOHO70-Y1-M), Version 12.1(5)YB4, EARLY DEPLOYMENT REL EASE SOFTWARE (fc1) TAC Support: http://www.cisco.com/tac Copyright (c) 1986-2001 by cisco Systems, Inc. Compiled Tue 03-Jul-01 19:53 by ealyon Image text-base: 0x80013170, data-base: 0x805AB8E4 CISCO SOHO 77 (MPC855T) processor (revision 0x502) with 15360K/1024K bytes of memory. Processor board ID JAD05340KL2 (3909417279), with hardware revision 0000 CPU rev number 5 Bridging software. 1 Ethernet/IEEE 802.3 interface(s) 1 ATM network interface(s) 128K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write)

Una volta entrati nel router con la configurazione di default, dovremo copiare la startup sulla running, per poi modificare la running e salvare tutto.Un es.: router>ena router# copy startup-config running-config ROMA#conf t ROMA(config)#enable secret pippo ROMA(config)#exit ROMA#wr In questo modo avremo cambiato sulla vecchia configurazione,la nuova password.

--- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]: n

Duino TrombettaPress RETURN to get started!

Adesso entreremo nella macchina

00:00:13: %LINK-3-UPDOWN: Interface Ethernet0, changed state to up 00:00:16: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed sta te to up


Pag. 14

Roam About Wireless Enterasys

Sono Plug and Play quindi non hanno bisogno di driver. Nota: la roam about wireless radio card deve essere istallata nelladattatore. Il numero massimo di clients che possono interconnettersi ad un unico Access Point teoricamente di 250, ma lo scenario tipico si aggira tra i 25 e i 50 utenti. Access Method Il metodo di accesso utilizzato nelle reti wireless CSMA/CA. Con questo sistema la stazione ascolta la rete prima di trasmettere, se libera trasmette, qualora ci dovesse essere una collisione le stazioni dovranno ritrasmettere. Nelle reti wireless le schede di rete non sono in grado di identificare le collisioni, per ovviare a questo le stazioni dovranno utilizzare degli steps. La stazione verifica se qualcuno sta trasmettendo, altrimenti utilizza uno dei seguenti metodi: Mac Level Acknowledgment. Request to Send Clear to Send (RTS CTS)

Lo standard 802.11 stato ratificato nel giugno del 1997, inizialmente supportava una velocit di trasmissione pari a 2 Mb/sec. Nel 1999 c stata levoluzione a 802.11b che garantiva una velocit trasmissiva di 11 Mb/sec. Enterasys ha pianificato di supportare 802.11a che pu arrivare alla velocit di 54 Mb/sec. IEEE 802.11 definisce due topologie: - IBSS (Indipendent Basic Service Set) - ESS (Extended Service Set). Enterasys utilizza per la connessione delle wireless adapter cards (PCMCIA). Queste NIC (Network Interface Card) vengono utilizzate negli Access Point e nei PC. Per poter aumentare la potenza di ricezione della scheda di rete si possono utilizzare delle Antenne opzionali, che vengono dette External range indoor antenna. Ci sono anche delle Antenne direzionali che sono usate per la comunicazione tra edifici. Vantaggi di Enterasys: Totale gestione tramite: - Enterasys roam about Access Point manager, per monitorare le operazioni dellAP (incluso). - Client Utility, software per il monitoraggio dei singoli client. - Local management per laccesso allAccess point tramite porta console. Roam about wireless Ethernet adapter

CSMA/CA con MAC Level Ack Quando viene usato questo sistema la stazione trasmette I dati, quella che li riceve per confermare lavvenuta trasmissione invia un ACK alla stazione sorgente. Ovviamente se la stazione sorgente non riceve lACK considera la trasmissione fallita e ritrasmette. Il problema della Hidden Station La Hidden Station una stazione che non riesce a vedere tutte le trasmissioni allinterno della sua cella (la cella la circonferenza di segnale formata dal trasmettitore AP). Nota: tutte le trasmissioni devono passare per lAccess Point. Questo problema si pu risolvere o avvicinando la stazione allAP o utilizzando RTS CTS. RTS CTS Protocol Con questo metodo la stazione che deve trasmettere invia un RTS (richiesta di trasmissione) indicando il tempo di trasmissione. LAccess Point riceve lRTS e propaga (in broadcast) il CTS, in questo modo le altre stazioni sapranno che la rete occupata per il tempo indicato dallRTS. Cos facendo non potranno esserci collisioni. Ma anche in questo caso la stazione ricevente invia un ACK per confermare lavvenuta ricezione. Questo protocollo viene utilizzato maggiormente quando ci sono problemi con hidden node. Le reti wireless possono essere configurate in uno dei seguenti modi: - Ad Hoc Mode non sono usati Access Point e la comunicazione solo tra le stazioni.

Sono adattatori che vengono utilizzati su PC, Server e Stampanti con le schede di rete per connettere i wireless device.


Pag. 15

-

Workgroup mode lAccess Point il centro delle comunicazioni. Lan to Lan Mode lAccess Point usato per formare un link wireless dedicato tra due point.

Nelle configurazioni point to point mode, point to Multi point e point to Multi point to Multi point si utilizzano delle Directional Antenna. Lan to Lan Mode E una configurazione per connessioni wireless fra 2 locazioni ed dedicata a queste fuzioni. In Lan to Lan setup il Link wireless usato solamente per passare da un AP ad un altro senza user tra i due. Questa la configurazione ideale qualora impraticabile un collegamento wired.

Cell Search State In questa situazione la stazione entra in sweep mode. Sweep mode occorre quando la stazione scansiona tutti i canali per trovare un AP con un segnale decente. La stazione inoltre blocca tutte le trasmissioni in questa situazione. In low density mode (default setting) non cerca un Access Point con un segnale migliore. Quando invece settato high il client cercher il segnale migliore per associarvisi. Security Per quanto riguarda la sicurezza ci sono vari modi per connettersi allAP. Un tipo di associazione quella basata su un Network name, se ad esempio abbiamo 2 stazioni, A si chiama Pippo e B si chiama Pluto e lAccess Point si chiama Pluto, solo B potr connettersi con lAP. Secure Access Questo sistema si pu abilitare solo sullAP. Quando Secure Access abilitato lAccess Point negher laccesso a tutti i client che non utilizzano un corretto wireless network name. Quando invece Secure Access disabilitato lAP permetter laccesso ai client che utilizzeranno ANY come wireless network name o avranno blank come network name. Encription Gli AP Enterasys supportano uno standard di 40 bit Encryption Wep (Wired Equivalent Privacy). 40 bit encryption usa 5 digit key. 10 esadecimali digit preceduti da 0x es: 0x1d73bec9a2. Gli AP inoltre supportano optional 128 bit encryption. Deve essere alfanumerico (no caratteri speciali), 13 Digit Key, 26 Exadecimal digit. Shared Key Autentication (Wep) Autenticazione, come avviene: La stazione che deve connettersi invia una shared key autentication request allAP, questultimo replica con una challenge text string. A questo punto la stazione encripta la challenge text string con la shared key e risponde allAccess Point con lencripted challeng text sreing. LAP decripta il challenge text string e manda la decisione che potr essere positiva o negativa. Client Utilit Non appena il roam about client utility viene aperto immediatamente verifica se c o no una connessione wireless attiva, e viene inoltre indicato il wireless network name. Il campo status indica lo stato della connessione (Network connection status). Performing a Link Test Il link test un prodotto per il monitoraggio, la finestra relativa al test results provvede a fornire il dettaglio sulla qualit del segnale e a dare le informazioni circa lutente e il test partners che nel nostro caso lAP.

Point to Multi Point Configuration

Questo tipo di configurazione consiste in un sito centrale con un Massimo di sei siti remoti. Tutte le trasmissioni transitano attraverso il centro. Roaming Il sistema di roaming viene usato quando una stazione passa da un AP ad un altro e questo avviene dinamicamente. Tutto ci serve per allargare larea fisica dove mantenere lintegrit della rete. Multi Channel Roaming Il vantaggio di questo sistema il fatto di avere una rete wireless pi estesa rispetto ad un cos detto single cell (un solo AP). Per poter interconnettere celle diverse necessario avere 5 canali di separazione tra loro per non avere problemi di interferenze. Per esempio se io devo interconnettere tre AP utilizzer i canali 1-6-11 in modo da avere i famosi cinque canali di separazione tra i vari AP. In questo modo la stazione potr collegarsi allAP che gli offrir il segnale migliore. Enterasys usa come canale di default il 3.


Pag. 16

La finestra relativa alla storia del test invece fornisce informazioni relative ad un determinato periodo di tempo. Local Management La connessione al local management si effettua tramite la porta com del PC e quella dellAP. AP Manager: AP Manager un prodotto stand alone ma anche integrato nel Netsyght Element Manager Software (ver. 2.3). Utilizzo di AP per Lan to Lan operations Lavora con i seguenti mezzi: - Directional antennas progettata per le linee a lunga distanza dei collegamenti a vista. - Range extending antennas progettato per le distanze relativament lunge per i collegamenti tra palazzi. - Wireless adapters senza external antenna usata per brevi collegamenti fra costruzioni. Performing a Link Test. Ha multipli usi che comprendono: - Verifica dei link attivi. - Utilizzo del site survey. - Informazione su quale velocit supportata ad ogni locazione. - Localizzazione della fonte delle interferenze. Aggiornamento del firmware. Laggiornamento del firmware pu essere effettuato o tramite Acces Point Manager o tramite Local Management. Lestensione del file per laggiornamento .BIN. Il TFTP Boot Server Application si chiama Net Rider.

CONCETTI DI VPN(Articolo tratto www.networkingitalia.it/elementi/vpn.asp) Con questo termine si descrivono degli ambiti di una rete pubblica (generalmente nodi configurati a questo scopo) che si scambiano, in modo sicuro, informazioni private. Una rete privata virtuale (Virtual Private Network) stabilisce dei collegamenti a livello di infrastruttura della rete, piuttosto che a livello delle applicazioni. Il suo scopo quello di rendere sicuro il traffico su una rete (Internet, Int6ranet o Extranet) creando un tunnel ( tubo virtuale) che, a sua volta, consente ai computer remoti di scambiarsi le informazioni come se possedessero un collegamento diretto. In pratica un end to end in una rete condivisa da tutti, o da molti, garantito dalla codifica dei dati in transito. Il primo vantaggio di tipo economico. Infatti, la sicurezza assoluta la si pu avere esclusivamente con un link diretto fra i due end-point, ma questa modalit richiede un collegamento di tipo "dedicato" che, in ambito wan, ha dei costi altissimi. Proviamo semplicemente ad immaginare quanto costa un CDN dedicato fra due sedi e moltiplichiamolo per i km che separano le due sedi. Con le VPN si utilizza Internet, o una Intranet gi esistente, senza aggravio di spesa relativa alla connettivit. L'unica spesa da prevedere quella relativa agli apparati di supporto e del sw a corredo. La rete privata virtuale pu essere realizzata mediante due diverse tecnologie: MODALITA' TUNNEL: In questa tecnologia hanno un ruolo fondamentale gli apparati e, in particolar modo i router e i firewall. E' la tecnologia tipica di un collegamento fra una filiale e la sede centrale. Gli apparati sono preposti a trasformare/codificare tutto il traffico fra gli end-point. Per gli utenti finali non vi alcuna percezione della crittografia applicata. In questa modalit i pacchetti di dati vengono inseriti in ulteriori paccheti richiedendo una maggior performance alla rete. Il tunnelling ha notevoli vantaggi in tema di sicurezza, tanto che alcuni lo considerano come ingrediente essenziale di una VPN e lo includono nella sua definizione. MODALITA' DI TRASPORTO: In questa tecnologia hanno un ruolo fondamentale i software impiegati. Immaginiamo un lavoratore mobile (mobile worker) che deve collegarsi alla centrale attraverso l'unico carrier disponibile in qualsiasi punto del mondo: Internet. Il suo apparato (notebook, palm, wap ecc. ) dovr dotarsi di software per VPN. Il collegamento potr essere effettuato con qualsiasi ISP (Internet service provider) in quanto la cifratura e decifratura dei dati verr garantita dal sw a bordo del notebook e dagli apparati riceventi presso la sede centrale. Internet lascier in chiaro solamente le infomazioni di instradamento IP (header e trailers dei pacchetti). Attualmente non esistono degli standard VPN su IP e le varie aziende utilizzano protocolli proprietari, spesso in convenzione e in partnership. La definizione degli standard, prbabilmente, trover la sua applicazione finale su sul protocollo IP v.6. Il protocollo TCP (Transmission control protocol) nella sua formulazione attuale si occupa del packaging a livello 4 dello standard OSI, con successivo ripristino dei pacchetti una volta arrivati a destinazione e l' IP si assicura che i pacchetti arrivino alla host designato. Oggigiorno, su Internet viene usato il protocollo IP versione 4 mentre la versione 5 (che ha iniziato i suoi sviluppi circa tre anni fa) non stata ancora accettata dagli organismi di standardizzazione. Uno dei propositi annunciati dalla nuova versione di IP quello di poter incrementare l'area di indirizzabilit sulla rete. L'IETF (Internet engineering task force) sta lavorando per aggiungere nuove funzionalit al protocollo, compresa la sicurezza. A proposito di quest'ultima area, con particolare riferimento alla crittografia, abbondano i brevetti di tipo commerciale e l'IETF restio ad adottare qualsiasi standard basato su tecnologie non disponibili liberamente. In definitiva, anche se l'IETF continua ad operare per definire un standard VNP tramite il gruppo di lavoro sulla sicurezza di IP versione 6, restano ancora notevoli ostacoli da superare. In realt, secondo gli esperti, la parte di IPV6 riferita alla tecnologia di crezione delle VPN insufficiente per assicurarne l'interoperabilit. Infatti, due delle assenze principali nelle specifiche riguardano il protocollo di scambio delle chiavi e uno standard per l'algoritmo di cifratura. I produttori, in mancanza di metodi standard di crittografia delle informazioni e di invio delle chiavi di decrittazione agli utenti autorizzati, proporranno sicuramente soluzioni proprietarie, con tutti gli effetti negativi che si possono immaginare in termini di interoperabilit delle reti.

Emiliano Lucidi.

RETI E DINTORNI N 10Rivista interna Tecnonet SpA

Pag. 17

QoS: UNA FACCENDA NON ANCORA PER TUTTI(Articolo tratto da NetWorking Italia Gennaio 1999)

Molti di voi hanno sentito parlare di Quality of Service, e qualcuno forse ne conosce i dettagli tecnici, ma quanti sarebbero capaci di spiegarlo in maniera semplice a un loro collega meno esperto? Se ci provate, troverete che non facile, ed ecco quindi che vi serve un aiuto per riuscirci. QoS un modo per allocare delle risorse di rete (switch, router, ec.) affinch i dati raggiungano la loro destinazione pi velocemente e con maggior affidabilit. Le applicazioni chiedono banda sempre maggiore e ritardi sempre pi ridotti, perci QoS sta diventando un fattore chiave per lacquisto dei componenti di internetworking, e parallelamente una funzionalit su cui i vendor fanno affidamento per differenziare i loro prodotti. Ma non sempre facile capire cosa si intende veramente con questo termine, n quello che scrive a tale proposito la letteratura tecnica: QoS usa termini specifici, e i produttori non si sono messi daccordo quando descrivono le funzionalit degli apparati. Potenziare la rete non basta Prendete ad esempio una press relase del Catalyst 8500 di Cisco: "La matrice di commutazione," si legge, "supporta un queueing intra flusso, differenziando le priorit di ritardo attraverso uno scheduler bilanciato di tipo round-robin per le applicazioni sensibili al ritardo, e differenziando le basse priorit per la gestione delle congestioni, la policy del traffico e lo shaping. La memoria veloce per la gestione dei pacchetti incorporata nella matrice allocata dinamicamente sulla base delle code (ossia dei flussi). Tale allocazione dinamica, che pu essere completata da un sistema di soglie definite dallutente o da un sistema di pesatura delle code configurabile, assicura una corretta gestione del traffico time sensitive, senza perdita delle trame". Avete capito? Se rispondete di s, potete smettere di leggere; in caso contrario meglio che continuiate e affrontiate un rapido corso sul QoS e sui suoi termini, in modo da confrontare con cognizione di causa i prodotti sul mercato. Ci sono pochi modi per fornire il Quality of Service allinterno di una rete. Quello pi semplice sovradimensionarla in termini di banda, ossia di fare il cosiddetto "overengineering" del sistema. Le alternative sono invece la prioritizzazione dei dati, il queueing, la congestion avoidance e il traffic shaping, che descriveremo in seguito. Presto sar possibile fondere insieme queste tecnologie per fornire un QoS end-to-end alla rete, che diventer cos "policy based", ossia basata su rigorose politiche di gestione del traffico. Loverengineering il metodo pi semplice e, talvolta, anche il pi efficace per assicurare il QoS allinterno delle LAN. La concorrenza sul mercato, lo sviluppo della tecnologia microelettronica (che integra sempre

pi funzioni allinterno degli ASIC) e la sempre maggiore efficienza dei produttori permettono di ottenere apparati sempre pi veloci nel settore dello switching per rete locale. In tale ambito, quindi, improbabile che il QoS vero e proprio potr rimpiazzare il puro potenziamento del sistema. Tuttavia, se le caratteristiche dei sistemi QoS che sono oggi in pieno sviluppo potranno essere inserite negli switch senza dover ricorrere a upgrade costosi o complesse modifiche alla gestione di rete, non escluso che i network manager potranno prendere in considerazione la realizzazione di tecniche QoS piuttosto che il semplice "pompaggio" della banda. Il risultato pi probabile sar un mix di overengineering e QoS: tale approccio visto positivamente dagli stessi vendor, i quali affermano che meglio fornire sempre pi banda "intelligente" piuttosto che "grezza", ossia priva di qualsiasi policy che differenzi i diversi traffici. Certo i produttori non sono molto obiettivi, e utilizzano sistemi software per dare il QoS solo al fine di differenziare i loro prodotti rispetto alla concorrenza. Nel settore delle WAN loverengineering ovviamente poco pratico, anche se anche in questo settore i costi di banda sono sempre pi ridotti e questo mitiga in parte il ricorso ai sistemi Quality of Service. Tuttavia, tali costi sono ancora piuttosto elevati, e quindi il potenziamento puro e semplice delle reti geografiche non sar in futuro cos utilizzato quanto lo sulle reti locali.

I metodi pi usati per fornire la QoS A tuttoggi la prioritizzazione dei dati e il queueing sono i sistemi di QoS pi utilizzati al posto del semplice sovradimensionamento. Questi metodi sono supportati dai router ormai da parecchi anni, e attualmente anche da alcuni switch Gigabit Ethernet. Per questi ultimi, purtroppo, un software policy based che sfrutti pienamente tali caratteristiche non ancora disponibile. Tra gli switch di questo tipo ricordiamo CoreBuilder 3500 e 9000 di 3Com, SuperStack II della stessa casa, la serie Accelar di Bay, SmartSwitch di Cabletron e i Cisco Catalyst 5000 e 8000. I sistemi QoS di prioritizzazione dei dati possono essere impliciti o espliciti. Nel primo caso il router o lo


Pag. 18

switch alloca automaticamente i livelli di servizio in base ai criteri definiti dallamministratore (tipo di applicazione, protocollo, indirizzo del mittente, ecc.). Ogni pacchetto entrante nellapparato esaminato per vedere se tali parametri sono rispettati, e filtrato di conseguenza. Quasi tutti i router supportano il QoS implicito, e anche parecchi switch, ma solo con limitate capacit di prioritizzazione. Ad esempio, gli switch possono definire delle priorit sulla base delle VLAN di appartenenza o degli indirizzi mittente e destinatario, ma non sulla base dellapplicazione in uso o del protocollo di trasmissione. I futuri sistemi di rete saranno pi "policy-based" e forniranno maggiori potenzialit a tali switch. Veniamo al QoS esplicito. In questo caso lutente o lapplicazione sono liberi di richiedere un particolare livello di servizio, mentre gli apparati di rete cercano di soddisfare le loro richieste. Tra le tecniche esplicite pi note troviamo IP Precedence, chiamata anche IP Type of Service (IP ToS), che dovrebbe divenire quella maggiormente usata. IP ToS fa parte della versione 4 di IP, e riserva un campo allinterno del pacchetto per scrivervi i parametri QoS: delay, throughput e affidabilit. Lultima versione di Winsock presente in Windows 98 e NT permette agli amministratori di rete di fissare tali parametri per mezzo delle applicazioni. Purtroppo, poche di esse supportano ToS, tranne qualche eccezione (come i programmi multimediali). RSVP (Resource Reservation Protocol) pi sofisticato di IP ToS: specifica infatti il sistema di segnalazione con cui unapplicazione pu trasmettere le sue richieste di servizio a un router. Anche in questo caso il protocollo RSVP non stato utilizzato dagli sviluppatori di programmi. Molti router lo utilizzano, ma questo protocollo non ancora abbastanza maturo per una larga diffusione a causa dei problemi di scalabilit. RSVP provoca un notevole aumento del processing e pu infatti peggiorare le prestazioni dello stesso router. Il QoS di tipo implicito rimarr forse pi utilizzato di quello esplicito, in quanto non appesantisce molto lelaborazione dei router. Ma soprattutto, la tecnica esplicita pu trasformarsi in un vero incubo per ci che riguarda la gestione: infatti pu accadere che tutti gli utenti configurino le loro applicazioni affinch richiedano il massimo livello di servizio. E quindi necessario che i network administrator fissino delle regole per gli utenti, o configurino loro stessi il QoS di tutte le stazioni. Accodare il traffico per fornirgli priorit Una volta che ai dati viene fornita una priorit attraverso queste tecniche implicite o esplicite, per fornire il QoS richiesto sono utilizzati speciali algoritmi di queueing, ossia di accodamento (da queue = coda). Le code sono aree di memoria allinterno del router o dello switch in cui sono contenuti pacchetti a differente priorit. Un algoritmo di queueing determina lordine con cui tali pacchetti sono registrati e poi trasmessi. Lidea che ci sta sotto fornire un servizio migliore al traffico ad alta priorit, e fare in modo che

quello a bassa priorit riesca "in qualche modo" ad essere servito. La figura "Come funziona: QoS implicito ed esplicito", riportata pi sopra, mostra i sistemi QoS impliciti ed espliciti, dove le code sono servite in maniera sequenziale: lalgoritmo trasmette quindi due pacchetti della coda 1 (ad alta priorit) per un pacchetto delle code 2 e 3. I pacchetti aventi la stessa priorit sono inviati secondo il sistema FIFO (First In First Out, il primo che entrato anche il primo a uscire). Ma attenzione: se avviene una congestione, il sistema di queueing non in grado di garantire che i dati pi cruciali riescano a raggiungere la loro destinazione in tempo: infatti, quello che riesce a fare soltanto far arrivare i pacchetti ad alta priorit prima degli altri. Sistemi QoS pi sofisticati risolvono questo problema con il metodo di "prenotazione della banda" (bandwidth reservation), con cui assegnano specifiche porzioni del throughput a una o pi code. Ci assicura che il traffico ad alta priorit abbia sempre un po di banda a disposizione. Il QoS garantito, a meno che i dati ad alta priorit non eccedano il throughput a loro riservato; in questo caso gli algoritmi prelevano un altro po di banda dalle code a bassa priorit e lo riassegnano a quelle pi importanti (ma pu accadere anche il viceversa). Come abbiamo detto, gli algoritmi di queueing pi semplici trasmettono i pacchetti della stessa coda con il sistema FIFO. Le trame pi grandi che sono associate con un file transfer ad alta priorit possono in questo modo rallentare un flusso parallelo (ossia con lo stesso ordine di priorit) che per formato da pacchetti pi piccoli. Per risolvere questo problema gli algoritmi pi sofisticati cercano di essere pi "equi" nei confronti dei diversi traffici. Per esempio, il sistema Weighted Fair Queueing (WFQ) di Cisco capace di distinguere tra i traffici "mangiabanda" da quelli pi leggeri, e distribuisce il throughput a disposizione in parti uguali. Molti produttori di router hanno messo a punto algoritmi simili, ma li descrivono in modo del tutto particolare. Un problema fondamentale del queueing nei router e negli switch disponibili oggi sul mercato per il numero limitato di code che essi hanno per la gestione del traffico a priorit. Quattro un numero comune, ma spesso solo con pi code possibilie spezzettare ancora di pi i diversi flussi ed essere ancora pi equi nella loro gestione (per esempio, potrebbe essere necessaria una coda per i dati che devono viaggiare su lunghe distanze). Un metodo assegnare una coda per ogni flusso, ossia per ogni sessione dutente. Questo metodo stato realizzato su tutti gli switch basati sul chipset Anyflow 5500 di MMC Networks, e tra essi troviamo il Catalyst 8500 o il Content Smart Switch di Arrowpoint Communications. Ma troppe code significano grande complessit: ci fa lievitare i costi e complicare la configurazione e il management. Il problema delle congestioni La limitazione e il controllo delle congestioni sono altri aspetti molto importanti del QoS. Nel primo caso si


Pag. 19

permette alle workstation di modificare il flusso dei dati, rallentandolo se necessario quando la rete inizia a perdere pacchetti. Sono ormai molti anni che TCP/IP e SNA possiedono il congestion control, ma tenete presente che esso da solo assai poco efficace per garantire il QoS. Per aumentarne lefficacia bisogna aggiungere a questo metodo la cosiddetta "congestion avoidance", che evita le congestioni piuttosto che limitarle. Si tratta di qualcosa di relativamente nuovo nel mondo TCP/IP, ma che sta rapidamente diventando una caratteristica standard nei router pi potenti (quelli per gli ISP o i carrier). Qui il metodo pi usato detto RED (Random Early Detection): in sostanza, il RED scarta casualmente i pacchetti allinterno di una certa coda, obbligando cos la workstation a rallentare il suo ritmo di invio ed evitando loverflow della coda stessa. Il RED pesato (Weighted RED o WRED) ancora pi potente in quanto scarta i pacchetti basandosi su IP ToS. I modelli Cisco 7000 e 12000 e i router di dorsale di Bay Networks supportano RED e WRED; lo stesso dovrebbero fare i nuovi gigabit e terabit router per ISP prodotti da nuove case, come Argon Networks, Avici Systems, NetCore Systems, Nexabit Networks, ecc. E veniamo al traffic shaping (letteralmente "modellamento del traffico"). Si tratta di tecniche, tra cui la segmentazione dei pacchetti, per modificare i dati e asicurare il QoS. E noto che ATM fornisce un QoS elevato anche perch utilizza pacchetti (celle) molto piccoli: quindi il ritardo massimo di una cella equivale al tempo in cui viene trasmessa. Prendendo in prestito da ATM questo principio, i vendor di router e switch hanno iniziato a inserire la segmentazione allinterno dei loro apparati. La serie 12000 di Cisco in grado di spezzettare le trame, allinterno del suo backplane, in pacchettini da 64 byte, e ci aiuta ad ottenere un buon QoS. La segmentazione utilizzata anche negli apparati Frame Relay per ottenere ritardi minimi e, soprattutto, predicibili. Unaltra forma di shaping il cosiddetto "traffic metering". Molti protocolli, tra cui AppleTalk, tendono infatti a trasmettere i dati in modo non uniforme, fino a formare dei veri e propri "treni" di pacchetti. Il metering effettua un distanziamento di tali treni per mezzo di una bufferizzazione che ne ritarda la trasmissione ed evita congestioni. Il metering utilizzato anche alla periferia della rete per evitare gli effetti negativi dei burst di dati.

Fare un buona politica (di traffico) Purtroppo, ogni apparato lavora in modo indipendente per inviare i dati alla loro destinazione. Questo significa che un pacchetto pu viaggiare con il suo QoS attraverso alcuni nodi e incontrarne uno che annulla tutti i benefici precedenti in quanto non supporta correttamente le classi di servizio. Non c modo infatti di evitare il link difettoso prima che il dato vi giunga, in quanto ogni router lavora indipendentemente dagli altri. Sono per in arrivo i sistemi di gestione del traffico completamente "policy based" che legheranno insieme tutte le tecniche appena descritte in un unico sistema che fornir il QoS in modo end-to-end. Vi saranno perci dei policy server che opereranno insieme ai software di gestione gi esistenti al fine di determinare il QoS ottimo e configurare dinamicamente i router. Questi server consulteranno le directory di rete (come le NDS di Novell, per esempio) per trovare i livelli di servizio richiesti dalle applicazioni o dagli utenti. Il protocollo usato per comunicare tra i server e le directory sar probabilmente il noto LDAP (Lightweight Directory Access Protocol). Purtroppo i policy server non sono ancora disponibili, ma lo saranno presto. Bay ne presenter uno a met anno, basato sulla sua piattafoma software NetID per la gestione degli indirizzi TCP/IP. Si chiamer Optivity Policy Services e operer con gli switch Contivity e Accelar di Bay, oltre che con il software di routing BayRS. Anche 3Com sta preparando qualcosa da qualche mese, ossia un sistema di management policybased che si chiamer PolicyPowered Networking. Il prodotto lavorer con i CoreBuilder 3500 e 9000, i SuperStack II e gli switch di dorsale PathBuilder. Durante lanno sar la volta di Cisco, che ha gi fatto partire il progetto Cisco-Assure Policy Networking: supporter i suoi router e gli switch Catalyst 5000 e 8000. Cabletron aveva gi introdotto lidea del "policy management" nel 94 con il suo programma SecureFast Virtual Networking. Non ha avuto molto successo sul mercato, ma la tecnologia rimasta e sar incorporata nei policy server che presto arriveranno (anche se Cabletron non ha fissato ancora una data precisa). Rimane da vedere quanto sar facile ed economico utilizzare questi sistemi QoS. La progettazione di rete diviene un punto assolutamente essenziale per lefficacia di tali metodi, in quanto sono troppo complessi e costosi per essere realizzati ovunque nel network. Nelle reti di campus abbastanza logico realizzare il QoS nella dorsale, mentre nelle WAN il punto migliore la periferia. Dopo questo bel ripasso, la press relase di Cisco letta allinizio acquista molto pi senso: il Catalyst 8500 pone ogni sessione dutente in una coda, e usa un algoritmo di queueing di tipo WFQ per dare livelli di servizio appropriati a ogni flusso dati. Lo switch gestisce le congestioni e fornisce servizi di shaping e di policy del traffico. Tutto insieme, questo crea un servizio Quality of Service.


Pag. 20

UN INDIRIZZO PER TUTTI(Articolo tratto da NetWorking Italia Extra Edition Aprile 2000)

IPv4, lattuale versione del protocollo IP, supporta oltre 4 miliardi di indirizzi. Considerando la fenomenale crescita di Internet, questo dato rappresenta comunque una capacit piuttosto ridotta. Per estendere lo spazio indirizzi raggiungibile da IPv4, le aziende sono passate alluso di indirizzi IPv4 privati attraverso una tecnica di traduzione nota come NAT (Network Address Translation), ma questo metodo ha una serie di limitazioni. Per questo nata una nuova tecnica chiamata RSIP (Realm Specific Internet Protocol) che promette di ottenere ci che NAT non riuscito a fare. NAT funziona usando svariati milioni di indirizzi privati messi da parte dallInternet Engineering Task Force, trasformando un indirizzo IP pubblico come 192.156.136.22 in un indirizzo privato, come 10.0.0.4, per linvio sul pc di un utente. Gli indirizzi privati IP non possono essere "visti" da Internet e quindi possono essere riutilizzati da varie reti aziendali. Unita a un gateway o a un router NAT-enabled, una rete che usa indirizzi privati pu nascondere centinaia di migliaia di host dietro a un singolo indirizzo pubblico. Il dispositivo NAT differenzia i vari pc traducendo i loro numeri di porta in valori unici. Ma NAT limitato da applicazioni come gli "streaming media" che trasmettono indirizzi IP o numeri di porta nel payload dei pacchetti. Queste applicazioni richiedono che il NAT abbia una conoscenza specifica dellapplicazione stessa ed esegua calcoli addizionali. Laspetto pi negativo per che il NAT risiede tipicamente su un router di confine tra le reti pubbliche e private; non pu quindi funzionare con IP Security (IPSec), la popolare tecnologia di cifratura per le reti private virtuali. LIPSec richiede lhandshaking end-to-end reale in modo da impostare le regole iniziali di cifratura. Una volta cifrati su un sistema client, i pacchetti IPSec non possono essere modificati, o riconosciuti, da NAT. Come NAT, RSIP traduce tra gli indirizzi IP pubblici e privati, ma, invece di richiedere un router di confine, RSIP usa un semplice protocollo tra il pc dellutente e

un router di confine per eseguire la generazione preparatoria di un segnale. Attraverso la generazione di segnale, il pc in grado di preparare ciascun pacchetto in modo tale da rimuovere il limite di traduzione. Il protocollo RSIP lavora attraverso una semplice struttura "challenge-response" e impiega un vocabolario composto da "parametri" e "messaggi". Loperazione inizia quando il software client RSIP sul pc invia un segnale al software sul server RSIP in un router o gateway di confine. Attraverso questo scambio, il client RSIP richiede un indirizzo IP pubblicoinsieme a una o pi porte del router/gateway. In risposta, il software server RSIP del router/gateway assegna un indirizzo IP pubblico e uno o pi numeri di porta, oltre al "lease time", al tipo di "tunnel" e ad altri parametri. Quando il pacchetto raggiunge il server/gateway RSIP, lunicit del pacchetto viene identificata dalla combinazione dellindirizzo IP assegnato e dei numeri di porta. Come nel NAT, il server RSIP utilizza un indirizzo IP privato, come 10.0.0.4, per il proprio schema di indirizzamento interno allazienda, ma, diversamente da NAT, il gateway di confine non deve necessariamente essere in grado di eseguire la traduzione: il server/gateway RSIP vede infatti nellintestazione del pacchetto le informazioni di cui ha bisogno, quindi consulta la sua tabella RSIP per determinare la destinazione del pacchetto. E chiaro che RSIP rappresenta un grande miglioramento rispetto a NAT. Ad esempio, con una semplice estensione, RSIP pu supportare IPSec endto-end, sebbene IPSec cifri i numeri di porta. Le due tecniche hanno comuqnue molto in comune e questo andr a vantaggio degli utenti. RSIP promette due importanti vantaggi. Il suo stretto legame con lo schema di indirizzamento di NAT fornisce una compatibilit verso il basso, un vantaggio per migliaia di utenti NAT che vorranno migrare con tranquillit verso RSIP. Considerato che il protocollo RSIP impiega la generazione preparatoria del segnale, adatto anche per il networking basato su policy.