Reti e dintorni 1

5/8/2018 Reti e dintorni 1 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-1 1/20

Reti e dintorniMarzo 2001 N° 1



2

TECNONET S.p.A.

PREMESSA

Lo scopo di “RETI E DINTORNI” è cercare

di creare una base cooperativa per lo scambio

di informazioni tecniche-teoriche e tecnico-

pratiche sul mondo delle reti. Per questo

ognuno può contribuire alla formazione di

queste pagine, inviando il vostro contributo a

[email protected]

L’aggiornamento tecnico è fondamentale per

mantenere una competitività e un’affidabilità

che ci consenta di affrontare con

professionalità le situazioni tecniche più

svariate.

Il problema principale è il tempo a

disposizione, che è sicuramente molto poco,

presi dai problemi dei clienti e dalle nuove

commesse, talvolta è proprio impossibile

soffermarsi a riflettere su quello che è stato

fatto o come sono stati risolti certi problemi.

In questo modo è difficile che l’esperienza e

la conoscenza individuale venga trasmessa

agli altri.

Personalmente ritengo di fondamentale

importanza, creare un punto d’incontro dove

queste conoscenze possano incontrarsi, e

credo che “RETI E DINTORNI” possa essere

un buon punto di partenza.

Gli apparati con i quali si può operare in

Tecnonet sono molteplici: Enterasys (ex

Cabletron); Cisco; Intel; Nortel; Alcatel; ecc.

Ogni prodotto ha i suoi pregi e i suoi difetti,

ha il suo sistema operativo o il menù di

configurazione, praticamente una vera e

propria babele…..dove ognuno di noi deve

poter operare, e non è sicuramente una cosa

da poco.

Esistono poche ma sicure regole in Tecnonet:

1) I commerciali trovano il cliente

2) I commerciali vendono qualsiasi cosa

3) I tecnici devono essere esperti su tutto(logicamente anche di apparati visti per la primavolta dal cliente!!)

Quindi come al solito rimbocchiamoci le

maniche e andiamo avanti.

R. Gaeta



3

TECNONET S.p.A.

Interconnessione di reti locali

Dispositivi di interconnessione

Le reti locali hanno limiti in termini di dimensionimassime ammesse, carico massimo supportato enumero massimo di sistemi collegabili. Quando si

vuole oltrepassare uno o più di questi limiti, bisognacreare una LAN estesa (a volte indicata con le sigleELAN, XLAN o BLAN). Le possibili tipologie di

interconnessione si distinguono in base al livello a cuisi opera nella pila OSI. Se l’interconnessione riguardail livello fisico si avranno i “repeater”, se riguarda il

livello data-link si avranno i bridge, i router per illivello network e i gateway per i livelli superiori al

livello rete.I repeater consentono il collegamento a livello fisicodi due LAN omogenee, ossia caratterizzate dalla stessainterfaccia e dallo stesso protocollo d’accesso al mezzo

trasmissivo. La topologia risultante non deve presentare anelli. In base al loro modo di operare sidistinguono in:

bit repeater: ricevono, rigenerano, risincronizzano

e trasmettono il segnale. Introducono ritardi e si possono utilizzare in reti caratterizzate dalla stessavelocità di trasmissione.

buffer repeater: introducono buffer e vengonoutilizzati nell’interconnessione di LAN con

velocità diverse. Non effettuano controllo diflusso.

I bridge, che sono apparati di livello 2, interconnettono

LAN con livelli fisico e MAC differenti ma ca-

ratterizzate dallo stesso livello LLC. Essi trasmettonosolo i pacchetti che devono effettivamente transitare da

una LAN ad un’altra, mantenendo separati i trafficilocali delle singole LAN che interconnettono. Questa

loro funzionalità, detta di “ filtraggio” (filtering), permette di ottenere un traffico globale sulla BLAN

superiore a quello massimo ammesso per ogni singolaLAN. Tale ritrasmissione avviene con una modalità di“ store & forward”, cioè il pacchetto è ricevuto dal

bridge, che si limita solo a leggerlo e a ritrasmetterlo se

è destinato a macchine residenti su LAN differentirispetto a quella che l’ha generato. I bridge possono

interconnettere LAN con lo stesso MAC oppure conMAC differenti. In questo secondo caso devonotradurre la PDU di livello 2, ricevuta da una LAN,

nella PDU di livello 2 da trasmettere all’altra LAN. Inreti che utilizzano protocolli ad accesso casuale (adesempio CSMA/CD), i bridge hanno sia la proprietà di

rompere i domini di collisione, dove per dominio dicollisione si intende la porzione di rete in cui duetrame, trasmesse simultaneamente da due stazioni

diverse, collidono, sia di trasmettere, con modalità“store & forward”, solo i pacchetti che realmente

devono transitare da una rete all’altra, mantenendoseparati i traffici delle singole LAN. Con riferimentoalla figura le quattro stazioni connesse alla LAN, ad

esempio una Ethernet a 10 Mb/s, appartengono allo

stesso dominio di collisione: una trasmissione di Averso B occupa tutto il canale (10 Mb) e toglie, ad ognialtra stazione, la possibilità di trasmettere; anche C e D,

se vogliono comunicare tra loro, sono costrette ad

aspettare che il canale sia libero. Al contrario, se si suddivide lo stesso numero di

stazioni su due reti Ethernet a 10 Mb, connesse tramiteun bridge, si realizzano due domini di collisione

separati, permettendo così simultaneamente unacomunicazione tra A e B e una tra C e D. Nel primo caso il traffico smaltito è di 10 Mb/s e ladimensione massima della rete, 2 km, nel secondo caso

si ha un traffico smaltito di 20 Mb/s in condizioni ditotale località di traffico ed una dimensione massimacomplessiva di circa 4 km (2 km per ogni spezzone); il

bridge ha quindi permesso la creazione di una rete piùestesa e con una capacità totale maggiore.L’interconnessione di più LAN tramite bridge presentale seguenti caratteristiche:

si migliora l’affidabilità della rete (se si guasta una

delle LAN le altre continuano a funzionare);

si migliorano le prestazioni: separando il trafficolocale da quello globale si sfrutta la diversitàspaziale;



4

TECNONET S.p.A.

si migliorano le caratteristiche di sicurezza: è

possibile, se necessario, confinare il trafficocontenente informazioni riservate;

è possibile collegare reti distanti fisicamenteutilizzando due half-bridge collegati tra loro con

un canale punto-punto.

I router, cioè commutatori di pacchetto operanti alivello 3 del modello di riferimento OSI, garantisconol’interconnessione tra reti eterogenee a livello MAC eLLC. Eseguono algoritmi di instradamento, ovveroscelgono il percorso ottimale tra la sorgente e la

destinazione utilizzando opportuni algoritmi diinstradamento.Analogamente ai bridge, memorizzano e ritrasmettono

pacchetti ( store & forward). L’instradamento nella reteInternet è basato sull’uso di tabelle di instradamentoall’interno di router IP. Ciascun router sa verso quale

altro router deve indirizzare i pacchetti che riceve manon ha conoscenza del percorso completo, né della

posizione della sorgente e del destinatario. I router, adifferenza dei bridge, permettono l’esistenza di anellinella topologia.Il gateway è utilizzato quando le architetture delle due

reti che si vogliono interconnettere sono talmentediverse da richiedere di risalire a livelli superiori allivello rete, spesso addirittura fino al livello

applicativo.

Interconnessione mediante bridge

I bridge hanno le seguenti caratteristiche generali:

operano al livello 2 del modello di riferimento

OSI, e più precisamente al sottolivello MAC; per questo sono molto spesso detti MAC-Bridge;

hanno algoritmi di instradamento molto semplici:ogni bridge calcola autonomamente le sue tabelledi instadamento senza interagire con gli altri bridge, con un algoritmo di routing isolato;

si utilizzano normalmente per le interconnessionilocali, anche se sono stati usati nel passato, inmodo un poco problematico, anche per le

interconnessioni geografiche.I bridge possono essere realizzati secondo due filosofie

diverse che differiscono per il luogo dove sonomemorizzate le tabelle di instradamento (o tabelle difiltraggio):è

transparent bridge: sono i bridge conformi allostandard IEEE 802.1d, di derivazione Ethernet.

Hanno le tabelle di instradamento a bordo e sonotrasparenti, nel senso che i sistemi interconnessialle LAN ignorano la loro esistenza;

source routing bridge: sono i bridge diderivazione token-ring. Non hanno tabelle di

instradamento a bordo, che sono invece mantenutedai sistemi connessi alle LAN; in fase ditrasmissione del pacchetto, le stazioni devono

specificare esplicitamente il cammino che il pacchetto dovr` a fare per giungere a destinazione,indicando tutti i bridge da attraversare (che quindi

sono indirizzati esplicitamente).

Vengono qui di seguito descritti brevemente i duediversi modi di realizzazione.

Transparent Bridge

Sono conformi allo standard IEEE 802.1d e servono per l’interconnessione di LAN IEEE 802 comprese leLAN Ethernet.I bridge sono formati da una CPU general purpose, da

due o più interfacce per l’interconnessione con le LANe da un filtering database (una tabella di instradamento)contenuto in una memoria RAM. Ogni riga della

tabella è formata da una coppia “ indirizzodestinazione/interfaccia di uscita”, che ne costituisceuna riga (o entry). Le entry sono di due tipi:

statiche: cioè configurate, tramite operazioni dimanagement dal gestore;

dinamiche: cioè inserite autonomamente dal

bridge ( learning process). Il bridge, infatti, memorizza, per ogni trama ricevuta, la porta di arrivo e il mittente, informazioni che gli

serviranno quando dovrà instradare pacchetti chehanno quella stazione come destinazione. Le entrystatiche hanno priorità su quelle dinamiche: non

verranno quindi mai create entry dinamiche per unindirizzo MAC di cui vi sia già un’entry statica. Leentry dinamiche hanno un tempo di vita limitato: ad

ognuna è associato un timeout entro il quale la entrydeve essere aggiornata o eliminata, questo per impedireche eventuali cambiamenti della rete rendano le tabelle

inconsistenti. E’ preferibile che il bridge non conosca

come raggiungere una destinazione piuttosto cheinstradi le trame secondo informazioni vecchie e

magari non più valide a causa di guasti oriconfigurazioni.Quando una trama arriva su un’interfaccia, la CPU ne

analizza l’intestazione per individuare l’indirizzo MACdi destinazione; è importante osservare che i pacchettinon sono mai indirizzati direttamente ai Trasparent

Bridge, di cui è ignorata l’esistenza (da qui il nome di bridge “trasparenti”), ma sempre alle stazioni di utente.L’indirizzo destinazione è confrontato con tutte le entry

della tabella di instradamento; se è rilevata unacorrispondenza, la CPU inoltra la trama unicamente

sulla porta associata, in caso contrario la trama èinoltrata su tutte le porte attive in forwarding, trannequella di provenienza.Come detto i bridge devono instradare pacchetti sulla

rete e quindi hanno bisogno di costruirsi tabelle diinstradamento. Se la topologia della BLAN è ad albero,la costruzione di tali tabelle può avvenire con unalgoritmo molto semplice, in modo automatico, tramiteun processo di apprendimento (learning process).Poichè è tuttavia preferibile avere topologie magliate

per ragioni di affidabilità, occorre integrare il learning process con un algoritmo detto di spanning tree per riportare dinamicamente una topologia magliata ad una

topologia ad albero, escludendo dall’operativitàopportune porte di opportuni bridge. Tale problemanon esiste nei source routing bridge, in quanto il



5

TECNONET S.p.A.

pacchetto, quando viene generato, contiene la specificacompleta del cammino che dovrà seguire.

Le funzioni fondamentali svolte da un bridgetrasparente sono quindi:

ricezione, filtraggio, processo di apprendimento einoltro dei pacchetti;

mantenimento delle informazioni necessarie per prendere le decisioni di filtraggio;

governo e controllo della correttezza delle precedenti funzioni (management).

Ricezione dei pacchetti (Frame

Reception)

Esiste un database che associa gli indirizzi MAC dellestazioni di utente collegate alla rete, alle “porte”(connessioni) del bridge ad una LAN. L’entità MAC

associata ad ogni porta riceve ed esamina tutti i

pacchetti trasmessi sulla LAN cui è connessa.La prima analisi riguarda il campo FCS per

determinare se il pacchetto è corretto o errato. I pacchetti errati sono scartati.I pacchetti indirizzati effettivamente alle entità di

livello superiore del bridge (che sono normalmente una piccola parte) vengono affidati al livello LLC associatoalla porta di ricezione. Questi pacchetti contengono

come indirizzo MAC o l’indirizzo di una porta del bridge o un indirizzo multicast cui appartiene almenouna porta del bridge.

Gli altri pacchetti sono passati all’entità MAC diinoltro.

Filtraggio dei pacchetti (Filtering

Database)

I pacchetti trasmessi da un sistema S1 verso un sistema

S2 vengono confinati dai bridge nelle LAN cheformano il percorso da S1 a S2. Questo tipo difiltraggio è il più comune e serve a ridurre il traffico

globale in rete.Le funzioni principali che riguardano il mantenimentodelle informazioni di filtraggio sono essenzialmente:

l’apprendimento automatico ( learning process)delle informazioni relative al filtraggio dinamico,attraverso l’osservazione del traffico della BLAN;

definizione dell’et` a massima ( ageing time) delleinformazioni relative al filtraggio che sono stateapprese automaticamente, oltre la quale le

informazioni stesse vengono invalidate;

calcolo e configurazione della topologia logica

della BLAN (tramite l’algoritmo detto ” spanningtree” che sarà presentato successivamente).

Inoltro dei pacchetti (Frame

Forwarding)

Un pacchetto ricevuto su una porta di un bridge viene

affidato al processo di inoltro che deve deciderne un

eventuale accodamento per la trasmissione su altre porte. Condizione necessaria è che sia la porta di

ricezione sia le porte di destinazione si trovino in statodi forwarding. Il processo di inoltro accoda il pacchettosu una singola porta se questo ha un indirizzo di

destinazione MAC di tipo singolo, su tutte le porte se

tale indirizzo è multicast o broadcast.Il processo di inoltro consulta la tabella di

instradamento per determinare su quale portaeventualmente accodare il pacchetto in funzione delsuo indirizzo di destinazione. Tale accodamento

rispetta rigorosamente l’ordine di arrivo dei pacchetti,opera cioè in modalità FIFO (First-In First-Out). Un pacchetto viene rimosso da tale coda quando viene

trasmesso, indipendentemente dall’esitodell’operazione, nel caso in cui venga superato il tempomassimo di transito del pacchetto nel bridge (

maximum bridge transit delay) e quando la porta inconsiderazione abbandona lo stato di forwarding.

Processo di apprendimento (Learning

Process)

Il processo di apprendimento osserva l’indirizzosorgente dei pacchetti ricevuti su ogni porta e aggiornale entry dinamiche della tabella di instradamento,

condizionatamente allo stato delle porte.Il MAC-SAP indica al processo di apprendimento chela stazione con quell’indirizzo è raggiungibile

attraverso la porta che ha ricevuto il pacchetto. Talemetodologia di apprendimento conosciuta come“routing isolato - backward learning” in quanto unindirizzo di sorgente attuale crea o aggiorna una entrydinamica della tabella di instradamento relativamentead una destinazione che potrà essere utilizzata in

fututo. Le condizioni in cui è possibile creare oaggiornare una entry dinamica sono:

la porta da cui è stato ricevuto il pacchetto deveessere in uno stato che permetta l’apprendimentodell’indirizzo MAC (stato di learning o di

forwarding);

non esiste già un’entry statica (una entry fissata

staticamente che non può cambiare durante il

processo) per quell’indirizzo MAC.Se il numero risultante di tutte le entry supera lacapacità massima della tabella di instradamento, unaentry più vecchia viene rimossa per fare spazio alla

nuova entry. Si ricordi che esiste anche il meccanismodel timeout per tenere le tabelle compatte.

Algoritmo di Spanning Tree

L’algoritmo di spanning tree riconfigura una topologia

magliata di una BLAN in una topologia ad albero,eliminando gli anelli, mediante la disabilitazione di

alcune porte dei bridge, nel caso in cui ci siano più percorsi alternativi (si avrebbe altrimenti un fenomenodi duplicazione dei pacchetti). Si osservi infatti cosaaccadrebbe se ci fosse un anello.



6

TECNONET S.p.A.

Si supponga che A, appartenente alla LAN1, trasmettaun pacchetto a B, appartenente alla LAN2. Entrambi i

bridge, B1 e B2, ritrasmettono il pacchetto sulla LAN2:in tal modo B riceverà due copie del pacchetto, una da

B1 e l’altra da B2. Supponiamo che B1 trasmetta il pacchetto che ha come indirizzo sorgente A e comeindirizzo destinazione B prima di B2; il pacchetto saràricevuto sulla LAN1 tramite B2 che, prima di B2, che

che penserà che A si trovi nella LAN1. La destinazioneB riceverà un’altra copia generata da B1; da questomomento in poi A non riceve più pacchetti poichè

entrambi i bridge credono di essere collegati allaLAN2.In caso di guasto sul percorso primario, lo spanning

tree deve inoltre riconfigurare automaticamente latopologia della BLAN, senza la formazione di anelli intransitorio. Per gestire la configurazione della topologia

attiva, l’algoritmo di spanning tree prevedel’assegnazione di una priorità ai bridge e alle porte diciascun bridge. Tutti i bridge devono inoltre avere un

identificatore univoco. A tal fine si definisce un“bridge ID” (identifica la priorità del bridge), un “portID” (identifica la priorità della porta di un bridge). E’

essenziale anche la definizione di un indirizzomulticast che identifichi tutti i bridge del sistema. Ivalori più bassi di tali identificatori indicano priorità

maggiore. La configurazione di una topologia attiva(albero) partendo da una topologia arbitraria (maglia)avviene ponendo alcune porte di alcuni bridge in

blocking state (stato di disabilitazione temporanea). Le

porte che sono in blocking state non partecipano allatopologia attiva, ma sono pronte ad entrare a farne

parte in caso di guasto di qualche componente dellaBLAN.

Passi dell’algoritmo di spanning tree

L’algoritmo opera nei seguenti passi:

elezione del bridge radice (root bridge): poichè sivuole identificare un albero, il primo passoconsiste nell’identificare la radice dell’albero. Per definizione è il bridge con identificativo (bridge

ID) minore (oppure il MAC minore); selezione della porta del bridge radice (root port):

per ogni bridge si identifica la porta più conve-

niente per interconnettere il bridge verso il bridgeradice;

selezione del bridge designato (designated bridge): per ogni LAN si sceglie quale bridge è

designato a interconnettere la LAN con il root bridge. Questo passo è particolarmente importante

quando esistono più cammini tra la LAN e il bridge radice. Ogni LAN ha solo un bridgedesignato che è il bridge più vicino al bridgeradice (ha costo minore) e che si incaricherà ditrasmettere i pacchetti verso il bridge radice. A parità di costo si sceglie il bridge con bridge IDminore. La porta del bridge designato che

interconnette la LAN è detta porta designata(designeted port). Il bridge radice è l’unico bridgeche ha tutte porte designate.

La comunicazione tra i bridge per l’esecuzionedell’algoritmo avviene mediante lo scambio continuodi BPDU contenenti:

identificatore del bridge sorgente (chi ha trasmessola BPDU-Bridge Protocol Data Unit);

identificatore del bridge considerato radice;

identificatore della porta considerata come root

port dalla sorgente (e relativo costo).Inizialmente tutti i bridge trasmettono BPDUdichiarandosi bridge radice. Su ogni LAN dopo breve

tempo solo il bridge con identificativo inferiore crededi essere radice; questo anche sulla LAN su cui ècollegato il vero bridge radice. Quando un bridgecollegato alla LAN su cui è presente il bridge radice

riceve la BPDU con indicazione del bridge radice, è ingrado di determinare la sua porta verso la radice ed il

costo per raggiungere la radice (pari al costo della portacui è collegato al bridge radice). Questi bridgetrasmettono BPDU contenenti informazioni sul bridge

radice e sul loro costo per raggiungerlo. Basandosi suqueste informazioni gli altri bridge calcolano il lorocosto verso il bridge radice (sommando al costo che

ricevono il costo della loro porta) e la loro porta radice.Al termine di questo processo tutti i bridge conosconoil bridge radice, e la loro distanza dal bridge radice. Suciascuna LAN, diventa bridge designato il bridge con

costo minimo verso il bridge radice. A parità di costoviene considerato più “vicino” alla radice il bridge con

identificatore più basso; sullo stesso bridge, a parità dicosto di porte, ha la precedenza la porta conidentificatore più basso. Determinato ciò si procede

alla messa in stato di blocking delle porte che non sononé root port né designated port. Fatto ciò si èdeterminata la topologia attiva e si può procedere alla

trasmissione dei pacchetti.R.Gaeta

Bibliografia

“RETI LOCALI Dal cablaggio all’intenetworking”Scuola Superiore G.REISS ROMOLIS. Gai, P.L. Montessoro, P. Nicoletti

“Interconnections: Bridges and Routes”Addison Wesley

R. Perlman



7

TECNONET S.p.A.

Comandi di configurazione

Spanning Tree su Switch/Router Enterasys (ex Cabletron): SSR2000 –

SSR8000 – SSR8600

Lo Spanning Tree Protocol (IEEE802.1D) è disabilitatodi default su tutte le porte. Per abilitare lo STP su una porta specifica o su un opportuno range di porte si

esegua, dalla modalità di configurazione, il seguente

comando:

stp enable port port-list per esempio stp enable port et.1.5 (abilito STP sulla porta

3 del modulo 1 ethernet) Per esempio stp enable port gi.(10-12).(1-2) (abilito STP

sulle porte Gigabit 1 e 2 dei moduli da 10, 11 e 12)

Si consiglia di abilitare lo spanning tree soltanto sulle

porte che effettivamente fanno parte di anelli fisici.Ricordo che in caso di cambiamenti di topologia tuttele porte abilitate allo spanning tree entrano in stato di

blocking, e ritornano in stato di forwanding all’incircadopo un minuto.Per modificare la root priority si utilizzi il comando:

Stp set bridging priority num Dove num deve essere un numero compreso fra 0 e

65535, di default è uguale a 32768

E’ conveniente far diventare Root Bridge, lo switch piùcentrale. Ricordo che nel caso non si modifichi ilvalore di default, diventerà Root Bridge quello che ha

il valore di MAC più basso.Si sconsiglia di modificare i timer relativi allo spanningtree o comunque di modificarli dopo attenta

valutazione.

Per modificare il tempo di trasmissione che intercorretra una BPDU e un’altra si utilizzi il comando:

Stp set bridging hello-time num

Dove num è un numero compreso tra 1 e 10 (secondi). Di

default è uguale a 2.

Per modificare il Maximum Age (tempo che intercorre

dallo stato di blocking allo stato di listening. Default =20 sec) si usi il comando:

Stp set bridging max-age num Dove num è compreso tra 6 e 40 (secondi)

Per modificare il Forward Delay (tempo che intercorredallo stato di listening allo stato di learning e dallo

stato di learning allo stato di forwarding. Default = 15sec) si usi il comando:

Stp set bridging forward-delay num Dove num è compreso tra 4 e 30

Per modificare la priority delle porte si usi:

Stp set port port-list priority num Dove num è compreso tra 0 e 255 (default = 128)

Il costo associato alle porte è di default come in tabella:

Velocità porta Costo

1000 Mb/s 1

100 Mb/s 10

10 Mb/s 100

Nel caso si voglia modificare questi valori si usi ilcomando:

Stp set port port-list port-cost num Dove num è compreso tra 1 e 65535

Spanning Tree su Switch Cisco basati

su comandi di tipo SET

Tutti gli switch Cisco hanno lo Spanning Tree abilitato

di default su tutte le porte. (Personalmente consiglio didisabilitarlo su tutte le porte dove non sia strettamentenecessario!). I comandi per abilitare e disabilitare lo

spanning tree sono:

Set spantree enable mnum/pnum

Dove mnum = numero modulo e pnum = numero porta

Set spantree disable mnum/pnum

Per modificare la root priority si utilizzi il comando:

Set spantree priority num Dove num è compreso tra 0 e 65535

Oppure si possono utilizzare i comandi:

Set spantree root Il valore della root priority diviene 8192 (default 32768)



8

TECNONET S.p.A.

Set spantree secondary Il valore della root priority diviene 16384

Per modificare il tempo di trasmissione che intercorretra una BPDU e un’altra si utilizzi il comando:

Set spantree hello num Default 2 sec

Per modificare il Maximum Age (tempo che intercorre

dallo stato di blocking allo stato di listening. Default =20 sec) si usi il comando:

Set spantree maxage num Dove num è compreso tra 6 e 40

Per modificare il Forward Delay (tempo che intercorre

dallo stato di listening allo stato di learning e dallo

stato di learning allo stato di forwarding. Default = 15sec) si usi il comando:

Set spantree fwdelay num Dove num è compreso tra 4 e 30

Il comando seguente permette al root bridge di settarein modo automatico i timers dello spanning treedefinendo il numero massimo di bridge che collegano

due end-points:

Set spantree root dia num Dove num è compreso tra 2 e 7

Per modificare la priority delle porte si usi:

Set spantree portpri mnum/pnum num Dove num è compreso tra 0 e 63

Per modificare il costo associato alle porte si usi:

Set spantree portcost mnum/pnum num Dove num è compreso tra 1 e 65535

Dato che tutte le porte di default hanno lo spanning treeabilitato, un qualsiasi cambiamento topologico sugli

anelli fisici presenti comporta che tutte le porte degli

switch entrano in blocking. Per evitare questo gliswitch Cisco possono utilizzare sulle porte dove sono

collegati Pc o Server il seguente comando:

Set spantree portfast mnum/pnum enable

(La domanda è per quale motivo Cisco non suggerisce

semplicemente di disabilitare lo spanning tree su queste porte?…. domanda in effetti posta da me all’istruttoredel corso Cisco BCSMN …. La risposta incredibile èche non ci aveva mai pensato!!!!….. se qualcuno hauna vaga idea del perché si debba preferire il portfast

alla semplice disabilitazione dello STP sulla porta, sifaccia avanti.)



9

TECNONET S.p.A.

Il livello transport di Internet

Il livello transport di Internet è basato su due

protocolli:

TCP (Transmission Control Protocol ) RFC 793,1122 e 1323;

UDP (User Data Protocol ) RFC 768.

Il secondo è di fatto IP con l’aggiunta di un breveheader, e fornisce un servizio di trasporto datagram

(quindi non affidabile). Lo vedremo brevemente nelseguito.

Il protocollo TCP è stato progettato per fornire un

flusso di byte affidabile, da sorgente a destinazione, suuna rete non affidabile.

Dunque, offre un servizio reliable e connectionoriented, e si occupa di:

accettare dati dal livello application;

spezzarli in segment , il nome usato per i TPDU(dimensione massima 64 Kbyte, tipicamente circa1.500 byte);

consegnarli al livello network, eventualmente

ritrasmettendoli;

ricevere segmenti dal livello network;

rimetterli in ordine, eliminando buchi e doppioni;

consegnare i dati, in ordine, al livello application.E’ un servizio full-duplex con gestione di ack e

controllo del flusso.

Indirizzamento

I servizi di TCP si ottengono creando connessione di

livello transport identificata da una coppia di puntid’accesso detti socket . Ogni socket ha un socket

number che consiste della coppia:

IP address: Port number

Il socket number costituisce il TSAP.

I port number hanno 16 bit. Quelli minori di 256 sono icosidetti well-known port , riservati per i servizi

standard. Ad esempio:

Port number Servizio

7 Echo

20 Ftp (control)

21 Ftp (data)

23 Telnet

25 Smtp

80 Http

110 Pop versione 3

Poiché le connessioni TCP, che sono full duplex e point to point, sono identificate dalla coppia di socketnumber alle due estremità, è possibile che su un

singolo host più connessioni siano attestate localmentesullo stesso socket number.

Le connessioni TCP trasportano un flusso di byte, nondi messaggi: i confini fra messaggi non sono né definitiné preservati. Ad esempio, se il processo mittente (di

livello application) invia 4 blocchi di 512 byte, quellodestinatario può ricevere:

8 “pezzi” da 256 byte;

1 “pezzo” da 2.048 byte;

ecc.

Ci pensano le entità TCP a suddividere il flusso inarrivo dal livello application in segmenti, a trasmetterli

e a ricombinarli in un flusso che viene consegnato allivello application di destinazione.

C’è comunque la possibilità, per il livello application,di forzare l’invio immediato di dati; ciò causa l’invio diun flag urgent che, quando arriva dall’altra parte, fa sì

che l’applicazione venga interrotta e si dedichi aesaminare i dati urgenti (questo succede quando, adesempio, l’utente durante una sessione di emulazione

di terminale digita il comando ABORT (CTRL-C)della computazione corrente).

Il protocollo TCP

Le caratteristiche più importanti sono le seguenti:

ogni byte del flusso TCP è numerato con unnumero d’ordine a 32 bit, usato sia per il controllodi flusso che per la gestione degli ack;

un segmento TCP non può superare i 65.535 byte;

un segmento TCP è formato da:

uno header, a sua volta costituito da:

una parte fissa di 20 byte;

una parte opzionale; i dati da trasportare;

TCP usa un meccanismo di sliding window di tipogo-back-n con timeout. Se questo scade, il



10

TECNONET S.p.A.

segmento si ritrasmette. Si noti che le dimensionidella finestra scorrevole e i valori degli ack sono

espressi in numero di byte, non in numero disegmenti.

I campi dell’header hanno le seguenti funzioni:

Source port,

destination port

identificano gli end point

(locali ai due host) dellaconnessione. Essi, assieme aicorrispondenti numeri IP,formano i due TSAP.

Sequence number il numero d’ordine del primo

byte contenuto nel campodati.

Ack. Number il numero d’ordine del prossimo byte aspettato.

TCP header length quante parole di 32 bit ci sononell’header (necessario perchéil campo options è di

dimensione variabile).

URG 1 se urgent pointer è usato, 0altrimenti.

ACK 1 se l’ack number è valido(cioè se si convoglia un ack),0 altrimenti.

PSH dati urgenti ( pushed data), da

consegnare senza aspettare

che il buffer si riempia. RST richiesta di reset della

connessione (ci sono problemi!).

SYN usato nella fase di setup dellaconnessione:

SYN=1 ACK=0 richiestaconnessione;

SYN=1 ACK=1 accettata

connessione.

FIN usato per rilasciare una

connessione.

Window size il controllo di flusso è di tiposliding window di dimensionevariabile. Window size dicequanti byte possono essere

spediti a partire da quello

(compreso) che vieneconfermato con l’ack number.Un valore zero significa:

fermati per un po’, riprenderaiquando ti arriverà un uguale

ack number con un valore diwindow size diverso da zero.

Checksum simile a quello di IP; il calcolo

include uno pseudoheader.

Urgent pointer puntatore ai dati urgenti.

Options fra le più importanti,

negoziabili al setup:

dimensione massima deisegmenti da spedire;

uso di selective repeatinvece che go-back-n;

uso di NAK.

Attivazione della connessione

Si usa il three-way handshake:

una delle due parti (diciamo il server) esegue due

primitive, listen() e poi accept() rimanendo

così in attesa di una richiesta di connessione su undeterminato port number e, quando essa arriva,

accettandola;

l’altra parte (diciamo un client) esegue la primitiva

connect(), specificando host, port number e altri

parametri quali la dimensione massima deisegmenti, per stabilire la connessione; tale primitiva

causa l’invio di un segmento TCP col bit syn a uno

e il bit ack a zero;

quando tale segmento arriva a destinazione, l’entitydi livello transport controlla se c’è un processo in

ascolto sul port number in questione:

se non c’è nessuno in ascolto, invia un

segmento di risposta col bit rst a uno, per

rifiutare la connessione;

altrimenti, consegna il segmento arrivato al

processo in ascolto; se esso accetta laconnessione, l’entity invia un segmento di

conferma, con entrambi i bit syn ed ack

ad uno, secondo lo schema sotto riportato.

Client Server

syn(seq=x)

syn(seq=y, ack=x+1)

syn(seq=x+1, ack=y+1)

Destination port

Sequence number

Options (zero o più parole di 32 bit)

32 bit

Source port

Ack. number

TCPheader len.

UR G

ACK

PSH

R ST

SY

N

FI

N

Window size

Urgent pointer Checksum

Dati (opzionali)



11

TECNONET S.p.A.

I valori di x e y sono ricavati dagli host sulla base deiloro clock di sistema; il valore si incrementa di una

unità ogni 4 microsecondi.

Il rilascio della connessione

Il rilascio della connessione avviene considerando la

connessione full-duplex come una coppia diconnessioni simplex indipendenti, e si svolge nel

seguente modo:

quando una delle due parti non ha più nulla da

trasmettere, invia un fin;

quando esso viene confermato, la connessione inuscita viene rilasciata;

quando anche l’altra parte completa lo stesso procedimento e rilascia la connessione nell’altra

direzione, la connessione full-duplex termina.

Politica di trasmissione

L’idea di fondo è la seguente: la dimensione delle

finestre scorrevoli non è strettamente legata agli ack (come invece di solito avviene), ma viene

continuamente adattata mediante un dialogo fradestinazione e sorgente.

In particolare, quando la destinazione invia un ack diconferma, dice anche quanti ulteriori byte possonoessere spediti.

Nell’esempio che segue, le peer entity si sono preventivamente accordate su un buffer di 4K a

destinazione.

Mittente Destinatario

vuoto0 4K

Buffer

2K seq=0

Dati

ack=2048, win=2048

2K seq=2048

ack=4096 win=0

ack=4096 win=2048

1K seq=4096

2K

4K Letturadi 2K

2K

2K 1K

Anche se riceve win=0, il mittente può comunqueinviare:

dati urgenti; richieste di reinvio dell’ultimo ack spedito (per

evitare il deadlock se esso si è perso).

Controllo delle congestioni

Il protocollo TCP assume che, se gli ack non tornano

in tempo, ciò sia dovuto a congestione della subnet

piuttosto che a errori di trasmissione (dato che lemoderne linee di trasmissione sono molto affidabili).

Dunque, TCP è preparato ad affrontare due tipi di problemi:

scarsità di buffer a destinazione;

congestione della subnet.

Ciascuno dei problemi viene gestito da una specificafinestra mantenuta dal mittente:

la finestra del buffer del ricevitore (quella di cuiall’esempio precedente);

la congestion window , che rappresenta quanto si

può spedire senza causare congestione.

Il mittente si regola sulla più piccola delle due.

La congestion window viene gestita in questo modo:

il valore iniziale è pari alla dimensione del massimo

segmento usato nella connessione;

ogni volta che un ack torna indietro in tempo la

finestra si raddoppia, fino a un valore threshold ,inizialmente pari a 64 Kbyte, dopodiché aumentalinearmente di 1 segmento alla volta;

quando si verifica un timeout per un segmento:

il valore di threshold viene impostato allametà della dimensione della congestion

window;

la dimensione della congestion windowviene impostata alla dimensione delmassimo segmento usato nella

connessione.

Vediamo ora un esempio, con segmenti di dimensione1 Kbyte, threshold a 32 Kbyte e congestion window

arrivata a 40 Kbyte:

1K

4K

8K

16K

32K

40K

2K

Congestion window è 40K, si verifica un timeout

Thresholdviene ridotta

(da 32K a 20K)

Congestion window torna ad 1K Congestion window è 1K

20K

R. GaetaBibliografia: “TCP/IP” McGraw-Hill Sidnie Feit



12

TECNONET S.p.A.

Generalità sui comandi per i router Cisco Scopo di questo documento è il fornire una guida rapida per la configurazione dei router Cisco.

GENERALITA’ I router Cisco si possono distinguere nei seguenti componenti principali:

Schede di interfaccia: sono normalmente delle schede di espansione che si inseriscono in appositi

alloggiamenti e che ospitano vari tipi di interfacce fisiche (Ethernet, ...), la logica per il loro funzionamento,etc.; normalmente il router viene venduto spoglio (senza interfacce di rete) ed è l'utente che decide, in base ai propri bisogni, qual è l'insieme di schede più appropriate per le proprie esigenze.

interfacce di rete: comprendono i connettori destinati ad attacchi di rete; tra le principali si possono citare:

AUI: interfaccia Ethernet di tipo AUI

10BaseT: interfaccia Ethernet di tipo 10BasetT

SERIAL: interfacce seriali sincrone (da collegare, con apposito cavo proprietario, a modem sincronicon interfaccia V.35)

BRI: interfaccia verso l'NT di un ISDN basic rate

ATM: interfaccia ATM, in fibra oppure in rame

interfacce di gestione: comprendono i connettori necessari alla configurazione del router, e principalmente:

CONSOLE: interfaccia seriale (asincrona), usata per il collegamento di un terminale seriale per laconfigurazione del router

AUX: porta seriale asincrona RS232 usata per il collegamento di altre periferiche (modem, cavo

seriale null modem), spesso per la configurazione remota

supporti di memorizzazione

memoria ROM: memoria nella quale è memorizzato il software di base del router (fondamentalmentequello necessario all'accensione)

memoria FLASH: memoria di tipo "permanente", nella quale è memorizzato il sistema operativo

(IOS) e la configurazione "salvata"

memoria RAM: memoria di tipo "temporaneo" (si cancella allo spegnimento del router) nella quale è

memorizzata la configurazione "corrente" del router e le varie variabili temporanee necessarie alrouter per il suo funzionamento (es. tabelle di routing, ...)

CPU: componente che sovrintende al funzionamento di tutta la macchina, la cui potenza varia a seconda dellaclasse della macchina (e che possono essere anche più di una a seconda della classe del router). Il compito

della CPU si può riassumere in:

svolgimento del processo di forwarding (lettura dei pacchetti in input dalle varie interfacce,

determinazione dell'interfaccia di uscita, invio del pacchetto su tale interfaccia)

calcolo delle tabelle in instradamento, aggiornamento dei dati di routing

supervisione del router (gestione dei comandi dell'operatore, ...)La potenza di un router (intesa in numero di pacchetti al secondo inoltrati) è variabile a seconda di alcune sceltearchitetturali del router:

i router di fascia bassa hanno schede (interfacce) "stupide", e tutto il lavoro è fatto dall'unica CPU centrale, lacui potenza può essere variabile a seconda delle prestazioni richieste

i router di fascia media hanno schede intelligenti con CPU dedicate a bordo, le quali svolgono autonomamente buona parte del processo di forwarding; la CPU centrale si occupa del calcolo delle tabelle di instradamento e

della gestione della macchina

i router di fascia alta (layer 3 switch) hanno schede intelligenti con processo di forwarding in hardware, con

prestazioni altissime; la CPU centrale si occupa del calcolo delle tabelle di instradamento e della gestione dellamacchina

Il grosso punto di vantaggio dei router Cisco sta nel sistema di gestione, tradizionalmente molto potente (anche se ostico

ad un primo impatto); questo sistema operativo (IOS) risiede nella memoria Flash. Dall'interfaccia di gestione è possibile dare comandi appositi per la configurazione della macchina.



13

TECNONET S.p.A.

Configurazione: FLASH e memoria, terminale e reteQuando si configura il router (gli si cambiano i parametri, ...) questi comandi vengono salvati nella memoria RAM delrouter. Il router rende questi comandi immediatamente operativi, ma il loro effetto si esaurisce allo spegnimento delrouter. Per rendere questa configurazione effettiva anche ad un successivo reboot è necessario salvare la configurazione

in Flash, da dove verrà letta all'accensione del router. Ne consegue che: non è detto che la configurazione RAM e FLASH siano allineate; in mancanza della configurazione RAM (ad

esempio allo startup del router) viene letta quella della FLASH, altrimenti è la prima ad avere la precedenza

la configurazione RAM viene trasferita in FLASH solo in corrispondenza di uno specifico comandodell'operatore

è possibile procedere ad una opportuna politica di backup, copiando la configurazione RAM in FLASHsolamente quando si è sicuri dalla correttezza della stessa (ad esempio si è verificato il corretto comportamentodel router in queste condizioni per un certo tempo).

La configurazione corrente del router può essere anche salvata (o letta) via rete, attraverso il protocollo TFTP. E' possibile quindi indicare al router di scrivere il file di configurazione in rete (anziché in FLASH) su uno specifico TFTPserver, ottenendo il file testuale della configurazione. Analogamente è possibile indicare al router di leggere un file di

configurazione via rete anziché procedere alla configurazione manuale del tutto.I router Cisco fanno largo uso di server TFTP; anche il caricamento di una nuova versione del sistema operativo fa uso

di questi tipi di servers.

Menù e comandi

L'IOS ha interfaccia completamente testuale. I suoi menù seguono un'organizzazione gerarchica su N livelli annidati:

modalità utente: è possibile visualizzare alcuni dati di funzionamento del router

modalità privilegiata: è possibile visualizzare tutti i dati di funzionamento del router e viene abilitatala possibilità di cambiarne la configurazione

modalità configurazione: è possibile variare i parametri di funzionamento del router e procedere alla sua configurazione

sub-menù di configurazione di una funzione specifica (ad esempio laconfigurazione di una interfaccia)

E' possibile passare da un livello all'altro con specifiche parole chiave; per uscire dallo specifico sottomenù si usa la

parola chiave exit. La parola chiave end permette invece il ritorno diretto da qualunque sottomenù di configurazionealla modalità privilegiata.

In ogni momento l'IOS rende disponibile un help contestuale, richiamabile digitando il carattere "?". Vengono quindi

elencati tutti i comandi disponibili in quella particolare modalità; per un help più specifico è possibile digitare

"comando ?" in riferimento al comando desiderato.

Ogni comando è disponibile in forma negata e affermata: è possibile abilitare una determinata funzione digitando

"stringa_di_comando" e disabilitare la funzione stessa digitando "no stringa_di_comando".

Ogni comando è disponibile in forma abbreviata (corrispondente ad accorciare le parole dei vari comandi) purché quella

parola non sia ambigua. Il comando corrente è automaticamente è completato con la pressione del tast Tab.

Passi principali per la configurazione

I principali passi necessari alla configurazione completa dei router Cisco può essere così schematizzata:

configurazione di base: parametri di sistema, password configurazione delle interfacce: configurazione a basso livello, imbustamento, velocità, indirizzi

configurazione del routing: route di default, attivazione dell’instradamento (forwarding), parametri propri diciascun processo di routing (OSPF, …)

configurazione avanzata: access lists, etc

Accesso e configurazione di baseL'accesso al router può avvenire via rete (telnet) oppure collegando un terminale (o un PC) alla console (fisicamente è

una porta seriale classica) del router. Nel primo caso è possibile la gestione da remoto; nel secondo caso è necessarioessere in locale (oppure collegato al router tramite modem).

Accesso via telnet Accesso via console

telnet indirizzo_ip

Sono ammessi gli indirizzi IP di tutte le interfacce attive non

unnumbered del router

Dopo aver collegato un terminale VT100 (oppure un PC mediante un

cavo seriale) è possibile inserire direttamente i comandi del sistema

operativo.

Parametri per l'emulazione terminale:

9600 bps

8 bit

No parity



14

TECNONET S.p.A.

Stop Bit 1

Flow Control Hardware

Richiede normalmente due password di accesso:

quella per l'accesso al router

quella per l'accesso alla modalità privilegiata

Richiede una sola password di accesso, quella per l'accesso alla

modalità privilegiata.

L'accesso in locale è obbligatorio nella fase di configurazione iniziale

del router; successivamente è possibile utilizzare anche l'accesso telnet

(se il router è raggiungibile).

Procedura per l'accesso (via telnet):telnet indirizzo_ip

viene richiesta la password di accesso

si entra in modalità utente

Per entrare in modalità privilegiata:enable

viene richiesta la password di amministrazione

Per entrare in modalità di configurazione:configure terminal (abbreviato: conf t)

(oppure configure network

per la configurazione via rete)

il prompt cambia e ci si trova in modalità di configurazione

Procedura per l'accesso (via terminale): uguale a quella via telnet,tranne per il fatto che di default ci si ritrova direttamente in modalità

utente (si risparmia una password).

Comandi principali a router spoglio

enable Entra in modalità amministrazione (richiede una password).

Erase startup_config Cancella la configurazione della FLASH.

Configure terminal Entra in configurazione; la configurazione è fatta da terminale (non da rete).

Hostname Cisco1 Assegnazione del nome al router.

Enable password ena_pwd Abilitazione (e configurazione) della password del router locale (quella richiesta alla

digitazione del comando enable).

Line vty 0 4 Configurazione dei terminali virtuali: il primo numero dopo il VTY indica il numero del

primo terminale virtuale; il secondo indica il numero dell’ultimo terminale virtuale (in

questo .caso è stata configurata la possibilità di 5 accessi contemporanei al router)

login Imposizione del login nell’accesso via telnet (ma non impone una password).

password telnet_pwd Abilitazione (e configurazione) della password di accesso al router via telnet.exit Esce dalla modalità di configurazione dei terminali virtuali.

Exit Esce dalla modalità di configurazione.

Altri comandi fondamentali (attivabili solo in modalità enable )

write [memory] Salva nella FLASH la configurazione attiva.

Write network Salva su un server TFTP la configurazione attiva.

Reload Effettua il reboot del router.

Write terminal

show running-config

Comandi equivalenti; visualizzano su monitor l'attuale configurazione del router (quella in

RAM).

show configuration Visualizza su monitor la configurazione salvata su FLASH.

NOTA: quando viene visualizzata una configurazione, vengono riportate solo le opzioni che

non sono al valore standard.

Configurazione e controllo delle interfacceL'IOS assegna ad ogni interfaccia fisica di rete un identificativo univoco all'interno del sistema. Questo identificativo èformato dal loro nome "tecnologico" più un identificativo numerico (quindi si troveranno Ethernet0, Ethernet1, Serial 0,Serial1) in ordine crescente.

Da questo punto in poi si seguiranno le seguenti regole:

i comandi, eccetto quando chiaramente specificato, saranno comandi disponibili solamente da in modalità

configurazione (o da un suo sottomenu)

a questa regola fanno eccezione i comandi inizianti per "show", i quali sono disponibili esclusivamente in

modalità "enable".



15

TECNONET S.p.A.

Comandi fondamentali

ip subnet-zero Abilita l’uso della subnet zero sulle interfacce e sulle routing updates. In mancanza

di questo comando non è possibile configurare una rete come 130.192.1.0 netmask

255.255.255.252, ma solo 130.192.1.4.

ip address indirizzo maschera [secondary] Assegna all’interfaccia l’indirizzo indirizzo. Questo comando permette

l'entrata nel sottomenu di configurazione delle interfacce. L’opzione secondary

indica che l’indirizzo è secondario.Description descrizione_interfaccia Assegna una stringa letterale per la descrizione dell’interfaccia.

Shutdown Disabilita il funzionamento di quell'interfaccia (può essere utilizzato ad esempio

dalle interfacce ISDN per forzare la terminazione della chiamata corrente); per

riattivare l'interfaccia è necessario digitare no shutdown.

mtu valore Definisce una MTU diversa rispetto a quella standard.

ip proxy arp Abilita il proxy arp su quell’interfaccia.

Show interface [nome] Visualizza gli attuali dati relativi alle interfacce del router; se viene specificato

nome, vengono visualizzati solamente i dati relativi a quell'interfaccia.

Encapsulation ppp | hdlc

(solo link seriali e ISDN)

Definisce il tipo di protocollo sul link fisico. HDLC è una versione proprietaria

CISCO (permette il multiprotocol), per cui è necessario usare il PPP quando è

necessaria l’interoperabilità con altri costruttori. HDLC non prevede

autenticazione.

Clockrate valore

(solo su link seriali)

Definisce la velocità del link seriale (non usato per ISDN). Il clock rate va abilitato

solo nel caso di connessione di router con cavo DCE/DTE, e solo sul router che

dispone del lato DCE. In un normale collegamento il clock viene fornito dal

modem e non dall’interfaccia.

ppp authentication {chap | pap} Abilita l’uso dell’autenticazione su quel particolare link PPP. Per autenticarsi

dall'altra estremità del link, il router usa come nome utente il proprio nome.

Entrambi i protocolli di autenticazione possono essere contemporaneamente attivi,

e vengono tentati nell’ordine in cui compaiono.

Username name password secret passwd Associa password a nomi, ed è un comando di configurazione globale (non di

interfaccia). Il router usa come password quella associata al proprio nome;

secret è un numero che specifica il tipo di cifratura per la password.

Esempi di configurazione interface Ethernet1

ip address 128.99.3.8 255.255.255.0ip addr 128.99.4.9 255.255.255.0 sec

no shutdown

exit

interface Bri0

ip address 128.99.9.2 255.255.255.0no shutdown

exit

interface Serial0

ip address 128.99.10.3 255.255.255.0clockrate 2000000

encapsulation ppp

no shutdown

end

Configurazione ISDN I passi fondamentali per la configurazione di ISDN sono:

configurazione del tipo di ISDN

configurazione delle interfacce

configurazione dei gruppi

configurazione delle eventuali access-list

Comandi principali

isdn switch-type basic-net3 Imposta il tipo di switch con cui operare (euro-isdn).

Nelle ultime versioni di IOS questo comando è diventato comando di

interfaccia (prima era globale), per cui diventa possibile avere interfacce ISDN

attaccate a diversi tipi di centralini (con segnalazione diversa).

Show isdn status Visualizza lo stato delle connessione; la voce “layer 3” indica se la chiamata è

in piedi oppure no.Dialer string num Utilizza sempre il numero num per aprire una chiamata.

Questo comando (oppure in alternativa quello successivo) è sempre

obbligatorio.



16

TECNONET S.p.A.

dialer map prot indir [name name] num Permette di definire più numeri a cui instradare la chiamata a seconda del

pacchetto che si presenta all’interfaccia, con il significato "per instradare un

pacchetto del protocollo prot verso il next-hop indir apri una connessione

con il numero ISDN num". Il pacchetto deve essere di interesse per

l’interfaccia; inoltre la corrispondenza tra indir e num è utilizzata anche in

fase di accettazione delle chiamate (“Se devo raggiungere l'indirizzo indir

devo comporre il numero num” ma anche: “Riconosco come pacchetti validi

provenienti da indir solo quelli che provengono da una connessione colnumero num”).

dialer-group num Indica il tipo di filtro da applicare ai pacchetti che attraversano l’interfaccia

(specifica il gruppo di accesso cui appartiene l’interfaccia); è un comando

obbligatorio.

dialer idle-timeout sec Tempo dopo il quale, se non viene rilevato traffico su quell'interfaccia, il

collegamento viene disattivato. Se non specificato viene adottato quello

standard (120 sec).

isdn answer1 num Indica che può accettare chiamate provenienti dal numero ISDN num; è usato

per il controllo accessi.

dialer-list num protocol proto [permit |deny]

Definisce la dialer-list numero num, abilitando (permit) o negando (deny)

la chiamata per tutti i pacchetti del protocollo proto. E' un comando di

configurazione globale.

dialer-list num protocol proto listnum_list

Abbina la dialer-list numero num (che vale solamente per un certo protocollo

proto) all’access-list num_list.

access-list num {permit | deny} proto

source [source-mask]

Crea la lista di accesso numero num:

permit: identifica pacchetti che causeranno l’instaurazione di una

connessione

deny: identifica pacchetti che non causeranno l’instaurazione di

una connessione

source-mask: i bit a 1 indicano le posizioni che si vogliono

ignorare (l'opposto della netmask IP)

Esempio: permettere l’ingresso e l’uscita a tutti i pacchetti IP:access-list 101 permit ip any any

access-list num {permit | deny} proto

source source-mask dest dest-mask

Analoga alla versione precedente, ma con sintassi estesa; controlla i pacchetti

in base agli indirizzi sorgente e destinazione degli stessi.

Esempio: disabilitare l’inoltro dei pacchetti IGRP provenienti da qualunque

sorgente e diretti verso qualunque destinazione:access-list 101 deny igrp 0.0.0.0

255.255.255.255 0.0.0.0 255.255.255.255

show dialer Visualizza le informazioni sui dialers attivati; il campo "last called" indica il

tempo trascorso da quando l'interfaccia indicata ha effettuato una chiamata

ISDN.

show dialer interface Visualizza le informazioni sui dialer profiles attivati.

show dialer map Visualizza i dialer map correnti, l’indirizzo del next hop a cui instradare la

chiamata, username utilizzati, le interfacce sulle quali sono configurati.

clear dialer Azzera i valori delle statistiche.

Configurazione dei gruppi e delle Access ListsOgni interfaccia dial-up deve appartenere ad almeno un gruppo logico (dialer-group) che identifica una serie di

interfacce con determinate caratteristiche (ad esempio quelle di sicurezza) comuni. Un gruppo di esempio può essere“chiamate dial-up verso la sede centrale”. Se l'interfaccia appartiene a più gruppi (dialer_list), sarà possibile specificarein ognuno di essi diverse politiche di accesso per un ben determinato protocollo (IP, IPX, …).

Dopo aver specificato l'appartenenza di ogni interfaccia ad almeno un gruppo, è necessario definire le caratteristiche diogni gruppo, ossia definire in base a che pacchetti l’interfaccia è abilitata a fare la chiamata verso la sede remota. Nell'esempio seguente la chiamata viene instradata se ci sono dei pacchetti IP da instradare:

Interface BRI0

dialer-group 1

exit

dialer-list 1 protocol ip permit

La dialer-list non permette tuttavia di definire politiche sofisticate in quanto permette di scegliere solo il protocollo manon altri dettagli (ad es. abilitare alla chiamata solo i pacchetti che arrivano da una certa sottorete). Per politiche più

complesse la dialer-list viene associata ad una access-list, permettendo di abbinare quel particolare gruppo ad una serie



17

TECNONET S.p.A.

di politiche estese definite da queste ultime strutture. Per una data dialer-list e un dato protocollo è possibile una solaaccess-list, la quale può essere composta da più righe rendendo possibili diverse politiche contemporaneamente.

L'access-list specificherà in dettaglio le politiche che daranno luogo all’instaurazione della chiamata.

Esempio completo di configurazioneconf t Entra in modalità configurazione.Isdn switch-type basic-net3 Definisce il tipo di ISDN utilizzato.

Interface BRI0 Entra in configurazione interfaccia.

Ip address 130.192.27.33 255.255.255.240 Definisce l'indirizzo IP.

Encapsulation ppp Definisce il livello 2.

Dialer map ip 130.192.27.34 5178046 Abbina il numero telefonico da chiamare con l'indirizzo IP remoto.

Dialer-group 1 Assegna l'interfaccia al gruppo numero 1.

Exit Esce dalla configurazione dell'interfaccia.

ip route 130.192.27.0 255.255.255.0

130.192.27.34

Configura le route statiche necessarie per raggiungere il resto della rete

attraverso ISDN.

Dialer-list 1 protocol ip list 101 Dialer-list: definisce come “interessanti” tutti i pacchetti IP, quindi associa il

dialer-group 1 alla access-list 101 per un miglior raffinamento della politica

di accesso.

Access-list 101 permit ip any any Filtro (numero 101) da applicare ai pacchetti. In questo caso, una access-listcosì semplice è superflua in quanto sarebbe bastato il semplice comando

dialer-list. Una access list “migliore” potrebbe essere:access-list 101 permit ip 126.0.0.0

0.255.255.255128.16.64.0 0.0.0.255

access-list 101 deny igrp 0.0.0.0

255.255.255.255

0.0.0.0 255.255.255.255

dove si accettano in ingresso i pacchetti della rete 126.x diretti verso la

128.16.64.x, purché questi pacchetti non siano IGRP.

End Termina la configurazione corrente.

Comandi comuni ai vari protocolli di routing

router proto [ID] Abilita il protocollo di routing specificato; entra in modalità di configurazione di tale

protocollo; ha modalità leggermente diverse per ogni protocollo.

Network indirizzo_di_rete Specifica le reti (direttamente connesse al router) che sono nel dominio di routing in

esame (e che verranno annunciate dal protocollo); il router automaticamente capisce quali

sono le sue interfacce interessate dal dominio, ed abilita l'invio e le ricezione di messaggi

di updates attraverso quelle interfacce. La sintassi del comando è leggermente diversa in

OSPF e in BGP.

Passive-interface interfaccia Inibisce l’invio di messaggi di update sull’interfaccia (che, ad esempio, è al bordo del

dominio di routing). Può essere una ragione amministrativa (evitare di propagare

messaggi in una specifica direzione) oppure economica (impedire la generazione di

messaggi di routing su linee commutate quali ISDN).

Default-metric metrics Comando abbinato al redistribute , indicando che tutte le route apprese dall’esterno

sono da ridistribuire con metrica metrics; ha modalità leggermente diverse per ogni

protocollo.

Comandi specifici per ogni protocollo

Router rip Abilita il protocollo di routing RIP.RIP Version 1 | 2 Abilita l’invio di messaggi secondo la versione 1 o 2 (default 1);

nella ricezione capisce ambedue le versioni.



18

TECNONET S.p.A.

Neighbor indirizzo Indica al router di inviare i messaggi RIP non solo in broadcast, ma

anche all’indirizzo indirizzo specificato; è usato su reti senza

capacità broadcast oppure per prevenire l'invio dei messaggi di

aggiornamento a specifici routers (ad esempio su LAN in

congiunzione al comando passive-interface , per abilitare

solo specifici neighbors, per ragioni di policy).

Esempio:interface Ethernet 0

ip address 128.99.1.8 255.255.255.0

exitrouter rip

passive interface Ethernet0

network 128.99.1.0

neighbor 128.99.1.11end

Default-metric metric Comando abbinato al redistribute, indicando che tutte le

route apprese dall’esterno sono da redistribuire con metrica

metric (in questo caso un numero).

Esempio di configurazione:

aggrega più reti (le 129.99.x.x) in un'unica entry

evita l'invio degli annunci sull'interfaccia ISDN,

ponendola passiva

interface Ethernet 0ip address 128.99.1.8 255.255.255.0

exit

interface Ethernet 1

ip address 128.99.3.8 255.255.255.0

exitinterface Bri 0

ip address 128.99.9.15 255.255.255.0

exitinterface Serial 0

ip address 192.31.7.22 255.255.255.0

exit

router ripversion 2

network 128.99.0.0

network 192.31.7.0

passive-interface Bri0end

router igrp process_id

router eigrp process_id

Attiva il processo di routing.

process_id: identifica il particolare processo di

routing in esecuzione, che deve essere uguale in tutti i

router del dominio IGRP/EIGRP in quantol’informazione viene inclusa negli annunci. Se si è in un

AS registrato è buona norma porre questo identificativo

pari al numero dell’AS; nel caso si voglia impiegare

contemporaneamente IGRP e EIGRP (per esempio per

necessità di transizione), IGRP e EIGRP possono

scambiarsi informazioni solo se process_id = AS.

default-metric k1 k2 k3 k4 k5 Comando abbinato al redistribute, indicando che tutte le route

apprese dall’esterno sono da redistribuire con metrica indicata.

Esempio: default-metric 10000 100 255 11500

Significato dei termini: banda, ritardo, affidabilità,

carico, MTU

metric weights tos k1 k2 k3 k4 k5 Cambia il valore dei parametri utilizzati per il calcolo del costo per

uno specifico codice Tipe Of Service (anche se è fortemente

sconsigliato cambiarli); il significato dei termini è analogo alcomando default-metric .

Valori di default: tos: 0, k1=k3= 1, k2=k4=k5= 0.

no metric holddown

(solo IGRP)

Disabilita l’algoritmo di hold down di IGRP, migliorando il tempo

di convergenza a scapito di possibilità di loop.

IGRP -

EIGRP

show ip eigrp interfaces

show ip eigrp neighbors

show ip eigrp topology

show ip eigrp traffic

(solo EIGRP)

Comandi di controllo del funzionamento del processo EIGRP.



19

TECNONET S.p.A.

Esempio di configurazione interface Ethernet 0

ip address 128.99.1.6 255.255.255.0

exitinterface Ethernet 1

ip address 128.99.3.12 255.255.255.0

exit

interface Bri 0

ip address 128.99.9.4 255.255.255.0


ip address 192.31.7.4 255.255.255.0

exitrouter EIGRP 143

passive-interface Bri 0

network 128.99.0.0

network 192.31.7.0end

router ospf process_id Abilita un processo di routing OSPF:

process_id: identifica il processo di routing OSPF

all’interno del router ed ha significato locale (non viene

trasmesso all’esterno del router)

network indirizzo maschera area id_area La coppia <indirizzo,maschera> individua una o più

interfacce che si trovano nell’area id_area sulle quali vengono

inviati e ricevuti i messaggi OSPF; OSPF annuncia le reticorrisponenti.

maschera è di tipo wildcard (opposta alla netmask

IP), dove

un bit a 0 identifica la parte di rete

un bit a 1 identifica la parte host

id_area è codificato su 4 byte, ed è possibile

utilizzare sia la notazione decimale che quella decimale

puntata.

area id_area stub Dichiara l’area id_area una stub area.

area id_area range indirizzo maschera Specifica un address range da annunciare all’esterno dell’area

id_area, consentendo l'aggregazione di informazioni per la

propagazione all’esterno dell’area id_area (se all’interno

dell’area c’è almeno un’interfaccia con l’indirizzo che cade

all’interno dell’address range, all’esterno è annunciato l’address

range invece dei singoli indirizzi).area id_area virtual-link ID_router Crea un link virtuale con il router che ha ID_router , dove questo

alore è individuabile visualizzando i database di OSPF; l’area

id_area è comune ai due router.

default-information originate [always] Abilita il router di annunciare una route di default all'interno del

suo dominio OSPF, comportandosi da AS Boundary Router (lo

stesso scopo può essere ottenuto con il redistribute). Un AS

boundary router non annuncia necessariamente la route di default,

in quanto potrebbe annunciare più route esterne imparate da altri

protocolli.

Se il router non ha alcuna route di default, questo comando è

ininfluente, a meno che si specifichi la keyword always, nel qual

caso viene comunque sempre immessa una route di default in quel

dominio, anche se il router non ne ha una propria.

show ip ospf database Mostra il database di link state advertisement ricevuti.

OSPF

sh ip ospf neighbor Visualizza tutti i router OSPF adiacenti, indipendentementedall'area a cui appartengono; il campo neighbor_ID mostra

l'identificativo (router_ID) del router remoto.



20

TECNONET S.p.A.

Esempio di configurazione interface Ethernet 0

ip address 128.99.1.6 255.255.255.0

exitinterface Ethernet 1

ip address 128.99.3.6 255.255.255.0

exit

interface Bri 0

ip address 128.99.119.8 255.255.255.0


ip address 192.31.177.12 255.255.255.0


ip address 128.99.27.12 255.255.255.0

exit

router OSPF 1passive-interface Bri 0

network 128.99.1.0 0.0.15.255 area 1

network 128.99.27.12 0.0.0.255 area 1

network 192.31.177.0 0.0.0.255 area 0network 128.99.119.0 0.0.0.255 area 2

area 1 range 128.99.0.0 0.0.31.255

end

router bgp AS Attiva il processo di routing BGP nell’Autonomous System AS.

La configurazione del BGP è leggermente più complessa degli altri protocolli in quanto, oltre alla configurazione delle reti, è

necessario procedere alla configurazione manuale dei neighbors.

network indirizzo mask netmask Identifica questa rete come appartenente al dominio BGP locale e

la inserisce nella propria routing table. Il significato è diverso dai

protocolli IGP in quanto il comando network non definisce le

interfacce sulle quali bisogna inviare gli annunci.

neighbor indirizzo remote-as AS Dichiara come peer (neighbor) il router indirizzo

dell’Autonomous System AS . I neighbor possono essere Internal o

External:

External: normalmente il router condivide un link con

questo peer

Internal: è normalmente posizionato in un qualsiasi

posto dell’AS.

aggregate-address indirizzo maschera Se esiste almeno una route per una rete che rientra nel range di

indirizzi (indirizzo , maschera) BGP annuncia questo range

BGP

Esempio di configurazione interface Ethernet0

ip address 131.108.1.6 255.255.255.0

exitinterface Ethernet1

ip address 192.31.7.6 255.255.255.0

exit

interface Bri0ip address 128.99.119.8 255.255.255.0

exit

router bgp 109

network 131.108.1.0

network 192.31.7.0neighbor 131.108.200.1 remote-as 167

neighbor 131.108.234.2 remote-as 109

neighbor 150.136.64.19 remote-as 99

end

Documents

Reti e dintorni 1