of 20/20
 Reti e dintorni Marzo 2 1 N° 1

Reti e dintorni 1

  • View
    117

  • Download
    0

Embed Size (px)

Text of Reti e dintorni 1

Reti e dintorniMarzo 2001 N 1

2

fatto o come sono stati risolti certi problemi. In questo modo difficile che lesperienza e la conoscenza individuale venga trasmessa agli altri. Personalmente ritengo di fondamentale

importanza, creare un punto dincontro dove queste conoscenze possano incontrarsi, e

PREMESSALo scopo di RETI E DINTORNI cercare di creare una base cooperativa per lo scambio di informazioni tecniche-teoriche e tecnicopratiche sul mondo delle reti. Per questo ognuno pu contribuire alla formazione di queste pagine, inviando il vostro contributo a [email protected] Laggiornamento tecnico fondamentale per mantenere una competitivit e unaffidabilit che ci consenta di affrontare con

credo che RETI E DINTORNI possa essere un buon punto di partenza. Gli apparati con i quali si pu operare in Tecnonet sono molteplici: Enterasys (ex Cabletron); Cisco; Intel; Nortel; Alcatel; ecc. Ogni prodotto ha i suoi pregi e i suoi difetti, ha il suo sistema operativo o il men di configurazione, praticamente una vera e propria babele..dove ognuno di noi deve poter operare, e non sicuramente una cosa da poco. Esistono poche ma sicure regole in Tecnonet: 1) I commerciali trovano il cliente 2) I commerciali vendono qualsiasi cosa

professionalit le situazioni tecniche pi svariate. Il problema principale il tempo a

disposizione, che sicuramente molto poco, presi dai problemi dei clienti e dalle nuove commesse, talvolta proprio impossibile soffermarsi a riflettere su quello che stato

3) I tecnici devono essere esperti su tutto (logicamente anche di apparati visti per la prima volta dal cliente!!)

Quindi come al solito rimbocchiamoci le maniche e andiamo avanti. R. Gaeta

TECNONET S.p.A.

3

loro funzionalit, detta di filtraggio (filtering), permette di ottenere un traffico globale sulla BLAN superiore a quello massimo ammesso per ogni singola LAN. Tale ritrasmissione avviene con una modalit di store & forward, cio il pacchetto ricevuto dal bridge, che si limita solo a leggerlo e a ritrasmetterlo se destinato a macchine residenti su LAN differenti rispetto a quella che lha generato. I bridge possono interconnettere LAN con lo stesso MAC oppure con MAC differenti. In questo secondo caso devono tradurre la PDU di livello 2, ricevuta da una LAN, nella PDU di livello 2 da trasmettere allaltra LAN. In reti che utilizzano protocolli ad accesso casuale (ad esempio CSMA/CD), i bridge hanno sia la propriet di rompere i domini di collisione, dove per dominio di collisione si intende la porzione di rete in cui due trame, trasmesse simultaneamente da due stazioni diverse, collidono, sia di trasmettere, con modalit store & forward, solo i pacchetti che realmente devono transitare da una rete allaltra, mantenendo separati i traffici delle singole LAN. Con riferimento alla figura le quattro stazioni connesse alla LAN, ad

Interconnessione di reti localiDispositivi di interconnessioneLe reti locali hanno limiti in termini di dimensioni massime ammesse, carico massimo supportato e numero massimo di sistemi collegabili. Quando si vuole oltrepassare uno o pi di questi limiti, bisogna creare una LAN estesa (a volte indicata con le sigle ELAN, XLAN o BLAN). Le possibili tipologie di interconnessione si distinguono in base al livello a cui si opera nella pila OSI. Se linterconnessione riguarda il livello fisico si avranno i repeater, se riguarda il livello data-link si avranno i bridge, i router per il livello network e i gateway per i livelli superiori al livello rete. I repeater consentono il collegamento a livello fisico di due LAN omogenee, ossia caratterizzate dalla stessa interfaccia e dallo stesso protocollo daccesso al mezzo trasmissivo. La topologia risultante non deve presentare anelli. In base al loro modo di operare si distinguono in: bit repeater: ricevono, rigenerano, risincronizzano e trasmettono il segnale. Introducono ritardi e si possono utilizzare in reti caratterizzate dalla stessa velocit di trasmissione. buffer repeater: introducono buffer e vengono utilizzati nellinterconnessione di LAN con velocit diverse. Non effettuano controllo di flusso. I bridge, che sono apparati di livello 2, interconnettono LAN con livelli fisico e MAC differenti ma caratterizzate dallo stesso livello LLC. Essi trasmettono solo i pacchetti che devono effettivamente transitare da una LAN ad unaltra, mantenendo separati i traffici locali delle singole LAN che interconnettono. Questa esempio una Ethernet a 10 Mb/s, appartengono allo stesso dominio di collisione: una trasmissione di A verso B occupa tutto il canale (10 Mb) e toglie, ad ogni altra stazione, la possibilit di trasmettere; anche C e D, se vogliono comunicare tra loro, sono costrette ad aspettare che il canale sia libero. Al contrario, se si suddivide lo stesso numero di stazioni su due reti Ethernet a 10 Mb, connesse tramite un bridge, si realizzano due domini di collisione

separati, permettendo cos simultaneamente una comunicazione tra A e B e una tra C e D. Nel primo caso il traffico smaltito di 10 Mb/s e la dimensione massima della rete, 2 km, nel secondo caso si ha un traffico smaltito di 20 Mb/s in condizioni di totale localit di traffico ed una dimensione massima complessiva di circa 4 km (2 km per ogni spezzone); il bridge ha quindi permesso la creazione di una rete pi estesa e con una capacit totale maggiore. Linterconnessione di pi LAN tramite bridge presenta le seguenti caratteristiche: si migliora laffidabilit della rete (se si guasta una delle LAN le altre continuano a funzionare); si migliorano le prestazioni: separando il traffico locale da quello globale si sfrutta la diversit spaziale;

TECNONET S.p.A.

4

si migliorano le caratteristiche di sicurezza: possibile, se necessario, confinare il traffico contenente informazioni riservate; possibile collegare reti distanti fisicamente utilizzando due half-bridge collegati tra loro con un canale punto-punto. I router, cio commutatori di pacchetto operanti a livello 3 del modello di riferimento OSI, garantiscono linterconnessione tra reti eterogenee a livello MAC e LLC. Eseguono algoritmi di instradamento, ovvero scelgono il percorso ottimale tra la sorgente e la destinazione utilizzando opportuni algoritmi di instradamento. Analogamente ai bridge, memorizzano e ritrasmettono pacchetti ( store & forward). Linstradamento nella rete Internet basato sulluso di tabelle di instradamento allinterno di router IP. Ciascun router sa verso quale altro router deve indirizzare i pacchetti che riceve ma non ha conoscenza del percorso completo, n della posizione della sorgente e del destinatario. I router, a differenza dei bridge, permettono lesistenza di anelli nella topologia. Il gateway utilizzato quando le architetture delle due reti che si vogliono interconnettere sono talmente diverse da richiedere di risalire a livelli superiori al livello rete, spesso addirittura fino al livello applicativo.

Vengono qui di seguito descritti brevemente i due diversi modi di realizzazione.

Transparent BridgeSono conformi allo standard IEEE 802.1d e servono per linterconnessione di LAN IEEE 802 comprese le LAN Ethernet. I bridge sono formati da una CPU general purpose, da due o pi interfacce per linterconnessione con le LAN e da un filtering database (una tabella di instradamento) contenuto in una memoria RAM. Ogni riga della tabella formata da una coppia indirizzo destinazione/interfaccia di uscita, che ne costituisce una riga (o entry). Le entry sono di due tipi: statiche: cio configurate, tramite operazioni di management dal gestore; dinamiche: cio inserite autonomamente dal bridge ( learning process). Il bridge, infatti, memorizza, per ogni trama ricevuta, la porta di arrivo e il mittente, informazioni che gli serviranno quando dovr instradare pacchetti che hanno quella stazione come destinazione. Le entry statiche hanno priorit su quelle dinamiche: non verranno quindi mai create entry dinamiche per un indirizzo MAC di cui vi sia gi unentry statica. Le entry dinamiche hanno un tempo di vita limitato: ad ognuna associato un timeout entro il quale la entry deve essere aggiornata o eliminata, questo per impedire che eventuali cambiamenti della rete rendano le tabelle inconsistenti. E preferibile che il bridge non conosca come raggiungere una destinazione piuttosto che instradi le trame secondo informazioni vecchie e magari non pi valide a causa di guasti o riconfigurazioni. Quando una trama arriva su uninterfaccia, la CPU ne analizza lintestazione per individuare lindirizzo MAC di destinazione; importante osservare che i pacchetti non sono mai indirizzati direttamente ai Trasparent Bridge, di cui ignorata lesistenza (da qui il nome di bridge trasparenti), ma sempre alle stazioni di utente. Lindirizzo destinazione confrontato con tutte le entry della tabella di instradamento; se rilevata una corrispondenza, la CPU inoltra la trama unicamente sulla porta associata, in caso contrario la trama inoltrata su tutte le porte attive in forwarding, tranne quella di provenienza. Come detto i bridge devono instradare pacchetti sulla rete e quindi hanno bisogno di costruirsi tabelle di instradamento. Se la topologia della BLAN ad albero, la costruzione di tali tabelle pu avvenire con un algoritmo molto semplice, in modo automatico, tramite un processo di apprendimento (learning process). Poich tuttavia preferibile avere topologie magliate per ragioni di affidabilit, occorre integrare il learning process con un algoritmo detto di spanning tree per riportare dinamicamente una topologia magliata ad una topologia ad albero, escludendo dalloperativit opportune porte di opportuni bridge. Tale problema non esiste nei source routing bridge, in quanto il

Interconnessione mediante bridgeI bridge hanno le seguenti caratteristiche generali: operano al livello 2 del modello di riferimento OSI, e pi precisamente al sottolivello MAC; per questo sono molto spesso detti MAC-Bridge; hanno algoritmi di instradamento molto semplici: ogni bridge calcola autonomamente le sue tabelle di instadamento senza interagire con gli altri bridge, con un algoritmo di routing isolato; si utilizzano normalmente per le interconnessioni locali, anche se sono stati usati nel passato, in modo un poco problematico, anche per le interconnessioni geografiche. I bridge possono essere realizzati secondo due filosofie diverse che differiscono per il luogo dove sono memorizzate le tabelle di instradamento (o tabelle di filtraggio): transparent bridge: sono i bridge conformi allo standard IEEE 802.1d, di derivazione Ethernet. Hanno le tabelle di instradamento a bordo e sono trasparenti, nel senso che i sistemi interconnessi alle LAN ignorano la loro esistenza; source routing bridge: sono i bridge di derivazione token-ring. Non hanno tabelle di instradamento a bordo, che sono invece mantenute dai sistemi connessi alle LAN; in fase di trasmissione del pacchetto, le stazioni devono specificare esplicitamente il cammino che il pacchetto dovr` a fare per giungere a destinazione, indicando tutti i bridge da attraversare (che quindi sono indirizzati esplicitamente).

TECNONET S.p.A.

5

pacchetto, quando viene generato, contiene la specifica completa del cammino che dovr seguire. Le funzioni fondamentali svolte da un bridge trasparente sono quindi: ricezione, filtraggio, processo di apprendimento e inoltro dei pacchetti; mantenimento delle informazioni necessarie per prendere le decisioni di filtraggio; governo e controllo della correttezza delle precedenti funzioni (management).

Ricezione dei pacchetti (Frame Reception)Esiste un database che associa gli indirizzi MAC delle stazioni di utente collegate alla rete, alle porte (connessioni) del bridge ad una LAN. Lentit MAC associata ad ogni porta riceve ed esamina tutti i pacchetti trasmessi sulla LAN cui connessa. La prima analisi riguarda il campo FCS per determinare se il pacchetto corretto o errato. I pacchetti errati sono scartati. I pacchetti indirizzati effettivamente alle entit di livello superiore del bridge (che sono normalmente una piccola parte) vengono affidati al livello LLC associato alla porta di ricezione. Questi pacchetti contengono come indirizzo MAC o lindirizzo di una porta del bridge o un indirizzo multicast cui appartiene almeno una porta del bridge. Gli altri pacchetti sono passati allentit MAC di inoltro.

eventuale accodamento per la trasmissione su altre porte. Condizione necessaria che sia la porta di ricezione sia le porte di destinazione si trovino in stato di forwarding. Il processo di inoltro accoda il pacchetto su una singola porta se questo ha un indirizzo di destinazione MAC di tipo singolo, su tutte le porte se tale indirizzo multicast o broadcast. Il processo di inoltro consulta la tabella di instradamento per determinare su quale porta eventualmente accodare il pacchetto in funzione del suo indirizzo di destinazione. Tale accodamento rispetta rigorosamente lordine di arrivo dei pacchetti, opera cio in modalit FIFO (First-In First-Out). Un pacchetto viene rimosso da tale coda quando viene trasmesso, indipendentemente dallesito delloperazione, nel caso in cui venga superato il tempo massimo di transito del pacchetto nel bridge ( maximum bridge transit delay) e quando la porta in considerazione abbandona lo stato di forwarding.

Processo di apprendimento (Learning Process)Il processo di apprendimento osserva lindirizzo sorgente dei pacchetti ricevuti su ogni porta e aggiorna le entry dinamiche della tabella di instradamento, condizionatamente allo stato delle porte. Il MAC-SAP indica al processo di apprendimento che la stazione con quellindirizzo raggiungibile attraverso la porta che ha ricevuto il pacchetto. Tale metodologia di apprendimento conosciuta come routing isolato - backward learning in quanto un indirizzo di sorgente attuale crea o aggiorna una entry dinamica della tabella di instradamento relativamente ad una destinazione che potr essere utilizzata in fututo. Le condizioni in cui possibile creare o aggiornare una entry dinamica sono: la porta da cui stato ricevuto il pacchetto deve essere in uno stato che permetta lapprendimento dellindirizzo MAC (stato di learning o di forwarding); non esiste gi unentry statica (una entry fissata staticamente che non pu cambiare durante il processo) per quellindirizzo MAC. Se il numero risultante di tutte le entry supera la capacit massima della tabella di instradamento, una entry pi vecchia viene rimossa per fare spazio alla nuova entry. Si ricordi che esiste anche il meccanismo del timeout per tenere le tabelle compatte.

Filtraggio dei pacchetti (Filtering Database)I pacchetti trasmessi da un sistema S1 verso un sistema S2 vengono confinati dai bridge nelle LAN che formano il percorso da S1 a S2. Questo tipo di filtraggio il pi comune e serve a ridurre il traffico globale in rete. Le funzioni principali che riguardano il mantenimento delle informazioni di filtraggio sono essenzialmente: lapprendimento automatico ( learning process) delle informazioni relative al filtraggio dinamico, attraverso losservazione del traffico della BLAN; definizione dellet` a massima ( ageing time) delle informazioni relative al filtraggio che sono state apprese automaticamente, oltre la quale le informazioni stesse vengono invalidate; calcolo e configurazione della topologia logica della BLAN (tramite lalgoritmo detto spanning tree che sar presentato successivamente).

Algoritmo di Spanning TreeLalgoritmo di spanning tree riconfigura una topologia magliata di una BLAN in una topologia ad albero, eliminando gli anelli, mediante la disabilitazione di alcune porte dei bridge, nel caso in cui ci siano pi percorsi alternativi (si avrebbe altrimenti un fenomeno di duplicazione dei pacchetti). Si osservi infatti cosa accadrebbe se ci fosse un anello.

Inoltro dei pacchetti (Frame Forwarding)Un pacchetto ricevuto su una porta di un bridge viene affidato al processo di inoltro che deve deciderne un

TECNONET S.p.A.

6

Si supponga che A, appartenente alla LAN1, trasmetta un pacchetto a B, appartenente alla LAN2. Entrambi i bridge, B1 e B2, ritrasmettono il pacchetto sulla LAN2: in tal modo B ricever due copie del pacchetto, una da B1 e laltra da B2. Supponiamo che B1 trasmetta il pacchetto che ha come indirizzo sorgente A e come indirizzo destinazione B prima di B2; il pacchetto sar ricevuto sulla LAN1 tramite B2 che, prima di B2, che che penser che A si trovi nella LAN1. La destinazione B ricever unaltra copia generata da B1; da questo momento in poi A non riceve pi pacchetti poich entrambi i bridge credono di essere collegati alla LAN2. In caso di guasto sul percorso primario, lo spanning tree deve inoltre riconfigurare automaticamente la topologia della BLAN, senza la formazione di anelli in transitorio. Per gestire la configurazione della topologia attiva, lalgoritmo di spanning tree prevede lassegnazione di una priorit ai bridge e alle porte di ciascun bridge. Tutti i bridge devono inoltre avere un identificatore univoco. A tal fine si definisce un bridge ID (identifica la priorit del bridge), un port ID (identifica la priorit della porta di un bridge). E essenziale anche la definizione di un indirizzo multicast che identifichi tutti i bridge del sistema. I valori pi bassi di tali identificatori indicano priorit maggiore. La configurazione di una topologia attiva (albero) partendo da una topologia arbitraria (maglia) avviene ponendo alcune porte di alcuni bridge in blocking state (stato di disabilitazione temporanea). Le porte che sono in blocking state non partecipano alla topologia attiva, ma sono pronte ad entrare a farne parte in caso di guasto di qualche componente della BLAN. Passi dellalgoritmo di spanning tree Lalgoritmo opera nei seguenti passi: elezione del bridge radice (root bridge): poich si vuole identificare un albero, il primo passo consiste nellidentificare la radice dellalbero. Per definizione il bridge con identificativo (bridge ID) minore (oppure il MAC minore); selezione della porta del bridge radice (root port): per ogni bridge si identifica la porta pi conve-

niente per interconnettere il bridge verso il bridge radice; selezione del bridge designato (designated bridge): per ogni LAN si sceglie quale bridge designato a interconnettere la LAN con il root bridge. Questo passo particolarmente importante quando esistono pi cammini tra la LAN e il bridge radice. Ogni LAN ha solo un bridge designato che il bridge pi vicino al bridge radice (ha costo minore) e che si incaricher di trasmettere i pacchetti verso il bridge radice. A parit di costo si sceglie il bridge con bridge ID minore. La porta del bridge designato che interconnette la LAN detta porta designata (designeted port). Il bridge radice lunico bridge che ha tutte porte designate. La comunicazione tra i bridge per lesecuzione dellalgoritmo avviene mediante lo scambio continuo di BPDU contenenti: identificatore del bridge sorgente (chi ha trasmesso la BPDU-Bridge Protocol Data Unit); identificatore del bridge considerato radice; identificatore della porta considerata come root port dalla sorgente (e relativo costo). Inizialmente tutti i bridge trasmettono BPDU dichiarandosi bridge radice. Su ogni LAN dopo breve tempo solo il bridge con identificativo inferiore crede di essere radice; questo anche sulla LAN su cui collegato il vero bridge radice. Quando un bridge collegato alla LAN su cui presente il bridge radice riceve la BPDU con indicazione del bridge radice, in grado di determinare la sua porta verso la radice ed il costo per raggiungere la radice (pari al costo della porta cui collegato al bridge radice). Questi bridge trasmettono BPDU contenenti informazioni sul bridge radice e sul loro costo per raggiungerlo. Basandosi su queste informazioni gli altri bridge calcolano il loro costo verso il bridge radice (sommando al costo che ricevono il costo della loro porta) e la loro porta radice. Al termine di questo processo tutti i bridge conoscono il bridge radice, e la loro distanza dal bridge radice. Su ciascuna LAN, diventa bridge designato il bridge con costo minimo verso il bridge radice. A parit di costo viene considerato pi vicino alla radice il bridge con identificatore pi basso; sullo stesso bridge, a parit di costo di porte, ha la precedenza la porta con identificatore pi basso. Determinato ci si procede alla messa in stato di blocking delle porte che non sono n root port n designated port. Fatto ci si determinata la topologia attiva e si pu procedere alla trasmissione dei pacchetti. R.Gaeta Bibliografia RETI LOCALI Dal cablaggio allintenetworking Scuola Superiore G.REISS ROMOLI S. Gai, P.L. Montessoro, P. Nicoletti Interconnections: Bridges and Routes Addison Wesley R. Perlman

TECNONET S.p.A.

7

Dove num un numero compreso tra 1 e 10 (secondi). Di default uguale a 2.

Per modificare il Maximum Age (tempo che intercorre dallo stato di blocking allo stato di listening. Default = 20 sec) si usi il comando: Stp set bridging max-age num Dove num compreso tra 6 e 40 (secondi) Per modificare il Forward Delay (tempo che intercorre dallo stato di listening allo stato di learning e dallo stato di learning allo stato di forwarding. Default = 15 sec) si usi il comando: Stp set bridging forward-delay num Dove num compreso tra 4 e 30 Per modificare la priority delle porte si usi:

Comandi di configurazioneSpanning Tree su Switch/Router Enterasys (ex Cabletron): SSR2000 SSR8000 SSR8600Lo Spanning Tree Protocol (IEEE802.1D) disabilitato di default su tutte le porte. Per abilitare lo STP su una porta specifica o su un opportuno range di porte si esegua, dalla modalit di configurazione, il seguente comando: stp enable port port-list per esempio stp enable port et.1.5 (abilito STP sulla porta 3 del modulo 1 ethernet) Per esempio stp enable port gi.(10-12).(1-2) (abilito STP sulle porte Gigabit 1 e 2 dei moduli da 10, 11 e 12)

Stp set port port-list priority num Dove num compreso tra 0 e 255 (default = 128) Il costo associato alle porte di default come in tabella: Velocit porta Costo 1000 Mb/s 1 100 Mb/s 10 10 Mb/s 100 Nel caso si voglia modificare questi valori si usi il comando: Stp set port port-list port-cost num Dove num compreso tra 1 e 65535

Spanning Tree su Switch Cisco basati su comandi di tipo SETTutti gli switch Cisco hanno lo Spanning Tree abilitato di default su tutte le porte. (Personalmente consiglio di disabilitarlo su tutte le porte dove non sia strettamente necessario!). I comandi per abilitare e disabilitare lo spanning tree sono: Set spantree enable mnum/pnum

Si consiglia di abilitare lo spanning tree soltanto sulle porte che effettivamente fanno parte di anelli fisici. Ricordo che in caso di cambiamenti di topologia tutte le porte abilitate allo spanning tree entrano in stato di blocking, e ritornano in stato di forwanding allincirca dopo un minuto. Per modificare la root priority si utilizzi il comando: Stp set bridging priority num Dove num deve essere un numero65535, di default uguale a 32768

compreso fra 0 e

Dove mnum = numero modulo e pnum = numero porta

E conveniente far diventare Root Bridge, lo switch pi centrale. Ricordo che nel caso non si modifichi il valore di default, diventer Root Bridge quello che ha il valore di MAC pi basso. Si sconsiglia di modificare i timer relativi allo spanning tree o comunque di modificarli dopo attenta valutazione. Per modificare il tempo di trasmissione che intercorre tra una BPDU e unaltra si utilizzi il comando: Stp set bridging hello-time num

Set spantree disable mnum/pnum Per modificare la root priority si utilizzi il comando: Set spantree priority num Dove num compreso tra 0 e 65535 Oppure si possono utilizzare i comandi: Set spantree root Il valore della root priority diviene 8192 (default 32768)

TECNONET S.p.A.

8

Set spantree secondary Il valore della root priority diviene 16384 Per modificare il tempo di trasmissione che intercorre tra una BPDU e unaltra si utilizzi il comando: Set spantree hello num Default 2 sec Per modificare il Maximum Age (tempo che intercorre dallo stato di blocking allo stato di listening. Default = 20 sec) si usi il comando: Set spantree maxage num Dove num compreso tra 6 e 40 Per modificare il Forward Delay (tempo che intercorre dallo stato di listening allo stato di learning e dallo stato di learning allo stato di forwarding. Default = 15 sec) si usi il comando: Set spantree fwdelay num Dove num compreso tra 4 e 30 Il comando seguente permette al root bridge di settare in modo automatico i timers dello spanning tree definendo il numero massimo di bridge che collegano due end-points: Set spantree root dia num Dove num compreso tra 2 e 7 Per modificare la priority delle porte si usi: Set spantree portpri mnum/pnum num Dove num compreso tra 0 e 63 Per modificare il costo associato alle porte si usi: Set spantree portcost mnum/pnum num Dove num compreso tra 1 e 65535 Dato che tutte le porte di default hanno lo spanning tree abilitato, un qualsiasi cambiamento topologico sugli anelli fisici presenti comporta che tutte le porte degli switch entrano in blocking. Per evitare questo gli switch Cisco possono utilizzare sulle porte dove sono collegati Pc o Server il seguente comando: Set spantree portfast mnum/pnum enable

(La domanda per quale motivo Cisco non suggerisce semplicemente di disabilitare lo spanning tree su queste porte?. domanda in effetti posta da me allistruttore del corso Cisco BCSMN . La risposta incredibile che non ci aveva mai pensato!!!!.. se qualcuno ha una vaga idea del perch si debba preferire il portfast alla semplice disabilitazione dello STP sulla porta, si faccia avanti.)

TECNONET S.p.A.

9

I port number hanno 16 bit. Quelli minori di 256 sono i cosidetti well-known port, riservati per i servizi standard. Ad esempio:

Port number 7 20 21 23 25 80 110

Servizio Echo Ftp (control) Ftp (data) Telnet Smtp Http Pop versione 3

Il livello transport di Internet Illivello transport di Internet basato su due protocolli: TCP (Transmission Control Protocol) RFC 793, 1122 e 1323; UDP (User Data Protocol) RFC 768. Il secondo di fatto IP con laggiunta di un breve header, e fornisce un servizio di trasporto datagram (quindi non affidabile). Lo vedremo brevemente nel seguito. Il protocollo TCP stato progettato per fornire un flusso di byte affidabile, da sorgente a destinazione, su una rete non affidabile. Dunque, offre un servizio reliable e connection oriented, e si occupa di: accettare dati dal livello application; spezzarli in segment, il nome usato per i TPDU (dimensione massima 64 Kbyte, tipicamente circa 1.500 byte); consegnarli al livello network, eventualmente ritrasmettendoli; ricevere segmenti dal livello network; rimetterli in ordine, eliminando buchi e doppioni; consegnare i dati, in ordine, al livello application. E un servizio full-duplex con gestione di ack e controllo del flusso.

Poich le connessioni TCP, che sono full duplex e point to point, sono identificate dalla coppia di socket number alle due estremit, possibile che su un singolo host pi connessioni siano attestate localmente sullo stesso socket number. Le connessioni TCP trasportano un flusso di byte, non di messaggi: i confini fra messaggi non sono n definiti n preservati. Ad esempio, se il processo mittente (di livello application) invia 4 blocchi di 512 byte, quello destinatario pu ricevere: 8 pezzi da 256 byte; 1 pezzo da 2.048 byte; ecc. Ci pensano le entit TCP a suddividere il flusso in arrivo dal livello application in segmenti, a trasmetterli e a ricombinarli in un flusso che viene consegnato al livello application di destinazione. C comunque la possibilit, per il livello application, di forzare linvio immediato di dati; ci causa linvio di un flag urgent che, quando arriva dallaltra parte, fa s che lapplicazione venga interrotta e si dedichi a esaminare i dati urgenti (questo succede quando, ad esempio, lutente durante una sessione di emulazione di terminale digita il comando ABORT (CTRL-C) della computazione corrente).

Il protocollo TCP Indirizzamento

I servizi di TCP si ottengono creando connessione dilivello transport identificata da una coppia di punti daccesso detti socket. Ogni socket ha un socket number che consiste della coppia: IP address: Port number Il socket number costituisce il TSAP.

Le caratteristiche pi importanti sono le seguenti: ogni byte del flusso TCP numerato con un numero dordine a 32 bit, usato sia per il controllo di flusso che per la gestione degli ack; un segmento TCP non pu superare i 65.535 byte; un segmento TCP formato da: uno header, a sua volta costituito da: una parte fissa di 20 byte; una parte opzionale; i dati da trasportare; TCP usa un meccanismo di sliding window di tipo go-back-n con timeout. Se questo scade, il

TECNONET S.p.A.

10

segmento si ritrasmette. Si noti che le dimensioni della finestra scorrevole e i valori degli ack sono espressi in numero di byte, non in numero di segmenti.32 bit Source port Sequence number Ack. number TCP header len. ChecksumU A P R S F R C S S Y I G K H T N N

Destination port

ChecksumWindow size Urgent pointer

Urgent pointer Options

Options (zero o pi parole di 32 bit)

spediti a partire da quello (compreso) che viene confermato con lack number. Un valore zero significa: fermati per un po, riprenderai quando ti arriver un uguale ack number con un valore di window size diverso da zero. simile a quello di IP; il calcolo include uno pseudoheader. puntatore ai dati urgenti. fra le pi importanti, negoziabili al setup: dimensione massima dei segmenti da spedire; uso di selective repeat invece che go-back-n; uso di NAK.

Dati (opzionali)

Attivazione della connessioneI campi dellheader hanno le seguenti funzioni: Source port, destination port identificano gli end point (locali ai due host) della connessione. Essi, assieme ai corrispondenti numeri IP, formano i due TSAP. il numero dordine del primo byte contenuto nel campo dati. il numero dordine del prossimo byte aspettato. quante parole di 32 bit ci sono nellheader (necessario perch il campo options di dimensione variabile). 1 se urgent pointer usato, 0 altrimenti. 1 se lack number valido (cio se si convoglia un ack), 0 altrimenti. dati urgenti (pushed data), da consegnare senza aspettare che il buffer si riempia. richiesta di reset della connessione (ci sono problemi!). usato nella fase di setup della connessione: SYN=1 ACK=0 richiesta connessione; SYN=1 ACK=1 accettata connessione. usato per rilasciare una connessione. il controllo di flusso di tipo sliding window di dimensione variabile. Window size dice quanti byte possono essere

Si usa il three-way handshake: una delle due parti (diciamo il server) esegue due primitive, listen() e poi accept() rimanendo cos in attesa di una richiesta di connessione su un determinato port number e, quando essa arriva, accettandola; laltra parte (diciamo un client) esegue la primitiva connect(), specificando host, port number e altri parametri quali la dimensione massima dei segmenti, per stabilire la connessione; tale primitiva causa linvio di un segmento TCP col bit syn a uno e il bit ack a zero; quando tale segmento arriva a destinazione, lentity di livello transport controlla se c un processo in ascolto sul port number in questione: se non c nessuno in ascolto, invia un segmento di risposta col bit rst a uno, per rifiutare la connessione; altrimenti, consegna il segmento arrivato al processo in ascolto; se esso accetta la connessione, lentity invia un segmento di conferma, con entrambi i bit syn ed ack ad uno, secondo lo schema sotto riportato.

Sequence number

Ack. Number TCP header length

URG ACK

PSH

RST

Client

Server

SYN

syn(seq=x) syn(seq=y, ack=x+1) syn(seq=x+1, ack=y+1)

FIN Window size

TECNONET S.p.A.

11

I valori di x e y sono ricavati dagli host sulla base dei loro clock di sistema; il valore si incrementa di una unit ogni 4 microsecondi.

Controllo delle congestioni

Il rilascio della connessione

Il protocollo TCP assume che, se gli ack non tornanoin tempo, ci sia dovuto a congestione della subnet piuttosto che a errori di trasmissione (dato che le moderne linee di trasmissione sono molto affidabili). Dunque, TCP preparato ad affrontare due tipi di problemi: scarsit di buffer a destinazione; congestione della subnet. Ciascuno dei problemi viene gestito da una specifica finestra mantenuta dal mittente: la finestra del buffer del ricevitore (quella di cui allesempio precedente); la congestion window, che rappresenta quanto si pu spedire senza causare congestione. Il mittente si regola sulla pi piccola delle due.

Il rilascio della connessione avviene considerando laconnessione full-duplex come una coppia di connessioni simplex indipendenti, e si svolge nel seguente modo: quando una delle due parti non ha pi nulla da trasmettere, invia un fin; quando esso viene confermato, la connessione in uscita viene rilasciata; quando anche laltra parte completa lo stesso procedimento e rilascia la connessione nellaltra direzione, la connessione full-duplex termina.

Politica di trasmissione

Lidea di fondo la seguente: la dimensione dellefinestre scorrevoli non strettamente legata agli ack (come invece di solito avviene), ma viene continuamente adattata mediante un dialogo fra destinazione e sorgente. In particolare, quando la destinazione invia un ack di conferma, dice anche quanti ulteriori byte possono essere spediti. Nellesempio che segue, le peer entity si sono preventivamente accordate su un buffer di 4K a destinazione.Dati Mittente Destinatario 0 vuoto 2K seq=0 ack=2048, win=2048 2K seq=2048 ack=4096 win=0 2K 4K 2K ack=4096 win=2048 1K seq=4096 4K Buffer

La congestion window viene gestita in questo modo: il valore iniziale pari alla dimensione del massimo segmento usato nella connessione; ogni volta che un ack torna indietro in tempo la finestra si raddoppia, fino a un valore threshold, inizialmente pari a 64 Kbyte, dopodich aumenta linearmente di 1 segmento alla volta; quando si verifica un timeout per un segmento: il valore di threshold viene impostato alla met della dimensione della congestion window; la dimensione della congestion window viene impostata alla dimensione del massimo segmento usato nella connessione. Vediamo ora un esempio, con segmenti di dimensione 1 Kbyte, threshold a 32 Kbyte e congestion window arrivata a 40 Kbyte:Congestion window 40K, si verifica un timeout 40K

Lettura di 2K

32K Threshold viene ridotta (da 32K a 20K) 20K 16K

1K

2K8K 4K 2K 1K Congestion window 1K Congestion window torna ad 1K

Anche se riceve win=0, il mittente pu comunque inviare: dati urgenti; richieste di reinvio dellultimo ack spedito (per evitare il deadlock se esso si perso).

R. Gaeta Bibliografia: TCP/IP McGraw-Hill Sidnie Feit

TECNONET S.p.A.

12

Generalit sui comandi per i router CiscoScopo di questo documento il fornire una guida rapida per la configurazione dei router Cisco.

GENERALITAI router Cisco si possono distinguere nei seguenti componenti principali:Schede di interfaccia: sono normalmente delle schede di espansione che si inseriscono in appositi alloggiamenti e che ospitano vari tipi di interfacce fisiche (Ethernet, ...), la logica per il loro funzionamento, etc.; normalmente il router viene venduto spoglio (senza interfacce di rete) ed l'utente che decide, in base ai propri bisogni, qual l'insieme di schede pi appropriate per le proprie esigenze. interfacce di rete: comprendono i connettori destinati ad attacchi di rete; tra le principali si possono citare: AUI: interfaccia Ethernet di tipo AUI 10BaseT: interfaccia Ethernet di tipo 10BasetT SERIAL: interfacce seriali sincrone (da collegare, con apposito cavo proprietario, a modem sincroni con interfaccia V.35) BRI: interfaccia verso l'NT di un ISDN basic rate ATM: interfaccia ATM, in fibra oppure in rame interfacce di gestione: comprendono i connettori necessari alla configurazione del router, e principalmente: CONSOLE: interfaccia seriale (asincrona), usata per il collegamento di un terminale seriale per la configurazione del router AUX: porta seriale asincrona RS232 usata per il collegamento di altre periferiche (modem, cavo seriale null modem), spesso per la configurazione remota supporti di memorizzazione memoria ROM: memoria nella quale memorizzato il software di base del router (fondamentalmente quello necessario all'accensione) memoria FLASH: memoria di tipo "permanente", nella quale memorizzato il sistema operativo (IOS) e la configurazione "salvata" memoria RAM: memoria di tipo "temporaneo" (si cancella allo spegnimento del router) nella quale memorizzata la configurazione "corrente" del router e le varie variabili temporanee necessarie al router per il suo funzionamento (es. tabelle di routing, ...) CPU: componente che sovrintende al funzionamento di tutta la macchina, la cui potenza varia a seconda della classe della macchina (e che possono essere anche pi di una a seconda della classe del router). Il compito della CPU si pu riassumere in: svolgimento del processo di forwarding (lettura dei pacchetti in input dalle varie interfacce, determinazione dell'interfaccia di uscita, invio del pacchetto su tale interfaccia) calcolo delle tabelle in instradamento, aggiornamento dei dati di routing supervisione del router (gestione dei comandi dell'operatore, ...) La potenza di un router (intesa in numero di pacchetti al secondo inoltrati) variabile a seconda di alcune scelte architetturali del router: i router di fascia bassa hanno schede (interfacce) "stupide", e tutto il lavoro fatto dall'unica CPU centrale, la cui potenza pu essere variabile a seconda delle prestazioni richieste i router di fascia media hanno schede intelligenti con CPU dedicate a bordo, le quali svolgono autonomamente buona parte del processo di forwarding; la CPU centrale si occupa del calcolo delle tabelle di instradamento e della gestione della macchina i router di fascia alta (layer 3 switch) hanno schede intelligenti con processo di forwarding in hardware, con prestazioni altissime; la CPU centrale si occupa del calcolo delle tabelle di instradamento e della gestione della macchina Il grosso punto di vantaggio dei router Cisco sta nel sistema di gestione, tradizionalmente molto potente (anche se ostico ad un primo impatto); questo sistema operativo (IOS) risiede nella memoria Flash. Dall'interfaccia di gestione possibile dare comandi appositi per la configurazione della macchina.

TECNONET S.p.A.

13

Configurazione: FLASH e memoria, terminale e reteQuando si configura il router (gli si cambiano i parametri, ...) questi comandi vengono salvati nella memoria RAM del router. Il router rende questi comandi immediatamente operativi, ma il loro effetto si esaurisce allo spegnimento del router. Per rendere questa configurazione effettiva anche ad un successivo reboot necessario salvare la configurazione in Flash, da dove verr letta all'accensione del router. Ne consegue che: non detto che la configurazione RAM e FLASH siano allineate; in mancanza della configurazione RAM (ad esempio allo startup del router) viene letta quella della FLASH, altrimenti la prima ad avere la precedenza la configurazione RAM viene trasferita in FLASH solo in corrispondenza di uno specifico comando dell'operatore possibile procedere ad una opportuna politica di backup, copiando la configurazione RAM in FLASH solamente quando si sicuri dalla correttezza della stessa (ad esempio si verificato il corretto comportamento del router in queste condizioni per un certo tempo). La configurazione corrente del router pu essere anche salvata (o letta) via rete, attraverso il protocollo TFTP. E' possibile quindi indicare al router di scrivere il file di configurazione in rete (anzich in FLASH) su uno specifico TFTP server, ottenendo il file testuale della configurazione. Analogamente possibile indicare al router di leggere un file di configurazione via rete anzich procedere alla configurazione manuale del tutto. I router Cisco fanno largo uso di server TFTP; anche il caricamento di una nuova versione del sistema operativo fa uso di questi tipi di servers.

Men e comandiL'IOS ha interfaccia completamente testuale. I suoi men seguono un'organizzazione gerarchica su N livelli annidati: modalit utente: possibile visualizzare alcuni dati di funzionamento del router modalit privilegiata: possibile visualizzare tutti i dati di funzionamento del router e viene abilitata la possibilit di cambiarne la configurazione modalit configurazione: possibile variare i parametri di funzionamento del router e procedere alla sua configurazione sub-men di configurazione di una funzione specifica (ad esempio la configurazione di una interfaccia) E' possibile passare da un livello all'altro con specifiche parole chiave; per uscire dallo specifico sottomen si usa la parola chiave exit. La parola chiave end permette invece il ritorno diretto da qualunque sottomen di configurazione alla modalit privilegiata. In ogni momento l'IOS rende disponibile un help contestuale, richiamabile digitando il carattere "?". Vengono quindi elencati tutti i comandi disponibili in quella particolare modalit; per un help pi specifico possibile digitare "comando ?" in riferimento al comando desiderato. Ogni comando disponibile in forma negata e affermata: possibile abilitare una determinata funzione digitando "stringa_di_comando" e disabilitare la funzione stessa digitando "no stringa_di_comando". Ogni comando disponibile in forma abbreviata (corrispondente ad accorciare le parole dei vari comandi) purch quella parola non sia ambigua. Il comando corrente automaticamente completato con la pressione del tast Tab.

Passi principali per la configurazioneI principali passi necessari alla configurazione completa dei router Cisco pu essere cos schematizzata: configurazione di base: parametri di sistema, password configurazione delle interfacce: configurazione a basso livello, imbustamento, velocit, indirizzi configurazione del routing: route di default, attivazione dellinstradamento (forwarding), parametri propri di ciascun processo di routing (OSPF, ) configurazione avanzata: access lists, etc

Accesso e configurazione di baseL'accesso al router pu avvenire via rete (telnet) oppure collegando un terminale (o un PC) alla console (fisicamente una porta seriale classica) del router. Nel primo caso possibile la gestione da remoto; nel secondo caso necessario essere in locale (oppure collegato al router tramite modem).Accesso via telnet Accesso via console telnet indirizzo_ip Dopo aver collegato un terminale VT100 (oppure un PC mediante un Sono ammessi gli indirizzi IP di tutte le interfacce attive non cavo seriale) possibile inserire direttamente i comandi del sistema unnumbered del router operativo. Parametri per l'emulazione terminale: 9600 bps 8 bit No parity

TECNONET S.p.A.

14

Richiede normalmente due password di accesso: quella per l'accesso al router quella per l'accesso alla modalit privilegiata

Procedura per l'accesso (via telnet): telnet indirizzo_ip viene richiesta la password di accesso si entra in modalit utente Per entrare in modalit privilegiata: enable viene richiesta la password di amministrazione Per entrare in modalit di configurazione: configure terminal (abbreviato: conf t) (oppure configure network per la configurazione via rete) il prompt cambia e ci si trova in modalit di configurazione

Stop Bit 1 Flow Control Hardware Richiede una sola password di accesso, quella per l'accesso alla modalit privilegiata. L'accesso in locale obbligatorio nella fase di configurazione iniziale del router; successivamente possibile utilizzare anche l'accesso telnet (se il router raggiungibile). Procedura per l'accesso (via terminale): uguale a quella via telnet, tranne per il fatto che di default ci si ritrova direttamente in modalit utente (si risparmia una password).

Comandi principali a router spoglioenable Erase startup_config Configure terminal Hostname Cisco1 Enable password ena_pwd Line vty 0 4 Entra in modalit amministrazione (richiede una password). Cancella la configurazione della FLASH. Entra in configurazione; la configurazione fatta da terminale (non da rete). Assegnazione del nome al router. Abilitazione (e configurazione) della password del router locale (quella richiesta alla digitazione del comando enable). Configurazione dei terminali virtuali: il primo numero dopo il VTY indica il numero del primo terminale virtuale; il secondo indica il numero dellultimo terminale virtuale (in questo .caso stata configurata la possibilit di 5 accessi contemporanei al router) Imposizione del login nellaccesso via telnet (ma non impone una password). Abilitazione (e configurazione) della password di accesso al router via telnet. Esce dalla modalit di configurazione dei terminali virtuali. Esce dalla modalit di configurazione.

login password telnet_pwd exit Exit

Altri comandi fondamentali (attivabili solo in modalit enable)write [memory] Write network Reload Write terminal show running-config show configuration Salva nella FLASH la configurazione attiva. Salva su un server TFTP la configurazione attiva. Effettua il reboot del router. Comandi equivalenti; visualizzano su monitor l'attuale configurazione del router (quella in RAM). Visualizza su monitor la configurazione salvata su FLASH. NOTA: quando viene visualizzata una configurazione, vengono riportate solo le opzioni che non sono al valore standard.

Configurazione e controllo delle interfacceL'IOS assegna ad ogni interfaccia fisica di rete un identificativo univoco all'interno del sistema. Questo identificativo formato dal loro nome "tecnologico" pi un identificativo numerico (quindi si troveranno Ethernet0, Ethernet1, Serial 0, Serial1) in ordine crescente. Da questo punto in poi si seguiranno le seguenti regole: i comandi, eccetto quando chiaramente specificato, saranno comandi disponibili solamente da in modalit configurazione (o da un suo sottomenu) a questa regola fanno eccezione i comandi inizianti per "show", i quali sono disponibili esclusivamente in modalit "enable".

TECNONET S.p.A.

15

Comandi fondamentaliip subnet-zero Abilita luso della subnet zero sulle interfacce e sulle routing updates. In mancanza di questo comando non possibile configurare una rete come 130.192.1.0 netmask 255.255.255.252, ma solo 130.192.1.4. Assegna allinterfaccia lindirizzo indirizzo. Questo comando permette l'entrata nel sottomenu di configurazione delle interfacce. Lopzione secondary indica che lindirizzo secondario. Assegna una stringa letterale per la descrizione dellinterfaccia. Disabilita il funzionamento di quell'interfaccia (pu essere utilizzato ad esempio dalle interfacce ISDN per forzare la terminazione della chiamata corrente); per riattivare l'interfaccia necessario digitare no shutdown. Definisce una MTU diversa rispetto a quella standard. Abilita il proxy arp su quellinterfaccia. Visualizza gli attuali dati relativi alle interfacce del router; se viene specificato nome, vengono visualizzati solamente i dati relativi a quell'interfaccia. Definisce il tipo di protocollo sul link fisico. HDLC una versione proprietaria CISCO (permette il multiprotocol), per cui necessario usare il PPP quando necessaria linteroperabilit con altri costruttori. HDLC non prevede autenticazione. Definisce la velocit del link seriale (non usato per ISDN). Il clock rate va abilitato solo nel caso di connessione di router con cavo DCE/DTE, e solo sul router che dispone del lato DCE. In un normale collegamento il clock viene fornito dal modem e non dallinterfaccia. Abilita luso dellautenticazione su quel particolare link PPP. Per autenticarsi dall'altra estremit del link, il router usa come nome utente il proprio nome. Entrambi i protocolli di autenticazione possono essere contemporaneamente attivi, e vengono tentati nellordine in cui compaiono. Associa password a nomi, ed un comando di configurazione globale (non di interfaccia). Il router usa come password quella associata al proprio nome; secret un numero che specifica il tipo di cifratura per la password. interface Ethernet1 ip address 128.99.3.8 255.255.255.0 ip addr 128.99.4.9 255.255.255.0 sec no shutdown exit interface Bri0 ip address 128.99.9.2 255.255.255.0 no shutdown exit interface Serial0 ip address 128.99.10.3 255.255.255.0 clockrate 2000000 encapsulation ppp no shutdown end

ip address indirizzo maschera [secondary]

Description descrizione_interfaccia Shutdown

mtu valore ip proxy arp Show interface [nome] Encapsulation ppp | hdlc (solo link seriali e ISDN) Clockrate valore (solo su link seriali) ppp authentication {chap | pap}

Username name password secret passwd

Esempi di configurazione

Configurazione ISDNI passi fondamentali per la configurazione di ISDN sono: configurazione del tipo di ISDN configurazione delle interfacce configurazione dei gruppi configurazione delle eventuali access-list

Comandi principaliisdn switch-type basic-net3 Imposta il tipo di switch con cui operare (euro-isdn). Nelle ultime versioni di IOS questo comando diventato comando di interfaccia (prima era globale), per cui diventa possibile avere interfacce ISDN attaccate a diversi tipi di centralini (con segnalazione diversa). Visualizza lo stato delle connessione; la voce layer 3 indica se la chiamata in piedi oppure no. Utilizza sempre il numero num per aprire una chiamata. Questo comando (oppure in alternativa quello successivo) sempre obbligatorio.

Show isdn status Dialer string num

TECNONET S.p.A.

16

dialer map prot indir [name name] num

dialer-group num

dialer idle-timeout sec

Permette di definire pi numeri a cui instradare la chiamata a seconda del pacchetto che si presenta allinterfaccia, con il significato "per instradare un pacchetto del protocollo prot verso il next-hop indir apri una connessione con il numero ISDN num". Il pacchetto deve essere di interesse per linterfaccia; inoltre la corrispondenza tra indir e num utilizzata anche in fase di accettazione delle chiamate (Se devo raggiungere l'indirizzo indir devo comporre il numero num ma anche: Riconosco come pacchetti validi provenienti da indir solo quelli che provengono da una connessione col numero num). Indica il tipo di filtro da applicare ai pacchetti che attraversano linterfaccia (specifica il gruppo di accesso cui appartiene linterfaccia); un comando obbligatorio. Tempo dopo il quale, se non viene rilevato traffico su quell'interfaccia, il collegamento viene disattivato. Se non specificato viene adottato quello standard (120 sec). Indica che pu accettare chiamate provenienti dal numero ISDN num; usato per il controllo accessi.

isdn answer1 num dialer-list deny] dialer-list num_list num protocol proto [permit

num

protocol

proto

| Definisce la dialer-list numero num, abilitando (permit) o negando (deny) la chiamata per tutti i pacchetti del protocollo proto. E' un comando di configurazione globale. list Abbina la dialer-list numero num (che vale solamente per un certo protocollo proto) allaccess-list num_list. Crea la lista di accesso numero num: permit: identifica pacchetti che causeranno linstaurazione di una connessione deny: identifica pacchetti che non causeranno linstaurazione di una connessione source-mask: i bit a 1 indicano le posizioni che si vogliono ignorare (l'opposto della netmask IP) Esempio: permettere lingresso e luscita a tutti i pacchetti IP: access-list 101 permit ip any any Analoga alla versione precedente, ma con sintassi estesa; controlla i pacchetti in base agli indirizzi sorgente e destinazione degli stessi. Esempio: disabilitare linoltro dei pacchetti IGRP provenienti da qualunque sorgente e diretti verso qualunque destinazione: access-list 101 deny igrp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 Visualizza le informazioni sui dialers attivati; il campo "last called" indica il tempo trascorso da quando l'interfaccia indicata ha effettuato una chiamata ISDN. Visualizza le informazioni sui dialer profiles attivati. Visualizza i dialer map correnti, lindirizzo del next hop a cui instradare la chiamata, username utilizzati, le interfacce sulle quali sono configurati. Azzera i valori delle statistiche.

access-list num {permit | deny} proto source [source-mask]

access-list num {permit | deny} proto source source-mask dest dest-mask

show dialer

show dialer interface show dialer map clear dialer

Configurazione dei gruppi e delle Access ListsOgni interfaccia dial-up deve appartenere ad almeno un gruppo logico (dialer-group) che identifica una serie di interfacce con determinate caratteristiche (ad esempio quelle di sicurezza) comuni. Un gruppo di esempio pu essere chiamate dial-up verso la sede centrale. Se l'interfaccia appartiene a pi gruppi (dialer_list), sar possibile specificare in ognuno di essi diverse politiche di accesso per un ben determinato protocollo (IP, IPX, ). Dopo aver specificato l'appartenenza di ogni interfaccia ad almeno un gruppo, necessario definire le caratteristiche di ogni gruppo, ossia definire in base a che pacchetti linterfaccia abilitata a fare la chiamata verso la sede remota. Nell'esempio seguente la chiamata viene instradata se ci sono dei pacchetti IP da instradare: Interface BRI0 dialer-group 1 exit dialer-list 1 protocol ip permit La dialer-list non permette tuttavia di definire politiche sofisticate in quanto permette di scegliere solo il protocollo ma non altri dettagli (ad es. abilitare alla chiamata solo i pacchetti che arrivano da una certa sottorete). Per politiche pi complesse la dialer-list viene associata ad una access-list, permettendo di abbinare quel particolare gruppo ad una serie TECNONET S.p.A.

17

di politiche estese definite da queste ultime strutture. Per una data dialer-list e un dato protocollo possibile una sola access-list, la quale pu essere composta da pi righe rendendo possibili diverse politiche contemporaneamente. L'access-list specificher in dettaglio le politiche che daranno luogo allinstaurazione della chiamata.

Esempio completo di configurazioneconf t Isdn switch-type basic-net3 Interface BRI0 Ip address 130.192.27.33 255.255.255.240 Encapsulation ppp Dialer map ip 130.192.27.34 5178046 Dialer-group 1 Exit ip route 130.192.27.0 255.255.255.0 130.192.27.34 Dialer-list 1 protocol ip list 101 Entra in modalit configurazione. Definisce il tipo di ISDN utilizzato. Entra in configurazione interfaccia. Definisce l'indirizzo IP. Definisce il livello 2. Abbina il numero telefonico da chiamare con l'indirizzo IP remoto. Assegna l'interfaccia al gruppo numero 1. Esce dalla configurazione dell'interfaccia. Configura le route statiche necessarie per raggiungere il resto della rete attraverso ISDN. Dialer-list: definisce come interessanti tutti i pacchetti IP, quindi associa il dialer-group 1 alla access-list 101 per un miglior raffinamento della politica di accesso. Filtro (numero 101) da applicare ai pacchetti. In questo caso, una access-list cos semplice superflua in quanto sarebbe bastato il semplice comando dialer-list. Una access list migliore potrebbe essere: access-list 101 permit ip 126.0.0.0 0.255.255.255 128.16.64.0 0.0.0.255 access-list 101 deny igrp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 dove si accettano in ingresso i pacchetti della rete 126.x diretti verso la 128.16.64.x, purch questi pacchetti non siano IGRP.

Access-list 101 permit ip any any

End

Termina la configurazione corrente.

Comandi comuni ai vari protocolli di routingrouter proto [ID] Network indirizzo_di_rete Abilita il protocollo di routing specificato; entra in modalit di configurazione di tale protocollo; ha modalit leggermente diverse per ogni protocollo. Specifica le reti (direttamente connesse al router) che sono nel dominio di routing in esame (e che verranno annunciate dal protocollo); il router automaticamente capisce quali sono le sue interfacce interessate dal dominio, ed abilita l'invio e le ricezione di messaggi di updates attraverso quelle interfacce. La sintassi del comando leggermente diversa in OSPF e in BGP. Inibisce linvio di messaggi di update sullinterfaccia (che, ad esempio, al bordo del dominio di routing). Pu essere una ragione amministrativa (evitare di propagare messaggi in una specifica direzione) oppure economica (impedire la generazione di messaggi di routing su linee commutate quali ISDN). Comando abbinato al redistribute, indicando che tutte le route apprese dallesterno sono da ridistribuire con metrica metrics; ha modalit leggermente diverse per ogni protocollo.

Passive-interface interfaccia

Default-metric metrics

Comandi specifici per ogni protocolloRIPRouter rip Version 1 | 2 Abilita il protocollo di routing RIP. Abilita linvio di messaggi secondo la versione 1 o 2 (default 1); nella ricezione capisce ambedue le versioni.

TECNONET S.p.A.

18

Neighbor indirizzo

Indica al router di inviare i messaggi RIP non solo in broadcast, ma anche allindirizzo indirizzo specificato; usato su reti senza capacit broadcast oppure per prevenire l'invio dei messaggi di aggiornamento a specifici routers (ad esempio su LAN in congiunzione al comando passive-interface, per abilitare solo specifici neighbors, per ragioni di policy). Esempio: interface Ethernet 0 ip address 128.99.1.8 255.255.255.0 exit router rip passive interface Ethernet0 network 128.99.1.0 neighbor 128.99.1.11 end

Default-metric metric

IGRP EIGRP

Comando abbinato al redistribute, indicando che tutte le route apprese dallesterno sono da redistribuire con metrica metric (in questo caso un numero). interface Ethernet 0 Esempio di configurazione: ip address 128.99.1.8 255.255.255.0 aggrega pi reti (le 129.99.x.x) in un'unica entry exit evita l'invio degli annunci sull'interfaccia ISDN, interface Ethernet 1 ponendola passiva ip address 128.99.3.8 255.255.255.0 exit interface Bri 0 ip address 128.99.9.15 255.255.255.0 exit interface Serial 0 ip address 192.31.7.22 255.255.255.0 exit router rip version 2 network 128.99.0.0 network 192.31.7.0 passive-interface Bri0 end router igrp process_id Attiva il processo di routing. process_id: identifica il particolare processo di router eigrp process_id routing in esecuzione, che deve essere uguale in tutti i router del dominio IGRP/EIGRP in quanto linformazione viene inclusa negli annunci. Se si in un AS registrato buona norma porre questo identificativo pari al numero dellAS; nel caso si voglia impiegare contemporaneamente IGRP e EIGRP (per esempio per necessit di transizione), IGRP e EIGRP possono scambiarsi informazioni solo se process_id = AS. default-metric k1 k2 k3 k4 k5 Comando abbinato al redistribute, indicando che tutte le route apprese dallesterno sono da redistribuire con metrica indicata. Esempio: default-metric 10000 100 255 1 1500 Significato dei termini: banda, ritardo, affidabilit, carico, MTU metric weights tos k1 k2 k3 k4 k5 Cambia il valore dei parametri utilizzati per il calcolo del costo per uno specifico codice Tipe Of Service (anche se fortemente sconsigliato cambiarli); il significato dei termini analogo al comando default-metric. Valori di default: tos: 0, k1=k3= 1, k2=k4=k5= 0. no metric holddown Disabilita lalgoritmo di hold down di IGRP, migliorando il tempo di convergenza a scapito di possibilit di loop. (solo IGRP) show ip eigrp interfaces Comandi di controllo del funzionamento del processo EIGRP. show ip eigrp neighbors show ip eigrp topology show ip eigrp traffic (solo EIGRP)

TECNONET S.p.A.

19

Esempio di configurazione

interface Ethernet 0 ip address 128.99.1.6 255.255.255.0 exit interface Ethernet 1 ip address 128.99.3.12 255.255.255.0 exit interface Bri 0 ip address 128.99.9.4 255.255.255.0 exit interface Serial 0 ip address 192.31.7.4 255.255.255.0 exit router EIGRP 143 passive-interface Bri 0 network 128.99.0.0 network 192.31.7.0 end Abilita un processo di routing OSPF: process_id: identifica il processo di routing OSPF allinterno del router ed ha significato locale (non viene trasmesso allesterno del router) La coppia individua una o pi interfacce che si trovano nellarea id_area sulle quali vengono inviati e ricevuti i messaggi OSPF; OSPF annuncia le reti corrisponenti. maschera di tipo wildcard (opposta alla netmask IP), dove un bit a 0 identifica la parte di rete un bit a 1 identifica la parte host id_area codificato su 4 byte, ed possibile utilizzare sia la notazione decimale che quella decimale puntata. Dichiara larea id_area una stub area. Specifica un address range da annunciare allesterno dellarea id_area, consentendo l'aggregazione di informazioni per la propagazione allesterno dellarea id_area (se allinterno dellarea c almeno uninterfaccia con lindirizzo che cade allinterno delladdress range, allesterno annunciato laddress range invece dei singoli indirizzi). Crea un link virtuale con il router che ha ID_router, dove questo valore individuabile visualizzando i database di OSPF; larea id_area comune ai due router. Abilita il router di annunciare una route di default all'interno del suo dominio OSPF, comportandosi da AS Boundary Router (lo stesso scopo pu essere ottenuto con il redistribute). Un AS boundary router non annuncia necessariamente la route di default, in quanto potrebbe annunciare pi route esterne imparate da altri protocolli. Se il router non ha alcuna route di default, questo comando ininfluente, a meno che si specifichi la keyword always, nel qual caso viene comunque sempre immessa una route di default in quel dominio, anche se il router non ne ha una propria. Mostra il database di link state advertisement ricevuti. Visualizza tutti i router OSPF adiacenti, indipendentemente dall'area a cui appartengono; il campo neighbor_ID mostra l'identificativo (router_ID) del router remoto.

OSPF

router ospf process_id

network indirizzo maschera area id_area

area id_area stub area id_area range indirizzo maschera

area id_area virtual-link ID_router

default-information originate [always]

show ip ospf database sh ip ospf neighbor

TECNONET S.p.A.

20

Esempio di configurazione

interface Ethernet 0 ip address 128.99.1.6 255.255.255.0 exit interface Ethernet 1 ip address 128.99.3.6 255.255.255.0 exit interface Bri 0 ip address 128.99.119.8 255.255.255.0 exit interface Serial 0 ip address 192.31.177.12 255.255.255.0 exit interface Serial 1 ip address 128.99.27.12 255.255.255.0 exit router OSPF 1 passive-interface Bri 0 network 128.99.1.0 0.0.15.255 area 1 network 128.99.27.12 0.0.0.255 area 1 network 192.31.177.0 0.0.0.255 area 0 network 128.99.119.0 0.0.0.255 area 2 area 1 range 128.99.0.0 0.0.31.255 end Attiva il processo di routing BGP nellAutonomous System AS. La configurazione del BGP leggermente pi complessa degli altri protocolli in quanto, oltre alla configurazione delle reti, necessario procedere alla configurazione manuale dei neighbors. Identifica questa rete come appartenente al dominio BGP locale e la inserisce nella propria routing table. Il significato diverso dai protocolli IGP in quanto il comando network non definisce le interfacce sulle quali bisogna inviare gli annunci. Dichiara come peer (neighbor) il router indirizzo dellAutonomous System AS. I neighbor possono essere Internal o External: External: normalmente il router condivide un link con questo peer Internal: normalmente posizionato in un qualsiasi posto dellAS. Se esiste almeno una route per una rete che rientra nel range di indirizzi (indirizzo, maschera) BGP annuncia questo range interface Ethernet0 ip address 131.108.1.6 255.255.255.0 exit interface Ethernet1 ip address 192.31.7.6 255.255.255.0 exit interface Bri0 ip address 128.99.119.8 255.255.255.0 exit router bgp 109 network 131.108.1.0 network 192.31.7.0 neighbor 131.108.200.1 remote-as 167 neighbor 131.108.234.2 remote-as 109 neighbor 150.136.64.19 remote-as 99 end

BGP

router bgp AS

network indirizzo mask netmask

neighbor indirizzo remote-as AS

aggregate-address indirizzo maschera Esempio di configurazione

TECNONET S.p.A.