Reti e dintorni 15

8/4/2019 Reti e dintorni 15

1/15

Reti e dintorniDicembre 2002 N 15


2/15

RETI E DINTORNI N 15 Pag. 2

EEEDDDIIITTTOOORRRIIIAAALLLEEE

ETHERNET nelle MANLutilizzo di Ethernet nelle reti metropolitane (Metropolitan Area Network o

MAN) al posto di SDH/SONET sta riscuotendo molto interesse. Per supportareservizi IP come videoconferenza, video on demand, giochi interattivi e serviziintegrati di voce, video e dati, linfrastruttura basata su Ethernet deve essere perin grado di offrire servizi personalizzati per ogni cliente.La Quality of Service (QoS) basata su IP e le Virtual LAN (VLAN) 802.1q sonodue tecnologie che possono migliorare la gestione della banda Ethernet persoddisfare i requisiti dei servizi di nuova generazione.

A ciascuno la sua classeLa maggior parte dei servizi Ethernet richiedono la suddivisione dei clienti in

alcuni classi di servizio predefinite. I Service Provider possono usare la QoS basata su IP per dividere il traffico in quattro classi distinte, ciascuna con unproprio segmento di banda e un livello di priorit.

La classe con bassa latenza e basso jitter (cio con basso ritardo nellinvio deipacchetti e con una bassa variazione dei ritardi) offre il supporto per applicazioni

in real-time o comunque sensibili ai ritardi e al jitter, come Voice over IP. Lo"scheduling" (cio la gestione delle code) per i pacchetti in questa classe agisce inmodo da ottenere una bassa latenza a priori. Inoltre, lo "shaping" (cio la gestionedel flusso di dati utilizzando tecniche di buffering) mira al raggiungimento di un

basso jitter.La classe a bassa latenza prevede che i pacchetti vengano "schedulati" perraggiungere fin dallinizio una bassa latenza. Questo traffico non richiede shaping,

ma dovrebbe essere limitato a livello di rate in modo da non sottrarrecompletamente la banda al traffico a priorit inferiore.Queste due prime classi sono conformi alla classe di traffico Expedited

Forwarding stabilita dallInternet Engineering Task Force (IETF) nella RFC 2598.

La classe a bassa perdita fa in modo che ai pacchetti venga assegnato un pesomaggiore nello scheduler, il che significa che verr assegnata loro pi banda, esar anche assegnata una soglia pi alta, o pi buffering. Questa classe vienespesso usata per le applicazioni mission-critical. E equivalente al modello IETF

Assured Forwarding (RFC 2597).Nella classe best-effort i pacchetti verranno "schedulati", cio inviati, non appenapossibile. Questa classe usa la banda rimasta e dovrebbe risultare anche la menocostosa per il cliente.

Il supporto delle VLAN IEEE 802.1q offre invece la possibilit di segmentare

logicamente gli utenti e il loro traffico su uninterfaccia condivisa, per esempioGigabit Ethernet o Fast Ethernet.Lo standard IEEE 802.1q descrive due campi che sono stati aggiunti alla trama

Ethernet per identificare il traffico e assegnargli una priorit: lidentificatoreVLAN e i valori di priorit dellutente (802.1p). Il campo VLAN ID grande 12bit, consentendo lidentificazione di un massimo di 4.096 VLAN distinte.

Le trame "trattate" con questo campo vengono identificate dal valore 0x8100 nel

campo Ethernet Protocol Type; segue poi leffettivo Protocol Type.Usando lo strumento delle VLAN, i Service Provider possono offrire servizi

personalizzati assegnando un identificatore univoco per ogni cliente.


3/15


DESCRIZIONE GENERALE DELLACOSTRUZIONE DI UNA WEB-FARM A

PI LIVELLI PROTETTI

LOperazione pi comune per realizzare una rete a pistrati protetti, che separi gli Apparati di Front-End (es:Web Server ),da Apparati di Applicazione ( es: Video-Streaming Server ) e da Apparati di Back-End ( es:

Host, DB SQL ), dividere con apparati di rete attivi ivari strati che la costituiscono, creando delle VirtualLan per ogni servizio di cui si dispone, inserendovi unfirewall per la protezione in ogni strato.

In questo modo, ogni strato provveder singolarmentealla protezione da eventuali intrusioni dei vari apparatidi Front e Back-end ed impedir laccesso alla rete

privata di eventuali intrusori.La necessit di inserire pi apparati proposti allaprotezione, si rende necessaria per aumentare il livellodi protezione, sia verso la rete privata che verso gliapparati esposti allesterno e anche per eliminare

problematiche di fault tollerance.Risulta pertanto necessario adoperare architettureparallele per raggiungere la scalabilit richiesta. Anchese la richiesta delle prestazioni globali pu essere

raggiunta con un solo firewall, pi firewalls sono perspesso necessari per garantire una migliore ridondanza.Il problema che sorge per quello di evitare i percorsi

asimmetrici: vero che si ottiene un load-balancing,ma anche vero che tale bilanciamento avviene ascapito della sicurezza.Volendo rimarcare questo punto, nella situazioneriportata in figura, la sessione TCP in oggetto

verrebbe bloccata dal firewall che riceve il SYN-ACKsenza aver visto passare il pacchetto di richiesta diSYN.

Occorre quindi predisporre un Egress-Ingress Layer in

grado di ricordare dove passato il primo pacchetto diquella sessione specifica.

Per risolvere questa problematica, necessarioimplementare un load-balancing, che memorizzi il

percorso effettuato per la connessione e restituisca lasessione a chi la originalmente la inoltrata.Un Load balancing pu anche effettuare bilanciamento

per pi protocolli, redirigendo la sessione a pi

server,in modo da bilanciare il carico su gli apparatifinali.La funzionalit di Content Switching erogata dai

load-balance, aumenterebbe la qualit e la velocit delservizio erogato dagli eventuali server applicativi.Nellipotesi che vi siano pi di un Server Applicativo

che eroghi gli stessi servizi o contenuti, sarebbe possibile, creare un unico indirizzo-IP (Virtual-IP),dove gli utenti indirizzino le loro richieste, mentre il

Vip effettuer il bilanciamento delle sessioni ( serverload-balancing ), in modo da sfruttare al megliolutilizzo in percentuale dei server.

E opportuno rilevare che la scelta del criterio di bilanciamento e selezione del server, oltre a essere

vincolata dagli impatti sul corretto funzionamento omeno delle applicazioni client coinvolte, pu essereottimizzata sulla base del contesto di rete.Ad esempio per traffico HTTP che non richieda la

persistenza delle sessioni TCP/IP del client sullo stessoserver reale, il criterio di bilanciamento round robin,oltre ad essere il pi semplice da implementare,

anche quello meno ottimizzato, specialmente nel casodi server Web che si differenzino nettamente tra loroper le prestazioni offerte.

Per questo tipo di traffico, criteri di bilanciamento piefficaci sono:

- Least ConnectionsLa nuova sessione client inviata sul server con ilminor numero di connessioni attive. Tipicamente

questo criterio viene integrato con lopzioneWeighting, che introduce la possibilit di fornire pesidiversi ai server del gruppo, in ragione della loro

diversa capacit in termini prestazionali. In questomodo la nuova sessione client verr inviata al servercon il minor numero di connessioni normalizzate,

permettendo un bilanciamento pesato delleconnessioni tra i server del gruppo. Unulterioreopzione configurabile quella del Max. Connections,

che consente di limitare il massimo numero di

connessioni attive su un real server, per nonpenalizzare il livello di servizio degli utenti gi attestati

sul server.

- Response TimeQuesto criterio adotta la misurazione dei tempi dirisposta dei server sulla base degli healthcheckeffettuati ad intervalli regolari (configurabili), per la

definizione del peso da assegnare ad ogni server reale.Pi veloce il tempo di risposta di un certo server

reale, maggiore il suo peso, e maggiore sar ilnumero di connessioni che gli vengono assegnate.Il criterio adottato preferibilmente Least Connections,

poich richiede meno risorse, e distribuisce il carico suiserver (grazie alloperazione weighting) sulla basedelle capacit prestazionali conosciute a priori.


4/15


Esempio di Bilanciamento per Server:

Nota: Lutente effettua la richiesta http direttamente al virtual IP, questultimo a seconda lalgoritmo dibilanciamento distribuisce il carico, inviando la richiesta ad uno dei server

Inoltre, per aumentare le perfomance e limitare

lutilizzo dei Server Applicativi ( solo per server httped ftp ), e possibile utilizzare la funzionalit diCaching, che mantengono in un database interno a gli

apparati, le pagine html o contenuti ftp, di cui vengonomesse a conoscenza.Esistono due modalit per effettuare il caching, la

prima il Trasparent-Caching,la seconda modalit il Proxy Caching.Nella modalit Trasparent Caching, tutto il traffico http

ed ftp, tramite delle policy di redirect applicate negliapparati attivi della rete, dirigono tutto il traffico httped ftp alle cache, le quali se al loro interno hanno il

contenuto richiesto, lo inviano allutente, altrimenti

effettueranno il download della pagina o del contenutorichiesto, lo invieranno allutente e sar messo

successivamente a disposizione di altri utenti che nefaranno richiesta. Nella seconda modalit, Proxy Caching, solitamenteusata per la connessione ad Internet degli utenti,sfruttala possibilit di configurare le cache come proxy-server, le richieste http ed ftp, vengono inviate

direttamente dallutente alle cache, le quali svolgono lestesse operazione sopra citate.Nellipotesi che si usino le Cache Engine come Proxy-

Server, vi la possibilit di introdurre la funzionalitdi Content Filtering, ossia la possibilit di filtrare e

bloccare i contenuti richiesti dallutente, come siti nonattendibili o proibiti ecc.

La modalit di Content Filtering, prevede lattivazionedi un abbonamento Web-Sense con un sito Web che

eroghi questa funzionalit.I siti che erogano il servizio di web-sense, hanno undatabase aggiornato giornalmente dove vi la lista dei

siti non attendibili o con delle restrizioni, comepossono essere i siti porno, con questa funzionalit lacache, verificher ogni volta se il contenuto richiesto

dallutente compreso nella lista, ed in caso positivobloccher la richiesta di sessione.Di norma gli apparati cache vengono inseriti, tra il

firewall ed eventuali web-server che espongono serviziverso internet, la quale avr il compito di effettuare ilcaching per gli utenti internet, in modo da limitare le

connessioni dirette verso i web-server.

Nellipotesi che nella web Farm vi siano dei Server chenecessitano di connessioni protette (https), per

lattivazione di particolari connessioni o perlautenticazione degli utenti, per limitare le sessioni aloro carico ed aumentare le performance diquestultimi, possibile inserire un apparato che abbiala funzionalit di SSL-Accelerator.Questi tipi di apparati forniscono funzionalit di

Client/Server Authentication, Key Exchange, SSLHandshake, Http to Https session.Un SSL-Accelerator pu sia, trasformare una comune

sessione http in una sessione protetta https, siamantenere una connessioni https nativa tra i client ed i

server fungendo da terminatore della sessione per lunao laltra parte, in modo da svincolare i server dalmantenere le sessioni continuamante attive con tutti iclient.

Nelle figure seguenti riportiamo gli esempi relativi alle due modalit di caching:

Esempio della modalit Traparent-Proxy:


5/15


2hit

Alteon ACC Cache(s)

miss

Alteon L4-7 Web Switch

Origin Web Servers

50% 50%

1

3

3

Internet

2

Transparent Proxy Nota: lutente richiede una pagina http ( 1 ),la sessione http viene catturata dal wsm che la dirige verso le cache (2 ), le quali soddisfano la richiesta, se la pagina gi presente nel database, la inviano al richiedente ( 3 ),altrimenti provvedono alla richiesta della pagina e successivamente la inoltrano allutente che ne ha fattorichiesta ( 3 )

Esempio della modalit reverse-proxy:

Nota: lutente richiede una pagina http ( 1 ) ,la sessione http viene indirizzata direttamente alla cache engine ( 2), le quali soddisfano la richiesta, se la pagina gi presente nel database, la inviano al richiedente ( 3 ),altrimenti provvedono alla richiesta della pagina e successivamente la inoltrano allutente che ne ha fattorichiesta ( 3 ).

Esempio di redirezione di una sessione http verso un SSL-Accelerator, che la trasforma in una sessione https:


6/15


Il client attiva una sessione http verso il server, la sessione viene catturata da un apparato web switch che laredirige all SSL-Accelerator, il quale attiva una sessione https verso il client per lautenticazione, ed unasessione http verso il server

Di seguito riportiamo uno schema di esempio di una rete a 3 livelli:

M. Guillaume


7/15


VOIP su routers Cisco

Fino adesso abbiamo sentito parlare di Voce su IP ma

non avevamo tanto bene le idee chiare sulla suaeffettiva integrazione e implementazione nelle reti acommutazione di pacchetto. Come tutti sappiamo i

principali sistemi di comunicazione tradizionale dellavoce si basano sulla commutazione di circuito. Laconnessione tra questi sistemi (Pbx o centralitelefoniche) pu avvenire con collegamenti analogici e

collegamenti digitali:

collegamenti analogici :

circuiti a due fili : FxS e FxO

circuiti a quattro fili : E&M

collegamenti digitali :

ISDN Basic

ISDN Pri

Linteroperabilit tra i centralini non possibile poich

ogni produttore ha sviluppato un proprio protocollo perla connessione dei vari sistemi. E stato creato cos unprotocollo chiamato QSIG (Q Signalling), che potesseinteroperare con i diversi sistemi. Questo protocolloche si basa sulle specifiche di ITU-T Q.9xx offre

servizi base, servizi supplementari ed compatibilecon lo standard ISDN, permettendo cos lacomunicazione tra centralini Pbx e la rete pubblica

PSTN.

Il protocollo QSIG pu: Interconnettere dispositivi sviluppati da

diversi produttori

Offrire servizi base per la comunicazione trapbx

Opera in configurazione a stella o maglia Opera su centrali telefoniche pubbliche e

private Non impone restrizioni sul piano di

numerazione

Nonostante sono state sviluppate in seguito diverseversioni del protocollo Qsig tuttavia possibile chealcuni sistemi non siano interoperabili .

Andiamo adesso a vedere come vengono integrati iservizi di fonia sulla rete a commutazione di pacchetto.

Interfaccia analogica FXS : serve per collegare untelefono analogico , un fax o un modem.Interfaccia analogica FXO : serve per collegare un

canale voce al PBX o CO.Interfaccia analogica E&M : serve per collegare uncanale voce al PBX

Interfaccia digitale ISDN BRI NT/TE : serve percollegare o un telefono Isdn o due canali voce al PbxInterfaccia digitale ISDN PRI: serve per collegare 30

canali voce al PBX

Cisco ha sviluppato questo tipo di interfacce che sono

supportate nei routers dalla serie 1700 fino a 7200.

In questo modo i routers possono diventare deigateway telefonici.

Lintegrazione tra Pbx e routers pu avvenire indiverse modalit di configurazione:

Voip con transparent CCS frame forwardingVoip con protocollo Qsig

Voip con protocollo ETSI (IDSN)

La differenza sostanziale quella con il TransparentCCS:Questa modalit permette di trasportare in modotrasparente i canali voce tradizionali a 64Kb con la

limitazione che le sessioni Voip sono sempre attive, equindi si occupa permanentemente la banda sulcollegamento. La configurazione simula dei

tradizionali trunk di giunzione tra i centralini. Sulcanale di segnalazione D viaggiano alcuni servizi

proprietari del Pbx che vengono trasportatitrasparentemente sul collegamento.Questa funzionalitsi chiama clear-channel.

Gli altri due tipi di configurazione sono normaliconfigurazioni di Voip.

Isdn switch-type primari-net5 per la configurazioneETSI

Isdn switch-type primari-qsig per la configurazioneQSIG

La comunicazione della voce attraverso i routersavviene con il protocollo standard H.323 , la qualetrasporta i pacchetti IP codificati in voce.

Le schede descritte prima hanno dei DSP (DigitalSignal Processor) che decodificano i segnalianalogici/digitali e li trasformano in pacchetti IP.

I pacchetti IP possono successivamente esserecompressi a secondo della codifica usata.

Codifiche :- G.711ulaw PCM 64000 bps (US)- G.711alaw PCM 64000 bps (Europa)- G.726 ADPCM 32000 bps- G.728 LDCELP 15000 bps- G.729 CS-CELP 8000 bps- G.723 ACELP 5300 bps

Il protocollo H.323 composto da diversi strati trasporta

la voce con il protocollo non connesso UDP.

Ogni pacchetto voce avr in pi loverhead di :

Header IP: 20ByteHeader UDP: 12 byte

Header RTP: 8 Byte pi il payload della voce.

Prendiamo un esempio pratico:Per impostazione predefinita Cisco costruisce duecampioni di voce G.729 ogni 10ms, generando in totale50 pacchetti IP al secondo, ne consegue quindi che si


8/15


300

301 200

201

10.1.1.1 10.1.1.2

R1 R2

Inbound

POTS Call

Outbound

Voip Call

Inbound

Voip CallOutbound

POTS Call

avr un overhead di 16000 bps e un carico utile parialla met, e cio 8000 bps.

Si avr cos che per una codifica G.729 un canale voceIP occuper 24000 bps di banda al netto del protocollo

di trasporto di livello 2 (header

PPP,HDLC,ATM,Ethernet ecc.), che a secondo diquello che si usa aggiunger ancora overhead al

pacchetto.In definitiva una conversazione VoIP su protocollo ditrasporto HDLC occuper 25500 bps

E possibile ridurre lintestazione da 40 a 2 o 4 bytecon il comando ip rtp header-compression sottolinterfaccia seriale. Questo ha unenorme beneficio neicollegamenti a bassa velocit.

Per dare priorit ai pacchetti voce nella rete IP si usanormalmente una tecnica chiamata LLQ (Low Latency

Queuing).Questa tecnica assegna con priorit assoluta una certabanda ( in base alle chiamate voce) alle code in uscitanellinterfaccia di uscita dei pacchetti VoIP.

La configurazione la seguente:

Creo prima una classe che selezione un certo tipo di

trafficoclass-map match-allvoip

match access-group 2

identifico il traffico voce

access-list permit udp any any range 16384 32576

Configuro la policy per assegnare la priorit alla voce

policy-mapvoceclassvoippriority 200( in Kbps)

class class-defaultfair-queue

assegno la policy sullinterfaccia di uscita della VoIP.

service-policy outputvoce

Configurazione Voip

Prendiamo un caso molto probabile di collegamento

voce tra due routers:

Il collegamento sulla seriale IP punto-punto, leinterfacce sui routers sono FXS ,la configurazione sar:

R1#dial-peer voice 1 potsdestination-pattern 300

port 1/0/0

dial-peer voice 2 pots

destination-pattern 301port 1/0/1

dial-peer voice 3 voipdestination-pattern 2..session-target ipv4 :10.1.1.2

R2#dial-peer voice 1 pots

destination-pattern 200

port 1/0/0

dial-peer voice 2 potsdestination-pattern 201port 1/0/1

dial-peer voice 3 voipdestination-pattern 3..

session-target ipv4 :10.1.1.1

Il comando dial-peerpots identifica i dispositivi ditelefonia o trunk verso i PBX

Il comando dial-peer voip identifica la sessione IPdove inviare i pacchetti voce.

Il comando destination-pattern identifica ladestinazione delle cifre digitate.

Per meglio comprendere i flussi di chiamataschematizziamo il circuito di chiamata:

Le chiamate voice over Ip attraverso i gateway devonoavere un percorso statico fino alla destinazione. Questipercorsi sono chiamati come nello schema seguente e il

destination pattern usato per guidare i pacchetti adestinazione.

Allarrivo di una chiamata voce ( inbound Pots call) ilrouters cerca un dial-peer voip su cui fare match. I

digit sono rappresentati dalle cifre da 0 a 9, da lettere

da A a D * e #. Il segno . rappresenta identificauna wildcard, qualsiasi cifra . Il routers non appena

identificata la cifra nel destination-pattern apre lachiamata Voip al router selezionato inviando il resto


9/15


delle cifre inserite nel destination-pattern , altre cifreselezionate successivamente saranno scartate.

Se per esempio abbiamo un destination-pattern 57..e digitiamo 5769800 il router invier le cifre 5769scartando le cifre 800

Quando un router riceve una chiamata Voip (inboundcall Voip) cerca un dial-peer pots su cui fare match.

Il router una volta identificato il pots dial peer, scarta lecifre inserite nel destination-pattern e invia il restodelle cifre equivalenti alla wildcard al dispositivotelefonico.Esistono metodi per identificare e abbreviare le cifre:

- . qualsiasi cifra- [ ] range di cifre- T il router memorizza tutte le cifre prima

del timeout

- + indica che le cifre precedenti sono stateinserite pi di una volta.

- Per configurare il supporto dei modem su unachiamata VoIP bisogna configurare il dial-peer con la funzionalit modem passthrough.

Questa funzionalit fa si che il router si comporta damodem relay , riconoscendo se una chiamata sia voce o

modem. Se la chiamata voce , applica il codec G.729 per la compressione , se modem non applica lacompressione permettendo il trasporto dati.

Nella configurazione tra centralini un altro comandoimportante isdn provocol-emulate [network | user]

Questo comando definisce se linterfaccia isdn sulrouter (sia BRI che PRI) a cui connesso il Pbx ditipo Master o SlaveSe il centralino configurato come Slave linterfacciasul router deve essere networkSe il centralino configurato come Master linterfacciasul router deve essere user

L. Natale


10/15


VPN

Per realizzare le proprie WAN, le aziende sirivolgevano ad un operatore di rete pubblico per potere

affittare delle linee dedicate al fine di realizzare unapropria rete privata.

La Figura mostra un semplice scenario in cuiunazienda con un quartier generale e due sedi

decentrate ha realizzato la propria WAN tramitelaffitto di linee dedicate. Il traffico dati tra le varie sediscorre solo sulle linee dedicate le quali, essendo ad uso

esclusivo dellazienda che le affitta, sono sicure, nelsenso che nessun utente non autorizzato pu venire aconoscenza delle informazioni trasmesse. Questa

soluzione per molto costosa sia perch laffitto ditali linee dipende da quanto esse siano lunghe, sia perch il loro costo fisso ed indipendente dal fattoche lazienda le utilizzi per il 10% o per il 100% deltempo.Un notevole progresso nella realizzazione di WAN

aziendali stato raggiunto grazie allintroduzione di

tecnologie di livello 2 quali ATM o Frame Relay (FR).Queste due tecnologie utilizzano entrambe il concetto

di circuito virtuale: in base alle richieste di un cliente,un fornitore di servizi ATM o FR configura la propriarete in modo che tra due punti, ad esempio due sedi

della rete aziendale, il traffico dati fluisca condeterminate caratteristiche concordate in anticipo colcliente mediante accordi sul livello del servizio (SLA,Service Level Agreements). Il cliente ha bisognosoltanto di linee dedicate di breve lunghezza, checonnettano le reti delle varie sedi ai Point of

Presence (POP), ovvero a punti di accesso alla rete delfornitore del servizio ATM o FR, geograficamente

sparsi sul territorio. In tal modo, il cliente non paga pilaffitto delle linee in base alla loro lunghezza, ma pagalaccesso alla rete ed il livello di servizio desiderato. LaFigura seguente rappresenta levoluzione dello scenario

precedentemente descritto, dove le linee dedicate sonostate sostituite dalle linee di accesso ai POP, e lanuvoletta rappresenta la rete del fornitore di servizi di

rete.

Le tecnologie ATM e FR introducono un concetto

importante: la condivisione della banda passante. Labanda passante di un circuito virtuale pu cambiare neltempo a seconda dellintensit del traffico dati che

scorre sulla rete istante per istante. Il fornitore del

servizio ATM o FR pu quindi dare delle garanziesulla banda minima, media e di picco dei circuiti

virtuali, e pu condividere parte della banda passantetra pi circuiti virtuali. A differenza delle lineededicate, in questo caso la banda viene megliosfruttata.Laffermazione di internet come architettura di rete presente ovunque ha subito posto il seguente

interrogativo: si pu utilizzare internet per poterrealizzare una WAN aziendale, ovvero interconnetterele sedi aziendali mediante dei collegamenti virtuali

instaurabili dinamicamente e quindi non pi dedicati,che siano sicuri e con certe garanzie sulla qualit del

servizio? La risposta a questo quesito risiede tutta nellereti private virtuali (VPN, Virtual Private Network).

Motivazioni sulluso delle VPN

Lutilizzo delle VPN consente quindi di realizzare dellereti private sfruttando uninfrastruttura di rete pubblica

o condivisa. I vantaggi che ne traggono sia i clienti chei fornitori di un servizio VPN sono molteplici. I clienti possono estendere le funzionalit delle proprie reti

aziendali anche a siti sparsi su territorio oppure adutenti che si collegano ad esse per via remota o tramitereti di terze parti. I vantaggi economici che se ne

traggono sono molteplici, rispetto allutilizzo di WANrealizzate tramite linee dedicate: il fornitore pu

condividere le stesse risorse della propria rete dorsale(banda, collegamenti ridondanti) tra pi clienti.Il vantaggio principale nellutilizzare le VPN anzichdelle linee dedicate fondamentalmente un vantaggio

economico di cui beneficiano sia i clienti che i fornitoridel servizio. Laltro importante aspetto la flessibilitdi gestione e di fornitura del servizio.

Infatti, il fornitore spesso incaricato di gestire gran parte della complessit richiesta dalle VPN e ci gliconsente di differenziare i servizi ai vari clienti. Dalloro canto, i clienti sono avvantaggiati perch possono

rinegoziare dinamicamente dei parametri di rete per leloro VPN, pagando le risorse che utilizzano in pi, equindi non sono pi vincolati da contratti rigidi, comeavveniva nel caso delle linee dedicate.

Principali modelli usati nelle varieimplementazioni

Le VPN possono essere realizzate in diversi modi e condiverse architetture di rete; ciascuna implementazione

pu preferire, ad esempio, una rete switched ad una ditipo routed, oppure pu aumentare la complessit dellarete dei siti dei clienti per alleggerire quella della rete

dellISP.


11/15

RETI E DINTORNI N 12 Pag. 11Rivista interna Tecnonet SpA

VPN CPE-Based:

Col termine VPN CPE-based ci si riferiscead un approccio nella realizzazione di una

VPN in cui la complessit configurazione e

gestione delle VPN risiede in gran parte neidispositivi CE (anche detti CPE), appartenenti

alla rete del cliente. In particolare i dispositiviCE si fanno carico di gestire la topologiavirtuale ed infatti essi costituiscono le

terminazioni estreme dei collegamenti virtualiche connettono i vari siti. In tal modo la retedellISP viene alleggerita dallonere della

gestione delle VPN, consentendo diconcentrarsi maggiormente su come fornire laconnettivit tra i vari PE con una certa banda e

con certe garanzie di qualit del servizio (QoS,Qualit of Service).

Nel caso in cui il cliente volesse averecompleta autonomia nella gestione della

propria VPN (si parla in tal caso di customer provisioned VPN) egli dovr ricorrere a

personale qualificato in grado di configurare idispositivi CE; in alternativa egli pu delegaretale compito al proprio ISP (providerprovisioned VPN).

VPN Network-Based:

In un approccio network-based, il servizio

VPN viene completamente fornito dallISP,nascondendo lesistenza della VPN al clienteche lavora come in una normale rete

aziendale. LISP investe nellacquisto di picomplessi e costosi dispositivi PE, per potersupportare le VPN. Il cliente, affidando tuttala gestione della propria VPN allISP, purisparmiare sullacquisto dei dispositivi CEche saranno meno costosi rispetto al caso

precedente, in quanto non dovranno gestireloro le VPN.

LISP, in base alle esigenze del cliente,

configurer la propria rete per fornirgli ilservizio VPN desiderato, e la topologiavirtuale scelta; questultima sar costituita da

una rete di collegamenti virtuali aventi cometerminazioni i dispositivi PE, i quali si fannocarico di creare e distruggere i collegamenti

virtuali poich la topologia virtuale pucambiare dinamicamente nel tempo.

VPN Peer-Model:

Nel modello peer (paritario), il cammino

verso il quale verranno instradati i pacchettiappartenenti ad una VPN, viene stabilito da unalgoritmo di routing che coinvolge tutti i nodi

attraversati dal cammino stesso, ovverociascun nodo paritario con i suoi nodiadiacenti. Tutti i nodi rete dellISP (sia interni

che periferici) quando inoltrano i pacchettiVPN sanno distinguere il loro colore,ovvero la VPN a cui appartengono.

Il vantaggio nellusare questo modello

quello di avere un instradamento efficiente ed

una maggiore scalabilit, mentre lo svantaggio principale dovuto alluso di nodi VPN-

aware, ovvero in grado di distinguere i pacchetti (sia di dato che di controllo) dellevarie VPN, anche nei nodi interni alla rete

dellISP. Di conseguenza, la complessit nellagestione delle VPN risiede in tutti i nodi dellarete. Esempi di modelli di tipo peer sono le

reti tradizionali in cui viene effettuato ilrouting IP e le reti MPLS.

VPN Overlay-Model:

Al contrario, il modello overlay(soprastrato), nasconde i dettagli della reteinterna dellISP, ovvero i nodi costituenti la


12/15


rete interna non distinguono n il colore dei pacchetti VPN, n distinguono i pacchetti

VPN da quelli non VPN; essi fungonoesclusivamente da nodi di attraversamento(cut-through). I nodi VPN-aware saranno

confinati nel bordo periferico della rete

dellISP, mentre i nodi interni saranno VPN-unaware. In altre parole, i nodi periferici

sono paritari tra loro ma non lo sono con inodi interni. Per i nodi periferici la rete interna opaca: essi sanno che possono raggiungere

tramite essa i loro paritari, ma non conosconoil cammino che intraprenderanno i pacchetti alsuo interno.

Questo fatto pu portare ad avere uninstradamento non ottimo nella rete internaquando un nodo periferico deve raggiungereun suo paritario. Per ovviare a ci, tutti i nodi

periferici richiedono una maglia diconnessioni punto-punto, utilizzati sia per idati che per il routing. Ci porta ad avere un

notevole numero di collegamenti tra i nodiperiferici ed un notevole scambio di messaggidi controllo, e di fatto limita il numero di nodiperiferici che possono essere usati, con effettinegativi sulla scalabilit. Un esempio tipico di

modello overlay la tecnica del tunneling.

Riassumendo:

Tipi di VPN

Il servizio di rete privata virtuale pu essere realizzato

in diversi modi e con diverse architetture di rete e ci spesso causa di confusione sulle discussioni riguardantile VPN.

Sono molte infatti le soluzioni proposte, le qualifocalizzano la loro attenzione su alcuni requisiti

funzionali, quali ad esempio la sicurezza dellecomunicazioni, la scalabilit dellarchitettura, lasemplificazione della complessit di gestione e cos

via. Ci ha portato a soluzioni per le VPN spesso

mirate a soddisfare delle esigenze particolari deiclienti, in cui, ad esempio, viene curata la segretezza

dei dati ma non la qualit del servizio, oppure laflessibilit di gestione a scapito dellefficienza. Diconseguenza, molte delle soluzioni VPN esistenti non

sono compatibili tra di loro, e possono essere applicatesolo in un singolo ISP.Questo fatto ha creato un forte interesse per le VPN

basate sul protocollo IP, in modo da ricercare deglistandard che consentano di creare delle soluzioni VPNfunzionanti anche tra diversi ISP.

I vari tipi di VPN appartengono a delle categorie che possono essere localizzate ad un ben preciso livello

nella pila protocollare TCP/IP dove ciascun livello dominato da diversi protocolli e architetture.A livello fisico si trovano le reti private, non virtuali,realizzati mediante linee dedicate. La principale

tecnologia utilizzata a questo livello quella dei canalidiretti analogici o numerici (CDA e CDNrispettivamente).

A livello data-link le architetture maggiormenteutilizzate sono ATM (Asynchronous Transfer Mode) eFrame Relay.

A livello rete il protocollo IP ad essere predominante.I collegamenti virtuali sono realizzati mediante latecnica del tunneling e per poterli dotare di sicurezza o

di qualit del servizio, si utilizzano dei protocolli, qualiIPSec (IP Security) e RSVP (Reservation Protocol).Di recente sono state proposte anche delle soluzioni

ibride e il caso pi rappresentativo costituito dalprotocollo MPLS (Multi-Protocol Label Switching), ilquale riesce a combinare delle caratteristiche comuni

sia allarchitettura IP che a quella ATM, e per questomotivo si pone a met tra il livello rete ed il livellodata-link.

A livello trasporto ed applicazione sono presentidiversi protocolli che consentono di realizzare delleconnessioni sicure tra applicazioni software. Tuttavia le

VPN realizzate con protocolli a questi livelli non sono

molto comuni.

VPN a livello data-link: ATM e Frame Relay

Le VPN a livello data-link sfruttano per la connettivit

tra siti uninfrastruttura di rete pubblica di tiposwitched (commutata). Il cuore di tale rete costituito infatti da switch ATM o FR, mentre i

dispositivi periferici sono costituiti da router, in gradodi comunicare col protocollo ATM o FR verso la rete

commutata, e col protocollo utilizzato dal cliente,spesso IP, verso le reti delle varie sedi del cliente.Il punto di forza di queste tecnologie che si possono

creare i circuiti virtuali in maniera estremamenteflessibile. Il fornitore del servizio ATM o FR pustipulare degli accordi sul livello del servizio (SLA),che garantiscono una percentuale sulla consegna dei


13/15


frame di livello 2 del cliente. Spesso il cliente pusuperare il cosiddetto CIR (Committed Information

Rate), ovvero la velocit con cui invia i dati verso larete del provider, quando la rete non congestionata. Nonostante la presenza di utili meccanismi quali il

CIR, la rete ATM o FR molto conservativa; poich

occorre sempre garantire una certa banda nei circuitivirtuali, i casi in cui si pu sfruttare la banda libera

sono pochi. Ci non accade per esempio nei modelli ditipo best-effort quali internet. ATM e FR fornisconoquindi dei circuiti virtuali di alta qualit e ci risulta

essere la principale alternativa vantaggiosa rispettoalluso di linee dedicate.Gestire la configurazione dei circuiti virtuali,

specialmente nel caso in cui se ne vogliano aggiungeredi nuovi, risulta essere problematico e richiede particolare attenzione da parte del fornitore del

servizio. Infatti, determinare in maniera intelligente i percorsi fisici che devono seguire i circuiti virtuali

permette di ottenere maggiori prestazioni dalla rete.

MPLS-VPN

(Per i dettagli sulla tecnologia MPLS vedi larticolopubblicato sul n 13 di Reti e Dintorni).

Una funzionalit importante di MPLS che, una voltache tutti i LSR si sono scambiati le etichette e chequindi i vari LSP sono operativi, i LSR intermedi, per

instradare correttamente i pacchetti, esaminano soltantole informazioni contenute nelletichetta e non ilcontenuto del pacchetto. Per questo motivo i LSP di

MPLS vengono considerati una forma di tunnel, erappresentano quindi la realizzazione pratica deicollegamenti virtuali che connettono i LSR periferici.

Di conseguenza, il contenuto dellintero pacchetto,compreso il preambolo IP, pu venire cifrato senzaripercussioni sullabilit della rete di inoltrare i

pacchetti, garantendo quindi la sicurezza.Il traffico tra le varie VPN pu essere differenziatousando quindi dei tunnel LSP separati, e ciascun LSP

pu essere dotato di una certa qualit del servizio.MPLS utilizza delle tecniche che si rifanno allatecnologia Diffserv per differenziare il traffico dati

allinterno della rete.

VPN A LIVELLO RETE

Il protocollo di livello rete pi usato attualmente il protocollo IP. A differenza di architetture emergenti,

come MPLS, IP largamente utilizzato dalle reti dimolti ISP; risulta quindi molto attraente realizzare ilservizio VPN utilizzando tale protocollo.

TunnelingLa tecnica del tunneling consiste in un imbustamentoorizzontale anzich verticale: mentre limbustamentoverticale consiste nellimbustare un pacchetto di livello

i in uno di livello i-1, quello orizzontale, ovvero iltunneling, consiste nellimbustare un pacchetto dentroun altro pacchetto dello stesso livello. La Figuraseguente mostra come avviene limbustamento nel caso

in cui venga utilizzata la tecnica di tunneling pisemplice, ovvero il tunneling IP in IP [RFC 2003], in

cui un intero pacchetto IP diventa il carico utile(payload) di un altro pacchetto IP.

Il pacchetto risultante possiede due preamboli (header)IP: il preambolo pi esterno (outer header) contiene gli

indirizzi sorgente e destinazione dei router PE checostituiscono le terminazioni del tunnel, mentre ilpreambolo interno (inner header) contiene gli indirizzi

originali del mittente e del destinatario appartenenti ai

siti di una VPN.Mediante la tecnica del tunneling si pu fare in modo

che il formato del pacchetto e/o il tipo diindirizzamento usato allinterno di una VPN siatotalmente scorrelato da quello usato per instradare i

pacchetti tunnelizzati attraverso la dorsale IP.Creando una topologia di tunnel tra i vari PE si realizzaa tutti gli effetti un overlay sulla dorsale IP ed il

traffico inviato nel tunnel opaco alla dorsale IPsottostante.Linstaurazione di un tunnel richiede un consumo dirisorse nei router e, a seconda di quale protocollo ditunneling viene usato, questo consumo pu essere pi o

meno accentuato.Infatti, un tunnel richiede lallocazione di risorse suidue router che costituiscono le sue terminazioni (tunnelendpoints).

Prima della fase di incapsulamento/decapsulamento, idue PE costituenti le due terminazioni estreme di untunnel devono provvedere alla sua instaurazione (fase

di tunnel setup). Nella fase di tunnel setup i due PE si accordano sui parametri da usare per il tunnel, coinvolgendoeventualmente anche i router P, interni alla rete, cheapparterranno al cammino fisico corrispondente al

tunnel.

Verranno passati in rassegna alcuni protocolli per lacreazione di varie tipologie di tunnel; non si vuole perentrare nel dettaglio su come funzionino i meccanismi

dei vari protocolli, ma si vuole soltanto analizzarnevantaggi e svantaggi nel loro uso.

Tunnel leggeri (IP in IP, GRE)Si definiscono tunnel leggeri i tunnel realizzati conluso di protocolli di tunneling che richiedonopochissime risorse sui router che li gestiscono. Questi protocolli non forniscono nessuna garanzia n sulla

qualit del servizio, n sulla sicurezza (i dati viaggianoin chiaro sulla rete), ma realizzano la semplice

connettivit VPN. Essi sono facili da implementare enon consumano risorse sui router della rete interna. I protocolli di tunneling maggiormente utilizzati percreare tunnel leggeri sono: IP in IP [RFC 2003] e GRE


14/15


(Generic Routing Encapsulation) [RFC 1701]. Lunica pecca del protocollo IP in IP, la mancanza di un

campo di multiplexing nel preambolo del pacchetto IP.E molto importante che un protocollo di tunnelingsupporti un campo di multiplexing; poich infatti un

router PE pu gestire diverse VPN, esso deve essere in

grado di smistare correttamente il traffico uscente dallarete dellISP verso il giusto sito VPN.

Nel protocollo GRE si utilizza come campo dimultiplexing il campo key, contenuto nellheader

GRE, originalmente pensato per lautenticazione dellasorgente di un pacchetto. Il protocollo IP in IP, come stato gi detto, non possiede un campo di multiplexing;

tuttavia si pu sfruttare il campo options, che offre il protocollo IP, per trasportare il VPN-ID, comemostrato in Figura.

Tunnel sicuri (IPSec)Tra i vari protocolli di tunneling esistenti lunico adoffrire delle vere garanzie di sicurezza a livello rete il

protocolli IPSec. Non bisogna pensare per chelutilizzo di tale protocollo sia lunico modo pergarantire sicurezza al traffico VPN; infatti la sicurezza

complessiva non prerogativa del protocollo di

tunneling utilizzato, ma deve essere vista in un contestopi ampio su come i pacchetti VPN vengono inoltrati

nei tunnel. Ad esempio, se si sicuri che il trafficoVPN attraversa la sola rete dellISP di appartenenza,non sono necessari meccanismi di sicurezza di elevata

pesantezza computazionale, altrimenti necessari nelcaso in cui tale traffico attraversasse le reti di altri ISP.Luso di tunnel sicuri richiede un notevole consumo di

risorse nei router, ed quindi necessario poter sceglieretra i vari algoritmi di crittografia in modo da trovare ilgiusto compromesso tra livello di sicurezza e

complessit computazionale per ogni contesto possibile. In tal caso IPSec risulta molto utile poich

permette di scegliere lalgoritmo di crittografia.Un concetto chiave di IPSec la SecurityAssociation (SA), la quale permette di definire i parametri (algoritmi e chiavi di crittografia) di una

comunicazione sicura tra due macchine. Inoltre ingrado di offrire i seguenti servizi di sicurezza:

Controllo degli accessi: soltanto utenti autorizzatidevono avere accesso ad un particolare servizio direte;

Integrit dei dati: i dati devono arrivare adestinazione inalterati;

Autenticazione dellorigine dei dati: chi riceve idati deve essere in grado di identificare chi li hainviati;

Protezione dalle repliche: se dei dati cifrativengono inviati pi volte al destinatario, esso deve

essere in grado di riconoscerle come repliche; Segretezza: nessun altro allinfuori del destinatario

deve essere capace di leggere i dati che verranno

inviati.

Questi servizi di sicurezza vengono forniti da IPSec

mediante dalluso di due protocolli:

un protocollo che fornisce autenticazione ed

integrit ma non segretezza, chiamatoAuthentication Header (AH)

ed un protocollo che fornisce integrit esegretezza, chiamato Encapsulating SecurityPayload (ESP).

Il protocollo ESP fornisce pi servizi rispetto al

protocollo AH e di conseguenza risulta pi complicatoe richiede maggiore risorse per il suo processamento.

Ciascun protocollo pu funzionare in due modalit:

modalit trasporto (transport mode) e modalit tunnel(tunnel mode), che sono due tipi di securityassociation.

La modalit trasporto viene utilizzata per fornire protezione per i protocolli di livello superiore, comeTCP, UDP o ICMP, ma non per lheader IP.

La modalit tunnel fornisce invece una protezionedellintero pacchetto IP, e questa modalit quella chedi solito si preferisce per le VPN.

La Figura precedente illustra due diversi modi di protezione e autenticazione dei dati nelle modalit

trasporto e tunnel.Il pacchetto IP originale viene arricchito con nuoviheader e trailer del protocollo ESP, i quali contengono

le informazioni per gestire la cifratura e decifratura diogni pacchetto.Le comunicazioni sicure richiedono lo scambio di

chiavi crittografiche tra mittente e destinatario.La gestione delle chiavi pu venire in modo manualeoppure automatico. Nella modalit manualelamministratore di sistema configura manualmente lechiavi nei vari router, host, ecc., mentre nella modalitautomatica la creazione e distribuzione delle chiavi

viene effettuata da un apposito sistema automatico.Esistono due protocolli per la gestione automatica delle


15/15


chiavi: IKE (Internet Key Exchange) e ISAKMP(Internet Security Association and Key Management

Protocol).

Tunnel con qualit del servizioI clienti possono richiedere allISP che le connessioni

tra i propri siti VPN abbiano delle caratteristiche inqualche modo simili a quelle delle linee dedicate,ovvero possono richiedere che vengano rispettati i parametri tipici della qualit del servizio, quali

probabilit di perdita dei pacchetti, latenza, jitter sulritardo e garanzie di banda passante. In questa sede nonsi vuole entrare nel dettaglio dei vari meccanismi

utilizzati per offrire QoS al traffico VPN;bisogna perconsiderare che le stesse metodologie sviluppate perassicurare la QoS sulle reti fisiche possono benissimo

essere applicate anche alle reti virtuali.

Servizi integrati / RSVP

I servizi integrati (abbreviatiIntServ, ovvero IntegratedServices) consentono di offrire garanzie sulla QoS

prenotando delle risorse sui router percorsi da untunnel.RSVP (Reservation Protocol) un protocollo di

segnalazione che consente ai router di effettuareprenotazioni delle loro risorse. Un router PE che vuole prenotare le risorse sui router costituenti il percorso

fisico di un tunnel, invia un messaggio (PATHmessage) al PE dellaltra estremit del tunnel.Il PE remoto risponde con un messaggio (RESV

message) che, attraversando i router P della reteinterna, consente di prenotare le risorse relative allarichiesta. La Figura seguente mostra come avvienequesto scambio di messaggi.

Prima di prenotare delle risorse, i router devono

verificare che esse siano disponibili; lammissione dichiamata (call admission) consente di verificare chelammontare di risorse richieste non superi quelle

disponibili.RSVP un protocollo che ha dei seri problemi discalabilit. Esso richiede infatti che la rete dellISP

mantenga uno stato per ogni tunnel con risorseprenotate, e il numero di stati aumenta col numero diprenotazioni effettuate; ci di fatto limita il numero di

tunnel che possono essere instaurati nella rete dellISP.Inoltre il protocollo RSVP deve essere supportato datutti i router della dorsale, sia P che PE. Si pu notare

la differenza con il tunneling IP in IP, che di tipo

non segnalato, ovvero la creazione del tunnel unfenomeno puramente locale, che coinvolge soltanto i

router PE costituenti le due estremit del tunnel e non irouter P.

Servizi differenziatiI servizi differenziati (abbreviati DiffServ, ovvero

Differentiated Services) consentono di offrire garanziesulla QoS classificando il traffico VPN in ingresso allarete dellISP in modo da definire la classe di traffico di

ogni pacchetto VPN; diverse classi di traffico

riceveranno un trattamento diverso allinterno delladorsale.

I router PE marcano ogni pacchetto proveniente dalleconnessioni di accesso impostando un particolarevalore nel campo DS (Differentiated Services)

dellheader IP; un pacchetto marcato pu essereinoltrato immediatamente nella dorsale, ritardato per uncerto tempo prima di essere inoltrato oppure pu essere

scartato.I router P devono supportare i servizi differenziati; algiungere di un pacchetto marcato DS da un PE, essi lo

inoltrano verso la prossima destinazione in accordo allaclasse di servizio del pacchetto.

Pacchetti appartenenti alla stessa classe di servizioriceveranno lo stesso trattamento, indipendentementedalla VPN a cui appartengono.Di conseguenza, a differenza dei servizi integrati, non

necessario mantenere un stato nella dorsale dellISPper ogni tunnel creato.Per questo motivo la soluzioneDiffServper garantire la

QoS rappresenta una soluzione pi scalabile rispetto aIntServ.

R. GaetaBiblografia: Tesi di Laurea di Angelo Calafato

Documents

Reti e dintorni 15