Reti e dintorniGennaio/Febbraio 2002 N 8
RETI E DINTORNI N 8
Pag. 2
EDITORIALE Le tecniche di vendita, possono essere viste come
unapplicazione pratica della persuasione. Il sociologo Cialdini ha
identificato i sei modelli fondamentali della persuasione: 1. Fare
leva sulla dipendenza creata con unofferta 2. Fare leva sulla
coerenza ad un impegno 3. Fare leva sulla coerenza con il gruppo
sociale 4. Fare leva sulla simpatia 5. Fare leva sullautorit 6.
Fare leva sulla scarsa disponibilit di qualcosa evidente che alcuni
dei modelli precedenti sono pi utilizzabili, rispetto ad altri per
le tecniche di vendita. La persuasione deve essere intesa come un
arma per modificare la visione della realt da parte di chi riceve
il messaggio. Ma essa solo la pi ingenua e la pi scoperta fra le
tecniche per formare/distruggere le opinioni. Attualmente alla
persuasione, sono preferite tecniche di informazione sofisticate,
che preparano il terreno allinterpretazione errata
dellinformazione. Queste tecniche si basano soprattutto a quelle
che in retorica vengono definite sofismi. Lo scopo finale non tanto
di portare fuori strada chi riceve il messaggio cos strutturato,
quanto nellabituare la gente a ragionare in modo distorto. Questo
significa creare dei dispositivi che permettono di portare la gente
a elaborare la disinformazione autonomamente. I sofismi sono dunque
lequivalente delle bombe ad effetto ritardato, e i loro effetti
devastanti sgombrano il terreno da qualsiasi forma di resistenza
verso la persuasione. Vediamo alcuni di questi sofismi. Essi sono
solo apparentemente corretti. In realt si tratta di dispositivi
retorici atti a scardinare proprio le difese della logica. Molti di
voi riconosceranno in questi modelli delle forme abituali di
espressione e questo d la misura di quanto sia facile abituarsi a
ragionare in modo distorto. SOFISMI ARGUMENTUM AD BACULUM: Ovvero,
fare appello alla forza. Si tratta di una delle forme di
argomentazione pi rozze perch si riferisce al potere (il potere ha
sempre ragione) ed spesso utilizzata in politica e in religione per
suggestionare la massa. ARGUMENTUM AD HOMINEM: Invece di dimostrare
la falsit delle affermazioni dellavversario, questo tipo di
argomentazione rivolta contro la persona e funziona secondo il
seguente schema: 1) A afferma la tesi X. 2) Si getta discredito su
A. 3) Quindi la tesi di A falsa. ARGUMENTUM AD IGNORANTIAM: Questa
argomentazione si basa sullaffermare che una tesi vera solo per il
fatto che non stata provata la sua falsit o viceversa. Lo schema il
seguente: 1) Nessuno ha mai provato che X sia falso (o vero). 2)
Quindi X vero (o falso). ARGUMENTUM AD POPULUM: Si ottiene il
consenso basandosi sul fatto che la propria tesi condivisa da un
grande numero di persone. Lo schema il seguente: 1) Tutti sanno che
X vero. 2) Quindi X vero. APPELLO ALLA PRATICA COMUNE: variante
dellArgumentum ad Populum, consiste nel sostenere che se una certa
azione fatta abitualmente da tutti necessariamente giusta. Lo
schema : 1) X una azione che fanno tutti. 2) Quindi fare X
giusto/corretto/ragionevole ecc. ARGUMENTUM AD VERECUNDIAM: fare
appello allautorit una forma di argomentazione molto persuasiva ed
utilizzata in pubblicit, in politica e in religione. Lo schema : 1)
che X sia vero lo dice anche A. 2) Quindi X vero. ARGUMENTUM AD
NAUSEAM: Consiste nella costante ripetizione di una affermazione e
si basa sulla credenza che una tesi diventi tanto pi vera quanto pi
viene comunicata. NON CAUSA PRO CAUSA: Identificare qualcosa come
causa di un fatto
RETI E DINTORNI N 8
Pag. 3
quando non c alcun modo di provare che quella sia la causa
reale. Lo schema : 1) c A. 2) c B. 3) Quindi A ha prodotto B. La
lista dei sofismi qui enunciata non completa, in quanto ne esistono
altri 50 tipi diversi. Nella strutturazione di un discorso, che ha
lobiettivo di persuadere gli ascoltatori, non esiste
limprovvisazione pura e semplice. Gli elementi costitutivi di un
discorso sono elencati di seguito: - Introduzione o preambolo -
Scopo o enunciazione - Argomentazione: prima gli argomenti
negativi, cio quelli contro la tesi che si vuole sostenere, e poi
quelli positivi, in favore della nostra tesi. - Ricapitolazione o
conclusione Le figure retoriche pi utilizzate in un discorso sono:
- lantitesi - la prolessi - la preterizione - la litote - lironia -
la deprecazione - lapostrofe - la reticenza - la similitudine -
lanafora Unesempio di argomentazione persuasiva (senza andarsi a
scomodare su gli infiniti esempi che forniscono certi politici!),
lo troviamo sul corso BCMSN di Cisco. Nellintrodurre lHSRP, il
manuale introduce prima, esaltando, mentendo e omettendo, sui
problemi di altre tecniche alternative. Vediamo un po: - omissione:
non viene considerato lICMP REDIRECT - esaltazione: delleventuale
aumento dei broadcast quando si utilizza il PROXY ARP - omissione
ed esaltazione: sullIRDP si esaltano i tempi di default (che sono
molto lunghi), lasciando intendere che sono un problema. Purtroppo
viene omesso che i tempi possono essere diminuiti, e quindi avere
la ridondanza del gateway in pochi secondi. - Omissione: non viene
trattato, nemmeno come cenno, che esiste un protocollo similare
allHSRP, e cio il VRRP. - LHSRP viene presentato come soluzione dei
problemi presentati. Sembra che per la Cisco lHSRP non abbia
difetti. La realt diversa. Primo, ogni tecnica ha i suoi pregi e
difetti.Secondo, lo scopo non dichiarato esplicitamente dal manuale
Cisco, quello di persuadere ad utilizzare sempre HSRP. Ma il
protocollo HSRP lo utilizza solo Cisco. Conclusione finale: il
capitolo sullHSRP del corso BCMSN, nella maggior parte pubblicit
con la maschera di informazioni tecniche. (Il sofisma qui
utilizzato il seguente: 1) Si enunciano soltanto i problemi della
tecnica X 2) Si presenta la tecnica Y come soluzione senza
problemi.) Spero che larticolo che segue possa riportare largomento
su una base pi scientifica e meno retorica. R.G.
RETI E DINTORNI N 8
Pag. 4
FAULT-TOLERANCE SU TOPOLOGIE BMA (Broadcast Multi Access)I
computer presenti in una Lan sono normalmente configurati con
lindirizzo Ip la Netmask e un default gateway. Se vogliamo
trasmettere dati a computer che non appartengono alla nostra subnet
dobbiamo utilizzare il default gateway (vedi Reti e Dintorni n5).
La domanda se il default gateway si guasta, quali sono i metodi per
continuare a trasmettere i dati verso subnet diverse? Ebbene s
abbiamo un solo router presente sulla nostra subnet non abbiamo
nessuna speranza! Se invece sono presenti almeno due routers
possiamo utilizzare uno dei seguenti metodi: ICMP Redirect (RFC
792) Multiple Gateways on PC (RFC 816) Proxy ARP (RFC 1027) RIPv1
Listening (RFC 1058) IRDP (RFC 1256) HSRP (RFC 2281 Informational)
VRRP (RFC 2338)
invia il pacchetto al suo default gateway (Router A). 2) Il
pacchetto arriva al router A, e verifica, tramite la sua tabella di
routing, che deve inviare il pacchetto al router B, presente sulla
stessa subnet dove anche presente lhost sorgente. Dunque invia un
ICMP Redirect che informa lhost sorgente della presenza di un
percorso migliore. 3) Il router A comunque invia il pacchetto Ip
ricevuto al router B. 4) Lhost sorgente ricevuto il pacchetto ICMP
Redirect, DEVE aggiornare la sua tabella di routing (vedi RFC 1122
pag. 40-41). Su sistemi windows 9x potete verificare laggiornamento
tramite il comando route print. Da questo momento lhost invia i
successivi pacchetti a lhost destinazione, appartenente alla subnet
14.4.0.0, tramite il router B. Il punto debole di questa strategia
sicuramente il guasto del router A, in questo caso nessun ICMP
Redirect potr essere inviato. Multiple Gateways on PC Un PC pu
essere configurato (manualmente o tramite server DHCP) con pi di un
default gateway. Il PC user il primo della lista. Su Windows 9x /
Me / NT e 2000 la Microsoft ha adottato la seguente tecnica di
rilevamento di Dead Gateway: 1) Siano presenti sulla lan i due
default gateway: Router A e Router B; 2) Il PC sia configurato con
in due default gateway e che il router A sia il primo della lista;
3) Abbiamo il seguente algoritmo: a) Se allinvio di un segmento TCP
si ottiene risposta entro met del tempo definito dal
valore:TcpMaxDataRetransmissions (questovalore si modifica in modo
dinamico ed utilizzato dalle procedure TCP) allora si continuano ad
inviare i
ICMP Redirect Questi messaggi sono inviati da un router per
segnalare che presente un percorso migliore per la trasmissione dei
pacchetti Ip. La figura seguente mostra come pu essere utilizzata
questa informazione per il fault-tolerance:
I due routers devono scambiarsi tra di loro informazioni di
routing, per fare in modo che a seguito di un guasto, possano
trovare uneventuale percorso alternativo. Sia il Router A il
default gateway dei pc presenti sulla subnet 10.1.0.0. A seguito di
un guasto sul collegamento wan del router A il protocollo dinamico
di routing ottiene linformazione che ora la subnet 14.4.0.0 ora
raggiungibile tramite il router B. Ora abbiamo: 1) Lhost C
trasmette un pacchetto indirizzato a un host appartenente alla
subnet 14.4.0.0, per fare ci
segmenti/pacchetti verso il router A. b) Se invece non si
ottiene riposta il PC invier degli ARP Request per conoscere il MAC
Address del Router B. Se si ottiene risposta il PC da questo
istante utilizzer il Router B come default gateway. i) Se non si
ottiene risposta il PC cercher in modo ciclico con gli altri
default gateway presenti sulla lista (nel nostro caso riproverebbe
con il router A) da rimarcare il fatto che la rilevazione del Dead
Gateway avviene solo tramite linvio di segmenti TCP (quindi
qualsiasi applicazione che utilizzi TCP), una volta rilevato e
passato ad utilizzare il router B qualsiasi pacchetto (TCP, UDP,
ICMP ecc.) che dovr utilizzare il default gateway potr essere
inviato con successo. Dunque se dovete fare degli esperimenti se
usate solo il ping (ovviamente per una subnet remota raggiungibile
da ambedue i router) per verificare se questa tecnica funziona
otterrete un clamoroso fallimento.
RETI E DINTORNI N 8
Pag. 5
PROXY ARP Il Proxy ARP stato sviluppato per rendere le sottoreti
trasparenti ai sistemi terminali. una variante di ARP, il router in
grado di rispondere, alle richieste ARP, per conto dei nodi
raggiungibili attraverso il router stesso. Tutti i routers di
default hanno il Proxy ARP abilitato. Anche se normalmente
abilitato per usare i suoi servizi bisogna fare in modo che i Pc
che devono trasmettere dati a Pc appartenenti a subnet differenti,
inviino pacchetti ARP Request richiedendo la risoluzione
dellindirizzo Ip di destinazione. Ma essendo, in questo caso,
lindirizzo Ip di destinazione appartenente a unaltra subnet, il Pc
sorgente invia ARP request per risolvere lindirizzo Ip del default
gateway (vedi Reti e Dintorni n5). Ci significa che, nonostante il
Proxy ARP sia sempre abilitato, in realt non viene utilizzato, e
forse anche questo uno dei motivi che potrebbe spiegare perch il
Proxy ARP quasi sconosciuto fra i tecnici. Cosa si deve fare per
utilizzare le funzionalit del Proxy ARP? Semplice, configurare
manualmente il Pc con il default gateway uguale allindirizzo Ip del
Pc (detto anche default gateway su stesso)(in modo automatico solo
se sulla lan presente un server DHCP SP4. Aggiungere nel registro
del server, nella posizione HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo
ntrolSet\Services\DHCPServer\configuration\Subne ts\w.x.y.z dove
w.x.y.z la network ID per la quale vogliamo che i pc abbiano il
default gateway su se stesso, aggiungere la chiave
SwitchedNetworkFlag, tipo REG_DWORD e settare il suo valore a 1).
Quali sono i vantaggi del Proxy ARP? 1) Configurazione semplice
(default gateway su stesso!) 2) Load Balancing (diversi hosts usano
in modo randomico uno o laltro router) 3) Fault Tolerance immediato
se lindirizzo di destinazione non presente in cache ARP del Pc
a)
Se si utilizza un Proxy Server per le connessioni su Internet,
il traffico broadcast non aumenta in modo considerevole.
2) Fault Tolerance ritardato se lindirizzo di destinazione
presente in cache (bisogna attendere il timeout). a) Se viene
utilizzato un DHCP server il parametro ARPcache timeout (codice 35)
permette di specificare la validit in secondi delle entry della
tabella ARP.
3) Controllo limitato da parte dellamministratore di rete per
quanto riguarda il load balancing. Sar sempre usato il router che
ha risposto alla richiesta ARP, che temporalmente pi distante.
Questo dovuto al fatto che le risposte Arp Reply sovrascrivono la
entry relativa presente in cache arp. Sui router Cisco di default
il Proxy ARP abilitato. Per disabilitarlo su un interfaccia:Router
(config-if)# no ip proxy-arp
Per abilitarlo su uninterfaccia:Router (config-if)# ip
proxy-arp
Sui Switch/Router della Enterasys il Proxy ARP abilitato di
default. Per disabilitarlo su uninterfaccia si usi:ssr(config)#
name ip disable proxy-arp interface
per riattivarlo si neghi il precedente comando. RIPv1 Listening
Se i routers presenti sulla lan utilizzano come protocollo dinamico
di routing il RIPv1, allora possiamo abilitare sui pc il silent
RIPv1 o RIPv1 listening. In questo modo lhost ascolta gli update
inviati dai routers per costruirsi la propria tabella di routing.
Per abilitare il RIPv1 listening su un pc win 98 eseguire i
seguenti passi: 1) Entrare in pannello di controllo e selezionare
rete. 2) Selezionare aggiungi servizio e aggiungere dal cd di win98
il servizio fornito dal file Irip.inf presente nella directory
\Tools\RIP 3) Riavviare il computer. Da questo momento il pc
imparer i percorsi dagli update RIP che ricever. IRDP LICMP Router
Discovery Protocol un metodo per scoprire i router presenti sulla
lan. Il protocollo diviso in due parti: una parte server che
risiede sui routers e una parte client residente sugli hosts.
Svantaggi: 1) Genera pi traffico broadcast nel caso si abbia un
collegamento su Internet.
Labilitazione del processo server IRDP su router Cisco viene
effettuata tramite il comando dinterfaccia:Router(config-if)# ip
irdp
RETI E DINTORNI N 8
Pag. 6
Mentre labilitazione del processo client IRDP su un pc
win9x/2000, viene abilitato di default per i client DHCP (sul
server DHCP parametro con codice 31 = Perform router discovery).
[Oppure modificare, nel registro di windows, il valore del
parametro PerformRouterDiscovery (tipo STRING) portandolo ad 1
(1=abilita IRDP) o 0 (0=disabilita IRDP. Questo parametro lo
trovate (o lo dovete aggiungere) nella seguente chiave di registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo
ntrolSet\Services\Class\NetTrans\#### dove #### il numero di
binding TCP/IP relativo allinterfaccia dove volete attivare IRDP].
Il router invia periodicamente dei messaggi di Router Advertisement
da ogni interfaccia con il processo server IRDP abilitato, inviato
in broadcast (255.255.255.255) o in multicast (224.0.0.1). Ogni
Router Advertisement contiene una lista degli indirizzi ip di
router utilizzabili, con relativa preferenza. Inoltre un campo
(lifetime) definisce per quanto tempo questo messaggio deve essere
ritenuto valido. Lhost pu inviare dei Router Solicitation (in
broadcast o in multicast = 224.0.0.2), al quale i router
risponderanno con un Router Advertisement inviato in unicast (se si
utilizza un server DHCP lindirizzo pu essere configurato tramite il
parametro (codice 35) Router solicitation address). Altri comandi
dinterfaccia per i routers Cisco sono:Router(config-if)# ip irdp
multicast (invia i Router Advertisement in multicast = 224.0.0.1)
Router(config-if)# ip irdp holdtime sec (definisce il valore del
lifetime. Default = 3 * maxadvertinterval.. Range fra
maxadvertinterval e 9000 sec) Router(config-if)# ip irdp preference
number (definisce la preferenza per questo router. Il router o
linterfaccia con il valore di preferenza maggiore preferito.)
Router(config-if)# ip irdp maxadvertinterval sec (definisce il
massimo intervallo fra due Router Advertisement. Default = 600 sec
=10 min. Range fra 4 e 1800 sec) Router(config-if)# ip irdp
minadvertinterval sec (definisce il minimo intervallo fra due
Router Advertisement. Default = 0,75 * maxadvertinterval. Range fra
3 e maxadvertinterval.)
Router(config-if)# ip irdp holdtime 10
In questo modo il tempo di transizione, in caso di guasto, di
soli 10 secondi. Per i Smart Switch Router della Enterasys abbiamo
i seguenti comandi:ssr(config)# rdisc add interface |all(abilita
lirdp sullinterfaccia specifica oppure su tutte)
ssr(config)# rdisc set address type multicast|broadcast
advertise enable|disable preference |ineligible(questo comando
definisce che lindirizzo ipaddr deve essere inviato o solo in
multicast o in broadcast, oppure che deve essere incluso o escluso,
oppure definisce la preferenza)
ssr(config)# rdisc set interface |all min-adv-interval
max-adv-interval lifetime (questo comando definisce i parametri
suddetti)
ssr(config)# rdisc start( il comando che fa partire lintero
processo IRDP)
HSRP Il protocollo Hot Standby Routing Protocol (HSRP),
sviluppato da Cisco, provvede al backup automatico di un router. Ci
significa che un router si assume le funzioni assolte da un altro
router che si guastato. Il protocollo HSRP prevede lesistenza di un
gruppo di routers, identificati dallo Standby Group. In questo
gruppo sono identificati un Active router ed almeno un Standby
router. Lactive router il router del gruppo che avr la funzione di
trasmettere i dati, mentre lo standby router in uno stato di
backup. Gli hosts useranno come loro default gateway un indirizzo
ip virtuale, associato a un mac virtuale, che sono utilizzati
dallactive router. Se lactive router si guasta, lo standby router
si trasforma in active router e utilizza lip virtuale e il mac
virtuale. In questo modo linterruzione dei flussi dati limitata al
tempo di transizione da standby ad active.
Come avete visto i valori di default sono molto elevati
(dopotutto la RFC 1256 del 1991, cio qualche era geologica fa!). Il
mio consiglio di utilizzare i seguenti valori sullinterfaccia dei
router coinvolti nel processo IRDP:Router(config-if)# ip irdp
Router(config-if)# ip irdp maxadvertinterval 4 Router(config-if)#
ip irdp minadvertinterval 3
HSRP non deve essere inteso come un protocollo che vuole
sostituire i metodi precedentemente descritti, ma che anzi ne
complemento (vedi RFC 2281 pag.2). LHSRP utilizza come trasporto
lUDP e la porta 1985. I pacchetti sono inviati allindirizzo
multicast 224.0.0.2 con TTL = 1. Il pacchetto ha i seguenti
campi:
RETI E DINTORNI N 8
Pag. 7
lautenticazione il campo contiene il valore esadecimale
63.69.73.63.6F.00.00.00 (che corrisponde alla parola: cisco)
Virtual IP Address: contiene lindirizzo virtuale utilizzato dallo
Standby Group. Come vedete il pacchetto HSRP non contiene il MAC
Address virtuale che sar utilizzato dallactive router. Come viene
formato il MAC virtuale? 1) Token Ring a) Standby Group = 0 MAC
Virtuale = C0.00.00.01.00.00 b) Standby Group = 1 MAC Virtuale =
C0.00.00.02.00.00 c) Standby Group = 2 MAC Virtuale =
C0.00.00.04.00.00 2) Altre tecnologie (Ethernet, FDDI, ecc.) a)
Standby Group = XX MAC Virtuale = 00.00.0C.07.AC.XX HSRP e Proxy
ARP HSRP e Proxy ARP possono coesistere tranquillamente, in quanto
un router appartenente ad uno Standby Group, DEVE rispondere (se pu
fornire il servizio Proxy ARP) fornendo il MAC Virtuale. Esempio di
un pacchetto Hello inviato da un active router, con i seguenti
parametri; Stanby Group = 0; Priorit = 200; Ip virtuale =
10.24.1.10: HSRP e ICMP Redirect La RFC 2281 definiva che,
lutilizzo dellHSRP comporta che il router NON DEVE inviare
pacchetti del tipo ICMP Redirect. Comunque dalla versione IOS
12.1(3)T, permesso linvio dei ICMP Redirect. Abbiamo tre possibilit
: 1) Reindirizzamento verso un altro Standby Group: In questo caso
il pacchetto ICMP Redirect fornisce lindirizzo IP virtuale di quel
gruppo (solo con il comando standby redirects enable) 2)
Reindirizzamento verso routers non appartenti a gruppi HSRP: in
questo caso il pacchetto ICMP Redirect contiene lindirizzo reale
del router (sia con il comando standby redirects enable che con
standby redirects disable) 3) Reindirizzamento verso routers
appartenenti allo stesso Standby Group: a) non permesso (con il
comando standby redirects enable) b) permesso (con il comando
standby redirects disable) MHSRP Il Multigroup HSRP permette a una
singola interfaccia di un router, lappartenenza a pi di uno Standby
Group.
Version: numero della versione di protocollo Opcode: descrive il
tipo di messaggio contenuto nel pacchetto come descritto in
figura:
State: Definisce lo stato interno del processo HSRP. Possibili
valori sono:
Hellotime: contiene il valore in secondi, del periodo dinvio dei
pacchetti Hello. Default = 3 sec. Holdtime: contiene il valore in
secondi, del periodo di validit del pacchetto Hello. Default = 10
sec. Priority: questo campo utilizzato per eleggere lactive router.
Quando sono comparati le priorit di due differenti routers, il
router con priorit pi alta diventa active router. In caso di uguale
priorit diventa active router quello che ha lindirizzo Ip di valore
pi alto. Group: questo valore identifica in modo univoco a quale
"Standby Group il router appartiene. Per Token Ring sono validi
solo i valori da 0 a 2. Mentre per tutte le altre tecnologie sono
validi i valori da 0 a 255. Authentication Data: contiene una
password inviata senza criptografia. Se non viene utilizzata
RETI E DINTORNI N 8
Pag. 8
La figura soprastante mostra un utilizzo del MHSRP per ottenere
load sharing. Tracking Prendiamo in considerazione la figura
seguente:
Router(config)# disable]
standby
redirects
[enable
|
(Comando che permette linvio di ICMP Redirects (di default dalla
versione 12.1(3)T), dove enable abilita la sostituzione dellIp
reale con lIp virtuale, mentre disable disabilita questa
funzione.)
Router(config-if)# authentication string
standby
groupdi
(Comando che definisce la stringa autenticazione. Default =
cisco)
se avviene un guasto sulla seriale S0 del router A (active) HSRP
pu accorgersi di ci tramite il tracking, cio lassociazione dello
stato dellinterfaccia Ethernet E0 anche allo stato della S0. Se la
S0 diventa down, allora la priorit del router viene diminuita, in
modo tale che un altro diventi active router. Da notare infine che
le interfacce dei router appartenenti ad uno Standby Group sono
comunque utilizzabili attraverso lindirizzo Ip reale, quindi
possiamo trasmettere dati e riceverli anche da una interfaccia che
in standby HSRP, se indirizzata direttamente!!! LHSRP lo trovate
solo su router Cisco, in quanto a pag. 3 del RFC 2281, si chiarisce
che il protocollo brevettato (US Patent n 5.473.599), e si richiede
per la sua implementazione il pagamento della licenza alla Cisco.
Comandi Cisco per lHSRP:Router(config-if)# [secondary] standby
group ip ip-add
VRRP Il protocollo VRRP (Virtual Router Redundancy Protocol)
molto simile al protocollo HSRP. Anche qui abbiamo un router che
diventa Master e laltro router rimane in standby. A livello IP i
pacchetti VRRP sono inviati in Multicast allindirizzo 224.0.0.18
(ci corrisponde a un multicast locale e un router NON DEVE ruotare
questo pacchetto, qualsiasi sia il valore del campo TTL). Il valore
TTL deve essere 255, Un router VRRP DEVE scartare pacchetti VRRP
con valori TTL diversi da 255. Lidentificatore del protocollo VRRP
a livello IP il 112. I campi propri del VRRP sono i seguenti:
(Comando che definisce lo standby group e il suo indirizzo ip
virtuale. Con secondary abilitiamo pi di un indirizzo Ip virtuale
sul processo HSRP)
Router(config-if)# priority
standby
group
priority
(Comando che definisce la priorit. Default = 100)
Version: questo campo deve essere uguale a 2 Type: attualmente
lunico valore definito il numero 1 = ADVERTISEMENT. Qualsiasi altro
valore comporta che il pacchetto deve essere scartato. VRID
(Virtual Router ID): identifica a quale virtual router appartiene
il pacchetto Priority: la priorit definisce chi deve diventare
master. Maggiore il valore, maggiore la priorit. IP address count:
contiene il numero di indirizzi Ip contenuti nel pacchetto.
Authenticatio Type: Abbiamo definite tre possibilit 1) No
Authentication; 2) Simple Text Password 3) IP AH Advertisement
interval: lintervallo dinvio fra un pacchetto VRRP e un altro.
Default = 1 sec. A livello MAC abbiamo che: - Ethernet: il MAC
address virtuale di destinazione formato da: 00-00-5E-00-01-{VRID}.
Questo significa che per dominio lan possiamo al massimo avere 255
VRRP virtual routers. - Token Ring: sono utilizzati gli 11
indirizzi functional. Ma si deve fare attenzione, e verificare se
sulla rete alcuni di essi non siano gi utilizzati. - Tabella di
corrispondenza VRID e Functional address
Router(config-if)# standby group preempt(Comando che definisce
che il router deve diventare active router ogniqualvolta la sua
priorit la pi alta.)
Router(config-if)# hellotime holdtime
standby
group
timers
(Comando che definisce i valori di hellotime (default = 3 sec) e
di holdtime (default = 10 sec))
Router(config-if)# standby group track number
interface-priority
type-
(Comando che permette il tracking di un interfaccia type-number,
e dove il valore di interface-priority indica il valore che deve
essere decrementato dalla priorit.)
RETI E DINTORNI N 8
Pag. 9
RIASSUMENDO Riassumiamo larticolo prendendo come modello di
riferimento la seguente rete:
I routers VRRP passano i seguenti stati:
Sono definiti i seguenti parametri: Skew Time = (256 Priority)/
256 Master Down Interval = (3 * Advertisement Interval) + Skew Time
Initialize: se la priority = 255 (se il proprio indirizzo ip uguale
allindirizzo ip virtuale la priority si setta a 255!), il router
invia un ADVERTISEMENT, invia un ARP Gratuito contenente lindirizzo
MAC virtuale e lIp virtuale e passa allo stato di Master.
Altrimenti passa allo stato di Backup Backup: quando il router in
questo stato DEVE: - Non rispondere agli ARP Request per il virtual
router - Scartare pacchetti inviati al MAC address virtuale - Non
accettare pacchetti inviati allindirizzo Ip virtuale Master: quando
il router in questo stato DEVE: - Rispondere agli ARP Request per
il virtual router - Trasmettere i pacchetti che abbiano MAC di
destinazione uguale al MAC Virtuale - Scartare pacchetti inviati
allIp virtuale se non equivalente allindirizzo Ip proprio -
Accettare pacchetti inviati allIp virtuale se equivalente
allindirizzo Ip proprio. Comandi Enterasys per il VRRP:ssr(config)#
ip-redundancy interface interface create vrrp vrid
La quale di base composta da sei routers, che interconnettono
due lan, la net A e la net F. Sui collegamenti seriali attivo un
protocollo di routing dinamico. Cerchiamo di considerare alcune
possibilit, prendendo come esempio un pc (A.100), fra i tanti
presenti sulla lan, e che il flusso dati di maggiore entit di
questo pc sia verso il server (F.100) presente sulla net F. ICMP
REDIRECT In questo caso abbiamo che il dominio di routing dinamico
viene esteso anche alle lan (si pu anche evitare usando opportune
rotte statiche), e il pc e il server hanno configurato il Default
Gateway. Normalmente il flusso traffico attraversa i routers R1, R3
e R5. Abbiamo le seguenti possibilit: 1) Guasto del router R3 o del
link seriale R1R3 o R3R5: a) Dopo il tempo di convergenza del
protocollo di routing (transiente), R1 e R5 inviano rispettivamente
un ICMP Redirect e il flusso dati si sposta sul percorso
alternativo: R2, R4 e R6.
(comando che crea un virtual router)
ssr(config)# ip-redundancy associate vrrp vrid interface
interface address ipaddr/netmask(comando che associa lindirizzo
virtuale al virtual router)
b) Se invece si guasta o il router R1 o il router R5 o le loro
interfacce lan, il flusso viene interrotto, anche se presente un
percorso alternativo. Per esempio nella figura seguente a seguito
di un guasto del router R5, il server
RETI E DINTORNI N 8
Pag. 10
(F.100) non ha ricevuto lICMP Redirect, mentre il router R1 ha
aggiornato la sua tabella di routing ed ha inviato il ICMP redirect
al pc (A.100), il quale a questo punto invia i pacchetti tramite
R2, e arrivando al server, risponde (almeno finch lindirizzo ip di
R5 presente nella cache arp) inviando i pacchetti di risposta al
router defunto.
1) Guasto dei routers intermedi o dei link seriali di un
percorso: a) Tempo di ripristino = tempo di convergenza del
protocollo di routing 2) Guasto dei routers estremi del percorso o
della loro interfaccia lan a) Tempo di ripristino = tempo di
validit delle entry nella cache arp. IRDP & ICMP REDIRECT Nel
caso di IRDP viene utilizzato il router con la preferenza maggiore.
Nel nostro modello di riferimento, i router abilitati allIRDP sono
R1, R2, R5 e R6. Inoltre si deve avere il routing dinamico esteso
alle lan. Supponiamo che sulla net A il router il router con
preferanza maggiore sia R2 e che sulla net F sia R6. Abbiamo le
seguenti situazioni: 1) Nel caso di guasto di R2 (o R6), lIRDP
permette lutilizzo del router con preferenza minore R1 (o R5).
Mentre ICMP Redirect reindirizza il traffico verso R5 (o R1). 2)
Nel caso di guasto del router R4 o delle linee seriali, soltanto
lICMP Redirect che instrada il flusso dati sul percorso
alternativo.
PROXY ARP Prendiamo in considerazione, nel caso del Proxy ARP,
due pc A.100 e A.101, che hanno ognuno un flusso dati verso il
server, supponiamo che i flussi siano come in figura. Consideriamo
che sulle lan non sono presenti protocolli di routing. Allora
abbiamo che a seguito di un guasto di un qualsiasi componente di un
percorso (routers o link) il flusso che passava per quel percorso,
passato il timeout della cache arp, passer per il secondo percorso.
In figura abbiamo che dopo il guasto di R5, il flusso da A.100
passer per R2.
HSRP Supponiamo di avere HSRP abilitato sui router R1, R2, R5 e
R6. Di default lHSRP disabilita linvio dei ICMP Redirect e quindi
il dominio di routing dinamico pu non essere portato sulle lan.
Supponiamo inoltre che i router HSRP siano configurati al tracking
delle interfacce seriali. Abbiamo le seguenti situazioni possibili:
PROXY ARP & ICMP REDIRECT Nel caso precedente, abbiamo supposto
implicitamente una situazione simmetrica, cio che i due percorsi
sostanzialmente abbiano lo stesso costo. Nel caso ci non sia vero
necessario anche con il Proxy ARP abilitare il routing dinamico
anche sulle lan (oppure avere pi collegamenti Wan di ridondanza,
solo che questa soluzione pi costosa). Questo per evitare che siano
utilizzati in modo casuale percorsi a bassa velocit. Portando il
routing dinamico anche sulle lan, otteniamo uninteressante
interazione con gli ICMP Redirect, infatti in questo caso otteniamo
che in caso di guasto, il tempo di ripristino del flusso dati sul
percorso alternativo dipende da:
RETI E DINTORNI N 8
Pag. 11
1) Guasto del router R3: in questo caso il tracking di R1 e R5,
diminuisce la priorit del router e permette di far diventare active
router i router R6 e R2, permettendo cos al flusso dati di usare il
percorso alternativo. 2) Nel caso di un guasto sui link seriali, o
delle interfacce ethernet di R1 o R5, o il guasto di R1 e R5, non
riusciamo ad ottenere il fault tolerance.
Biblografia LAN Commutate John J. Roese, Mc Graw Hill TCP/IP
Sidnie Feit, Mc Graw Hill Windows NT, guida alle reti Mondadori
informatica SmartSwitch Router CLI Reference Manual Cabletron
Systems Windows Registry Guide www.winguides.com BCMSN Corso Cisco
CCIE Study Guide John Swartz, Todd Lammle, SYBEX Inc. CID Mike
Crane, Cisco Press Cisco IOS IP and IP Routing Configuration Guide
www.cisco.com www.rware.demon.co.uk RFC 792 RFC 816 RFC 1027 RFC
1058 RFC 1256 RFC 2281 RFC 2338
La situazione pu essere migliorata portando il dominio di
routing dinamico anche sulle lan. In questo caso nelleventualit di
un guasto sui link seriali, o delle interfacce ethernet di R1 o R5,
o il guasto di R1 e R5, riusciamo ad ottenere il fault tolerance,
ma con il prezzo di un ulteriore passaggio attraverso la lan.
HSRP & ICMP REDIRECT Si pu migliorare la situazione
precedente abilitando lICMP Redirect tramite il comando Standby
redirects disable, in questo modo permesso lo reindirizzamento
anche nello stesso standby group. In questo caso il server F.100, a
seguito del guasto sulla net B, trasmetter i dati direttamente al
router R6, evitando di passare inutilmente per R5. HSRP & PROXY
ARP Abbiamo detto che abilitando lHSRP, soltanto il virtual router
abilitato al Proxy Arp. Quindi anche se possiamo utilizzarlo, nel
nostro modello di riferimento, non ci aiuta ad aumentare
lefficienza del faulttolerance. R. Gaeta Ringrazio L. Natale per
gli esperimenti di laboratorio.
RETI E DINTORNI N 8
Pag. 12
WIRELESS LANNel 1896 Guglielmo Marconi invent il telegrafo senza
fili, e in una stupefacente dimostrazione, prov la possibilit di
trasmettere informazioni, attraverso le onde elettromagnetiche, al
di l delloceano. Questa prova f stupefacente, anche perch, molti
illustri scienziati dellepoca, ritenevano impossibile una
trasmissione del genere. Ma Marconi f anche fortunato, perch non
sapeva dellesistenza della Ionosfera che si comporta come uno
specchio per certi valori di frequenza elettromagnetica, e grazie
anche al fatto che il trasmettitore utilizzato era di potenza
sufficiente (minimo 50 Watt), e soprattutto era anche un generatore
di armoniche impressionante. Ma cosa sono le onde
elettromagnetiche, e quali sono le loro caratteristiche basilari?
ONDE ELETTROMAGNETICHE Le onde elettromagnetiche consistono in una
variazione del campo elettrico e da una variazione del campo
magnetico perpendicolare al campo elettrico. Queste onde viaggiano
a una velocit che dipende dal mezzo che attraversano, in aria la
velocit quasi uguale a c 300.000 Km/s.
La cosa interessante delle onde elettromagnetiche che onde a
frequenze diverse possono coesistere nello stesso spazio e nello
stesso tempo senza nessuna interferenza fra loro (infatti la luce
che un onda elettromagnetica non interferisce, per esempio con le
onde radio!):
Mentre onde con medesima frequenza presenti nello stesso spazio
e nello stesso tempo interferiscono fra loro. La propagazione
multipercorso (multipath) di unonda elettromagnetica dipende dai
seguenti fattori:
(In figura R=Riflessione; D=Diffrazione; S=Scattering) 1)
Riflessione: quando unonda elettromagnetica incontra una superficie
di diametro maggiore alla lunghezza donda, avviene leffetto della
riflessione. a) Comunque una percentuale di energia
dellondaelettromagnetica, che dipende dal materiale e dalla
frequenza dellonda, viene assorbita dal materiale stesso, e in
alcuni casi, trasmessa al di l del mezzo stesso (Rifrazione).
Esse si distinguono fra loro tramite il valore della frequenza
dato dal rapporto fra la velocit di propagazione dellonda e il
periodo delloscillazione:
2) Diffrazione: quando unonda elettromagnetica incontra uno
spigolo di un materiale di dimensioni maggiori alla lunghezza
donda, avviene leffetto della diffrazione. 3) Scattering: quando
unonda elettromagnetica incontra unoggetto di dimensioni
paragonabili o minori alla lunghezza donda, avviene lo scattering.
ISM Frequency Le frequenze ISM (Industrial, Medical e Scientific)
sono tre bande di frequenza dove non richiesto, per trasmettere, il
pagamento di una licenza.
La seguente figura mostra in modo schematico la classificazione
delle onde elettromagnetiche
RETI E DINTORNI N 8
Pag. 13
pregi e difetti delle tre bande sono descritti nella seguente
tabella:
IEEE 802.11 Lo standard IEEE802.11 stato ratificato nel 1997 e
definiva lutilizzo di due tipi di onde elettromagnetiche: 1)
Infrarossi: lunghezza donda compresa fra 850 nm e 950 nm e velocit
di 1 e 2 Mb/s 2) Radiofrequenze: sono definite due tecnologie di
trasmissione: a) FHSS (Frequency Hopping Spread Spectrum); banda di
frequenze utilizzate 2,4 GHz ISM; velocit di 1 e 2 Mb/s b) DSSS
(Direct Sequence Spread Spectrum); banda di frequenze utilizzate
2,4 GHz ISM; velocit di 1 e 2 Mb/s IEEE 802.11a Standard ratificato
nel 1999. Utilizza la banda di frequenze 5 GHz ISM e sono definite
le seguenti velocit di trasmissione: 6, 9 , 12, 18, 24, 36, 48, 54
Mb/s. Viene utilizzata la tecnologia di trasmissione OFDM.
(Sviluppo futuro 100 Mb/s). IEEE 802.11b Standard ratificato nel
1999. Utilizza la banda di frequenze 2,4 GHz ISM e sono definite le
seguenti velocit di trasmissione: 5,5 Mb/s e 11 Mb/s. Viene
utilizzata soltanto la tecnologia di trasmissione DSSS. (Sviluppo
futuro 22 Mb/s).
TECNOLOGIE SPREAD SPECTRUM La tecnologia di trasmissione Spread
Spectrum nasce durante la seconda guerra mondiale, come metodo per
evitare le interferenze radio che utilizzavano i tedeschi per
disturbare la radio guida dei missili sottomarini. Lidea della
tecnologia Spread Spectrum per non venne n ai militari n a degli
scienziati incalliti, ma bens allattrice Hedy Lamar (vedi foto a
fianco) e al compositore George Antheil. Vediamo le due tecnologie
Spread Spectrum utilizzate dallIEEE 802.11. FHSS: Frequency Hopping
Spread Spectrum, si basa sulla trasmissione su 79 frequenze
diverse, in sequenza ciclica. La trasmissione su singola frequenza
dura 400 ms e dopo 31,6 sec il ciclo ricomincia.
Lo standard 802.11 ha definito 26 sequenze di trasmissione, e
sono state studiate per ottenere il minimo di interferenza quando
pi trasmettitori FHSS condividono lo stesso spazio. Nel caso di un
pacchetto perso, esso verr ritrasmesso alla prossima frequenza di
hop. Per questo motivo questa tecnica molto affidabile rispetto
alla distorsione multipercorso. DHSS: Direct Sequence Spread
Spectrum si basa sulla trasmissione su uno dei 13 canali definiti
dallo standard (11 negli Stati Uniti). In figura si vede la
distribuzione dei canali (ognuno 22 MHz di Banda) e della loro
larghezza di banda:
Notate che possiamo avere al massimo solo tre gruppi con tre
canali che non si sovrappongono, e sono: - Gruppo 1: Canali 1, 6 e
11 - Gruppo 2: Canali 2, 7 e 12 - Gruppo 3: Canali 3, 8 e 13
RETI E DINTORNI N 8
Pag. 14
Inoltre per diminuire i problemi dovuti alle interferenze o
rumori che modificano i dati trasmessi, ogni bit viene trasformato
in un chip, cio una sequenza di bits con ridondanza elevata:
lo
ritrasmette.
SCALABILITA Il throughput massimo possibile, dipende dalla
velocit utilizzata, dalla tecnologia di trasmissione e dal numero
di trasmettitori (denominati formalmente Access Point):
3) Se invece il mezzo occupato: a) La stazione trasmittente
elabora unalgoritmo di Backoff similare a quello utilizzato in
ethernet. La figura seguente mostra lalgoritmo relativo:
con la tecnica FHSS e 15 access points e alla velocit di 2 Mb/s,
otteniamo un throughput massimo di 17 Mb/s, mentre con soli 3
access points che trasmettono alla velocit di 11 Mb/s DSSS,
otteniamo un throughput massimo di 33 Mb/s. CSMA/CA Il protocollo
utilizzato a livello MAC CSMA/CA (Carrier Sense Multiple Access /
Collision Avoidance) che una variazione rispetto al protocollo
CSMA/CD utilizzato su ethernet. Ci significa che attualmente la
trasmissione wireless IEEE 802.11a utilizza la modalit Half Duplex.
Quindi dobbiamo considerare i client wireless che si collegano a un
access point, come dei PCs che si collegano a un Hub. La tecnica
per accedere al mezzo consiste nelle seguenti fasi: 1) Il client
che deve trasmettere invia per primo un pacchetto molto corto
denominato RTS (Request to Send), il quale contiene lindirizzo
della destinazione e del mittente ed in pi unindicazione della
durata del messaggio che deve trasmettere. 2) Se il mezzo libero:
a) il ricevitore risponde trasmettendo un pacchetto CTS (Clear to
Send), e il client pu cominciare a trasmettere il messaggio. b) La
stazione ricevente il messaggio verifica che sia ricevuto
corretamente. Se il messaggio non alterato risponde con un ACK. c)
Se la stazione trasmittente non riceve un ACK, ritiene che il
messaggio stato perso e
(il significato dellacronimo IFS spiegato in seguito)
FRAMMENTAZIONE Nellarticolo Efficienza, Errori e Pacchetti
pubblicato in Reti e Dintorni n4, viene affrontato il problema del
Throughput in funzione del BER del mezzo e del RTT. Si era visto
che per BER alti conviene trasmettere pacchetti di dimensione
corta. Il mezzo trasmissivo wireless pu avere un BER dellordine di
10-5 che elevato in confronto con il BER di 10-10 di un mezzo
trasmissivo UTP. Per questo la wireless pu utilizzare la
frammentazione a livello MAC. IFS (Inter Framing Spacing) Esistono
quattro tempi IFS: 1) SIFP (Short Inter Frame Spacing): corrisponde
al massimo tempo che un trasmettitore attende per ricevere le
risposte dal ricevitore (ACK o CTS).
RETI E DINTORNI N 8
Pag. 15
2) PIFS (Point Coordination Inter Frame): il tempo utilizzato
dallAccess Point per guadagnare laccesso al mezzo prima di ogni
altra stazione. (PIFS = SIFP + 78 s). 3) DIFS (Distributed Inter
Frame Spacing): il tempo che aspetta un client prima di iniziare a
trasmettere. (DIFS = PIFS + 128 s). 4) EIFS (Extended Inter Frame
Spacing): il tempo che un client deve aspettare, se esso non ha
interpretato (pacchetto corrotto) il tempo specificato e permesso
per la trasmissione dallaccess point. PROCESSO DI ASSOCIAZIONE
Quando un client prova a connettersi a una WLAN, esso deve eseguire
tre passaggi importanti: 1) Scelta dellaccess point di entrata: a)
Il client pu utilizzare due metodi: i) Passive scanning: il client
attende le Beacon frames inviate dagli AP. Queste sono inviate
periodicamente. ii) Active scanning: il client invia una Probe
Request Frame in broadcast. Gli Aps rispondono con un Probe
Response Frame, la quale contiene informazioni che permette al
client di scegliere lAP di accesso migliore. 2) Autenticazione: a)
Il client invia unAuthentication Request allAP selezionato.
(contenente per esempio la stringa SSID). b) LAP autentica il
client, ed invia un ACK. 3) Associazione: a) Una volta autenticato,
il client, invia un Association Request. b) Le caratteristiche del
client sono registrate sullAP e viene inviato un ACK. Da questo
momento il client pu iniziare a trasmettere e ricevere dati.
la LAN Ethernet tutti i pacchetti presenti ancora nel buffer,
relativi a quel client, dellAP che st per essere abbandonato.
SICUREZZA Il problema della sicurezza con le reti wireless
particolarmente importante, in quanto le onde elettromagnetiche non
vengono confinate allinterno degli edifici. Infatti chiunque sia in
possesso di un portatile con scheda wireless 802.11b compatibile,
posto in vicinanza del nostro ufficio, anche se allesterno, pu
entrare in rete e fare ci che vuole. Per evitare una cos spiacevole
evenienza, il comitato 802.11 prevedeva le seguenti modalit di
sicurezza: 1) SSID (Service Set Identifier): L'SSID un parametro
configurabile che deve essere identico sia sul client e sia
sull'AP. una stringa di 32 caratteri ASCII. Questo valore
controllato dal processo di associazione. Se un client non possiede
lSSID corretto non si pu associare. GLI SSID servono anche a
segmentare logicamente gli utenti e gli AP. a) Secondo le
specifiche 802.11, un AP pu trasmettere (seconfigurato in questa
modalit) in broadcast il suo SSID. In questo caso durante il
processo di associazione, qualsiasi client con nessun valore entro
il campo SSID, richieder che gli AP trasmettino il loro SSID. Se
l'AP cos configurato, trasmetter l'SSID al client, il quale user
poi questo SSID per associarsi all'AP. Per queste ragioni, l'SSID
deve essere considerato una caratteristica di sicurezza di basso
livello.
2) AUTENTICAZIONE TRAMITE MAC: manualmente possono essere
configurati i MAC address abilitati ad entrare sulla wireless lan.
a) Questo metodo pu essere accettabile se i client chedevono
accedere sono al massimo una decina, perch altrimenti la gestione
di queste tabelle diventa complicata.
3)
ROAMING il processo che permette, durante il movimento del
client, di riassorciarsi a un altro AP. Il client sempre in ascolto
dei Beacons inviati dagli APs, e valuta continuamente se esiste un
AP meno utilizzato o con maggiore potenza di segnale. Per un
roaming di tipo soft, quando il client st per essere riassociato a
un altro AP esso riceve attraverso
WEP (Wired Equivalency Privacy): WEP basato sul metodo di
criptaggio RC4. Usando questo metodo sia il client sia l'AP
condividono chiavi di WEP statiche. Questa chiave controllata
durante il processo di autenticazione. Se la chiave di WEP del
client non uguale a quella dell'AP, il client non si pu connettere
alla rete.a) RC4 permette criptaggio fino a 128-bit. IEEE 802.11 ha
scelto di usare chiavi a 40-bit. Molti venditori come Lucent e
Cisco Aironet possono utilizzare chiavi fino a 128-bit. La modalit
di distribuzione e negoziazione delle chiavi non trattata dallo
standard. 802.11 definisce due modalit di funzionamento per il
WEP.i) Un metodo chiamato "Key Mapping" dove solamente alcuni
client hanno la chiave e gli altri client stabiliscono una
relazione con questi client per imparare le chiavi.
b)
RETI E DINTORNI N 8
Pag. 16
ii) c)
Nel secondo metodo una collezione di chiavi pu essere
configurata su ciascuno AP o client.
WEP pu usare due metodi di autenticazione: Open Authentication e
Shared Key Authentication:
i)
OPEN AUTHENTICATION: Questo metodo permette autorizzazioni e
associazioni con o senza una chiave di WEP. Si tenga in mente che
la testata del pacchetto non criptata, solamente il payload (o
dati) criptato. Una volta che il client associato, la trasmissione
dei dati comincia, un cliente che usa la chiave WEP giusta,
trasmetter i dati senza problemi, mentre se non viene usata una
chiave WEP oppure non quella giusta il client impossibilitato a
trasmettere i dati.
b) Supporto RADIUS per AAA (Authentication, Authorization,
Accounting) centralizzata. c) Supporto per Roaming in spazi
pubblici. d) Chiavi WEP dinamiche.
5)
e) WDMZ (Wireless DeMilitarized Zone): unopportuna progettazione
di una WLAN, che permetta una sicurezza il pi possibile elevata,
quella di considerare sempre una WLAN come se fosse un collegamento
su Internet, e quindi utilizzare oltre alle tecniche prima
esemplificate, le ulteriori possibilit:a) b) c) Utilizzo delle VPN.
Collegamento della LAN dove sono collegati gli APs, su una DMZ di
un firewall Utilizzo di unIDS (Intrusion Detection System).
ii)
SHARED KEY AUTHENTICATION: Con questo metodo un client deve
usare una chiave WEP. Il client va attraverso il processo
dell'autenticazione normale. Una volta che il client autenticato,
un pacchetto non criptato (challenge) spedito al client. Il client
allora cripta il pacchetto e lo riinvia all'AP. Il criptaggio viene
controllato con il risultato ottenuto dall'AP medesimo. Se la
chiave corretta allora al client permesso di associarsi all'AP e
cominciare a spedire dati. Shared Key Authentication considerata
meno sicura rispetto alla OPEN Authentication a causa del pacchetto
challenge. Poich questo pacchetto spedito non criptato e viene
riinviato criptato, pu essere possibile catturare abbastanza di
questi pacchetti per rompere il criptaggio utilizzato.
d)
Pu sembrare che la sicurezza tramite il WEP sia ottima (invero
fornisce la stessa sicurezza di una trasmissione dati non criptati
su cavo o fibra). In realt essa presenta i seguenti difetti: i)
Autenticazione a una sola via (AP autentica il client ma il client
non autentica lAP) ii) Non possibile generare in modo dinamico le
chiavi iii) Non esiste integrazione con i metodi di autenticazione
gi esistenti iv) Le chiavi una volta definite sono statiche e
possono essere cambiate solo manualmente v) Per ulteriori
informazioni vedi: Intercepting Mobile Communications The
Insecurity of 802.11 scritto da Nikita Borisov et al. UC Berkeley.
( www.isaac.cs.berkeley.edu/isaac/mobicom.pdf ).
TOPOLOGIE DELLE WLAN Abbiamo sostanzialmente due possibilit: -
Wireless Networking: che si occupa della connettivit dei client
mobili, e del posizionamento degli AP, allinterno degli edifici; -
Wireless Bridging: che si occupa del collegamento wireless tra
edifici; Wireless Networking: A livello topologico abbiamo le
seguenti possibilit/problematiche: - Site Survey: posizionamento e
scelta dei canali da utilizzare per gli AP da installare allinterno
di unedificio.
4) IEEE802.1X: questo standard rappresenta unottima soluzione ai
problemi prima esposti, esso infatti offre: a) Autenticazione EAP
tramite server RADIUS
RETI E DINTORNI N 8
Pag. 17
-
Wireless Repeater Cell: unAP non collegato direttamente alla LAN
pu essere utilizzato come repeater, e in questo si pu estendere il
range di copertura della WLAN. Logicamente il Troughput diminuisce
sensibilmente.
senza lausilio di unAP e quindi di una struttura come una LAN.
Questa tipologia ottima per esempio per piccoli uffici, i quali in
questo modo evitano linstallazione del cablaggio.
-
Hot Standbye: in caso di guasto di unAP, una cella perde
completamente la copertura. Per evitare questo si pu utilizzare un
secondo AP, posto vicino al primo, che sia configurato in Hot
Standbye. Esso ascolta in WLAN e in LAN se il primo AP attivo, e
nel caso non lo sia, esso stesso diventer attivo e sostituir il
primo AP guasto/spento. La configurazione del secondo AP deve
essere identica al primo (tranne per il fatto che il secondo
configurato Hot Standbye).
R. Gaeta Biblografia Wireless Lan Corso Cisco Wireless Cisco la
libert in movimento Cd Cisco Networkers 2000 Cisco -
2307Introduction to Wireless Technology - 2309Deploying Wireless
LAN infrastructure - 2902Design Principles for Fixed Wireless
Access Solutions
-
Root Mode / No Root Mode(Repeater): un AP di default configurato
in modalit Root, ci significa che accetter associazioni dai client
e da AP configurati in modalit No Root, ma verranno rifiutate le
associazioni da altri AP configurati come Root
-
Attenzione che se per caso un AP No Root collegato sulla LAN, si
forma un loop. Ad Hoc Mode: anche possibile avere un collegamento
peer-to-peer fra i client wireless,
RETI E DINTORNI N 8
Pag. 18
BREVI DAL FRONTEQuesto breviario intende raccogliere notizie
tecniche dal fronte delle installazioni e dalle problematiche
riscontrate e risolte sulle reti che abbiamo in manutenzione.
Potete inviare le vostre notizie, alle-mail:
[email protected] AUTONEGOZIAZIONE: se si riscontrano
problemi di troughput, di perdita di pacchetti e rallentamenti
vari, prima di fare ipotesi di qualsiasi tipo disabilitate
lautonegoziazione sia sulla scheda del PC/server sia sulla scheda
dello Switch/Router, e cio fissate in modo manuale la velocit e il
tipo di duplex da utilizzare. Se siete curiosi di capire se
lautonegoziazione d problemi, controllate le statistiche dello
switch/router e se sono presenti collisioni ritardate siete sicuri
che lautonegoziazione st dando problemi, se invece riscontrate FCS
errati in quantit notevole questo un altro indizio (meno sicuro del
primo!). COME RISOLVERE IL RITARDO, DA QUANDO IL LINK E ATTIVO, DI
15-20 sec. NELLA TRASMISSIONE DEI PACCHETTI, NELLA FAMIGLIA SWITCH
CATALYST CISCO: gli switch Catalyst delle serie 4000, 5000, 6000 e
i 2926G, 2948G, 2980G, appena il link su una porta si attiva, non
iniziano a trasmettere immediatamente i pacchetti, infatti ogni
porta di default ha abilitato lo spanning tree, la negoziazione
dellEtherchannel e la negoziazione del trunking Vlan. Anche se
Cisco consiglia di usare il comando portfast per accelerare la
trasmissione dei pacchetti, in realt ci in molti casi non basta e
si deve usare il macro comando set port host mod/num il quale
abilita il portfast, e disabilita le altre due negoziazioni. SI
POSSONO CONFIGURARE PIU PORTE SPAN SULLO STESSO CATALYST?: Lo
Switched Port Analyzer (SPAN) permette di copiare il traffico
proveniente da alcune porte sorgenti o da intere Vlan verso una
porta detta di monitoring. Per esempio il seguente comando: set
span 6/1, 6/3-5 6/2 copia il traffico entrante e uscente dalle
porte 6/1, 6/3, 6/4 e 6/5 sulla porta 6/2. Notare che indifferente
se le porte sorgenti appartengono a Vlan differenti. Si pu inoltre
copiare lintero traffico delle Vlan sulla porta di monitoring. Per
esempio il seguente comando: set span 2,3 6/2 copia lintero
traffico della Vlan 2 e Vlan 3 sulla porta 6/2. importante notare
che la porta sorgente pu anche essere una porta trunk ISL o 802.1Q.
Se si desidera creare pi di una porta SPAN su uno stesso apparato
si deve usare il comando set span [source_mod/source_port |
source_vlan] [destination_port][rx | tx | both] create. Se viene
utilizzato il comando senza utilizzare la parola chiave create la
precedente sessione span viene eliminata. Limitazioni dello SPAN:
La prima sessione SPAN copia il traffico entrante (rx) e uscente
(tx) (si definisce both = rx + tx) dalle porte definite come
sorgenti o dalle Vlan definite come sorgenti. Sul Catalyst 4000 e
Catalyst 5000 possono essere configurate contemporaneamente 5
sessioni SPAN. Di cui solo una pu essere rx o both e le altre
quattro devono essere tx. Di default se non configurato
esplicitamente la prima sessione SPAN di tipo both. Vuole dire che
la seconda sessione dovr essere di tipo tx. Esplicitiamo qualche
esempio valido di configurazione di sessione multipla SPAN:
Configurazione 1: il traffico both delle vlan 2 e 3 sono copiate
sulla porta 6/2, e il traffico tx delle vlan 1 e 4 sono copiate
sulla porta 6/3. Set span 2,3 6/2 Set span 1,4 6/3 tx create
Configurazione 2: il traffico tx delle vlan 2 e 3 sono copiate
sulla porta 6/2, il traffico both delle vlan 1 e 4 sono copiate
sulla porta 6/3 e il traffico tx della vlan 5 copiato sulla porta
6/4. Set span 2,3 6/2 tx Set span 1,4 6/3 both create Set span 5
6/4 tx create La porta di destinazione utilizzata per lo SPAN, di
default disabilita la ricezione di pacchetti dallesterno. Quindi se
per esempio si utilizza un PC come analizzatore di protocollo, il
PC potr analizzare i pachetti ricevuti dalla porta SPAN, ma sar
isolato dalla rete in quanto gli eventuali pacchetti che il PC
invia per entrare in rete saranno scartati dalla porta SPAN. Se si
vuole che il PC possa anche entrare in rete si devono usare le
parole chiavi inpkts enable. Esempio: il traffico both delle vlan 2
e 3 sono copiate sulla porta 6/2 la quale deve abilitare il
traffico in ingresso, e il traffico tx delle vlan 1 e 4 sono
copiate sulla porta 6/3 la quale deve abilitare il traffico in
ingresso: Set span 2,3 6/2 tx inpkts enable Set span 1,4 6/3 tx
inpkts enable create
RETI E DINTORNI N 8
Pag. 19
INDICE VOLUME IRETI E DINTORNI N1 (Marzo 2001) Interconnessione
di reti locali pag. 3 aut. R. Gaeta Comandi di configurazione pag.
7 aut. R.Gaeta Il livello transport di Internet pag. 9 aut. R.
Gaeta Generalit sui comandi per i router Cisco pag. 12 documento
trovato da L. Cupini RETI E DINTORNI N2 (Aprile 2001) Firewall pag.
2 aut. R. Gaeta DHCP pag. 5 aut. R. Gaeta Voice Over IP pag. 32
aut. N. Memeo Architettura dei Routers pag. 7 aut. R. Gaeta RETI E
DINTORNI N3 (Maggio/Giugno 2001) Ip Security pag. 2 aut. G. Grassi
Ip Security su Nortel Network pag. 11 aut. G. Grassi Installazione
e configurazione NOKIA IP pag. 16 aut. M. Scapellato Introduzione
alla progettazione pag. 24 aut. R. Gaeta RETI E DINTORNI N4
(Luglio/Agosto 2001) Information security pag. Scapellato 2 aut. M.
RETI E DINTORNI N7 (Novembre/Dicembre 2001) La sicurezza pag. 4
aut. R. Gaeta Configurazione iniziale dellinterfaccia E1, PRI e BRI
su routers Cisco pag. 22 aut. R. Gaeta ATM pag. 25 aut. R. Gaeta
RETI E DINTORNI N8 (Gennaio/Febbraio 2002) Fault-tolerance su
topologie BMA (Broadcast Multi Access) pag. 4 aut. R. Gaeta
Wireless lan pag. 12 aut. R. Gaeta RETI E DINTORNI N 5 (Settembre
2001) Lan virtuali pag. 2 aut. R. Gaeta Internet Addressing pag. 5
aut. R. Gaeta Principi di Routing pag. 10 aut. R.Gaeta Protocolli
di Routing pag. 18 aut. R. Gaeta RETI E DINTORNI N6 (Ottobre 2001)
ISDN pag. 2 aut. R. Gaeta PPP pag. 27 aut. R. Gaeta Analisi di
protocollo di una chiamata ISDN pag. 30 aut. R. Gaeta
Efficienza, errori e pacchetti pag. 9 aut. R. Gaeta
