Reti e dintorni 9

8/4/2019 Reti e dintorni 9

1/19

Reti e dintorniMarzo/Aprile 2002 N 9


2/19

RETI E DINTORNI N 9 Pag. 2

EEEDDDIIITTTOOORRRIIIAAALLLEEELA REPUBBLICA DELLE BANANE

Con la riforma innovatrice della Moratti torniamo agli anni Trenta, imponendo a

ragazzini di appena 12 o 13 anni di scegliere se andare alle scuole di serie A per lafutura classe dirigente o a quelle di serie B per chi non avr il privilegio di andarealluniversit. Ed equipariamo il punteggio di chi ha insegnato per anni alle scuole pubbliche e superato concorsi a quello di coloro che hanno insegnato solo nellescuole private, dove si entra pi per raccomandazione e buona condotta religiosache per le proprie capacit di insegnante.Ancora pi scandalosa limmissione in ruolo di 20 mila insegnanti di religione,che sono pagati dallo Stato, ma che devono essere graditi al Vaticano. Esclusiquindi divorzisti, conviventi, atei, gay eccettera in barba alla Costituzione. Sifavoriscono le famiglie che vogliono mandare i loro figli alle scuole private invecedi destinare tutte le risorse al miglioramento e buon funzionamento delle scuolepubbliche. Spaventa la poca attenzione data alluniversit e alla ricerca scientifica,che sebra lultimo dei pensieri di questo governo.Oggi lItalia spende per la ricerca

solo l1 per cento del prodotto interno lordo, mentre per esempio Francia,Inghilterra e Germania investono pi del 2 per cento.

Margherita Hack (Astrofisica)MicroMega 2/2002

La Moratti ha deciso di calare la scure sulla scuola italiana: il latino scompare dalliceo scientifico e la matematica dal classico, il tutto nel sacro nome del risparmio,delleconomia e dalla razionalizzazione dei servizi..

Tullio Regge (Premio Nobel della Fisica)Le Scienze Febbraio 2002

Siete preoccupati? Noooo!! Secondo voi tutto va bene? Siiii!! Ma s perchpreoccuparsi, forse perch dopo circa 20 anni stato indetto uno sciopero generale,o forse perch per la prima volta nella storia repubblicana tutti i magistrati e igiudici sciopereranno, oppure perch lONU ha inviato in Italia unosservatoresullindipendenza del sistema giudiziario, o ancora perch liberi cittadini siuniscono in movimenti spontanei di protesta.Ma non sono questi i problemi, molto pi importante sapere chi vincer ilcampionato di calcio.

R. Gaeta


3/19


ROUTING INFORMATION

PROTOCOL

Il protocollo RIP, ovvero Routing InformationProtocol, appartiene alla classe di algoritmi Distance

Vector.La distanza o Hop Count sono usate come metrica perdeterminare la migliore strada per raggiungere una reteo un Host remoti.Il RIP usa un algoritmo conosciuto come Bellman-Ford. La metrica usata da questo algoritmo non tieneconto della velocit dinterfaccia o della quantit diutilizzo della network.

Bellman-Ford

Distribuzione delle rotte tramite il RIP

RIP Updtates : la lista delle rotte presenti e conosciutedal router sono inviate in broadcast su di ogniinterfaccia ad intervalli regolari di 30 secondi.RIP Diameter : il protocollo permette un massimo di15 salti ( Hops ) attraverso la rete, per consentire airouter presenti di costruire nei tempi necessari la propria tabella di routing ottenendo una stabilit di

essa.Extended RIP : alcune implementazioni permettonoluso del RIP esteso che permette un massimo di 127hops. Non consigliabile aumentare il diametro dellarete oltre i 15 hops, dato che aumenterebbe il tempo diconvergenza della rete. possibile che prima che un updates raggiunga ildiametro massimo della rete (127 hops )linformazione inviata non sia pi valida, ovvero unarotta dichiarata unreacheable sia tornata disponibile,tutto ci va ad incrementare il lavoro ed il tempoutilizzato dai router per ricompilare le proprie tabelle dirouting .

Versioni del RIP : Esistono 2 versioni del protocollo,la versione 1 usa le network di base per determinare ilmascheramento ( classi A B C ).

Un router che usa RIPv1 determina le porzioni di reteassociando a tutte le rotte ricevute la mascheraassociata allinterfaccia dalla quale esse provengono.RIPv2 non necessita di manipolazioni di questo tipodato che in ogni route advertisement contenuta lanetwork mask.

RIP e le Network Masks

Trasmissione dei RIPv1 Advertisement : i RIPv1adv. Non contengono la maschera della rotta datrasmettere, quindi vengono osservate le seguentiregole:

1) se la subnetwork route da avvisare attraversouninterfaccia nella stessa networkdellinterfaccia stessa nelladvertisement sarinclusa la suddetta maschera di network.

2) Altrimenti sar avvisata solo la naturalClass network ( 255.0.0.0 ; 255.255.0.0 ;255.255.255.0 ).

Ricezione dei RIPv1 Advertisement : i RIPv1 adv.Non contengono la maschera della rotta da trasmettere.Per superare questa limitazione le interaccie RIPv1assegnano una maschera basandosi su queste regole:

1) Se la network avvertita supera la networkdellinterfaccia da cui ricevuta, linterfacciaapplica un AND di Bool fra di esse.

2) Applica la classe naturale della rotta ricevutase la porzione di host uguale a zero.

3) Assegna una maschera di 32 bit se la porzionedi host non uguale a zero ( questo possibilese lhost da cui stiamo ricevendoladvertisement in grado di gestire RIPv1avvertendo se stesso nella rete ( come adesempio un server unix ).

Formato del pacchetto RIP

RIPv1 RIP , RFC 1058 il destination MAC un broadcast ff-

ff-ff-ff-ff-ff il destination ip il broadcast della

rete , es.: per la network192.168.10.0 / 24 il broadcast 192.168.10.255 / 24

lupdate RIP e del tipo RIPv1 nelquale non inclusa la network mask

RIP Version = 1RIPv2 Multicasting RIP-2 updates , RFC 2453

il destination MAC un Multicast,01-00-5E-00-00-09

il destination IP lindirizzomulticast del RIP , 224.0.0.9

lupdate contiene la network mask RIP Version = 2


4/19


Formato del Messaggio RIP

Il formato del messaggio RIP definito dai seguenti

campi :

command specifica sia una richiesta diinformazioni di routing sia risposte checontengono accoppiamenti di network-distance aitrasmettitori da cui sono inviate

Version contiene la corrente versione del protocollo. Il ricevente usa questa informazione per verificare che il messaggio sia interpretatocorrettamente.

Family of Net 1- identifica la famiglia di protocollo sotto la quale lindirizzo di rete interpretato. Agli indirizzi IP assegnato il valoredi 2

Route Tag (v2) un attributo assegnato ad unarotta che deve essere preservata e ri avvisata conuna rotta. Luso del Route tag serve a separare lerotte RIP interne ( rotte interne al rip routinedomain ) dalle rotte esterne che potrebberoessere importate da un protocollo esterno diGateway (EGP) o un altro internal Gatewayprotocol ( IGP ).

Subnet Mask (v2) il subnet mask applicato adun indirizzo IP per rendere la porzione non-hostdi un indirizzo. Se questo campo uguale a zero

nessuna subnet mask stata inclusa Next Hop (v2) limmediato next hop ipaddress al quale i pacchetti saranno destinati perla rotta che devono raggiungere. Specificando unvalore di 0.0.0.0 in questo campo indica che ilrouting dovrebbe essere attraverso il creatore delRIP advertisement

Ip address of Net 1 idirizzo ip della primanetwork nella routing table del sender.

Distance to Net 1 numero dei salti di gatewayalla network di destinazione. Il range compresofra 1 e 15; il valore 16 usato per specificareinfinito.

RIP Message Format

0 8 16 31Command Version Must Be Zero

0 (v1) or route Tag (v2)

Must Be Zero

0 (v1) or Next Hop (v2)

Distance to Net 1

. . .

Distance to Net 1

Family of Net 2

IP Address of Net 2

0 (v1) or Subnet Mask (v2)

Family of Net 1

IP Address of Net 1

0 (v1) or Subnet Mask (v2)

0 (v1) or Next Hop (v2)

Routing Table

I campi in una tabella di routing

Destination indirizzo IP della rete didestinazione

Metric costo per raggiungere la rete didestinazione. Dipende dal protocollo che haimportato la route

Next Hop indirizzo IP dellinterfaccia usataper inoltrare i pacchetti attraverso la rete.

Type tipo di rotta, Diretta identifica che larete di destinazione direttamente connessa alrouter . Indiretta identifica che la rete didestinazione non direttamente connessa ma stata imparata attraverso un updates ricevuto da

un altro router. Protocol meccanismo di routine attraverso il

quale questa rotta stata imparata. Age numero di secondi trascorsi dallultimo

aggiornamento della tabella I/F interfaccia del router attraverso la quale

pu essere raggiunto il next hop.

Routing Tables

destination Metric Next Hop Type Protocol Age I/F

192.32.1.0 0 192.32.1.9 Direct Local 12 1

192.32.2.0 0 192.32.2.8 Direct Local 15 2192.32.3.0 2 192.32.2.4 Indirect RIP 27 2

192.32.4.0 2 192.32.1.8 Indirect RIP 16 1

Giorgio Grassi


5/19


MULTI LINK TRUNKING

OVER PASSPORT 8000

Il Multi-Link-Trunking , o MLT, un protocollo proprietario Nortel Networks usato per utilizzaremultiple connessioni fisiche fra una coppia di switch, ouno switch ed un server con pi di una interfaccia direte, come un singolo collegamento logico.Ad esempiolMLT in grado di associare 4 singole connessioni a100Mb come un unico trunk di 400 Mb. Nel caso in cui

uno dei 4 canali dovesse interrompersi, la capacit dibanda verrebbe ridotta a 300 Mb , senza interferire sulfunzionamento del trunk stesso che potrebbetranquillamente continuare a funzionare sino a chelultimo dei 4 link rimanga attivo.Protocolli di livello superiore sono in grado di vedere ilgruppo MLT come ununica interfaccia fisica. Adesempio se il protocollo RIP importasse delle rotte dauna delle interfacce appartenenti al gruppo MLT ,linterfaccia di next hop per quella rotta sar il trunkstesso.Quando arriva il momento di inoltrare un pacchetto neltrunk, lMLT sceglie la porta fisica eseguendo un

calcolo sugli indirizzi del pacchetto stesso.Molte applicazioni richiedono che i pacchetti in unadata sessione arrivino in sequenza, MLT usercostantemente la stessa path per ogni coppia diSource/destination address.MLT non tiene conto della sessione ma pisemplicemente applica lo stesso algoritmo di selezionedi path ad ogni pacchetto cosicch la stessa coppia diindirizzi usi sempre la stessa path. Per il trafficoBridged lalgoritmo usato sar il Media Access Control(MAC) address, mentre per il traffico ruotato IP o IPXsar usato lindirizzo di livello Network.

Il Multi Link Trunking provvede i seguenti benefici:

il bandwidth pu essere aumentato di piccoliincrementi

possibilit di aggregare nel trunk fino a 8 GB (PP8600 ) o 4 Gb ( PP1000 )

ridondanza di porte e di moduli ridottissimo tempo di convergenzanellaggiungere o rimuovere link nel trunk

traffic Protocol ( STP/RIP/OSPF ecc.) pertrunk piuttosto che per link.

Come lavora l MLT ?

Address learning e Forwarding

Quando un nuovo MAC address imparato da unaporta MLT, esso viene inviato alla forwarding table emarcato come learned on a MLT port.

Layer 2 forwardingQuando una frame dati sta per essere inoltrata al livello2, sar determinata la porta MLT in base allacombinazione Source/Destination address contenutanella Frame stessa.

Layer 3 forwardingPer linoltro a livello 3 sono usati i source e destinationIP address. Tutto il traffico di una sessione usa la stessa path in ogni direzione assicurando la consegna insequenza. Comunque multiple sessioni in uscita versolo stesso server saranno distribuite attraverso i link

dell MLT.


6/19


Spanning Tree e MLT

Porte con MLT si comportano nei seguenti modi :

tutte le porte in un MLT devono appartenereallo stesso Spanning Tree Group ( se loSpanning Tree abilitato ).

Identiche BPDU sono inviate su di ogni porta LMLT port ID lID del numero pi basso di

porta Se identiche BPDU sono ricevute sulla stessa

porta lMLT si comporta in modalit diForwarding

Se nessuna BPDU ricevuta da una porta o sela BPDU tagging non concorda con la porta

tagging ogni porta presa offline. Il Path Cost inversamente proporzionaleallattiva quantit di banda dellMLT.

Connettendo un Passport ad un server dotato dimultipli accessi di rete , o ad una workstation conMLT, lo spanning tree deve essere disabilitato perchaltrimenti le BPDU sarebbero usate per determinare seabilitare una porta.

MLT Interoperability

BayStack Family Nella famiglia Baystack Etherneth Switch, i modelli350,410,450 supportano fino a 6 MLT group, in ognigruppo possono essere inserite 4 porte di tipo di media,velocit e duplex diversi.

Passport 1000 Family

Nella famiglia dei Passport 1000, nei modelli1100,1150,1200 supporteranno fino a 8 MLT group.Ogni gruppo pu aver 4 porte fisiche.Le porte, alcontrario dei Baystack devono essere dello stesso tipo

per gruppo.


Nella famiglia dei Passport 8100 ( only L2 ) sonosupportati sino a 6 MLT group. Ogni gruppo pu averefino a 4 porte fisiche indipendenti dal tipo.


La famiglia dei Passport 8600 (L2-L3) supportano finoa 32 gruppi MLT. Ogni gruppo pu avere 8 portefisiche dipendenti dal tipo.

Seguendo queste caratteristiche possibile creare unarete composta differentemente da apparati di diversefamiglie rispettando le caratteristiche delle singole.

Special features

Nel caso in cui si verifichi un loop ed il protocolloSpanning Tree decida di mettere in blocking una portaappartenente al MLT group, su di essa sar comunquegarantito il traffico di livello superiore al 2.

Runtime command

Comandi console per la creazione di un MLT group:

config mlt create

config mlt add vlan

config mlt add port

config mlt perform-tagging ena

config mlt name

Giorgio Grassi


7/19


AFFIDABILITA DI RETE

La teoria matematica dellaffidabilit, nasce poco prima della seconda guerra mondiale, per opera deimatematici Khintchine e Palm.

Nel 1956 Neumann affronta il problema dellacostruzione di un sistema di alta affidabilit,utilizzando componenti con affidabilit arbitraria.Moore e Shannon hanno risolto il problema in modoformale ed elegante.

La funzione di struttura

Il primo passo consiste nel considerare i componenticostituenti di un sistema come se fossero degliinterruttori. Essi possono avere solo due stati: Stato identificato dal numero 1: il componente

funzionante

Stato identificato dal numero 0: il componente guastoSi associ, dunque, alli-esimo componente la variabilexi che identifichi lo stato del componente.

Dato un sistema arbitrario, composto da N componenti,si definisce funzione di struttura, una funzione F(x)dove x = (x1, x2, , xN), tale che soddisfi le seguentipropriet:1) F(1) = 1 dove 1 = (1, 1, , 1)2) F(0) = 0 dove 0 = (0, 0, , 0)3) F(x) F (y) per ogni xi yiLe tre propriet definiscono una funzione monotonica.

Vediamo in seguito alcuni sistemi e le loro funzioni distruttura associata.

Sistema a:

Fa(x) = x1x2x3

Sistema b:

Fb(x) = x1x4[x2 + (1 x2)x3]

Sistema c:

Fc(x) = x5[x1x3 + (1 x1x3)x2x4]

Sistema d:

Fd(x) = x1x2x3 + (1 x1x2x3)x4x5x6

Sistema e:

Fe(x) = x1x2x3 + x1x8x6(1 x2x3) + x4x7x3(1 x1x2)(1 x1x8x6) + x4x5x6(1 x3x7)(1 x1x8)(1 x1x2x3)

Sistema f:

Ff(x) = x1x5[x2x3x4 + x2x3x9x7x8(1 x4) + x6x7x9x3x4(1 x2) + x6x7x8( 1 x2x3x4)(1 x9)]

Trovare la funzione di struttura associata ad un sistemapu essere lungo e tedioso (per esempio per trovare laFe e la Ff ho impiegato quasi unora), e non esiste una

tecnica valida in generale.Per esistono dei sottocasi sufficientemente sempliciche possono essere affrontati con una metodologiamatematica generale.Questi sottocasi rientrano nella classe dei sistemi dettiserie-parallelo.

La funzione di struttura di un sistema costituito da Ncomponenti collegati in serie dato da:

La funzione di struttura di un sistema costituito da Ncomponenti collegati in parallelo dato da:

La funzione di struttura di un sistema serie-parallelopu essere trovata utilizzando le formule precedenti.I sistemi da a) fino a d) sono sistemi serie-parallelo,mentre i sistemi e) ed f) non lo sono.Per esempio per il sistema b si calcola prima ilparallelo fra i link x2 e x3 e il risultato lo si moltiplicaper i componenti in serie x1 e x2.

La funzione di struttura, dunque, per un sistema serie-parallelo ricavabile sempre in modo esatto.

X1 X3X2

X1 X4X2

X3

X1X5

X3

X4X2

X1 X3X2

X4 X6X5

X1 X3X2

X4 X6X5

X7 X8

X3X5

X4

X8X7

X1

X2

X6X9

F xii

N

( )x

1

F xii

N

( ) ( )x

1 11


8/19


Definizioni

Definiamo prima la funzione delta come:(m,n) = 0 se m = n(m,n) = 1 se m n

Si definisca il vettore (i) = ((1,i), (2,i), , (N,i))Un sistema con funzione di struttura F(x) si definisceWSPF (Without Single Point of Failure) se il vettore Fsoddisfa la seguente espressione:

F = (F((1)), F((2)), , F((N))) = 1Lespressione precedente indica che il sistema continuaa funzionare nonostante il guasto di uno qualsiasi deisuoi componenti. Dei sistemi descritti precedentementesolo i sistemi d ed e sono WSPF.

Affidabilit

Nellarticolo Introduzione alla progettazione su Retie Dintorni n 3, abbiamo affrontato la disponibilit diun apparato non modulare, introducendo i concetti diMTBF e MTTR. Nellarticolo avevamo introdotto il concetto didisponibilit o affidabilit1 data dalla seguenteformula2:

A = [ 1 (MTTR / MTBF)]

Il valore di MTBF dipende da molte variabili, ma la piimportante la temperatura. Infatti normalmente ilproduttore, fornisce, oltre al valore di MTBF, anche il

range di temperatura per loperativit dellapparato.Il valore di MTBF fornito si riferisce usualmente alvalore minimo fornito dal range di temperatura.In realt il valore di MTBF si dimezza ad ogni aumentodi 10 C. Sia (T1 T2) il range di temperaturaoperativo, allora la formula da utilizzare per trovare ilvalore di MTBF alla reale temperatura operativa, laseguente:

MTBFMTBF

T

T

T T

1

120 1, ( )

per esempio se un apparato ha un MTBF = 100.000 ore

a 0 C, esso diventa un MTBF = 6.250 ore a 40 C.Inoltre il valore di MTBF dipende anche dal tempotrascorso dal listante iniziale di accensionedellapparato. Si definisca FailureRate = 1 / MTBF,allora si ha il seguente andamento:

come dimostra il grafico, il primo periodo di

1

Nellarticolo era formulata la disponibilit o affidabilit inpercentuale e cio D = A 1002In realt la formula esatta per laffidabilit A = MTBF / (MTBF +MTTR) ma dato che MTBF >>MTTR la formula utilizzata equivalente.

operativit di unapparato anche il pi critico, infatti anche conosciuto come periodo di bruciatura.

Ora si abbia un sistema con funzione di struttura F(x),sia Ai laffidabilit del componente i-esimo, alloralaffidabilit totale del sistema (o funzione di

affidabilit) data da:

AT = F(A) dove A il vettore (A1, A2, , AN)

Esempio 1: trovare laffidabilit del seguente percorsodi rete, dal punto x al punto y:

Abbiamo allora la seguente affidabilit di percorso datada AT = A1A2A3A4A5

/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\

Esempio 2: trovare laffidabilit del seguente percorso

di rete, dal punto x al punto y:Dove abbiamo uno switch di centro stella, con doppioalimentatore e switch di piano collegati al centro con

doppio link. Allora si procede prima calcolandolaffidabilit degli elmenti in parallelo:

- affidabilit alimentatori in parallelo = 1 (1-A5)2- affidabilit dei link in parallelo = 1 (1-A3)2Laffidabilit totale di percorso data allora dalprodotto:

AT = A1A2[1 (1-A3)2]A4A6[1 (1-A5)

2]A4[1 (1-A3)

2]A2A1

E raggruppando i termini comuni otteniamo:

AT = A6[1 (1-A5)2]{A1A2A4[1 (1-A3)

2]}2

/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\

SWITCH

SWITCH

x

y

A1

A2

A3

A4

A5

A1

SWITCHSWITCH

xy

A2 A3

A4

A5 PW1 PW2

BACKPLANE

M1 M2

A6

A3 A2

A5

A4

A1

A3


9/19


IL TEOREMA DI MOORE-SHANNON

Il problema che si erano posti i due scienziati era ilseguente: che propriet deve avere la funzione distruttura di un sistema, tale che la sua affidabilit totalesia arbitrariamente grande e i suoi componenti abbianounaffidabilit arbritariamente piccola?

La propriet fondamentale che landamentodellaffidabilit totale al variare dellaffidabilit deicomponenti che sia S-Shaped.

Non enuncer il teorema generale, ma il teorema validosolo per sistemi costituiti da componenti aventi tutti lastessa affidabilit. Lenunciato il seguente:

Sia F(x) una arbitraria funzione di affidabilit. Se

F(x0) = x0 dove 0 < x0 < 1, allora F(x) < x per 0x x per x0 < x 1

In seguito le curve di affidabilit dei sistemi descritti in precedenza, ponendo laffidabilit dei link tutti ugualiad AL e laffidabilit degli apparati uguali ad A1. Ognigrafico presenta 5 curve corrispondenti ai valori di AL= 0,8; 0,85; 0,9; 0,95; 1

Sistema a

Sistema b

Sistema c

Sistema d


10/19


A1

A1

AL AL

A2

A2

A2

A2

AL AL

Sistema e

Sistema f

APPLICAZIONI PRATICHE

Nella progettazione di rete si devono equilibrareesigenze tra loro contrastanti, come unalta affidabilite un costo limitato. Vediamo come possiamo sfruttarele conoscenze appena acquisite per fornire un progettoche possa fornire un giusto equilibrio fra esigenze

contrapposte.1 CasoSupponiamo che per un certo collegamento (sistema b)si abbia una affidabilit totale AT.Vogliamo trovare i valori di MTBF necessari (a paritdi identico MTTR) per il sistema d:Per sistema b a fianco abbiamo che:

AT = (A1)2[2AL-(AL)

2]

Dove AL laffidabilit del singololink e A1 laffidabilit del singoloapparato. Nel nostro caso

consideriamo che i due link e i dueapparati, abbiano la stessa affidabilit.

Ora dato il sistema d vogliamo che sia:

AT = 1 (1 AL(A2)2)2

Lequazione da risolvere

unequazione quadrica,risolvibile facilmente. Trovatoil valore di A2 possiamotrovare:

Esempio numerico: nelsistema b si utilizzano apparati

con MTBF1 = 200.000. Si vogliono utilizzare due linkcon ognuno affidabilit AL = 0,99998. Il valore diMTTR degli apparati sia di 4 ore. Allora AT = 0,99996.Si voglia trovare, a parit di MTTR, il valore diMTBF2 minimo necessario per avere la stessa

affidabilit totale.Si trova che A2 = 0,99684 e MTBF2= 1262 ore.

Ci che interessante nellesercizio precedente, e chesiamo passati dallutilizzo di apparati con MTBF di200.000 ore alla possibilit di utilizzare apparati conMTBF di solo 1262 ore. Dato che di solito, a parit dialtre caratteristiche, un apparato con MTBF elevatocosta molto di pi di un equivalente apparato conMTBF, possiamo utilizzare il sistema d per ottenere uncosto minore, ma la stessa affidabilit totale.

Supponiamo che lapparato con MTBF = 200.000 orecosti 25.000 euro, e il contratto di manutenzione conMTTR = 4 ore costi 5000 euro lanno.Se prendiamo degli apparati con MTBF = 6.000 ore dautilizzare per la tipologia 2, ognuno di costo 10.000euro. Otteniamo un costo di soli 4 x 10.000 = 40.000euro contro i 2 x 25.000 = 50.000 euro.Inoltre utilizzando apparati con MTBF = 6000 oreotteniamo comunque unaffidabilit maggiore semanteniamo lo stesso MTTR, ma possiamo aumentareil valore del MTTR (e di conseguenza ottenereunulteriore risparmio sul contratto di manutenzione),per mantenere lo stesso valore di affidabilit.

Lesempio prescelto particolarmente semplice. Infattila matematica sottostante (anche se non sono statiesplicitati i passaggi) banale. Nei casi generali, trovare laffidabilit A2 di unapparato (posto in una tipologia alternativa rispetto auna tipologia di confronto), per ottenere la stessa ATdella tipologia di confronto, comporta la risoluzione diequazioni di grado superiore al secondo, e nonostanteesistano le formule di risoluzione per le equazioni diterzo e quarto grado (trovate dai matematici Cardano eTartaglia), esse non sono di uso immediato. Inoltrecome ha dimostrato il matematico Galis, le equazioni

superiori al quarto grado, non sono risolubili tramiteformule finite.


11/19


A1

A2

AL

AL

A1

A1

A3

AL

AL

A1

AL

Per confrontare dunque tipologie generali si deveintrodurre un nuovo metodo, che sfrutti la tecnica dellarisoluzione grafica.

La tecnica essenzialmente pratica, e consiste neiseguenti passi:

Si trovi la formula dellaffidabilit totale ATx dellatipologia x Si trovi la formula dellaffidabilit totale ATy della

tipologia y Si costruisca la funzione guadagno:

Gy,x = (ATy / ATx) 1 Se ne costruisca il grafico, rispetto alle variabili di

confronto

Allora vediamo di utilizzare questa tecnica per il casoprecedente:

si costruisca la funzione guadagno si ottiene:

Essa rappresenta una funzione di superficie, rispettoalle variabili A1 e A2.

Costruiamo il grafico ponendo A2 sulle asse delleascisse e il guadagno sullasse delle ordinate, e sarannocostruite le isolinee di superficie per vari valori di A1.

Abbiamo il seguente grafico(si ipotizzi un valore di AL= 0.99998):

Per questo grafico sono state costruite solo 4 isolineecorrispondenti rispettivamente ai valori di A1 =0.99996; A1 = 0.99997; A1 = 0.99998; A1 = 0.99999.Per trovare il valore di A2 che fornisca la stessa

affidabilit totale, si deve prendere il valore delleascisse corrispondente allintersezione fra la isolineacorripondente al valore di A1 e lo zero delle ordinate.

Per esempio nel grafico sono state evidenziate condelle frecce i valori di A2 corrispondenti alleintersezioni delle 4 isolinee.Per qualsiasi valore di A2 maggiore a questi valori diintersezione, otteremo una affidabilit totale maggiore,rispetto alla tipologia di confronto.

2 Caso

Si abbia la seguente tipologia :

laffidabilit totale data da:

AT = (A1AL)2A2

Si passi ora alla seguente tipologia :

Laffidabilit totale data da:

AT = (A1)2[1 (1 AL)(1

A3(AL)2)]

In questa tipologia, rispetto alla precedente, si mantengono gli stessiapparati esterni con la stessaaffidabilit A1.

Si costruisca ora la funzione guadagno:

e se ne faccia il grafico (si ipotizzi un valore di A L =0.99998):

A1 =0.99996

A1 =0.99997

A1 =0.99998

A1 =0.99999

0

0.997770.99684

0.996130.99553


12/19


A1

A2

AL

AL

A1

AL

AL

A1

A3

AL

AL

A1

AL

AL

A3

in questo caso le isolinee non intersecano mai lo zero, equalsiasi valore di A3 si scelga otteniamo sempre un

guadagno positivo.

3 Caso

Si abbia la seguente tipologia :


AT = A2(A1)2(2AL (AL)

2)2

Si passi ora alla seguente tipologia :


AT = (A1)2[1 (1 A3(AL)

2)2]

:

Si costruisca ora la funzioneguadagno:

e se ne faccia il grafico (si ipotizzi un valore di A L =0.99998):

R. GaetaBiblografia: Mathematical Theory of Reliability Autori: R.

E. Barlow & F. Proschan John Wiley & Sons,Inc.

High Availability Fundamentals Autore: EnriqueVargas Sun BluePrints

High Availability Network FundamentalsAutore: C. Oggerino Cisco Press

Reti di Computer, Analisi e progettazioneAutore: J. D. McCabe McGraw Hill

Cisco CID Exam Certification Guide Autori: M.Crane & R. Terrell Cisco Press

A2 =0.996

A2 =0.997

A2 =0.999

A2 =0.998

A2 =0.99996

A2 =0.99997

A2 =0.99999

A2 =0.99998


13/19


CISCO AAA SECURITY

TECHNOLOGY

Quante volte avete visto la sigla AAA e quante volte vi

siete chiesti il significato di questo acronimo? Questoarticolo ha la pretesa di illustrare che cos un accessosicuro e come possibile realizzarlo, fornir uncompendio sullarchitettura AAA, le tecnologie disicurezza associate e i principali comandi Cisco.

Larchitettura AAA da la possibilit agli utentilegittimati di accedere alle risorse di una rete mentrelimita laccesso a quelli non autorizzati. Le tre Adellacronimo significano letteralmente Authentication,Authorization e Accounting, e su queste trecomponenti si basa tutta larchitettura modulare diaccesso:Authentication chi sei? la richiesta allutentedi provare chi realmente dice di essere, utilizzando unacoppia username-password, challenge-response, tokencards o altri metodi.Authorization che cosa puoi fare? dopo averautenticato lutente, i servizi di autorizzazionedecidono a quali risorse questo pu accedere e qualioperazioni pu eseguire.Accounting che cosa stai facendo e da quantotempo? questo servizio memorizza che cosa lutentesta facendo, permette di tener traccia del numero dirisorse alle quali si accede e il tipo di servizi che siutilizzano.

Una tipica configurazione per laccesso sicuro su unaLAN ha questa topologia:

In questa configurazione lutente remoto, collegato indial-up, potrebbe aver bisogno di accedere alle risorsedella LAN, per far questo deve collegarsi con il router(Network Access Server) che lo separa dalla LAN equindi autenticarsi con il server sul quale installato unsoftware di autenticazione (RADIUS, TACACS+,Keberos).Le tecnologie AAA sono utilizzate per proteggere gliaccessi definiti character-mode e quelli packet-mode.Per character-mode si intendono le seguenti porte che

sono utilizzate su router e switch Cisco per:Aux supporto modem e accessi asincroniConsole accessi asincroni per la configurazionedellapparati

Tty linea asincrona sul NASVty linea di terminale virtualePer packet-mode si intendono gli accessi dial-up suiseguenti pacchetti che AAA pu proteggere sui routerCisco:PPP PPP su porta seriale o interfacce ISDN

arap AppleTalk Remote Access Protocol suinterfacce serialiNASI NetWare Access Server Interface su interfacceseriali

AuthenticationI metodi di autenticazione sono vari e per completezzaverranno elencati tutti, ma verr trattato in particolaresolo quello fatto utilizzando Username e Password.Lautenticazione di un utente pu essere fatta tramiteToken cards/Soft tokens, OTP (One Time Password),S/Key e naturalmente Username-Password; ladifferenza sostanziale tra questultima e le precedenti nella sicurezza: infatti, mentre lautenticazione conUsername-Password statica o ha al pi una scadenzaprefissata, le altre tipologie di autenticazione utilizzanouna password solo una volta, per le successiveautenticazioni non sar la medesima e quindi anche seviene carpita o smarrita non sussiste nessun pericolo.Un esempio di quello che succede per lautenticazionedi un utente lo possiamo vedere sul sito CiscoConnnection Online (CCO): allutente appare unamaschera in cui inserire Username e Password, questidati verranno inviati al server di sicurezza o pisemplicemente al NAS e saranno proprio questi acontrollare, nel proprio database, se esiste lo Usernamee se la Password corretta ed infine ad inviare larisposta allutente che ha fatto la richiesta.

I passi generali per configurare lautenticazione su unNAS sono:- abilitare AAA globalmente sul NAS- definire le liste per lautenticazione

utilizzando il comando AAA authentication- applicare le liste ad una particolare interfaccia

o line


14/19


per abilitare globalmente le funzioni AAA utilizzare:

R(config)# aaa new-model

quindi utilizzare il comando aaa authentication perconfigurare le liste:

R(config)# aaa authentication {login | enable

default | arap | ppp | nasi} {default |

list-name} method1 [method2 [method3

[method4]]]

verranno elencati solo i metodi perloginenable usa enable password per lautenticazioneline usa line password per lautenticazionelocal usa il DB localenone non utilizza autenticazionegroup {radius | tacacs+} usa un RADIUS o unTACACS+ serverperenable default

enable usa enable password per lautenticazioneline usa line password per lautenticazionenone non utilizza autenticazionegroup {radius | tacacs+} usa un RADIUS o unTACACS+ serverperpppif-needed non utilizza autenticazione se lutente gistato autenticato su una linelocal usa il DB localenone non utilizza autenticazionegroup {radius | tacacs+} usa un RADIUS o unTACACS+ server

lasciare il nome della lista come default significaautomaticamente applicarla a tutte le interfacce, mentreper applicare le liste a una particolare interfaccia o linebisogna specificare un list-name e utilizzare il comando

R(config-line)# login authentication {default

| list-name}

per le line

R(config-if)# ppp authentication {protocol1

[protocol2 ]} {if-needed} {default | list-

name}

per le interfacce

Infine se si vogliono modificare i messaggi di defaultinviati dal NAS utilizzare

R(config)# aaa authentication password-prompt

text

R(config)# aaa authentication banner delimiter

text delimiter

R(config)# aaa authentication fail-message

delimiter text delimiter

Nel comando principale di autenticazione c lapossibilit di utilizzare pi di un metodo, questo perchin caso di non risposta del primo, si passaautomaticamente al secondo, per esempio:

aaa authentication ppp default group radius

group tacacs+ local

in questo caso quando lutente prova ad autenticarsivienecontattato per primo ilRADIUS server (potrebbeessercene pi di uno) se questo non risponde, vienecontattato il TACACS server, se anche questo nonrisponde lautenticazione viene demandata al databaselocale sul NAS. Quando un server di autenticazione

risponde invia un messaggio PASS per permetterelaccesso allutente o un messaggio FAIL pernegarglielo; in questultimo caso la sessione vieneinterrotta. importante ricordarsi che FAIL differente da ERROR, infatti con il primo messaggio siintende che lutente non ha incontrato i criteri contenuti per passare lautenticazione con successo, mentre ilsecondo viene inviato nel caso in cui il server nonrisponde alla query di autenticazione e solo inquestultimo caso AAA selezioner il metodosuccessivo.

AuthorizationLautorizzazione abilita lamministratore dellasicurezza a limitare i servizi validi per un utente.Quando AAA authorization abilitato, il NAS usa leinformazioni dedotte dal profilo dellutente, sul DBlocale o sul server di sicurezza, per configurare lasessione dellutente stesso. Una volta fatto ci, lutente potr accedere ai servizi richiesti solo se leinformazioni del profilo lo permettono.

Il comando da utilizzare per configurarelautorizzazione sul NAS, dopo aver inserito i comandirelativi allautenticazione, il seguente:

R(config)# aaa authorization {network | exec |

commands level | configuration} {default |

list-name} method1 [method2 [method3

[method4]]]

Per creare una lista che dia lautorizzazione per tutti iservizi legati alla rete (SLIP, PPP, PPP NCP e ARAP) bisogna usare la parola chiave network; per abilitarelutente ad utilizzare la EXEC shell, la chiave exec; per

specificare il livello di privilegi concessi allutenteutilizzare commands seguito dal livello (i livelli permessi sono da 0 a 15 dove il maggiore significautilizzare tutti i comandi) e infine con la parola chiaveconfiguration si abilita il NAS al download delleconfigurazioni dal server AAA.I metodi possibili legati a questi tipi sono quelli gielencati per lautenticazione:if-needed se lutente si gi autenticato non habisogno di autorizzazionelocal usa il DB locale, solo un insieme limitato difunzioni possono essere controllate sul database localenone non richiesto nessun tipo di autorizzazione

group {radius | tacacs+} usa un RADIUS o unTACACS+ server


15/19


Una volta definite, le liste devono essere applicate allespecifiche line o interfacce. La sola eccezione per lalista dei metodi di default che viene automaticamenteapplicata a tutte le interfacce e lines che non hanno unalista esplicitamente applicata (una lista definitasovrascrive la lista di default).

R(config-line)# authorization {commands level

| exec | arap} {default | list-name}

per le line

R(config-if)# ppp authorization {default |

list-name}

per le interfacce

AccountingIl servizio di accounting permette di tener traccia deiservizi utilizzati da un utente e del numero di risorse direte di cui sta usufruendo. Quando AAA accounting abilitato, il NAS fa un report di tutte le attivitdellutente e le invia al server RADIUS o TACACS(dipende dal metodo implementato). Questi dati possono essere analizzati da un network management.Il comando da utilizzare per configurare laccountingsul NAS il seguente:

R(config)# aaa accounting {system | network |

exec | connection | commands level |resource} {default | list-name} {start-stop

| stop-only | none} method1 [method2

[method3 [method4]]]

Per avere informazioni per tutte le sessioni SLIP, PPP eARAP, incluso il numero di pacchetti e byte, bisognausare la parola chiave network; per le sessioni dellaEXEC shell sul NAS, la chiave exec; per i comandi cheun utente esegue nel EXEC mode compresi i comandidi configurazione globale utilizzare commands seguitodal livello; per avere informazioni sulle connessionifatte dal NAS verso lesterno, connection; per glieventi al livello di sistema, system; e infine con la

parola chiave resource si abilita il NAS alla reportisticasulle autenticazioni (PASS e FAIL).I metodi possibili legati a questi tipi sono solo:group {radius | tacacs+} usa un RADIUS o unTACACS+ serverAnche in questo caso le liste definite devono essereapplicate alle specifiche line o interfacce.

R(config-line)# accounting {connection |

commands level | exec | arap} {default |

list-name}

per le line

R(config-if)# ppp accounting {default | list-

name}

per le interfacce

RADIUS

RADIUS un sistema client/server distribuito cheassicura la rete da accessi non autorizzati. Il RADIUSclient gira sugli apparati Cisco e invia le richieste diautenticazione al RADIUS server che contiene leinformazioni di tutti gli utenti della rete e del NAS.Quando un utente prova a fare un login ad un NASquesta la sequenza di azioni che accadono:1. allutente richiesto di digitare username e

password2. username e password criptata vengono inviati al

RADIUS server3. lutente riceve una delle seguenti risposte:

ACCEPT e REJECT

Il protocollo RADIUS uno standard sviluppato dallaLivingston Enterprises, le specifiche si possono trovaresugli RFC 2865 e 2866. un protocollo aperto e vienedistribuito insieme ai suoi sorgenti, pu quindi esseremodificato e integrato in qualsiasi sistema, infatti puessere esteso per usi proprietari. Ci sono varie versionidi RADIUS le pi comuni e diffuse sono: IETF, Ciscoe Ascend, le differenza sono sul numero di attributi chesupportano rispettivamente 63, 58 e 256.Le caratteristiche del protocollo possono essereriassunte nel seguente elenco:- utilizza pacchetti UDP sulla porta 1812 (UDP

semplifica le trasmissioni tra client e server)

- combina lautenticazione e lautorizzazione esepara laccounting- cripta solo la password dellutente con

lalgoritmo di hashing MD5- estensibile, tutte le transazioni utilizzano una

coppia di variabili, nuovi attributi possono esserefacilmente aggiunti

- il processo di challenge/response unidirezionale

per configurare il RADIUS utilizzare il seguentecomando:

R(config)# radius-server host {hostname | ip

address} {auth-port port-number} {acct-portport-number} {timeout seconds} {retrasmit

retries} {key string}

Salvo lindirizzo del server, le altre sono tutteopzionali, auth-port e acct-port vengono utilizzate permodificare la porta di authorization e accounting,timeout e retrasmit per definire i tempi con i qualicontattare il server e infine key per specificare unachiave segreta usata tra il NAS e il server

TACACS+TACACS+ unapplicazione server e un protocollo

che abilita il controllo centralizzato per gli accessidegli utenti alla rete. Anche questo sistema, come ilRADIUS, client/server; il protocollo implementato


16/19


sui router Cisco non uno standard infatti lunionedel TACACS definito nel RFC 1492 e del XTACACS.Le caratteristiche del protocollo possono essereriassunte nel seguente elenco:- utilizza pacchetti TCP sulla porta 49- ogni servizio AAA separato ed ha un suo

proprio database- il payload del pacchetto TCP viene criptatonelle comunicazioni tra il NAS e il server

- il corpo di ogni pacchetto criptato da unalgoritmo pseudo-random ottenuto con hashing MD5

- il DB TACACS+ pu istruire il NAS adutilizzare delle ACL, precedentemente configurate, per il controllo dellutente durante la fase diautenticazione

- il processo di challenge/response bidirezionale

per configurare il TACACS utilizzare il seguentecomando:

R(config)# tacacs-server host {hostname | ip

address} {single-connection} {port port-

number} {timeout seconds} {key string}

Le opzioni sono molto simili a quelle gi commentateper il protocollo precedente.Il processo di autenticazione avviene in sei fasisuccessive:1. il NAS invia un pacchetto START al

TACACS server per iniziare il processo diautenticazione

2. il server risponde con un pacchetto GETUSERche contiene lo username prompt del NAS

3. il NAS visualizza lo username promptallutente e invia al server lo username inserito(pacchetto CONTINUE)

4. il server invia il pacchetto GETPASS checontiene il password prompt

5. il NAS visualizza il password promptallutente e invia al server la password inserito(pacchetto CONTINUE)

6. il TACACS server risponde con PASS o FAIL

ESEMPIO di configurazione

aaa new-modelaaa authentication login console-in localaaa authentication ppp tacacs_authe group tacacs+ localaaa authorization network tacacs_autho group tacacs+aaa accounting network tacacs_acc start-stop group tacacs+

username admin password 7 cisco

tacacs-server host 10.0.0.1tacacs-server key cisco

interface serial 0ppp authentication chap pap tacacs_autheppp autorization tacacs_authoppp accounting tacacs_acc

line con 0

login authentication console-inline vty 0 4

login authentication tacacs_authe

Marco Scapellato


17/19


LA NORMATIVA ITALIANA PER

LA WIRELESS

La Normativa italiana relativa allutilizzo delleWireless LAN stata interamente rivista alla fine del

2001 con la pubblicazione, il 28 Dicembre 2001 sullaGazzetta Ufficiale della Repubblica Italiana n. 300, delDecreto del Presidente della Repubblica n. 447 datato 5Ottobre 2001.

Questo decreto denominato Regolamento recantedisposizioni in materia di licenze individuali e diautorizzazioni generali per i servizi ditelecomunicazioni ad uso privato individua :

i servizi ed i sistemi di telecomunicazione aduso privato da assogettare a licenzaindividuale, o ad autorizzazione generale

Indica le apparecchiature terminali e idispositivi di libero uso

Fissa le modalita per lottenimento dellelicenze individuali e delle autorizzazionigenerali

Fissa le procedure operative per ladeguamento alla nuova normativa degliimpianti gia in essere.

Gli apparati Wireless LAN (o RadioLAN secondo ladicirura italiana) operano in una gamma di frequenzecondivisa in cui esistono utilizzatori diversi ciascunooperante senza alcuna protezione dai disturbi generatidagli altri utilizzatori. Questa modalita, ai sensi deldecreto, fa ricadere i dispositivi IEEE 802.11b traquelli che non richiedono una assegnazione specifica difrequenza. Per l utilizzo di questi non e prevista daldecreto la necessita della licenza individuale, ma e prescritta solamente una meno restrittivaautorizzazione generale.L articolo 5 del decreto menziona infattiesplicitamente che un servizio di telecomunicazioniprivato, svolto mediante l installazione e l esercizio direti locali radiolan e hiperlan, necessita di unaautorizzazione generale fatte salve le eccezionidisposte all articolo 6. Questo articolo definisce dilibero uso l esercizio e l installazione di una reteradiolan purche confinata nell ambito di uno stessofondo. Il fondo puo essere rappresentato da un edificiood una porzione di esso appartente ad una specifica proprieta, oppure da piu edifici distinti purcheinsistenti su di un area facente capo alla medesima proprieta degli edifici stessi. Un esempio di fondo puo essere un sito universitario costituito da piuedifici distinti confinati pero all interno del campusstesso. Per questo tipo di installazioni e utilizzazionidella tecnologia Wireless LAN non e richiesto alcunadempimento burocratico, ma e previsto invece illibero uso.Si noti che il decreto non fa alcuna differenza tra lediverse modalita operative conseguibili con leWireless LAN. Pertanto sia le applicazioni di accessoalla rete che le applicazioni di collegamento tra reti

diverse mediante link wireless (Wireless bridging)risultano assoggettate alle stesse regole.In sintesi potremo affermare che :

In ambito privato (all interno di un edificio odi un singolo ufficio) le Wireless LAN, comestrumento di accesso alla rete, sono di libero

uso e possono essere utilizzate senza alcunaformalita burocratica Tra edifici diversi che insistono su di un sito

facente capo alla medesima proprieta degliedifici stessi, le Wireless LAN utilizzatecome strumento di connessione tra le retifisse dei singoli edifici sono altresi di liberouso.

Le Wireless Lan utilizzate come strumento diconnessione tra reti fisse di singoli edificidivisi dalla presenza di suolo pubblico sonoassoggettate alla autorizzazione generale.

La figura seguente schematizza quanto esposto.

L autorizzazione generale si consegue compilando lapposito allegato C al decreto sopramenzionato. Larichiesta andra indirizzata direttamente al Ministerodelle Comunicazioni, producendo contestualmente lericevute dell avvenuto pagamento del contributo atitolo di rimborso spese di istruttoria secondo quantospecificato nell articolo 8 del decreto. L eserciziodella rete puo avere inizio contestualmente alla produzione della richiesta e trascorse 4 settimane daquesta data, senza parere negativo dal Ministero, lautorizzazione si intende conseguita sulla base delsilenzio assenso.Il valore del contributo non e ancora stato fissato alla

data. Il decreto del Ministero delle Comunicazioni indata 30 Gennaio 2002 stabilisce un regime transitorioin cui i titolari di autorizzazioni generali conseguitedopo il 1 Gennaio 2002 sono tenuti a versare ilcontributo, fatta salva la facolta di recesso, solo dopol adozione da parte del Ministero del regolamentoattuativo e della conseguente determinazione dellimporto del contributo stesso.L articolo 20 del decreto stabilisce infine i requisiti aiquali, le apparacchiature utilizzate per i servizi precedentemente individuati, devono sottostarerimandando al dPR n.269 in data 9/5/2001.L immissione sul mercato comunitario europeo diapparecchiature radio e quindi i requisiti ai quali questeapparecchiature devono soddisfare e regolato dallanormativa 1999/5/EC di cui il decreto n.269 e il


18/19


recepimento italiano. Questa norma prevede che lacertificazione dei prodotti venga fatta presso unoqualsiasi degli organismi notificati (laboratori dicerificazione) a livello europeo e abbia poi validita intutti gli stati membri. L avvenuta certificazione e larispondenza alle norme e verificabile dalla

marchiatura CE (con relativo indicatore numerico cheidentifica l organismo notificato presso cui eavvenuta la certificazione europea) apposta sui prodotti. In sintesi il costruttore all introduzione del prodotto ha il solo obbligo di informare l autoritanazionale competente dell immisione sul mercatonazionale del prodotto corredando la notifica con ilcerificato di rispondenza alle norme prodotto presso lorganismo notificato europeo.L autorita nazionale competente non puo che prendere atto dell avvenuta immissione rilasciandouna liberatoria che costituisce la certificazione dellarispondenza dei prodotti alle norme.

DPR. 447 5 Ottobre 2001http://www.comunicazioni.it/normativa/teleco/tel_dpr447-01.htm

Allegato C per il conseguimento di autorizzazionegeneralehttp://www.comunicazioni.it/normativa/teleco/allC.pdf

DPR. 269 9 Maggio 2001http://www.comunicazioni.it/normativa/teleco/tel_dlgs269-0501.htm

Le note precedenti costituiscono un sunto della regolamentazione inmateria e vogliono aiutare gli utenti ad adempiere ai requisitiimposti dalla Normativa Italiana nell esercizio di prodotti WirelessLAN. Pertanto queste note non sono assolutamente da intendersicome sostitutive della conoscenza della regolamentazione inmateria, ma costuiscono uno strumento iniziale di orientamento perdefinire gli ambiti normativi ai quali un impianto ditelecomunicazioni ad uso privato deve sottostare. In particolareandranno osservate tutte le norme relative alla sicurezza sui luoghidi lavoro.


19/19


BREVI DAL FRON TEQuesto breviario intende raccogliere notizie tecniche dal fronte delle

installazioni e dalle problematiche riscontrate e risolte sulle reti che abbiamo

in manutenzione. Potete inviare le vostre notizie, alle-mail:

[email protected]

APIPA (Automatic Private IP Addressing): quale indirizzo IP prende un PC abilitato come DHCPClient, se nessun Server DHCP risponde alle sue richieste? Ebbene i sistemi Windows Me/98/2000 siautoassegnano unindirizzo appartenente alla subnet 169.254.0.0/16. Questa subnet stata riservata dallaIANA (Internet Assigned Numbers Authority) proprio a questo scopo su reti Intranet, e quindi suInternet non esistono indirizzi appartenenti a questa subnet. Il PC sceglie lindirizzo da autoassegnarsi in

modo randomico, e testa, tramite lutilizzo di ARP Gratuiti, la sua unicit sulla LAN. Comunque, dopolautoassegnazione il PC ogni tre minuti, cerca di scoprire se sulla LAN tornato ad operare un serverDHCP.

INTERNET ADDRESSING:provate a impostare sul vostro PC un indirizzo IP con una subnet maskcostituita (in formarto binario) da 1 non consecutivi, per esempio 255.255.77.0. Il vostro PC la accettertranquillamente. Provate a fare la stessa cosa sulla configurazione di un interfaccia di un router, enormalmente non accetter subnet mask formata da 1 non consecutivi. Chi in errore? Nessuno, inquanto i programmatori degli stack TCP/IP dei PC hanno implementato alla lettera lo standard TCP/IP, ilquale permette anche lutilizzo di subnet mask formate con 1 non contigui, mentre i programmatori deirouter hanno implementato una restrizione rispetto allo standard. Ma allora come si procede per calcolarela subnet di appartenenza e il broadcast nel caso di subnet mask non contigui? Vediamo il seguenteesempio:

IP (decimale)IP (binario)

1000001010

100000001

200000010

3800100110

AND

SubnetMask (decimale)

SubnetMask (binario)

255

11111111

255

11111111

70

01000110

22

00010110

Subnet (decimale)

Subnet (binario)

10

00001010

1

00000001

2

00000010

6

00000110

XNOR

SubnetMask (decimale)

SubnetMask (binario)

255

11111111

255

11111111

70

01000110

22

00010110

Broadcast (decimale)

Broadcast (binario)

10

00001010

1

00000001

187

10111011

239

11101111

Quindi lindirizzo Ip: 10.1.2.38/255.255.70.22 appartiene alla subnet:10.1.2.6/255.255.70.22 che ha il

seguente broadcast 10.1.187.239/255.255.70.22.

Logicamente la sequenza degli indirizzi disponibili per i PC sar costituita da range non contigui!

N.B. stata usata loperazione logica XNOR che comporta:

1 XNOR 1 = 1; 1 XNOR 0 = 0; 0 XNOR 0 = 1; 0 XNOR 1 = 0

Documents

Reti e dintorni 9