Nascita ed evoluzione delle reti

Agli albori dell'informatica (primi anni '60) i computers erano macchine enormi (chiamati anche
elaboratore centrale o main-frame) che non prevedevano l'interazione con altri computers
(chiamati anche host o client). Solo in un secondo momento nacque la necessit di sfruttare la
potenza di calcolo e le risorse (storage, stampanti) dell'elaboratore centrale da postazioni di lavoro
remote (tipicamente equipaggiate con macchine molto meno performanti e potenti rispetto
all'elaboratore centrale). Questa necessit port l'industria alla creazione dei primi tipi di reti.
In generale con il termine rete viene indicato l'insieme di protocolli, apparati e media fisici
(cablaggi, connettori, NICs e leased line)che concorrono al trasferimento di dati tra hosts remoti.
Con il termine networking invece viene indicato l'insieme delle attivit inerenti le reti (progettazione,
implementazione, configurazione, ottimizzazione e manutenzione).
Il primo tipo di reti furono costruite essenzialmente per permettere agli hosts di sede (un ufficio di
qualche piano, al massimo un palazzo) di comunicare con il main-frame e furono chiamate LAN
(local area network).

Users

LAN

Main Frame
Fig. 1.1 Rete di accesso al main frame

Successivamente emerse la necessit di permettere anche agli hosts installati nelle sedi remote
(chiamate anche periferie o branch office) di colloquiare con i sistemi installati nella sede centrale
(chiamata anche Head quarter o central office).Questo tipo di reti geografiche viene chiamato
WAN (Wide area network) e vengono tipicamente realizzate interconnettendo le sedi remote alla
sede centrale tramite leased line (linee prese in affitto da ISP - Internet Service Provider).

Users

LAN

Fig. 1.2 Rete leased

Negli ultimi anni molte reti sono utilizzate per trasportare, oltre ai dati delle applicazioni, anche la
voce (VOIP) ed i video (videosorveglianza, videoconferenza, streaming video). Questo tipo di reti
vengono comunemente chiamate reti convergenti.
IP Phone

Users
Switch
LAN
Firewall

Router

IPTV
IP PBX
Server
Fig. 1.3 Schema di una moderna rete multi service

Standardizzazione delle reti dati (modello ISO/OSI e modello DOD)

Quando cominci a farsi viva la necessit di "rete" ogni costruttore di tecnologia realizz un proprio
sistema per implementare il concetto di rete, sviluppando in prima persona ogni componente:
computers e servers, protocolli, applicazioni, apparati di networking, media fisici. Questo si rilev
un forte limite per le seguenti motivazioni:

I costruttori dovevano impegnarsi su pi fronti (computer, software, protocolli, apparati di

rete e cablaggi)
I clienti erano obbligati ad acquistare tutto il pacchetto da uno stesso costruttore.
I clienti erano costretti a cambiare tutto il pacchetto se cambiavano ad esempio il solo
software.

Circa agli inizi degli anni '70 l'industria (riunita nell'ISO - International Organization for
standardization) cominci a riflettere sulla possibilit di standardizzare la comunicazione tra hosts
remoti dividendo la comunicazione in livelli ed assegnando ad ogni livello un set specifico di
funzioni. Le motivazioni sono riassumibili nei seguenti 4 punti:

Permettere linterlavoro tra apparati di costruttori diversi.

Dividere i processi di comunicazione in componenti pi piccoli, pi facilmente progettabili,
implementabili ed amministrabili.
Definire con esattezza le funzioni che devono essere espletate ad ogni livello.
Impedire che cambiamenti ad un livello influenzino gli altri livelli.

Circa a meta degli anni '70 vennero sviluppati 2 modelli per la standardizzazione delle
comunicazioni dati: OSI (Open Systems Inteconnecc.ion, svilippato dall'ISO) e DOD (department
of defense, sviluppato dal Governo USA e chiamato anche TCP/IP). I due modelli sono molto
simili, infatti assicurano le stesse funzioni anche se le raggruppano diversamente. La figura
seguente mostra la corrispondenza tra i livelli dei 2 modelli, successivamente sono dettagliate le
funzioni espletate ad ogni livello del modello OSI.

APPLICAZIONE
PRESENTAZIONE

APPLICAZIONE

SESSIONE
TRANSPORTO

END-TO-END CONTROL

RETE
RETE

INTERNETWORKING

DATA LINK
INTERFACCE FISICHE
FISICO

Fig. 2.1 Modello ISO/OSI e Modello DOD (noto anche come TCP/IP)

Verranno ora descritte le funzioni espletate da ogni livello del modello ISO/OSI. Grazie alla figura
di pagina precedente sar facile risalire alle funzioni espletate dai livelli del modello TCP/IP (vista
la corrispondenza tra i livelli dei 2 modelli).

Application
Questo livello fornisce linterfaccia tra lapplicazione e la rete. In pratica quando una applicazione
ha bisogno di comunicare con un host remoto, invia i dati a questo livello. Questo livello non v
confuso con lapplicazione stessa, infatti aprendo un file HTML in locale sul proprio PC non avverr
alcuna interazione con lo stack OSI o TCP/IP, ma se si apre un file HTML su Internet sar
necessario scambio di dati con il server Web ed avverr linterazione. Le applicazioni pi comuni
sono telnet, smtp, http, https, ftp, tftp, snmp, dns.

Presentation
Questo livello si occupa di formattare (o presentare) in formato standard i dati ricevuti dalle varie
applicazioni prima di trasmetterle al livello inferiore. A questo livello sono associate le operazioni di
compressione e decompressione dati ed encryption e decryption dei dati.In pratica riceve i dati
dalle varie applicazioni (audio, web, word ecc.) e li presenta in formato standard al livello inferiore.

Session
Questo livello si occupa del set-up, del mantenimento e dellabbattimento delle sessioni richieste
dal livello Application. Verifica la disponibilit delle risorse di rete necessarie alla comunicazione e
mantiene separati i dati relativi a diverse comunicazioni. I dati a questi 3 livelli vengono chiamati
PDU (protocol data unit).

Transport
Questo livello responsabile per la frammentazione dei dati facenti parte delle sessioni in
segmenti di dimensioni identiche, della creazione di un canale virtuale tra lhost sender e lhost
receiver allinterno della rete e della consegna dei segmenti allhost receiver. I dati a questo livello
vengono chiamati SEGMENT.

Internet
I protocolli a questo livello sono responsabili principalmente per :
Fornire un indirizzamento logico agli hosts della rete e trasportare i dati utente tra hosts.
Tenere traccia della posizione degli apparati nella rete ed individuare il percorso migliore
verso ogni destinazione.
I dati a questo livello sono detti DATAGRAMS o PACKETS.

Data Link
Questo livello gestisce lindirizzamento fisico degli apparati ed responsabile per la consegna dei
dati allinterno di un segmento fisico. Esegue le seguenti funzioni: Error notification, network
topology e controllo di flusso. Il livello Data Lynk si occupa anche della traduzione delle frames in
bits e dalla loro consegna al medium fisico.I dati a questo livello si chiamano frames.

Physical
Questo livello responsabile per il rispetto delle specifiche elettriche, meccaniche, procedurali per
attivare mantenere ed abbattere un link fisico tra end point. Si interfaccia con i pi disparati tipi di
medium fisico e traduce i bits nella relativa forma (luce per le fibre, tensione per il rame, onde radio
per il Wi-Fi). I dati a questo livello si chiamano bits.

Encapsulation - Decapsulation
Il processo subito dai dati nel passaggio dal livello Application al livello Physical detto
Encapsulation. Il processo inverso detto Decapsulation. Il funzionamento prevede che ad ogni
livello viene aggiunto lheader del protocollo operante a quello stesso livello (in pratica il pacchetto
di livello superiore viene incapsulato nel campo "data" del pacchetto di livello inferiore). Come visto
in precedenza ad ogni livello i dati acquisiscono un nome diverso. Questo processo verr
analizzato nel dettaglio nel secondo capitolo della presente guida, in quanto ritengo possa risultare
maggiormente chiaro dopo aver analizzato i livelli 4,3 e 2 nel dettaglio. In buona sostanza
possiamo schematizzare la comunicazione tra due host nel seguente modo:

Fig 2.1 Processo di incapsulamento

A livello generale possiamo dire che i primi 3 livello (application, presentation, session) sono di
competenza degli sviluppatori software (chi scrive lapplicazione decide il tipo
connessione/protocollo da utilizzare ed i relativi parametri: tcp/udp, protocollo L3 e relativi
parametri: id, valore tos/dscp, ecc.).

Fig. 2.2 Relazione e dominio di appartenenza tra apparati e protocolli

Le caratteristiche delle reti

Le caratteristiche che descrivono una rete sono 7; la maggior parte sono facilmente comprensibili
e sono brevemente descritte nell'elenco stesso. Un discorso a parte e pi approfondito
necessario per quanto riguarda la topologia e la sicurezza delle reti; per questo si sono resi
necessari 2 paragrafi a parte che troverete pi avanti in questa pagina:

Costo misura il costo della rete (del progetto, degli apparati, dei cablaggi, delle scorte,
della manutenzione ecc.)
Sicurezza descrive il grado di sicurezza degli apparati di rete e dei dati trasmessi tra di
essi.
Velocit descrive il data rate, cio la velocit con cui i dati sono trasmessi tra end-point.
Topologia descrive il layout del cablaggio fisico degli apparati (topologia fisica), ed il
percorso seguito dai dati all'interno del cablaggio (topologia logica).
Scalabilit definisce quanto bene la rete pu adattarsi a futuri sviluppi.
Affidabilit definisce l'affidabilit dei componenti di rete e della connettivit tra di essi.
MTBF (mean time between failures) comunemente utilizzato per indicare il rischio che un
componente si guasti.
Disponibilit misura la probabilit che la rete sia disponibile agli utenti. Con il termine
downtime si indica il periodo di indisponibilit della rete a causa di guasti o manutenzioni
programmate.

Topologia delle reti

Come accennato nella sezione precedente bisogna distinguere tra topologia fisica (come sono
connessi fisicamente gli apparati) e topologia logica (come viaggiano i pacchetti tra gli apparati).
Ad esempio Ethernet pu avere diverse topologie fisiche (point-point, bus, ring, star) ma la
topologia fisica sar sempre "ring". Di seguito la descrizione delle tipologie di rete principali. In
figura 3.1 riportata una tipica connessione punto-punto (point-to-point, connessione diretta); in
questo tipo di connessioni 2 apparati sono connessi direttamente tramite un singolo link.

Fig. 3.1 Topologia Punto-Punto

In figura 3.2 riportata una topologia a Bus.

Fig. 3.2 Topologia Bus (Bus Topology)

In tale configurazione tutti gli host sono collegati ad un unico mezzo trasmissivo detto appunto
Bus.

Fig. 3.3 Topologia a Stella (Star Topology)

In figura 3.3 viene invece schematizzata una rete con topologia a stella. Questo topologia detta
anche hub and spoke; in questo tipo di implementazioni ogni apparato periferico (chiamato spoke,
periferia, sito remoto) connesso ad un apparato centrale (chiamato hub, centrostella, ced) tramite

un singolo link (da notare che il traffico tra 2 siti remoti transiter per il centro-stella). Nel caso in
cui un sito periferico diventi hub per altre periferie di secondo livello si parla di implementazione
extended star.

Fig. 3.4 Topologia ad anello (Ring Topology)

In fig. 3.4 viene schematizzata una rete ad anello (ring network), in cui ogni apparato presenta 2
link: uno verso l'apparato precedente ed uno verso l'apparato successivo. In alcune
implementazioni sono presenti 2 link verso l'apparato precedente e 2 verso l'apparato successivo
(per motivi di ridondanza), in questo caso si parla di implementazioni dual ring.
Sempre in ambito "topologia" va ricordato il meshed, cio come tutti gli apparati della rete sono
connessi tra di loro. Le possibilit in merito al meshed sono 2: fully meshed (ogni apparato a un
link con ogni altro apparato della rete, realizzando una rete completamente magliata) e partially
meshed (la rete non completamente magliata). Le figure seguenti esplicano questi 2 tipi di reti:

Fig. 3.5a Topologia Fully Meshed

Fig. 3.5b Topologia Partially Meshed

Sicurezza delle reti

In merito alla sicurezza delle informazioni e delle reti esistono veri e propri trattati che per
interessano pi gli specialisti sicurezza che i network manager in senso stretto. Ai fini dell'esame
verranno trattati solo alcuni aspetti della sicurezza riguardanti in particolare la classificazione delle
minacce e le relative contromisure.
Una prima classificazione delle minacce riguarda il punto di vista dell'attacker (cio di colui che
attacca o minaccia la rete); da questo punto di vista le minacce possono essere: interne (originata
da persone o situazioni interni al perimetro della rete stessa, ad esempio impianti
elettrici/ambientali non a norma, impiegati scontenti, sabotatori) o esterne (concorrenti, hacker
ecc.). A differenza di quanto si potrebbe pensare la maggior parte degli attacchi sono interni (nella
misura del 60/70 %).
La seconda classificazione riguarda la classe di attacco. Le classi sono: attacchi fisici, attacchi di
ricognizione, attacchi di accesso e attacchi DOS (denial of service). Di seguito la descrizione
dettagliata di ognuno:
Gli attacchi fisici si dividono in 4 categorie: hardware (attacchi agli apparati ed ai collegamenti. Ci si
protegge installando gli apparati in locali ad accesso controllato e con videosorveglianza),
ambientali (i locali apparati devono essere areati, avere basse temperature e nessuna interferenza
elettromagnetica), elettriche (abbassamento, picco o mancanza di corrente. Ci si protegge con un
UPS o gruppo di continuit), manutenzione (non avere parti di ricambio, non avere
documentazione aggiornata. Ci si protegge avendo scorte HW, configurazioni e SW salvati, cavi
etichettati).
Gli attacchi di ricognizione mirano a reperire informazioni sulla nostra rete che possono essere utili
per attacchi successivi. L'attacker utilizza dei tools (sniffer, packet sniffer ecc.). Ci si protegge con
sonde IDS, sistemi IPS o firewall (che non riguardano l'esame CCNA).
Gli attacchi di accesso mirano ad ottenere accesso fraudolento agli apparati, ai dati in transito o a
quelli storati su di essi. L'attacker cerca di trovare la password per accedere ai dati o tramite
software di password cracking o con altri metodi fraudolenti (mail, social network ecc.). Ci si pu
proteggere limitando l'accesso agli apparati ed alle risorse tramite access-list (ACL, trattate nel
dettaglio nei prossimi capitoli) e firewall.
Gli attacchi DOS mirano a limitare o azzerare il livello di servizio saturando di richieste/pacchetti
una risorsa (ed impedendone la normale fruizione). Ad esempio si possono inviare centinaia di
richieste verso un server web con il fine di renderlo inservibile. Ci si protegge limitando con il rate
limiting delle richieste (non oggetto del corso).

I componenti di una rete

I componenti di una rete (come abbiamo visto nella prima sezione con la descrizione del termine
rete) sono: applicazioni, protocolli, computers, networking (hub, switches, routers) e media
(cablaggi e connettori). Di seguito il dettaglio. Le applicazioni sono i software che ci permettono di
eseguire dei tasks (word, internet explorer ecc.). Alcune applicazioni sono network-adware
(richiedono cio lo scambio di dati con un host remoto, e quindi l'utilizzo della rete) mentre altre
sono stand-alone (non richiedono l'utilizzo della rete).I protocolli sono utilizzati per implementare le
applicazioni in rete (alcune corrispondenze protocollo=applicazioni sono: web=internet explorer,
ftp=filezilla ecc.). Alcuni protocolli sono openstandard (possono cio essere implementati da ogni
vendor, ad esempio OSPF) altri sono proprietari (ad esempio EIGRP proprietario Cisco).Con il
termine generico di computers si indica una macchina connessa alla rete capace di eseguire
applicazioni. I computers possono essere personal computer (tipicamente client), workstation
(computer dedicati a specifiche funzioni, tipicamente equipaggiati in modo migliore rispetto ai PC)
e servers (pc molto potenti che offrono servizi a molti client). Il termine networking utilizzato in
questo caso per indicare l'insieme degli apparati che concorrono al funzionamento della rete. Gli
apparati che possiamo trovare in una rete sono: hub, bridges (antenato dello switch, ormai in
disuso), switches, routers, firewall e sistemi IPS/IDS). Nel corso della guida dettaglieremo hub,
bridges/switches e routers (firewall, ips ed ids sono esterni al perimetro della certificazione Cisco
CCNA). Con il termine media fisici andiamo ad indicare l'insieme dei cablaggi, connettori, schede
di rete (NIC - network card interface) e leased line (le linee prese in affitto dagli ISP per connettere
sedi remote). Nel corso della guida (sezione ethernet) discuteremo NIC, cablaggi e connettori.
I vari componenti della rete possono essere installati in varie location, di seguito il dettaglio:

Central Office (CED, corporate office): la sede centrale. Tipicamente i servers vengono
installati nella sede centrale.
Branch Office (periferia, sede remota): le sedi remote della azienda. Tipicamente i PC di
queste sedi si collegano ai servers presenti in sede centrale per utilizzare i servizi (internet,
posta elettronica, applicativi aziendali).
SOHO (small office/home office, uffici distaccati): sono sedi remote di piccole dimensioni o
uffici casalinghi.
Mobile user: gli utenti che si collegano alla rete in mobilit (tramite accessi remoti, nas, vpn
ecc.).
Corporate Office

Remote Users

Network
Brench Office (filiale)

Small Office Home Office

Fig. 4.1 Attori in uno scenario di netw orking

La classificazione della rete.

Come visto nella sezione "Le caratteristiche di una rete" , una prima classificazione delle
reti dipende dalla topologia logica e fisica (point-point, star, ring) e dal meshed (partially/full). Una
seconda modalit di classificazione riguarda l'estensione della rete:

LAN (local area network): rete locale di piccole dimensioni, tipicamente realizzata senza
l'ausilio di leased line.
WAN (wide area network): rete geografica che prevede l'utilizzo di leased line per
connettere sedi remote.
MAN (metropolitan area network): rete metropolitana, tipicamente realizzata ed utilizzata
dagli ISP per connettere le proprie centrali (POP - point of presence).

Il livello 4: TCP, UDP e porte logiche

Questa sezione molto importante e merita di essere letta con attenzione in quanto anche se il
livello 4 esula dal routing/switching in senso stretto comunque parte integrante e fondamentale
del lavoro di un networkers (a questo livello viene di solito implementata la sicurezza tramite
acces-list). Come accennato nel primo capitolo il livello 4 riceve un flusso di dati dai livelli superiori
(application, presentation e session del modello ISO/OSI o dal livello Process Application del
modello TCP/IP) ed principalmente responsabile delle seguenti funzioni:

Frammentazione dei dati ricevuti dal livello superiore in segmenti di dimensioni identiche.
Instaurazione di un canale virtuale tra l'host sender e l'host receiver e della consegna
ordinata dei dati.

Questo livello pu creare 2 tipi di sessione, a seconda delle necessit delle applicazioni:

CONNESSIONI UNRELIABLE: sono connessioni che non offrono garanzie in termini di

consegna ed integrit dei dati trasmessi (UDP).
CONNESSIONI RELIABLE: sono connessioni che offrono garanzie in termini di consegna
ed integrit dei dati trasmessi (TCP).
Il primo tipo di connessione segmenta i dati ricevuti dalle varie sessioni (framing) , e
semplicemente li invia verso la destinazione.

Il secondo tipo, segmenta i dati (framing) , li numera (sequencing) , instaura un canale virtuale tra
host sender ed host receiver (three way handshake o call setup), invia i segmenti e fornisce
controllo di flusso (verifica ricezione segmenti, prevenzione congestione).
Il processo di call-setup della connessione (socket) creata da TCP detto Three way handshake,
e permette agli hosts di negoziare i parametri della connessione (windowing, ecc.) ed assicurarsi
della affidabilit della connessione. La figura seguente esplica questo processo, che descriveremo
subito dopo:

PC A

SYN Sequence Number N

PC B

SYN ACK N+1 Sequence Number M

ACK M+1 Sequence Number N+1

Fig. 5.1 Comunicazione a Finestra

Di seguito il dettaglio dei 3 step che compongono questo processo:

PCA invia un SYN a PCB. Questo pacchetto numerato con il "sequence number", settato
nel nostro caso a N (da notare che il sequence number viene assegnato in maniera
arbitarario dall'host (parte da 0 alla prima accensione e poi aumenta di 1).
PCB risponde con un SYN ACK N+1 (in pratica l'ack del SYN con sequence number N);
tale pacchetto (il SYN ACK) avr un proprio sequence number (sempre assegnato in
maniera arbitraria da PC B).
2) PCA risponde con un ACK M+1 (in pratica l'ack del SYN ACK con sequence number M).

Si noti come i pacchetti SYN presentano il bit SYN settato a 1 (tutti gli altri lo hanno settato a 0);
questo il metodo con cui routers e firewall identificano se un pacchetto appartiene ad una
sessione esistente (SYN settato a 0) o ad una sessione nuova (SYN settato a 1).
Le applicazioni TCP pi comuni sono: TELNET (23) , SMTP (25) , http (80), HTTPS (443) , FTP
(21) , DNS (usa sia tcp 53 che udp 53) mentre le applicazioni UDP pi comuni sono: TFTP (69) ,
SNMP( 161) , DNS (usa sia tcp 53 che udp 53).

Controllo del Flusso

Come accennato prima le connessioni TCP forniscono una consegna certa (reliable) dei dati. Per
fare questo vengono utilizzati alcuni accorgimenti:

ACKNOWLEDGE: Lhost receiver invia un acknowledge verso lhost sender per ogni treno
di segmenti ricevuto. In questo modo lhost sender pu accorgersi se uno o pi segmenti
sono andati persi durante il trasferimento e provvedere al reinoltro degli stessi.Se perde un
segmento, invier lack chiedendo il reinoltro del segmento perso. Se lo riceve, procede
con un nuovo ack per chiedere linoltro del successivo treno di segmenti.
WINDOWING: il valore dei segmenti facenti parti di un treno. Tale valore viene negoziato
durante il call-setup o three way handshake.
BUFFERING: Lhost receiver bufferizza i segmenti che non riesce a gestire online, per
gestirli in un secondo momento.
READY-NOT READY SIGNAL: Anche se esiste il buffering pu verificarsi che lhost
receiver riceva troppi segmenti rispetto a quelli che pu processare, andando in
congestione. In questo caso esiste un meccanismo detto ready-notready signal che si
occupa di prevenire questo fenomeno. In pratica se lhost receiver v in saturazione invia
un not ready signal al sender, che stopper linvio dei segmenti. Quando lhost receiver
torner disponibile invier al sender un ready signal per far ripartire linvio.

Le Porte Logiche
Per mantenere separati i segmenti relativi a diverse sessioni, questo livello utilizza le porte logiche.
Per ogni connessione (socket) viene definita una porta sorgente ed una porta destinataria. Le
figure seguenti riportano lheader di un segmento TCP e di un segmento UDP.

Fig. 5.2 Intestazione TCP

source port

destination port

UDP length

UDP checksum

DATA

Fig. 5.3 Intestazione UDP

Come si vede dalle figure precedenti TCP ha molti pi campi rispetto ad UDP, relativi alle proprie
caratteristiche di affidabilit (sequence number, ack number, window ).
Dato che i campi SOURCE/DESTINATION PORT misurano 2 bytes, tali valori potranno avere un
valore compreso tra 0 e 65535. Le porte da 0 a 1023 sono dette porte well-know e sono utilizzate
per chiamare unapplicazione sullhost receiver; le porte da 1024 a 65535 sono libere e vengono
utilizzate randomicamente come porte sorgente.
Di seguito alcune associazioni applicazioni<->porta tcp:

http=tcp80
telnet=tcp23
ftp=tcp21
snmp=tcp162 ecc..

Conversione Decimale -> Binario -> Esadecimale

Prima di procedere con i dettagli relativi allindirizzamento IP bene comprendere la differenza tra
numeri binari, decimali ed esadecimale e come convertire un numero da una notazione allaltra.
Lunit di misura del calcolo binario il bit, e pu assumere valore 0 o 1. Un valore di 4 bit detto
nibble, un valore di 8 bit detto byte. La posizione che assume un bit in una nibble o in un byte
detto slot. Ogni bit ha un valore diverso a seconda dello slot che occupa, infatti nel calcolo binario
ad ogni slot corrisponde una potenza di 2. Il punto che divide i byte serve come barriera. In pratica
ogni byte pu esprimere un numero: decimale da 0 a 255, binario da 00000000 a 11111111,
esadecimale da 00 a FF. Gli slot in un byte assumono i seguenti valori: 27, 26, 25, 24, 23, 22, 21, 20 .
A seconda se lo slot settato a 0 o a 1, questi valori andranno moltiplicati per 0 o 1.Sommando il
valore decimale di ogni slot cosi ottenuto, si avr il valore decimale di ogni singolo byte da
utilizzare per esprimere lindirizzo Ip con la notazione decimale puntata.

Esempio Binario - Decimale

11110011 = 1*27 + 1*26 + 1*25 + 1*24 + 0*23 + 0*22 + 1*21 + 1*20 = 128 + 64 + 32 + 16 + 0 + 0 + 2 +
1 = 243
Ogni byte pu essere espresso con 2 nibble. Per ottenere il valore esadecimale di un byte sar
quindi necessario dividere il byte in 2 nibble, ed utilizzare il metodo visto prima per ottenere il
valore decimale delle nibble stesse. Ogni nibble sar esprimibile con un solo carattere
esadecimale, quindi il byte sar esprimibile con 2 caratteri esadecimali.

Esempio Binario HEX

In base 16 abbiamo una base numerica cos fatta: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F quindi
per convertire un numero binario in esadecimale adotteremo la seguente tecnica:
Dividiamo il byte in nebble:
11110011 (il byte) = 1111 0011 (le nibble)
Convertiamo le nibble in numeri decimali:
1111 = 15 e 0011 = 3
A questo punto possiamo facilmente convertire i due numeri in esadecimale:
15dec = Fhex e 3 dec = 3hex
Quindi il valore esadecimale del byte F3. Da quanto sopra consegue che gli indirizzi IP possono
assumere i seguenti valori, per un totale di 4.2 miliardi.

Binario: da 00000000.00000000.00000000.00000000 a 11111111. 11111111. 11111111.

11111111
Decimale: da 0.0.0.0 a 255.255.255.255
Esadecimale: da 00.00.00.00 a FF.FF.FF.FF

Il protocollo IP (Internet Protocol)

Il protocollo IP (Internet Protocol) probabilmente, insieme ad Ethernet, il pilastro principale della
formazione di un amministratore di reti, pertanto va conosciuto in maniera approfondita in ogni suo
aspetto. Di seguito troverete descritti tutti gli aspetti e concetti che occorre conoscere molto bene.
Come accennato in precedenza il livello 3 responsabile per le seguenti funzioni:
Fornire lindirizzamento logico degli hosts sulla rete.
Tenere traccia della posizione degli apparati nella rete ed individuare il percorso migliore
tra 2 end-point
La prima funzione viene espletata dai routed protocols che si occupano di fornire un indirizzamento
logico agli apparati di rete e di trasportare i dati utente tra host sender ed host receiver. Ne
esistono diversi (APPLETALK, IPX, IPV4 ed IPV6). Attualmente il pi utilizzato (di fatto lo
standard) IP, la sua evoluzione IPV6. La seconda funzione viene espletata dai routing
protocols che si occupano di localizzare un apparato allinterno della rete e dellindividuazione del
percorso migliore per i pacchetti in transito tra host sender ed host receiver.
In particolare ci concentreremo sul protocollo IP (internet protocol) in quanto rappresenta lo
standard de facto in ambito networking. IP (Internet Protocol) un routed protocol di livello Internet
del modello TCP/IP (o livello network del livello OSI), pertanto si occupa principalmente di fornire
lindirizzamento logico agli hosts della rete. Gli indirizzi IP sono numeri di 32 bit, divisi in 4 bytes
(chiamati ottetti) separati da un . e possono essere espressi in 3 notazioni:
Binaria (Binary): 00000000.00000000.00000000.00000000
Decimale puntata (dotted decimal): 0.0.0.0
Esadecimale (hex): 00.00.00.00
Per comprendere correttamente il protocollo IP e sopratutto per superare l'esame fondamentale
saper convertire un numero decimale in binario ed esadecimale.

Classi di indirizzi IP
Gli indirizzi IP vengono divisi in 5 classi (A-B-C-D-E). Il modo pi semplice per capire a che classe
appartiene un IP esprimerlo in notazione decimale puntata, e controllare il valore del primo byte;
Se tale byte ha:
un valore compreso da 0 a 127: classe A
un valore compreso da 128 a 191: classe B
un valore compreso da 192 a 223: classe C
un valore compreso da 224 a 239: classe D (utilizzato per il multi cast)
un valore compreso da 240 a 255: classe E (utilizzato per ricerca).
La divisione in classe indica anche quante bit sono riservati alla parte network dellindirizzo IP e
quanti alla parte host. La parte network identifica univocamente la network, mentre la parte host
identifica univocamente lhost allinterno della network.

Fig. 6.1 Classi standard di indirizzi IP

Network Identifier BroadCast

Ogni network IP ha 2 indirizzi riservati, non assegnabili agli hosts: il network identifier (utilizzato per
identificare la network) ed il broadcast address ( i pacchetti indirizzati a questo indirizzo saranno
consegnati a tutti gli hosts della rete). Il Network Identifier presenta tutti i bit della parte host settati
a 0, mentre il Broadcast address presenta tutti i bit della parte network settati a 1.

Numero Indirizzi validi per Hosts

Ogni network rende disponibili un certo numero di indirizzi IP (Y), che dato da 2^X, dove X il
numero dei bit relativi alla parte host. Y=2^X. Il numero di indirizzi validi per hosts (N) dato dalla
sottrazione di 2 da questo numero (-2 si riferisce al fatto che Network ID e Broadcast non possono
essere assegnati agli hosts) N=Y-2. Da quanto detto sopra consegue che dato un indirizzo IP
possibile definire:
La Classe di appartenenza.
La network di appartenenza (il network identifier)
Il broadcast address.
Il numero di indirizzi validi per hosts

Esempio IP di classe A: 10.100.220.103

CLASSE = A (il valore espresso dal primo byte compreso tra 0 126)
NETWORK IDENTIFIER: 10.0.0.0 (Classe A = 8 bit network)
BROADCAST ; 10.255.255.255 (Classe A = 24 bit host)
Y (numero di indirizzi forniti dalla network) = 2^X (numerobitpartehost) = 2^24 = 16777216
N (numero di indirizzi validi per hosts) = Y 2 (il network identifier ed il broadcast address
non sono assegnabili) = 16777214

Esempio IP di classe B: 172.17.220.103

CLASSE = B (il valore espresso dal primo byte compreso tra 128 191)
NETWORK IDENTIFIER: 172.17.0.0 (Classe B = 16 bit network)
BROADCAST ; 172.17.255.255 (Classe B = 16 bit host)
Y (numero di indirizzi forniti dalla network) = 2^X(numerobitpartehost) = 2^16 = 65536
N (numero di indirizzi validi per hosts) = Y 2 (il network identifier ed il broadcast address
non sono assegnabili) = 65534

Esempio IP di classe C: 194.17.220.103

CLASSE = C (il valore espresso dal primo byte compreso tra 192 223)
NETWORK IDENTIFIER: 194.17.220.0 (Classe C = 24 bit network)
BROADCAST ; 194.17.220.255 (Classe C = 8 bit host)
Y (numero di indirizzi forniti dalla network) = 2^X(numerobitpartehost) = 2^8 = 256
N (numero di indirizzi validi per hosts) = Y 2 (il network identifier ed il broadcast address
non sono assegnabili) = 254

Indirizzi IP Privati, Pubblici e Riservati

Allinterno delle classi A-B-C sono definite (RFC 1918) alcune network riservati per uso privato,
cio utilizzabili da chiunque allinterno della propria rete, con la limitazione di non poter essere in
alcun modo annunciate su INTERNET. Tali reti sono:

CLASSE A: da 10.0.0.0 a 10.255.255.255

CLASSE B: da 172.16.0.0 a 172.31.255.255

CLASSE C: da 192.168.0.0 a 192.168.255.255

Esiste un'altra network che non pu essere assegnata in quanto riservata (di solito come loopback
interna di un host) ed la 127.0.0.0. Gli altri IP sono detti pubblici, in quanto utilizzabili su Internet
e sono assegnati/gestiti da organizzazioni internazioni (come ad esempio lo IANA o RIPE).
La figura seguente mostra l'header di un pacchetto IP (24 bytes senza la parte data). Ai fini
dell'esame CCNA si notino i campi source e destination address; in questi campi vengono inseriti
gli indirizzi dell'host che genera il pacchetto (source) e di quello che lo dovr ricevere (destination).

Fig. 6.2 Intestazione pacchetto IP

Altri Protocolli Utili

Allo stesso livello del protocollo IP esistono ed operano altri protocolli che non hanno altra funzione
se non quella di essere al servizio del protocollo IP. I principali sono:

ICMP
E un protocollo di management, trasportato in datagram IP, che fornisce informazioni sullo stato
della rete. Il ping utilizza icmp request e reply per verificare la connettivit fisica e logica della rete.

TRACEROUTE
Utilizza ICMP per scoprire il percorso di un datagram allinterno della rete.

HOPS (TTL time to live)

Ad ogni datagram IP vengono attribuiti un certo numero di hops (router attraverso i quali il
datagram pu passare). Se questo numero viene superato lultimo router droppa il datagram ed
invia un messaggio (ttl expires during passage) allhost sender. Di default = 255.

ARP
Dato un indirizzo ip , trova il corrispondente indirizzo fisico. Questo processo abbastanza
importante (essendo alla base dell'interlavoro tra livello 3 e livello 2) ed il suo funzionamento pu
essere facilmente compreso con un esempio (vedi figura seguente). In questo esempio PC A deve
inviare un pacchetto IP a PC B ed un altro a PC C; per prima cosa PC A controlla il "destination Ip

Address" dei pacchetti per verificare se compreso nella stessa network IP del proprio
(praticamente confronta il destination ip address con il proprio ip address) e:
se appartiene alla stessa network passa il pacchetto al livello 2, in questo caso Ethernet,
che si occuper di costruire una frame diretta direttamente all'host (in quanto appartiene
alla stesso dominio di broadcast). Nel nostro esempio il pacchetto originato da PC A e
diretto a PC B avr destination mac-address il mac-address di PC B (il source mac-address
sar quello di PC A per tutte le frame generate da PC A).
se non appartiene alla stessa network passa il pacchetto al livello 2, in questo caso
Ethernet, che si occuper di costruire una frame. A differenza di prima questa frame avr
come destination mac-address il mac-address del Default-Gateway (RTA nel nostro
esempio) che si occuper di ruotare il pacchetto ip contenuto nella frame verso la corretta
destinazione.

Fig. 6.3 Funzionamento protocollo ARP

Come fa PC A a scoprire i mac-address di PC B (in generale dei PC appartenenti alla stessa

network IP) e del default gateway? Proprio grazie all'ARP. In pratica PC A invia una frame
(chiamata ARP Request) a broadcast (che verr ricevuta da tutti gli hosts del segmento chiedendo:
chi ha il seguente indirizzo IP comunichi il proprio mac-address. Tutti gli hosts appartenenti al
dominio di broadcast ricevono questa frame, ma solo l'apparato con quello specifico IP (host o
default gateway che sia) risponde con una ARP Reply che contiene il proprio mac-address.

RARP
Dato un indirizzo fisico, trova il corrispondente indirizzo logico. Se una macchina non ha ip
address, pu inviare un broadcast contenente il proprio mac address (sicuramente noto dato che
scritto nella scheda di rete) . Tale broadcast viene ricevuto e processato da un rarp server che
fornir lindirizzo IP alla macchina. Tale protocollo ormai obsoleto ed stato sostituito da DHCP.

Proxy ARP
Se un host non ha un default-gateway configurato, girer le proprie richieste (anche per host non
appartenenti alla stessa rete) in broadcast sulla rete, chiedendo il mac assegnato allip che sta
cercando. Se sulla rete c un router configurato come proxy arp, questo risponder allhost con il
proprio mac-addess. Lhost comincer ad inviare le proprie frames al router che si occuper di
routarle verso la rete corretta. Attualmente non usato in quanto la possibilit di avere un doppio
Default-Gateway stata superata da HSRP, VRRP e GLBP.

Subnetting, VLSM, CIDR E Summarization

Sono dei meccanismi che permettono di ridurre lo spreco di indirizzi IP dovuti al fatto di avere
network con dimensione minima si 256 indirizzi IP. Introducono il concetto di SUBNET MASK.

La SUBNET MASK un numero di 32 bit espressi in 4 byte divisi da un . che viene associato ad
un indirizzo IP per indicare il numero di bit assegnati alla parte network e di quelli assegnati alla
parte hosts. I bit assegnati alla parte network sono settati a 1, quelli assegnati alla parte host sono
settati a 0.

CIDR
E un altro modo per esprimere la subnet mask; /NumeroBitNetwork. Ad esempio indirizzi di classe
A, B e C hanno le seguenti subnet mask di default:

/8 = 11111111.00000000.00000000.00000000 = 255.0.0.0 = 16777216 host

/16 = 11111111.11111111.00000000.00000000 = 255.255.0.0 = 65536 host
/24 = 11111111.11111111.11111111.00000000 = 255.255.255.0 = 256 host

Subnetting
E latto di dividere una network IP in Y subnet di dimensioni uguali. Per fare questo si sposta il
confine della parte network dalla parte host di X posizioni verso destra. Il numero di subnet
ottenute sar uguale: Y=2^X Ogni subnet avr un Network Identifier, un broadcast address ed un
numero di host validi per essere assegnati agli hosts. Questi valori si calcolano nello stesso modo
visto precedentemente per indirizzi appartenenti alle classi A, B e C.

VLSM
E latto di dividere una network IP in tante subnet di dimensioni diverse. Per fare questo occorre
subnettare la network in Y network che soddisfino i requisiti in termini di numero di indirizzi validi
della network maggiore. Successivamente si prende una subnet e si subnetta ancora per
soddisfare i requisiti delle subnet minori.

Summarization
E latto di esprimere con un solo NETWORK IDENTIFIER + SUBNET MASK pi subnet.
Praticamente linverso del subnetting e si realizza spostando verso sinistra il confine tra la parte
network e la parte host dellindirizzo di X posizioni. Il numero di subnet summarizzabili Y=2^X.
Per effettuare la summarizzazione occorre tener presente che tutte le subnet contenute
nellindirizzo summarizzato devono far parte delle subnet da summarizzare.

Il protocollo Ethernet
Ethernet un protocollo di livello Network Access del modello TCP/IP (o dei livello Data Lynk e Physical del
modello OSI) si occupa pertanto di trasformare i pacchetti ricevuti dal livello superiore (esempio IP) in frames
e della consegna ordinata delle frames al corretto hosts sul segmento; per fare questo gestisce
indirizzamento di livello 2 (detto MAC-ADDRESS). Il protocollo Ethernet di fatto diventato lo standard
mondiale in ambito LAN, proprio come IP diventato lo standard modiale a livello Internet. I dati a questo
livello si chiamano frames e bits (le frames sono proprie del livello 2, i bits sono l'ultimo stadio dei dati prima
di essere tradotti in implulsi elettrici ed essere trasmessi sul medium fisico). Ora analizzeremo nel dettaglio il
protocollo Ethernet, che di fatto lo standard mondiale in ambito LAN, proprio come IP diventato lo
standard modiale a livello Internet. Il protocollo Ethernet presenta 2 sottolivelli (LLC e MAC) che si occupano
di:

LLC (logical link control): responsabile dellidentificazione del protocollo di livello network che ha
generato la frame e della sua encapsulazione.

MAC (media access control): definisce come i pacchetti vengono consegnati sul supporto fisico. A
questo sottolivello vengono definiti indirizzamento fisico e la topologia logica della rete. E
responsabile: per la consegna ordinata delle frame, per lerror notification (no correction) e per il
controllo di flusso (opzionale).

Prima di addentrarci nel dettaglio dellEthernet Networking facciamo un breve panaramica sugli apparati che
si possono incontrare in una LAN e sulle loro caratteristiche:

HUB: replica i segnali elettrici in ingresso ad una porta su tutte le altre. Fornisce un solo dominio di
collision ed un solo dominio di broadcast.

BRIDGES/SWITCH: eseguono switching, cio forwardano le frame sulle solo porte necesssarie (il
dettaglio di questo processo verr descritto nella sezione "Lo switching di livello 2".

ROUTERS: interrompono i domini di broadcast e di collisions (ogni interfaccia un diverso dominio

di broadcast e di collisions), effettuano routing (routing IP), la traduzione (NAT) e filtering dei
pacchetti (tramite le ACL) e forniscono connessioni WAN (vedi capitolo 6: I Routers).

Descriveremo ora 2 concetti molti importanti in ambito switching che dovrebbero risultare pi chiari al
termine di questa sezione.

DOMINIO DI COLLISION: tutti gli hosts che condividono un segmento Ethernet appartengono allo
stesso dominio di collision.

DOMINIO DI BROADCAST: tutti gli hosts che condividono una network IP appartengono allo stesso
dominio di broadcast.

Gli hosts appartenenti ad un dominio di collision condividono la banda resa disponibile dal mezzo fisico. Da
ci consegue che nessun host potr trasmettere contemporaneamente ad un altro host. Se questo accade si
verifica una collision, la frame oggetto della collision andr persa e dovr essere ritrasmessa. Per evitare
linsorgere di collisions Ethernet implementa il CSMA/CD.

Fig. 7.1 Ethernet 10Base2

CSM A/CD: Le implementazioni ethernet utilizzano CSMA/CD (carrier sense multiple access with collision
detection), un protocollo che aiuta i device a condividere la stessa banda evitando le collisions.In pratica
ogni device, prima di trasmettere, testa il media per verificare se c gi un segnale in trasmissione. Se il
media occupato, aspetta. Se il media libero trasmette il proprio pacchetto.Lhost sendermonitora il
media costantemente durante il viaggio del pacchetto, se rileva una seconda trasmissione da parte di un
altro host invia sul media un pacchetto speciale, detto JAM packet. Gli hosts che lo riceveranno
interromperanno ogni trasmissione di pacchetti per un tempo variabile. Tale tempo (detto back off)
calcolato da un algoritmo. In una rete con molte collisions si riscontrer: ritardi di trasmissione, bassa
velocit, congestione. Lutilizzo del CSMA/CD riduce sensibilmente la velocit di trasmissione rispetto alla
banda dei link ethernet (10M). Per ovviare a questo si possono usare connessioni di tipo full-duplex.

HALF DUPLEX: utilizza 1 coppia, fornisce velocit pi basse di FD (circa il 30/40 % della banda
disponibile). Le connessioni HD vengono utilizzate quando ad uno dei due capi della connessione
installato un HUB, quindi quando il mezzo fisico condiviso tra pi hosts.

FULL DUPLEX: utilizza 2 coppie, fornisce velocit pi elevate di HD (circa il 200% della banda
disponibile ci possibile in quanto viene utilizzata una coppia per TX e una per RX. Questo
anche il motivo perch in FD non si verificano Collisions. Le connessioni FD possono essere usate
sempre, a patto che per ogni porta switch veda un solo host.

INDIRIZZAM ENTO M AC: Ethernet lavora a livello Network Access del modello Dod (o a livello
DataLynk/Physical del modello OSI), quindi responsabile della frammentazione dei datagram IP in frames
e della consegna delle frames verso il livello fisico (verso lhosts receiver). Per fare questo deve gestire
lindirizzamento di livello 2 (MAD ADDRESS).Ogni scheda di rete (NIC Network card interface) ha
stampato sopra il proprio MAC (media access control) address. Questo indirizzo viene rappresentato da 48
bit (6 byte) rappresentati in HEX.

I primi 24 bit (3 Byte) identificano il vendor (tutte le NIC prodotte da un tale vendor hanno lo stesso
OUI).

Gli ultimi 24 bit (Vendor assigned): il seriale della scheda (ogni vendor comincia da 00000000
00000000 00000000 ed arriva a 11111111 11111111 11111111).

FRAM ES: Il livello 2 spezza i messaggi di livello 3 in tante parti, dette data frame. Ad ogni data frame viene
aggiunto un header contenente: indirizzo sorgente e indirizzo destinatario. Questo vero per tutti i protocolli

di livello 2 (naturalmente lheader sar diverso da protocollo a protocollo, ma conterr queste informazioni).
Come detto il livello data link del modello OSI (o il livello Network Access del livello DoD) si occupa di
encapsulare i pacchetti ricevuti dal livello 3 in frames e le frames in bit per trasmetterle sul medium fisico. La
figura seguente mostra i campi di una frame ethernet, di seguito sono descritti i vari campi.

Fig 7.2 Pacchetto Ethernet

PREAMBLE: INDICA IL PRINCIPIO DELLA FRAME (8 byte)

DA: Destination mac-address (6 byte)

SA: Source mac-address (6 byte)

DATA: I dati di livello 3 . La lunghezza pu variare da 64 a 1500 byte.

TYPE (per ETHII)/ LENGHT (per 802.3): il valore di questo campo indica il tipo di protocollo layer 3
contenuto nel campo data.

FCS: un campo utilizzato per il controllo di ridondanza ciclico (CRC). (da ricordare che a livello
datalynk viene effettuato solo error detention e non error correction).

HUB : lavorano a livello fisico, replicano semplicemente i segnali elettrici in ingresso ad una porta su tutte le
altre porte.
BRIDGES/SWITCHES: lavorano a questo livello e costruiscono la macaddress-table ( o filter table) in cui
conservano la corrispondenza tra mac-address sorgente e interfaccia di entrata. In questo modo lo switch
impara dietro quale interfaccia conosce ogni device di livello2 e potr effettuare forward intelligente delle
frames (il dettaglio di questo processo descritto nella sezione "Lo switching di livello 2".
Una infrastruttura switch su una hub presenta 2 vantaggi:

Ogni interfaccia un dominio di collision.

Ogni device connessa ad una porta switch pu trasmettere contemporaneamente alle altre (con gli
hub si avrebbero collision).

C anche uno svantaggio rappresentato dal fatto che in uno stesso dominio di broadcast non possono
essere installati troppi device . Per dividere domini di broadcast necessario un router che, in ambito
ethernet, ha proprio questa funzione. Il router si occupa anche di ruotare i pacchetti tra pi domini di
broadcast ad esso connessi. Lo standard 802.3 (10M) definisce 3 tipi di Lan (chiamate 10Base2, 10Base5,
10BaseT). Le prime 2 utilizzavano dei cavi coassiali di diverso diametro e transceiver per interconnettere gli

hosts, e sono oggi in disuso essendo state soppiantate completamente da implementazioni 10BaseT. Di
seguito una breve descrizione di queste tre tipologie di Lan.
10Base2:Utilizzano segmenti di cavi RJ58 (coassiale thinnet) e connettori BNC (a T) per interconnere i
transceiver dei vari hosts. La lunghezza massima di un segmento 185 mt ed il numero massimo di hosts in
un segmento 30. La figura seguente mostra una tipica implementazione 10Base2.

Fig. 7.3 Ethernet 10 Base 2

10Base5:Utilizzano segmenti di cavi RG 58 (coassiale thicknet) e vampire taps per interconnere i

transceiver dei vari hosts. La lunghezza massima di un segmento 500 mt ed il numero massimo di hosts in
un segmento 100. La figura seguente mostra una tipica implementazione 10Base5.

Fig. 7.4 Ethernet 10 Base 5

10BaseT:Utilizzano cavi rame formati da 4 coppie (UTP Cat.5 e superiori) e connettori RJ45 per
interconnere le NIC's (network card interface) dei vari hosts ad un hub. La lunghezza massima di un
segmento 100 mt. La figura seguente mostra una tipica implementazione 10BaseT.

Fig. 7.5 Ethernet 10 Base T

SPEED E CAVI: Ethernet ha sviluppato 3 tipi di standard che differiscono per le velocit che forniscono:
802.3 (10M), 802.u (100M) e 802.ab (1G). La tabella seguente riporta le lunghezze raggiungibili da ogni
tratta nelle varie tipologie di link:

Fig. 7.6 Standard IEEE, velocit e distanze

Le fibre ottiche permettono di eliminare i problemi dovuti a campi elettromagnetici (EMI), che affliggono i
collegamenti in rame (UTP o Coassiale).
TIPOLOGIE DI CAVI: Esistono 3 tipologie di cavi in implementazioni Ethernet:

Straight-Through Cable (cavo dritto): utilizzato per connettere un host ad uno switch o uno switch ad
un router.

Crossover Cable (cavo cross): utilizzato per connettere un router ad un router, uno switch ad uno
switch, un host ad un host o un host ad un router .

Rollover Cable (cavo console Cisco): utilizzato per connettere un host ad una porta console (ad
esempio agli apparati cisco).

Da notare che le NIC's trasmettono sulla coppia connessa ai piedini 1,2 e ricevono sulla coppia connessa ai
piedini 3,4. Le porte degli apparati di rete (hub, switches) invece trasmettono sulla coppia connessa ai
piedini 3,4 e ricevono sulla coppia connessa ai piedini 1,2. Questo significa che potremo utilizzare un cavo
"dritto" per connettere un host ad un hub/switch. Se invece colleghiamo 2 hosts tra di loro dovremmo
utilizzare un cavo cross (o cavo incrociato) per mettere in comunicazione la TX di una NIC (piedini 1,2) con
la RX della NIC remota (piedini 3,4).

Descrizione approfondita del viaggio di un pacchetto nella rete

La figura seguente mostra 2 computers (PCA e PCB) connessi ad una semplice rete costituita da 2 switches
e 2 routers. Il dettaglio di funzionamento di questi apparati verr descritto dettagliatamente nel capitolo4 per
ora basti sapere che gli switches servono per fornire accesso alla rete ai computers degli utenti
(praticamente realizzano un dominio di broadcast - vedi sezione Ethernet) mentre i routers servono
principalmente per interconnettere reti diverse e ad offrire la funzionalit di default-gateway (il gateway
utilizzato da un host per raggiungere indirizzi esterni alla propria network ip di appartenenza.

Fig. 8.1 Comunicazione di rete

Questa sezione non entra nel dettaglio di come fanno gli switches ed i routers a forwardare i dati ma
descrive essenzialmente le trasformazioni subite dai dati durante il percorso.
1) L'utente A apre il suo programma web browser. Nessuna interazione avviene con la rete.
2) L'utente A apre un file html residente sul proprio PC. Nessuna interazione avviene con la rete.
3) L'utente A apre un file html residente su PCB. L'applicazione interagisce con la rete. L'applicazione web
browser interagisce con lo stack TCP/IP (in particolare con il livello process application). Questo livello riceve
i dati dall'applicazione, li traduce in un flusso di dati costante e formattato e lo consegna al livello 4. Le
informazioni che saranno passati al livello 4 sono: IP DESTINATION=indirizzo ip PCB (cio chi deve ricevere
i dati); port destination=tcp/80 (il tipo di protocollo di livello 4 -tcp o udp e la porta sono decise dagli
sviluppatori SW anche se, come vedremo, molte applicazioni utilizzano protocolli e porte fisse).
4) Il flusso dati ottenuto al punto precedente viene passato al livello 4 (host-to-host) che si occupa di
frammentarli in segmenti di dimensioni identiche e di instaurare un canale di comunicazione con PCB. Ogni
segmento riporter le seguenti info: porta source (randomica) ; porta destination (tcp 80).

5) I segmenti ottenuti al punto precedente vengono passati al livello 3 (internet). I segmenti vengono
ensapsulati in pacchetti IP che avranno come sorgente l'indirizzo di PCA e come destination l'indirizzo di
PCB.
6) A questo punto il pacchetto di livello 3 viene passato al livello 2. Dato che l'ip destination non appartiene
alla stessa network ip dell'ip source, la frames avr i seguenti dati: source macaddress=PCA, destination
mac-address=RTA; se l'ip address destination fosse appartenuto alla stessa network IP di PCA la frame
avrebbe avuto come macaddress destination il macaddress di PCB (che sarebbe stato scoperto tramite
protocollo ARP, come discusso nella sezione Ethernet).
7) Le frames generate da PCA e dirette a RTA (in qualit di default-gateway) vengono ricevute da SWA che
le proxer a RTA (in base al funzionamento degli switches layer 2 che analizzeremo in seguito).
8) Quando RTA riceve le frames da SWA estrae il pacchetto IP, rileva che diretto a PCB ed individua
l'interfaccia di uscita (in base al funzionamento del routing ip che vedremo in seguito).RTA creer una nuova
frames avr come sorgente il mac-address di RTA e come destination il mac-address di RTB.
9) Quando RTB riceve le frames da RTA estrae il pacchetto IP, rileva che diretto a PCB e lo encapsula in
una nuova frame che avr come sorgente il mac-address di RTB e come destination il mac-address di PCB.
10) Quando SWB riceve la frame da RTB la proxa verso PCB (in base al funzionamento degli switches layer
2 che analizzeremo in seguito).
11) Quando PCB riceve la frame estrae il pacchetto Ip contenuto, rileva che effettivamente diretto a lui,
estrae i dati e li passa al livello 4 che estrae i dati contenuto e li passa all'applicazione corretta (nel nostro
caso web browser).
In merito a questo processo necessario notare quanto segue:

Gli indirizzi ip (source e destination) non cambiano mai durante il viaggio nella rete, in quanto sono
indirizzi logici che hanno senso in tutta la rete.

Gli indirizzi di livello 2 (source e destination) cambiano su ogni link, in quanto sono indirizzi fisici che
hanno senso solo sul link locale.

Descrizione generale apparati Cisco

Molte componenti dei routers e degli switches Cisco sono simili, per questo nel proseguo della discussione
si far genericamente riferimento ad entrambe le famiglie con il termine "apparati". I componenti principali di
un apparato sono 5:
ROM (read only memory): in questa memoria sono salvati i POTS (power on test self, cio i test effettuati da
un apparato in fase di boot) ed una mini-ios che viene eseguita quando si accede all'apparato in modalit
ROM MON (vedi oltre per il dettaglio).
NVRAM: in questa memoria salvata la start-up configuration (che viene caricata allo start-up) ed il valore
del config-register (che indica all'apparato il tipo di avvio da eseguire, vedi oltre per il dettaglio).
FLASH: contiene la IOS (il sistema operativo del router).
RAM: contiene la running configuration, le tabelle di routing/mac address ect.
INTERFACES: le porte degli apparati, a cui collegare i link.
CONFIG-REGISTER: come detto salvato nella NVRAM, un valore esadecimale che (in fase di avvio)
indica al router/switch le operazioni da eseguire. Pu assumere principalmente 2 valori:

0X2102 : il default, esegue la normale routine di avvio.

0x2142 indica al router di non caricare la configurazione salvata in NVRAM (per il recovery
password).

ROUTINE DI AVVIO: allaccensione lapparato :

Esegue i POTS

CARICA LA IOS

CARICA LA CONFIGURAZIONE DALLA NVRAM ALLA RAM (se non la trova entra in setup mode).

SETUP-MODE: eseguito alla prima accensione, se viene cancellata la NVRAM e reloadato il router o se
viene digitato il comando setup dalla CLI del router. Permette una configurazione guidata dei parametri
base del router. Per uscire dal setup mode = ctrl + c
ACCEDERE AL ROUTER/SWITCH CISCO: si pu accedere in vari modi sia in banda (dalla rete) che
out of band (direttamente connettendosi allapparato).

IN BAND: effettuando telnet ad un indirizzo IP del router. In questo caso verr chiesta la password di
telnet (vty password) per accedere alluser mode.

OUT OF BAND: tramite cavo rolled connesso alla porta console o alla porta AUX del router ed
utilizzando un software tipo Hyper terminal. La connessione andr settata con i seguenti parametri:
Bit per secondo: 9600 / Bit di dati: 8 / Parit: nessuno / Bit di stop: 1 / Controllo del flusso: Hardware

Pu essere necessario inserire la password di console (se configurata). Alla porta AUX pu anche essere
collegato un modem per raggiungere il router in dial-up. Se si accede tramite la porta AUX verr chiesta la
AUX password.

MODALIT A LAVORO ROUTER/SWITCH: sono disponibili 3 modalit di lavoro. Una volta avuto
accesso allapparato ci troveremo in:

USER MODE: il prompt >. Da questa modalit sono disponibili alcuni comandi.

PRIVILEGE MODE: il prompt # . Da questa modalit sono disponibili tutti i comandi. Per passare a
questa modalit si usa il comando enable, pu essere necessario inserire una password (se stata
configurata). La password richiesta la enable password. Se stata definita anche la enable secret
(stessa funzione della enable password, ma questa criptata) verr chiesta questa.

CONFIGURATION MODE: da questa modalit possibile inserire i comandi di configurazione. Non

prevista password. Il comando per accedere a questa modalit configuration terminal (conf t).

CONFIGURAZIONI PASSWORD:

line console 0 + password : password di console, chiesta se si accede out-of-band dalla porta
console.

Line aux 0 + password : passwordi di aux, chiesta se si accede out-of-band dalla porta aux.

Line vty 0 4 + password : password vty, chiesta se si accede in-band dalla rete.

Enable : ena password: chiesta per passare da user mode a privilege mode.

Enable secret: ena secret: come la ena password ma criptata di default. Se presente viene chiesta al
posto della enable password.

Sui nuovi Routers ISR viene chiesto di default username e password (cisco, cisco). Tale account
valido solo per il primo accesso, va cambiato altrimenti una volta usciti dalla CLI non sar pi
possibile accerevi.

SALVAT AGGIO/RESTORE CONFIGURAZIONE:

copy running startup: salva la conf nella NVRAM

copy startup running: copia la conf dalla NVRAM alla RAM

erase startup-config : elimina la conf salvata nella NVRAM.

Il comando copy molte opzioni per salvare in rete, sulla flash, sullusb ect.
UPGRADE/DOWNGRADE IOS: (vedi la sezione Upgrade IOS per il dettaglio di questa procedura).

copy tftp flash: copia la ios da un server tftp alla flash del router.

Copy flash tftp: copia la ios dalla flash ad un server tftp

Show flash : mostra i file presenti sulla flash, la loro taglia e lo spazio disponibile.

CISCO DISCOVER PROTOCO LS (CDP): il cdp v abilitato in configurazione generale (cdp run) e
sotto le interfacce (cdp enable). Ci sono 2 comandi:

show cdp : fornisce info in merito ai timers del CDP (modificabili con cdp holdtime e cdp timer)

show cdp neighbors details: fornisce info in merito ai router adiacenti (il loro ip, il loro modello, le
interfacce locali e remote delle connessioni tra di loro).

TELNET: il telnet utilizzato per entrare su apparati remoti. Si pu fare telnet ad un indirizzo ip o ad un
nome. Per utilizzare un nome necessario che ci sia un DNS server sulla rete che fornisca lassociazione tra

IP e nome, o configurare staticamente tali associazioni sui routers. Il comando per fare questo ip host
INDIRIZZO IP NOME. Tali associazioni si possono verificare con show ip host . Una volta entrati in telnet su
un router, per terminare la sessione e tornare al router originario si usa exit. Se invece si vuole tornare al
router originario senza terminare la sessione si usa ctrl + shift+6 (contemporaneamente), si rilasciano, poi X.

Evoluzione delle reti LAN

Come accennato nella pagina inizialmente ogni costruttore implementava la comunicazione tra hosts con
media, apparati e protocolli proprietari; in questa sezione discuteremo le Lan a valle della nascita dei modelli
standard, quindi con protocollo Ethernet.
A rigor di logica la prima necessit di connessione fu quella di collegare 2 computers; la soluzione in ambito
Ethernet rappresentata da un collegamento "Cross-over" (necessario per mettere in comunicazione la
coppia TX di una NIC con la coppia RX dell'altra e viceversa) tra le NIC dei 2 computers e dall'assegnazione
di 2 IP appartenenti alla medesima network IP alle NICs stesse (vedi sezione "Descrizione dettagliata
del viaggio di un pa cchetto" per la spiegazione step-by-step di questo processo.
Risulta evidente come questa soluzione sia poco scalabile ed inapplicabile su larga scala (sarebbe
necessario connettere gli hosts in modalit full-meshed e quindi sarebbero necessari molti link diretti con i
relativi costi e problemi di cablaggio/numero di NICs necessarie), per questo il protocollo Ethernet (nella sua
fase iniziale databile a met anni '70, come definito dallo standard IEEE802.3) forn 3 tipi di soluzioni per
realizzare una LAN (cio per una rete locale di computer):

Standard IEEE802.3 - 10Base2

Standard IEEE802.3 - 10Base5

Standard IEEE802.3 - 10BaseT

Si veda la sezione "Ethernet" per il dettaglio di questi tipi di rete. In ambito IEEE10BaseT (e successive
evoluzioni) la soluzione per realizzare piccole lan rappresentata dagli hub (o repeater); questi apparati
funzionano a livello 1 ed essenzialmente ribaltano su tutte le proprie porte i bit ricevuti, sotto forma di impulsi
elettrici, da una porta. Le problematiche degli hub sono essenzialmente 2:

Tutti gli hosts attestati ad un hub appartengono allo stesso dominio di collisions, quindi gli hosts
possono trasmettere uno alla volta (con evidenti ripercussioni sulla velocit)e sul numero di hosts
installabili nel segmento di rete.

Insieme ai segnali elettrici vengono ritrasmessi anche gli errori (cio le frames errorate).

A livello di cavo, come abbiamo visto nella sezione Ethernet, vengono utilizzati cavi UTP (rame) composti da
un cavo 4 coppie (8 fili) crimpato suRJ45). Tali cavi possono essere: dritti, cross, roll-over.
Le reti realizzate esclusivamente tramite hub prendono anche il nome di "shared media network" in quanto
gli hosts attestati al segmento effettivamente ne condividono la banda (potendo trasmettere uno alla volta e
non potendo ricevere e trasmettere contemporaneamente). Per connettere diverse "shared media network"
venivano utilizzati i routers; in pratica veniva assegnata una network IP all'ufficio A dove installato l'hub A
ed una seconda network IP all'ufficio B dove installato l'hub B (i PC dell'ufficio A saranno connessi all'hub
A ed i PC dell'ufficio B saranno connessi all'hub B); entrambi gli hun venivano collegati ad una interfaccia
Ethernet del router che funger da default-gateway sia per i PC dell'ufficio A che per i PC dell'ufficio B
(ovviamente l'indirizzo dell'interfaccia connessa ad HubA apparterr alla network dell'UfficioA e l'indirizzo
dell'interfaccia connessa ad HubB apparterr alla network dell'UfficioB).

Fig 9.1 Routing IP

Come noto il router segmenta i domini di broadcast, quindi ogni interfaccia (A e B) saranno domini di
broadcast separati (anche a livello IP appartengono a network distinte). Il router avr nella sua tabella di
routing 2 entries: Network A direttamente connessa all'interfacciaA e NetworkB direttamente connessa
all'interfacciaB. Quando un PC dell'ufficioA dovr comunicare con un PC dell'ufficioB invier le frames di
livello 2 al proprio DG (interfaccia A del router), che provveder a ruotarle a livello 3 (IP) verso la
destinazione (interfaccia B del router). Questo tipo di reti poco scalabile in quanto un hub tipicamente ha 4
(al massimo 6 o 8) porte, ne consegue che un ufficio abbastanza grande richiederebbe molti domini di
broadcast e quindi connessioni lato router (con i relativi costi per l'hardware) per mantenere una velocit di
trasmissione accettabile.
Ben presto le esigenze dell'informatica resero le shared media network fortemente limitative, sia in termini di
prestazioni (velocit) che di scalabilit (numero di hosts installabili per segmento). Le soluzioni trovate
dall'industria furono essenzialmente di 2 tipi:

Fu progettata ed implementata una evoluzione di Ethernet che permette velocit fino a 100Mbit/sec
(10 volte Ethernet). Il protocollo in questione si chiama IEEE802.u FastEthernet ed implementato
tramite 2 standard 100BaseT (cavi UTP rame, come Ethernet) e 100BaseFX (fibra ottica, tratte fino
a 400mt).

Furono introdotti i bridges che sono apparati multiporte (4, max 8) atti a segmentare i domini di
collision sulle proprie interfacce. In pratica permettevamo di collegare un hub ad ognuna delle
proprie porte aumentando il numero di host installabili nella lan (che continueranno ad appartenere
allo stesso dominio di broadcast ma non allo stesso dominio di collision; questo permette di
installare pi hosts nel dominio di broadcast mantenendo accettabile la taglia dei domini di collisions
(salvaguardando quindi la velocit di trasmissione). Per connettere i diversi domini di broadcast si
continua ad utilizzare il router nella modalit vista sopra (una interfaccia per ogni dominio di
broadcast).

Anche questa soluzione si rilev presto insufficente a far fronte alle crescenti necessit in ambito networking
richieste dal galoppante dilagare dell'informatica. In particolare i limiti erano:

Si potevano realizzare domini di broadcast tuttosommato piccoli (al massimo una 30ina di hosts).
Questo limite rendeva inutili le potenzialit di IP che prevedono network anche di 65000 hosts),
insufficenti alle necessit dell'industria.

Le velocit di trasmissione rimanevano basse (10M teorici, spesso inferiori) e gli hosts continuavano
a trasmettere in modalit half-duplex.

La soluzione fu rappresentata dalla nascita delle reti switched (cio realizzate tramite switches di
livello 2). Come accennato nella sezione "Ethernet" gli switches hanno ereditato completamente le
funzionalit dei bridges apportando alcune migliorie sostanziali:
o

Gli switches eseguono lo switching (questo processo comune ai bridges ed agli switches
descritto nel dettaglio nel prossimo paragrafo "Lo switching di livello 2") in sowftware (tramite
processori dedicati chiamati ASICs) mentre i bridges lo eseguono in hardware (risultando
pi lenti).
Gli switches hanno una densit maggiore di porte ed un costo per porta minore rispetto ai
bridges. Questo ha permesso di eliminare gli hub e collegare direttamente gli hosts agli
switches Layer 2. In questa modalit ogni hosts rappresenta un singolo dominio di collisions
con la propria porta switch; questo permette alla porta di lavorare in modalit full-duplex cio
pu trasmettere e ricevere contemporaneamente.

Di default tutte le porte di uno switch appartengono ad uno stesso dominio di broadcast (di
default la Vlan1), come quelle del bridge. Lo switch permette per di configurare molti
domini di broadcast ed assegnare ogni porta ad un dominio specifico (Vlan).

Gli switches permettono di avere porte con speed diversa (alcune Ethernet, altre
FastEthernet, altre GigabitEthernet) mentre i bridges no.

Gli switches permettono la configurazione di Etherchannel (vedi sezione Etherchannel

per i dettagli) mentre i bridges no.

Gli switches permettono (tramite i trunk che descriveremo nella sezione Vlan) una diversa
modalit di intervlan routing (vedi sezione Intervlan Routing) chiamata router on a stick
che permette di utilizzare solo una interfaccia lato router per connettere diversi domini di
broadcast.

Grazie alle reti switched divenne possibile realizzare grandi di grandi dimensioni (centinaia di hosts)
utilizzando stack (cio file) di apparati layer 2 che condividono alcune Vlan. Fu anche possibile
permettere agli utenti di muoversi dentro la rete portandosi appresso il proprio IP (con relative
abilitazioni) anche a fronte di uno spostamento fisico all'interno di una rete. Nelle reti realizzate con
hub e bridges se un utente si spostava di piano o stanza doveva cambiare IP (con uno della network
assegnata alla stanza dove si trasferiva).
Tuttavia oltre certi limiti le implementazioni layer 2 (con connessioni trunk tra vari switches layer 2)
divenne poco efficente in quanto diventava complesso mantenere una logica lineare per i flussi di
traffico (cio capire dove stava passando esattamente una frame in un dato momento) e gestire le
istanze STP (vedi sezione La ridondanza Layer 2 ed STP). La soluzione fu quella di
organizzare le reti in maniera gerarchica, su 3 livelli:

Access: questo livello raccoglie le utenze (hosts); gli apparati di questo livello devono avere
essenzialmente un alto numero di porte per accogliere gli hosts e alcune porte ad alta velocit
per trasportare il traffico aggregato di tutte le porte utente verso il livello Distribution.

Distribution: Tipicamente a questo livello terminano le vlan (a questo livello si configurano le

Vlan a livello 3, il routing e la sicurezza tramite ACL).

Core: questo livello interconnette gli apparati del livello distribution con gli eventuali gateway (ad
esempio il router che interconnette alla Intranet, il router che connette ad internet ect) e si
occupa essenzialmente di trasferire i dati ad alta velocit da una parte all'altra della switched
network.

Fig. 9.2 Corporate Switching

Da notare che a volte (se reti medio grandi) il livello Core assente, e le sue funzioni vengono
ereditate dal livello Distribution. In questo caso si parla di Collapsed Core (intendendo che il livello
Core assente in quanto collassato nel livello Distribution; si parla invece di dual core quando il
livello Core duplicato (ai fini della ridondanza).
Dalla descrizione precedente dovrebbe essere risultato chiara la nascita di un nuovo apparato di lan
(installato nei livelli distribution e core): lo switch layer 3. Questi apparati (non oggetto dell'esame
CCNA) introducono funzionalit Layer 3 (interfacce layer 3, protocolli di routing, ACL ect) negli
switches ed introducono nuove modalit di switching (il CEF molto pi veloce del transparent
bridging utilizzato dagli switches layer 2).
Questo tipo di implementazioni hanno reso necessario delle interfacce a velocit maggiore per
aggregare i link dei livelli inferiori; la riposta fu GigabitEthernet (IEEE802.ab) che offre appunto
connessioni full-duplex fino a 1Gbit/sec.
Le Lan hanno alcune estensioni che permettono l'utilizzo del WI-FI (connessioni senza fili) e VOIP,
che comunque sono accennate (a livello sufficente per l'esame CCNA) nelle sezioni relative.
Credo sia utile riproporre qui la tabella comparativa delle implementazioni Ethernet, gi vista nella
sezione "Ethernet".

Fig. 9.3 Standard Ethernet

Lo Switching di livello 2
Il lan switching sta al protocollo Ethernet come il routing ip sta al protocollo IP, in pratica si occupa di
movimentare le frames allinterno di un segmento Ethernet. Prima di addentrarci nei dettagli del Lan
switching bene ricordare le differenze tra Bridges e Switches, che per quanto detto sopra possono
sembrare molto simili:

I Bridges eseguono in software le operazioni di switching. Gli switch le eseguono in hardware

utilizzano processori appositi (ASIC: Application Specific Integrated Circuits )

Uno switch pu essere visto come un bridge multiport.

Un bridge pu eseguire una sola istanza Spanning tree, mentre gli switch possono eseguirne molte.

Uno switch ha molte pi porte di un bridge.

Sia gli switches che i bridges imparano i MAC ADDRESS esaminando il campo indirizzo sorgente
delle frames che ricevono.

LE

Sia gli switches che i bridges prendono le decisioni di forwarding in base agli indirizzi di livello 2.
FUNZIONI

PRINCIPALI

DEGLI

SWITCHES:

sono essenzialmente laddress learning,le

forward/filter decisions, la loop avoidance.

Address Learning: quando uno switch riceve una frame, esamina il campo MAC ADDRESS
SOURCE e crea una entry nella mac address table (anche detta forwarding/filter table). Tale entry
riporter lassociazione tra mac-address source e interfaccia da cui la frame stata ricevuta.

Forward/Filter decisions: quando uno switch riceve una frame, esamina il campo MAC ADDRESS
DESTINATION e lo cerca nella mac-address table. Se trova una interfaccia di uscita per quel macaddess forwarda la frame solo a quella porta. Se non trova alcuna occorrenza, forwarder la frame a
tutte le porte eccetto quella da cui la ha ricevuta.

Loop Avoidance: se sono presenti connessioni multiple tra due switches possono crearsi loop di
livello 2. Spanning tree protocol utilizzato per fermare i loop di rete, permettendo di mantenere la
ridondanza data dai link multipli.

ADDRESS LEARNING/FORW ARD -FILTERING DECISION: Di seguito un esempio di uno switch

appena acceso, che presenta la mac-address table vuota.

Fig. 10.1 Switching L2

Poniamo il caso che HOST A invii una frames a HOST B e che i mac address dei due hosts siano i seguenti:

MAC ADDRESS HOST A: 0000.0000.0001

MAC ADDRESS HOST B: 0000.0000.0002

Di seguito la descrizione degli step che vengono eseguiti per traspostare la frame da A a B:

La Frame inviata da A sar ricevuta dalla E0/0 dello switch.

Lo switch analizzer per prima cosa il campo mac address source della frame. Dato che tale mac
address non presente nella propria mac-address table, inserir la seguente entry: E0/0 =
0000.0000.0001

Lo switch analizzer per seconda cosa il campo mac address destination della frame. Dato che tale
mac address non presente nella propria mac-address table, invier la frame a tutte le porte attive,
eccetto quella da cui la ha ricevuta (E0/0) (TALE ATTO E DETTO FLOODING).

La frame sar ricevuta da HOST B, HOST C e HOST D. HOST C e HOST D la dropperanno, in

quanto non diretta a loro. HOST B la prender in carico ed invier una frame di risposta a HOST A.
Tale frame sar ricevuta dalla E0/1 dello switch.

Lo switch analizzer per prima cosa il campo mac address source della frame. Dato che tale mac
address non presente nella propria mac-address table, inserir la seguente entry: E0/1 =
0000.0000.0002

Lo switch analizzer per seconda cosa il campo mac address destination della frame. Dato che tale
mac address presente nella propria mac-address table, invier la frame solo alla porta E0/0.
(TALE ATTO E DEFINITO FILTERING).

A questo punto ogni volta che lo switch ricever una frame da HOST A -> HOST B e viceversa non
avr bisogno di effettuare flooding, ma la invier esclusivamente alla porta dove lhost receiver
connesso.

Se un host invia un broadcast, tale frame sar inoltrata a tutte le porte tranne a quella da cui stata
ricevuta. Infatti di default lo switch fornisce un solo dominio di broadcast.

Se un host non invia/riceve frames per un certo tempo, la entry relativa a questo host viene eliminata
dalla mac-address table.

Il comando atto a verificare la mac-address-table show mac-address-table (o show mac address-table in

alcune IOS) ed descritto nella figura seguente (in pratica mostra l'associazione tra porta, vlan configurata e
mac-address dell'host connesso):

PORT SECURITY: Il comportamento sopra descritto apre un problema di sicurezza. Infatti se qualcuno
collegasse un PC o un hub nella presa LAN del proprio ufficio questo potrebbe tranquillamente funzionare
anche senza il consenso dellamministratore. Per evitare questo disponibile la feature port-security. Questa
features si abilita sotto linterfaccia con il comando: switchport port-security ARGOMENTO. Questo
comando ha 3 argomenti:

mac-address : lo specifico macaddress che pu connettersi allinterfaccia.

Sticky : indica allo switch di imparare il primo macaddress che si collega alla porta e di permettere
solo ad esso di collegarsi a quella porta.

Maximum Valore : il numero di macaddress diversi che possono connettersi allinterfaccia.

Tutti i comandi visti sopra possono essere completati da: switchport port-security violation . Questo comando
indica cosa fare quando si verifica una violazione della regola impostata prima. Ha 3 opzioni:

shutdown: shutta la porta. La porta dovr essere abilitata in configurazione (con no shut).

Protect: un host con mac diverso da quello imparato (o configurato) pu connettersi, ma le sue
frames saranno droppate.

Restrtict: invia un alert via snmp allamministratore per comunicare labuso.

Spanning Tree Protocol

Per permettere la ridondanza pu essere una buona idea connettere 2 switches con 2 link, in modo che se
uno va fuori servizio laltro pu continuare a funzionare. Questa soluzione per apre la porta a 3 problemi:
BRO ADCAST STORM: Data la topologia della figura sottostante, se PC-01 invia un broadcast lo switch A
lo forwarder su tutte le porte (Fast0/0 e Fast0/1). Lo switch B lo ricever e lo reinoltrer su tutte le proprie
porta; ne consegue che PC-02 ricever la frame (come atteso) ma 2 copie della frame sono rimandate verso
SwitchA. Cosi si crea quello che chiamato broadcast storm. Questa situazione pu saturare i link e
mandare la rete down.

MULTIPLE FRAM E CO PIES E TRASHING MAC TABLE: Condiserando l'esempio precedente, se

PC-01 (connesso a switch A) invia un unicast a PC-02 (connesso a switch B) e nella mac-address table non
noto il mac di PC-B, accade che switch A invia la frame in broadcast su tutte le porte la frame su tutte le
porte, in particolare su Fast0/0 e Fast0/1. Questo comporta 2 problemi:

PC-02 ricever 2 copie della frame (perch Switch B ricever 2 frame uguali da Switch A - una dalla
Fast0/0 ed una dalla Fast0/1. Questo problema detto Multiple Frame Copies.

Rimanendo nell'esempio precedente, quando Switch B riceve le 2 frame uguali originate da PC-01 e
dirette a PC-02 incontra un problema di congruenza. Come sappiamo lo switch dovrebbe inserire
nella propria Mac-address-table la corrispondenza tra il mac address di PC-01 e la porta da cui ha
ricevuto la frame, in questo caso non saprebbe se inserire la Fast0/0 e la Fast0/1. Tale problema
chiamato Trashing Mac Table (in alcuni casi pu causare la saturazione della mac address table, se
questo avviene lo switch non riesce ad imparare altri mac address.

La soluzione a tutti questi problemi rappresentata dallo spanning tree protocol.

SPANNING TREE PROTOCOL: Lo spanning tree il protocollo utilizzato per mantenere libera da loop
una rete switch ridondata. La prima versione standardizzata da IEEE nota con il nome di 802.1D. Esiste
anche una evoluzione di STP, chiamata 802.1W (Rapid spannin tree) che verr dettagliata di seguito.
Lo STP utilizza un algoritmo (spanning tree algorithm) per creare un topology database contenente tutti i link
della rete switch. Poi shutta i link ridondanti, permettendo il forward delle frames solo su un link.
TERMINOLOGIA SPANNING TREE: Come per i protocolli di routing di seguito sono dettagliati alcuni
termini e concetti propri del protocollo spanning tree:

BPDU (BRIDGE PROTOCOL DATA UNIT): Sono i pacchetti scambiati dai switches per eleggere il
root bridge e le designates port. Di default le bpdu sono inviate ogni 2 secondi su tutte le porte attive.
Ogni switch popola le proprie BPDU con il proprio valore Bridge ID.

BRIDGE ID: il parametro che identifica lo switch allinterno della rete. E dato da priority + mac
address. La priority di default 32768, si pu modificare con il comando spanning-tree vlan 1
priority. Cisco permette una istanza STP per ogni VLAN, uno switch pu avere BID diverso per ogni
VLAN.

ROOT BRIDGE: E lo switch con bridge priority minore. Tutte le porte del Root Bridge diventano
Disagneter Port, presentano costo = 0 e vengono poste in Forwarding state.

ROOT PORT: la porta di ogni switch che presenta il percorso con costo minore verso il root bridge.

DESIGNATED PORT: Gli switch attestati ad uno stesso segmento devono decidere quale sar la
designated port per quel segmento. Viene eletta DP la porta attestata al percorso con costo minore.
A parit di costo viene eletta DP la porta attestata allo switch con Bridge-ID minore.

COST PATH: Il costo del percorso dato dalla somma deli costi delle porte in uscita dagli switch
attraversati fino al ROOT BRIDGE.

Il costo di una porta si pu modificare con il comando (in configurazione interfaccia): spanning-tree
cost valore; di seguito sono riportati i costi di default delle interfacce.

10G = 2

1G = 4

100M= 19

10M = 100

COME LAVORA STP:

1. Allaccensione tutte le porte degli switch sono in blocking state.
2. Tutti gli switch inviano le BPDU su tutte le proprie porte, ogni 2 secondi.
3. Il protocollo STP analizza le BPDU ed elegge il ROOT BRIDGE.
4. Tutte le porte del ROOT BRIDGE vengono considerate Designated Port e vengono poste in
forwarding state.
5. Ogni switch identifica la propria ROOT PORT , la considera designated port e la pone in forwarding
state.
6. Ogni switch identifica per ogni segmento la designated port e le pone in forwarding state.
7. Ogni switch pone tutte le Non Root e non Designated Port in blocking state.
Durante la normale operativit della rete le porte sono in forwarding state o blocking state. Se un link cade,
le porte vanno in listening state (analizzano le bpdu per verificare se possono diventare designated o root
port senza creare loop). In caso positivo passano in learning state. In questo stato lo switch impara i macaddress e popola la mac-address table (la durata di ogni stato 15 secondi).
La figura seguente mostra una semplice Lan composta da 3 switches Layer 2; ogni switches presenta 2 link,
diretti ai restanti 2 switches. Per quanto detto in precedenza una rete del genere aumenta l'affidabilit della
rete (il fault di un link non causa isolamento degli hosts) ma introduce la possibilit di bridging loops (loops di
livello 2).

Switch A viene eletto come ROOT BRIDGE in quanto ha il mac-address (e quindi il bridge id) minore. Tutte
le sue porte vengono poste in forwarding state.
Switch A e Switch B eleggono la propria Root Port, che la porta direttamente connessa al Root.
Il link tra Switch B e Switch C chiude un loop, quindi STP deve bloccare una delle 2 porte per impedirlo. STP
verifica quale dei 2 percorsi ha costo minore (nel nostro caso sono uguali) e poi quale switches ha il bridge
id minore (nel nostro caso la designated port sar quella di Switch B, pertanto la porta di Switch C verr
bloccata.
VELOCIZZARE STP: Una porta impiega circa 50 secondi per passare dallo stato blocked allo stato
forwarding, questo a causa del tempo di convergenza di STP. In questo tempo nessuna frames sar
forwardata sulle porte. Questo ha senso sulle porte relative a link tra switch, ma non ha alcun senso su porte
connesse direttamente a hosts.
Per questo motivo esiste il comando spanning-tree portfast. Questo comando v applicato a tutte le porte
utente, o a quelle porte che non possono creare loop (ad esempio Etherchannel).
Una volta attivato il portfast va anche utilizzato uno dei seguenti comandi (che eseguono la stessa funzione):
bpdu guard (Questo comando evita loop nel caso si colleghi per errore uno switch o un hub ad una porta
portfast. Se abilitato pone la porta in error disabled appena vede una bpdu arrivare sulla porta.). Il
comando bpdu filter invece lascia la porta up, ma disabilita il portfast.
Un'altra funzione utile lo spanning-tree uplink fast. Se sono disponibili 2 o pi percorsi verso il root bridge,
STP ne lascia uno in forwarding state e pone gli altri in blocked state. Con questa feature STP tiene traccia
anche del percorso di backup verso il root e, se la root port va down, attiva immediatamente il secondo
percorso senza attendere lo scadere dei timers STP. Questo comando va abilitato sugli switch di accesso o
su switch che hanno pi link verso il root (e che quindi hanno almeno una porta in blocking state).

Unaltra features Cisco per STP lo spanning-tree backbone fast che serve per far ridurre il tempo di
convergenza che se cade un link nel percorso verso il root non direttamente connesso allo switch. Va
abilitato su tutti i switch della rete (non come uplink fast che va configurato solo sugli switch di accesso o
sugli switch con una porta in blocking state).Riduce di circa 20 secondi il tempo di convergenza.
Entrambe queste funzioni si abilitano in configurazione generale con i comandi: spanning-tree backbonefast,
spanning-tree uplinkfast .
RAPID SPANNING TREE: I 3 sistemi appena visti servono per ridurre i tempi di convergenza di
STP802.1D, il problema che richiedono configurazioni aggiuntive e che sono proprietari Cisco. Per questo
motivo stato sviluppato 802.1w (RAPID SPANNING TREE). RSTP standard, e pu interoperare con
802.1D. In questo caso per si perdono i vantaggi propri di RSTP. Il comando per abilitare RSTP (in
configurazione generale) : spanning-tree mode rapid-pvst.
RSTP introduce un nuovo stato detto DISCARDING. Per ogni porta root e designated viene tenuta in
memoria la rispettiva porta di backup. Se il link attestato alla porta attiva cade le porte di backup passano
immediatamente in FORWARDING.

Le Vlan, i Trunk ed il VTP.

Come detto precedentemente gli switch forniscono (di default) un solo dominio di broadcast (in ambito IOS
Cisco il termine che indica il dominio di broadcast VLAN - Virtual Lan), che di default la vlan 1. Gli
switches offrono la possibilit di configurare ulteriori Vlan e di assegnare ogni singola porta ad una specifica
Vlan. Cisco consiglia di utilizzare la VLAN 1 solo per il management degli apparati, e di utilizzare le
successive le reti di produzione (come best practice si tende a far coindidere ogni vlan con una network IP).
Si noti anche che le vlan configurate su uno switch sono completamente separate a livello 2 quindi un
broadcast generato in una VLAN sar forwardato solo alle porte appartenenti a quella stessa VLAN. Il
routing tra Vlan diverse sempre demandato ad un router esterno (come discusso nella sezione
L'Intervlan routing).

Esistono 2 modi di implementare le VLAN: static VLAN e dynamic VLAN:

STATIC VLAN: vengono configurate manualmente da un amministratore, che assegna le porte degli
switch alle VLAN previste (e precedentemente configurate). Una volta che lutente si sposta nell'ufficio
(collegandosi quindi ad un altro switch della rete), lamministratore dovr configurare la nuova porta nella
vlan corretta (sconsigliato in reti con frequenti spostamenti).
DYNAMIC VLAN: prevedono un database che contenga lassociazione tra mac-address e vlan (cio
lelenco dei macaddress che appartengono ad ogni VLAN). Una volta che lutente si sposta, lo switch
riconosce il mac address e automaticamente assegna la nuova porta dellutente all VLAN corretta. Richiede
l'utilizzo di server VMPS (vlan management policy server), che per non oggetto del corso CCNA.
Sui catalyst Cisco si possono configurare 4094 Vlan (da 1 a 4094) ma ogni porta pu appartenere ad una
sola VLAN.In realt gli switch moderni possono permettere di configurare una seconda VLAN su una porta

access. Questa viene detta VOICE VLAN ed utilizzata per gli ip phone (il funzionamento e la
configurazione degli switches per supportare il Voip non sono oggetto del corso CCNA.
Da notare che le vlan da 1 a 1005 sono dette normal-range vlan. Le vlan da 1006 a 4094 sono dette
extended-range vlan. In un dominio VTP possono essere configurate solo le normal-range vlan. Sui VTP
transparent switches si possono configurare tutte (lo scopo ed il funzionamento del protocollo VTP sar
analizzato pi avanti in questa sessione.
TRUNKING: Spesso le Vlan si estendono su diversi switches, che realizzano una grande Lan (chiamata
switch fabric), per questo si rende necessario prevedere delle connessioni tra gli switches atti a trasportare il
traffico broadcasto o unicast tra hosts della stessa Vlan. Le soluzioni possibili sono essenzialmente 2
(descritte dalle figure seguenti):

La soluzione descritta nella figura precedente prevede una connessione per ogni Vlan; risulta
immediatamente evidente come la soluzione sia poco scalabile (se fossero presenti 10 o 20 vlan sarebbe
impossibile usare una porta/link per ogni Vlan).

Questa seconda soluzione ovviamente pi scalabile in quanto permette di far transitare il traffico di molte o
tutte le Vlan su un solo link e perch se si aggiunge una nuova vlan non va effettuata alcuna operazione a
livello di connettivit interswitch (nell'esempio precedente qualcuno avrebbe dovuto configurare e collegare
un nuovo link tra gli switches).
Sugli switches Cisco i trunk possono essere configurati manualmente o negoziati automaticamente tra gli
switches tramite protocollo, proprietario Cisco, DTP (dynamic trunking protocol). Questo protocollo permette
agli switches di realizzare automaticamente un trunk se le porte ne hanno la potenzialit). Esistono 5
modalit di lavoro del DTP (chiamati switchport mode) che definiscono il comportamento della porta in
ambito trunk:

switchport mode access: Pone la porta in modalit access, la associa ad una VLAN (porte utente)

switchport mode trunk : Pone la porta in modalit trunk senza condizioni

switchport mode dynamic auto : La porta diventer trunk se dall'altro lato del link c' una porta
desirable o trunk

switchport mode dynamic desirable : La porta tenter continuamente di diventare trunk. Ci riuscir
se dall'altro lato c' una porta trunk o auto.

switchport mode nonegotiate : La porta non tenter mai di diventare trunk, lo far se dall'altro lato
del link c' una porta trunk

TAGGING: L'implementazione delle Vlan ha reso necessario l'utilizzo di un metodo per marcare e
riconoscere la vlan a cui appartiene ogni frame (dato che le Vlan possono anche, anzi spesso sono, estese
su diversi switch appartenenti alla stessa Lan): il frame tagging consiste proprio nellassegnare ad ogni
frame un ID (detto VLAN ID o color).

Una volta che uno switch riceve la frame, verifica per prima cosa il VLAN ID, poi verifica la filter table. Se ci
sono porte trunk per quella VLAN forwarda la frame completa di vlan ID sulla porta trunk. Se ha porte access
per quella VLAN, elimina il VLAN ID e consegna la frame a quelle porte access.
Ci sono 2 metodi di trunking: ISL (proprietario CISCO) e DOT.1Q (standard IEEE802.1Q), tali protocolli
eseguono la medesime funzioni ma con le seguenti differenze:

Lo standard DOT1.Q utilizza un tag di 4 byte nell'header Ethernet (dato che l'header viene
modificato, l'FCS della frame viene ricalcolato).

Lo standard ISL (inter switch link) encapsula la frame originale con un nuovo header (di 26 byte) ed
un nuovo trailer (di 4 byte).

Lo standard DOT1.Q introduce il concetto di VLAN nativa, di solito la VLAN 1 (comunque la stessa
utilizzata per il management). Le frame appartenenti a questa VLAN non vengono modificate con il
VLAN ID; tale VLAN sempre permessa nelle porte trunk, le frame ricevute dalle porte trunk che
non presentano VLAN ID vengono consegnate alla VLAN 1.

VLAN TRUNKING PROTOCOL: un protocollo proprietario Cisco che permette di aggiungere,

rimuovere o rinominare le VLAN su un solo switch e di aggiornare automaticamente tutti gli altri della rete.
Questo pu essere un forte vantaggio su reti composte da molti switch (senza VTP l'amministratore deve
configurare le nuove vlan su tutti gli switches e su tutti i trunk.

Tutti gli switches della rete devono appartenere allo stesso VTP domain. Il primo passo definire il
VTP DOMAIN NAME su tutti gli switch.

Almeno uno switch della rete deve essere configurato come VTP SERVER.

Il VTP server lunico punto dove si possono aggiungere, rimuovere, rinominare le vlan. Le info
relative alle VLAN vengono salvati nella NVRAM (in particolare nel Vlan Database).

Il vtp server passer le info relative alle vlan tramite VTP advertisement. I VTP advertisement (gli
annunci del VTP) viaggiano solo sulle porte trunk.

Gli switches configurati come VTP client inoltrano i vtp advertisement ricevuti dal vtp server sulle
proprie porte trunk ed imparano le info delle vlan dai vtp advertisement. Non salvano le info relative
alle VLAN nella NVRAM, ma solo nella RAM (tali info verranno perse in caso di reload).

Gli switches configurati come VTP trasparent inoltrano i vtp advertisement ricevuti dal vtp server
sulle proprie porte trunk ma non imparano le info delle vlan dai vtp advertisement. Non salvano le
info relative alle VLAN nella NVRAM ne nella RAM. Su questi switches si possono aggiungere,
rimuovere, rinominare le VLAN ma tali modifiche avranno senso solo localmente.

I comandi per configuare il vtp sono i seguenti:

conf t

vlan : accedo al VLAN DATABASE

vtp mode (client, server, trasparent) : definisco la modalit di lavoro

vtp domain DOMINIO : definisco il nome del dominio

vtp v2-mode : definisco la versione di VTP (1,2 o 3).

vtp password XXX

Si verifica con show vtp status (fornisce tutte le info sulla configurazione) e show vtp statistics
(fornisce le info sui VTP Advertisement scambiati).

Prima di configurare le VLAN bene definire uno switch come server e gli altri come trasparent o client. Se
abbiamo 2 server (il nostro e uno lasciato server per errore) ed il secondo ha un revision number pi alto,
questo aggiorner il VLAN Database del nostro (cancellando di fatto tutte le vlan configurate).
VTP (Virtual Trunking Protocol) pruning: questa funzione (disabilitata di default) permette di inviare
i broadcast sui trunk solo verso switch che necessitano di queste info. Ci significa che se c' un broadcast
per la VLAN5 e sullo switch B non presente nessuna porta access per questa VLAN, il broadcast non verr
inviato sul trunk verso lo switch B. Questo permette di salvare banda. Da configurazione VLAN si usa il
comando vtp pruning .
CONFIGURARE VLAN E TRUNK: Data la rete descritta nella figura seguente riporteremo le
configurazioni necessarie sullo switch. Il primo passo la configurazione globale delle Vlan e l'assegnazione
delle Vlan alle porte (per comodit riportata solo la conf di SwitchA in quanto per questo particolare
esempio quella di SwitchB identica).

!
conf t
vlan 2
name vendite
!
!
conf t
vlan 3
name amministrazione
!
conf t
!
Int fast 0/1
Switchport mode access
Switchport access vlan 2
!
Int fast 0/2
Switchport mode access
Switchport access vlan 3
!
Le porte 0/1 di entrambi gli switches apparterranno alla vlan vendite ( o vlan 2), mentre l2 porta 0/2
apparterranno alla vlan amministrazione (o vlan 3).Il secondo passo sar quello di configurare il trunk tra i 2
switches (anche in questo caso riportata solo la configurazione di Switch A in quanto quella di Switch B
identica).
!
conf t
!
Int fa0/3
Switchport mode trunk (per switch tipo il 2960 che gestiscono solo dot1.q)
switchport trunk allowed vlan X (abilita il trunking per la vlan X, di defualt abilitato
per tutte le vlan)
switchport trunk allowed vlan remove X (disabilita il trunking per la vlan X)
!
conf t
!
Int fa0/3
switchport trunk encapsulation dot1q/isl (per switch tipo il 3560 che gestiscono sia isl
che dot1q)
switchport trunk allowed vlan X (abilita il trunking per la vlan X, di default abilitato
per tutte le vlan)
switchport trunk allowed vlan remove X (disabilita il trunking per la vlan X)
Switchport mode trunk
!
A questo punto i Pc della Vlan 2 potranno pingarsi tra di loro (tecnicamente possono raggiungersi tramite
pacchetti unicast) ma non potranno pingare i Pc della Vlan 3 (e viceversa). Per mettere in comunicazione le
2 Vlan serve un router, come descritto nella sezione seguente L'Intervlan routing. I comandi utili per
verificare la configurazione ed il funzionamento di Vlan e Trunking sono i seguenti e sono descritti (con i
relativi output) nelle figure successive.

Questo comando mostra essenzialmente l'elenco delle Vlan configurate e le porte associate ad ogni vlan.

Questo comando mostra lo stato della porta a livello di switchport (se trunk o access, ed il modo di
switchport in uso).

Questo comando indica se il trunk sta funzionando (status = trunking).

Etherchannel
Come visto con STP possibile avere pi link paralleli tra switches, ma solo uno di questi sar attivo (gli
altre verranno posti in blocking state per evitare loops). Nel caso si volesse impiegare pi banda e quindi
mantenere tutti i link tra switches attivi in forwarding mode andr utilizzato un Etherchannel, cio un budle di
N links (fino a 8) che agiscono come una sola porta. In pratica questa features permette di aggregare diversi
link insieme e di farli vedere allo switch come un unico link.

Si configura nel seguente modo (nell'esempio si crea un port-channel della fast0/1 - 0/2 lato SW1 e della fast
0/7 -0/8 lato CORE).
SW1#config t
SW1(config)#int port-channel 1
SW1(config-if)#int range f0/1-2 (questo comando permette di configurare un range di porte dello
switch).
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#switchport nonegotiate
SW1(config-if-range)#channel-group 1 mode desirable

Nell'esempio stato utilizzato il channel-group mode desirable, di seguito l'elenco dettagliato dei vari modi
disponibili nelle IOS Cisco:

ON:il channel-group configuto in modalit attiva, nessuna negoziazione avviene. Il channel-group

si forma se anche l'altro lato configurato ON.

AUTO:in questa modalit la porta pronta per negoziare un channel-group, ma silente. Il

channel-group si forma se l'endpoint configurato come desirable.

DESIRABLE:la porta tenta attivamente di negoziare un channel-group, vi riesce se l'endpoint

configurato come DESIRABLE o AUTO.
Il protocollo utilizzato per negoziare l'etherchannel il PAgP (proprietario Cisco e disponibile su tutti i
catalyst); esiste anche un protocollo standard che esegue le medesime funzioni: il LACP (standard,
disponibile solo su alcune IOS).

Intervlan Routing
Per effettuare routing tra VLAN necessario un router. Se si hanno poche VLAN si pu usare un router con
una interfaccia per ogni VLAN. Tale interfaccia va connessa ad una porta dello switch che access per
quella VLAN.

Se si hanno molte VLAN conveniente utilizzare quello che Cisco chiama router on a stick. In pratica si
collega una porta del router ad una dello switch. Lato switch si porr in trunk per tutte le vlan e lato router si
creer una sottointerfaccia per ogni vlan, utilizzando ISL o DOT1.Q

In entrambi i casi l'interfaccia del router sar il DG delle Vlan. Cosi ogni frame diretta fuori dal dominio di
broadcast giunger al router, che la ruoter verso la corretta interfaccia.

Configurazione Singole Vlan

ROUTERA#config t
ROUTERA(config)#int f0/0
ROUTERA(config-if)#no ip address
ROUTERA(config-if)#no shutdown
ROUTERA(config-subif)#ip address 192.168.10.17 255.255.255.240
ROUTERA#config t
ROUTERA(config)#int f0/1
ROUTERA(config-if)#no ip address
ROUTERA(config-if)#no shutdown
ROUTERA(config-subif)#ip address 192.168.10.33 255.255.255.240

Configurazione Subinterfaces
ROUTERA#config t
ROUTERA(config)#int f0/0
ROUTERA(config-if)#no ip address
ROUTERA(config-if)#no shutdown
ROUTERA(config-if)#int f0/0.1
ROUTERA(config-subif)#encapsulation dot1q 1
ROUTERA(config-subif)#ip address 192.168.10.17 255.255.255.240
ROUTERA(config-subif)#int f0/0.2
ROUTERA(config-subif)#encapsulation dot1q 2
ROUTERA(config-subif)#ip address 192.168.10.33 255.255.255.240

Per approfondimenti ed esercitazioni pratiche sul routing tra Vlan vi rimando al seguente link Lab2
L'Intervlan Routing.

Il routing IP
I pacchetti di livello 3 (ad esempio i pacchetti IP) una volta creati dallo stack TCP/IP, hanno bisogno di
essere ruotati sulla rete, verso la destinazione identificata dal campo DESTINATION IP ADDRESS presente
nell'header del pacchetto stesso. Per assolvere questa funzione vengono utilizzati i routers che si occupano
di tener traccia della posizione delle network IP nella rete tramite l'utilizzo della routing-table che presenta la
corrispondenza tra DESTINATION IP ADDRESS e INTERFACCIA DI USCITA. La figura seguente mostra un
esempio di tabella di routing.

Le informazioni fornite dall'output di questo comando sono:

Il protocollo che ha generato (static, rip, eigrp, ospf ect).

La network IP.

La distanza amministrativa e la metrica.

Il tempo da cui nota l'informazione.

Il next-hop IP.

L'interfaccia di uscita.

Oltre a queste informazioni, che sono specifiche per ogni prefisso IP (o network IP) conosciuta dal router,
questo comando mostra anche il gateway of last resort del router, cio il next-hop-ip a cui sar ruotato il
traffico non compreso tra le rotte (o percorsi) presenti in routing table. Alla ricezione di un pacchetto IP, il
router analizza il campo DESTINATION IP ADDRESS e verifica se tale indirizzo presente nella routingtable. Se lo trova invia il pacchetto alla relativa interfaccia di uscita, in caso contrario droppa il pacchetto. Se
per un dato DESTINATION IP ADDRESS il router ha pi di una interfaccia di uscita, verr scelta quella con
Distanza Amministrativa minore. Esistono vari modi per popolare la routing-table: il routing statico, il defaultrouting ed i protocolli di routing.
ROUTING ST ATICO: La routing-table viene popolata manualmente. Lamministratore inserisce una
corrispondenza statica tra DESTINATION IP ADDRESS ed interfaccia di uscita.

Vantaggi: Non impegna la CPU del router, non occupa banda con gli update di routing.

Svantaggi: Si configura a mano, non scalabile, se si aggiunge una rete andranno riconfigurati tutti i
router della rete.

Il comando IOS per configurare una rotta statica : ip route NETWORK_ID SUBNET_MASK
NEXT_HOP_IP/INTERFACCIA AD name COMMENTOTESTUALE.
Da notare che:

Gli argomenti Next_Hop_Ip e Interfaccia possono essere inseriti in alternativa uno all'altro.

La distanza amministrativa di una rotta statica 1, opzionalmente possibile variarla (0 - 255)

inserendo il valore decimale al posto di AD.

L'argomento opzionale name permette di specificare un commento testuale per la rotta statica.

DEFAULT ROUTING: E un particolare tipo di rotta statica utilizzata per 2 motivi principali:

Instradare tutto il traffico diretto a reti non esplicitamente note nella tabella di routing verso una
determinata interfaccia di uscita. Il next-hop-ip di questa rotta speciale sar mostrato come gateway
of last resort dall'output del comando show ip route.

Su router che presentano una sola interfaccia di uscita, ruotare tutto il traffico verso tale interfaccia.

Sono disponibili 2 comandi per configurare il default-routing:

ip route 0.0.0.0 0.0.0.0 Serial0

ip default-routing networkid. Dovr essere inserito il network id di una rotta presente in routing table,
che vorremmo utilizzare per tutto il traffico non specificato dalla routing table stessa.

Nella routing table mostrata ad inizio pagina il gateway of last resort settato a 212.234.248.90; tale ip
corrisponde ad un indirizzo di un router remoto, che ha un gateway verso Internet. Tutto il traffico
sconosciuto (cio non diretto alla rete locale) verr sparato verso il gateway Internet (questa una scelta, si
pu anche scegliere di scartarlo o di inviarlo ad un logs server per analisi successive).
Per approfondimenti ed esercitazioni pratiche sul routing statico ed il default routing vi rimando al seguente
link Lab4 Default e Static Routing (si consiglia di eseguirlo dopo aver letto la sezione Interfacce
Wan ed aver eseguito il relativo lab Lab3 Le Wan.
ROUTING DINAMICO: La routing-table viene popolata dinamicamente tramite luso dei routing protocols.

Vantaggi: pi semplice e scalabile da configurare rispetto al Dinamic routing, si aggiornano

automaticamente a fronte di un cambio di topologia.

Svantaggi: impegnano la CPU dei router per lesecuzione degli algoritmi, impegnano la banda dei
link con gli update di routing.

In pratica un protocollo di routing si occupa di individuare il percorso migliore (tipicamente il pi breve)

allinterno di una rete. Con lutilizzo dei protocolli di routing viene introdotto un secondo parametro di cui il
router terr conto per la scelta dellinterfaccia di uscita: la metrica. Se due percorsi presentano distanza
amministrativa uguale, verr scelto quello con metrica minore.

Ogni protocollo di routing presenta una propria distanza amministrativa di default, riportata insieme ad altre
informazioni, nella tabella seguente:

I routing protocol possono essere classificati in base alla gestione degli AS (AS = autonomous system =
insieme di router che appartengono alla stessa rete e si scambiano update di routing).
IGP (Interior gateway protocol): protocolli che operano allinterno di un AS (RIP, RIP V2, EIGRP) EGP
(Exterior gateway protocol): protocolli che interconnettono AS diversi (BGP)
Una seconda classificazione raggruppa i protocolli di routing in base allalgoritmo utilizzato per la scelta del
percorso migliore:
DISTANCE-VECTOR: basati sullalgoritmo Bellman-Ford, scelgono il percorso migliore giudicando la
distanza che divide la sorgente dalla destinazione. Utilizzano una metrica semplice, tipicamente il numero di
hop (i router attraversati) che dividono la sorgente dalla destinazione. Comunicano periodicamente lintera
tabella di routing ai router vicini. Nessun router della rete conosce lintera topologia di rete. Esempio: RIPV1,
RIPV2, IGRP, EIGRP.
LINK-ST ATE: basati sullalgoritmo Dijastra, ogni router della rete conosce lintera topologia di rete ed il
costo di ogni collegamento (il costo viene calcolate tenendo conto di vari fattori: banda dei collegamenti,
carico dei collegamenti) e sceglie il percorso migliore valutando il percorso con costo minore. Comunicano
lntera tabella di routing ai propri vicini solo quando vengono attivati. Successivamente comunicano solo
cambiamenti nella topologia di rete (cambio di stato dei link della rete) . Esempio: OSPF.
Una terza classificazione raggruppa i protocolli di routing in base alla loro capacit di supportare il
subnetting, il VLSM e netwrok IP discontigue:
CLASSFUL: non supportano subnetting e VLSM. Assumono che tutte le network della rete appartengano
alla stessa major network a cui appartengono le subnet direttamente connesse, e che tale major network sia
subnettata con la stessa subnet mask delle subnet direttamente connesse. Esempio: RIPV1, IGRP
CLASSLESS: supporta subnetting e VLSM. Gli update di routing contengono un apposito campo per
trasportare linformazione relativa alla subnet mask. Esempio: OSPF.

Access List
Le access-list sono una componente importante di una rete, quindi sono ampliamente trattate nel
programma dell'esame CCNA. Questa sezione si compone di 3 paragrafi:

Le access-list: Cosa sono ed a cosa servono.

Tipologie di access-list: standard, extended e named ACL.

Le access-list: Esempi di configurazione

Le access-list: Cosa sono ed a cosa servono.

Una access-list essenzialmente un filtro e viene utilizzato per dividere i pacchetti IP in 2 categorie:
"permessi" e "negati". Le access-list possono trovare uso in vari modi: possono filtrare il traffico IP in transito
su una interfaccia, possono essere applicate nei protocolli di routing per filtrare gli annunci o possono essere
applicate agli apparati per filtrarne gli accessi, la loro funzione definita quindi dal punto in cui sono
applicate.Le access-list vengono lette in sequenza nell'ordine in cui sono state configurate: prima la prima
istruzione, poi la seconda e cosi via. Alla fine di ogni access-list c il deny implicito. Questo significa che
tutto il traffico non esplicitamente permesso dalla access-list verr considerato "negato" (quindi droppato). In
altre parole in una ACL deve essere presente almeno una condizione permit; in caso contrario tutto il
traffico IP verr droppato.
Tipologia di access-list: standard, extended e named ACL.
Esistono 2 categorie principali di ACL:
STANDARD: tengono conto solo dellindirizzo ip sorgente; questa pu essere lunica condizione utilizzata
da queste access-list. Le ACL standard devono avere un ID compreso nei seguenti range: 199 o 1300
1399.
EXTENDED: possono utilizzare molti campi per il match dei pacchetti: ip source, ip destination, protocollo
di livello 4 (TCP o UDP), port source, port destination. Le ACL extended devono avere un ID compreso nei
seguenti range: 100199 o 20002099
Le access list si possono applicare in ingresso o in uscita, ma una interfaccia pu avere solo 1 acl applicata
per ogni verso (1 in ed 1 out).
Le ACL, sia standard che extended, pu anche essere identificata con un nome. Questo tipo di ACL sono
chiamate Named ACL.
Le access-list: Esempi di configurazione.
La figura seguente mostra una semplice rete con 3 lan connesse ad un router. Gli esempi successivi
riportano la configurazione necessaria per filtrare alcuni tipi di traffico utilizzando ACL standard ed extended
(sia named che normali).

ESEMPIO CONFIGURAZIONI ACL ST ANDARD: In questo esempio vogliamo permettere ai soli

hosts della Lan 10.0.10.0/24 di raggiungere gli hosts della Lan 10.0.12.0/24 (bloccando di conseguenza gli
hosts della Lan 10.0.11.0/24.
La prima domanda : dove applicare la ACL? Nel nostro caso la applicheremo sulla Fast0/2, in quanto il
punto pi vicino agli hosts da proteggere.
La seconda domanda : in che verso applicare la ACL? Nel nostro caso la applicheremo in out, per
controllare il traffico che esce dall'interfaccia Fast0/2.
L'ultima domanda : negare alcuni flussi di traffico ed introdurre il permit any, o sfruttare il deny any implicito
delle ACL e permettere alcuni flussi di traffico? Nel nostro caso (1 flusso permesso, 1 flusso negato) la
situazione identica, in generale la risposta dipende da quanti flussi abbiamo da permettere o negare
(l'esempio sotto introduce il permit any).
STANDARD:
RouterA(config)#access-list 1 deny 10.0.11.0 0.0.0.255
RouterA(config)#access-list 1 permit any
RouterA(config)#interface FastEthernet 0/2
RouterA(config-if)#ip access-group 1 out
STANDARD NAMED:
RouterA(config)#ip access-list standard BlockSales
RouterA(config-std-nacl)#deny 10.0.11.0 0.0.0.255
RouterA(config-std-nacl)#permit any
RouterA(config-std-nacl)#exit
RouterA(config)#interface FastEthernet 0/2
RouterA(config-if)#ip access-group BlockSales out

ESEMPIO CONFIGURAZIONI ACL EXTENDED: In questo esempio vogliamo proteggere tutti gli
hosts della 10.0.12.0/24, negando tutto il traffico ma permettendo al solo host 10.0.10.22 di interrogare il
web-server installato sull'host 10.0.12.5.
EXTENDED:
RouterA(config)#access-list 110 permit tcp host 10.0.10.22 host 10.0.12.5 eq 80
RouterA(config)#access-list 110 deny ip any any (Implicito, inserito solo per referenza)
RouterA(config)#interface FastEthernet0/2
RouterA(config-if)#ip access-group 110 out
EXTENDED NAM ED:
RouterA(config)#ip access-list extended BlockSales
RouterA(config-ext-acl)# permit tcp host 10.0.10.22 host 10.0.12.5 eq 80
RouterA(config-ext-acl)# deny ip any any
RouterA(config)#interface FastEthernet 0/2
RouterA(config-if)#ip access-group BlockSales out

Ovviamente agendo sui parametri (eq, source, destination) possibile limitare altri tipi di traffico, come
possibile utilizzare network o any (cio tutti gli hosts) come source o destination.Come best practice si noti
che consigliato bloccare il traffico "negato" il pi vicino possibile alla sorgente, possibilmente impedendone
l'ingresso nella rete di nostra gestione (in pratica va applicata in ingresso al confine con le reti "esterne").
NOTA BENE: SOTTO LE VTY la ACL non si applica con il comando ip access-group ACL in/out ma con il
comando access-class ACL in/out.
Il comando show access-list mostra le entries di ogni ACL ed il numero di volte che sono state matchate.

NAT (network address translation)

Il Nat (network address translation) utilizzato per modificare lindirizzo IP sorgente o destinatario di un
pacchetto IP. I motivi principali per cui viene utilizzato sono:

Permette di risparmiare indirizzi ip pubblici (tutti gli IP della rete privata possono presentarsi su
internet con lo stesso IP pubblico).

Permette di non modificare i propri indirizzi ip privati se si cambia providere internet.

Permette di unire (merge) 2 intranet con indirizzi IP duplicati.

I principali svantaggi sono:

Il nat introduce dei ritardi nello switching dei pacchetti.

Alcune applicazioni possono non funzionare con il NAT.

Si perde la possibilit di effettuare tracciamenti end-to-end di un pacchetto.

TIPOLOGIA DI NAT: Esistono 3 tipi di NAT:

STATICO: permette di effettuare mapping one-to-one degli indirizzi locali su quelli globali.

DINAMICO: permette di effettuare mapping degli indirizzi locali su un pool di indirizzi globali

OVERLOAD: un particolare tipo di NAT dinamico (anche detto PAT, port address translation) che
permette di effettuare il nat many-to-one utilizzando le porte logiche.

TERMINOLOGIA NAT:

INSIDE LOCAL: nome del source address prima della translation.

OUTSIDE LOCAL: nome del destination address prima della translation.

INSIDE GLOBAL : nome del source address dopo della translation.

OUTSIDE GLOBAL : nome del destination address dopo della translation.

COME LAVORA IL NAT: come detto il NAT permette di modificare gli indirizzi IP sorgente o destinatario
del pacchetto IP in transito tra le interfacce configurate con ip nat inside ed ip nat outside.
La figura seguente mostra un router (RTA) con una Lan privata (Eth0 = 10.1.1.0/24) ed una Lan pubblica
(Eth1 = 151.168.2.1/29) che lo connette ad un gateway ISP (RTB - ip 151.168.2.2/29); i restanti ip pubblici
saranno utilizzati per il nat degli hosts interni (rete a puro titolo di esempio). Successivamente sono riportate
le configurazioni che andrebbero implementate su RTA per permettere la navigazione della Lan privata
verso Internet utilizzando le 3 tipologie di NAT.

ESEMPIO 1 (STATIC NAT):

Con il Nat Statico possiamo mappare in modalit one-a-one gli ip interni con gli ip esterni (quindi non si potr
assicurare accesso a Internet a tutti gli utenti della Lan locale). Questa modalit va preferita quando ci sono
pochi hosts che devono essere abilitati al nat. In questo esempio poniamo il caso che lhost 10.1.1.2 (PCA)
debba essere l'unico host della lan pubblicato su internet con ip 151.168.2.3

In questo caso viene stabilita una relazione univoca tra 10.1.1.1 (local) e 151.168.2.3 (global). Si notino i
comandi ip nat inside ed ip nat outiside sotto le interfacce Eth0 e 1. Questi comandi identificano il verso del
NAT; in pratica quando un pacchetto entra dalla Eth 0 la IOS legge il comando e va a verificare la tabella di
nat (nel nostro caso verranno nattati solo i pacchetti originati da PCA e diretti verso Internet.
ESEMPIO 2 (NAT DINAMICO):
In questo esempio tutti gli hosts della Lan sono abilitati ad uscire verso Internet; gli indirizzi global sono presi
da un pool definito in configurazione. Tipicamente il pool contiene meno indirizzi rispetto a quelli della Lan
privata, questo perch si conta sul fatto che non tutti gli hosts necessitino di NAT contemporaneamente
(quando una translations attiva non riceve traffico per un certo tempo viene liberata e resa disponibile per
nuovi nat).

In questo caso gli ip della lan (identificati dalla ACL 1) vengono nattati con un IP del pool globalnet
Il comando ip nat pool globalnet definisce il pool di indirizzi global.
ESEMPIO 3 (NAT OVERLO AD):

Lunica differenza rispetto alla configurazione precedente che nel comando ip nat inside source presente
largomento overload; questo comporta che tutti gli hosts interni verranno nattati con l'unico indirizzo ip del
pool ma ogni sessione utilizzer una diversa porta tcp (teoricamente con un IP sono effettuabili 65535 nat).
In questa configurazione l'argomento "pool globalnet" pu essere sostituito da "interface Ethernet 1", in
questo caso tutti gli hosts interni verranno nattati su una porta dell'ip dell'interfaccia Ethernet 1 (un po quello
che succede nei router ADSL casalinghi).
I Comandi ip nat inside e ip nat outside si applicano rispettivamente alle interfacce di ingresso ed uscita dei
pacchetti che devono essere sottoposti a nat.
VERIFICA NAT: si utilizzano 3 comandi:

show ip nat tranlations : mostra le corrispondenza local->global attualmente attive.

debug ip nat : mostra le translation mentre avvengono.

Show ip nat statistics: mostra un summury della configurazione del nat.

Clear ip nat translations * : azzera le translarion attive sul router.

Da tenere presente che ogni traslation consuma circa 160 byte di memoria. Nel caso gli eccessivi nat
saturassero la memoria esiste il comando ip nat traslations max-entries.

INTERFACCE WAN: HDLC, PPP, FRAME-RELAY

Le connessioni WAN sono collegamenti tra siti remoti tipicamente realizzati tramite l'ausilio di leased line
(linee prese in affitto dagli ISP). Esistono molte tecnologie WAN e tutte lavorano a livello 2; alcune tipologie
di WAN richiedono schede proprie (ATM, SHDSL, ADSL, ISDN BRI, ISDN PRI. non oggetto dell'esame
CCNA) altre modalit invece sono configurabili anche sulle normali seriali V35 dei router Cisco (HDLC, PPP,
Frame-Relay e sono oggetto dell'esame CCNA).
TIPI DI CONNESSION I WAN: le tipologie di WAN sono divisibili in 3 macrocategorie:

CDN: Circuito diretto numerico (un collegamento p2p tra 2 sedi). Pi costose, da preferire se si
hanno flussi di traffico importanti e costanti nel tempo.

CIRCUIT SWITCHING (commutazione di circuito): connessioni che vengono attivate (su linee isdn o
analogiche) solo in caso di trasmissione dati. Costano meno ma sono adatte per bassi bandwidth
e/o connessioni saltuarie.

PACKET SWITCHING (commutazione di pacchetto): connessioni sempre attive, permettono di

condividere banda con altre aziende, adatta se si hanno picchi di traffico (traffico a burst) durante
tutta la giornata. Un esempio sono X25 e Frame-Relay.

HDLC (high-level data-link control): un proprietario standard (ISO 13239) che deriva dal protocollo
proprietario IBM SDLC. Il protocollo HDLC rappresenta una eccezione al concetto di "protocollo standard" in
quanto ogni vendor ne implementa una propria versione, pu quindi capitare che utilizzando HDLC tra
apparati di vendors diversi il link possa non funzionare.Le seriali Cisco sono, di default, attive con
encapsulation HDLC quindi per farle funzionare basta assegnarli un IP , configurare l'eventuale clock rate e
collegarle ad un circuito funzionante; opzionalmente le seriali Cisco possono essere configurate come PPP o
FRAME-RELAY.Con riguardo al clock va notato come gli apparati Cisco possono essere anche collegati tra
loro senza l'ausilio di leased line, ma tramite un cavo diretto V35. In questo caso occorre notare che uno dei
2 routers dovr fungere da DCE (cio da sorgente del clock) infatti le seriali dei router Cisco, di default, sono
attive in modalit DTE; questo significa che devono essere connesse ad un DCE che si occuper di fornire il
clock al router. Se si collegano 2 routers Cisco tramite un circuito WAN sar la rete dell'ISP a fornire il clock,
cosi che entrambi i router potranno essere configurati come DTE. Il comando per rendere una interfaccia
DCE "clock rate Valoreclock", dove valore clock un valore espresso in bits/sec.Questo protocollo, in
qualit di protocollo di livello 2, encapsula i protocolli di livello 3 supportati (IPX, IP, IPV6 ect) in frames di
livello 2; la figura seguente mostra una frame HDLC:

PPP (point to point protocol: un protocollo standard (RFC1661 e successive modifiche), permette
quindi linterlavoro tra vendor diversi. Permette autenticazione (PAP e CHAP), call back, multilink e pu
essere usato su seriali asincrone (analog line) o sincrone (seriali). IL PPP si divide in 2 sottoprotocolli:

NCP: permette di trasportare contemporaneamente diversi protocolli di livello 3 (IP, IPX,

APPLETALK).

LCP: fornisce varie opzioni: authentication, callback, compression, multilink.

PPP SESSION EST ABLISHMENT: si compone di 3 fasi: link establishement (configura il link a livello di
data size, compressione ed autenticazione), Authentication phase (opzionale. CHAP o PAP possono essere
usati per autenticare il link), Network Layer protocol phase (PPP usa NCP per permettere a pi protocolli di
livello 3 di essere encapsulati su un datalink PPP).
AUTHENTICATION: Le connessioni PPP possono essere autenticate. Esistono 2 protocolli per gestire
l'autenticazione:

PAP il meno sicuro dei 2 metodi. La password inviata in chiaro solo allinizio della connessione.

CHAP: Lautenticazione avviene allinizio della connessione e periodicamente durante la stessa (per
verificare che sempre connesso allo stesso host). Il router A invia la richiesta a B, B risponde con
username e password criptati in md5. Router A decripta user e password per vedere se matchano.

Tipicamente PPP viene utilizzato in congiunzione con altri protocolli (insieme a ISDN per i backup ISDN,
insieme a Ethernet o ad ATM nelle connessioni ADSL.La configurazione delle schede ISDN BRI e ADSL non
sono oggetto del presente corso.
FRAM E-RELAY: Il frame-relay levoluzione di X.25 ed un protocollo standard (definito dall'ITU-T
I.922); il suo punto di forza il risparmio che offre rispetto alle connessioni dedicate. Nella sua
configurazione standard definito come NBMA (non broadcast multiple access). Praticamente prevede che
ogni sede sia connessa alla rete Frame-relay (che composta da nodi FR interconnessi - tipicamente le reti
FR sono di propriet dei provider che le mettono a disposizione di diversi clienti. Ogni sede del cliente viene
connessa agli switches FR; successivamente verranno configurati dei circuiti virtuali verso una (centro stella)
o tutte (reti full-meshed) sedi remote. Le figure seguenti mostrano alcune implementazioni tipiche Framerelay: in particolare la prima mostra una classica implementazione hub and spoke (o centro stella) e la
seconda mostra una topologia full-meshed.

L'esigenza alla base di questa rete connettere con un circuito ogni perifera (router B, router C e router D)
al centro stella (router A). Se avessimo utilizzato dei normali CDN tra Router A e gli altri router avremmo
avuto bisogno di 3 circuiti e 6 interfacce (3 su Router A ed 1 su ogni periferia). Grazie al frame-relay

abbiamo eseguito le medesime connessioni con 4 circuiti e soltanto 4 interfacce). Il risparmio garantito in
quanto:

I circuiti delle implementazioni FR sono tipicamente pi brevi (e quindi meno costosi). Infatti tali
circuiti non connettono Sede A (ad esempio Roma) con Sede B,C e D (ad esempio Torino, Milano,
Bari) ma collegano le varie sedi con i POP (point of presence) dell'ISP che sono tipicamente
capillarmente presenti sul territorio.

In implementazioni FR sar necessaria sempre 1 interfaccia lato CED, mentre con le connessioni
CDN sono necessarie tante intefacce quante sono le sedi remote. Spesso questo rende necessario
l'acquisto di router di categoria superiore con i relativi costi.

Il problema del numero interfacce risulta ancora pi evidente nel caso di reti full mesh. Se si analizza al
figura precedente si rileva come per connettere 4 sedi in modalit full meshed siano necessarie: 4 interfacce
e 4 link in modalit FR contro le 12 interfacce e 6 link necessari se si utilizzano CDN.
Nell'immagine precedente compare un nuovo oggetto che era assente nelle connessioni precedentemente
analizzate: la rete frame-relay. Sebbene esistano reti frame-relay private, cio realizzate ad uso personale
da aziende o organizzazioni, la maggior parte sono propriet di ISP che affittano uno o pi canali virtuali a
diversi clienti. La rete frame-relay prevede una serie di switches FR installati nei POP dell'ISP e magliati tra
di loro. I circuiti in arrivo dalle sedi clienti vengono attestati sugli switches FR (sebbene questi switch
supportino diversi tipi di interfacciamento assumiamo, per semplicit dialettica, forniscano normali interfacce
V35 simili a quelle dei routers Cisco). Una volta realizzata la connettivit fisica tra routers, link e switches
frame-relay occorre passare alla configurazione del frame-relay e successivamente alla configurazione dei
canali virtuali (chiamati pvc o permanent virtual circuit). La configurazione del frame-relay introduce il
concetto di LMI (link management interface) che un semplice protocollo atto ad eseguire 2 funzioni
principali:

Assicura che il livello fisico (cio la connessione a livello 1 tra il Nodo Frame-Relay ed il router) sia
correttamente attiva.

Permette agli endpoint (il nodo frame-relay ed il router) di scambiarsi informazione sui DLCI
configurati e su quelli attivi.

Da notare che in fase di configurazione va specificato il tipo di LMI in uso (che deve ovviamente matchare
sia sul router che sul nodo frame-relay); LMI pu essere ANSI, CISCO, Q933.A. Il dettaglio delle differenze
tra questi tipi di LMI non sono oggetto del corso CCNA.
A questo punto il funzionamento di Frame Relay prevede di:

creare 3 circuiti logici tra ogni nodo passport ed il router connesso

connettere ogni circuito logico creato al punto precedente con il corrispondente circuito logico
remoto

Da quanto sopra risulta evidente come il PVC non sia una entit point-to-point, ma sia l'insieme di diversi
segmenti. I Pvc frame-relay vengono identificati dal dlci (data link connection identifier). Tale ID ha senso
localmente (tra il router e lo switch FR direttamente connesso e deve essere uguale su questi 2 apparati.

Dalla figura precedente possiamo rilevare i dlci che sono stati configurati tra i routers ed i corrispettivi
switches frame-relay. Gli switches frame-relay saranno configurati come segue:

Sulla porta 2 di NODO A saranno configurati 3 PVC (DLCI 1 2 e 3) verso il router A (il centro stella).

Sulla porta 5 di NODO B sar configurato 1 PVC (DLCI 4) verso il router B.

Sulla porta 3 di NODO C sar configurato 1 PVC (DLCI 5) verso il router C.

Sulla porta 1 di NODO D sar configurato 1 PVC (DLCI 6) verso il router D.

A questo punto la rete frame-relay verr configurata per mettere in contatto i vari DLCI per realizzare i PVC
necessari. In particolare:

Il DLCI NODOA:PORTA1:DLCI1 verr commutato sul DLCI NODOB:PORTA5:DLCI4.

Il DLCI NODOA:PORTA1:DLCI2 verr commutato sul DLCI NODOC:PORTA3:DLCI5.

Il DLCI NODOA:PORTA1:DLCI3 verr commutato sul DLCI NODOD:PORTA1:DLCI6.

La configurazione di questo tipo di connessioni sui routers Cisco disponibile sia in modalit point-to-point
che in modalit multipoint.
La modalit point-to-point prevede che si configuri l'interfaccia fisica (con i parametri relativi a encapsulation
e lmi-type) ed una interfaccia logica (subinterface) per ogni DLCI; sulla subinterface si definisce il DLCI e
l'indirizzo IP. Il vantaggio essenziale di questa configurazione poter gestire il bandwidth di ogni singolo
PVC.
Il protocollo Frame-Relay prevede anche un'altra modalit di connessione detta "multipoint". In pratica
questa configurazione (come vedremo pi avanti nella parte dedicata alle configurazioni) riduce fortemente
la configurazione necessaria lato centro stella (lato periferia rimane grossomodo invariata rispetto
all'esempio precedente), richiedendo la configurazione di una singola interfaccia; sar la rete FR multiplare
su questo PVC tutti i PVC in arrivo dalle periferie.
Un altro vantaggio di questa modalit di connessione il risparmio di indirizzi IP; la modalit point point
richiede una network IP (sufficente /30) per ogni connessione (in questo modo dovreanno essere riservati 4
IP per ogni connessione, di cui 2 usati e 2 sprecati - il broadcast ed il network identifier) mentre la modalit
multipoint prevede l'assegnazione di una network grande (ad esempio /24) alla connessione (un ip per il
centro stella, 1 per ogni periferia). Se avessimo 253 periferie ed 1 CED, nel primo caso avremmo bisogno di
1000 (250 X 4) indirizzi IP mentre nel secondo caso ne sarebbero sufficenti 256 (1 per il CED, 253 per le
periferie, 2 per il network identifier ed il broadcast).
Le figure seguenti mostrano le configurazioni necessarie, sia lato centro stella che lato periferia, per
implementare il frame-relay sia in modalit point to point che multipoint.
In merito alle connessioni FR multipoint occorre notare che queste sono configurabili esplicitamente (tramite
la frame-relay map) o dinamicamente tramite il protocollo Frame-Relay Inverse ARP; tale protocollo si
occupa di scoprire il next-hop ip relativo allo specifico DLCI. Il FR Inverse ARP si attiva di default nel
momento che si configura una interfaccia come FR, pertanto nessuna configurazione necessaria; tuttavia
la configurazione va eseguita esplicitamente (inserendo l'argomento broadcast) qualora si utilizzano
protocolli di routing IGP. Nella configurazione riportata di seguito viene considerata la configurazione
esplicita.

Configurazione point-to-point:

Configurazione point-to-multipoint:

CIR: il concetto di CIR assente nelle connessioni dedicate, ma fondamentale nel FR. In pratica il CIR (
committed information rate) indica la velocit di trasmissione del singolo PVC in opposizione all'AR (accessrate)che indica invece la velocit fisica dell'interfaccia. Spesso si tende a configurare i PVC in modo tale che
la somma dei CIR superi l'AR; in questo caso si parla di overbooking ed in pratica ci si basa sul fatto che
probabile che non tutti i PVC trasmettano contemporaneamente alla velocit di CIR (da evitare
assolutamente in implementazioni convergenti e/o con traffico real-time). Spesso gli ISP offrono la possibilit
di utilizzare l'EIR (exceedeed information rate); in pratica si tratta di un extra banda che si pu utilizzare in
assenza di congestione. In pratica viene permessa una banda = CIR+EIR. Il traffico entro il CIR viene
spedito normalmente, il traffico oltre il CIR (e sotto l'EIR) viene marcato con il bit DE settato a 1; questo

indica agli apparati successivi che il traffico pu essere scartato in caso di congestione di rete (in questa
condizione il nodo che rileva congestione invia un FECN verso il DTE destination ed un BECN verso il DTE
source. I routers possono essere configurati per abbassare la velocit di trasmissione a fronte di
FECN/BECN. La gestione dell'extra banda tramite frame-relay class-map non oggetto del corso CCNA.
VERIFICA FRAM E-RELAY: per verificare il funzionamento del FR si utilizzano essenzialmente 2
comandi:

sh frame-relay lmi: mostra il funzionamento del protocollo LMI (lmi inviati, ricevuti, ultimo LMi
ricevuto ect).

sh frame-relay pvc: mostra lo stato di tutti i PVC configurati sul router e quelli annunciati dal nodo
Frame Relay. Indica anche la data di creazione del PVC, lo stato attuale, il tempo passato nello stato
attuale.

Le figure seguenti mostrano l'output di questi comandi.

Le informazioni qui riportate sul protocollo FR sono sufficenti per implementare una rete frame-relay e
superare l'esame Cisco CCNA; se tuttavia desiderato approfondire il FR (configurazione, troubleshooting) vi
consiglio lo studio del seguente documento Cisco: Comprehensive Guide to Configuring and
Troubleshooting Frame Relay
CONNESSIONI SICURE: Alcuni tipi di comunicazioni dati hanno necessit stringenti in termini di
sicurezza ( hanno ad esempio bisogno di essere criptati ed autenticati); le connessioni atte a fornire
sicurezza di trasmissione possono essere di 2 tipi:
IPSEC: trasporta IP in maniera sicura.
VPN: trasportano protocolli NON IP in maniera sicura. C ne sono di 3 tipi:

REMOTE ACCESS VPN: permettono agli utenti di connettersi alle risorse della intranet da dovunque
si trovano.

SITE-TO-SITE VPN: permettono alle aziende di connettere siti remoti al backbone aziendale
sfruttando internet invece di connessioni dedicate (o frame relay).

EXTRANET VPN: permette a partner esterni di connettersi al backbone aziendale limitatamente ad

alcune applicazioni (dette anche business-to-business application).
La configurazione e gli approfondimenti sulle VPN non fanno parte dell'esame Cisco CCENT e non
saranno trattate qui.

RIP
Il RIP un protocollo IGP, DISTANCE-VECTOR e CLASSFUL. Ha una distanza amministrativa = 120 ed
utilizza come metrica il numero di hop, cio il numero di routers attraversati dalla sorgente alla
destinazione.
Come funziona:

Router A assegna a tute le newtork IP direttamente connesse metrica = 0.

Ogni 30 secondi invia in broadcast su tutte le interfacce un update contenente lintera tabella di
routing.

Router B riceve lupdate ed aggiorna la propria routing-table inserendo le reti connesse a Router A
con metrica = 1.

Se un router riceve un update con una network che presenta metrica > rispetto ad un annuncio gi
presente nella sua routing-table, lo ignora.

Se un router ha pi percorsi RIP verso una destinazione che presentano metrica identica, effettua
bilanciamento fino ad un massimo di 6 percorsi (tale bilanciamento detto round-robin balance)
Problemi di RIP ed accorgimenti:
PINHOLE CONGESTION: come detto RIP tiene conto esclusivamente del numero di hop per
calcolare un percorso e bilancia su un massimo di 6 percorsi con numero di hop uguale. Se questi
percorsi hanno banda differente, si verificher congestione del link con meno banda. La soluzione
fare attenzione in fase di progettazione.
ROUTING LOOP: Un altro problema tipico del routing RIP il routing loop ed facilmente
spiegabile con un esempio:

Se la network 5 v down, router E invier un update a router C dichiarando la network 5 non

raggiungibile. Mentre rotuer C invia lupdate a router B (dovr attendere dai 0 ai 30 secondi, a
seconda di quando stato inviato lupdate precedente) pu accadere che router A e router D (che
hanno nella propria tabella di routing linformazione che network 5 conosciuta con 3 hop)
comunichino a router b che conoscono network 5 con 3 hop. A questo punto router b installer in
tabella di routing la seguente informazione: network 5, conosciuta via router A (o router D) con 4
hop.A questo punto un pacchetto generato da router A e diretto a network 5, verr instradato a
router B. Router B lo riconsegner a router A, ingenerando di fatto un loop, questo anche detto
cont to infinity. Per ovviare a questo problema sono disponibili vari meccanismi:

M AXIMUM HOP COUNT: RIP ha un massimo numero di hop = 15. Se una rotta raggiunge un
numero di hop = 16 viene eliminata dalla tabella di routing.
SPLIT-HORIZON: un regola che dice che le informazioni di routing non possono essere inviate
indietro nella direzione da cui sono state ricevute. Nel nostro esempio router A non potr comunicare
a router B di conoscere network 5, in quanto tale informazione stata ricevuta da router B stesso.
ROUTE POISONING: letteralmente avvenelenamento della rotta. Se un router vede una rete
connessa andare down, setter la distanza a 16 (irraggiungibile) ed invier immediatamente tale
informazione ai router connessi (non attender il normale update di routing, questa funzione detta
triggered update). I routers che ricevono la route poisoning, pongono la rotta in holddown e
rispondono al router che ha generato il route poisoning un route poson reverse. Durante il tempo di
holddown nessun annuncio per quella rotta sar preso in considerazione.
RIP TIMERS: ci sono 4 timers che regolano il funzionamento di RIP: ROUTE UPDATE TIMERS:
default 30 secondi, il tempo dopo il quale viene un router invia lupdate di routing.
ROUTE INVALID TIMER: default 180 secondi, il tempo dopo il quale un router determina che
una rotta diventata invalida. Giunge a questa conclusione se non riceve nessun update per una
determinata rotta per questo tempo. Allo scadere il router invia un update a tutti i vicini dichiarando la
rotta irraggiungibile.
HOLDDOWN TIMER: default 180 secondi, quando un router riceve un annuncio per una rotta
irraggiungibile (hop 16) la pone in holddown state. In questo periodo nessun annuncio per quella
rotta verr preso in carico dal router.
ROUTE FLUSH TIMER: default 240 secondi, il tempo che passa da quando una rotta viene
dichiarata invalida a quando viene eliminata dalla routing table. In questi 4 minuti la rotta presente
in tabella di routing con numero hop = 16.
Una evoluzione di RIP RIP V2. A differenza di RIP classless (supporta VLSM, subnetting e
network discontigue) e permette lautenticazione (sia in chiaro, che criptata MD5) degli update di
routing. Mentre RipV1 invia gli update in broadcast, RipV2 li invia in multicast allindirizzo 224.0.0.9 .
Di default anche RIPV2 summarizza le reti connesse con la network classful che le contiene. Per
permettergli di gestire network discontigue v utilizzato il comando no auto-summary.

ESEMPIO CONFIGURAZIONE RIP: Se abbiamo un router con connesse 3 reti: Fast0/0 =

10.0.10.0/24 , Fast0/1 10.0.11.0/24 , Serial0 10.0.12.0/24 dovremo:

ABILITARE IL PROTOCOLLO: router rip

ANNUNCIARE LA MAJOR NETWORK : network 10.0.0.0

Sar il protocollo stesso ad installare in tabella di routing, e ad annunciare ai vicini le reti connesse
che appartengono a questa major network. RIPV1 non trasporta la subnet mask negli update di
routing ed effettua autosummarizzazione di default (questo comportamento non modificabile).
Annuncia solo il network identifier delle subnet connesse, assumendo che tutte le subnet che
appartengono alla major network presentino la stessa subnet.
RIPV2: Presenta tutte le caratteristiche di RIPV1, di cui replica anche lo schema di prevenzione di
loop. A differenza di RIPV1 invia gli update di routing in multicast (224.0.0.9) ed classless
(trasposta negli update di routing la subnet mask delle reti). Si abilita in configurazione protocollo
con il comando version 2. RIPV2 trasporta la subnet mask ed effettua autosummarizzazione di
default, per supportare reti discontigue va utilizzato il comando no auto-summary (in configurazione
protocollo).
Credo sia interessante notare, anche per capire a fondo il concetto di reti discontigue e
autosummarizzazione (che presente in tutti i protocolli di routing), come il router B riceva un solo
annuncio (10.0.0.0/8, cio la major network in uso su Router A), mentre utilizzando RIPV2 con il
comando no auto-summary router B riceve le rotte specifiche delle interfacce di router A
(10.0.10.0/24 e 10.0.11.0/24, dato che la 10.0.12.0/24 direttamente connessa).
PASSIVE-INTERFACE: valido sia per RIPV1 che per RIPV2, il comando (in configurazione
protocollo) passive-interface INTERFACCIA, blocca linvio degli update di routing sullinterfaccia
citata. Dallinterfaccia saranno comunque ricevuti update di routing.
VERIFICA PROTOCOLLO RIP: si possono utilizzare i seguenti 3 comandi per verificare il
funzionamento del protocollo di routing (sia RIP V1 che RIP V2):
o

show ip route: mostra lintera tabella di routing. Mostra se la rete connessa, se propagata
con routing statico o dinamico (ed eventualmente da quale protocollo annunciata). Mostra
la rete destinazione e la relativa subnet, la metrica (120 per RIP), il numero di hop,
linterfaccia di uscita.

Show ip protocols: mostra i protocolli di routing attivi sul router; simpatico notare come
l'output di questo comando varia a seconda del protocollo di routing in uso. Nel caso di RIP
mostra la versione in uso (1 o 2), i timers, le interfacce su cui attivo il RIP e quelle
passivate.

Debug ip rip: mostra gli update di routing ricevuti ed inviati dal router su cui abilitiamo il
debug (se si entrati sul router in telnet sar necessario abilitare il terminal monitor per
vedere loutput del debug).

Eigrp: Enhanced Interior Gateway Protocol

In questa sezione descriveremo ed analizzeremo due protocolli di routing proprietari Cisco: IGRP (in disuso)
ed EIGRP.
IGRP (Interior Gateway routing protocol): Protocollo proprietario Cisco di tipo IGP, DistanceVector, Classful. Supporta 255 come numero massimo di HOP (di default 100), ha una distanza
amministrativa di 100 ed utilizza una metrica composita che tiene conto della banda e del ritardo dei link.
Opzionalmente possono essere utilizzati nel computo della metrica: MTU, reliability e load.
Non pi supportato ed stato sostituito da EIGRP. Se su un router vengono configurati sia IGRP che
EIGRP, la routing-table IGRP viene automaticamente ridistribuita in EIGRP.
EIGRP (Enanched IGRP): Protocollo proprietario Cisco di tipo IGP, Distance-Vector e classless.
Supporta 255 come numero massimo di HOP (di default 100), ha una distanza amministrativa di 90 ed
utilizza una metrica composita che tiene conto della della banda e del ritardo dei link. Opzionalmente
possono essere utilizzati nel computo della metrica: MTU, reliability e load.
EIGRP viene anche definito ibrido in quanto presenta alcune caratteristiche proprie dei distance-vector ed
alcune proprie dei link state.
Come i distance-vector invia lintera tabella di routing con la metrica relativa ad ogni destinazione.
Come i link-state invia la tabella di routing solo se occorre un cambiamento nella topologia di rete e non
periodicamente, utilizza gli hello packet ed il concetto di neighbors.
EIGRP utilizza le PDM (protocol dependant module) per supportare contemporaneamente diversi routed
protocol. In pratica se su un router sono presenti indirizzi di tipo IP, IPV6, APPLETALK ed IPX il router
manterr una routing-table per ognuno di essi. Lunico altro protocollo a possedere questa funzionalit ISIS.
EIGRP pu lavorare con AS-MULTIPLI, ogni router pu appartenere ad AS diversi. Tra gli AS utilizzabile la
redistribution. Gli annunci interni ad un AS hanno distanza amministrativa = 90, quelli redistribuiti hanno
distanza amministrativa = 170.
COME FUNZIONA:Un router EIGRP ha 3 tabelle che utilizza per individuare il percorso migliore per una
destinazione:

NEIGHBOR TABLE: la tabella che contiene tutte tutti i neighbor con cui stata stabilita una
adiacenza e che inviano/ricevono update di routing.

LOCAL TOPOLOGY TABLE: la tabella che contiene tutte le rotte ricevute da tutti i routers vicini. Di
tutte queste rotte il router sceglie la migliore (quella con metrica migliore) e la inserisce nella routing
table.

ROUTING TABLE: la tabella che contiene i percorsi migliori per ogni destinazione remota.

Tutte le 3 tabelle sono immagazzinate nella RAM, le prime 2 sono popolate tramite lutilizzo degli hello
packet. La routing table popolata scegliendo i percorsi migliori tra quelli presenti nella topology table.

NEIGHBORSHIP: affinch 2 routers diventino Eigrp Neighbors devono essere soddisfatte le seguenti
condizioni:

Devono essere ricevuti gli hello packet

LAS number deve matchare.

La metrica deve essere uguale sui due router che vogliono condividere la neighborship su un link.

La neighbor-table tiene traccia di tutti i routers che sono diventati neighbor (il comando per visionare
tale tabella : show ip eigrp neighbors).

UPDATE DI ROUTING: EIGRP utilizza un protocollo detto RTP (reliable transport protocol) per
comunicare gli update di routing ai propri neighbors. Tale protocollo prevede linvio in multicast (224.0.0.10)
dellupdate di routing. Ogni neighbors che riceve lupdate risponde al router che ha generato lupdate.
Se un neighbors non risponde, il router invier lupdate in unicast (direttamente al neighbor che non ha
risposto) per 16 volte, prima di dichiararlo non raggiungibile.
Tutti gli update di routing cosi ricevuti vanno a popolare la topology-table (il comando per visionare tale
tabella : show ip eigrp topology-table) che contiene tutti i possibili percorsi per una destinazione.
ROUTING T ABLE: EIGRP utilizza un protocollo detto DUAL (diffusing update algorith) per scegliere il
percorso con metrica migliore tra tutti quelli presenti in topology-table. EIGRP pu bilanciare traffico su
massimo 4 percorsi con metrica uguale.
ALCUNI TERMINI UTILI:

FESIABLE DISTANCE: la metrica minore per una certa destinazione.

SUCCESSOR ROUTE: la rotta che presenta la fesiable distance. Verr inserit in routing-table.

FESIABLE SUCCESSOR: la rotta che presenta la miglior seconda metrica per una certa
destinazione. E la rotta di backup rimarrr nella topology-table.

ESEMPIO DI CONFIGURAZIONE EIGRP: Se abbiamo un router con connesse 3 reti: Fast0/0 =

10.0.10.0/24 , Fast0/1 10.0.11.0/24 , Serial0 10.0.12.0/24 dovremo:

ABILITARE IL PROTOCOLLO: router eigrp 20 (v specificato lAS che dovr essere lo stesso anche
sul neighbor, pertanto va condiviso con l'amministratore del RouterB.)

ANNUNCIARE LA MAJOR NETWORK : network 10.0.0.0; Il protocollo EIGRP si attiva sulle sole
interfacce che hanno IP appartenenti alla rete dichiarata e: invia hello packet su queste interfacce al
fine di attivare una neighborship, inserisce in topology table le network IP di queste interfacce.

In questo caso su RouterB arriveranno gli annunci delle 2 Lan connesse a RouterA, trmaite EIGRP, come
mostrato nella figura seguente (presa in lab):

Da notare che EIGRP trasporta la subnet mask negli update di routing ed effettua autosummarizzazione. Per
poter supportare network discontigue va utilizzato il comando no-autosummary (in configurazione
protocollo).
COM ANDI OPZIONALI:
MAXIMUM PATHS: di default EIGRP bilancia il traffico fino a 4 percorsi con metrica uguale. Con il comando
maximum-paths (in configurazione protocollo) si pu dire al router di bilanciare fino ad un massimo di 6
percorsi (con metrica uguale o diversa).

MAXIMUM HOPS: di default EIGRP gestisce percorsi fino ad un massimo di 100 hops. Con il
comando metric maximum-hops (in configurazione protocollo) si pu dire al router di gestire percorsi
fino ad un massimo di 255 hops.

PASSIVE-INTERFACE: in EIGRP questo comando blocca sia linvio che la ricezione degli update di
routing su una interfaccia. Si esegue in configurazione protocollo con il comando passive-interface
INTERFACCIA

BILANCIARE SU PIU PERCORSI: come detto EIGRP di default utilizza i parametri bandwidth e
delay per calcolare la metrica. Se volessimo forzare il router a bilanciare su percorsi con metrica
diversa dobbiamo configurare dei valori identici di bandwidth e delay sotto le relative interfacce. I
comandi, da usare in configurazione interfaccia sono: int s0/0 ; delay valore; bandwidth valore.

VERIFICA PROTOCOLLO EIGRP: si possono utilizzare i seguenti 3 comandi per verificare il

funzionamento del protocollo di routing:

show ip route: mostra lintera tabella di routing

show ip route eigrp: mostra solo le entry create da EIGRP nella tabella di routing.

Show ip eigrp neighbors: mostra la neighbors table

Show ip eigrp topology: mostra la topology table

Debug eigrp packet: mostra gli hello packet inviati/ricevuti dal router.

Debug ip eigrp notification: mostra i cambi di stato dei neighbors e gli update di routing inviati/ricevuti
dal router.

Nella figura seguente trovate l'output dei comandi show ip eigrp neighbors e show ip eigrp topology catturati
sul RouterB (vedi esempio inizio pagina).

OSPF: open short path first

OSPF un protocollo openstandard di tipo lynk-state e classless. Ha una distanza amministrativa = 110 ed
utilizza come metrica il costo del percorso, cio la somma del costo di tutti i link facenti parte del percorso.
Il costo di un link = 10^8 / Bandwidth. Non ha limiti in termini di hop. Trasporta la subnet mask negli update
di routing non effettua autosummarizzazione di default.
OSPF pu lavorare allinterno di un AS (come un IGP) o interconnettere pi AS insieme (come un EGP), il
router che connette pi AS detto ASBR (as border router).
OSPF introduce il concetto di area. Il router OSPF che interconnette aree diverse detto ABR (area border
router). In pratica tutti i routers della rete vengono divisi in aree; I routers allinterno di unarea
scambieranno update solo con gli altri routeers appartenenti alla stessa area. Larea 0 (detta area di
backbone) sar utilizzata per interconnettere tutte le aree (tale area deve sempre essere presente). Da
notare che larea ID pu assumere valori compresi tra 0 4.3 Miliardi. Lutilizzo di un design gerarchico
(quindi dellutilizzo delle aree) permette 3 vantaggi:

Riduce loverhead di routing

Velocizza i tempi di convergenza

Confina uninstabilit di rete allinterno dellarea dove avviene.

COME FUNZIONA: Un router OSPF ha tre tabelle, o database, che utilizza per individuare i percorsi
migliori per una data destinazione:

NEIGHBORS DATABASE: contiene lelenco di tutti i router per i quali sono stati ricevuti degli hello
packet. Viene popolato dagli hello packet ricevuti.

TOPOLOGY DATABASE: contiene le informazioni ricevute da tutti gli LSA ricevuti per unarea.
Queste informazioni vengono utilizzare dallalgoritmo di Dijastra per individuare il percorso pi breve
per una destinazione.

ROUTING TABLE: i percorsi pi brevi per ogni network dellarea sono (risultanti dalleleborazione
dei dati presenti nel topology database) vengono inseriti in tabella di routing.

NEIGHBORSHIP: i routers che condividono un segmento diventeranno neighbors su quel segmento.

Questo si realizza (come per EIGRP) tramite lo scambio di hello packet (inviati in multicast allindirizzo
224.0.0.5). Affinch 2 routers diventino neighbors devono realizzarsi le seguenti condizioni:

Larea id delle interfacce sul segmento deve essere uguale.

Authentication: se abilitata lautenticazione, la password deve matchare.

I timers dei pacchetti di hello e dead devono essere identici (Si possono verificare con il comando
show ip ospf interface).

OSPF ha un comportamento diverso a seconda del tipo di rete su cui attivo. I tipi principali di rete sono 3:
RETI P2P (point to point): sono reti che forniscono accesso esclusivo tra 2 routers OSPF (CDN,
connessioni frame-relay point point). Su questo tipo di reti non avviene l'elezione del DR e BDR ma, se i
parametri contenuti negli hello sono corretti, si realizza l'adiacenza.
RETI BM A (broadcas multiaccess): sono reti che forniscono accesso broadcast, ad esempio
Ethernet. Su questo tipo di reti viene effettuata lelezione di DR e BDR.
RETI NBM A(no broadcast multiaccess): sono reti che non forniscono accesso broadcast ma
permettono a pi routers di collegarsi alla stessa rete, ad esempio Frame-Relay. Su questo tipo di reti viene
effettuata lelezione di DR e BDR.
In alcune tipologie di rete (NBMA e BMA) gli update di routing non vengono scambiati con tutti i neighbors
ma solo con i routers con cui si stabilit una adiacenza OSPF. In pratica su reti che mettono in
comunicazione pi di 2 routers (Ethernet, FR multipoint) si dovrebbero realizzare parecchie neighborship per
connettere ogni router con tutti gli altri. In questo tipo di reti molti router ospf condividono il medesimo
segmento di rete (ad esempio una lan). Questo comporterebbe che ogni router sia neighbor con tutti gli altri,
generando una mole di update routing che occuperebbe molta banda. Per evitare questo vengono eletti 2
router (DR o designated router, e BDR o backup designated router) che si occuperanno di stabilire le
adiacenze con tutti gli altri. Tutti i router scambieranno gli update solo con DR e BDR, che a loro volta
inoltreranno gli update a tutti i routers.
Il processo di elezione di DR e BDR avviene tramite gli hello packet allindirizzo multicast 224.0.0.6. Tra le
varie informazioni scambiate da questi pacchetti c la ospf prioriy, che di default settata a 1 (si pu
verificare con il comando show ip ospf interface). Il router con la ospf priority pi alta diventer DR, il
secondo sar il BDR (un router con ospf priority=0 non sar mai eletto DR o BDR). Se tutti i router hanno la
ospf priority di default, il router con il RID (router id) diventer il DR, il secondo sar il BDR. Il valore di
default pu essere modificato (in configurazione interfaccia) con il comando ip ospf priority X.

La figura precedente mostra una rete composta da 4 router OSPF attestati ad una Vlan su uno switch. In
questo caso saranno necessarie 6 neighborship totali (vedi linee tratteggiate nella figura) per connettere a
livello OSPF i routers.
La figura seguente mostra invece cosa succede grazie all'elezione del DR/BDR, e cio la necessit di solo 4
adiacenze (ogni router avr 2 adiacenze, una verso il DR e l'altra verso il BDR).

Il router ID (RID) identifica il router allinterno del processo OSPF. Elindirizzo pi alto configurato su tutte le
loopback del router stesso. In assenza di loopback viene utilizzato come RID lindirizzo ip pi alto configurato
sul router. La neighbor-table si pu visionare con il comando show ip ospf neighbor.

UPDATE DI ROUTING: OSPF utilizza le LSA (link state advertisement) per scambiare gli update di
routing, tutti i percorsi imparati dalle LSA sono posti nel topology database. Il topology-database
visionabile con il comando show ip ospf topology.
ROUTING-T ABLE: lalgoritmo di Djastra utilizza le informazioni del topology database per calcolare il
percorso con costo minore per una data destinazione. Questa rotta verr inserita in routing-table.
ESEMPIO DI CONFIGURAZIONE OSPF: Data la rete descritta nella figura seguente, dove abbiamo
un router con connesse 3 reti: Fast0/0 = 10.0.10.0/24 , Fast0/1 10.0.11.0/24 , Serial0 192.168.100.0/30
dovremo:

ABILITARE IL PROTOCOLLO: router OSPF 201.

ANNUNCIARE LE NETWORK, LA WILDCARD RELATIVA E LAREA A CUI QUESTO LINK E

ASSEGNATO: network 10.0.10.0 0.0.0.255 area 0; network 10.0.11.0 0.0.0.255 area 0 ; network
192.168.100.0 0.0.0.3 area 0

Applicando la configurazione sopra descritta al router A, sul router B arriveranno le rotte specifiche delle
network di Router A (10.0.10.0/24 e 10.0.11.0/24).Alc identificare i processi OSPF localmente. Infatti un
router pu presentare pi processi OSPF contemporaneamente. Ognuno di essi avr una propria topology
table , i processi non interagiranno tra loro. Il Process ID pu assumere valori compresune note in merito ai
comandi appena visti:
il Process ID (10) ha senso solo localmente, non tutti i router che devono scambiarsi update di routing
devono avere lo stesso valore. Serve esclusivamente peri tra 1 e 65535.
La WILDCARD sostanzialmente il negativo della subnet mask. Tutte le interfacce che presentano indirizzi
ip compresi nel range espresso da network+wildcard mask verranno inserite nelle LSA (cio su di esse verr
attivato OSPF) e saranno inserite in area 0.
LAREA ID pu essere espresso come decimale(0) , o come dotted decimal (0.0.0.0). Pu assumere valori
compresi tra 1 e 4.2 bilioni.
ALTRI COM ANDI UTILI:

IP OSPF PRIORITY X (in configurazione interfaccia): modifica la ospf priority di una interfaccia. Il
router con priority maggiore verr scelto come DR.

PASSIVE-INTERFACE: come per EIGRP se viene passivata una interfaccia, su questa interfaccia
non verranno ne inviati ne ricevuti update di routing.

VERIFICA PROTOCOLLO OSPF: per verificare il funzionamento di OSPF si utilizzano alcuni comandi
gi visti per le verifiche del RIP, ed alcuni nuovi tipici di OSPF:

show ip route: mostra lintera tabella di routing. Per il dettaglio delle informazioni fornite da questo
comando si veda la sezione "Il Routing IP".

show ip ospf/show ip ospf X: mostra le informazioni relative ad uno o a tutti i processi OSPF attivi sul
router. Fornisce le seguenti info: process ID, Router ID, Area info (e numero di interfacce attive
nellarea), LSA timers, statistiche SPF.

sh ip ospf database: mostra il topology database. Essenzialmente mostra tutti i neighbors ed il loro
router ID (spiegare nel dettaglio questo comando implica la spiegazione dei vari tipi di LSA e dei
relativi concetti di funzionamento, che non sono oggetto del corso CCNA e sono particolarmente
complessi.

show ip ospf interface interfaccia: mostra le statistiche OSPF relative allinterfaccia: stato
dellinterfaccia, indirizzo ip dellinterfaccia, tipo di rete (p2p, p2mp, bma, nbma), timers, costo del link,
area id, process id, ospf priority, router id del neighbor, eventuali DR/BDR.

show ip ospf neighbor: mostra le informazioni relativi ai neighbors. Router ID del neighbor, stato
della neighborship.

Show ip protocols: mostra i protocolli di routing attivi sul router. Nel caso di OSPF mostra: process
ID, Router ID, tipo di area, network ip e aree configurate per OSPF ed il router ID dei neighbors.

debug ip ospf packet: mostra gli hello packet inviati/ricevuti dal router.

debug ip ospf hello: mostra gli hello packet inviati/ricevuti dal router; fornisce maggiori dettagli del
comando precedente.

debug ip ospf adj: mostra il processo di elezione di DR e BDR per reti NBMA e BMA.

Il dettaglio dei comandi diagnostici in ambito OSPF disponibile (in lingua inglese) a questa pagina del
sito Cisco.

Reti WI-FI
Le implementazioni Wireless sono definite dallo standard IEEE 802.11 e sono simili alle implementazioni
10BaseT che utilizzano un hub, quindi realizzano comunicazioni half-duplex che condividono la stessa
banda ed in cui ogni host pu comunicare solo se non ci sono altre trasmissioni in essere.
La differenza sostanziale risiede nel medium fisico utilizzato a Livello 1 per trasportare i bits: rame (cavo
UTP) nel caso di implementazioni 10BaseT, cavo coax per implementazioni 10Base2/10Base5, onde radio
per implementazioni 802.11.
Le trasmissioni WI-FI utilizzano frequenze radio (RF) emanate da una antenna che genera onde radio
(chiamato access-point o AP); tipicamente gli AP annunciano la rete (SSID) a cui gli hosts possono
collegarsi (opzionalmente prevista l'autenticazione degli utenti o il mascheramento del SSID). Il problema
principale delle onde radio che possono essere assorbite o riflesse causando perdita di segnale (bassa
potenza del segnale).
La soluzione parziale a questo problema lamplificazione del segnale, che permette di coprire distanze
maggiori. Bisogna per considerare che insieme al segnale andremmo ad amplificare anche i disturbi, quindi
lamplificazione va effettuata con attenzione.
Il WI-FI lavora su delle frequenze libere, cio non assegnate dagli organismi statali che gestiscono le
frequenze radio (ad esempio le frequenze AM/FM utilizzate dalle radio).FCC (lente che gestisce le
frequenze radio in USA) ha lasciato 3 bande libere per il WI-FI: 900MHz, 2.4 GHz, 5.7 GHz. Lo standard
IEEE (organismo che si occupa della standardizzazione dei servizi) per WI-FI 802.11. A questo standard
sono stati affiancati molti emendamenti. La tabella seguente compara i principali:

802.11b: opera a 2.7GHz e fornisce velocit di 11Mbit/sec . Sono disponibili 14 diversi canali (11
overlapping; 3 non overlapping: 1,6,11) per la trasmissione. Per prevenire le collisions utilizza CSMA/CA
(carrier sense multiple access with collisions avoidance) anche detto ready to send/clear to send. In pratica
prima di inviare dati il client invia un pacchetto (ready to send) allantenna (Access point, AP). LAP risponde
(per confermare la possibilit di trasmissione al client) con un clear to send. A questo punto il client invia i

dati. Lap conclude con un ack. Le velocit a cui possono lavorare i clients 802.11b sono: 11, 5.5, 2, and
1Mbps. La vel massima si raggiunge fino a 150 feet, la velocit minima fino a 350 feet. Utilizza come tecnica
di modulazione DSSS e gestisce circa 25 utenti per cella.
802.11g: opera a 2.7GHZ e fornisce velocit di 54Mbit/sec. E pienamente compatibile con 802.11b, ed
utilizza gli stessi canali (11 overlapping; 3 non overlapping: 1,6,11) C da dire che se client 802.11b e
802.11g si connettono allo stesso AP tutti utilizzeranno CSMA/CA di 802.11b. In questo caso tutti
opereranno alle velocit di 802.11b. gestisce circa 20 utenti per cella. Utilizza come tecnica di modulazione
OFDM, se allap sono connessi solo clients 802.11g; se ci sono anche client 802.11b tutti i clients utilizzano
DSSS. La vel massima si raggiunge fino a 90 feet, la velocit minima fino a 300 feet.
802.11a: opera a 5.5 GHz e fornisce velocit di 54Mbit/sec. Utilizza 12 canali non overlapping. Gestisce
circa 15 utenti per cella. La vel massima si raggiunge fino a 75 feet, la velocit minima fino a 190 feet.Le
velocit a cui possono lavorare i clients 802.11a e 802.11g sono 54, 48, 36,24,12,9 e 6 Mbit/sec.
802.11h: un estensione di 802.11a, presenta le stesse peculiarit, ma i canali utilizzabili sono 23 sempre
non overlapping. Fornisce 2 nuovi features:

DFS: monitora continuamente il range dei 5.5 GHz prima di trasmettere. Se rileva segnali cambia
canale e marka quello precedente come unavaileble per prevenire le interferenze.

TPC: fa si che il client moduli la potenza di trasmissione verso lap per coprire vari range. Il cliente
pu affinare la propria potenze di trasmissione preservando la propria batteria e limitando le
interferenze con altri AP.

802.11n: promette di fornire velocit fino a 250Mbit/sec, ma ancora in fase embrionale. Lavora sia a 2.7
che a 5.5 GHz e permette di utilizzare antenne multiple.
DAT A-RATE-SHIFT: Le velocit sono da intendersi come valori massimi, infatti le comunicazioni WI-FI
hanno una particolarit detta data-rate-shift. In pratica clients connessi allo stesso AP opereranno a velocit
diverse a seconda del loro posizionamento rispetto allAP stesso. Questo processo disponibile per 802.11b
e 802.11a .
RETI WI-FI: esistono 2 tipologie principali di reti WI-FI:BSS e ESS. Cisco ha sviluppato una tipologia
proprietario di rete WI-FI chiamata Split-Mac-Architecture. Di seguito il dettaglio delle 3 tipologie

BSS (basic service set): tutti gli utenti si collegano ad un solo AP per comunicare con tutti gli altri o
con le risorse presenti sulla rete wired.

ESS (extended service sec): 2 o pi BSS sono connessi insieme da un sistema di distribuzione
comune (una lan). In questo caso gli AP devono lavorare su canali diversi per evitare interferenze.

Nel caso descritto dalla figura precedente, solo PC-02 si trova sotto copertura di AP1 (che realizza
una BSS), mentre PC-02 e PC-03 si trovano fuori copertura (senza possibilit di accesso alla rete.

In questo secondo esempio la rete WI-FI stata trasformata in ESS, cio ampliata con un secondo
AP (AP2). In questo modo tutti i PC sono sotto copertura WI-FI e potranno accedere alla rete. Da
notare che PC-01 sotto copertura di AP1, PC-03 sotto copertura di AP2 e PC-02 nella zona di
overlap. Come best practices questa zona non deve superare il 10% della superfice dell'ESS.
ARCHITETTURA WI-FI CISCO:

Cisco ha sviluppato una propria architettura per reti WIFI chiamata split mac architecture. Il nome
deriva dal fatto che i controller e gli AP si dividono i pacchetti 802.11 . Il controller gestisce la parte
non realtime, gli AP gestiscono la parte realt-time (pu esserci il caso che non tutti gli AP possono
essere collegati alla rete cablata, ma si connettano tramite WI-FI ad un altro AP (a sua volta
connesso alla rete switched). In questo caso si parla di rete mesh).

CONTROLLER: apparato che gestisce tutti gli AP, controllandone la potenza di

trasmissione, i clients connessi, le interferenze ed il rumore su ogni canale.

AP: gli access point, permettono la connessione WIFI alla rete. Cisco commercializza 2 tipi
di AP: indoor (da interno, ad esempio il modello 1020 AP) ed outdoor (da esterno, ad
esempio il modello 1520 AP.

LWAPP: il protocollo che permette il dialogo tra gli AP ed i controller.

Cisco commercializza, oltre a controller ed AP, anche delle schede controller dot11.radio (che si
installano nei router modulari - ad esempio 2811 2911 ect) e dei router di fascia bassa (della serie
800) con controller dot11 integrato. La configurazione di questi apparati non rientra nel programma
dell'esame CCNA e non verr trattata qui).
WIRELESS SECURITY: La sicurezza base di una rete WLAN fatta da :
o

SSID: il nome comune della rete WLAN. Lo SSID previene laccesso alla rete dei clients
che non conoscono lo SSID (se viene mascherato, altrimenti liberamente visibile ad ogni
client WI-FI). Il problema che lo SSID viene broadcastato pi volte al secondo, e anche se
lAP lo mascherasse un malintenzionato potrebbe facilmente scoprirlo ascoltando le risposte
di un client trust verso lAP. Infatti questa informazione (lo ssid) viaggia in chiaro (come da
specifiche 802.11).

A livello di autenticazione degli utenti il WI-FI offre 3 opzioni:

o

OPEN AUTHENTICATION: il client invia lo ssid allAP. Se corretto si connette.

SHERED KEY AUTHENTICATION: lap invia un pacchetto di testo in chiaro al client, e

cripta lo stesso pacchetto di testo con la chiave WEP. Anche il client lo crypta con la propria
chiave WEP e lo ritorna allAP. Se il pacchetto ricevuto dallap uguale a quello criptato
dallap stesso significa che la chiave WEP matcha. In questo caso avviene
lautenticazione.Anche questo metodo non considerato sicuro perch un malintenzionato
pu sniffare sia il pacchetto di testo in chiaro che la risposta criptata dal client verso lap,
cosi pu facilmente risalire alla chiave WEP. La chiave WEP 40 o 128 bit e deve essere
definita manualmente sullap e su tutti gli hosts che si connettono ad esso.

WAP o WPA2 pre shered key: il metodo migliore per fornire sicurezza ad una WLAN. La psk identifica gli
utenti tramite una password (passphrase) sia sul client che sullap. La PSK viene anche usata come base
per criptare tutti i pacchetti trasmessi. Il problema sempre che la password storata sul client, e pu
essere sniffata. Implementate da 802.11i

Internet Protocol Version 6

IP Version 6 un protocollo routed di livello 3, evoluzione di IP. Gli indirizzi IPV6 sono lunghi 128 bit (contro i
32 di IPV4) questo significa che IPV6 fornisce molti pi indirizzi IP rispetto a IPV4 (3.4 x 10^38 contro 4.3 X
10^9). Questo permetter di rispondere alla crescente richiesta di indirizzi IP che sta portando alla
saturazione degli indirizzi IPV4.
Gli indirizzi IPV6 vengono espressi con 8 blocchi di 2 Byte (128 bit = 16 byte) espressi in Hex e delimitati da :
Gli indirizzi IPV6 sono divisi in 3 parti: Global prefix (6 bytes), Subnet (2 bytes), Interface ID (8 bytes).
Ad esempio dato un IPV6 = 2001:0db8.3c4d.0012:0000:0000:1234:56ab :

GLOBAL PREFIX = 2001:0db8:3c4d

SUBNET = 0012

INTERFACE ID = 0000:0000:1234:56ab

L'header del pacchetto IPV6 abbastanza simile al pacchetto IPV4, in particolare contiene i campi source e
destination address che hanno le stesse funzioni rispetto ai corrispettivi campi IPV4.

SEMPLIFICAZIONE DEGLI INDIRIZZI: Gli indirizzi IPV6 possono essere semplificati applicando le
seguenti regole:
Tutti i blocchi composti da soli 0 possono essere espressi da un solo 0. Applicando questa regola al nostro
esempio avremo: 2001:0db8:3c4d:0012:0:0:1234:56ab Possiamo eliminare tutti gli 0 che occupano gli slot a
sinistra nei blocchi. Applicando questa regola al nostro esempio avremo: 2001:db8:3c4d:12:0:0:1234:56ab
Possiamo sostituire i blocchi di tutti 0 con : . Applicando questa regola al nostro esempio avremo:
001:db8:3c4d:12::1234:56ab
Questultima regola per applicabile solo ai blocchi di tutti 0 contigui. Questo per permettere ai routers di
capire

dove

inserire

blocchi

all

mancanti.

Guardiamo

questo

esempio:

2001:0000:0000:1234:0000:0000:1234:4567 ; Non potremo mai fare 2001::1234::1234:4567 , in quanto un

router si accorgerebbe che mancano 4 blocchi (se ne aspetta 8 intervallati da :), ma non riuscirebbe mai a

capire se ne vanno inseriti 2 in corrispondenza dei primi : e 2 in corrispondenza dei secondi : , se ne vanno
inseriti 1 e 3 o ancora 3 e 1.
TIPI DI INDIRIZZI: In IPv4 avevamo unicast, broadcast e multicast. In IPV6 abbiamo:

UNICAST: I pacchetti indirizzati ad un indirizzo unicast saranno consegnati ad una singola

interfaccia. Per load balancing pi interfacce possono assumere lo stesso indirizzo.

GLOBAL UNICAST ADDRESS: sono gli indirizzi pubblici liberamente ruotabili in internet.

LYNK-LOCAL ADDRESS: sono gli indirizzi privati che non possono essere ruotati ne in internet ne
in intranet. Pensa ad una lan temporanea per un meeting, o per connettere hosts che devono
condividere delle risorse.

UNIQUE-LOCAL ADDRESS: sono indirizzi privati, ma possono essere ruotati in intranet (non in
internet).

MULTICAST: i pacchetti indirizzati ad un indirizzo multicast saranno consegnati a tutte le interfacce

identificate dallindirizzo multicast (cominciano sempre per FF).

ANYCAST: simile al multicast, ma con la differenza che il pacchetto sar consegnato solo al primo
indirizzo trovato tramite istanza di routing (di tutti quelli identificati dallindirizzo anycast).

Una interfaccia pu avere pi di un indirizzo IPV6 di tipo diverso (ad esempio un global unicast address ed
un UNIQUE-LOCAL ADDRESS)
CLASSI INDIRIZZI IPV6: Le principali sono 4, si riconoscono dal valore assunto dai primi 2 bytes
significativi:

2000::/3 Global Unicast range

FC00:/7 Unique local unicast range

FE80 ::/10 Lynk-local unicast range

FF00 ::/8 Multicast range

Routing IPV6
COME LAVORA IPV6 IN UNA RETE: Cominciamo a vedere come assegnare un indirizzo ad un host.
Ci sono 2 modalit per assegnare un indirizzo IPV6 ad una NIC: stateless e stateful configuration.
STATELESS ( AUTOCONFIGURATION): il metodo utilizzato da una NIC IPV6 per autoassegnarsi un
indirizzo (questo metodo definito dalla RFC2472). In pratica la NIC crea il proprio indirizzo prendendo il
Global ID e la subnet (totale 64 bits) dal router ed aggiundoci il proprio interface ID.
Cosa linterface ID? Deriva dal mac-address, ma dato che il mac-address 48 bit e linterface ID deve
essere di 64 bit, ne vengono aggiunti 16 (2 byte in HEX: FFFE) al centro del MAC ADDRESS. ESEMPIo:
MAC ADDRESS= 0060.d673.1987 -> INTERFACE ID= 0260.d6FF.FE73.1987. Dallesempio si pu vedere
che il secondo slot HEX stato modificato da 0 a 2. Questo perch il 7 bit del primo byte indica se si tratta di
un indirizzo global (1) o link-local (0). Da notare che lhost chiede al router il prefix id tramite ICMP 133, il
router risponde con ICMP 134. Entrambi i messaggi sono inviati in multicast.
STATEFULL: Richiede lutilizzo di DHCP server; tale configurazione non oggetto dell'esame CCNA.
ABILITARE IPV6 SU ROUTER CISCO:

in conf generale: ipv6 unicast-routing

in conf interfaccia possiamo assegnare un ipv6 allinterfaccia stessa (ipv6 address

2001:db8:3c4d:1:0260.d6FF.FE73.1987/64) oppure dire allinterfaccia di prendere un ipv6 via
autoconfiguration stateless (ipv6 enable).

PROTOCOLLI DI ROUTING IPV6:

RIPng: funziona come ripv2, usa la porta udp 521 ed invia update in multicast allindirizzo FF02::9. Si
abilita in configurazione generale con il comando: ipv6 rip 1 enable (a differenza di RIPV1 e RIPV2 bisogna
indicare il process ID).
EIGRPV6: funziona come eigrp, invia gli hello packet e gli update allindirizzo multicast FF02::A. Si abilita
in configurazione generale con :il comando ipv6 router eigrp 10 ; no shutdown (si, si deve attivare come una
interfaccia). Da notare che gli hello e gli update vengono propagati solo se le interfacce sono state
configurate per IPV6 con il comando ipv6 eigrp 10.
OSPFV3: funziona come ospf, ma il rid, larea id ed il link id (anche se sono ancora valori 32 bit) non
vengono scelti tra quelli attivi dall'IOS (viene scelto l'ip pi basso) ma vengono configurati esplicitamente.
OSPFV3 invia gli hello packet e gli update allindirizzo multicast allindirizzo FF02::5 (ospf router) e FF02::6
(ospf designated router). Si abilita in configurazione generale con il comando: ipv6 router ospf 10 ; area-id
1.1.1.1. Le interfacce vengono assegnate automaticamente al process ospf. In configurazione vedremo il
seguente comando (inserito automaticamente) ipv6 ospf 10 area 1.1.1.1.
I comandi di verifica dei protocolli di routing IPV6 sono praticamente identici a quelli dei corrispettivi protocolli
di routing IPV4, solitamente sufficente sostituire, nel comando, IP con IPV6. Per questo motivo i comandi e
gli output non sono ripetuti qui.
MIGRARE A IPV6: ci sono 3 modalit per migrare da una rete IPV4 ad una IPV6:

DUAL STACKING: sugli apparati sono presenti sia lo stack IPV4 (che gestisce le vecchie
comunicazioni) e IPV6 (che gestisce le nuove). Semplicemente si configura su ogni interfaccia un
ipv4 ed uno ipv6.

6TO4 TUNNELING: viene usata se si hanno 2 reti IPV6 che devono comunicare tra loro attraverso
una rete IPV4. Il tunnel verr configurato tra i routers IPV6 direttamente connessi alla rete IPV4, ed i
pacchetti IPV6 saranno trasportati come data nei pacchetti IPV4:

NAT-PT: teoricamente si natta un ip ipv4 con uno ipv6, in pratica va usata solo come ultima risorsa. La
configurazione ed il funzionamento di questa feature non sono oggetto dell'esame CCNA.