Professional Documents
Culture Documents
Agli albori dell'informatica (primi anni '60) i computers erano macchine enormi (chiamati anche
elaboratore centrale o main-frame) che non prevedevano l'interazione con altri computers
(chiamati anche host o client). Solo in un secondo momento nacque la necessit di sfruttare la
potenza di calcolo e le risorse (storage, stampanti) dell'elaboratore centrale da postazioni di lavoro
remote (tipicamente equipaggiate con macchine molto meno performanti e potenti rispetto
all'elaboratore centrale). Questa necessit port l'industria alla creazione dei primi tipi di reti.
In generale con il termine rete viene indicato l'insieme di protocolli, apparati e media fisici
(cablaggi, connettori, NICs e leased line)che concorrono al trasferimento di dati tra hosts remoti.
Con il termine networking invece viene indicato l'insieme delle attivit inerenti le reti (progettazione,
implementazione, configurazione, ottimizzazione e manutenzione).
Il primo tipo di reti furono costruite essenzialmente per permettere agli hosts di sede (un ufficio di
qualche piano, al massimo un palazzo) di comunicare con il main-frame e furono chiamate LAN
(local area network).
Users
LAN
Main Frame
Fig. 1.1 Rete di accesso al main frame
Successivamente emerse la necessit di permettere anche agli hosts installati nelle sedi remote
(chiamate anche periferie o branch office) di colloquiare con i sistemi installati nella sede centrale
(chiamata anche Head quarter o central office).Questo tipo di reti geografiche viene chiamato
WAN (Wide area network) e vengono tipicamente realizzate interconnettendo le sedi remote alla
sede centrale tramite leased line (linee prese in affitto da ISP - Internet Service Provider).
Users
LAN
Negli ultimi anni molte reti sono utilizzate per trasportare, oltre ai dati delle applicazioni, anche la
voce (VOIP) ed i video (videosorveglianza, videoconferenza, streaming video). Questo tipo di reti
vengono comunemente chiamate reti convergenti.
IP Phone
Users
Switch
LAN
Firewall
Router
IPTV
IP PBX
Server
Fig. 1.3 Schema di una moderna rete multi service
Circa agli inizi degli anni '70 l'industria (riunita nell'ISO - International Organization for
standardization) cominci a riflettere sulla possibilit di standardizzare la comunicazione tra hosts
remoti dividendo la comunicazione in livelli ed assegnando ad ogni livello un set specifico di
funzioni. Le motivazioni sono riassumibili nei seguenti 4 punti:
Circa a meta degli anni '70 vennero sviluppati 2 modelli per la standardizzazione delle
comunicazioni dati: OSI (Open Systems Inteconnecc.ion, svilippato dall'ISO) e DOD (department
of defense, sviluppato dal Governo USA e chiamato anche TCP/IP). I due modelli sono molto
simili, infatti assicurano le stesse funzioni anche se le raggruppano diversamente. La figura
seguente mostra la corrispondenza tra i livelli dei 2 modelli, successivamente sono dettagliate le
funzioni espletate ad ogni livello del modello OSI.
APPLICAZIONE
PRESENTAZIONE
APPLICAZIONE
SESSIONE
TRANSPORTO
END-TO-END CONTROL
RETE
RETE
INTERNETWORKING
DATA LINK
INTERFACCE FISICHE
FISICO
Fig. 2.1 Modello ISO/OSI e Modello DOD (noto anche come TCP/IP)
Verranno ora descritte le funzioni espletate da ogni livello del modello ISO/OSI. Grazie alla figura
di pagina precedente sar facile risalire alle funzioni espletate dai livelli del modello TCP/IP (vista
la corrispondenza tra i livelli dei 2 modelli).
Application
Questo livello fornisce linterfaccia tra lapplicazione e la rete. In pratica quando una applicazione
ha bisogno di comunicare con un host remoto, invia i dati a questo livello. Questo livello non v
confuso con lapplicazione stessa, infatti aprendo un file HTML in locale sul proprio PC non avverr
alcuna interazione con lo stack OSI o TCP/IP, ma se si apre un file HTML su Internet sar
necessario scambio di dati con il server Web ed avverr linterazione. Le applicazioni pi comuni
sono telnet, smtp, http, https, ftp, tftp, snmp, dns.
Presentation
Questo livello si occupa di formattare (o presentare) in formato standard i dati ricevuti dalle varie
applicazioni prima di trasmetterle al livello inferiore. A questo livello sono associate le operazioni di
compressione e decompressione dati ed encryption e decryption dei dati.In pratica riceve i dati
dalle varie applicazioni (audio, web, word ecc.) e li presenta in formato standard al livello inferiore.
Session
Questo livello si occupa del set-up, del mantenimento e dellabbattimento delle sessioni richieste
dal livello Application. Verifica la disponibilit delle risorse di rete necessarie alla comunicazione e
mantiene separati i dati relativi a diverse comunicazioni. I dati a questi 3 livelli vengono chiamati
PDU (protocol data unit).
Transport
Questo livello responsabile per la frammentazione dei dati facenti parte delle sessioni in
segmenti di dimensioni identiche, della creazione di un canale virtuale tra lhost sender e lhost
receiver allinterno della rete e della consegna dei segmenti allhost receiver. I dati a questo livello
vengono chiamati SEGMENT.
Internet
I protocolli a questo livello sono responsabili principalmente per :
Fornire un indirizzamento logico agli hosts della rete e trasportare i dati utente tra hosts.
Tenere traccia della posizione degli apparati nella rete ed individuare il percorso migliore
verso ogni destinazione.
I dati a questo livello sono detti DATAGRAMS o PACKETS.
Data Link
Questo livello gestisce lindirizzamento fisico degli apparati ed responsabile per la consegna dei
dati allinterno di un segmento fisico. Esegue le seguenti funzioni: Error notification, network
topology e controllo di flusso. Il livello Data Lynk si occupa anche della traduzione delle frames in
bits e dalla loro consegna al medium fisico.I dati a questo livello si chiamano frames.
Physical
Questo livello responsabile per il rispetto delle specifiche elettriche, meccaniche, procedurali per
attivare mantenere ed abbattere un link fisico tra end point. Si interfaccia con i pi disparati tipi di
medium fisico e traduce i bits nella relativa forma (luce per le fibre, tensione per il rame, onde radio
per il Wi-Fi). I dati a questo livello si chiamano bits.
Encapsulation - Decapsulation
Il processo subito dai dati nel passaggio dal livello Application al livello Physical detto
Encapsulation. Il processo inverso detto Decapsulation. Il funzionamento prevede che ad ogni
livello viene aggiunto lheader del protocollo operante a quello stesso livello (in pratica il pacchetto
di livello superiore viene incapsulato nel campo "data" del pacchetto di livello inferiore). Come visto
in precedenza ad ogni livello i dati acquisiscono un nome diverso. Questo processo verr
analizzato nel dettaglio nel secondo capitolo della presente guida, in quanto ritengo possa risultare
maggiormente chiaro dopo aver analizzato i livelli 4,3 e 2 nel dettaglio. In buona sostanza
possiamo schematizzare la comunicazione tra due host nel seguente modo:
A livello generale possiamo dire che i primi 3 livello (application, presentation, session) sono di
competenza degli sviluppatori software (chi scrive lapplicazione decide il tipo
connessione/protocollo da utilizzare ed i relativi parametri: tcp/udp, protocollo L3 e relativi
parametri: id, valore tos/dscp, ecc.).
Costo misura il costo della rete (del progetto, degli apparati, dei cablaggi, delle scorte,
della manutenzione ecc.)
Sicurezza descrive il grado di sicurezza degli apparati di rete e dei dati trasmessi tra di
essi.
Velocit descrive il data rate, cio la velocit con cui i dati sono trasmessi tra end-point.
Topologia descrive il layout del cablaggio fisico degli apparati (topologia fisica), ed il
percorso seguito dai dati all'interno del cablaggio (topologia logica).
Scalabilit definisce quanto bene la rete pu adattarsi a futuri sviluppi.
Affidabilit definisce l'affidabilit dei componenti di rete e della connettivit tra di essi.
MTBF (mean time between failures) comunemente utilizzato per indicare il rischio che un
componente si guasti.
Disponibilit misura la probabilit che la rete sia disponibile agli utenti. Con il termine
downtime si indica il periodo di indisponibilit della rete a causa di guasti o manutenzioni
programmate.
In tale configurazione tutti gli host sono collegati ad un unico mezzo trasmissivo detto appunto
Bus.
In figura 3.3 viene invece schematizzata una rete con topologia a stella. Questo topologia detta
anche hub and spoke; in questo tipo di implementazioni ogni apparato periferico (chiamato spoke,
periferia, sito remoto) connesso ad un apparato centrale (chiamato hub, centrostella, ced) tramite
un singolo link (da notare che il traffico tra 2 siti remoti transiter per il centro-stella). Nel caso in
cui un sito periferico diventi hub per altre periferie di secondo livello si parla di implementazione
extended star.
In fig. 3.4 viene schematizzata una rete ad anello (ring network), in cui ogni apparato presenta 2
link: uno verso l'apparato precedente ed uno verso l'apparato successivo. In alcune
implementazioni sono presenti 2 link verso l'apparato precedente e 2 verso l'apparato successivo
(per motivi di ridondanza), in questo caso si parla di implementazioni dual ring.
Sempre in ambito "topologia" va ricordato il meshed, cio come tutti gli apparati della rete sono
connessi tra di loro. Le possibilit in merito al meshed sono 2: fully meshed (ogni apparato a un
link con ogni altro apparato della rete, realizzando una rete completamente magliata) e partially
meshed (la rete non completamente magliata). Le figure seguenti esplicano questi 2 tipi di reti:
Central Office (CED, corporate office): la sede centrale. Tipicamente i servers vengono
installati nella sede centrale.
Branch Office (periferia, sede remota): le sedi remote della azienda. Tipicamente i PC di
queste sedi si collegano ai servers presenti in sede centrale per utilizzare i servizi (internet,
posta elettronica, applicativi aziendali).
SOHO (small office/home office, uffici distaccati): sono sedi remote di piccole dimensioni o
uffici casalinghi.
Mobile user: gli utenti che si collegano alla rete in mobilit (tramite accessi remoti, nas, vpn
ecc.).
Corporate Office
Remote Users
Network
Brench Office (filiale)
LAN (local area network): rete locale di piccole dimensioni, tipicamente realizzata senza
l'ausilio di leased line.
WAN (wide area network): rete geografica che prevede l'utilizzo di leased line per
connettere sedi remote.
MAN (metropolitan area network): rete metropolitana, tipicamente realizzata ed utilizzata
dagli ISP per connettere le proprie centrali (POP - point of presence).
Frammentazione dei dati ricevuti dal livello superiore in segmenti di dimensioni identiche.
Instaurazione di un canale virtuale tra l'host sender e l'host receiver e della consegna
ordinata dei dati.
Questo livello pu creare 2 tipi di sessione, a seconda delle necessit delle applicazioni:
Il secondo tipo, segmenta i dati (framing) , li numera (sequencing) , instaura un canale virtuale tra
host sender ed host receiver (three way handshake o call setup), invia i segmenti e fornisce
controllo di flusso (verifica ricezione segmenti, prevenzione congestione).
Il processo di call-setup della connessione (socket) creata da TCP detto Three way handshake,
e permette agli hosts di negoziare i parametri della connessione (windowing, ecc.) ed assicurarsi
della affidabilit della connessione. La figura seguente esplica questo processo, che descriveremo
subito dopo:
PC A
PC B
PCA invia un SYN a PCB. Questo pacchetto numerato con il "sequence number", settato
nel nostro caso a N (da notare che il sequence number viene assegnato in maniera
arbitarario dall'host (parte da 0 alla prima accensione e poi aumenta di 1).
PCB risponde con un SYN ACK N+1 (in pratica l'ack del SYN con sequence number N);
tale pacchetto (il SYN ACK) avr un proprio sequence number (sempre assegnato in
maniera arbitraria da PC B).
2) PCA risponde con un ACK M+1 (in pratica l'ack del SYN ACK con sequence number M).
Si noti come i pacchetti SYN presentano il bit SYN settato a 1 (tutti gli altri lo hanno settato a 0);
questo il metodo con cui routers e firewall identificano se un pacchetto appartiene ad una
sessione esistente (SYN settato a 0) o ad una sessione nuova (SYN settato a 1).
Le applicazioni TCP pi comuni sono: TELNET (23) , SMTP (25) , http (80), HTTPS (443) , FTP
(21) , DNS (usa sia tcp 53 che udp 53) mentre le applicazioni UDP pi comuni sono: TFTP (69) ,
SNMP( 161) , DNS (usa sia tcp 53 che udp 53).
ACKNOWLEDGE: Lhost receiver invia un acknowledge verso lhost sender per ogni treno
di segmenti ricevuto. In questo modo lhost sender pu accorgersi se uno o pi segmenti
sono andati persi durante il trasferimento e provvedere al reinoltro degli stessi.Se perde un
segmento, invier lack chiedendo il reinoltro del segmento perso. Se lo riceve, procede
con un nuovo ack per chiedere linoltro del successivo treno di segmenti.
WINDOWING: il valore dei segmenti facenti parti di un treno. Tale valore viene negoziato
durante il call-setup o three way handshake.
BUFFERING: Lhost receiver bufferizza i segmenti che non riesce a gestire online, per
gestirli in un secondo momento.
READY-NOT READY SIGNAL: Anche se esiste il buffering pu verificarsi che lhost
receiver riceva troppi segmenti rispetto a quelli che pu processare, andando in
congestione. In questo caso esiste un meccanismo detto ready-notready signal che si
occupa di prevenire questo fenomeno. In pratica se lhost receiver v in saturazione invia
un not ready signal al sender, che stopper linvio dei segmenti. Quando lhost receiver
torner disponibile invier al sender un ready signal per far ripartire linvio.
Le Porte Logiche
Per mantenere separati i segmenti relativi a diverse sessioni, questo livello utilizza le porte logiche.
Per ogni connessione (socket) viene definita una porta sorgente ed una porta destinataria. Le
figure seguenti riportano lheader di un segmento TCP e di un segmento UDP.
source port
destination port
UDP length
UDP checksum
DATA
Come si vede dalle figure precedenti TCP ha molti pi campi rispetto ad UDP, relativi alle proprie
caratteristiche di affidabilit (sequence number, ack number, window ).
Dato che i campi SOURCE/DESTINATION PORT misurano 2 bytes, tali valori potranno avere un
valore compreso tra 0 e 65535. Le porte da 0 a 1023 sono dette porte well-know e sono utilizzate
per chiamare unapplicazione sullhost receiver; le porte da 1024 a 65535 sono libere e vengono
utilizzate randomicamente come porte sorgente.
Di seguito alcune associazioni applicazioni<->porta tcp:
http=tcp80
telnet=tcp23
ftp=tcp21
snmp=tcp162 ecc..
Classi di indirizzi IP
Gli indirizzi IP vengono divisi in 5 classi (A-B-C-D-E). Il modo pi semplice per capire a che classe
appartiene un IP esprimerlo in notazione decimale puntata, e controllare il valore del primo byte;
Se tale byte ha:
un valore compreso da 0 a 127: classe A
un valore compreso da 128 a 191: classe B
un valore compreso da 192 a 223: classe C
un valore compreso da 224 a 239: classe D (utilizzato per il multi cast)
un valore compreso da 240 a 255: classe E (utilizzato per ricerca).
La divisione in classe indica anche quante bit sono riservati alla parte network dellindirizzo IP e
quanti alla parte host. La parte network identifica univocamente la network, mentre la parte host
identifica univocamente lhost allinterno della network.
CLASSE = A (il valore espresso dal primo byte compreso tra 0 126)
NETWORK IDENTIFIER: 10.0.0.0 (Classe A = 8 bit network)
BROADCAST ; 10.255.255.255 (Classe A = 24 bit host)
Y (numero di indirizzi forniti dalla network) = 2^X (numerobitpartehost) = 2^24 = 16777216
N (numero di indirizzi validi per hosts) = Y 2 (il network identifier ed il broadcast address
non sono assegnabili) = 16777214
CLASSE = B (il valore espresso dal primo byte compreso tra 128 191)
NETWORK IDENTIFIER: 172.17.0.0 (Classe B = 16 bit network)
BROADCAST ; 172.17.255.255 (Classe B = 16 bit host)
Y (numero di indirizzi forniti dalla network) = 2^X(numerobitpartehost) = 2^16 = 65536
N (numero di indirizzi validi per hosts) = Y 2 (il network identifier ed il broadcast address
non sono assegnabili) = 65534
CLASSE = C (il valore espresso dal primo byte compreso tra 192 223)
NETWORK IDENTIFIER: 194.17.220.0 (Classe C = 24 bit network)
BROADCAST ; 194.17.220.255 (Classe C = 8 bit host)
Y (numero di indirizzi forniti dalla network) = 2^X(numerobitpartehost) = 2^8 = 256
N (numero di indirizzi validi per hosts) = Y 2 (il network identifier ed il broadcast address
non sono assegnabili) = 254
Esiste un'altra network che non pu essere assegnata in quanto riservata (di solito come loopback
interna di un host) ed la 127.0.0.0. Gli altri IP sono detti pubblici, in quanto utilizzabili su Internet
e sono assegnati/gestiti da organizzazioni internazioni (come ad esempio lo IANA o RIPE).
La figura seguente mostra l'header di un pacchetto IP (24 bytes senza la parte data). Ai fini
dell'esame CCNA si notino i campi source e destination address; in questi campi vengono inseriti
gli indirizzi dell'host che genera il pacchetto (source) e di quello che lo dovr ricevere (destination).
ICMP
E un protocollo di management, trasportato in datagram IP, che fornisce informazioni sullo stato
della rete. Il ping utilizza icmp request e reply per verificare la connettivit fisica e logica della rete.
TRACEROUTE
Utilizza ICMP per scoprire il percorso di un datagram allinterno della rete.
ARP
Dato un indirizzo ip , trova il corrispondente indirizzo fisico. Questo processo abbastanza
importante (essendo alla base dell'interlavoro tra livello 3 e livello 2) ed il suo funzionamento pu
essere facilmente compreso con un esempio (vedi figura seguente). In questo esempio PC A deve
inviare un pacchetto IP a PC B ed un altro a PC C; per prima cosa PC A controlla il "destination Ip
Address" dei pacchetti per verificare se compreso nella stessa network IP del proprio
(praticamente confronta il destination ip address con il proprio ip address) e:
se appartiene alla stessa network passa il pacchetto al livello 2, in questo caso Ethernet,
che si occuper di costruire una frame diretta direttamente all'host (in quanto appartiene
alla stesso dominio di broadcast). Nel nostro esempio il pacchetto originato da PC A e
diretto a PC B avr destination mac-address il mac-address di PC B (il source mac-address
sar quello di PC A per tutte le frame generate da PC A).
se non appartiene alla stessa network passa il pacchetto al livello 2, in questo caso
Ethernet, che si occuper di costruire una frame. A differenza di prima questa frame avr
come destination mac-address il mac-address del Default-Gateway (RTA nel nostro
esempio) che si occuper di ruotare il pacchetto ip contenuto nella frame verso la corretta
destinazione.
RARP
Dato un indirizzo fisico, trova il corrispondente indirizzo logico. Se una macchina non ha ip
address, pu inviare un broadcast contenente il proprio mac address (sicuramente noto dato che
scritto nella scheda di rete) . Tale broadcast viene ricevuto e processato da un rarp server che
fornir lindirizzo IP alla macchina. Tale protocollo ormai obsoleto ed stato sostituito da DHCP.
Proxy ARP
Se un host non ha un default-gateway configurato, girer le proprie richieste (anche per host non
appartenenti alla stessa rete) in broadcast sulla rete, chiedendo il mac assegnato allip che sta
cercando. Se sulla rete c un router configurato come proxy arp, questo risponder allhost con il
proprio mac-addess. Lhost comincer ad inviare le proprie frames al router che si occuper di
routarle verso la rete corretta. Attualmente non usato in quanto la possibilit di avere un doppio
Default-Gateway stata superata da HSRP, VRRP e GLBP.
La SUBNET MASK un numero di 32 bit espressi in 4 byte divisi da un . che viene associato ad
un indirizzo IP per indicare il numero di bit assegnati alla parte network e di quelli assegnati alla
parte hosts. I bit assegnati alla parte network sono settati a 1, quelli assegnati alla parte host sono
settati a 0.
CIDR
E un altro modo per esprimere la subnet mask; /NumeroBitNetwork. Ad esempio indirizzi di classe
A, B e C hanno le seguenti subnet mask di default:
Subnetting
E latto di dividere una network IP in Y subnet di dimensioni uguali. Per fare questo si sposta il
confine della parte network dalla parte host di X posizioni verso destra. Il numero di subnet
ottenute sar uguale: Y=2^X Ogni subnet avr un Network Identifier, un broadcast address ed un
numero di host validi per essere assegnati agli hosts. Questi valori si calcolano nello stesso modo
visto precedentemente per indirizzi appartenenti alle classi A, B e C.
VLSM
E latto di dividere una network IP in tante subnet di dimensioni diverse. Per fare questo occorre
subnettare la network in Y network che soddisfino i requisiti in termini di numero di indirizzi validi
della network maggiore. Successivamente si prende una subnet e si subnetta ancora per
soddisfare i requisiti delle subnet minori.
Summarization
E latto di esprimere con un solo NETWORK IDENTIFIER + SUBNET MASK pi subnet.
Praticamente linverso del subnetting e si realizza spostando verso sinistra il confine tra la parte
network e la parte host dellindirizzo di X posizioni. Il numero di subnet summarizzabili Y=2^X.
Per effettuare la summarizzazione occorre tener presente che tutte le subnet contenute
nellindirizzo summarizzato devono far parte delle subnet da summarizzare.
Il protocollo Ethernet
Ethernet un protocollo di livello Network Access del modello TCP/IP (o dei livello Data Lynk e Physical del
modello OSI) si occupa pertanto di trasformare i pacchetti ricevuti dal livello superiore (esempio IP) in frames
e della consegna ordinata delle frames al corretto hosts sul segmento; per fare questo gestisce
indirizzamento di livello 2 (detto MAC-ADDRESS). Il protocollo Ethernet di fatto diventato lo standard
mondiale in ambito LAN, proprio come IP diventato lo standard modiale a livello Internet. I dati a questo
livello si chiamano frames e bits (le frames sono proprie del livello 2, i bits sono l'ultimo stadio dei dati prima
di essere tradotti in implulsi elettrici ed essere trasmessi sul medium fisico). Ora analizzeremo nel dettaglio il
protocollo Ethernet, che di fatto lo standard mondiale in ambito LAN, proprio come IP diventato lo
standard modiale a livello Internet. Il protocollo Ethernet presenta 2 sottolivelli (LLC e MAC) che si occupano
di:
LLC (logical link control): responsabile dellidentificazione del protocollo di livello network che ha
generato la frame e della sua encapsulazione.
MAC (media access control): definisce come i pacchetti vengono consegnati sul supporto fisico. A
questo sottolivello vengono definiti indirizzamento fisico e la topologia logica della rete. E
responsabile: per la consegna ordinata delle frame, per lerror notification (no correction) e per il
controllo di flusso (opzionale).
Prima di addentrarci nel dettaglio dellEthernet Networking facciamo un breve panaramica sugli apparati che
si possono incontrare in una LAN e sulle loro caratteristiche:
HUB: replica i segnali elettrici in ingresso ad una porta su tutte le altre. Fornisce un solo dominio di
collision ed un solo dominio di broadcast.
BRIDGES/SWITCH: eseguono switching, cio forwardano le frame sulle solo porte necesssarie (il
dettaglio di questo processo verr descritto nella sezione "Lo switching di livello 2".
Descriveremo ora 2 concetti molti importanti in ambito switching che dovrebbero risultare pi chiari al
termine di questa sezione.
DOMINIO DI COLLISION: tutti gli hosts che condividono un segmento Ethernet appartengono allo
stesso dominio di collision.
DOMINIO DI BROADCAST: tutti gli hosts che condividono una network IP appartengono allo stesso
dominio di broadcast.
Gli hosts appartenenti ad un dominio di collision condividono la banda resa disponibile dal mezzo fisico. Da
ci consegue che nessun host potr trasmettere contemporaneamente ad un altro host. Se questo accade si
verifica una collision, la frame oggetto della collision andr persa e dovr essere ritrasmessa. Per evitare
linsorgere di collisions Ethernet implementa il CSMA/CD.
CSM A/CD: Le implementazioni ethernet utilizzano CSMA/CD (carrier sense multiple access with collision
detection), un protocollo che aiuta i device a condividere la stessa banda evitando le collisions.In pratica
ogni device, prima di trasmettere, testa il media per verificare se c gi un segnale in trasmissione. Se il
media occupato, aspetta. Se il media libero trasmette il proprio pacchetto.Lhost sendermonitora il
media costantemente durante il viaggio del pacchetto, se rileva una seconda trasmissione da parte di un
altro host invia sul media un pacchetto speciale, detto JAM packet. Gli hosts che lo riceveranno
interromperanno ogni trasmissione di pacchetti per un tempo variabile. Tale tempo (detto back off)
calcolato da un algoritmo. In una rete con molte collisions si riscontrer: ritardi di trasmissione, bassa
velocit, congestione. Lutilizzo del CSMA/CD riduce sensibilmente la velocit di trasmissione rispetto alla
banda dei link ethernet (10M). Per ovviare a questo si possono usare connessioni di tipo full-duplex.
HALF DUPLEX: utilizza 1 coppia, fornisce velocit pi basse di FD (circa il 30/40 % della banda
disponibile). Le connessioni HD vengono utilizzate quando ad uno dei due capi della connessione
installato un HUB, quindi quando il mezzo fisico condiviso tra pi hosts.
FULL DUPLEX: utilizza 2 coppie, fornisce velocit pi elevate di HD (circa il 200% della banda
disponibile ci possibile in quanto viene utilizzata una coppia per TX e una per RX. Questo
anche il motivo perch in FD non si verificano Collisions. Le connessioni FD possono essere usate
sempre, a patto che per ogni porta switch veda un solo host.
INDIRIZZAM ENTO M AC: Ethernet lavora a livello Network Access del modello Dod (o a livello
DataLynk/Physical del modello OSI), quindi responsabile della frammentazione dei datagram IP in frames
e della consegna delle frames verso il livello fisico (verso lhosts receiver). Per fare questo deve gestire
lindirizzamento di livello 2 (MAD ADDRESS).Ogni scheda di rete (NIC Network card interface) ha
stampato sopra il proprio MAC (media access control) address. Questo indirizzo viene rappresentato da 48
bit (6 byte) rappresentati in HEX.
I primi 24 bit (3 Byte) identificano il vendor (tutte le NIC prodotte da un tale vendor hanno lo stesso
OUI).
Gli ultimi 24 bit (Vendor assigned): il seriale della scheda (ogni vendor comincia da 00000000
00000000 00000000 ed arriva a 11111111 11111111 11111111).
FRAM ES: Il livello 2 spezza i messaggi di livello 3 in tante parti, dette data frame. Ad ogni data frame viene
aggiunto un header contenente: indirizzo sorgente e indirizzo destinatario. Questo vero per tutti i protocolli
di livello 2 (naturalmente lheader sar diverso da protocollo a protocollo, ma conterr queste informazioni).
Come detto il livello data link del modello OSI (o il livello Network Access del livello DoD) si occupa di
encapsulare i pacchetti ricevuti dal livello 3 in frames e le frames in bit per trasmetterle sul medium fisico. La
figura seguente mostra i campi di una frame ethernet, di seguito sono descritti i vari campi.
TYPE (per ETHII)/ LENGHT (per 802.3): il valore di questo campo indica il tipo di protocollo layer 3
contenuto nel campo data.
FCS: un campo utilizzato per il controllo di ridondanza ciclico (CRC). (da ricordare che a livello
datalynk viene effettuato solo error detention e non error correction).
HUB : lavorano a livello fisico, replicano semplicemente i segnali elettrici in ingresso ad una porta su tutte le
altre porte.
BRIDGES/SWITCHES: lavorano a questo livello e costruiscono la macaddress-table ( o filter table) in cui
conservano la corrispondenza tra mac-address sorgente e interfaccia di entrata. In questo modo lo switch
impara dietro quale interfaccia conosce ogni device di livello2 e potr effettuare forward intelligente delle
frames (il dettaglio di questo processo descritto nella sezione "Lo switching di livello 2".
Una infrastruttura switch su una hub presenta 2 vantaggi:
Ogni device connessa ad una porta switch pu trasmettere contemporaneamente alle altre (con gli
hub si avrebbero collision).
C anche uno svantaggio rappresentato dal fatto che in uno stesso dominio di broadcast non possono
essere installati troppi device . Per dividere domini di broadcast necessario un router che, in ambito
ethernet, ha proprio questa funzione. Il router si occupa anche di ruotare i pacchetti tra pi domini di
broadcast ad esso connessi. Lo standard 802.3 (10M) definisce 3 tipi di Lan (chiamate 10Base2, 10Base5,
10BaseT). Le prime 2 utilizzavano dei cavi coassiali di diverso diametro e transceiver per interconnettere gli
hosts, e sono oggi in disuso essendo state soppiantate completamente da implementazioni 10BaseT. Di
seguito una breve descrizione di queste tre tipologie di Lan.
10Base2:Utilizzano segmenti di cavi RJ58 (coassiale thinnet) e connettori BNC (a T) per interconnere i
transceiver dei vari hosts. La lunghezza massima di un segmento 185 mt ed il numero massimo di hosts in
un segmento 30. La figura seguente mostra una tipica implementazione 10Base2.
10BaseT:Utilizzano cavi rame formati da 4 coppie (UTP Cat.5 e superiori) e connettori RJ45 per
interconnere le NIC's (network card interface) dei vari hosts ad un hub. La lunghezza massima di un
segmento 100 mt. La figura seguente mostra una tipica implementazione 10BaseT.
SPEED E CAVI: Ethernet ha sviluppato 3 tipi di standard che differiscono per le velocit che forniscono:
802.3 (10M), 802.u (100M) e 802.ab (1G). La tabella seguente riporta le lunghezze raggiungibili da ogni
tratta nelle varie tipologie di link:
Le fibre ottiche permettono di eliminare i problemi dovuti a campi elettromagnetici (EMI), che affliggono i
collegamenti in rame (UTP o Coassiale).
TIPOLOGIE DI CAVI: Esistono 3 tipologie di cavi in implementazioni Ethernet:
Straight-Through Cable (cavo dritto): utilizzato per connettere un host ad uno switch o uno switch ad
un router.
Crossover Cable (cavo cross): utilizzato per connettere un router ad un router, uno switch ad uno
switch, un host ad un host o un host ad un router .
Rollover Cable (cavo console Cisco): utilizzato per connettere un host ad una porta console (ad
esempio agli apparati cisco).
Da notare che le NIC's trasmettono sulla coppia connessa ai piedini 1,2 e ricevono sulla coppia connessa ai
piedini 3,4. Le porte degli apparati di rete (hub, switches) invece trasmettono sulla coppia connessa ai
piedini 3,4 e ricevono sulla coppia connessa ai piedini 1,2. Questo significa che potremo utilizzare un cavo
"dritto" per connettere un host ad un hub/switch. Se invece colleghiamo 2 hosts tra di loro dovremmo
utilizzare un cavo cross (o cavo incrociato) per mettere in comunicazione la TX di una NIC (piedini 1,2) con
la RX della NIC remota (piedini 3,4).
Questa sezione non entra nel dettaglio di come fanno gli switches ed i routers a forwardare i dati ma
descrive essenzialmente le trasformazioni subite dai dati durante il percorso.
1) L'utente A apre il suo programma web browser. Nessuna interazione avviene con la rete.
2) L'utente A apre un file html residente sul proprio PC. Nessuna interazione avviene con la rete.
3) L'utente A apre un file html residente su PCB. L'applicazione interagisce con la rete. L'applicazione web
browser interagisce con lo stack TCP/IP (in particolare con il livello process application). Questo livello riceve
i dati dall'applicazione, li traduce in un flusso di dati costante e formattato e lo consegna al livello 4. Le
informazioni che saranno passati al livello 4 sono: IP DESTINATION=indirizzo ip PCB (cio chi deve ricevere
i dati); port destination=tcp/80 (il tipo di protocollo di livello 4 -tcp o udp e la porta sono decise dagli
sviluppatori SW anche se, come vedremo, molte applicazioni utilizzano protocolli e porte fisse).
4) Il flusso dati ottenuto al punto precedente viene passato al livello 4 (host-to-host) che si occupa di
frammentarli in segmenti di dimensioni identiche e di instaurare un canale di comunicazione con PCB. Ogni
segmento riporter le seguenti info: porta source (randomica) ; porta destination (tcp 80).
5) I segmenti ottenuti al punto precedente vengono passati al livello 3 (internet). I segmenti vengono
ensapsulati in pacchetti IP che avranno come sorgente l'indirizzo di PCA e come destination l'indirizzo di
PCB.
6) A questo punto il pacchetto di livello 3 viene passato al livello 2. Dato che l'ip destination non appartiene
alla stessa network ip dell'ip source, la frames avr i seguenti dati: source macaddress=PCA, destination
mac-address=RTA; se l'ip address destination fosse appartenuto alla stessa network IP di PCA la frame
avrebbe avuto come macaddress destination il macaddress di PCB (che sarebbe stato scoperto tramite
protocollo ARP, come discusso nella sezione Ethernet).
7) Le frames generate da PCA e dirette a RTA (in qualit di default-gateway) vengono ricevute da SWA che
le proxer a RTA (in base al funzionamento degli switches layer 2 che analizzeremo in seguito).
8) Quando RTA riceve le frames da SWA estrae il pacchetto IP, rileva che diretto a PCB ed individua
l'interfaccia di uscita (in base al funzionamento del routing ip che vedremo in seguito).RTA creer una nuova
frames avr come sorgente il mac-address di RTA e come destination il mac-address di RTB.
9) Quando RTB riceve le frames da RTA estrae il pacchetto IP, rileva che diretto a PCB e lo encapsula in
una nuova frame che avr come sorgente il mac-address di RTB e come destination il mac-address di PCB.
10) Quando SWB riceve la frame da RTB la proxa verso PCB (in base al funzionamento degli switches layer
2 che analizzeremo in seguito).
11) Quando PCB riceve la frame estrae il pacchetto Ip contenuto, rileva che effettivamente diretto a lui,
estrae i dati e li passa al livello 4 che estrae i dati contenuto e li passa all'applicazione corretta (nel nostro
caso web browser).
In merito a questo processo necessario notare quanto segue:
Gli indirizzi ip (source e destination) non cambiano mai durante il viaggio nella rete, in quanto sono
indirizzi logici che hanno senso in tutta la rete.
Gli indirizzi di livello 2 (source e destination) cambiano su ogni link, in quanto sono indirizzi fisici che
hanno senso solo sul link locale.
0x2142 indica al router di non caricare la configurazione salvata in NVRAM (per il recovery
password).
Esegue i POTS
CARICA LA IOS
CARICA LA CONFIGURAZIONE DALLA NVRAM ALLA RAM (se non la trova entra in setup mode).
SETUP-MODE: eseguito alla prima accensione, se viene cancellata la NVRAM e reloadato il router o se
viene digitato il comando setup dalla CLI del router. Permette una configurazione guidata dei parametri
base del router. Per uscire dal setup mode = ctrl + c
ACCEDERE AL ROUTER/SWITCH CISCO: si pu accedere in vari modi sia in banda (dalla rete) che
out of band (direttamente connettendosi allapparato).
IN BAND: effettuando telnet ad un indirizzo IP del router. In questo caso verr chiesta la password di
telnet (vty password) per accedere alluser mode.
OUT OF BAND: tramite cavo rolled connesso alla porta console o alla porta AUX del router ed
utilizzando un software tipo Hyper terminal. La connessione andr settata con i seguenti parametri:
Bit per secondo: 9600 / Bit di dati: 8 / Parit: nessuno / Bit di stop: 1 / Controllo del flusso: Hardware
Pu essere necessario inserire la password di console (se configurata). Alla porta AUX pu anche essere
collegato un modem per raggiungere il router in dial-up. Se si accede tramite la porta AUX verr chiesta la
AUX password.
MODALIT A LAVORO ROUTER/SWITCH: sono disponibili 3 modalit di lavoro. Una volta avuto
accesso allapparato ci troveremo in:
USER MODE: il prompt >. Da questa modalit sono disponibili alcuni comandi.
PRIVILEGE MODE: il prompt # . Da questa modalit sono disponibili tutti i comandi. Per passare a
questa modalit si usa il comando enable, pu essere necessario inserire una password (se stata
configurata). La password richiesta la enable password. Se stata definita anche la enable secret
(stessa funzione della enable password, ma questa criptata) verr chiesta questa.
CONFIGURAZIONI PASSWORD:
line console 0 + password : password di console, chiesta se si accede out-of-band dalla porta
console.
Line aux 0 + password : passwordi di aux, chiesta se si accede out-of-band dalla porta aux.
Line vty 0 4 + password : password vty, chiesta se si accede in-band dalla rete.
Enable : ena password: chiesta per passare da user mode a privilege mode.
Enable secret: ena secret: come la ena password ma criptata di default. Se presente viene chiesta al
posto della enable password.
Sui nuovi Routers ISR viene chiesto di default username e password (cisco, cisco). Tale account
valido solo per il primo accesso, va cambiato altrimenti una volta usciti dalla CLI non sar pi
possibile accerevi.
Il comando copy molte opzioni per salvare in rete, sulla flash, sullusb ect.
UPGRADE/DOWNGRADE IOS: (vedi la sezione Upgrade IOS per il dettaglio di questa procedura).
copy tftp flash: copia la ios da un server tftp alla flash del router.
Show flash : mostra i file presenti sulla flash, la loro taglia e lo spazio disponibile.
CISCO DISCOVER PROTOCO LS (CDP): il cdp v abilitato in configurazione generale (cdp run) e
sotto le interfacce (cdp enable). Ci sono 2 comandi:
show cdp : fornisce info in merito ai timers del CDP (modificabili con cdp holdtime e cdp timer)
show cdp neighbors details: fornisce info in merito ai router adiacenti (il loro ip, il loro modello, le
interfacce locali e remote delle connessioni tra di loro).
TELNET: il telnet utilizzato per entrare su apparati remoti. Si pu fare telnet ad un indirizzo ip o ad un
nome. Per utilizzare un nome necessario che ci sia un DNS server sulla rete che fornisca lassociazione tra
IP e nome, o configurare staticamente tali associazioni sui routers. Il comando per fare questo ip host
INDIRIZZO IP NOME. Tali associazioni si possono verificare con show ip host . Una volta entrati in telnet su
un router, per terminare la sessione e tornare al router originario si usa exit. Se invece si vuole tornare al
router originario senza terminare la sessione si usa ctrl + shift+6 (contemporaneamente), si rilasciano, poi X.
Si veda la sezione "Ethernet" per il dettaglio di questi tipi di rete. In ambito IEEE10BaseT (e successive
evoluzioni) la soluzione per realizzare piccole lan rappresentata dagli hub (o repeater); questi apparati
funzionano a livello 1 ed essenzialmente ribaltano su tutte le proprie porte i bit ricevuti, sotto forma di impulsi
elettrici, da una porta. Le problematiche degli hub sono essenzialmente 2:
Tutti gli hosts attestati ad un hub appartengono allo stesso dominio di collisions, quindi gli hosts
possono trasmettere uno alla volta (con evidenti ripercussioni sulla velocit)e sul numero di hosts
installabili nel segmento di rete.
Insieme ai segnali elettrici vengono ritrasmessi anche gli errori (cio le frames errorate).
A livello di cavo, come abbiamo visto nella sezione Ethernet, vengono utilizzati cavi UTP (rame) composti da
un cavo 4 coppie (8 fili) crimpato suRJ45). Tali cavi possono essere: dritti, cross, roll-over.
Le reti realizzate esclusivamente tramite hub prendono anche il nome di "shared media network" in quanto
gli hosts attestati al segmento effettivamente ne condividono la banda (potendo trasmettere uno alla volta e
non potendo ricevere e trasmettere contemporaneamente). Per connettere diverse "shared media network"
venivano utilizzati i routers; in pratica veniva assegnata una network IP all'ufficio A dove installato l'hub A
ed una seconda network IP all'ufficio B dove installato l'hub B (i PC dell'ufficio A saranno connessi all'hub
A ed i PC dell'ufficio B saranno connessi all'hub B); entrambi gli hun venivano collegati ad una interfaccia
Ethernet del router che funger da default-gateway sia per i PC dell'ufficio A che per i PC dell'ufficio B
(ovviamente l'indirizzo dell'interfaccia connessa ad HubA apparterr alla network dell'UfficioA e l'indirizzo
dell'interfaccia connessa ad HubB apparterr alla network dell'UfficioB).
Come noto il router segmenta i domini di broadcast, quindi ogni interfaccia (A e B) saranno domini di
broadcast separati (anche a livello IP appartengono a network distinte). Il router avr nella sua tabella di
routing 2 entries: Network A direttamente connessa all'interfacciaA e NetworkB direttamente connessa
all'interfacciaB. Quando un PC dell'ufficioA dovr comunicare con un PC dell'ufficioB invier le frames di
livello 2 al proprio DG (interfaccia A del router), che provveder a ruotarle a livello 3 (IP) verso la
destinazione (interfaccia B del router). Questo tipo di reti poco scalabile in quanto un hub tipicamente ha 4
(al massimo 6 o 8) porte, ne consegue che un ufficio abbastanza grande richiederebbe molti domini di
broadcast e quindi connessioni lato router (con i relativi costi per l'hardware) per mantenere una velocit di
trasmissione accettabile.
Ben presto le esigenze dell'informatica resero le shared media network fortemente limitative, sia in termini di
prestazioni (velocit) che di scalabilit (numero di hosts installabili per segmento). Le soluzioni trovate
dall'industria furono essenzialmente di 2 tipi:
Fu progettata ed implementata una evoluzione di Ethernet che permette velocit fino a 100Mbit/sec
(10 volte Ethernet). Il protocollo in questione si chiama IEEE802.u FastEthernet ed implementato
tramite 2 standard 100BaseT (cavi UTP rame, come Ethernet) e 100BaseFX (fibra ottica, tratte fino
a 400mt).
Furono introdotti i bridges che sono apparati multiporte (4, max 8) atti a segmentare i domini di
collision sulle proprie interfacce. In pratica permettevamo di collegare un hub ad ognuna delle
proprie porte aumentando il numero di host installabili nella lan (che continueranno ad appartenere
allo stesso dominio di broadcast ma non allo stesso dominio di collision; questo permette di
installare pi hosts nel dominio di broadcast mantenendo accettabile la taglia dei domini di collisions
(salvaguardando quindi la velocit di trasmissione). Per connettere i diversi domini di broadcast si
continua ad utilizzare il router nella modalit vista sopra (una interfaccia per ogni dominio di
broadcast).
Anche questa soluzione si rilev presto insufficente a far fronte alle crescenti necessit in ambito networking
richieste dal galoppante dilagare dell'informatica. In particolare i limiti erano:
Si potevano realizzare domini di broadcast tuttosommato piccoli (al massimo una 30ina di hosts).
Questo limite rendeva inutili le potenzialit di IP che prevedono network anche di 65000 hosts),
insufficenti alle necessit dell'industria.
Le velocit di trasmissione rimanevano basse (10M teorici, spesso inferiori) e gli hosts continuavano
a trasmettere in modalit half-duplex.
La soluzione fu rappresentata dalla nascita delle reti switched (cio realizzate tramite switches di
livello 2). Come accennato nella sezione "Ethernet" gli switches hanno ereditato completamente le
funzionalit dei bridges apportando alcune migliorie sostanziali:
o
Gli switches eseguono lo switching (questo processo comune ai bridges ed agli switches
descritto nel dettaglio nel prossimo paragrafo "Lo switching di livello 2") in sowftware (tramite
processori dedicati chiamati ASICs) mentre i bridges lo eseguono in hardware (risultando
pi lenti).
Gli switches hanno una densit maggiore di porte ed un costo per porta minore rispetto ai
bridges. Questo ha permesso di eliminare gli hub e collegare direttamente gli hosts agli
switches Layer 2. In questa modalit ogni hosts rappresenta un singolo dominio di collisions
con la propria porta switch; questo permette alla porta di lavorare in modalit full-duplex cio
pu trasmettere e ricevere contemporaneamente.
Di default tutte le porte di uno switch appartengono ad uno stesso dominio di broadcast (di
default la Vlan1), come quelle del bridge. Lo switch permette per di configurare molti
domini di broadcast ed assegnare ogni porta ad un dominio specifico (Vlan).
Gli switches permettono di avere porte con speed diversa (alcune Ethernet, altre
FastEthernet, altre GigabitEthernet) mentre i bridges no.
Gli switches permettono (tramite i trunk che descriveremo nella sezione Vlan) una diversa
modalit di intervlan routing (vedi sezione Intervlan Routing) chiamata router on a stick
che permette di utilizzare solo una interfaccia lato router per connettere diversi domini di
broadcast.
Grazie alle reti switched divenne possibile realizzare grandi di grandi dimensioni (centinaia di hosts)
utilizzando stack (cio file) di apparati layer 2 che condividono alcune Vlan. Fu anche possibile
permettere agli utenti di muoversi dentro la rete portandosi appresso il proprio IP (con relative
abilitazioni) anche a fronte di uno spostamento fisico all'interno di una rete. Nelle reti realizzate con
hub e bridges se un utente si spostava di piano o stanza doveva cambiare IP (con uno della network
assegnata alla stanza dove si trasferiva).
Tuttavia oltre certi limiti le implementazioni layer 2 (con connessioni trunk tra vari switches layer 2)
divenne poco efficente in quanto diventava complesso mantenere una logica lineare per i flussi di
traffico (cio capire dove stava passando esattamente una frame in un dato momento) e gestire le
istanze STP (vedi sezione La ridondanza Layer 2 ed STP). La soluzione fu quella di
organizzare le reti in maniera gerarchica, su 3 livelli:
Access: questo livello raccoglie le utenze (hosts); gli apparati di questo livello devono avere
essenzialmente un alto numero di porte per accogliere gli hosts e alcune porte ad alta velocit
per trasportare il traffico aggregato di tutte le porte utente verso il livello Distribution.
Core: questo livello interconnette gli apparati del livello distribution con gli eventuali gateway (ad
esempio il router che interconnette alla Intranet, il router che connette ad internet ect) e si
occupa essenzialmente di trasferire i dati ad alta velocit da una parte all'altra della switched
network.
Da notare che a volte (se reti medio grandi) il livello Core assente, e le sue funzioni vengono
ereditate dal livello Distribution. In questo caso si parla di Collapsed Core (intendendo che il livello
Core assente in quanto collassato nel livello Distribution; si parla invece di dual core quando il
livello Core duplicato (ai fini della ridondanza).
Dalla descrizione precedente dovrebbe essere risultato chiara la nascita di un nuovo apparato di lan
(installato nei livelli distribution e core): lo switch layer 3. Questi apparati (non oggetto dell'esame
CCNA) introducono funzionalit Layer 3 (interfacce layer 3, protocolli di routing, ACL ect) negli
switches ed introducono nuove modalit di switching (il CEF molto pi veloce del transparent
bridging utilizzato dagli switches layer 2).
Questo tipo di implementazioni hanno reso necessario delle interfacce a velocit maggiore per
aggregare i link dei livelli inferiori; la riposta fu GigabitEthernet (IEEE802.ab) che offre appunto
connessioni full-duplex fino a 1Gbit/sec.
Le Lan hanno alcune estensioni che permettono l'utilizzo del WI-FI (connessioni senza fili) e VOIP,
che comunque sono accennate (a livello sufficente per l'esame CCNA) nelle sezioni relative.
Credo sia utile riproporre qui la tabella comparativa delle implementazioni Ethernet, gi vista nella
sezione "Ethernet".
Lo Switching di livello 2
Il lan switching sta al protocollo Ethernet come il routing ip sta al protocollo IP, in pratica si occupa di
movimentare le frames allinterno di un segmento Ethernet. Prima di addentrarci nei dettagli del Lan
switching bene ricordare le differenze tra Bridges e Switches, che per quanto detto sopra possono
sembrare molto simili:
Un bridge pu eseguire una sola istanza Spanning tree, mentre gli switch possono eseguirne molte.
Sia gli switches che i bridges imparano i MAC ADDRESS esaminando il campo indirizzo sorgente
delle frames che ricevono.
LE
Sia gli switches che i bridges prendono le decisioni di forwarding in base agli indirizzi di livello 2.
FUNZIONI
PRINCIPALI
DEGLI
SWITCHES:
Address Learning: quando uno switch riceve una frame, esamina il campo MAC ADDRESS
SOURCE e crea una entry nella mac address table (anche detta forwarding/filter table). Tale entry
riporter lassociazione tra mac-address source e interfaccia da cui la frame stata ricevuta.
Forward/Filter decisions: quando uno switch riceve una frame, esamina il campo MAC ADDRESS
DESTINATION e lo cerca nella mac-address table. Se trova una interfaccia di uscita per quel macaddess forwarda la frame solo a quella porta. Se non trova alcuna occorrenza, forwarder la frame a
tutte le porte eccetto quella da cui la ha ricevuta.
Loop Avoidance: se sono presenti connessioni multiple tra due switches possono crearsi loop di
livello 2. Spanning tree protocol utilizzato per fermare i loop di rete, permettendo di mantenere la
ridondanza data dai link multipli.
Poniamo il caso che HOST A invii una frames a HOST B e che i mac address dei due hosts siano i seguenti:
Di seguito la descrizione degli step che vengono eseguiti per traspostare la frame da A a B:
Lo switch analizzer per prima cosa il campo mac address source della frame. Dato che tale mac
address non presente nella propria mac-address table, inserir la seguente entry: E0/0 =
0000.0000.0001
Lo switch analizzer per seconda cosa il campo mac address destination della frame. Dato che tale
mac address non presente nella propria mac-address table, invier la frame a tutte le porte attive,
eccetto quella da cui la ha ricevuta (E0/0) (TALE ATTO E DETTO FLOODING).
Lo switch analizzer per prima cosa il campo mac address source della frame. Dato che tale mac
address non presente nella propria mac-address table, inserir la seguente entry: E0/1 =
0000.0000.0002
Lo switch analizzer per seconda cosa il campo mac address destination della frame. Dato che tale
mac address presente nella propria mac-address table, invier la frame solo alla porta E0/0.
(TALE ATTO E DEFINITO FILTERING).
A questo punto ogni volta che lo switch ricever una frame da HOST A -> HOST B e viceversa non
avr bisogno di effettuare flooding, ma la invier esclusivamente alla porta dove lhost receiver
connesso.
Se un host invia un broadcast, tale frame sar inoltrata a tutte le porte tranne a quella da cui stata
ricevuta. Infatti di default lo switch fornisce un solo dominio di broadcast.
Se un host non invia/riceve frames per un certo tempo, la entry relativa a questo host viene eliminata
dalla mac-address table.
PORT SECURITY: Il comportamento sopra descritto apre un problema di sicurezza. Infatti se qualcuno
collegasse un PC o un hub nella presa LAN del proprio ufficio questo potrebbe tranquillamente funzionare
anche senza il consenso dellamministratore. Per evitare questo disponibile la feature port-security. Questa
features si abilita sotto linterfaccia con il comando: switchport port-security ARGOMENTO. Questo
comando ha 3 argomenti:
Sticky : indica allo switch di imparare il primo macaddress che si collega alla porta e di permettere
solo ad esso di collegarsi a quella porta.
Tutti i comandi visti sopra possono essere completati da: switchport port-security violation . Questo comando
indica cosa fare quando si verifica una violazione della regola impostata prima. Ha 3 opzioni:
shutdown: shutta la porta. La porta dovr essere abilitata in configurazione (con no shut).
Protect: un host con mac diverso da quello imparato (o configurato) pu connettersi, ma le sue
frames saranno droppate.
PC-02 ricever 2 copie della frame (perch Switch B ricever 2 frame uguali da Switch A - una dalla
Fast0/0 ed una dalla Fast0/1. Questo problema detto Multiple Frame Copies.
Rimanendo nell'esempio precedente, quando Switch B riceve le 2 frame uguali originate da PC-01 e
dirette a PC-02 incontra un problema di congruenza. Come sappiamo lo switch dovrebbe inserire
nella propria Mac-address-table la corrispondenza tra il mac address di PC-01 e la porta da cui ha
ricevuto la frame, in questo caso non saprebbe se inserire la Fast0/0 e la Fast0/1. Tale problema
chiamato Trashing Mac Table (in alcuni casi pu causare la saturazione della mac address table, se
questo avviene lo switch non riesce ad imparare altri mac address.
BPDU (BRIDGE PROTOCOL DATA UNIT): Sono i pacchetti scambiati dai switches per eleggere il
root bridge e le designates port. Di default le bpdu sono inviate ogni 2 secondi su tutte le porte attive.
Ogni switch popola le proprie BPDU con il proprio valore Bridge ID.
BRIDGE ID: il parametro che identifica lo switch allinterno della rete. E dato da priority + mac
address. La priority di default 32768, si pu modificare con il comando spanning-tree vlan 1
priority. Cisco permette una istanza STP per ogni VLAN, uno switch pu avere BID diverso per ogni
VLAN.
ROOT BRIDGE: E lo switch con bridge priority minore. Tutte le porte del Root Bridge diventano
Disagneter Port, presentano costo = 0 e vengono poste in Forwarding state.
ROOT PORT: la porta di ogni switch che presenta il percorso con costo minore verso il root bridge.
DESIGNATED PORT: Gli switch attestati ad uno stesso segmento devono decidere quale sar la
designated port per quel segmento. Viene eletta DP la porta attestata al percorso con costo minore.
A parit di costo viene eletta DP la porta attestata allo switch con Bridge-ID minore.
COST PATH: Il costo del percorso dato dalla somma deli costi delle porte in uscita dagli switch
attraversati fino al ROOT BRIDGE.
Il costo di una porta si pu modificare con il comando (in configurazione interfaccia): spanning-tree
cost valore; di seguito sono riportati i costi di default delle interfacce.
10G = 2
1G = 4
100M= 19
10M = 100
Switch A viene eletto come ROOT BRIDGE in quanto ha il mac-address (e quindi il bridge id) minore. Tutte
le sue porte vengono poste in forwarding state.
Switch A e Switch B eleggono la propria Root Port, che la porta direttamente connessa al Root.
Il link tra Switch B e Switch C chiude un loop, quindi STP deve bloccare una delle 2 porte per impedirlo. STP
verifica quale dei 2 percorsi ha costo minore (nel nostro caso sono uguali) e poi quale switches ha il bridge
id minore (nel nostro caso la designated port sar quella di Switch B, pertanto la porta di Switch C verr
bloccata.
VELOCIZZARE STP: Una porta impiega circa 50 secondi per passare dallo stato blocked allo stato
forwarding, questo a causa del tempo di convergenza di STP. In questo tempo nessuna frames sar
forwardata sulle porte. Questo ha senso sulle porte relative a link tra switch, ma non ha alcun senso su porte
connesse direttamente a hosts.
Per questo motivo esiste il comando spanning-tree portfast. Questo comando v applicato a tutte le porte
utente, o a quelle porte che non possono creare loop (ad esempio Etherchannel).
Una volta attivato il portfast va anche utilizzato uno dei seguenti comandi (che eseguono la stessa funzione):
bpdu guard (Questo comando evita loop nel caso si colleghi per errore uno switch o un hub ad una porta
portfast. Se abilitato pone la porta in error disabled appena vede una bpdu arrivare sulla porta.). Il
comando bpdu filter invece lascia la porta up, ma disabilita il portfast.
Un'altra funzione utile lo spanning-tree uplink fast. Se sono disponibili 2 o pi percorsi verso il root bridge,
STP ne lascia uno in forwarding state e pone gli altri in blocked state. Con questa feature STP tiene traccia
anche del percorso di backup verso il root e, se la root port va down, attiva immediatamente il secondo
percorso senza attendere lo scadere dei timers STP. Questo comando va abilitato sugli switch di accesso o
su switch che hanno pi link verso il root (e che quindi hanno almeno una porta in blocking state).
Unaltra features Cisco per STP lo spanning-tree backbone fast che serve per far ridurre il tempo di
convergenza che se cade un link nel percorso verso il root non direttamente connesso allo switch. Va
abilitato su tutti i switch della rete (non come uplink fast che va configurato solo sugli switch di accesso o
sugli switch con una porta in blocking state).Riduce di circa 20 secondi il tempo di convergenza.
Entrambe queste funzioni si abilitano in configurazione generale con i comandi: spanning-tree backbonefast,
spanning-tree uplinkfast .
RAPID SPANNING TREE: I 3 sistemi appena visti servono per ridurre i tempi di convergenza di
STP802.1D, il problema che richiedono configurazioni aggiuntive e che sono proprietari Cisco. Per questo
motivo stato sviluppato 802.1w (RAPID SPANNING TREE). RSTP standard, e pu interoperare con
802.1D. In questo caso per si perdono i vantaggi propri di RSTP. Il comando per abilitare RSTP (in
configurazione generale) : spanning-tree mode rapid-pvst.
RSTP introduce un nuovo stato detto DISCARDING. Per ogni porta root e designated viene tenuta in
memoria la rispettiva porta di backup. Se il link attestato alla porta attiva cade le porte di backup passano
immediatamente in FORWARDING.
access. Questa viene detta VOICE VLAN ed utilizzata per gli ip phone (il funzionamento e la
configurazione degli switches per supportare il Voip non sono oggetto del corso CCNA.
Da notare che le vlan da 1 a 1005 sono dette normal-range vlan. Le vlan da 1006 a 4094 sono dette
extended-range vlan. In un dominio VTP possono essere configurate solo le normal-range vlan. Sui VTP
transparent switches si possono configurare tutte (lo scopo ed il funzionamento del protocollo VTP sar
analizzato pi avanti in questa sessione.
TRUNKING: Spesso le Vlan si estendono su diversi switches, che realizzano una grande Lan (chiamata
switch fabric), per questo si rende necessario prevedere delle connessioni tra gli switches atti a trasportare il
traffico broadcasto o unicast tra hosts della stessa Vlan. Le soluzioni possibili sono essenzialmente 2
(descritte dalle figure seguenti):
La soluzione descritta nella figura precedente prevede una connessione per ogni Vlan; risulta
immediatamente evidente come la soluzione sia poco scalabile (se fossero presenti 10 o 20 vlan sarebbe
impossibile usare una porta/link per ogni Vlan).
Questa seconda soluzione ovviamente pi scalabile in quanto permette di far transitare il traffico di molte o
tutte le Vlan su un solo link e perch se si aggiunge una nuova vlan non va effettuata alcuna operazione a
livello di connettivit interswitch (nell'esempio precedente qualcuno avrebbe dovuto configurare e collegare
un nuovo link tra gli switches).
Sugli switches Cisco i trunk possono essere configurati manualmente o negoziati automaticamente tra gli
switches tramite protocollo, proprietario Cisco, DTP (dynamic trunking protocol). Questo protocollo permette
agli switches di realizzare automaticamente un trunk se le porte ne hanno la potenzialit). Esistono 5
modalit di lavoro del DTP (chiamati switchport mode) che definiscono il comportamento della porta in
ambito trunk:
switchport mode access: Pone la porta in modalit access, la associa ad una VLAN (porte utente)
switchport mode dynamic auto : La porta diventer trunk se dall'altro lato del link c' una porta
desirable o trunk
switchport mode dynamic desirable : La porta tenter continuamente di diventare trunk. Ci riuscir
se dall'altro lato c' una porta trunk o auto.
switchport mode nonegotiate : La porta non tenter mai di diventare trunk, lo far se dall'altro lato
del link c' una porta trunk
TAGGING: L'implementazione delle Vlan ha reso necessario l'utilizzo di un metodo per marcare e
riconoscere la vlan a cui appartiene ogni frame (dato che le Vlan possono anche, anzi spesso sono, estese
su diversi switch appartenenti alla stessa Lan): il frame tagging consiste proprio nellassegnare ad ogni
frame un ID (detto VLAN ID o color).
Una volta che uno switch riceve la frame, verifica per prima cosa il VLAN ID, poi verifica la filter table. Se ci
sono porte trunk per quella VLAN forwarda la frame completa di vlan ID sulla porta trunk. Se ha porte access
per quella VLAN, elimina il VLAN ID e consegna la frame a quelle porte access.
Ci sono 2 metodi di trunking: ISL (proprietario CISCO) e DOT.1Q (standard IEEE802.1Q), tali protocolli
eseguono la medesime funzioni ma con le seguenti differenze:
Lo standard DOT1.Q utilizza un tag di 4 byte nell'header Ethernet (dato che l'header viene
modificato, l'FCS della frame viene ricalcolato).
Lo standard ISL (inter switch link) encapsula la frame originale con un nuovo header (di 26 byte) ed
un nuovo trailer (di 4 byte).
Lo standard DOT1.Q introduce il concetto di VLAN nativa, di solito la VLAN 1 (comunque la stessa
utilizzata per il management). Le frame appartenenti a questa VLAN non vengono modificate con il
VLAN ID; tale VLAN sempre permessa nelle porte trunk, le frame ricevute dalle porte trunk che
non presentano VLAN ID vengono consegnate alla VLAN 1.
Tutti gli switches della rete devono appartenere allo stesso VTP domain. Il primo passo definire il
VTP DOMAIN NAME su tutti gli switch.
Almeno uno switch della rete deve essere configurato come VTP SERVER.
Il VTP server lunico punto dove si possono aggiungere, rimuovere, rinominare le vlan. Le info
relative alle VLAN vengono salvati nella NVRAM (in particolare nel Vlan Database).
Il vtp server passer le info relative alle vlan tramite VTP advertisement. I VTP advertisement (gli
annunci del VTP) viaggiano solo sulle porte trunk.
Gli switches configurati come VTP client inoltrano i vtp advertisement ricevuti dal vtp server sulle
proprie porte trunk ed imparano le info delle vlan dai vtp advertisement. Non salvano le info relative
alle VLAN nella NVRAM, ma solo nella RAM (tali info verranno perse in caso di reload).
Gli switches configurati come VTP trasparent inoltrano i vtp advertisement ricevuti dal vtp server
sulle proprie porte trunk ma non imparano le info delle vlan dai vtp advertisement. Non salvano le
info relative alle VLAN nella NVRAM ne nella RAM. Su questi switches si possono aggiungere,
rimuovere, rinominare le VLAN ma tali modifiche avranno senso solo localmente.
conf t
Si verifica con show vtp status (fornisce tutte le info sulla configurazione) e show vtp statistics
(fornisce le info sui VTP Advertisement scambiati).
Prima di configurare le VLAN bene definire uno switch come server e gli altri come trasparent o client. Se
abbiamo 2 server (il nostro e uno lasciato server per errore) ed il secondo ha un revision number pi alto,
questo aggiorner il VLAN Database del nostro (cancellando di fatto tutte le vlan configurate).
VTP (Virtual Trunking Protocol) pruning: questa funzione (disabilitata di default) permette di inviare
i broadcast sui trunk solo verso switch che necessitano di queste info. Ci significa che se c' un broadcast
per la VLAN5 e sullo switch B non presente nessuna porta access per questa VLAN, il broadcast non verr
inviato sul trunk verso lo switch B. Questo permette di salvare banda. Da configurazione VLAN si usa il
comando vtp pruning .
CONFIGURARE VLAN E TRUNK: Data la rete descritta nella figura seguente riporteremo le
configurazioni necessarie sullo switch. Il primo passo la configurazione globale delle Vlan e l'assegnazione
delle Vlan alle porte (per comodit riportata solo la conf di SwitchA in quanto per questo particolare
esempio quella di SwitchB identica).
!
conf t
vlan 2
name vendite
!
!
conf t
vlan 3
name amministrazione
!
conf t
!
Int fast 0/1
Switchport mode access
Switchport access vlan 2
!
Int fast 0/2
Switchport mode access
Switchport access vlan 3
!
Le porte 0/1 di entrambi gli switches apparterranno alla vlan vendite ( o vlan 2), mentre l2 porta 0/2
apparterranno alla vlan amministrazione (o vlan 3).Il secondo passo sar quello di configurare il trunk tra i 2
switches (anche in questo caso riportata solo la configurazione di Switch A in quanto quella di Switch B
identica).
!
conf t
!
Int fa0/3
Switchport mode trunk (per switch tipo il 2960 che gestiscono solo dot1.q)
switchport trunk allowed vlan X (abilita il trunking per la vlan X, di defualt abilitato
per tutte le vlan)
switchport trunk allowed vlan remove X (disabilita il trunking per la vlan X)
!
conf t
!
Int fa0/3
switchport trunk encapsulation dot1q/isl (per switch tipo il 3560 che gestiscono sia isl
che dot1q)
switchport trunk allowed vlan X (abilita il trunking per la vlan X, di default abilitato
per tutte le vlan)
switchport trunk allowed vlan remove X (disabilita il trunking per la vlan X)
Switchport mode trunk
!
A questo punto i Pc della Vlan 2 potranno pingarsi tra di loro (tecnicamente possono raggiungersi tramite
pacchetti unicast) ma non potranno pingare i Pc della Vlan 3 (e viceversa). Per mettere in comunicazione le
2 Vlan serve un router, come descritto nella sezione seguente L'Intervlan routing. I comandi utili per
verificare la configurazione ed il funzionamento di Vlan e Trunking sono i seguenti e sono descritti (con i
relativi output) nelle figure successive.
Questo comando mostra essenzialmente l'elenco delle Vlan configurate e le porte associate ad ogni vlan.
Questo comando mostra lo stato della porta a livello di switchport (se trunk o access, ed il modo di
switchport in uso).
Etherchannel
Come visto con STP possibile avere pi link paralleli tra switches, ma solo uno di questi sar attivo (gli
altre verranno posti in blocking state per evitare loops). Nel caso si volesse impiegare pi banda e quindi
mantenere tutti i link tra switches attivi in forwarding mode andr utilizzato un Etherchannel, cio un budle di
N links (fino a 8) che agiscono come una sola porta. In pratica questa features permette di aggregare diversi
link insieme e di farli vedere allo switch come un unico link.
Si configura nel seguente modo (nell'esempio si crea un port-channel della fast0/1 - 0/2 lato SW1 e della fast
0/7 -0/8 lato CORE).
SW1#config t
SW1(config)#int port-channel 1
SW1(config-if)#int range f0/1-2 (questo comando permette di configurare un range di porte dello
switch).
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#switchport nonegotiate
SW1(config-if-range)#channel-group 1 mode desirable
Nell'esempio stato utilizzato il channel-group mode desirable, di seguito l'elenco dettagliato dei vari modi
disponibili nelle IOS Cisco:
Intervlan Routing
Per effettuare routing tra VLAN necessario un router. Se si hanno poche VLAN si pu usare un router con
una interfaccia per ogni VLAN. Tale interfaccia va connessa ad una porta dello switch che access per
quella VLAN.
Se si hanno molte VLAN conveniente utilizzare quello che Cisco chiama router on a stick. In pratica si
collega una porta del router ad una dello switch. Lato switch si porr in trunk per tutte le vlan e lato router si
creer una sottointerfaccia per ogni vlan, utilizzando ISL o DOT1.Q
In entrambi i casi l'interfaccia del router sar il DG delle Vlan. Cosi ogni frame diretta fuori dal dominio di
broadcast giunger al router, che la ruoter verso la corretta interfaccia.
Configurazione Subinterfaces
ROUTERA#config t
ROUTERA(config)#int f0/0
ROUTERA(config-if)#no ip address
ROUTERA(config-if)#no shutdown
ROUTERA(config-if)#int f0/0.1
ROUTERA(config-subif)#encapsulation dot1q 1
ROUTERA(config-subif)#ip address 192.168.10.17 255.255.255.240
ROUTERA(config-subif)#int f0/0.2
ROUTERA(config-subif)#encapsulation dot1q 2
ROUTERA(config-subif)#ip address 192.168.10.33 255.255.255.240
Per approfondimenti ed esercitazioni pratiche sul routing tra Vlan vi rimando al seguente link Lab2
L'Intervlan Routing.
Il routing IP
I pacchetti di livello 3 (ad esempio i pacchetti IP) una volta creati dallo stack TCP/IP, hanno bisogno di
essere ruotati sulla rete, verso la destinazione identificata dal campo DESTINATION IP ADDRESS presente
nell'header del pacchetto stesso. Per assolvere questa funzione vengono utilizzati i routers che si occupano
di tener traccia della posizione delle network IP nella rete tramite l'utilizzo della routing-table che presenta la
corrispondenza tra DESTINATION IP ADDRESS e INTERFACCIA DI USCITA. La figura seguente mostra un
esempio di tabella di routing.
La network IP.
Il next-hop IP.
L'interfaccia di uscita.
Oltre a queste informazioni, che sono specifiche per ogni prefisso IP (o network IP) conosciuta dal router,
questo comando mostra anche il gateway of last resort del router, cio il next-hop-ip a cui sar ruotato il
traffico non compreso tra le rotte (o percorsi) presenti in routing table. Alla ricezione di un pacchetto IP, il
router analizza il campo DESTINATION IP ADDRESS e verifica se tale indirizzo presente nella routingtable. Se lo trova invia il pacchetto alla relativa interfaccia di uscita, in caso contrario droppa il pacchetto. Se
per un dato DESTINATION IP ADDRESS il router ha pi di una interfaccia di uscita, verr scelta quella con
Distanza Amministrativa minore. Esistono vari modi per popolare la routing-table: il routing statico, il defaultrouting ed i protocolli di routing.
ROUTING ST ATICO: La routing-table viene popolata manualmente. Lamministratore inserisce una
corrispondenza statica tra DESTINATION IP ADDRESS ed interfaccia di uscita.
Vantaggi: Non impegna la CPU del router, non occupa banda con gli update di routing.
Svantaggi: Si configura a mano, non scalabile, se si aggiunge una rete andranno riconfigurati tutti i
router della rete.
Il comando IOS per configurare una rotta statica : ip route NETWORK_ID SUBNET_MASK
NEXT_HOP_IP/INTERFACCIA AD name COMMENTOTESTUALE.
Da notare che:
Gli argomenti Next_Hop_Ip e Interfaccia possono essere inseriti in alternativa uno all'altro.
L'argomento opzionale name permette di specificare un commento testuale per la rotta statica.
DEFAULT ROUTING: E un particolare tipo di rotta statica utilizzata per 2 motivi principali:
Instradare tutto il traffico diretto a reti non esplicitamente note nella tabella di routing verso una
determinata interfaccia di uscita. Il next-hop-ip di questa rotta speciale sar mostrato come gateway
of last resort dall'output del comando show ip route.
Su router che presentano una sola interfaccia di uscita, ruotare tutto il traffico verso tale interfaccia.
ip default-routing networkid. Dovr essere inserito il network id di una rotta presente in routing table,
che vorremmo utilizzare per tutto il traffico non specificato dalla routing table stessa.
Nella routing table mostrata ad inizio pagina il gateway of last resort settato a 212.234.248.90; tale ip
corrisponde ad un indirizzo di un router remoto, che ha un gateway verso Internet. Tutto il traffico
sconosciuto (cio non diretto alla rete locale) verr sparato verso il gateway Internet (questa una scelta, si
pu anche scegliere di scartarlo o di inviarlo ad un logs server per analisi successive).
Per approfondimenti ed esercitazioni pratiche sul routing statico ed il default routing vi rimando al seguente
link Lab4 Default e Static Routing (si consiglia di eseguirlo dopo aver letto la sezione Interfacce
Wan ed aver eseguito il relativo lab Lab3 Le Wan.
ROUTING DINAMICO: La routing-table viene popolata dinamicamente tramite luso dei routing protocols.
Svantaggi: impegnano la CPU dei router per lesecuzione degli algoritmi, impegnano la banda dei
link con gli update di routing.
Ogni protocollo di routing presenta una propria distanza amministrativa di default, riportata insieme ad altre
informazioni, nella tabella seguente:
I routing protocol possono essere classificati in base alla gestione degli AS (AS = autonomous system =
insieme di router che appartengono alla stessa rete e si scambiano update di routing).
IGP (Interior gateway protocol): protocolli che operano allinterno di un AS (RIP, RIP V2, EIGRP) EGP
(Exterior gateway protocol): protocolli che interconnettono AS diversi (BGP)
Una seconda classificazione raggruppa i protocolli di routing in base allalgoritmo utilizzato per la scelta del
percorso migliore:
DISTANCE-VECTOR: basati sullalgoritmo Bellman-Ford, scelgono il percorso migliore giudicando la
distanza che divide la sorgente dalla destinazione. Utilizzano una metrica semplice, tipicamente il numero di
hop (i router attraversati) che dividono la sorgente dalla destinazione. Comunicano periodicamente lintera
tabella di routing ai router vicini. Nessun router della rete conosce lintera topologia di rete. Esempio: RIPV1,
RIPV2, IGRP, EIGRP.
LINK-ST ATE: basati sullalgoritmo Dijastra, ogni router della rete conosce lintera topologia di rete ed il
costo di ogni collegamento (il costo viene calcolate tenendo conto di vari fattori: banda dei collegamenti,
carico dei collegamenti) e sceglie il percorso migliore valutando il percorso con costo minore. Comunicano
lntera tabella di routing ai propri vicini solo quando vengono attivati. Successivamente comunicano solo
cambiamenti nella topologia di rete (cambio di stato dei link della rete) . Esempio: OSPF.
Una terza classificazione raggruppa i protocolli di routing in base alla loro capacit di supportare il
subnetting, il VLSM e netwrok IP discontigue:
CLASSFUL: non supportano subnetting e VLSM. Assumono che tutte le network della rete appartengano
alla stessa major network a cui appartengono le subnet direttamente connesse, e che tale major network sia
subnettata con la stessa subnet mask delle subnet direttamente connesse. Esempio: RIPV1, IGRP
CLASSLESS: supporta subnetting e VLSM. Gli update di routing contengono un apposito campo per
trasportare linformazione relativa alla subnet mask. Esempio: OSPF.
Access List
Le access-list sono una componente importante di una rete, quindi sono ampliamente trattate nel
programma dell'esame CCNA. Questa sezione si compone di 3 paragrafi:
ESEMPIO CONFIGURAZIONI ACL EXTENDED: In questo esempio vogliamo proteggere tutti gli
hosts della 10.0.12.0/24, negando tutto il traffico ma permettendo al solo host 10.0.10.22 di interrogare il
web-server installato sull'host 10.0.12.5.
EXTENDED:
RouterA(config)#access-list 110 permit tcp host 10.0.10.22 host 10.0.12.5 eq 80
RouterA(config)#access-list 110 deny ip any any (Implicito, inserito solo per referenza)
RouterA(config)#interface FastEthernet0/2
RouterA(config-if)#ip access-group 110 out
EXTENDED NAM ED:
RouterA(config)#ip access-list extended BlockSales
RouterA(config-ext-acl)# permit tcp host 10.0.10.22 host 10.0.12.5 eq 80
RouterA(config-ext-acl)# deny ip any any
RouterA(config)#interface FastEthernet 0/2
RouterA(config-if)#ip access-group BlockSales out
Ovviamente agendo sui parametri (eq, source, destination) possibile limitare altri tipi di traffico, come
possibile utilizzare network o any (cio tutti gli hosts) come source o destination.Come best practice si noti
che consigliato bloccare il traffico "negato" il pi vicino possibile alla sorgente, possibilmente impedendone
l'ingresso nella rete di nostra gestione (in pratica va applicata in ingresso al confine con le reti "esterne").
NOTA BENE: SOTTO LE VTY la ACL non si applica con il comando ip access-group ACL in/out ma con il
comando access-class ACL in/out.
Il comando show access-list mostra le entries di ogni ACL ed il numero di volte che sono state matchate.
Permette di risparmiare indirizzi ip pubblici (tutti gli IP della rete privata possono presentarsi su
internet con lo stesso IP pubblico).
STATICO: permette di effettuare mapping one-to-one degli indirizzi locali su quelli globali.
DINAMICO: permette di effettuare mapping degli indirizzi locali su un pool di indirizzi globali
OVERLOAD: un particolare tipo di NAT dinamico (anche detto PAT, port address translation) che
permette di effettuare il nat many-to-one utilizzando le porte logiche.
TERMINOLOGIA NAT:
COME LAVORA IL NAT: come detto il NAT permette di modificare gli indirizzi IP sorgente o destinatario
del pacchetto IP in transito tra le interfacce configurate con ip nat inside ed ip nat outside.
La figura seguente mostra un router (RTA) con una Lan privata (Eth0 = 10.1.1.0/24) ed una Lan pubblica
(Eth1 = 151.168.2.1/29) che lo connette ad un gateway ISP (RTB - ip 151.168.2.2/29); i restanti ip pubblici
saranno utilizzati per il nat degli hosts interni (rete a puro titolo di esempio). Successivamente sono riportate
le configurazioni che andrebbero implementate su RTA per permettere la navigazione della Lan privata
verso Internet utilizzando le 3 tipologie di NAT.
In questo caso viene stabilita una relazione univoca tra 10.1.1.1 (local) e 151.168.2.3 (global). Si notino i
comandi ip nat inside ed ip nat outiside sotto le interfacce Eth0 e 1. Questi comandi identificano il verso del
NAT; in pratica quando un pacchetto entra dalla Eth 0 la IOS legge il comando e va a verificare la tabella di
nat (nel nostro caso verranno nattati solo i pacchetti originati da PCA e diretti verso Internet.
ESEMPIO 2 (NAT DINAMICO):
In questo esempio tutti gli hosts della Lan sono abilitati ad uscire verso Internet; gli indirizzi global sono presi
da un pool definito in configurazione. Tipicamente il pool contiene meno indirizzi rispetto a quelli della Lan
privata, questo perch si conta sul fatto che non tutti gli hosts necessitino di NAT contemporaneamente
(quando una translations attiva non riceve traffico per un certo tempo viene liberata e resa disponibile per
nuovi nat).
In questo caso gli ip della lan (identificati dalla ACL 1) vengono nattati con un IP del pool globalnet
Il comando ip nat pool globalnet definisce il pool di indirizzi global.
ESEMPIO 3 (NAT OVERLO AD):
Lunica differenza rispetto alla configurazione precedente che nel comando ip nat inside source presente
largomento overload; questo comporta che tutti gli hosts interni verranno nattati con l'unico indirizzo ip del
pool ma ogni sessione utilizzer una diversa porta tcp (teoricamente con un IP sono effettuabili 65535 nat).
In questa configurazione l'argomento "pool globalnet" pu essere sostituito da "interface Ethernet 1", in
questo caso tutti gli hosts interni verranno nattati su una porta dell'ip dell'interfaccia Ethernet 1 (un po quello
che succede nei router ADSL casalinghi).
I Comandi ip nat inside e ip nat outside si applicano rispettivamente alle interfacce di ingresso ed uscita dei
pacchetti che devono essere sottoposti a nat.
VERIFICA NAT: si utilizzano 3 comandi:
Da tenere presente che ogni traslation consuma circa 160 byte di memoria. Nel caso gli eccessivi nat
saturassero la memoria esiste il comando ip nat traslations max-entries.
CDN: Circuito diretto numerico (un collegamento p2p tra 2 sedi). Pi costose, da preferire se si
hanno flussi di traffico importanti e costanti nel tempo.
CIRCUIT SWITCHING (commutazione di circuito): connessioni che vengono attivate (su linee isdn o
analogiche) solo in caso di trasmissione dati. Costano meno ma sono adatte per bassi bandwidth
e/o connessioni saltuarie.
HDLC (high-level data-link control): un proprietario standard (ISO 13239) che deriva dal protocollo
proprietario IBM SDLC. Il protocollo HDLC rappresenta una eccezione al concetto di "protocollo standard" in
quanto ogni vendor ne implementa una propria versione, pu quindi capitare che utilizzando HDLC tra
apparati di vendors diversi il link possa non funzionare.Le seriali Cisco sono, di default, attive con
encapsulation HDLC quindi per farle funzionare basta assegnarli un IP , configurare l'eventuale clock rate e
collegarle ad un circuito funzionante; opzionalmente le seriali Cisco possono essere configurate come PPP o
FRAME-RELAY.Con riguardo al clock va notato come gli apparati Cisco possono essere anche collegati tra
loro senza l'ausilio di leased line, ma tramite un cavo diretto V35. In questo caso occorre notare che uno dei
2 routers dovr fungere da DCE (cio da sorgente del clock) infatti le seriali dei router Cisco, di default, sono
attive in modalit DTE; questo significa che devono essere connesse ad un DCE che si occuper di fornire il
clock al router. Se si collegano 2 routers Cisco tramite un circuito WAN sar la rete dell'ISP a fornire il clock,
cosi che entrambi i router potranno essere configurati come DTE. Il comando per rendere una interfaccia
DCE "clock rate Valoreclock", dove valore clock un valore espresso in bits/sec.Questo protocollo, in
qualit di protocollo di livello 2, encapsula i protocolli di livello 3 supportati (IPX, IP, IPV6 ect) in frames di
livello 2; la figura seguente mostra una frame HDLC:
PPP (point to point protocol: un protocollo standard (RFC1661 e successive modifiche), permette
quindi linterlavoro tra vendor diversi. Permette autenticazione (PAP e CHAP), call back, multilink e pu
essere usato su seriali asincrone (analog line) o sincrone (seriali). IL PPP si divide in 2 sottoprotocolli:
PPP SESSION EST ABLISHMENT: si compone di 3 fasi: link establishement (configura il link a livello di
data size, compressione ed autenticazione), Authentication phase (opzionale. CHAP o PAP possono essere
usati per autenticare il link), Network Layer protocol phase (PPP usa NCP per permettere a pi protocolli di
livello 3 di essere encapsulati su un datalink PPP).
AUTHENTICATION: Le connessioni PPP possono essere autenticate. Esistono 2 protocolli per gestire
l'autenticazione:
PAP il meno sicuro dei 2 metodi. La password inviata in chiaro solo allinizio della connessione.
CHAP: Lautenticazione avviene allinizio della connessione e periodicamente durante la stessa (per
verificare che sempre connesso allo stesso host). Il router A invia la richiesta a B, B risponde con
username e password criptati in md5. Router A decripta user e password per vedere se matchano.
Tipicamente PPP viene utilizzato in congiunzione con altri protocolli (insieme a ISDN per i backup ISDN,
insieme a Ethernet o ad ATM nelle connessioni ADSL.La configurazione delle schede ISDN BRI e ADSL non
sono oggetto del presente corso.
FRAM E-RELAY: Il frame-relay levoluzione di X.25 ed un protocollo standard (definito dall'ITU-T
I.922); il suo punto di forza il risparmio che offre rispetto alle connessioni dedicate. Nella sua
configurazione standard definito come NBMA (non broadcast multiple access). Praticamente prevede che
ogni sede sia connessa alla rete Frame-relay (che composta da nodi FR interconnessi - tipicamente le reti
FR sono di propriet dei provider che le mettono a disposizione di diversi clienti. Ogni sede del cliente viene
connessa agli switches FR; successivamente verranno configurati dei circuiti virtuali verso una (centro stella)
o tutte (reti full-meshed) sedi remote. Le figure seguenti mostrano alcune implementazioni tipiche Framerelay: in particolare la prima mostra una classica implementazione hub and spoke (o centro stella) e la
seconda mostra una topologia full-meshed.
L'esigenza alla base di questa rete connettere con un circuito ogni perifera (router B, router C e router D)
al centro stella (router A). Se avessimo utilizzato dei normali CDN tra Router A e gli altri router avremmo
avuto bisogno di 3 circuiti e 6 interfacce (3 su Router A ed 1 su ogni periferia). Grazie al frame-relay
abbiamo eseguito le medesime connessioni con 4 circuiti e soltanto 4 interfacce). Il risparmio garantito in
quanto:
I circuiti delle implementazioni FR sono tipicamente pi brevi (e quindi meno costosi). Infatti tali
circuiti non connettono Sede A (ad esempio Roma) con Sede B,C e D (ad esempio Torino, Milano,
Bari) ma collegano le varie sedi con i POP (point of presence) dell'ISP che sono tipicamente
capillarmente presenti sul territorio.
In implementazioni FR sar necessaria sempre 1 interfaccia lato CED, mentre con le connessioni
CDN sono necessarie tante intefacce quante sono le sedi remote. Spesso questo rende necessario
l'acquisto di router di categoria superiore con i relativi costi.
Il problema del numero interfacce risulta ancora pi evidente nel caso di reti full mesh. Se si analizza al
figura precedente si rileva come per connettere 4 sedi in modalit full meshed siano necessarie: 4 interfacce
e 4 link in modalit FR contro le 12 interfacce e 6 link necessari se si utilizzano CDN.
Nell'immagine precedente compare un nuovo oggetto che era assente nelle connessioni precedentemente
analizzate: la rete frame-relay. Sebbene esistano reti frame-relay private, cio realizzate ad uso personale
da aziende o organizzazioni, la maggior parte sono propriet di ISP che affittano uno o pi canali virtuali a
diversi clienti. La rete frame-relay prevede una serie di switches FR installati nei POP dell'ISP e magliati tra
di loro. I circuiti in arrivo dalle sedi clienti vengono attestati sugli switches FR (sebbene questi switch
supportino diversi tipi di interfacciamento assumiamo, per semplicit dialettica, forniscano normali interfacce
V35 simili a quelle dei routers Cisco). Una volta realizzata la connettivit fisica tra routers, link e switches
frame-relay occorre passare alla configurazione del frame-relay e successivamente alla configurazione dei
canali virtuali (chiamati pvc o permanent virtual circuit). La configurazione del frame-relay introduce il
concetto di LMI (link management interface) che un semplice protocollo atto ad eseguire 2 funzioni
principali:
Assicura che il livello fisico (cio la connessione a livello 1 tra il Nodo Frame-Relay ed il router) sia
correttamente attiva.
Permette agli endpoint (il nodo frame-relay ed il router) di scambiarsi informazione sui DLCI
configurati e su quelli attivi.
Da notare che in fase di configurazione va specificato il tipo di LMI in uso (che deve ovviamente matchare
sia sul router che sul nodo frame-relay); LMI pu essere ANSI, CISCO, Q933.A. Il dettaglio delle differenze
tra questi tipi di LMI non sono oggetto del corso CCNA.
A questo punto il funzionamento di Frame Relay prevede di:
connettere ogni circuito logico creato al punto precedente con il corrispondente circuito logico
remoto
Da quanto sopra risulta evidente come il PVC non sia una entit point-to-point, ma sia l'insieme di diversi
segmenti. I Pvc frame-relay vengono identificati dal dlci (data link connection identifier). Tale ID ha senso
localmente (tra il router e lo switch FR direttamente connesso e deve essere uguale su questi 2 apparati.
Dalla figura precedente possiamo rilevare i dlci che sono stati configurati tra i routers ed i corrispettivi
switches frame-relay. Gli switches frame-relay saranno configurati come segue:
Sulla porta 2 di NODO A saranno configurati 3 PVC (DLCI 1 2 e 3) verso il router A (il centro stella).
A questo punto la rete frame-relay verr configurata per mettere in contatto i vari DLCI per realizzare i PVC
necessari. In particolare:
La configurazione di questo tipo di connessioni sui routers Cisco disponibile sia in modalit point-to-point
che in modalit multipoint.
La modalit point-to-point prevede che si configuri l'interfaccia fisica (con i parametri relativi a encapsulation
e lmi-type) ed una interfaccia logica (subinterface) per ogni DLCI; sulla subinterface si definisce il DLCI e
l'indirizzo IP. Il vantaggio essenziale di questa configurazione poter gestire il bandwidth di ogni singolo
PVC.
Il protocollo Frame-Relay prevede anche un'altra modalit di connessione detta "multipoint". In pratica
questa configurazione (come vedremo pi avanti nella parte dedicata alle configurazioni) riduce fortemente
la configurazione necessaria lato centro stella (lato periferia rimane grossomodo invariata rispetto
all'esempio precedente), richiedendo la configurazione di una singola interfaccia; sar la rete FR multiplare
su questo PVC tutti i PVC in arrivo dalle periferie.
Un altro vantaggio di questa modalit di connessione il risparmio di indirizzi IP; la modalit point point
richiede una network IP (sufficente /30) per ogni connessione (in questo modo dovreanno essere riservati 4
IP per ogni connessione, di cui 2 usati e 2 sprecati - il broadcast ed il network identifier) mentre la modalit
multipoint prevede l'assegnazione di una network grande (ad esempio /24) alla connessione (un ip per il
centro stella, 1 per ogni periferia). Se avessimo 253 periferie ed 1 CED, nel primo caso avremmo bisogno di
1000 (250 X 4) indirizzi IP mentre nel secondo caso ne sarebbero sufficenti 256 (1 per il CED, 253 per le
periferie, 2 per il network identifier ed il broadcast).
Le figure seguenti mostrano le configurazioni necessarie, sia lato centro stella che lato periferia, per
implementare il frame-relay sia in modalit point to point che multipoint.
In merito alle connessioni FR multipoint occorre notare che queste sono configurabili esplicitamente (tramite
la frame-relay map) o dinamicamente tramite il protocollo Frame-Relay Inverse ARP; tale protocollo si
occupa di scoprire il next-hop ip relativo allo specifico DLCI. Il FR Inverse ARP si attiva di default nel
momento che si configura una interfaccia come FR, pertanto nessuna configurazione necessaria; tuttavia
la configurazione va eseguita esplicitamente (inserendo l'argomento broadcast) qualora si utilizzano
protocolli di routing IGP. Nella configurazione riportata di seguito viene considerata la configurazione
esplicita.
Configurazione point-to-point:
Configurazione point-to-multipoint:
CIR: il concetto di CIR assente nelle connessioni dedicate, ma fondamentale nel FR. In pratica il CIR (
committed information rate) indica la velocit di trasmissione del singolo PVC in opposizione all'AR (accessrate)che indica invece la velocit fisica dell'interfaccia. Spesso si tende a configurare i PVC in modo tale che
la somma dei CIR superi l'AR; in questo caso si parla di overbooking ed in pratica ci si basa sul fatto che
probabile che non tutti i PVC trasmettano contemporaneamente alla velocit di CIR (da evitare
assolutamente in implementazioni convergenti e/o con traffico real-time). Spesso gli ISP offrono la possibilit
di utilizzare l'EIR (exceedeed information rate); in pratica si tratta di un extra banda che si pu utilizzare in
assenza di congestione. In pratica viene permessa una banda = CIR+EIR. Il traffico entro il CIR viene
spedito normalmente, il traffico oltre il CIR (e sotto l'EIR) viene marcato con il bit DE settato a 1; questo
indica agli apparati successivi che il traffico pu essere scartato in caso di congestione di rete (in questa
condizione il nodo che rileva congestione invia un FECN verso il DTE destination ed un BECN verso il DTE
source. I routers possono essere configurati per abbassare la velocit di trasmissione a fronte di
FECN/BECN. La gestione dell'extra banda tramite frame-relay class-map non oggetto del corso CCNA.
VERIFICA FRAM E-RELAY: per verificare il funzionamento del FR si utilizzano essenzialmente 2
comandi:
sh frame-relay lmi: mostra il funzionamento del protocollo LMI (lmi inviati, ricevuti, ultimo LMi
ricevuto ect).
sh frame-relay pvc: mostra lo stato di tutti i PVC configurati sul router e quelli annunciati dal nodo
Frame Relay. Indica anche la data di creazione del PVC, lo stato attuale, il tempo passato nello stato
attuale.
Le informazioni qui riportate sul protocollo FR sono sufficenti per implementare una rete frame-relay e
superare l'esame Cisco CCNA; se tuttavia desiderato approfondire il FR (configurazione, troubleshooting) vi
consiglio lo studio del seguente documento Cisco: Comprehensive Guide to Configuring and
Troubleshooting Frame Relay
CONNESSIONI SICURE: Alcuni tipi di comunicazioni dati hanno necessit stringenti in termini di
sicurezza ( hanno ad esempio bisogno di essere criptati ed autenticati); le connessioni atte a fornire
sicurezza di trasmissione possono essere di 2 tipi:
IPSEC: trasporta IP in maniera sicura.
VPN: trasportano protocolli NON IP in maniera sicura. C ne sono di 3 tipi:
REMOTE ACCESS VPN: permettono agli utenti di connettersi alle risorse della intranet da dovunque
si trovano.
SITE-TO-SITE VPN: permettono alle aziende di connettere siti remoti al backbone aziendale
sfruttando internet invece di connessioni dedicate (o frame relay).
RIP
Il RIP un protocollo IGP, DISTANCE-VECTOR e CLASSFUL. Ha una distanza amministrativa = 120 ed
utilizza come metrica il numero di hop, cio il numero di routers attraversati dalla sorgente alla
destinazione.
Come funziona:
Ogni 30 secondi invia in broadcast su tutte le interfacce un update contenente lintera tabella di
routing.
Router B riceve lupdate ed aggiorna la propria routing-table inserendo le reti connesse a Router A
con metrica = 1.
Se un router riceve un update con una network che presenta metrica > rispetto ad un annuncio gi
presente nella sua routing-table, lo ignora.
Se un router ha pi percorsi RIP verso una destinazione che presentano metrica identica, effettua
bilanciamento fino ad un massimo di 6 percorsi (tale bilanciamento detto round-robin balance)
Problemi di RIP ed accorgimenti:
PINHOLE CONGESTION: come detto RIP tiene conto esclusivamente del numero di hop per
calcolare un percorso e bilancia su un massimo di 6 percorsi con numero di hop uguale. Se questi
percorsi hanno banda differente, si verificher congestione del link con meno banda. La soluzione
fare attenzione in fase di progettazione.
ROUTING LOOP: Un altro problema tipico del routing RIP il routing loop ed facilmente
spiegabile con un esempio:
M AXIMUM HOP COUNT: RIP ha un massimo numero di hop = 15. Se una rotta raggiunge un
numero di hop = 16 viene eliminata dalla tabella di routing.
SPLIT-HORIZON: un regola che dice che le informazioni di routing non possono essere inviate
indietro nella direzione da cui sono state ricevute. Nel nostro esempio router A non potr comunicare
a router B di conoscere network 5, in quanto tale informazione stata ricevuta da router B stesso.
ROUTE POISONING: letteralmente avvenelenamento della rotta. Se un router vede una rete
connessa andare down, setter la distanza a 16 (irraggiungibile) ed invier immediatamente tale
informazione ai router connessi (non attender il normale update di routing, questa funzione detta
triggered update). I routers che ricevono la route poisoning, pongono la rotta in holddown e
rispondono al router che ha generato il route poisoning un route poson reverse. Durante il tempo di
holddown nessun annuncio per quella rotta sar preso in considerazione.
RIP TIMERS: ci sono 4 timers che regolano il funzionamento di RIP: ROUTE UPDATE TIMERS:
default 30 secondi, il tempo dopo il quale viene un router invia lupdate di routing.
ROUTE INVALID TIMER: default 180 secondi, il tempo dopo il quale un router determina che
una rotta diventata invalida. Giunge a questa conclusione se non riceve nessun update per una
determinata rotta per questo tempo. Allo scadere il router invia un update a tutti i vicini dichiarando la
rotta irraggiungibile.
HOLDDOWN TIMER: default 180 secondi, quando un router riceve un annuncio per una rotta
irraggiungibile (hop 16) la pone in holddown state. In questo periodo nessun annuncio per quella
rotta verr preso in carico dal router.
ROUTE FLUSH TIMER: default 240 secondi, il tempo che passa da quando una rotta viene
dichiarata invalida a quando viene eliminata dalla routing table. In questi 4 minuti la rotta presente
in tabella di routing con numero hop = 16.
Una evoluzione di RIP RIP V2. A differenza di RIP classless (supporta VLSM, subnetting e
network discontigue) e permette lautenticazione (sia in chiaro, che criptata MD5) degli update di
routing. Mentre RipV1 invia gli update in broadcast, RipV2 li invia in multicast allindirizzo 224.0.0.9 .
Di default anche RIPV2 summarizza le reti connesse con la network classful che le contiene. Per
permettergli di gestire network discontigue v utilizzato il comando no auto-summary.
Sar il protocollo stesso ad installare in tabella di routing, e ad annunciare ai vicini le reti connesse
che appartengono a questa major network. RIPV1 non trasporta la subnet mask negli update di
routing ed effettua autosummarizzazione di default (questo comportamento non modificabile).
Annuncia solo il network identifier delle subnet connesse, assumendo che tutte le subnet che
appartengono alla major network presentino la stessa subnet.
RIPV2: Presenta tutte le caratteristiche di RIPV1, di cui replica anche lo schema di prevenzione di
loop. A differenza di RIPV1 invia gli update di routing in multicast (224.0.0.9) ed classless
(trasposta negli update di routing la subnet mask delle reti). Si abilita in configurazione protocollo
con il comando version 2. RIPV2 trasporta la subnet mask ed effettua autosummarizzazione di
default, per supportare reti discontigue va utilizzato il comando no auto-summary (in configurazione
protocollo).
Credo sia interessante notare, anche per capire a fondo il concetto di reti discontigue e
autosummarizzazione (che presente in tutti i protocolli di routing), come il router B riceva un solo
annuncio (10.0.0.0/8, cio la major network in uso su Router A), mentre utilizzando RIPV2 con il
comando no auto-summary router B riceve le rotte specifiche delle interfacce di router A
(10.0.10.0/24 e 10.0.11.0/24, dato che la 10.0.12.0/24 direttamente connessa).
PASSIVE-INTERFACE: valido sia per RIPV1 che per RIPV2, il comando (in configurazione
protocollo) passive-interface INTERFACCIA, blocca linvio degli update di routing sullinterfaccia
citata. Dallinterfaccia saranno comunque ricevuti update di routing.
VERIFICA PROTOCOLLO RIP: si possono utilizzare i seguenti 3 comandi per verificare il
funzionamento del protocollo di routing (sia RIP V1 che RIP V2):
o
show ip route: mostra lintera tabella di routing. Mostra se la rete connessa, se propagata
con routing statico o dinamico (ed eventualmente da quale protocollo annunciata). Mostra
la rete destinazione e la relativa subnet, la metrica (120 per RIP), il numero di hop,
linterfaccia di uscita.
Show ip protocols: mostra i protocolli di routing attivi sul router; simpatico notare come
l'output di questo comando varia a seconda del protocollo di routing in uso. Nel caso di RIP
mostra la versione in uso (1 o 2), i timers, le interfacce su cui attivo il RIP e quelle
passivate.
Debug ip rip: mostra gli update di routing ricevuti ed inviati dal router su cui abilitiamo il
debug (se si entrati sul router in telnet sar necessario abilitare il terminal monitor per
vedere loutput del debug).
NEIGHBOR TABLE: la tabella che contiene tutte tutti i neighbor con cui stata stabilita una
adiacenza e che inviano/ricevono update di routing.
LOCAL TOPOLOGY TABLE: la tabella che contiene tutte le rotte ricevute da tutti i routers vicini. Di
tutte queste rotte il router sceglie la migliore (quella con metrica migliore) e la inserisce nella routing
table.
ROUTING TABLE: la tabella che contiene i percorsi migliori per ogni destinazione remota.
Tutte le 3 tabelle sono immagazzinate nella RAM, le prime 2 sono popolate tramite lutilizzo degli hello
packet. La routing table popolata scegliendo i percorsi migliori tra quelli presenti nella topology table.
NEIGHBORSHIP: affinch 2 routers diventino Eigrp Neighbors devono essere soddisfatte le seguenti
condizioni:
La metrica deve essere uguale sui due router che vogliono condividere la neighborship su un link.
La neighbor-table tiene traccia di tutti i routers che sono diventati neighbor (il comando per visionare
tale tabella : show ip eigrp neighbors).
UPDATE DI ROUTING: EIGRP utilizza un protocollo detto RTP (reliable transport protocol) per
comunicare gli update di routing ai propri neighbors. Tale protocollo prevede linvio in multicast (224.0.0.10)
dellupdate di routing. Ogni neighbors che riceve lupdate risponde al router che ha generato lupdate.
Se un neighbors non risponde, il router invier lupdate in unicast (direttamente al neighbor che non ha
risposto) per 16 volte, prima di dichiararlo non raggiungibile.
Tutti gli update di routing cosi ricevuti vanno a popolare la topology-table (il comando per visionare tale
tabella : show ip eigrp topology-table) che contiene tutti i possibili percorsi per una destinazione.
ROUTING T ABLE: EIGRP utilizza un protocollo detto DUAL (diffusing update algorith) per scegliere il
percorso con metrica migliore tra tutti quelli presenti in topology-table. EIGRP pu bilanciare traffico su
massimo 4 percorsi con metrica uguale.
ALCUNI TERMINI UTILI:
SUCCESSOR ROUTE: la rotta che presenta la fesiable distance. Verr inserit in routing-table.
FESIABLE SUCCESSOR: la rotta che presenta la miglior seconda metrica per una certa
destinazione. E la rotta di backup rimarrr nella topology-table.
ABILITARE IL PROTOCOLLO: router eigrp 20 (v specificato lAS che dovr essere lo stesso anche
sul neighbor, pertanto va condiviso con l'amministratore del RouterB.)
ANNUNCIARE LA MAJOR NETWORK : network 10.0.0.0; Il protocollo EIGRP si attiva sulle sole
interfacce che hanno IP appartenenti alla rete dichiarata e: invia hello packet su queste interfacce al
fine di attivare una neighborship, inserisce in topology table le network IP di queste interfacce.
In questo caso su RouterB arriveranno gli annunci delle 2 Lan connesse a RouterA, trmaite EIGRP, come
mostrato nella figura seguente (presa in lab):
Da notare che EIGRP trasporta la subnet mask negli update di routing ed effettua autosummarizzazione. Per
poter supportare network discontigue va utilizzato il comando no-autosummary (in configurazione
protocollo).
COM ANDI OPZIONALI:
MAXIMUM PATHS: di default EIGRP bilancia il traffico fino a 4 percorsi con metrica uguale. Con il comando
maximum-paths (in configurazione protocollo) si pu dire al router di bilanciare fino ad un massimo di 6
percorsi (con metrica uguale o diversa).
MAXIMUM HOPS: di default EIGRP gestisce percorsi fino ad un massimo di 100 hops. Con il
comando metric maximum-hops (in configurazione protocollo) si pu dire al router di gestire percorsi
fino ad un massimo di 255 hops.
PASSIVE-INTERFACE: in EIGRP questo comando blocca sia linvio che la ricezione degli update di
routing su una interfaccia. Si esegue in configurazione protocollo con il comando passive-interface
INTERFACCIA
BILANCIARE SU PIU PERCORSI: come detto EIGRP di default utilizza i parametri bandwidth e
delay per calcolare la metrica. Se volessimo forzare il router a bilanciare su percorsi con metrica
diversa dobbiamo configurare dei valori identici di bandwidth e delay sotto le relative interfacce. I
comandi, da usare in configurazione interfaccia sono: int s0/0 ; delay valore; bandwidth valore.
show ip route eigrp: mostra solo le entry create da EIGRP nella tabella di routing.
Debug eigrp packet: mostra gli hello packet inviati/ricevuti dal router.
Debug ip eigrp notification: mostra i cambi di stato dei neighbors e gli update di routing inviati/ricevuti
dal router.
Nella figura seguente trovate l'output dei comandi show ip eigrp neighbors e show ip eigrp topology catturati
sul RouterB (vedi esempio inizio pagina).
COME FUNZIONA: Un router OSPF ha tre tabelle, o database, che utilizza per individuare i percorsi
migliori per una data destinazione:
NEIGHBORS DATABASE: contiene lelenco di tutti i router per i quali sono stati ricevuti degli hello
packet. Viene popolato dagli hello packet ricevuti.
TOPOLOGY DATABASE: contiene le informazioni ricevute da tutti gli LSA ricevuti per unarea.
Queste informazioni vengono utilizzare dallalgoritmo di Dijastra per individuare il percorso pi breve
per una destinazione.
ROUTING TABLE: i percorsi pi brevi per ogni network dellarea sono (risultanti dalleleborazione
dei dati presenti nel topology database) vengono inseriti in tabella di routing.
I timers dei pacchetti di hello e dead devono essere identici (Si possono verificare con il comando
show ip ospf interface).
OSPF ha un comportamento diverso a seconda del tipo di rete su cui attivo. I tipi principali di rete sono 3:
RETI P2P (point to point): sono reti che forniscono accesso esclusivo tra 2 routers OSPF (CDN,
connessioni frame-relay point point). Su questo tipo di reti non avviene l'elezione del DR e BDR ma, se i
parametri contenuti negli hello sono corretti, si realizza l'adiacenza.
RETI BM A (broadcas multiaccess): sono reti che forniscono accesso broadcast, ad esempio
Ethernet. Su questo tipo di reti viene effettuata lelezione di DR e BDR.
RETI NBM A(no broadcast multiaccess): sono reti che non forniscono accesso broadcast ma
permettono a pi routers di collegarsi alla stessa rete, ad esempio Frame-Relay. Su questo tipo di reti viene
effettuata lelezione di DR e BDR.
In alcune tipologie di rete (NBMA e BMA) gli update di routing non vengono scambiati con tutti i neighbors
ma solo con i routers con cui si stabilit una adiacenza OSPF. In pratica su reti che mettono in
comunicazione pi di 2 routers (Ethernet, FR multipoint) si dovrebbero realizzare parecchie neighborship per
connettere ogni router con tutti gli altri. In questo tipo di reti molti router ospf condividono il medesimo
segmento di rete (ad esempio una lan). Questo comporterebbe che ogni router sia neighbor con tutti gli altri,
generando una mole di update routing che occuperebbe molta banda. Per evitare questo vengono eletti 2
router (DR o designated router, e BDR o backup designated router) che si occuperanno di stabilire le
adiacenze con tutti gli altri. Tutti i router scambieranno gli update solo con DR e BDR, che a loro volta
inoltreranno gli update a tutti i routers.
Il processo di elezione di DR e BDR avviene tramite gli hello packet allindirizzo multicast 224.0.0.6. Tra le
varie informazioni scambiate da questi pacchetti c la ospf prioriy, che di default settata a 1 (si pu
verificare con il comando show ip ospf interface). Il router con la ospf priority pi alta diventer DR, il
secondo sar il BDR (un router con ospf priority=0 non sar mai eletto DR o BDR). Se tutti i router hanno la
ospf priority di default, il router con il RID (router id) diventer il DR, il secondo sar il BDR. Il valore di
default pu essere modificato (in configurazione interfaccia) con il comando ip ospf priority X.
La figura precedente mostra una rete composta da 4 router OSPF attestati ad una Vlan su uno switch. In
questo caso saranno necessarie 6 neighborship totali (vedi linee tratteggiate nella figura) per connettere a
livello OSPF i routers.
La figura seguente mostra invece cosa succede grazie all'elezione del DR/BDR, e cio la necessit di solo 4
adiacenze (ogni router avr 2 adiacenze, una verso il DR e l'altra verso il BDR).
Il router ID (RID) identifica il router allinterno del processo OSPF. Elindirizzo pi alto configurato su tutte le
loopback del router stesso. In assenza di loopback viene utilizzato come RID lindirizzo ip pi alto configurato
sul router. La neighbor-table si pu visionare con il comando show ip ospf neighbor.
UPDATE DI ROUTING: OSPF utilizza le LSA (link state advertisement) per scambiare gli update di
routing, tutti i percorsi imparati dalle LSA sono posti nel topology database. Il topology-database
visionabile con il comando show ip ospf topology.
ROUTING-T ABLE: lalgoritmo di Djastra utilizza le informazioni del topology database per calcolare il
percorso con costo minore per una data destinazione. Questa rotta verr inserita in routing-table.
ESEMPIO DI CONFIGURAZIONE OSPF: Data la rete descritta nella figura seguente, dove abbiamo
un router con connesse 3 reti: Fast0/0 = 10.0.10.0/24 , Fast0/1 10.0.11.0/24 , Serial0 192.168.100.0/30
dovremo:
Applicando la configurazione sopra descritta al router A, sul router B arriveranno le rotte specifiche delle
network di Router A (10.0.10.0/24 e 10.0.11.0/24).Alc identificare i processi OSPF localmente. Infatti un
router pu presentare pi processi OSPF contemporaneamente. Ognuno di essi avr una propria topology
table , i processi non interagiranno tra loro. Il Process ID pu assumere valori compresune note in merito ai
comandi appena visti:
il Process ID (10) ha senso solo localmente, non tutti i router che devono scambiarsi update di routing
devono avere lo stesso valore. Serve esclusivamente peri tra 1 e 65535.
La WILDCARD sostanzialmente il negativo della subnet mask. Tutte le interfacce che presentano indirizzi
ip compresi nel range espresso da network+wildcard mask verranno inserite nelle LSA (cio su di esse verr
attivato OSPF) e saranno inserite in area 0.
LAREA ID pu essere espresso come decimale(0) , o come dotted decimal (0.0.0.0). Pu assumere valori
compresi tra 1 e 4.2 bilioni.
ALTRI COM ANDI UTILI:
IP OSPF PRIORITY X (in configurazione interfaccia): modifica la ospf priority di una interfaccia. Il
router con priority maggiore verr scelto come DR.
PASSIVE-INTERFACE: come per EIGRP se viene passivata una interfaccia, su questa interfaccia
non verranno ne inviati ne ricevuti update di routing.
VERIFICA PROTOCOLLO OSPF: per verificare il funzionamento di OSPF si utilizzano alcuni comandi
gi visti per le verifiche del RIP, ed alcuni nuovi tipici di OSPF:
show ip route: mostra lintera tabella di routing. Per il dettaglio delle informazioni fornite da questo
comando si veda la sezione "Il Routing IP".
show ip ospf/show ip ospf X: mostra le informazioni relative ad uno o a tutti i processi OSPF attivi sul
router. Fornisce le seguenti info: process ID, Router ID, Area info (e numero di interfacce attive
nellarea), LSA timers, statistiche SPF.
sh ip ospf database: mostra il topology database. Essenzialmente mostra tutti i neighbors ed il loro
router ID (spiegare nel dettaglio questo comando implica la spiegazione dei vari tipi di LSA e dei
relativi concetti di funzionamento, che non sono oggetto del corso CCNA e sono particolarmente
complessi.
show ip ospf interface interfaccia: mostra le statistiche OSPF relative allinterfaccia: stato
dellinterfaccia, indirizzo ip dellinterfaccia, tipo di rete (p2p, p2mp, bma, nbma), timers, costo del link,
area id, process id, ospf priority, router id del neighbor, eventuali DR/BDR.
show ip ospf neighbor: mostra le informazioni relativi ai neighbors. Router ID del neighbor, stato
della neighborship.
Show ip protocols: mostra i protocolli di routing attivi sul router. Nel caso di OSPF mostra: process
ID, Router ID, tipo di area, network ip e aree configurate per OSPF ed il router ID dei neighbors.
debug ip ospf packet: mostra gli hello packet inviati/ricevuti dal router.
debug ip ospf hello: mostra gli hello packet inviati/ricevuti dal router; fornisce maggiori dettagli del
comando precedente.
debug ip ospf adj: mostra il processo di elezione di DR e BDR per reti NBMA e BMA.
Il dettaglio dei comandi diagnostici in ambito OSPF disponibile (in lingua inglese) a questa pagina del
sito Cisco.
Reti WI-FI
Le implementazioni Wireless sono definite dallo standard IEEE 802.11 e sono simili alle implementazioni
10BaseT che utilizzano un hub, quindi realizzano comunicazioni half-duplex che condividono la stessa
banda ed in cui ogni host pu comunicare solo se non ci sono altre trasmissioni in essere.
La differenza sostanziale risiede nel medium fisico utilizzato a Livello 1 per trasportare i bits: rame (cavo
UTP) nel caso di implementazioni 10BaseT, cavo coax per implementazioni 10Base2/10Base5, onde radio
per implementazioni 802.11.
Le trasmissioni WI-FI utilizzano frequenze radio (RF) emanate da una antenna che genera onde radio
(chiamato access-point o AP); tipicamente gli AP annunciano la rete (SSID) a cui gli hosts possono
collegarsi (opzionalmente prevista l'autenticazione degli utenti o il mascheramento del SSID). Il problema
principale delle onde radio che possono essere assorbite o riflesse causando perdita di segnale (bassa
potenza del segnale).
La soluzione parziale a questo problema lamplificazione del segnale, che permette di coprire distanze
maggiori. Bisogna per considerare che insieme al segnale andremmo ad amplificare anche i disturbi, quindi
lamplificazione va effettuata con attenzione.
Il WI-FI lavora su delle frequenze libere, cio non assegnate dagli organismi statali che gestiscono le
frequenze radio (ad esempio le frequenze AM/FM utilizzate dalle radio).FCC (lente che gestisce le
frequenze radio in USA) ha lasciato 3 bande libere per il WI-FI: 900MHz, 2.4 GHz, 5.7 GHz. Lo standard
IEEE (organismo che si occupa della standardizzazione dei servizi) per WI-FI 802.11. A questo standard
sono stati affiancati molti emendamenti. La tabella seguente compara i principali:
802.11b: opera a 2.7GHz e fornisce velocit di 11Mbit/sec . Sono disponibili 14 diversi canali (11
overlapping; 3 non overlapping: 1,6,11) per la trasmissione. Per prevenire le collisions utilizza CSMA/CA
(carrier sense multiple access with collisions avoidance) anche detto ready to send/clear to send. In pratica
prima di inviare dati il client invia un pacchetto (ready to send) allantenna (Access point, AP). LAP risponde
(per confermare la possibilit di trasmissione al client) con un clear to send. A questo punto il client invia i
dati. Lap conclude con un ack. Le velocit a cui possono lavorare i clients 802.11b sono: 11, 5.5, 2, and
1Mbps. La vel massima si raggiunge fino a 150 feet, la velocit minima fino a 350 feet. Utilizza come tecnica
di modulazione DSSS e gestisce circa 25 utenti per cella.
802.11g: opera a 2.7GHZ e fornisce velocit di 54Mbit/sec. E pienamente compatibile con 802.11b, ed
utilizza gli stessi canali (11 overlapping; 3 non overlapping: 1,6,11) C da dire che se client 802.11b e
802.11g si connettono allo stesso AP tutti utilizzeranno CSMA/CA di 802.11b. In questo caso tutti
opereranno alle velocit di 802.11b. gestisce circa 20 utenti per cella. Utilizza come tecnica di modulazione
OFDM, se allap sono connessi solo clients 802.11g; se ci sono anche client 802.11b tutti i clients utilizzano
DSSS. La vel massima si raggiunge fino a 90 feet, la velocit minima fino a 300 feet.
802.11a: opera a 5.5 GHz e fornisce velocit di 54Mbit/sec. Utilizza 12 canali non overlapping. Gestisce
circa 15 utenti per cella. La vel massima si raggiunge fino a 75 feet, la velocit minima fino a 190 feet.Le
velocit a cui possono lavorare i clients 802.11a e 802.11g sono 54, 48, 36,24,12,9 e 6 Mbit/sec.
802.11h: un estensione di 802.11a, presenta le stesse peculiarit, ma i canali utilizzabili sono 23 sempre
non overlapping. Fornisce 2 nuovi features:
DFS: monitora continuamente il range dei 5.5 GHz prima di trasmettere. Se rileva segnali cambia
canale e marka quello precedente come unavaileble per prevenire le interferenze.
TPC: fa si che il client moduli la potenza di trasmissione verso lap per coprire vari range. Il cliente
pu affinare la propria potenze di trasmissione preservando la propria batteria e limitando le
interferenze con altri AP.
802.11n: promette di fornire velocit fino a 250Mbit/sec, ma ancora in fase embrionale. Lavora sia a 2.7
che a 5.5 GHz e permette di utilizzare antenne multiple.
DAT A-RATE-SHIFT: Le velocit sono da intendersi come valori massimi, infatti le comunicazioni WI-FI
hanno una particolarit detta data-rate-shift. In pratica clients connessi allo stesso AP opereranno a velocit
diverse a seconda del loro posizionamento rispetto allAP stesso. Questo processo disponibile per 802.11b
e 802.11a .
RETI WI-FI: esistono 2 tipologie principali di reti WI-FI:BSS e ESS. Cisco ha sviluppato una tipologia
proprietario di rete WI-FI chiamata Split-Mac-Architecture. Di seguito il dettaglio delle 3 tipologie
BSS (basic service set): tutti gli utenti si collegano ad un solo AP per comunicare con tutti gli altri o
con le risorse presenti sulla rete wired.
ESS (extended service sec): 2 o pi BSS sono connessi insieme da un sistema di distribuzione
comune (una lan). In questo caso gli AP devono lavorare su canali diversi per evitare interferenze.
Nel caso descritto dalla figura precedente, solo PC-02 si trova sotto copertura di AP1 (che realizza
una BSS), mentre PC-02 e PC-03 si trovano fuori copertura (senza possibilit di accesso alla rete.
In questo secondo esempio la rete WI-FI stata trasformata in ESS, cio ampliata con un secondo
AP (AP2). In questo modo tutti i PC sono sotto copertura WI-FI e potranno accedere alla rete. Da
notare che PC-01 sotto copertura di AP1, PC-03 sotto copertura di AP2 e PC-02 nella zona di
overlap. Come best practices questa zona non deve superare il 10% della superfice dell'ESS.
ARCHITETTURA WI-FI CISCO:
Cisco ha sviluppato una propria architettura per reti WIFI chiamata split mac architecture. Il nome
deriva dal fatto che i controller e gli AP si dividono i pacchetti 802.11 . Il controller gestisce la parte
non realtime, gli AP gestiscono la parte realt-time (pu esserci il caso che non tutti gli AP possono
essere collegati alla rete cablata, ma si connettano tramite WI-FI ad un altro AP (a sua volta
connesso alla rete switched). In questo caso si parla di rete mesh).
AP: gli access point, permettono la connessione WIFI alla rete. Cisco commercializza 2 tipi
di AP: indoor (da interno, ad esempio il modello 1020 AP) ed outdoor (da esterno, ad
esempio il modello 1520 AP.
Cisco commercializza, oltre a controller ed AP, anche delle schede controller dot11.radio (che si
installano nei router modulari - ad esempio 2811 2911 ect) e dei router di fascia bassa (della serie
800) con controller dot11 integrato. La configurazione di questi apparati non rientra nel programma
dell'esame CCNA e non verr trattata qui).
WIRELESS SECURITY: La sicurezza base di una rete WLAN fatta da :
o
SSID: il nome comune della rete WLAN. Lo SSID previene laccesso alla rete dei clients
che non conoscono lo SSID (se viene mascherato, altrimenti liberamente visibile ad ogni
client WI-FI). Il problema che lo SSID viene broadcastato pi volte al secondo, e anche se
lAP lo mascherasse un malintenzionato potrebbe facilmente scoprirlo ascoltando le risposte
di un client trust verso lAP. Infatti questa informazione (lo ssid) viaggia in chiaro (come da
specifiche 802.11).
WAP o WPA2 pre shered key: il metodo migliore per fornire sicurezza ad una WLAN. La psk identifica gli
utenti tramite una password (passphrase) sia sul client che sullap. La PSK viene anche usata come base
per criptare tutti i pacchetti trasmessi. Il problema sempre che la password storata sul client, e pu
essere sniffata. Implementate da 802.11i
SUBNET = 0012
INTERFACE ID = 0000:0000:1234:56ab
L'header del pacchetto IPV6 abbastanza simile al pacchetto IPV4, in particolare contiene i campi source e
destination address che hanno le stesse funzioni rispetto ai corrispettivi campi IPV4.
SEMPLIFICAZIONE DEGLI INDIRIZZI: Gli indirizzi IPV6 possono essere semplificati applicando le
seguenti regole:
Tutti i blocchi composti da soli 0 possono essere espressi da un solo 0. Applicando questa regola al nostro
esempio avremo: 2001:0db8:3c4d:0012:0:0:1234:56ab Possiamo eliminare tutti gli 0 che occupano gli slot a
sinistra nei blocchi. Applicando questa regola al nostro esempio avremo: 2001:db8:3c4d:12:0:0:1234:56ab
Possiamo sostituire i blocchi di tutti 0 con : . Applicando questa regola al nostro esempio avremo:
001:db8:3c4d:12::1234:56ab
Questultima regola per applicabile solo ai blocchi di tutti 0 contigui. Questo per permettere ai routers di
capire
dove
inserire
blocchi
all
mancanti.
Guardiamo
questo
esempio:
capire se ne vanno inseriti 2 in corrispondenza dei primi : e 2 in corrispondenza dei secondi : , se ne vanno
inseriti 1 e 3 o ancora 3 e 1.
TIPI DI INDIRIZZI: In IPv4 avevamo unicast, broadcast e multicast. In IPV6 abbiamo:
GLOBAL UNICAST ADDRESS: sono gli indirizzi pubblici liberamente ruotabili in internet.
LYNK-LOCAL ADDRESS: sono gli indirizzi privati che non possono essere ruotati ne in internet ne
in intranet. Pensa ad una lan temporanea per un meeting, o per connettere hosts che devono
condividere delle risorse.
UNIQUE-LOCAL ADDRESS: sono indirizzi privati, ma possono essere ruotati in intranet (non in
internet).
ANYCAST: simile al multicast, ma con la differenza che il pacchetto sar consegnato solo al primo
indirizzo trovato tramite istanza di routing (di tutti quelli identificati dallindirizzo anycast).
Una interfaccia pu avere pi di un indirizzo IPV6 di tipo diverso (ad esempio un global unicast address ed
un UNIQUE-LOCAL ADDRESS)
CLASSI INDIRIZZI IPV6: Le principali sono 4, si riconoscono dal valore assunto dai primi 2 bytes
significativi:
Routing IPV6
COME LAVORA IPV6 IN UNA RETE: Cominciamo a vedere come assegnare un indirizzo ad un host.
Ci sono 2 modalit per assegnare un indirizzo IPV6 ad una NIC: stateless e stateful configuration.
STATELESS ( AUTOCONFIGURATION): il metodo utilizzato da una NIC IPV6 per autoassegnarsi un
indirizzo (questo metodo definito dalla RFC2472). In pratica la NIC crea il proprio indirizzo prendendo il
Global ID e la subnet (totale 64 bits) dal router ed aggiundoci il proprio interface ID.
Cosa linterface ID? Deriva dal mac-address, ma dato che il mac-address 48 bit e linterface ID deve
essere di 64 bit, ne vengono aggiunti 16 (2 byte in HEX: FFFE) al centro del MAC ADDRESS. ESEMPIo:
MAC ADDRESS= 0060.d673.1987 -> INTERFACE ID= 0260.d6FF.FE73.1987. Dallesempio si pu vedere
che il secondo slot HEX stato modificato da 0 a 2. Questo perch il 7 bit del primo byte indica se si tratta di
un indirizzo global (1) o link-local (0). Da notare che lhost chiede al router il prefix id tramite ICMP 133, il
router risponde con ICMP 134. Entrambi i messaggi sono inviati in multicast.
STATEFULL: Richiede lutilizzo di DHCP server; tale configurazione non oggetto dell'esame CCNA.
ABILITARE IPV6 SU ROUTER CISCO:
DUAL STACKING: sugli apparati sono presenti sia lo stack IPV4 (che gestisce le vecchie
comunicazioni) e IPV6 (che gestisce le nuove). Semplicemente si configura su ogni interfaccia un
ipv4 ed uno ipv6.
6TO4 TUNNELING: viene usata se si hanno 2 reti IPV6 che devono comunicare tra loro attraverso
una rete IPV4. Il tunnel verr configurato tra i routers IPV6 direttamente connessi alla rete IPV4, ed i
pacchetti IPV6 saranno trasportati come data nei pacchetti IPV4:
NAT-PT: teoricamente si natta un ip ipv4 con uno ipv6, in pratica va usata solo come ultima risorsa. La
configurazione ed il funzionamento di questa feature non sono oggetto dell'esame CCNA.