ccent ccna

8/10/2019 Ccent Ccna

1/93

Nascita ed evoluzione delle reti

Agli albori dell'informatica (primi anni '60) i computers erano macchine enormi (chiamati ancheelaboratore centrale o main-frame) che non prevedevano l'interazione con altri computers(chiamati anche host o client). Solo in un secondo momento nacque la necessit di sfruttare lapotenza di calcolo e le risorse (storage, stampanti) dell'elaboratore centrale da postazioni di lavoro

remote (tipicamente equipaggiate con macchine molto meno performanti e potenti rispettoall'elaboratore centrale). Questa necessit port l'industria alla creazione dei primi tipi di reti.In generale con il termine rete viene indicato l'insieme di protocolli, apparati e media fisici(cablaggi, connettori, NICs e leased line)che concorrono al trasferimento di dati tra hosts remoti.Con il termine networking invece viene indicato l'insieme delle attivit inerenti le reti (progettazione,implementazione, configurazione, ottimizzazione e manutenzione).Il primo tipo di reti furono costruite essenzialmente per permettere agli hosts di sede (un ufficio diqualche piano, al massimo un palazzo) di comunicare con il main-frame e furono chiamate LAN(local area network).

Fig. 1.1Rete di accesso al main frame

Successivamente emerse la necessit di permettere anche agli hosts installati nelle sedi remote

(chiamate anche periferie o branch office) di colloquiare con i sistemi installati nella sede centrale(chiamata anche Head quarter o central office).Questo tipo di reti geografiche viene chiamatoWAN (Wide area network) e vengono tipicamente realizzate interconnettendo le sedi remote allasede centrale tramite leased line (linee prese in affitto da ISP - Internet Service Provider).

Fig. 1.2Rete leased

Main Frame

LAN

Users

LAN

Users


2/93

Negli ultimi anni molte reti sono utilizzate per trasportare, oltre ai dati delle applicazioni, anche lavoce (VOIP) ed i video (videosorveglianza, videoconferenza, streaming video). Questo tipo di retivengono comunemente chiamate reti convergenti.

Fig. 1.3Schema di una moderna rete multi service

Standardizzazione delle reti dati (modello ISO/OSI e modello DOD)

Quando cominci a farsi viva la necessit di "rete" ogni costruttore di tecnologia realizz un propriosistema per implementare il concetto di rete, sviluppando in prima persona ogni componente:computers e servers, protocolli, applicazioni, apparati di networking, media fisici. Questo si rilevun forte limite per le seguenti motivazioni:

I costruttori dovevano impegnarsi su pi fronti (computer, software, protocolli, apparati direte e cablaggi)

I clienti erano obbligati ad acquistare tutto il pacchetto da uno stesso costruttore. I clienti erano costretti a cambiare tutto il pacchetto se cambiavano ad esempio il solo

software.

Circa agli inizi degli anni '70 l'industria (riunita nell'ISO - International Organization forstandardization) cominci a riflettere sulla possibilit di standardizzare la comunicazione tra hostsremoti dividendo la comunicazione in livelli ed assegnando ad ogni livello un set specifico difunzioni. Le motivazioni sono riassumibili nei seguenti 4 punti:

Permettere linterlavoro tra apparati di costruttori diversi.

Dividere i processi di comunicazione in componenti pi piccoli, pi facilmente progettabili,implementabili ed amministrabili.

Definire con esattezza le funzioni che devono essere espletate ad ogni livello.

Impedire che cambiamenti ad un livello influenzino gli altri livelli.

Circa a meta degli anni '70 vennero sviluppati 2 modelli per la standardizzazione dellecomunicazioni dati: OSI (Open Systems Inteconnecc.ion, svilippato dall'ISO) e DOD (departmentof defense, sviluppato dal Governo USA e chiamato anche TCP/IP). I due modelli sono moltosimili, infatti assicurano le stesse funzioni anche se le raggruppano diversamente. La figuraseguente mostra la corrispondenza tra i livelli dei 2 modelli, successivamente sono dettagliate lefunzioni espletate ad ogni livello del modello OSI.

LAN

Users

RouterFirewall

Switch

IPTV

IP Phone

IP PBXServer


3/93

APPLICAZIONE

PRESENTAZIONE

SESSIONE

TRANSPORTO

RETE

DATA LINK

FISICO

INTERFACCE FISICHE

APPLICAZIONE

RETE

END-TO-END CONTROL

INTERNETWORKING

Fig. 2.1Modello ISO/OSI e Modello DOD (noto anche come TCP/IP)

Verranno ora descritte le funzioni espletate da ogni livello del modello ISO/OSI. Grazie alla figuradi pagina precedente sar facile risalire alle funzioni espletate dai livelli del modello TCP/IP (vistala corrispondenza tra i livelli dei 2 modelli).

Application

Questo livello fornisce linterfaccia tra lapplicazione e la rete. In pratica quando una applicazioneha bisogno di comunicare con un host remoto, invia i dati a questo livello. Questo livello non v

confuso con lapplicazione stessa, infatti aprendo un file HTML in locale sul proprio PC non avverralcuna interazione con lo stack OSI o TCP/IP, ma se si apre un file HTML su Internet sarnecessario scambio di dati con il server Web ed avverr linterazione. Le applicazioni pi comunisono telnet, smtp, http, https, ftp, tftp, snmp, dns.

Presentation

Questo livello si occupa di formattare (o presentare) in formato standard i dati ricevuti dalle varieapplicazioni prima di trasmetterle al livello inferiore. A questo livello sono associate le operazioni dicompressione e decompressione dati ed encryption e decryption dei dati.In pratica riceve i datidalle varie applicazioni (audio, web, word ecc.) e li presenta in formato standard al livello inferiore.

Session

Questo livello si occupa del set-up, del mantenimento e dellabbattimento delle sessioni richiestedal livello Application. Verifica la disponibilit delle risorse di rete necessarie alla comunicazione emantiene separati i dati relativi a diverse comunicazioni. I dati a questi 3 livelli vengono chiamatiPDU (protocol data unit).

Transport

Questo livello responsabile per la frammentazione dei dati facenti parte delle sessioni insegmenti di dimensioni identiche, della creazione di un canale virtuale tra lhost sender e lhost

receiver allinterno della rete e della consegna dei segmenti allhost receiver.I dati a questo livellovengono chiamati SEGMENT.


4/93

Internet

I protocolli a questo livello sono responsabili principalmente per :

Fornire un indirizzamento logico agli hosts della rete e trasportare i dati utente tra hosts.

Tenere traccia della posizione degli apparati nella rete ed individuare il percorso migliore

verso ogni destinazione.I dati a questo livello sono detti DATAGRAMS o PACKETS.

Data Link

Questo livello gestisce lindirizzamento fisico degli apparati ed responsabile per la consegna deidati allinterno di un segmento fisico. Esegue le seguenti funzioni: Error notification, networktopology e controllo di flusso. Il livello Data Lynk si occupa anche della traduzione delle frames inbits e dalla loro consegna al medium fisico.I dati a questo livello si chiamano frames.

Physical

Questo livello responsabile per il rispetto delle specifiche elettriche, meccaniche, procedurali perattivare mantenere ed abbattere un link fisico tra end point. Si interfaccia con i pi disparati tipi dimedium fisico e traduce i bits nella relativa forma (luce per le fibre, tensione per il rame, onde radioper il Wi-Fi). I dati a questo livello si chiamano bits.

Encapsulation - Decapsulation

Il processo subito dai dati nel passaggio dal livello Application al livello Physical dettoEncapsulation. Il processo inverso detto Decapsulation. Il funzionamento prevede che ad ognilivello viene aggiunto lheader delprotocollo operante a quello stesso livello (in pratica il pacchettodi livello superiore viene incapsulato nel campo "data" del pacchetto di livello inferiore). Come visto

in precedenza ad ogni livello i dati acquisiscono un nome diverso. Questo processo verranalizzato nel dettaglio nel secondo capitolo della presente guida, in quanto ritengo possa risultaremaggiormente chiaro dopo aver analizzato i livelli 4,3 e 2 nel dettaglio. In buona sostanzapossiamo schematizzare la comunicazione tra due host nel seguente modo:

Fig 2.1Processo di incapsulamento


5/93

A livello generale possiamo dire che i primi 3 livello (application, presentation, session) sono di

competenza degli sviluppatori software (chi scrive lapplicazione decide il tipo

connessione/protocollo da utilizzare ed i relativi parametri: tcp/udp, protocollo L3 e relativi

parametri: id, valore tos/dscp, ecc.).

Fig. 2.2Relazione e dominio di appartenenza tra apparati e protocolli

Le caratteristiche delle reti

Le caratteristiche che descrivono una rete sono 7; la maggior parte sono facilmente comprensibilie sono brevemente descritte nell'elenco stesso. Un discorso a parte e pi approfondito necessario per quanto riguarda la topologia e la sicurezza delle reti; per questo si sono resinecessari 2 paragrafi a parte che troverete pi avanti in questa pagina:

Costomisura il costo della rete (del progetto, degli apparati, dei cablaggi, delle scorte,della manutenzione ecc.)

Sicurezzadescrive il grado di sicurezza degli apparati di rete e dei dati trasmessi tra diessi.

Velocitdescrive il data rate, cio la velocit con cui i dati sono trasmessi tra end-point.

Topologia descrive il layout del cablaggio fisico degli apparati (topologia fisica), ed ilpercorso seguito dai dati all'interno del cablaggio (topologia logica).

Scalabilitdefinisce quanto bene la rete pu adattarsi a futuri sviluppi.

Affidabilitdefinisce l'affidabilit dei componenti di rete e della connettivit tra di essi.MTBF (mean time between failures) comunemente utilizzato per indicare il rischio che uncomponente si guasti.

Disponibilit misura la probabilit che la rete sia disponibile agli utenti. Con il terminedowntime si indica il periodo di indisponibilit della rete a causa di guasti o manutenzioni

programmate.


6/93

Topologia delle reti

Come accennato nella sezione precedente bisogna distinguere tra topologia fisica (come sonoconnessi fisicamente gli apparati) e topologia logica (come viaggiano i pacchetti tra gli apparati).Ad esempio Ethernet pu avere diverse topologie fisiche (point-point, bus, ring, star) ma la

topologia fisica sar sempre "ring". Di seguito la descrizione delle tipologie di rete principali. Infigura 3.1 riportata una tipica connessione punto-punto (point-to-point, connessione diretta); inquesto tipo di connessioni 2 apparati sono connessi direttamente tramite un singolo link.

Fig. 3.1Topologia Punto-Punto

In figura 3.2 riportata una topologia a Bus.

Fig. 3.2Topologia Bus (Bus Topology)

In tale configurazione tutti gli host sono collegati ad un unico mezzo trasmissivo detto appuntoBus.

Fig. 3.3Topologia a Stella (Star Topology)

In figura 3.3 viene invece schematizzata una rete con topologia a stella. Questo topologia dettaanche hub and spoke; in questo tipo di implementazioni ogni apparato periferico (chiamato spoke,periferia, sito remoto) connesso ad un apparato centrale (chiamato hub, centrostella, ced) tramite


7/93

un singolo link (da notare che il traffico tra 2 siti remoti transiter per il centro-stella). Nel caso incui un sito periferico diventi hub per altre periferie di secondo livello si parla di implementazioneextended star.

Fig. 3.4Topologia ad anello (Ring Topology)

In fig. 3.4 viene schematizzata una rete ad anello (ring network), in cui ogni apparato presenta 2link: uno verso l'apparato precedente ed uno verso l'apparato successivo. In alcuneimplementazioni sono presenti 2 link verso l'apparato precedente e 2 verso l'apparato successivo(per motivi di ridondanza), in questo caso si parla di implementazioni dual ring.Sempre in ambito "topologia" va ricordato il meshed, cio come tutti gli apparati della rete sonoconnessi tra di loro. Le possibilit in merito al meshed sono 2: fully meshed (ogni apparato a unlink con ogni altro apparato della rete, realizzando una rete completamente magliata) e partiallymeshed (la rete non completamente magliata). Le figure seguenti esplicano questi 2 tipi di reti:

Fig. 3.5aTopologia Fully Meshed Fig. 3.5bTopologia Partially Meshed


8/93

Sicurezza delle reti

In merito alla sicurezza delle informazioni e delle reti esistono veri e propri trattati che perinteressano pi gli specialisti sicurezza che i network manager in senso stretto. Ai fini dell'esameverranno trattati solo alcuni aspetti della sicurezza riguardanti in particolare la classificazione delle

minacce e le relative contromisure.Una prima classificazione delle minacce riguarda il punto di vista dell'attacker (cio di colui cheattacca o minaccia la rete); da questo punto di vista le minacce possono essere: interne (originatada persone o situazioni interni al perimetro della rete stessa, ad esempio impiantielettrici/ambientali non a norma, impiegati scontenti, sabotatori) o esterne (concorrenti, hackerecc.). A differenza di quanto si potrebbe pensare la maggior parte degli attacchi sono interni (nellamisura del 60/70 %).La seconda classificazione riguarda la classe di attacco. Le classi sono: attacchi fisici, attacchi diricognizione, attacchi di accesso e attacchi DOS (denial of service). Di seguito la descrizionedettagliata di ognuno:Gli attacchi fisici si dividono in 4 categorie: hardware (attacchi agli apparati ed ai collegamenti. Ci siprotegge installando gli apparati in locali ad accesso controllato e con videosorveglianza),

ambientali (i locali apparati devono essere areati, avere basse temperature e nessuna interferenzaelettromagnetica), elettriche (abbassamento, picco o mancanza di corrente. Ci si protegge con unUPS o gruppo di continuit), manutenzione (non avere parti di ricambio, non averedocumentazione aggiornata. Ci si protegge avendo scorte HW, configurazioni e SW salvati, cavietichettati).Gli attacchi di ricognizione mirano a reperire informazioni sulla nostra rete che possono essere utiliper attacchi successivi. L'attacker utilizza dei tools (sniffer, packet sniffer ecc.). Ci si protegge consonde IDS, sistemi IPS o firewall (che non riguardano l'esame CCNA).Gli attacchi di accesso mirano ad ottenere accesso fraudolento agli apparati, ai dati in transito o aquelli storati su di essi. L'attacker cerca di trovare la password per accedere ai dati o tramitesoftware di password cracking o con altri metodi fraudolenti (mail, social network ecc.). Ci si puproteggere limitando l'accesso agli apparati ed alle risorse tramite access-list (ACL, trattate nel

dettaglio nei prossimi capitoli) e firewall.Gli attacchi DOS mirano a limitare o azzerare il livello di servizio saturando di richieste/pacchettiuna risorsa (ed impedendone la normale fruizione). Ad esempio si possono inviare centinaia dirichieste verso un server web con il fine di renderlo inservibile. Ci si protegge limitando con il ratelimiting delle richieste (non oggetto del corso).


9/93

I componenti di una rete

I componenti di una rete (come abbiamo visto nella prima sezione con la descrizione del terminerete) sono: applicazioni, protocolli, computers, networking (hub, switches, routers) e media(cablaggi e connettori). Di seguito il dettaglio. Le applicazioni sono i software che ci permettono di

eseguire dei tasks (word, internet explorer ecc.). Alcune applicazioni sono network-adware(richiedono cio lo scambio di dati con un host remoto, e quindi l'utilizzo della rete) mentre altresono stand-alone (non richiedono l'utilizzo della rete).I protocolli sono utilizzati per implementare leapplicazioni in rete (alcune corrispondenze protocollo=applicazioni sono: web=internet explorer,ftp=filezilla ecc.). Alcuni protocolli sono openstandard (possono cio essere implementati da ognivendor, ad esempio OSPF) altri sono proprietari (ad esempio EIGRP proprietario Cisco).Con iltermine generico di computers si indica una macchina connessa alla rete capace di eseguireapplicazioni. I computers possono essere personal computer (tipicamente client), workstation(computer dedicati a specifiche funzioni, tipicamente equipaggiati in modo migliore rispetto ai PC)e servers (pc molto potenti che offrono servizi a molti client). Il termine networking utilizzato inquesto caso per indicare l'insieme degli apparati che concorrono al funzionamento della rete. Gliapparati che possiamo trovare in una rete sono: hub, bridges (antenato dello switch, ormai in

disuso), switches, routers, firewall e sistemi IPS/IDS). Nel corso della guida dettaglieremo hub,bridges/switches e routers (firewall, ips ed ids sono esterni al perimetro della certificazione CiscoCCNA). Con il termine media fisici andiamo ad indicare l'insieme dei cablaggi, connettori, schededi rete (NIC - network card interface) e leased line (le linee prese in affitto dagli ISP per connetteresedi remote). Nel corso della guida (sezione ethernet) discuteremo NIC, cablaggi e connettori.I vari componenti della rete possono essere installati in varie location, di seguito il dettaglio:

Central Office (CED, corporate office): la sede centrale. Tipicamente i servers vengonoinstallati nella sede centrale.

Branch Office (periferia, sede remota): le sedi remote della azienda. Tipicamente i PC diqueste sedi si collegano ai servers presenti in sede centrale per utilizzare i servizi (internet,posta elettronica, applicativi aziendali).

SOHO (small office/home office, uffici distaccati): sono sedi remote di piccole dimensioni ouffici casalinghi.

Mobile user: gli utenti che si collegano alla rete in mobilit (tramite accessi remoti, nas, vpnecc.).

Fig. 4.1 Attori in uno scenario di networking

La classificazione della rete.

Come visto nella sezione "Le caratteristiche di una rete" , una prima classificazione dellereti dipende dalla topologia logica e fisica (point-point, star, ring) e dal meshed (partially/full). Unaseconda modalit di classificazione riguarda l'estensione della rete:

Network

Corporate Office

Remote Users

Brench Office (filiale)

Small OfficeHome Office


10/93

LAN (local area network): rete locale di piccole dimensioni, tipicamente realizzata senzal'ausilio di leased line.

WAN (wide area network): rete geografica che prevede l'utilizzo di leased line perconnettere sedi remote.

MAN (metropolitan area network): rete metropolitana, tipicamente realizzata ed utilizzata

dagli ISP per connettere le proprie centrali (POP - point of presence).


11/93

Il livello 4: TCP, UDP e porte logiche

Questa sezione molto importante e merita di essere letta con attenzione in quanto anche se illivello 4 esula dal routing/switching in senso stretto comunque parte integrante e fondamentaledel lavoro di un networkers (a questo livello viene di solito implementata la sicurezza tramite

acces-list). Come accennato nel primo capitolo il livello 4 riceve un flusso di dati dai livelli superiori(application, presentation e session del modello ISO/OSI o dal livello Process Application delmodello TCP/IP) ed principalmente responsabile delle seguenti funzioni:

Frammentazione dei dati ricevuti dal livello superiore in segmenti di dimensioni identiche.

Instaurazione di un canale virtuale tra l'host sender e l'host receiver e della consegnaordinata dei dati.

Questo livello pu creare 2 tipi di sessione, a seconda delle necessit delle applicazioni:

CONNESSIONI UNRELIABLE: sono connessioni che non offrono garanzie in termini diconsegna ed integrit dei dati trasmessi (UDP).

CONNESSIONI RELIABLE: sono connessioni che offrono garanzie in termini di consegnaed integrit dei dati trasmessi (TCP).

Il primo tipo di connessione segmenta i dati ricevuti dalle varie sessioni (framing) , esemplicemente li invia verso la destinazione.

Il secondo tipo, segmenta i dati (framing) , li numera (sequencing) , instaura un canale virtuale trahost sender ed host receiver (three way handshake o call setup), invia i segmenti e forniscecontrollo di flusso (verifica ricezione segmenti, prevenzione congestione).

Il processo di call-setup della connessione (socket) creata da TCP detto Three way handshake,e permette agli hosts di negoziare i parametri della connessione (windowing, ecc.) ed assicurarsidella affidabilit della connessione. La figura seguente esplica questo processo, che descriveremosubito dopo:

Fig. 5.1Comunicazione a Finestra

Di seguito il dettaglio dei 3 step che compongono questo processo:

PCA invia un SYN a PCB. Questo pacchetto numerato con il "sequence number", settatonel nostro caso a N (da notare che il sequence number viene assegnato in manieraarbitarario dall'host (parte da 0 alla prima accensione e poi aumenta di 1).

PCB risponde con un SYN ACK N+1 (in pratica l'ack del SYN con sequence number N);

tale pacchetto (il SYN ACK) avr un proprio sequence number (sempre assegnato inmaniera arbitraria da PC B).

2) PCA risponde con un ACK M+1 (in pratica l'ack del SYN ACK con sequence number M).

SYNSequence Number N

SYN ACK N+1Sequence Number M

ACK M+1Sequence Number N+1

PC A PC B


12/93

Si noti come i pacchetti SYN presentano il bit SYN settato a 1 (tutti gli altri lo hanno settato a 0);questo il metodo con cui routers e firewall identificano se un pacchetto appartiene ad unasessione esistente (SYN settato a 0) o ad una sessione nuova (SYN settato a 1).

Le applicazioni TCP pi comuni sono: TELNET (23) , SMTP (25) , http (80), HTTPS (443) , FTP(21) , DNS (usa sia tcp 53 che udp 53) mentre le applicazioni UDP pi comuni sono: TFTP (69) ,SNMP( 161) , DNS (usa sia tcp 53 che udp 53).

Controllo del Flusso

Come accennato prima le connessioni TCP forniscono una consegna certa (reliable) dei dati. Perfare questo vengono utilizzati alcuni accorgimenti:

ACKNOWLEDGE: Lhost receiver invia un acknowledge verso lhost sender per ogni trenodi segmenti ricevuto. In questo modo lhost sender pu accorgersi se uno o pi segmentisono andati persi durante il trasferimento e provvedere al reinoltro degli stessi.Se perde un

segmento, invier lack chiedendo il reinoltro del segmento perso. Se lo riceve, procedecon un nuovo ack per chiedere linoltro del successivo treno di segmenti.

WINDOWING: il valore dei segmenti facenti parti di un treno. Tale valore viene negoziatodurante il call-setup o three way handshake.

BUFFERING: Lhost receiver bufferizza i segmenti che non riesce a gestire online, pergestirli in un secondo momento.

READY-NOT READY SIGNAL: Anche se esiste il buffering pu verificarsi che lhostreceiver riceva troppi segmenti rispetto a quelli che pu processare, andando incongestione. In questo caso esiste un meccanismo detto ready-notready signal che sioccupa di prevenire questo fenomeno. In pratica se lhost receiver v in saturazione inviaun not ready signal al sender, che stopper linvio dei segmenti. Quando lhost receivertorner disponibile invier al sender un ready signal per far ripartire linvio.

Le Porte Logiche

Per mantenere separati i segmenti relativi a diverse sessioni, questo livello utilizza le porte logiche.Per ogni connessione (socket) viene definita una porta sorgente ed una porta destinataria. Lefigure seguenti riportano lheader di un segmento TCP e di un segmento UDP.

Fig. 5.2Intestazione TCP


13/93

Fig. 5.3Intestazione UDP

Come si vede dalle figure precedenti TCP ha molti pi campi rispetto ad UDP, relativi alle propriecaratteristiche di affidabilit (sequence number, ack number, window ).

Dato che i campi SOURCE/DESTINATION PORT misurano 2 bytes, tali valori potranno avere unvalore compreso tra 0 e 65535. Le porte da 0 a 1023 sono dette porte well-know e sono utilizzateper chiamare unapplicazione sullhost receiver; le porte da 1024 a 65535 sono libere e vengonoutilizzate randomicamente come porte sorgente.Di seguito alcune associazioni applicazioniporta tcp:

http=tcp80

telnet=tcp23

ftp=tcp21

snmp=tcp162 ecc..

source port destination port

UDP length UDP checksum

DATA


14/93


15/93

Il protocollo IP (Internet Protocol)

Il protocollo IP (Internet Protocol) probabilmente, insieme ad Ethernet, il pilastro principale dellaformazione di un amministratore di reti, pertanto va conosciuto in maniera approfondita in ogni suoaspetto. Di seguito troverete descritti tutti gli aspetti e concetti che occorre conoscere molto bene.

Come accennato in precedenza il livello 3 responsabile per le seguenti funzioni: Fornire lindirizzamento logico degli hosts sulla rete.

Tenere traccia della posizione degli apparati nella rete ed individuare il percorso miglioretra 2 end-point

La prima funzione viene espletata dai routed protocols che si occupano di fornire un indirizzamentologico agli apparati di rete e di trasportare i dati utente tra host sender ed host receiver. Neesistono diversi (APPLETALK, IPX, IPV4 ed IPV6). Attualmente il pi utilizzato (di fatto lostandard) IP, la sua evoluzione IPV6. La seconda funzione viene espletata dai routingprotocols che si occupano di localizzare un apparato allinterno della rete e dellindividuazione delpercorso migliore per i pacchetti in transito tra host sender ed host receiver.In particolare ci concentreremo sul protocollo IP (internet protocol) in quanto rappresenta lostandard de facto in ambito networking. IP (Internet Protocol) un routed protocol di livello Internet

del modello TCP/IP (o livello network del livello OSI), pertanto si occupa principalmente di fornirelindirizzamento logico agli hosts della rete. Gli indirizzi IP sono numeri di 32 bit, divisi in 4 bytes(chiamati ottetti) separati da un . e possono essere espressi in 3 notazioni:

Binaria (Binary): 00000000.00000000.00000000.00000000

Decimale puntata (dotted decimal): 0.0.0.0

Esadecimale (hex): 00.00.00.00Per comprendere correttamente il protocollo IP e sopratutto per superare l'esame fondamentalesaper convertire un numero decimale in binario ed esadecimale.

Classi di indirizzi IP

Gli indirizzi IP vengono divisi in 5 classi (A-B-C-D-E). Il modo pi semplice per capire a che classeappartiene un IP esprimerlo in notazione decimale puntata, e controllare il valore del primo byte;Se tale byte ha:

un valore compreso da 0 a 127: classe A

un valore compreso da 128 a 191: classe B

un valore compreso da 192 a 223: classe C

un valore compreso da 224 a 239: classe D (utilizzato per il multi cast)

un valore compreso da 240 a 255: classe E (utilizzato per ricerca).La divisione in classe indica anche quante bit sono riservati alla parte network dellindirizzo IP equanti alla parte host. La parte network identifica univocamente la network, mentre la parte hostidentifica univocamente lhost allinterno della network.

Fig. 6.1Classi standard di indirizzi IP


16/93

Network Identifier BroadCast

Ogni network IP ha 2 indirizzi riservati, non assegnabili agli hosts: il network identifier (utilizzato peridentificare la network) ed il broadcast address ( i pacchetti indirizzati a questo indirizzo sarannoconsegnati a tutti gli hosts della rete). Il Network Identifier presenta tutti i bit della parte host settatia 0, mentre il Broadcast address presenta tutti i bit della parte network settati a 1.

Numero Indirizzi validi per Hosts

Ogni network rende disponibili un certo numero di indirizzi IP (Y), che dato da 2^X, dove X ilnumero dei bit relativi alla parte host. Y=2^X. I l numero di indirizzi validi per hosts (N) dato dallasottrazione di 2 da questo numero (-2 si riferisce al fatto che Network ID e Broadcast non possonoessere assegnati agli hosts) N=Y-2. Da quanto detto sopra consegue che dato un indirizzo IP possibile definire:

La Classe di appartenenza.

La network di appartenenza (il network identifier)

Il broadcast address.

Il numero di indirizzi validi per hosts

Esempio IP di classe A: 10.100.220.103

CLASSE = A (il valore espresso dal primo byte compreso tra 0126)

NETWORK IDENTIFIER: 10.0.0.0 (Classe A = 8 bit network)

BROADCAST ; 10.255.255.255 (Classe A = 24 bit host)

Y (numero di indirizzi forniti dalla network) = 2^X (numerobitpartehost) = 2^24 = 16777216

N (numero di indirizzi validi per hosts) = Y2 (il network identifier ed il broadcast addressnon sono assegnabili) = 16777214

Esempio IP di classe B: 172.17.220.103

CLASSE = B (il valore espresso dal primo byte compreso tra 128191)

NETWORK IDENTIFIER: 172.17.0.0 (Classe B = 16 bit network)

BROADCAST ; 172.17.255.255 (Classe B = 16 bit host)

Y (numero di indirizzi forniti dalla network) = 2^X(numerobitpartehost) = 2^16 = 65536


Esempio IP di classe C: 194.17.220.103

CLASSE = C (il valore espresso dal primo byte compreso tra 192223) NETWORK IDENTIFIER: 194.17.220.0 (Classe C = 24 bit network)

BROADCAST ; 194.17.220.255 (Classe C = 8 bit host)

Y (numero di indirizzi forniti dalla network) = 2^X(numerobitpartehost) = 2^8 = 256


Indirizzi IP Privati, Pubblici e RiservatiAllinterno delle classi A-B-C sono definite (RFC 1918) alcune network riservati per uso privato,cio utilizzabili da chiunque allinterno della propria rete, con la limitazione di non poter essere inalcun modo annunciate su INTERNET. Tali reti sono:

CLASSE A: da 10.0.0.0 a 10.255.255.255

CLASSE B: da 172.16.0.0 a 172.31.255.255


17/93

CLASSE C: da 192.168.0.0 a 192.168.255.255

Esiste un'altra network che non pu essere assegnata in quanto riservata (di solito come loopbackinterna di un host) ed la 127.0.0.0. Gli altri IP sono detti pubblici, in quanto utilizzabili su Internete sono assegnati/gestiti da organizzazioni internazioni (come ad esempio lo IANA o RIPE).La figura seguente mostra l'header di un pacchetto IP (24 bytes senza la parte data). Ai finidell'esame CCNA si notino i campi source e destination address; in questi campi vengono inseritigli indirizzi dell'host che genera il pacchetto (source) e di quello che lo dovr ricevere (destination).

Fig. 6.2Intestazione pacchetto IP

Altri Protocolli UtiliAllo stesso livello del protocollo IP esistono ed operano altri protocolli che non hanno altra funzionese non quella di essere al servizio del protocollo IP. I principali sono:

ICMP

Eun protocollo di management, trasportato in datagram IP, che fornisce informazioni sullo statodella rete. Il ping utilizza icmp request e reply per verificare la connettivit fisica e logica della rete.

TRACEROUTE

Utilizza ICMP per scoprire il percorso di un datagram allinterno della rete.

HOPS (TTLtime to live)

Ad ogni datagram IP vengono attribuiti un certo numero di hops (router attraverso i quali ildatagram pu passare). Se questo numero viene superato lultimo router droppa il datagram edinvia un messaggio (ttl expires during passage) allhost sender. Di default = 255.

ARP

Dato un indirizzo ip , trova il corrispondente indirizzo fisico. Questo processo abbastanza

importante (essendo alla base dell'interlavoro tra livello 3 e livello 2) ed il suo funzionamento puessere facilmente compreso con un esempio (vedi figura seguente). In questo esempio PC A deveinviare un pacchetto IP a PC B ed un altro a PC C; per prima cosa PC A controlla il "destination Ip


18/93

Address" dei pacchetti per verificare se compreso nella stessa network IP del proprio(praticamente confronta il destination ip address con il proprio ip address) e:

se appartiene alla stessa network passa il pacchetto al livello 2, in questo caso Ethernet,che si occuper di costruire una frame diretta direttamente all'host (in quanto appartienealla stesso dominio di broadcast). Nel nostro esempio il pacchetto originato da PC A ediretto a PC B avr destination mac-address il mac-address di PC B (il source mac-addresssar quello di PC A per tutte le frame generate da PC A).

se non appartiene alla stessa network passa il pacchetto al livello 2, in questo casoEthernet, che si occuper di costruire una frame. A differenza di prima questa frame avrcome destination mac-address il mac-address del Default-Gateway (RTA nel nostroesempio) che si occuper di ruotare il pacchetto ip contenuto nella frame verso la correttadestinazione.

Fig. 6.3Funzionamento protocollo ARP

Come fa PC A a scoprire i mac-address di PC B (in generale dei PC appartenenti alla stessanetwork IP) e del default gateway? Proprio grazie all'ARP. In pratica PC A invia una frame(chiamata ARP Request) a broadcast (che verr ricevuta da tutti gli hosts del segmento chiedendo:chi ha il seguente indirizzo IP comunichi il proprio mac-address. Tutti gli hosts appartenenti aldominio di broadcast ricevono questa frame, ma solo l'apparato con quello specifico IP (host odefault gateway che sia) risponde con una ARP Reply che contiene il proprio mac-address.

RARP

Dato un indirizzo fisico, trova il corrispondente indirizzo logico. Se una macchina non ha ipaddress, pu inviare un broadcast contenente il proprio mac address (sicuramente noto dato che scritto nella scheda di rete) . Tale broadcast viene ricevuto e processato da un rarp server che

fornir lindirizzo IP alla macchina. Tale protocollo ormai obsoletoed stato sostituito da DHCP.

Proxy ARP

Se un host non ha un default-gateway configurato, girer le proprie richieste (anche per host nonappartenenti alla stessa rete) in broadcast sulla rete, chiedendo il mac assegnato allip che stacercando. Se sulla rete c un router configurato come proxy arp, questo risponder allhost con ilproprio mac-addess. Lhost comincer ad inviare le proprie frames al router che si occuper diroutarle verso la rete corretta. Attualmente non usato in quanto la possibilit di avere un doppioDefault-Gateway stata superata da HSRP, VRRP e GLBP.

Subnetting, VLSM, CIDR E Summarization

Sono dei meccanismi che permettono di ridurre lo spreco di indirizzi IP dovuti al fatto di averenetwork con dimensione minima si 256 indirizzi IP. Introducono il concetto di SUBNET MASK.


19/93

La SUBNET MASK un numero di 32 bit espressi in 4 byte divisi da un . che viene associato adun indirizzo IP per indicare il numero di bit assegnati alla parte network e di quelli assegnati allaparte hosts. I bit assegnati alla parte network sono settati a 1, quelli assegnati alla parte host sonosettati a 0.

CIDRE un altro modo per esprimere la subnet mask; /NumeroBitNetwork. Ad esempio indirizzi di classeA, B e C hanno le seguenti subnet mask di default:

/8 = 11111111.00000000.00000000.00000000 = 255.0.0.0 = 16777216 host /16 = 11111111.11111111.00000000.00000000 = 255.255.0.0 = 65536 host /24 = 11111111.11111111.11111111.00000000 = 255.255.255.0 = 256 host

Subnetting

E latto di dividere una network IP in Y subnet di dimensioni uguali. Per fare questo si sposta il

confine della parte network dalla parte host di X posizioni verso destra. Il numero di subnetottenute sar uguale: Y=2^X Ogni subnet avr un Network Identifier, un broadcast address ed unnumero di host validi per essere assegnati agli hosts. Questi valori si calcolano nello stesso modovisto precedentemente per indirizzi appartenenti alle classi A, B e C.

VLSM

E latto di dividere una network IP in tante subnet di dimensioni diverse. Per fare questo occorresubnettare la network in Y network che soddisfino i requisiti in termini di numero di indirizzi valididella network maggiore. Successivamente si prende una subnet e si subnetta ancora persoddisfare i requisiti delle subnet minori.

Summarization

E latto di esprimere con un solo NETWORK IDENTIFIER + SUBNET MASK pi subnet.Praticamente linverso del subnetting e si realizza spostando verso sinistra il confine tra la partenetwork e la parte host dellindirizzo di X posizioni. Il numero di subnet summarizzabili Y=2^X.Per effettuare la summarizzazione occorre tener presente che tutte le subnet contenutenellindirizzo summarizzato devono far parte delle subnet da summarizzare.


20/93

Il protocollo Ethernet

Ethernet un protocollo di livello Network Access del modello TCP/IP (o dei livello Data Lynk e Physical del

modello OSI) si occupa pertanto di trasformare i pacchetti ricevuti dal livello superiore (esempio IP) in frames

e della consegna ordinata delle frames al corretto hosts sul segmento; per fare questo gestisce

indirizzamento di livello 2 (detto MAC-ADDRESS). Il protocollo Ethernet di fatto diventato lo standard

mondiale in ambito LAN, proprio come IP diventato lo standard modiale a livello Internet. I dati a questo

livello si chiamano frames e bits (le frames sono proprie del livello 2, i bits sono l'ultimo stadio dei dati prima

di essere tradotti in implulsi elettrici ed essere trasmessi sul medium fisico). Ora analizzeremo nel dettaglio il

protocollo Ethernet, che di fatto lo standard mondiale in ambito LAN, proprio come IP diventato lo

standard modiale a livello Internet. Il protocollo Ethernet presenta 2 sottolivelli (LLC e MAC) che si occupano

di:

LLC (logical link control): responsabile dellidentificazione del protocollo di livello network che ha

generato la frame e della sua encapsulazione.

MAC (media access control): definisce come i pacchetti vengono consegnati sul supporto fisico. A

questo sottolivello vengono definiti indirizzamento fis ico e la topologia logica della rete. E

responsabile: per la consegna ordinata delle frame, per lerror notification (no correction) e per il

controllo di flusso (opzionale).

Prima di addentrarci nel dettaglio dellEthernet Networking facciamo un breve panaramica sugli apparati che

si possono incontrare in una LAN e sulle loro caratteristiche:

HUB: replica i segnali elettrici in ingresso ad una porta su tutte le altre. Fornisce un solo dominio dicollision ed un solo dominio di broadcast.

BRIDGES/SWITCH: eseguono switching, cio forwardano le frame sulle solo porte necesssarie (il

dettaglio di questo processo verr descritto nella sezione "Lo switching di livello 2" .

ROUTERS: interrompono i domini di broadcast e di collisions (ogni interfaccia un diverso dominio

di broadcast e di collisions), effettuano routing (routing IP), la traduzione (NAT) e filtering dei

pacchetti (tramite le ACL) e forniscono connessioni WAN (vedi capitolo 6: I Routers).

Descriveremo ora 2 concetti molti importanti in ambito switching che dovrebbero risultare pi chiari al

termine di questa sezione.

DOMINIO DI COLLISION: tutti gli hosts che condividono un segmento Ethernet appartengono allo

stesso dominio di collision.

DOMINIO DI BROADCAST: tutti gli hosts che condividono una network IP appartengono allo stesso

dominio di broadcast.

Gli hosts appartenenti ad un dominio di collision condividono la banda resa disponibile dal mezzo fisico. Da

ci consegue che nessun host potr trasmettere contemporaneamente ad un altro host. Se questo accade si

verifica una collision, la frame oggetto della collision andr persa e dovr essere ritrasmessa. Per evitare

linsorgere di collisions Ethernet implementa il CSMA/CD.


21/93

Fig. 7.1Ethernet 10Base2

CSMA/CD: Le implementazioni ethernet utilizzano CSMA/CD (carrier sense multiple access with collision

detection), un protocollo che aiuta i device a condividere la stessa banda evitando le collisions.In pratica

ogni device, prima di trasmettere, testa il media per verifica re se c gi un segnale in trasmissione. Se il

media occupato, aspetta. Se il media libero trasmette il proprio pacchetto.Lhost sendermonitora il

media costantemente durante il viaggio del pacchetto, se rileva una seconda trasmissione da parte di un

altro host invia sul media un pacchetto speciale, detto JAM packet. Gli hosts che lo riceveranno

interromperanno ogni trasmissione di pacchetti per un tempo variabile. Tale tempo (detto back off)

calcolato da un algoritmo. In una rete con molte collisions si riscontrer: ritardi di trasmissione, bassa

velocit, congestione. Lutilizzo del CSMA/CD riduce sensibilmente la velocit di trasmissione rispetto alla

banda dei link ethernet (10M). Per ovviare a questo si possono usare connessioni di tipo full-duplex.

HALF DUPLEX: utilizza 1 coppia, fornisce velocit pi basse di FD (circa il 30/40 % della banda

disponibile). Le connessioni HD vengono utilizzate quando ad uno dei due capi della connessione

installato un HUB, quindi quando il mezzo fisico condiviso tra pi hosts.

FULL DUPLEX: utilizza 2 coppie, fornisce velocit pi elevate di HD (circa il 200% della banda

disponibileci possibile in quanto viene utilizzata una coppia per TX e una per RX. Questo

anche il motivo perch in FD non si verificano Collisions. Le connessioni FD possono essere usate

sempre, a patto che per ogni porta switch veda un solo host.

INDIRIZZAMENTO MAC: Ethernet lavora a livello Network Access del modello Dod (o a livello

DataLynk/Physical del modello OSI), quindi responsabile della frammentazione dei datagram IP in frames

e della consegna delle frames verso il livello fisico (verso lhosts receiver). Per fare questo deve gestire

lindirizzamento di livello 2 (MAD ADDRESS).Ogni scheda di rete (NIC Network card interface) ha

stampato sopra il proprio MAC (media access control) address. Questo indirizzo viene rappresentato da 48

bit (6 byte) rappresentati in HEX.

I primi 24 bit (3 Byte) identificano il vendor (tutte le NIC prodotte da un tale vendor hanno lo stesso

OUI).

Gli ultimi 24 bit (Vendor assigned): il seriale della scheda (ogni vendor comincia da 00000000

00000000 00000000 ed arriva a 11111111 11111111 11111111).

FRAMES: Il livello 2 spezza i messaggi di livello 3 in tante parti, dette data frame. Ad ogni data frame viene

aggiunto un header contenente: indirizzo sorgente e indirizzo destinatario. Questo vero per tutti i protocolli


22/93

di livello 2 (naturalmente lheader sar diverso da protocollo a protocollo, ma conterr queste informazioni).

Come detto il livello data link del modello OSI (o il livello Network Access del livello DoD) si occupa di

encapsulare i pacchetti ricevuti dal livello 3 in frames e le frames in bit per trasmetterle sul medium fisico. La

figura seguente mostra i campi di una frame ethernet, di seguito sono descritti i vari campi.

Fig 7.2Pacchetto Ethernet

PREAMBLE: INDICA IL PRINCIPIO DELLA FRAME (8 byte)

DA: Destination mac-address (6 byte)

SA: Source mac-address (6 byte)

DATA: I dati di livello 3 . La lunghezza pu variare da 64 a 1500 byte.

TYPE (per ETHII)/ LENGHT (per 802.3): il valore di questo campo indica il tipo di protocollo layer 3

contenuto nel campo data. FCS: un campo utilizzato per il controllo di ridondanza ciclico (CRC). (da ricordare che a livello

datalynk viene effettuato solo error detention e non error correction).

HUB : lavorano a livello fisico, replicano semplicemente i segnali elettrici in ingresso ad una porta su tutte le

altre porte.

BRIDGES/SWITCHES:lavorano a questo livello e costruiscono la macaddress-table ( o filter table) in cui

conservano la corrispondenza tra mac-address sorgente e interfaccia di entrata. In questo modo lo switch

impara dietro quale interfaccia conosce ogni device di livello2 e potr effettuare forward intelligente delle

frames (il dettaglio di questo processo descritto nella sezione "Lo switching di livello 2".

Una infrastruttura switch su una hub presenta 2 vantaggi:

Ogni interfaccia un dominio di collision.

Ogni device connessa ad una porta switch pu trasmettere contemporaneamente alle altre (con gli

hub si avrebbero collision).

C anche uno svantaggio rappresentato dal fatto che in uno stesso dominio di broadcast non possono

essere installati troppi device . Per dividere domini di broadcast necessario un router che, in ambito

ethernet, ha proprio questa funzione. Il router si occupa anche di ruotare i pacchetti tra pi domini di

broadcast ad esso connessi. Lo standard 802.3 (10M) definisce 3 tipi di Lan (chiamate 10Base2, 10Base5,

10BaseT). Le prime 2 utilizzavano dei cavi coassiali di diverso diametro e transceiver per interconnettere gli


23/93

hosts, e sono oggi in disuso essendo state soppiantate completamente da implementazioni 10BaseT. Di

seguito una breve descrizione di queste tre tipologie di Lan.

10Base2:Utilizzano segmenti di cavi RJ58 (coassiale thinnet) e connettori BNC (a T) per interconnere i

transceiver dei vari hosts. La lunghezza massima di un segmento 185 mt ed il numero massimo di hosts in

un segmento 30. La figura seguente mostra una tipica implementazione 10Base2.

Fig. 7.3Ethernet 10 Base 2

10Base5:Utilizzano segmenti di cavi RG 58 (coassiale thicknet) e vampire taps per interconnere i

transceiver dei vari hosts. La lunghezza massima di un segmento 500 mt ed il numero massimo di hosts in

un segmento 100. La figura seguente mostra una tipica implementazione 10Base5.

Fig. 7.4Ethernet 10 Base 5

10BaseT:Utilizzano cavi rame formati da 4 coppie (UTP Cat.5 e superiori) e connettori RJ45 per

interconnere le NIC's (network card interface) dei vari hosts ad un hub. La lunghezza massima di un

segmento 100 mt. La figura seguente mostra una tipica implementazione 10BaseT.


24/93

Fig. 7.5Ethernet 10 Base T

SPEED E CAVI: Ethernet ha sviluppato 3 tipi di standard che differiscono per le velocit che forniscono:

802.3 (10M), 802.u (100M) e 802.ab (1G). La tabella seguente riporta le lunghezze raggiungibili da ogni

tratta nelle varie tipologie di link:

Fig. 7.6Standard IEEE, velocit e distanze

Le fibre ottiche permettono di eliminare i problemi dovuti a campi elettromagnetici (EMI), che affliggono i

collegamenti in rame (UTP o Coassiale).

TIPOLOGIE DI CAVI: Esistono 3 tipologie di cavi in implementazioni Ethernet:

Straight-Through Cable (cavo dritto): utilizzato per connettere un host ad uno switch o uno switch ad

un router.


25/93

Crossover Cable (cavo cross): utilizzato per connettere un router ad un router, uno switch ad uno

switch, un host ad un host o un host ad un router .

Rollover Cable (cavo console Cisco): utilizzato per connettere un host ad una porta console (ad

esempio agli apparati cisco).

Da notare che le NIC's trasmettono sulla coppia connessa ai piedini 1,2 e ricevono sulla coppia connessa ai

piedini 3,4. Le porte degli apparati di rete (hub, switches) invece trasmettono sulla coppia connessa ai

piedini 3,4 e ricevono sulla coppia connessa ai piedini 1,2. Questo significa che potremo utilizzare un cavo

"dritto" per connettere un host ad un hub/switch. Se invece colleghiamo 2 hosts tra di loro dovremmo

utilizzare un cavo cross (o cavo incrociato) per mettere in comunicazione la TX di una NIC (piedini 1,2) con

la RX della NIC remota (piedini 3,4).


26/93

Descrizione approfondita del viaggio di un pacchetto nella rete

La figura seguente mostra 2 computers (PCA e PCB) connessi ad una semplice rete costituita da 2 switches

e 2 routers. Il dettaglio di funzionamento di questi apparati verr descritto dettagliatamente nel capitolo4 per

ora basti sapere che gli switches servono per fornire accesso alla rete ai computers degli utenti

(praticamente realizzano un dominio di broadcast - vedi sezione Ethernet) mentre i routers servono

principalmente per interconnettere reti diverse e ad offrire la funzionalit di default-gateway (il gateway

utilizzato da un host per raggiungere indirizzi esterni alla propria network ip di appartenenza.

Fig. 8.1Comunicazione di rete

Questa sezione non entra nel dettaglio di come fanno gli switches ed i routers a forwardare i dati ma

descrive essenzialmente le trasformazioni subite dai dati durante il percorso.

1) L'utente A apre il suo programma web browser. Nessuna interazione avviene con la rete.

2) L'utente A apre un file html residente sul proprio PC. Nessuna interazione avviene con la rete.

3) L'utente A apre un file html residente su PCB. L'applicazione interagisce con la rete. L'applicazione web

browser interagisce con lo stack TCP/IP (in particolare con il livello process application). Questo livello riceve

i dati dall'applicazione, li traduce in un flusso di dati costante e formattato e lo consegna al livello 4. Le

informazioni che saranno passati al livello 4 sono: IP DESTINATION=indirizzo ip PCB (cio chi deve ricevere

i dati); port destination=tcp/80 (il tipo di protocollo di livello 4 -tcp o udp e la porta sono decise dagli

sviluppatori SW anche se, come vedremo, molte applicazioni utilizzano protocolli e porte fisse).

4) Il flusso dati ottenuto al punto precedente viene passato al livello 4 (host-to-host) che si occupa di

frammentarli in segmenti di dimensioni identiche e di instaurare un canale di comunicazione con PCB. Ogni

segmento riporter le seguenti info: porta source (randomica) ; porta destination (tcp 80).


27/93

5) I segmenti ottenuti al punto precedente vengono passati al livello 3 (internet). I segmenti vengono

ensapsulati in pacchetti IP che avranno come sorgente l'indirizzo di PCA e come destination l'indirizzo di

PCB.

6) A questo punto il pacchetto di livello 3 viene passato al livello 2. Dato che l'ip destination non appartiene

alla stessa network ip dell'ip source, la frames avr i seguenti dati: source macaddress=PCA, destination

mac-address=RTA; se l'ip address destination fosse appartenuto alla stessa network IP di PCA la frame

avrebbe avuto come macaddress destination il macaddress di PCB (che sarebbe stato scoperto tramite

protocollo ARP, come discusso nella sezione Ethernet).

7) Le frames generate da PCA e dirette a RTA (in qualit di default-gateway) vengono ricevute da SWA che

le proxer a RTA (in base al funzionamento degli switches layer 2 che analizzeremo in seguito).

8) Quando RTA riceve le frames da SWA estrae il pacchetto IP, rileva che diretto a PCB ed individua

l'interfaccia di uscita (in base al funzionamento del routing ip che vedremo in seguito).RTA creer una nuova

frames avr come sorgente il mac-address di RTA e come destination il mac-address di RTB.

9) Quando RTB riceve le frames da RTA estrae il pacchetto IP, rileva che diretto a PCB e lo encapsula in

una nuova frame che avr come sorgente il mac-address di RTB e come destination il mac-address di PCB.

10) Quando SWB riceve la frame da RTB la proxa verso PCB (in base al funzionamento degli switches layer

2 che analizzeremo in seguito).

11) Quando PCB riceve la frame estrae il pacchetto Ip contenuto, rileva che effettivamente diretto a lui,

estrae i dati e li passa al livello 4 che estrae i dati contenuto e li passa all'applicazione corretta (nel nostro

caso web browser).

In merito a questo processo necessario notare quanto segue:

Gli indirizzi ip (source e destination) non cambiano mai durante il viaggio nella rete, in quanto sono

indirizzi logici che hanno senso in tutta la rete.

Gli indirizzi di livello 2 (source e destination) cambiano su ogni link, in quanto sono indirizzi fisici che

hanno senso solo sul link locale.


28/93

Descrizione generale apparati Cisco

Molte componenti dei routers e degli switches Cisco sono simili, per questo nel proseguo della discussione

si far genericamente riferimento ad entrambe le famiglie con il termine "apparati". I componenti principali di

un apparato sono 5:

ROM (read only memory): in questa memoria sono salvati i POTS (power on test self, cio i test effettuati da

un apparato in fase di boot) ed una mini-ios che viene eseguita quando si accede all'apparato in modalit

ROM MON (vedi oltre per il dettaglio).

NVRAM: in questa memoria salvata la start-up configuration (che viene caricata allo start-up) ed il valore

del config-register (che indica all'apparato il tipo di avvio da eseguire, vedi oltre per il dettaglio).

FLASH: contiene la IOS (il sistema operativo del router).

RAM: contiene la running configuration, le tabelle di routing/mac address ect.

INTERFACES: le porte degli apparati, a cui collegare i link.

CONFIG-REGISTER: come detto salvato nella NVRAM, un valore esadecimale che (in fase di avvio)

indica al router/switch le operazioni da eseguire. Pu assumere principalmente 2 valori:

0X2102 : il default, esegue la normale routine di avvio.

0x2142 indica al router di non caricare la configurazione salvata in NVRAM (per il recovery

password).

ROUTINE DI AVVIO: allaccensione lapparato :

Esegue i POTS

CARICA LA IOS

CARICA LA CONFIGURAZIONE DALLA NVRAM ALLA RAM (se non la trova entra in setup mode).

SETUP-MODE:eseguito alla prima accensione, se viene cancellata la NVRAM e reloadato il router o se

viene digitato il comando setup dalla CLI del router. Permette una configurazione guidata dei parametri

base del router. Per uscire dal setup mode = ctrl + c

ACCEDERE AL ROUTER/SWITCH CISCO: si pu accedere in vari modi sia in banda (dalla rete) che

out of band (direttamente connettendosi allapparato).

IN BAND: effettuando telnet ad un indirizzo IP del router. In questo caso verr chiesta la password di

telnet (vty password) per accedere alluser mode.

OUT OF BAND: tramite cavo rolled connesso alla porta console o alla porta AUX del router ed

utilizzando un software tipo Hyper terminal. La connessione andr settata con i seguenti parametri:

Bit per secondo: 9600 / Bit di dati: 8 / Parit: nessuno / Bit di stop: 1 / Controllo del flusso: Hardware

Pu essere necessario inserire la password di console (se configurata). Alla porta AUX pu anche essere

collegato un modem per raggiungere il router in dial-up. Se si accede tramite la porta AUX verr chiesta la

AUX password.


29/93

MODALITA LAVORO ROUTER/SWITCH: sono disponibili 3 modalit di lavoro. Una volta avuto

accesso allapparato ci troveremo in:

USER MODE: il prompt >. Da questa modalit sono disponibili alcuni comandi.

PRIVILEGE MODE: il prompt # . Da questa modalit sono disponibili tutti i comandi. Per passare a

questa modalit si usa il comando enable, pu essere necessario inserire una password (se stata

configurata). La password richiesta la enable password. Se stata definita anche la enable secret

(stessa funzione della enable password, ma questa criptata) verr chiesta questa.

CONFIGURATION MODE: da questa modalit possibile inserire i comandi di configurazione. Non

prevista password. Il comando per accedere a questa modalit configuration terminal (conf t).

CONFIGURAZIONI PASSWORD:

line console 0 + password : password di console, chiesta se si accede out-of-band dalla porta

console. Line aux 0 + password : passwordi di aux, chiesta se si accede out-of-band dalla porta aux.

Line vty 0 4 + password : password vty, chiesta se si accede in-band dalla rete.

Enable : ena password: chiesta per passare da user mode a privilege mode.

Enable secret: ena secret: come la ena password ma criptata di default. Se presente viene chiesta al

posto della enable password.

Sui nuovi Routers ISR viene chiesto di default username e password (cisco, cisco). Tale account

valido solo per il primo accesso, va cambiato altrimenti una volta usciti dalla CLI non sar pi

possibile accerevi.

SALVATAGGIO/RESTORE CONFIGURAZIONE:

copy running startup: salva la conf nella NVRAM

copy startup running: copia la conf dalla NVRAM alla RAM

erase startup-config : elimina la conf salvata nella NVRAM.

Il comando copy molte opzioni per salvare in rete, sulla flash, sullusb ect.

UPGRADE/DOWNGRADE IOS: (vedi la sezione Upgrade IOSper il dettaglio di questa procedura).

copy tftp flash: copia la ios da un server tftp alla flash del router.

Copy flash tftp: copia la ios dalla flash ad un server tftp

Show flash : mostra i file presenti sulla flash, la loro taglia e lo spazio disponibile.

CISCO DISCOVER PROTOCOLS (CDP): il cdp v abilitato in configurazione generale (cdp run) e

sotto le interfacce (cdp enable). Ci sono 2 comandi:

show cdp : fornisce info in merito ai timers del CDP (modificabili con cdp holdtime e cdp timer)

show cdp neighbors details: fornisce info in merito ai router adiacenti (il loro ip, il loro modello, le

interfacce locali e remote delle connessioni tra di loro).

TELNET: il telnet utilizzato per entrare su apparati remoti. Si pu fare telnet ad un indirizzo ip o ad un

nome. Per utilizzare un nome necessario che ci sia un DNS server sulla rete che fornisca lassociazione tra


30/93

IP e nome, o configurare staticamente tali associazioni sui routers. Il comando per fare questo ip host

INDIRIZZO IP NOME. Tali associazioni si possono verificare con show ip host . Una volta entrati in telnet su

un router, per terminare la sessione e tornare al router originario si usa exit. Se invece si vuole tornare al

router originario senza terminare la sessione si usa ctrl + shift+6 (contemporaneamente), si rilasciano, poi X.


31/93

Evoluzione delle reti LAN

Come accennato nella pagina inizialmente ogni costruttore implementava la comunicazione tra hosts con

media, apparati e protocolli proprietari; in questa sezione discuteremo le Lan a valle della nascita dei modelli

standard, quindi con protocollo Ethernet.

A rigor di logica la prima necessit di connessione fu quella di collegare 2 computers; la soluzione in ambito

Ethernet rappresentata da un collegamento "Cross-over" (necessario per mettere in comunicazione la

coppia TX di una NIC con la coppia RX dell'altra e viceversa) tra le NIC dei 2 computers e dall'assegnazione

di 2 IP appartenenti alla medesima network IP alle NICs stesse (vedi sezione " Descrizione dettagliata

del viaggio di un pacchetto " per la spiegazione step-by-step di questo processo.

Risulta evidente come questa soluzione sia poco scalabile ed inapplicabile su larga scala (sarebbe

necessario connettere gli hosts in modalit full-meshed e quindi sarebbero necessari molti link diretti con i

relativi costi e problemi di cablaggio/numero di NICs necessarie), per questo il protocollo Ethernet (nella sua

fase iniziale databile a met anni '70, come definito dallo standard IEEE802.3) forn 3 tipi di soluzioni per

realizzare una LAN (cio per una rete locale di computer):

Standard IEEE802.3 - 10Base2

Standard IEEE802.3 - 10Base5

Standard IEEE802.3 - 10BaseT

Si veda la sezione "Ethernet"per il dettaglio di questi tipi di rete. In ambito IEEE10BaseT (e successive

evoluzioni) la soluzione per realizzare piccole lan rappresentata dagli hub (o repeater); questi apparati

funzionano a livello 1 ed essenzialmente ribaltano su tutte le proprie porte i bit ricevuti, sotto forma di impulsielettrici, da una porta. Le problematiche degli hub sono essenzialmente 2:

Tutti gli hosts attestati ad un hub appartengono allo stesso dominio di collisions, quindi gli hosts

possono trasmettere uno alla volta (con evidenti ripercussioni sulla velocit)e sul numero di hosts

installabili nel segmento di rete.

Insieme ai segnali elettrici vengono ritrasmessi anche gli errori (cio le frames errorate).

A livello di cavo, come abbiamo visto nella sezione Ethernet, vengono utilizzati cavi UTP (rame) composti da

un cavo 4 coppie (8 fili) crimpato suRJ45). Tali cavi possono essere: dritti, cross, roll-over.

Le reti realizzate esclusivamente tramite hub prendono anche il nome di "shared media network" in quanto

gli hosts attestati al segmento effettivamente ne condividono la banda (potendo trasmettere uno alla volta e

non potendo ricevere e trasmettere contemporaneamente). Per connettere diverse "shared media network"

venivano utilizzati i routers; in pratica veniva assegnata una network IP all'ufficio A dove installato l'hub A

ed una seconda network IP all'ufficio B dove installato l'hub B (i PC dell'ufficio A saranno connessi all'hub

A ed i PC dell'ufficio B saranno connessi all'hub B); entrambi gli hun venivano collegati ad una interfaccia

Ethernet del router che funger da default-gateway sia per i PC dell'ufficio A che per i PC dell'ufficio B

(ovviamente l'indirizzo dell'interfaccia connessa ad HubA apparterr alla network dell'UfficioA e l'indirizzo

dell'interfaccia connessa ad HubB apparterr alla network dell'UfficioB).


32/93

Fig 9.1Routing IP

Come noto il router segmenta i domini di broadcast, quindi ogni interfaccia (A e B) saranno domini di

broadcast separati (anche a livello IP appartengono a network distinte). Il router avr nella sua tabella di

routing 2 entries: Network A direttamente connessa all'interfacciaA e NetworkB direttamente connessa

all'interfacciaB. Quando un PC dell'ufficioA dovr comunicare con un PC dell'ufficioB invier le frames di

livello 2 al proprio DG (interfaccia A del router), che provveder a ruotarle a livello 3 (IP) verso la

destinazione (interfaccia B del router). Questo tipo di reti poco scalabile in quanto un hub tipicamente ha 4

(al massimo 6 o 8) porte, ne consegue che un ufficio abbastanza grande richiederebbe molti domini di

broadcast e quindi connessioni lato router (con i relativi costi per l'hardware) per mantenere una velocit di

trasmissione accettabile.

Ben presto le esigenze dell'informatica resero le shared media network fortemente limitative, sia in termini di

prestazioni (velocit) che di scalabilit (numero di hosts installabili per segmento). Le soluzioni trovate

dall'industria furono essenzialmente di 2 tipi:

Fu progettata ed implementata una evoluzione di Ethernet che permette velocit fino a 100Mbit/sec

(10 volte Ethernet). Il protocollo in questione si chiama IEEE802.u FastEthernet ed implementato

tramite 2 standard 100BaseT (cavi UTP rame, come Ethernet) e 100BaseFX (fibra ottica, tratte fino

a 400mt).

Furono introdotti i bridges che sono apparati multiporte (4, max 8) atti a segmentare i domini di

collision sulle proprie interfacce. In pratica permettevamo di collegare un hub ad ognuna delle

proprie porte aumentando il numero di host installabili nella lan (che continueranno ad appartenere

allo stesso dominio di broadcast ma non allo stesso dominio di collision; questo permette di

installare pi hosts nel dominio di broadcast mantenendo accettabile la taglia dei domini di collisions

(salvaguardando quindi la velocit di trasmissione). Per connettere i diversi domini di broadcast si

continua ad utilizzare il router nella modalit vista sopra (una interfaccia per ogni dominio dibroadcast).

Anche questa soluzione si rilev presto insufficente a far fronte alle crescenti necessit in ambito networking

richieste dal galoppante dilagare dell'informatica. In particolare i limiti erano:

Si potevano realizzare domini di broadcast tuttosommato piccoli (al massimo una 30ina di hosts).

Questo limite rendeva inutili le potenzialit di IP che prevedono network anche di 65000 hosts),

insufficenti alle necessit dell'industria.

Le velocit di trasmissione rimanevano basse (10M teorici, spesso inferiori) e gli hosts continuavano

a trasmettere in modalit half-duplex.


33/93

La soluzione fu rappresentata dalla nascita delle reti switched (cio realizzate tramite switches di

livello 2). Come accennato nella sezione "Ethernet" gli switches hanno ereditato completamente le

funzionalit dei bridges apportando alcune migliorie sostanziali:

o Gli switches eseguono lo switching (questo processo comune ai bridges ed agli switches

descritto nel dettaglio nel prossimo paragrafo "Lo switching di livello 2") in sowftware (tramite

processori dedicati chiamati ASICs) mentre i bridges lo eseguono in hardware (risultando

pi lenti).

Gli switches hanno una densit maggiore di porte ed un costo per porta minore rispetto ai

bridges. Questo ha permesso di eliminare gli hub e collegare direttamente gli hosts agli

switches Layer 2. In questa modalit ogni hosts rappresenta un singolo dominio di collisions

con la propria porta switch; questo permette alla porta di lavorare in modalit full-duplex cio

pu trasmettere e ricevere contemporaneamente.

o Di default tutte le porte di uno switch appartengono ad uno stesso dominio di broadcast (di

default la Vlan1), come quelle del bridge. Lo switch permette per di configurare molti

domini di broadcast ed assegnare ogni porta ad un dominio specifico (Vlan).

o Gli switches permettono di avere porte con speed diversa (alcune Ethernet, altre

FastEthernet, altre GigabitEthernet) mentre i bridges no.

o Gli switches permettono la configurazione di Etherchannel (vedi sezione Etherchannel

per i dettagli) mentre i bridges no.

o Gli switches permettono (tramite i trunk che descriveremo nella sezione Vlan) una diversa

modalit di intervlan routing (vedi sezione Intervlan Routing) chiamata router on a stick

che permette di utilizzare solo una interfaccia lato router per connettere diversi domini di

broadcast.

Grazie alle reti switched divenne possibile realizzare grandi di grandi dimensioni (centinaia di hosts)

utilizzando stack (cio file) di apparati layer 2 che condividono alcune Vlan. Fu anche possibile

permettere agli utenti di muoversi dentro la rete portandosi appresso il proprio IP (con relative

abilitazioni) anche a fronte di uno spostamento fisico all'interno di una rete. Nelle reti realizzate con

hub e bridges se un utente si spostava di piano o stanza doveva cambiare IP (con uno della network

assegnata alla stanza dove si trasferiva).

Tuttavia oltre certi limiti le implementazioni layer 2 (con connessioni trunk tra vari switches layer 2)

divenne poco efficente in quanto diventava complesso mantenere una logica lineare per i flussi di

traffico (cio capire dove stava passando esattamente una frame in un dato momento) e gestire le

istanze STP (vedi sezione La ridondanza Layer 2 ed STP). La soluzione fu quella di

organizzare le reti in maniera gerarchica, su 3 livelli:

Access: questo livello raccoglie le utenze (hosts); gli apparati di questo livello devono avere

essenzialmente un alto numero di porte per accogliere gli hosts e alcune porte ad alta velocit

per trasportare il traffico aggregato di tutte le porte utente verso il livello Distribution.

Distribution: Tipicamente a questo livello terminano le vlan (a questo livello si configurano leVlan a livello 3, il routing e la sicurezza tramite ACL).


34/93

Core: questo livello interconnette gli apparati del livello distribution con gli eventuali gateway (ad

esempio il router che interconnette alla Intranet, il router che connette ad internet ect) e si

occupa essenzialmente di trasferire i dati ad alta velocit da una parte all'altra della switched

network.

Fig. 9.2Corporate Switching

Da notare che a volte (se reti medio grandi) il livello Core assente, e le sue funzioni vengonoereditate dal livello Distribution. In questo caso si parla di Collapsed Core (intendendo che il livello

Core assente in quanto collassato nel livello Distribution; si parla invece di dual core quando il

livello Core duplicato (ai fini della ridondanza).

Dalla descrizione precedente dovrebbe essere risultato chiara la nascita di un nuovo apparato di lan

(installato nei livelli distribution e core): lo switch layer 3. Questi apparati (non oggetto dell'esame

CCNA) introducono funzionalit Layer 3 (interfacce layer 3, protocolli di routing, ACL ect) negli

switches ed introducono nuove modalit di switching (il CEF molto pi veloce del transparent

bridging utilizzato dagli switches layer 2).

Questo tipo di implementazioni hanno reso necessario delle interfacce a velocit maggiore per

aggregare i link dei livelli inferiori; la riposta fu GigabitEthernet (IEEE802.ab) che offre appunto

connessioni full-duplex fino a 1Gbit/sec.

Le Lan hanno alcune estensioni che permettono l'utilizzo del WI-FI (connessioni senza fili) e VOIP,

che comunque sono accennate (a livello sufficente per l'esame CCNA) nelle sezioni relative.

Credo sia utile riproporre qui la tabella comparativa delle implementazioni Ethernet, gi vista nella

sezione "Ethernet".


35/93

Fig. 9.3Standard Ethernet


36/93

Lo Switching di livello 2

Il lan switching sta al protocollo Ethernet come il routing ip sta al protocollo IP, in pratica si occupa di

movimentare le frames allinterno di un segmento Ethernet. Prima di addentrarci nei dettagli del Lan

switching bene ricordare le differenze tra Bridges e Switches, che per quanto detto sopra possono

sembrare molto simili:

I Bridges eseguono in software le operazioni di switching. Gli switch le eseguono in hardware

utilizzano processori appositi (ASIC: Application Specific Integrated Circuits )

Uno switch pu essere visto come un bridge multiport.

Un bridge pu eseguire una sola istanza Spanning tree, mentre gli switch possono eseguirne molte.

Uno switch ha molte pi porte di un bridge.

Sia gli switches che i bridges imparano i MAC ADDRESS esaminando il campo indirizzo sorgente

delle frames che ricevono.

Sia gli switches che i bridges prendono le decisioni di forwarding in base agli indirizzi di livello 2.

LE FUNZIONI PRINCIPALI DEGLI SWITCHES: sono essenzialmente laddress learning,le

forward/filter decisions, la loop avoidance.

Address Learning: quando uno switch riceve una frame, esamina il campo MAC ADDRESS

SOURCE e crea una entry nella mac address table (anche detta forwarding/filter table). Tale entry

riporter lassociazione tra mac-address source e interfaccia da cui la frame stata ricevuta.

Forward/Filter decisions: quando uno switch riceve una frame, esamina il campo MAC ADDRESS

DESTINATION e lo cerca nella mac-address table. Se trova una interfaccia di uscita per quel mac-

addess forwarda la frame solo a quella porta. Se non trova alcuna occorrenza, forwarder la frame a

tutte le porte eccetto quella da cui la ha ricevuta.

Loop Avoidance: se sono presenti connessioni multiple tra due switches possono crearsi loop di

livello 2. Spanning tree protocol utilizzato per fermare i loop di rete, permettendo di mantenere la

ridondanza data dai link multipli.

ADDRESS LEARNING/FORWARD-FILTERING DECISION: Di seguito un esempio di uno switch

appena acceso, che presenta la mac-address table vuota.

Fig. 10.1Switching L2

Poniamo il caso che HOST A invii una frames a HOST B e che i mac address dei due hosts siano i seguenti:

MAC ADDRESS HOST A: 0000.0000.0001

MAC ADDRESS HOST B: 0000.0000.0002

Di seguito la descrizione degli step che vengono eseguiti per traspostare la frame da A a B:

La Frame inviata da A sar ricevuta dalla E0/0 dello switch.


37/93

Lo switch analizzer per prima cosa il campo mac address source della frame. Dato che tale mac

address non presente nella propria mac-address table, inserir la seguente entry: E0/0 =

0000.0000.0001

Lo switch analizzer per seconda cosa il campo mac address destination della frame. Dato che tale

mac address non presente nella propria mac-address table, invier la frame a tutte le porte attive,eccetto quella da cui la ha ricevuta (E0/0) (TALE ATTO E DETTO FLOODING).

La frame sar ricevuta da HOST B, HOST C e HOST D. HOST C e HOST D la dropperanno, in

quanto non diretta a loro. HOST B la prender in carico ed invier una frame di risposta a HOST A.

Tale frame sar ricevuta dalla E0/1 dello switch.

Lo switch analizzer per prima cosa il campo mac address source della frame. Dato che tale mac

address non presente nella propria mac-address table, inserir la seguente entry: E0/1 =

0000.0000.0002

Lo switch analizzer per seconda cosa il campo mac address destination della frame. Dato che tale

mac address presente nella propria mac-address table, invier la frame solo alla porta E0/0.

(TALE ATTO E DEFINITO FILTERING).

A questo punto ogni volta che lo switch ricever una frame da HOST A -> HOST B e viceversa non

avr bisogno di effettuare flooding, ma la invier esclusivamente alla porta dove lhost receiver

connesso.

Se un host invia un broadcast, tale frame sar inoltrata a tutte le porte tranne a quella da cui stata

ricevuta. Infatti di default lo switch fornisce un solo dominio di broadcast.

Se un host non invia/riceve frames per un certo tempo, la entry relativa a questo host viene eliminata

dalla mac-address table.

Il comando atto a verificare la mac-address-table show mac-address-table (o show mac address-table in

alcune IOS) ed descritto nella figura seguente (in pratica mostra l'associazione tra porta, vlan configurata e

mac-address dell'host connesso):

PORT SECURITY: Il comportamento sopra descritto apre un problema di sicurezza. Infatti se qualcuno

collegasse un PC o un hub nella presa LAN del proprio ufficio questo potrebbe tranquillamente funzionare

anche senza il consenso dellamministratore. Per evitare questo disponibile la feature port -security. Questa

features si abilita sotto linterfaccia con il comando: switchport port-security ARGOMENTO. Questo

comando ha 3 argomenti:

mac-address : lo specifico macaddress che pu connettersi allinterfaccia.

Sticky : indica allo switch di imparare il primo macaddress che si collega alla porta e di permettere

solo ad esso di collegarsi a quella porta.

Maximum Valore : il numero di macaddress diversi che possono connettersi allinterfaccia.


38/93

Tutti i comandi visti sopra possono essere completati da: switchport port-security violation . Questo comando

indica cosa fare quando si verifica una violazione della regola impostata prima. Ha 3 opzioni:

shutdown: shutta la porta. La porta dovr essere abilitata in configurazione (con no shut).

Protect: un host con mac diverso da quello imparato (o configurato) pu connettersi, ma le sue

frames saranno droppate.

Restrtict: invia un alert via snmp allamministratore per comunicare labuso.


39/93

Spanning Tree Protocol

Per permettere la ridondanza pu essere una buona idea connettere 2 switches con 2 link, in modo che se

uno va fuori servizio laltro pu continuare a funzionare. Questa soluzione per apre la portaa 3 problemi:

BROADCAST STORM: Data la topologia della figura sottostante, se PC-01 invia un broadcast lo switch A

lo forwarder su tutte le porte (Fast0/0 e Fast0/1). Lo switch B lo ricever e lo reinoltrer su tutte le proprie

porta; ne consegue che PC-02 ricever la frame (come atteso) ma 2 copie della frame sono rimandate verso

SwitchA. Cosi si crea quello che chiamato broadcast storm. Questa situazione pu saturare i link e

mandare la rete down.

MULTIPLE FRAME COPIES E TRASHING MAC TABLE: Condiserando l'esempio precedente, se

PC-01 (connesso a switch A) invia un unicast a PC-02 (connesso a switch B) e nella mac-address table non

noto il mac di PC-B, accade che switch A invia la frame in broadcast su tutte le porte la frame su tutte le

porte, in particolare su Fast0/0 e Fast0/1. Questo comporta 2 problemi:

PC-02 ricever 2 copie della frame (perch Switch B ricever 2 frame uguali da Switch A - una dalla

Fast0/0 ed una dalla Fast0/1. Questo problema detto Multiple Frame Copies.

Rimanendo nell'esempio precedente, quando Switch B riceve le 2 frame uguali originate da PC-01 e

dirette a PC-02 incontra un problema di congruenza. Come sappiamo lo switch dovrebbe inserire

nella propria Mac-address-table la corrispondenza tra il mac address di PC-01 e la porta da cui ha

ricevuto la frame, in questo caso non saprebbe se inserire la Fast0/0 e la Fast0/1. Tale problema

chiamato Trashing Mac Table (in alcuni casi pu causare la saturazione della mac address table, se

questo avviene lo switch non riesce ad imparare altri mac address.

La soluzione a tutti questi problemi rappresentata dallo spanning tree protocol.

SPANNING TREE PROTOCOL: Lo spanning tree il protocollo utilizzato per mantenere libera da loop

una rete switch ridondata. La prima versione standardizzata da IEEE nota con il nome di 802.1D. Esiste

anche una evoluzione di STP, chiamata 802.1W (Rapid spannin tree) che verr dettagliata di seguito.

Lo STP utilizza un algoritmo (spanning tree algorithm) per creare un topology database contenente tutti i link

della rete switch. Poi shutta i link ridondanti, permettendo il forward delle frames solo su un link.

TERMINOLOGIA SPANNING TREE: Come per i protocolli di routing di seguito sono dettagliati alcuni

termini e concetti propri del protocollo spanning tree:

BPDU (BRIDGE PROTOCOL DATA UNIT): Sono i pacchetti scambiati dai switches per eleggere il

root bridge e le designates port. Di default le bpdu sono inviate ogni 2 secondi su tutte le porte attive.

Ogni switch popola le proprie BPDU con il proprio valore Bridge ID.


40/93

BRIDGE ID: il parametro che identifica lo switch allinterno della rete. E dato da priority + mac

address. La priority di default 32768, si pu modificare con il comando spanning-tree vlan 1

priority. Cisco permette una istanza STP per ogni VLAN, uno switch pu avere BID diverso per ogni

VLAN.

ROOT BRIDGE: E lo switch con bridge priority minore. Tutte le porte del Root Bridge diventanoDisagneter Port, presentano costo = 0 e vengono poste in Forwarding state.

ROOT PORT: la porta di ogni switch che presenta il percorso con costo minore verso il root bridge.

DESIGNATED PORT: Gli switch attestati ad uno stesso segmento devono decidere quale sar la

designated port per quel segmento. Viene eletta DP la porta attestata al percorso con costo minore.

A parit di costo viene eletta DP la porta attestata allo switch con Bridge-ID minore.

COST PATH: Il costo del percorso dato dalla somma deli costi delle porte in uscita dagli switch

attraversati fino al ROOT BRIDGE.

Il costo di una porta si pu modificare con il comando (in configurazione interfaccia): spanning-tree

cost valore; di seguito sono riportati i costi di default delle interfacce.

10G = 2

1G = 4

100M= 19

10M = 100

COME LAVORA STP:

1. Allaccensione tutte le porte degli switch sono in blocking state.

2. Tutti gli switch inviano le BPDU su tutte le proprie porte, ogni 2 secondi.

3. Il protocollo STP analizza le BPDU ed elegge il ROOT BRIDGE.

4. Tutte le porte del ROOT BRIDGE vengono considerate Designated Port e vengono poste in

forwarding state.

5. Ogni switch identifica la propria ROOT PORT , la considera designated port e la pone in forwarding

state.

6. Ogni switch identifica per ogni segmento la designated port e le pone in forwarding state.

7. Ogni switch pone tutte le Non Root e non Designated Port in blocking state.

Durante la normale operativit della rete le porte sono in forwarding state o blocking state. Se un link cade,

le porte vanno in listening state (analizzano le bpdu per verificare se possono diventare designated o rootport senza creare loop). In caso positivo passano in learning state. In questo stato lo switch impara i mac-

address e popola la mac-address table (la durata di ogni stato 15 secondi).

La figura seguente mostra una semplice Lan composta da 3 switches Layer 2; ogni switches presenta 2 link,

diretti ai restanti 2 switches. Per quanto detto in precedenza una rete del genere aumenta l'affidabilit della

rete (il fault di un link non causa isolamento degli hosts) ma introduce la possibilit di bridging loops (loops di

livello 2).


41/93

Switch A viene eletto come ROOT BRIDGE in quanto ha il mac-address (e quindi il bridge id) minore. Tutte

le sue porte vengono poste in forwarding state.

Switch A e Switch B eleggono la propria Root Port, che la porta direttamente connessa al Root.

Il link tra Switch B e Switch C chiude un loop, quindi STP deve bloccare una delle 2 porte per impedirlo. STPverifica quale dei 2 percorsi ha costo minore (nel nostro caso sono uguali) e poi quale switches ha il bridge

id minore (nel nostro caso la designated port sar quella di Switch B, pertanto la porta di Switch C verr

bloccata.

VELOCIZZARE STP: Una porta impiega circa 50 secondi per passare dallo stato blocked allo stato

forwarding, questo a causa del tempo di convergenza di STP. In questo tempo nessuna frames sar

forwardata sulle porte. Questo ha senso sulle porte relative a link tra switch, ma non ha alcun senso su porte

connesse direttamente a hosts.

Per questo motivo esiste il comando spanning-tree portfast. Questo comando v applicato a tutte le porteutente, o a quelle porte che non possono creare loop (ad esempio Etherchannel).

Una volta attivato il portfast va anche utilizzato uno dei seguenti comandi (che eseguono la stessa funzione):

bpdu guard (Questo comando evita loop nel caso si colleghi per errore uno switch o un hub ad una porta

portfast. Se abilitato pone la porta in error disabled appena vede una bpdu arrivare sulla porta.). Il

comando bpdu filter invece lascia la porta up, ma disabilita il portfast.

Un'altra funzione utile lo spanning-tree uplink fast. Se sono disponibili 2 o pi percorsi verso il root bridge,

STP ne lascia uno in forwarding state e pone gli altri in blocked state. Con questa feature STP tiene traccia

anche del percorso di backup verso il root e, se la root port va down, attiva immediatamente il secondopercorso senza attendere lo scadere dei timers STP. Questo comando va abilitato sugli switch di accesso o

su switch che hanno pi link verso il root (e che quindi hanno almeno una porta in blocking state).


42/93

Unaltra features Cisco per STP lo spanning-tree backbone fast che serve per far ridurre il tempo di

convergenza che se cade un link nel percorso verso il root non direttamente connesso allo switch. Va

abilitato su tutti i switch della rete (non come uplink fast che va configurato solo sugli switch di accesso o

sugli switch con una porta in blocking state).Riduce di circa 20 secondi il tempo di convergenza.

Entrambe queste funzioni si abilitano in configurazione generale con i comandi: spanning-tree backbonefast,

spanning-tree uplinkfast .

RAPID SPANNING TREE: I 3 sistemi appena visti servono per ridurre i tempi di convergenza di

STP802.1D, il problema che richiedono configurazioni aggiuntive e che sono proprietari Cisco. Per questo

motivo stato sviluppato 802.1w (RAPID SPANNING TREE). RSTP standard, e pu interoperare con

802.1D. In questo caso per si perdono i vantaggi propri di RSTP. Il comando per abilitare RSTP (in

configurazione generale) : spanning-tree mode rapid-pvst.

RSTP introduce un nuovo stato detto DISCARDING. Per ogni porta root e designated viene tenuta in

memoria la rispettiva porta di backup. Se il link attestato alla porta attiva cade le porte di backup passano

immediatamente in FORWARDING.


43/93


44/93

access. Questa viene detta VOICE VLAN ed utilizzata per gli ip phone (il funzionamento e la

configurazione degli switches per supportare il Voip non sono oggetto del corso CCNA.

Da notare che le vlan da 1 a 1005 sono dette normal-range vlan. Le vlan da 1006 a 4094 sono dette

extended-range vlan. In un dominio VTP possono essere configurate solo le normal-range vlan. Sui VTP

transparent switches si possono configurare tutte (lo scopo ed il funzionamento del protocollo VTP sar

analizzato pi avanti in questa sessione.

TRUNKING: Spesso le Vlan si estendono su diversi switches, che realizzano una grande Lan (chiamata

switch fabric), per questo si rende necessario prevedere delle connessioni tra gli switches atti a trasportare il

traffico broadcasto o unicast tra hosts della stessa Vlan. Le soluzioni possibili sono essenzialmente 2

(descritte dalle figure seguenti):

La soluzione descritta nella figura precedente prevede una connessione per ogni Vlan; risulta

immediatamente evidente come la soluzione sia poco scalabile (se fossero presenti 10 o 20 vlan sarebbe

impossibile usare una porta/link per ogni Vlan).


45/93

Questa seconda soluzione ovviamente pi scalabile in quanto permette di far transitare il traffico di molte o

tutte le Vlan su un solo link e perch se si aggiunge una nuova vlan non va effettuata alcuna operazione a

livello di connettivit interswitch (nell'esempio precedente qualcuno avrebbe dovuto configurare e collegare

un nuovo link tra gli switches).

Sugli switches Cisco i trunk possono essere configurati manualmente o negoziati automaticamente tra gliswitches tramite protocollo, proprietario Cisco, DTP (dynamic trunking protocol). Questo protocollo permette

agli switches di realizzare automaticamente un trunk se le porte ne hanno la potenzialit). Esistono 5

modalit di lavoro del DTP (chiamati switchport mode) che definiscono il comportamento della porta in

ambito trunk:

switchport mode access: Pone la porta in modalit access, la associa ad una VLAN (porte utente)

switchport mode trunk : Pone la porta in modalit trunk senza condizioni

switchport mode dynamic auto : La porta diventer trunk se dall'altro lato del link c' una porta

desirable o trunk

switchport mode dynamic desirable : La porta tenter continuamente di diventare trunk. Ci riuscir

se dall'altro lato c' una porta trunk o auto.

switchport mode nonegoti

ccent ccna

Documents