Sintesi del corso di Internet anno 2022

( O vademecum chiamatelo come vi pare )

In data 27 Maggio 2022

Anno accademico 2021-2022

A cura di Marco Gessa, studente di ingegneria informatica

Università degli studi di Cagliari, dipartimento di Ingegneria Elettrica, Elettronica, Informatica

Pagina 1 di 70
 Parte 1 del corso

Capitolo 1: Il network oggi 3

Capitolo 2: Con gurazione di base dello switch e del dispositivo nale 5
Capitolo 3: Protocolli e modelli 6
Capitolo 4: Layer sico 9
Capitolo 5: Sistema numerico binario 12
Capitolo 6: Layer di collegamento dati 13
Capitolo 7: Ethernet Switching 16
Capitolo 9: Layer di rete 19
Capitolo 11: Indirizzamento IPv4 25
Capitolo 12: Indirizzamento IPv6 29
Capitolo 13: ICMP 31
Capitolo 14: Livello di trasporto 33
Capitolo 15: Livello applicazione 38
Capitolo 16: Fondamenti di sicurezza di rete 41
Capitolo 17: Creazione di una piccola rete 44

A cura di Marco Gessa, studente di ingegneria informatica

Università degli studi di Cagliari, dipartimento di Ingegneria Elettrica, Elettronica, Informatica

Pagina 2 di 70
fi
fi
fi
 Capitolo 1: Il network oggi

Tutti i computer connessi ad una rete e che ci partecipano sono chiamati host, ogni host
e la sua relativa rete è identi cato tramite un indirizzo chiamato IP.

In linea generale ad oggi la rete si sta evolvendo nella direzione di non avere più client e
server ma dispositivi che fungano sia da client che da server nella medesima
comunicazione, questo protocollo viene de nito come “peer to peer”.

I vantaggi del networking peer to peer sono:

• Semplicità di con gurazione.

• È meno complesso.
• Costo inferiore.
• Può essere usato per trasferire le.

Gli svantaggi del peer-to-peer sono:

• Nessuna amministrazione centralizzata.

• Livello di sicurezza inferiore.
• Non scalabilità.
• Possibile rallentamento delle prestazioni.

I dispositivi intermedi collegano i singoli dispositivi nali alla rete.

Le comunicazioni avvengono sicamente grazie a dei canali, tra i vari utilizzati oggigiorno
abbiamo:

• Fili metallici nei cavi.

• Fibre in vetro o di plastica.
• Trasmissione wireless.

I dispositivi si collegano tra loro attraverso speci ci metodi, tra i quali:

• Network Interface Card ( NIC ).

• Porta sica.
• Interfaccia.

Le reti possono essere rappresentate tramite diagrammi, generalmente possiamo

osservare;

Diagrammi sici di topologia: Descrivono la posizione sica dei dispositivi intermedi e

l’installazione dei cavi.
Diagrammi logici di topologia: Illustrano la logica di collegamento dei dispositivi
interconnessi tra loro.

Le reti cambiano nome e tipologia in base alla loro dimensione, nel corso di reti di
telecomunicazioni si è a rontato bene l’argomento.

Pagina 3 di 70
fi
fi
fi
ff
fi
fi
fi
fi
fi
fi
fi
Internet è una raccolta mondiale di reti interconnesse.

Una rete intranet è progettata per essere accessibile solo dai membri dell’organizzazione
proprietaria, dai dipendenti della stessa o comunque dai suoi soggetti autorizzati.

Una rete extranet è una rete privata più estesa, dall’esterno è accessibile solo ad utenti
autorizzati.

Ci sono diverse opzioni che permettono agli utenti di collegarsi alla rete;

• Cavo
• DSL
• Cellulare
• Satellite
• Telefono dial-up

Una rete deve rispettare certi criteri, rispettandoli garantiamo e cienza delle
comunicazioni, possiamo elencare;

• Tolleranza ai guasti
• Scalabilità
• Qualità del servizio.
• Sicurezza.

Con l’arrivo delle comunicazioni wireless i gestori delle reti stanno cercando di portare le
reti ad essere sempre più aperte rispetto ai dispositivi personali dell’utente, sopratutto in
un mondo che presto sarà gestito completamente ( o quasi ) da sensori che
comunicheranno tra loro tramite la rete. La possibilità di utilizzare il proprio dispositivo per
comunicare con la rete viene chiamato BYOD ( Bring Your Own Device ).

Le reti possono essere soggette ad attacchi, possiamo elencare:

• Virus, worm e trojan.

• Spyware e adware.
• Attacchi zero-day.
• Attacchi threat actor.
• Attacchi denial of service.
• Intercettazione e furto dei dati.
• Furto di identità.

Ovviamente esistono diversi sistemi di sicurezza tra cui:

• Antivirus e antispyware.
• Firewall di ltraggio.
• Firewall dedicati.
• Acess Control List ( ACL ).
• Sistemi di prevenzione delle intrusioni ( IPS ).
• Reti private virtuali ( VPN ).

Pagina 4 di 70
fi
ffi
 Capitolo 2: Con gurazione di base dello switch e del dispositivo nale

I dispositivi della rete sono costituiti da;

Shell: L’interfaccia utente che consente agli utenti di richiedere attività speci che dal
computer.
Kernel: Si occupa della comunicazione tra hardware e software, gestisce il modo in cui
vengono impiegate le risorse di un computer.
Hardware: Parte sica di un computer, inclusi i componenti elettronici interni.

L’interfaccia utente può essere di tipo GUI o CLI.

Gli switch di rete devono essere ben con gurati e protetti, tra le loro modalità di accesso
ritroviamo:

Console: Si tratta di una porta di gestione sica che fornisce l’accesso fuori banda ad un
dispositivo Cisco indipendentemente se i servizi di rete sono con gurati o meno, per
utilizzare la connessione a console è necessario disporre di un computer che esegua il
software di emulazione del terminale e uno speciale cavo dedicato.
Secure Shell: Consigliato per stabilire una connessione CLI da remoto sicura, a
di erenza della console questa necessita di rete ben con gurata.
Telnet: Permette il collegamento da remoto tramite una sessione CLI ma non è sicura, di
fatto si preferisce di gran lunga utilizzare il metodo SSH.

N.B: Tralascio le slide sui comandi di con gurazione perché inutilmente ridondanti,
per approfondirli guardate le slide relative del corso.

Pagina 5 di 70
ff
fi
fi
fi
fi
fi
fi
fi
fi
fi
 Capitolo 3: Protocolli e modelli

Perché la comunicazione sia possibile tra due o più dispositivi non basta un semplice
collegamento ma è necessario che i dispositivi sappiano in che modo comunicare.

Tutti i metodi di comunicazione hanno le seguenti forme comuni;

• Origine del messaggio.

• Destinazione del messaggio.
• Canale.

Per comunicare gli interlocutori devono utilizzare delle regole o delle convenzioni
prede nite.

I comuni protocolli di computer prevedono;

• Codi ca del messaggio.

• Formattazione e incapsulamento del messaggio.
• Dimensione del messaggio.
• Tempistica del messaggio.
• Opzione di consegna del messaggio.

La prima operazione che si e ettua per instaurare una comunicazione è la codi ca, si
tratta di una conversione dell’informazione da trasmettere in una forma più accettabile per
il mezzo, giunte a destinazione le informazioni vengono decodi cate nel formato
riconosciuto dal ricevitore ( in accordo con il protocollo comune utilizzato tra i due o più
interlocutori ).

Per essere trasmesso il messaggio deve essere convertito in una forma appropriata, di
questo se ne occupa il protocollo IP di cui discuteremo più avanti.

Un altra regola che la comunicazione deve rispettare è la dimensione di ogni messaggio,

come si vedrà più avanti ogni pacchetto deve avere dei limiti ben de niti e rispettare una
certa grandezza minima e massima.

La tempistica dei messaggi è molto importante, include:

Controllo del usso: De nisce la quantità di informazioni che possono essere inviate e la
velocità per le quali queste possono essere fornite.
Timeout di risposta: Speci ca quanto tempo un host può attendere un pacchetto prima
di intraprendere una certa azione.
Metodo di accesso: Determina quando un utente è in grado di inviare un messaggio.

In una comunicazione tutti i dispositivi devono rispettare lo stesso insieme di regole

comuni, queste sono de nite dai protocolli. Esistono tanti tipi di protocolli tra i più
importanti abbiamo:

Protocolli di rete e comunicazioni: Consentono a due o più dispositivi di comunicare su

una o più reti.

Pagina 6 di 70
fi
fi
fl
fi
fi
fi
ff
fi
fi
fi
 Protocolli di sicurezza di rete: Proteggono i dati richiedendo autenticazione,
integrazione dei dati e la loro crittogra a.
Protocolli di routing: Consentono ai router di scambiare informazioni sul percorso,
confrontare il percorso delle informazioni e quindi selezionarne il migliore per giungere alla
rete di destinazione.
Protocolli service discovery: Sono utilizzati per il rilevamento automatico di dispositivi o
servizi.

Ci possiamo so ermare in particolare sui protocolli di rete, le loro funzioni sono;

• Indirizzamento.
• A dabilità.
• Controllo del usso.
• Sequenziamento.
• Rilevamento errori.
• Interfaccia dell’applicazione.

Uno stack di protocolli mostra la modalità di implementazione dei singoli protocolli

all’interno di una suite.

Dietro ai protocolli ci sono delle grandi società di esperti che li hanno de niti, tra queste
possiamo elencare:

Internet Society ( ISOC ): Promuove l’utilizzo e l’evoluzione dell’internet a livello globale.

Internet Architecture Board ( IAB ): Gestisce a livello globale lo standard internet e il suo
sviluppo.
Internet Engineering Task Force ( IETF ): Si occupa dello sviluppo, degli aggiornamenti
e della gestione delle tecnologie internet e TCP/IP.
Internet Research Task Force ( IRTF ): Fa ricerca basata per trovare soluzioni a lungo
termine di tecnologie innovative.
Internet Assigned Numbers Authority ( IANA ): Responsabile della supervisione e della
gestione dell’assegnazione degli indirizzi IP.

Per il campo del settore dell’elettronica e delle comunicazioni abbiamo:

IEEE: Promuove l’innovazione tecnologica e la creazione di standard in una vasta

gamma di settori.
EIA: Si occupa principalmente di standard dedicati ai cablaggi.
TIA: Responsabile dello sviluppo degli standard per le telecomunicazioni.
ITU: De nisce gli standard per le compressioni video e per le comunicazioni a banda
larga.

Tra i vantaggi dell’utilizzare modelli aventi più layer speci ci abbiamo;

• Assistenza nella progettazione dei protocolli

• Promozione della concorrenza per garantire l’interoperabilità tra i prodotti di più
fornitori.
• Protezione dei layer superiori e inferiori dall’impatto delle modi che tecnologiche.
• Possibilità di utilizzare un linguaggio comune per la descrizione delle funzioni di
rete.
Pagina 7 di 70
ffi
fi
fl
ff
fi
fi
fi
fi
Ci sono due modelli che descrivono le operazioni di rete;

• Modello OSI.
• Modello TCP/IP.

Segmentare i dati di una comunicazione porta diversi vantaggi tra i quali:

• Aumento della velocità: Poiché un usso id dati spezzettato può essere inviato anche
attraverso più canali senza doverne dedicare uno tutto il tempo garantendo più velocità.
• Aumento dell’e cienza: Se un segmento non riesce a raggiungere la destinazione
basta inviare nuovamente solo quel segmento.

Pagina 8 di 70
ffi
fl
 Capitolo 4: Layer sico

Prima di intraprendere qualsiasi comunicazione è necessario instaurare un collegamento

sico tra mittente e destinatario. Il collegamento può essere sia cablato che wireless.

Generalmente a livello aziendale si utilizza un mix di connessioni cablate e wireless.

Le schede di interfaccia NIC collegano un dispositivo alla rete.

Il layer sico fornisce il mezzo di trasporto, accetta i frame trasmessi dal layer
collegamento dati e li codi ca come una serie di segnali da trasmettere sui supporti locali.

Il layer sico è costituito dall’insieme di supporti elettronici e connettori sviluppati da

ingegneri, per questo ha degli standard de niti proprio dagli enti autoritari di ingegneria
elettrica-elettronica.

Tra gli enti dediti alla standardizzazione del layer sico abbiamo: IEEE, ANSI, ISO ecc.

Con codi ca viene de nito il metodo di conversione del usso di bit ricevuto dal layer
sico, permette di rappresentare in modo chiaro ( in base a chi deve ricevere il segnale )
le informazioni trasmesse.

Ci sono diverse tipologie di codi che, ognuna pensata per degli speci ci apparati, anche
queste ovviamente devono sottostare a dei protocolli generali.

Il layer sico trasmette segnali di tipo ottico, elettrico o wireless, in base alla codi ca da
attuare ci sarà un diverso modo per rappresentare i bit 0-1 ( per esempio cambiando
stato del segnale ).

Con larghezza di banda si indica la capacità del supporto di trasportare dati.

I termini utilizzati per misurare la qualità della larghezza di banda includono: Latenza,
Velocità di trasmissione e Goodput.

Latenza: Tempo impiegato per trasmettere dei dati da un punto A ad un punto B.

Velocità di trasmissione: Quantità di dati trasmessi in un certo periodo.
Goodput: Quantità di dati ricevuti correttamente dal destinatario.

Il cablaggio in rame è il tipo più comune, semplice da installare e a basso costo.

Nel rame i segnali sono trasmessi per via di impulsi elettrici, il problema è che maggiore è
la distanza coperta dal cavo in rame maggiore è il deterioramento del segnale.

Gli impulsi a destinazione vengono letti da un rilevatore di impulsi.

Altri problemi che sorgono nell’utilizzo di impulsi elettrici sono:

Interferenza elettromagnetica: Ovvero campi esterni parassiti che distorcono il segnale

rendendolo meno leggibile o illeggibile completamente, viene contrastata da delle
schermature immesse sui li.

Pagina 9 di 70
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fl
fi
fi
 Crosstalk: Campi parassiti dovuti alla vicinanza dei cavi in rame, vengono contrastati
tramite l’intreccio dei cavi in rame se sono vicini o in coppie.

Cablaggio UTP: Sono i mezzi di trasmissione più comuni, vengono utilizzati per
connettere gli host di rete a dispositivi intermediari come router o switch.
Il cablaggio UTP dispone di 4 coppie di li intrecciati coperti da una guaina isolante.

Cablaggio STP: O rono una protezione dai campi parassiti migliore, utilizzano sempre il
connettore RJ-45 tuttavia sono molto più costosi e di cili da installare.
In aggiunta all’UTP l’STP dispone di guaine per ogni coppia di li intrecciati, una
schermatura esterna aggiuntiva ( anima ) e la guaina più esterna che avvolge il tutto.

Cavo coassiale: Contiene due conduttori che condividono lo stesso asse, comprende:

• Un conduttore in rame per la trasmissione dei segnali elettrici.

• Uno strato isolante di plastica essibile.
• Uno strato conduttore che avvolge lo strato isolante, questo fa si che lo strato
conduttore diventi il secondo conduttore.
• Una guaina esterna che avvolge tutto.

Il cavo coassiale utilizza giunti BNC, N ed F.

Esistono diverse categorie di cavo UTP;

Categoria 3: In origine progettata per reti vocali, ma utilizzata anche per linea dati.
Categoria 5: Trasmissione dati da 100 a 1000 Mbps.
Categoria 6: Ha un separatore di coppia, supporta 10 Gbps.
Categoria 8: Fino a 50 Gbps.

I cavi UTP oltre al doppino RJ-45 possono avere standard diversi su cui interfacciassi, la
Cisco ne ha dei suoi speci ci;

Ethernet Straight-through: Collega host e switch ad un router.

Ethernet crossover: Utilizzato per collegare dispositivi simili ( router-router per esempio ).

I cavi in bra ottica sono in grado di trasmettere una quantità maggiore di segnale nel
tempo, so rono molto meno dell’attenuazione su lunghe linee.

La bra ottica non è altro che un lo trasparente di vetro purissimo ( di fatto è lavorato
secondo particolari procedure ) dello spessore di un capello. Il cavo in bra fa da strada
per gli impulsi luminosi.

La bra ottica si distingue in SMF ( modalità singola ) e multimodale, la prima è progettata

per coprire distanze più lunghe la seconda per inviare un usso maggiore di dati ( è full
duplex ).

I supporti wireless trasportano le informazioni attraverso onde elettromagnetiche.

I sistemi wireless sono limitati, tra le varie limitazioni abbiamo;

Pagina 10 di 70
fi
fi
fi
ff
ff
fi
fl
fi
fi
ffi
fl
fi
fi
 Area di copertura: Oggetti in mezzo al raggio di trasmissione possono in uire anche
pesantemente sulla trasmissione.
Interferenza: La trasmissione wireless è sensibile alle interferenze, telefoni cellulari o
segnali esterni possono interferire.
Sicurezza: Non essendoci un collegamento con cavo chiunque può potenzialmente
intromettersi in una rete wireless.
Supporto condiviso: Le reti wireless sono half-duplex, può comunicare tramite il mezzo
di supporto un solo dispositivo alla volta.

Tra i vari standard di supporto per comunicazione wireless abbiamo:

Wi- ( IEEE 802.11 )

Bluetooth ( IEEE 802.15 )
WiMAX ( IEEE 802.16 )
Zigbee ( IEEE 802.15.4 )

Pagina 11 di 70
fi
fl
Capitolo 5: Sistema numerico binario

Il binario è un sistema di numerazione composto dalle cifre 0 e 1.

Il binario è molto utile per le macchine, per gli esseri umani risulta logicamente più
complesso, tuttavia per semplicità gli indirizzi IPV4 ( espressi in binario ) generalmente
sono espressi in una forma decimale equivalente puntata.

Il binario così dunque gli indirizzi IP utilizzano il “linguaggio posizionale” secondo cui uno
zero o un uno immesso in una posizione a sinistra rispetto ad un altro ha più peso.

Pagina 12 di 70
 Capitolo 6: Layer di collegamento dati

Il layer di collegamento dati ( layer 2 ) prepara i pacchetti ricevuti dal layer superiore di
rete ( layer 3 ), incapsulandoli e inviandoli al layer inferiore ( layer sico ).

Il layer collegamento dati è responsabile della scheda di rete NIC.

Tra le altre cose il layer collegamento dati:

• Consente ai layer superiori di accedere ai supporti.

• Accetta i dati e li incapsula in frame layer 2.
• Controlla in che modo vengono collocati e ricevuti i dati di supporto.
• Esegue il rilevamento degli errori ri utando qualsiasi frame danneggiato.

Un nodo è un dispositivo intermediario che può ricevere, creare, archiviare o inoltrare dati
lungo un percorso di comunicazione

Nel layer di collegamento dati sono presenti due sublayer;

Logical Link Control ( LLC ): Comunica tra il software di rete nei layer superiori e
l’hardware del dispositivo nel layer inferiori, aggiunge nei frame le informazioni che
identi cano il protocollo di rete utilizzato.
Media Access Control ( MAC ): Responsabile dell’incapsulamento dei dati e del
controllo dell’accesso. Fornisce l’indirizzamento del layer collegamento dati.

In particolare il sublayer MAC fornisce;

Delimitazioni del frame: Utilizzate per identi care i gruppi di bit che compongo i vari
frame.

Indirizzamento: Di origine e destinazione per il trasporto del frame layer 2.

Rilevamento degli errori: Include un trailer utilizzato per rilevare gli errori di trasmissione.

Le diverse topologie di rete generalmente hanno molti host, questi host si contendono
l’accesso al supporto di rete, il MAC permette di gestire l’insieme di tutti questi host che
richiedono l’accesso.

Come il layer sico viene standardizzato da istituti autorevoli, citasi IEEE, ANSI ecc anche
il layer collegamento dati ha diversi enti che pensano a de nirne e standardizzarne i
protocolli, tra i vari enti possiamo nominare;

• IEEE
• ITU
• ISO
• ANSI

Pagina 13 di 70
fi
fi
fi
fi
fi
fi
Il layer collegamento dati deve conoscere come è fatta la rete stessa prima di trasferire i
frame da un dispositivo all’altro, il come è fatto è de nito dalla topologia, in particolare
queste ultime si distinguono in;

Topologia sica: Identi ca le connessioni siche e le modalità di interconnessione dei

vari dispositivi. Generalmente le tipologie siche sono Point-to-point o stella.
Topologia logica: Descrive il modo in cui una rete trasferisce i frame da un nodo all’altro

Nella topologia Point to Point i frame viaggiano da un nodo all’altro senza passaggi
intermedi, generalmente i protocolli sono molto semplici e i pacchetti viaggiano uno di
seguito all’altro.

La topologia point-to-point è molto utilizzata nella rete WAN.

Nelle LAN multiaccesso si utilizzano generalmente topologie a stella o stella estesa ( ha

più giunti centrali ).

Altre topologie sono;

Bus: Gli host hanno un canale di comunicazione condiviso.

Anello: Ogni host ha almeno ha due collegamenti con altri host.

Tra le varie tipologie di comunicazione sono presenti;

Half-duplex: Il canale è reversibile ma può trasmettere i segnali una direzione per volta
Full-duplex: Canale reversibile e può trasmettere in ambo le direzioni
contemporaneamente

Nelle varie topologie di rete sono presenti quelle multi-accesso, ciò vuol dire che i vari
host si contendono un nodo ma solo un dispositivo alla volta può inviare… Chi invia viene
deciso a seconda di uno speci co protocollo di intesa.

Un alternativa alla rete multi accesso su base contenuti ( quella vista sopra ) è la rete a
controllo di accesso, si basa semplicemente sul concetto che ogni host ha un tot di
tempo per utilizzare il nodo desiderato.

Un altro tipo di rete è quella basata su meccanismo di contesa CSMA/CA, in questo

caso solo un dispositivo alla volta può e ettuare l’intera trasmissione-ricezione dei dati,
chi può viene stabilito da protocolli speci ci.

Un protocollo simile al CSMA/CA è il CSMA/CD tale meccanismo non si basa sul

rilevamento di collisioni ma sull’evitarle, il resto è la medesima logica.

L’incapsulamento eseguito dal layer collegamento dati prevede l’inserimento aggiuntivo

di un header e di un trailer ( la capsula creata contenente le informazioni verrà chiamata
frame ).

Ogni tipo di frame è composto principalmente da;

• Header
• Dati
Pagina 14 di 70
fi
fi
fi
ff
fi
fi
fi
fi
• Trailer

Non esiste una struttura di frame unica e valida per tutti, in base alla topologia della rete il
frame dovrà disporre di un diverso header e un diverso trailer.
I campi frame includono;

Indicatori di inizio e ne del frame: Identi cato i limiti del frame.

Indirizzamento: Indica i nodi di origine e destinazione.
Tipo: Identi ca il protocollo di layer 3 nel campo dati.
Controllo: Identi ca servizi speci ci di controllo usso come la qualità del servizio.
Dati: Contengono il carico utile del frame.
Rilevamento errori: Incluso dopo i dati per formare il trailer.

Il trailer determina se il frame è giunto senza errori.

Il collegamento dati aggiunge questo protocollo di rilevamento errori perché in layer sico
può essere soggetto ad interferenze ( dovendo gestire la trasmissione dei pacchetti su un
mezzo potenzialmente soggetto a disturbi più o meno forti ).

Pagina 15 di 70
fi
fi
fi
fi
fi
fl
fi
 Capitolo 7: Ethernet switching

Le reti LAN di oggi sono suddivise in cablate ( ethernet ) e wireless ( WLAN ).

Ethernet, utilizzando connessioni siche lavora sia nel Layer sico che nel layer
collegamento dati.

Ricordiamo che una LAN, essendo parte del layer collegamento dati è suddivisa in sotto-
layer MAC e LLC.

Il MAC si occupa principalmente dell’incapsulamento mentre LLC si occupa

principalmente di dare informazioni aggiuntive ai frame de nendone i protocolli.

L’incapsulamento ad opera del sotto-layer MAC include;

Ethernet frame: Ovvero la struttura interna del frame ethernet.

Indirizzamento ethernet: Che include l’indirizzo MAC di origine e di destinazione in
modo tale da poter riconoscere la NIC di partenza e di destinazione.
Rilevamento degli errori ethernet: Il frame ethernet include un FCS ( frame check
sequence ) utilizzato per rilevare eventuali errori.

In passato le LAN erano principalmente a BUS condiviso o Half duplex, ad oggi le LAN
( almeno quelle più prestanti ) utilizzano switch di tipo full-duplex.

La dimensione massima di ogni frame ethernet è di 1518 byte mentre quella minima è di
64, tutto ciò che arriva in quantità minore di 64 byte o maggiore di 1518 byte viene
considerato un errore.

I frame più grandi di 1500 byte vengono chiamati “jumbo” o “baby giant”

Il frame Ethernet viene suddiviso in:

Preambolo: 7 byte, viene usato per la sincronizzazione tra invio e ricezione dei dispositivi.
MAC destinazione: 6 byte, identi ca il destinatario.
MAC origine: 6 byte, identi ca il mittente.
Lunghezza: 2 byte, de nisce il protocollo utilizzato.
Dati: 46-1500 byte Sono il contenuto da trasmettere.
FCS: 4 byte Rileva eventuali errori.

In una LAN ethernet ogni dispositivo di rete è connesso allo stesso supporto condiviso, il
MAC viene utilizzato per identi care i dispositivi di origine e destinazione della rete locale,
l’identi cazione avviene nel layer di collegamento dati.

Ogni dispositivo deve avere un suo personale e univoco codice MAC, per farlo, ogni
dispositivo va registrato presso la IEEE ottenendo un codice identi cativo univoco
chiamato UOI.

Ogni indirizzo MAC ethernet è costituito quindi da un codice OUI e un codice univoco
dato dal fornitore.

Pagina 16 di 70
fi
fi
fi
fi
fi
fi
fi
fi
fi
È responsabilità del fornitore assicurarsi che ogni NIC abbia un indirizzo MAC unico… nei
casi estremi che non sia così si può intervenire via software o modi cando la NIC.

Quando una scheda NIC riceve un frame ethernet esamina l’indirizzo MAC di
destinazione, se non corrisponde al suo indirizzo la NIC scarta il frame.

Uno switch del layer 2 ( collegamento dati ) utilizza indirizzi MAC di layer 2 per prendere le
decisioni di inoltro, per decidere si basa su una propria tabella.

Quando uno switch riceve un fame lo esamina per aggiungere dati alla propria tabella, per
esempio se la MAC di origine non esiste nella tabella oppure esiste ma non si presentava
da molto tempo lo switch aggiungerà le nuove informazioni mancanti alla propria tabella.

Gli switch utilizzano tendenzialmente due tecniche per l’inoltro dei frame ricevuti;

Store and forward switching: Lo switch riceve il frame per intero e solo dopo averlo
memorizzato lo inoltra.
Cut through switching: Il frame ricevuto anche solo parzialmente viene inoltrato subito,
basta che lo switch abbia ricevuto il MAC di destinazione per iniziare l’inoltro.

Il vantaggio dello store and forward si basa sull’a dabilità, di fatto lo switch prima di
inviare analizza tutto il frame ricevuto scartandolo se ci sono eventuali errori, questo
permette di risparmiare molta banda del canale sostenendo la limitazione della
congestione del canale.

L’indirizzo MAC di destinazione si trova nei primi 6 byte del preambolo.

Lo switching cut through ha due varianti;

Fast forward switching: Invia immediatamente appena letto il MAC ( come descritto
poco fa in pratica ).
Fragment free switching: Invia non appena si sono letti ( e veri cati senza errori ) i primi
64 byte del frame, questo diciamo che gioca come compromesso da cut through e store
and forward.

Prima dell’inoltro non è raro che lo switch memorizzi parte o completamente il frame
ricevuto.

Memoria basata sulle porte: I frame vengono memorizzati in code collegate a speci che
porte in entrata e uscita, trasmessi alla porta in uscita solo quando tutti i frame avanti
nella coda sono stati trasmessi con successo, questo implica avere ritardi in caso di
occupazione della porta.

Memoria condivisa: Deposita tutti i frame in un bu er di memoria comune condiviso da

tutte le porte dello switch, la quantità di memoria richiesta da una porta è allocata
dinamicamente, i frame a loro volta sono collocati dinamicamente nella coda.

La memoria condivisa risulta provvidenziale quando gli switch sono asimmetrici

( gestiscono frame di grandezza diversa ) consentendo spesso di avere un numero di
frame eliminati minore ( Ovvero una saturazione della memoria minore ).

Pagina 17 di 70
ffi
ff
fi
fi
fi
Nelle reti ethernet abbiamo due tipi di comunicazione: Full dulplex e Half Duplex.

La maggior parte delle NIC di switch ethernet ha un sistema di “negoziazione automatica”

che consente di negoziare automaticamente la miglior velocità gestibile tra i due
dispositivi.

Il collegamento tra i vari dispositivi un tempo richiedeva cavi speci ci in base al tipo di
collegamento, attualmente la maggior parte dei dispositivi di switch supporta la funzione
di auto-MDIX che permette di regolare in automatico il miglior collegamento tra i
dispositivi.

Negli switch Cisco che eseguono Cisco IOS versione 12.2 auto mdix è prede nita,
tuttavia è consigliato non a darsi alla cieca ma di veri care i collegamenti e solo
successivamente utilizzare auto-MDIX.

Pagina 18 di 70
ffi
fi
fi
fi
 Capitolo 8: Il layer di rete

Il layer 3 ( layer di rete ) permette ai dispositivi nali di scambiare dati attraverso le reti.

IPv4 e IPv6 sono i principali protocolli di comunicazione a layer di rete.

Per realizzare comunicazioni end to end attraverso la rete, il layer 3 esegue 4 operazioni di
base;

Indirizzamento dei dispotivi terminali: I dispositivi terminali devono essere con gurati
con indirizzo IP univoco.
Incapsulamento: Il layer di rete incapsula la PDU ( protocollo data unit ) proveniente dal
layer superiore ( trasporto ) per inviarlo al layer 2 ( collegamento dati ).
Routing: Il layer o re servizi di instradamento per dirigere i frame ad un host di
destinazione presente su un altra rete.
De-incapsualmento: Giunto a destinazione il pacchetto viene esaminato, se l’indirizzo IP
coincide con il proprio allora il pacchetto viene inviato al layer superiore.

N.B. Da layer 4 no a layer 2 i dati vengono incapsulati creando: PDU nel layer 3 e il
frame nel layer 2. È una sorta di capsula dentro la capsula.

Il protocollo IP incapsula il segmento del layer di trasporto ( layer superiore al layer 3 di

rete ) aggiungendo altri dati che si traducono in un “header IP”.

L’utilità degli incapsulamenti sta nell’essere pienamente compatibili ad altri layer ( capsula
layer 2 per esempio va bene per capsula layer 3 IPv4 o IPv6 ).

I router implementano dei protocolli di routing per instradare i pacchetti tra le reti, per
e ettuare l’instradamento analizza l’header IP menzionato prima.

Durante tutto il processo di routing la PDU ( capsula di layer 3 ) rimane invariata.

IP è un protocollo progettato per avere un carico di lavoro ridotto ( di fatto deve

praticamente solo analizzare header… ), tutto il resto generalmente viene eseguito da altri
protocolli presenti in altri layer.

Le caratteristiche di base dell’IP sono;

Connectionless: Non vi è stabilita connessione tra mittente e destinatario prima dell’invio

dei pacchetti.
Best e ort: Non veri ca l’e ettivo collegamento della connessione tra i dispositivi.
Media Independent: Non gli interessa il supporto utilizzato per il trasporto dei dati.

Il protocollo IP non permette il ripristino di dati danneggiati.

L’indipendenza dal mezzo di trasmissione deriva dal fatto che il layer 3 deve
semplicemente prendere un pacchetto IP e prepararlo per la trasmissione su un generico
mezzo di comunicazione, perciò non essendo de nito il mezzo non c’è un vincolo.

Pagina 19 di 70
ff
ff
fi
ff
fi
ff
fi
fi
fi
 Tuttavia il layer di rete ha un protocollo che stabilisce la dimensione massima che
deve avere ogni pacchetto IP da instradare, questa caratteristica viene chiamata MTU
( Maximum Transmission Unit ).

In alcuni casi avviene che un dispositivo intermedio come per esempio un router deve
suddividere una MTU in MTU più piccole, questo processo viene chiamato
frammentazione del pacchetto o semplicemente frammentazione.

L’header del pacchetto IPv4 viene utilizzato per garantire la consegna alla fermata
successiva del percorso preso, i campi contenuti nell’header del pacchetto IP vengono
esaminati dal layer 3 ( rete )

I campi signi cativi dell’header del pacchetto IP si distinguono in;

Versione: 4 bit Identi ca il pacchetto come IPv4.

Servizi di erenziati ( DS ): 8 bit determinano la priorità dei pacchetti.
Checksum dell’header: Utilizzato per rilevare eventuali danni nell’header IPv4.
Time to Live ( TTL ): 8 bit è una sorta di timer a conteggio che diminuisce ad ogni salto.
Protocollo: 8 bit indica la tipologia dei dati inviati in modo da poter essere processati nel
modo più corretto ai layer successivi.
Indirizzi IPv4 origine: 32 bit indica l’indirizzo IPv4 di origine.
Indirizzo IPv4 destinazione: 32 bit indica l’indirizzo IPv4 di destinazione.

L’indirizzamento con protocollo IPv4 presenta diversi limiti tra i quali;

Esaurimento degli indirizzi IPv4: Ci sono troppi host richiedenti un loro indirizzo IP.
Mancanza di connettività end to end: IPv4 utilizza un protocollo chiamato NAT che
permette a più host di condividere un indirizzo IPv4 pubblico, tuttavia NAT impedisce di
utilizzare la connettività end to end.
Maggiore complessità della rete: NAT aiuta ad aumentare gli indirizzi IPv4 disponibili
ma aumenta di tanto la complessità della rete rendendo più di cile la risoluzioni di
problemi.

Il protocollo IPv4 è stato superato dal più moderno protocollo IPv6, questo o re diversi
vantaggi tra cui;

Spazio degli indirizzi aumentati: Gli indirizzi IPv6 si basano su stringhe da 128 bit
rispetto ai 32 bit dell’IPv4
Gestione dei pacchetti migliorata: L’header IPv6 è sempli cato e il numero di campi è
stato ridotto.
Elimina la necessità del NAT: Con 128 bit gli host indirizzabili sono aumentati in modo
enorme, la NAT serviva ad aumentare la disponibilità di indirizzi ma IPv6 non scarseggia
su questo.

L’header di IPv6 include;

Versione: 4 bit identi ca il pacchetto IPv6.

Classe di tra co: 8 bit equivalente a spazi di erenziati di IPv4.
Etichetta di usso: 20 bit suggerimento su come etichettare i pacchetti.
Lunghezza di payload: 16 bit carico utile del frame.

Pagina 20 di 70
ff
fi
fl
ffi
fi
fi
ff
fi
ffi
ff
 Header successivo: 8 bit equivalente al campo protocollo.
Limite di hop: 8 bit sostituisce TTL.
Indirizzo Ipv6 di origine: 128 bit identi ca l’origine del frame.
Indirizzo Ipv6 di destinazione: 128 bit identi ca la destinazione del frame.

I frame IPv6 possono contenere opzionalmente dei dati aggiuntivi ( header di estensione )
che danno informazioni sul layer di rete, sono molto utili per la frammentazione, la
sicurezza e la mobilità.

A di erenza di IPv4, i router non frammentano i pacchetti IPv6 instradati.

Gli host generato dei pacchetti tramite i vari layer, questi host devono essere in grado di
indirizzare i pacchetti no all’host di destinazione e per farlo creano delle proprie tabelle di
indirizzamento.

L’indirizzamento dei pacchetti da host viene eseguito dal layer di rete in tre possibili modi;

Itself: Il pacchetto viene inviato ad un indirizzo IP speciale 127.0.0.1 per IPv4 e ::/1 per
IPv6, questo processo e ettua un processo di “loopback” e permette di veri care il
corretto funzionamento dello stack del protocollo TCP/IP sull’host.
Host locale: Il destinatario fa parte della stessa rete locale, quindi condivide lo stesso
indirizzo IP del mittente.
Host remoto: Il destinatario non facendo parte della stessa rete ha un diverso indirizzo IP
a cui fare riferimento.

Come fa un host a determinare se il destinatario fa parte della stessa rete?

Per IPv4: L’host mittente veri ca che il destinatario condivida la stessa subnet mask di
rete.
Per IPv6: Il router locale preannuncia l’indirizzo di rete locale pre sso a tutti i dispositivi
della rete ( in questo modo basta solo veri care se nella propria tabella corrisponde ).

Per la comunicazione in reti locali gli host possono fare a damento a dispositivi
intermedi, in questo caso il pacchetto inviato dall’host viene semplicemente inoltrato
dall’intermediario, per esempio uno switch LAN o un WAP ( punto di accesso wireless ).

Il gateway prede nito è il dispositivo di rete che permette di instradare il tra co ad altre
reti, solitamente il gateway prede nito è un router aventi queste caratteristiche;

• Ha un indirizzo IP locale identico agli altri host che condividono la rete.

• Può accettare dati nella rete locale e inoltrare i dati fuori dalla rete locale.
• Instrada tra co alle altre reti.

In IPv4 gateway prede nito viene deciso impostandolo manualmente o tramite il

protocollo DHCP ( Dynamic Host Con guration Protocol ).

In IPv6 il router annuncia alla rete il suo gateway prede nito.

Il gateway prede nito possiamo vederlo come una sorta di porta che permette ai dati di
accedere alle altre reti ( esterne alla propria ).

Pagina 21 di 70
ff
ffi
fi
fi
fi
fi
ff
fi
fi
fi
fi
fi
fi
fi
ffi
fi
fi
ffi
Spesso nelle reti, i router fungono da dispositivi intermedi.

Un host per inviare i pacchetti ad un altro host consulta le tabelle di routing a lui presenti.

Le tabelle di routing memorizzano 3 tipi di collegamenti;

Reti collegate direttamente: Il router aggiunge una rete collegata direttamente quando
la sua interfaccia ha un indirizzo IP de nito ed è attivata.
Reti remote: Collegate ad altri router.
Percorso prede nito: Viene utilizzata come ultima istanza in caso non ci sia un percorso
migliore conosciuto da far intraprendere ai pacchetti.

Un router può acquisire informazioni per la propria tabella in 2 modi;

Manualmente: Ovvero le informazioni gli vengono aggiunte a mano, utile se gli indirizzi
sono statici.
Dinamicamente: Tramite dei protocolli di routing ben de niti.

Un percorso statico deve essere con gurato manualmente dall’ amministratore di rete,
questo avviene anche in caso di cambio della topologia di rete. Può essere comodo usare
questa tecnica di routing per reti con pochissimi utenti o molto stabili.

Nel routing dinamico il router impara automaticamente a conoscere nuovi percorsi da far
intraprendere scambiando le informazioni con gli altri dispositivi intermedi, il protocollo da
utilizzare è il “OSPF”.

Pagina 22 di 70
fi
fi
fi
fi
 Capitolo 9: Risoluzione degli indirizzi

Se un dispositivo deve inviare un messaggio ad un altro dispositivo deve conoscerne

l’indirizzo IP di appartenenza ( per capire in che rete si trova ) e il suo MAC ( che identi ca
univocamente proprio quel dispositivo ).

Se un host conosce solo l’indirizzo IP di consegna si procede con la risoluzione degli

indirizzi.

Ci sono due indirizzi primari assegnati ad un dispositivo su una LAN ethernet;

Indirizzo sico ( MAC ): Per le comunicazioni da NIC a NIC sulla stessa rete ethernet.
Indirizzo logico ( IP ): Utilizzato per inviare il pacchetto dal dispositivo di origine al
dispositivo di destinazione.

L’indirizzo MAC di origine e destinazione sarà memorizzato nel layer 2 ( collegamento dati
) e l’indirizzo IP sarà memorizzato nel layer 3 ( network ).

Quando l’host di destinazione si trova su una rete remota l’indirizzo MAC di destinazione
è l’indirizzo del gateway prede nito ( ovvero il router ), da qui il router de-incapsula il
pacchetto ricevuto per leggere l’IP di destinazione in modo da poter scegliere il percorso
migliore presente nella sua tabella di routing. Il nuovo indirizzo MAC di destinazione sarà
quello del router appartenente all’indirizzo IP di destinazione.

Il router ricevente nuovamente de-incapsulerà il pacchetto, se il router è quello

appartenente all’indirizzo IP di destinazione provvederà ad assegnare il MAC al pacchetto
del dispositivo che si vuole raggiungere.

Come fanno i vari dispositivi a capire quale indirizzo MAC è corretto non avendolo di
principio? Per IPv4 tramite un protocollo denominato ARP.

Per i pacchetti IPv6 il protocollo di rivelazione del MAC tramite IP viene chiamato
ICMPv6 Neighbor Discovery.

Come detto più volte ogni dispositivo sulla rete ha un MAC univoco, quando un
dispositivo invia un frame Ethernet layer 2 esso contiene;

• Indirizzo MAC di destinazione.

• Indirizzo MAC di origine.

Ricorda che se il dispositivo destinatario è fuori dalla rete il MAC di destinazione da host
mittente è il gateway prede nito ( il router ).

Per rilevare il MAC del dispositivo destinatario si utilizza il protocollo ARP che fornisce;

• Risoluzione di indirizzi IPv4 in indirizzi MAC.

• Mantenimento di una tabella di mapping degli indirizzi IPv4 e MAC.

Funzionamento di ARP: Quando un pacchetto viene inviato al layer collegamento dati

per essere incapsulato in un frame ethernet il dispositivo inoltra l’indirizzo MAC di origine,

Pagina 23 di 70
fi
fi
fi
fi
 dall’insieme degli host che inoltrano i loro MAC di origine si crea una tabella memorizzata
temporaneamente nella RAM, questa non è altro che la tabella ARP!

Per conoscere il destinatario esatto associato a quell’indirizzo IP, il mittente non farà altro
che veri care nella tabella ARP il MAC appartenente a quello speci co IP, se non lo trova
e ettuerà una richiesta ARP e a quel punto tutti i disposti facenti parte di quella rete
invieranno il loro MAC aggiornando la tabella.

I messaggi ARP sono incapsulati direttamente in un frame ethernet e utilizzano le

seguenti informazioni;

Indirizzo MAC di destinazione: Indirizzo FF-FF-FF-FF-FF-FF, non è altro che richiedere a

tutte le NIC ethernet di elaborare la richiesta ARP.
Indirizzo MAC di origine: Questo è l’indirizzo MAC del mittente della richiesta ARP.
Tipo: I messaggi ARP hanno un campo dati speci co, serve ad informare le NIC che la
porzione dati deve essere processata per una richiesta ARP.

La richiesta ARP è di tipo broadcast.

Solo il dispositivo con l’indirizzo IPv4 associato risponderà alla richiesta ARP, tale risposta
è incapsulata in un frame ethernet utilizzando le seguenti informazioni di header;

Indirizzo MAC di destinazione: Indirizzo MAC mittente della richiesta ARP.

Indirizzo MAC di origine: Indirizzo MAC mittente della risposta ARP.
Tipo: Come prima.

Solo il dispositivo che ha inviato la richiesta ARP riceverà la risposta ARP, questa è di tipo
unicast.

Se nessun dispositivo risponde alla richiesta ARP il pacchetto viene scartato.

Le voci nella tabella ARP sono temporanee, se ci sono dispositivi che dopo un tot di
tempo non ricevono pacchetti i loro MAC ARP vengono cancellati dalla tabella.

È possibile immettere voci permanenti, si parla di MAC statici in quel caso.

Ricorda bene che le tabelle ARP sono memorizzate nella RAM dei dispositivi host.

In IPv6 gli abbinamenti sono gestiti da ND ( Neighbor Discovery ), si suddivide in;

• Neighbor Solicitation.
• Neighbor Advertisement.
• Router Solicitation.
• Router Advertisement.
• Redirect Message.

I primi due messaggi vengono utilizzati per la risoluzione di indirizzi MAC tramite indirizzi
multicast e IPv6 speciali, ciò permette alla NIC di determinare immediatamente se il
messaggio è per se stessa o no senza dover passare dall’elaborazione del sistema
operativo.

Pagina 24 di 70
ff
fi
fi
fi
 Capitolo 11: Indirizzamento IPv4

Un indirizzo IPv4 è un indirizzo gerarchico a 32 bit composto da una porzione di rete e

una porzione di host.

I bit facenti parte della porzione di rete sono gli stessi per tutti gli utenti appartenenti a
quella stessa rete, i bit host invece sono univoci per ogni host di quella rete.

L’assegnazione di un indirizzo IP richiede;

Indirizzo IPv4: Questo è l’indirizzo univoco dell’host.

Subnet Mask: Utilizzata per identi care la porzione della rete e dell’host dell’indirizzo
IPv4.

La subnet mask viene utilizzata per di erenziare la porzione di rete dalla porzione di host
ed è costituita da una sequenza consecutiva di 1 bit seguita da una sequenza
consecutiva di 0 bit.

La subnet mask non è parte della porzione di rete, il protocollo utilizzato per identi care
chi è host e chi è rete si chiama ANDing.

La lunghezza del pre sso è il numero di bit impostato su 1 nella subnet mask, spesso
viene segnato tramite una barra seguito dal numero.

Esempio: L’indirizzo 192.168.10.10 255.255.255.255 equivale a 192.168.10.10 /24.

Per identi care l’indirizzo di rete di un host IPv4 viene eseguito un operazione AND bit per
bit.

All’interno di ciascuna rete sono presenti 3 tipi di indirizzi IP;

Indirizzo di rete: Rappresenta una rete speci ca, ha la stessa subnet mask dell’indirizzo
di rete, gli stessi bit di rete dell’indirizzo di rete e si trova nello stesso dominio di
trasmissione di altri host con lo stesso indirizzo di rete.
Indirizzo di host: Viene assegnato ad un host all’interno della rete, può avere qualsiasi
combinazione di bit tranne tutti posti a zero ( perché questo è indirizzo di rete ) o tutti
posti a 1 ( questo è un indirizzo di broadcast ).
Indirizzo di Broadcast: Viene utilizzato quando è necessario raggiungere tutti i dispositivi
sulla rete IPv4.

Gli indirizzi di host a loro volta si suddividono in;

Primo indirizzo di host: Indirizzo di tutti i bit posti a zero tranne l’ultimo più a destra che
è posto ad uno.
Ultimo indirizzo di host: Tutti i bit posti ad uno tranne l’ultimo più a destra che è posto a
zero.

Un indirizzo IP di origine può essere solo unicast perché proviene da una rete speci ca,
mentre l’indirizzo IP di destinazione può anche non essere l’unico destinatario perciò può
essere di tipo unicast, multicast o broadcast.

Pagina 25 di 70
fi
fi
fi
ff
fi
fi
fi
 In particolare nel caso di trasmissione broadcast l’indirizzo di host è una stringa
composta da tutti uno, questo tipo di comunicazione viene chiamata anche “uno a tutti”

Essendo una comunicazione destinata a tutti, la broadcast deve avere un utilizzo limitato
nelle reti, questo perché ogni dispositivo elaborando dati impiega risorse e un utilizzo
troppo intensivo potrebbe saturare la rete stessa.

Quando l’indirizzo IP broadcast interessa solo quella singola rete si utilizza la stringa host
con tutti i bit settati ad uno ( mentre nel caso generale si utilizza tutta la stringa a 32 bit
settanta ad uno ), se è solo la stringa host completamente ad uno la comunicazione viene
de nita come “broadcast diretto”.

Il broadcast diretto viene bloccato dai router Cisco.

Per inviare ai destinatari dei pacchetti si utilizza la comunicazione multicast, IPv4 ha

riservato al multicast un intervallo compreso da 224.0.0.0 a 239.255.255.255.

I protocolli di routing come OSPF utilizzano trasmissioni multicast.

Esistono diversi tipi di indirizzi IPv4, in generale si fa una distinzione netta tra indirizzi IPv4
pubblici e privati.

Gli indirizzi IPv4 privati sono stati introdotti a partire dagli anni 90 a causa
dell’esaurimento del numero di indirizzi disponibili, di fatto gli indirizzi IPv4 privati non
sono univoci e ciò implica poterli assegnare a diversi utenti.

I blocchi di indirizzi IPv4 privati sono;

• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

La maggior parte delle aziende utilizza indirizzi IPv4 privati per indirizzare i dispositivi
interni alla rete stessa.

Per inviare pacchetti di indirizzi IPv4 privati alla rete questi devono essere tradotti in
indirizzo IPv4 pubblico, generalmente questo passaggio viene eseguito da un router che
collega la rete interna alla rete dell’Internet Provide Service ( ISP ).

Pur non essendo accessibili direttamente gli indirizzi IPv4 privati non sono considerati di
per se più sicuri perciò vanno comunque progettati i corretti protocolli di sicurezza.

Esistono alcuni indirizzi IPv4 speciali, un esempio è l’indirizzo 172.0.0.1 chiamato

indirizzo di loopback, questo non fa altro che dirigere tutto il tra co verso se stesso,
serve per veri care il corretto funzionamento del TCP/IP.

Nell’81 gli indirizzi IP vendicavo assegnati per classe;

Classe A: Da 0.0.0.0/8 a 127.0.0.0/8, progettata per supportare reti estremamente grandi

con oltre 16 milioni di indirizzi host, il primo ottetto indicava l’indirizzo di rete e la restante
stringa gli host di rete.
Pagina 26 di 70
fi
fi
ffi
Classe B: Da 128.0.0.0/16 a 191.255.0.0/16, progettata per supportare reti di dimensioni
medio grandi con un massimo di circa 65 mila host.
Classe C: Da 192.0.0.0 /24 a 223.255.255.0 /24, progettata per supportare un massimo
di 254 host.

Esistono anche altre due classi ma in con gurazione multicast;

Classe D: Da 224.0.0.0 a 239.0.0.0.

Classe E: Da 240.0.0.0 a 255.0.0.0, sperimentale.

Ad oggi le classi non esistono più.

Sia l’indirizzamento IPv4 che IPv6 sono gestiti da IANA ( Internet Assigned Numbers
Authority ), controlla e assegna blocchi di indirizzi IP ai Registri Internet Regionali
( RIR ).

In tutto il globo sono presenti 5 RIR;

AFRINIC: Africa.
APNIC: Asia e paci co.
ARIN: Nord America.
LACNIC: America Latina e qualche isola dei Caraibi.
RIPE NCC: Europa, Medio Oriente e Asia centrale.

In una rete LAN i dispositivi utilizzano broadcast e protocollo ARP per individuare altri
dispositivi, un host generalmente acquisisce la con gurazione IPv4 utilizzando il
protocollo DHCP che invia broadcast sulla rete locale per individuare un server DHCP.

Gli switch propagano i broadcast a tutta la rete tranne a quella dove hanno ricevuto i
pacchetti, i router non propagano broadcast, li ricevono ma li lasciano in quella
interfaccia dove è arrivata la comunicazione.

Reti broadcast di grandi dimensioni in uiscono pesantemente sulle prestazioni di rete, per
questo conviene ridurre la rete in porzioni più piccole, per fare questo viene utilizzato il
protocollo di subnetting ( o segmentazione in italiano ).

Il subnetting riduce il tra co complessivo e migliora le prestazioni di rete, consente inoltre

di implementare dei criteri di sicurezza aggiuntivi.

La porzione di rete IP alla quale si vuole e ettuare il subnetting viene suddivisa in n parti
anche diverse tra loro in grandezza.

Ogni suddivisione ha un numero di host pari al numero di zeri presenti partendo alla
destra dell’ultimo 1 utile, generalmente le reti più facilmente rese subnet sono al limite
dell’otteto.

Ogni indirizzo di rete ha una maschera de nita per creare le sottoreti ( le subnet
appunto ), viene chiamata subnet mask.

Tipicamente una rete aziendale si suddivide in:

Pagina 27 di 70
fi
ffi
fl
fi
ff
fi
fi
Intranet: Parte interna della rete aziendale accessibili soltanto ai dispositivi presenti
all’interno della rete stessa.
DMZ: Parte della rete aziendale che presenta la porzione di dispositivi connessi alla rete
pubblica ( e quindi avente gli IP pubblici ).

Se la segmentazione è stata e ettuata utilizzando subnet di grandezza diversa parliamo

di subnet variabile o VLSM ( Variable Subnet Lenght Masking ).

Pagina 28 di 70
ff
 Capitolo 12: Indirizzamento IPv6

IPv6 sta sostituendo IPv4, tra le altre cose oltre l’aumento di indirizzi ( 128 bit rispetto ai
32 di IPv4 ) il nuovo protocollo di rete prevede la con gurazione automatica degli indirizzi.

Il NAT ha aiutato a rallentare l’esaurimento degli indirizzi IP tuttavia è problematico perché

crea fattori come la latenza e l’impossibilità di utilizzare comunicazioni peer to peer.

Per far coesistere IPv4 e IPv6 si utilizzano diverse tecniche tra le quali;

Dual stack: I dispositivi dual stack eseguono contemporaneamente gli Stack IPv4 e IPv6.
Tunneling: Metodo che permette di trasportare un pacchetto IPv6 su una rete IPv4, il
pacchetto IPv6 viene incapsulato all’interno di un pacchetto IPv4.
Traduzione: Chiamato anche NAT 64 è una tecnica che traduce un pacchetto IPv4 in un
pacchetto IPv6 e viceversa.

Gli indirizzi IPv6 oltre ad essere molto più grandi sono scritti come una stringa di valori
esadecimali, ogni gruppo di 4 bit è rappresentato da una singola cifra esadecimale per un
totale di 32 valori.

In IPv6 non si applica distinzione tra maiuscole e minuscole.

Essendo stringhe lunghe spesso si preferisce utilizzare le loro forme abbreviate, si

possono ottenere seguendo i seguenti passaggi:

• Omettere gli zeri iniziali.

• Doppio punto doppio se la stringa ( o più stringhe contigue ) sono poste a zero.

Sono presenti ad oggi 3 grandi categorie di indirizzi IP;

Unicast: Identi ca in modo univoco un interfaccia del dispositivo su cui lavorare.

Multicast: Un pacchetto viene trasmesso a diverse destinazioni.
Anycast: Viene instradato a un qualsiasi destinatario compatibile con quelle
caratteristiche richieste.

La IPv6 non utilizza la notazione della subnet mask puntata, in generale un IPv6 è
suddiviso in pre sso e ID interfaccia.

Gli indirizzi IPv6 generalmente hanno due indirizzi unicast:

Global Unicast Address ( GUA ): Sono simili agli indirizzi pubblici e univoci in tutto il
mondo.
Link - Local Address ( LLA ): Sono utilizzati per e ettuare le comunicazioni in ambito
locale, la loro unicità deve essere confermata solo in quel link perché non sono instradatili
oltre.

I GUA sono analoghi agli indirizzi IPv4 pubblici e la sua struttura è riassumibile come;

Pre sso di routing globale: Porzione di rete o di pre sso assegnato dal provider.
ID subnet: Area del pre sso di routing globale e interfaccia ID.
Pagina 29 di 70
fi
fi
fi
fi
ff
fi
fi
 ID interfaccia: Porzione nella quale sono assegnate le varie interfacce ad un singolo host
( in IPv6 un host può avere più indirizzi per lui ).

Come detto in precedenza LLA serve a gestire le comunicazioni interne alla rete di
appartenenza, di fatto avere un GUA non è un requisito per la creazione di una rete IPv6
ma avere un LLA si ( senza non potrebbe comunicare in ambito locale e quindi sarebbe
inutilizzabile ).

Esistono due modi in cui un dispositivo può ottenere una LLA;

Staticamente: Ovvero con gurandolo manualmente.

Dinamicamente: Il dispositivo crea il proprio ID interface utilizzando valori generati
casualmente o utilizzando il metodo EUI.

Per interno della rete si intende sia una rete senza subnet che l’interno di una subnet.

La maggior parte dei dispositivi ottiene dinamicamente la GUA IPv6, questo avviene
tramite la trasmissione di messaggi secondo protocollo ICMPv6.

SLAAC è un metodo che consente ad un dispositivo di creare la propria GUA senza i

servizi di DHCPv6.

Se non si vuole utilizzare il DHCPv6 possiamo utilizzare ICMPv6 ( non confondere con
DHCPv6 che è diverso ) che sfrutta messaggi aggiunti chiamati RA.

ICMPv6 include;

Pre sso di rete e lunghezza del pre sso: Indica al dispositivo la rete a cui appartiene.
Indirizzo di gateway prede nito: Si tratta di un indirizzo IPv6 link local.
Indirizzi DNS e nome del dominio: Indirizzi di server DNS e un nome del dominio.

Mentre i metodi per i messaggi RA possono essere;

Metodo 1: SLAAC, che ha tutto ciò di cui ha bisogno per comunicare

Metodo 2: SLAAC con un server DHCPv6 stateless, necessita di informazioni aggiuntive
come il DNS da un altro server DHCPv6.
Metodo 3: DHCPv6 stateful ( no SLAAC ).

IPv6 può creare le LLA dinamicamente.

Gli indirizzi multicast assegnati sono sempre noti, riservati a gruppi prede niti di
dispositivi.

Due gruppi multicast assegnati comuni includono:

Ff02::1 o “Tutti I Nodi”: Si uniscono tutti i dispositivi abilitati per IPv6.

Ff02::2 Comando di con gurazione globale per tutti i router gruppo multicast:
Gruppo al quale si uniscono tutti i router abilitati ad IPv6.

Per la segmentazione ( subnetting ) al posto di prendere in prestito bit per la porzione

host nel protocollo di rete IPv6 viene utilizzata una stringa a parte.
Pagina 30 di 70
fi
fi
fi
fi
fi
fi
 Capitolo 13: ICMP

Il protocollo IP è best e ort, mentre il protocollo TCP-IP fornisce messaggi di errore e di

informazione durante la comunicazione con un altro dispositivo IP, i messaggi vengono
inviati utilizzando i servizi di ICMP.

Tuttavia i messaggi ICMP non servono a dare a dabilità bensì solo a fornire un feedback
e non è raro che vengano proibiti all’interno di certe reti.

ICMP come servizio è presente sia per IPv4 che per IPv6.

I vari messaggi ICMP includono;

Host reachability: Si basa sulla richiesta di risposta eco, permette di determinare se

l’host di destinazione è raggiungibile e nel caso a ermativo quest’ultimo invia risposta
a ermativa.
Destination or Service Unreachable: Quando un host o un gateway non possono
inoltrare un messaggio verso la destinazione avvisano il mittente tramite questo
messaggio.
Time Exceed: Viene utilizzato dal router quando ( se avviene che ) il campo TTL ha
raggiunto il valore 0, nel caso di IPv6 al posto di TTL si utilizza il campo Hop Limit.

Questi 3 messaggi di errore sono comuni per entrambi i protocolli IP.

Nell’IPv6 sono presenti 4 funzionalità aggiuntive, per quanto riguarda la comunicazione

router IPv6 a dispositivo IPv6 abbiamo;

• Router solicitation.
• Router Advertisement.

Mentre nel caso comunicazione dispositivo IPv6 a dispositivo IPv6 abbiamo;

• Neighbor Solicitation.
• Neighbor Advertisement.

Come detto in precedenza gli host per veri care la connettività con un altro host utilizza
come strumento di controllo il ping.

Il ping oltre a fornire una risposta da parte del destinatario fornisce anche un feedback del
tempo intercorso tra invio della richiesta a ricezione della risposta.

Se una risposta non viene ricevuta entro un certo tempo il ping mostra un messaggio che
informa la negativa ricezione della risposta. Il tempo massimo consentito per ricevere una
risposta viene chiamato time out.

Le tipologie di ping si suddividono in;

Ping loopback locale: Veri ca la con gurazione interna di IPv4 o IPv6 sull’host locale.
Ping gateway prede nito: Veri ca l’e ettiva possibilità in cui l’host riesce a comunicare
con la rete locale.
Pagina 31 di 70
ff
fi
ff
fi
fi
fi
ff
fi
ffi
ff
Ping host remoto: Veri ca la possibilità dell’host di comunicare attraverso un
internetwork.

Il traceroute è un altra tecnica che permette di veri care la comunicazione tra host, se
questa può essere e ettuata traceroute elenca l’interfaccia di ogni router nel percorso
degli host.

L’utilizzo di traceroute fornisce il tempo impiegato per ogni salto tra un dispositivo ( sia
esso un host o un router ) e l’altro.

Pagina 32 di 70
ff
fi
fi
Capitolo 14: Livello di trasporto

Il layer di trasporto è responsabile delle comunicazioni logiche tra le applicazioni in

esecuzione tra host diversi ed è indipendente dalle caratteristiche degli host che
comunicano o sulla strada che devono percorrere i dati.

Il layer di trasporto include due protocolli;

• Transmission Control Protocol ( TCP ).

• User Datagram Protocol ( UDP ).

Responsabilità del layer di trasporto è monitorare e mantenere le singole conversazioni, la

maggior parte delle reti ha un limite imposto per la quantità di dati trasmissibili.

Per fare tutto questo il layer di trasporto speci ca attraverso i suoi protocolli come
trasferire i messaggi tra host, in più gestisce i requisiti di a dabilità di una conversazione.

Mentre l’IP veri ca la struttura, l’indirizzamento e l’instradamento senza però dare

sicurezza sulla consegna e ettiva dei dati, TCP si occupa di garantire che i dati arrivino a
destinazione.

Per garantire a dabilità e controllo del usso dati il TCP utilizza operazioni di base come;

• Numerare e tenere traccia dei segmenti dati trasmessi ad un host speci co.
• Riconoscere i dati ricevuti.
• Trasmettere nuovamente i dati non riconosciuti dopo un certo periodo di tempo.
• Sequenziale i dati che potrebbero arrivare in ordine sbagliato.
• Inviare i dati ad una velocità e ciente e accettabile dal destinatario.

TCP viene de nito protocollo orientato alla connessione, questo perché prima di
intraprendere qualsiasi comunicazione TCP veri ca l’e ettiva possibilità di instaurare una
connessione a dabile tra mittente e destinatario.

L’altra modalità di comunicazione del layer di trasporto avviene attraverso il protocollo

UDP, questo è meno a dabile di TCP poiché non tiene traccia delle informazioni inviate o
ricevute tra client e server, viene de nito come protocollo stateless o best e ort.

In sostanza UDP non tiene traccia di feedback dalla rete, tuttavia questo gli permette di
avere meno header per pacchetto con conseguente alleggerimento del carico di
comunicazione.

È importante capire quando è meglio usare il protocollo TCP piuttosto che UDP, a volte
degli errori sono accettabili ma i ritardi assolutamente no.

Un caso pratico dell’utilizzo di UDP lo vediamo nelle comunicazioni VoIP dove un minimo
di interferenza lo possiamo tollerare, viceversa nel caricamento di video in streaming i dati
dovendo arrivare tutti intatti utilizziamo il TCP.

Oltre a supportare le funzioni base della segmentazione e del riassemblaggio il TCP

fornisce come servizi;

Pagina 33 di 70
fi
ffi
ffi
fi
ffi
ff
ffi
fi
fl
fi
fi
ff
ffi
fi
ff
Stabilire una connessione: Prima di inoltrare una qualsiasi comunicazione il TCP mette
in accordo i due ( o più ) host stabilendo delle regole che dovranno seguire prima di
inviare quel determinato numero di dati.
Assicurare una consegna a dabile: TCP garantisce che ogni segmento arrivi intatto a
destinazione.
Fornire la consegna nello stesso ordine: TCP garantisce che i segmenti anche se
arrivati in ordine sballato vengano riassemblati nell’ordine corretto.
Supportare il controllo di usso: La rete ha una banda limitata, se TCP si rende conto
che ci sono dei sovraccarichi può richiedere al mittente di diminuire il numero di pacchetti
inviati.

TCP tiene traccia dello stato di sessione di comunicazione, per farlo ha bisogno di
registrare più informazioni che generalmente si traducono in un aggiunta di 20 byte over-
head per ogni pacchetto.

L’header di un pacchetto TCP viene suddiviso come;

Porta di origine: 16 bit, identi ca il numero della porta del mittente.

Porta di destinazione: 16 bit, identi ca il numero della porta di destinazione.
Numero di sequenza: 32 bit, permette il riassemblaggio dei dati.
Numero di acknowledgment: 32 bit, avvisa che i dati sono stati ricevuti.
Lunghezza dell’header: 4 bit, indica la lunghezza del segmento TCP.
Riservato: 6 bit, riservato per un utilizzo futuro.
Bit di controllo: 6 bit, include codici bit che indicano lo scopo e la funzione del segmento
TCP.
Dimensione della nestra: 16 bit, indica il numero di byte che possono essere accettati
in una volta sola.
Checksum: 16 bit, utilizzato per il controllo degli errori dell’header e dei dati di segmento.
Utente: 16 bit, indica se i dati contenuti sono urgenti.

UDP come detto è un protocollo di trasporto best e ort, leggero e che o re la stessa
segmentazione e riassemblaggio ( non ordinato! ) dei dati come TCP.

Le funzionalità UDP includono;

• Ricostruzione dei dati nell’ordine in cui vengono ricevuti.

• Eventuali segmenti persi non vengono inviati nuovamente.
• Nessuna creazione di sessione prima della comunicazione ( inizia ad inviare e si
spera vada tutto bene… ).
• Il mittente non viene informato sulla disponibilità delle risorse ( quindi la rete per
esempio potrebbe essere satura e sto coso invia lo stesso, ottimo… ).

UDP come punta di diamante sfrutta la sua leggerezza, di fatto è ottimo quando si
vogliono comunicazioni con un ritardo assolutamente minimo e che possono tollerare
anche piccoli errori ( perdite o danneggiamento dei segmenti durante il trasporto ).

Contrariamente al TCP l’header del protocollo UDP è più semplice, suddiviso in;

Porta di origine: 16 bit, identica l’applicazione di origine in base al numero porta.

Pagina 34 di 70
fi
fl
ffi
fi
fi
ff
ff
Porta di destinazione: 16 bit, identi ca l’applicazione di destinazione sempre in base al
numero porta.
Lunghezza: 16 bit, indica la lunghezza dell’header del datagramma UDP.
Checksum: 16 bit, controllo degli errori dell’header e dei dati del datagramma.

Sia TCP che UDP utilizzano numeri di porta, questi sono utilizzati per gestire più
comunicazioni contemporaneamente.

I numeri di porta generalmente vengono creati dinamicamente e in base alla situazione

possono essere di origine o di destinazione, di solito la porta numero 80 serve per gestire
servizi web mentre la porta 21 gestisce meglio l’invio dei le.

I socket permettono a più processi in esecuzione su un client di distinguersi gli uni dagli
altri e di distinguere tra loro più connessioni ad un processo server.

La IANA ( Internet Assigned Numbers Authority ) ha assegnato diversi gruppi di porte che
possiamo distinguere in;

Porte conosciute: Da 0 a 1023, sono riservati a servizi comuni o applicazioni server web,
le porte associate a questi numeri permettono di identi care facilmente il servizio
associato.
Porte registrate: Da 1024 a 49151, sono dedicate a dei servizi già scelti.
Porte private: Da 49152 a 65535, note anche come porte temporanee, di solito sono
assegnate dinamicamente dal host. La porta dinamica viene utilizzata per identi care il
client durante la comunicazione.

Ogni processo dell’applicazione in esecuzione su un server è con gurato per utilizzare un

numero di porta, questo è assegnato automaticamente o con gurato manualmente dal
sistema.

Un server non può avere due servizi assegnati alla stessa porta, ciò implica che ogni
porta deve gestire un servizio alla volta ( nel caso delle porte speci che dovranno gestire
solo un particolare servizio alla volta ).

Una porta che ha accettato una comunicazione viene de nita aperta.

Nelle connessioni TCP, il client host stabilisce la connessione con il server utilizzando il
processo di three-way handshake.

Il three-way handshake in breve si divide in;

• Instaurazione comunicazione con server.

• Risposta a ermativa del server.
• Comunicazione dati.

Per chiudere la connessione bisogna imposta il ag di ne sessione nell’header del

segmento, per la terminazione TCP la ag è bidirezionale, questo si tramuta in 4 scambi
( FIN, risposta ACK e FIN, ACK ).

Le funzionalità del three-way handshake sono;

Pagina 35 di 70
ff
fi
fl
fl
fi
fi
fi
fi
fi
fi
fi
fi
 • Stabilire che il dispositivo di destinazione sia presente sulla rete.
• Veri care che il dispositivo di destinazione disponga di un servizio attivo e accetti
le richieste sul numero porta di destinazione che il client intende utilizzare.
• Informare il dispositivo di destinazione che il client di origine intende stabilire una
sessione di comunicazione con quel numero porta.

I 6 bit del campo “controllo” descritto prima nell’analisi header TCP sono suddividi nel
modo seguente;

URG: Campo puntatore urgente.

ACK: Stabilisce la connessione e termina la sessione.
PUSH: Funzione di push.
RST: Ripristina connessione in caso di time out o errore.
SYN: Sincronizza numeri di sequenza nella creazione della connessione.
FIN: Utilizzati nella chiusura della sessione.

Nell’utilizzo del protocollo TCP durante l’impostazione della sessione viene impostato un
numero di sequenza iniziale ( ISN ), durante la trasmissione il numero di sequenza viene
incrementato del numero di byte che sono stati trasmessi.

L’ISN è un numero casuale, questo permette di evitare alcuni attacchi dannosi.

Il processo TCP ricevente inserisce i dati di un segmento in un bu er ricevente, tutti i

segmenti che sono arrivati in ordine vengono riassemblati tra loro, quelli invece nell’ordine
sbagliato vengono lasciati in memoria.

Ad oggi i sistemi host per riconoscere eventuali perdite o danneggiamento dei dati
utilizzano una funzione TCP chiamata SACK.

Il TCP e ettua anche il controllo della congestione della rete impedendo eventuali
cadute della rete, la porzione del protocollo che si occupa di questa funzionalità è la
“Dimensione nestra” illustrata prima avente 16 bit.

La dimensione nestra determina quanti byte possono essere inviati prima di aspettarsi
un aknowledgment, questo è il numero dei prossimi byte atteso.

La dimensione della nestra iniziale viene concordata quando viene stabilita la sezione
TCP, acknowledgment viene inviato a prescindere dopo che il destinatario ha elaborato
un certo numero di dati per informare il mittente quanti dati può trasmettere ancora.

Se la dimensione del bu er diminuisce potrebbe diminuire anche la dimensione della

nestra.

Quando si veri ca una congestione di rete i pacchetti vengono scartati dal router
sovraccarico, ogni volta che si veri ca una congestione della rete avviene la
ritrasmissione dei segmenti TCP persi nell’origine, questo provoca ulteriori ritardi e
aumento della possibilità di saturare la rete, in questo caso il protocollo informa il mittente
di diminuire il numero di byte da trasmettere.

Come detto più volte UDP a di erenza di TCP non e ettua controlli sulla comunicazioni
risultando ina dabile, in particolare quando il destinatario riceve i pacchetti UDP non
Pagina 36 di 70
fi
fi
ff
ffi
fi
fi
fi
fi
ff
ff
fi
ff
ff
tiene conto della numerazione dei pacchetti riassemblati seguendo l’ordine di arrivo
piuttosto che l’ordine originale ( provocando spesso errori ).

Il client UDP seleziona dinamicamente un numero di porta dall’intervallo dei numeri di

porta e lo utilizza come porta di origine per la conversazione ( esattamente come fa il
TCP ), lo stesso avviene per la porta di destinazione.

Scelta la coppia di porte origine e destinazione questa rimarrà la stessa per tutta la
comunicazione, la cosa interessante è che per la risposta server-client il numero della
coppia verrà invertito ( saranno sempre le stesse ma risulteranno in ordine invertito ).

Pagina 37 di 70
 Capitolo 15: Livello Applicazione

Il layer “applicazione” nel protocollo TCP-IP comprende i layer: Sessione ( 5 ),

Presentazione ( 6 ) e Applicazione ( 7 ).

Il layer applicativo ( layer 7 ) viene utilizzato per scambiare dati tra i programmi in
esecuzione sugli host di origine e destinazione.

Sono presenti svariati protocolli nel layer applicativo e ne vengono sviluppati sempre dei
nuovi.

Il layer di presentazione ( layer 6 ) ha come funzioni principali;

• Formattazione ( presentazione ) dei dati presenti nel dispositivo di origine in un

formato compatibile per il dispositivo ricevitore.
• Compressione dei dati in un modo che possa essere decompresso nel dispositivo
ricevitore.
• Crittogra a dei dati per la trasmissione e decrittogra a dei dati alla ricezione.

Esempi pratici della formattazione dei tramite layer 6 sono i formati mkv, JPG, MOV.

Il layer di sessione ( layer 5 ) crea e gestisce i dialoghi tra le applicazioni di origine e di

destinazione, in particolare si occupa di tenere attive le comunicazioni.

In linea tradizionale le reti sono composte da client e server, il primo invia richiesta dati e il
secondo lo accontenta fornendogli ciò che chiede.

Nelle reti più so sticate non esiste questa distinzione, ogni utente è classi cato come
“peer” ovvero può lavorare sia come client che come server, quindi può sia richiedere
dati che fornirli.

Una rete composta da peer viene de nita “peer to peer”.

Le reti peer to peer o P2P consentono di ottenere prestazioni nettamente superiori e

servizi che sarebbe impossibile ( o comunque molto di cile ) gestire con una tecnica
tradizionale.

Nel layer applicativo esistono protocolli speci ci per la navigazione web, in particolare
sfruttiamo moltissimo il protocollo HTTP ( Hypertext Transfer Protocol ). In una
comunicazione basata su questo protocollo le fasi si dividono in;

1) Il browser interpreta le tre parti URL ( http, server, contenuto )

2) Il browser veri ca il nome del server e lo converte in un indirizzo IP, il client nel
frattempo invia una richiesta “GET” al server.
3) In risposta alla richiesta del client il server invia il codice HTML associato.
4) Il browser decifra il codice HTML e formatta la pagina per la nestra del
browser.

Il protocollo HTTP è basato su richiesta e risposta, i messaggi di richiesta comuni si

suddividono in:
Pagina 38 di 70
fi
fi
fi
fi
fi
ffi
fi
fi
fi
 GET: Richiesta dati da parte del client ( esempio richiedere codice HTML come prima ).
POST: Carica i le di dati sul server web ( testo o dati in formattazione scritta ).
PUT: Carica risorse o contenuti sul server web ( come immagini e risorse basati su gra ca
non testuale, audio ).

Attualmente HTTP è sorpassato dalla sua evoluzione: HTTPS che permette di sfruttare
sempre la grande essibilità dell’HTTP ma con una sicurezza notevolmente migliorata.

Il protocollo che permette il trasferimento dei le si chiama File Transfer Protocol ( FTP ).

In applicazioni come server mail vengono utilizzati tre protocolli distinti;

Simple Mail Transfer Protocol: Richiede come formato un intestazione e un corpo del
messaggio, l’intestazione del messaggio deve avere un indirizzo di posta del destinatario
formattato correttamente. Il processo SMTP si connette sulla porta 25, se il destinatario
non può ricevere i messaggi il protocollo mette in attesa i messaggi non inviati, nel
frattempo il server controlla periodicamente che il destinatario sia di nuovo operativo per
permettere la ricezione dei messaggi in attesa.
Post O ce Protocol: Recupera la posta, questa viene scaricata sul client ed eliminata
dal server, POP si avvia passivamente sulla porta TCP 101, quando un client vuole
usufruire del servizio invia una richiesta al server e questo come risposta invia un saluto
instaurando una connessione stabile.
Internet Message Access Protocol: A di erenza del POP, questo protocollo non elimina
i messaggi memorizzati sul server bensì ne fa una copia da inviare al client che ne
richiede il contenuto, per eliminare i dati sul server si dovrà procedere manualmente.

Nelle reti di dati i dispositivi sono etichettati con indirizzi IP numerici per inviare e ricevere
dati, tuttavia quasi sempre si utilizzano i FQDN ( Nomi Del Dominio Pienamente
Quali cati ).

Il protocollo DNS regola il servizio automatico che consente di abbinare i nomi delle
risorse all’indirizzo di rete richiesto.

Per veri care la correttezza del FQDN si utilizza un protocollo de nito come Domain
name Service ( DNS ), tale servizio viene suddiviso in;

Question: La domanda per i server dei nomi.

Answer: Risorse che rispondono alla domanda.
Authority: Risorse che puntano verso un’autorità.
Additional: Risorse contenenti informazioni aggiuntive.

Nelle reti IPv4 l’indirizzo IPv4, subnet mask, gateway e altri parametri di rete sono
assegnati automaticamente dal protocollo Dynamic Host Con guration ( DHCP ).

Quando un host si connette alla rete viene contattato il server DHCP per richiederne
l’indirizzo, DHCP può allocare indirizzi per un tempo con gurabile, questo protocollo è
molto utile nel caso di host generici o che comunicano solo “rare” volte.

Il server Message Block ( SMB ) è un protocollo di condivisione di le che descrive la

struttura delle risorse di rete condivise.
Pagina 39 di 70
fi
ffi
fi
fi
fl
ff
fi
fi
fi
fi
fi
fi
Le tre funzioni principali di SMB sono;

• Avvio, autenticazione, terminazione delle sessioni.

• Controllo di accesso a le e stampanti.
• Consentire ad un applicazione di inviare o ricevere messaggi da o ad un altro
dispositivo.

Pagina 40 di 70
fi
 Capitolo 16: Fondamenti di sicurezza di rete

L’accesso da parte di utenti non autorizzato alle reti può provocare gravi danni e/o
interruzione dei servizi, i responsabili delle intrusioni possono accedere ad una rete grazie
ad una vulnerabilità nei software, attaccando l’hardware o indovinando le credenziali di un
utente autorizzato.

In generale gli attacchi alle reti si distinguono in;

Furto di informazioni: Consiste nell’accedere ad un computer per ottenere informazioni

con denziali.
Perdita e manipolazione dei dati: L’intruso elimina o modi ca i dati contenuti nel
computer violato.
Furto di identità: Si basa sul furto di informazioni ma con la speci ca volontà di rilevare
l’identità di qualcuno.
Interruzione del servizio: Viene attutato impedendo agli utenti legittimi di accedere al
servizio.

Esistono diversi tipi di vulnerabilità che gli utenti malevoli possono sfruttare, possiamo
distinguerle in;

Vulnerabilità tecnologiche
- Punti deboli del protocollo TCP/IP.
- Punti deboli dei sistemi operativi.
- Debolezza delle apparecchiature di rete.

Vulnerabilità di con gurazione

- Account non protetti.
- Password facili da indovinare.
- Servizi internet con gurati in modo errato.
- Impostazioni prede nite e non protette dei prodotti.
- Dispositivi di rete con gurati in modo errato.

Vulnerabilità delle policy

- Mancanza di policy di sicurezza scritte.
- Politica ( si… davvero ).
- Mancanza di continuità di autenticazione.
- Controlli logici degli accessi non applicati.
- Installazione o modi che hardware e software non conformi alle policy di sicurezza.
- Piano di “disaster recovery” inesistente.

Oltre alla semplice sicurezza a livello software descritta sopra bisogna ragionare anche
sulla necessaria e corretta protezione sica.

Le classi di minacce siche sono quattro;

Minacce hardware: Danni strutturali a server, router, switch, cablaggio e computer.

Minacce ambientali: Temperature estreme o umidità estrema.
Minacce elettriche: Picchi di tensione, riduzione della tensione o alimentazione instabile.

Pagina 41 di 70
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
 Minacce di manutenzione: Cattiva gestione dei componenti elettrici fondamentali,
mancanza di pezzi di ricambio critici, cablaggio ed etichettatura di scarsa qualità.

Malware è l’attribuzione generale utilizzata per indicare software dannoso, in generale si

possono distinguere diverse classi di malware.

Virus: Si propaga mediante la copia di se stesso in un altro programma, di solito allegato

ad un le eseguibile, può di ondersi attraverso la rete o tramite dischi semplicemente
copiandosi all’interno delle applicazioni prima che queste vengano trasferite.
Generalmente sono inattivi salvo esecuzione del le che li contiene, per questo sono
considerati molto insidiosi.
Worm: Caratterialmente simile al virus, il worm si replica in altri programmi e sovrascrive i
dati in essi contenuti, contrariamente al virus il worm è stand alone, non ha bisogno di
nascondersi su un programma eseguibile.
Trojan horse: Vengono nascosti attraverso dei software che cercano di indurre l’utente
ad eseguirli, una volta avviati attaccano l’host infastidendolo nel caso migliore o
danneggiando la macchina nel caso peggiore, questi malware sono noti per la loro
capacità di creare porte di servizio ( back-door ) non previste che possono permettere
l’inserimento di altri malware.

Oltre ai malware esiste la possibilità che le reti vengano prese di mira da diversi attacchi
di ricognizione, di questa tipologia possiamo trovare;

Attacchi di ricognizione: Rilevamento e mappatura dei sistemi, servizi e vulnerabilità.

Attacchi di accesso: Manipolazione non autorizzata dei dati, dell’accesso al sistema o
delle autorizzazioni utente.
Denial of service: Disattivazione o danneggiamento di reti, sistemi o servizi.

Insieme agli attacchi di ricognizione esistono gli attacchi di accesso, questi sfruttano le
vulnerabilità note in servizi di autenticazione, possono essere classi cati in 4 tipi;

• Attacchi paswword.
• Sfruttamento della ducia.
• Reindirizzamento delle porte.
• Man-in-the-middle.

Gli attacchi più semplici e pericolosi sono i DoS, non fanno altro che interrompere la
capacità di comunicazione della rete provocando disservizio, si distinguono in;

Attacco DoS: Possono interrompere la comunicazione e causare signi cative perdite di

tempo e denaro.
Attacco DDoS: Concettualmente identico ma e ettuato da più sorgenti.

Diversi dispositivi e sistemi di sicurezza sono stati implementati per proteggere i

dispositivi della rete, tra questi possiamo elencare;

VPN: Un router gestisce servizi VPN sicuri con siti aziendali e supporto di accesso remoto
per gli utenti che utilizzano tunnel crittografati protetti.
ASA Firewall: Fornisce servizi rewall stateful, assicura che il tra co interno possa uscire
e tornare indietro ma il tra co esterno non può avviare connessioni con l’interno.

Pagina 42 di 70
fi
fi
ffi
ff
fi
ff
fi
ffi
fi
fi
IPS: Monitora il tra co in ingresso e in uscita, se riconosce una minaccia può subito
fermarla.
ESA/WSA: Filtra spam e messaggi sospetti di posta elettronica e ltra siti internet
malware noti e/o sospetti.
Server AAA: Contiene un database sicuro di chi è autorizzato ad accedere e gestire i
dispositivi di rete.

È importante eseguire il backup dei dati della rete per avere sempre una copia pulita
pronta in caso di emergenza.

L’aggiornamento alle versioni più recenti dei dispositivi è sempre una buona norma per
evitare attacchi.

Generalmente i rewall sono inseriti tra due o più reti, controllano il tra co e consentono
di prevenirne l’accesso non autorizzato.

I prodotti di rewall vengono forniti in varie forme e utilizzano tecniche come;

• Filtraggio dei pacchetti.

• Filtraggio delle applicazioni.
• Filtraggio degli URL.
• Filtraggio stateful dei pacchetti ( SPI ).

Gli host vengono chiamati anche endpoint.

Pagina 43 di 70
fi
fi
ffi
fi
ffi
 Capitolo 17: Creazione di un piccola rete

La maggior parte delle reti sono piccole quindi bisogna capire che non c’è bisogno di
grandissimi apparati dotati di non si sa quali prestazioni estreme, ovviamente questo non
signi ca andare a progettare la rete a caso: Ogni rete ha bisogno di un attenta
piani cazione.

Tra le varie considerazioni da e ettuare possiamo vedere;

Costo: Gli switch e i router hanno diversi costi in base alle loro capacità e prestazioni,
bisogna tenere conto anche il numero di porte e gli eventuali cavi da inserire.
Velocità e tipi di porte e interfacce: La scelta del numero di porte su un router o uno
switch è molto importante, sebbene sia più costoso a primo impatto è meglio scegliere
router e dispositivi in generale dotati di NIC con una capacità di trasmissione ben più alta
del necessario in modo da poter successivamente espandere la rete se richiesto senza
rischiare strozzamenti alle comunicazioni.
Espansibilità: Bisogna tenere conto che la rete non è sempre statica, bensì può evolversi
( e deve farlo ) nel tempo, quindi è opportuno capire quanta probabilità si ha di modi care
la struttura della rete e agire di conseguenza.
Funzioni e servizi del sistema operativo: I dispositivi di rete devono disporre di sistemi
operativi in grado di supportare i requisiti delle organizzazioni.

Durante la progettazione della rete bisogna piani care l’indirizzamento IP che si dovrà
disporre, in generale i dispositivi che rientrano nello schema di indirizzamento includono;

• Dispositivi utente nale.

• Dispositivi per server e/o stampanti.
• Dispositivi intermedi inclusi switch e punti di accesso.

Un altro aspetto molto importante della rete è l’a dabilità che deve poter o rire, per poter
garantire questo parametro è richiesta ridondanza nella progettazione della rete.

Grazie alla ridondanza è possibile eliminare i singoli punti di errore.

Nella progettazione della rete bisogna prendere in considerazione anche il tipo e la

quantità di tra co da gestire.

Dopo aver con gurato la rete bisogna far a damento su determinati tipi di applicazione e
protocolli, in particolare possiamo nominare;

Le applicazioni di rete: Programmi software utilizzati per comunicare attraverso la rete.

I servizi layer applicativo: Sono programmi che si interfacciano con la rete e preparano i
dati per il trasferimento, visibili all’utente gli vengono in supporto per sempli care l’utilizzo
delle risorse.

Gli amministratori di rete richiedono l’accesso ai dispositivi e ai server di rete, le due

soluzioni di accesso remoto più comuni sono Telnet e Secure Shell ( SSH ).

SSH è un alternativa più sicura di Telnet.

Pagina 44 di 70
fi
fi
ffi
fi
fi
ff
ffi
fi
ffi
ff
fi
fi
 Ciascun protocollo di rete de nisce;

• I processi in una delle due estremità di una sessione di comunicazione.

• I tipi di messaggi.
• La sintassi dei messaggi.
• Il signi cato dei campi informativi.
• Il modo in cui i messaggi vengono inviati e la risposta prevista.
• L’interazione con il layer inferiore successivo.

La crescita della rete è un processo naturale per moltissime piccole imprese, per
implementare la scalabilità di una rete sono necessari vari elementi come;

• Documentazione di rete
• Inventario dei dispositivi
• Budget
• Analisi del tra co

Per determinare i modelli di usso del tra co è importante eseguire le seguenti

operazioni;

• Acquisire il tra co durante le ore di picco di utilizzo per ottenere una buona
rappresentazione dei diversi tipi di tra co.
• Eseguire l’acquisizione su diversi segmenti di rete e dispositivi poiché una parte
del tra co sarà locale per un particolare segmento.

Pagina 45 di 70
ffi
fi
ffi
ffi
fl
fi
ffi
ffi
 Parte 2 del corso

Capitolo 5: Ridondanza nelle reti commutate layer 2 46

Capitolo 6: EtherChannel 50
Capitolo 7: DHCP4 52
Capitolo 14: Concetti di routing 54
Capitolo 15: Routing statico IP 57

A cura di Marco Gessa, studente di ingegneria informatica

Università degli studi di Cagliari, dipartimento di Ingegneria Elettrica, Elettronica, Informatica

Pagina 46 di 70
Capitolo 5: Ridondanza nelle reti commutate di layer 2

La ridondanza è molto importante nelle reti per prevenire errori e problemi causati da
eventuali guasti ( o simili ) alle linee di comunicazioni.

La ridondanza va intesa sia sica che logica e lo scopo è sempre garantire l’accesso alle
informazioni anche in caso di guasto.

Un inconveniente delle reti ridondanti è la possibilità di creare dei loop layer 2

( collegamento dati ) sici e logici che possono causare il crollo totale della rete.

Un primo protocollo che permette di creare ridondanza senza loop nella rete è il
Spanning Tree Protocol ( STP ).

Un loop layer 2 può provocare instabilità nelle tabelle MAC e un elevato utilizzo della CPU
su switch e dispositivi nali.

Nelle reti LAN non esiste un meccanismo in grado di riconoscere in automatico i loop,
STP è stato creato appositamente per evitare loop nel layer 2.

Notare che invece nei protocolli IPv4 e IPv6 il numero di volte in cui un pacchetto può
essere ritrasmesso da layer 3 ( rete ) è limitato da un counter.

In generale Spanning Tree permette di eliminare fenomeni come il broadcast storm che
altro non è che un continuo immettere nella rete LAN pacchetti broadcast che vengono
inviati a tutti gli utenti ( tranne il mittente ) sovraccaricando la rete ( interruttori switch e
CPU sopratutto ) disattivandola completamente.

STP fa fede alla ridondanza della rete, se questa è veri cata ogni router sceglie la sua
strada migliore ( meno costosa in termine di tempo ) verso un certo router centrale
chiamato “router bridge” bloccando tutte le altre strade alternative.

Il router bridge è il router avente il complesso di canali meno costosi ( quindi avente la
tabella MAC più vantaggiosa ).

Le strade bloccate saranno sbloccate in caso di guasto alle principali. Lo scegliere solo
una strada prede nita verso un router preferito permette di impedire i fenomeni di loop
nella rete.

STP crea una topologia di rete senza loop in 4 fasi;

1) Elegge il root bridge.

2) Elegge le porte root.
3) Elegge le porte designate.
4) Elegge porte alternative.

Durante queste operazioni gli switch utilizzano i BDPU ( Bridge Protocol Data Units )
per condividere informazioni su se stessi e sulle loro connessioni, queste informazioni
vengono utilizzate per eleggere le 4 cose elencate sopra.

Pagina 47 di 70
fi
fi
fi
fi
fi
Ogni BDPU contiene un ID chiamato BID che identi ca quale switch ha inviato un certo
BDPU, ogni BID contiene un valore di priorità, l’indirizzo MAC switch e un ID.

Più il BID è basso maggiore è la sua precedenza rispetto agli altri ( e quindi la sua
elezione a route bridge ).

In caso di BID aventi la stessa priorità ( e quindi lo stesso valore ) e in assenza di BID più
bassi, vince lo switch che ha l’indirizzo MAC più basso.

I costi delle porte di default sono determinati dalla velocità di funzionamento della porta.

Una volta eletto il root bridge ogni switch della rete sceglie quale porta dovrà comunicare
direttamente ( root Port o porta root ).

La porta root corrisponde a quella più vicina al root bridge e quindi quella con il costo
minore.

Tutte le porte sul root bridge sono designate a lavoro, questo perché ogni porta
appartenendo a root bridge ha un costo identico e minore di qualsiasi altra porta esterna
al router bridge.

Se un estremità è una porta root l’altra estremità che la collega è una porta designata.

Se un router vuole eleggere una porta root ( quindi quella con minor costo ) ma ci sono
più porte aventi lo stesso costo, si procede nella selezione osservando;

• Chi ha il BID mittente più basso.

• Chi ha la priorità mittente più bassa.
• Chi ha l’ID porta mittente più bassa.

La convergenza del protocollo STP richiede tre timer;

Timer hello: Altro non è che l’intervallo tra un BPDU e l’altro.

Timer di ritardo di inoltro: Tempo trascorso tra ascolto e apprendimento delle
caratteristiche di rete.
Timer max age: Tempo massimo che uno switch attende prima di modi care la topologia
di rete STP.

Ogni porta presenta dei dettagli che possono essere riassunti come;

Blocco: La porta di blocco funziona da alternativa, di base non partecipa all’inoltro dei
frame. I frame BDPU determinato i ruoli che ogni porta dovrà avere, se una porta non
riceve frame per oltre 20 secondi entra nello stato di blocco.
Ascolto: Dopo il blocco una porta si sposta nello stato di ascolto, riceve i BPDU
aggiornando le sue informazioni sulla topologia di rete e si prepara a parteciparci se
richiesto.
Apprendimento: Durante l’ascolto la porta switch bloccata passa all’apprendimento, in
questo intervallo aggiorna la sua tabella MAC con le informazioni fornitegli dai BDPU,
essendo bloccata bisogna ricordare che la porta riceve ma non inoltra i frame.

Pagina 48 di 70
fi
fi
 Inoltro: Da apprendimento se richiesto il suo utilizzo nella rete passa ad inoltro, in questo
momento la porta passa da essere bloccata ad essere e ettivamente attiva nella
topologia di rete.
Disabilitata: Questo è un caso particolare, la porta non partecipa ne direttamente tramite
inoltro ne indirettamente tramite apprendimento e ascolto perché completamente
disabilitata. Generalmente questa impostazione viene richiesta dall’amministratore di rete.

De nire un protocollo come Spanning-Tree implica de nire un insieme molto grande di

diversi protocolli speci ci.

L’ultimo standard per lo STP è contenuto in IEEE-802-1D-2004, diverse varietà di

protocolli sono emerse dallo standard IEEE-802-1D originale tra cui;

STP: Versione originale che fornisce una topologia LAN senza loop.
PVST+: Evoluzione della STP fornisce un istanza STP separata per ogni VLAN con gurata
nella rete.
802.1D-2004: Versione aggiornata del STP che incorpora IEEE 802.1w.
RSTP: Fornisce una convergenza più rapida del STP.
Rapid PVST+: Miglioramento di Cisco per il protocollo RSTP.
MSTP: Esegue il mapping di più VLAN nella stessa istanza spanning tree.
MST: Implementazione di Cisco fornisce no a 16 istanze di RSTP e combina molte VLAN
con la stessa topologia sica e logica.

RSTP aumenta la velocità del ricalcolo dello spanning tree quando cambia la topologia di
rete layer 2, in generale se la rete è con gurata correttamente RSTP raggiunge la
convergenza in poche centinaia di millisecondi. Se una porta è con gurata per essere una
porta alternativa, può immediatamente passare a uno stato di inoltro senza attendere la
convergenza della rete.

Pagina 49 di 70
fi
fi
fi
fi
fi
fi
ff
fi
fi
 Capitolo 6: EtherChannel

Ci sono dei casi dove oltre la ridondanza venga richiesta una maggior larghezza di
banda… Per farlo possiamo utilizzare più collegamenti, tuttavia, per evitare i loop, i
protocolli STP tenderanno a bloccare ulteriori collegamenti.

Per aumentare la banda senza che intervenga STP esiste una tecnologia conosciuta
come EtherChannel, questa non fa altro che un aggregazione dei collegamenti sici in un
unico collegamento logico.

EtherChannel fornisce tolleranza di errore, condizionamento del carico, maggiore

larghezza di banda e ridondanza.

In generale tra i vantaggi derivati dalla tecnologia EtherChannel possiamo osservare;

• La maggior parte delle attività di con gurazione può essere eseguita

sull'interfaccia EtherChannel anziché su ogni singola porta, garantendo la coerenza
della con gurazione in tutti i collegamenti.
• Il bilanciamento del carico avviene tra i collegamenti che fanno parte dello stesso
EtherChannel, inoltre a seconda della piattaforma hardware è possibile implementare
uno o più metodi di bilanciamento.
• Crea da un aggregazione di collegamenti sici un unico collegamento logico,
questo è molto utile anche in caso di blocco STP che se avviene blocca tutto il gruppo
dei collegamenti facenti parte di quello speci co collegamento logico.
• Fornisce ridondanza ed essendo ogni collegamento logico formato da più canali sici,
la perdita di uno di questi non compromette l’intero collegamento logico evitando la
necessità del ricalcolo dell’intera topologia di rete.

Ovviamente sono presenti anche degli svantaggi tra cui;

• I tipi di interfaccia non possono essere mescolati.

• Ogni EtherChannel può essere costituito da un massimo di otto porte Ethernet
con gurate in modo compatibile.
• In base al tipo di switch ci può essere un numero minore o maggiore di porte
supportate, questo può portare dei problemi durante la progettazione della rete.
• La con gurazione della porta del singolo membro del gruppo EtherChannel deve
essere coerente su entrambi i dispositivi, nel senso che la tipologia deve essere la
medesima tra partenza e arrivo.
• Ogni EtherChannel ha un interfaccia logica, ogni modi ca su questa interfaccia
in uisce su tutte le interfacce siche assegnategli.

PAgP è un protocollo proprietario Cisco che aiuta nella creazione automatica di

collegamenti EtherChannel, tutti i pacchetti vengono inviati alle porte compatibili per
negoziare la formazione di un canale.

PAgP aiuta a creare il collegamento EtherChannel rilevando la con gurazione di ciascun

lato e assicurando che i collegamenti siano compatibili in modo che il collegamento
EtherChannel possa essere abilitato quando necessario.

Pagina 50 di 70
fl
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
 Le modalità di lavoro per PAgP sono;

• On: Costringe l’interfaccia a connettersi senza PAgP, le interfacce con gurate in questo
modo non scambiano pacchetti PAgP.
• PAgP desirable: Pone un interfaccia in uno stato di negoziazione attivo, in cui
l’interfaccia avvia negoziati con altre interfacce inviando pacchetti PAgP.
• PAgP auto: Pone un interfaccia in uno stato di negoziazione passivo in cui l’interfaccia
risponde ai pacchetti PAgP che riceve ma non avvia e ettivamente la negoziazione
PAgP.

Mescolando le funzionalità possiamo decidere quali switch debbano negoziare una

comunicazione e quali invece no, se tutti gli switch sono settati su “no” PAgP è
disabilitato e quindi EtherChannel è disattivato.

LACP fa parte di una speci ca IEEE ( 802.3ad ) che permette di raggruppare diverse
porte siche in un unica porta logica.

LACP consente di creare il collegamento EtherChannel rilevando la con gurazione di

ciascun lato e assicurandosi che siano compatibili in modo che il collegamento
EtherChannel possa essere abilitato quando necessario.

Le modalità di LACP sono le seguenti;

On: Costringe l’interfaccia a connettersi senza LACP.

LACP active: Pone una porta in uno stato di negoziazione attivo.
LACP passive: Pone una porta in uno stato di negoziazione passivo.

EtherChannel è una tecnologia che va con gurata, ci sono diverse linee guida e restrizioni
utili che permettono di con gurarlo tra le quali;

• Supporto EtherChannel: Tutte le interfacce ethernet devono supportare EtherChannel

senza che siano sicamente contigue.
• Velocità e duplex: Tutte le interfacce funzionano alla stessa velocità e nella stessa
modalità duplex.
• VLAN match: Tutte le interfacce assegnate devono appartenere alla stessa VLAN.
• Gamma di VLAN: La capacità di processo delle trame deve essere la stessa per tutte le
interfacce.

Generalmente alcuni problemi comuni nelle con gurazioni EtherChannel possono essere;

• Le porte assegnate in EtherChannel non fanno parte della stessa VLAN o non
sono con gurate come trunk.
• Trunking è stato con gurato su alcune delle porte che compongono
EtherChannel, ma non tutte.
• Se l'intervallo consentito di VLAN non è lo stesso, le porte non formano un
EtherChannel anche quando PAgP è impostato sulla modalità auto o desirable
• Le opzioni di negoziazione dinamica per PAgP e LACP non sono compatibili su
entrambe le estremità di EtherChannel.

Pagina 51 di 70
fi
fi
fi
fi
fi
fi
fi
fi
ff
fi
fi
 Capitolo 7: DHCPv4

Il Dynamic Host Con guration Protocol v4 ( DHCPv4 ) assegna indirizzi IPv4 e altre
informazioni di con gurazione di rete in modo dinamico.

Bisogna capire che gli indirizzi IP in una rete sono in prestito ( lease ), questo viene
fornito dal DHCP in modalità server.

Il DHCP funziona sia da client che da server.

Quando il client si avvia ( chiede di unirsi alla rete ) inizia un processo di 4 passaggi per
ottenere un lease, nello speci co;

DHCP Discover: Il client invia un broadcast per individuare i server disponibili nella rete.
DHCP O er: Trovato un server il client richiede un indirizzo IPv4 in lease che gli viene
fornito dal server che ha ricevuto la richiesta.
DHCP Request: Viene utilizzato sia per la creazione del lease che per il suo rinnovo, se il
client ha preso l’IP o erto da un server tutti gli altri server che hanno fornito un possibile
IP vengono scartati.
DHCP Acknowledgment: Il server può veri care le informazioni del lease con un ping
ICMP per assicurarsi che non sia già in uso.

Per con gurare un server Cisco possiamo seguire la seguente procedura;

Passaggio 1, escludere indirizzi IPv4: Alcuni indirizzi devono essere assegnati e

rimanere statici, per escludere questi indirizzi dall’assegnazione da parte del server su
richiesta del client si può usare il comando “ip dhcp excluded-address ————“
Passaggio 2, de nire un nome del pool DHCPv4: Gli indirizzi non esclusi possono
essere assegnati su richiesta del client.. l’insieme di questi indirizzi viene de nito pool e il
comando dedicato per la sua creazione è “ip dhcp pool ———“.
Passaggio 3, con gurare il pool DHCPv4: Il pool di indirizzi deve essere con gurato in
un certo modo, esistono diverse possibili con gurazioni dei parametri di ogni indirizzo.

Tra le diverse con gurazioni gestibili abbiamo;

Attività Comando IOS

De nire il pool di indirizzi network network number

De nire il router o il gateway prede nito default-router indirizzo

De nire un server DNS Dns-server address

De nire il nome del dominio domain-name domain

De nire la durata del lease DHCP Lease time

De nire il server WINS NetBIOS netbios-name-server address

Per veri care che il server Cisco sia operativo possiamo utilizzare i comandi;

Pagina 52 di 70
fi
fi
fi
fi
fi
fi
fi
fi
ff
fi
fi
fi
fi
ff
fi
fi
fi
fi
fi
fi
fi
 • show running-con g | section dhcp, per visualizzare I comandi DHCPv4 con gurati
nel router.
• show ip dhcp server statistics, elenco di tutti gli indirizzi IPv4 agli indirizzi MAC forniti
dal servizio DHCPv4.
• show ip dhcp binding, conteggio numero messaggi DHCPv4 che sono stati inviati e
ricevuti.

DHCPv4 è abilitato per impostazione prede nita, per disabilitare questa funzione ci basta
digitare il comando no service dhcp.

Per con gurare un’interfaccia Ethernet come client DHCP, utilizzare il comando “ip
address dhcp”.

Pagina 53 di 70
fi
fi
fi
fi
 Capitolo 14: Concetti di Routing

Prima che un router inoltri un pacchetto verso una destinazione, questo deve determinare
quale sia la strada migliore che il pacchetto dovrà seguire, i collegamenti ad altri
dispositivi vengono e ettuati dagli switch.

Gli switch e i router dispongono di diverse interfacce da utilizzare.

Quando un router riceve un pacchetto IP su un’interfaccia determina quale altra

interfaccia utilizzare per inoltrare il pacchetto verso la destinazione.

Le funzioni principali di un router sono determinare il percorso migliore in base alle

informazioni contenute nella tabella di Routing e inoltrare i pacchetti verso la loro
destinazione.

Il percorso migliore nella tabella di Routing è noto come corrispondenza più lunga,
questa è la route ( strada ) avente il maggior numero di bit equivalenti all’estrema sinistra.

La route con la corrispondenza più lunga è sempre quella preferita.

Una tabella di Routing è costituita da pre ssi e relative lunghezze associate, la

conoscenza di questi dati da parte del router si basa sulla topologia della rete stessa,
in generale possiamo ammirare;

Rete connessa direttamente a router: Sono reti con gurate sulle interfacce attive di un
router. Una rete direttamente connessa viene aggiunta alla tabella di routing quando
un'interfaccia è con gurata con un indirizzo IP ed una subnet mask ( lunghezza del
pre sso ) è attiva ( up e up ).
Reti remote: Non sono direttamente connesse al router, la topologia viene appresa
utilizzando route statiche aggiunte quando una route è con gurata manualmente e
protocolli di routing dinamico.
Route prede nita: Quando una tabella route non contiene una strada speci ca da
intraprendere si utilizza una route prede nita che interviene in questi casi.

Dopo che il router ha determinato la corrispondenza più lunga deve capire come inoltrare
quel pacchetto ( ovvero incapsularlo, prepararlo ecc ).

Il processo di inoltro è descritto in 4 passaggi;

1) Il frame di collegamento dati con un pacchetto IP incapsulato arriva

sull’interfaccia di ingresso.
2) Il router esamina l’indirizzo IP di destinazione nell’intestazione del pacchetto e
consulta la tabella di routing IP.
3) Il router trova il pre sso corrispondente più lungo nella tabella di routing.
4) Il router incapsula il pacchetto in un frame di collegamento dati e lo inoltra
all’interfaccia di uscita,
5) Se non c’è una voce di route corrispondente il pacchetto viene eliminato.

Pagina 54 di 70
fi
fi
fi
fi
ff
fi
fi
fi
fi
fi
 Per incapsulare il pacchetto nel frame ethernet il router deve determinare l’indirizzo MAC
di destinazione associato all’indirizzo IP di destinazione, il processo varia a seconda che il
pacchetto sia di tipo IPv4 o di tipo IPv6, nello speci co;

Nel pacchetto IPv4 il router controlla la tabella ARP per l’indirizzo IPv4 di destinazione e
un indirizzo MAC ethernet associato. Se non è presente una corrispondenza il router invia
una richiesta ARP.
Nel pacchetto IPv6 il router controlla la cache neighbor per l’indirizzo IPv6 di
destinazione e un indirizzo MAC Ethernet associato. Se non c’è corrispondenza il router
invia un messaggio ICMPv6 Neighbor Solicitation.

La responsabilità principale della funzione di inoltro dei pacchetti è quella di incapsulare i

pacchetti nel tipo di frame collegamento dati appropriato per l’interfaccia in uscita,
quanto più velocemente un router può eseguire questa operazione tanto più velocemente
i pacchetti possono essere inoltrati dal router aumentando quindi l’e cienza della rete.

I router generalmente supportano 3 meccanismi di inoltro dei pacchetti;

Process Switching: Quando un pacchetto arriva su un'interfaccia, viene inoltrato al piano

di controllo in cui la CPU corrisponde all'indirizzo di destinazione con una voce nella
tabella di routing, quindi determina l'interfaccia di uscita e inoltra il pacchetto.
Fast Swtiching: Utilizza una cache a switching rapido per archiviare le informazioni
relative al next hop. Quando un pacchetto arriva su un'interfaccia, viene inoltrato al piano
di controllo in cui la CPU cerca una corrispondenza nella cache di fast switching. Se non
è presente, subisce un process switching e viene inoltrato all'interfaccia di uscita
Cisco Express Forwarding ( CEF ): È il meccanismo di inoltro più veloce ed è quello
prede nito in Cisco IOS.

Esistono diversi comandi di veri ca delle impostazioni del router;

• show ip interface brief

• show running-con g interface interface-type number
• show interfaces
• show ip interface
• show ip route
• ping

Nelle tabelle di routing possiamo implementare il routing statico o dinamico.

Il routing statico ha tre usi principali;

• Fornisce facilità di manutenzione della tabella di routing in reti più piccole che non
dovrebbero crescere in modo signi cativo.
• Utilizza una singola route prede nita per rappresentare un percorso a qualsiasi
rete che non dispone di una corrispondenza più speci ca con un'altra route.
• Si instradano da e verso le reti di stub. Una rete stub è una rete a cui si accede da
una singola route e il router ha un solo vicino.

I protocolli di routing dinamico vengono utilizzati dai router per condividere

automaticamente le informazioni sulla raggiungimento e lo stato delle reti remote.

Pagina 55 di 70
fi
fi
fi
fi
fi
fi
fi
ffi
 I vantaggi importanti dei protocolli di routing dinamico sono la possibilità di selezionare un
percorso migliore e l’individuazione automatica di un nuovo percorso migliore quando si
veri ca una modi ca nella topologia.

Una route prede nita, speci ca una strada da far intraprendere al pacchetto in mancanza
di dati nella tabella di route.

Le route statiche sono generalmente utilizzati nei seguenti scenari;

• Come impostazione prede nita di inoltro dei pacchetti a un provider di servizi.

• Per le route esterne al dominio di routing e non apprese dal protocollo di routing
dinamico.
• Quando l'amministratore di rete desidera de nire esplicitamente il percorso per
una rete speci ca.
• Per il routing tra reti stub.

I protocolli di routing dinamico invece sono utilizzati in scenari come;

• Reti costituite da più di pochi router.

• Quando una modi ca nella topologia di rete richiede che la rete determini
automaticamente un altro percorso.
• Per scalabilità. Man mano che la rete cresce, il protocollo di routing dinamico
impara automaticamente le nuove reti.

Pagina 56 di 70
fi
fi
fi
fi
fi
fi
fi
fi
 Capitolo 15: Routing statico IP

Le route statiche sono normalmente presenti nelle reti, quando si con gura una route
statica l’hop successivo può essere identi cato da un indirizzo IP, un interfaccia di uscita
o da tutte e due.

A seconda di come viene speci cata la destinazione abbiamo uno dei 3 casi seguenti;

Route Next-Hop: Viene speci cato solo l’indirizzo IP dell’hop successivo.

Route statica direttamente collegata: Viene speci cata solo l’interfaccia di uscita del
router.
Route statica completamente speci cata: Vengono speci cati l’indirizzo IP dell’hop
successivo e l’interfaccia di uscita.

I comandi per con gurare una route statica variano leggermente da IPv4 a IPv6.

Insieme a show ip route, show ipv6 route, ping e traceroute altri comandi utili per
veri care le route statiche includono i seguenti;

• show ip route static.

• show ip route network.
• show running-con g | section ip route.

L’utilità di avere una rete statica è la possibilità di con gurare route prede nite, queste si
rivelano molto utili in caso di mancanza di dati nella tabella di routing.

In riassunto se non esiste una corrispondenza più speci ca nella tabella di routing la route
prede nita viene utilizzata come Gateway prede nito.

In IPv4 la sintassi del comando per una route statica prede nita è simile a qualsiasi altra
route statica IPv4, tranne che l’indirizzo di rete è 0.0.0.0 e la sua subnet mask è 0.0.0.0
0.0.0.0.0.0.0.0.

Da questa con gurazione una rete IPv4 statica viene de nita anche come rete quad-zero.

La sintassi del comando è;

Router(con g)# ip route 0.0.0.0.0.0.0.0 ip-address | exit-intf

In caso di errore nel collegamento di una route statica esistono delle strade di backup
chiamate route uttuanti.

La route statica uttuante o re un percorso alternativo più costoso che tuttavia

garantisce la riuscita del collegamento in caso di errore, il motivo principale del maggior
costo è evitare che il router scelga la route statica uttuante come possibile alternativa
alla route prede nita anche se questa è perfettamente in funzione.

In sostanza la route uttuante deve rimanere inutilizzata, uttuante, no a che ( sempre se

) si veri cano degli errori con la route prede nita.

Pagina 57 di 70
fi
fi
fi
fi
fi
fi
fl
fl
fi
fi
fl
ff
fi
fi
fi
fi
fi
fi
fl
fi
fi
fi
fi
fl
fi
fi
fi
fi
fi
 Una route host è un indirizzo IPv4 con una maschera a 32 bit o un indirizzo IPv6 con una
maschera a 128 bit.

Cisco IOS installa automaticamente una route host quando un indirizzo di interfaccia è
con gurato sul router. Una route host consente un processo più e ciente per i pacchetti
diretti al router stesso, piuttosto che per l'inoltro dei pacchetti.

Pagina 58 di 70
fi
ffi
 Parte 3 del corso

Capitolo 1: Concetti di OSPFv2 a singola area 60

Capitolo 2: Con gurazione di OSPFv2 a singola area 63
Capitolo 4: Concetti di ACL 65
Capitolo 5: Con gurazione di ACL standard per IPv4 68
Capitolo 6: NAT per IPv4 69

A cura di Marco Gessa, studente di ingegneria informatica

Università degli studi di Cagliari, dipartimento di Ingegneria Elettrica, Elettronica, Informatica

Pagina 59 di 70
fi
fi
 Capitolo 1: Concetti di OSPFv2 a singola area

Open Shortest Path First ( OSPF ) nasce come alternativa al Distance Vector,
quest’ultimo sfruttava il numero di salti per calcolare il costo di una comunicazione, ad
oggi questa tecnica è poco e cace.

OSPF rispetto a Distance Vector o re una maggior velocità e convergenza anche per
reti molto grandi.

OSPF è un protocollo di routing del layer 2 e ragiona secondo aree, queste possono
essere suddivise direttamente dall’amministratore di rete, le informazioni sullo stato di
collegamento dei diversi dispositivi di rete vengono chiamate link-state.

I router eseguono messaggi OSPF per trasmettere informazioni di routing utilizzando

cinque tipi di pacchetti, questi sono suddivisi come;

• Pacchetto Hello.
• Pacchetto di descrizione del database.
• Pacchetto di richiesta di stato del collegamenti.
• Pacchetto di aggiornamento dello stato del collegamento.
• Pacchetto di acknowledgment dello stato del collegamento.

I messaggi OSPF vengono utilizzati per creare e gestire tre database OSPF come segue;

• Database adiacenza, questo crea la tabella vicina.

• Database dello stato del collegamento ( LSDB ), crea la tabella di topologia.
• Inoltro del database, questo crea la tabella di routing.

La tabella di topologia viene costruita dal router utilizzando l’algoritmo Dijkstra shortest-
path rst ( SPF ), questo si basa sul conto cumulativo per raggiungere una destinazione.

Per mantenere le informazioni di routing, i router OSPF completano un processo di

routing de nito da 5 punti:

1) Stabilire adiacenze vicine: I router con OSPF devono riconoscersi a vicenda, per
riconoscersi un router OSPF invia un pacchetto hello per stabilire se gli altri OSPF
sono vicini a lui e nel caso costruire una tabella.
2) Advertisement di Exchange Link-State: Dopo aver stabilito le adiacenze i router
scambino advertisement sullo stato del collegamento ( LSA ), gli LSA contengono lo
stato ed il costo di ogni collegamento diretto. Gli LSA vengono propagati da tutti gli
OSPF ai loro vicini no a quando tutti gli OSPF non hanno gli LSA.
3) Creare il database dello stato del collegamento: Dopo che tutti hanno gli LSA tutti i
router abilitati ( ovvero quelli con OSPF ) compilano la tabella topologica della rete.
4) Eseguire l’algoritmo SPF: I router OSPF eseguono l’algoritmo SPF.
5) Scegliere il percorso migliore: Dopo la creazione della tabella ( albero ) deriva
dall’algoritmo SPF i percorsi migliori per ogni rete vengono o erti alla tabella di
routing IP.

OSPF supporta il routing gerarchico utilizzando aree.

Pagina 60 di 70
fi
fi
fi
ffi
ff
ff
 Un area OSPF è un gruppo di router che condividono le stesse informazioni sullo stato di
collegamento, OSPF può essere implementato in due modi;

OSPF a singola area: Tutti i router si trovano in un area, la migliore pratica richiede
l’utilizzo di area classi cata come 0.
OSPF multiarea: Viene implementato utilizzando più aree, in modo gerarchico, tutto le
aree devono collegarsi all’area della backbone ( area 0 ). I router che interconnettono le
aree sono indicati come Area Border Router ( ABR ).

Con OSPF multiarea, un dominio di routing di grandi dimensioni può essere diviso in aree
più piccole, per supportare il routing gerarchico.

Le opzioni di progettazione della topologia gerarchica con OSPF multiarea possono o rire
i seguenti vantaggi;

Tabelle di routing più piccole: Le tabelle sono più piccole perché ci sono meno voci
nella tabella.
Riduzione overhead dell’aggiornamento dello stato di collegamento: OSPF aventi
piccole aree richiede i requisiti di elaborazione e memoria.
Riduzione della frequenza dei calcoli SPF: OSPF multiarea localizza l’impatto di una
modi ca di topologia all’interno di un’area.

Per IPv6 esiste OSPFv3 ( quello che abbiamo visto è OSPFv2 per reti IPv4 ).

Ogni pacchetto di OSPF ha uno scopo speci co;

Pacchetto Hello: Questo viene utilizzato per stabilire e mantenere l'adiacenza con altri
router OSPF.
Pacchetto Database Description ( DBD ): Contiene un elenco abbreviato del LSDB del
router mittente e viene utilizzato dai router riceventi per controllare il LSDB locale. Il LSDB
deve essere identico su tutti i router dello stato del collegamento all'interno di un'area per
costruire un albero SPF accurato.
Pacchetto LSR ( Link-State Request ): I router riceventi possono quindi richiedere
ulteriori informazioni su qualsiasi voce nel DBD inviando un LSR.
Pacchetto LSU ( Link-State Update ): Questo viene utilizzato per rispondere ai LSRs e
per annunciare nuove informazioni. LSU contengono diversi tipi di LSA.
Pacchetto Link-State Acknowledgment ( LSAck ): Quando viene ricevuto un LSU, il
router invia un LSack per confermare la ricezione dell'LSU. Il campo dati LSAck è vuoto.

Quando OSPF è abilitato su un interfaccia, il router deve determinare se è presente un

altro vicino OSPF sul collegamento.

Le reti multi-accesso possono creare due s de per OSPF per quanto riguarda il ooding
di LSA, come segue;

Creazione di più adiacenze: Potrebbero connettere molti router OSPF ad un

collegamento comune.
Flooding esteso di LSA: I router a stato di collegamento eseguono il ooding dei loro
LSA ogni volta che viene inizializzato OSPF o quando c’è una modi ca nella topologia.

Pagina 61 di 70
fi
fi
fi
fi
fi
fl
fl
ff
La soluzione per gestire il numero eccessivo di adiacenze e il ooding di LSA su una rete
è il DR. Nelle reti multiaccesso OSPF elegge un DR come punto di raccolta e
distribuzione per gli LSA inviati e ricevuti.

OSPF tenta di raggiungere la convergenza con una serie di passaggi, la tabella li riassume
in modo sintetico

Stato Descrizione

• Nessun pacchetto Hello ricevuto = Down.

Stato Down • Router invia pacchetti Hello.
• Transizione allo stato Init.

• I pacchetti Hello vengono ricevuti dal vicino.

Stato Init • Contengono l'ID Router del router mittente.
• Transizione allo stato Two-Way.

• In questo stato, la comunicazione tra i due router è

bidirezionale.
Stato Two-Way • Sui collegamenti multiaccesso, i router eleggono un
• DR e un BDR.
• Transizione allo stato ExStart.

Nelle reti point-to-point, i due router decidono quale router

Stato ExStart avvierà lo scambio di pacchetti DBD e decideranno il numero di
sequenza iniziale del pacchetto DBD.

• I router scambiano pacchetti DBD.

Stato Exchange • Se sono necessarie ulteriori informazioni sul router, passare a
Loading; in caso contrario, passare allo stato Full.

• LSR e LSU vengono utilizzati per ottenere ulteriori informazioni

sulla route.
Stato Loading
• Le route vengono elaborate utilizzando l'algoritmo SPF.
• Transizione allo stato Full.

Il database dello stato del collegamento del router è

Stato Full
completamente sincronizzato.

Pagina 62 di 70
fl
 Capitolo 2: Con gurazione di OSPFv2 a singola area

Un ID router OSPF è un valore a 32 bit utilizzato per identi care in modo univoco un
router OSPF, viene utilizzato da un router abilitato OSPF per e ettuare le seguenti
operazioni;

Partecipare alla sincronizzazione dei database OSPF: Il router con l’ID più alto invierà
per primo i pacchetti DBD ( Database Descriptor ).
Partecipare all’elezione del router designato ( DR ): Il router con l’ID più alto viene
eletto come DR, quello con il secondo ID più alto viene eletto come router di backup
( BDR ).

Dopo che un ruoter seleziona un ID router, questo se è attivo non consente di modi care
il suo ID nché il router non viene ricaricato o non viene impostato un nuovo processo
OSPF.

In una rete point to point è possibile speci care le interfacce appartenenti tramite il
comando network.

La sintassi base del comando network è;

Router(con g-router)# network network-address wildcard-mask area area-id

• La sintassi network address …. Viene utilizzata per abilitare OSPF sulle interfacce.
• La sintassi area area-id si riferisce all’area OSPF.

La maschera jolly è l’inverso della subnet mask.

Per impostazione prede nita i messaggi OSPF vengono inoltrati a tutte le interfacce
abilitate a OSPF, tuttavia le interfacce davvero interessate sono quelle che partecipano
attivamente alla comunicazione, le altre se non scartate danno solo un appesantimento di
carico a CPU e sulla rete poiché propagano messaggi che non sono stati destinati a loro.

L’invio di messaggi non necessari su una LAN in uisce sulla rete in 3 modi;

Uso ine ciente della larghezza di banda: La banda viene consumata trasportando
messaggi non necessari.
Uso ine ciente delle risorse: Tutti i dispositivi sulla LAN devono elaborare ed
eventualmente cancellare il messaggio ricevuto.
Maggiore rischio di sicurezza: I messaggi OSPF possono essere intercettati con
software di sni ng dei pacchetti.

Le reti multiaccesso come detto prima utilizzano un router che controlla la distribuzione di
LSA, generalmente il router viene scelto dall’amministratore di rete.

Il secondo al comando, ovvero il BDR ascolta passivamente, se il BD muore il BDR

assume il comando diventando il nuovo DR.

Tutti gli altri router assumono il ruolo di Drother, ovvero comunicano tramite pacchetti
OSPFR che inviano a DR e BDR.

Pagina 63 di 70
ffi
ffi
fi
fi
ffi
fi
fi
fi
fl
fi
ff
fi
Lo stato dei vicini nelle reti multiaccesso può essere il seguente;

FULL/DROTHER - Questo è un router DR o BDR completamente adiacente a un router

non DR o BDR. Questi due vicini possono scambiare pacchetti Hello, aggiornamenti,
query, risposte e riconoscimenti.
FULL/DR - Il router è completamente adiacente al vicino DR indicato. Questi due vicini
possono scambiare pacchetti Hello, aggiornamenti, query, risposte e riconoscimenti.
FULL/BDR - Il router è completamente adiacente al vicino BDR indicato. Questi due
vicini possono scambiare pacchetti Hello, aggiornamenti, query, risposte e
riconoscimenti..
2-WAY/DROTHER - Il router non DR o BDR ha una relazione vicina con un altro router
non DR o BDR. Questi due vicini scambiano pacchetti Hello.

Il DR in tutta la comunicazione rimane lo stesso salvo 3 possibili casi;

• Il DR non riesce a con gurarsi come tale.

• Il DR non risponde ai pacchetti OSPF.
• L’interfaccia multiaccesso sul DR non risponde.

Il costo di OSPF viene calcolato secondo la formula;

Costo = 100.000.000 bps/larghezza di banda dell'interfaccia in bps

Il valore del costo deve essere un numero intero, se non avviene si arrotonda per eccesso
al numero intero più vicino, in base all’interfaccia di rete il valore può essere sballato,
bisogna veri care la corretta conversione, possiamo usare il comando:

Router(con g-router)# auto-cost reference-bandwidth Mbps

Se per esempio vogliamo la larghezza di banda in Mbps.

Per mandare pacchetti ad una rete non OSPF viene utilizzato un router situato tra un
dominio di instradamento OSPF e una rete non OSPF chiamato Autonomous System
Boundary Router ( ASBR ).

Pagina 64 di 70
fi
fi
fi
 Capitolo 4: Concetti di ACL

Il tra co che entra in un’ interfaccia router viene instradato esclusivamente in base alle
informazioni contenute nella tabella di routing.

Il router confronta l’indirizzo IP di destinazione con le route nella tabella di routine per
trovare la corrispondenza migliore e quindi inoltra il pacchetto.

Un ACL è un insieme di comandi IOS che permette di ltrare i pacchetti in arrivo ad un

interfaccia, generalmente un router non ha ACL pre con gurati.

Un ACL utilizza un elenco sequenziale di istruzioni autorizzate o negate, note come

access control entries ( ACE ).

Tra le attività che deve gestire un ACL troviamo;

• Limitare il tra co di rete per aumentare le prestazioni.

• Fornire il controllo del usso di tra co.
• Fornire un livello di sicurezza di base per l’accesso di rete.
• Filtrare il tra co in base al suo tipo.
• Esaminare l’host per consentire o negare l’accesso ai servizi di rete.
• Fornire priorità a determinate classi di tra co di rete.

In generale il ltraggio dei pacchetti avviene per layer 3 e 4, i router Cisco supportano due
tipi di ACL:

Standard: Gli ACL ltrano solo al layer 3 utilizzando unicamente l’IPv4 di origine.
Esteso: Gli ACL oltre al layer 3 utilizzano le porte TCP e UDP del layer 4.

Generalmente gli ACL vengono inseriti ad ingresso della rete per ltrare i pacchetti in
arrivo all’interfaccia del router, la procedura speci ca che segue un ACL per l’interfaccia
è;

1) Il router estrae l'indirizzo IPv4 di origine dall'intestazione del pacchetto.

2) Il router inizia ad esaminare dalla parte superiore dell'ACL e confronta l'indirizzo
IPv4 di origine con ogni ACE in ordine sequenziale.
3) Quando viene e ettuata una corrispondenza, il router esegue l'istruzione,
consentendo o negando il pacchetto, e gli ACE rimanenti nell'ACL, se presenti,
non vengono analizzati.
4) Se l'indirizzo IPv4 di origine non corrisponde ad alcun ACE nell'ACL, il pacchetto
viene scartato perché è presente un ACE di negazione implicita applicato
automaticamente a tutti gli ACL.

Un ACE Ipv4 utilizza una maschera jolly a 32 bit per determinare quali bit dell’indirizzo
esaminare per una corrispondenza, le jolly vengono utilizzate anche dal protocollo OSPF.

Maschera Jolly 0 bit: Abbina il valore di bit corrispondente nell’indirizzo.

Maschera Jolly 1 bit: Ignora il valore di bit corrispondente nell’indirizzo.

Pagina 65 di 70
ffi
ffi
fi
ffi
ff
fi
fl
ffi
ffi
fi
fi
fi
fi
 Cisco IOS fornisce due parole chiave per identi care gli usi comuni del mascheramento
con jolly;

Host: Tutti i bit devono corrispondere per ltrare un solo indirizzo IPv4, corrisponde alla
maschera completa di 0.0.0.0.
Any: Dice di ignorare l’intero indirizzo, sostituisce la maschera 255.255.255.255.

Un interfaccia router può avere ACL in ingresso e in uscita sia in IPv4 che in IPv6.

Con gurare un ACL richiede una particolare cura e attenzione, le linee guida generali
prevedono:

Linee guida Vantaggio

Basare gli ACL sui criteri di sicurezza Ciò garantirà l'implementazione delle linee
dell'organizzazione. guida di sicurezza dell'organizzazione.

Ciò aiuterà ad evitare di creare

Scrivere cosa si desidera che ACL faccia. inavvertitamente potenziali problemi di
accesso.

Utilizzare un editor di testo per creare, Ciò aiuterà a creare una libreria di ACL
modi care e salvare tutti i propri ACL. riutilizzabili.

Documentare gli ACL utilizzando il

Ciò aiuterà a capire lo scopo di un ACE.
comando remark.

Testare gli SCL su una rete di sviluppo

prima di implementarli su una rete di
Ciò permetterà di evitare errori costosi.
produzione.

Gli ACL sono classi cati anche in;

Numerati: Da 1 a 99 o da 1300 a 1999 sono standard mentre quelli da 100 a 199 o da

200 a 2699 sono estesi.
Denominati: Sono preferiti di gran lunga rispetto ai numerati per una più semplice
rappresentazione gra ca.

Gli ACL estesi devono essere posizionati il più vicino possibile all'origine del tra co da
ltrare, in questo modo, il tra co indesiderato viene negato vicino alla rete di origine
senza attraversarne l’infrastruttura.

Gli ACL standard devono essere posizionati il più vicino possibile alla destinazione.

Pagina 66 di 70
fi
fi
fi
fi
fi
ffi
fi
fi
ffi
 Fattori che in uenzano il
posizionamento ACL Spiegazione

Il posizionamento dell'ACL può dipendere dal fatto

L'entità del controllo
che l'organizzazione abbia o meno il controllo delle
dell'organizzazione
reti di origine e di destinazione.

Potrebbe essere opportuno ltrare il traf co

Larghezza di banda delle
indesiderato alla fonte per impedire la trasmissione
reti coinvolte
di traf co che consuma la larghezza di banda.

• Potrebbe essere più semplice implementare un

ACL alla destinazione, ma il traf co utilizzerà la
larghezza di banda inutilmente.
Facilità di • Un ACL esteso può essere utilizzato su ogni router
con gurazione da cui ha avuto origine il traf co. Ciò consente di
risparmiare larghezza di banda ltrando il traf co
all'origine, ma richiederebbe la creazione di ACL
estesi su più router.

Pagina 67 di 70
fi
fi
fl
fi
fi
fi
fi
fi
fi
 Capitolo 5: Con gurare ACL standard per IPv4

Quando si con gura un ACL complesso si suggerisci di;

• Utilizzare un editor di testo e scrivere le speci che del criterio da implementare.

• Aggiungere i comandi di con gurazione IOS per eseguire tali attività.
• Includere osservazioni per documentare l’ACL.
• Copiare e incollare i comandi sul dispositivo.
• Veri care sempre un ACL per assicurarsi che applichi il criterio desiderato.

Per creare un ACL standard numerato bisogna utilizzare il comando:

Router(con g)# access-list access-list-number {deny | permit | remark text} source

[source-wildcard] [log]

La tabella descrive una spiegazione dettagliata della sintassi sopra.

Parametro Descrizione

• Questo è il numero decimale dell'ACL.

access-list-
• L'intervallo di numeri ACL standard è da 1 a 99 o da 1300 a
number
1999.

deny Questo nega l'accesso se la condizione è soddisfatta.

permit Ciò consente l'accesso se la condizione è soddisfatta.

• (opzionale) Questo aggiunge una voce di testo a scopo di

remark text documentazione.
• Ogni remark è limitato a 100 caratteri.

• In questo modo viene identi cata la rete di origine o

l'indirizzo host da ltrare.
• Utilizzare la parola chiave any per speci care tutte le reti.
origine
• Utilizzare la parola chiave host ip-addresso semplicemente
immettere un indirizzo ip (senza la parola chiave host ) per
identi care un indirizzo IP speci co.

(opzionale) Si tratta di una maschera jolly a 32 bit applicata all'

source-
origine . Se omesso, si assume una maschera 0.0.0.0
wildcard
prede nita.

• (opzionale) Questa parola chiave genera e invia un

messaggio informativo ogni volta che l'ACE è abbinato.
• Il messaggio include il numero ACL, la condizione
corrispondente (cioè consentita o negata), l'indirizzo di
log origine e il numero di pacchetti.
• Questo messaggio viene generato per il primo pacchetto
corrispondente.
• Questa parola chiave deve essere implementata solo per
motivi di risoluzione dei problemi o di sicurezza.

Pagina 68 di 70
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
 Capitolo 6: NAT per IPv4

Come già sappiamo gli indirizzi IPv4 non sono su cienti per garantire a tutti gli host
connessi ad internet la possibilità di avere un proprio indirizzo speci co, per ovviare a
questa problematica si è proceduto con l’assegnare indirizzi IPv4 privati.

Tuttavia per far comunicare un host avente un indirizzo IPv4 privato con la rete internet è
necessario tradurre il suo indirizzo privato in uno equivalente pubblico.

Per e ettuare questa conversione interviene il NAT, altro non è che l’assegnazione
temporanea di indirizzi IPv4 ad host che avevano indirizzi IPv4 privati, come tecnica oltre
a permettere di alleggerire la problematica dell’esaurimento degli indirizzi permette anche
di garantire una certa privacy alle reti locali poiché gli indirizzi privati non saranno mai
visibili solo con l’IP pubblico.

NAT include quattro tipi di indirizzi;

• Inside local address - Indirizzo del dispositivo che viene tradotto da NAT
• Inside global address - Indirizzo del dispositivo di destinazione
• Outside local address - Un qualsiasi indirizzo visualizzato all’interno della rete
• Outside global address - Un qualsiasi indirizzo visualizzato all’esterno della rete

Il NAT può essere suddiviso in statico e dinamico, nel primo caso l’amministratore di rete
assegna un certo indirizzo IP global che viene evocato solo quando è necessario ( ovvero
solo quando è richiesta la comunicazione di rete ).

Nel secondo caso, ovvero nel NAT dinamico il protocollo prevede la scelta di un singolo
indirizzo in mezzo ad un pool ( fascio-insieme ) di indirizzi utilizzabili.

Quando ad un router si collegano più utenti alla volta si utilizza il protocollo PAT ( Port
Address Translation ) noto anche come NAT overload.

Il PAT assegna diverse porte di comunicazione al router per i più utenti connessi
sfruttando sempre un singolo indirizzo pubblico, questo permette di risparmiare indirizzi
ma di collegare un numero maggiore di utenti alla volta.

Tra i vantaggi del NAT abbiamo;

• La possibilità di risparmiare indirizzi pubblici, chiamandoli solo quando è

necessario e assegnandoli anche per più utenti contemporaneamente ( PAT ).
• NAT aumenta la essibilità delle reti pubbliche rendendole più a dabili.
• Fornisce coerenza tra gli schemi, questo implica anche cambiare ISP senza dover
cambiare le con gurazioni dei client interni.
• NAT utilizza REF ( nasconde indirizzi privati interni ), per alcuni questo è un
sinonimo di maggiore sicurezza.

Tra gli svantaggi del NAT abbiamo:

• Aumenta i ritardi delle comunicazioni, questo a causa principalmente del tempo

impiegato per e ettuare le traduzioni.
Pagina 69 di 70
ff
ff
fi
fl
ffi
fi
ffi
• L’indirizzamento end to end viene perso.
• TCP e servizi stateless possono essere interrotti.

IPv6 è stato creato per sostituire la necessità dell’utilizzo del NAT, come fanno quindi a
comunicare reti aventi sia IPv6 che IPv4 o entrambe?

Per permettere la comunicazione tra i due protocolli viene utilizzato il NAT64 da parte di
IPv6, come protocollo è pesato per essere una soluzione a breve termine, per o rire il
tempo necessario verso la migrazione a IPv6 nativo.

Pagina 70 di 70
ff