Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ver. 28.0.7
Ultimo aggiornamento: 26 giugno 2014
INTRODUZIONE Imola User Guide
Tiesse S.p.A.
Via Asti, 4
Italy
Marchi registrati, marchi, diritti d'autore e ogni altra sigla contenuta in questo documento sono
propriet dei loro rispettivi possessori.
Tiesse S.p.A. rispetta la propriet intellettuale di altri, e chiede pertanto ai propri Clienti e Utenti un
comportamento analogo.
2
INTRODUZIONE Imola User Guide
Non collocare il sistema in un punto in cui il cavo di alimentazione possa essere calpestato.
spegnere lapparato
staccare i cavi di telecomunicazione (xDSL, ISDN)
staccare il cavo di alimentazione dalla presa di corrente
staccare le antenne GSM e/o WI-FI se presenti
3
INTRODUZIONE Imola User Guide
Ai sensi dellart.13 del Decreto Legislativo 25 luglio 2005, n.151: Attuazione delle Direttive
2002/95/CE, 2002/96/CE e 2003/108/CE, relative alla riduzione delluso di sostanze pericolose
nelle apparecchiature elettriche ed elettroniche, nonch allo smaltimento dei rifiuti.
Tiesse S.p.A. garantisce che le apparecchiature da essa prodotte soddisfano le direttive RoHS
(Restriction of Hazardous Substances), che limitano luso di materiali pericolosi nella produzione di
dispositivi elettrici ed elettronici.
Il simbolo del cassonetto barrato riportato sullapparecchiatura o sulla sua confezione indica che il
prodotto alla fine della propria vita utile deve essere raccolto separatamente dagli altri rifiuti.
La raccolta differenziata della presente apparecchiatura giunta a fine vita organizzata e gestita da
Tiesse SpA. Lutente che vorr disfarsi della presente apparecchiatura dovr quindi contattare
Tiesse SpA e seguire il sistema che essa ha adottato per consentire la raccolta separata
dellapparecchiatura giunta a fine vita.
Lo smaltimento abusivo del prodotto da parte del detentore comporta lapplicazione delle sanzioni
amministrative previste dalla normativa vigente.
4
INTRODUZIONE Imola User Guide
CONFIGURAZIONE ........................................................................................ 49
VISUALIZZAZIONE ......................................................................................... 52
COMANDO OAMPING ................................................................................... 54
SIGNIFICATO DEI LED ................................................................................... 54
TRIGGER ADSL ............................................................................................. 54
INTERFACCIA VDSL ..................................................................................................... 56
INTRODUZIONE ............................................................................................ 56
CONFIGURAZIONE DELLA CONNESSIONE FISICA............................................. 56
CONFIGURAZIONE ADSL ............................................................................... 57
CONFIGURAZIONE VDSL ............................................................................... 59
VISUALIZZAZIONE ......................................................................................... 60
SIGNIFICATO DEI LED ................................................................................... 61
INTERFACCIA SHDSL .................................................................................................. 62
CONFIGURAZIONE ........................................................................................ 62
VISUALIZZAZIONE ......................................................................................... 64
SIGNIFICATO DEI LED ................................................................................... 65
TRIGGER SHDSL............................................................................................ 65
INTERFACCIA FRAME RELAY .................................................................................. 67
CONFIGURAZIONE ........................................................................................ 67
VISUALIZZAZIONE ......................................................................................... 68
INTERFACCIA MOBILE ................................................................................................ 71
CONFIGURAZIONE ........................................................................................ 71
VISUALIZZAZIONE ......................................................................................... 74
SIGNIFICATO DEI LED ................................................................................... 78
TRIGGER GPRS.............................................................................................. 78
CONTROLLO DI TRAFFICO ............................................................................ 79
CONTROLLO SESSIONE GPRS......................................................................... 80
VERIFICA SESSIONE GPRS .............................................................................. 81
RACCOLTA DATI DI TRAFFICO ...................................................................... 82
GESTIONE SMS ............................................................................................. 83
NOTIFICA CONNESSIONE MOBILE: COMANDO HELLO ..................................... 86
INTERROGAZIONE DIRETTA DEL MODEM: COMANDO GPRSAT ........................ 87
Comandi comuni ...................................................................................... 87
DOPPIA SIM DATI ......................................................................................... 89
SBLOCCO SIM ............................................................................................... 89
LETTURA IMSI ED IMEI .................................................................................. 90
INTERFACCIA WI-FI ...................................................................................................... 91
CONFIGURAZIONE ........................................................................................ 91
INTERFACCIA RS232 .................................................................................................. 93
INTRODUZIONE ............................................................................................ 93
CONFIGURAZIONE ........................................................................................ 93
Salvataggio configurazione ....................................................................... 96
VISUALIZZAZIONE ......................................................................................... 96
CONNETTORI SERIALI ................................................................................... 97
ROTTE STATICHE ......................................................................................................... 98
6
INTRODUZIONE Imola User Guide
7
INTRODUZIONE Imola User Guide
11
INTRODUZIONE Imola User Guide
INTRODUZIONE
IMOLA una linea di dispositivi di rete che offrono funzioni di Router in configurazioni wired e
wireless (in questo caso supportando connessioni GPRS/EDGE e UMTS/HSDPA/HSUPA/LTE).
progettato per connettere tra loro siti locali e remoti, in particolare in tutti i casi in cui siano
esigenze primarie la sicurezza, la continuit del servizio e le prestazioni della rete.
Imola si basa su tre moduli funzionali, non necessariamente fisicamente distinti: un modulo su cui
sono implementate tutte le funzionalit principali; un modulo su cui risiedono i controllori di
protocollo e i dispositivi di interfaccia delle linee per le estensioni WAN infine il modulo di
alimentazione, che pu equipaggiare sia un convertitore AC/DC (Internal Power Supply) oppure un
convertitore DC/DC (External Power Supply). Per distinguere le varie caratteristiche e interfacce di
comunicazione, ogni modello identificato dalla sigla Imola XYZT, dove:
1
Nel modello con 8 porte Ethernet, le porte 6, 7 ed 8 sono sempre FE indipendentemente dalle altre 5, che possono essere
FE o GBE.
12
INTRODUZIONE Imola User Guide
Le versioni Imola 0220, 0320, 0320, 4320, 4200, 4300 e 0800 sono disponibili anche con
alimentatore esterno e denominate Imola LX, in questo caso la porta ISDN BRI non presente e lo
switch presenta 4 porte Fast Ethernet invece di 5. Negli altri casi per identificare un modello
generico si adotta il termine Imola Full.
1 Ethernet FE o GBE (salvo i modelli LX, dove prevista la sola porta FE)
1 porta console RS232 con connettore maschio DB9
1 ISDN S/T BRI con connettore RJ 45 (non sui modelli LX)
1 Switch LAN con 3 porte FE con supporto VLAN 802.1q (opzionale)
1 porta WI-FI 802.11 b/g/n (opzionale)
1 ADSL/ADSL2+ con connettore RJ11 (opzionale)
1 porta GSM/GPRS/EDGE (opzionale)
1 porta GSM/GPRS/EDGE/UMTS/HSDPA/HSUPA (opzionale)
1 porta GMS/GPRS/EDGE/UMTS/HSDPA/HSUPA/LTE (opzionale)
1 porta seriale sincrona con connettore LFH 60 V.35(opzionale)
2 porte g.SHDSL che possono essere usate in modalit 2-Wire o 4-Wire
1 switch LAN integrato con 5 (4 porte FE sul modello LX) porte FE o GBE con supporto VLAN
802.1q
E disponibile inoltre il modello Lipari, funzionalmente equivalente al router Imola con la differenza
che supporta solo connessioni mobili.
ROUTER ACCESO/SPENTO Led verde On ACCESO: indica che il Router Imola acceso
INTERFACCE ETHERNET Nei connettori RJ45 delle interfacce Ethernet sono incorporati due led: a sinistra di
colore giallo, a destra di colore verde.
Led giallo acceso: indica che l'interfaccia ethernet connessa alla velocit di
100Mbps
Led verde lampeggiante: indica attivit di LAN.
INTERFACCIA ADSL Lo stato dell'interfaccia ADSL viene indicato mediante 3 led di colore verde, etichettati
con le seguenti denominazioni: Pw, Link e Data.
Led Pw acceso: indica che il modem ADSL interno alimentato in modo corretto
Led Link lampeggiante: indica la fase di sincronizzazione con la centrale
Led Link acceso fisso: indica che la fase di sincronizzazione stata effettuata con
successo
Led Data lampeggiante: viene utilizzato per visualizzare il traffico dati.
INTERFACCIA ISDN Lo stato dellinterfaccia ISDN viene indicato mediante 2 led di colore giallo (sinistra) e
verde (destra) incorporati nel connettore stesso.
Led giallo acceso: indica che il livello fisico ISDN attivo (chiamata in corso)
2
La disposizione dei led e la relativa etichetta possono variare in funzione del modello di router
13
INTRODUZIONE Imola User Guide
INTERFACCIA GPRS Lo stato dell'interfaccia GPRS viene indicato mediante 3 led di colore verde.
Sono etichettati con le seguenti denominazioni: On, Link e Data.
I rimanenti due led non hanno un significato predefinito e sono dipendenti
dallapplicazione.
Il significato il seguente:
Led On acceso: indica che il modem GPRS interno operativo in modo corretto.
Allaccensione del router il led normalmente spento. Esso viene acceso dopo aver
richiesto lattivazione dellinterfaccia GPRS.
Led Link lampeggiante ad intermittenza veloce (alcune accensioni al secondo):
indica la fase di sincronizzazione con la centrale
Led Link lampeggiante ad intermittenza lenta (un'accensione ogni 1-2 secondi):
indica la corretta connessione alla rete
Led Link acceso fisso: indica che la connessione attiva di tipo GSM (solo se il
router stato espressamente configurato per questa funzione), altrimenti indica che la
rete UMTS
Led Data acceso indica che la connessione GPRS attiva: linterfaccia dispone di un
indirizzo IP per trasmettere e ricevere tramite la rete GPRS.
INTERFACCIA HDSL Led verde v35 acceso: indica che il Router ha rilevato la presenza della rete
INTERFACCIA SHDSL Led verde link accesso: indica che il router ha rilevato la presenza della rete
Led verde data lampeggiante viene utilizzato per indicare attivit di traferimento dati
Supporto ACLs
Supporto Autentication e Accounting tramite RADIUS
Supporto AAA tramite Tacacs+
Funzioni di NAT/PAT
Funzioni Stateful Firewalling
VPN con IP Sec 3DES Encryption
Tunnel GRE
Tunnel PPtP
Tunnel Open VPN
Tunnel Easy VPN
Advanced Routing (Policy Routing)
Routing RIP, OSPF, BGP e supporto BFD
Muticast con IGMP Proxy
Supporto PIM (Protocol IndIPendent Multicast - routing Multicast)
Ottimizzazione di banda con QoS (Quality of Service)
Supporto VRRP (Virtual Router Redundant Protocol)
Funzioni di IP SLA con Responder Time Reporter
Supporto SNMP v1/v2/v3
Supporto TR-069
Supporto DHCP server
Funzioni di logging locale e remoto
Accesso tramite Telnet ed SSH
Comandi di amministrazione e controllo (ping, traceroute, ifconfig, )
L'ambiente di Command Line Interface (CLI), di propriet unica di Tiesse S.p.A., permette la
configurazione e la gestione del sistema in maniera guidata e facilitata.
14
INTRODUZIONE Imola User Guide
X 1 GPRS
2 GPRS / EDGE
3 GPRS / EDGE / UMTS / HSDPA
4 GPRS / EDGE / UMTS / HSDPA / HSUPA
5 GPRS / EDGE / UMTS / HSDPA / HSUPA / LTE
15
ACCEDERE AD IMOLA Imola User Guide
ACCEDERE AD IMOLA
Laccesso al router pu essere effettuato mediante la porta console con connettore DB9 maschio
presente sul frontale dell'Imola, tramite apposito cavo null modem, utilizzando un qualsiasi
programma di emulazione di terminale (hyperterm, minicom, putty,...) oppure tramite connessione
Telnet verso uno degli indirizzi IP presenti su Imola.
I modelli Imola Full dispongono di una porta singola Fast Ethernet identificata con il termine eth0 e
di uno switch integrato a 5 porte numerate da 1 a 5. Nella configurazione di fabbrica tutte le porte
dello switch asseriscono ad un unico indirizzo IP e linterfaccia logica chiamata eth1.
I modelli Imola LX dispongono solamente dello switch integrato a 4 porte numerate da 1 a 4. Nella
configurazione di fabbrica tutte le porte asseriscono ad un unico indirizzo IP associato
allinterfaccia logica eth0.
In caso di connessione diretta alla singola porta Ethernet del modello Imola Full (porta eth0)
necessario usare un cavo LAN cross, mentre il tipo di cavo ininfluente se ci si collega ad una delle
porte dello switch integrato, essendo prevista la funzionalit di auto-mdx:
Per i modelli con sole due porte Ethernet (senza lo switch), le porte sono associate a due interfacce
logiche distinte chiamate rispettivamente eth0 ed eth1.
root@Imola> who
Connected Users:
ttyp1 root
ttyp2 root
3
Bench pi utenti possano essere collegati al router, opportuno che solo uno di questi effettui le modifiche alla
configurazione, per evitare effetti indesiderati.
16
ACCEDERE AD IMOLA Imola User Guide
Oltre ai router con versione 4.x.y-N, sono stati prodotti router la cui versione del tipo 1.x.y-N e
router con versioni del tipo 2.x.y-N. Da un punto di vista funzionale non vi alcuna differenza:
login: root
Password: *********
Imola# cli
Service Type is: Administrative-User
Idle timeout is set to 600 seconds
Connected Users:
ttyS0 root
Nel caso di modello con switch LAN integrato (Imola X2X0), la connessione alla porta eth1 avviene
mediante una qualsiasi delle porte dello switch stesso.
Impostazioni ISDN
Nella configurazione di default, Imola accetta sulla porta ISDN BRI chiamate da qualsiasi numero.
Lutente da utilizzare per lattivazione della sessione PPP PPPuser con password tiesse e la
sessione IP viene attivata accettando lindirizzo IP assegnato dal chiamante.
18
ACCEDERE AD IMOLA Imola User Guide
USERNAME E PASSWORD
Per accedere ad Imola necessario specificare login e password:
LOGIN: root
PASSWORD: tiesseadm
Sono previsti due tipi di utenti: Administrative-User e Login-User. Gli utenti i possono eseguire
qualsiasi comando previsto dalla CLI, mentre gli utenti Login possono eseguire un sottoinsieme
ridotto di comandi, ad esempio non possono eseguire quei comandi che permettono di modificare
la configurazione e si limitano a comandi di visualizzazione. Gli utenti aggiunti tramite il comando
add_user sono di tipo Login.
Se per esempio si accede al router usando lutente mario e si tenta di eseguire il comando set
hostname per cambiare il nome del router, il comando fallisce a causa dei mancati privilegi di
quell'utente specifico. Si esegue allora il comando su, che permette di utilizzare un utente con privilegi
superiori, specificando correttamente la password si entra nella modalit Administrative, e si cambia
19
ACCEDERE AD IMOLA Imola User Guide
lhostname. Con il comando quit si ritorna allutente precedente. Da notare lultimo carattere del
prompt: il carattere # in caso di Login-User ed il carattere > in caso di Administrative-User.
possibile configurare la modalit di autenticazione tramite protocollo RADIUS come descritto nel
capitolo relativo. In tale caso il server RADIUS che determina quale utente ha pieni diritti e quali
utenti hanno diritti limitati.
eseguito da un utente di tipo Administrative concede allutente <username> (di tipo Login) la
possibilit di eseguire tutti i comandi che iniziano con il prefisso specificato.
revoke-to <username> <command prefix>
eseguito da un utente di tipo Administrative revoca allutente <username> (di tipo Administrative)
la possibilit di eseguire i comandi che iniziano con il prefisso specificato.
Supponiamo che siano stati definiti due utenti, da un server Radius collegato ad Imola,
rispettivamente "operatore" di tipo Login-User e "tecnico" Administrative-User. Normalmente
lutente operatore pu solo controllare la configurazione, ma non pu intervenire su di essa,
mentre lutente tecnico pu modificarla senza alcun vincolo. I comandi:
Per eliminare un privilegio concesso e togliere una revoca si usano rispettivamente i comandi:
no-grant-to <username> <command prefix>
no-revoke-to <username> <command prefix>
Attenzione al caso in cui sia presente un solo utente Admnistrative, ad esempio root. I comandi:
revoke-to root set
revoke-to root no-revoke
E possibile definire fino a 15 livelli di privilegio, numerati da 0 a 14, dove maggiore il livello e
maggiore sono i comandi disponibili. Inoltre esiste il livello 15 che corrisponde a quello di utente
20
ACCEDERE AD IMOLA Imola User Guide
superuser, cio un utente che non ha alcuna restrizione sui comandi da eseguire (analogo allutente
di tipo Administrative descritto nella sezione precedente).
Il livello di privilegio viene stabilito dal server di Autenticazione utilizzato (RADIUS o Tacacs+). Nel
primo caso necessario configurare sul server un attributo di tipo Custom, descritto nella sezione
RADIUS.
Il comando:
set privilege level n <command prefix>
eseguito da un utente abilitato stabilisce che a livello N possono essere eseguiti tutti i comandi che
iniziano con il prefisso specificato. Ad esempio, utilizzando:
set privilege level 3 set adsl
si specifica che gli utenti che hanno ricevuto un livello di privilegio 3, potranno eseguire tutti i
comandi di configurazione dellinterfaccia ADSL.
Per accedere da un livello inferione ad un livello superiore necessario che al livello superiore sia
associata una password.
che in modalit interattiva chiede di introdurre la password. Per rimuovere la password si utilizza:
tramite i quali si concede ad un utente con livello di privilegio 3 di configurare la porta ethernet e la
porta mobile ed inoltre stata associata una password a tale livello.
21
ACCEDERE AD IMOLA Imola User Guide
Su un server di Autenticazione, Tacacs o RADIUS, stato configurato un utente, chiamato poor cui
associato il livello di privilegio 1. Si effettua una connessione verso il router e ci si autentica con
lutente poor:
telnet 10.10.113.1
Trying 10.10.113.1...
Connected to 10.10.113.1.
Escape character is '^]'.
---------------------------------------------------------------
(IMOLA) (port 0)
---------------------------------------------------------------
login: poor
Password:
TACACS+: Authentication OK
Service Type is: Login-User
Privilige Level is: 1
Idle timeout is set to 3600 seconds
Connected Users:
pts/0 poor@IMOLA
poor@IMOLA# enable 3
Password: ********
$enable3$@IMOLA#
$enable3$@IMOLA# show privilege
Current privilege level is 3
$enable3$@IMOLA#
22
ACCEDERE AD IMOLA Imola User Guide
$enable3$@IMOLA# disable
poor@IMOLA#
poor@IMOLA#
poor@IMOLA# show privilege
Current privilege level is 1
Nel caso in cui laccesso al router sia regolato da un server Tacacs, anche il controllo della
password di enable viene effettuato dal server. Tuttavia se vogliamo ottenere laccesso al router dal
server Tacacs e controllare localmente le password di enable, bisogna impostare il comando:
set enable local-authentication
mentre con
set ssh2-enabled
abilita laccesso al router tramite protocollo SSHv2. Analogamente alle sessioni Telnet, anche in
questo caso laccesso viene regolato dal server RADIUS o Tacacs+ se opportunamente configurato.
Quando si usa il protocollo sshv2 per effettuare la login al router Imola si verr automaticamente
indirizzati all'ambiente shell di Linux.
reboot
Al riavvio, tutte le modifiche non salvate, tramite il comando save, verranno perse.
E possibile programmare un reboot a tempo, specificando dopo quanti secondi questo deve essere
eseguito:
schedule-reboot wait N
23
ACCEDERE AD IMOLA Imola User Guide
Il controllo viene restituito allutente, in modo che possono essere eseguiti eventuali altri comandi.
DEFAULT SETTINGS
La configurazione di default di Imola prevede:
24
CONFIGURAZIONE DI IMOLA Imola User Guide
CONFIGURAZIONE DI IMOLA
Per effettuare la configurazione di Imola l'operatore ha a disposizione una interfaccia a caratteri
denominata Command Line Interface (CLI).
LA PROCEDURA DI CONFIGURAZIONE
La procedura di configurazione di Imola prevede le fasi:
di configurazione
di verifica
di attivazione dei parametri
di salvataggio
Per svolgere le fasi di configurazione e di attivazione sono utilizzati comandi che hanno prefisso:
set
Per la fase di verifica si hanno a disposizione lo stato dei led sulla scocca del router e tutti i
comandi che iniziano con il prefisso:
show
save
La configurazione current quella contenente tutti i valori impostati nella fase di configurazione.
La configurazione saved quella salvata sulla flash di Imola con il comando save ed quella con la
quale l'apparato si attiver al prossimo boot.
La configurazione started quella con la quale l'apparato si attivato al boot. Al termine del boot
e prima che cominci la fase di configurazione, le tre configurazioni sono uguali.
Dopo aver eseguito il comando save, la configurazione current diventa anche saved e sar quella
con cui si attiver l'apparato al prossimo boot.
possibile visualizzare il contenuto dei tre diversi profili di configurazione mediante il comando:
show config current|saved|started
25
CONFIGURAZIONE DI IMOLA Imola User Guide
Occorre completare sempre la fase di configurazione e di verifica con il comando save, cos da
rendere permanenti i valori assegnati ai vari parametri.
Ad esempio:
set checkpoint-1
Per rendere effettive le modifiche alla configurazione apportate dal comando restore, necessario
eseguire il comando save ed effettuare il reboot del router.
Il comando:
sync-config
permette invece di allineare lo stato del router ad una specifica configurazione. Questa pu essere
una di quelle predefinite (checkpoint-1, checkpoint-2, saved, started) oppure pu essere letta
da un file di comandi opportunamente scaricato sul router.
La sintassi la seguente:
sync-config <conf-file> immediately
sync-confg <conf-file> in N seconds
In quest'ultimo caso occorre indicare il path assoluto del file con la relativa estensione (*.txt, *.cli,
ecc..).
dove <conf-file> pu essere una delle keyword: checkpoint-1, checkpoint-2, saved, started,
oppure un file contenente i comandi di configurazione da applicare. In quest'ultimo caso occorre
indicare il path assoluto del file con la relativa estensione (*.txt, *.cli, ecc..).
immediatamente
dopo N secondi
prossimo reboot del router.
sync-config <conf-file> on-next-reboot [<watch-ip> <tmout> <rstr>]
Nel caso di next-reboot, il router effettua il boot con quella che la sua configurazione saved e
subito dopo applica i comandi contenuti nel file <conf-file>.
indica un indirizzo di cui inviare dei pacchetti di ping dopo aver applicatio la nuova configurazione.
<tmout>
26
CONFIGURAZIONE DI IMOLA Imola User Guide
Il parametro pu essere assente oppure pu assumere il valore 1. Nel secondo caso indica se deve
essere effettuato un nuovo reboot del router dopo aver applicato la nuova configurazione.
Distinguiamo cinque tipi differenti di configurazione a cui possibile sincronizzare lo stato del
router:
checkpoint-1 checkpoint-2 current saved started
dove:
Per queste valgono le stesse regole per i checkpoint predefiniti 1 e 2, ad esempio, possono essere
ripristinate mediante il commando:
show checkpoint-list
Premendo due volte il pulsante <TAB> oppure il carattere ? verranno mostrati tutti i comandi
disponibili.
27
CONFIGURAZIONE DI IMOLA Imola User Guide
Infine, nel caso in cui il comando invocato fosse incompleto, verr chiamata automaticamente una
funzionalit di help che fornir tutti i ragguagli necessari al corretto completamento dell'istruzione
CLI.
Figura 2: alcuni comandi disponibili con la doppia pressione del tasto <TAB>
root@Imola> set
access-list no-access-list no-radius
adsl no-adsl no-redirect
alias no-alias no-rip
autocmd no-autocmd no-route
backup no-backup no-snmp
banner no-banner no-source-nat
bgp no-bgp no-trigger
checkpoint-1 no-default-gateway no-vrrp
checkpoint-2 no-dns ntp
comment no-eth0 ospf
default-gateway no-eth1 pos
dns no-gprs ppp
eth0 no-gre proxy
eth1 no-host qos
gprs no-ipsec radius
gre no-iptables redirect
host no-isdn rip
hostname no-log route
ipsec no-loopback snmp
iptables no-ntp source-nat
isdn no-ospf timezone
log no-ppp trigger
loopback no-qos vrrp
root@Imola>
Figura 3: autocompletamento del comando ed elencazione parametri accettati alla pressione del tasto <TAB>
28
CONFIGURAZIONE DI IMOLA Imola User Guide
Figura 4: help in linea automatico per comandi inseriti in modo non corretto
Il comando:
show version
show system
visualizza i dettagli hardware e software del router e la lista completa dei servizi disponibili con la
data e il numero di versione.
Introduzione
Grazie a questa funzionalit possibile visualizzare le password in modalit cifrata. Le password
originali vengono nascoste all'utente che non autorizzato a conoscerle, in questo modo possono
essere utilizzate per impostare configurazioni analoghe su router differenti.
E una funzionalit utile soprattutto in quei casi in cui si ha la necessit di delegare a soggetti terzi
la configurazione di apparati e contemporaneamente non si vuole che questi soggetti vengano a
conoscenza di eventuali password o chiavi di accesso per specifici servizi.
Comandi di configurazione
La sequenza dei comandi per ottenere una configurazione con password cifrate la seguente:
N.B.: La visualizzazione in chiaro della password avviene solo se la stessa stata precedentemente impostata
in modalit in chiaro, altrimenti, se si utilizzata la modalit cifrata, verr visualizzata sempre e solo cifrata
indIPendentemente dallabilitazione o meno della funzionalit crypted-passwords.
I comandi che utilizzano le password cifrate hanno sempre il prefisso crypted- (vedi esempio).
E possibile ripristinare una configurazione con le password in chiaro digitando il comando con la
password in chiaro oppure riportando la configurazione relativa a questo modulo ai parametri di fabbrica.
Eseguendo
set crypted-passwords on
show config current radius
30
CONFIGURAZIONE DI IMOLA Imola User Guide
Nel router Imola presente una login di default impostata direttamente dalla fabbrica che non
possibile modificare. Qualora necessiti, sar possibile concordare con il cliente una password di
recovery personalizzata.
Al riavvio, tutte le modifiche non salvate, tramite il comando save, verranno perse. E' possibile
programmare un reboot a tempo, specificando dopo quanti secondi questo deve essere eseguito:
schedule-reboot wait N
Il controllo viene restituito all'utente, in modo che possono essere eseguiti eventuali altri comandi,
oppure per terminare la sessione corrente.
no-schedule-reboot
31
INTERFACCIA ETHERNET Imola User Guide
INTERFACCIA ETHERNET
CONFIGURAZIONE DELLINTERFACCIA
Le interfacce Ethernet di Imola sono denominate eth0ed eth1. Linterfaccia eth0 quella pi a
sinistra, normalmente viene utilizzata come porta di servizio, delegando le attivit di rete
all'interfaccia eth1. Se presente, lo switch LAN collegato alla porta eth1. Sui modelli LX, leventuale
switch LAN con 4 porte collegato invece alla porta eth0. Per impostare l'indirizzo IP di
un'interfaccia ethernet si utilizza il seguente comando CLI:
set eth0|eth1 on
set no-last-resort-gateway
set no-last-resort-gateway
possibile, per ciascuna interfaccia ethernet, impostare o rimuovere il servizio DHCP Client
mediante i comandi:
set eth0|eth1 dhcp-client
set eth0|eth1 no-dhcp-client
inoltre possibile configurare le due interfacce ethernet in modalit Transparent Bridge IEEE 802.1d
mediante il comando:
set eth0 bridge
In questo modo il router viene visto con lo stesso indirizzo IP sia attraverso la porta eth0 che
attraverso la eth1. Per ripristinare invece la configurazione con due porte si usa:
Per aggiungere una voce alla lista degli host si utilizza il seguente comando CLI:
32
INTERFACCIA ETHERNET Imola User Guide
Ad esempio, per impostare e rimuovere l'alias per l'interfaccia eth0 con indirizzo IP 10.10.10.3/24
si procede come nel seguente esempio:
Nel caso in cui sia presente lo switch i parametri della connessione dovranno essere impostati
mediante appositi comandi descritti nella sezione relativa alle funzioni di Switch.
Sui modelli di router Imola-LX oppure Lipari presente solamente la porta eth0.
COMANDO DETECT-LINK-STATE
E da tenere presente che una volta configurata, linterfaccia Ethernet sempre disponibile
indipendentemente dal suo stato operativo: il router risponde sempre ad eventuali richieste che
arrivano sullindirizzo IP associato allinterfaccia. Se tali richieste vogliono essere inibite, occorre
utilizzare il comando:
33
INTERFACCIA ETHERNET Imola User Guide
detect-link-state <interface-name>4
grazie al quale il router abilita linterfaccia specificata solamente se lo stato operativo di essa
attivo (i.e., presente il cavo di collegamento).
Oltre alle interfacce LAN, tale comando vale per tutte le interfacce configurate, in particolare vale
anche per le VLAN.
In particolare con l'argomento config vengono visualizzati i seguenti dati dell'interfaccia in oggetto:
Indirizzo IP
Netmask
Broadcast
MAC_Address
Infine possibile visualizzare gli alias impostati su un router Imola mediante il comando CLI
show alias
mentre per visualizzare l'elenco degli hosts aggiunti su un router Imola viene impiegato il comando
show hosts
Seguono alcuni esempi significativi degli output a video dei comandi descritti nel presente
paragrafo.
IP Address: 11.11.1.1
Netmask: 255.255.0.0
Broadcast: 11.11.255.255
MAC Address: 00:0D:5A:04:6F:F6
DHCP-Client: no
4
Affinch il comando venga eseguito anche al reboot del router occorre impostare il comando set autocmd detect-link-
state <ifname>
34
INTERFACCIA ETHERNET Imola User Guide
TRIGGER ETHERNET
E possibile definire delle azioni da eseguire al variare dello stato dellinterfaccia operativa delle
porte ethernet mediante i comandi:
set trigger eth0 up <action>
set trigger eth0 down <action>
set trigger eth1 up <action>
set trigger eth1 down <action>
dove <action> pu essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni
viene configurata mediante una sequenza di comandi:
35
INTERFACCIA ETHERNET Imola User Guide
Lesecuzione delle azioni avviene secondo lordine con cui sono state impostate. Ad esempio
mediante i comandi:
set trigger eth0 up logger Ethernet0 is up
set trigger eth0 down logger Ethernet0 is down
viene effettuato il log di un messaggio che indica la variazione dellinterfaccia operativa della porta
Ethernet eth0.
dove <action> pu essere un qualsiasi comando CLI supportato da Imola. Lesecuzione delle
azioni avviene secondo lordine con cui sono state impostate.
si effettua il logging di un messaggio che indica che stato ottenuto un indirizzo IP e si aggiunge
una rotta statica verso un host. Quando lindirizzo viene rilasciato si logga un messaggio. Per
cancellare il trigger si utilizzano i comandi:
Attivato con le apposite opzioni, le funzionalit offerte dal comando sono sostanzialmente le
seguenti:
36
INTERFACCIA ETHERNET Imola User Guide
effettuare il restart della negoziazione, specificando per le velocit accettate dalla porta
modificare la funzionalit di crossover delle porte switch
effettuare il monitor dello stato delle porte
-r - restart autonegoziazione
Nellesempio di seguito si verifica lo stato della porta eth2 disabilitando la modalit di crossover :
A seconda del valore assunto dal campo 17 del registro MII possiamo capire la configurazione della
funzionalit di crossover:
4130 automatic crossover abilitato
4110 crossover forzato manualmente
4100 crossover disabilitato manualmente
37
INTERFACCIA ISDN Imola User Guide
INTERFACCIA ISDN
Una dialer map una interfaccia logica che consente una connessione (in uscita o in ingresso)
verso un utente remoto.
L'attivazione automatica delle chiamate in uscita consente ad Imola di agire in modalit di dial on
demand router.
la modalit di gestione delle chiamate, che pu essere incoming (in questo caso la dialer
accetter solo chiamate in ingresso) o outgoing (che consente la sola esecuzione di
chiamate in uscita)
la modalit di esecuzione delle chiamate in uscita, che pu essere automatica o manuale
il numero di telefono cui connettersi (per le chiamate in uscita)
login e password per l'autenticazione delle chiamate in uscita
login e password per l'autenticazione delle chiamate in ingresso
Per l'attivazione automatica delle chiamate in uscita dovr essere necessario configurare una
interfaccia IP associata alla outgoing dialer map.
Le chiamate in uscita verranno attivate solo nel momento in cui il processo di routing avr stabilito
che un pacchetto necessita di essere trasmesso sullinterfaccia ISDN.
La configurazione di una dialer map (per esempio la dialer ippp0) che accetti esclusivamente
chiamate in ingresso viene effettuata con l'utilizzo dei seguenti comandi:
set isdn dialer ippp0 eaz all
set isdn dialer ippp0 in-number <value> [<value>]
set isdn dialer ippp0 accept-remote-ip
set isdn dialer ippp0 dialmode manual
set ppp login <user> password <password>
set isdn dialer ippp0 on
Il comando set isdn dialer IPPP0 eaz <all|number> viene utilizzato per configurare il
numero di telefono che accetter le connessioni in ingresso: solo le chiamate entranti destinate a
quel numero saranno accettate.
38
INTERFACCIA ISDN Imola User Guide
Se viene configurato un numero di telefono non esistente, per esempio il numero 999999, la dialer
map rifiuter qualsiasi chiamata che non sia destinata a quel numero ed essendo il numero non
esistente, di conseguenza sar rifiutata qualsiasi chiamata.
set isdn dialer ippp0 in-number <numero numero>
permette di specificare una lista di numeri chiamante dai quali accettare le chiamate ISDN (Calling
Line Identification).
set isdn dialer ippp0 no-in-number
Il database sar utilizzato durante la fase di autenticazione delle chiamate in uscita ed in ingresso.
Per verificare la configurazione della dialer appena attivata pu essere utilizzato il comando show
interface ISDN dialer ippp0, il cui output viene mostrato nella seguente figura:
La configurazione di una dialer map che consenta di effettuare le sole chiamate in uscita viene
effettuata con l'utilizzo dei seguenti comandi:
set isdn dialer ippp1 eaz 999999
39
INTERFACCIA ISDN Imola User Guide
viene utilizzato per configurare il numero di telefono che accetter le connessioni in ingresso: solo
le chiamate entranti destinate a quel numero saranno accettate. La chiave all consente di accettare
le chiamate provenienti da qualsiasi numero.
Se viene configurato un numero di telefono non esistente, per esempio il numero 999999, la dialer
map rifiuter qualsiasi chiamata che non sia destinata a quel numero ed essendo il numero non
esistente, di conseguenza sar rifiutata qualsiasi chiamata, stabilendo in questo modo che la dialer
ippp1 usata solo per chiamate uscenti.
set isdn dialer ippp1 out-number <number>
viene utilizzato per configurare il numero di telefono verso il quale la dialer map si dovr
connettere.
viene utilizzato per configurare l'utente che sar utilizzato per l'autenticazione al momento della
connessione al numero di telefono chiamato.
set isdn dialer ippp1 ipaddr 1.1.1.1 nexthop 2.2.2.2
consente la configurazione di una interfaccia IP associata alla outgoing dialer map. Nel caso in cui
gli indirizzi saranno assegnati dal sistema remoto, pu essere usata la forma: set isdn dialer
IPPP1 IPaddr 0.0.0.0
viene utilizzato per consentire linvio dei pacchetti IP utilizzando come indirizzo IP sorgente
lindirizzo locale associato alla dialer, ovvero sullinterfaccia dialer verranno effettuate operazioni di
NATP.
set isdn dialer ippp1 accept-remote-ip
e
set isdn dialer ippp1 accept-local-ip
definiscono la modalit in base alla quale verrano assegnati gli indirizzi sullinterfaccia ippp1. Il
funzionamento descritto in seguito.
viene utilizzato per stabilire la modalit di attivazione della chiamata: la modalit manual consente
la attivazione della chiamata solo in modo manuale, mediante il comando isdnctrl dial IPPP1;
invece la modalit auto consente di attivare la chiamata ISDN in maniera automatica sulla prima
richiesta di trasmissione sullinterfaccia ippp1.
40
INTERFACCIA ISDN Imola User Guide
viene utilizzato per configurare una rotta di instradamento di default sulla dialer ippp1. La rotta
sar attivata solo se la modalit di dial auto (set isdn dialer IPPP1 dialmode auto) oppure
nel momento in cui la chiamata viene instaurata.
inoltre possibile utilizzare entrambi i canali ISDN sulla singola connessione logica (connessione
multilink). Per abilitare la connessione multilink possono essere utilizzati i comandi:
set isdn dialer ippp1 multi-link
Il secondo canale, denominato slave, deve essere attivato al momento della connessione del canale
master. Per questa operazione pu essere utilizzato il comando:
Il canale slave verr disconnesso automaticamente al momento dellabbattimento del canale master.
41
INTERFACCIA ISDN Imola User Guide
Al momento della attivazione del canale master possibile verificare lattivazione dei due canali:
EAZ/MSN: 999
Phone number(s):
Outgoing: 0125201010
Incoming:
Dial mode: manual
Secure: off
Callback: off
Reject before Callback: off
Callback-delay: 5
Dialmax: 1
Hangup-Timeout: 60
Incoming-Hangup: on
ChargeHangup: off
Charge-Units: 0
Charge-Interval: 0
Layer-2-Protocol: hdlc
Layer-3-Protocol: trans
Encapsulation: syncppp
Slave Interface: ippp62
Slave delay: 10
Slave trigger: 6000 cps
Master Interface: None
Pre-Bound to: Nothing
PPP-Bound to: 1
root@Imola> show interface isdn status
isdn Status and Statistics:
irq=28 io=24000000 led=25000000
link status = up, chan B1 status = active, chan B2 status = active
link up = 00000009, link down = 00000009
chan B1 activations = 00000008, chan B1 deactivations = 00000007
chan B2 activations = 00000007, chan B2 deactivations = 00000006
D-frames rcvd = 00000533, D-frames sent = 00000188, D-rxowf = 00000000
B1-frames rcvd = 00000350, B1-frames sent = 00000172, B1-rxowf = 00000000
B2-frames rcvd = 00000056, B2-frames sent = 00000056, B2-rxowf = 00000000
E` possibile configurare, sia per le chiamate in ingresso che per le chiamate in uscita, la modalit di
subaddressing. Per accettare le chiamate in ingresso solo se corredate dal subaddress 400:
set isdn dialer ippp0 eaz *.400
Nel caso di utilizzo del router collegato a linee ISDN di tipo punto-punto, invece che punto-multi-
punto, occorre impostare il comando:
Invece il comando:
42
INTERFACCIA ISDN Imola User Guide
Vengono di seguito riportati alcuni esempi di configurazione in base alla modalit con cui devono
essere assegnati gli indirizzi dellinterfaccia ippp1. I casi sono:
Sia prima che dopo la chiamata ISDN linterfaccia si presenta nel modo seguente:
Dopo lattivazione della sessione ISDN linterfaccia IPPP1 si presenta nel modo seguente:
43
INTERFACCIA ISDN Imola User Guide
Indirizzo locale assegnato da Imola ed indirizzo nexthop assegnato dal sistema remoto
disponibile inoltre un comando che consente di verificare lo storico delle chiamate effettuate e
ricevute:
Vengono indicati:
Per quanto riguarda il codice riportato nella colonna Term. Cause, il valore identifica la modalit di
chiusura della chiamata: se la disconnect viene effettuata a seguito di un evento remoto, il codice di
chiusura sar maggiore di 128.
possibile attivare una descrizione dell'interfaccia ISDN, restituita dall'agent SNMP (se configurato
ed attivato) ad interrogazioni della variabile della Mib_II ifDescr, con il comando:
Infine il comando nativo isdnctrl, descritto nel seguito del manuale, pu essere utilizzato per
gestire direttamente le dialer ISDN.
Per stabilire invece quale traffico deve innescare la chiamata ISDN, si usa il comando set access-
list dial-isdn, in una delle seguente forme:
set access-list dial isdn prot <prot> port <value> from <sorgente> to <destinazione>
44
INTERFACCIA ISDN Imola User Guide
set access-list dial isdn prot <prot> sport <value> from <sorgente> to <destinazione>
Un comando di ping emesso localmente (in uscita dal router: sorgente uguale alla keyword this)
verso 5.5.5.5 attiva la chiamata ISDN.
set access-list dial-isdn prot icmp from this to 5.5.0.0/16
Tutti i pacchetti ICMP in transito (sorgente uguale alla keyword any) verso 5.5.5.5 oppure
5.5.5.0/24 attivano la chiamata ISDN.
set access-list dial-isdn prot udp port all from any to any
Tutti i pacchetti UDP in transito dal router, provenienti da qualsiasi sorgente verso qualsiasi
destinazione attivano la chiamata ISDN.
set access-list dial-isdn prot udp port 2000:4000 from any to any
per indicare tutti i pacchetti UDP con porta destinataria compresa tra 2000 e 4000.
set access-list dial-isdn prot udp sport 1010 from this to 7.7.7.7
per indicare tutti i pacchetti originati localmente (keyword this) con porta sorgente 1010 verso
7.7.7.7.
Laccensione del led giallo indica che il livello fisico ISDN attivo.
Laccensione del led verde indica invece l'attivit di almeno una sessione ISDN.
TRIGGER ISDN
E possibile definire delle azioni da eseguire quando viene attivata e deattivata una chiamata ISDN,
rispettivamente mediante i comandi5:
dove <action> pu essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni
viene configurata mediante una sequenza di comandi:
set trigger isdn up <action1>
set trigger isdn up <action2>
5
I comandi di trigger hanno significato ed effetto solamente sulla dialer map ippp1. Sono ininfluenti se la dialer attiva
invece ippp0
45
INTERFACCIA ISDN Imola User Guide
Lesecuzione delle azioni avviene secondo lordine con cui sono stati impostati.
si imposta una rotta statica verso lhost 12.12.12.12 e si invia il messaggio di log isdn is up
quando la connessione ISDN viene attivata, mentre si elimina la rotta e si invia il messaggio di log
isdn is down quando la sessione ISDN viene terminata.
attiva una sessione Q.931 senza innescare la fase di autenticazione PPP. Esso utile per verificare il
funzionamento della sola linea telefonica.
isdnping <ip-address>
ermette di attivare una chiamata sulla dialer ippp1 senza innescare gli effetti collaterali dei trigger.
Ess attiva una connessione ISDN utilizzando i parametri della dialer ippp1 ed esegue una serie di
ping verso l'IP specificato senza l'intervento dei trigger isdn up e isdn down.
Un esempio di utilizzo ed output del comando, in caso di esito positivo, sono visibili nella seguente
figura:
46
INTERFACCIA ISDN Imola User Guide
CONTROLLO DI TRAFFICO
possibile configurare il router in modo da effettuare il controllo del traffico in ingresso ed in
uscita sull'interfaccia ISDN. In particolare si pu configurare un valore di soglia ed innescare degli
eventi quando il traffico in una data unit di tempo superiore od inferiore a tale soglia 6.
Il valore N espresso in secondi e rappresenta la frequenza con cui viene effettuato il controllo.
Definisce se il controllo del traffico relativo alla soglia di ingresso e a quella di uscita, oppure alla
soglia di ingresso o a quella di uscita.
set isdn traffic-control prewait <N>
Tipicamente i comandi si usano in concomitanza del comando set trigger isdn-tc per attivare il
secondo canale ISDN. Il seguente esempio ne chiarisce l'utilizzo.
set isdn traffic-control input-threshold 30000
set isdn traffic-control output-threshold 20000
set isdn traffic-control mode or
set isdn traffic-control timer-unit 10
set trigger isdn-tc up isdnctrl addlink ippp1
set trigger isdn-tc down isdnctrl removelink ippp1
6
I comandi di traffic control hanno significato ed effetto solamente sulla dialer map ippp1. Sono ininfluenti se la dialer attiva
invece ippp0.
47
INTERFACCIA ISDN Imola User Guide
Il controllo del traffico viene attivato contestualmente all'attivazione della sessione ISDN e
disattivato quando termina la sessione. Si imposta un valore di soglia di 30Kbyte per il traffico in
ingresso ed un valore di 20Kbyte per il traffico in uscita. Il controllo si effettua ogni 10 secondi.
Se in 10 secondi il traffico in ingresso oppure quello in uscita supera il valore di soglia impostato
viene eseguito il comando specificato dal trigger set isdn-tc up, che richiede lattivazione del
secondo canale ISDN. Viceversa, se in 10 secondi il traffico inferiore ai valori di soglia viene
eseguito il comando specificato dal trigger set trigger gprs-tc down.
48
INTERFACCIA ADSL Imola User Guide
INTERFACCIA ADSL
CONFIGURAZIONE
I modelli Imola XX10 supportano solo connessioni ADSL, mentre i modelli XX20 supportano sia
connessioni ADSL che connessioni ADSL2+. Per i modelli XX6X far riferimento al capitolo
Interfaccia VDSL.
ADSL: G.992.1 (G.dmt) - Annex A (ADSL over POTS), G992.2 (G.lite), ANSI T1.413 issue 2
ATM: ITU T-I.361, ITU T.I.363.5, ITU T-I.432, ITU T.I.610, ITU T-I.731
RFC 2684 (former RFC 1483 MultIProtocol over ATM)
RFC 2364 (PPP over ATM)
RFC 2516 (PPP over Ethernet)
set adsl on
49
INTERFACCIA ADSL Imola User Guide
Nel caso in cui il tipo di incapsulamento sia rfc1483-vcmux oppure rfc1483-llc (protocolli descritti
nella RFC 1483, Multipotocol Encapsulation over ATM Adaptation Layer 5) necessario definire un
indirizzo IP, mediante il comando:
oppure a seconda delle informazioni ricevute dal Provider, potrebbero essere usati i comandi:
Quando si utilizza invece il tipo di incapsulamento PPPoa (PPP over ATM) oppure PPPoe (PPP over
Ethernet), occorre definire login e password che saranno usate per l'autenticazione:
set adsl login <value> password <value>
Nei modelli Imola XX20 possibile configurare la tipologia di traffico ATM per PVC nel seguente
modo
7
Per connessioni di tipo PPPoA e PPPoE ammesso un solo PVC.
50
INTERFACCIA ADSL Imola User Guide
dove service-type pu assumere i valori UBR, CBR, VBR e RTVBR. Per il traffico UBR e CBR
possibile specificare un valore di PCR (Peak Cell Rate), mentre per VBR e RTVBR possibile
specificare, oltre al PCR, i valori per SCR (Sustainable Cell Rate) e per MBS (Maximum Burst Size), nel
seguente modo:
set adsl pvc atm0||atm7 pcr <value>
set adsl pvc atm0||atm7 scr <value>
set adsl pvc atm0||atm7 mbs <value>
Il valore indicato per PCR e SCR si esprime in celle/sec, mentre il valore per MBS si esprime in bytes.
Per rimuovere le opzioni impostate:
E possibile variare la lunghezza della coda di trasmissione sullinterfaccia associata al pvc, nel
seguente modo:
set adsl pvc atm0||atm7 qlen <value>
Per impostare la modalit di linea dello standard ADSL possibile impiegare il comando set ADSL
line-mode, che assume opzioni diverse a seconda del modello di Imola.
Su Imola XX10, le opzioni possono essere: ITU (Europa), ANSI e AUTO (Multimode):
Su Imola XX20, le opzioni possono essere una scelta tra combinazioni dei possibili standard ADSL,
nel seguente modo:
set adsl line-mode adsl2 | adsl2+/adsl2/G.DMT/T1.413 | adsl2 AnnexM | adsl2/G.DMT | adsl2+/adsl2 | G.DMT | adsl2+/adsl2/G.DMT | T1.413
Infine possibile attivare (o disattivare) una descrizione dell'interfaccia ADSL, che sar restituita
dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifDescr, con
i seguenti comandi:
VISUALIZZAZIONE
possibile visualizzare informazioni riguardanti la configurazione, i pvc, le statistiche e lo stato
dell'interfaccia ADSL. Il comando CLI il seguente:
Ad esempio, il comando:
show interface adsl config
invece:
Nel caso di incapsulamento PPP over ATM oppure PPP over Ethernet loutput del comando il
seguente:
52
INTERFACCIA ADSL Imola User Guide
17588634 189164 0 0 0 0
TX: bytes packets errors dropped carrier collsns
20510132 216024 0 0 0 0
inet 94.95.231.152/30 brd 94.95.231.155 scope global atm0
Il comando:
Errors Data
---------------------------------------------------------------------------
Near End Data Far End Data
CRC (Interl/Latency-0): 6793 0
CRC (Fast/Latency-1): 0 0
FEC (Interl/Latency-0): 64572 0
FEC (Fast/Latency-1): 0 0
HEC (Interl/Latency-0): 55677 0
HEC (Fast/Latency-1): 0 0
No cell delineation (Bearer-1): yes none
53
INTERFACCIA ADSL Imola User Guide
COMANDO OAMPING
Il comando oamping permette di verificare lo stato del collegamento inviando una cella OAM di tipo
F5. Un esempio di utilizzo il seguente:
Laccensione del led Pw indica che il modem ADSL interno alimentato in modo corretto.
Il led Link acceso fisso indica che la fase di sincronizzazione stata effettuata con successo.
Nei router Imola XX20 lo stato dell'interfaccia ADSL viene indicato mediante 2 led di colore verde,
etichettati con le seguenti denominazioni: Link e Data.
Il led Link acceso indica che il modem stato inizializzato con successo.
Il led Data acceso indica che la fase di sincronizzazione con la centrale stata effettuata con
successo e che il modem in stato operativo.
TRIGGER ADSL
E possibile definire delle azioni da eseguire quando viene attivata e deattivata linterfaccia ADSL,
rispettivamente mediante i comandi:
54
INTERFACCIA ADSL Imola User Guide
dove <action> pu essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni
viene configurata mediante una sequenza di comandi:
set trigger adsl up <action1>
set trigger adsl up <action2>
set trigger adsl up <actionN>
Lesecuzione delle azioni avviene secondo lordine con cui sono stati impostati.
si imposta una rotta statica verso lhost 12.12.12.12 e si invia il messaggio di log ADSL is up
quando linterfaccia ADSL viene attivata, mentre si elimina la rotta e si invia il messaggio di log
ADSL is down quando linterfaccia ADSL non operativa.
55
INTERFACCIA VDSL Imola User Guide
INTERFACCIA VDSL
INTRODUZIONE
I modelli Imola XX6X supportano connessioni ADSL, ADSL2+ e VDSL2.
Sono conformi a:
I modelli Imola XX6X presentano una sola porta RJ11. Linterfaccia ADSL/VDSL consente la
sincronizzazione in ADSL o VDSL mode, a seconda dellesito di quanto negoziato con la centrale
nella fase di handshaking.
E possibile configurare un scelta di uno o pi standard ADSL e/o di uno o pi profili VDSL mediante
il comando:
adsl-t1e1-issue-2
adsl1-dmt-annex-a
adsl1-dmt-annex-b
adsl1-dmt-annex-c
adsl2-annex-l
adsl2-dmt-annex-a
adsl2-dmt-annex-b
adsl2-plus-annex-a
adsl2-plus-annex-b
adsl2-plus-annex-m
vdsl1
vdsl2-prof-12a
vdsl2-prof-12b
vdsl2-prof-17a
56
INTERFACCIA VDSL Imola User Guide
vdsl2-prof-30a
vdsl2-prof-8a
vdsl2-prof-8b
vdsl2-prof-8c
vdsl2-prof-8d
Il comando deve essere ripetuto per ogni modalit che si desidera abilitare. Per tornare alla
configurazione di default disponibile il comando:
set dsl advanced no-line-types
set dsl on
set no-dsl
CONFIGURAZIONE ADSL
Per la configurazione dellADSL disponibile lo stesso insieme di comandi utilizzati sui modelli
Imola XX20.
In modalit ADSL sono supportati fino a 8 PVC (Permanent Virtual Circuit). Per configurare il numero
di PVC:
57
INTERFACCIA VDSL Imola User Guide
Quando si utilizza invece il tipo di incapsulamento PPPoa (PPP over ATM) oppure PPPoe (PPP over
Ethernet), occorre definire login e password che saranno usate per l'autenticazione:
set adsl login <value> password <value>
dove service-type pu assumere i valori UBR, CBR, VBR e RTVBR. Per il traffico UBR e CBR
possibile specificare un valore di PCR (Peak Cell Rate), mentre per VBR e RTVBR possibile
specificare, oltre al PCR, i valori per SCR (Sustainable Cell Rate) e per MBS (Maximum Burst Size), nel
seguente modo:
Il valore indicato per PCR e SCR si esprime in celle/sec, mentre il valore per MBS si esprime in bytes.
E possibile variare la lunghezza della coda di trasmissione sullinterfaccia associata al pvc, nel
seguente modo:
58
INTERFACCIA VDSL Imola User Guide
Infine possibile attivare (o disattivare) una descrizione dell'interfaccia ADSL, che sar restituita
dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifDescr, con
i seguenti comandi:
set adsl description|no-description <value>
CONFIGURAZIONE VDSL
La connessione VDSL2 viene presentata a livello 2 tramite linterfaccia ethernet vdsl0.
E possibile variare la lunghezza della coda di trasmissione sullinterfaccia vdsl0, nel seguente
modo:
59
INTERFACCIA VDSL Imola User Guide
possibile attivare (o disattivare) una descrizione dell'interfaccia VDSL, restituita dall'agent SNMP
(se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifDescr, con i seguenti
comandi:
set vdsl0 description|no-description <value>
VISUALIZZAZIONE
possibile visualizzare informazioni sullo stato operativo della connessione ADSL/VDSL mediante il
comando CLI:
General Information
-------------------------------------------------------------------------------
Firmware-VTU-R:10.17.1.22IKF7185 Time Aug 13 2013, 08:30:23
RTOS Copyright MGC 2006 - Nucleus PLUS - v. 1.15, Source Tag:10087
BME R:112 AFE<num, ver> <0:f2>
IFE<num:Dev.Rev> <0:242.0>
Bandplan type: 0
Errors Data
-------------------------------------------------------------------------------
Near End Data Far End Data
60
INTERFACCIA VDSL Imola User Guide
Performance Counters
-------------------------------------------------------------------------------
Rx Tx
Block Count Bearer 0 0 0
Block Count Bearer 1 2732066 9930
numReInit 0
numInitFailure 0
PowerOnNumReInit 0
FastLosShutDownCnt 0
NeLpr 0
Il led lampeggia a lenta intermittenza quando linterfaccia pronta per stabilire una connessione.
Il led lampeggia con intermittenza pi elevata quando stato instaurato il colloquio con la
centrale ed in corso la connessione.
61
INTERFACCIA SHDSL Imola User Guide
INTERFACCIA SHDSL
CONFIGURAZIONE
Linterfaccia SHDSL disponibile tramite due connettori RJ11 indicati rispettivamente come Line0 e
Line1. Ognuno fornisce una banda di 2 Mbps, possono essere utilzzati contemporaneamente (4-
Wire) per sostenere quindi la banda di:
Sono supportati fino a 4 PVC (Permanent Virtual Circuit), ed conforme ai seguenti standard:
set shdsl on
set no-shdsl
Al fine di configurare il chip SHDSL in modalit ATM oppure EFM si pu asserire il seguente
comando:
set shdsl chipmode atm|efm
Per configurare il chip SHDSL come CPE oppure CO si pu asserire il seguente comando:
Per configurare la modalit di selezione del data rate durante la fase di sincronizzazione sono
disponibili i comandi:
62
INTERFACCIA SHDSL Imola User Guide
dove <value> pu essere un valore compreso tra 0db e +10b. Se non specificato, il valore di
default 0db.
Se si configura il line rate in modalit fixed, possibile specificare i valori di rate minimo e
massimo, nel seguente modo:
set shdsl line-rate min <value>
set shdsl line-rate max <value>
dove pvc_number pu essere al massimo 4 e di conseguenza atmX dovr essere atm0, atm1, atm2,
atm3. Il valore di default di pvc_number 1.
63
INTERFACCIA SHDSL Imola User Guide
set shdsl on
CPE 2-Wire
set shdsl chipmode atm
set shdsl line-mode 2-wire
set shdsl line-term cpe
set shdsl pvc atm0 encap rfc1483-bridged
set shdsl pvc atm0 vpi 8
set shdsl pvc atm0 vci 35
set shdsl pvc atm0 default-route
set shdsl on
Una volta attivata, il nome dellinterfaccia logica SHDSL che identifica il PVC : shdsl.835.
VISUALIZZAZIONE
possibile visualizzare informazioni riguardanti la configurazione, i PVC, le statistiche e lo stato
dell'interfaccia SHDSL.
Il comando:
show interface shdsl status
General Information
Controller Chipset: Ikanos CX98102
DSL Mode: SHDSL Annex B
Line Mode: Two Wire
Framer Mode: ATM
Line Termination: CPE
Firmware Version: G119
Remote Country Code 0x00B5 (181)
Remote Provider Code PNGS
Remote FW Version 0x0042 (66)
Line 0 Status
Actual rate: 2312 kbps
Transmit Power: 9.5 dBm
Receiver Gain: 21.86 dB
Loop Attenuation 0.0 dB
64
INTERFACCIA SHDSL Imola User Guide
Laccensione del led Link indica che il modem SHDSL interno alimentato in modo corretto e che il
chip stato correttamente inizializzato.
Il led Data acceso fisso indica che la fase di sincronizzazione stata effettuata con successo e che
dunque il chip pronto a gestire la trasmissione dei dati.
TRIGGER SHDSL
E possibile definire delle azioni da eseguire quando viene attivata e deattivata linterfaccia SHDSL,
rispettivamente mediante i comandi:
set trigger shdsl up <action>
set trigger shdsl down <action>
dove <action> pu essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni
viene configurata mediante una sequenza di comandi:
Lesecuzione delle azioni avviene secondo lordine con cui sono stati impostati.
65
INTERFACCIA SHDSL Imola User Guide
si imposta una rotta statica verso lhost 12.12.12.12 e si invia il messaggio di log SHDSL is up
quando linterfaccia SHDSL viene attivata, mentre si elimina la rotta e si invia il messaggio di log
SHDSL is down quando linterfaccia SHDSL non operativa.
66
INTERFACCIA FRAME RELAY Imola User Guide
CONFIGURAZIONE
Le funzioni Frame Relay di Imola sono supportate dal chipset Serocco di Infineon. Esternamente
linterfaccia si presenta con una porta seriale V.35 su connettore ISO DIN 2593.
set frame-relay on
67
INTERFACCIA FRAME RELAY Imola User Guide
E possibile configurare uninterfacce di tipo Frame Relay in bridge con uninterfaccia di LAN
mediante il comando:
set frame-relay pvc pvc0 bridge-with <Ethernet-ifname>
possibile attivare (o disattivare) una connessione ISDN da utilizzarsi come link di backup qualora
l'interfaccia Frame Relay non sia disponibile, con il seguente comando:
Dove il comando <cmdUp> verr eseguito nel momento in cui il backup attivato, e il comando
<cmdDown> quando il backup viene disattivato.
Inoltre possibile stabilire che la linea di backup venga attivata qualora un determinato indirizzo IP
non sia raggiungibile.
Per disabilitare una configurazione di backup dell'interfaccia Frame Relay disponibile il comando
CLI:
set no-backup
VISUALIZZAZIONE
possibile visualizzare informazioni riguardanti la configurazione, i PVC, le statistiche e lo stato
dell'interfaccia Frame Relay. Il comando CLI il seguente:
Ad esempio, il comando:
show interface frame-relay config
68
INTERFACCIA FRAME RELAY Imola User Guide
invece simile a:
Il comando:
show interface frame-relay statistics
4810 305 0 0 0 0
TX: bytes packets errors dropped carrier collsns
4270 610 0 0 0 0
Infine il comando:
show interface frame-relay status
produce la seguente visualizzazione dei parametri relativi al modem, come lo stato dei segnali, il
tipo di modulazione, il baud-rate, etc.
Mode: V.35
Clock: EXTERNAL
Encoding: NRZ
Parity: CRC16_PR1_CCITT
Modem Status
DTR: active DSR: active CTS: active
Data Reception
Packets: 55753 Bytes: 9476470
Dropped: 8
Errors:
Frame: 4 CRC: 0
Len: 0 Overflow: 4
No Space: 0
Data Transmission
Packets: 44519 Bytes: 7877889
Dropped: 5
Errors:
XFIFO Disabled: 1 XFIFO Error: 1
70
INTERFACCIA MOBILE Imola User Guide
INTERFACCIA MOBILE
CONFIGURAZIONE
Imola pu essere impiegato come Router tra la rete Ethernet e una rete mobile. I modelli Imola
1XX0 supportano solo connessioni GPRS, i modelli 2XX0 supportano sia connessioni EDGE, che
GPRS, i modelli 3XX0 supportano sia connessioni UMTS/HSDPA che GPRS/EDGE, i modelli 4XX0
supportano connessione GPRS/EDGE/UMTS/HSDPA ed HSUPA, infine i modelli 5XX0 supportano
qualsiasi tipo di connessione mobile fino ad LTE. La scelta del tipo di rete trasparente. La
configurazione viene effettuata con gli stessi comandi della sessione GPRS della CLI.
set gprs on
set no-gprs
Configurazione dellAPN:
set gprs apn <value>
dove <value> pu assumere i valori: IPv4 per attivare una sessione di tipo IPv4, oppure IPv6 per
attivare una sessione di tipo IPv6 oppure IPv4v6 per attivare una sessione Dual Stack IPv4-IPv6.
Per abilitare o disabilitare il Port Address Translation (PAT) sulla connessione GPRS:
Nella configurazione di default la connessione GPRS rimane sempre attiva. possibile per
configurare l'interfaccia in modo da terminare la connessione dopo un certo numero di secondi di
inattivit, ristabilendola alla prima richiesta di trasmissione:
set gprs on-demand yes|no
set gprs idle <value>
71
INTERFACCIA MOBILE Imola User Guide
Il parametro idle permette di definire un intervallo di tempo di inattivit della sessione GPRS:
se allinterno di tale intervallo non viene ricevuto o trasmesso alcun pacchetto la sessione GPRS
viene abbattuta e nel caso in cui non sia stata configurata in modalit on-demand, essa viene
automaticamente riattivata.
E possibile conteggiare linattivit della sessione della sessione solamente in base ai caratteri
ricevuti, ignorando quelli trasmessi, utilizzando i comandi:
set gprs idle 0
set gprs rx-idle <value>
La velocit da selezionare nel caso di modem EDGE 230400, per connessioni GPRS deve essere un
valore inferiore, ad esempio 115200, mentre risulta invece ininfluente nel caso di modem
UMTS/HSDPA/HSUPA.
Il comando:
imposta il Max Transfer Unit ( i) relativo all'interfaccia GPRS. A volte alcune configurazioni di APN
limitano a 1476 la dimensione dei pacchetti trasmessi, per cui in questi casi conviene utilizzare il
comando:
set gprs mtu 1476
possiamo impostare rispettivamente la frequenza con cui vengono inviati i pacchetti lcp echo
request ed il numero di tentativi da effettuare prima di abbattere l'interfaccia GPRS. L'interfaccia
verr ripristinata automaticamente, subito dopo l'abbattimento della stessa.
possibile invece negoziare i parametri DNS direttamente dal peer con il comando:
Per impostare la modalit di autenticazione su linee GPRS (il default lautenticazione CHAP), viene
impiegato il comando:
set gprs sgauth <auth_type_code>
In caso di modello con modem UMTS/HSDPA/HSUPA per stabilire il tipo di autenticazione PAP
bisogna usare il comando:
set gprs directive refuse-chap
Sono disponbili dei comandi che permettono di selezione il tipo di rete mobile (3G o 2G) cui
collegarsi:
set gprs auto-network
72
INTERFACCIA MOBILE Imola User Guide
La scelta viene affidata al modulo radio, il quale seleziona la rete migliore disponibile in quel
momento, al variare della disponibilit il modem passa in maniera automatica da una rete allaltra,
effettuando loperazione di roaming.
set gprs umts
Il modem tenta di registrarsi alla rete 3G, se non riesce passa alla rete 2G. Rispetto al comando
precedente, una volta selezionato un tipo di rete, il modem resta collegato ad essa fino alla
disconnessione.
set gprs no-umts
Configura il modem per lavorare sulla rete LTE, se disponibile, altrimenti viene utilizzata la
tecnologia HSPA disponibile in quella cella.. Se viene impostato tale comando possibile specificare
altre opzioni per selezionare le frequenze di lavoro o la tecnologia di accesso radio, in particolare, il
comando:
set gprs lte-band <value>
dove i valori ammessi sono: b1, b3, b7, b8, b20, b8-900, b1-2100 permette di selezionare la
frequenza di lavoro sulla rete LTE, mentre il comando:
set gprs selrat <value>
possibile attivare (o disattivare) una descrizione dell'interfaccia GPRS, che sar restituita dall'agent
SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifDescr, con i
seguenti comandi:
set gprs description <value>
set gprs no-description
possibile attivare sull'interfaccia una connessione GSM V110, anzich GPRS , con i seguenti
comandi:
set gprs v110
set gprs apn <value>
73
INTERFACCIA MOBILE Imola User Guide
Linterfaccia di rete per la sessione GPRS di tipo PPP ed il nome ad essa assegnata PPPX, dove
X un indice che di solito assume il valore 0 (PPP0). Allo stesso modo anche una connessione ADSL
con incapsulamento di tipo PPP over ATM (PPPoA) viene indicata con PPPX. Il criterio di scelta
dellindice X funzione dellordine di attivazione delle connessione: la prima attivata sar PPP0 e la
seconda PPP1.
Nel caso in cui sullo stesso router debbano essere attive sia una connessione ADSL di tipo PPPoA
che una connessione mobile (GPRS/EDGE/UMTS/HSDPA/HSUPA), per evitare indeterminazione nella
scelta del nome previsto il comando:
set gprs directive unit N
mediante il quale il nome dellinterfaccia associata alla sessione mobile sar sempre PPPN,
riservando alla connessione ADSL il nome PPP0. Il valore di N deve essere scelto tra 1 e 9.
il quale permette di utilizzare nativamente la connessione mobile, senza ricorrere allutilizzo del
protocollo PPP. In tal caso linterfaccia mobile viene chiamata: wwan0.
Su tali modelli possibile configurare una seconda APN utilizzata contemporanemente a quella
principale mediante i comandi:
Nel caso si utilizzi tale comando, diventa obbligatorio impostare anche il comando:
in modo tale che il nome dellinterfaccia di rete che corrisponde alla APN principale sia wwan0,
mentre quello per la seconda APN sia wwan1.
VISUALIZZAZIONE
possibile visualizzare informazioni riguardanti la configurazione, le statistiche e lo stato
dell'interfaccia GPRS. Il comando CLI il seguente:
Ad esempio, il comando show interface gprs config produce un output a video simile a:
74
INTERFACCIA MOBILE Imola User Guide
Il comando show interface gprs statistics produce un output a video simile al seguente:
Il comando show interface gprs status visualizza lo stato della sessione. Loutut prodotto
potrebbe cambiare in funzione della tecnologia di accesso:
75
INTERFACCIA MOBILE Imola User Guide
Nel caso in cui venga usato il meccanismo del Dual Carrier HSPA, la riga Current Network
Technology mostra: DC-HSPA+.
Il livello di campo o dBm segnalato dal modem GPRS (le classiche tacche visualizzate dal telefono
GSM) visualizzato tra le informazioni riportate dal comando ed identificabile, nellesempio
sopra, dal Signal Quality: +CSQ: 17,99.
Il valore del livello di campo anche ottenibile partendo dal valore CSQ.
Riferendosi allesempio precedente, il livello di campo (dBm) si ottiene mediante una semplice
operazione aritmetica:
CSQ*2 - 113 = dBm
17 * 2 113 = -79
Il valore ottenuto ci servir per capire il livello di segnale disponibile (le classiche tacche visibili sul
display del cellulare):
dBm # tacche
-105 to -100 0
-100 to -95 1
-95 to -90 2
-90 to -85 3
> -85 4
Il valore CSQ 99,0 indica un livello di segnale non disponibile (il modem non connesso alla rete.
76
INTERFACCIA MOBILE Imola User Guide
Mediante lattivazione del meccanismo di log di sistema possibile verificare eventuali problemi di
attivazione del link. Per attivare i log di sistema utilizzare i comandi descritti nellapposito capitolo.
Di seguito sono riportate 2 sezioni di messaggi di log relativi ad una sessione attivata in modo
corretto e ad una sessione non attivata (APN errato):
E possibile tracciare tutta la sequenza di attivazione del protocollo PPP specificando lopzione:
In questo caso la sequenza di messaggi di log contiene maggiori dettagli relativamente alla fase di
negoziazione dei parametri:
sent [LCP ConfReq id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4>..
rcvd [LCP ConfReq id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910>..
sent [LCP ConfAck id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910>..
rcvd [LCP ConfAck id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4> <pcomp>..
sent [LCP EchoReq id=0x0 magic=0xe2270bc4]
rcvd [LCP DiscReq id=0x1 magic=0x6d503910]
rcvd [CHAP Challenge id=0x1 <e4c6aed962128461f211d325443a3f44>, name = ..
sent [CHAP Response id=0x1 <9fabe2d692114fc609f6d85634254c16>, name = "..
rcvd [LCP EchoRep id=0x0 magic=0x6d503910 61 f2 11 d3]
rcvd [CHAP Success id=0x1 ""]
CHAP authentication succeeded
sent [IPCP ConfReq id=0x4 <compress VJ 0f 01> <addr 0.0.0.0>]
rcvd [IPCP ConfReq id=0x0]
sent [IPCP ConfNak id=0x0 <addr 0.0.0.0>]
rcvd [IPCP ConfRej id=0x4 <compress VJ 0f 01>]
sent [IPCP ConfReq id=0x5 <addr 0.0.0.0>]
rcvd [IPCP ConfReq id=0x1]
sent [IPCP ConfAck id=0x1]
rcvd [IPCP ConfNak id=0x5 <addr 172.22.1.33>]
sent [IPCP ConfReq id=0x6 <addr 172.22.1.33>]
rcvd [IPCP ConfAck id=0x6 <addr 172.22.1.33>]
Could not determine remote IP address: defaulting to 10.64.64.64
local IP address 217.1.1.1
remote IP address 10.64.64.64
Laccensione del led Pw indica che il modem interno alimentato in modo corretto.
Nel caso di modem GPRS oppure Edge (modelli 1xx0 e 2xx0), il led Link indica lo stato della
connessione alla rete:
Il led Data viene impiegato per indicare che attiva una sessione PPP.
Nel caso di modem HSDPA/UMTS (modelli 3xx0) il led Link acceso fisso in caso di corretta
connessione alla rete.
TRIGGER GPRS
E possibile definire delle azioni da eseguire quando viene attivata e deattivata linterfaccia GPRS,
rispettivamente mediante i comandi:
78
INTERFACCIA MOBILE Imola User Guide
dove <action> pu essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni
viene configurata mediante una sequenza di comandi:
set trigger gprs up <action1>
set trigger gprs up <action2>
set trigger gprs up <actionN>
Lesecuzione delle azioni avviene secondo lordine con cui sono stati impostate.
si imposta una rotta statica verso lhost 12.12.12.12 e si invia il messaggio di log GPRS is up .
Inoltre viene eseguito il comando hello con argomenti un indirizzo IP ed una porta. Il comando
hello manda verso lindirizzo e la porta specificati un messaggio contenente lindirizzo IP
dellinterfaccia GPRS, lhostname ed il serial number.
Si elimina la rotta e si invia il messaggio di log GPRS is down quando la sessione GPRS viene
terminata.
CONTROLLO DI TRAFFICO
possibile configurare il router in modo da effettuare il controllo del traffico in ingresso ed in
uscita sull'interfaccia GPRS . In particolare si pu configurare un valore di soglia ed innescare degli
eventi quando il traffico in una data unit di tempo superiore od inferiore a tale soglia.
set gprs traffic-control input-threshold <N>
Il valore N espresso in secondi e rappresenta la frequenza con cui viene effettuato il controllo.
set gprs traffic-control mode or|and
Definisce se il controllo del traffico relativo alla soglia di ingresso e a quella di uscita, oppure alla
soglia di ingresso o a quella di uscita.
set gprs traffic-control prewait <N>
79
INTERFACCIA MOBILE Imola User Guide
Tipicamente i comandi si usano in concomitanza del comando set trigger GPRS -tc. Il seguente
esempio ne chiarisce l'utilizzo.
set gprs traffic-control input-threshold 10000
set gprs traffic-control output-threshold 20000
set gprs traffic-control mode or
set gprs traffic-control timer-unit 60
set trigger gprs-tc up logger -h 192.168.2.1 GPRS Traffic is too High
set trigger gprs-tc down logger -h 192.168.2.1 GPRS Traffic is at normal rate
set trigger gprs up set gprs traffic-control on
set trigger gprs down set gprs traffic-control off
Il controllo del traffico viene attivato contestualmente all'attivazione della sessione GPRS e
disattivato quando termina la sessione. Si imposta un valore di soglia di 10K per il traffico in
ingresso ed un valore di 20K per il traffico in uscita. Il controllo di effettua ogni 60 secondi.
Se in 60 secondi il traffico in ingresso oppure quello in uscita supera il valore di soglia impostato
viene eseguito il comando specificato dal trigger set gprs-tc up, che invia un messaggio di log
verso un determinato Host. Viceversa, se in 60 secondi il traffico inferiore ai valori di soglia viene
eseguito il comando specificato dal trigger set trigger gprs-tc down.
Tramite le funzioni di rtr si invia un ping periodico (15 secondi) verso un IP specifico; impostando
il valore rx-idle a 120 secondi, la sessione GPRS si riattiva in caso di mancata risposta
dallindirizzo IP.
Di seguito un esempio:
set gprs idle 0
set gprs rx-idle 120
Un altro metodo possibile lutilizzo del comando bfdping, utile qualora non si ha a
disposizione alcun indirizzo IP cui mandare i pacchetti di tipo ICMP:
set gprs idle 0
set gprs rx-idle 120
set trigger timer-tick bfdping i ppp0
set trigger gprs up set timer-tick 15
set trigger gprs down set no-timer-tick
80
INTERFACCIA MOBILE Imola User Guide
Ogni qualvolta che si attiva la sessione GPRS, viene fatto partire un timer periodico di 15
secondi, allo scadere del quale si esegue il comando bfdping. Questo comando forza la
trasmissione sulla rete GPRS di un pacchetto UDP avente come indirizzo destinatario lindirizzo
associato allinterfaccia GPRS, quindi il primo router della rete (il primo hop) obbligato a
rimandarlo indietro. La mancata ricezione di tale pacchetto causa il timeout della sessione GPRS (rx-
idle 120), e la conseguente riattivazione.
Infine il comando gprs-keep-alive consente di effettuare dei ping verso l'indirizzo associato
all'interfaccia GPRS ad intervalli regolari e configurabili, per controllare il collegamento.
set trigger gprs up gprs-keep-alive [-k <Freq_sec>]
Ogni qualvolta si attiva la sessione GPRS questo comando forza la trasmissione di un pacchetto UDP
avente come destinazione lindirizzo associato allinterfaccia GPRS. La mancata risposta causa il
timeout della sessione GPRS e la conseguente riattivazione.
attiva una connessione GPRS ed esegue una serie di ping verso l'IP specificato senza l'intervento
dei trigger GPRS up e GPRS down.
Un esempio di utilizzo ed output del comando, in caso di esito positivo, sono visibili nella seguente
figura:
8
Tranne che per i modelli 2xxx consigliato l'inserimento del comando set gprs pwroff-modem nell'impostazione dei
parametri del GPRS per una corretta esecuzione del comando gprsping.
81
INTERFACCIA MOBILE Imola User Guide
dove:
Se vengono omessi sia lhost remoto che il valore della porta allora i dati vengono inviati come un
messaggio di syslog, quindi possono essere letti o localmente sul router stesso oppure sul server
remoto di syslog, in base alla configurazione del servizio di log sul router.
TS800,00:0d:5a:07:01:13,IMOLA@192.168.254.3,449598,63720,449598,63720
Ad esempio:
La prima riga contiene i dati trasmessi e ricevuti nellultimo intervallo di rilevazione e la seconda
contiene i dati trasmessi e ricevuti dallaccensione del router.
82
INTERFACCIA MOBILE Imola User Guide
GESTIONE SMS
Il pacchetto Tiesse SMS gestisce tutte le operazioni legate all'invio ed alla ricezione di Short Text
Messages da parte di un router Tiesse dotato di interfaccia di connessione Mobile. Mediante tale
software , in sintesi, possibile compiere le seguenti operazioni:
Con il parametro
set sms delay-time
si imposta il periodo di controllo (in secondi), con cui il modem esegue il controllo dei messaggi in
arrivo ed effettua l'invio di quelli ancora presenti nella coda di uscita.
Con il comando
set sms password {password}
si stabilisce che i comandi inviati via SMS ad Imola, vengano autenticati con la password fornita
come argomento, al fine di autorizzarne l'esecuzione. Ad esempio, supponendo di aver configurato
la messaggistica SMS prevedendo la password esemplificativa "TIESSE" per autenticare i comandi:
set sms password TIESSE
set gprs on
si dovr inviare al numero telefonico della SIM presente a bordo del router un SMS contenente il
testo:
TIESSE set gprs on
Tutti i comandi preceduti da prefisso diverso dalla password considerata (o non preceduti da alcun
prefisso) verranno scartati, in quanto l'autenticazione fallisce.
Con il comando
set sms reply
83
INTERFACCIA MOBILE Imola User Guide
si configura il router affinch, alla ricezione di un SMS di comandi Tiesse CLI, esso fornisca anche
risposta dell'eventuale output dello stesso al mittente. Come esempio, supponiamo di aver
configurato la messaggistica SMS con password "TIESSE" e supponiamo di aver configurato il router
col comando in analisi set sms reply. Se si vuole ricevere da remoto informazioni riguardo allo
stato dell'interfaccia Mobile, sufficiente inviare al router un SMS contenente il comando CLI:
Dopo il tempo necessario al router per ricevere il messaggio ed elaborarne il contenuto, verr
inviato al mittente un SMS contenente un output del seguente tipo:
HSDPA/UMTS I TIM
Permette di inviare e/o riceve SMS dal router anche quando la scheda SIM inserita ancora dotata di
codice PIN a bordo. Grazie a questo comando infatti, il tool di messaggistica in grado di inserire il
PIN ad ogni richiesta proveniente dal modem, all'apertura di ogni connessione ad esso allo scopo
della lettura o dell'invio di messaggi.
set sms helper-number {NUMBER1[,NUMBER2[,NUMBER3[,...]]]}
Permette girare in forward ogni messaggio ricevuto dal router ad uno o pi numeri telefonici
destinatari specificati nell'argomento. In caso di inserimento di numeri telefonici multipli, questi
devono essere specificati separati da virgola e senza spazi tra loro. Inoltre un numero telefonico
deve essere rigorosamente specificato con il prefisso Country Code (con o senza il carattere +
iniziale). Ad esempio, per l'invio dell'SMS in forward a due numeri telefonici di rete mobile
335-23054400 e 335-23223223, il comando di helper da inserire :
oppure:
84
INTERFACCIA MOBILE Imola User Guide
set sms on
Una volta correttamente impostato ed attivato il servizio, possono essere inviati messaggi dal
router, con il comando:
E' possibile l'invio di un messaggio di test a numeri telefonici multipli, purch questi vengano
specificati separati da virgola e senza spazi tra loro. Inoltre un numero telefonico deve essere
rigorosamente specificato con il prefisso Country Code (con o senza il carattere + iniziale). Ad
esempio, per l'invio dell'SMS forward a due numeri telefonici di rete mobile 335-23054400 e 335-
23223223, il comando di helper da inserire :
send-sms -d 3933523054400,3933523223223 ESEMPIO DI MESSAGGIO DI TESTO
Per inviare messaggi in determinate fasi del funzionamento del router o per sollevare l'invio di SMS
al verificarsi di determinati eventi (si vedano le sezioni relative alla programmazione dei triggers
legati alle varie interfacce e/o servizi del router), possibile eseguire il lancio di comandi di invio
SMS, associando gli stessi ai trigger pi opportuni in relazione alle circostanze di esecuzione.
Esempio 1:
Si attivato il modem Mobile e voglio ricevere informazioni via SMS relativamente al momento in
cui il modem va in connessione, oppure va in stand-by; si possono in questo caso utilizzare
comandi simili ai seguenti:
set trigger gprs up send-sms -d +3933523054400 Customer Alfa Romeo Arese Viale Alfa Romeo TGU 011223321 Mobile Interface just connected
set trigger gprs down send-sms -d +3933523054400 Customer Alfa Romeo Arese Viale Alfa Romeo TGU 011223321 Mobile Interface in stand-by now
Esempio 2:
Il router e' configurato come Backup di un primario ed esegue un protocollo VRRP per assistere la
rete cliente. Nel caso in cui il VRRP elegge il router al ruolo di master, pu essere inviata
segnalazione SMS per avvertire della circostanza:
set trigger vrrp up send-sms -d +3933523054400 Customer Olivetti Via Jervis TGU 099223321 Site Running with BACKUP ROUTER
set trigger vrrp down send-sms -d +3933523054400 Customer Olivetti Via Jervis TGU 099223321 Site came back to PRIMARY ROUTER
Esempio 3:
Il servizio di messagistica offre infine anche un'interfaccia per la lettura di SMS di testo
convenzionale, con cui viene inteso tutto l'insieme di quei messaggi non contenenti comandi
eseguibili da parte del router. E' possibile infatti leggere messaggi ricevuti dal modem mediante i
seguenti comandi:
Ad esempio, con
show sms all
visualizziamo tutti gli sms ricevuti dal router ed avremo un output simile al seguente:
85
INTERFACCIA MOBILE Imola User Guide
-------------------------
From: 393495311921
From_SMSC: 393258819001
Sent: 14-01-21 09:48:59
Received: 70-01-01 17:07:23
IMSI: 222016702779444
Length: 57
-------------------------
Press Enter to continue...
-------------------------
From: 393495310926
From_SMSC: 393358819001
Sent: 14-01-21 09:48:59
Received: 70-01-01 17:07:23
IMSI: 222016702779444
Length: 36
-------------------------
Press Enter to continue...
dove:
86
INTERFACCIA MOBILE Imola User Guide
Il messaggio viene inviato mediante un pacchetto UDP. Se come porta di destinazione si specifa il
valore 514 (syslog ) e sul sistema specificato attivo il servizio di syslog server, allora i dati inviati
saranno raccolti direttamente da questo.
Il comando da utilizzare : gprs at <comando AT>, il quale invia al modem delle direttive secondo
il formalismo AT e ne visualizza il risultato. La lista dei comandi disponibili contenuta in un
manuale separato.
Comandi comuni
Verifica che il modem sia operativo:
root@IMOLA> gprsat at
at
OK
Qualora non si ottenga la stringa OK come risposta, provare ad effettuare un reset del modem
utilizzando i comandi9:
gprs --poweroff
gprs --poweron
9
Il comando gprs --poweroff deve essere eseguito con la sessione mobile non attiva (set gprs off)
87
INTERFACCIA MOBILE Imola User Guide
Il valore in dBm del segnale si ottiene ricorrendo alla formula 2 * CSQ 113.
10
root@IMOLA> gprsat at+cops?
AT+COPS?
+COPS: 0,0,"I TIM",2
OK
Lettura dellIMSI:
10
Su alcune release di software per utilizzare il carattere ? (punto interrogativo) bisogna digitare prima la sequenza CTRL+V
88
INTERFACCIA MOBILE Imola User Guide
specificando i comandi:
set gprs primary-sim
set gprs-primary-apn <myapn1>
set gprs secondary-sim
set gprs secondary-apn <myapn2>
viene usata la prima SIM come collegamento primario allAPN myapn1. Tuttavia se per 3 volte
consecute fallisca la registrazione su tale APN, allora si passa ad utilizzare la seconda SIM
sullAPN myapn2.
Il comando:
Analogamente il comando:
set gprs no-primary-sim
SBLOCCO SIM
Le funzioni di attivazione della sessione mobile richiedono che la SIM inserita sia senza il codice
PIN. Qualora tale codice sia impostato, possibile disattivarlo mediante il comando:
unlock-sim
Tale comando eseguito senza argomenti verifica la presenza o meno del codice PIN. Ad esempio, se
il PIN non presente, il risultato del comando :
root@IMOLA> unlock-sim
AT+CPIN?
+CPIN: READY
OK
per cui il modulo GPRS pu essere tranquillamento attivato. Se invece esso visualizza:
root@IMOLA> unlock-sim
89
INTERFACCIA MOBILE Imola User Guide
AT+CPIN?
+CPIN: PIN
OK
Affinch il comando abbia effetto necessario che il modem sia operativo, in caso contrario il
comando non dar alcun output. Per portare il modem nella sua condizione di operativit si deve
utilizzare i comando gprspoweroff descritto nella sezione "Verifica che il modem sia operativo"
contenuta nel paragrafo "Interrogazione diretta tramite comandi AT".
oltre ai dati di funzionamento della sessione mobile, visualizza anche il codice IMEI associato al
modem e il codice IMSI associato alla SIM presente. In alternativa, queste informazioni possono
essere recuperate rispettivamente mediante i comandi:
90
INTERFACCIA WI-FI Imola User Guide
INTERFACCIA WI-FI
CONFIGURAZIONE
La connessione WI-FI disponibile tramite un modulo che supporta gli standard 802.11 a/b/g che
permette al router di svolgere le funzioni di Access Point. E possibile configurare al massimo 8
Access Point (wlan0 .. wlan7) sulla stessa interfaccia radio.
set wifi on
set no-wifi
Interfaccia Logica, denominata wlanX - setup di tutti i parametri relativi agli SSID:
o ruolo:
set wifi wlanx mode ap
o stringa identificativa (ESSID) :
set wifi wlanx essid <stringa>
o mascheramento dellESSID (il valore di default no):
set wifi wlanx hide_ssid [yes|no]
o indirizzo IP:
IPv4 - set wifi wlanx ipaddr A.B.C.D netmask M.N.F.G
IPv6 - set wifi wlanx ipv6addr IPV6ADDRESS
o crittografia:
set wifi wlanx encryp [open | wpa-psk]
In funzione della crittografia scelta possiamo inserire altri parametri. Se la crittografia :
open: la rete WI-FI aperta cio non richiede di autorizzazione:
set wifi wlanx encryp open
wpa-psk: la rete chiusa cio richiede Autorizzazione tramite Pre-Shared-Key.
set wifi wlanx encryp wpa-psk version [1|2] [crypted-password | password] <STRINGA>
91
INTERFACCIA WI-FI Imola User Guide
Tutti i parametri valorizzati sono utilizzabili se la wlan d'interesse abilitata tramite il comando:
Altro meccanismo utile al controllo degli accessi lidentificazione tramite MAC address. Per
abilitare il funzionamento usiamo il comando:
set wifi wlanx mac-filter enable yes
Dopo aver abilitato il Mac Filter, possiamo inserire o togliere i MAC address con la seguente
sintassi:
set wifi wlanx mac-filter add <MACADDRESS>
set wifi wlanx mac-filter del <MACADDRESS>
E possibile configurare il Bridge diretto dei pacchetti WI-FI su unaltra interfaccia usando il
comando:
set wifi wlanx bridge-with <IFName>
Per completare la gestione dellinterfaccia WI-FI abbiamo due comandi dinamici per: de-autenticare
e disassociare un client.
wifi wlanx deauthenticate <MAC-ADDRESS>
wifi wlanx disassociate <MAC-ADDRESS>
Dove:
11
Per maggiori dettagli si consulti la sezione DHCP, tenendo presente che il nome dellinterfaccia WI-FI considerata wlanx
92
INTERFACCIA RS232 Imola User Guide
INTERFACCIA RS232
INTRODUZIONE
In alternativa allo switch LAN di 5 porte, Imola pu essere equipaggiato con 4 oppure 8 porte seriali
con connettore RJ45. Ad esempio la versione LX (Imola 0800 LX) con 8 porte:
In tal caso viene anche chiamato Imola TSE ed offre le funzioni di Terminal server: uno o pi
dispositivi collegati alle porte seriali di Imola possono accedere alla rete IP e viceversa possibile
scambiare dati con terminali seriali semplicemente inviando dati sulla rete IP.
Concentrazione di POS seriali con relativa conversione dei dati per trasportali su rete TCP/IP
Funzioni di Reverse Telnet
Concentrazioni di terminali X.28 e relativa conversione dei dati per trasportarli su rete
TCP/IP
Funzioni di Modbus Gateway per consentire la gestione di dispositivi PLC attraverso la rete
TCP/IP
Nel caso specifico di terminali POS, possibile attivare delle funzioni utili per ottimizzare le risorse
di rete, come ad esempio limpiego del protocollo X.28 oppure la possibilit di inviare i dati verso
un gruppo di Host.
CONFIGURAZIONE
Nella sua configurazione di fabbrica Imola TSE configurato in modo tale che ad ogni porta seriale
sia associato un socket TCP/IP, secondo il seguente schema:
I dati ricevuti sul socket vengono inviati quindi sulla porta seriale corrispondente e viceversa,
secondo la modalit di Reverse Telnet.
Qualora dalle porte seriali vengano ricevuti dei dati, ma nessun applicativo ha effettuato la
connessione alla porta socket corrispondente, questi sono inviati ad un indirizzo IP e porta
configurabile.
93
INTERFACCIA RS232 Imola User Guide
utilizzo generale, indipendenti dal tipo di protocollo utilizzato. Documenti specifici trattano le
applicazioni specifiche. Quelle fondamentali supportate sono:
Nella configurazione di fabbrica, Imola supporta la modalit transparent (utile per le applicazioni
di Reverse Telnet) e il protocollo X.28. I parametri di configurazione principali sono:
set rs232-protocol modbus/transparent/pos/awp
Specifica il tipo di protocollo utilizzato sulla porta seriale. Di default transparent, utile per le
applicazioni di tipo Reverse Telnet. Nel caso in cui viene specificato il valore POS, sono riconosciuti
i protocolli HGEPOS per i pos in banda magnetica e ISO 8583 per i POS a micro circuito.
set rs232 tty-server-port <port>
Configura la porta socket su cui ricevere i dati da Host. In particolare i dati ricevuti sul socket
<port> vengono inviatui sulla porta seriale #1, i dati ricevuti sul socket <port>+1 vengono
inviati sulla porta seriale #2, e cos via, i dati ricevuti sulla porta socket <port>+7 vengono
inviati sulla porta seriale #8.
Configura la porta socket su cui ricevere i dati da eventuali terminali POS collegati in rete locale ad
Imola.
Configura lindirizzo IP e la porta cui tentare linvio dei dati ricevuti da una porta seriale quando
ancora nessuna applicazione ha effettuato la connessione alla porta socket associata. Nel caso di
protocollo POS indica lindirizzo IP del centro di autorizzazione delle transazioni.
Configura lindirizzo IP e la porta dell'Host secondario a cui mandare i dati ricevuti da una porta
seriale quando ancora nessuna applicazione ha effettuato la connessione alla porta socket associata
e lhost primario non disponibile.
94
INTERFACCIA RS232 Imola User Guide
Configura lindirizzo IP e la porta dell'Host di backup a cui mandare i dati ricevuti da una porta
seriale quando nessuna applicazione ha effettuato la connessione alla porta socket corrispondente
e n lhost primario e n quello secondario sono disponibili.
set rs232 no-backup-host
Indica il valore del timer attivato nel caso in cui lhost primario non soddisfi le richieste prodotte dai
POS. Le richieste successive, ricevute entro tale timer, verranno re-indirizzate direttamente all'host
secondario. Allo scadere del timer di backup sar verificata di nuovo la disponibilit del
collegamento principale.
set rs232 sdn-hold-time <msec>
Indica il valore del timeout dopo il quale abbattere la sessione ISDN in caso di inattivit.
Significativo solo se il tipo di protocollo POS. Configura il tempo dattesa del carattere di ENQ
inviato dallhost. Se lENQ non arriva entro tale periodo, le richieste prodotte dai POS vengono
inoltrate all'host secondario.
Significativo solo se il tipo di protocollo POS. A fronte della richiesta di connessione dal POS, il
router invia il pacchetto di ENQuire al POS, attiva la connessione verso lhost e scarta l'eventuale
ENQuire ricevuto da questultimo. Eventuali pacchetti ricevuti dal POS sono accodati dal router in
attesa della ricezione dell'ENQuire da Host.
set rs232 no-pos-helper
Significativo solo se il tipo di protocollo POS. Disabilita il meccanismo precedente. A fronte della
richiesta di connessione dal POS, il router prova ad attivare una sessione verso host. Il carattere di
ENQuire ricevuto da Host, viene inoltrato al POS.
set rs232 tty-speed <value>
Imposta la velocit di connessione sulle porte seriali. Valori validi sono 2400, 4800, 9600, 19200.
il riconoscimento dellinizio transazione avviene quando il segnale DSR diventa attivo: ovvero
quando Imola rileva il segnale DSR effettua una chiamata TCP verso lindirizzo IP configurato.
Quando invece il segnale si disattiva, Imola abbatte la connessione TCP.
set rs232 no-tty-check-dsr
95
INTERFACCIA RS232 Imola User Guide
il riconoscimento dellinizio transazione avviene quando il segnale DCD diventa attivo: ovvero
quando Imola rileva il segnale DCD effettua una chiamata TCP verso lindirizzo IP configurato.
Quando invece il segnale si disattiva, Imola abbatte la connessione TCP.
set rs232 no-tty-check-dcd
il riconoscimento dellinzio transazione avviene quando il segnale CTS diventa attivo: ovvero
quando Imola rileva il segnale CTS effettua una chiamata TCP verso lindirizzo IP configurato.
Quando invece il segnale si disattiva, Imola abbatte la connessione TCP.
Abilita il protocollo X.28 sulle porte seriali. E necessario in questo caso configurare il NUA e
lindirizzo IP e socket ad esso associati.
set rs232 nua <value> <ipaddr> <port>
Configura lassociazione NUA-Indirizzo IP , Porta socket. I dati ricevuti per quel NUA sono inviati da
Imola allindirizzo IP e porta associati.
set rs232 no-nua <value>
Disabilita il protocollo X.28 sulle porte seriali passando alla modalit trasparente. I parametri
relativi al NUA sono ignorati.
Salvataggio configurazione
Per rendere permanente la configurazione dell'interfaccia rs232 occorre eseguire, oltre al comando
"save" gi descritto, il seguente comando:
VISUALIZZAZIONE
possibile visualizzare informazioni riguardanti lo stato delle porte seriali mediante il comando:
show interface rs232
96
INTERFACCIA RS232 Imola User Guide
CONNETTORI SERIALI
Le porte RS232 di Imola sono di tipo RJ45 il cui schema dei PIN il seguente:
12345678
1 2 3 4
5678 DCD
RJ45
RTS TOP
DSR
TX
RX
GND
CTS
DTR
97
ROTTE STATICHE Imola User Guide
ROTTE STATICHE
Ad esempio, per impostare una rotta verso la rete 10.1.10.0/24, tramite il gateway 10.10.254.1:
Le rotte aggiunte con il comando set route senza specificare alcun valore per il campo metric
sono rotte statiche che prevalgono su tutte le altre verso la stessa destinazione, in particolare anche
su quelle acquisite mediante lutilizzo di protocolli di routing dinamico (rip, bgp, ospf). Queste
rimangono attive anche nel caso in cui lo stato dell'interfaccia non sia operativo.
Nel caso in cui sia attivo un qualsiasi protocollo di routing dinamico, lopzione metric viene
interpretata come valore della distanza amministrativa della rotta. In questo caso pu anche essere
usata la forma:
E possibile specificare un tag da applicare alle rotte, utile nel caso in cui si vogliano attivare
meccanismi di redistribuzione di rotte mediante protocolli di routing dinamico. In questo caso la
sintassi del comando :
E possibile impostare le rotte utilizzando il comando ip12 in una delle seguenti forme:
12
Le rotte impostate mediante il comando ip vengono attualizzate sul router ma non vengono salvate nella configurazione.
Affinch queste vengano salvate nella configurazione ed attivate anche al prossimo reboot del router e' necessario che venga
eseguito il comando: set autocmd ip route add ....
98
ROTTE STATICHE Imola User Guide
In questo caso tuttavia non possibile specificare la distanza amministrativa. Nel caso in cui siano
presenti rotte alternative verso la stessa destinazione, viene selezionata quella con metrica minore.
Il comando:
Le rotte aggiunte direttamente mediante il comando IP hanno precedente su tutte le altre rotte.
Un'altra possibilit l'utilizzo del comando nativo ip, che permette di specificare delle rotte di tipo:
blackhole, prohibit e unreachable. Ad esempio:
Nel caso blackhole l'effetto lo stesso della rotta su null0, cio i pacchetti vengono
semplicemente scartati.
Nel caso prohibit, i pacchetti vengono scartati ma viene generato un ICMP di tipo Proihitb
verso il sorgente.
Nel caso unreachable i pacchetti vengono scartati ma generato un ICMP di tipo Unreachable verso
il sorgente.
99
ROTTE STATICHE Imola User Guide
Ad esempio:
dove il flag U (UP) indica che la rotta attiva, il flag H indica che la destinazione un Host, il flag G
indica che la destinazione raggiungibile attraverso un Gateway.
Nel caso in cui siano attivi dei protocolli di routing dinamico, conveniente utilizzare il comando:
show ip route
Ad esempio:
100
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
INDIRIZZO LOOPBACK
Imola prevede la possibilit di definire e configurare un indirizzo loopback, cio un indirizzo che
identifica intrinsecamente il router e non associato ad alcuna interfaccia fisica. Tale indirizzo deve
essere sempre attivo e disponibile a prescindere dallo stato delle interfacce fisiche.
Ad esempio:
COMANDO IFCONFIG
Il comando ifconfig permette di visualizzare informazioni sullo stato e sul funzionamento delle
varie interfacce di rete presenti su Imola.
ifconfig <ifname>
101
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
Infine visualizza i contatori statistici, tra cui il numero di pacchetti trasmessi e ricevuti ed eventuali
errori.
Nellesempio seguente il comando visualizza lo stato dellinterfaccia eth3 associata alla terza porta
dello switch integrato:
Notiamo che manca il flag running,poich a questa porta non collegato alcun device.
dove si pu notare sia lassenza del flag up che del flag running.
102
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
Lo stato dellinterfaccia ADSL in caso di incapsulamento PPP over ATM risulta essere:
103
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
COMANDO IP
Generalit
Il comando IP consente di gestire, in modalit estremamente avanzata, lattivazione e la verifica
delle interfacce IP e il relativo routing di Imola. Esso risulta essere uno strumento molto flessibile e
completo che consente, per esempio, di definire pi tabelle di routing da consultare a seconda della
provenienza del pacchetto, della destinazione o semplicemente dell'utente che richiede
l'utilizzazione della risorsa.
ip route aggiunge o cancella una riga della routing table in cui sono contenute le informazioni
sui percorsi per raggiungere gli altri nodi di rete
ip rule definisce delle regole di instradamento non dipendenti solo dalla destinazione del
pacchetto ma anche da altri campi dell'header. A tale scopo vengono definite pi
tabelle di routing, a seconda del particolare tipo di pacchetto da gestire
Per operare su oggetti di tipo IPv6 (indirizzi, rotte, neighbor) occorre specificare lopzione 6. Ad
esempio:
ip 6 addr <options>
ip 6 route <options>
Il comando IP non ha effetti sulla configurazione di Imola, ovvero le modifiche alla tabella di routing
effettuate tramite di esso verranno perse al prossimo reboot del router. Tipicamente esso si utilizza
congiuntamente ai comandi di trigger per esprimere delle condizioni temporanee.
oppure per attivare una rotta quando si stabilisce una connessione ISDN:
set trigger isdn up ip route add 10.1.10.0/24 dev ippp1
oppure per modificare una rotta quando si entra nello stato di backup:
104
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
Il comando ip neigh show consente di visualizzare le tabelle ARP presenti sul router:
105
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
Dove per ogni indirizzo IP viene visualizzato il corrispondente Ethernet Address e lo stato del
protocollo ARP in cui questo si trova (reachable, stale, delay, probe, failed, etc.).
Ad esempio,
Ad esempio:
ip addr add 172.20.1.1/24 de eth1
Ogni criterio di routing viene quindi descritto all'interno di una tabella di routing distinta.
Supponiamo di avere due interfacce di rete, chiamate rispettivamente atm0 ed atm1: sulla prima si
vogliono inviare i pacchetti TCP provenienti dalla sottorete 10.10.0.0/16 e diretti verso il servizio
80, sulla seconda si vogliono inviare tutti i pacchetti UDP provenienti dalla sottorete 10.10.0.0/16.
Mediante i comandi:
vengono definite due tabelle di routing, chiamate rispettivamente 10 e 20, dove la tabella 10 invia
tutto il traffico verso il nexthop 1.1.1.2 attraverso l'interfaccia atm0, mentre la tabella 20 invia
tutto il traffico sull'interfaccia atm1.
Una volta definite le tabelle, necessario caratterizzare il tipo di traffico che deve utilizzare la
tabella 10 ed il tipo di traffico che deve utilizzare la tabella 20.
Per fare questo si usa il comando ip tables che grazie allopzione mangle permette di classificare
il traffico in base ad una qualsiasi combinazione del pacchetto IP (il comando IPtables viene
trattato im dettaglio in una sezione dedicata).
Ad esempio il comando:
set iptables -t mangle -A PREROUTING -p tcp --dport 80 -s 10.10.0.0/16 -j MARK --set-mark 0x04
marchia con il valore 0x04, tutti i pacchetti di tipo TCP, provenienti dalla subnet 10.10.0.0/16 e
diretti verso la porta 80, mentre il comando:
marchia tutti i pacchetti di tipo UDP con il valore 0x08. (Da tenere presente che la marchiatura non
viene effettuata sul pacchetto trasmesso in rete, ma su un descrittore di esso). Infine i comandi:
stabiliscono che i pacchetti marchiati con 0x04 devono consultare la tabella 10, mentre i pacchetti
marchiati con 0x08 seguiranno la tabella 20. Pertanto i pacchetti provenienti dalla subnet
10.10.0.0/16 di tipo TCP ed inviati verso il servizio 80 verrano instradati attraverso l'interfaccia
atm0, mentre i pacchetti di tipo UDP verranno inviati sull'interfaccia atm1.
La decisione di routing per il traffico non classificato viene presa consultando la tabella di routing di
default (se presente).
I comandi per aggiungere le tabelle di routing richiedono che linterfaccia sia attiva, per cui
opportuno che essi siano configurati come trigger dellinterfaccia:
PVC BUNDLING
La tecnica di PVC Bundling permette di creare uninterfaccia virtuale che aggrega due interfacce
fisiche, ovvero due circuiti differenti. Essa si applica a circuiti di tipo ADSL, SHDSL e Frame Relay.
Inoltre possibile classificare il traffico in modo tale che questo venga trasmesso solo sul circuito
desiderato.
Ad esempio, nel caso di una rete SHDSL sono definiti due distinti circuiti:
107
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
I due circuiti corrispondono alle interfacce di rete chiamate shdsl.835 e shdsl.836. Impostando i
comandi:
oltre ai due circuiti SHDSL, verr creata linterfaccia virtuale pbond0 cui verr assegnato lindirizzo
192.168.1.2:
Nellesempio stato scelto di non assegnare alcun indirizzo alle interfacce fisiche shdsl.835 e
shdsl.836, di conseguenza lunico modo per utilizzare la rete SHDSL quello di attivare
linterfaccia logica pbond0.
Nella sezione precedente stato descritto come grazie al comando iptables possibile
classificare i pacchetti ed assegnare loro un marchio.
Nella configurazione del bundling ad ognuno dei due circuiti pu essere associato un marchio in
modo tale che tutti i pacchetti contenenti tale valore verranno trasmessi sul circuito virtuale
corrispondente.
Se impostiamo il comando:
set iptables -t mangle -A PREROUTING -p tcp --dport 80 -s 10.10.0.0/16 -j MARK --set-mark 0x04
che marchia con il valore 0x04, tutti i pacchetti di tipo TCP, provenienti dalla subnet 10.10.0.0/16
e diretti verso la porta 80, allora tali pacchetti verrano trasmessi solamente sul circuito shdsl.835,
mentre tutti gli altri pacchetti verranno ripartiti in modo round-robin tra il circuito shdsl.835 ed
shdsl.836.
set iptables -t mangle -A PREROUTING -p tcp --dport 80 -s 10.10.0.0/16 -j MARK --set-mark 0x04
set iptables -t mangle -A PREROUTING -p tcp --dport 110 -s 10.10.0.0/16 -j MARK --set-mark 0x08
leffetto :
Questo comando distrugge linterfaccia virtuale pbond0 per cui se non stato assegnato alcun
indirizzo alle interfacce fisiche shdsl.835 ed shdsl.836, queste difficilmente potranno essere
utilizzate. Sono disponibili anche i comandi:
Per abilitare o disabilitare le funzioni di PAT per i pacchetti in uscita sullinterfaccia pbond0.
Linterfaccia pbond0 eredita i valori di MTU e dimensione della coda di trasmissione dalla seconda
interfaccia che viene messa nella lista di bundling. E tuttavia possibile variarli mediante i comandi:
Il valore di MTU non deve essere superiore al valore delle interfacce fisiche, mentre i valori di MTU
delle due interfacce fisiche deve essere uguali tra loro.
109
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
set no-pvc-bundle
Le funzioni di PVC Bundling sono trasparenti alla modalit di incapsulamento del PVC (routed o
bridged) e possono essere definiti anche su ADSL e su Frame Relay. Un esempio ADSL:
set pvc-bundle on
COMANDO PING
Il comando ping permette di inviare pacchetti ICMP di tipo request verso un indirizzo IP remoto:
I pacchetti vengono inviati ogni secondo. Per interromperne lesecuzione occorre digitare <CTRL>-
C. Le statistiche riportano il tempo di Round Trip minimo, medio, massimo e lo scarto quadratico
medio misurato. Accetta numerose opzioni. Ad esempio:
Per specificare specificare il valore del TOS da inserire nel pacchetto IP:
ping Q <tos-value> <ip-destinatario>
ping M do <ip-destinatario>
Le varie opzioni del comando possono essere combinate tra di loro, ad sempio:
111
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
Per inviare dei pacchetti ICMP verso un host di tipo IPv6 si usa invece la viariante: ping6
X:X::X:X.
COMANDO TRACEROUTE
Il comando traceroute permette di tracciare il percorso necessario per raggiungere un host
remoto:
Inoltre possibile inviare pacchetti ICMP invece che pacchetti UDP mediante lopzione:
traceroute i <ip-destinazione>
COMANDO TCPDUMP
Il comando tcpdump visualizza tutti i pacchetti trasmessi e ricevuti su uninterfaccia di rete
specificata:
tcpdump i <ifname>
112
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
COMANDO LOAD-AVG
Il comando load-avg misura il carico di uninterfaccia di rete in termini di traffico trasmesso e
ricevuto in un determinato intervallo. Per attivare il comando:
load-avg interface <ifname> interval <seconds>
Ad esempio:
113
INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE Imola User Guide
per impostare la banda associata allinterfaccia. Tale valore verr eventualmente utilizzato dal
protocollo OSPF.
set interface <ifname> unnumbered
Per mettere linterfaccia in modalit unnumbered. Tale comando si utilizza insieme al protocollo
OSPF soprattutto per configurazioni su linee ISDN.
set interface <ifname> ipv6 nd <opzioni>
114
ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide
access-list (Access Control List) consente di mettere dei filtri per accettare o scartare pacchetti IP in transito
redirect consente di effettuare operazioni di reindirizzamento dei pacchetti da/verso indirizzi IP e/o porte diverse
consente di effettuare operazioni di mascheramento o di cambiare l'indirizzo sorgente e/o destinatario dei
source-nat
pacchetti IP
che consente di applicare in modo esplicito le direttive di filtraggio dei pacchetti mediante attivazione
iptables
diretta del comando iptables
importante considerare lordine mediante il quale vengono attivate le regole appartenenti alle
liste. Lordine il seguente:
iptables
acccess-list
redirect
source-nat
ACCESS LIST
Configurazione
La lista di regole per accettare o scartare pacchetti del protocollo IP (denominata Access List) , ed
eventualmente effettuarne il logging pu essere attivata mediante il comando set access-list.
Di default, sul router Imola, non viene definita alcuna Access List, per cui tutti i pacchetti vengono
accettati.
Sono presenti sei diverse regole di impostazione delle Access List, come descritto nel seguito del
paragrafo.
Il suffisso log indica che, in relazione alla gestione dei pacchetti, verranno effettuate anche
operazioni di logging.
13
E consigliato lutilizzo della modalit avanzata, mediante il comando iptables invece che i comandi set redirect, set
source-nat set access-list.
115
ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide
Per stabilire quali pacchetti possono attivare le chiamate PPP in caso di connessione GPRS:
set access-list dial-ppp
Dopo aver definito la regola occorre specificare il tipo di pacchetto su cui applicarla, descrivendone
il tipo di protocollo (prot), l'eventuale porta di destinazione (port) o sorgente (sport), l'indirizzo
sorgente (from), l'indirizzo destinatario (to) e, eventualmente, l'interfaccia d'ingresso (in-
interface) o d'uscita (out-interface).
I protocolli che si possono specificare sono tcp, udp, icmp, ah, gre, ospf, esp e all. Viene
accettato anche il valore numerico del protocollo.
Per configurare l'indirizzo IP sorgente e/o destinatario possibile invece impostare direttamente
l'indirizzo IP (anche specificandone la Netmask), la chiave any (per indicare qualsiasi indirizzo IP) o
this (per indicare un indirizzo IP residente su Imola).
Di seguito troviamo un esempio relativo alle regole per pacchetti indirizzati al servizio echo da
qualsiasi indirizzo IP esterno, verso Imola.
Per accettare i pacchetti con protocollo TCP verso il servizio di echo destinati ad Imola:
set access-list permit prot tcp port echo from any to this
Nel caso si voglia mantenere traccia dei pacchetti nel file di log, possibile specificare anche una
label della linea di log (log-prefix) ed il numero di pacchetti al minuto da visualizzare nel log
(limit). Se questi due parametri non vengono impostati si assume come limit 10 (10 pacchetti
tracciati al minuto) e come log-prefix il nome della regola pi il tipo di servizio (esempio permit-
logicmp o deny-logecho).
Nel seguente esempio vengono trattate le regole per pacchetti indirizzati al servizio echo da
qualsiasi indirizzo IP ad Imola con opzioni di log.
116
ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide
Per eliminare unaccess-list sufficiente negare la regola inserita con il comando CLI set no-
access-list
Esempio:
set access-list deny prot tcp port echo from any to this
set no-access-list deny prot tcp port echo from any to this
Nelle impostazioni delle Access List necessario tener conto dell'importanza della sequenza delle
regole; occorre infatti considerare il fatto che, appena una regola viene soddisfatta, il pacchetto
viene accettato o scartato immediatamente, senza passare alle regole successive.
Le Access List possono essere utilizzate, per esempio, nei seguenti casi:
E` fondamentale lordine con il quale le regole vengono inserite: vengono accettati i pacchetti in
arrivo se provenienti dallindirizzo IP 172.16.0.1 in quanto ricadono nella prima regola.
I pacchetti provenienti da altri indirizzi invece vengono rifiutati, poich ricadono nella seconda
regola, utilizzata appunto per vietare il traffico non desiderato.
Visualizzazione
possibile visualizzare le informazioni riguardanti le Access List con il seguente comando:
show access-list
questo comando ha l'effetto di elencare tutte le Access List impostate. Per esempio:
Per verificare quali sono effettivamente attualizzate si usa direttamente il comando iptables:
root@Imola> set access-list deny prot tcp port echo from any to this
iptables -A INPUT -p tcp --destination-port echo -j DROP
root@Imola> set access-list deny prot tcp port echo from any to any
iptables -A FORWARD -p tcp --destination-port echo -j DROP
root@Imola> iptables -L
Chain INPUT (policy ACCEPT)
117
ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide
e per esaminare i contatori statistici dei pacchetti che attraversano laccess list:
root@Imola> iptables L -v
Chain INPUT (policy ACCEPT 943K packets, 77M bytes)
pkts bytes target prot opt in out source destination
934 0 DROP tcp -- any any anywhere anywhere tcp dpt:echo
REDIRECT
Configurazione
La lista di regole di reindirizzamento dei pacchetti su indirizzi IP e/o porte diverse (denominate
redirect) pu essere attivata mediante il set di comandi redirect.
Per impostare una regola di redirect occorre specificare alcuni parametri relativi al tipo di
pacchetto da reindirizzare, descrivendone il tipo di protocollo (prot), l'eventuale porta (port),
l'indirizzo sorgente (from), l'indirizzo destinatario (to) e impostando l'indirizzo IP (to-IP) o la porta
(to-port) a cui inviare il pacchetto.
I protocolli che si possono specificare sono ah, esp, gre, icmp, ospf, tcp, udp. E ammesso anche
il valore numerico del protocollo.
La configurazione della porta pu essere effettuata specificando il servizio tramite nome (ad
esempio: Telnet) o numero (23). Inoltre possibile utilizzare la keyword all per indicare che la
regola sar applicata sui pacchetti destinati a qualsiasi porta. anche possibile configurare un
range di porte (ad esempio: 17:23).
Per quanto riguarda la configurazione dell'indirizzo IP sorgente e/o destinatario possibile invece
impostare direttamente l'indirizzo (anche specificando la netmask), utilizzare la chiave any (per
indicare qualsiasi indirizzo IP) o this (per indicare pacchetti destinati ad Imola).
Per esempio:
118
ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide
set redirect prot tcp port 7 from any to this to-ip 192.168.0.2
il traffico destinato alla porta 7 (servizio echo), proveniente da qualsiasi indirizzo IP e
diretto ad Imola, redirezionato alla porta 13 (servizio daytime):
set redirect prot tcp port 7 from any to this to-port 13
Visualizzazione
Le informazioni riguardanti le regole di redirect possono essere mostrate mediante il comando
show redirect, il quale ha l'effetto di elencare tutte le regole redirect impostate. Per esempio:
SOURCE-NAT
Configurazione
La lista di regole che consentono di mascherare o cambiare l'indirizzo sorgente e/o destinatario dei
pacchetti IP (denominata Source-NAT) pu essere attivata mediante il set di comandi source-nat.
Per impostare una regola di source-nat bisogna specificare il tipo di pacchetto a cui applicarla,
descrivendone il tipo di protocollo (prot), l'eventuale porta (port), l'indirizzo sorgente (from),
l'indirizzo destinatario (to) e il nuovo indirizzo sorgente con cui mascherare il pacchetto (dev o IP).
Per la porta (port) possibile specificare sia il servizio sia il numero; per quanto riguarda l'indirizzo
IP sorgente e/o destinatario possibile invece impostare direttamente l'indirizzo IP (anche
specificando la netmask) o utilizzare la parola chiave any (per indicare qualsiasi IP).
119
ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide
Per assegnare invece un indirizzo IP arbitrario come sorgente ai pacchetti necessario specificare il
parametro IP. Ecco un esempio di mascheramento di tutti i pacchetti in uscita dalla interfaccia eth1:
set source-nat prot all from any to any dev eth1
Per eliminare una regola di source-nat sufficiente rilanciare la regola con set no-source-nat,
come nel seguente esempio:
quando si ha la necessit di mascherare l'indirizzo IP di una rete privata per connettersi alla
rete pubblica:
set source-nat prot all from any to any dev ippp0
quando si ha la necessit di accedere alla rete esterna con particolari indirizzi pubblici:
set source-nat prot all from any to any ip xxx.yyy.jjj.kkk
In questo esempio si vogliono mascherare i pacchetti in uscita e destinati ai servizi SNMP e RADIUS.
I pacchetti dovranno essere spediti sostituendo lindirizzo IP sorgente con lindirizzo IP della
interfaccia di loopback.
set source-nat prot udp port snmp-trap from any to any ip 172.25.0.4
set source-nat prot udp port radius from any to any ip 172.25.0.4
set source-nat prot udp port radacct from any to any ip 172.25.0.4
oppure:
set source-nat prot udp port snmp-trap from any to any dev dummy0
set source-nat prot udp port radius from any to any ip dev dummy0
set source-nat prot udp port radacct from any to any ip dev dummy0
Visualizzazione
possibile visualizzare le informazioni riguardanti le regole di source-nat con il seguente
comando:
show source-nat
120
ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide
121
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
GENERALIT
Su Imola presente il comando iptables che un tool avanzato per il filtraggio dei pacchetti della
rete, ovvero controlla i pacchetti che cercano di accedere, transitare e uscire dal router stesso. Esso
consente di realizzare:
Ogni tabella costituita da un gruppo di catene predefinite (INPUT, OUTPUT, FORWARD, PREROUTING,
POSTROUTING) cui possono eventualmente essere aggiunte catene personalizzate. Ogni catena
composta da un insieme di regole che, in base ad un criterio di match, identificano i pacchetti di
rete: protocollo, indirizzo IP, servizio, etc. (ad esempio: -p tcp --dport 80 -d 10.0.1.1).
Ogni regola termina con unindicazione (target) su cosa fare dei pacchetti identificati dalla regola
stessa (ad esempio, -j ACCEPT, -j DROP, -j LOG, ...).
Le catene indicano dei punti prestabiliti (detti anche hook points) nel corso dellelaborazione del
pacchetto di rete nei quali il pacchetto viene esaminato per applicare la regola stabilita ed eseguire
il target nel caso in cui il match associato alla regola sia stato soddisfatto.
In base alla tabella (filter, NAT o mangle) vengono usate le catene associate. In particolare, per le
funzioni di filter si utilizzano le catene di INPUT, FORWARD ed OUTPUT, per le funzioni di NAT quelle
di PREROUTING e POSTROUTING, mentre le funzioni di mangle possono avvenire allinterno di una
qualsiasi catena. Il significato di ogni catena spiegato nei paragrafi seguenti.
dove si specificano: la tabella di riferimento (-t NAT table), se aggiungere o togliere la regola
allinterno della catena (-A chain, -D chain, -I chain), la regola per il match dei pacchetti e lazione
(target) da eseguire. Il comando:
122
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
iptables -t table L v
mostra informazioni e contatori statistici relativamente al regole che sono state soddisfatte (vedi
paragrafo sullaccounting).
analoga a:
Per permettere che lhost con IP 10.0.1.1 possa accedere al server con IP 192.168.0.1:
Le regole vengono analizzate in base allordine con cui sono state aggiunte. Una regola pu essere
inserita in testa alla lista mediante lopzione I oppure in fondo (e quindi valutata per ultima)
mediante lopzione A. E possibile inserire una regola in una determinata posizione mediante
lopzione: -I chain num. Ad esempio:
iptables t filter L v
mentre
iptables L v --line-numbers
Ad ogni catena definita una azione di default da applicare qualora un pacchetto non abbia
verificato il criterio di nessuna delle regole presenti. Lazione di default quella di accettare il
pacchetto e passare alla tabella successiva. Mediante lopzione P possibile modificare lazione
di default. Ad esempio:
123
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Usata per alterare i pacchetti ricevuti attraverso un'interfaccia di rete, al momento del loro arrivo.
PREROUTING
Viene usata per effettuare Destination NAT. Il target j DNAT
Usata per alterare i pacchetti in uscita dal router stesso, cio quelli generati localmente. Si usa
OUTPUT
per Source NAT. Il target j SNAT.
catena altera i pacchetti prima che vengano instradati attraverso un'interfaccia di rete. Si usa per
POSTROUTING
Source NAT. Il target j SNAT oppure j MASQUERADE per interfacce con IP dinamici.
Ad esempio:
I pacchetti in uscita sullinterfaccia ppp0 vengono trasmessi con lIP associato a tale interfaccia:
I pacchetti diretti alla sottorete 192.168.1.0/24 si presentano con lIP 172.16.1.1, mentre quelli
diretti alla sottorete 192.168.2.0/24 si presentano con lIP 172.16.2.2:
PORT FORWARDING
Il target j DNAT della tabella NAT viene spesso utilizzato per effettuare funzioni di Port
Forwarding e Load balancing, ad esempio, i pacchetti TCP diretti alla porta 80 dellindirizzo
pubblico 85.34.166.21 sono rediretti alla porta 8080 dellindirizzo privato 10.10.1.195:
Con tale comando le connessioni vengo reindirizzate in modalit round robin verso i server
10.10.1.195, 10.10.1.196, 10.10.1.197 e 10.10.1.198. E da notare che nel caso in cui uno dei
server non sia disponibile, il tentativo di connessione fallisce.
124
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Impostazione del valore del DSCP a 32 per i pacchetti che attraversano un tunnel GRE:
iptables t mangle -A POSTROUTING p 47 -j DSCP --set-dscp 32
Il pacchetto entra dallinterfaccia di rete (eth0 nellesempio) e prima del processo di routing viene
sottoposto allapplicazione delle regole presenti nella catena di PREROUTING. In questo passaggio
vengono applicate le regole di Destination NAT (DNAT) se i match presenti nella catena trovano
corrispondenza nel pacchetto in arrivo.
Se il pacchetto, in base alla tabella di routing, destinato allinterfaccia di rete in uscita (eth1 nel
diagramma) vengono applicate le regole descritte nella catena di FORWARD. Se il pacchetto
destinato al router stesso vengono applicate le regole descritte nella catena di INPUT.
125
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Sia nel caso di FORWARD che di OUTPUT, prima di uscire dalla scheda di rete eth1, il pacchetto
subisce lapplicazione delle regole descritte nella catena di POSTROUTING. In tale fase vengono
applicate le regole per il Source-nat (SNAT) o Masquerade.
I criteri possono essere negati usando il carattere !. Ad esempio tutti i protocolli tranne ICMP: -p !
icmp.
--sport port[:port] La porta o un range di porte sorgente. Ad esempio 1:1024 = > tutte le porte tra 1 e 1024
La porta o un range di porte di destinazione. Ad esempio 1:1024 = > tutte le porte tra 1
--dport port[:port]
e 1024.
Per specificare la presenza di flag nel pacchetto TCP (SYN,ACK,FIN,RST,URG). Viene
--tcp-flags flag
indicata la lista dei bit da trattare ed il valore che devono assumere.
--syn I pacchetti con solo SYN attivo (nuove connessioni)
Esempio per scartare tutte le richieste di connessioni TCP in ingresso verso porte privilegiate:
iptables -I INPUT -p tcp --syn --dport 0:1024 -j DROP
126
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Dove type indica il tipo del pacchetto icmp da trattare. Pu essere il valore
--icmp-type type
numerico oppure il valore simbolico
TARGET
Ogni regola termina con la definizione di un target che indica cosa viene fatto del pacchetto che
ha soddisfatto il match. Il target determina linterruzione della catena: il pacchetto che ha
soddisfatto il match segue le indicazioni del Target e non vengono considerate le catene successive.
I target principali sono i seguenti:
Il pacchetto che soddisfa il criterio di match viene accettato e procede verso la sua
-j ACCEPT
destinazione. Usato per definire il traffico permesso.
Il pacchetto viene rifiutato e scartato senza alcuna notifica al mittente. Si usa in aLTErnativa
-j DROP
a REJECT per bloccare il traffico
Viene modificato lIP destinazione del pacchetto. Il target disponibile solo nelle catene di
PREROUTING e OUTPUT della tabella nat. Lopzione to-destination IP:porta
-j DNAT
definisce il nuovo IP (e la nuova porta) di destinazione. Si usa per effettuare il NAT di un
indirizzo pubblico verso un server della DMZ.
Viene modificato lIP sorgente. Si usa solo nella catena di POSTROUTING della tabella
-j SNAT NAT. Prevede lopzione -to-source IP:porta. Il parametro porta opzionale. Si
usa per permettere laccesso ad Internet ad una rete locale con IP privati.
Simile a SNAT, si usa quando i pacchetti escono da uninterfaccia con indirizzo dinamico.
-j MASQUERADE
Valido nella catena di POSTROUTING della tabella NAT.
Ridirige il pacchetto verso una porta locale al router. Si usa nelle catene PREROUTING ed
-j REDIRECT
OUTPUT della tabella NAT.
Si usa nella tabella mangle, permette di cambiare il valore del TOS (Type Of Service) del
-j TOS
pacchetto.
-j DSCP Si usa nella tabella mangle, permette di modificare il valore del DSCP dellheader di IP .
Si usa nella tabella mangle per rimuovere il campo ECN (Explicit Congestion Notification)
-j ECN dallheader TCP. Ad esempio:
iptables -t mangle -A FORWARD -p tcp -j ECN --ecn-tcp-remove
Si usa nella tabella mangle per eliminare le opzioni presenti allinterno dellheader IPv4:
-j IPV4OPTSSTRIP
iptables t mangle A FORWARD j IPV4OPTSSTRIP
Permette di sostituire gli host di una rete con quelli di unaltra. Ad esempio il comando:
-j NETMAP iptables t nat A PREROUTING d 10.10.10.0/24 j NETMAP to 192.168.1.0/24
sostituisce lindirizzo di destinazione 10.10.10.x con lindirizzo 192.168.1.x
Usata per modificare il valore del Maximum Segment Size del TCP. Ad esempio:
-j TCPMSS iptables.... j TCPMSS --clamp-mss-to-pmtu
E prevista lopzione --set-mss value.
127
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Ad esempio:
iptables j REJECT --help
iptables j TOS --help
iptables j DSCP --help
La regola viene soddisfatta se il tasso di arrivo dei pacchetti conforme ai parametri specificati. Le
possibili opzioni sono:
--limit rate/unit
--limit-burst value/unit
-m limit
Ad esempio mediante le regole:
iptables A FORWARD -p icmp m limit -limit 10/sj ACCEPT
iptables A FORWARD p icmp j DROP
vengono accettati solo i pacchetti di ping al ritmo di 10 al secondo.
Usato per effettuare un match su base statistica, utile per simulare dei link difettosi. Ad esempio:
-m random iptables A FORWARD d 10.10.1.1 m random --average 10 j DROP
scarta in maniera random il 10 per cento dei ping verso 10.10.1.1
128
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Verifica il tipo di pacchetto in base allindirizzo di destinazione di livello 3. Sono previste le opzioni:
--src-type type[,...]
--dst-type type[,...]
-m addrtype dove type pu assumere i valori:
UNICAST LOCAL BROADCAST MULTICAST ANYCAST
Ad esempio, per scartare i pacchetti di multicast ricevuti:
iptables A INPUT m addrtype --dst-type MULTICAST j DROP
--ahspi min[:max]
-m ah
Esempio:
Usata per identificare il pacchetto in base al valore del campo DSCP allinterno dellheader IP. Sono
previste le opzioni:
--dscp value --dscp-class name.
-m dscp
Esempio:
Identificazione in base al valore del campo ECN (Explicit Congestion Notification) dellheader IP .
-m ecn Sono previste le opzioni:
--ecn-ip-ect [0..3] --ecn-tcp-cwr --ecb-tcp-ece
Protocollo ESP (Encapsulating Security Payload) di IPSec. E prevista lopzione:
--espspi min[:max]
-m esp
Esempio:
--icmp-type typename
-m icmp
Il comando iptables m icmp --help mostra tutti i possibili codici utilizzabili come icmp-
type.
Indentificazione in base alle opzioni presenti nellheader IPv4. Sono riconosciute le seguenti
estensioni:
--ssrr per Strict Source and Record Route
--lsrr per Loose Source and Record Route
--rr per Record Route
-m ipv4options
--ts per TimeStamp
--ra per Router Alert
Esempio per scartare quei pacchetti che contengono lopzione RR:
129
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Pemette di specificare una lista (fino a 15) porte con lo stesso comando. Ad esempio, per accettare
i pacchetti diretti alle porte 22, 80 e 443:
iptables A FORWARD p tcp m multiport --dports 22,80,443 j ACCEPT
-m multiport Sono previste le opzioni:
--dports per indicare le porte di destinazione
--sports per indicare le porte sorgenti
--ports per indicare sia quelle di destinazione che quelle sorgenti.
Permette di impostare una regola usando un range di indirizzi IP. Ad esempio per bloccare
laccesso TCP ad un range di IP:
iptables A INPUT p tcp m iprange --src-range 10.10.10.1-10.10.10.5 j DROP
-m iprange oppure per bloccare linvio di ping ad un blocco di IP :
LOAD BALANCING
Lesempio di Load Balancing del paragrafo precedente:
prevede che i server verso cui distribuire le connessioni abbiano indirizzi IP contigui. Utilizzando il
match m nth possibile superare tale limite come descritto nel seguente esempio:
iptables t nat A PREROUTING p tcp d 85.34.166.21 --dport 80 -m nth -every 2 -packet 0 j DNAT --to 10.10.1.1
iptables t nat A PREROUTING p tcp d 85.34.166.21 --dport 80 -m nth -every 2 -packet 1 j DNAT --to 10.10.1.10
130
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
La prima regola effettua il log con facility notice dei pacchetti provenienti dallindirizzo 10.10.1.1
verso la porta Telnet. La seconda li scarta. Le opzioni utilizzabili con il target LOG sono:
Tale regola deve essere usata congiuntamente al comando set log del router che permette di
definire il syslog server:
Un tipico messaggio di log per tenere traccia di tutti i pacchetti ICMP ricevuti dallindirizzo
10.10.1.209, derivato dalla regola:
il seguente:
131
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
iptables -L -v
Per conteggiare tutti i pacchetti destinati dal router stesso allindirizzo IP 10.10.1.209:
Per conteggiare i pacchetti in transito di tipo UDP proveniente dalla sottorete 192.168.1.0/24:
Esempi di utilizzo
Per scartare i pacchetti di ICMP di lunghezza superiore a 500 byte e diretti verso 10.10.1.1:
Per simulare nei confronti dellhost 10.10.1.1 un link con un tasso di errore del 2%:
Riprendendo gli esempi riportati nelle sezioni precedenti (access-list, redirect e source-nat),
di seguito vengono riportate le corrispondenze con il comando iptables.
132
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Per accettare solo i pacchetti indirizzati verso una certa rete, negando l'accesso a qualsiasi altro
servizio:
Mediante access-list:
set access-list permit prot all port all from any to 192.168.0.0/255.255.0.0
set access-list deny prot all port all from any to any
Il traffico destinato alla porta 7 (servizio echo), provenienti da qualsiasi indirizzo IP e diretti ad
Imola, redirezionati all'indirizzo IP 192.168.0.2:
Mediante redirect:
set redirect prot tcp port 7 from any to this to-ip 192.168.0.2
Il traffico destinato alla porta 7 (servizio echo), provenienti da qualsiasi indirizzo IP e diretti ad
Imola, redirezionati alla porta 13 (servizio daytime):
Mediante redirect:
Il traffico destinato alla porta 7 (servizio echo), provenienti da qualsiasi indirizzo IP e diretti ad
Imola, redirezionati all'indirizzo IP 192.168.0.2 alla porta 34
Mediante redirect:
set redirect prot tcp port 7 from any to this to-ip 192.168.0.2:34
Il traffico destinato alla porta 23 (servizio Telnet), provenienti da qualsiasi indirizzo IP e diretti
allindirizzo IP 10.10.2.9, redirezionati all'indirizzo IP 10.10.10.22 porta 7 (servizio echo); di
questi pacchetti inoltre sar effettuato il log con prefisso REDIR :
Mediante redirect:
set redirect prot tcp port 23 from any to 10.10.2.9 to-ip 10.10.10.22 to-port 7 log-prefix REDIR
iptables -t nat -A PREROUTING -p tcp -d 10.10.2.9 --dport 23 -j LOG --log-prefix REDIR --log-level notice
iptables -t nat -A PREROUTING -p tcp -d 10.10.2.9 --dport 23 -j DNAT --to-destination 10.10.10.22:7
133
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
CONNECTION TRACKING
Introduzione
Il tracciamento delle connessioni mantiene in memoria delle tabelle dei pacchetti entranti e uscenti
dalla macchina in modo da poter avere un controllo non solo in base alle caratteristiche del
pacchetto analizzato, ma anche e soprattutto in base alla sua relazione con i pacchetti precedenti,
cio allo stato della connessione (connection-tracking).
L'opzione di iptables che permette di utilizzare questa funzionalt l'estensione m state, con
lopzione --state che permette di specificare una lista di stati della sessione separati da virgola.
NEW per un pacchetto che crea una nuova connessione (cio un pacchetto TCP col flag
SYN impostato oppure pacchetti UDP ICMP non dovuti a connessioni gi validate)
ESTABLISHED per un pacchetto che fa parte di una connessione gi stabilita, cio che ha gi avuto
dei pacchetti in risposta.
RELATED per un pacchetto relativo a connessioni esistenti ma che non fa parte di una
connessione esistente (come ad esempio un pacchetto ICMP di errore o una
connessione FTP-data [porta 20] relativa ad una connessione FTP)
INVALID per pacchetti che per alcune ragioni non possono essere classificati in altro modo.
Esempio:
protocollo
protocollo espresso con il valore numerico
134
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Time-to-live della entry. Questo valore viene decrementato finch non compare altro traffico
relativo a questa connessione. Quando la entry cambia stato viene impostato al valore di
default per lo stato in esame
stato attuale dellentry. Gli stati interni sono leggermente diversi da quelli usati
esternamente da iptables. SYN_SENT riguarda una connessione che ha visto soltanto il
SYN in una direzione
indirizzo IP sorgente
indirizzo IP destinazione
porta sorgente
porta destinazione
keyword (UNREPLIED) che indica che non stato visto traffico di ritorno per questa
connessione
pacchetto atteso al ritorno
Quando una connessione ha visto traffico in entrambe le direzione, viene cancellato il flag
UNREPLIED, poi la entry viene rimpiazzata con unaltra che ha il flag ASSURED che indica che la
entry non verr cancellata quando il numero massimo di connessioni tracciate raggiunto. La
dimensione massima della cache funzione della memoria disponibile. Su Imola il valore di default
4096.
La potenza di questo sistema consiste nel fatto che non necessario aprire tutte le porte sopra
1024 per lasciare entrare il traffico di risposta, ma sufficiente aprire il firewall per il traffico di
risposta operando sullo stato delle connessioni.
Connessioni TCP
Una connessione TCP ha inizio sempre con un handshaking a tre tempi:
135
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Il successivo stato interno raggiunto quando si riceve il pacchetto nella direzione opposta:
Il seguente diagramma mostra il flusso dei pacchetti in chiusura (chiusura in condizioni normali):
Come si vede la connessione non realmente chiusa finch non arriva lultimo ACK.
Si deve considerare che il meccanismo di connection tracking non considera i flags TCP allinterno
dei pacchetti; anche un pacchetto senza SYN o ACK sar contato come NEW. Se si desidera che lo
stato NEW sia associato alla presenza del SYN bisogna aggiungere la seguente regola:
Connessioni UDP
Le connessioni UDP sono tipicamente state-less. Ci sono diverse ragioni, principalmente per il
fatto che esse non stabiliscono una connessione e perch mancano di sequenzializzazione. Ricevere
due datagram UDP in un certo ordine, non significa che essi sono stati inviati in quello stesso
ordine.
Dal punto di vista del connection tracking, la connessione stabilita nello stesso modo che per il
TCP; tuttavia la sequenza interna diversa. Quando viene inviato il primo pacchetto UDP, lentry
nella tabella di conntrack diventa:
udp 17 20 src=192.168.1.2 dst=192.168.1.5 sport=137 dport=1025 [UNREPLIED]
src=192.168.1.5 dst=192.168.1.2 sport=1025 dport=137 use=1
136
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Se la connessione non viene usata per 180 secondi, viene invalidata lentry nella tabella. Ogni volta
che un pacchetto attraversa il firewall e viene accettato, il timer di timeout viene reinizializzato con
il suo valore di default.
Connessioni ICMP
I pacchetti ICMP non costituiscono uno stream stateful dal momento che non stabiliscono mai delle
connessioni. Tuttavia ci sono fondamentalmente alcuni tipi di pacchetti che generano pacchetti di
ritorno e di conseguenza possono prendere gli stati NEW e ESTABLISHED. Ad esempio i pacchetti
Echo request e reply usati dal comando ping:
La richiesta di icmp echo request considerata NEW dal firewall, mentre la risposta echo reply
causa la transizione allo stato di ESTABLISHED.
Il formato della entry diverso rispetto a TCP e UDP. Compaiono infatti tre campi nuovi:
Ogni pacchetto ICMP ha un ID che gli viene imposto quando inviato, quando il ricevente riceve il
messaggio imposta lo stesso ID nel messaggio di risposta. Cos il mittente riesce ad associare la
risposta al messaggio inviato. Come si vede, nella sezione della risposta attesa compaiono il type
e code attesi e lid dellinvio.
Un messaggio ICMP viene utilizzato anche per informare lhost che ha iniziato una connessione
TCP o UDP circa la raggiungibilit del partner in questione. Si pensi ad un ICMP HOST unreacheable.
Per questa ragione, le risposte ICMP sono riconosciute come RELATED.
137
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
In questo caso il client invia una pacchetto di SYN ad un indirizzo specifico; questa viene catalogata
come una connessione NEW. Tuttavia il server non raggiungibile, cos un router invia un
messaggio di ICMP unreacheable. Il connection tracking riconosce il pacchetto come RELATED
grazie alla entry presente in tabella cos la risposta pu essere indirizzata al client. Subito dopo il
client distrugge la entry in tabella.
Connessioni FTP
Il protocollo FTP apre in prima istanza una sola connessione, chiamata sessione di controllo.
Quando invochiamo un comando attraverso questa connessione vengono aperte altre porte per
trasportare il resto dei dati relativi al comando specifico. Queste connessioni possono essere fatte
in modo attivo o passivo. Quando la connessione fatta in modo attivo, il client FTP invia al server
una porta ed un indirizzo IP cui connettersi. In seguito, il client FTP apre la la porta e il server vi si
connette da una porta non privilegiata, scelta in modalit random, poi ha inizio lo scambio dei dati.
l firewall non pu essere a conoscenza di queste connessioni aggiuntive dal momento che esse
sono negoziate allinterno del payload dei pacchetti scambiati. Per questo motivo, il firewall non a
conoscenza che deve lasciare connettere il server su queste porte. Sono perci necessarie delle
estensioni ai filtri del firewall in modo che questi sia in grado di recuperare le informazioni tra i dati
scambiati e classificare queste connessioni aggiuntive come RELATED.
Un FTP passivo opera nella direzione opposta. Il client FTP dice al server che vuole dei dati specifici;
in seguito a questa richiesta il server risponde con un indirizzo IP cui connettersi e una porta. Il
client si connette alla porta specificata dalla sua porta 20 (porta dei dati FTP) e prende i dati in
questione. Anche in questo caso necessario un modulo aggiuntivo del firewall in grado di
intercettare queste informazioni nel payload del pacchetto e classificare questa seconda
connessione come RELATED.
138
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
Un esempio di firewall
Consideriamo il seguente scenario:
dove il router, cui sono assegnati gli indirizzi pubblici 85.34.147.17 e 85.34.147.18, collegato:
139
FUNZIONI DI FIREWALL: IPTABLES Imola User Guide
In genere se le regole impostate sono in numero limitato, allora conviene lutilizzo della sintassi:
set iptables , altrimenti si ricorre al comando iptables-save.
iptables-stat
iptables-flush
Affinch nessuna regola venga impostata al prossimo reboot occorre eseguire i comandi:
iptables-flush
iptables-save
Il comando:
iptables-conntrack
Il comando:
iptables-run
Il comando:
iptables-sysctl
Ad esempio per configurare a 600 secondi il valore del timeout delle sessioni:
iptables-sysctl ip_conntrack_tcp_timeout_established 600
Il comando:
iptables-restore
Dopo aver eseguito dei comandi di configurazione ed aver eseguito il comando iptables-save, la
configurazione current diventa anche saved e sar quella con cui si attiver l'apparato al prossimo
boot.
possibile visualizzare il contenuto dei tre diversi profili di configurazione mediante il comando:
iptables-show-config current|saved|started
iptables-set-checkpoint-1
142
PROTOCOLLO VRRP Imola User Guide
PROTOCOLLO VRRP
CONFIGURAZIONE
Imola supporta il protocollo VRRP (Virtual Router Redundancy Protocol, RFC 2338), un protocollo
standard tramite il quale pi router di una LAN possono dinamicamente assegnarsi il compito di
rispondere a determinati indirizzi IP.
Al momento dellattivazione del protocollo VRRP (stato iniziale) tutti i nodi coinvolti inviano dei
pacchetti verso un indirizzo di gruppo specificando un valore di priorit necessario per decidere
quale nodo deve assumere il ruolo di Master: il nodo il cui valore di priorit maggiore diventa il
Master.
Questo attiva un indirizzo IP virtuale sulla interfaccia configurata e tramite questa continua ad
inviare i pacchetti (pacchetti di advertisement) verso lindirizzo di gruppo (multicast), mentre i nodi
di backup rimangono in ascolto.
Se il nodo di backup non riceve pi i pacchetti di advertisement oppure li riceve ma il valore per la
priorit inferiore al suo, esso assume il ruolo di Master. Analogamente, se il nodo Master riceve
degli advertisement con un valore di priorit maggiore del suo, esso diventa backup.
dove ifname pu essere eth0 oppure eth1, oppure il nome di una interfaccia VLAN del tipo eth1.N.
Il comando:
set vrrp vipaddr 10.10.2.90
configura lindirizzo IP virtuale che sar attivato sulla interfaccia configurata nel caso in cui si
assuma il ruolo di Master.
set vrrp on
143
PROTOCOLLO VRRP Imola User Guide
VISUALIZZAZIONE
Per visualizzare lo stato e la configurazione del protocollo VRRP si usa il comando:
show vrrp
TRIGGER VRRP
E possibile programmare dei trigger eseguiti nel momento in cui si ha un cambio di stato legato al
protocollo VRRP. Ad esempio, nel momento in cui il router diventa Master VRRP attiva un tunnel
GRE e il protocollo RIP ed esegue le operazioni inverse quando diventa Backup VRRP:
dove sia il tunnel che il RIP sono stati precedentemente configurati, ma mai attivati.
144
PROTOCOLLO VRRP Imola User Guide
Il parametro -n obbligatorio in caso di pi gruppi VRRP. I servizi attivati con il comando vrrpd
convivono con listanza configurata mediante il comando set vrrp.
no-vrrpd i eth1 v 12
no-vrrpd i eth1 v 13
Il comando vrrpd non ha effetti sulla configurazione di Imola, ovvero il gruppo VRRP non verr
attivato automaticamente al prossimo reboot. Tipicamente il comando si utilizza congiuntamente ai
comandi di trigger. Ad esempio per attivare i due gruppi allo start-up del router necessario
impostare i comandi:
set autocmd vrrpd i eth1 n v 12 p 120 12.12.1.1
set autocmd vrrpd i eth1 n v 13 p 130 13.13.1.1
oppure il servizio pu essere attivato quanto si attiva la sessione GPRS e disattivato quando questa
viene terminata:
Utilizzando direttamente il comando vrrpd non possibile specificare dei trigger associati al
cambiamento di stato del gruppo attivato. Le azioni impostate mediante i comandi set trigger
vrrp up e set trigger vrrp down sono relativi solamente al gruppo VRRP configurato mediante
il comando set vrrp.
145
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Questo tipo di routing permette ai vari router di scambiarsi le informazioni necessarie per
determinare i possibili percorsi per raggiungere destinazioni remote.
Per configurare linterfaccia su cui trasmettere gli annunci RIP si usa il comando:
set rip network <network/N>
eventualmente ripetuto per tutte le interfacce su cui si vogliono inviare gli annunci.
dove t1 rappresenta il valore per il Routing Table Update Timer (default 30s), t2 rappresenta il
valore per il Routing Information Timeout Timer (default 180s) e t3 rappresenta il valore per il
Garbage Collection Timer (default 120s).
Per stabilire che uninterfaccia deve essere passiva, ovvero pu solo ricevere annunci, senza inviarli,
si usa il comando:
Il comando:
146
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Il comando:
set rip neighbor a.b.c.d
Permette di inviare gli annunci RIP direttamente allhost a.b.c.d, invece che allindirizzo di gruppo.
Il comando set rip directive <router command> permette di specificare parametri avanzati del
protocollo. Ad esempio i comandi:
stabiliscono che le network 33.33.33.0/24 e 44.44.0.0/16 devono essere incluse negli annunci
RIP.
Il comando
set rip directive redistribute static
Il comando:
set rip no-directive <router command>
I principali comandi che possono essere specificati con tale opzione sono:
network network
network ifname
neighbor a.b.c.d
timers-basic update timeout garbage
passive-interface (IFNAME|default)
ip split-horizon
version version
redistribute kernel
redistribute kernel metric <0-16>
redistribute kernel route-map <rm-name>
redistribute static
redistribute static metric <0-16>
redistribute static route-map <rm-name>
redistribute connected
redistribute connected metric <0-16>
redistribute connected route-map <rm-name>
redistribute ospf
redistribute ospf metric <0-16>
redistribute ospf route-map <rm-name>
redistribute bgp
redistribute bgp metric <0-16>
redistribute bgp route-map <rm-name>
147
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
default-information originate
route a.b.c.d/m
distribute-list access_list direct ifname
distribute-list prefix prefix_list (in|out) ifname
distribute-list prefix prefix_list (in|out) ifname
distance <1-255>
distance <1-255> A.B.C.D/M
distance <1-255> A.B.C.D/M access-list
148
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Ad esempio per attivare il protocollo OSPF sulle interfacce di rete con indirizzi 10.10.113.1 e
172.151.113.1:
Per arrestare e per disabilitare il protocollo ospf utilizzare rispettivamente i seguenti comandi:
La propagazione delle rotte tra i due sistemi pu essere verificata mediante il comando:
show ip route ospf
neighbor A.B.C.D
neighbor A.B.C.D poll-interval <1-65535>
neighbor A.B.C.D poll-interval <1-65535> priority <0-255>
neighbor A.B.C.D priority <0-255>
neighbor A.B.C.D priority <0-255> poll-interval <1-65535>
149
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
redistribute (kernel|connected|static|rip|bgp)
redistribute (kernel|connected|static|rip|bgp) route-map
redistribute (kernel|connected|static|rip|bgp) metric-type (1|2)
redistribute (kernel|connected|static|rip|bgp)
metric-type (1|2) route-map word
redistribute (kernel|connected|static|rip|bgp) metric <0-16777214>
redistribute (kernel|connected|static|rip|bgp) metric <0-16777214> route-map word
redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) metric <0-16777214>
redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) metric <0-16777214> route-map word
default-information originate
default-information originate metric <0-16777214>
default-information originate metric <0-16777214> metric-type (1|2)
default-information originate metric <0-16777214> metric-type (1|2) route-map word
150
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
151
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
mentre per specificare una rete che deve essere annunciata al router remoto si usa il comando:
set bgp network <value>
I comandi:
Il comando:
set bgp multihop
permette di attivate la sessione BGP anche se per raggiungere il router neighbor necessario
attraversare pi router intermedi (hops).
La propagazione delle rotte tra i due sistemi pu essere verificata mediante il comando:
show ip route bgp
Possono essere impostate opzioni avanzate del protocollo bgp mediante il comando:
set bgp directive <option>
Ad esempio:
set bgp directive neighbor 172.151.2.5 override-capability
I principali comandi che possono essere specificati con lopzione directive sono:
bgp router-id A.B.C.D
distance bgp <1-255> <1-255> <1-255>
distance <1-255> A.B.C.D/M
network A.B.C.D/M
redistribute kernel
redistribute static
redistribute connected
152
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
redistribute rip
redistribute ospf
153
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Il comando:
set bgp no-directive <option>
Esempi di configurazione
Senza perdere in generalit, si consideri il seguente scenario:
154
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
dove i due router, chiamati A e PE sono connessi attraverso un collegamento geografico. Il router A
ha un indirizzo di loopback 172.20.1.221 e una LAN 10.45.15.192/27. Gli esempi che seguono
riportano alcune configurazioni tipiche del protocollo BGP e mostrano anche interazioni con il
protocollo OSPF.
PROTOCOLLO BGP
Il router A annuncia tramite protocolo BGP la propria LAN e il suo indirizzo di loopback:
Il comando show ip bgp neighbor mostra lo stato della connessione con il router neighbor. Nel
caso in cui non vi sia alcuna sessione attiva il risultato :
155
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
show ip bgp
156
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
157
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
158
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
nella tabella di routing vengono installate soltanto quelle definite dal filtro:
E possibile utilizzare delle route-map per filtrare sia in ingresso che in uscita. Ad esempio:
set bgp directive route-map ToPeerBGP permit 10 match ip address prefix-list ToPeerBGP
set bgp directive route-map ToPeerBGP permit 10 set as-path prepend <ASN>
Definisce una route map per gli annunci verso il neighbor che stabilisce di annunciare gli indirizzi
definiti dal costrutto ip prefix-list ToPeerBGP e di aggiungere ad ogni annuncio il valore di AS
definito dalla regola set as-path prepend <ASN>.
Mentre la route-map
set bgp directive neighbor 88.58.10.245 route-map FromPeerBGP in
set bgp directive route-map FromPeerBGP permit 10 match as-path 10
set bgp directive route-map FromPeerBGP permit 10 set local-preference 140
set bgp directive ip as-path access-list 10 permit _65210_
assegna un valore di local-preference di 140 agli annunci definiti dal costrutto ip as-path. Questa
funzione risulta particolarmente utile nel caso di sessioni BGP verso neighbor differenti.
159
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocNet
Poich sia la LAN che linterfaccia di loopback sono attive, le rotte annunciate sono:
Dove si nota che la rete locale scomparsa dagli annunci, per ricomparire non appena il
collegamento verr ripristinato.
detect-link-state <ifname>14
14
In order to execute the command after router reboot, the following command must be used: set autocmd detect-link-
state <ifname>
160
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocNetworks
set bgp directive route-map StatBGP permit 10 match ip address prefix-list StatRoute
161
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Il router A annuncia verso il router O una rotta di default, mentre il router O annuncia le sue LAN
connesse e il router A le redistribuisce tramite BGP:
162
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Alla configurazione BGP aggiungiamo il comando che indica di annunciare verso il neighbor le rotte
acquisite tramite OSPF:
set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocalNet
set bgp directive route-map StatBGP permit 10 match ip address prefix-list StatRoute
set bgp directive route-map RedOSPF permit 10 match ip address prefix-list RedOSPF
163
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Qualora venga interrotto il collegamento con il router O, lo stato delle rotte diventa:
E possibile gestire uno scenario di backup, aggiungendo un ulteriore router, chiamato B, che
annuncia le stesse LAN del router A verso il PE, mentre annuncia la rotta di default tramite OSPF con
una metrica maggiore rispetto a quella del router A:
La configurzione BGP del router B simile a quella del router A, mentre la configurazione OSPF la
seguente:
164
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
dove viene annunciata la rotta di default con metrica 40 (meno prioritaria rispetto al router A).
Sul router O, vediamo che la rotta di default viene acquisita dal router A (10.45.15.221) con
metrica 20:
Mentre sono presenti due neighbor OSPF appartenenti alla stessa area:
Neighbor ID Pri State Dead Time Address Interface RXmtL RqstL DBsmL
10.45.15.220 1 Full/DR 39.670s 10.45.15.220 eth0:10.45.15.219 0 0 0
10.45.15.221 1 Full/Backup 37.140s 10.45.15.221 eth0:10.45.15.219 0 0 0
Nel momento in cui il collegamento con il router A viene interrotto, la tabella di routing mostra:
Dove si nota che lannuncio della rotta di default viene ricevuto dal router B (10.45.15.220).
che annuncia la rotta di default su OSPF, solo se questa presente sul router, lo stesso effetto si
ottiene anche se sul router A si interrompe il collegamento geografico con il POP. Infatti, in questo
caso scompare la rotta di default e questa non viene propagata su OSPF.
165
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Nel caso di doppio router (router A e router B), al fine di evitare loop di annunci, opportuno che il
router A non annunci tramite BGP le rotte ospf ricevute dal router B che a sua volta ha ricevuto
tramite BGP.
Per questo motivo, le rotte BGP, redistribuite via OSPF vengono taggate15, e tramite BGP si
redistribuiscono solamente le rotte OSPF non taggate.
set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocalNetwork
set bgp directive route-map StatBGP permit 10 match ip address prefix-list StatRoute
set bgp directive ip prefix-list LocalNetwork seq 20 permit 172.20.1.221/32
set bgp directive ip prefix-list LocalNetwork seq 10 permit 10.45.15.192/27
Nel primo caso si assegna una local-preference maggiore al router considerato master:
15
Il meccanismo di tagging disponibile a partire dalla versione di sw 2.3.0-8
16
La funzionalit di Load Balancing disponibile a partire dalla versione di software 2.3.0-8.
17
Version 2.3.0-8 includes functionality of checking neighbor through BFD protocol (Bidirectional Forwarding Detection)
166
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
set bgp directive route-map LAN-CED permit 10 set as-path prepend 3269 65210
set bgp on
Mentre il comando show IP BGP mostra che sono disponibili entrambi i neighbor:
167
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
168
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
set bgp directive route-map LAN-CED permit 10 set as-path prepend 3269 65210
set bgp on
Visualizzando le rotte BGP, si nota come la stessa destinazione raggiungibile attraverso i due
neighbor:
169
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
COMANDO ROUTER
Il comando router permette la gestione, lamministrazione e il debugging dei protocolli di routing
dinamico attivi su Imola. Ad esempio:
170
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
Ad esempio per configurare OSPF, dopo aver eseguito shell router ospf si entra nellambiente di
configurazione nativo, si imposta il comando configure terminal e quindi i parametri desiderati:
root@IMOLA>
Se lo stesso comando viene eseguito da un utente che non ha i diritti di amministratore, viene
visualizzata la lista dei comandi che esso pu eseguire:
171
PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide
ospfd#
root@IMOLA>
ospfd#
root@IMOLA>
I comandi:
172
PROTOCOLLO DI MULTICAST ROUTING Imola User Guide
In aggiunta alle regole di instradamento statico, sono supportate entrambe le modalit PIM-SM e
PIM-DM (sparse e dense mode).
Il comando:
set pim off
set no-pim
Per attivare il servizio sullinterfaccia specificata. Significativo solo per la modalit Dense.
Abilita la canditatura a bootstrap router sullinterfaccia. Il parametro <val> indica linterfacci di rete
oppure lindirizzo IP prescelto.
set pim bsr-prio <val>
Definisce la priorit per il ruolo di bootstrap router. Il parametro <val> pu assumere valori da 0 a
255. Maggiore il valore, maggiore la priorit.
173
PROTOCOLLO DI MULTICAST ROUTING Imola User Guide
Abilita il router a candidarsi come RP. Il parametro <interface> indica linterfaccia di rete sulla
quale il router trasmette i messaggi PIM.
set pim rp-prio <val>
Definisce la priorit per il ruolo di RP. Il parametro <val> assume valori da 0 a 255. Maggiore il
valore, maggiore la priorit.
Definisce il valore del timer di Holding per il ruolo di RP. Il parametro <val> pu assumere valori da
0 a 65535.
set pim switch-data-rate <int>
Definisce il data rate per lo switch su source path tree. Il parametro <val> pu assumere un valore
numerico oppure il valore infinity.
set pim switch-data-int <val>
Definisce il valore per lo switch su RP tree . Il parametro pu assumere un valore numerico oppure il
valore infinity.
set pim switch-reg-int <val>
Definisce l'intervallo di misurazione del rate per lo switch su RP tree. I valori ammessi sono da 5 a
65535.
set pim register-source <val>
Definisce lindirizzo IP da usare come sorgente da usare per i messaggi di PIM Register.
set pim static-rp <addr> group-addr <addr> masklen <0-32> [priority] <0-255>
Il comando
174
PROTOCOLLO DI MULTICAST ROUTING Imola User Guide
per configurare il peer con cui scambiare le SA, con IP sorgente quello associato allinterfaccia
specificata.
set msdp mesh-group <name> <ip-addr>
PROTOCOLLO IGMP
Il protocollo IGMP permette di gestire join/leave di gruppi in router direttamente connesso ad una
destinazione o sorgente.
set igmp accept-join-leave <class-list>
IGMP snooping
La funzione di IGMP Snooping permette di inoltrareil traffico solamente sulle porte dello switch cui
sono collegati utenti che abbiano realmente richiesto di ricevere traffico multicast. Essa si attiva
semplicemente impostando il comando:
set igmp-snooping <interface>
175
PROTOCOLLO DI MULTICAST ROUTING Imola User Guide
mentre il comando:
show igmp-snooping
IGMP proxy
Le funzioni di IGMP Proxy permettono il reinstradamento del traffico Multicast sulle varie interfacce
di rete utilizzando semplicemente il signaling IGMP (Internet Group Management Protocol).
Utilizzando il comando:
set igmp-proxy altnet <a.b.c.d/N>
solo i pacchetti appartenenti alla sittorete indicata sono reinstradati sullinterfaccia downstream.
Per specificare pi di una sorgente ed ammettere il traffico solo da queste, bisogna utilizzare la
sequenza di comandi:
set igmp-proxy no-altnet
set igmp-proxy no-upstream
set igmp proxy directive phyint <ifname> upstream altnet a.b.c.d/N altnet x.y.z.t/N ..
Per modificare lintervallo di invio dei pacchetti IGMP Query sullinterfaccia downstream si pu usare
il comando:
set igmp-proxy directive membership-query-interval N
mentre per inoltrare sullinterfaccia di upstream i pacchetti di IGMP report ricevuti si pu usare il
comando:
set igmp-proxy directive relay-membership-report
I report vengono inviati specificando come indirizzo destinatario il gruppo stesso. E possibile
inviarli ad uno specifico indirizzo utilizzando il comando:
set igmp-proxy directive helper-address a.b.c.d
176
PROTOCOLLO DI MULTICAST ROUTING Imola User Guide
Il comando di attivazione non ha effetto sulla configurazione del router, cio il servizio non verr
attivato automaticamente al prossimo reboot. Esso deve essere usato congiuntamente ai comandi di
trigger o di autocmd. Ad esempio per attivare il servizio quando si attiva la connessione ADSL:
Ad esempio:
set igmp-proxy upstream tun0 ratelimit 0 threshold 1
set igmp-proxy altnet 10.184.23.0/24
set igmp-proxy downstream eth1
set igmp-proxy on
Il traffico Multicast proveniente dal tunnel il cui nome tun0, con sorgente 10.84.23.0/24, oltre
alla rete associata al tunnel, viene reinstradato sullinterfaccia eth1.
il primo aggiunge un join-groiup sullinterfaccia specificata, il secondo aggiunge una rotta statica
per i messaggi multicast in modo tale che i messaggio ricevuti dallinterfaccia <in-ifname> e
destinati al gruppo Multicast <roup-addr> siano propagati anche sullinterfaccia <out-ifname>.
set no-multicast-static-join .
set no-multicast-static-group .
Sono disponibili dei comandi utili per lanalisi e la disgnostica del traffico di tipo Multicast. Quelli
pi utili sono:
177
PROTOCOLLO DI MULTICAST ROUTING Imola User Guide
set multicast-accept-icmp-echo on
set multicast-accept-icmp-echo off
per abilitare e disabilitare la risposta ai pacchetti ICMP ricevuti su un indirizzo di tipo multicast.
178
TUNNEL GRE Imola User Guide
TUNNEL GRE
dove <name> una qualsiasi stringa che inizia con il carattere t. E buona norma usare uno dei
seguenti valori: tgprs0, tadsl0, tisdn0, tun0, tun8.
Per configurare lindirizzo fisico di partenza del tunnel viene usata la forma:
set gre generic tunnel-source <ipaddr>
per indicare che lindirizzo sorgente deve essere quello associato allinterfaccia specificata.
179
TUNNEL GRE Imola User Guide
Ad esempio, supponendo di voler stabilire un tunnel GRE tra linterfaccia GPRS locale e lhost
remoto 89.119.108.108, possiamo creare il tunnel tgprs0 mediante i seguenti comandi CLI:
Le indicazioni UP e RUNNING indicano che il tunnel attivo. Tipicamente il flag UP indica che lo stato
dellinterfaccia amministrativamente attivo, mentre il flag di RUNNING indica che operativamente
attiva.
180
TUNNEL GRE Imola User Guide
Il valore di default 1476, cio 1500 24, dove 1500 il valore di MTU dellinterfaccia fisica e 24
loverhead del tunnel stesso.
Il comando di attivazione non ha effetti sulla configurazione di Imola, ovvero il tunnel non verr
attivato automaticamente al prossimo reboot. Tipicamente esso si utilizza congiuntamente ai
comandi di trigger:
oppure il tunnel pu essere attivato quanto si attiva la sessione GPRS e deattivato quando questa
viene terminata:
set trigger gprs up set gre generic on
set trigger gprs down set gre generic on
necessario che linterfaccia specificata sia attiva, per cui opportuno che lattivazione venga
invocata con i comandi di trigger, invece che come autocmd.
Anche se la trasmissione non abilitata, Imola risponde sempre ad eventuali pacchetti di keep-
alive ricevuti.
181
TUNNEL GRE Imola User Guide
dove le opzioni sono le stesse del comando set gre generic e tun0, tun1 ... tun7 e
rappresentano i nomi delle interfacce tunnel che verranno create.
mentre:
set no-gre tun0
TRIGGER GRE
Nel caso in cui sia stata abilitata la funzione di trasmissione dei messaggi di keep-alive
possibile configurare dei trigger che verranno eseguiti nel momento in cui si ha il cambiamento di
stato dellinterfaccia del tunnel. Ad esempio:
con i quali si stabilisce che la rotta verso la rete 192.168.1.0/24 deve essere impostata
sullinterfaccia tunnel quando questo attivo, e sullinterfaccia atm0 quando il tunnel non sia attivo.
182
TUNNEL GRE Imola User Guide
Possono essere attivati fino a 100 tunnel. Il nome dellinterfaccia deve essere differente per ognuno
di essi.
ip tunnel add tgprs0 mode gre local 172.10.1.1 remote 172.20.1.1 ttl 64
ip link set tgprs0 up
ip link set tgprs0 multicast on
ip addr add 100.100.100.1/30 peer 100.100.100.2/30
In questo caso, per lattivazione automatica al restart del router, necessario impostare come
trigger tutta la sequenza di comandi ip necessari:
Per abbattere il tunnel ed eliminare ogni traccia della programmazione relativa allo stesso,
possibile sfruttare il trigger GPRS down, legato appunto allinterfaccia GPRS:
set trigger gprs up ip tunnel del tgprs0
183
TUNNEL GRE Imola User Guide
Qualora lindirizzo di partenza del tunnel non sia noto, possibile utilizzare la notazione:
ip tunnel add tgprs0 mode gre local any remote 172.20.1.1 ttl 64
Lindirizzo IP del tunnel su Imola 192.168.10.11/24 mentre lindirizzo del tunnel del
concentratore 192.168.10.1/24.
Lattivazione del protcollo NHRP su Imola far in modo che sul concentratore verr creato
dinamicamente il tunnel richiesto. Il parametro di holding time specifica per quanto tempo il
tunnel rimane valido. Allo scadere di esso, verr rinnovata la richiesta di attivazione.
oppure
184
TUNNEL GRE Imola User Guide
Nel caso in cui il sistema Hub sia un router Cisco, la configurazione speculare del tipo:
interface Tunnel1
ip address 192.168.10.1 255.255.255.0
no ip redirects
ip nhrp network-id 1000
tunnel source FastEthernet0/0
tunnel mode gre multipoint
end
185
IPSEC Imola User Guide
IPSEC
Per impostare la chiave di autenticazione, la stessa che deve essere impostata anche sul peer, si usa
il comando:
set ipsec secret <key>
Per impostare lindirizzo IP della interfaccia locale sulla quale sar attivato il tunnel si usa il
comando:
set ipsec local-end <ip address>
Per impostare lindirizzo IP della interfaccia remota che costituisce lestremo remoto del tunnel si
usa il comando:
Per attivare il tunnel IP sec in coincidenza di una configurazione con mascheramento degli indirizzi
IP, attivo sulla interfaccia connessa alla rete pubblica (NAT Traversal), si usa il comando:
Se tra il router locale e la rete IP pubblica interposto un router, sar necessaria lattivazione del
comando:
set ipsec nexthop <value>
Il parametro <value> dovr coincidere con lindirizzo IP pubblico con il quale il router si affaccia
alla rete IP pubblica.
Volendo specificare come il router locale si deve presentare per lautenticazione, si usa il comando:
set ipsec local-id <value>
Il parametro <value> pu essere un indirizzo IP o un fully-qualified domain name (fqdn), nel qual
caso la stringa dovr essere sempre preceduta dal carattere @ senza spazio. Ad esempio:
set ipsec local-id @imola.com
186
IPSEC Imola User Guide
dove <value> pu essere un intero seguito da s (tempo in secondi) oppure un numero decimale
seguito da m, h o d (tempo in minuti, ore o giorni, rispettivamente). Il valore di default 8 ore.
Si possono configurare fino ad 8 tunnel IPSec. Alcuni comandi si possono esprimere in forma
ridotta senza specificare il nome del tunnel, sottintendendo il tunnel0.
Per specificare il protocollo di Internet Key Exchange o IKE (IPSec Phase I) si usa il comando:
Per specificare il protocollo di Encapsulating Security Payload o ESP (IPSec Phase II) si usa il
comando:
Per restringere il numero di protocolli e porte ammessi sul tunnel IPSec si usa il comando:
Sono disponibili inoltre una serie di comandi da utilizzare per rimuovere opzioni precedentemente
specificate:
set ipsec no-secret
set ipsec no-nat-t
set ipsec no-local-end
set ipsec no-local-id
set ipsec no-pfs
set ipsec no-nexthop
set ipsec no-local-end
set ipsec no-remote-end
set ipsec no-remote-id
set ipsec [tunnel0| |tunnel7] no-local-subnet
set ipsec [tunnel0| |tunnel7] no-remote-subnet
set ipsec [tunnel0| |tunnel7] no-negotiation
set ipsec [tunnel0| |tunnel7] no-ike
set ipsec [tunnel0| |tunnel7] no-esp
Una configurazione single-tunnel IPSec pu, ad esempio, essere attivata mediante i seguenti
semplici comandi CLI:
187
IPSEC Imola User Guide
Bench configurato, il tunnel IPSec non viene attivato automaticamente: la sua attivazione invece
demandata ai comandi di trigger oppure di autocmd.
Ad esempio, dopo averlo configurato, lIPSec viene attivato nel momento in cui viene stabilita una
sessione GPRS:
set trigger gprs up set ipsec on
TRIGGER IPSEC
E possibile configurare dei trigger che verranno eseguiti nel momento in cui viene stabilita la
sessione IPSec con il peer remoto. Ad esempio:
set ipsec interface eth0
set ipsec local-end 10.10.2.210
set ipsec local-subnet 172.151.0.0/16
set ipsec nexthop 10.10.2.211
set ipsec remote-end 10.10.2.211
set ipsec remote-subnet 173.151.0.0/16
set ipsec secret pippo654321
set ipsec nat-t yes
set ipsec tunnel0 negotiation main
188
IPSEC Imola User Guide
set ipsec on
con i quali si invia un messaggio di syslog per notificare lo stato del tunnel e configurare la rotta
verso la rete remota sullinterfaccia IPSec0.
In caso di utilizzo di trigger IPSec obbligatorio sia specificare il nome del tunnel cui il trigger si
riferisce (IPstun0, ... IP stun7), sia configurare sempre la rotta verso la remote subnet
sullinterfaccia IPSec0.
189
RACOON IPSEC SECURITY Imola User Guide
INTRODUZIONE
IPSec l'abbreviazione di "IP Security" ed uno standard open per realizzare scambio di dati in
piena confidenzialit e cifratura su connessioni di livello 3. La sicurezza viene raggiunta attraverso
il crittaggio e l'autenticazione dei pacchetti IP e viene quindi fornita a livello rete.
Il fatto che tale protezione sia implementata nel Layer 3, rende questo protocollo trasparente al
livello delle applicazioni, le quali continuano a funzionare senza bisogno di alcun adeguamento di
carattere software.
Il presente capitolo si limita a fornire indicazioni circa i parametri fondamentali del modulo IPSec
Racoon, mentre una conoscenza approfondita di tale protocollo esula dagli scopi del manuale.
La configurazione delle VPN attraverso questo particolare modulo software viene realizzata
mediante una elaborata astrazione a livello di Command Line Interface, del celebre software di
security Racoon, cui si rimanda direttamente per tutti gli ulteriori approfondimenti necessari.
Ad esempio, per configurare i parametri relativi alla Phase I di una connessione VPN IPSec in main
mode, vengono utilizzati comandi del seguente tipo:
set racoon phase1 MAIN exchange-mode main
set racoon phase1 MAIN local-end eth0
set racoon phase1 MAIN remote-end 10.10.100.39
set racoon phase1 MAIN encryption-algorithm 3des
set racoon phase1 MAIN hash-algorithm sha1
190
RACOON IPSEC SECURITY Imola User Guide
Occorre sottolineare il fatto che sia obbligatorio definire una stringa generica per identificare
l'insieme dei comandi che andranno a costituire la Phase I in via di definizione, mediante il
seguente formalismo:
Questa tecnica espressiva viene adottata anche per la definizione delle sezioni Phase II, i cui
comandi obbediscono, in piena analogia, alla seguente regola di base:
set racoon phase2 {NEW-PHASE2_PROFILE} {phase_II commands}
La parametrizzazione della Phase II della VPN IPSec, viene effettuata con appositi comandi
pertinenti a tale sezione. Ad esempio una significativa valorizzazione della fase 2 di una VPN IPSec
in main mode pu essere considerata simile al seguente listato:
set racoon phase2 3DES_MD5 match-phase1 MAIN
set racoon phase2 3DES_MD5 encryption-algotithm 3des
set racoon phase2 3DES_MD5 authentication-algorithm hmac_md5
set racoon phase2 3DES_MD5 pfs-group 2
set racoon phase2 3DES_MD5 mode tunnel
set racoon phase2 3DES_MD5 security esp
set racoon phase2 3DES_MD5 level require
set racoon phase2 3DES_MD5 local-subnet 2.2.2.2/32
set racoon phase2 3DES_MD5 remote-subnet 1.1.1.1/32
Secondo l'esempio appena mostrato, il profilo di Phase II stato esplicitamente indicato dalla
stringa 3DES_MD5, ad esempio per rappresentare in modo esplicito alcuni parametri salienti legati
all'encryption della VPN.
191
RACOON IPSEC SECURITY Imola User Guide
E' importante sottolineare che ogni sezione permette di configurare una sola definizione di ACL,
che caratterizza sempre traffico bidirezionale: per implementare ACL multiple bisogna definire
tante sezioni Phase II quante le ACL in gioco, ed effettuarne il corretto link alla relativa Phase I.
Ad esempio, per una VPN IPSec in main mode con multiple ACL's:
set racoon phase1 MAIN exchange-mode main
set racoon phase1 MAIN local-end eth0
set racoon phase1 MAIN remote-end 10.10.100.39
set racoon phase1 MAIN encryption-algorithm 3des
set racoon phase1 MAIN hash-algorithm sha1
set racoon phase1 MAIN dh-group 2
set racoon phase1 MAIN authentication-method pre_shared_key
set racoon on
192
RACOON IPSEC SECURITY Imola User Guide
La password per l'autenticazione della VPN (pre-shared key) viene specificata mediante comandi
del seguente tipo:
set racoon pre-shared-key 10.10.100.39 tiesseadm
Questo comando idoneo a specificare sia classiche definizioni di coppie IP/password, che di
coppie USER/password, nel caso venissero impiegate autenticazioni di Gruppo e di tipo Xauth
(Extended Authentication).
Ad esempio:
Per mostrare i vantaggi introdotti dall'aver etichettato le sezioni Phase I e Phase II della VPN IPSec
con appositi identificativi, viene mostrato un semplice esempio in cui su un apparato Tiesse
vengono istanziate contemporaneamente due VPN verso due differenti terminatori IPSec. In tale
contesto si evince come ogni Phase II ha una propria, indissolubile corrispondenza con una sola
Phase I che caratterizza la singola istanza di connessione:
193
RACOON IPSEC SECURITY Imola User Guide
set racoon on
Nell'occasione sottolineiamo che l'avvio della VPN avviene solo dopo aver inserito il comando di
attivazione:
set racoon on
In modo analogo, per arrestare l'attivit di una VPN IPSec necessario digitare il comando:
set racoon off
Per l'impiego del router Tiesse come client di VPN (a.k.a. Easy VPN) le configurazioni vengono
specificate con comandi del seguente tipo:
Nell'esempio appena riportato vengono utilizzati molti comandi gi descritti, tuttavia importante
le linee di comando che caratterizzano questa particolare tecnica di connessione IPSec:
con il comando set racoon phase1 WARRIOR mode-cfg viene indicato al client di
adottare la modalit configuration mode, che determina una sorta di autoconfigurazione
dell'apparato, basata sulla ricezione di parametri inviati direttamente dal server al termine
di una Phase I conclusa con comune accordo;
194
RACOON IPSEC SECURITY Imola User Guide
il comando set racoon phase1 WARRIOR my-identifier group EASY_VPN, indica che il
gruppo per tale connessione sar identificato dalla stringa EASY_VPN
la linea di comando set racoon phase1 WARRIOR xauth-login user1, andr ad
anticipare alla sezione Phase I che l'extended authentication verr eseguita dall'utente
user1
la linea di comando set racoon phase1 WARRIOR authentication-method xauth-psk-
client specifica invece che il router Tiesse ricoprir il ruolo di client e che seguir la
tecnica di doppia autenticazione nota come extended authentication. La relativa coppia
user/password, viene specificata nella sezione set racoon pre-shared-key, come
riportato al termine del precedente listato
Un interessante caso di impiego delle VPN IPSec quello relativo alle implementazioni di scenari
con protocolli GRE e NHRP. Nel seguente esempio si riporta una semplice configurazione di una
VPN che intende realizzare tale tipo di topologia di rete:
set loopback ipaddr 1.1.1.1
set loopback on
195
RACOON IPSEC SECURITY Imola User Guide
Ad esempio, per effettuare l'attivazione e la verifica di una semplice VPN IPSec in main mode come
quella che segue, si procede come descritto qui di seguito.
set loopback ipaddr 1.1.1.1
set loopback on
set racoon on
196
RACOON IPSEC SECURITY Imola User Guide
All'attivazione della VPN, se le entit in gioco concludono la transazione IPSec in comune accordo,
dovremmo ottenere direttamente a video il messaggio di connessione avvenuta, come qui di
seguito:
Per osservare le fasi di attivazione della VPN direttamente dai log, opportuno avviare la
visualizzazione degli stessi subito dopo aver dato il comando di avvio:
197
RACOON IPSEC SECURITY Imola User Guide
root@IMOLA>
E' interessante notare, come diretta conseguenza del traffico di prova innestato, che all'attivazione
del traffico di prova, arrivano nei log ulteriori messaggi relativi ai pacchetti intercettati dalla crypto
ACL:
In particolar modo, gli ultimi messaggi visualizzati a seguito del transito di pacchetti cifrati
sanciscono la corretta terminazione della transazione di Phase II, con indicazione delle relative SPI
(Security Policy Index).
Per avere la prova che il traffico di test riportato sopra sia effettivamente cifrato da parte del router,
si pu impiegare il packet sniffer Tiesse per visualizzare le caratteristiche dei pacchetti. Per far ci
si consiglia di lanciare il ping esteso riportato sopra e di aprire una nuova connessione al router su
un altro console manager, sul quale andremo a visualizzare il traffico campione col seguente
comando:
Console Manager 1:
root@IMOLA> ping -I 1.1.1.1 3.3.3.3
198
RACOON IPSEC SECURITY Imola User Guide
Console Manager 2:
root@IMOLA> tcpdump -i atm0
loading tcpdump...
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
Si nota chiaramente che il traffico uscente dall'interfaccia ADSL del router contrassegnato con ESP
(Encapsulated Security Paypload). Sono inoltre visibili anche le SPI's (Security Policy Index), relative
al traffico di andata (da 1.1.1.1 a 3.3.3.3) e a quello di ritorno (da 3.3.3.3 a 1.1.1.1), le stesse
visualizzate nei log a conclusione della Phase II.
192.168.203.253 192.168.203.252
esp mode=tunnel spi=158105024(0x096c7dc0) reqid=0(0x00000000)
E: aes-cbc c5b6adf1 97b98227 c97ec3e8 8b2d285e
A: hmac-sha1 f5a745db c6d7b189 6cbc6235 c45a97ac e4c34e44
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Sep 2 18:49:41 2000 current: Sep 2 19:18:43 2000
diff: 1742(s) hard: 3600(s) soft: 2880(s)
last: Sep 2 18:49:42 2000 hard: 0(s) soft: 0(s)
current: 1092(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 13 hard: 0 soft: 0
sadb_seq=1 pid=15951 refcnt=0
192.168.203.252 192.168.203.253
esp mode=tunnel spi=2475738052(0x9390c3c4) reqid=0(0x00000000)
199
RACOON IPSEC SECURITY Imola User Guide
root@IMOLA>
200
TUNNEL L2TP Imola User Guide
TUNNEL L2TP
Per specificare la porta UDP cui inviare le richieste di connessione. Valore di default 1701.
Per abilitare o disabilitare le funzioni di PAT per i pacchetti in uscita sul tunnel.
Per attivare o disattivare una rotta statica di default sul tunnel L2TP.
Per impostare rispettivamente la frequenza con cui vengono inviati i pacchettii ed il numero di
tentativi da effettuare prima di abbattere l'interfaccia i caso di mancate risposte.
201
TUNNEL L2TP Imola User Guide
set l2tp on
set no-l2tp
Bench configurato, il tunnel L2TP non viene attivato automaticamente: la sua attivazione invece
demandata ai comandi di trigger oppure di autocmd.
Ad esempio, dopo averlo configurato, il tunnel L2TP viene attivato nel momento in cui viene
stabilita una sessione GPRS:
set trigger gprs up set l2tp on
NumL2TPTunnels 1
Tunnel MyID 449 AssignedID 53 NumSessions 1 PeerIP 1.1.1.1 State established
Session LAC MyID 18349 AssignedID 55787 State established
ppp13 Link encap:Point-to-Point Protocol
inet addr:13.13.0.2 P-t-P:13.13.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:21 errors:0 dropped:0 overruns:0 frame:0
TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:24414 (23.8 KiB) TX bytes:24414 (23.8 KiB)
TRIGGER L2TP
E possibile configurare dei trigger che verranno eseguiti nel momento in cui viene stabilita la
sessione L2TP con il peer remoto. Ad esempio:
con i quali si invia un messaggio di syslog per notificare lo stato del tunnel e configurare la rotta
verso la rete remota sullinterfaccia PPP13.
202
EASY VPN Imola User Guide
EASY VPN
Il capitolo elenca solamente i parametri fondamentali del modulo EZVpn. Fornire una conoscenza
approfondita del protocollo esula dagli scopi del manuale.
set ezvpn-id
per mascherare cio effettuare il PAT, dei pacchetti in uscita sul tunnel.
203
EASY VPN Imola User Guide
invia un pacchetto DPD (Dead Peer Detection) se non stato ricevuto alcun pacchetto per N secondi.
set ezvpn ike-dh-group dh1|dh2|dh5
TRIGGER EZVPN
E possibile configurare dei trigger che verranno eseguiti nel momento in cui viene stabilita la
sessione VPN con il peer remoto. Ad esempio:
204
QUALITY OF SERVICE Imola User Guide
QUALITY OF SERVICE
INTRODUZIONE
Quality of Service un generico termine dato ai sistemi di accodamento e ai meccanismi attraverso
i quali i pacchetti sono ricevuti o trasmessi su un router. Esso comprende le regole di decisione su
quali pacchetti accettare, se accettarli e a quale velocit instradarli su una interfaccia e altres su
quali pacchetti trasmettere e in quale ordine trasmetterli in uscita dallinterfaccia.
E possibile definire definire un numero a piacere di classificazioni di traffico per le quali si possono
definire un numero a piacere di classi con caratteristiche diverse.
La classificazione del traffico avviene secondo la politica di accodamento HTB (Hierarchical Token
Bucket), mentre il comportamento di accodamento di default di tipo FIFO (First In, First Out).
E possibile definire la banda massima di traffico consentita per questa politica. Specificare la banda
opzionale solo con interfaccia ADSL; in questo caso se la banda non viene specificata, viene
impostata al valore di banda cui il modem si sincronizzato. Lunit di misura il kbits/sec:
E possibile specificare una percentuale di banda disponibile che viene riservata per il traffico non
classificato:
set qos-ext policy <name> reserved-bandwidth <value>
E possibile specificare il burst, cio il numero massimo di bytes che la classe root, padre di tutte
le classi, pu trasmettere, quando autorizzata a trasmettere:
set qos-ext policy <name> bandwidth burst <value>
E inoltre possibile specificare il valore di burst quando la classe root ha superato la banda
garantita e quindi lintero sistema in congestione:
set qos-ext policy <name> bandwidth burst-max <value>
205
QUALITY OF SERVICE Imola User Guide
E possibile specificare un valore di quantum, vale a dire quanta banda, in numero di bytes, una
classe pu prendere in prestito prima che la QoS ceda il controllo ad unaltra classe:
In alternativa alla banda dispnibile, possibile associare alla Policy una queue-discipline di tipo
PRIO, per considersare prioritari i pacchetti associati:
E necessario specificare la banda garantita per la classe. E possibile indicare un valore assoluto in
kbits:
E possibile specificare una banda massima, che la classe non pu superare. Se questo valore non
specificato, alla classe potr essere assegnata parte o tutta la banda eccedente, compatibilmente
con la richiesta di banda da parte delle altre classi configurate:
set qos-ext class <name> bandwidth max <value>
E possibile specificare il burst, cio il numero massimo di bytes che la classe pu trasmettere,
quando autorizzata a trasmettere:
set qos-ext class <name> bandwidth burst <value>
E inoltre possibile specificare il valore di burst quando la classe ha superato la banda garantita e
usa in prestito la banda ancora disponibile:
set qos-ext class <name> bandwidth burst-max <value>
E possibile specificare che la classe prioritaria con una quantit di banda garantita e che il valore
specificato rappresenta anche la massima banda consentita. Il valore pu essere espresso come
valore assoluto o come percentuale della banda disponibile. Tipicamente questa configurazione pu
essere utilizzata per classi di tipo real-time.
I valori di banda possono essere cancellati con uno dei seguenti comandi:
206
QUALITY OF SERVICE Imola User Guide
E possibile associare alla classe una queue-discipline differente da quella FIFO. Quelle disponibili
sono:
set qos-ext no-class <name> qdisc pfifo | sfq |sfqtun
dove sfq indica la disciplina Stocastic Fairness Queue, che concede agli stessi pacchetti la stessa
probabilit di essere serviti. Essa necessario quando la banda di uscita non deterministica (come
per le connessioni mobili) per evitare che particolari flussi monopolizzano tutta la banda a discapito
degli altri.
La politica sfqtun invece la stessa della SFQ, ma applicata quando linterfaccia di uscita un
tunnel GRE.
Le condizioni associate ai filtri vengono applicate sul traffico di ingresso tramite una relazione di
unione (match x or match y or match ).
207
QUALITY OF SERVICE Imola User Guide
set qos-ext class <name> filter match prot <value> dst-port <value>
Per filtrare in base allappartenza ad unaltra classe, si specifica il mark ad essa associata:
Per conoscere quale mark associato ad una classe, utilizzare il seguente comando:
show qos-ext class mark
Nel caso in cui le condizioni associate ai filtri debbano essere applicate tramite una relazione di
intersezione (match x and match y and match ) si deve allocare un filter group nel seguente
modo:
set qos-ext filter-group <name>
N.B.: per questo filtro necessario aggiungere la direttiva che specifica la catena di pre-routing.
208
QUALITY OF SERVICE Imola User Guide
Il filter group deve essere associato ad una classe nel seguente modo:
E possibile specificare che tutto il traffico non filtrato venga destinato ad una classe, specificando
tale classe come classe preselezionata:
set qos-ext class <name> default
Infine possibile associare una priorit ai pacchetti che fluiscono attraverso una classe. La priorit
espressa con un numero intero positivo; minore il valore, maggiore la priorit. Tutte le altri
classi hanno un valore predefinito a 2.
set qos-ext class <name> filter priority <value>
POLICING
E possibile specificare un banda massima di ingresso alla classe:
set qos-ext class <name> filter police <rate>
Il traffico che supera la banda impostata viene sottoposto allazione specificata (al momento solo
drop):
209
QUALITY OF SERVICE Imola User Guide
Una policy con queue discipline PRIO alloca tante bande di priorit quante sono le classi ad essa
associate. Ad ogni classe deve essere assegnata un valore progressivo e consecutivo di priorit a
partire da 1, la priorit pi alta.
Per ogni classe devono inoltre essere specificati i filtri o i filter-groups per classificarne il
traffico.
Le regole di QoS non sono applicate automaticamente allavvio del router, ma devono essere
attivate mediante auto-command:
set autocmd set qos-ext on
oppure su trigger:
N.B.: questa limitazione non pi presente a partire dalla versione NOS X.4.0-8. Pertanto sar
sufficiente aggiungere alla configurazione la direttiva:
set qos-ext on
set no-qos-ext
210
QUALITY OF SERVICE Imola User Guide
class htb RT parent 1:1 prio 1 quantum 3750 rate 300000bit ceil 300000bit burst
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 44700 ctokens: 44700
class htb DATA1 parent 1:1 prio 2 quantum 1000 rate 75000bit ceil 450000bit bur
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 175745 ctokens: 30146
class htb DATA2 parent 1:1 prio 2 quantum 1000 rate 75000bit ceil 450000bit bur
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
211
QUALITY OF SERVICE Imola User Guide
Esempi
Nellesempio seguente viene definita una classe RT, appartenente ad una data policy:
Alla classe RT viene garantita una banda pari al 50% della banda disponibile.
Nella classe fluiscono i pacchetti il cui indirizzo sorgente appartiene alla rete 172.151.1.0:
I pacchetti che fluiscono attraverso la classe sono evidenziati con un valore IP-Precedence pari a 4:
212
QUALITY OF SERVICE Imola User Guide
Se i pacchetti sono instradati in un tunnel GRE necessario che la marcatura del traffico venga fatta
prima dellinstradamento. Si deve allora definire un filter group:
Per riservare una porzione di banda al trafico di controllo del BGP, si pu dichiarare una classe:
set qos-ext class BGP
set qos-ext class BGP policy ...
e farvi fluire i pacchetti che hanno come valore di dscp 0x30 equivalente alla classe dscp cs6:
tc qdisc add dev eth0 root tbf rate 1000kbit latency 50ms burst 20000
tc qdisc del dev eth0 root tbf rate 1000kbit latency 50ms burst 20000
Il comando tc ha effetto immediato per la sessione corrente. Affinch sia valido anche al prossimo
restart, deve essere legato ad uno dei trigger oppure pu essere attivato come autocmd:
set autocmd tc qdisc add dev eth0 root tbf rate 1000kbit latency 50ms burst 20000
213
VLAN E SWITCH Imola User Guide
VLAN E SWITCH
Imola supporta il protocollo 802.1q che permette di costruire LAN virtuali completamente
indipendenti su un solo link fisico. Lheader dei pacchetti LAN viene modificato includendo
lindicazione di un tag che identifica la VLAN e un valore di priorit associato al pacchetto. Sono
possibili fino a 4096 VLAN diverse, ciascuna delle quali pu avere fino a 8 livelli di priorit.
Linterfaccia eth0 per i modelli Imola-LX ed eth1 per tutti gli altri.
<interface>.<vid>
es. eth1.100, cui possibile associare indirizzo IP e Netmask nel seguente modo:
set vlan <vlan-device> ipaddr <value> netmask <value>
E disponibile il comando per mappare uno o pi valori di DSCP (Diffserv Code Point) su un valore di
COS (Class of Service) del protocollo 802.1p:
set vlan <vlan-device> map-to-cos <cos> dscp <dscp_0 ... dscp_7>
Lo switch allinterno del router Imola dispone di 5 porte Fast Ethernet 10/100 autosensitive. Esso
collegato al MAC della CPU di Imola identificata dallinterfaccia ethernet eth1. Nel caso del modello
Imola LX le porte sono 4 e sono collegate al MAC della CPU identificata da eth0.
214
VLAN E SWITCH Imola User Guide
Nella configurazione di fabbrica si trova nella modalit Trasparente: tutte le porte sono equivalenti
e sono abilitate e programmate in auto-negoziazione ed auto-crossover. Su Imola esse corrispodono
alle interfacce: eth1, eth2, eth3, eth4 ed eth5, mentre su Imola-LX alle interfacce eth0, eth1, eth2 ed
eth3. Esse sono in grado di ricevere qualsiasi pacchetto destinata al MAC address di Imola, oppure
allindirizzo di Broadcast o Multicast. Tutte le porte afferiscono allindirizzo IP assegnato
allinterfaccia eth1 (nel caso di Imola Full) o eth0 nel caso di Imola LX.
Nel caso di modello Imola x8xx, cio 8 porte LAN, le porte aggiuntive sono identificate con eth6,
eth7 ed eth8.
Non vi nessuna distinzione tra pacchetti 802.1q tagged e pacchetti 802.1q untagged e la
decisione di accettare o meno un pacchetto tagged dipende esclusivamente dalla CPU di Imola, in
particolare dipende dalla configurazione o meno della VLAN associata a quel tag.
consente di ricevere i pacchetti 802.1q con VLAN id 100 sullinterfaccia eth1.100 ed i pacchetti
senza il VLAN ID (cio i pacchetti 802.3 nativi) sullinterfaccia eth1.
Modalit access: individua una porta che riceve e trasmette pacchetti senza tag 802.1q,
consentendo ad un sistema che non in grado di operare in 802.1q, di partecipare ad una
VLAN 802.1q. Infatti la porta aggiunge il tag 802.1q ai pacchetti in ingresso e lo estrae, se
presente, ai pacchetti in uscita. Il livello di sicurezza configurato per la porta tale che la
porta pu comunicare solo con porte appartenenti alla stessa VLAN 802.1q, individuata
dallidentificativo di VLAN che deve essere specificato al momento della configurazione.
Modalit trunk, individua una porta che riceve e trasmette frames con tag 802.1q. Il livello
di sicurezza tale per cui la porta pu trasmettere e ricevere tutti e solo i pacchetti
appartenenti alle VLAN configurate.
Modalit hybrid, individua una porta che pu riceve e trasmette sia frames con tag 802.1q
che frame senza tag. In caso di assenza di tag, le frame appartengono alla VLAN nativa.
Per configurare una porta dello switch di Imola ad operare in modalit access si usa il comando:
E inoltre necessario associare alla porta un VLAN id che verr utilizzato per il tagging dei pacchetti
in ingresso:
set switch port N vid <value>
Per configurare una porta dello switch di Imola ad operare in modalit trunk si usa il comando:
set switch port N mode trunk
Per operare in modalit trunk ed accettare anche le frame native, si usa il comando:
set switch port N mode hybrid
18
In some OS versions the command syntax is set switch port ethN.
215
VLAN E SWITCH Imola User Guide
In questo caso necessario specificare gli identificativi delle VLAN abilitate ad attraversare la porta:
Mediante il comando:
set switch port N no-crossover
la riabilita.
set switch on
set no-switch
216
VLAN E SWITCH Imola User Guide
Per azzerare tutti i contatori di una porta o di tutte le porte, si usa il comando:
clear_counter switch port [<port-list>]
217
protocollo TACACS Imola User Guide
PROTOCOLLO TACACS
lordine con il quale lautenticazione viene effettuata: questultima pu essere local (per
autenticazione locale mediante database interno) o Tacacs (autenticazione remota);
lindirizzo IP (ed eventuale porta) del Tacacs server;
la chiave mediante la quale la richiesta di autenticazione (prima dellautenticazione di un
utente) si dovr presentare al Tacacs server.
lutilizzo o meno delle funzioni di accounting. Se queste sono abilitate ogni comando
eseguito verr notificato al server e da questi memorizzato nel suo data base.
lutilizzo o meno delle funzioni di autorizzazione. Se queste sono abilitate, prima di
eseguire un comando, viene esplicitamente richiesta lautorizzazione al server e solo in
caso di autorizzazione concessa, il comando viene eseguito.
Il comando
set tacacs authhost <IP> [<IP>]
viene utilizzato per configurare lindirizzo IP del Tacacs server. Opzionalmente possibile
specificare un secondo indirizzo da contattare qualora il primo non risponda.
218
protocollo TACACS Imola User Guide
Il comando:
set tacacs authorder tacacs local
viene utilizzato per configurare lordine con il quale si dovr consentire lautenticazione. La
sequenza contenuta nel comando indica che lautenticazione avverr prima inviando la richiesta di
autenticazione in remoto verso il Tacacs server, e qualora questo non risponda, viene tentata
lautenticazione locale.
Il comando:
set tacacs retries N
Il comando:
indica il timeout (in secondi) di attesa per risposta da parte del Tacacs server.
Il comando:
set tacacs source 172.20.1.1
stabilisce che i pacchetti Tacacs orignati dal router debbano essere inviati utilizzando come IP
sorgente il valore 172.20.1.1. E disponibile anche la forma:
---------------------------------------------------------------
(IMOLA) (port 0)
---------------------------------------------------------------
login: user
Password:
TACACS+: Authentication OK
Service Type is: Login-User
Privilige Level is: 3
Idle timeout is set to 3600 seconds
Connected Users:
pts/0 user@IMOLA
while a super-user:
219
protocollo TACACS Imola User Guide
pu stabilire quali sono i comandi che possono essere eseguiti dagli utenti con privilegio 5. Ad
esempio:
enable 5
ed acquisire il diritto di eseguire i comandi configurati set ADSL, set ISDN e set gprs.
ACCOUNTING E AUTORIZZAZIONE
Gli accessi al router sono controllati da un messaggio di Accounting inviato al server quando viene
effettuata lautenticazione (Accounting Start) ed un messaggio inviato quando la sessione viene
terminata (Accounting Stop).
allora ogni comando eseguito nel corso della sessione verr inviato con un apposito messaggio di
Accounting al server Tacacs. Tale messaggio contiene il nome dellutente connesso, il terminale da
cui stata effettuata la connesione e il comando eseguito.
Per disabilitare le funzioni di Accounting (i messaggi di Start e Stop non possono essere disabiltati)
si usa il comando:
set tacacs no-do-accounting
220
protocollo TACACS Imola User Guide
allora prima di eseguire un comando viene inviata la richiesta di Autorizzazione al Tacacs server e
solo se questo risponde in modo positivo, allora il comando viene eseguito, altrimenti esso viene
rifiutato.
Supponiamo di aver configurato nel Data Base del server lutente chiamato limited al quale
abbiamo dato la possibilit di eseguire solo alcuni dei comandi disponibili. La configurazione del
Data Base varia in funzione del Tacacs server utilizzato, nel nostro esempio essa la seguente:
user = limited {
login = cleartext limited
service = exec {
priv-lvl=15
}
cmd = "set" {
permit "eth1 .*"
permit "gprs apn .*"
permit "isdn dialer ippp1 *"
}
cmd = "ping" {
permit .*
}
cmd = "show" {
deny "interface *"
deny "ip bgp .*"
permit .*
}
cmd = "traceroute" {
permit .*
}
cmd = "shell" {
deny .*
}
cmd = "iptables" {
deny .*
}
}
221
protocollo TACACS Imola User Guide
222
Protocollo RADIUS Imola User Guide
PROTOCOLLO RADIUS
lordine con il quale lautenticazione viene effettuata: questultima pu essere local (per
autenticazione locale mediante database interno) o RADIUS (autenticazione remota);
lindirizzo IP (ed eventuale porta) del RADIUS server;
lindirizzo IP (ed eventuale porta) dellAccount server;
la chiave mediante la quale la richiesta di autenticazione (prima dellautenticazione di un
utente) si dovr presentare al RADIUS server.
inoltre attivabile la possibilit di inviare allAccount server tutti i comandi impostati sulla
interfaccia di configurazione CLI dallutente.
Lautenticazione mediante RADIUS server pu essere effettuata mediante i seguenti comandi CLI:
Il comando
set radius authhost <IP>[:<port>] [<IP>:<port>]
viene utilizzato per configurare lordine con il quale si dovr consentire lautenticazione.
La sequenza contenuta nel comando indica che lautenticazione avverr prima inviando la richiesta
di autenticazione in remoto verso il RADIUS server, ed eventualmente in locale.
223
Protocollo RADIUS Imola User Guide
viene utilizzato per inviare verso gli Account server tutti i comandi di set impostati sulla interfaccia
CLI.
set radius retries 2
specifica il numero di tentativi (nel caso in esame pari a 2) per cui la richiesta di autenticazione sar
inviata al RADIUS server.
set radius timeout 5
indica il timeout (in secondi) di attesa per risposta da parte del RADIUS server.
set radius source 172.20.1.1
stabilisce che i pacchetti RADIUS orignati dal router debbano essere invuati utilizando come IP
sorgente il valore 172.20.1.1. E disponibile anche la forma:
set radius source loopback
224
PROTOCOLLO SNMP Imola User Guide
PROTOCOLLO SNMP
Lagent SNMP risponde solo alle richieste verso indirizzi IP preventivamente abilitati (nella
configurazione di fabbrica sono abilitate solo le richieste locali, dirette allindirizzo 127.0.0.1). Il
comando da impostare per abilitare le risposte verso altre interfacce :
set snmp directive agentaddress 172.16.0.1
dove 172.16.0.1 lindirizzo assegnato ad una delle interfacce locali (loopback, eth0, ).
dove il valore del parametro community deve essere una stringa di caratteri ascii, il valore del
parametro source l'indirizzo IP del manager a cui permesso usare questa community, e il valore
del parametro oid l'object identifier a cui ristretta questa community. Ad esempio la sequenza
di comandi:
set snmp community notsopublic access ro source <ipaddr> oid system
set snmp on
permette laccesso in lettura alla sola porzione di albero sottostante l'object identifier system
tramite la community notsopublic .
Per attivare l'invio delle trap standard (ColdStart, LinkUp, LinkDown, AuthenticationFailure) sono
disponibili i comandi:
Per configurare con quale community e a quali manager le trap devono essere inviate si impiega, ad
esempio, la sequenza di comandi:
set snmp trapcommunity publictrap
set snmp traphost 10.1.10.25
225
PROTOCOLLO SNMP Imola User Guide
set snmp on
Per configurare lindirizzo da utilizzare come sorgente nellinvio delle trap, si impiega il comando:
set snmp trap-source 172.20.1.1
oppure
set snmp trap-source loopback
La configurazione cos implementata stabilisce che le trap standard vengano inviate al manager di
indirizzo 10.1.10.25 sulla porta 162 (di default per la ricezione di trap SNMP) con la community
publictrap.
Per attivare le trap su tentativi di accesso non autorizzati, occorre eseguire la sequenza di comandi:
Per attivare le trap sulle chiamate ISDN, occorre eseguire la sequenza di comandi:
Per configurare i parametri di controllo sulla generazione e l'invio delle trap, occorre eseguire la
sequenza di comandi:
fa s che lo stato delle interfacce venga controllato ogni 30 secondi e che, nel caso in cui i manager
destinatari non rispondano, vengano compiuti 5 tentativi di invio, intervallati da un periodo di 10
secondi. I valori di default sono :
trap-poll-frequency 20
trap-retries 3
trap-timeout 5
Infine, per disabilitare le community e l'invio di trap sono disponibili i seguenti comandi:
226
PROTOCOLLO SNMP Imola User Guide
CONFIGURAZIONE SNMP V3
Lagent SNMP, se opportunamente configurato, in grado di rispondere a richieste SNMP versione 3
(SNMPv3). Le specifiche SNMPv3 riguardano essenzialmente gli aspetti di security ed encryption.
dove MD5 o SHA definisce la modalit di autenticazione, <pass phrase> una password in cui
possibile utilizzare anche spazi, es.: Il mio cane si chiama Fido, e deve essere maggiore o uguale a
8 caratteri.
Nella definizione della modalit di accesso possibile opzionalmente specificare il livello di security
ed eventualmente l'object identifier a cui ristretto laccesso dellutente.
dove DES e AES sono protocolli di encryption. Se il parametro opzionale secret non viene
specificato, come <priv pass phrase> viene assunta essere la stessa <pass phrase> di
autenticazione.
Come esempio supponiamo di voler creare un utente tiesseuser con accesso esclusivamente a
system, in sola lettura e mediante autenticazione. Per far questo sufficiente eseguire i comandi:
Visualizzazione SNMP
Per visualizzare la sequenza di comandi usati per configurare Imola e quindi anche l'agent SNMP
disponibile il comando CLI:
show config current|saved|started oppure show config current | saved | started SNMP
227
PROTOCOLLO SNMP Imola User Guide
L'output generato conterr una sezione di comandi relativi ai parametri SNMP impostati sul router,
come segue:
Per visualizzare i valori dei parametri di configurazione SNMP correnti disponibile il comando CLI:
show snmp
228
PROTOCOLLO NETFLOW Imola User Guide
PROTOCOLLO NETFLOW
FPROBE
Fprobe una sonda, costruita sul protocollo NetFlow, per il monitoraggio passivo dei flussi di rete a
basse (100 Mb/s) ed alte (1 Gb/s) velocit.
PROTOCOLLO NETFLOW
Il protocollo NetFlow nacque per aumentare le performances nella fase di "switching path" in
quanto:
indirizzo IP sorgente
indirizzo IP destinazione
porta sorgente
porta destinazione
protocollo
ToS
intefaccia logica di input
Target
Alcune anomalie di rete sono modellizzabili quindi rilevabili tramite lelaborazione dei dati forniti
da Fprobe.
ricerca di pattern
un host che ne contatta molti in breve tempo (P2P, worm)
flussi di lunga durata (VPN, covert channels)
utilizzo di porte non autorizzate
anomalie sulluso della banda (DoS, warez)
comunicazioni non autorizzate
229
PROTOCOLLO NETFLOW Imola User Guide
Architettura
Le azioni da intraprendere per implementare uninfrastruttura di monitoraggio basata su NetFlow:
CONFIGURAZIONE
Per usare la sonda Fprobe su Imola necessario attivare il servizio. La verifica dellattivazione pu
essere eseguita digitando il seguente comando:
show system
Parametri
I parametri da configurare sono:
230
PROTOCOLLO NETFLOW Imola User Guide
Di default, NetFlow cattura tutti i pacchetti entranti sullinterfaccia dichiarata, ma possibile usare
dei Filtri IP per decidere quali pacchetti analizzare. I filtri IP seguono la sintassi del tool tcpdump.
Filtri
Di seguito alcuni esempi di Filter IP
VERIFICA
Per visualizzare le statistiche relative a NetFlow, possiamo usare il comando:
show netflow.
NetFlow Statistics:
received:0/0 (0) pending:0/0
ignored:0 lost:0+0 dropped:0
cache:0/0 emit:0/0/0
memory:10000/9900 (640016)
dove troviamo:
received:[total packets]/[fragmented] ([total size])
pending:[now in queue]/[maximum]
ignored:[non-ip]
lost:[pending queue full]+[no memory for caching]
dropped:[by kernel]
cache:[flows]/[fragmented]
emit:[sent datagrams]/[sent flows]/[flows in emit queue]
memory:[allocated flows]/[free] ([allocated memory in bytes])
19
Affinch il servizio Netflow sia attivo dopo il riavvio del router necessario inserire il comando di attivazione nella sezione autocmd set
autocmd set netflow on
231
SYSLOG Imola User Guide
SYSLOG
La raccolta dei messaggi di sistema, effettuata mediante il servizio Syslog, pu essere effettuata
verso un server remoto oppure in locale. Per configurare il servizio di log locale si usa il comando:
Per specificare con quale IP sorgente debbano essere inviati i messaggi di syslog verso il server
remoto, si usa il comando:
set log source <local-ip>
oppure
Per evitare che il file cresca a dismisura possibile specificarne la massima lunghezza in termini di
numero di linee con il comando seguente:
set log max-lines <value>
I livelli di log (da 1 a 4) consentono di visualizzare i messaggi di sistema con differenti dettagli:
LOG DESCRIZIONE
livello 1 applicazioni
applicazioni, autenticazione logon utenti, log pacchetti IP in transito e filtrate dalle regole di acl, redirect,
livello 2
source-nat rules.
applicazioni, autenticazione logon utenti, log pacchetti IP in transito e filtrate dalle regole di access-list,
livello 3
redirect, source-nat, accessi Telnet e FTP, attivazione dialer ISDN
applicazioni, autenticazione logon utenti, log pacchetti IP in transito e filtrate dalle regole di access-list,
livello 4 redirect, source-nat, accessi Telnet e FTP attivazione dialer ISDN con messaggi di debug, attivazione
link ADSL
E possibile raccogliere i messaggi di log che arrivano solo da una categoria di messaggi con il
comando:
232
SYSLOG Imola User Guide
local0
local1
local2
local3
local4
local5
local6
local7
E inoltre possibile specificare il livello di gravit dei messaggi che si desiderano raccogliere con il
comando:
set log priority <priority>
set log on
Il logging in locale dei messaggi di sistema pu, per esempio, essere attivato mediante i seguenti
comandi CLI:
Il logging in remoto dei messaggi di sistema pu essere attivato mediante i seguenti comandi CLI:
Per interrompere la visualizzazione dei messaggi, sar necessario premere per una sola volta la
combinazione di tasti <Ctrl+C> .
233
SYSLOG Imola User Guide
E possibile trasferire tutto il contenuto del file di log su un server TFTP tramite il comando:
upload log-file to <tftp-server>
234
SYSLOG Imola User Guide
che causano linvio verso lhost specificato specificato le varie segnalazioni di allarmi prodotte dal
router. Gli alarmi vengono inviati tramite Syslog.
Per specificare con quale IP sorgente debbano essere inviati i messaggi verso il server TFTP, si usa il
comando:
235
PROTOCOLLO DLSW Imola User Guide
PROTOCOLLO DLSW
INTRODUZIONE
Imola supporta la funzione di Data Link Switching (DLSw), meccanismo di forwarding per le reti IBM
SNA basato sul protocollo Switch-to-Switch (SSP) che incapsula le frames SNA in TCP/IP per il
trasporto su Internet. Limplementazione segue le specifiche RFC 1795.
Prima che il data link switching possa iniziare, deve essere stabilita una connessione TCP/IP tra due
estremi DLSw (peers); stabilita la connessione, i due peers si scambiano le capabilities e, a questo
punto, entrambi utilizzeranno il protocollo SSP per stabilire dei circuiti sul transport.
CONFIGURAZIONE DLSW
Il peer locale viene definito tramite il suo indirizzo IP, nel seguente modo:
Se si vuole configurare un keepalive tra il peer locale e il suo partner remoto si usa il comando:
set dlsw local-peer keepalive <seconds>
Se si desidera impostare una finestra di controllo del flusso dei pacchetti scambiati tra i due peers
(pacing window) come definito in RFC 1795, si usa il comando:
Limpostazione predefinita per tale finestra 20. Valori validi sono compresi tra 1 e 2000.
Il peer remoto viene definito tramite il suo indirizzo IP , nel seguente modo:
set dlsw remote-peer ipaddr <ip address>
Al momento della configurazione necessario impostare anche il MAC address dellhost della rete
SNA raggiungibile tramite il peer remoto:
Il MAC address deve essere introdotto come sequenza di 6 bytes separati dal carattere due punti,
hh:kk:xx:yy:ww:zz, usando la notazione esadecimale.
Per configurare una risorsa che raggiungibile dal peer-locale, si deve usare il comando:
set dlsw icanreach mac-addr <mac address> [ mask <value> ]
236
PROTOCOLLO DLSW Imola User Guide
Sia il MAC address che la maschera devono essere introdotti come sequenza di 6 bytes separati dal
carattere due punti, hh:kk:xx:yy:ww:zz, usando la notazione esadecimale.
Quando il router deve decidere la raggiungibilit di un dato MAC address, la maschera viene
applicata in and ad esso; se il risultato ottenuto il MAC address configurato, allora lo stesso
raggiungibile. Se si desidera specificare un singolo MAC address, allora la maschera deve essere
impostata a ff:ff:ff:ff:ff:ff oppure non specificata, essendo questo il valore preimpostato.
E possibile specificare che il MAC address o la famiglia di quelli configurati sono gli unici
raggiungibili dal peer, usando il comando:
Per rimuovere un MAC address dalla lista di quelli raggiungibili, si usa il comando:
E inoltre possibile definire una lista di SAP raggiungibili dal peer locale usando il comando:
set dlsw icanreach saps <value> [ <value> ]
Tutte le informazioni di raggiungibilit vengono inviate dal DLSw locale al partner remoto al
momento dello scambio delle capabilities. In questo modo il partner remoto potr evitare linvio di
messaggi esplorativi (Can-u-reach-ex) con la conseguente riduzione di messaggi sulla connessione.
Inoltre necessario configurare il MAC address del client, nel seguente modo:
set dlc source-mac <mac address>
237
PROTOCOLLO DLSW Imola User Guide
Anche in questo caso il MAC address deve essere introdotto come sequenza di 6 bytes separati dal
carattere due punti, hh:kk:xx:yy:ww:zz, usando la notazione esadecimale.
Al momento della configurazione del peer locale necessario configurare i terminatori locali del
data link, uno per ciascun Service Access Point (SAP), con il seguente comando:
set dlsw dlc-binder sap <local sap> remote-sap <remote sap>
Se si desidera impostare un valore di encoding diverso dal valore di default, nrz, si usa il seguente
comando:
e il baud-rate:
set cdn baud-rate <value>
Si deve infine porre in modalit IP-unnumbered linterfaccia HLDC con il seguente comando:
Si procede poi con la configurazione del SDLC. E necessario configurare linterfaccia fisica :
set sdlc interface hdlc0
Al momento della configurazione del peer locale del DLSw necessario configurare il terminatore
locale del data link associato con il seguente comando:
set dlsw sdlc-binder addr <address>
Poich il DLSw agisce sempre come se connettesse due LAN 802.2, necessario configurare sul
binder sdlc le seguenti informazioni aggiuntive:
238
PROTOCOLLO DLSW Imola User Guide
Il MAC address deve essere introdotto come sequenza di 6 bytes separati dal carattere due punti,
hh:kk:xx:yy:ww:00, usando la notazione esadecimale. Si noti che il byte basso deve essere 00. Il
MAC address associato alla stazione viene costruito partendo dal MAC address virtuale cui viene
sovrapposto nel byte basso lindirizzo della stazione stessa.
239
PROTOCOLLO DLSW Imola User Guide
Per visualizzare lo stato del peer locale e delle sue connessioni si usa il comando:
Per visualizzare i circuiti stabiliti tra il peer locale e il suo partner remoto si usa il comando:
show dlsw circuits
240
PROTOCOLLO DLSW Imola User Guide
La visualizzazione dei circuiti pu essere filtrata in base ad un MAC address, un sap o un id, nel
seguente modo:
show dlsw circuits mac < mac address >
show dlsw circuits sap < sap >
show dlsw circuits id < circuit id >
E infine possibile visualizzare alcune informazioni statistiche sui messaggi SSP scambiati dai peers
con il comando:
show dlsw ssp
ESEMPIO
La configurazione del DLSw si pu estrarre dalla configurazione corrente del router. Senza perdere
in generalit si fa riferimento allo scenario del seguente diagramma. Esso prevede:
un router Imola DLSw collegato in periferia alla rete LAN dei dispositivi di servizio.
Lindirizzo IP assegnato 10.10.0.1.
un router generico DLSw che collega la LAN del CED alla rete internet. Lindirizzo
10.160.0.1
un client, con MAC address 00:0A:01:02:03:04, che colloquia via DLC con lhost remoto
un Host, con MAC address 00:0A:0B:0C:0D:0E, che risponde alle richieste remote via DLC
241
PROTOCOLLO DLSW Imola User Guide
Configurazione
Su Imola vengono eseguiti i seguenti comandi per attivare la connessione DLSw tra i due peers e
verificarne il funzionamento:
set dlsw local-peer ipaddr 10.10.0.1
set dlsw remote-peer ipaddr 10.160.1.1
set dlsw remote-peer target-mac 00:0A:0B:0C:0D:0E
set dlsw on
242
PROTOCOLLO DLSW Imola User Guide
I can Reach Cs
Reach ACK
XID XID
UA Contacted UA
243
Protocollo NTP Imola User Guide
PROTOCOLLO NTP
CONFIGURAZIONE DEL PROTOCOLLO NTP
Mediante il protocollo NTP possibile impostare e mantenere il clock di sistema in sincronia con i
time servers configurati. Il protocollo NTP presente su Imola supporta limplementazione del Simple
Network Time Protocol version 4 (RFC2030) e del Network Time Protocol version 3 (RFC 1305).
Per configurare gli indirizzi IP dei server NTP che si desidera utilizzare per lallineamento della data
di sistema si usa il comando:
set ntp <IP>
Per specificare con quale IP sorgente debbano essere inviati i messaggi verso il server remoto:
set ntp source <local-ip>
Per forzare lallineamento della data di sistema al server NTP si usa il comando:
rdate s <IP>
E buona norma attivare il servizio NTP quando diventa attiva la connessione remota. Ad esempio,
nel caso in cui la connessione avvenga via ADSL, si deve programmare il seguente trigger:
set trigger adsl up set ntp on
E possibile configurare il servizio in modo che distribuisca la data ad eventuali clients che la
richiedano. Il comando da utilizzare per questo :
set ntp listen on <ip-address>
TRIGGER NTP
E possibile programmare dei trigger eseguiti nel momento in cui il router sincronizza la data con il
server NTP. Ad esempio:
set trigger ntp up logger Router has been synchronized
244
ESECUZIONE PIANIFICATA DI COMANDI Imola User Guide
Comandi di configurazione:
set cron on|off
set cron <cron-policy> hour <0-23> min <0-59> day <1-31> [month] <1-12>
Configura <cron-policy> per essere eseguita nel giorno e all'ora/minuti definiti, tutti i mesi nel
caso 'month' non sia definito altrimenti solo per il mese configurato
set cron <cron-plcy> hour <0-23> min <0-59> month <1-12> [dayofweek] <dow>
Configura <cron-policy> per essere eseguita all'ora/minuti definiti solo nel mese configurato,
tutti i giorni nel caso 'day-of-week' non sia definito altrimenti solo per il giorno configurato (Luned,
Marted, Mercoled, Gioved, Venerd, Sabato o Domenica)
set cron <cron-policy> hour <0-23> min <0-59> day-of-week <dow>
Configura <cron-policy> per essere eseguita all'ora/minuti definiti per il giorno della settimana
configurato
Disattiva il cron daemon e rimuove tutte le policy, ripristinando cos la situazione 'factory'
set no-cron <cron-policy>
set date day <1-31> month <1-12> year <2010-2099> hour <0-23> min <0-59>
COMANDI DI VISUALIZZAZIONE
show crontab
245
ESECUZIONE PIANIFICATA DI COMANDI Imola User Guide
show cron
246
ESECUZIONE DI COMANDI IN BASE ALLA POSIZIONE GEOGRAFICAImola User
Guide
I dati di posizionamento sono ricevuti da una sorgente esterna nel formato NMEA.
La configurazione prevede:
Larea viene rappresentata da un cerchio avente come centro una coppia di coordinate geografiche,
latitudine e longitudine ed un raggio specificato.
Le coordinate vengono espresse specificando Latitude e Longitudine nel formato GGA, secondo le
specifiche NMEA:
latitudine: ddmm.nnnnnN/S
longitudine: dddmm.nnnnnE/W
Per indicare che i dati di georefenziazione sono ricevuti da un dispositivo collegato alla porta seriale
del router.
Per indicare che dati di georefernziazione sono ricevuti da un dispositivo GPS interno al router (nel
caso in cui il modello che lo preveda).
set cps nmea-source interface <intf> port <portno> group <mcast- addr>
Per indicare che i dati di georeferenziazione sono ricevuti da un flusso multicast sullinterfaccia di
rete specificata.
247
ESECUZIONE DI COMANDI IN BASE ALLA POSIZIONE GEOGRAFICAImola User
Guide
Per indicare che i dati vengono acquisiti tramite una connessione verso lhost e la porta specificati.
Configura il centro e il raggio dellarea geografica cui dovranno essere associati i comandi da
eseguire. La latititude e la longitudine sono coordinate NMEA mentre il valore del raggio espresso
in metri.
Specifica un commando che deve essere eseguito quando il router entra la prima volta allinterno
dellarea specificata.
Specifica un commando che deve essere eseguito quando il router esce dallarea identificata
dallarea specificata.
set no-cps
Ad esempio, il commando:
specifica che i dati NMEA verranno ricevuti sullinterfaccia come un flusso multicast verso lindirizzo
di gruppo 239.1.1.1 sulla porta UDP 19100.
La sequenza di comandi:
set cps area0 latitude 4525.91000N longitude 00753.41000E radius 1000
set cps area0 description around-ivrea
set cps area0 command in gprsmode no-umts
set cps area0 command in iptables A FORWARD o ppp0 p udp j DROP
causa lesecuzione dei comandi per operare solamente su rete mobile 2G e bloccare tutto il traffico
UDP quando il router si trova in un raggio di 1000 metri dalla posizione specificata, mentre i
comandi
248
ESECUZIONE DI COMANDI IN BASE ALLA POSIZIONE GEOGRAFICAImola User
Guide
I comandi:
set cps area1 latitude 4380.0000N longitude 1125.0000E radius 100
set cps area1 descriprion in-firenze
set cps area1 command in upload log-file to 192.168.121.12
set cps area1 command in hello 192.168.121.12 22000
causano linvio del file di log al server TFTP 192.168.121.12 e il commando di hello verso lo stesso
server e porta 22000.
E possibile in ogni istante visualizzare la posizione corrente del router mediante il comando:
where-i-am
249
PROTOCOLLO DHCP Imola User Guide
PROTOCOLLO DHCP
Con il comando:
set dhcp-server <name> interface <interface>
Per specificare il range degli indirizzi IP a disposizione del dhcp-server si usano i seguenti
comandi:
Seguono le descrizioni di comandi utilizzati per specificare altre informazioni che il dhcp-server
dovr passare ai vari client connessi.
Nel caso di reti di sistemi Microsoft pu essere necessario specificare uno o pi WINS server:
Le directive option verranno discusse in modo pi approfondito nel corso del prossimo
paragrafo dedicato ai processi dhcp-server multipli.
250
PROTOCOLLO DHCP Imola User Guide
mentre il comando:
Infine con:
set no-dhcp-server
Esempio:
dove <name> un identificativo dellistanza e <options> sono i parametri che a tale istanza si
riferiscono.
Questa funzionalit particolarmente utile nel caso in cui sul router siano configurate delle VLAN e
si voglia attivare il servizio su ognuna di esse oppure anche nel caso generale in cui si volesse
configurare il servizio dhcp-server su interfacce diverse.
Ad esempio, supponiamo che siano presenti tre VLAN identificate come eth1.10, eth1.20 ed
eth1.30, aventi indirizzi rispettivamente IP: 172.16.1.1/24, 172.16.2.1/24 e 172.16.3.1/24.
Per attivare il servizio dhcp-server su ognuna di esse, si utilizza il seguente gruppo di comandi:
251
PROTOCOLLO DHCP Imola User Guide
N.B.: Nel caso si disponesse di un router non aggiornato alle ultime releases, potrebbe accadere che la suite di
comandi set dhcp-server <name> <options...> sia non disponibile sul sistema. In tal caso sempre
possibile lutilizzo del comando set udhcp <name> <options...>, presente sui router Tiesse allo scopo
di avere compatibilit con versioni precedenti di firmware.
E possibile inoltre abilitare le funzioni di antispoofing grazie alle quali il router blocca tutto il
traffico su uninterfaccia tranne quello proveniente da un PC cui stato gi assegnato un lease dal
router stesso.
il router imposta delle regole di filtro sui pacchetti che bloccano tutto il traffico in arrivo sulla VLAN
30, tranne le richieste DHCP. Quando viene assegnato un indirizzo IP ad un client, allora viene
abilitato il traffico che ha come IP sorgente lindirizzo rilasciato e come MAC sorgente quello del PC
che ha ottenuto tale indirizzo.
Ad esempio:
set dhcp-server lan directive static_lease 00:24:36:a3:de:d7 172.16.113.100
Ad esempio:
set dhcp-server vlan10 directive logsrv 192.168.1.1
set dhcp-server vlan10 directive tftp www.tiesse.com
252
PROTOCOLLO DHCP Imola User Guide
timesrv indirizzo IP
namesrv indirizzo IP
logsrv indirizzo IP
cookiesrv indirizzo IP
lpsrv indirizzo IP
domain stringa
swapsrv indirizzo IP
rootpath stringa
mtu valore numerico
nisdomain stringa
nissrv indirizzo IP
tftp stringa
staticroutes subnet nexthop
msstaticroutes subnet nexthop
sipsrv indirizzo IP
oaigateway indirizzo IP
Ad esempio per distribuire le rotte statiche tramite lopzione staticroutes si procede con:
Inoltre possibile configurare direttamente il valore delle opzioni che il server dhcp-server deve
distribuire, mediante una specifica di pi basso livello e caratterizzando le opzioni da impostare
come sequenza di caratteri esadecimali (hex), sequenza di caratteri ascii (ascii), oppure come in
indirizzo IP (ip). Il tutto viene chiarito con un esempio illustrativo:
Ad esempio, per specificare le opzioni 120, 152 e 160 usate da alcuni telefoni IP :
set dhcp-server lan directive option 120 hex 010a0a0b0b
set dhcp-server lan directive option 152 ip 10.10.10.11
set dhcp-server lan directive option 160 ascii http://172.20.1.24
Infine, a riguardo del modo di inserimento delle directive option di basso livello appena
introdotto, bene ricordare sempre che per evitare malfunzionamenti sul servizio dhcp-server,
tali direttive devono sempre essere specificate come comandi finali di una configurazione. Per
illustrare il tutto mediante un esempio, questo vuol dire che la seguente configurazione:
253
PROTOCOLLO DHCP Imola User Guide
vivamente sconsigliata e ad essa deve essere preferita la seguente, che riporta le direttive
dhcp-server di basso livello nella parte finale della codifica:
dove <client-ifname> l'interfaccia del router Imola verso i client DHCP interni, <server-
ifname> linterfaccia di collegamento verso il dhcp-server. Opzionalmente pu essere
specificato direttamente lindirizzo IP del server [server-ipaddr].
N.B.: importante ricordare che affinch il servizio dhcp-relay possa essere attivato al successivo
reload del sistema, il precedente comando deve essere eseguito come trigger di qualche evento
oppure come autocmd.
Particolare attenzione va prestata ai casi in cui una interfaccia cui il servizio fa riferimento pu non
essere sempre operativa, in tal caso come quello del seguente esempio relativo ad una interfaccia
ADSL pu essere eseguita l'attivazione del servizio dhcp-relay in modo condizionato alla
funzionalit dell'interfaccia di collegamento:
set trigger adsl up dhcprelay eth0 atm0
254
PROTOCOLLO DHCP Imola User Guide
show dhcp-server
255
TIMEZONE Imola User Guide
TIMEZONE
CONFIGURAZIONE DEL TIMEZONE O FUSO ORARIO
Il timezone corretto per l'Italia GMT-1 d'inverno e GMT-2 d'estate, rispettivamente per l'ora solare
e per l'ora legale.
In alternativa si possono utilizzare MET o CET (Middle o Central Europe Time), che in aggiunta
consentono di effettuare il passaggio automatico ora legale/ora solare.
256
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
Gli eventi sui quali possibile attivare dei trigger sono sostanzialmente legati allo stato operativo di
una qualsiasi interfaccia di rete:
ADSL
eth0
eth1
GPRS
GRE
ISDN
pptp
NTP
VRRP
backup
timer-tick
GPRS-tc
DHCP client
openvpn
IPSec
Allo stesso modo se al momento della disattivazione della interfaccia ADSL lutente desidera
disattivare il servizio bgp dovr configurare il trigger:
257
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
Lo stato di backup pu essere attivato mediante verifica della raggiungibilit di un indirizzo remoto.
Ad esempio:
set backup check-interval 5
set backup check-retries 3
set backup check-wait 1
set backup checking-ipaddress 10.10.1.1 via icmp through-interface atm0
Ogni 5 secondi viene mandato un messaggio di ICMP request (ping) all'indirizzo 10.10.1.1: se
entro 1 secondo e per 3 volte consecutive non si ha risposta, il router attualizza lo stato di backup,
cio il router entra nello stato di backup.
Mediante appositi trigger, al passaggio allo stato di backup possono essere attivate delle azioni, ad
esempio:
set trigger backup up set gprs on
set trigger backup up set rip on
Una volta entrato nello stato di backup, Imola continua a controllare la raggiungibilit dellindirizzo
IP specificato e quando questo nuovamente disponibile si rientra dallo stato di backup,
eseguendo delle azioni programmate, ad esempio:
con tali comandi nel momento in cui Imola entra nello stato di backup, cio lindirizzo specificato
non raggiungibile, aumenta la priorit del protocollo VRRP diventando di fatto Master VRRP e
quindi il default gateway della rete (vedi paragrafo VRRP).
Un modo molto utile di programmare il router Imola per l'esecuzione di azioni ripetute a cadenze
temporali prefissate costituito dallimpiego del trigger timer-tick.
Per limpiego di questo comando deve essere preliminarmente specificata la frequenza temporale
(in secondi) con cui il router genera levento timer-tick.
258
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
Allo stesso modo, al momento della disattivazione del tunnel GRE, lutente potr cancellare la
stessa rotta mediante il seguente trigger:
set trigger gre down ip route del 10.1.10.0/24 via 10.10.254.1
In tal modo il controllo del traffico avr inizio con l'attivazione della sessione GPRS e verr
disattivato quando la sessione terminer.
Si imposta un valore di soglia di 10K per il traffico in ingresso ed un valore di 20K per il traffico in
uscita. Il controllo si effettua ogni 60 secondi. Se in 60 secondi il traffico in ingresso oppure quello
in uscita supera il valore di soglia impostato viene eseguito il comando specificato dal trigger set
gprs-tc up, che invia un messaggio di log verso un determinato Host. Viceversa, se in 60 secondi
il traffico inferiore ai valori di soglia viene eseguito il comando specificato dal trigger set
trigger gprs-tc down.
20
La disponibilit del tunnel GRE controllata solo e soltanto se al momento della definizione del tunnel stato configurato
il meccanismo di keep-alive.
259
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
In tal modo il controllo del traffico avr inizio con l'attivazione della sessione GPRS e verr
disattivato quando la sessione terminer.
Si imposta un valore di soglia di 60Kbyte per il traffico in ingresso e per quello in uscita. Il controllo
si effettua ogni 10 secondi. Se in 10 secondi il traffico in ingresso oppure quello in uscita supera il
valore di soglia impostato viene eseguito il comando specificato dal trigger set isdn-tc up, che
attiva il secondo canale ISDN (preventivamente configurato in MLPPP). Viceversa, se in 10 secondi il
traffico inferiore ai valori di soglia viene eseguito il comando specificato dal trigger set trigger
isdn-tc down.
si controlla ogni 5 secondi lo stato dellinterfaccia pvc0 (Frame relay). Quando questo down si
eseguono le azioni specificate mediante i due comandi: set trigger ifstate down pvc0.
Quando lo stato del PVC attivo si eseguono le azioni specificate mediante i due comandi: set
trigger ifstate pvc0.
Levento generato a fronte del superamento delle soglie viene codificato nel seguente modo:
set trigger cpu-threshold rise <command>
set trigger cpu-threshold fall <command>
Ad esempio, per codificare una notifica SNMP dellevento si usa la seguente sintassi:
260
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
Questi comandi sono presenti a partire dalla versione software 1.0.9. Nelle versioni precedenti sono
presenti i comandi:
set adsl backup
set adsl extbackup
che sono stati mantenuti per compatibilit anche nella versione attuale.
La disponibilit del collegamento principale viene verificata utilizzando uno dei seguenti criteri, cui
corrisponde una determinata forma del comando set backup:
Il collegamento principale viene dichiarato non disponibile se non viene ricevuto alcun
pacchetto di tipo ICMP-echo-reply dopo N tentativi di trasmissione. Il numero di tentativi, il
tempo di attesa della risposta ad ogni tentativo e lintervallo tra un gruppo di tentativi e il
successivo sono configurabili mediante i comandi:
possibile specificare il valore da inserire nel campo Type of service (TOS) dei pacchetti
trasmessi.
E possibile definire una lista di interfacce su cui effettuare la verifica mediante il comando:
set backup checking-ipaddress a.b.c.d via icmp through-interface <ifn1,ifn2 .. ifnN>
261
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
In questo caso i pacchetti ICMP vengono inviati verso lindirizzo a.b.c.d utilizzando linterfaccia
ifn1, in caso di fallimento si inviano i pacchetti utilizzando linterfaccia ifn2. La linea primaria
viene dichiarata indisponibile se lindirizzo IP non raggiungibile mediante alcuna delle
interfacce specificate.
E possibile definire una lista di indirizzi IP cui spedire i pacchetti di tipo ICMP:
In tal caso il backup viene attivato se nessuno degli indirizzi della lista risponde ai comandi di
ICMP.
Attraverso linterfaccia ifn1 si tenta di raggiungere uno degli indirizzi della lista. Se nessuno
risponde si utilizza linterfaccia ifn2 e cos via.
ed attivare il backup se almeno uno degli indirizzi della lista non risponde ai comandi di ping.
Il collegamento principale viene dichiarato non disponibile se il pacchetto spedito non viene
ricevuto dopo N tentativi di trasmissione. Il numero di tentativi, il tempo di attesa della risposta
ad ogni tentativo e lintervallo tra un gruppo di tentativi e il successivo sono configurabili
mediante i comandi:
Mediante il comando:
set backup check-tos N
possibile specificare il valore da inserire nel campo Type of service (TOS) dei pacchetti
trasmessi.
3. Invio periodico di un pacchetto di tipo UDP verso un determinato indirizzo IP e una porta
attraverso una determinata interfaccia di rete. Il comando necessario :
set backup checking-ipaddress a.b.c.d via udp through-interface <ifname>
Il collegamento principale viene dichiarato non disponibile se non viene ricevuta alcuna risposta
dallhost specificato dopo N tentativi di trasmissione. La porta UDP cui inviare i pacchetti si
configura mediante il comando:
set backup check-port N
Il numero di tentativi, il tempo di attesa della risposta ad ogni tentativo e lintervallo tra un
gruppo di tentativi e il successivo sono configurabili mediante i comandi:
262
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
Il collegamento principale viene dichiarato non disponibile se non possibile effettuare una
connessione TCP con il servizio dellhost specificato.
Il numero di tentativi, il tempo di attesa della risposta ad ogni tentativo e lintervallo tra un
gruppo di tentativi e il successivo sono configurabili mediante i comandi:
set backup check-retries N
set backup check-wait T1
set backup check-interval T2
la forma:
con la quale il controllo verso lhost specificato viene effettuato soltanto se in undeterminato
intervallo di tempo non stato ricevuto alcun carattere sullinterfaccia specificata., oppure il
numero di caratteri ricevuti minore di una soglia configurata. Ad esempio:
set backup checking-ipaddr-if-rx-idle 1.1.1.1 via icmp through-interface atm0 rx-threshold 500
attiva linvio dei pacchetti di ping se nellintervallo spcificato stato ricevuto un numero di
caratteri inferiori a 500.
263
TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI Imola User Guide
E possibile limitare il controllo alla ricezione di una sola network mediante lopzione watched:
La frequenza di verifica della disponibilit delle rotte dinamiche viene configurata con il
comando:
set backup check-interval T
dove <action> pu essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni
viene configurata mediante una sequenza di comandi:
set trigger backup up <action1>
set trigger backup up <action2>
set trigger backup up <actionN>
Mentre Imola si trova nello stato di backup, il criterio continua ad essere verificato e quando questo
di nuovo soddisfatto vengono eseguite tutte le azioni preventivamente specificate con il comando:
La sintassi la stessa del comando set backup <opzioni> tranne per la parte iniziale del comando
che rappresenta lidentificativo della condizione:
set extbackup <0-7> <opzioni>
Dove <opzioni> sono le stesse del comando set backup e il numero <0-7> lidentificativo del
backup
I comandi di trigger possono essere associati alla corretta condizione di test, mediante il comando:
264
POLICY ROUTING Imola User Guide
POLICY ROUTING
Il meccanismo di Policy Routing permette di effettuare delle decisioni sullinstradamento dei
pacchetti oltre che in base allindirizzo di destinazione anche su altri paramteri, quali ad esempio
lindirizzo IP sorgente, il tipo di protocollo, la porta sorgente o destinazione, il campo TOS (o DSCP)
dellheader di IP o una qualsiasi combinazione dei campi dellheader IP.
split access
load balancing
SPLIT ACCESS
Si vuole separare il traffico proveniente dai due PC, in particolare il traffico proveniente da
10.10.10.11 deve essere inoltrato da Imola su rete ADSL, cio sullinterfaccia atm0, mentre il
traffico originato da 10.10.10.12 deve essere inoltrato su interfaccia PPP0 e quindi su rete GPRS.
265
POLICY ROUTING Imola User Guide
dove i primi due comandi servono a creare due differenti tabelle di routing: una per i pacchetti
provenienti da 10.10.10.11/32 e laltra per i pacchetti provenienti da 10.10.10.12, mentre i
secondi stabiliscono le rotte di instradamento in funzione della tabella di routing.
Come gi esaminato nei capitoli precedenti, un metodo pi sofisticato consiste nel combinare il
comando iptables ed il comando IP. Ad esempio, tutti i pacchetti provenienti da 10.10.10.11 e
diretti alla porta 8899 devono essere instradati su rete GPRS , tutti gli altri su rete ADSL:
iptables t mangle A PREROUTING p tcp dport 8899 s 10.10.10.11/32 j MARK set-mark 0x22
ip rule add fwmark 0x22 table 22
ip route add default via 3.3.3.2 dev ppp0 table 22
ip route add default via 1.1.1.2 dev atm0
LOAD BALANCING
I pacchetti in uscita dal router Imola devono essere trasmessi in modalit round-robin su entrambe
le due interfacce di rete:
ip route add default scope global nexthop via 1.1.1.2 dev atm0 weight 1 nexthop via 3.3.3.2 dev gprs weight 1
A causa del meccanismo di caching delle rotte, il bilanciamento del traffico potrebbe non essere
distribuito in maniera uniforme sulle due interfacce.
266
RESPONDER TIME REPORTER Imola User Guide
Con i comandi:
set rtr frequency <seconds>
set rtr timeout <millisec>
set rtr lifetime <seconds>
set rtr pkt-size <bytes>
set rtr tos <value>
possibile configurare rispettivamente la frequenza (in secondi) con cui inviare il probe, il tempo di
attesa (in millisecondi) della risposta al probe, la durata del probe (0 corrisponde ad una durata
infinita), la dimensione del pacchetto di probe (in bytes), il valore (da 2 a massimo 254) del Type of
Service.
inoltre possibile scegliere che il probe venga costituito da unoperazione di icmp echo request,
dallinvio di un pacchetto UDP o infine, una richiesta di connessione ad un dato servizio, verso un
dato indirizzo di destinazione. I comandi utili a tali scopi sono i seguenti:
definisce che il probe costituito da un pacchetto ICMP echo request verso l'indirizzo dst-addr (e
con eventuale indirizzo sorgente src-addr).
set rtr type udpEcho dst-addr <valuedst-port> <value> [src-addr <value> [src-addr <value>]]
definisce che il probe costituito da un pacchetto UDP verso l'indirizzo dst-host e porta dst-
port. possibile specificare anche l'indirizzo sorgente src-addr con cui deve essere trasmesso il
pacchetto. In questo caso obbligatorio specificare anche la porta sorgene src-port. Esempio:
set rtr type udpEcho dst-addr 192.168.206.1 dst-port 1234 src-addr 192.168.206.38 src-port 11000
set rtr type tcpConnect dst-addr <valuedst-port> <value> [ src-addr <value> [src-addr <value>]]
definisce che il probe costituito da una richiesta di connessione al servizio dst-port verso
l'indirizzo dst-host.
Con il comando:
set rtr threshold N
si definisce un valore di soglia superato il quale verranno eseguite le azioni configurate con il
comando set rtr reaction-event, descritto successivamente.
set rtr reaction-event ifFailure <command>
esegue il comando fornito come argomento, nel caso in cui loperazione di probe impostata fallisca,
cio nel caso in cui non si ottenga risposta per un numero di volte pari al valore specificato dal
parametro threshold.
267
RESPONDER TIME REPORTER Imola User Guide
esegue il comando nel caso il probe fallisca ma precedentemente avesse avuto successo.
esegue il comando nel caso in cui il probe abbia successo e precedentemente fosse fallito.
possibile configurare con la stessa sintassi illustrata fino ad un massimo di 4 comandi RTR: RTR, RTR1,
RTR2, RTR3.
Specificando largomento config si ottiene la visualizzazione della configurazione del servizio RTR,
con un output simile a:
Specificando largomento statistics si ottiene la visualizzazione dei dati statistici del RTR, che sono:
268
RESPONDER TIME REPORTER Imola User Guide
Infine con largomento status si ottiene la visualizzazione dello stato del servizio RTR, con un
output simile a:
IP SLA RESPONDER
E possibile configurare il router in modo da rispondere ai probe ricevuti mediante i comandi:
set rtr responder local-port NNN
dove local-address l'indirizzo IP dell'interfaccia del router su cui verranno ricevuti i pacchetti di
probe. Il responder si mette in ascolto su due porte locali:
sulla porta 9998 supporta il protocollo RTR proprietario Tiesse (descritto nel paragrafo
precedente). possibile configurare tale porta locale tramite il parametro local-port.
sulla porta standard 1967 supporta il protocollo IP SLA Cisco.
Jitter
One Way Delay
Round Trip Delay
Packet Loss
Le risposte generate sono conformi alle funzioni di IPsla-Source (IP SLA Querier) dei router Cisco.
269
Gestione delle configurazioni aggiornamento software Imola User Guide
set checkpoint
permette di creare un checkpoint del router, utile per salvare la configurazione relativa ad un
determinato istante.
Tramite il comando
restore checkpoint
Ad esempio:
set checkpoint-1
crea un punto di ripristino che in qualsiasi momento pu essere richiamato mediante il comando:
restore checkpoint-1
270
Gestione delle configurazioni aggiornamento software Imola User Guide
con i comandi deve risiedere su un sistema dove attivo il server TFTP. Ad esempio, il file
GPRS.cli.txt si trova sul server 192.168.1.1 e contiene i comandi CLI:
il primo trasferisce il file localmente ad Imola ed il secondo esegue i comandi contenuti al suo
interno.
Viceversa per scaricare su un server TFTP la configurazione corrente di Imola si possono usare i
seguenti comandi:
Per specificare con quale IP sorgente debbano essere inviati i messaggi verso il server TFTP remoto,
si usa il comando:
set tftp source <local-ip>
oppure
set tftp source loopback
inoltre possibile memorizzare in un file i comandi man mano che questi vengono eseguiti e
successivamente salvarli sul server TFTP:
record in /tmp/myconf.cli.txt
set adsl encap rfc1483-llc
set adsl pvc atm0 ipaddr 83.1.1.1 nexthop 83.1.1.2
set trigger adsl up ip route default dev atm0
no-record
upload command-file /tmp/myconf.cli.txt to 192.168.1.1
271
Gestione delle configurazioni aggiornamento software Imola User Guide
A parte casi molto rari, laggiornamento del software consiste nel caricare una nuova versione di
uno dei packages presenti. Ad esempio, supponendo che sia disponibile la versione 1.1.2 (pi
recente di quella installata) del pacchetto HSDPA per la gestione del collegamento UMTS/HSDPA,
lutente riceve due file, chiamati HSDPA_1.1.2.tgz ed upgrade_hspa.sh e li copia sul suo server
TFTP.
I primi due comandi trasferiscono su Imola i due file ed il terzo provvede ad installare ed
attualizzare il nuovo modulo.
A partire dalle versioni di sistema operativo superiori alla versione x.3.0 disponibile il comando:
update nos <os-name.tgz> <ip-addr> [blksize <32-65464>]
il quale scarica tramite protocollo TFTP il file <os-name.tgz> contenente una versione completa del
firmware e la installa sul router, dopo aver effettuato tutti i controlli di integrit previsti. Il
parametro opzionale blksize se specificato viene utilizzato come block size per il trasferimento
tFTP.
E possibile specificare lindirizzo IP da utilizzare come sorgente dei pacchetti TFTP mediante il
comando
set tftp source <local-ipaddr>
oppure
272
Gestione delle configurazioni aggiornamento software Imola User Guide
E anche possibile effettuare il trasferimento del firmware tramite protocollo FTP invece che TFTP
mediante il comando:
273
CAVEAT Imola User Guide
CAVEAT
Tuttavia, per un insieme di comandi, tale regola non applicabile: per questi infatti lesecuzione in
effetto nel corso della sessione corrente non viene automaticamente richiamata dopo un restart del
router .
Per assicurare la loro esecuzione automatica, dopo un eventuale reboot del router, necessario
lanciare gli stessi in dipendenza di comandi di trigger (per maggiori dettagli a riguardo consultare il
capitolo relativo alla configurazione dei trigger ed alla gestione degli stati di backup).
Seguono alcuni esempi volti a chiarire limpiego di questo tipo di esecuzioni automatiche
programmate.
Ad esempio, supponendo di aver configurato un tunnel GRE nella sessione corrente, nel seguente
modo:
set gre generic tunnel-source 1.1.1.1
set gre generic tunnel-destination 2.2.2.2
set gre generic tunnel-addr 100.100.100.1/30
....
Con il comando set gre generic on il tunnel sar attivo per tutta la durata della sessione
corrente, ma non sar ripristinato al boot successivo.
274
CAVEAT Imola User Guide
Mediante il comando:
set autocmd set gre generic on
A titolo di esempio, per subordinare lesecuzione del precedente Tunnel GRE alla disponibilit
dellinterfaccia GPRS, potr essere salvato sul router il seguente comando:
set trigger gprs up set generic gre on
In tal modo il tunnel verr attivato solo al momento della attivazione della interfaccia GPRS .
Linterfaccia si considera attiva quando ad essa vengono assegnati gli indirizzi IP classici di una
connessione punto-punto.
Per maggiori ragguagli sulle funzionalit accennate si rimanda al capitolo relativo alla
configurazione dei trigger ed alla gestione degli stati di backup.
ROUTING TABLES
Il comando set route viene utilizzato per aggiungere una rotta statica. Oltre ad aggiungere la
rotta, esso modifica la configurazione in modo tale che la stessa rotta verr aggiunta al prossimo
reboot (purch sia stato effettuato il salvataggio della configurazione).
set route host 1.2.3.4 dev atm0
Sono possibili vari modi alternativi per aggiungere delle rotte statiche. Ad esempio
set adsl pvc atm0 default-route
in questo modo viene attivata una rotta di default sull'interfaccia atm0. Oppure:
Il comando ip viene eseguito al momento della attivazione dell'interfaccia atm0 (ADSL). Pu essere
usato in varie forme tra le quali:
ip route add default dev atm0
ip route add default via <nexthop>
Le rotte aggiunte direttamente mediante il comando ip hanno precedenza rispetto alle rotte
aggiunte mediante il comando set route e a qualle acquisite tramite protocolli di routing.
PROTOCOLLO GRE
Sebbene lhelp lo preveda, lutilzzo della keyword gre allinterno di alcuni comandi potrebbe
produrre dei messaggi di errore. Questo succede ad esempio per i comandi: dei comandi:
iptables
275
CAVEAT Imola User Guide
set redirect
set source nat
set access-list
In tal caso invece della parola gre bisogna utilizzare il valore numerico 47.
ESEMPI DI CONFIGURAZIONE
DHCP server
Configurazione del servizio DHCP su una delle interfacce LAN del router (es. eth0) e distribuzione
di indirizzi IP, IP Wins, DNS e Domain Info.
set dhcp-server <DHCP-POOL-NAME> interface <INTERFACE>
set dhcp-server <DHCP-POOL-NAME> start-address <IP-START-ADDRESS>
set dhcp-server <DHCP-POOL-NAME> end-address <IP-END-ADDRESS>
set dhcp-server <DHCP-POOL-NAME> router <GATEWAY-IP>
set dhcp-server <DHCP-POOL-NAME> subnet <SUBNET-MASK>
set dhcp-server <DHCP-POOL-NAME> lease-time <LEASETIME(s)>
set dhcp-server <DHCP-POOL-NAME> dns <DNS1-IP-ADDR> <DNS2-IP-ADDR>
set dhcp-server <DHCP-POOL-NAME> wins <WINS-IP-ADDR>
set dhcp-server <DHCP-POOL-NAME> directive option domain <MYDOMAIN>
set dhcp-server <DHCP-POOL-NAME> on
Nel caso in cui si avesse bisogno di specificare pi indirizzi WINS da distribuire, al posto del
precedente comando:
set dhcp-server <DHCP-POOL-NAME> wins <WINS-IP-ADDRESS>
Per utilizzare le possibili opzione del servizio DHCP si consulti il capitolo relativo.
276
CAVEAT Imola User Guide
277
CAVEAT Imola User Guide
si stabilisce che sulla porta 1 dello switch possono transitare pacchetti Ethernet contenenti i tag
(VLAN id) 802.1q 2, 3 e 4 e questi saranno consegnati rispettivamente alle VLAN eth1.2, eth1.3 ed
eth1.4, mentre sulle restanti porte possono transitare i pacchetti Ethernet senza il tag 802.1q e
questi saranno consegnati allinterfaccoia eth1.10
Esempio di valorizzazione:
278
CAVEAT Imola User Guide
Al fine di permettere lo scambio dati con lesterno viene impostata una regola di NAT per i pacchetti
provenienti dalla LAN privata.
Esempio di valorizzazione:
279
CAVEAT Imola User Guide
Connessione HDSL
Viene descritta una configurazione di base per linterfaccia HDSL con ip privato sullinterfaccia LAN
eth1 ed un indirizzo ip pubblico sullinterfaccia eth0.
Al fine di permettere lo scambio dati con lesterno viene impostata una regola di NAT per i pacchetti
provenienti dalla LAN privata.
set eth0 ipaddr <PUBLIC-IP> netmask <NETMASK-IP-PUBLIC>
set eth0 on
Esempio di valorizzazione:
set eth0 ipaddr 80.21.88.177 netmask 255.255.255.240
set eth0 on
280
CAVEAT Imola User Guide
Esempio di valorizzazione:
281
CAVEAT Imola User Guide
set eth1 on
Per il corretto funzionamento del tunnel, lindirizzo ip rilasciato allinterfaccia mobile deve essere
statico.
set eth0 ipaddr 10.10.113.1 netmask 255.255.255.252
set eth0 on
282
CAVEAT Imola User Guide
Lautenticazione verso il RADIUS avviene sia in modalit dinamica sia CHAP che PAP. Qualora il
RADIUS non supporti lautenticazione CHAP ma solo quella PAP, allora necessario aggiungere i
seguenti comandi:
Esempio di valorizzazione:
set eth0 ipaddr 10.10.113.1 netmask 255.255.0.0
set eth0 on
283
CAVEAT Imola User Guide
284
CAVEAT Imola User Guide
set eth0 on
Al fine di permettere lo scambio dati con lesterno viene impostata una regola di NAT per i pacchetti
provenienti dalla LAN privata.
285
CAVEAT Imola User Guide
set iptables -t nat -A POSTROUTING -s <PRIVATE-LAN>/N -o atm0 -j SNAT --to < PUBLC-IP>
Esempio di valorizzazione:
286
CAVEAT Imola User Guide
Viene configurato un indirizzamento privato interno sulla LAN eth1 ed un indirizzo ip del pool di
indirizzi pubblici sullinterfaccia eth0.
Al fine di permettere lo scambio dati con lesterno, viene impostata una regola di NAT per i
pacchetti provenienti dalla LAN privata. Inoltre viene impostata la segnalazione della condizione di
Backup via SMS verso un determinato numero telefonico.
287
CAVEAT Imola User Guide
288
CAVEAT Imola User Guide
Nel caso in cui si vuol ripetere periodicamente ogni giorno alle ore 12:05 linvio del messaggio SMS
fino a quando la linea viene ripristinata bisogna aggiungere i seguenti comandi:
set cron repeat-sms hour 12 min 5
set cron repeat-sms command send-sms -d <PHO-NUM> adsl DOWN BACKUP ACTIVATED
set trigger backup up set cron on
set trigger backup down set cron down
Esempio di valorizzazione:
289
CAVEAT Imola User Guide
Alla classe RT viene assegnato il traffico voce, la banda specificata tiene conto delloverhead ATM.
Viene inoltre assegnata la massima priorit (1), viene assegnato il traffico con IPP 5 e il traffico con
DSCP 46. Il traffico non classificato viene assegnato alla classe BE, ad essa viene assegnato il 100%
della banda rimanente.
set no-qos-ext
290
CAVEAT Imola User Guide
Alla stessa classe viene assegnata la massima priorit (1) e viene assegnato il traffico con IPP 5 e il
traffico con DSCP 46. Il traffico non classificato viene assegnato alla classe BE: ad essa viene
assegnato il 100% della banda rimanente.
set no-qos-ext
set qos-ext policy voip
set qos-ext policy voip interface hdlc0
set qos-ext policy voip bandwidth 1650
Configurazione LOOPBACK
set loopback ipaddr <ip-address>
set loopback on
Configurazione SNMP
set snmp directive agentaddress <local-ip-address>
set snmp community <nome-community-read> access ro
set snmp community <nome-community-rw> access rw
set snmp traphost <ip-address-manager>
set snmp trap-source loopback
set snmp no-specific-interface
set snmp on
291
CAVEAT Imola User Guide
Lopzione
set snmp directive agentaddress
deve essere ripetuta per ogni indirizzo su cui si vogliono ricevere richieste SNMP.
Configurazione TACACS
set tacacs authhost <ip-address-server>
set tacacs retries 2
set tacacs timeout 2
set tacacs key <password>
set tacacs source loopback
set tacacs on
Configurazione RADIUS
set radius authhost <ip-address-server>
set radius accthost <ip-address-server>
set radius retries 2
set radius timeout 1
set radius secret <ip-address-server> <password>
set radius source loopback
set radius on
La porta di default utilizzata 1812 per le richieste di Autenticazione e 1813 per le richieste di
accounting.
E possibile specificare pi di un server e utilizzare una porta diversa da quelle di default usando la
seguente sintassi:
Configurazione BANNER
Per configurare un banner di sistema a bordo di un router Tiesse vengono impiegati comandi aventi
la seguente sintassi:
292
CAVEAT Imola User Guide
i quali costituiscono una sequenza di direttive con cui si costruisce sull'apparato la pagina da
visualizzare durante l'accesso remoto al router.
Con l'ultimo comando set banner on, il router attiva la modalita' di display del banner di sistema
e lo rende visibile durante accessi dall'esterno autenticati via radius o tacacs
Si presti attenzione al fatto che sfortunatamente, il router ha una limitazione intrinseca nel gestire
input da tastiera relativamente a caratteri classificati come speciali, ad esempio: "$", "%", "/", "&" e
simili.
Per aggirare detta restrizione e` possibile utilizzare ugualmente tali caratteri, preparando il proprio
banner in un semplice file di testo. In tal modo sara` possibile utilizzare tutti i caratteri ASCII senza
limiti.
293