Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
07
Tiesse 1
IMOLA User Guide - Rev.24 Ver. 06
Luglio, 2004
Maggio, 2005
Ottobre, 2005
Maggio, 2006
Dicembre, 2006
Febbraio, 2007
Aprile, 2007
Agosto, 2007
Dicembre, 2007
Gennaio, 2008
Maggio, 2008
Agosto, 2009
Ottobre, 2009
Dicembre,2009
Maggio, 2010
Ottobre, 2010
Novembre, 2010
Febbraio, 2011
Aprile, 2011
Luglio, 2011
Settembre, 2011
Dicembre, 2011
Gennaio, 2012
Aprile, 2012
Maggio, 2012
Giugno, 2012
Ottobre, 2012
Dicembre, 2012
Marzo, 2013
Luglio, 2013
2 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Se presenti, le antenne, sia GSM che wi-fi, devono essere posizionate ad almeno 20
cm dalle persone.
Tiesse 3
IMOLA User Guide - Rev.24 Ver. 07
ai sensi dell’art.13 del Decreto Legislativo 25 luglio 2005, n.151: “Attuazione delle
Direttive 2002/95/CE, 2002/96/CE e 2003/108/CE, relative alla riduzione dell’uso di
sostanze pericolose nelle apparecchiature elettriche ed elettroniche, nonché allo
smaltimento dei rifiuti”.
4 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Introduzione ......................................................................................... 11
Accedere ad Imola ............................................................................... 17
Versione Software e Modello ............................................................................... 18
Accesso mediante porta ttyS0 ............................................................................... 18
Accesso mediante porta eth0 o eth1 ...................................................................... 19
Accesso mediante porta ISDN BRI ....................................................................... 19
Username e Password ........................................................................................... 20
Concedere e Revocare Privilegi ............................................................................ 21
Livelli di Privilegio e Comando enable ................................................................. 22
Accesso tramite SSH ............................................................................................ 25
Procedura di Password Recovery .......................................................................... 25
Reboot del router .................................................................................................. 26
Default settings ..................................................................................................... 26
Configurazione di Imola ...................................................................... 27
La procedura di configurazione ............................................................................ 27
Guida ai comandi CLI .......................................................................................... 30
Interfaccia Ethernet ............................................................................. 32
Configurazione dell’interfaccia ............................................................................. 32
Comando detect-link-state .................................................................................... 34
Visualizzazione stato interfaccia ........................................................................... 34
Significato LED interfaccia Ethernet .................................................................... 36
Trigger Ethernet ................................................................................................... 36
Trigger DHCP Client ............................................................................................ 37
Gestione porte Ethernet: mii-tool .......................................................................... 37
Interfaccia ISDN .................................................................................. 39
Comandi per la configurazione dell’interfaccia ISDN ........................................... 39
Significato LED ISDN.......................................................................................... 47
Trigger ISDN ....................................................................................................... 48
Verifica Sessione ISDN ........................................................................................ 48
Controllo di traffico .............................................................................................. 49
Interfaccia ADSL ................................................................................. 51
Configurazione ..................................................................................................... 51
Visualizzazione .................................................................................................... 53
Comando oamping ............................................................................................... 56
Significato dei LED .............................................................................................. 57
Trigger ADSL ...................................................................................................... 57
Interfaccia SHDSL ............................................................................... 58
Configurazione ..................................................................................................... 58
Visualizzazione .................................................................................................... 61
Significato dei LED .............................................................................................. 62
Trigger SHDSL .................................................................................................... 62
Interfaccia Frame Relay ...................................................................... 63
Configurazione ..................................................................................................... 63
Visualizzazione .................................................................................................... 65
Interfaccia Mobile ................................................................................ 67
Configurazione ..................................................................................................... 67
Visualizzazione .................................................................................................... 72
Significato dei LED .............................................................................................. 77
Tiesse 5
IMOLA User Guide - Rev.24 Ver. 07
6 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 7
IMOLA User Guide - Rev.24 Ver. 07
8 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 9
IMOLA User Guide - Rev.24 Ver. 07
10 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
INTRODUZIONE
IMOLA è una linea di dispositivi di rete che offrono funzioni di Router in
configurazioni wired e wireless (in questo caso supportando connessioni
GPRS/EDGE e UMTS/HSDPA/HSUPA/LTE). È progettato per connettere tra loro
siti locali e remoti, in particolare in tutti i casi in cui siano esigenze primarie la
sicurezza, la continuità del servizio e le prestazioni della rete.
Tiesse 11
IMOLA User Guide - Rev.24 Ver. 07
Le versioni Imola 0220, 0320, 0320, 4320, 4200, 4300 e 0800 sono disponibili anche
con alimentatore esterno e denominate Imola LX, in questo caso la porta ISDN BRI
non è presente e lo switch presenta 4 porte Fast Ethernet invece di 5. Negli altri casi
per identificare un modello generico si adotta il termine Imola Full.
12 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
1
La disposizione dei led e la relativa etichetta possono variare in funzione del modello di
router
Tiesse 13
IMOLA User Guide - Rev.24 Ver. 07
Il significato è il seguente:
• led Pw ACCESO: indica che il modem GPRS
interno è operativo in modo corretto.
All’accensione del router il led normalmente è
spento. Esso viene acceso dopo aver richiesto
l’attivazione dell’interfaccia GPRS.
• led Link LAMPEGGIANTE ad intermittenza veloce
(alcune accensioni al secondo): indica la fase di
sincronizzazione con la centrale
• led Link LAMPEGGIANTE ad intermittenza lenta
(un'accensione ogni 1-2 secondi): indica la corretta
connessione alla rete
• led Link ACCESO FISSO: indica che la connessione
attiva è di tipo GSM (solo se il router è stato
espressamente configurato per questa funzione),
altrimenti indica che la rete è UMTS
• led Data acceso indica che la connessione GPRS è
attiva: l’interfaccia dispone di un indirizzo IP per
trasmettere e ricevere tramite la rete GPRS.
INTERFACCIA HDSL • led verde v35 ACCESO: indica che il Router ha
rilevato la presenza della rete.
INTERFACCIA SHDSL • led verde link ACCESSO: indica che il router ha
rilevato la presenza della rete
• led vede data LAMPEGGIANTE viene utilizzato per
indicare attività di traferimento dati
• Supporto ACLs
• Supporto Autenticazion e Accounting tramite RADIUS
• Supporto AAA tramite TACACS+
• Funzioni di NAT/PAT
• Funzioni Stateful Firewalling
• VPN con IPSec 3DES Encryption
• Tunnel GRE
• Tunnel PPtP
• Tunnel Open VPN
• Tunnel Easy VPN
• Advanced Routing (Policy Routing)
• Routing RIP, OSPF, BGP e supporto BFD
• Muticast con IGMP Proxy
• Supporto PIM (Protocol Indipendent Multicast - routing Multicast)
• Ottimizzazione di banda con il QoS (Quality of Service)
• Supporto VRRP (Virtual Router Redundant Protocol)
• Funzioni di IP SLA con Responder Time Reporter
14 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 15
IMOLA User Guide - Rev.24 Ver. 07
16 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
ACCEDERE AD IMOLA
L’accesso al router può essere effettuato mediante la porta console tramite apposito
cavo null modem, utilizzando un qualsiasi programma di emulazione di terminale
(hyperterm, minicom, ..) oppure tramite connessione telnet verso uno degli indirizzi IP
presenti su Imola.
I modelli Imola Full dispongono di una porta singola Fast Ethernet identifcata con il
termine eth0 e di uno switch integrato a 5 porte numerate da 1 a 5. Nella
configurazione di fabbrica tutte le porte dello switch asseriscono ad un unico indirizzo
IP e l’interfaccia logica è chiamata eth1.
In caso di connessione diretta alla singola del modello Imola Full (porta eth0) è
necessario usare un cavo LAN cross, mentre il tipo di cavo è ininfluente se si collega
ad una delle porte dello switch integrato, essendo prevista la funzionalità di auto-mdx:
Per i modelli con due solo porte Ethernet, senza lo switch le porte sono associate a
due interfacce logiche distinte chiamate rispettivamente eth0 ed eth1.
2
Benché più utenti possano essere collegati al router, è opportuno che solo uno di questi
effettui le modifiche alla configurazione, per evitare effetti indesiderati.
Tiesse 17
IMOLA User Guide - Rev.24 Ver. 07
root@Imola> who
Connected Users:
ttyp1 root
ttyp2 root
Oltre ai router con versione 4.x.y-N, sono stati prodotti router la cui versione è del
tipo 1.x.y-N e router con versioni del tipo 2.x.y-N. Da un punto di vista funzionale
non vi è alcuna differenza: la prima cifra identifica la piattaforma hw utilizzata per la
produzione.
Il valore del major number cambia in caso di funzionalità rilevanti, ad esempio con il
supporto del protocollo IPv6 si passa dalla release 4.3.1 alla release 4.4.0.
Il valore del minor si incrementa quando si aggiungono funzionalità indipendenti che
non impattano le altre funzioni software. Ad esempio con l’aggiunta del supporto
Tacacs si passa dalla release 4.3.0 alla release 4.3.1.
Il suffisso N indica il numero di build. Esso si incremente in caso di bug-fixing di
minore entità che in generale non richiedono l’esecuzione di test di non regressione.
Ad esempio effettuando una correzione all’interno del modulo che gestisce le funzioni
di IPSLA si passa dalla release 4.3.1-0 alla release 4.3.1-1.
18 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Volendo utilizzare la porta ttyS0 per l'accesso ad Imola, occorre essere sicuri che il
sistema impiegato per connettersi e dialogare con Imola sia configurato in accordo
alle impostazioni riportate nella seguente tabella:
login: root
Password: *********
Imola# cli
Service Type is: Administrative-User
Idle timeout is set to 600 seconds
Connected Users:
ttyS0 root
Impostazioni eth0/eth1:
Porta eth0 Porta Eth1
IP Address 10.10.113.1 172.151.113.1
Netmask 255.255.0.0 255.255.0.0
Broadcast 10.10.255.255 172.151.255.255
Network Address 10.10.0.0 172.151.0.0
Nel caso di modello con switch LAN integrato (Imola X2X0), la connessione alla
porta eth1 avviene mediante una qualsiasi delle porte dello switch stesso.
Impostazioni ISDN :
Nella configurazione di default, Imola accetta sulla porta ISDN BRI chiamate da
qualsiasi numero. L’utente da utilizzare per l’attivazione della sessione PPP è pppuser
Tiesse 19
IMOLA User Guide - Rev.24 Ver. 07
USERNAME E PASSWORD
Per accedere ad Imola è necessario specificare login e password:
La configurazione di fabbrica di Imola riconosce la seguente login e relativa
password:
LOGIN: root
PASSWORD: tiesseadm
change_password root
20 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Gli utenti aggiunti tramite il comando add_user sono di tipo Login. Il comando su
permette di passare dalla modalità Login a quella Administrative. Ad esempio:
set hostname
per cambiare il nome del router, ma il comando fallisce a causa dei mancati privilegi.
Si esegue allora il comando su, specificando correttamente la password si entra nella
modalità Administrative, e si cambia l’hostname. Con il comando quit si ritorna
all’utente precedente. Da notare l’ultimo carattere del prompt: il carattere # in caso di
Login-User ed il carattere > in caso di Administrative-User.
Il comando:
Tiesse 21
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio, supponiamo che siano stati definiti gli utenti operatore e tecnico,
rispettivamente di tipo Login-User e Administrative-User. Normalmente l’utente
operatore può solo controllare la configurazione, ma non può intervenire su di essa,
mentre l’utente tecnico può modificarla senza alcun vincolo. I comandi:
Attenzione al caso in cui sia presente un solo utente Admnistrative, ad esempio root. I
comandi:
22 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Mentre un livello N eredita i privilegi dei livelli inferiori, per passare ad un livello
superiore è necessario conoscere la password associata a quel livello.
Il comando:
eseguito da un utente abilitato stabilisce che a livello N possono essere eseguiti tutti i
comandi che iniziano con il prefisso specificato. Ad esempio, utilizzando:
si specifica che gli utenti che hanno ricevuto un livello di privilegio 3, potranno
eseguire tutti i comandi di configurazione dell’interfaccia adsl.
show privilege
enable N
Tiesse 23
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio,
supponiamo che un utente superuser abbia impostato sul router i seguenti comandi:
---------------------------------------------------------------
(IMOLA) (port 0)
---------------------------------------------------------------
login: poor
Password:
TACACS+: Authentication OK
Service Type is: Login-User
Privilige Level is: 1
Idle timeout is set to 3600 seconds
Connected Users:
pts/0 poor@IMOLA
poor@IMOLA# enable 3
Password: ********
$enable3$@IMOLA#
$enable3$@IMOLA# show privilege
24 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
$enable3$@IMOLA# disable
poor@IMOLA#
poor@IMOLA#
poor@IMOLA# show privilege
Current privilege level is 1
Nel caso in cui l’accesso al router sia regolato dal server Tacacs, anche il controllo
della password di enable viene effettuato dal server. Tuttavia se vogliamo ottenere
l’accesso al router dal server Tacacs e controllare localmente le password di enable,
allora bisogna impostare il comando:
mentre con
set ssh2-enabled
set no-ssh2-enabled
Tiesse 25
IMOLA User Guide - Rev.24 Ver. 07
ripristino della configurazione di fabbrica. Il valore della login può essere quello di
default, oppure è possibile concordare con il cliente un valore riservato solo ad esso.
Utilizzando tale login si accede direttamente all’ambiente di configurazione, senza
passare attraverso la shell di Linux.
reboot
Al riavvio, tutte le modifiche non salvate, tramite il comando save, verranno perse.
Il controllo viene restituito all’utente, in modo che possono essere eseguiti eventuali
altri comandi.
no-schedule-reboot
DEFAULT SETTINGS
La configurazione di default di Imola prevede:
26 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
CONFIGURAZIONE DI IMOLA
Per effettuare la configurazione di Imola l'operatore ha a disposizione una interfaccia
a caratteri denominata Command Line Interface (CLI).
LA PROCEDURA DI CONFIGURAZIONE
La procedura di configurazione di Imola prevede le fasi:
• di configurazione
• di verifica
• di attivazione dei parametri
• di salvataggio
set
save
restore
La configurazione saved è quella salvata sulla flash di Imola con il comando save ed
è quella con la quale l'apparato si attiverà al prossimo boot.
Tiesse 27
IMOLA User Guide - Rev.24 Ver. 07
Dopo aver eseguito il comando save, la configurazione current diventa anche saved
e sarà quella con cui si attiverà l'apparato al prossimo boot.
È possibile visualizzare il contenuto dei tre diversi profili di configurazione mediante
il comando:
sync-config
La sintassi è la seguente:
28 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
<watch-ip>
indica un indirizzo di cui inviare dei pacchetti di ping dopo aver applicatio la nuova
configurazione.
<tmout>
indica n tempo di attesa prima di iniziare l’invio dei ping.
<rstr>
Il parametro può essere assente oppure può assumere il valore 1. Nel secondo caso
indica se deve essere effettuato un nuovo reboot del router dopo aver applicato la
nuova configurazione.
Il significato è il seguente:
dove:
• la configurazione checkpoint-1 è quella salvata con il comando:
set checkpoint-1
• la configurazione checkpoint-2 è quella salvata con il comando:
set checkpoint-2
• la configurazione current è quella contenente tutti i valori impostati nella fase di
configurazione
• la configurazione saved è quella salvata sulla flash di Imola con il comando save
ed è quella con la quale l'apparato si attiverà al prossimo boot.
• la configurazione started è quella con la quale l'apparato si è attivato al boot.
Tiesse 29
IMOLA User Guide - Rev.24 Ver. 07
show checkpoint-list
Figura 2: alcuni comandi disponibili con la doppia pressione del tasto <TAB>
root@Imola> set
access-list no-access-list no-radius
adsl no-adsl no-redirect
alias no-alias no-rip
autocmd no-autocmd no-route
backup no-backup no-snmp
banner no-banner no-source-nat
bgp no-bgp no-trigger
checkpoint-1 no-default-gateway no-vrrp
checkpoint-2 no-dns ntp
comment no-eth0 ospf
default-gateway no-eth1 pos
dns no-gprs ppp
eth0 no-gre proxy
eth1 no-host qos
gprs no-ipsec radius
30 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Figura 4: help in linea automatico per comandi inseriti in modo non corretto
Il comando:
show version
show system
Tiesse 31
IMOLA User Guide - Rev.24 Ver. 07
INTERFACCIA ETHERNET
CONFIGURAZIONE DELL’INTERFACCIA
Le interfacce Ethernet di Imola sono denominate eth0 ed eth1. L’interfaccia eth0 è
quella più a sinistra, normalmente viene utilizzata come porta di servizio. Se presente,
lo switch LAN è collegato alla porta eth1. Sui modelli LX, l’eventuale switch LAN
con 4 porte è collegato invece alla porta eth0.
set eth0|eth1 on
set no-default-gateway
set no-default-gateway
32 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
In questo modo il router viene visto con lo stesso indirizzo IP sia attraverso la porta
eth0 che attraverso la eth1. Per ripristinare invece la configurazione con due porte si
usa:
Per aggiungere una voce alla lista degli host si utilizza il seguente comando CLI:
Ad esempio, per impostare e rimuovere l'alias per l'interfaccia eth0 con indirizzo IP
10.10.10.3/24 si procede come nel seguente esempio:
Tiesse 33
IMOLA User Guide - Rev.24 Ver. 07
Nel caso in cui sia presente lo switch i parametri della connessione dovranno essere
impostati mediante appositi comandi descritti nella sezione relativa alle funzioni di
Switch.
Sui modelli di router Imola-LX oppure Lipari è presente solamente la porta eth0.
COMANDO DETECT-LINK-STATE
E’ da tenere presente che una volta configurata, l’interfaccia Ethernet è sempre
disponibile indipendentemente dal suo stato operativo: il router risponde sempre ad
eventuali richieste che arrivano sull’indirizzo IP associato all’interfaccia. Se tali
richieste vogliono essere inibite, occorre utilizzare il comando:
detect-link-state <interface-name>3
Oltre alle interfacce LAN, tale comando vale per tutte le interfacce configurate, in
particolare vale anche per le VLAN.
34 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Indirizzo IP
Netmask
Broadcast
MAC_Address
show arp
mentre per visualizzare l'elenco degli hosts aggiunti su un router Imola viene
impiegato il comando
show hosts
Seguono alcuni esempi significativi degli output a video dei comandi descritti nel
presente paragrafo.
IP Address: 11.11.1.1
Netmask: 255.255.0.0
Broadcast: 11.11.255.255
MAC Address: 00:0D:5A:04:6F:F6
DHCP-Client: no
Tiesse 35
IMOLA User Guide - Rev.24 Ver. 07
TRIGGER ETHERNET
E’ possibile definire delle azioni da eseguire al variare dello stato dell’interfaccia
operativa delle porte ethernet mediante i comandi:
dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando
Linux supportato da Imola. Una sequenza di azioni viene configurata mediante una
sequenza di comandi:
L’esecuzione delle azioni avviene secondo l’ordine con cui sono state impostate.
Ad esempio mediante i comandi:
set trigger eth0 up logger Ethernet0 is up
set trigger eth0 down logger Ethernet0 is down
36 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando
Linux supportato da Imola. L’esecuzione delle azioni avviene secondo l’ordine con
cui sono state impostate.
Ad esempio mediante i comandi:
set trigger dhcp up logger We got an address
set trigger dhcp up ip route add 131.151.10.12 via 10.10.254.254
set trigger dhcp down logger Ethernet is not ready
descritto nella sezioen relativa. Attivato con le apposite opzioni, le funzionalità offerte
dal comando sono sostanzialmente le seguenti:
• effettuare il reset della porta, forzando la velocità di negoziazione a 10Mbps
• forzare il restart della autonegoziazione
• fissare la velocità della porta ad uno specifico valore
• effettuare il restart della negoziazione, specificando però le velocità accettate
dalla porta
• modificare la funzionalità di crossover delle porte switch
• effettuare il monitor dello stato delle porte
Tiesse 37
IMOLA User Guide - Rev.24 Ver. 07
A seconda del valore assunto dal campo 17 del registro MII possiamo capire la
configurazione della funzionalità di crossover:
38 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
INTERFACCIA ISDN
Una dialer map è una interfaccia logica che consente una connessione (in uscita o in
ingresso) verso un utente remoto.
La configurazione di fabbrica di Imola prevede 2 dialer map:
La configurazione di una dialer map (per esempio la dialer ippp0) che accetti
esclusivamente chiamate in ingresso viene effettuata con l'utilizzo dei seguenti
comandi:
Tiesse 39
IMOLA User Guide - Rev.24 Ver. 07
Il comando set isdn dialer ippp0 eaz <all|number> viene utilizzato per
configurare il numero di telefono che accetterà le connessioni in ingresso: solo le
chiamate entranti destinate a quel numero saranno accettate.
La chiave all consente di accettare le chiamate a prescindere dal numero chiamato.
Se viene configurato un numero di telefono non esistente, per esempio il numero
999999, la dialer map rifiuterà qualsiasi chiamata che non sia destinata a quel numero
ed essendo il numero non esistente, di conseguenza sarà rifiutata qualsiasi chiamata.
Il comando set ppp login <user> password <password> viene utilizzato per
popolare il database di autenticazione degli utenti.
Il database sarà utilizzato durante la fase di autenticazione delle chiamate in uscita ed
in ingresso.
Per verificare la configurazione della dialer appena attivata può essere utilizzato il
comando show interface isdn dialer ippp0, il cui output viene mostrato nella
seguente figura:
40 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Il comando set isdn dialer ippp1 eaz <all|number> viene utilizzato per
configurare il numero di telefono che accetterà le connessioni in ingresso: solo le
chiamate entranti destinate a quel numero saranno accettate.
La chiave all consente di accettare le chiamate provenienti da qualsiasi numero.
Se viene configurato un numero di telefono non esistente, per esempio il numero
999999, la dialer map rifiuterà qualsiasi chiamata che non sia destinata a quel numero
ed essendo il numero non esistente, di conseguenza sarà rifiutata qualsiasi chiamata,
stabilendo in questo modo che la dialer ippp1 è usata solo per chiamate uscenti.
Il comando set isdn dialer ippp1 out-number <number> viene utilizzato per
configurare il numero di telefono verso il quale la dialer map si dovrà connettere.
Il comando set isdn dialer ippp1 login <user> viene utilizzato per configurare
l'utente che sarà utilizzato per l'autenticazione al momento della connessione al
numero di telefono chiamato.
Nel caso in cui gli indirizzi saranno assegnati dal sistema remoto, può essere usata la
forma: set isdn dialer ippp1 ipaddr 0.0.0.0
Il comando set isdn dialer ippp1 masquerade viene utilizzato per consentire l’invio
dei pacchetti IP utilizzando come IP address sorgente l’indirizzo locale associato alla
dialer, ovvero sull’interfaccia dialer verranno effettuate operazioni di NATP.
I comandi set isdn dialer ippp1 accept-remote-ip e set isdn dialer ippp1
accept-local-ip definiscono la modalità in base alla quale verrano assegnati gli
indirizzi sull’interfaccia ippp1. Il funzionamento è descritto in seguito.
Il comando set isdn dialer ippp1 dialmode manual viene utilizzato per
stabilire la modalità di attivazione della chiamata: la modalità manual consente la
attivazione della chiamata solo in modo manuale, mediante il comando isdnctrl
dial ippp1 ; invece la modalità auto consente di attivare la chiamata ISDN in
maniera automatica sulla prima richiesta di trasmissione sull’interfaccia ippp1.
set access-list dial-isdn prot <prot> port <value> from <src> to <src>
Tiesse 41
IMOLA User Guide - Rev.24 Ver. 07
È inoltre possibile utilizzare entrambi i canali ISDN sulla singola connessione logica
(connessione multilink).
Per abilitare la connessione multilink possono essere utilizzati i comandi:
42 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
EAZ/MSN: 999
Phone number(s):
Outgoing: 0125201010
Incoming:
Dial mode: manual
Secure: off
Callback: off
Reject before Callback: off
Callback-delay: 5
Dialmax: 1
Hangup-Timeout: 60
Incoming-Hangup: on
ChargeHangup: off
Charge-Units: 0
Charge-Interval: 0
Layer-2-Protocol: hdlc
Layer-3-Protocol: trans
Encapsulation: syncppp
Slave Interface: ippp62
Slave delay: 10
Slave trigger: 6000 cps
Master Interface: None
Pre-Bound to: Nothing
PPP-Bound to: 1
root@Imola> show interface isdn status
ISDN Status and Statistics:
irq=28 io=24000000 led=25000000
link status = up, chan B1 status = active, chan B2 status = active
link up = 00000009, link down = 00000009
chan B1 activations = 00000008, chan B1 deactivations = 00000007
chan B2 activations = 00000007, chan B2 deactivations = 00000006
D-frames rcvd = 00000533, D-frames sent = 00000188, D-rxowf = 00000000
B1-frames rcvd = 00000350, B1-frames sent = 00000172, B1-rxowf = 00000000
B2-frames rcvd = 00000056, B2-frames sent = 00000056, B2-rxowf = 00000000
E` possibile configurare, sia per le chiamate in ingresso che per le chiamate in uscita,
la modalità di subaddressing .
Nel caso di utilizzo del router collegato a linee ISDN di tipo punto-punto, invece che
punto-multi-punto, occorre impostare il comando:
Invece il comando:
Vengono di seguito riportati alcuni esempi di configurazione in base alla modalità con
cui devono essere assegnati gli indirizzi dell’interfaccia ippp1. I casi sono:
Tiesse 43
IMOLA User Guide - Rev.24 Ver. 07
44 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Sia prima che dopo la chiamata ISDN l’interfaccia si presenta nel modo seguente:
Dopo l’attivazione della sessione ISDN l’interfaccia ippp1 si presenta nel modo
seguente:
Tiesse 45
IMOLA User Guide - Rev.24 Ver. 07
Vengono indicati:
Call Type tipo chiamata (incoming/outgoing)
Calling Number numero di telefono chiamante
Called Number numero di telefono chiamato
Sec. Used tempo di occupazione della linea
Setup Time durata setup ISDN
Term. Cause codice della causa della disconnessione
Txed Bytes/Rxed Bytes byte trasmessi e ricevuti
Per quanto riguarda il codice riportato nella colonna Term. Cause, il valore identifica
la modalità di chiusura della chiamata: se la disconnect viene effettuata a seguito di un
evento remoto, il codice di chiusura sarà maggiore di 128 .
46 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Infine il comando nativo isdnctrl, descritto nel seguito del manuale, può essere
utilizzato per gestire direttamente le dialer isdn .
Per stabilire invece quale traffico deve innescare la chiamata isdn, si usa il comando
set access-list dial-isdn, in una delle seguente forme:
set access-list dial isdn prot <prot> port <value> from <sorgente>
to <destinazione>
set access-list dial isdn prot <prot> sport <value> from <sorgente>
to <destinazione>
set access-list dial-isdn prot udp port all from any to any
Tutti i pacchetti UDP in transito dal router, provenienti da qualsiasi sorgente verso
qualsiasi destinazione attivano la chiamata isdn.
set access-list dial-isdn prot udp port 2000:4000 from any to any
per indicare tutti i pacchetti UDP con porta destinataria compresa tra 2000 e 4000.
set access-list dial-isdn prot udp sport 1010 from this to 7.7.7.7
per indicare tutti i pacchetti originati localmente (keyword this) con porta sorgente
1010 verso 7.7.7.7 .
Tiesse 47
IMOLA User Guide - Rev.24 Ver. 07
TRIGGER ISDN
E’ possibile definire delle azioni da eseguire quando viene attivata e deattivata una
chiamata ISDN, rispettivamente mediante i comandi4:
dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando
Linux supportato da Imola. Una sequenza di azioni viene configurata mediante una
sequenza di comandi:
L’esecuzione delle azioni avviene secondo l’ordine con cui sono stati impostati.
Ad esempio mediante la sequenza di comandi:
si imposta una rotta statica verso l’host 12.12.12.12 e si invia il messaggio di log
“ISDN is up” quando la connessione ISDN viene attivata, mentre si elimina la rotta
e si invia il messaggio di log “ISDN is down” quando la sessione ISDN viene
terminata.
Per cancellare un trigger si utilizzano i comandi:
set no-trigger isdn up <action>
set no-trigger isdn down <action>
isdnchat <numero-di-telefono>
attiva una sessione Q.931 senza innescare la fase di autenticazione PPP. Esso è utile
per verificare il funzionamento della sola linea telefonica.
Il comando:
isdnping <ip-address>
permette di attivare una chiamata sulla dialer ippp1 senza innescare gli effetti
collaterali dei trigger. Ess attiva una connessione isdn utilizzando i parametri della
dialer ippp1 ed esegue una serie di ping verso l'ip specificato senza l'intervento dei
trigger “isdn up” e “isdn down”.
4
I comandi di trigger hanno significato ed effetto solamente sulla dialer map ippp1. Sono
ininfluenti se la dialer attiva è invece ippp0.
48 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Un esempio di utilizzo ed output del comando, in caso di esito positivo, sono visibili
nella seguente figura:
CONTROLLO DI TRAFFICO
È possibile configurare il router in modo da effettuare il controllo del traffico in
ingresso ed in uscita sull'interfaccia ISDN. In particolare si può configurare un valore
di soglia ed innescare degli eventi quando il traffico in una data unità di tempo è
superiore od inferiore a tale soglia5.
5
I comandi di traffic control hanno significato ed effetto solamente sulla dialer map ippp1.
Sono ininfluenti se la dialer attiva è invece ippp0.
Tiesse 49
IMOLA User Guide - Rev.24 Ver. 07
50 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
INTERFACCIA ADSL
CONFIGURAZIONE
I modelli Imola XX10 supportano solo connessioni ADSL, mentre i modelli XX20
supportano sia connessioni ADSL che connessioni ADSL2+.
set adsl on
set no-adsl
Tiesse 51
IMOLA User Guide - Rev.24 Ver. 07
Per configurare vpi (valore tipico 8), vci (valore tipico 35) e il Peak Cell Rate (valore
tipico 0):
set adsl pvc atm0|…|atm7 vpi <value> vci <value> [pcr <value>]
Per configurare il valore del timer rate (valori tipici 10, 50, 100 millisecondi),
fornendo un valore in millisecondi:
oppure a seconda delle informazioni ricevute dal Provider, potrebbero essere usati i
comandi:
set adsl pvc atm0|…|atm7 ipaddr <value>
set adsl pvc atm0|…|atm7 no-nexthop
set adsl pvc atm0|…|atm7 netmask <value>
6
Per connessioni di tipo PPPoA e PPPoE è ammesso un solo PVC.
52 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Quando si utilizza invece il tipo di incapsulamento pppoa (PPP over ATM) oppure
pppoe (PPP over Ethernet), occorre definire login e password che saranno usate per
l'autenticazione:
Nei modelli Imola XX20 è possibile configurare la tipologia di traffico ATM per PVC
nel seguente modo
dove service-type può assumere i valori UBR, VBR e RTVBR. Inoltre, per il traffico
VBR e RTVBR è possibile specificare, oltre al PCR, i valori per SCR (Sustainable Cell
Rate) e per MBS (Maximum Burst Size), nel seguente modo:
set adsl pvc atm0|…|atm7 scr <value>
set adsl pvc atm0|…|atm7 mbs <value>
Tiesse 53
IMOLA User Guide - Rev.24 Ver. 07
VISUALIZZAZIONE
È possibile visualizzare informazioni riguardanti la configurazione, i pvc, le
statistiche e lo stato dell'interfaccia ADSL. Il comando CLI è il seguente:
show interface adsl config|pvc|statistics|status
Ad esempio, il comando:
show interface adsl config
è invece:
Nel caso di incapsulamento PPP over ATM oppure PPP over Ethernet l’output del
comando è il seguente:
54 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Il comando:
Errors Data
---------------------------------------------------------------------------
Near End Data Far End Data
CRC (Interl/Latency-0): 6793 0
CRC (Fast/Latency-1): 0 0
FEC (Interl/Latency-0): 64572 0
FEC (Fast/Latency-1): 0 0
HEC (Interl/Latency-0): 55677 0
HEC (Fast/Latency-1): 0 0
No cell delineation (Bearer-1): yes none
Tiesse 55
IMOLA User Guide - Rev.24 Ver. 07
COMANDO OAMPING
Il coamdo oamping permette di verificare lo stato del collegamento inviando una cella
OAM di tipo F5. Un esempio di utilizzo è il seguqnete:
56 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Nei router Imola XX20 lo stato dell'interfaccia ADSL viene indicato mediante 2 led di
colore verde, etichettati con le seguenti denominazioni: Link e Data.
Il led Link acceso indica che il modem è stato inizializzato con successo.
Il led Data acceso indica che la fase di sincronizzazione con la centrale è stata
effettuata con successo e che il modem è in stato operativo.
TRIGGER ADSL
E’ possibile definire delle azioni da eseguire quando viene attivata e deattivata
l’interfaccia ADSL, rispettivamente mediante i comandi:
dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando
Linux supportato da Imola. Una sequenza di azioni viene configurata mediante una
sequenza di comandi:
L’esecuzione delle azioni avviene secondo l’ordine con cui sono stati impostati.
Ad esempio mediante la sequenza di comandi:
si imposta una rotta statica verso l’host 12.12.12.12 e si invia il messaggio di log
“ADSL is up” quando l’interfaccia ADSL viene attivata, mentre si elimina la rotta e
si invia il messaggio di log “ADSL is down” quando l’interfaccia ADSL non è
operativa.
Tiesse 57
IMOLA User Guide - Rev.24 Ver. 07
INTERFACCIA SHDSL
CONFIGURAZIONE
L’interfaccia SHDSL è disponibile tramite due connetori RJ11 indicati
rispettivamente come Line0 e Line1. Ognuno fornisce una banda di 2 Mbps, possono
essere utilzzati contemporaneamente (4-Wire) per sostenere quindi la banda di:
set shdsl on
set no-shdsl
Al fine di configurare il chip SHDSL in modalità ATM oppure EFM si può asserire il
seguente comando:
58 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Per configurare il chip SHDSL come CPE oppure CO si può asserire il seguente
comando:
e
set shdsl line-rate-type fixed
dove <value> può essere un valore compreso tra 0db e +10b. Se non specificato, il
valore di default è 0db.
Tiesse 59
IMOLA User Guide - Rev.24 Ver. 07
CPE 2-Wire
set shdsl chipmode atm
set shdsl line-mode 2-wire
set shdsl line-term cpe
set shdsl pvc atm0 encap rfc1483-bridged
set shdsl pvc atm0 vpi 8
set shdsl pvc atm0 vci 35
set shdsl pvc atm0 default-route
set shdsl on
Una volta attivata, il nome dell’interfaccia logica SHDSL che identifica il PVC è:
shdsl.835.
60 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
VISUALIZZAZIONE
È possibile visualizzare informazioni riguardanti la configurazione, i pvc, le
statistiche e lo stato dell'interfaccia SHDSL.
Il comando:
Il comando:
General Information
Controller Chipset: Ikanos CX98102
DSL Mode: SHDSL Annex B
Line Mode: Two Wire
Framer Mode: ATM
Line Termination: CPE
Firmware Version: G119
Remote Country Code 0x00B5 (181)
Remote Provider Code PNGS
Remote FW Version 0x0042 (66)
Line 0 Status
Actual rate: 2312 kbps
Transmit Power: 9.5 dBm
Receiver Gain: 21.86 dB
Loop Attenuation 0.0 dB
SNR (SQ Mean): 41.24 dB
Tiesse 61
IMOLA User Guide - Rev.24 Ver. 07
TRIGGER SHDSL
E’ possibile definire delle azioni da eseguire quando viene attivata e deattivata
l’interfaccia SHDSL, rispettivamente mediante i comandi:
dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando
Linux supportato da Imola. Una sequenza di azioni viene configurata mediante una
sequenza di comandi:
L’esecuzione delle azioni avviene secondo l’ordine con cui sono stati impostati.
Ad esempio mediante la sequenza di comandi:
si imposta una rotta statica verso l’host 12.12.12.12 e si invia il messaggio di log
“SHDSL is up” quando l’interfaccia SHDSL viene attivata, mentre si elimina la rotta
e si invia il messaggio di log “SHDSL is down” quando l’interfaccia SHDSL non è
operativa.
62 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
CONFIGURAZIONE
Le funzioni Frame Relay di Imola sono supportate dal chipset Serocco di Infineon.
Esternamente l’interfaccia si presenta con una porta seriale V.35 su connettore ISO
DIN 2593.
set frame-relay on
set no-frame-relay
Tiesse 63
IMOLA User Guide - Rev.24 Ver. 07
Dove il comando <cmdUp> verrà eseguito nel momento in cui il backup è attivato, e il
comando <cmdDown> quando il backup viene disattivato.
Inoltre è possibile stabilire che la linea di backup venga attivata qualora un
determinato indirizzo IP non sia raggiungibile.
La verifica di raggiungibilità viene effettuata mediante invio di messaggi icmp request
(ping).
64 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set no-backup
VISUALIZZAZIONE
È possibile visualizzare informazioni riguardanti la configurazione, i PVC, le
statistiche e lo stato dell'interfaccia Frame Relay. Il comando CLI è il seguente:
show interface frame-relay config|pvc|statistics|status
Ad esempio, il comando:
show interface frame-relay config
è invece simile a:
Tiesse 65
IMOLA User Guide - Rev.24 Ver. 07
Il comando:
Infine il comando:
produce la seguente visualizzazione dei parametri relativi al modem, come lo stato dei
segnali, il tipo di modulazione, il baud-rate, etc.
Mode: V.35
Clock: EXTERNAL
Encoding: NRZ
Parity: CRC16_PR1_CCITT
Modem Status
DTR: active DSR: active CTS: active
Data Reception
Packets: 55753 Bytes: 9476470
Dropped: 8
Errors:
Frame: 4 CRC: 0
Len: 0 Overflow: 4
No Space: 0
Data Transmission
Packets: 44519 Bytes: 7877889
Dropped: 5
Errors:
XFIFO Disabled: 1 XFIFO Error: 1
66 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
INTERFACCIA MOBILE
CONFIGURAZIONE
Imola può essere impiegato come Router tra la rete Ethernet e una rete mobile. I
modelli Imola 1XX0 supportano solo connessioni GPRS, i modelli 2XX0 supportano
sia connessioni Edge che GPRS, i modelli 3XX0 supportano sia connessioni
UMTS/HSDPA che GPRS/EDGE, i modelli 4XX0 supportano connessione
GPRS/EDGE/UMTS/HSDPA ed HSUPA, infine i modelli 5XX0 supportano qualsiasi
tipo di connessione mobile fino ad LTE. La scelta del tipo di rete è trasparente. La
configurazione viene effettuata con gli stessi comandi della sessione GPRS della CLI.
set gprs on
set no-gprs
Configurazione dell’APN:
Tiesse 67
IMOLA User Guide - Rev.24 Ver. 07
La velocità da selezionare nel caso di modem EDGE è 230400, per connessioni GPRS
deve essere un valore inferiore, ad esempio 115200, mentre risulta invece ininfluente
nel caso di modem UMTS/HSDPA/HSUPA.
Il comando:
imposta il Max Transfer Unit (MTU) relativo all'interfaccia GPRS. A volte alcune
configurazioni di APN limitano a 1476 la dimensione dei pacchetti trasmessi, per cui
in questi casi conviene utilizzare il comando:
È possibile invece negoziare i parametri DNS direttamente dal peer con il comando:
68 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Sono disponbili dei comandi che permettono di selezione il tipo di rete mobile (3G o
2G) cui collegarsi:
Tiesse 69
IMOLA User Guide - Rev.24 Ver. 07
È possibile attivare sull'interfaccia una connessione GSM V110, anzichè GPRS, con i
seguenti comandi:
set access-list dial-ppp prot <prot> port <value> from <src> to <src>
L’interfaccia di rete per la sessione GPRS è di tipo PPP ed il nome ad essa assegnata è
pppX, dove X è un indice che di solito assume il valore 0 (ppp0). Allo stesso modo
anche una connessione ADSL con incapsulamento di tipo PPP over ATM (PPPoA)
viene indicata con pppX. Il criterio di scelta dell’indice X è funzione dell’ordine di
attivazione delle connessione: la prima attivata sarà ppp0 e la seconda ppp1.
Nel caso in cui sullo stesso router debbano essere attive sia una connessione ADSL di
tipo PPPoA che una connessione mobile (gprs/edge/umts/hsdpa/hsupa), per evitare
indeterminazione nella scelta del nome è previsto il comando:
mediante il quale il nome dell’interfaccia associata alla sessione mobile sarà sempre
pppN, riservando alla connessione ADSL il nome ppp0. Il valore di N deve essere
scelto tra 1 e 9.
70 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Nel caso si utilizzi tale comando, diventa obbligatorio impostare anche il comando:
in modo tale che il nome dell’interfaccia di rete che corrisponde alla APN principale
sia wwan0, mentre quello per la seconda APN sia ppp0.
Tiesse 71
IMOLA User Guide - Rev.24 Ver. 07
VISUALIZZAZIONE
È possibile visualizzare informazioni riguardanti la configurazione, le statistiche e lo
stato dell'interfaccia GPRS. Il comando CLI è il seguente:
72 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Nel caso in cui venga usato il meccanismo del Dual Carrier HSPA, la riga Current
Network Technology mostra: DC-HSPA+.
Il livello di campo o dBm segnalato dal modem GPRS (le classiche tacche
visualizzate dal telefono GSM) è visualizzato tra le informazioni riportate dal
comando ed è identificabile, nell’esempio sopra, dal Signal Quality: +CSQ: 17,99.
Il valore del livello di campo è anche ottenibile partendo dal valore CSQ.
Riferendosi all’esempio precedente, il livello di campo (dBm) si ottiene mediante una
semplice operazione aritmetica:
CSQ*2 - 113 = dBm
Tiesse 73
IMOLA User Guide - Rev.24 Ver. 07
17 * 2 – 113 = -79
Il valore ottenuto ci servirà per capire il livello di segnale disponibile (le classiche
tacche visibili sul display del cellulare):
dBm # tacche
da -105 a -100 0
da -100 a -95 1
da -95 a -90 2
da -90 a -85 3
maggiore di -85 4
Tabella 1
Il valore CSQ 99,0 indica un livello di segnale non disponibile (il modem non è
connesso alla rete).
Mediante l’attivazione del meccanismo di log di sistema è possibile verificare
eventuali problemi di attivazione del link. Per attivare i log di sistema utilizzare i
comandi descritti nell’apposito capitolo.
Di seguito sono riportate 2 sezioni di messaggi di log relativi ad una sessione attivata
in modo corretto e ad una sessione non attivata (APN errato):
74 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 75
IMOLA User Guide - Rev.24 Ver. 07
… … … … …
sent [LCP ConfReq id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4> ..
rcvd [LCP ConfReq id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910> ..
sent [LCP ConfAck id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910> ..
rcvd [LCP ConfAck id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4> <pcomp> ..
sent [LCP EchoReq id=0x0 magic=0xe2270bc4]
rcvd [LCP DiscReq id=0x1 magic=0x6d503910]
rcvd [CHAP Challenge id=0x1 <e4c6aed962128461f211d325443a3f44>, name = “..”
sent [CHAP Response id=0x1 <9fabe2d692114fc609f6d85634254c16>, name = "..”
rcvd [LCP EchoRep id=0x0 magic=0x6d503910 61 f2 11 d3]
rcvd [CHAP Success id=0x1 ""]
CHAP authentication succeeded
sent [IPCP ConfReq id=0x4 <compress VJ 0f 01> <addr 0.0.0.0>]
rcvd [IPCP ConfReq id=0x0]
sent [IPCP ConfNak id=0x0 <addr 0.0.0.0>]
rcvd [IPCP ConfRej id=0x4 <compress VJ 0f 01>]
sent [IPCP ConfReq id=0x5 <addr 0.0.0.0>]
rcvd [IPCP ConfReq id=0x1]
sent [IPCP ConfAck id=0x1]
rcvd [IPCP ConfNak id=0x5 <addr 172.22.1.33>]
sent [IPCP ConfReq id=0x6 <addr 172.22.1.33>]
rcvd [IPCP ConfAck id=0x6 <addr 172.22.1.33>]
Could not determine remote IP address: defaulting to 10.64.64.64
local IP address 217.1.1.1
remote IP address 10.64.64.64
76 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
L’accensione del led Pw indica che il modem interno è alimentato in modo corretto.
Nel caso di modem GPRS oppure Edge (modelli 1xx0 e 2xx0), il led Link indica lo
stato della connessione alla rete:
• il lampeggio ad intermittenza lenta (un'accensione ogni 1-2 secondi) indica la
corretta connessione alla rete;
• un lampeggio ad intermittenza più veloce indica la fase di connessione alla
rete;
• l’accensione permanente serve ad a indicare che la connessione attiva è di tipo
GSM.
Il led (Data) viene impiegato per indicare che è attiva una sessione PPP.
Nel caso di modem HSDPA/UMTS (modelli 3xx0) il led Link è acceso fisso in caso
di corretta connessione alla rete.
TRIGGER GPRS
E’ possibile definire delle azioni da eseguire quando viene attivata e deattivata
l’interfaccia GPRS, rispettivamente mediante i comandi:
dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando
Linux supportato da Imola. Una sequenza di azioni viene configurata mediante una
sequenza di comandi:
L’esecuzione delle azioni avviene secondo l’ordine con cui sono stati impostate.
Ad esempio mediante la sequenza di comandi:
si imposta una rotta statica verso l’host 12.12.12.12 e si invia il messaggio di log
“GPRS is up” . Inoltre viene eseguito il comando hello con argomenti un indirizzo
IP ed una porta. Il comando hello manda verso l’indirizzo e la porta specificati un
messaggio contenente l’indirizzo IP dell’interfaccia gprs, l’hostname ed il serial
number.
Tiesse 77
IMOLA User Guide - Rev.24 Ver. 07
CONTROLLO DI TRAFFICO
È possibile configurare il router in modo da effettuare il controllo del traffico in
ingresso ed in uscita sull'interfaccia GPRS. In particolare si può configurare un valore
di soglia ed innescare degli eventi quando il traffico in una data unità di tempo è
superiore od inferiore a tale soglia.
78 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Un altro metodo possibile è l’utilizzo del comando bfdping, utile qualora non si ha a
disposizione alcun indirizzo IP cui mandare i pacchetti di tipo icmp:
Ogni qualvolta che si attiva la sessione GPRS, viene fatto partire un timer periodico di
15 secondo, allo scadere del quale si esegue il comando bfdping, Questo comando
forza la trasmissione sulla rete GPRS di un pacchetto UDP avente come indirizzo
destinatario l’indirizzo associato all’interfaccia GPRS, quindi il primo router della
rete (il primo hop) è obbligato a rimandarlo indietro. La mancata ricezione di tale
pacchetto causa il timeout della sessione GPRS (rx-idle 120), e la conseguente
riattivazione.
Tiesse 79
IMOLA User Guide - Rev.24 Ver. 07
gprsping <ip-address>
attiva una connessione gprs ed esegue una serie di ping verso l'ip specificato senza
l'intervento dei trigger “gprs up” e “gprs down”.
Un esempio di utilizzo ed output del comando, in caso di esito positivo, sono visibili
nella seguente figura:
7
Tranne che per i modelli 2xxx è consigliato l'inserimento del comando “set gprs pwroff-modem”
nell'impostazione dei parametri del gprs per una corretta esecuzione del comando gprsping.
80 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Il comando da utilizzare è:
dove:
Se vengono omessi sia l’host remoto che il valore della porta allora i dati vengono
inviati come un messaggio di syslog, quindi possono essere letti o localmente sul
router stesso oppure sul server remoto di syslog, in base alla configurazione del
servizio di log sul router.
TS800,00:0d:5a:07:01:13,IMOLA@192.168.254.3,449598,63720,449598,63720
show gathered-stats
Ad esempio:
Tiesse 81
IMOLA User Guide - Rev.24 Ver. 07
GESTIONE SMS
Imola è in grado di inviare e ricevere dei messaggi SMS8. Per inviare un messaggio si
usa il comando:
Per abilitare Imola alla ricezione dei messaggi SMS è necessario impostare il
comando:
I messaggi ricevuti vengono interpretati come dei comandi, che Imola esegue ed invia
il risultato al mittente. Ogni messaggio deve iniziare sempre con la parola chiave
specificata mediante il comando:
altrimenti questo viene cancellato ed ignorato. Nel caso in cui non sia stata
specificata, si assume che la parola chiave sia Tiesse. La parola chiave è case-
sensitive.
Il testo del messaggio può essere un qualsiasi comando supportato da Imola. Una
volta ricevuto, Imola invia un messaggio di conferma ed eventualmente un ulteriore
messaggio contenente il risultato dell’esecuzione del comando. Ad esempio,
supponendo che abbia ricevuto il messaggio contenente il testo:
Tiesse ip route
Oppure, al messaggio:
Tiesse set gprs rx-idle 360
8
La gestione di SMS non è supportata su tutti i modelli di router.
82 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Imola 00:0d:5a:xx:xx:xx command – set gprs rx-idle 360 – scheduled for execution
Tiesse gprs-signal
Inviando il messaggio:
Tiesse gprs-dialin
Esce dalla modalità dialin o dopo aver effettuato e successivamente terminato una
connessione GSM oppure dopo 10 minuti.
Tiesse gprs-connect
Tiesse 83
IMOLA User Guide - Rev.24 Ver. 07
Il comando da utilizzare è:
dove:
84 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Qualora non si ottenga la stringa OK come risposta, provare ad effettuare un reset del
modem utilizzando i comandi9:
gprs --poweroff
gprs --poweron
OK
Il valore in dBm del segnale si ottiene ricorrendo alla formula 2 * CSQ – 113.
OK
9
Il comando gprs --poweroff deve essere eseguito con la sessione mobile non
attiva (set gprs off)
10
Su alcune release di software per utilizzare il carattere ? (punto interrogativo) bisogna
digitare prima la sequenza CTRL+V
Tiesse 85
IMOLA User Guide - Rev.24 Ver. 07
OK
Lettura dell’IMSI:
OK
OK
86 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
• Specificando i comandi:
Il comando:
Analogamente il comando:
SBLOCCO SIM
Le funzioni di attivazione della sessione mobile richiedono che la SIM inserita sia
senza il codice PIN. Qualora tale codice sia impostato, è possibile disattivarlo
mediante il comando:
unlock-sim
Tiesse 87
IMOLA User Guide - Rev.24 Ver. 07
Tale comando eseguito senza argomenti verifica la presenza o meno del codice PIN.
Ad esempio, se il PIN non è presente, il risultato del comando è:
root@IMOLA> unlock-sim
AT+CPIN?
+CPIN: READY
OK
per cui il modulo GPRS può essere tranquillamento attivato. Se invece esso
visualizza:
root@IMOLA> unlock-sim
AT+CPIN?
+CPIN: PIN
OK
Affinché il comando abbia effetto è necessario che il modem sia operativo, in caso
contrario il comando non darà alcun output. Per portare il modem nella sua
condizione di operatività si deve utilizzare i comando gprs –poweroff descritto nella
sezione Verifica che il modem sia operativo contenuta nel paragrafio Interrogazione
diretta tramite comandi AT.
oltre ai dati di funzionamento della sessione mobile, visualizza anche il codice IMEI
associato al modem e il codice IMSI associato alla SIM presente. In alternativa,
queste informazioni possono essere recuperate rispettivamente mediante i comandi:
88 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 89
IMOLA User Guide - Rev.24 Ver. 07
INTERFACCIA WIFI
CONFIGURAZIONE
L’interfaccia wifi è disponibile tramite un modulo interno che supporta gli standard
802.11 a/b/g oppure b/g/n e permette al router di svolgere le funzioni di Access Point
oppure di collegarsi tramite wifi ad un AP esterno.
set wifi on
Per disattivarla:
set no-wifi
Il comando:
90 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
E’ possibile effettuare il bridge diretto dei pacchetti wifi su una delle interfacce
Ethernet mediante il comando:
VISUALIZZAZIONE
È possibile visualizzare informazioni riguardanti la configurazione, le statistiche e lo
stato dell'interfaccia WIFI mediante il comando:
show interface wifi status
11
Per maggiori dettagli si consulti la sezione DHCP, tenendo presente che il nome
dell’interfaccia wifi è wlan0.
Tiesse 91
IMOLA User Guide - Rev.24 Ver. 07
INTERFACCIA RS232
INTRODUZIONE
In alternativa allo switch LAN di 5 porte, Imola può essere equipaggiato con 4 oppure
8 porte seriali con connettore RJ45. Ad esempio la versione LX (Imola 0800 LX) con
8 porte:
In tal caso viene anche chiamato Imola TSE ed offre le funzioni di Terminal Server:
uno o più dispositivi collegati alle porte seriali di Imola possono accedere alla rete IP
e viceversa è possibile scambiare dati con terminali seriali semplicemente inviando
dati sulla rete IP.
• Concentrazione di POS seriali con relativa conversione dei dati per trasportali
su rete TCP/IP
• Funzioni di Reverse Telnet
• Concentrazioni di terminali X.28 e relativa conversione dei dati per
trasportarli su rete TCP/IP
• Funzioni di Modbus Gateway per consentire la gestione di dispositivi PLC
attraverso la rete TCP/IP.
Nel caso specifico di terminali POS, è possibile attivare delle funzioni utili per
ottimizzare le risorse di rete, come ad esempio l’impiego del protocollo X.28 oppure
la possibilità di inviare i dati verso un gruppo di Host.
92 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
CONFIGURAZIONE
Nella sua configurazione di fabbrica Imola TSE è configurato in modo tale che ad
ogni porta seriale sia associato un socket tcp/ip, secondo il seguente schema:
I dati ricevuti sul socket vengono inviati quindi sulla porta seriale corrispondente e
viceversa, secondo la modalità di reverse telnet.
Qualora dalle porte seriali vengano ricevuti dei dati, ma nessun applicativo ha
effettuato la connessione alla porta socket corrispondente, questi sono inviati ad un
indirizzo IP e porta configurabile.
Tiesse 93
IMOLA User Guide - Rev.24 Ver. 07
94 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Indica il valore del timeout dopo il quale abbattere la sessione ISDN in caso di
inattività.
Tiesse 95
IMOLA User Guide - Rev.24 Ver. 07
SALVATAGGIO CONFIGURAZIONE
VISUALIZZAZIONE
È possibile visualizzare informazioni riguardanti lo stato delle porte seriali mediante il
comando:
96 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
CONNETTORI SERIALI
Le porte RS232 di Imola sono di tipo RJ45 il cui schema dei PIN è il seguente:
12345678
12345678
DCD Vista RJ45 TOP
RTS
DSR lato opposto
TX linguetta
RX
GND
CTS
DTR
Tiesse 97
IMOLA User Guide - Rev.24 Ver. 07
ROTTE STATICHE
Ad esempio, per impostare una rotta verso la rete 10.1.10.0/24, tramite il gateway
10.10.254.1:
Le rotte aggiunte con il comando set route senza specificare alcun valore per il
campo metric sono rotte statiche che prevalgono su tutte le altre verso la stessa
destinazione, in particolare anche su quelle acquisite mediante l’utilizzo di protocolli
di routing dinamico (rip, bgp, ospf). Queste rimangono attive anche nel caso in
cui lo stato dell'interfaccia non sia operativo.
Nel caso in cui sia attivo un qualsiasi protocollo di routing dinamico, l’opzione metric
viene interpretata come valore della distanza amministrativa della rotta. In questo
caso può anche essere usata la forma:
set route net <dest> netmask <netmask> gw <gw_ipaddr> [distance N]
set route net <dest> netmask <netmask> dev <interface> [distance N]
E’ possibile specificare un tag da applicare alle rotte utile nel caso in cui si vogliono
attivare meccanismi di redistribuzione di rotte medinate protocolli di routing
dinamico. In questo caso la sintassi del comando è:
98 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
In questo caso tuttavia non è possibile specificare la distanza amministrativa. Nel caso
in cui siano presenti rotte alternative verso la stessa destinazione, viene selezionata
quella con metrica minore.
Il comando:
Per eliminare le rotte statiche qualora lo stato dell'interfaccia di rete non sia
operativo, si usa il comando:
Qualora uno dei gateway della lista non sia raggiungibile, esso viene automaticamente
escluso dalla lista e reinserita quando è nuovamente disponibile.
12
Le rotte impostate mediante il comando ip vengono attualizzate sul router ma non vengono
salvate nella configurazione. Affinché queste vengano salvate nella configurazione ed attivate anche al
prossimo reboot del router e' necessario che venga eseguito il comando:
Tiesse 99
IMOLA User Guide - Rev.24 Ver. 07
Un'altra possibilità e' l'utilizzo del comando nativo ip, che permette di specificare
delle rotte di tipo: blackhole, prohibit e unreachable.
Ad esempio:
Nel caso blackhole l'effetto e' lo stesso della rotta su null0, cioe' i pacchetti vengono
semplicemente scartati.
Nel caso prohibit, i pacchetti vengono scartati ma viene generato un ICMP di tipo
Proihitb verso il sorgente.
Nel caso unreachable i pacchetti vengono scartati ma generato un ICMP di tipo
Unreachable verso il sorgente.
show route
Ad esempio:
100 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
dove il flag U (UP) indica che la rotta è attiva, il flag H indica che la destinazione è
un Host, il flag G indica che la destinazione è raggiungibile attraverso un Gateway.
Nel caso in cui siano attivi dei protocolli di routing dinamico, è conveniente utilizzare
il comando:
show ip route
Ad esempio:
root@IMOLA> show ip route
dove si può notare il protocollo con cui le rotte sono state acquisite.
Per le rotte di tipo IPv6 si utilizza invece il comando: show ipv6 route
Tiesse 101
IMOLA User Guide - Rev.24 Ver. 07
INDIRIZZO LOOPBACK
Imola prevede la possibilità di definire e configurare un indirizzo loopback, cioè un
indirizzo che identifica intrinsecamente il router e non è associato ad alcuna
interfaccia fisica. Tale indirizzo deve essere sempre attivo e disponibile a prescindere
dallo stato delle interfacce fisiche.
Ad esempio:
set no-loopback
102 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
COMANDO IFCONFIG
Il comando ifconfig permette di visualizzare informazioni sullo stato e sul
funzionamento delle varie interfacce di rete presenti su Imola.
ifconfig <ifname>
Infine visualizza i contatori statistici, tra cui il numero di pacchetti trasmessi e ricevuti
ed eventuali errori.
Notiamo che manca il flag RUNNING, poiché a questa porta non è collegato alcun
device.
Tiesse 103
IMOLA User Guide - Rev.24 Ver. 07
dove si può notare sia l’assenza del flag UP che del flag RUNNING.
104 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
COMANDO IP
GENERALITÀ
Tiesse 105
IMOLA User Guide - Rev.24 Ver. 07
Per operare su oggetti di tipo IPv6 (indirizzi, rotte, neighbor) occorre specificare
l’opzione –6. Ad esempio:
ip –6 addr <opzioni>
ip –6 route <opzioni>
oppure per attivare una rotta quando si stabilisce una connessione ISDN:
oppure per modificare una rotta quando si entra nello stato di backup:
106 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio,
Tiesse 107
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio:
A differenza del routing classico, che permette di effettuare delle decisioni in base
all'indirizzo IP destinazione, il Policy Routing permette di selezionare la rotta di
instradamento oltre che in base alla destinazione anche su altri parametri, quali ad
esempio l'indirizzo IP sorgente, il tipo di protocollo, la porta sorgente o destinazione,
il campo TOS o una qualsiasi combinazione dei campi del pacchetto IP.
Ogni criterio di routing viene quindi descritto all'interno di una tabella di routing
distinta.
Mediante i comandi:
Una volta definite le tabelle, e' necessario caratterizzare il tipo di traffico che deve
utilizzare la tabella 10 ed il tipo di traffico che deve utilizzare la tabella 20.
Per fare questo si usa il comando iptables che grazie all’opzione mangle permette di
classificare il traffico in base ad una qualsiasi combinazione del pacchetto IP (il
comando iptables viene trattato im dettaglio in una sezione dedicata).
108 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio il comando:
marchia con il valore 0x04, tutti i pacchetti di tipo TCP,provenienti dalla subnet
10.10.0.0/16 e diretti verso la porta 80, mentre il comando:
marchia tutti i pacchetti di tipo UDP con il valore 0x08. (Da tenere presente che la
marchiatura non viene effettuata sul pacchetto trasmesso in rete, ma su un descrittore
di esso). Infine i comandi:
stabiliscono che i pacchetti marchiati con 0x04 devono consultare la tabella 10,
mentre i pacchetti marchiati con 0x08 seguiranno la tabella 20. Pertanto:
I comandi per aggiungere le tabelle di routing richiedono che l’interfaccia sia attiva,
per cui è opportuno che essi siano configurati come trigger dell’interfaccia:
PVC BUNDLING
Ad esempio, nel caso di una rete SHDSL sono definiti due distinti circuiti:
Tiesse 109
IMOLA User Guide - Rev.24 Ver. 07
Impostando i comandi:
oltre ai due circuiti SHDSL, verrà create l’interfaccia virtuale pbond0 cui verrà
assegnato l’indirizzo 192.168.1.2:
Nell’esempio è stato scelto di non assegnare alcun indirizzo alle interfacce fisiche
shdsl.835 e shdsl.836, di conseguenza l’unico modo per utilizzare la rete SHDSL
è quello di attivare l’interfaccia logica pbond0.
110 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Se impostiamo il comando:
che marchia con il valore 0x04, tutti i pacchetti di tipo TCP, provenienti dalla subnet
10.10.0.0/16 e diretti verso la porta 80, allora tali pacchetti verrano trasmessi
solamente sul circuito shdsl.835, mentre tutti gli altri pacchetti verranno ripartiti in
modo round-robin tra il circuito shdsl.835 ed shdsl.836.
l’effetto è:
Questo comando distrugge l’interfaccia virtuale pbond0 per cui se non è stato
assegnato alcun indirizzo alle interfacce fisiche shdsl.835 ed shdsl.836, queste
difficilmente potranno essere utilizzate.
Tiesse 111
IMOLA User Guide - Rev.24 Ver. 07
Il valore di MTU non deve essere superiore al valore delle interfacce fisiche,
mentre i valori di MTU delle due interfacce fisiche deve essere uguali tra loro.
set no-pvc-bundle
set frame-relay on
112 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
COMANDO PING
Il comando ping permette di inviare pacchetti ICMP di tipo request verso un indirizzo
IP remoto:
Per specificare specificare il valore del TOS da inserire nel pacchetto IP:
ping –Q <tos-value> <ip-destinazaione>
Tiesse 113
IMOLA User Guide - Rev.24 Ver. 07
Le varie opzioni del comando possono essere combinate tra di loro, ad sempio:
ping 151.1.1.1 –s 1472 –M do –Q 192 –i 0.2 –c 5
Per inviare dei pacchetti ICMP verso un host di tipo IPv6 si usa invece la viariante:
ping6 X:X::X:X
COMANDO TRACEROUTE
Il comando traceroute permette di tracciare il percorso necessario per raggiungere
un host remoto:
Inoltre è possibile inviare pacchetti ICMP invece che pacchetti UDP mediante
l’opzione:
traceroute –I <ip-destinazione>
COMANDO TCPDUMP
Il comando tcpdump visualizza tutti i pacchetti trasmessi e ricevuti su un’interfaccia
di rete specificata:
tcpdump –i <ifname>
114 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
COMANDO LOAD-AVG
Il comando load-avg misura il carico di un’interfaccia di rete in termini di traffico
trasmesso e ricevuto in un determinato intervallo. Per attivare il comando:
Ad esempio:
Tiesse 115
IMOLA User Guide - Rev.24 Ver. 07
no-load-avg
116 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
1. iptables
2. acccess-list
3. redirect
4. source-nat
ACCESS LIST
CONFIGURAZIONE
Di default, sul router Imola, non viene definita alcuna Access List, per cui tutti i
pacchetti vengono accettati.
Sono presenti sei diverse regole di impostazione delle Access List, come descritto nel
seguito del paragrafo.
13
E’ consigliato l’utilizzo della modalità avanzata, mediante il comando iptables invece che
i comandi set redirect, set source-nat set access-list.
Tiesse 117
IMOLA User Guide - Rev.24 Ver. 07
Il suffisso log indica che, in relazione alla gestione dei pacchetti, verranno effettuate
anche operazioni di logging.
Per stabilire quali pacchetti possono attivare le chiamate ppp in caso di connessione
GPRS:
set access-list dial-ppp
Dopo aver definito la regola occorre specificare il tipo di pacchetto su cui applicarla,
descrivendone il tipo di protocollo (prot), l'eventuale porta di destinazione (port) o
sorgente (sport), l'indirizzo sorgente (from), l'indirizzo destinatario (to) e,
eventualmente, l'interfaccia d'ingresso (in-interface) o d'uscita (out-interface).
I protocolli che si possono specificare sono tcp, udp, icmp, ah, gre, ospf, esp
e all. Viene accettato anche il valore numerico del protocollo.
per accettare i pacchetti con protocollo TCP verso il servizio di echo destinati ad
Imola:
set access-list permit prot tcp port echo from any to this
set access-list deny prot tcp port echo from any to this
118 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set access-list deny prot tcp port echo from any to any
Nel caso si voglia mantenere traccia dei pacchetti nel file di log, è possibile
specificare anche una label della linea di log (log-prefix) ed il numero di pacchetti
al minuto da visualizzare nel log (limit). Se questi due parametri non vengono
impostati si assume come limit 10 (10 pacchetti tracciati al minuto) e come log-
prefix il nome della regola più il tipo di servizio (esempio permit-logicmp o
deny-logecho).
Nel seguente esempio vengono trattate le regole per pacchetti indirizzati al servizio
echo da qualsiasi indirizzo IP ad Imola con opzioni di log.
set access-list permit-log prot tcp port echo from any to this
log-prefix YESecho
set access-list deny-log prot tcp port echo from any to this
log-prefix NOecho
Per eliminare un’access-list è sufficiente negare la regola inserita con il comando CLI
set no-access-list
Esempio:
set access-list deny prot tcp port echo from any to this
set no-access-list deny prot tcp port echo from any to this
Nelle impostazioni delle Access List è necessario tener conto dell'importanza della
sequenza delle regole; occorre infatti considerare il fatto che, appena una regola viene
soddisfatta, il pacchetto viene accettato o scartato immediatamente, senza passare alle
regole successive.
Le Access List possono essere utilizzate, per esempio, nei seguenti casi:
set access-list permit prot all port all from any to 192.168.0.0/255.255.0.0
Tiesse 119
IMOLA User Guide - Rev.24 Ver. 07
set access-list deny prot all port all from any to this
set access-list permit prot udp port snmp from 172.16.0.1 to this
set access-list deny prot udp port snmp from any to this
VISUALIZZAZIONE
show access-list
root@Imola> set acess-list deny prot tcp port echo from any to this
iptables -A INPUT -p tcp --destination-port echo -j DROP
root@Imola> set acess-list deny prot tcp port echo from any to any
iptables -A FORWARD -p tcp --destination-port echo -j DROP
root@Imola> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:echo
120 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
e per esaminare i contatori statistici dei pacchetti che attraversano l’access list:
root@Imola> iptables –L -v
Chain INPUT (policy ACCEPT 943K packets, 77M bytes)
pkts bytes target prot opt in out source destination
934 0 DROP tcp -- any any anywhere anywhere
tcp dpt:echo
REDIRECT
CONFIGURAZIONE
Per impostare una regola di redirect occorre specificare alcuni parametri relativi al
tipo di pacchetto da reindirizzare, descrivendone il tipo di protocollo (prot),
l'eventuale porta (port), l'indirizzo sorgente (from), l'indirizzo destinatario (to) e
impostando l'indirizzo IP (to-ip) o la porta (to-port) a cui inviare il pacchetto.
I protocolli che si possono specificare sono ah, esp, gre, icmp, ospf, tcp,
udp. E’ ammesso anche il valore numerico del protocollo.
Esempio:
il traffico destinato alla porta 7 (servizio echo), proveniente da qualsiasi indirizzo IP e
diretto ad Imola, redirezionato all'indirizzo IP 192.168.0.2:
set redirect prot tcp port 7 from any to this to-ip 192.168.0.2
Tiesse 121
IMOLA User Guide - Rev.24 Ver. 07
Esempio:
il traffico destinato alla porta 7 (servizio echo), proveniente da qualsiasi indirizzo IP e
diretto ad Imola, redirezionato alla porta 13 (servizio daytime):
Esempio:
il traffico destinato alla porta 7 (servizio echo), proveniente da qualsiasi indirizzo IP e
diretto ad Imola, redirezionato all'indirizzo IP 192.168.0.2 ed alla porta 34 ; per
completare la redirezione del traffico viene utilizzata una regola di source-nat
(descritta nel paragrafo seguente):
set redirect prot tcp port 7 from any to this to-ip 192.168.0.2:34
set source-nat prot tcp port 7 from any to 192.168.0.2 dev eth0
Per eliminare una regola di redirect è sufficiente rilanciare la regola con set no-
redirect:
set no-redirect prot tcp port 7 from any to this to-ip 192.168.0.2
VISUALIZZAZIONE
Esempio:
SOURCE-NAT
CONFIGURAZIONE
Per impostare una regola di source-nat bisogna specificare il tipo di pacchetto a cui
applicarla, descrivendone il tipo di protocollo (prot), l'eventuale porta (port),
122 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Per la porta (port) è possibile specificare sia il servizio sia il numero; per quanto
riguarda l'indirizzo IP sorgente e/o destinatario è possibile invece impostare
direttamente l'indirizzo IP (anche specificando la netmask) o utilizzare la parola
chiave any (per indicare qualsiasi IP).
Per eliminare una regola di source-nat è sufficiente rilanciare la regola con set no-
source-nat, come nel seguente esempio:
Tiesse 123
IMOLA User Guide - Rev.24 Ver. 07
oppure:
set source-nat prot udp port snmp-trap from any to any dev dummy0
set source-nat prot udp port radius from any to any ip dev dummy0
set source-nat prot udp port radacct from any to any ip dev dummy0
VISUALIZZAZIONE
show source-nat
Esempio:
124 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
GENERALITÀ
Su Imola è presente il comando iptables che è un tool avanzato per il filtraggio dei
pacchetti della rete, ovvero controlla i pacchetti che cercano di accedere, transitare e
uscire dal router stesso. Esso consente di realizzare:
Ogni regola termina con un’indicazione (target) su cosa fare dei pacchetti identificati
dalla regola stessa (ad esempio, -j ACCEPT, -j DROP, -j LOG, ...).
Le catene indicano dei punti prestabiliti (detti anche hook points) nel corso
dell’elaborazione del pacchetto di rete nei quali il pacchetto viene esaminato per
applicare la regola stabilita ed eseguire il target nel caso in cui il match associato alla
regola sia stato soddisfatto.
In base alla tabella (filter, nat o mangle) vengono usate le catene associate. In
particolare, per le funzioni di filter si utilizzano le catene di INPUT, FORWARD ed
OUTPUT, per le funzioni di nat quelle di PREROUTING e POSTROUTING, mentre
le funzioni di mangle possono avvenire all’interno di una qualsiasi catena. Il
significato di ogni catena è spiegato nei paragrafi seguenti.
Il comando:
iptables -t table –L –v
analoga a:
Per permettere che l’host con IP 10.0.1.1 possa accedere al server con IP 192.168.0.1:
Le regole vengono analizzate in base all’ordine con cui sono state aggiunte. Una
regola può essere inserita in testa alla lista mediante l’opzione –I oppure in fondo (e
quindi valutata per ultima) mediante l’opzione –A. E’ possibile inserire una regola in
una determinata posizione mediante l’opzione: -I chain num. Ad esempio:
126 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
iptables –t filter –L –v
mentre
iptables –L –v --line-numbers
Ad ogni catena è definita una azione di default da applicare qualora un pacchetto non
abbia verificato il criterio di nessuna delle regole presenti. L’azione di default è quella
di accettare il pacchetto e passare alla tabella successiva. Mediante l’opzione –P è
possibile modificare l’azione di default. Ad esempio:
Ad esempio:
I pacchetti in uscita sull’interfaccia ppp0 vengono trasmessi con l’IP associato a tale
interfaccia:
Tiesse 127
IMOLA User Guide - Rev.24 Ver. 07
PORT FORWARDING
Il target –j DNAT della tabella nat viene spesso utilizzato per effettuare funzioni di
Port Forwarding e Load balancing, ad esempio, i pacchetti TCP diretti alla porta 80
dell’indirizzo pubblico 85.34.166.21 sono rediretti alla porta 8080 dell’indirizzo
privato 10.10.1.195:
Con tale comando le connessioni vengo reindirizzate in modalità round robin verso i
server 10.10.1.195, 10.10.1.196, 10.10.1.197 e 10.10.1.198. E’ da notare che nel caso
in cui uno dei server non sia disponibile, il tentativo di connessione fallisce.
128 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Esempi:
Impostazione del valore del DSCP a 32 per i pacchetti che attraversano un tunnel
GRE:
Tiesse 129
IMOLA User Guide - Rev.24 Ver. 07
Sia nel caso di FORWARD che di OUTPUT, prima di uscire dalla scheda di rete eth1,
il pacchetto subisce l’applicazione delle regole descritte nella catena di
POSTROUTING. In tale fase vengono applicate le regole per il Source NAT (SNAT)
o Masquerade.
130 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Esempio per scartare tutte le richieste di connessioni TCP in ingresso verso porte
privilegiate:
--icmp-type type Dove type indica il tipo del pacchetto icmp da trattare.
Può essere il valore numerico oppure il valore simbolico.
Tiesse 131
IMOLA User Guide - Rev.24 Ver. 07
TARGET
Ogni regola termina con la definizione di un target che indica cosa viene fatto del
pacchetto che ha soddisfatto il match. Il target determina l’interruzione della catena: il
pacchetto che ha soddisfatto il match segue le indicazioni del Target e non vengono
considerate le catene successive. I target principali sono i seguenti:
132 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio:
Tiesse 133
IMOLA User Guide - Rev.24 Ver. 07
134 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 135
IMOLA User Guide - Rev.24 Ver. 07
136 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
LOAD BALANCING
L’esempio di Load Balancing del paragrafo precedente:
prevede che i server verso cui distribuire le connessioni abbiano indirizzi IP contigui.
Utilizzando il match –m nth è possibile superare tale limite come descritto nel
seguente esempio:
La prima regola effettua il log con facility notice dei pacchetti provenienti
dall’indirizzo 10.10.1.1 verso la porta telnet. La seconda li scarta.
Tale regola deve essere usata congiuntamente al comando set log del router che
permette di definire il syslog server:
Un tipico messaggio di log per tenere traccia di tutti i pacchetti icmp ricevuti
dall’indirizzo 10.10.1.209, derivato dalla regola:
Tiesse 137
IMOLA User Guide - Rev.24 Ver. 07
è il seguente:
Feb 10 18:25:26 im1 kernel: permit-logicmp:IN=eth0 OUT=
MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00
SRC=10.10.1.209 DST=10.10.113.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=ICMP TYPE=8 CODE=0 ID=8725 SEQ=1
Feb 10 18:25:27 im1 kernel: permit-logicmp:IN=eth0 OUT=
MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00
SRC=10.10.1.209 DST=10.10.113.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=ICMP TYPE=8 CODE=0 ID=8725 SEQ=2
Feb 10 18:25:29 im1 kernel: permit-logicmp:IN=eth0 OUT=
MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00
SRC=10.10.1.209 DST=10.10.113.1 LEN=84 TOS=0x00 PREC=0xC0 TTL=64 ID=61743
PROTO=ICMP TYPE=0 CODE=0 ID=5735 SEQ=0
Feb 10 18:25:50 im1 kernel: permit-logicmp:IN=eth0 OUT=
MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00
SRC=10.10.1.209 DST=10.10.113.1 LEN=84 TOS=0x00 PREC=0xC0 TTL=64 ID=61744
PROTO=ICMP TYPE=0 CODE=0 ID=5743 SEQ=0
Ad esempio:
per conteggiare tutti i pacchetti ricevuti sull’interfaccia eth0 e diretti al router stesso:
iptables -L -v
138 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
ESEMPI DI UTILIZZO
Per bloccare tutti gli accessi TCP verso l’host 10.10.1.1:
iptables -A FORWARD -p tcp –d 10.10.1.1 -j DROP
Per scartare i pacchetti di icmp di lunghezza superiore a 500 byte e diretti verso
10.10.1.1:
Per simulare nei confronti dell’host 10.10.1.1 un link con un tasso di errore del 2%:
iptables –A FORWARD –d 10.10.1.1 –m random –-average 2 –j DROP
Per accettare solo i pacchetti indirizzati verso una certa rete, negando l'accesso a
qualsiasi altro servizio:
Mediante access-list:
set access-list permit prot all port all from any to 192.168.0.0/255.255.0.0
set access-list deny prot all port all from any to any
Tiesse 139
IMOLA User Guide - Rev.24 Ver. 07
Mediante redirect:
set redirect prot tcp port 7 from any to this to-ip 192.168.0.2
Mediante redirect:
set redirect prot tcp port 7 from any to this to-port 13
Mediante redirect:
set redirect prot tcp port 7 from any to this to-ip 192.168.0.2:34
Mediante redirect:
set redirect prot tcp port 23 from any to 10.10.2.9 to-ip 10.10.10.22
to-port 7 log-prefix REDIR
Mediante source-nat:
set source-nat prot all from any to 10.10.0.0/255.255.0.0 ip 10.10.0.1
140 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Mediante source-nat:
set source-nat prot all from any to any dev eth1
Tiesse 141
IMOLA User Guide - Rev.24 Ver. 07
CONNECTION TRACKING
INTRODUZIONE
Esempio:
iptables-conntrack
142 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
1. Protocollo
2. Protocollo espresso con il valore numerico
3. Time-to-live della entry. Questo valore viene decrementato finchè non
compare altro traffico relativo a questa connessione. Quando la entry cambia
stato viene impostato al valore di default per lo stato in esame
4. Stato attuale dell’entry. Gli stati interni sono leggermente diversi da quelli
usati esternamente da iptables. SYN_SENT riguarda una connessione che ha
visto soltanto il SYN in una direzione
5. IP address sorgente
6. IP address destinazione
7. porta sorgente
8. porta destinazione
9. keyword (UNREPLIED) che indica che non è stato visto traffico di ritorno per
questa connessione
10. pacchetto atteso al ritorno
La potenza di questo sistema consiste nel fatto che non è necessario aprire tutte le
porte sopra 1024 per lasciare entrare il traffico di risposta, ma è sufficiente aprire il
firewall per il traffico di risposta operando sullo stato delle connessioni.
CONNESSIONI TCP
Una connessione TCP ha inizio sempre con un handshaking a tre tempi:
1. SYN packet da client verso server
2. SYN/ACK packet da server verso client
3. ACK packet da client verso server
Tiesse 143
IMOLA User Guide - Rev.24 Ver. 07
Come si vede la connessione non è realmente chiusa finchè non arriva l’ultimo ACK.
CONNESSIONI UDP
Le connessioni UDP sono tipicamente state-less. Ci sono diverse ragioni,
principalmente per il fatto che esse non stabiliscono una connessione e perché
mancano di sequenzializzazione. Ricevere due datagram UDP in un certo ordine, non
significa che essi sono stati inviati in quello stesso ordine.
144 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Dal punto di vista del connection tracking, la connessione è stabilita nello stesso
modo che per il tcp; tuttavia la sequenza interna è diversa. Quando viene inviato il
primo pacchetto UDP, l’entry nella tabella di conntrack diventa:
Se la connessione non viene usata per 180 secondi, viene invalidata l’entry nella
tabella. Ogni volta che un pacchetto attraversa il firewall e viene accettato, il timer di
timeout viene reinizializzato con il suo valore di default.
CONNESSIONI ICMP
I pacchetti ICMP non costituiscono uno stream stateful dal momento che non
stabiliscono mai delle connessioni. Tuttavia ci sono fondamentalmente alcuni tipi di
pacchetti che generano pacchetti di ritorno e di conseguenza possono prendere gli stati
NEW e ESTABLISHED. Ad esempio i pacchetti Echo request e reply usati dal
comando ping:
La richiesta di icmp echo request è considerata NEW dal firewall, mentre la risposta
echo reply causa la transizione allo stato di ESTABLISHED.
icmp 1 25 src=192.168.1.6 dst=192.168.1.10 type=8 code=0 id=33029 [UNREPLIED]
src=192.168.1.10 dst=192.168.1.6 type=0 code=0 id=33029 use=1
Tiesse 145
IMOLA User Guide - Rev.24 Ver. 07
Il formato della entry è diverso rispetto a tcp e udp. Compaiono infatti tre campi
nuovi:
o type : icmp type
o code : icmp code
o id: icmp id
Ogni pacchetto ICMP ha un ID che gli viene imposto quando è inviato, quando il
ricevente riceve il messaggio imposta lo stesso ID nel messaggio di risposta. Così il
mittente riesce ad associare la risposta al messaggio inviato. Come si vede, nella
sezione della risposta attesa compaiono il type e code attesi e l’id dell’invio.
La connesione è considerata established non appena viene intercettato il messaggio di
risposta. Tuttavia è certo che dopo la risposta non ci saranno più messaggi legali
associati a questa connessione. Perciò la entry viene distrutta.
Un messaggio ICMP viene utilizzato anche per informare l’host che ha iniziato una
connessione tcp o udp circa la raggiungibilità del partner in questione. Si pensi ad un
ICMP HOST unreacheable. Per questa ragione, le risposte ICMP sono riconosciute
come RELATED.
In questo caso il client invia una pacchetto di SYN ad un indirizzo specifico; questa
viene catalogata come una connessione NEW. Tuttavia il server non è raggiungibile,
così un router invia un messaggio di ICMP unreacheable. Il connection tracking
riconosce il pacchetto come RELATED grazie alla entry presente in tabella così la
risposta può essere indirizzata al client. Subito dopo il client distrugge la entry in
tabella.
CONNESSIONI FTP
Il protocollo FTP apre in prima istanza una sola connessione, chiamata sessione di
controllo. Quando invochiamo un comando attraverso questa connessione vengono
aperte altre porte per trasportare il resto dei dati relativi al comando specifico. Queste
connessioni possono essere fatte in modo attivo o passivo. Quando la connessione è
fatta in modo attivo, il client FTP invia al server una porta ed un ip address cui
connettersi. In seguito, il client ftp apre la la porta e il server vi si connette da una
porta non privilegiata, scelta in modalità random, poi ha inizio lo scambio dei dati. Il
firewall non può essere a conoscenza di queste connessioni aggiuntive dal momento
che esse sono negoziate all’interno del payload dei pacchetti scambiati. Per questo
motivo, il firewall non è a conoscenza che deve lasciare connettere il server su queste
146 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
porte. Sono perciò necessarie delle estensioni ai filtri del firewall in modo che questi
sia in grado di recuperare le informazioni tra i dati scambiati e classificare queste
connessioni aggiuntive come RELATED.
Un FTP passivo opera nella direzione opposta. Il client FTP dice al server che vuole
dei dati specifici; in seguito a questa richiesta il server risponde con un indirizzo IP
cui connettersi e una porta. Il client si connette alla porta specificata dalla sua porta 20
(porta dei dati FTP) e prende i dati in questione. Anche in questo caso è necessario un
modulo aggiuntivo del firewall in grado di intercettare queste informazioni nel
payload del pacchetto e classificare questa seconda connessione come RELATED.
Tiesse 147
IMOLA User Guide - Rev.24 Ver. 07
UN ESEMPIO DI FIREWALL
Consideriamo il seguente scenario:
Internet
HTTP IP 85.34.147.17
FRWL IP 85.34.147.18 atm0
eth0 eth1
DMZ LAN
dove il router, cui sono assegnati gli indirizzi pubblici 85.34.147.17 e 85.34.147.18, è
collegato:
148 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
iptables-save
iptables-stat
iptables-flush.
Tiesse 149
IMOLA User Guide - Rev.24 Ver. 07
iptables-flush
iptables-save
Il comando:
iptables-conntrack
Il comando:
iptables-run
# Salva le regole
iptables-save
reboot
Il comando:
iptables-sysctl
ip_conntrack_max ip_conntrack_tcp_log_invalid_scale
ip_conntrack_tcp_timeout_syn_sent ip_conntrack_tcp_log_out_of_window
ip_conntrack_tcp_timeout_syn_recv ip_conntrack_tcp_loose
ip_conntrack_tcp_timeout_established ip_conntrack_tcp_be_liberal
ip_conntrack_tcp_timeout_fin_wait ip_conntrack_tcp_max_retrans
ip_conntrack_tcp_timeout_close_wait ip_conntrack_udp_timeout
ip_conntrack_tcp_timeout_last_ack ip_conntrack_udp_timeout_stream
ip_conntrack_tcp_timeout_time_wait ip_conntrack_icmp_timeout
ip_conntrack_tcp_timeout_close ip_conntrack_generic_timeout
ip_conntrack_tcp_timeout_max_retrans
Ad esempio per configurare a 600 secondi il valore del timeout delle sessioni:
150 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
iptables-sysctl ip_conntrack_tcp_timeout_established
Il comando:
iptables-restore
iptables-show-config current|saved|started
Ad esempio:
iptables-set-checkpoint-1
Tiesse 151
IMOLA User Guide - Rev.24 Ver. 07
iptables-set-checkpoint-1 e
iptables-set-checkpoint-2.
152 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
PROTOCOLLO VRRP
CONFIGURAZIONE
Imola supporta il protocollo VRRP (Virtual Router Redundancy Protocol, RFC 2338),
un protocollo standard tramite il quale più router di una LAN possono dinamicamente
assegnarsi il compito di rispondere a determinati indirizzi IP.
dove ifname può essere eth0 oppure eth1, oppure il nome di una interfaccia VLAN
del tipo eth1.N.
Il comando:
set vrrp vipaddr 10.10.2.90
configura l’IP address virtuale che sarà attivato sulla interfaccia configurata nel caso
in cui si assuma il ruolo di Master.
Tiesse 153
IMOLA User Guide - Rev.24 Ver. 07
set vrrp on
set no-vrrp
VISUALIZZAZIONE
Per visualizzare lo stato e la configurazione del protocollo VRRP si usa il comando:
show vrrp
TRIGGER VRRP
E’ possibile programmare dei trigger eseguiti nel momento in cui si ha un cambio di
stato legato al protocollo VRRP. Ad esempio, nel momento in cui il router diventa
Master VRRP attiva un tunnel GRE e il protocollo RIP ed esegue le operazioni
inverse quando diventa Backup VRRP:
set trigger vrrp up set gre generic on
set trigger vrrp up set rip on
dove sia il tunnel che il RIP sono stati precedentemente configurati, ma mai attivati.
154 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
no-vrrpd –i eth1 –v 12
no-vrrpd –i eth1 –v 13
oppure il servizio può essere attivato quanto si attiva la sessione GPRS e deattivato
quando questa viene terminata:
set trigger gprs up vrrpd –i eth1 –n –v 12 –p 120 12.12.1.1
set trigger gprs down no-vrrpd –i eth1 –v 12
Tiesse 155
IMOLA User Guide - Rev.24 Ver. 07
Per configurare l’interfaccia su cui trasmettere gli annunci RIP si usa il comando:
eventualmente ripetuto per tutte le interfacce su cui si vogliono inviare gli annunci.
156 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
dove t1 rappresenta il valore per il Routing Table Update Timer (default 30s), t2
rappresenta il valore per il Routing Information Timeout Timer (default 180s) e
t3 rappresenta il valore per il Garbage Collection Timer (default 120s)
Per stabilire che un’interfaccia deve essere passiva, ovvero può solo ricevere annunci,
senza inviarli, si usa il comando:
Il comando:
Il comando:
Permette di inviare gli annunci RIP direttamente all’host a.b.c.d, invece che
all’indirizzo di gruppo.
Il comando
set rip directive redistribute static
Il comando:
I principali comandi che possono essere specificati con tale opzione sono:
network network
network ifname
neighbor a.b.c.d
timers-basic update timeout garbage
passive-interface (IFNAME|default)
ip split-horizon
Tiesse 157
IMOLA User Guide - Rev.24 Ver. 07
version version
redistribute kernel
redistribute kernel metric <0-16>
redistribute kernel route-map <rm-name>
redistribute static
redistribute static metric <0-16>
redistribute static route-map <rm-name>
redistribute connected
redistribute connected metric <0-16>
redistribute connected route-map <rm-name>
redistribute ospf
redistribute ospf metric <0-16>
redistribute ospf route-map <rm-name>
redistribute bgp
redistribute bgp metric <0-16>
redistribute bgp route-map <rm-name>
default-information originate
route a.b.c.d/m
distribute-list access_list direct ifname
distribute-list prefix prefix_list (in|out) ifname
distribute-list prefix prefix_list (in|out) ifname
distance <1-255>
distance <1-255> A.B.C.D/M
distance <1-255> A.B.C.D/M access-list
158 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio per attivare il protocollo OSPF sulle interfacce di rete con indirizzi
10.10.113.1 e 172.151.113.1:
La propagazione delle rotte tra i due sistemi può essere verificata mediante il
comando:
neighbor A.B.C.D
neighbor A.B.C.D poll-interval <1-65535>
neighbor A.B.C.D poll-interval <1-65535> priority <0-255>
Tiesse 159
IMOLA User Guide - Rev.24 Ver. 07
redistribute (kernel|connected|static|rip|bgp)
redistribute (kernel|connected|static|rip|bgp) route-map
redistribute (kernel|connected|static|rip|bgp) metric-type (1|2)
redistribute (kernel|connected|static|rip|bgp)
metric-type (1|2) route-map word
redistribute (kernel|connected|static|rip|bgp) metric <0-16777214>
redistribute (kernel|connected|static|rip|bgp)
metric <0-16777214> route-map word
redistribute (kernel|connected|static|rip|bgp)
metric-type (1|2) metric <0-16777214>
redistribute (kernel|connected|static|rip|bgp)
metric-type (1|2) metric <0-16777214> route-map word
default-information originate
default-information originate metric <0-16777214>
default-information originate metric <0-16777214> metric-type (1|2)
default-information originate metric <0-16777214>
metric-type (1|2) route-map word
160 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
ip prefix-list WORD
description .LINE
ip prefix-list WORD
seq <1-4294967295> (deny|permit) (A.B.C.D/M|any)
ip prefix-list WORD
seq <1-4294967295> (deny|permit) A.B.C.D/M ge <0-32>
ip prefix-list WORD
seq <1-4294967295> (deny|permit) A.B.C.D/M
ge <0-32> le <0-32>
ip prefix-list WORD seq <1-4294967295> (deny|permit) A.B.C.D/M le <0-32>
ip prefix-list WORD seq <1-4294967295> (deny|permit) A.B.C.D/M
le <0-32> ge <0-32>
ip prefix-list sequence-number
mentre per specificare una rete che deve essere annunciata al router remoto si usa il
comando:
set bgp network <value>
Tiesse 161
IMOLA User Guide - Rev.24 Ver. 07
I comandi:
Il comando:
La propagazione delle rotte tra i due sistemi può essere verificata mediante il
comando:
show ip route bgp
Possono essere impostate opzioni avanzate del protocollo bgp mediante il comando:
Ad esempio:
set bgp directive neighbor 172.151.2.5 override-capability
I principali comandi che possono essere specificati con l’opzione directive sono:
162 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 163
IMOLA User Guide - Rev.24 Ver. 07
Il comando:
set bgp no-directive <comando router>
ESEMPI DI CONFIGURAZIONE
Senza perdere in generalità, si consideri il seguente scenario:
Router PE
88.58.10.245
88.58.10.246
Router A 172.20.1.221/32
10.45.15.192/27
164 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
BGP
Il router A annuncia tramite protocolo BGP la propria LAN e il suo indirizzo di
loopback:
Il comando show ip bgp neighbor mostra lo stato della connessione con il router
neighbor. Nel caso in cui non vi sia alcuna sessione attiva il risultato è:
Tiesse 165
IMOLA User Guide - Rev.24 Ver. 07
show ip bgp
166 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 167
IMOLA User Guide - Rev.24 Ver. 07
nella tabella di routing vengono installate soltanto quelle definite dal filtro:
E’ possibile utilizzare delle route-map per filtrare sia in ingresso che in uscita. Ad
esempio:
set bgp directive route-map ToPeerBGP permit 10 match ip address prefix-list ToPeerBGP
set bgp directive route-map ToPeerBGP permit 10 set as-path prepend <ASN>
Definisce una route map per gli annunci verso il neighbor che stabilisce di annunciare
gli indirizzi definiti dal costrutto ip prefix-list ToPeerBGP e di aggiungere ad ogni
annuncio il valore di AS definito dalla regola set as-path prepend <ASN>.
168 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Mentre la route-map
set bgp directive neighbor 88.58.10.245 route-map FromPeerBGP in
set bgp directive route-map FromPeerBGP permit 10 match as-path 10
set bgp directive route-map FromPeerBGP permit 10 set local-preference 140
set bgp directive ip as-path access-list 10 permit _65210_
assegna un valore di local-preference di 140 agli annunci definiti dal costrutto ip as-
path. Questa funzione risulta particolarmente utile nel caso di sessioni BGP verso
neighbor differenti.
L’utilizzo del comando set bgp network A.B.C.D/N (o equivalentemente set bgp
directive network A.B.C.D/N) fa in modo che la network A.B.C.D/N venga
annunciata in maniera indiscriminata, qualsiasi sia il suo stato.
set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocNet
Poichè sia la lan che l’interfaccia di loopback sono attive, le rotte annunciate sono:
Tiesse 169
IMOLA User Guide - Rev.24 Ver. 07
Dove si nota che la rete locale è scomparsa dagli annunci, per ricomparire non appena
il collegamento verrà ripristinato.
detect-link-state <ifname>14
set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocNetworks
set bgp directive route-map StatBGP permit 10 match ip address prefix-list StatRoute
14
Affinchè il comando venga eseguito anche al reboot del router occorre impostare il
comando set autocmd detect-link-state <ifname>
170 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 171
IMOLA User Guide - Rev.24 Ver. 07
Il router A annuncia verso il router O una rotta di default, mentre il router O annuncia
le sue LAN connesse e il router A le redistribuisce tramite BGP:
Router PE
88.58.10.245
88.58.10.246
Router A 172.20.1.221/32
10.45.15.221
10.45.15.219
Router O 172.20.1.219/32
192.168.1.1/24
172 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocalNet
set bgp directive route-map StatBGP permit 10 match ip address prefix-list StatRoute
set bgp directive route-map RedOSPF permit 10 match ip address prefix-list RedOSPF
Qualora venga interrotto il collegamento con il router O, lo stato delle rotte diventa:
Tiesse 173
IMOLA User Guide - Rev.24 Ver. 07
Router PE
Router A Router B
10.45.15.221 10.45.15.220
10.45.15.219
Router O
192.168.1.1/24
dove viene annunciata la rotta di default con metrica 40 (meno prioritaria rispetto al
router A).
174 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Sul router O, vediamo che la rotta di default viene acquisita dal router A
(10.45.15.221) con metrica 20:
Mentre sono presenti due neighbor OSPF appartenenti alla stessa area:
show ip ospf neighbor
Dove si nota che l’annuncio della rotta di default viene ricevuto dal router B
(10.45.15.220).
che annuncia la rotta di default su OSPF, solo se questa è presente sul router, lo stesso
effetto si ottiene anche se sul router A si interrompe il collegamento geografico con il
POP. Infatti, in questo caso scompare la rotta di default e questa non viene propagata
su OSPF.
Tiesse 175
IMOLA User Guide - Rev.24 Ver. 07
Nel caso di doppio router (router A e router B), al fine di evitare loop di annunci, è
opportuno che il router A non annunci tramite BGP le rotte ospf ricevute dal router B
che a sua volta ha ricevuto tramite bgp.
Per questo motivo, le rotte bgp, redistribuite via ospf vengono taggate15, e tramite bgp
si redistribuiscono solamente le rotte ospf non taggate.
set bgp on
15
Il meccanismo di tagging è disponibile a partire dalla versione di sw 2.3.0-8
16
La funzionalità di Load Balancing è disponibile a partire dalla versione di software 2.3.0-
8.
176 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set bgp directive route-map LAN-CED permit 10 set as-path prepend 3269 65210
set bgp on
Mentre il comando show ip bgp mostra che sono disponibili entrambi i neighbor:
17
La versione 2.3.0-8 prevede la funzionalità di verifica del neighbor tramite protocollo
BFD (Bidirectional Forwarding Detection)
Tiesse 177
IMOLA User Guide - Rev.24 Ver. 07
show ip bgp
178 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set bgp directive route-map LAN-CED permit 10 set as-path prepend 3269 65210
set bgp on
show ip bgp
Tiesse 179
IMOLA User Guide - Rev.24 Ver. 07
COMANDO ROUTER
Il comando router permette la gestione, l’amministrazione e il debugging dei
protocolli di routing dinamico attivi su Imola.
Ad esempio:
Ad esempio per configurare OSPF, dopo aver eseguito shell router ospf si entra
nell’ambiente di configurazione nativo, si imposta il comando configure terminal
e quindi i parametri desiderati:
root@IMOLA> set ospf on
root@IMOLA> shell router ospf
180 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
ospfd#
root@IMOLA>
Tiesse 181
IMOLA User Guide - Rev.24 Ver. 07
ospfd#
root@IMOLA>
I comandi:
182 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set pim on
Il comando:
Tiesse 183
IMOLA User Guide - Rev.24 Ver. 07
184 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set pim static-rp <addr> group-addr <addr> masklen <0-32> [priority] <0-255>
Definisce un RP statico per il gruppo specificato.
Il comando
Tiesse 185
IMOLA User Guide - Rev.24 Ver. 07
set msdp on
IGMP
Il protocollo IGMP permette di gestire join/leave di gruppi in router direttamente
connesso ad una destinazione o sorgente.
-IGMP SNOOPING
mentre il comando:
show igmp-snooping
IGMP PROXY
Le funzioni di IGMP Proxy permettono il reinstradamento del traffico Multicast sulle
varie interfacce di rete utilizzando semplicemente il signaling IGMP (Internet Group
Management Protocol).
186 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Utilizzando il comando:
set igmp-proxy on
Tiesse 187
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio:
Il traffico Multicast proveniente dal tunnel il cui nome è tun0, con sorgente
10.84.23.0/24, oltre alla rete associata al tunnel, viene reinstradato sull’interfaccia
eth1.
set no-multicast-static-join ….
set no-multicast-static-group ….
188 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Sono disponibili dei comandi utili per l’analisi e la disgnostica del traffico di tipo
Multicast. Quelli più utili sono:
set multicast-accept-icmp-echo on
set multicast-accept-icmp-echo off
Tiesse 189
IMOLA User Guide - Rev.24 Ver. 07
TUNNEL GRE
dove <name> è una qualsiasi stringa che inizia con il carattere ‘t’. E’ buona norma
usare uno dei seguenti valori: tgprs0, tadsl0, tisdn0, tun0, … tun8.
Per configurare l’indirizzo fisico di partenza del tunnel viene usata la forma:
per indicare che l’indirizzo sorgente deve essere quello associato all’interfaccia
specificata.
190 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 191
IMOLA User Guide - Rev.24 Ver. 07
Il valore di default è 1476, cioe’ 1500 – 24, dove 1500 è il valore di MTU
dell’interfaccia fisica e 24 è l’overhead del tunnel stesso.
oppure il tunnel può essere attivato quanto si attiva la sessione GPRS e deattivato
quando questa viene terminata:
set trigger gprs up set gre generic on
set trigger gprs down set gre generic on
oppure al momento della attivazione della funzionalità di backup:
192 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
è necessario che l’interfaccia specificata sia attiva, per cui è opportuno che
l’attivazione venga invocata con i comandi di trigger, invece che come autocmd.
dove le opzioni sono le stesse del comando set gre generic e tun0, tun1 ... tun7 e
rappresentano i nomi delle interfacce tunnel che verranno create.
mentre:
set no-gre tun0
TRIGGER GRE
Nel caso in cui sia stata abilitata la funzione di trasmissione dei messaggi di keep-
alive è possibile configurare dei trigger che verranno eseguiti nel momento in cui si ha
il cambiamento di stato dell’interfaccia del tunnel. Ad esempio
set trigger gre up ip route del 192.168.1.0/24 dev atm0
set trigger gre up ip route add 192.168.1.0/24 dev tun0
Tiesse 193
IMOLA User Guide - Rev.24 Ver. 07
con i quali si stabilisce che la rotta verso la rete 192.168.1.0/24 deve essere
impostata sull’interfaccia tunnel quando questo è attivo, e sull’interfaccia atm0
quando il tunnel non sia attivo.
Possono essere attivati fino a 100 tunnel. Il nome dell’interfaccia deve essere
differente per ognno di essi.
destroy-tunnel tun0.
ip tunnel add tgprs0 mode gre local 172.10.1.1 remote 172.20.1.1 ttl 64
ip link set tgprs0 up
ip link set tgprs0 multicast on
194 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set trigger gprs up ip tunnel add tgprs0 mode gre local 172.10.1.1
remote 172.20.1.1 ttl 64
set trigger gprs up ip link set tgprs0 up
set trigger gprs up ip link set tgprs0 multicast on
set trigger gprs up ip addr add 100.100.100.1/30 peer 100.100.100.2/30
dev tgprs0
Per abbattere il tunnel ed eliminare ogni traccia della programmazione relativa allo
stesso, è possibile sfruttare il trigger gprs down, legato appunto all’interfaccia gprs:
L’utilizzo diretto del comando ip consente di attivare più tunnel GRE contemporanei.
Qualora l’indirizzo di partenza del tunnel non sia noto, è possibile utilizzare la
notazione:
ip tunnel add tgprs0 mode gre local any remote 172.20.1.1 ttl 64
Tiesse 195
IMOLA User Guide - Rev.24 Ver. 07
L’attivazione del protcollo NHRP su Imola farà in modo che sul concentratore verrà
creato dinamicamente il tunnel richiesto. Il parametro di holding time specifica per
quanto tempo il tunnel rimane valido. Allo scadere di esso, verrà rinnovata la richiesta
di attivazione.
oppure
Nel caso in cui il sistema Hub sia un router cisco, la configurazione speculare è del
tipo:
interface Tunnel1
ip address 192.168.10.1 255.255.255.0
no ip redirects
ip nhrp network-id 1000
tunnel source FastEthernet0/0
tunnel mode gre multipoint
end
196 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
IPSEC
Per impostare la chiave di autenticazione, la stessa che deve essere impostata anche
sul peer, si usa il comando:
Per impostare l’indirizzo IP della interfaccia locale sulla quale sarà attivato il tunnel si
usa il comando:
Per impostare l’indirizzo IP della interfaccia remota che costituisce l’estremo remoto
del tunnel si usa il comando:
Tiesse 197
IMOLA User Guide - Rev.24 Ver. 07
Per specificare il protocollo di Internet Key Exchange o IKE (IPsec Phase I) si usa il
comando:
Per specificare il protocollo di Encapsulating Security Payload o ESP (IPsec Phase II)
si usa il comando:
Per restringere il numero di protocolli e porte ammessi sul tunnel IPsec si usa il
comando:
198 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Sono disponibili inoltre una serie di comandi da utilizzare per rimuovere opzioni
precedentemente specificate:
set ipsec no-secret
set ipsec no-nat-t
set ipsec no-local-end
set ipsec no-local-id
set ipsec no-pfs
set ipsec no-nexthop
set ipsec no-local-end
set ipsec no-remote-end
set ipsec no-remote-id
set ipsec [tunnel0| … |tunnel7] no-local-subnet
set ipsec [tunnel0| … |tunnel7] no-remote-subnet
set ipsec tunnel0| … |tunnel7 no-negotiation
set ipsec tunnel0| … |tunnel7 no-ike
set ipsec tunnel0| … |tunnel7 no-esp
Ad esempio, dopo averlo configurato, l’IPSec viene attivato nel momento in cui
viene stabilita una sessione GPRS:
Tiesse 199
IMOLA User Guide - Rev.24 Ver. 07
TRIGGER IPSEC
E’ possibile configurare dei trigger che verranno eseguiti nel momento in cui viene
stabilita la sessione IPSec con il peer remoto. Ad esempio:
set ipsec interface eth0
set ipsec local-end 10.10.2.210
set ipsec local-subnet 172.151.0.0/16
set ipsec nexthop 10.10.2.211
set ipsec remote-end 10.10.2.211
set ipsec remote-subnet 173.151.0.0/16
set ipsec secret pippo654321
set ipsec nat-t yes
set ipsec tunnel0 negotiation main
set ipsec tunnel0 ike 3des-md5-modp1024
set ipsec tunnel0 keyexchange yes
set ipsec auto-on
set ipsec on
set ipsec on
con i quali si invia un messaggio di syslog per notificare lo stato del tunnel e
configurare la rotta verso la rete remota sull’interfaccia ipsec0.
In caso di utilizzo di trigger IPSec è obbligatorio sia specificare il nome del tunnel cui
il trigger si riferisce (ipstun0, ... ipstun7), sia configurare sempre la rotta verso la
remote subnet sull’interfaccia ipsec0.
200 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
TUNNEL L2TP
Tiesse 201
IMOLA User Guide - Rev.24 Ver. 07
set l2tp on
Per attivare il tunnel L2TP
set no-l2tp
Abbatte il tunnel ed elimina la configurazione.
Ad esempio, dopo averlo configurato, il tunnel L2TP viene attivato nel momento in
cui viene stabilita una sessione GPRS:
NumL2TPTunnels 1
Tunnel MyID 449 AssignedID 53 NumSessions 1 PeerIP 1.1.1.1 State established
Session LAC MyID 18349 AssignedID 55787 State established
202 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
TRIGGER L2TP
E’ possibile configurare dei trigger che verranno eseguiti nel momento in cui viene
stabilita la sessione L2TP con il peer remoto. Ad esempio:
con i quali si invia un messaggio di syslog per notificare lo stato del tunnel e
configurare la rotta verso la rete remota sull’interfaccia ppp13.
Tiesse 203
IMOLA User Guide - Rev.24 Ver. 07
EASY VPN
Il capitolo elenca solamente i parametri fondamentali del modulo EZVpn. Fornire una
conoscenza approfondita del protocollo esula dagli scopi del manuale.
set ezvpn-id
per impostare il gruppo della VPN
204 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set ezvpn on
Attiva il tunnel Easy VPN.
TRIGGER EZVPN
E’ possibile configurare dei trigger che verranno eseguiti nel momento in cui viene
stabilita la sessione VPN con il peer remoto. Ad esempio
set trigger ezvpn up ip route add 10.1.10.10 dev tun0
set trigger ezvpn up ip route add 10.1.10.0/24 dev tun0
set trigger ezvpn up ip route add 10.3.10.0/24 dev tun0
Tiesse 205
IMOLA User Guide - Rev.24 Ver. 07
QUALITY OF SERVICE
INTRODUZIONE
Quality of Service è un generico termine dato ai sistemi di accodamento e ai
meccanismi attraverso i quali i pacchetti sono ricevuti o trasmessi su un router. Esso
comprende le regole di decisione su quali pacchetti accettare, se accettarli e a quale
velocità instradarli su una interfaccia e altresì su quali pacchetti trasmettere e in quale
ordine trasmetterli in uscita dall’interfaccia.
La soluzione supportata da Imola offre le seguenti funzionalità:
• limita la banda totale disponibile su una interfaccia ad un tasso predefinito
(shaping)
• riserva la banda a particolari tipi di servizio utilizzando meccanismi di
classificazione (scheduling)
• offre percorsi preferenziali a tipologie di traffico sensibili ai tempi di latenza
(classes)
• ridistribuisce la banda in eccesso
• assicura il dropping dei pacchetti in eccesso (policing)
Sono disponibili due implementazioni. La prima, qos, mette a disposizione una sola
classificazione di traffico che definisce tre classi con impostazioni predefinite:
• RT o Real Time
• MC o Mission Critical
• BE o Best Effort
206 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Ogni classe deve essere configurata per definire la banda garantita, le regole di
classificazione dei pacchetti in ingresso ed eventuali marchiature da applicare ai
pacchetti in uscita.
Per configurare la banda che la QoS garantisce alla classe si usa il comando:
E’ inoltre possibile specificare la banda massima che la classe può sostenere e che la
QoS può assegnare alla classe in caso di banda totale inutilizzata, con il comando:
E’ possibile specificare il valore del burst, cioè del numero di kbits che possono
essere inviati dalla classe senza interruzioni:
E’ inoltre possibile specificare il valore del burst quando la banda utilizzata dalla
classe supera la banda garantita:
Per classificare il traffico in ingresso alla classe si usano alcuni comandi che
stabiliscono delle regole di classificazione.
Tiesse 207
IMOLA User Guide - Rev.24 Ver. 07
set qos class <class name> from <subnet addr>/<subnet prefix length>
set no-qos
208 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Per verificare lo stato delle code (viene evidenziato se sono attive) è possibile
utilizzare il comando:
show qos status
class htb 1:1 root rate 530000bit ceil 530000bit burst 95Kb cburst 95Kb
class htb RT parent 1:1 prio 1 rate 240000bit ceil 240000bit burst 30Kb cburst 30Kb
class htb MC parent 1:1 prio 2 rate 180000bit ceil 530000bit burst 45Kb cburst 45Kb
class htb BE parent 1:1 prio 2 rate 80000bit ceil 530000bit burst 20Kb cburst 20Kb
class htb 1:1 root rate 530000bit ceil 530000bit burst 95Kb cburst 95Kb
class htb RT parent 1:1 prio 1 rate 240000bit ceil 240000bit burst 30Kb cburst 30Kb
class htb MC parent 1:1 prio 2 rate 180000bit ceil 530000bit burst 45Kb cburst 45Kb
class htb BE parent 1:1 prio 2 rate 80000bit ceil 530000bit burst 20Kb cburst 20Kb
class htb 1:1 root rate 530000bit ceil 530000bit burst 95Kb cburst 95Kb
class htb RT parent 1:1 prio 1 rate 240000bit ceil 240000bit burst 30Kb cburst 30Kb
class htb MC parent 1:1 prio 2 rate 180000bit ceil 530000bit burst 45Kb cburst 45Kb
class htb BE parent 1:1 prio 2 rate 80000bit ceil 530000bit burst 20Kb cburst 20Kb
Tiesse 209
IMOLA User Guide - Rev.24 Ver. 07
Per verificare le statistiche relative al traffico gestito dalle code è possibile utilizzare il
comando:
class htb 1:1 root rate 530000bit ceil 530000bit burst 95Kb cburst 95Kb
Sent 1297 bytes 18 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 1202401 ctokens: 1202401
class htb RT parent 1:1 prio 1 rate 240000bit ceil 240000bit burst 30Kb cburst 30Kb
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 838860 ctokens: 838860
class htb MC parent 1:1 prio 2 rate 180000bit ceil 530000bit burst 45Kb cburst 45Kb
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 1677721 ctokens: 569792
class htb BE parent 1:1 prio 2 rate 80000bit ceil 530000bit burst 20Kb cburst 20Kb
Sent 1297 bytes 18 pkts (dropped 0, overlimits 0)
lended: 18 borrowed: 0 giants: 0
tokens: 1674445 ctokens: 252747
ESEMPIO
Le regole di QoS possono, per esempio, essere impostate mediante i seguenti comandi
CLI:
set qos dev atm0
set qos total-rate 530
set qos class RT ipp 5
set qos class MC to 11.11.11.250 setipp 2
set qos class BE setipp 0
set qos class RT rate 240 maxrate 240
set qos class MC rate 180 maxrate 530
set qos class BE rate 80 maxrate 530
set qos on
210 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
E’ possibile specificare una percentuale di banda disponibile che viene riservata per il
traffico non classificato:
set qos-ext policy <name> reserved-bandwidth <value>
E’ possibile specificare il burst, cioè il numero massimo di bytes che la classe root,
padre di tutte le classi, può trasmettere, quando è autorizzata a trasmettere:
Tiesse 211
IMOLA User Guide - Rev.24 Ver. 07
In alternativa alla banda dispnibile, è possibile associare alla Policy una queue-discipli
di tipo PRIO, per considersare prioritari i pacchetti associati:
E’ possibile specificare una banda massima, che la classe non può superare. Se questo
valore non è specificato, alla classe potrà essere assegnata parte o tutta la banda
eccedente, compatibilmente con la richiesta di banda da parte delle altre classi
configurate:
E’ possibile specificare il burst, cioè il numero massimo di bytes che la classe può
trasmettere, quando è autorizzata a trasmettere:
set qos-ext class <name> bandwidth burst <value>
E’ possibile specificare che la classe è prioritaria con una quantità di banda garantita e
che il valore specificato rappresenta anche la massima banda consentita. Il valore può
essere espresso come valore assoluto o come percentuale della banda disponibile.
Tipicamente questa configurazione può essere utilizzata per classi di tipo real-time.
212 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
I valori di banda possono essere cancellati con uno dei seguenti comandi:
dove sfq indica la disciplina Stocastic Fairness Queue, che concede agli stessi
pacchetti la stessa probabilità di essere serviti. Essa è necessario quando la banda di
uscita non è deterministica (come per le connessioni mobili) per evitare che particolari
flussi monopolizzano tutta la banda a discapito degli altri.
La politica sfqtun invece è la stessa della SFQ, ma applicata quando l’interfaccia di
uscita è un tunnel GRE.
Le condizioni associate ai filtri vengono applicate sul traffico di ingresso tramite una
relazione di unione (match x or match y or match … ).
Tiesse 213
IMOLA User Guide - Rev.24 Ver. 07
Per conoscere quale mark è associato ad una classe, utilizzare il seguente comando:
Nel caso in cui le condizioni associate ai filtri debbano essere applicate tramite una
relazione di intersezione (match x and match y and match … ) si deve allocare un
filter group nel seguente modo:
214 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Il filter group deve essere associato ad una classe nel seguente modo:
E’ possibile specificare che tutto il traffico non filtrato venga destinato ad una classe,
specificando tale classe come classe preselezionata:
set qos-ext class <name> default
Infine è possibile associare una priorità ai pacchetti che fluiscono attraverso una
classe. La priorità è espressa con un numero intero positivo; minore è il valore,
maggiore è la priorità. Tutte le altri classi hanno un valore predefinito a 2.
Tiesse 215
IMOLA User Guide - Rev.24 Ver. 07
POLICING
Il traffico che supera la banda impostata viene sottoposto all’azione specificata (al
momento solo drop):
Una policy con queue discipline prio alloca tante bande di priorità quante sono le
classi ad essa associate. Ad ogni classe deve essere assegnata un valore progressivo e
consecutivo di priorità a partire da 1, la priorità più alta.
Per assegnare la priorità ad una classe si utilizza il comando:
Per ogni classe devono inoltre essere specificati i filtri o i filter-groups per
classificarne il traffico.
set qos-ext on
216 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Attenzione: le regole di QoS non sono applicate automaticamente all’avvio del router,
ma devono essere attivate mediante auto-command:
oppure su trigger:
set no-qos-ext
La configurazione della QoS introdotta via CLI può essere esaminata nell’output di
Tiesse 217
IMOLA User Guide - Rev.24 Ver. 07
class htb RT parent 1:1 prio 1 quantum 3750 rate 300000bit ceil 300000bit
burst
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 44700 ctokens: 44700
class htb DATA1 parent 1:1 prio 2 quantum 1000 rate 75000bit ceil 450000bit
bur
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 175745 ctokens: 30146
class htb DATA2 parent 1:1 prio 2 quantum 1000 rate 75000bit ceil 450000bit
bur
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 175745 ctokens: 30146
218 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
ESEMPI
Nell’esempio seguente viene definita una classe RT, appartenente ad una data policy:
Alla classe RT viene garantita una banda pari al 50% della banda disponibile.
Nella classe fluiscono i pacchetti il cui indirizzo sorgente appartiene alla rete
172.151.1.0:
Tiesse 219
IMOLA User Guide - Rev.24 Ver. 07
Per riservare una porzione di banda al trafico di controllo del bgp, si può dichiarare
una classe:
e farvi fluire i pacchetti che hanno come valore di dscp 0x30 equivalente alla classe
dscp cs6:
set qos-ext class BGP filter match dscp-class cs6
tc qdisc add dev eth0 root tbf rate 1000kbit latency 50ms burst 20000
set autocmd tc qdisc add dev eth0 root tbf rate 1000kbit latency 50ms burst
20000
220 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
VLAN E SWITCH
Imola supporta il protocollo 802.1q che permette di costruire LAN virtuali
completamente indipendenti su un solo link fisico. L’header dei pacchetti LAN viene
modificato includendo l’indicazione di un tag che identifica la VLAN e un valore di
priorità associato al pacchetto. Sono possibili fino a 4096 VLAN diverse, ciascuna
delle quali può avere fino a 8 livelli di priorità.
L’interfaccia è eth0 per i modelli Imola-LX ed eth1 per tutti gli altri.
es. eth1.100, cui è possibile associare indirizzo ip e netmask nel seguente modo:
E’ disponibile il comando per mappare uno o più valori di DSCP (Diffserv Code
Point) su un valore di COS (Class of Service) del protocollo 802.1p:
set no-vlan
Tiesse 221
IMOLA User Guide - Rev.24 Ver. 07
Lo switch all’interno del router Imola dispone di 5 porte Fast Ethernet 10/100
autosensitive. Esso è collegato al MAC della CPU di Imola identificata
dall’interfaccia ethernet eth1. Nel caso del modello Imola LX le porte sono 4 e sono
collegate al MAC della CPU identificata da eth0.
Ogni singola porta può essere configurata in modalità access, trunk o hybrid.
• Modalità access: individua una porta che riceve e trasmette pacchetti senza
tag 802.1q, consentendo ad un sistema che non è in grado di operare in 802.1q,
di partecipare ad una VLan 802.1q. Infatti la porta aggiunge il tag 802.1q ai
pacchetti in ingresso e lo estrae, se presente, ai pacchetti in uscita. Il livello di
sicurezza configurato per la porta è tale che la porta può comunicare solo con
porte appartenenti alla stessa VLan 802.1q, individuata dall’identificativo di
VLan che deve essere specificato al momento della configurazione.
• Modalità trunk, individua una porta che riceve e trasmette frames con tag
802.1q. Il livello di sicurezza è tale per cui la porta può trasmettere e ricevere
tutti e solo i pacchetti appartenenti alle VLan configurate.
• Modalità hybrid, individua una porta che può riceve e trasmette sia frames
con tag 802.1q che frame senza tag. In caso di assenza di tag, le frame
appartengono alla VLAN nativa.
Per configurare una porta dello switch di Imola ad operare in modalità access si usa il
comando:
222 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
E’ inoltre necessario associare alla porta un VLan id che verrà utilizzato per il tagging
dei pacchetti in ingresso:
set switch port N vid <value>
Per configurare una porta dello switch di Imola ad operare in modalità trunk si usa il
comando:
Per operare in modalità trunk ed accettare anche le frame native, si usa il comando:
Mediante il comando:
la riabilita.
set switch on
Tiesse 223
IMOLA User Guide - Rev.24 Ver. 07
224 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Per azzerare tutti i contatori di una porta o di tutte le porte, si usa il comando:
Tiesse 225
IMOLA User Guide - Rev.24 Ver. 07
TACACS
Il comando
226 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Il comando:
Il comando:
Il comando:
indica il timeout (in secondi) di attesa per risposta da parte del Tacacs Server.
Il comando:
stabilisce che i pacchetti Tacacs orignati dal router debbano essere inviati utilizzando
come IP sorgente il valore 172.20.1.1. E’ disponibile anche la forma:
---------------------------------------------------------------
(IMOLA) (port 0)
---------------------------------------------------------------
login: user
Password:
TACACS+: Authentication OK
Service Type is: Login-User
Privilige Level is: 3
Idle timeout is set to 3600 seconds
Connected Users:
pts/0 user@IMOLA
Tiesse 227
IMOLA User Guide - Rev.24 Ver. 07
può stabilire quali sono i comandi che possono essere eseguiti dagli utenti con
privilegio 5. Ad esempio:
enable 5
ed acquisire il diritto di eseguire i comandi configurati set adsl, set isdn e set
gprs.
ACCOUNTING E AUTORIZZAZIONE
Gli accessi al router sono controllati da un messaggio di Accounting inviato al Server
quando viene effettuata l’autenticazione (Accounting Start) ed un messaggio
inviato quando la sessione viene terminata (Accounting Stop).
228 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
allora ogni comando eseguito nel corso della sessione verrà inviato con un apposito
messaggio di Accounting al Server Tacacs. Tale messaggio contiene il nome
dell’utente connesso, il terminale da cui è stata effettuata la connesione e il comando
eseguito.
Tiesse 229
IMOLA User Guide - Rev.24 Ver. 07
user = limited {
login = cleartext limited
service = exec {
priv-lvl=15
}
cmd = "set" {
permit "eth1 .*"
permit "gprs apn .*"
permit "isdn dialer ippp1 *"
}
cmd = "ping" {
permit .*
}
cmd = "show" {
deny "interface *"
deny "ip bgp .*"
permit .*
}
cmd = "traceroute" {
permit .*
}
cmd = "shell" {
deny .*
}
cmd = "iptables" {
deny .*
}
}
230 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
RADIUS
Il comando
Il comando
Tiesse 231
IMOLA User Guide - Rev.24 Ver. 07
Il comando:
Il comando:
viene utilizzato per inviare verso gli Account Server tutti i comandi di set impostati
sulla interfaccia CLI.
Il comando:
specifica il numero di tentativi (nel caso in esame pari a 2) per cui la richiesta di
autenticazione sarà inviata al Radius Server.
Il comando:
indica il timeout (in secondi) di attesa per risposta da parte del Radius Server.
Il comando:
stabilisce che i pacchetti Radius orignati dal router debbano essere invuati utilizando
come IP sorgente il valore 172.20.1.1. E’ disponibile anche la forma:
cisco-avpair = "shell:priv-lvl=15"
232 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
PROTOCOLLO SNMP
L’agent SNMP risponde solo alle richieste verso indirizzi IP preventivamente abilitati
(nella configurazione di fabbrica sono abilitate solo le richieste locali, dirette
all’indirizzo “127.0.0.1”). Il comando da impostare per abilitare le risposte verso altre
interfacce è:
set snmp directive agentaddress 172.16.0.1
set snmp community <value> access ro|rw source [<source_ip> oid <value>]
dove il valore del parametro community deve essere una stringa di caratteri ascii, il
valore del parametro source è l'indirizzo IP del manager a cui è permesso usare
questa community, e il valore del parametro oid è l'object identifier a cui è ristretta
questa community. Ad esempio la sequenza di comandi:
Tiesse 233
IMOLA User Guide - Rev.24 Ver. 07
permette l’accesso in lettura alla sola porzione di albero sottostante l'object identifier
system tramite la community notsopublic .
Per configurare con quale community e a quali manager le trap devono essere inviate
si impiega, ad esempio, la sequenza di comandi:
Per configurare l’indirizzo da utilizzare come sorgente nell’invio delle trap, si impiega
il comando:
set snmp trap-source 172.20.1.1
oppure
Per attivare le trap su tentativi di accesso non autorizzati, occorre eseguire la sequenza
di comandi:
Per attivare le trap sulle chiamate ISDN, occorre eseguire la sequenza di comandi:
Per configurare i parametri di controllo sulla generazione e l'invio delle trap, occorre
eseguire la sequenza di comandi:
234 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
fa sì che lo stato delle interfacce venga controllato ogni 30 secondi e che, nel caso in
cui i manager destinatari non rispondano, vengano compiuti 5 tentativi di invio,
intervallati da un periodo di 10 secondi.
trap-poll-frequency 20
trap-retries 3
trap-timeout 5
CONFIGURAZIONE SNMP V3
L’agent SNMP, se opportunamente configurato, è in grado di rispondere a richieste
SNMP versione 3 (SNMPv3). Le specifiche SNMPv3 riguardano essenzialmente gli
aspetti di security ed encryption.
Tiesse 235
IMOLA User Guide - Rev.24 Ver. 07
dove DES e AES sono protocolli di encryption. Se il parametro opzionale ‘secret’ non
viene specificato, come <priv pass phrase> viene assunta essere la stessa <pass
phrase> di autenticazione.
VISUALIZZAZIONE SNMP
Per visualizzare la sequenza di comandi usati per configurare Imola e quindi anche
l'agent SNMP è disponibile il comando CLI:
show snmp
236 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 237
IMOLA User Guide - Rev.24 Ver. 07
SYSLOG
La raccolta dei messaggi di sistema, effettuata mediante il servizio syslog, può essere
effettuata verso un server remoto oppure in locale.
Per specificare con quale IP sorgente debbano essere inviati i messaggi di syslog
verso il server remoto, si usa il comando:
oppure
Per evitare che il file cresca a dismisura è possibile specificarne la massima lunghezza
in termini di numero di linee con il comando seguente:
LOG DESCRIZIONE
livello 1 applicazioni
applicazioni, autenticazione logon utenti, log pacchetti IP in
livello 2
transito e filtrate dalle regole di acl, redirect, source-nat
applicazioni, autenticazione logon utenti, log pacchetti IP in
livello 3
transito e filtrate dalle regole di acccess-list, redirect, source-
238 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set log on
Il logging in locale dei messaggi di sistema può, per esempio, essere attivato mediante
i seguenti comandi CLI:
set log local
set log level 4
set log max-lines 4000
set log on
Tiesse 239
IMOLA User Guide - Rev.24 Ver. 07
Il logging in remoto dei messaggi di sistema può essere attivato mediante i seguenti
comandi CLI:
set log remote <IP>
set log level 4
set log on
show log
240 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
E’ possibile trasferire tutto il contenuto del file di log su un server TFTP tramite il
comando:
che causano l’invio verso l’host specificato specificato le varie segnalazioni di allarmi
prodotte dal router. Gli alarmi vengono inviati tramite syslog.
Per specificare con quale IP sorgente debbano essere inviati i messaggi verso il server
TFTP, si usa il comando:
oppure
Tiesse 241
IMOLA User Guide - Rev.24 Ver. 07
PROTOCOLLO DLSW
INTRODUZIONE
Imola supporta la funzione di Data Link Switching (DLSw), meccanismo di
forwarding per le reti IBM SNA basato sul protocollo Switch-to-Switch (SSP) che
incapsula le frames SNA in TCP/IP per il trasporto su Internet. L’implementazione
segue le specifiche RFC 1795.
Prima che il data link switching possa iniziare, deve essere stabilita una connessione
TCP/IP tra due estremi DLSw (peers); stabilita la connessione, i due peers si
scambiano le capabilities e, a questo punto, entrambi utilizzeranno il protocollo SSP
per stabilire dei circuiti sul transport.
CONFIGURAZIONE DLSW
Il peer locale viene definito tramite il suo indirizzo ip, nel seguente modo:
Se si desidera impostare una finestra di controllo del flusso dei pacchetti scambiati tra
i due peers (pacing window) come definito in RFC 1795, si usa il comando:
set dlsw local-peer pacing-window <size>
L’impostazione predefinita per tale finestra è 20. Valori validi sono compresi tra 1 e
2000.
Il peer remoto viene definito tramite il suo indirizzo ip, nel seguente modo:
set dlsw remote-peer ipaddr <ip address>
242 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Il MAC address deve essere introdotto come sequenza di 6 bytes separati dal carattere
due punti, hh:kk:xx:yy:ww:zz, usando la notazione esadecimale.
Per configurare una risorsa che è raggiungibile dal peer-locale, si deve usare il
comando:
Sia il MAC address che la maschera devono essere introdotti come sequenza di 6
bytes separati dal carattere due punti, hh:kk:xx:yy:ww:zz, usando la notazione
esadecimale.
Quando il router deve decidere la raggiungibilità di un dato MAC address, la
maschera viene applicata in “and” ad esso; se il risultato ottenuto e’ il MAC address
configurato, allora il MAC address è raggiungibile. Se si desidera specificare un
singolo MAC address, allora la maschera deve essere impostata a ff:ff:ff:ff:ff:ff
oppure non specificata, essendo questo il valore preimpostato.
Per rimuovere un MAC address dalla lista dei MAC address raggiungibili, si usa il
comando:
E’ inoltre possibile definire una lista di SAP raggiungibili dal peer locale usando il
comando:
Tiesse 243
IMOLA User Guide - Rev.24 Ver. 07
Inoltre è necessario configurare il MAC address del client, nel seguente modo:
Anche in questo caso il MAC address deve essere introdotto come sequenza di 6 bytes
separati dal carattere due punti, hh:kk:xx:yy:ww:zz, usando la notazione esadecimale.
244 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
e il baud-rate:
Al momento della configurazione del peer locale del DLSw è necessario configurare
il “terminatore” locale del data link associato con il seguente comando:
Poichè il DLSw agisce sempre come se connettesse due LAN 802.2, è necessario
configurare sul binder sdlc le seguenti informazioni aggiuntive:
lo xid,
Tiesse 245
IMOLA User Guide - Rev.24 Ver. 07
Il MAC address deve essere introdotto come sequenza di 6 bytes separati dal
carattere due punti, hh:kk:xx:yy:ww:00, usando la notazione esadecimale. Si noti che
il byte basso deve essere 00. Il mac address associato alla stazione viene costruito
partendo dal mac address virtuale cui viene sovrapposto nel byte basso l’indirizzo
della stazione stessa.
Per visualizzare lo stato del peer locale e delle sue connessioni si usa il comando:
246 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Per visualizzare i circuiti stabiliti tra il peer locale e il suo partner remoto si usa il
comando:
La visualizzazione dei circuiti può essere filtrata in base ad un MAC address, un sap o
un id, nel seguente modo:
show dlsw circuits mac < mac address >
show dlsw circuits sap < sap >
show dlsw circuits id < circuit id >
ESEMPIO DI USO
La configurazione del dlsw si può estrarre dalla configurazione corrente del router.
Senza perdere in generalità si fa riferimento allo scenario del seguente diagramma:
CED DLC
SSP
TCP/IP
DLSW
internet
SSP
Imola
Local Peer 10.10.0.1
DLC
Sede Periferica
Client MAC address 00:0A:01:02:03:04
Esso prevede:
248 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
• Un router Imola DLSw collegato in periferia alla rete LAN dei dispositivi di
servizio. L’indirizzo IP assegnato è 10.10.0.1.
• Un router generico DLSw che collega la LAN del CED alla rete internet.
L’indirizzo è 10.160.0.1
• Un client, con MAC address 00:0A:01:02:03:04, che colloquia via DLC con
l’host remoto
• Un Host, con MAC address 00:0A:0B:0C:0D:0E, che risponde alle richieste
remote via DLC
Configurazione
Su Imola vengono eseguiti i seguenti comandi per attivare la connessione DLSw tra i
due peers e verificarne il funzionamento:
set dlsw local-peer ipaddr 10.10.0.1
set dlsw remote-peer ipaddr 10.160.1.1
set dlsw remote-peer target-mac 00:0A:0B:0C:0D:0E
set dlsw on
Tiesse 249
IMOLA User Guide - Rev.24 Ver. 07
Can U Reach Cs
XID
I can Reach Cs
Reach ACK
XID XID
UA Contacted UA
250 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
NTP
Per configurare gli indirizzi IP dei server NTP che si desidera utilizzare per
l’allineamento della data di sistema si usa il comando:
set ntp <IP>
set ntp on
Per specificare con quale IP sorgente debbano essere inviati i messaggi verso il server
remoto, si usa il comando:
oppure
Per forzare l’allineamento della data di sistema al server NTP si usa il comando:
rdate –s <IP>
show date
Tiesse 251
IMOLA User Guide - Rev.24 Ver. 07
E’ buona norma attivare il servizio NTP quando diventa attiva la connessione remota.
Ad esempio, nel caso in cui la connessione avvenga via adsl, si deve programmare il
seguente trigger:
set trigger adsl up set ntp on
TRIGGER NTP
E’ possibile programmare dei trigger eseguiti nel momento in cui il router
sincronizza la data con il server NTP. Ad esempio:
set trigger ntp up logger Router has been synchronized
252 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Comandi di configurazione:
Comandi di visualizzazione
• show crontab
Visualizza la cron table corrente.
Es. di visualizzazione:
> show crontab
Cron Daemon is active. Running pid is 5522
Current Cron table:
at 10h:45m 22th of April run 'AddRoute'
at 18h:50m 22th of April run 'DelRoute'
Tiesse 253
IMOLA User Guide - Rev.24 Ver. 07
• show cron
Visualizza lo stato completo del Command Scheduler
Es. di visualizzazione:
> show cron
Cron Daemon is active. Running pid is 5522
Current Cron table:
at 10h:45m 22th of April run 'AddRoute'
at 18h:50m 22th of April run 'DelRoute'
254 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
I dati di posizionamento sono ricevuti da una sorgente esterna nel formato NMEA.
La configurazione prevede:
L’area viene rappresentata da un cerchio avente come centro una coppia di coordinate
geografiche, latitudine e longitudine ed un raggio specificato.
Le coordinate vengono espresse specificando Latitude e Longitudine nel formato
GGA, secondo le specifiche NMEA:
- Latitudine: ddmm.nnnnnN/S
- Longitudine: dddmm.nnnnnE/W
Tiesse 255
IMOLA User Guide - Rev.24 Ver. 07
set no-cps
Disabilita il servzio di georeferenzazione e rimuove tutte le policy specificate.
Ad esempio, il commando:
specifica che i dati NMEA verranno ricevuti sull’interfaccia come un flusso multicast
verso l’indirizzo di gruppo 239.1.1.1 sulla porta UDP 19100.
La sequenza di comandi:
set cps area0 latitude 4525.91000N longitude 00753.41000E radius 1000
set cps area0 description around-ivrea
set cps area0 command in gprsmode no-umts
set cps area0 command in iptables –A FORWARD –o ppp0 –p udp –j DROP
256 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
causa l’esecuzione dei comandi per operare solamente su rete mobile 2G e bloccare
tutto il traffico UDP quando il router si trova in un raggio di 1000 metri dalla
posizione specificata, mentre i comandi
set cps area0 command out gprsmode auto
set cps area0 command out iptables –D FORWARD –o ppp0 –p udp –j DROP
I comandi:
set cps area1 latitude 4380.0000N longitude 1125.0000E radius 100
set cps area1 descriprion in-firenze
set cps area1 command in upload log-file to 192.168.121.12
set cps area1 command in hello 192.168.121.12 22000
where-i-am
Tiesse 257
IMOLA User Guide - Rev.24 Ver. 07
PROTOCOLLO DHCP
Per specificare il range degli indirizzi IP a disposizione del DHCP server si usano i
seguenti comandi:
Sono disponibili inoltre alcuni comandi per configurare informazioni che il DHCP
server passa al client insieme all’indirizzo assegnato.
Per specificare uno o più WINS server, nel caso di Windows clients:
set udhcp wins <ip address> … <ip address>
Qualora si desideri impostare una opzione non prevista dai comandi nativi della CLI è
prevista la possibilità di introdurla con il comando:
19
Al comando set udhcp deve essere preferito l’utilizzo del comando set dhcp-
server, descritto nel paragrafo successivo. Le opzioni sono le stesse, ma il primo viene mantenuto
solo per compatibilità con precedenti release.
258 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set udhcp on
mentre il comando:
Infine con:
set no-udhcp
Esempio:
set udhcp interface eth0
set udhcp start-range 172.151.1.1
set udhcp end-range 172.151.1.100
set udhcp router 172.151.10.10
set udhcp dns 172.151.113.50
set udhcp lease-time 6000
set udhcp subnet 255.255.0.0
set udhcp on
Tiesse 259
IMOLA User Guide - Rev.24 Ver. 07
E’ consigliato sempre l’utilizzo del comando set dhcp-server invece del comando
set udhcp, il quale viene usato per compatibilità con versioni precedenti di firmware.
il router imposta delle regole di filtro sui pacchetti che bloccano tutto il traffico in
arrivo sulla VlAN 30, tranne le richieste DHCP. Quando viene assegnato un indirizzo
IP ad un client, allora viene abilitato il traffico che ha come IP sorgente l’indirizzo
rilasciato e come MAC sergente quello del PC che ha ottenuto tale indirizzo.
Ad esempio:
Ad esempio:
La lista di tutte le possibili opzioni e il tipo di dati che può assumere è la seguente:
timesrv indirizzo IP
260 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
namesrv indirizzo IP
logsrv indirizzo IP
cookiesrv indirizzo IP
lpsrv indirizzo IP
domain stringa
swapsrv indirizzo IP
rootpath stringa
mtu valore numerico
nisdomain stringa
nissrv indirizzo IP
tftp stringa
staticroutes subnet nexthop
msstaticroutes subnet nexthop
sipsrv indirizzo IP
oaigateway indirizzo IP
Inoltre è possibile specificare direttamente il valore delle opzioni che il server DHCP
deve distribuire, mentre il contenuto delle opzioni può essere espresso in una
sequenza di caratteri esadecimali oppure ascii oppure come in indirizzo IP nel modo
seguente:
Ad esempio, per specificare le opzioni 120, 152 e 160 usate da alcuni telefoni IP:
Tiesse 261
IMOLA User Guide - Rev.24 Ver. 07
dove viene specificata l’interfaccia cui sono collegati i client e l’interfaccia tramite la
quale si raggiunge il server DHCP. Opzionalmente può essere specificato
direttamente l’indirizzo IP del server.
Il comando deve essere eseguito come trigger di qualche evento oppure come
autocmd per attivarlo al bootstrap del router.
Nel caso in cui l’interfaccia di uscita sia di tipo ADSL il comando può essere eseguito
quando l’interfaccia diventa operativa:
262 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
show dhcp-server
oppure la forma show udhcp se è stato configurato mediante l’opzione set udhcp ..
Tiesse 263
IMOLA User Guide - Rev.24 Ver. 07
TIMEZONE
264 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Gli eventi sui quali è possibile attivare dei trigger sono sostanzialmente legati allo
stato operativo di una qualsiasi interfaccia di rete:
• adsl
• eth0
• eth1
• gprs
• gre
• isdn
• pptp
• ntp
• rtg
• vrrp
• backup
• timer-tick
• gprs-tc
• dhcp client
• openvpn
• ipsec
Allo stesso modo se al momento della disattivazione della interfaccia ADSL l’utente
desidera disattivare il servizio bgp dovrà configurare il trigger :
set trigger adsl down set bgp off
Tiesse 265
IMOLA User Guide - Rev.24 Ver. 07
Ad esempio:
Mediante appositi trigger, al passaggio allo stato di backup possono essere attivate
delle azioni, ad esempio:
Una volta entrato nello stato di backup, Imola continua a controllare la raggiungibilità
dell’indirizzo IP specificato e quando questo è nuovamente disponibile si rientra dallo
stato di backup, eseguendo delle azioni programmate, ad esempio:
con tali comandi nel momento in cui Imola entra nello stato di backup, cioè
l’indirizzo specificato non è raggiungibile, aumenta la priorità del protocollo VRRP
diventando di fatto Master VRRP e quindi il default gateway della rete (vedi
paragrafo VRRP).
266 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Allo stesso modo, al momento della disattivazione del tunnel GRE, l’utente potrà
cancellare la stessa rotta mediante il seguente trigger:
set trigger gre down ip route del 10.1.10.0/24 via 10.10.254.1
In tal modo il controllo del traffico avrà inizio con l'attivazione della sessione GPRS e
verrà disattivato quando la sessione terminerà.
Si imposta un valore di soglia di 10K per il traffico in ingresso ed un valore di 20K
per il traffico in uscita. Il controllo si effettua ogni 60 secondi. Se in 60 secondi il
traffico in ingresso oppure quello in uscita supera il valore di soglia impostato
viene eseguito il comando specificato dal trigger set gprs-tc up , che invia un
messaggio di log verso un determinato Host. Viceversa, se in 60 secondi il traffico è
inferiore ai valori di soglia viene eseguito il comando specificato dal trigger
set trigger gprs-tc down .
20
La disponibilità del tunnel GRE è controllata solo e soltanto se al momento della
definizione del tunnel è stato configurato il meccanismo di keep-alive.
Tiesse 267
IMOLA User Guide - Rev.24 Ver. 07
In tal modo il controllo del traffico avrà inizio con l'attivazione della sessione GPRS e
verrà disattivato quando la sessione terminerà.
Si imposta un valore di soglia di 60Kbyte per il traffico in ingresso e per quello in
uscita. Il controllo si effettua ogni 10 secondi. Se in 10 secondi il traffico in ingresso
oppure quello in uscita supera il valore di soglia impostato viene eseguito il
comando specificato dal trigger set isdn-tc up , che attiva il secondo canale isdn
(preventivamente configurato in MLPPP). Viceversa, se in 10 secondi il traffico è
inferiore ai valori di soglia viene eseguito il comando specificato dal trigger
set trigger isdn-tc down .
ifstate-mon –i 5 pvc0
set trigger ifstate down pvc0 ip route del 7.7.8.8 dev pvc0
set trigger ifstate down pvc0 ip route add 7.7.8.8 dev eth1
si controlla ogni 5 secondi lo stato dell’interfaccia pvc0 (Frame relay). Quando questo
è down si eseguono le azioni specificate mediante i due comandi: set trigger
ifstate down pvc0.
Quando lo stato del PVC è attivo si eseguono le azioni specificate mediante i due
comandi: set trigger ifstate pvc0.
La sintassi è la seguente:
268 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
dove:
L’evento generato a fronte del superamento delle soglie viene codificato nel seguente
modo:
Ad esempio, per codificare una notifica snmp dell’evento si usa la seguente sintassi:
set trigger cpu-threshold rise sendtrap cpuThresholdRise <host> <community>
set trigger cpu-threshold fall sendtrap cpuThresholdFall <host> <community>
Tiesse 269
IMOLA User Guide - Rev.24 Ver. 07
Questi comandi sono presenti a partire dalla versione software 1.0.9. Nelle versioni
precedenti sono presenti i comandi:
che sono stati mantenuti per compatibilità anche nella versione attuale.
270 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
è possibile specificare il valore da inserire nel campo Type of service (TOS) dei
pacchetti trasmessi.
E’ possibile definire una lista di ipaddress cui spedire i pacchetti di tipo icmp:
set backup checking-one-of-ipaddr-list ip1,ip2, …ipN via icmp
through-interface <ifname>
In tal caso il backup viene attivato se nessuno degli indirizzi della lista risponde ai
comandi di icmp.
Attraverso l’interfaccia ifn1 si tenta di raggiungere uno degli indirizzi della lista.
Se nessuno risponde si utilizza l’interfaccia ifn2 e cosi’ via.
ed attivare il backup se almeno uno degli indirizzi della lista non risponde ai
comandi di ping.
Tiesse 271
IMOLA User Guide - Rev.24 Ver. 07
è possibile specificare il valore da inserire nel campo Type of service (TOS) dei
pacchetti trasmessi.
272 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
è la forma:
Ad esempio:
Tiesse 273
IMOLA User Guide - Rev.24 Ver. 07
dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando
Linux supportato da Imola. Una sequenza di azioni viene configurata mediante una
sequenza di comandi:
Mentre Imola si trova nello stato di backup, il criterio continua ad essere verificato e
quando questo è di nuovo soddisfatto vengono eseguite tutte le azioni
preventivamente specificate con il comando:
set extbackup N
La sintassi è la stessa del comando set backup <opzioni> tranne per la parte iniziale
del comando che rappresenta l’identificativo della condizione:
Dove <opzioni> sono le stesse del comando set backup e il numero <0-7> è
l’identificativo del backup
I comandi di trigger possono essere associati alla corretta condizione di test, mediante
il comando:
274 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 275
IMOLA User Guide - Rev.24 Ver. 07
POLICY ROUTING
Il meccanismo di Policy Routing permette di effettuare delle decisioni
sull’instradamento dei pacchetti oltre che in base all’indirizzo di destinazione anche
su altri paramteri, quali ad esempio l’indirizzo IP sorgente, il tipo di protocollo, la
porta sorgente o destinazione, il campo TOS (o DSCP) dell’header di IP o una
qualsiasi combinazione dei campi dell’header IP.
Il concetto risulta più chiaro ricorrendo ad un esempio. Si consideri il seguente
scenario come esempio:
ADSL GPRS
1.1.1.2
3.3.3.2
atm0
ppp0
1.1.1.1 3.3.3.1
10.10.0.0/16
10.10.10.11 10.10.10.12
276 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
SPLIT ACCESS
Si vuole separare il traffico proveniente dai due PC, in particolare il traffico
proveniente da 10.10.10.11 deve essere inoltrato da Imola su rete ADSL, cioè
sull’interfaccia atm0, mentre il traffico originato da 10.10.10.12 deve essere
inoltrato su interfaccia ppp0 e quindi su rete GPRS.
dove i primi due comandi servono a creare due differenti tabelle di routing: una per i
pacchetti provenienti da 10.10.10.11/32 e l’altra per i pacchetti provenienti da
10.10.10.12, mentre i secondi stabiliscono le rotte di instradamento in funzione della
tabella di routing.
Come già esaminato nei capitoli precedenti, un metodo più sofisticato consiste nel
combinare il comando iptables ed il comando ip. Ad esempio, tutti i pacchetti
provenienti da 10.10.10.11 e diretti alla porta 8899 devono essere instradati su rete
GPRS, tutti gli altri su rete ADSL:
LOAD BALANCING
I pacchetti in uscita dal router Imola devono essere trasmessi in modalità round-robin
su entrambe le due interfacce di rete:
ip route add default scope global nexthop via 1.1.1.2 dev atm0
weight 1 nexthop via 3.3.3.2 dev ppp0 weight 1
A causa del meccanismo di caching delle rotte, il bilanciamento del traffico potrebbe
non essere distribuito in maniera uniforme sulle due interfacce.
Tiesse 277
IMOLA User Guide - Rev.24 Ver. 07
SCRIPT
Il comando script permette la creazione, la modifica, la visualizzazione, il
salvataggio e l’esecuzione di uno script di comandi Linux. L'esecuzione può essere
effettuata in modalità sincrona oppure in background.
Sarà possibile creare o modificare gli script mediante il comando script edit
<nome_file>, come nel seguente esempio:
#!/bin/sh
~
~
~
:
:
~
"/scripts/run_service.sh " line 1 of 1 --100%--
Con il comando script show verrà mostrato il contenuto di uno script. Ad esempio, il
comando:
Con il comando script delete <nome_file> sarà possibile cancellare uno script da
eliminare, mentre per salvare lo script, ai fini di permetterne la preservazione anche
dopo lo spegnimento del router, è opportuno utilizzare il comando script save
<nome_file>, come nel prossimo esempio:
278 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Tiesse 279
IMOLA User Guide - Rev.24 Ver. 07
Con i comandi:
definisce che il probe è costituito da un pacchetto icmp echo request verso l'indirizzo
dst-addr (e con eventuale indirizzo sorgente src-addr).
Con il comando:
280 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
esegue il comando fornito come argomento, nel caso in cui l’operazione di probe
impostata fallisca, cioè nel caso in cui non si ottenga risposta per un numero di volte
pari al valore specificato dal parametro threshold.
esegue il comando nel caso in cui il probe abbia successo e precedentemente fosse
fallito.
Ancora:
Tiesse 281
IMOLA User Guide - Rev.24 Ver. 07
Infine con l’argomento status si ottiene la visualizzazione dello stato del servizio
RTR, con un output simile a:
IPSLA RESPONDER
E’ possibile configurare il router in modo da rispondere ai probe ricevuti mediante i
comandi:
set rtr responder local-port NNN
282 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
• Jitter
• One Way Delay
• Round Trip Delay
• Packet Loss
Le risposte generate sono conformi alle funzni di IPSLA-Source (IPSLA Querier) dei
router Cisco.
Tiesse 283
IMOLA User Guide - Rev.24 Ver. 07
GESTIONE CONFIGURAZIONI
AGGIORNAMENTO SOFTWARE
crea un punto di ripristino che in qualsiasi momento può essere richiamato mediante il
comando:
restore checkpoint-1
284 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Per specificare con quale IP sorgente debbano essere inviati i messaggi verso il server
TFTP remoto, si usa il comando:
oppure
È inoltre possibile memorizzare in un file i comandi man mano che questi vengono
eseguiti e successivamente salvarli sul server TFTP:
record in /tmp/myconf.cli.txt
set adsl encap rfc1483-llc
set adsl pvc atm0 ipaddr 83.1.1.1 nexthop 83.1.1.2
set trigger adsl up ip route default dev atm0
no-record
upload command-file /tmp/myconf.cli.txt to 192.168.1.1
Tiesse 285
IMOLA User Guide - Rev.24 Ver. 07
286 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
A parte casi molto rari, l’aggiornamento del software consiste nel caricare una nuova
versione di uno dei packages presenti. Ad esempio, supponendo che sia disponibile la
versione 1.1.2 (più recente di quella installata) del pacchetto hsdpa per la gestione
del collegamento UMTS/HSDPA, l’utente riceve due file, chiamati hsdpa_1.1.2.tgz
ed upgrade_hspa.sh e li copia sul suo server TFTP.
I primi due comandi trasferiscono su Imola i due file ed il terzo provvede ad installare
ed attualizzare il nuovo modulo.
A partire dalle versioni di sistema operativo superiori alla versione x.3.0 è disponibile
il comando:
oppure
Tiesse 287
IMOLA User Guide - Rev.24 Ver. 07
CAVEAT
Per assicurare la loro esecuzione automatica, dopo un eventuale reboot del router, è
necessario lanciare gli stessi in dipendenza di comandi di trigger (per maggiori
dettagli a riguardo consultare il capitolo relativo alla configurazione dei trigger ed alla
gestione degli stati di backup).
Con il comando set gre generic on il tunnel sarà attivo per tutta la durata della
sessione corrente, ma non sarà ripristinato al boot successivo.
Mediante il comando:
288 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
A titolo di esempio, per subordinare l’esecuzione del precedente Tunnel GRE alla
disponibilità dell’interfaccia GPRS, potrà essere salvato sul router il seguente
comando:
In tal modo il tunnel verrà attivato solo al momento della attivazione della interfaccia
GPRS.
L’interfaccia si considera attiva quando ad essa vengono assegnati gli IP address
classici di una connessione punto-punto.
Per maggiori ragguagli sulle funzionalità accennate si rimanda al capitolo relativo alla
configurazione dei trigger ed alla gestione degli stati di backup.
ROUTING TABLES
Il comando set route viene utilizzato per aggiungere una rotta statica. Oltre ad
aggiungere la rotta, esso modifica la configurazione in modo tale che la stessa rotta
verrà aggiunta al prossimo reboot (purchè sia stato effettuato il salvataggio della
configurazione).
Sono possibili vari modi alternativi per aggiungere delle rotte statiche. Ad esempio
oppure:
Tiesse 289
IMOLA User Guide - Rev.24 Ver. 07
PROTOCOLLO GRE
Sebbene l’help lo preveda, l’utilzzo della keyword gre all’interno di alcuni comandi
potrebbe produrre dei messaggi di errore. Questo succede ad esempio per i comandi:
dei comandi:
iptables
set redirect
set source nat
set access-list
In tal caso invece della parola gre bisogna utilizzare il valore numerico 47.
290 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
ESEMPI DI CONFIGURAZIONE
DHCP SERVER
Configurazione del servizio DHCP su una delle interfacce LAN del router (es. eth0) e
distribuzione di IP address, IP Wins, Dns e Domain Info.
Nel caso in cui si avesse bisogno di specificare piu’ indirizzi WINS da distribuire, al
posto del precedente comando:
set dhcp-server <DHCP-POOL-NAME> wins <WINS-IP-ADDRESS>
Esempio di valorizzazione:
Per utilizzare le possibili opzione del servizio DHCP si consulti il capitolo relativo.
Tiesse 291
IMOLA User Guide - Rev.24 Ver. 07
si stabilisce che sulla porta 1 dello switch possono transitare pacchetti Ethernet
contenenti i tag (vlan id) 802.1q 2, 3 e 4 e questi saranno consegnati rispettivamente
alle VLAN eth1.2, eth1.3 ed eth1.4, mentre sulle restanti porte possono transitare i
pacchetti Ethernet senza il tag 802.1q e questi saranno consegnati all’interfaccoia
eth1.10
292 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Viene descritta una configurazione di base per l’interfaccia ADSL (RFC 1483) con
NAT sulla Punto-Punto e rotta di default sull’interfaccia. Vengono inoltre configurati
un IP privato sull’interfaccia eth1 ed un indirizzo IP di management sull’interfaccia
eth0.
Esempio di valorizzazione:
Tiesse 293
IMOLA User Guide - Rev.24 Ver. 07
Esempio di valorizzazione:
CONNESSIONE HDSL
Viene descritta una configurazione di base per l’interfaccia HDSL con ip privato
sull’interfaccia LAN eth1 ed un indirizzo ip pubblico sull’interfaccia eth0.
Al fine di permettere lo scambio dati con l’esterno viene impostata una regola di NAT
per i pacchetti provenienti dalla LAN privata.
294 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Esempio di valorizzazione:
Viene descritta una configurazione di base per l’interfaccia GPRS con profilo di
connessione pubblico (Internet), con ip di management su interfaccia eth0 ed ip
privato su interfaccia LAN eth1. Al fine di permettere lo scambio dati con l’esterno
(Internet), l’interfaccia GPRS viene configurata in modo tale da effettuare PAT.
Esempio di valorizzazione:
Tiesse 295
IMOLA User Guide - Rev.24 Ver. 07
Viene descritta una configurazione di base per l’interfaccia GPRS con profilo di
connessione basato su APN Privata, con ip di management su interfaccia eth0 ed ip
privato su interfaccia LAN eth1. La connessione della LAN interna privata con la
sede Master al centro viene effettuata con la configurazione di un tunnel GRE (con
KeepAlive) con rotta di default.
Per il corretto funzionamento del tunnel, l’indirizzo IP rilasciato all’interfaccia mobile
deve essere statico.
296 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
L’autenticazione verso il Radius avviene sia in modalità dinamica sia CHAP che
PAP. Qualora il Radius non supporti l’autenticazione CHAP ma solo quella PAP,
allora è necessario aggiungere i seguenti comandi:
Esempio di valorizzazione:
Tiesse 297
IMOLA User Guide - Rev.24 Ver. 07
Viene descritta una configurazione di base per l’interfaccia ISDN con indirizzi ip
dinamici e NAT sull’interfaccia (PAT).
298 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
Al fine di permettere lo scambio dati con l’esterno viene impostata una regola di NAT
per i pacchetti provenienti dalla Lan privata.
set iptables -t nat -A POSTROUTING -s <PRIVATE-LAN>/N -o atm0 -j SNAT --to < PUBLC-IP>
Esempio di valorizzazione:
Tiesse 299
IMOLA User Guide - Rev.24 Ver. 07
300 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
set eth0 on
Nel caso in cui si vuol ripetere periodicamente ogni giorno alle ore 12:05 l’invio del
messaggio SMS fino a quando la linea viene ripristinata bisogna aggiungere i seguenti
comandi:
Esempio di valorizzazione:
set eth0 ipaddr 2.21.172.162 netamsk 255.255.255.248
set eth0 on
Tiesse 301
IMOLA User Guide - Rev.24 Ver. 07
set no-qos-ext
302 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
CONFIGURAZIONE LOOPBACK
set loopback ipaddr <ip-address>
set loopback on
CONFIGURAZIONE SNMP
set snmp directive agentaddress <local-ip-address>
Tiesse 303
IMOLA User Guide - Rev.24 Ver. 07
L’opzione
deve essere ripetuta per ogni indirizzo su cui si vogliono ricevere richieste SNMP.
CONFIGURAZIONE TACACS
set tacacs authhost <ip-address-server>
set tacacs retries 2
set tacacs timeout 2
set tacacs key <password>
set tacacs source loopback
set tacacs on
CONFIGURAZIONE RADIUS
set radius authhost <ip-address-server>
set radius accthost <ip-address-server>
set radius retries 2
set radius timeout 1
set radius secret <ip-address-server> <password>
set radius source loopback
set radius on
304 Tiesse
IMOLA User Guide - Rev.24 Ver. 07
CONFIGURAZIONE BANNER
set banner .
set banner .
set banner . ....:::: This is a banner message Title ::::....
set banner Banner Subtitle
set banner -----------------------------------------------
set banner .
set banner .
set banner . Banner row 1
set banner . Banner row 2
set banner . Banner row 3
set banner . Banner row 4
set banner .
set banner .
set banner . -- Vietato ogni accesso non autorizzato vietato --
set banner . --------- Unauthorized access is denied -----------
set banner .
set banner on
Il banner compare nel momento in cui si effettua la sessione Telnet verso il router,
purchè sia stato configurato anche il Radius oppure il Tacacs.
Tiesse 305