CCNA 3.

0 – Semestre 4
Modulo 1 – Scalare gli indirizzi IP
1.1 Scalare le reti con NAT e PAT
1.1.1 Indirizzi privati
RFC 1918 pone 3 blocchi di indirizzi IP privati:
Classe A: 10.0.0.0 ÷ 10.255.255.255 1 indirizzo di Classe A
Classe B: 172.160.0 ÷ 172.31.255.225 16 indirizzi di Classe B
Classe C: 192.168.0.0 ÷ 192.168.255.255 256 indirizzi di Classe C
I pacchetti con questi indirizzi non vengono indirizzati in Internet. Gli indirizzi Internet Pubblici
devono essere registrati da autorità Internet come per esempio ARIN o RIPE (possono anche essere
rilasciati da ISP cioè il provider). Usando NAT si possono usare gli indirizzi privati per andare in
Internet, NAT fa la traslazione.

1.1.2 Introdurre NAT e PAT

NAT trasla gli indirizzi privati in indirizzi pubblici instradabili. Incrementa la sicurezza perché
nasconde gli indirizzi IP privati. Un dispositivo NAT è in genere al bordo di una stub network (rete
con un solo accesso verso l’esterno).

Cisco usa i seguenti termini NAT:

 Inside local address: indirizzo IP interno alla rete (privato).
 Inside global address: un indirizzo IP legittimo assegnato da autorità che rappresenta un
indirizzo interno verso il mondo esterno esterno (cioè l’indirizzo con cui esce il NAT).
 Outside local address: l’indirizzo IP di un Pc esterno conosciuto ai Pc interni alla rete.
 Outside global address: l’indirizzo IP assegnato ad un Pc della rete esterna. Il possessore del
Pc assegna questo indirizzo.

1.1.3 Caratteristiche principali di NAT e PAT

NAT può essere statico o dinamico. Lo statico permette una mappatura 1 a 1 tra indirizzi locali e
globali. E’ utile per host che devono avere una grande accessibilità da Internet (esempio: enterprise
servers o dispositivi di rete).
Il NAT dinamico serve a mappare un indirizzo IP privato in un indirizzo pubblico. Ogni indirizzo IP
tra un pool di indirizzi IP pubblici è assegnato ad un host di rete.
Overload o PAT (Port Address Translation) mappa più indirizzi IP privati ad un solo indirizzo IP
pubblico. Questo è possibile perché ogni indirizzo privato è accompagnato da un numero di porta.
Il numero di porta è codificato a 6 bit. Il numero di indirizzi interni che può essere traslato ad un
indirizzo esterno è fino a 65536 indirizzi teoricamente, realisticamente il numero di porte
assegnabili ad un indirizzo IP è circa 4000. PAT cerca di preservare la porta sorgente originale, se è
già usata ne assegna una dello stesso gruppo:
0 511
512 1023
1024 65535
Quando non ci sono più porte disponibili e c’è più di un indirizzo IP esterno, PAT usa l’indirizzo IP
successivo.
NAT offre benefici:
1. protegge la sicurezza della rete
2. evita di dover rassegnare tutti gli indirizzi se si cambia provider.

1.1.4 Configurare NAT e PAT

NAT statico:

NAT dinamico:
Occorre fare prima una access list con gli indirizzi permessi per la traslazione NAT:
OVERLOAD (PAT):
è configurato in 2 modi che dipendono da come sono allocati gli indirizzi Ip pubblici:
1) se ISP dà 1 solo ind. IP pubblico

2) se ci sono più indirizzi IP pubblici

1.1.5 Verificare la configurazione PAT

Una volta che NAT è stato configurato usare i comandi clear e show per verificare il
comportamento. Per default il NAT dinamico va in time out dopo un periodo di non uso (24 h
quando la port translation non è configurata).

Router#clear ip nat translation

(cancella tutte le traslazioni dinamiche)
Router#clear ip nat translation inside …… [outside …..]
(cancella una determinata traslazione dinamica)
Router#clear ip nat translation protocol inside …. [outside …..]
(cancella una determinate traslazione dinamica estesa)
Router#show ip nat translations
(mostra le traslazioni attive)
Router#show ip nat statistics
(mostra le statistiche delle traslazioni)

1.1.6 Troubleshooting la configurazione di NAT e PAT

Usare “debug ip nat” per verificare le operazioni fatte da NAT.

“debug ip nat detailed” genera una descrizione per ogni pacchetto.

S=indirizzo ip sorgente -> indirizzo ip traslato
d=indirizzo ip destinatario [value]
value è il numero di identificazione IP, è un numero crescente ad ogni pacchetto

1.1.7 Uscite con NAT

NAT ha vantaggi ma anche svantaggi:
1) perdita di funzionalità di alcune applicazione che devono inviare l’indirizzo IP.
2) incremento del ritardo per la traslazione
3) diventa più difficile fare il trace dei pacchetti.
Cisco IOS NAT supporta:
ICMP,FTP, netBIOS, RealAudio, Netmeeting…
Cisco IOS NAT non supporta:
- routing table update
- DNS zone transfers
- BootP
- talk e ntalk protocols
- SNMP

1.2 DHCP
1.2.1 Introduzione a DHCP (dynamic host configuration protocol)
DHCP lavora in modo client/server, DHPC abilita i client DHCP ad ottenere la loro configurazione
da un server DHCP. Il protocollo DHCP è descritto in RFC2131. Un client DHCP invia un request
packet broadcast.
DHCP non si usa per router, switch e server che necessitano di IP statico.
Il server DHCP assegna un indirizzo IP da un pool di indirizzi per un periodo definito, dopo tale
tempo il client deve chiedere un altro (o lo stesso) indirizzo. I router Cisco usano una caratteristica
dello IOS (Esy IP) per offrire un server DHCP. Easy Ip lascia la configurazione di default 24h.
DHCP server dà l’indirizzo IP e altre informazioni volendo: DNS server, WINS server e nomi di
dominio. Molti server DHCP permettono all’amministratore di specificare quali indirizzi MAC
servire e assegnargli automaticamente sempre lo stesso indirizzo. DHCP usa il protocollo UDP, il
client invia le richieste sulla porta 67, il server risponde sulla 68.

1.2.2 Differenze tra BOOTP e DHCP

Il protocollo BOOTP fu sviluppato per abilitare la configurazione di workstation senza disco, è del
1985 definito in RFC951. BOOTP e DHCP hanno cose in comune: sono protocolli client/server
basati su UDP e usano le porte 67 e 68 (note come parte BOOTP). I 4 parametri base sono:
indirizzo IP, indirizzo gateway, subnet mask, indirizzo server DNS.
BOOTP non fa allocazione dinamica di indirizzi IP. Quando un client chiede un indirizzo IP, il
server BOOTP cerca in una tabella l’indirizzo MAC del client, se esiste gli assegna l’indirizzo IP
segnato nella tabella.
Ci sono 2 differenze tra DHCP e BOOTP:
1) DHCP fornisce l’indirizzo IP per un certo periodo, dopo bisogna richiederlo
2) DHCP fornisce altri parametri di configurazione, ad esempio WINS e nome del dominio.
BOOTP assegna gli IP secondo una mappa statica e in modo permanente.

1.2.3 Principali caratteristiche di DHCP

Ci sono tre modi per assegnare un indirizzo IP ad un client:
1) allocazione automatica: DHCP assegna un indirizzo Ip permanente al client
2) manual allocation: l’indirizzo IP è assegnato dall’amministratore
3) allocazione dinamica: l’indirizzo IP è dato per un tempo limitato
Alcuni dei parametri di configurazione sono listati in IETF RFC 1533: subnet mask, router, nome
dominio, server del nome dominio, Server WINS. Il server DHCP crea un pool di indirizzi IP con
parametri associati. Se più server rispondono al client, esso sceglie una delle offerte

1.2.4 Operazione DHCP

Il processo di configurazione del client avviene nel seguente modo:
1. occorre che DHCP sia configurato e il client fa la richiesta al server. A volte può suggerire
l’indirizzo che vorrebbe. La richiesta è broadcast, detta DHCPDISCOVER.
2. Il server che riceve la richiesta guarda nel suo database se può rispondere, se non può allora
può inoltrare la richiesta ad un altro DHCP server. Se può invia la risposta detta
DHCPOFFER (che può includere l’indirizzo IP, l’indirizzo del server DNS, il tempo di
affitto).
3. Se il client accetta l’offerta, invia un altro broadcast DHCPREQUEST richiedendo
specificamente quei parametri IP. E’ broadcast per avvertire tutti i server DHCP che l’offerta
è stata accettata , in genere la prima.
4. Il server che riceve DHCPREQUEST rende la cosa ufficiale inviando la conferma ACK
(unicast) (DHCPACK).
5. Se il client scopre che l’ indirizzo è già in uso invia DHCPDECLINE e il processo
ricomincia. Ricomincia anche se dopo DHCPREQUEST il server risponde DHCNACK.
6. Se il client non vuole più l’ indirizzo IP invia DHCPRELEASE.
Può accadere che un amministratore assegni staticamente un indirizzo IP. Il Cisco IOS DHCP
server per essere sicuro che l’ indirizzo non sia già stato dato, invia un ICMP echo request o un ping
prima di inviare DHCPOFFER.

1.2.5 Configurare DHCP

Il DHCP server richiede che l’amministratore dia un pool di indirizzi col comando “ip dhcp pool”
quindi si assegna il range col comando network.

Alcuni indirizzi possono anche essere esclusi:

Il servizio DHCP è abilitato di default su sistemi Cisco con IOS che lo supporta. Per disabilitarlo si
usa il comando:
no service dhcp
e si riabilita con:
service dhcp
lease specifica la durata dell’affitto.

1.2.6 Verificare le operazioni DHCP

Per verificare le operazioni dhcp e che i messaggi siano inviati o ricevuti dal router si usa:

Per contare il numero di messaggi dhcp inviati e ricevuti si usa:

show ip dhcp server statistics

1.2.7 Troubleshooting dhcp

Questo comando mostra che il server periodicamente guarda se ogni affitto è spirato, guarda anche
quando gli indirizzi sono restituiti e quando sono allocati.

1.2.8 DHCP relay

Un client DHCP usa un indirizzo IP broadcast per trovare il server DHCP. Ma se il server è su un
altro segmento di rete e bisogna passare attraverso un router che non inoltra i broadcast? O si pone
server DHCP sullo stesso segmento o si usa Cisco IOS helper address. Con questo si configura un
router per accettare richieste broadcast per servizi UDP e poi inviarli come unicast ad un indirizzo
IP. Per default “ip helper-address” invia 8 servizi UDP:
Time, TACACS (server per la sicurezza), DNS, BOOTP/DHCP server, BOOTP/DHCP client,
TFTP, NetBios Name Service, NetBios datagram Service.