Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
GAIA4 4.3.3
Manuale di configurazione
Documento non pubblicato. Copyright Elsag Datamat SpA. Tutti i diritti riservati.
Il contenuto del presente documento, di proprietà di Elsag Datamat, è riservato e viene reso disponibile senza alcuna responsabilità per eventuali errori ed omissioni. Ne è
vietata la riproduzione, la divulgazione e l’utilizzo, anche parziali, in mancanza di una espressa autorizzazione scritta di Elsag Datamat. Il diritto d’autore relativo e la
presente restrizione d’uso debbono ritenersi estesi a qualsiasi forma o modalità espositiva delle informazioni contenute.
Codice SJ4L52300029 Rev.0 MANUALE DI CONFIGURAZIONE – GAIA4 4.3.3 Pagina 2 di 882
Il contenuto di questo manuale è soggetto a modifiche senza obbligo alcuno di avvertenze verso persone o
organizzazioni. Tutti i diritti sono riservati. Nessuna parte di questo manuale può essere riprodotta o trasmessa
in una qualunque forma o mezzo, elettronico o meccanico, incluse fotocopie e registrazioni senza il permesso
scritto di AMTEC S.p.A.
AMTEC S.p.A.
Località San Martino
53025 Piancastagnaio (SI)
ITALY
INDICE
1 INTRODUZIONE..........................................................................................................................12
3 MODALITÀ DI CONFIGURAZIONE............................................................................................15
INTRODUZIONE................................................................................................................................................................15
RAGGIUNGIBILITÀ DELLA CLI .........................................................................................................................................16
FASE INIZIALE E DI CONSULTAZIONE (STATO DI SHOW) ............................................................................................17
FASE DI CONFIGURAZIONE (STATO DI CONFIG) ..........................................................................................................18
CONFIG RUN ....................................................................................................................................................................22
CONFIG MOVE-FLASH .....................................................................................................................................................24
SHOW DELLE CONFIGURAZIONI....................................................................................................................................25
MEMORIZZAZIONE PERMANENTE DELLE CONFIGURAZIONI .....................................................................................25
RESET DELL’APPARATO .................................................................................................................................................25
INFO DELLA CONFIGURAZIONE CONSERVATE NELLA MEMORIA PERMANENTE ....................................................26
AUTOCOMMITCONFIGURATION ....................................................................................................................................26
MODALITÀ BANNER .........................................................................................................................................................29
PROFILI DI CONFIGURAZIONE .......................................................................................................................................29
Profili di configurazione: interazione con radius ............................................................................................................30
Esempi di gestione dei profili di configurazione.............................................................................................................35
COMANDI DI GESTIONE ..................................................................................................................................................39
Comando HELP ............................................................................................................................................................39
Comando di SHUTDOWN temporale ............................................................................................................................41
Comando SHOW ..........................................................................................................................................................41
Comandi DUMP ............................................................................................................................................................41
Comandi cambiamento di stato.....................................................................................................................................42
Comandi di gestione dello username ............................................................................................................................43
Comandi di gestione della password.............................................................................................................................44
Comandi di gestione della data .....................................................................................................................................46
Comando di visualizzazione..........................................................................................................................................46
Comando configurazione ethernet ................................................................................................................................47
Comando write ..............................................................................................................................................................47
Comando reset..............................................................................................................................................................47
Comandi di cancellazione .............................................................................................................................................48
COMANDI DI SISTEMA .....................................................................................................................................................49
STATISTICHE DI TRAFFICO SULLE INTERFACCE .........................................................................................................50
HTTP SERVER ..................................................................................................................................................................55
Comandi di configurazione............................................................................................................................................56
4 NETWORK PROTOCOLS...........................................................................................................57
CONFIGURAZIONE IP ......................................................................................................................................................57
Attivazione/disattivazione del protocollo IP ...................................................................................................................57
Tabelle di routing...........................................................................................................................................................65
FAST ROUTING ................................................................................................................................................................68
FUNZIONALITÀ BRIDGE...................................................................................................................................................70
ACCESS LIST....................................................................................................................................................................71
Maschere nella configurazione delle access list............................................................................................................71
Attivazione/disattivazione delle ACCESS LIST ROUTING............................................................................................72
Attivazione/disattivazione delle ACCESS LIST INTERNAL...........................................................................................74
Attivazione/disattivazione delle ACCESS LIST CONFIG ..............................................................................................75
ACCESS E TRAFFIC LIST INPUT E OUTPUT...................................................................................................................77
Comandi di configurazione............................................................................................................................................78
ACCESS LIST CACHE.......................................................................................................................................................80
Comandi di configurazione............................................................................................................................................80
ARP (ADDRESS RESOLUTION PROTOCOL) ..................................................................................................................83
ICMP (INTERNET CONTROL MESSAGE PROTOCOL) ...................................................................................................84
PING STANDARD E PING ESTESO..................................................................................................................................86
TRACEROUTE STANDARD E TRACEROUTE ESTESO ..................................................................................................88
TCP (TRANSMISSION CONTROL PROTOCOL) ..............................................................................................................90
Comandi di configurazione............................................................................................................................................90
UDP (USER DATA PROTOCOL) .......................................................................................................................................94
Comandi di configurazione............................................................................................................................................95
NAT (NETWORK ADDRESS TRANSLATION) ..................................................................................................................98
Comandi di configurazione............................................................................................................................................99
NAT PASS-THROUGH / VIRTUAL SERVER ...................................................................................................................106
Comandi di configurazione..........................................................................................................................................107
HELPER ADDRESS ........................................................................................................................................................109
Comandi di configurazione..........................................................................................................................................109
IEEE 802.1X.....................................................................................................................................................................111
Supplicant ...................................................................................................................................................................111
Authenticator ...............................................................................................................................................................112
Authentication server ..................................................................................................................................................112
Paccchetti EAPOL.......................................................................................................................................................112
Pacchetti EAP .............................................................................................................................................................112
Modalità custom ..........................................................................................................................................................113
Configurazione tempistica modalita custom e modalità standard................................................................................113
Architettura del software .............................................................................................................................................114
Comandi di configurazione del modulo IEEE 802.1X..................................................................................................114
LAYER 2 SWITCH ...........................................................................................................................................................121
Comando di configurazione.........................................................................................................................................121
PEP (PERFORMANCE ENHANCING PROXIES)............................................................................................................122
COMANDI DI CONFIGURAZIONE .............................................................................................................................122
9 ROUTING MULTICAST.............................................................................................................309
IGMP................................................................................................................................................................................310
Descrizione funzionale ................................................................................................................................................310
IGMP V1...........................................................................................................................................................................310
IGMP V2...........................................................................................................................................................................311
IGMP V3...........................................................................................................................................................................311
COMANDI DI CONFIGURAZIONE IGMP V1, V2, V3 .......................................................................................................312
Vincoli e limitazioni......................................................................................................................................................314
PIM ..................................................................................................................................................................................315
TRACK MULTICAST........................................................................................................................................................322
Introduzione ................................................................................................................................................................322
Comandi di configurazione..........................................................................................................................................322
10 RIDONDANZA .......................................................................................................................323
VRRP (VIRTUAL ROUTER REDUNDANCY PROTOCOL) ..............................................................................................323
Messaggi ARP multipli ................................................................................................................................................327
VRRP in presenza di sicurezza...................................................................................................................................327
Funzionalità di tracking ...............................................................................................................................................327
Comandi di configurazione..........................................................................................................................................328
Attivazione/disattivazione protocollo VRR ...................................................................................................................328
Comandi di tracking ....................................................................................................................................................331
12 PROTOCOLLI ATM...............................................................................................................339
IMA ..................................................................................................................................................................................339
CELL RATE DECOUPLING ........................................................................................................................................340
STUFFING ..................................................................................................................................................................340
Comandi di configurazione di IMA...............................................................................................................................340
Comandi di configurazione dei parametri di gruppo ....................................................................................................341
Comandi di configurazione dei parametri di porta .......................................................................................................344
ADSL ...............................................................................................................................................................................345
SHDSL .............................................................................................................................................................................352
16 TACACS+ ..............................................................................................................................458
AUTENTICAZIONE..........................................................................................................................................................458
Autorizzazione.............................................................................................................................................................458
Accounting ..................................................................................................................................................................459
Comandi di configurazione..........................................................................................................................................460
Vincoli e limitazioni......................................................................................................................................................463
17 SSL ........................................................................................................................................465
VINCOLI E LIMITAZIONI..................................................................................................................................................470
20 RMON ....................................................................................................................................516
COMANDI DI CONFIGURAZIONE ..................................................................................................................................519
23 LDAPC...................................................................................................................................530
INTERAZIONE CON CRT_MNG......................................................................................................................................531
Comandi di configurazione..........................................................................................................................................531
SNMP USER....................................................................................................................................................................538
SCEP ...............................................................................................................................................................................538
Comandi di configurazione..........................................................................................................................................538
Vincoli e limitazioni......................................................................................................................................................544
Queue Controller.........................................................................................................................................................652
Egress Policy ..............................................................................................................................................................652
TAG 802.1q.................................................................................................................................................................652
VLAN per porta ...........................................................................................................................................................652
FALLBACK..................................................................................................................................................................652
SECURE o CHECK.....................................................................................................................................................652
Limitazione traffico in uscita ........................................................................................................................................652
33 IPV6 .......................................................................................................................................789
COMANDI DI CONFIGURAZIONE DEL MODULO IPV6..................................................................................................789
COMANDI DI CONFIGURAZIONE PER I TUNNEL IPV6 .................................................................................................793
COMANDI PER IL TELNET IPV6 .....................................................................................................................................795
COMANDI DI CONFIGURAZIONE PER IL DNS RESOLVER IPV6..................................................................................796
COMANDI DI CONFIGURAZIONE PER IL NEIGHBOR DISCOVERY .............................................................................797
COMANDI DI UTILITÀ ICMPV6 ........................................................................................................................................801
COMANDI DI CONFIGURAZIONE PER IL QOS IPV6 .....................................................................................................802
Comandi di configurazione dell’algortimo wfq .............................................................................................................802
COMANDI DI CONFIGURAZIONE DELL'ALGORITMO PQ.............................................................................................810
34 APPENDICE A.......................................................................................................................813
MAINTENANCE SERVER ...............................................................................................................................................813
TELNET ...........................................................................................................................................................................815
CONFIGURAZIONE DI FABBRICA .................................................................................................................................817
35 APPENDICE B.......................................................................................................................819
HELP ...............................................................................................................................................................................819
COMANDI DI CONNECT .................................................................................................................................................821
COMANDI DI ARP ...........................................................................................................................................................822
COMANDI DI SHOW........................................................................................................................................................823
DUMP ..............................................................................................................................................................................825
DEBUG ............................................................................................................................................................................852
COMANDI DI TRACE.......................................................................................................................................................870
LOG .................................................................................................................................................................................871
Comandi di configurazione..........................................................................................................................................871
1 INTRODUZIONE
GAIA è un ambiente basato sul sistema operativo EDX (Event Driven eXchange) e ambiente
operativo QUADS (QUICC Application Development System) della Motorola su cui Amtec ha
sviluppato tutti i protocolli, applicazioni e servizi che costituiscono il software dei router
AMTEC.
GAIA può funzionare su tutti i SAS (Sistemi ad Accesso Sicuro) attualmente in produzione.
Il software GAIA può essere caricato su tutti gli apparati SASxxx dotati di microprocessore
Motorola MCP860.
La gestibilità degli apparati sia da centro di gestione standard SNMP che attraverso
sessioni Telnet e tramite porta di Maintenance.
Si ricorda che particolari funzionalità del Sw Gaia e particolari opzioni di configurazione sono
più o meno applicabili in base alle caratteristiche hardware dell’apparato.
3 MODALITÀ DI CONFIGURAZIONE
INTRODUZIONE
Il software GAIA fornisce agli apparati SAS tre possibilità distinte di configurazione:
configurazione di fabbrica;
configurazione di lavoro (work1) detta anche work;
configurazione di lavoro (work2).
RUN CONFIGURATION:
Le configurazioni di lavoro sono modificabili dall’utente e risiedono nella memoria non volatile
dell’apparato.
È possibile selezionare da remoto (utilizzando una connessione Telnet o il protocollo SNMP
tramite variabili della MIB proprietaria) se al boot successivo debba essere caricata la
configurazione di lavoro work1 o la configurazione di lavoro work2.
Il configuratore interattivo è corredato di un help in linea che guida l'utente nelle diverse
operazioni, in modo da consentire la configurazione degli apparati AMTEC anche ad utenti in
possesso delle sole nozioni di base sui protocolli di LAN/WAN e delle tecniche di routing.
1. attraverso una password che viene richiesta ogni volta che si tenta una connessione
con Telnet;
2. attraverso un’access list con cui è possibile permettere o negare l'accesso in base
all'indirizzo IP, il protocollo e la porta applicativa.
GAIA offre una modalità di gestione e configurazione tramite Command Line Interface (CLI).
Console locale
È possibile accedere alla CLI utilizzando un collegamento asincrono sulla porta di
maintenence dedicata disponibile sui SAS.
L’accesso alla CLI dell’apparato può essere protetto da meccanismi di:
Autenticazione ed Autorizzazione tramite User Name e Password memorizzati in
locale sull’apparato;
Protocollo RADIUS;
Utilizzo di Smart Card e CrytptoCard con Certificati Digitali e White List di
Configurazione.
Collegamento telnet
È possibile accedere alla CLI da una qualsiasi macchina (es. personal computer) in
possesso di Telnet client; l’apparato può essere raggiunto sia da LAN locale sia da WAN,
rispondendo all'indirizzo IP della Configurazione di fabbrica, nella fase iniziale, o,
successivamente, ad un indirizzo configurato dall'utente su una interfaccia fisica o logica (per
esempio interfaccia di loopback). Come nel caso della consolle locale l’accesso alla CLI
dell’apparato può essere protetto da meccanismi di:
È la fase d’apertura della sessione di lavoro tra una stazione client (es. un personal
computer) e l’apparato. In questa fase viene presentata all’utente una schermata di
benvenuto, (di cui è riportato un esempio) in cui viene richiesta, quando configurata, la
digitazione della password (nella configurazione di fabbrica non c'è alcuna password
configurata).
WELCOME TO
AMTEC SAS750
____________
NOTA: Notare che nella password i caratteri maiuscoli e minuscoli sono distinti.
In stato di SHOW, le stringhe di comando (dump, debug, show conf, ecc…) vengono
introdotte dopo il prompt configurabile mediante il comando SYS NAME fruibile solo dallo
stato di configurazione.
Esempio di prompt
I comandi messi a disposizione dal configuratore interattivo possono essere suddivisi in tre
grandi classi:
comandi di gestione;
comandi particolari;
comandi di configurazione, ulteriormente suddivisibili in:
comandi di sistema,
comandi d’interfaccia.
oppure
dove:
ISDN1PRI
INTERFACCIA TUNNEL
L’interfaccia tunnel è gestita all’interno dell’ambiente GAIA come una subinterface e risulta
possibile configurarne fino a 255
L’interfaccia tunnel, qualora configurata, è sempre raggiungibile e in stato UP.
La sottorete IP, nella quale è configurata l’interfaccia tunnel, non deve appartenere a
nessuna delle sottoreti nella quale sono state configurate le interfacce fisiche dell’apparato e
viceversa.
L’interfaccia tunnel non può essere configurata come prima interfaccia dell’apparato ma
necessita che almeno un’interfaccia fisica venga configurata prima di quest’ultima.
L’interfaccia tunnel è visibile a livello SNMP e indicizzabile nella tabella IfTable.
LOOPBACK
Essa viene sfruttata dai seguenti moduli e funzionalità come indirizzo sorgente o
destinazione dei pacchetti IP:
BGP
RADIUS
TELNET
TFTP
SNMP
SYSLOG
L’interfaccia di Loopback viene inoltre utilizzata per la gestione del QoS su IPSEC.
Si prospetta in futuro l’utilizzo dell’interfaccia di Loopback anche per altre applicazioni:
DLSW, FIREWALL, ecc…
ADSL1
SHDSL
SHDSL (Symmetrical High data rate DSL) è lo stato dell’arte delle soluzioni simmetriche
conformi alla Raccomandazione ITU G. 991.2, conosciuta anche come G.SHDSL e
approvata in ITU-T nel febbraio 2001. Il sistema SHDSL raggiunge prestazioni del 20%
migliori in termini di lunghezza di tratta superata rispetto ai precedenti sistemi simmetrici.
Genera minori diafonie e l’interoperabilità tra costruttori è facilitata dalla standardizzazione
più spinta rispetto agli altri sistemi.
IMA
IMA (Inverse Multiplexing over ATM) combina link multipli T1 o E1 in modo da formare un
canale con banda di dimensioni più ampie. Tale tecnologia è utilizzata nelle reti DSL per
l'interconnessione di DSLAM, per connettere reti Wireless 3G alla Base Station con punti
Radio Network Controller Access e tradizionali reti ATM. Nato come alternativa ai link DS3 o
OC-3c/STM-1 ATM, IMA consente di ottenere ulteriori upgrade di banda, diminuire la
ridondanza di link ed i costi di implementazione. Allo stato attuale è possibile configurare fino
a quattro interfacce IMA solo su SAS-860 En+.
CONFIG RUN
Esempio
Amtec Maintenance Server Application: v. 3.1
[ -> Command State (Trace OFF / Buffer ON)..... press Esc to Exit]
apparato_1 > connect
WELCOME TO
AMTEC SAS750
____________
SOFTWARE: V. Gaia/FWSC
CONFIGURATION SERVER: V. 3.0
THE CURRENT DATE IS: monday 05/16/2005 [h 09:16:53]
1. L’uscita da questo stato (comando EXIT o tasto ESC) non provoca la perdita delle
modifiche apportate in questo stato (a differenza di quello che succede in CONFIG o).
2. Tutti i dump visualizzano la situazione run time.
3. SHOW CONF, da qualsiasi stato, visualizza la situazione run time se questa è stata
modificata rispetto alla situazione al boot.
4. La configurazione in questo stato, memorizzata attraverso il comando write, diviene
subito operativa senza il reboot dell’apparato.
Esempio
-- <managername>
-- <managername>
CONFIG MOVE-FLASH
Si entra in questo stato per eseguire operazioni di mappatura di aree di memoria
Da questo stato Gaia consente anche di ricavare informazioni sulla mappatura della flash
tramite il comando dump map-flash (solamente dallo stato CONFIG MOVE –FLASH)
Esempio
CONFIG MOVE -FLASH#> dump map-flash
SIZE indica il massimo spazio (in byte) riservato all’area, mentre LENGTH indica lo spazio
(sempre in byte) effettivamente occupato dall’area in questione.
Esempio
CONFIG MOVE FLASH #> load script 10.36.3.18 script.txt
In ognuno degli stati CONNECT, CONFIG, CONFIG RUN sono disponibili degli appositi
comandi che permettono di visualizzare:
la configurazione corrente (show run config),
la configurazione che partirà al prossimo reboot (show next startup config)
la configurazione di backup (show backup config).
I suddetti comandi di show sono in grado di indicare se una configurazione è corrotta e di
specificarne il motivo, solo se questa non ha subito modifiche (permanenti) dopo il reboot.
Esistono due comandi che permettono di salvare una configurazione nella memoria non
volatile, uno (write current conf) sovrascrive la configurazione corrente, l’altro (write)
sovrascrive la configurazione non corrente.
Una volta visualizzato il contenuto delle configurazioni work1 e work2 tramite i comandi show
next startup config e show backup config, per sovrascrivere una nuova configurazione in una
selezionata area (work1 o work2) si può usare la seguente procedura:
- leggere la configurazione corrente (comando show run config); alla luce di questa
informazione tenere conto che il comando write sovrascriverà sulla work non corrente;
- l’altro comando di scrittura (write current conf) sovrascriverà sulla work corrente.
La configurazione che partirà al successivo reboot (in assenza di una specifica selezione
dell’utente) è l’ultima scritta (anche nel caso in cui si eseguano più scritture consecutive
prima di riavviare l’apparato).
Dopo ogni scrittura, show next startup config mostrerà la configurazione appena scritta e
show backup config l’altra configurazione work.
Il comando show conf specifica sempre quale è la configurazione corrente:
RESET DELL’APPARATO
Il comando di reset mette a disposizione l’opzione commit, tramite la quale si può fissare un
timeout (in minuti; viene scritto in una apposita memoria permanente).
Se la configurazione di next startup non viene confermata entro il suddetto timeout (per
mezzo di un apposito comando), l’apparato viene fatto ripartire con l’altra configurazione.
Finchè almeno una delle configurazioni presenti in fase di boot non viene modificata
permanentemente, il comando di reset non consente la commit.
Nella fase di boot viene letto in una apposita memoria permanente quale è la configurazione
di startup. Quest’area di memoria contiene informazioni significative a partire dal primo
reboot del software, nel corso del quale viene impostata la configurazione di startup work1.
Esiste un comando (del eeprom starting configuration) che consente di annullare le suddette
info, cioè di renderle non significative.
In fase di boot è possibile inizializzare l’area di memoria in questione:
AUTOCOMMITCONFIGURATION
Si supponga che il SAS disponga inizialmente di una configurazione corretta (supera con
successo l’analisi), operativa (e’ la configurazione che viene caricata al reboot dell’apparato)
e funzionante ( permette di realizzare tutti i servizi ad essa corrispondenti p.e. uscite in
internet, negoziazioni DHCP, collegamenti con reti esterne etc) collocata per esempio nella
partizione di memoria flash work1, (se la configurazione fosse collocata nella partizione flash
work2, in quanto segue bisogna scambiare work1 con work2 e work2 con work1).
Si supponga inoltre che in seguito ad esigenze di lavoro sia richiesta la modifica della
configurazione.
A) il retry counter e’ decrementato di una unita’ ad ogni riavvio del SAS successivo al write;
una volta raggiunto il valore 0, nella fase di reboot, la configurazione work1 e’ impostata
come operativa e next-startup, la configurazione “pericolosa” work2 e’ cancellata dalla flash
e la funzionalita’ AutoCommitConfiguration e’ disattivata ponendo il timeout uguale a 0 ed il
retry counter uguale a 0xff nella corrispondente area eeprom.
Terminata l’ultima fase di reboot la configurazione operativa e next-startup e’ la work1,
mentre la work2 e’ vuota e backup-configuration.
Nel caso B) il retry counter e’ decrementato al valore 2 al primo riavvio successivo al write ed
a tale valore rimane (dato che la nuova configurazione e’ “buona” ) fino allo scadere del
timeout, quando il meccanismo AutoCommitConfiguration viene disattivato ponendo il
timeout uguale a 0 ed il retry counter uguale a 0xff nella corrispondente area eeprom.
Fino allo scadere del timeout i comandi “write current conf”,“write”,”del conf”, “no auto commit
configuration” sono disabilitati.
Scaduto il timeout rimane disabilitato solo il comando “write current conf”.
Terminata la fase di reboot la configurazione operativa e next-startup e’ la work2, mentre la
work1 e’ la backup-configuration.
Sintassi Stato
AUTO COMMIT CONFIGURATION [timeout in minuti] CONFIG, CONFIG RUN
RELEASE
Esempio n°1
AUTO COMMIT CONFIGURATION
Esempio n°1
AUTO COMMIT CONFIGURATION 5
MODALITÀ BANNER
------------
WELCOME TO
AMTEC SAS862B
____________
Sintassi Stato
BANNER <Integer> ALPHA NUMERIC STRING (MAX 75 char.) CONFIG, CONFIG RUN
RELEASE
La stringa alfanumerica che costituisce il messaggio, può essere introdotta in due modalità
differenti: attraverso l’uso delle virgolette “” è possibile inserire una frase (esempio n°1)
mentre, senza l’uso delle virgolette è possibile introdurre una sequenza lunga al massimo 75
caratteri (esempio n°2).
PROFILI DI CONFIGURAZIONE
Le coppie username e password che costituiscono il database locale, sono gestite secondo
modalità diverse per l’Amministratore, configurate a caldo e memorizzate in EEPROM, e per
gli Utenti, configurate “a freddo” e memorizzate nel file di configurazione.
Se si accede all’apparato come utente, si può avere diritto di accesso limitato alla sola lettura
o diritto di accesso abilitato in scrittura ma limitato da un profilo di configurazione. In ogni
caso ad un Utente è preclusa la visione e la modifica del database locale e dei relativi profili
di configurazione.
Se si accede ad un apparato come amministratore, si ha il completo controllo del
configuratore, si è abilitati a creare, modificare e cancellare gli utenti.
In caso di assenza di Amministratore, tutti gli Utenti configurati godono dei diritti di
amministrazione. È possibile configurare fino a due Amministratori.
L’accesso al configuratore può essere regolato da un’autenticazione remota, per mezzo del
protocollo RADIUS, e/o da un’autenticazione locale, per mezzo di un database di username
e password.
Se è stato attivata l’autenticazione Radius, questa ha priorità su quella locale.
L’amministratore viene designato configurando, da CONFIG RUN uno o più dei seguenti
campi.
SET USERNAME
SET PASSWORD
SET USERNAME1
SET PASSWORD1
Nel caso che sia configurato un Server RADIUS viene seguito il seguente processo
decisionale:
Config profile
Sintassi Stato
CONFIG PROFILE CONNECT
RELEASE
Esempio
Amtec > config profile
CONFIG PROFILE [] #>
Edit profile
Sintassi Stato
EDIT PROFILE <name> CONFIG PROFILE
RELEASE
Sintassi Stato
SET USER PROFILE ENABLE CONFIG PROFILE
RELEASE
Esempio
CONFIG PROFILE [ ] #> set user profile enable
Il comando seguente definisce i comandi abilitati per il profilo indicato. I comandi vanno dati
nel formato proprietario dei profili.
Al momento solo il profilo denominato 'radius' accetta questo comando.
Sintassi Stato
SET USER PROFILE <nome profilo> <comando> CONFIG PROFILE
RELEASE
Esempio
CONFIG PROFILE [ ] #> set user profile SaS1
Create profile
Crea un nuovo profilo che viene assegnato ad un utente con password e username grazie al
‘Comando di gestione username e password’.
Sintassi Stato
CREATE PROFILE <name> TYPE <INCLUDED/EXCLUDED> CONFIG PROFILE
RELEASE
Show profile
Sintassi Stato
SHOW PROFILE CONFIG PROFILE
RELEASE
Esempio
CONFIG PROFILE [SaS1] #> show profile
profile type included
command ike
command ipsec
snmp on
Write profile
Sintassi Stato
WRITE PROFILE CONFIG PROFILE
RELEASE
Esempio
CONFIG PROFILE [SaS1] #>write profile
CLOSE PROFILE
Sintassi Stato
CLOSE PROFILE CONFIG PROFILE
RELEASE
Esempio
CONFIG PROFILE [SaS1] #> close profile
DELETE PROFILE
Sintassi Stato
DELETE PROFILE <Profile Name> CONFIG PROFILE
RELEASE
Sintassi Stato
EXIT PROFILE STATE CONFIG PROFILE
RELEASE
Esempio
CONFIG PROFILE [SaS1] #> exit profile state.
Config dynamic
Sintassi Stato
CONFIG DYNAMIC CONNECT
RELEASE
Esempio
Amtec > config dynamic
CONFIG DYNAMIC [] #>
Show attribute
Permette di monitorare gli attributi Radius acquisiti dinamicamente da uno stato particolare
del configuratore definito “config dynamic”.
Sintassi Stato
SHOW ATTRIBUTE CONFIG DYNAMIC
RELEASE
Esempio
SHOW ATTRIBUTE
DIR
Sintassi Stato
DIR CONFIG PROFILE
RELEASE
Esempio
CONFIG PROFILE [] #> dir
Flash:\PROFILE>
PROVA FILE 12/09/2004 11:38 56 byte
TEST FILE 12/09/2004 11:40 65 byte
2069798 bytes FreeAmtec
CD
Sintassi Stato
CD <directory> CONNECT
RELEASE
Sintassi Stato
CD. CONNECT
RELEASE
Esempio
WELCOME TO
AMTEC SAS750
____________
WELCOME TO
AMTEC SAS750
_________
SOFTWARE: V. GAIA4 4.3.3./FWSC
CONFIGURATION SERVER: V. 3.0
THE CURRENT DATE IS: friday 10/04/2005 [h 11:36:56]
Amtec > config profile
CONFIG PROFILE [] #> create profile TEST type excluded
CONFIG PROFILE [TEST] #> command snmp
WELCOME TO
AMTEC SAS750
___________
SOFTWARE: V. GAIA4 4.3.3./FWSC
CONFIGURATION SERVER: V. 3.0
THE CURRENT DATE IS: friday 10/04/2005 [h 11:36:56]
Amtec > config profile
CONFIG PROFILE [] #> create profile PROVA type included
CONFIG PROFILE [PROVA] #> command utilities
CONFIG PROFILE [PROVA] #> - write
CONFIG PROFILE [PROVA] #> - reset
CONFIG PROFILE [PROVA] #> - config run
CONFIG PROFILE [PROVA] #> set user $ password $ $ $ profile $ $
CONFIG PROFILE [PROVA] #> load profile $ $
CONFIG PROFILE [PROVA] #> load sw $ $
CONFIG PROFILE [PROVA] #> show conf
CONFIG PROFILE [PROVA] #> write profile
CONFIG PROFILE [PROVA] #> close profil
CONFIG PROFILE [] #> exit profile state
AMTEC >
Il tipo INCLUDED può essere fortemente bloccante. Se non configurato in modo opportuno,
l’utente rischia di non poter accedere all’apparato. Il comando ‘command utilities’ consente,
all’utente associato al profilo di tipo INCLUDED di eseguire le operazioni base (accesso
all’apparato), di far uso di tutti i debug, tutti i dump, tutti gli show e dei seguenti comandi:
config
config run
config profile
write
exit
reset
shut down
risposta (yes/no)
edit profile $
create profile $
delete profile $
show profile
close profile
write profile
exit profile state
dir
cd $
cd.
enable configuration $ $
tftp source $ $
pim $ rtr
traceroute
kill connection $ $
clear $ info
del confinfo
del verinfo
del vrrpinfo
del flash info
screen row $
conf trap on $
echo tcp open $ client $ $
echo tcp open $ server $ $
echo tcp close $
echo tcp send string $ $
telnet $ source $
override crtm $ $ $
del crtm $ $ $
Nell’esempio riportato l’utente associato al profilo PROVA può far uso di tutti i comandi sopra
elencati ad eccezione di write, reset, config run.
Per visualizzare tutti profili inseriti in un apparato si utilizza, come riportato in precedenza, il
comando ‘DIR’.
Per modificare o visualizzare un profilo occorre entrare nel profilo in questione con il
comando ‘Edit Profile’ e poi eseguire le operazioni desiderate. Il comando ‘SHOW PROFILE’
visualizza tutte le caratteristiche del profilo in esame.
Per cancellare il profilo PROVA si procede con il comando ‘delete profile’. Il profilo
scomparirà dalla lista dei profili configurati nell’apparato.
COMANDI DI GESTIONE
I comandi di gestione sono quei comandi che permettono di cambiare stato, di scrivere
configurazioni, di mostrare configurazioni, di mostrare i messaggi di help, etc.
Comando HELP
Il comando «HELP» (l’utente può digitare in alternativa «?») fornisce informazioni di aiuto e
può essere usato prima o dopo il comando. Se viene utilizzato prima, viene fornita la lista dei
comandi disponibili (nello stato in cui l’utente si trova); se è usato dopo, fornisce informazioni
sulla sintassi del comando richiesto.
Sintassi Stato
? / HELP CONNECT
RELEASE
Esempio
Amtec > help
Stato
CONFIG
Esempio
CONFIG # > help
Esempio
Amtec > show?
L’apparato risponde con la lista di parametri che può fornire il comando di SHOW:
-- PROTOCOL <Protocol>
-- CONF [[ifc]]
-- IP <ROUTE/ACCESS> [case ACCESS: <ROUTING/INTERNAL/CONFIG>]
-- NAT <STATIC/POOL/LIST>
-- CONNECTION
-- SNMP <COMMUNITY/GROUP/MANAGER/USER/VIEW>
Sintassi Stato
SHUTDOWN ROUTER mm/dd/yyyy h:m (insert the hour CONFIG RUN
between 1-24) RELEASE
Esempio
(CONFIG RUN) > shutdown ROUTER 10/07/2005 13:30
Con il ‘dump shutdown state’ (vedi Appendice B) è possible visualizzare il giorno, il mese,
l’anno, l’ora in cui il SAS, individuato dal suo sys_name, si riavvierà.
Comando SHOW
Il comando può essere dato sia in fase di consultazione, sia in fase di configurazione e
mostra la configurazione o parte di essa a seconda del comando eseguito.
Comandi DUMP
Sono disponibili alcuni comandi sia in stato di visualizzazione (SHOW) che in stato di
configurazione (CONF) che in stato di configurazione a caldo (CONFIG RUN), che
consentono la visualizzazione di alcune informazioni circa l’apparato e circa alcuni protocolli.
Il comando CONFIG è usato per entrare in fase di configurazione dalla fase di consultazione.
Si entra in fase di configurazione senza parametri addizionali. Se l’utente introduce, da
questo stato, un qualsiasi parametro, la configurazione può essere modificata.
Sintassi Stato
CONFIG [<param>] CONNECT
RELEASE
Esempio
Amtec > config
(Config) >
Amtec >
#>
NOTA: un solo utente alla volta potrà entrare nella modalità di configurazione; gli
utenti che successivamente tenteranno di entrarvi riceveranno il messaggio:
Il comando «EXIT» esce dal modo configurazione e ripristina il modo consultazione. Ogni
cambiamento apportato alla configurazione senza l’uso del comando «WRITE» sarà perso.
Sintassi Stato
EXIT CONFIG
RELEASE
Esempio
(Config) >exit
Sintassi Stato
SET USERNAME CONFIG RUN
RELEASE
Esempio
(Config run) > set username
È possibile configurare uno username di secondo livello che viene richiesto nel momento in
cui l’utente cerca di accedere allo stato di CONFIG e CONFIG RUN. I due username sono
indipendenti. È così possibile definire solo lo username di secondo livello, solo quello di
primo livello, tutte e due o nessuno.
Sintassi Stato
SET USERNAME1 CONFIG RUN
RELEASE
Esempio
(Config run) > set username1
Sintassi Stato
SET PASSWORD CONFIG RUN
RELEASE
Esempio
(Config run) > set password
Se l’utente digita «y» e poi preme «Enter» la password di sistema è cancellata e tale
cambiamento risulterà attivo alla successiva ripartenza della macchina.
È possibile configurare una password di secondo livello che viene richiesta nel momento in
cui l’utente cerca di accedere allo stato di CONFIG e CONFIG RUN. Le due password sono
indipendenti. È così possibile definire solo la password di secondo livello, solo quella di primo
livello, tutte e due o nessuna.
Sintassi Stato
SET PASSWORD1 CONFIG RUN
RELEASE
Esempio
(Config run) > set password1
Sintassi Stato
SET DATE <mm/dd/yyyy><h:m>[days in week (sunday,..., CONFIG RUN
saturday)] [ANYWAY] RELEASE
Esempio
(Config) >set date 05/24/2004 10:50
Comando di visualizzazione
Il seguente comando stabilisce quante righe per volta devono essere visualizzate nella
finestra del telnet o della maintenance server.
Sintassi Stato
SCREEN ROW <row every screen> CONFIG RUN
RELEASE
Sintassi Stato
ETHERNET<n> SET {HALF10 | HALF100 | FULL10 | FULL100} CONFIG
[NAN] RELEASE
Esempio
(Config) >ethernet1 set half10
Comando write
Scrive la configurazione in memoria non volatile. I nuovi parametri di configurazione
diventeranno operativi solo dopo il comando RESET.
Sintassi Stato
WRITE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >write
WAIT PLEASE
WRITE OK
Comando reset
Esegue un restart dell'apparato. Tutte le sessioni eventualmente attive sono abbattute e
viene riattivato il sistema con i dati di configurazione presenti in memoria non volatile: questo
comando è necessario, quindi, ogni volta che si scrive una configurazione con il comando
WRITE e si desidera renderla operativa. Le sessioni Telnet attive al momento del Reset
vengono abbattute.
Sintassi Stato
RESET CONFIG, CONFIG
RUN
RELEASE
Esempio
(Config) >reset
Are you sure (Y/N)?
NOTA: una volta dato questo comando occorre uscire dalla sessione Telnet ed
attendere che l'apparato sia ripartito (qualche decina di secondi).
Comandi di cancellazione
Per cancellare la configurazione all’interno dell’apparato si utilizza il comando:
Sintassi Stato
DEL CONF CONFIG
RELEASE
Esempio
(Config) >del conf
Per cancellare la memoria flash, all’interno della quale ci sono i certificati, si utilizza il
comando:
Sintassi Stato
DEL FLASH INFO CONFIG
RELEASE
Esempio
(Config) >del flash info
Negli apparati dove è configurata la funzionalità VRRP, può essere utile cancellare
l’informazione presente negli apparati slave, riguardante l’indirizzo mac del master.
Sintassi Stato
DEL VRRPINFO CONFIG
RELEASE
Esempio
(Config) >del vrrpinfo
COMANDI DI SISTEMA
I comandi di sistema sono comandi che si riferiscono alla configurazione globale del sistema
stesso.
System name
Sintassi Stato
SYS NAME [<name>] CONFIG, CONFIG
RUN
RELEASE
System location
L’utente può cambiare la locazione del sistema usando il comando «SYS LOCATION». Il
comando modifica la locazione del sistema.
Sintassi Stato
SYS LOCATION <system location> CONFIG
RELEASE
System contact
L’utente può cambiare il System contact utilizzando il comando «SYS CONTACT».
Sintassi Stato
SYS CONTACT <system contact> CONFIG
RELEASE
Sintassi Stato
Dump ifc [<Ifc_Name>] [extended] CONFIG, CONFIG
RUN, CONNECT,
MAINTENANCE
RELEASE
L’attivazione della funzionalità, senza l’impiego del parametro opzionale extended, permette
di visualizzare:
- la configurazione delle interfacce
- il traffico a livello Driver;
- Il traffico a livello IP;
Una volta attivato il traffico su di una interfaccia, occorre attendere almeno 30 secondi prima
di visualizzare la tabella ‘Dump statistical examination’. A partire da tale istante i parametri
vengono aggiornati fino ad un intervallo di tempo pari a 5 minuti (300 secondi). Superato tale
intervallo, i parametri visualizzati si riferiscono a informazioni relative agli ultimi 5 minuti.
Esempio
Description: ISDN_B
Type: basicISDN(20)
IP Add[0]: 200.0.0.1/24
Mtu: 1500
Speed: 64000
State: Down
- IP Pkts Info -
Per ripulire i valori presenti in ‘Dump statistical examination’ ed in ‘IP Pkts Info’ si usa il
seguente comando:
Sintassi Stato
CLEAR info [<Ifc_Name>] CONFIG, CONFIG
RUN, CONNECT.
RELEASE
Il successivo ‘Dump ifc [<Ifc_Name>] [extended]’ visualizzerà nel campo ‘LastClear’ di ‘IP
Pkts Info’ il valore in h:m:sec.decimi di sec in cui è avvenuta l’ultima cancellazione per mezzo
del comando appena descritto.
L’esempio che segue, mostra nell’ordine i risultati delle seguenti operazioni:
2. clear ethernet1 info, mediante il quale si cancella il contenuto del ‘dump statistica
examination’ e di ‘IP Pkts Info’;
3. dump ifc ethernet1 extended immediatamente succesivo alla cancellazione ed entro i
30 secondi necessari per aggiornare la tabella delle statistiche;
4. dump ifc ethernet1 extended inserito dopo un intervallo di tempo superiore a 30
secondi.
Esempio
Description: ETHERNET_1
Type: ethernetCsmacd(6)
IP Add[0]: 10.10.10.1/24
Mac Add: 00:60:3b:00:9d:aa
Mtu: 1500
Speed: 100000000
State: Up
- IP Pkts Info -
Description: ETHERNET_1
Type: ethernetCsmacd(6)
IP Add[0]: 10.10.10.1/24
Mac Add: 00:60:3b:00:9d:aa
Mtu: 1500
Speed: 100000000
State: Up
- IP Pkts Info -
No Data Available
Description: ETHERNET_1
Type: ethernetCsmacd(6)
IP Add[0]: 10.10.10.1/24
Mac Add: 00:60:3b:00:9d:aa
Mtu: 1500
Speed: 100000000
State: Up
- IP Pkts Info -
Shutdown
Con il comando SHUTDOWN è possibile cambiare in DOWN lo stato logico di una interfaccia
che è UP.
Sintassi Stato
<Interface> Shutdown CONFIG, CONFIG
RUN
.
RELEASE
Esempio
(Config) >ethernet1 shutdown
Sintassi Stato
<Interface>[/<Integer>] SUBIFC [Shutdown | NO_SHUTDOWN] CONFIG, CONFIG
RUN
RELEASE
Esempio
(Config) >IMA1/1 SUBIFC shutdown
HTTP SERVER
È possibile utilizzare un browser (programma client) come Internet Explorer oppure Mozzilla
per connettersi al SAS, con la possibilità di configurare l’apparato via WEB. Da qui la
necessità di inserire un modulo GAIA HTTP Server.
HTTP è implementato in due programmi: uno client e uno server; questi due programmi,
eseguiti da due diversi terminali, parlano tra loro scambiandosi messaggi
Per poter poi configurare l’apparato occorre un meccanismo che sia in grado di interagire col
modulo configuratore presente nel software Gaia.
Autenticazioni STANDARD
Autenticazione FIREWALL (se l’apparato la supporta).
Autenticazione tramite Server RADIUS.
Autenticazioni PROPRIETARIE:
Comandi di configurazione
Il seguente comando permette l’abilitazione del protocollo HTTP. Se non viene specificata la
porta il protocollo lavora sulla porta standard 80, altrimenti su quella configurata.
Sintassi Stato
HTTP ON [PORT] [<integer>] CONFIG, CONFIG
RUN
RELEASE
4 NETWORK PROTOCOLS
CONFIGURAZIONE IP
Il protocollo IP è conforme alla RFC 791. Può essere configurato sopra a tutte le interfacce
fisiche a disposizione ed è necessario assegnare un proprio indirizzo IP ad ognuna di esse.
Sintassi Stato
<Interface>[/<Integer>] IP ON <IP address> <IP mask> <ADD> CONFIG
RELEASE
Per rimuovere il protocollo IP dall’interfaccia selezionata l’utente deve usare il comando «NO
IP ON».
Sintassi Stato
<Interface>[/<Integer>] IP ON UNNUMBERED [<Interface>] CONFIG
RELEASE
Sintassi Stato
<Interface>[/<Integer>] IP SPOOFING CONFIG, CONFIG
RUN
RELEASE
IP idletmo
Seleziona l’intervallo di tempo in cui una connessione rimane attiva anche in assenza di
traffico. Scaduto questo timeout la connessione viene abbattuta. Solo le connessioni sui
circuiti PVC e su Ethernet rimangono sempre aperte, indipendentemente dall’aver impostato
il timeout.
Il valore di default, se il parametro non è configurato è 60 secondi.
Sono anche possibili due opzioni:
POST: fa in modo che il refresh del timeout sul pacchetto IP in ingresso avvenga
solo nel caso in cui tale pacchetto abbia superato i controlli di correttezza IP e le
eventuali access list (sia internal che routing);
NOINPUT: prevede che il refresh del timeout avvenga in corrispondenza di
pacchetti IP in uscita sull'interfaccia corrispondente.
Sintassi Stato
<Interface>[/<Integer>] IP IDLETMO <idle timeout> [POST] CONFIG
[NOINPUT] RELEASE
Sintassi Stato
<Interface>[/<Integer>] IP MTU <integer> CONFIG
RELEASE
Sintassi Stato
<Interface>[/<Integer>] IP FRAGMENTATION SIZE <Fragment's CONFIG
size [Bytes]. (10-1400)> RELEASE
IP map
Crea un’associazione indirizzo IP/indirizzo fisico. Tale associazione è necessaria quando il
protocollo IP è incapsulato su un protocollo switched (come il Frame Relay).
Sintassi Stato
<Interface> IP MAP <IP address> <integer> [SUBIFC] [<Sub ifc CONFIG
name - max 15 char ->] RELEASE
Il comando inserisce una mappatura Ip. E' stato aggiunto il token nua e il parametro intero è
diventato stringa. In stato di config se il nua >9 si obbliga l'utente ad usare i nouvi comandi.
Sintassi Stato
<interface> IP MAP <ip_address> NUA <STR_ALPHA> CONFIG
RELEASE
Se l’utente vuole mappare il protocollo IP sopra un circuito permanente come un DLCI, deve
darne indicazione (stessa cosa vale per un PVC).
Sintassi Stato
<Interface>[/<Integer>] IP MAP <IP address> DLCI <integer> CONFIG
[SUBIFC] [<Sub ifc name - max 15 char ->] RELEASE
<Interface>[/<Integer>] IP MAP <IP Address> PVC <Pvc
Number> [SUBIFC] [<Sub ifc name - max 15 char ->]
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>[/<Integer>]: una delle interfacce/subinterface abilitate;
<IP address>: indirizzo IP valido;
<interger>: indica il DLCI che deve essere indirizzato sull’interfaccia
selezionata è non potrà superare il numero dei DLCI
configurati lato Frame Relay;
<Pvc Number>: numero del PVC
<Sub ifc name - max 15 nome della subinterface (max 15 caratteri).
char ->:
Esempio
(Config) >serial1 ip map 200.0.0.1 pvc 5
Se l’utente vuole cancellare l’associazione indirizzo IP/indirizzo fisico deve usare il comando
«NO IP MAP».
Sintassi Stato
NO <Interface>[/<Integer>] IP MAP <IP address> CONFIG
RELEASE
Esempio
(Config) >no serial1 ip map 200.0.0.1
Se l’utente vuole indicare che il profilo chiamato internet deve insistere sull’interfaccia ifc,
deve darne indicazione. I profili possono esistere solo sull’interfaccia ISDN1B.
NOTA: Per prima cosa bisogna aggiungere il profilo con il comando e definire il
default gateway, per tutto ciò si rimanda alla FUNZIONALITÀ ISDN.
Sintassi Stato
<Interface> IP MAP PROFILE <Profile Name> CONFIG
RELEASE
L’utente può abilitare l’opzione di source routing IP usando il comando «IP SRCOPT ON».
Sintassi Stato
IP SRCOPT ON CONFIG
RELEASE
Esempio
(Config) >ip srcopt on
Default gateway
L’utente può selezionare un indirizzo di default gateway dove saranno instradati tutti i
pacchetti IP che non hanno trovato una corrispondenza sulle tabelle di routing. Si abilita con
il comando «IP DEFGTW».
Se non viene indicata l’interfaccia si intende che il gateway <IP address> sia raggiungibile
tramite una entry in tabella di routing. Questo permette di poter avere percorsi di
instradamento diversi per il default gateway.
Sintassi Stato
IP DEFGTW <IP address> <Interface>[/<Integer>] [<Adm CONFIG
Distance>] RELEASE
Nel caso in cui sia configurato il PPP come protocollo di WAN, è possibile avvalersi della
funzionalità di IP dinamico. In questo caso, all’atto dell’attivazione della connessione,
l’indirizzo IP comunicato dal remoto viene inserito in tabella di routing. In questo caso è
possibile inserire anche la rete remota in tabella di routing usando la parola chiave opzionale
NETMASK. In questo caso, oltre al default gateway, in tabella di routing viene inserita anche
la rete remota con la maschera indicata nel comando stesso.
Sintassi Stato
IP DEFGTW DYNAMIC <Interface> [NETMASK] [<Ip Mask>] CONFIG
RELEASE
Nel caso in cui siano configurati i profili, il comando di configurazione del default gateway
indica solamente quale profilo gestisce i pacchetti indirizzati a reti remote prive di entry in
tabella di instradamento. Le caratteristiche di gateway dinamico e acquisizione della rete
remota sono demandate alla configurazione del profilo.
Sintassi Stato
IP DEFGTW PROFILE <Profile Name> [<Interface>] CONFIG
RELEASE
Tabelle di routing
Il comando che segue aggiunge una entry in tabella di routing. Per ogni pacchetto IP in
arrivo al router viene consultata la tabella di routing per eseguirne l'instradamento; se non
viene trovata alcuna entry in questa tabella il pacchetto è inviato al default gateway (se
configurato).
Sintassi Stato
ADD IP ROUTE <IP address dest> <IP mask dest> <IP address CONFIG, CONFIG
gateway> <hop> <Interface>[/<Integer>] [GROUP] [<group RUN
label>] [TAG] [<Hex number>]
RELEASE
Esempio
(Config) >add ip route 186.97.10.2 255.255.0.0 194.184.190.1 1 serial1
Se sono configurati i profili, il comando ADD IP ROUTE assume una sintassi diversa. Per
instradare traffico sul profilo, il nome del profilo va inserito al posto di IP address gateway. La
funzionalità del comando rimane la stessa.
Sintassi Stato
ADD IP ROUTE <IP address dest> <IP mask dest> PROFILE CONFIG
<Profile Name> <hop> <Interface>[/<Integer>] [GROUP] [<group RELEASE
label>]
<Comando> [OPZIONE]: DESCRIZIONE
<IP address dest>: indirizzo IP della rete da raggiungere;
<IP mask dest>: maschera di bit per l’indirizzo destinatario;
<Profile Name>: nome del profilo attraverso cui si raggiunge il destinatario;
<hop>: numero di salti necessari a raggiungere la rete di
destinazione;
<Interface>[/<Integer>]: solo l’interfaccia ISDN1B;
[<group label>]: nome del gruppo a cui circoscrivere il comando.
Esempio
(Config) >add ip route 186.97.10.2 255.255.0.0 profile internet 1 isdn1b
Il seguente comando viene utilizzato in una condizione di routing dinamico,dove le entry non
hanno specificato l’interfaccia di uscita,per questo la lan da raggiungere si appoggia
all’interfaccia di Look-up riferendosi alla tabella di routing.
Sintassi Stato
ADD IP ROUTE <Ip Address Dst> <Ip Mask Dst> <Gateway Ip CONFIG, CONFIG
Address> <Adm Distance> LOOK-UP [GROUP] [<group label>] RUN
[TAG] [<Hex number>] RELEASE
Esempio
(Config) >add ip route 186.97.10.2 255.255.0.0 194.184.190.1 1 look-up
oppure:
(Config) >add ip route 186.97.10.2 255.255.0.0 profile internet 1 look-up
Interfaccia NULL
È possibile introdurre in tabella di routing, al posto di una delle interfacce abilitate, come
gateway, l’interfaccia fittizia NULL, in modo che tutte le entry che corrispondono alla route in
questione vengano cestinate.
Sintassi Stato
ADD IP ROUTE <Ip Address Dst> <Ip Mask Dst> <Gateway Ip CONFIG, CONFIG
Address> <Adm Distance> INTNULL [GROUP] [<group RUN
label>][TAG] [<Hex number>] RELEASE
Con l’introduzione dell’interfaccia NULL, non viene inviato alcun messaggio relativo al traffico
che corrisponde alla route in questione. Per fare in modo che vengano inviati messaggi
ICMP di destination unreachable, occorre introdurre il seguente comando.
Sintassi Stato
ICMP ENABLE UNREACHABLE INTNULL CONFIG, CONFIG
RUN
RELEASE
Esempio
(CONFIG) >icmp enable unreachable intnull
FAST ROUTING
Sintassi Stato
FAST ROUTING ON [PKT_RATE][<packet number>] CONFIG, CONFIG
RUN
RELEASE
Sintassi Stato
FAST ROUTING FILTER ON CONFIG, CONFIG
RUN
RELEASE
Esempio
(CONFIG) > FAST ROUTING FILTER ON
Sintassi Stato
FAST ROUTING FILTER <Ip Net> <Ip Mask> CONFIG, CONFIG
RUN
RELEASE
Esempio
(CONFIG) > FAST ROUTING FILTER 1.1.1.1
(CONFIG) > FAST ROUTING FILTER 1.1.0.0 255.255.255.0
Lo scopo di questo comando è di impostare un valore globale di aging, oltre il quale una
entry viene tolta dalla tabella L2 ROUTING.
Sintassi Stato
FAST ROUTING FILTER ENTRY TIMEOUT < aging time in CONFIG, CONFIG
minutes> RUN
RELEASE
Esempio
(CONFIG) > FAST ROUTING FILTER ENTRY TIMEOUT 5
Esempio
(CONFIG) > FAST ROUTING RESET
Lo scopo di questo comando è di impostare un valore globale di aging, oltre il quale una
entry viene tolta dalla tabella del FAST ROUTING.
Sintassi Stato
FAST ROUTING ENTRY TIMEOUT <AGING TIME IN CONFIG, CONFIG
MINUTES> RUN
RELEASE
FUNZIONALITÀ BRIDGE
Lo scopo di questo comando è di attivare la funzionalità BRIDGE Ethernet. Il bridge
collegherà tutte le subinterfaces, indicate nel comando, tra di loro.
Sintassi Stato
BRIDGE ON <INTERFACE>/[<INTEGER>] CONFIG, CONFIG
<INTERFACE>/[<INTEGER>] RUN
RELEASE
Esempio
BRIDGE ON ETHERNET1/1 ETHERNET1/2
Lo scopo di questo comando è impostare l’aging delle entry della tabella ATU del Bridge.
Sintassi Stato
BRIDGE SET MAC TIMEOUT <TIMEOUT (SEC)> CONFIG, CONFIG
RUN
RELEASE
Sintassi Stato
BRIDGE ON VOIP <INTERFACE>/[<INTEGER>] CONFIG, CONFIG
RUN
RELEASE
Esempio
BRIDGE ON VOIP ETHERNET1/4
ACCESS LIST
La access list è un filtro che consente di lasciar passare solo determinati pacchetti IP.
Esistono tre distinte categorie riassumibili in internal,routing e config.
Le access list di tipo internal abilitano/disabilitano la possibilità di accedere al router ed ai
suoi servizi (protocolli e porte) solo ai destinatari IP presenti nella access di configurazione.
Le access list di tipo routing abilitano/disabilitano il routing ed i servizi (protocolli e porte) per
le classi IP sorgenti o destinatarie presenti nella access di configurazione.
Le access list di tipo config abilitano la possibilità di accesso al router ed ai suoi servizi
(protocolli e porte) solo ai destinatari IP presenti nella access di configurazione demandando
il controllo di accesso alla validità del certificato presente su crypto card o smart card.
I range dell’indice di liste che identificano le access list per tipologia sono così riassumibili:
Tipo Funzione Indice
da 10001 a
Internal filtrano i pacchetti indirizzati verso il router stesso
10999
da 11001 a
Routing filtrano pacchetti di cui sarà fatto routing;
11999
filtrano i pacchetti di configurazione, e sono abilitate con smart da 12001 a
Config
card authentication e crypto card autentication. 12999
All’interno della stessa categoria di access list esiste un processo di consultazione in ordine
crescente, vale a dire che per ogni tipologia di access risulta prioritaria quella con indice più
basso.
Esempio
add ip access 11050 permit 200.0.0.0 0.0.0.127 180.0.0.0 0.0.0.255 serial1
add ip access 11060 denied 200.0.0.0 0.0.0.127 180.0.0.0 0.0.0.255 serial1
In questo caso il rountig tra le reti indicate è permesso in quanto il machting avviene sulla
lista permit con indice di mappa più basso
Esempio:
permetterà l'accesso alla macchina da tutti gli host con indirizzo IP 200.0.0.x in quanto gli
ultimi 8 bit saranno ignorati nel confronto.
Alla regola precedente fanno eccezione le maschere delle access list di tipo Config
che sono configurate in maschera canonica.
L’utente può abilitare/disabilitare le routing access list per il controllo di accesso usando il
comando «IP ACCESS ROUTING ON». Se nessuna lista è impostata ad «ON» l’IP non filtra
alcun pacchetto.
Sintassi Stato
ADD IP ACCESS <INTEGER, Routing: from 11001 to CONFIG, CONFIG RUN
11999> PERMIT <Ip Address Src> <Ip Mask Src> <Ip RELEASE
Address Dst> <Ip Mask Dst> [<Interface>[/<Integer>]]
[<Protocol>] [PORTS:<Source port range s1/s2>]
[PORTD:<Destination port range s1/s2>] [DATA] [IN | OUT]
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER, Routing: from valore compreso tra 11001 e 11999
11001 to 11999>:
<IP Address Src>: indirizzo IP sorgente;
<IP Mask Src>: maschera di bit per l'indirizzo sorgente; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
<IP Address Dst>: indirizzo IP destinatario. Il destinatario non può essere il
router stesso;
<IP Mask Dst>: maschera di bit per l'indirizzo destinatario; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
[<Interface>[/<Integer>]]: interfaccia o subinterface sulla quale applicare il filtro
(parametro opzionale); nel caso sia omesso, il controllo
avviene su tutte le interfacce.
<Protocol>: protocollo trasportato dall'IP sul quale applicare il filtro;
parametro opzionale; nel caso sia omesso il controllo
viene effettuato su tutti i protocolli; es UDP,TCP,ICMP...
Sintassi Stato
ADD IP ACCESS <INTEGER, Routing: from 11001 to CONFIG, CONFIG RUN
11999> DENIED <Ip Address Src> <Ip Mask Src><Ip RELEASE
Address Dst> <Ip Mask Dst> [<Interface>[/<Integer>]]
[<Protocol>] [PORTS:<Source port range s1/s2>]
[PORTD:<Destination port range s1/s2>] [DATA] [IN | OUT]
Esempio
(Config) >add ip access 11050 denied 200.0.0.0 0.0.0.127 180.0.0.0 0.0.0.255 ethernet1
L’utente può abilitare/disabilitare le internal access list per il controllo di accesso usando il
comando «IP ACCESS INTERNAL ON». Se nessuna lista è impostata ad «ON» l’IP non
filtra alcun pacchetto.
Sintassi Stato
IP ACCESS INTERNAL ON CONFIG
RELEASE
Esempio
(Config) >ip access internal on
Sintassi Stato
ADD IP ACCESS <INTEGER, Internal: from 10001 to 10999, CONFIG, CONFIG
Config: from 12001 to 12999> PERMIT<Ip Address Src> <Ip RUN
Mask Src> [<Interface>[/<Integer>]] [<Protocol>] RELEASE
[PORTS:<Source port range s1/s2>] [PORTD:<Destination port
range s1/s2>] [DATA]
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER, Internal: from valore compreso tra 11001 e 11999
11001 to 11999...>:
<IP Address Src>: indirizzo IP sorgente;
<IP Mask Src>: maschera di bit per l'indirizzo sorgente; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
<IP Address Dst>: indirizzo IP destinatario. Il destinatario non può essere il
router stesso;
<IP Mask Dst>: maschera di bit per l'indirizzo destinatario; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
[<Interface>[/<Integer>]]: interfaccia o subinterface sulla quale applicare il filtro
(parametro
opzionale); nel caso sia omesso, il controllo avviene su
tutte le interfacce.
<Protocol>: protocollo trasportato dall'IP sul quale applicare il filtro;
parametro opzionale; nel caso sia omesso il controllo
viene effettuato su tutti i protocolli; valori ammessi: "TCP",
"UDP" o "ICMP";
Sintassi Stato
ADD IP ACCESS <INTEGER, Internal: from 10001 to 10999> CONFIG, CONFIG
DENIED <Ip Address Src> <Ip Mask Src> RUN
[<Interface>[/<Integer>]] [<Protocol>] [PORTS:<Source port RELEASE
range s1/s2>] [PORTD:<Destination port range s1/s2>] [ESTAB]
Esempio
(Config) >add ip access 10200 denied 200.0.0.0 0.0.0.127 ethernet1
Sintassi Stato
IP ACCESS CONFIG ON CONFIG
.
RELEASE
Esempio
(Config) >ip access config on
Sintassi Stato
ADD IP ACCESS <INTEGER, Internal: from 10001 to 10999, CONFIG, CONFIG
Config: from 12001 to 12999> PERMIT<Ip Address Src> <Ip RUN
Mask Src> [<Interface>[/<Integer>]] [<Protocol>] RELEASE
[PORTS:<Source port range s1/s2>] [PORTD:<Destination port
range s1/s2>] [DATA]
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER, ..., Config: valore compreso tra 12001 e 12999
from 12001 to 12999 >:
<IP Address Src>: indirizzo IP sorgente;
<IP Mask Src>: maschera di bit per l'indirizzo sorgente; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
<IP Address Dst>: indirizzo IP destinatario. Il destinatario non può essere il
router stesso;
<IP Mask Dst>: maschera di bit per l'indirizzo destinatario; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
[<Interface>[/<Integer>]]: interfaccia o subinterface sulla quale applicare il filtro
(parametro opzionale); nel caso sia omesso, il controllo
avviene su tutte le interfacce.
<Comando> [OPZIONE]: DESCRIZIONE RELEASE
Le liste di INPUT e OUTPUT sono state introdotte per dare un’ordine diverso all’elaborazione
del pacchetto dai vari moduli sia in input che in output.
Senza la configurazione di tali selettori l’ordine di esecuzione è nel seguente modo:
ricezione del pacchetto,
NAT,
access List (permit o denied),
traffic list per marcatura TOS,
traffic list per incapsulamento GRE,
traffic list per RTL policy (routing per lista, PBR),
uscita del pacchetto.
Mentre con la configurazione del selettore di INPUT, l’ordine è il seguente:
ricezione del pacchetto,
access List (permit o denied),
traffic list per marcatura TOS, INPUT
traffic list per incapsulamento GRE,
traffic list per RTL policy (routing per lista, PBR),
NAT,
access List (permit o denied),
traffic list per marcatura TOS,
traffic list per incapsulamento GRE,
traffic list per RTL policy (routing per lista, PBR),
access list (permit o denied) Output,
uscita del pacchetto.
Le Access List di OUTPUT vanno a sostituire le DISCARD Traffic List, svolgendo in pratica lo
stesso ruolo.
Comandi di configurazione
Sintassi Stato
ADD IP ACCESS <Integer> [PERMIT| DENIED] <Ip Address CONFIG, CONFIG
Src> <Ip Mask Src> <Ip Address Dst> <Ip Mask RUN
Dst>[<Interface>[/<Integer>]] [<Protocol>] [<Gate>] RELEASE
[ESTAB|DATA] [IN] / [OUT]
<Comando> [OPZIONE]: DESCRIZIONE
<Integer>: valore compreso tra 11001 e 11999
<IP Address Src>: indirizzo IP sorgente;
<IP Mask Src>: maschera di bit per l'indirizzo sorgente; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
<IP Address Dst>: indirizzo IP destinatario. Il destinatario non può essere il
router stesso;
<IP Mask Dst>: maschera di bit per l'indirizzo destinatario; se messa a
255.255.255.255 sta ad indicare tutti gli indirizzi;
[<Interface>[/<Integer>]]: interfaccia o subinterface in input sulla quale applicare il
filtro
(parametro opzionale); nel caso sia omesso, il controllo
avviene su tutte le interfacce. Se la lsta è configurata
come OUTPUT l’interfaccia su cui avviene il controllo è
quella di uscita.
<Protocol>: protocollo trasportato dall'IP sul quale applicare il filtro;
parametro opzionale; nel caso sia omesso il controllo
viene effettuato su tutti i protocolli; valori ammessi: "TCP",
"UDP" o "ICMP";
<GATE>: porta applicativa relativa al protocollo trasportato; valida
solamente per i protocolli TCP e UDP; parametro
opzionale; nel caso sia omesso il controllo viene effettuato
su tutte le porte; valori ammessi: ogni numero che sia una
porta applicativa;
[ESTAB| DATA]: parametro opzionale, che ammette i valori «ESTAB» e
«DATA»; permette di effettuare il controllo sui pacchetti
che trasportano un'apertura di connessione (ESTAB)
oppure che trasportano dati (DATA); parametro valido
solamente per il protocollo TCP; se omesso viene
impostato a "ESTAB" per la condizione di «PERMIT», e
posto a «DATA» per lo stato di «DENIED».
Comandi di configurazione
Il seguente comando abilita la Access List Cache:
Sintassi Stato
ENABLE ACCESS LIST CACHE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >access list cache
Il seguente comando abilita la Access List Cache con impostazione della dimensione
(numero max di entry) e tempo di timeout (espresso in decimi di secondo):
Sintassi Stato
ENABLE ACCESS LIST CACHE [[SIZE] [<alc dim>]] [[TIME] [<alc CONFIG,
timeout>]] CONFIG RUN
RELEASE
IP routing
Sintassi Stato
IP ROUTING CACHE {DEST / PKT} CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ip routing cache dest
Il seguente comando ha l’effetto di ripulire la cache che si riempie quando si usa il balancing.
Esistono due modalità di balancing: per pacchetto e su base destinatario. Con la prima
modalità, se esistono più strade per raggiungere una destinazione, i pacchetti vengono
inviati in sequenza su tutti i percosi possibili; con la seconda modalità, se esistono più strade
per raggiungere il destinatario, il traffico viene instradato seguendo il percorso del primo
pacchetto. I dati e le informazioni relative ai percorsi seguiti dai pacchetti, in un caso o
nell’altro, vengono conservati in cache. Il comando che segue permette di ripulire le
informazioni contenute nella cache.
Sintassi Stato
IP ROUTING CLEAR CACHE [<IP Address>] [<IP Mask>] CONFIG,
CONFIG RUN,
CONNECT
RELEASE
Sintassi Stato
IP ROUTING ADM-DISTANCE {EBGP | BGP | OSPF | RIP} <integer> CONFIG
RELEASE
Esempio
(Config) >ip routing adm-distance bgp 3
Il protocollo ARP fornisce la mappatura tra due tipi diversi di indirizzi: l'indirizzo internet a 32
bit e l'indirizzo fisico a livello data link.
Arp è un protocollo dinamico, che fornisce automaticamente tale mappatura ed è progettato
per reti che supportano il broadcast.
Il caso più tipico è la necessità di trasformare un indirizzo internet in indirizzo Ethernet (IEEE
802) a 48 bit.
ARP invia un pacchetto di richiesta broadcast contenente l'indirizzo internet di destinazione e
i propri indirizzi internet ed Ethernet. La stazione della rete che riconosce il proprio indirizzo
internet nel pacchetto di richiesta invia un pacchetto di responso contenente il proprio
indirizzo Ethernet.
La gestione del protocollo ARP è stata inoltre arricchita della funzionalità di proxy arp che
permette di rispondere a richieste ARP dirette a host (reti configurabili) non presenti nel
dominio di broadcast locale sostituendosi agli stessi.
Il comando che segue consente di configurare un indirizzo arp per una specifica interfaccia
in modo che, per l’indirizzo configurato, non vengano fatte richieste di arp in rete.
Sintassi Stato
ARP STATIC <IP Address> <Ethernet Address> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >arp static 77.77.77.9 00:60:3b:00:7e:81
Il protocollo ICMP si appoggia sul protocollo IP e riporta anomalie verificatesi nel routing di
pacchetti IP, verificando anche lo stato della rete.
I comandi che seguono disabilitano l’invio di particolari categorie di pacchetti ICMP, da parte
di una o di tutte le interfacce del router.
Sintassi Stato
ICMP DISABLE <unreachable / timeexceed / msgproblem / sourcequence / redir CONFIG
/ echoreply> <Interface to be disabled> RELEASE
Nel caso in cui si vogliano disabilitare tutte le interfacce del router, il comando diventa:
Sintassi Stato
ICMP DISABLE <unreachable / timeexceed / msgproblem / CONFIG
sourcequence / redir / echoreply> ALL RELEASE
Esempio
(Config) >ICMP DISABLE UNREACHABLE ALL
Il protocollo ICMP di default, non risponde a richieste di “echo request” dirette a indirizzi
multicast. Il comando permette al router di rispondere inserendo come IP address sorgente
quello dell’interfaccia di routing.
Sintassi Stato
ICMP ENABLE MULTICAST REPLY CONFIG,
CONFIG RUN
RELEASE
Esempio
Config #> icmp enable multicast reply
Di norma (da ora) il SAS non risponde al ping con indirizzo partial broadcast. Il comando in
oggetto abilita la risposta a questo tipo di pacchetto.
Copio multicast repley
Sintassi Stato
ICMP ENABLE PARTIAL_BROADCAST REPLY CONFIG,
CONFIG RUN
RELEASE
Il comando di Ping Esteso fornisce una serie di funzionalità aggiuntive rispetto al Ping
Standard, finalizzate a controlli di host reachability and network connectivity.
Ciò è possibile perché tramite il Ping Esteso del software GAIA si riescono a costruire
pacchetti ICMP di ECHO REQUEST con Header IP corredato di OPZIONI IP e campo dati
ICMP personalizzabile.
Sintassi Stato
Ping <Target IP Address> RTR [<Ping Retries>] SIZE [<Size of Ping>] CONFIG, SHOW,
TMO [<Timeout in sec>] EXT CONFIG RUN,
sessione TELNET
RELEASE
La presenza di EXT sulla riga di comando abilita infatti la visualizzazione in cascata di una
serie di query che richiedono all’utente l’inserimento dei parametri qui di seguito descritti:
FIELD DESCRIPTION
Set DF bit in IP Header Imposta il bit di frammentazione (Don’t Fragment bit) a 0 o ad 1 a seconda che il
[0] pacchetto possa essere frammentato oppure no
Confronta il campo dati del pacchetto ICMP di Echo Reply con quello dell’Echo
Validate Reply Data [no]
Request validando oppure no la sequenza ricevuta
Permette di specificare la sequenza dati del ping con stringhe fisse di 2 byte con
Data Pattern [0xABCD]
valori esadecimali compresi fra 0 e FFFF
Inserisce nello header IP eventuali opzioni di Loose o Strict Path, Record Route
Loose, Strict, Record, o Timestamp.
Timestamp [none] Per la descrizione di queste opzioni si rimanda al paragrafo 1.1 “Descrizione
delle Opzioni IP”
Viene aperta un’istanza di ping standard con 6 ripetizioni con destinatario l’indirizzo ip
10.36.3.17, con packet size pari a 250 byte e con timeout di attesa di risposta di 10 sec:
Viene aperta un’istanza di ping esteso con destinatario l’indirizzo ip 10.36.3.17 ed abilitata la
funzionalità estesa che impone un ToS (Type of Service) uguale a 255:
Entrambe le operazioni di Traceroute (Standard ed Esteso) sono attivabili dagli stati del
configuratore di show, config e config run e da sessione Telnet.
Con il Traceroute esteso viene implementato nel SW GAIA il relativo ramo di MIB Standard,
di conseguenza è possibile innescare una sessione di traceroute tramite una SET di variabili
SNMP e leggerne i risultati tramite una GET SNMP.
Sintassi RELEASE
Traceroute <Target IP Address> [ Sender ] [<Sender IP Address>]
< Target IP Address >: nel comando, al posto di tale notazione, deve essere
inserito un indirizzo IP destinatario.
< Sender IP Address >: nel comando, al posto di tale notazione, deve essere
inserito l’indirizzo IP sorgente.
FIELD DESCRIPTION
Target Address Indirizzo destinatario dei pacchetti UDP
Source Address Indirizzo sorgente dei pacchetti UDP
Timeout in
Il numero massimo di secondi in attesa di un’eventuale risposta
seconds [3]
Il numero di pacchetti da spedire nella stessa batteria con uguale
Probe Count [3]
valore di TTL
Minimum Time To
Il valore di TTL per la prima batteria di pacchetti UDP
Live [1]
Maximum Time Il valore massimo raggiungibile di TTL oltre il quale non inviare più
To Live [30] pacchetti
Port Number
Il valore iniziale di porta destinataria inserito nei pacchetti UDP
[33434]
Inserimento nello header IP di eventuali opzioni di Loose o Strict Path,
Loose, Strict,
Record Route o Timestamp.
Record,
Per abilitare questa gestione è necessario attivare su ogni apparato
Timestamp [none]
Marconi-Selenia il comando di configurazione <IP SRCOPT ON>
traceroute 10.36.3.17
Il protocollo TCP (standard RFC 793) viene implementato sul software "GAIA" per consentire
l'uso di applicazioni CLIENT o SERVER che richiedono affidabilità sul trasporto dei dati.
L'uso principale ed immediato del protocollo TCP è quello di consentire ad un host remoto la
connessione, tramite un terminale TELNET, con la macchina dotata del software GAIA. Il
terminale TELNET interfaccia attualmente il modulo configuratore.
Le applicazioni che vogliono utilizzare il protocollo TCP devono:
Comandi di configurazione
Per configurare il timeout per la caduta di una sessione TCP gestito dal modulo su “ATCM“ si
usa il comando:
Sintassi RELEASE
AUTHENTICATION SESSION TMO < Timeout in minute >
<Comando> [OPZIONE]: DESCRIZIONE
<Timeout in minute>: da 10 a 240; default 15 minuti
Esempio
(Config) >authentication session tmo 40
Il comando che segue permette di configurare il numero di retry in caso di mancata risposta
da parte dell'host remoto.
Sintassi Stato
TCP SET RETRY <Integer> CONFIG
RELEASE
È stata inserita la funzionalità di ECHO sul TCP, attivabile dallo stato CONFIG RUN e
CONSOLE tramite comandi di configurazione.
Il seguente comando permette di aprire una connessione Echo Server.
Sintassi Stato
ECHO TCP [OPEN] <Connection name> SERVER <Local Ip> <Remote CONFIG RUN
Ip> RELEASE
Sintassi Stato
ECHO tcp OPEN <nome> SERVER <IP ADDR> [<IP ADDR>] COMMANDE
STATE
RELEASE
Sintassi Stato
ECHO TCP OPEN <Connection name> CLIENT <Local Ip> <Remote Ip> CONFIG RUN
RELEASE
Sintassi Stato
ECHO tcp OPEN <nome> CLIENT <IP ADDR> <IP ADDR> COMMANDE
STATE
RELEASE
Sintassi Stato
ECHO TCP CLOSE <Connection name> CONFIG RUN
RELEASE
Sintassi Stato
ECHO tcp CLOSE<nome> COMMAND STATE
RELEASE
Sintassi Stato
ECHO TCP <Connection name> <Number Of Frame To Send> <Frame CONFIG RUN
Lenght> RELEASE
Sintassi Stato
ECHO tcp SEND <nome> <n.> <length> COMMAND
STATE
RELEASE
L’ UDP fornisce un servizio di consegna non affidabile e senza connessione, utilizzando l'IP
per trasportare i messaggi fra le macchine. Esso offre la capacità aggiuntiva di distinguere
fra più destinazioni all'interno di un certo host computer. Il protocollo UDP è implementato in
ambiente MIT e prevede l'utilizzo di un modulo di interfaccia tra l'UDP ed i protocolli
sviluppati in ambiente QUADS ad esso legati (primo fra tutti il protocollo IP). La migrazione
del modulo che implementa il protocollo UDP dal MIT all'ambiente QUADS è necessaria in
termini di:
È stata inserita la funzionalità di ECHO su UDP, attivabile dallo stato CONFIG RUN e
CONSOLLE tramite comandi di configurazione.
Comandi di configurazione
Sintassi Stato
ECHO UDP OPEN <Connection name> SERVER [<Local Ip>] CONFIG RUN
[<Remote Ip>] [<authpassword>] RELEASE
Sintassi Stato
ECHO udp OPEN <nome> SERVER <IP ADDR> [<IP ADDR>] COMMANDE
STATE
RELEASE
Sintassi Stato
ECHO UDP OPEN <Connection name> CLIENT <Local Ip> CONFIG RUN
[<Remote Ip>] [<authpassword>] RELEASE
Sintassi Stato
ECHO udp OPEN <nome> CLIENT <IP ADDR> <IP ADDR> COMMANDE
STATE
RELEASE
Sintassi Stato
ECHO udp CLOSE<nome> COMMAND
STATE
RELEASE
Sintassi Stato
ECHO udp SEND <nome> <n.> <length> COMMAND STATE
RELEASE
Il NAT (Network Address Translation) è una funzionalità del protocollo IP messa a punto per
effettuare la traduzione di indirizzi IP non validi, appartenenti ad una rete locale, in indirizzi IP
validi, utilizzabili in internet.
Più in dettaglio, il NAT è stato progettato e sviluppato per risolvere i seguenti problemi:
Si vuole connettere a internet una nuova rete ma non tutti gli host che ne fanno
parte hanno indirizzo IP valido (globalmente unico).
Il NAT permette a reti private che utilizzano indirizzi IP non registrati, di connettersi
ugualmente a internet. Esso, infatti, prima di instradare i pacchetti verso internet (outside
network), traduce gli indirizzi non validi, interni ad uno stub domain (inside network), in
indirizzi IP globalmente unici. Dal momento che tale traduzione viene effettuata
contestualmente all'instradamento, il NAT può essere configurato solo nei router dello stub
domain che consentono l'accesso all'Internet, lasciando completamente inalterata la
configurazione e il software degli host e degli altri router interni al dominio;
Si vuole sfruttare il meccanismo del riutilizzo degli indirizzi in stub domain diversi,
come soluzione provvisoria al problema dell'esaurimento degli indirizzi IP.
Questa soluzione si basa sul fatto che, in genere, all'interno di un dominio, solo una piccola
percentuale di host, nello stesso istante, ha necessità di comunicare con host esterni. La
maggior parte del traffico viene, infatti, generato e destinato all'interno del dominio stesso. In
generale sarà pertanto sufficiente un piccolo insieme di indirizzi IP globali per mappare un
grande insieme di indirizzi locali, riutilizzabili, pertanto, in domini diversi.
Invece di cambiarli, cosa che può richiedere una considerevole mole di lavoro, possono
semplicemente essere tradotti tramite il NAT.
È possibile mappare un solo indirizzo IP globale su più indirizzi locali. Tutti gli host locali
appartenenti al dominio possono così accedere all'Internet quando uno qualsiasi degli
indirizzi globali sia disponibile. Tale modalità di accesso all'Internet non implica, per gli host
del dominio, alcuna modifica di configurazione.
Si vuole distribuire, fra un certo numero di host appartenenti ad uno stesso stub
domain, il pesante traffico TCP diretto verso un solo host.
stesso. In questo caso, infatti, il ridotto insieme di indirizzi globali è sufficiente a soddisfare
mediamente tutte le richieste di connessione.
Dove sia configurata la funzionalità di overloading tuttavia, esiste la possibilità di utilizzare
uno stesso indirizzo globale per gestire un numero arbitrario di connessioni contemporanee,
superando così il problema dell'esaurimento degli indirizzi globali disponibili.
Un grosso vantaggio del NAT è costituito dalla possibilità di installare il software di
traduzione degli indirizzi in modo incrementale su un numero esiguo di router, quelli che
connettono il dominio a internet, senza alcuna modifica sugli host e sulla maggior parte dei
router del dominio.
Lo svantaggio più evidente è la perdita del significato end-to-end degli indirizzi IP.
Comandi di configurazione
Si può abilitare il NAT con il comando «NAT ON» che associa ad una interfaccia NAT
INSIDE più interfacce NAT OUTSIDE.
Sintassi Stato
NAT ON INSIDE <Ifc_in> OUTSIDE [<Ifc_out>] [<Ifc_out>] [<Ifc_out>] CONFIG
[<Ifc_out>] [<Ifc_out>][<Ifc_out>] [<Ifc_out>] [<Ifc_out>] [REPLY] RELEASE
È necessario definire l'interfaccia inside (verso l'inside network), che rimane l'unica.
L'indicazione delle interfacce di tipo outside (verso l'internet), è opzionale. Nel caso in cui
non ne sia indicata nessuna, tutte le interfacce su cui sia stato configurato il protocollo IP,
eccetto quella già indicata come inside, vengono assegnate di tipo outside. In caso contrario,
le interfacce di tipo outside sono solo quelle specificate, mentre le altre, se ce ne sono,
rimangono di tipo NO NAT_ON, ovvero trasparenti rispetto alla gestione NAT del traffico.
Se nel comando di cancellazione non sono specificati i parametri opzionali, viene disattivato
l'intero protocollo; altrimenti vengono poste NO NAT_ON le interfacce indicate. Nei casi
particolari in cui vengano disabilitate tutte le interfacce di tipo outside oppure venga
disabilitata l'unica interfaccia di tipo inside, viene disattivato l'intero protocollo. Un controllo
analogo viene effettuato quando viene disattivata un’interfaccia su cui sia configurato il NAT:
se l'interfaccia è di tipo inside, oppure è l'unica configurata come outside, il NAT viene
disattivato.
Il comando che segue consente di aggiungere una interfaccia di tipo NAT INSIDE oltre a
quella già configurata con il comando precedente.
Sintassi Stato
NAT ADD <Interface>[/<Integer>] INSIDE CONFIG
RELEASE
Per definire una lista di indirizzi per il NAT si usa il comando «NAT ADD LIST». Se la lista è
già definita, questo comando permette di aggiungere un nuovo set di indirizzi IP (al limite
anche solo uno).
Una lista definisce un insieme di indirizzi che devono essere tradotti.
Sintassi Stato
NAT ADD LIST <List Name> <IP Address 1> [<IP Address 2>] MASK <IP CONFIG
Mask> RELEASE
Il comando definisce solo il nome della lista e il suo contenuto, ma non il suo utilizzo che
verrà successivamente precisato con i comandi NAT INSIDE, NAT OUTSIDE.
Si possono definire al più 3 liste, ognuna con un nome diverso.
Si può passare al comando un solo indirizzo IP, una rete o un insieme continuo di indirizzi di
una rete:
<IP Address 1> + maschera piena: viene considerato solo l'indirizzo specificato;
<IP Address 1> + maschera di rete: viene considerata l'intera rete;
<IP Address 1> + <IP Address 2> + maschera di rete: gli indirizzi devono essere
contenuti nella rete e vengono considerati solo gli indirizzi contenuti nell'intervallo
che essi definiscono.
Se una successiva entry per la medesima lista costituisce un sottoinsieme, un insieme
continuo o include il range di indirizzi già specificati in una entry precedente, le due entry
vengono fuse in una entry unica. Il comando scritto su file è sempre del tipo stringa, indirizzo
iniziale, indirizzo finale, mask, anche se nel comando non viene impostato il parametro
opzionale. In questo caso, infatti, l'indirizzo finale del range viene posto uguale a quello
iniziale.
NOTA: Si può eliminare una lista con il comando «NO NAT ADD LIST».Con
questo comando si può cancellare la lista intera o alcuni indirizzi della lista
stessa.
Il seguente comando associa ad una lista di indirizzi NAT una lista di traffico individuata dal
suo identificativo (intero compreso tra 20000 e 30000)
Sintassi Stato
NAT ADD LIST <List Name> IPLIST <ip list number(from 20000 to CONFIG
30000)> RELEASE
Definisce un pool di indirizzi per il NAT. Se il pool è già definito, permette di aggiungere un
nuovo set di indirizzi IP (al limite anche solo 1).
Un pool definisce un insieme di indirizzi che possono essere utilizzati per mappare gli
indirizzi appartenenti ad una lista. Dal punto di vista della configurazione, questo comando è
perfettamente analogo al precedente. Un controllo sulla terza stringa permette di distinguere
i due casi.
Si abilita la traduzione dinamica degli indirizzi sorgenti (inside source) della inside network
appartenenti alla lista specificata attraverso il comando «NAT INSIDE SOURCE LIST».
Sintassi Stato
NAT INSIDE SOURCE LIST <List Name> POOL <Pool Name> [ <Dynamic / CONFIG
Overload> ] RELEASE
Sintassi Stato
NAT INSIDE DEST LIST <List Name> POOL <Pool Name> CONFIG
RELEASE
Il seguente comando associa ad una lista di indirizzi NAT un’interfaccia dinamica: il flusso
individuato dalla lista prende come indirizzo IP sorgente l’indirizzo associato all’interfaccia
dinamica
Sintassi Stato
NAT INSIDE SOURCE LIST <List Name> <Interface>[/<Integer>] DYNAMIC CONFIG
RELEASE
Esempio
(Config) >nat inside source list listip isdn1b dynamic
Sintassi Stato
CONFIG
NAT OUTSIDE SOURCE LIST <List Name> POOL <Pool Name>
RELEASE
Si può inserire una entry nella tabella delle traduzioni statiche con il comando «NAT ADD
STATIC INSIDE». Tale comando permette di associare staticamente un indirizzo IP locale
con un indirizzo IP globale.
Sintassi Stato
NAT ADD STATIC INSIDE <IP Address 1> OUTSIDE <IP Address 2> [ALG] CONFIG
[SIP] [ON] RELEASE
Mediante il comando «NAT SIP ON» è possibile abilitare la funzione ALG (Application Layer
Gateway per Voip Sip) che permette di traslare non soltanto l’indirizzo, ma anche il contenuto
dei pacchetti e eventualmente anche la porta di trasmissione dei pacchetti della telefonia Sip.
Sintassi Stato
NAT SIP ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >nat sip on
Il seguente comando abilita ALG SIP a livello lista. Tale comando risulta superfluo in
presenza di “NAT SIP ON” in quanto ALG SIP è abilitato a livello globale.
Sintassi Stato
NAT LIST <List Name> ALG SIP ON CONFIG
RELEASE
Esempio
(Config) >NAT LIST LIST1 ALG SIP ON
Comandi di configurazione
Sintassi Stato
NAT IP INSIDE SOURCE STATIC <Local Ip Address> CONFIG, CONFIG RUN
<Protocol> [<port number>] ADDRESS <Global Ip
RELEASE
Address> [<global port number>]
<Comando> DESCRIZIONE
[OPZIONE]:
<Local Ip indirizzo locale utilizzato per tradurre l’indirizzo destinatario del
Address>: pacchetto elaborato per flussi provenienti dalla outside network. Deve
far parte di una lista NAT.
<Protocol>: nome del protocollo IP o corrispondente valore numerico utilizzato
per definire il filtro per l’individuazione dei pacchetti provenienti dalla
outside network che devono essere tradotti. Possibili valori: p_tcp,
p_udp, p_telnet, p_tftp, p_icmp, p_ah, p_esp, p_http, p_vrrp, p_ospf.
[<port number>]: opzionale. Nel caso in cui sia definito anche il parametro opzionale
<global port number>, indica il numero di porta locale in cui tradurre
la porta globale contenuta nel pacchetto entrante; in caso contrario
rappresenta il numero di porta utilizzato per definire il filtro per
l’individuazione dei pacchetti provenienti dalla outside network che
devono essere tradotti.
<Global Ip indirizzo IP utilizzato come indirizzo sorgente per definire il filtro per
Address >: l’individuazione dei pacchetti provenienti dalla outside network che
devono tradotti. Deve far parte di un pool NAT che contenga questo
unico indirizzo.
[<global port opzionale, numero di porta globale utilizzato per definire il filtro per
number >]: l’individuazione dei pacchetti che devono essere tradotti. Tale
numero di porta, nei pacchetti provenienti dalla outside network, sarà
tradotto nel valore [<port number>].
Esempio
(Config) >nat ip inside source static 3.0.0.2 p_udp 500 address 166.0.0.1
(Config) >nat ip inside source static 3.0.0.2 p_tcp 23 address 166.0.0.1 300
Sintassi Stato
NAT IP INSIDE SOURCE STATIC <Local Ip Address> CONFIG, CONFIG RUN
<Protocol> [<port number>] IFC <Ifc_Name> [<global
port number>] RELEASE
<Comando> DESCRIZIONE
[OPZIONE]:
< Local Ip Address indirizzo locale utilizzato per tradurre l’indirizzo destinatario del
>: pacchetto elaborato per flussi provenienti dalla outside network.
Deve far parte di una lista NAT.
< Protocol >: nome del protocollo IP o corrispondente valore numerico utilizzato
per definire il filtro per l’individuazione dei pacchetti provenienti dalla
outside network che devono essere tradotti. Possibili valori: p_tcp,
p_udp, p_telnet, p_tftp, p_icmp, p_ah, p_esp, p_http, p_vrrp, p_ospf.
[< port number >]: opzionale. Nel caso in cui sia definito anche il parametro opzionale
<global port number>, indica il numero di porta locale in cui tradurre
la porta globale contenuta nel pacchetto entrante; in caso contrario
rappresenta il numero di porta utilizzato per definire il filtro per
l’individuazione dei pacchetti provenienti dalla outside network che
devono essere tradotti.
<Ifc_Name>: interfaccia di ricezione utilizzata per definire il filtro per
l’individuazione dei pacchetti provenienti dalla outside network che
devono essere tradotti.
[<global port opzionale, numero di porta globale utilizzato per definire il filtro per
number >]: l’individuazione dei pacchetti che devono essere tradotti. Tale
numero di porta, nei pacchetti provenienti dalla outside network, sarà
tradotto nel valore [<port number>].
Esempio
(Config) > nat ip inside source static 3.0.0.2 p_udp 500 address adsl1
HELPER ADDRESS
Ciò significa che configurando un helper address su una interfaccia Ethernet, il router
instraderà tutti i pacchetti broadcast che trasportano le applicazioni sopra indicate ed entranti
attraverso tale interfaccia, verso l’helper address configurato, dopo aver sostituito l’indirizzo
destinatario broadcast con l’helper address stesso. Più precisamente il pacchetto broadcast
ricevuto dal router viene duplicato per ogni helper address configurato sulla interfaccia di
ricezione del pacchetto, mentre il pacchetto originario, destinato al router, risalirà lo stack IP
del router stesso per essere eventualmente gestito anche dalle applicazioni locali.
La funzionalità helper address viene attivata utilizzando il seguente comando di
configurazione.
Comandi di configurazione
Sintassi Stato
<Ifc> IP HELPER_ADDr <IP Address> CONFIG,
CONFIG RUN
RELEASE
È possibile configurare più helper address, fino a 4, su ogni interfaccia di tipo ethernet.
Qualora si configurino più indirizzi, il pacchetto con indirizzo destinatario di tipo broadcast
viene replicato per ogni helper address configurato e modificato sostituendo l’indirizzo
destinatario broadcast con l’helper address stesso.
È possible definire, oltre alle applicazioni di default, altre applicazioni da gestire con la
funzionalità di helper address. Allo stesso modo è possibile cancellare le applicazioni che
non si vogliono gestire con l’helper address, dalla lista delle applicazioni di default. Il
comando da utilizzare è il seguente.
Sintassi Stato
IP FORWARD_PROT <string > <integer> [DISABLE] CONFIG,
CONFIG RUN
RELEASE
IEEE 802.1X
Lo standard IEEE 802.1X definisce il controllo dell'accesso ad una rete in base alle porte
utilizzate per l’autenticazione nelle reti Ethernet. Il controllo dell'accesso di rete in base alle
porte si avvale, quindi, delle caratteristiche fisiche di un'infrastruttura LAN commutata per
autenticare i dispositivi collegati ad una qualsiasi porta di commutazione. Se il processo di
autenticazione ha esito negativo, non sarà possibile inviare e ricevere frame mediante la
porta di commutazione Ethernet. Nonostante sia stato ideato per reti Ethernet cablate, lo
standard è stato adattato per l'utilizzo su reti LAN wireless IEEE 802.11. Windows XP include
il supporto dell'autenticazione IEEE 802.1X per tutte le schede di rete basate su LAN, incluse
reti Ethernet e wireless.Lo standard definisce un sistema di controllo ed autenticazione degli
accessi Client-Server che impedisce alle periferiche non autorizzate di connettersi ad una
LAN attraverso le porte disponibili a tutti Lo standard definisce inoltre la metodologia per la
negoziazione dei vari tipi di protocollo di Multicast chiamati EAP (Extensible Authentication
Protocol).
Il modulo IEEE 802.1X risulta essere configurabile solo su interfacce di tipo Ethernet.
Nella figura 4.1 viene mostrato un tipico scenario di autenticazione effettuata tramite lo
standard IEEE 802.1X.
Supplicant
Il Supplicant è una entità che desidera usufruire di un servizio (connettività a livello Mac)
offerto attraverso una porta di un authenticator (ad esempio un access point); il supplicant si
autentica attraverso l’authenticator per mezzo di un authentication server che comunica
all’authenticator se il richiedente è autorizzato ad usufruire del servizio richiesto.
Si tratta di una porta LAN che richiede l'accesso ai servizi attraverso l'autenticatore. In caso
di connessioni wireless, il richiedente è la porta LAN logica su una scheda di rete LAN
wireless che richiede l'accesso alla rete cablata. Il richiedente esegue l'associazione e quindi
l'autenticazione collegandosi ad un autenticatore. Sia che vengano utilizzati per connessioni
wireless o che vengano usati per reti Ethernet cablate, il richiedente e l'autenticatore sono
connessi mediante un segmento LAN point-to-point logico o fisico.
Authenticator
L'authenticator è una porta LAN che attiva l'autenticazione prima di consentire l'accesso ai
servizi attraverso la porta. In caso di connessioni wireless, l'autenticatore è una porta LAN
logica disponibile su un access point (punto di accesso wireless attraverso il quale i client
wireless, che hanno abilitato la modalità infrastruttura, accedono alla rete cablata).
Authentication server
Paccchetti EAPOL
I pacchetti EAPOL conosciuti come EAP over LAN vengono utilizzati nel processo di
autenticazione e per il trasporto di pacchetti EAP tra il Supplicant e l'Authenticator su reti
LAN.
Attualmente lo standard prevede 5 tipi di pacchetti EAPOL:
Pacchetti EAP
Modalità custom
Il modulo IEEE 802.1X, presente nell'ambiente GAIA, prevede una funzionalità proprietaria,
detta appunto Custom, atta a permettere un'autenticazione LAN a tutti gli host che non
supportano la messaggistica EAP.
In tale funzionalità, una volta acquisito il mac, il modulo IEEE 802.1X invia una richiesta di
autenticazione verso il modulo NAS utilizzando come username l'indirizzo mac seguito, se
presente, dal sys name dell'apparato.
Ad esempio, se il nome dell'apparato fosse SAS_860, l'username del mac
00:B0:D0:D5:A0:AC sarebbe 00:B0:D0:D5:A0:AC@SAS_860. La password risulta, allo stato
attuale, cablata nel software ed è costituita dal mac seguito dal nome RADIUS. Ricapitolando
per il mac 00:B0:D0:D5:A0:AC avremmo:
Username: 00:B0:D0:D5:A0:AC@SAS_860
Password:00:B0:D0:D5:A0:AC@RADIUS
In tale modalità risultano non funzionali i comandi del modulo IEEE 802.1X relativi alla
messaggistica EAP (0, 0, 0).
Dove:
Il modulo IEEE 802.1X implementa le sue funzionalità tramite l'tilizzo di una macchina stati
che gli permette di efftettuare transizioni da uno stato ad un'altro in funzione degli eventi
ricevuti.
Il dialogo tra il supplicant e l'authenticator avviene tramite il protocollo EAP (Extensible
Authentication Potocol) che definisce un framework per la negoziazione dell'autenticazione.
L'authenticator funge da tramite tra il supplicant e il server radius propagando le informazioni
verso quest'ultimo tramite l'usuale messaggistica RADIUS.
Il modulo IEEE 802.1X permette di configurare staticamente mac autorizzzati (per cui la
porta sarà permanentemente nello stato di Authorized) e non autorizzati (per cui la porta sarà
permanentemente nello stato di Unauthorized) che verranno inseriti nel database del
modulo. Per i mac inseriti staticamente non verrà mai istanziata una sessione di
autenticazione.
Per i mac non inseriti staticamente la porta si trova inizialmente nello stato di Unhautorized.
Questa funzionalità permette di evitare eventuali attacchi del tipo Denial of Service. Allo
scadere di tale periodo di quarantena il mac potrà instaurare una nuova sessione di
autenticazione verso il server.
Il modulo IEEE 802.1X istanzia una serie di timer per la gestione dei timeout delle richieste di
autenticazione. I timeout risultano configurabili.
I802.1X ON
Valori di default
Il modulo IEEE 802.1X viene configurato sull'interfaccia specificata con i valori di default.
Il comando in questione permette l'inserimento di un mac statico nel database che contiene i
mac autenticati. Tale mac una volta riconosciuto non verrà sottoposto ad ulteriori
autenticazioni e troverà la porta sempre nello stato Authorized. È consentito inserire un
massimo di 50 mac statici autenticati.
Sintassi Stato
<SUBIFC> I802.1X STATIC AUTHENTICATED MAC <Ethernet Address CONFIG,
Src> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
Il comando in questione permette l'inserimento di un mac statico nel database che contiene i
mac non autenticati. Tale mac una volta riconosciuto non verrà sottoposto ad ulteriori
autenticazioni e troverà la porta sempre nello stato Unauthorized. È consentito inserire un
massimo di 50 mac statici non autenticati. Tale comando permette di inibire il traffico di un
mac qual'ora si sappia a priori che quest'ultimo non possiede le credenziali per essere
autenticato e/o si ritenga potenzialmente dannoso un suo accesso alla rete. Con tale
comando si evita quindi, che per il mac in questione, venga instaurata una sessione di
autenticazione con il server, a tutto vantaggio delle prestazioni e della mole di lavoro per
l'apparato.
Sintassi Stato
<SUBIFC> I802.1X STATIC NOT-AUTHENTICATED MAC <Ethernet CONFIG,
Address Src> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
I802.1X max-req
Sintassi Stato
<SUBIFC> I802.1X MAX-REQ < Maximum number of times that the CONFIG,
router sends an EAP request/identity frame (1-10)> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
Valori di default:
Se non specificato da comando il valore della variabile max-req viene impostato al suo valore
di default.
I802.1X re-authentication
Sintassi Stato
<SUBIFC> I802.1X RE-AUTHENTICATION CONFIG,
CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
I802.1X re-authperiod
Sintassi Stato
<SUBIFC> I802.1X TIMEOUT RE-AUTHPERIOD <Number of seconds CONFIG,
between reauthentication attempts (1-4294967295 sec)> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
Tale comando consente di configurare il tempo, in secondi, di attesa della risposta del
Supplicant alla richiesta di autenticazione inviata dall' Authenticator. Allo scadere di tale
intervallo di tempo la variabile max-req viene decrementata di 1.
Sintassi Stato
<SUBIFC> I802.1X TIMEOUT TX-PERIOD <Timeout for supplicant CONFIG,
retries (1-65535 sec)> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
Valori di default:
Se non specificato da comando il valore della variabile tx-period viene impostato al suo
valore di default.
Tale comando consente di configurare il tempo, in secondi, di attesa della risposta da parte
dell'Authnetication Server alla richiesta di autenticazione inviata dall' Authenticator. Allo
scadere di tale intervallo il processo di autenticazione viene ritenuto fallito.
Sintassi Stato
<SUBIFC> I802.1X TIMEOUT SERVER-TIMEOUT <Timeout for RADIUS CONFIG,
retries (1-65535 sec)> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
Valori di default:
Se non specificato da comando il valore della variabile server-timeout viene impostato al suo
valore di default.
Sintassi Stato
<SUBIFC> I802.1X TIMEOUT QUIET-PERIOD <Time after which CONFIG,
authentication is restarted after a failure (1-65535 sec)> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
Valori di default:
Se non specificato da comando il valore della variabile quiet-period viene impostato al suo
valore di default.
Tale comando consente di configurare l'intervallo di tempo massimo, in secondi, che deve
intercorrere tra due EAPOL-start consecutivi pena lo scarto del pacchetto. Maggiore è tale
valore, meno dannoso sarebbe un'eventuale attacco di tipo Denial of Service da parte di un
Supplicant che inonda l'apparato con burst consecutivi di EAPOL-start.
Sintassi Stato
<SUBIFC> I802.1X TIMEOUT RATELIMIT-PERIOD <Limit throttles the CONFIG,
EAP-START packets from misbehaving supplicants (1-65535 sec)> CONFIG RUN
RELEASE
Tale comando presenta come comando propedeutico l’attivazione del modulo IEEE 802.1X
sull’interfaccia selezionata.
Valori di default:
Se non specificato da comando il valore della variabile ratelimit-period viene impostato al suo
valore di default.
LAYER 2 SWITCH
Layer 2 switch è una funzionalità che permette di fare tagging su subinterface di tipo
ethernet.
Comando di configurazione
Sintassi Stato
<SubInterface Ethernet> ENCAPSULATION IEEE802.1Q [<IEEE 802.1Q CONFIG,
VLAN Id (1-4095)>] CONFIG RUN
RELEASE
NOTA: non possono coesistere, sullo stesso apparato, due subinterface con lo
stesso vlan ID e solo una subinterface può essere untagged.
Con l’aumentare dell’utilizzo delle connessioni satellitari, si sono evidenziati dei limiti di
utilizzo del Protocollo TCP Standard nel garantire un tollerabile livello di efficacia.
Lunghi ritardi, utilizzo di banda limitata, perdita di pacchetti dovuti ad errori, connettività
limitata ed asimmetria dei canali sono alcuni degli aspetti che caratterizzano l’ambiente dello
spazio (“space environment”), differenziandolo dalle comunicazioni terrestri e che tendono
molto a limitare le performance del TCP in quanto protocollo affidabile e di comunicazione
end-to-end.
Per gestire le tratte satellitari di traffico si è reso quindi necessario l’utilizzo del protocollo
PEP con la funzione di intercettare il normale traffico TCP ed accellerarne il throughput verso
il link satellitare in modo del tutto trasparente, gestendo al meglio le nuove opzioni Tcp
(Timestamps, Windows Scaling, Sack etc..).
Il protocollo PEP quindi intercetta sessioni Tcp, le termina lato terrestre con i parametri Tcp
Standard, riapre connessioni lato Satellitare utilizzando le opzioni Tcp che permettono
l’accellerazione del traffico e le termina nuovamente con l’utilizzo del Tcp Standard nel peer
remoto.
COMANDI DI CONFIGURAZIONE
Sintassi Stato
PEP ON <Ifc/SubIfc> [ALLOC_MEM] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
PEP ON < Local Ip Address> [ALLOC_MEM] CONFIG,
CONFIG RUN
RELEASE
Serve a collegare il protocollo Pep ad una lista accesso che intercetta il traffico lato terrestre.
Il comando di negazione serve a scollegare il protocollo Pep da una lista di accesso che
intercetta il traffico lato terrestre
Sintassi Stato
PEP SET TRAFFIC <integer> [<ip_addr>] CONFIG,
CONFIG RUN
RELEASE
Serve a collegare il protocollo Pep ad una lista accesso che intercetta il traffico lato
satellitare. Il comando di negazione Serve a scollegare il protocollo Pep da una lista accesso
che intercetta il traffico lato satellitare
Sintassi Stato
PEP SET TRAFFIC PEP <integer> [<ip_addr>] CONFIG,
CONFIG RUN
RELEASE
Abilita la funzionalità di interruzione dell'handshake di setup del TCP fino all'apertura della
corrispondente sessione remota
Sintassi Stato
PEP SET LOCK CONNECTION CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >PEP SET LOCK CONNECTION
Sintassi Stato
PEP DISABLE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config run) >PEP DISABLE
I sistemi Wireless a 2,4 GHz e 5 GHz sono sistemi di comunicazione wireless LAN (rete
senza fili) regolamentati, a partire dal 1997, dallo standard IEEE 802.11 che è una diretta
estensione dello standard 802.3 (wired Ethernet).
802.11b
802.11g
- 1 Mbps
- 2 Mbps
- 5,5 Mbps
- 11 Mbps
in particolare la versione da noi utilizzata consente di arrivare fino a 22 Mbps con una
soluzione proprietaria non standardizzata.
Lo standard IEEE 802.11g consente velocità di trasmissione fino a 54 Mbps, con l’aggiunta
delle seguenti:
- 6 Mbps
- 9 Mbps
- 12 Mbps
- 18 Mbps
- 24 Mbps
- 36 Mbps
- 48 Mbps
- 54 Mbps
in particolare la versione da noi utilizzata consente di arrivare fino a 72 Mbps con una
soluzione proprietaria non standardizzata.
Lo standard 802.11g lavora nella stessa banda dell’ 802.11b e risulta con esso compatibile.
Un caso a parte concerne lo standard IEEE 802.11a che lavora nella banda di frequenze dei
5 GHz.
Lo standard 802.11 divide lo spettro in canali in modo tale che più access point
possano lavorare su differenti canali ed operare senza interferenze.
Il Router Wireless Elsag opera nella banda di frequenze dei 2,4 GHz, che è quella più
largamente utilizzata e che presenta un raggio di copertura superiore.
In realtà, per quanto concerne la sovrapposizione dei canali, gli standards 802.11.b e
l’802.11g permettono che gli access points effettivamente operativi, senza interferenze,
siano in numero minore dei canali presenti nella tabella sopra riportata. Ad esempio, nel caso
dello standard ETSI si hanno a disposizione i seguenti gruppi di canali non sovrapposti: 1-
6-11, 2-7-12, 3-8-13, 4-9, 5-10.
COMANDI DI CONFIGURAZIONE
Radio setting
Gestione del “service set id (ssid)”
Il seguente comando richiede il valore del Service Set Identifier, valore utilizzato per
controllare l’accesso alla rete wireless. Il valore impostato di default è “WLAN”
Sintassi Stato
WLAN GET SSID CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET SSID
SSID = WLAN
Il seguente comando imposta il valore utilizzato per controllare l’accesso alla rete wireless. Il
valore può essere composto da un massimo di 32 caratteri.
Sintassi Stato
WLAN SET SSID <Alphanumeric String> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET SSID Home
Il seguente comando richiede informazioni in merito allo stato del Broadcast SSID.
Può ritornare a video le seguenti diciture:
- SSID ENABLED (default)
- SSID DISABLED
Sintassi Stato
WLAN GET SSID STATUS CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET SSID STATUS SSID ENABLED
Il seguente comando disabilita la possibilità di usufruire dell’AP senza aver impostato l’SSID
sulla base station.
Sintassi Stato
WLAN SSID DISABLE CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SSID DISABLE
Sintassi Stato
WLAN GET BOOSTER CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET BOOSTER
BOOSTER OFF
Il seguente comando setta il valore per la modalità Booster da utilizzare nel sistema. Può
assumere i seguenti valori:
- ON
- OFF
- AUTO
Sintassi Stato
WLAN SET BOOSTER <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET BOOSTER ON
Il seguente comando richiede il valore della lunghezza della CRC (Cyclic Redundancy
Check) per la comunicazione tra Access Point e sistema wireless.
Può ritornare a video le seguenti diciture:
- PREAMBLE AUTO (default)
- PREAMBLE LONG
- PREAMBLE SHORT
Sintassi Stato
WLAN GET PREAMBLE CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET PREAMBLE
PREAMBLE AUTO
Sintassi Stato
WLAN SET PREAMBLE <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET PREAMBLE SHORT
Sintassi Stato
WLAN GET ANT TX CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET ANT TX
ANTENNA 1
Sintassi Stato
WLAN GET ANT RX CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET ANT RX
ANTENNA 1
Sintassi Stato
WLAN SET ANT RX <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET ANT RX BOTH
Il seguente comando richiede il valore dello standard utilizzato nel modulo Wireless
(802.11b, 802.11g). Può ritornare a video le seguenti diciture:
- AP MODE B/G (default)
- AP MODE B ONLY
- AP MODE G ONLY
AP MODE B/G indica l’uso di entrambe le modalità di trasmissione wireless, cioè 802.11b e
802.11g in maniera tale che sia possibile far lavorare in contemporanea stazioni facenti uso
dell’uno e dell’altro standard; AP MODE B ONLY e AP MODE G ONLY permettono di
lavorare solamente con l’uno o l’altro standard.
Sintassi Stato
WLAN GET AP MODE CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET AP MODE
AP MODE B/G
Il seguente comando richiede il valore del tipo di protezione in uso nel sistema wireless.
Può ritornare a video le seguenti diciture:
- G PROTECTION OFF (default)
- G PROTECTION RTS-CTS
- G PROTECTION CTS ONLY
RTS “Request To Send” indica una richiesta di trasmissione, CTS “Clear To Send” indica
l’autorizzazione alla trasmissione.
Con il valore settato a “G PROTECTION RTS-CTS” i client 802.11b devono prima richiedere
l’accesso all’AP con un messaggio RTS e finchè l’Access Point non ritorna un valore CTS, il
client si astiene dall’accedere al mezzo trasmissivo.
La trasmissione avviene solo quando si ha un CTS di ritorno, questo meccanismo è utilizzato
per evitare la trasmissione simultanea di un client 802.11b e un client 802.11g ed evitare
quindi collisioni in trasmissione.
L’uso della RTS-CTS provoca un abbassamento del throughput a causa dell’aumento del
numero di protocolli in uso.
Con il valore settato a “G PROTECTION CTS ONLY” lo standard 802.11g definisce il
meccanismo con cui le stazioni 802.11g notivificano alle stazioni 802.11b quando intendono
trasmettere.
Sintassi Stato
WLAN GET G PROTECTION CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET G PROTECTION
G PROTECTION OFF
Sintassi Stato
WLAN GET B RATE CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET B RATE
B RATE = AUTO
Sintassi Stato
WLAN GET G RATE (Rate Selection For G) CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET G RATE
G RATE = AUTO
Sintassi Stato
WLAN GET RF CHANNEL CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET RF CHANNEL
RF CHANN = 11
Il seguente comando setta il valore del canale radio in uso; il range dei canali utilizzabili varia
a seconda del dominio (DOMAIN), cioè della nazione in cui è utilizzato l’apparato.
Sintassi Stato
WLAN SET RF CHANNEL <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET RF CHANNEL 11
Il seguente comando richiede il valore impostato come limitazione RTS; RTS Threshold è un
meccanismo creato per evitare problemi in merito ai “nodi nascosti” e quindi rimediare alle
collisioni che ne derivano.
RTS Threshold è il numero di frame in un pacchetto presso o tramite cui viene accesa una
RTS/CTS prima dell’invio del pacchetto stesso.
Può ritornare a video le seguenti diciture: “RTS LIMIT = x”.
Può assumere valori compresi tra 256 e 2347. Il valore di default è 2347.
Attivando l’RTS Threshold si ha un carico ridondante nella rete che può influire
negativamente in termini di prestazioni.
Sintassi Stato
WLAN GET RTS LIMIT CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET RTS LIMIT
RTS LIMIT = 2347
Sintassi Stato
WLAN SET RTS LIMIT <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET RTS LIMIT 256
Il seguente comando richiede l’intervallo tra l’invio di un particolare pacchetto, detto appunto
Beacon, ed il successivo.
Il pacchetto Beacon è un pacchetto speciale broadcast inviato periodicamente dall’Access
Point (o da una stazione scelta) per sincronizzare la rete wireless e per la trasmissione di
informazioni importanti.
Può ritornare a video le seguenti diciture: “BEACON PERIOD = x milliseconds”.
L’intervallo può assumere valori compresi tra 20 e 1000 millisecondi.
Il valore di default è 100 millisecondi.
Sintassi Stato
WLAN GET BEACON PERIOD CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET BEACON PERIOD BEACON PERIOD = 100 milliseconds
Sintassi Stato
WLAN SET BEACON PERIOD <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET BEACON PERIOD 27
Il seguente comando richiede il valore del (Delivery Traffic Indication Message) ovvero
indicazione del traffico broadcast per le stazioni in power save.
Il DTIM è un timer che avvisa i client della presenza della successiva finestra per invio dati
broadcast e multicast.
Quando l’Access Point ha ad esempio messaggi multicast, invia il DTIM successivo per
l’ascolto da parte dei client.
Può ritornare a video le seguenti diciture: “DTIM PERIOD = x milliseconds”.
Può assumere valori compresi tra 1 e 255. Il valore di default è 2.
Sintassi Stato
WLAN GET DTIM PERIOD CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET DTIM PERIOD
DTIM PERIOD = 2 milliseconds
Sintassi Stato
WLAN SET DTIM PERIOD <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET DTIM PERIOD 5
Sintassi Stato
WLAN GET RSN STATS CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET RSN STATS
TKIP ICV ERRORS = 0
LOCAL MIC FAILURE = 0
REMOTE MIC FAILURE = 0
COUNTER MEASURE INVOKED = 0
Il seguente comando richiede i seguenti valori come il comando WLAN GET RSN STATS:
- ICV Errors
- Local MIC Failures
- Remote MIC Failures
- Counter Measures Invoked
Sintassi Stato
DUMP WLAN RSN STATS CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > DUMP WLAN RSN STATS
TKIP ICV ERRORS = 0
LOCAL MIC FAILURE = 0
REMOTE MIC FAILURE = 0
COUNTER MEASURE INVOKED = 0
Sintassi Stato
WLAN GET DOMAIN CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET DOMAIN
DOMAIN ETSI
Comandi compositi
negli altri due casi indica la velocità settata per lo standard 802.11b e può quindi assumere i
seguenti valori:
- AUTO (default)
- 1
- 2
- 5,5
- 11
- 22
Il valore <value3> è funzione del valore settato da <value1>; è presente nel caso di <value1>
settato come “G” o “B/G”.
Nel caso in cui è stato settato <value1> come “G” allora <value3> indica la modalità di
protezione per lo standard 802.11g, nel caso è stato settato come “B” allora non è utilizzato,
nel caso è stato settato come “B/G” indica la velocità dello standard 802.11.b.
Il valore <value4> è funzione del valore settato da <value1>; è presente solo nel caso di
<value1> settato come “B/G” e rappresenta la modalità di protezione per lo standard
802.11g.
Sintassi Stato
WLAN SET AP MODE <value1> <value2> <value3> <value4> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET AP MODE B/G 1 2 OFF
(CONFIG RUN) > WLAN SET AP MODE B 1
(CONFIG RUN) > WLAN SET AP MODE G 1 OFF
Gestione firmware
Il seguente comando richiede l’informazione relativa alla versione del software Wireless
utilizzato.
Viene indicata una stringa contenente il produttore del software, l’orario e la data di
compilazione del software.
Sintassi Stato
WLAN GET FW VERSION CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET FW VERSION
WLAN FIRMWARE VERSION: WLAN_1.0(Aug 1 2006 15:56:02)
Sintassi Stato
WLAN LOAD SW <IP address> <filename> CONFIG;
CONFIG RUN
RELEASE
Filter list
Il seguente comando aggiunge un Mac Address alla lista di filtraggio FILTER LIST.
Sintassi Stato
WLAN ADD MAC ADDRESS <Mac Address Value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN ADD MAC ADDRESS 84:89:12:34:56:78
Il seguente comando richiede la lista FILTER LIST dei Mac Address filtrati dal modulo
Wireless, creata tramite il comando WLAN ADD MAC ADDRESS.
Sintassi Stato
WLAN GET MAC LIST CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET MAC LIST
MAC ADDRESS n. 01: 84:89:12:34:56:78
Il seguente comando richiede la lista FILTER LIST dei Mac Address filtrati dal modulo
Wireless, creata tramite il comando WLAN ADD MAC ADDRESS.
Sintassi Stato
DUMP WLAN MAC LIST CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > DUMP WLAN MAC LIST
MAC ADDRESS n. 01: 84:89:12:34:56:78
Il seguente comando richiede il valore della modalità di filtraggio dei Mac Address Wireless
settata.
Può ritornare a video le seguenti diciture:
- NO FILTER (default)
- BLOCK (impedisce la connessione ai Mac Address specificati)
- PERMIT (permette la connessione solo ai Mac Address specificati)
NO FILTER indica che non sono effettuati controlli sugli accessi wireless, BLOCK indica che
i Mac Address specificati nella FILTER LIST sono bloccati, PERMIT indica che sono
permessi gli accessi dei Mac Address specificati nella FILTER LIST.
Sintassi Stato
WLAN GET FILTER MODE CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET FILTER MODE
NO FILTER
Il seguente comando setta la modalità di filtraggio dei Mac Address Wireless specificati
tramite il comando WLAN ADD MAC ADDRESS.
Può assumere i seguenti valori:
- NO-PERMIT (default)
- PERMIT
- BLOCK
Sintassi Stato
WLAN SET FILTER MODE <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN SET FILTER MODE PERMIT
Il seguente comando aggiunge un Mac Address alla lista di filtraggio FILTER LIST.
Sintassi Stato
WLAN ADD MAC ADDRESS <Mac Address Value> CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN ADD MAC ADDRESS 84:89:12:34:56:78
Association table
Sintassi Stato
WLAN GET STATIONS NUMBER CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET STATIONS NUMBER
STATIONS NUMBER = 1
Sintassi Stato
WLAN GET STATIONS LIST CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET STATIONS LIST
STATION MAC ADDRESS ASSOC. STATE MODE SQ RSSI POWER SAVE
01 00:0f:b5:f9:9c:be YES B/G 000 000 NO
Sintassi Stato
DUMP WLAN STATIONS LIST CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > DUMP WLAN STATIONS LIST
STATION MAC ADDRESS ASSOC. STATE MODE SQ RSSI POWER SAVE 01
00:0f:b5:f9:9c:be YES B/G 000 000 NO
Sicurezza
Il seguente comando richiede il valore del tipo di cifratura in uso nel modulo Wireless.
Può ritornare a video le seguenti diciture:
- NO ENCRYPTION (default)
- WPA MODE
- WPA-WPA2 MODE
- WPA2 MODE
- WEP ENCRYPTION
Sintassi Stato
WLAN GET ENCRYPTION MODE CONFIG;
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > WLAN GET ENCRYPTION MODE
WPA MODE
Sintassi Stato
WLAN GET GROUP REKEY TIME CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET GROUP REKEY TIME
GROUP REKEY TIME = 86400 seconds
Il seguente comando richiede il valore della suite di cifratura WPA in uso nel caso di
configurazione di tipo WPA oppure WPA/WPA2.
Può ritornare a video le seguenti diciture:
- CIPHER TKIP (default)
- CIPHER CCMP
Sintassi Stato
WLAN GET WPA CIPHER CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET WPA CIPHER
CIPHER TKIP
Il seguente comando richiede il valore della suite di cifratura WPA2 in uso nel caso di
configurazione di tipo WPA2 oppure WPA/WPA2.
Può ritornare a video la seguente dicitura:
- CIPHER CCMP (default)
Sintassi Stato
WLAN GET WPA2 CIPHER CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET WPA2 CIPHER
CIPHER CCMP
Sintassi Stato
WLAN GET WPA AUTH METHOD CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET WPA AUTH METHOD
PRE-SHARED
Sintassi Stato
WLAN GET WEP AUTH METHOD CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET WEP AUTH METHOD
OPEN SYSTEM
Il seguente comando richiede l’indice della chiave in uso nel caso di configurazione di tipo
WEP.
Può ritornare a video la seguente dicitura: “KEY INDEX = <value> ”, dove <value> può
assumere valori compresi tra 1 e 4.
Sintassi Stato
WLAN GET WEP KEY INDEX CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET WEP KEY INDEX
KEY INDEX = 1
Il seguente comando richiede la dimensione della chiave in uso nel caso di configurazione di
tipo WEP.
Può ritornare a video la seguente dicitura: “KEY SIZE = <value>”, dove <value> può
assumere i seguenti valori:
- NO SET (default)
- 40 bits
- 104 bits
Sintassi Stato
WLAN GET WEP KEY SIZE CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN GET WEP KEY SIZE
KEY SIZE = 40 bits
Sintassi Stato
WLAN SET GROUP-40 KEY-1 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-40 KEY-1 abcdeabcde
Sintassi Stato
WLAN SET GROUP-40 KEY-2 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-40 KEY-2 0123456789
Sintassi Stato
WLAN SET GROUP-40 KEY-3 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-40 KEY-3 ababababab
Sintassi Stato
WLAN SET GROUP-40 KEY-4 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-40 KEY-4 A0B1C2D3E4
Sintassi Stato
WLAN SET GROUP-104 KEY-1 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-104 KEY-1 abcdeabcdeabcdeabcdeabcdea
Sintassi Stato
WLAN SET GROUP-104 KEY-2 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-104 KEY-2 abcdeabcdeabcdeabcdeabcdeb
Sintassi Stato
WLAN SET GROUP-104 KEY-3 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-104 KEY-3 abcdeabcdeabcdeabcdeabcdec
Sintassi Stato
WLAN SET GROUP-104 KEY-4 <value> CONFIG;
CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET GROUP-104 KEY-4 abcdeabcdeabcdeabcdeabcded
Il seguente comando setta il tipo di cifratura in uso nel modulo Wireless comprensivo di tutti i
parametri necessari al corretto funzionamento di una trasmissione sicura.
Sintassi Stato
WLAN SET ENCRYPTION <value1> <value2> <value3> <value4> CONFIG;
<value5> <value6> CONFIG RUN
RELEASE
Esempio
CONFIG RUN > WLAN SET ENCRYPTION WEP OPEN-SYSTEM KEY-1 40
I valori da inserire <value ..> ed il loro numero è funzione del valore settato per <value1>.
Il valore <value1> indica la modalità di cifratura e può assumere i seguenti valori:
- NONE (default)
- WEP
- WPA
- WPA2
- WPA/WPA2
Nel caso di <value1> uguale a NONE non viene settata alcun tipo di cifratura e non
vengono inseriti altri valori.
Si ricorda che NONE è il settaggio di default dell’apparato.
Nel caso di <value1> uguale a WEP si ha l’inserimento dei valori che seguono.
- <value2>, che indica la modalità di autenticazione nel caso di cifratura
WEP e può assumere i seguenti valori:
OPEN-SYSTEM
SHARED-KEY
BOTH
- <value3>, che indica il numero della chiave da utilizzare nel caso di
cifratura WEP e può assumere i seguenti valori:
KEY-1
KEY-2
KEY-3
KEY-4
- <value4>, che indica la dimensione della chiave da utilizzare nel caso di
cifratura WEP e può assumere i seguenti valori:
40
104
NO-SET
All’interno del comando composito non si ha inserimento di ulteriori parametri <value ...> nel
caso di cifratura WEP.
Il comando che setta la cifratura WEP va utilizzato solo dopo aver inserito con esito positivo
uno dei comandi compositi sopra descritti che setta la chiave, la lunghezza ed il valore della
chiave che si vuole utilizzare nel caso di cifratura WEP.
Esempio
CONFIG RUN > WLAN SET GROUP-40 KEY-1 123456789a
CONFIG RUN > WLAN SET ENCRYPTION WEP OPEN-SYSTEM KEY-1 40
Nel caso di <value1> uguale a WPA si ha l’inserimento dei valori che seguono.
- <value2>, che indica la suite di cifratura nel caso di cifratura WPA e può
assumere i seguenti valori:
TKIP
CCMP
- <value3>, che indica il metodo di autenticazione nel caso di cifratura
WPA e può assumere i seguenti valori:
PRE-SHARED
WPA-RADIUS
Esempio
CONFIG RUN > WLAN SET ENCRYPTION WPA TKIP PRE-SHARED elsagsecurity
All’interno del comando composito non si ha inserimento di ulteriori parametri <value ...> nel
caso di cifratura WPA.
Nel caso di <value1> uguale a WPA2 si ha l’inserimento dei valori che seguono.
- <value2>, che indica il metodo di autenticazione nel caso di cifratura
WPA2 e può assumere i seguenti valori:
PRE-SHARED
WPA-RADIUS
- <value3>, che indica la “Pass Phrase” da utilizzare nel caso di cifratura
WPA2 e può assumere una lunghezza minima di 8 caratteri e massima
di 64 caratteri.
- <value4>, valore opzionale che indica il group rekey time da utilizzare
nel caso di cifratura WPA2, nel caso in cui non venga settato si assume
quello di default (86400).
Esempio
CONFIG RUN > WLAN SET ENCRYPTION WPA2 PRE-SHARED abcdefgh12345678
All’interno del comando composito non si ha inserimento di ulteriori parametri <value ...> nel
caso di cifratura WPA2.
Nel caso di <value1> uguale a WPA/WPA2 si ha l’inserimento dei valori che seguono.
- <value2>, che indica la suite di cifratura nel caso di cifratura WPA/WPA2
e può assumere i seguenti valori:
TKIP
CCMP
- <value3>, che indica il metodo di autenticazione nel caso di cifratura
WPA/WPA2 e può assumere i seguenti valori:
PRE-SHARED
WPA-RADIUS
- <value4>, che indica la “Pass Phrase” da utilizzare nel caso di cifratura
WPA e può assumere una lunghezza minima di 8 caratteri e massima di
64 caratteri.
- <value5>, che indica la “Pass Phrase” da utilizzare nel caso di cifratura
WPA2 e può assumere una lunghezza minima di 8 caratteri e massima
di 64 caratteri.
- <value6>, valore opzionale che indica il group rekey time da utilizzare
nel caso di cifratura WPA/WPA2, nel caso in cui non venga settato si
assume quello di default (86400).
Esempio
CONFIG RUN > WLAN SET ENCRYPTION WPA/WPA2 TKIP PRE-SHARED a12345678
b123456789
All’interno del comando composito non si ha inserimento di ulteriori parametri <value ...> nel
caso di cifratura WPA/WPA2.
6 NETWORK SERVICES
DNS (DOMAIN NAME SYSTEM)
Il protocollo DNS (Domain Name System RFC 1034 – 1035) è utilizzato per la risoluzione dei
nomi delle macchine collegate in rete, in indirizzi IP e viceversa.
Ogni computer di internet possiede un indirizzo numerico, chiamato “indirizzo IP”, che
identifica univocamente un host sulla rete. Tali indirizzi IP non sono molto semplici da
ricordare, quindi si è deciso di utilizzare nomi simbolici al posto di indirizzi numerici.
Tutti i nomi inizialmente venivano conservati in un file (HOST.TXT) depositato su un unico
server (della rete ARPANET). Tutte le macchine della rete periodicamente accedevano a tale
file per ottenere una copia aggiornata. Con la crescita esponenziale del numero delle
macchine collegate ad internet questo primario sistema di risoluzione dei nomi ha dovuto
dare spazio ad un sistema più flessibile: il DNS.
Il DNS è un grande database distribuito. Questo significa che non esiste un unico computer
che conosce l’indirizzo IP di tutte le macchine collegate in internet, ma le informazioni sono
distribuite su migliaia di macchine: i server DNS. Ognuno di questi server è responsabile di
una porzione del nome detta “DOMINIO”.
È compito degli applicativi convertire il nome host in un indirizzo IP prima di invocare i
protocolli TCP o UDP (nel nostro caso la porta UDP server numero 53, ma è possibile
utilizzare ciascuno dei due).
Comandi di configurazione
La configurazione dei parametri del protocollo DNS non è relativa alle interfacce.
I comandi di configurazione del DNS sono i seguenti:
Sintassi Stato
DNS ON <ip_address> CONFIG
RELEASE
Sintassi Stato
DNS <ip_address> SECONDARY CONFIG
RELEASE
DNS RELAY
È possibile, con il comando che segue, assegnare ad un host come DNS fittizio (primario e/o
secondario), indirizzi assegnati alle interfacce del router. Un router, sulla LAN, che consente
l’accesso al mondo esterno, può essere configurato come DNS relay: ciascuno dei relativi
comandi di configurazione definisce l’indirizzo IP di un’ interfaccia ethernet del router
(configurata), al quale un host può destinare le richieste DNS.
Per gli host sulla LAN, il router, configurato DNS relay, è a tutti gli effetti un DNS server.
Sintassi Stato
DNS RELAY <primary or secondary> <IP Address> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >dns relay primary 10.0.0.5
(Config) >dns relay secondary 10.0.1.10
Vincoli e Limitazioni
Una limitazione oggi presente nel modulo DNS, precedentemente descritto, è quella di non
poter risolvere le URL a partire da indirizzi IP.
Le applicazioni possono richiedere url e ricevere in risposta dal Resolver l’indirizzo IP
associato, ma non possono richiedere un indirizzo IP per ricevere la url corrispondente.
DHCP
Il Dynamic Host Configuration Protocol (DHCP) permette, alle workstation prive di unità
disco, di estrarre i loro parametri di configurazione da un server (DHCP), come, ad esempio,
l’indirizzo IP, la maschera, l’indirizzo IP di un gateway, il DNS, allo scopo di ridurre il lavoro di
amministrazione della rete. Il DHCP permette l’allocazione dinamica di indirizzi IP temporanei
o permanenti verso host client. Un indirizzo viene assegnato per un certo periodo di tempo
ad uno ed un solo client. Il server rinnova e\o prolunga il tempo di affitto (lease) degli indirizzi
ai client ai quali erano già stati affittati, previa richiesta del client. Il client puó rilasciare
l’indirizzo affittato in qualsiasi momento.
Per utilizzare questo protocollo occorre configurare il DHCP Server, che si fa carico di
distribuire gli indirizzi e gli altri parametri di configurazione ai client che ne fanno richiesta. Il
range degli indirizzi distribuibili è chiamato Scope, ed ogni configurazione è valida solo per
un determinato periodo, chiamato tempo di lease, scaduto il quale, il client deve richiedere
nuovamente la configurazione.
Se il server DHCP e i client DHCP si trovano su reti diverse la loro comunicabilità é garantita
dal DHCP Relay Agent eliminando la necessità di un server DHCP per ogni segmento di
rete. I Relay Agent comunicano al server DHCP anche la sottorete da cui proviene la
richiesta di nuovo indirizzo.
Il DHCP è un’estensione del protocollo BOOTP con il quale mantiene parziali compatibilità;
tramite il BOOTP ‘relay agent’ (router) un server DHCP può fornire i parametri di
configurazione anche ai client che non appartengono alla “sua” rete.
IP IP
IP
Il DHCP usa UDP come protocollo di trasporto: il client manda messaggi al server sulla porta
67, il server manda messaggi al client sulla porta 68.
Il Dynamic Host Configuration Protocol instaura un rapporto di collaborazione anche con il
protocollo ICMP il quale viene utilizzato per verificare se un indirizzo IP appartenente al pool
del server è già stato affittato o meno.
Il server DHCP è abilitato su più interfacce, per ciascuna delle quali sono configurati dei pool
di indirizzi IP validi. Tra questi ci sono pool assegnabili e ci possono essere pool non
assegnabili: quest’ultimi contengono indirizzi IP riservati ad uso dell’amministratore di rete.
Il funzionamento di talel protocollo si basa sullo scambio di messaggi tra client e server:
Ogni volta che un client si connette e non dispone di un indirizzo IP fisso, lo richiede ad un
server DHCP tramite il messaggio DHCPDISCOVER. Non essendo a conoscenza
dell’indirizzo del server DHCP, utilizza 255.255.255.255 come indirizzo IP di destinazione e
non avendo un indirizzo IP usa 0.0.0.0 come indirizzo IP sorgente.
Quando un server DHCP riceve una richiesta d’affitto per un indirizzo IP da un client, elabora
un messaggio di risposta DHCPOFFER nel quale propone al client un indirizzo IP libero, tra
quelli dei suoi pool. Il server si accerta che l’indirizzo sia libero attraverso un echo request
alla quale non dovrà seguire un echo reply.
Quando il PC client riceve un messaggio di DHCPOFFER e decide di accettare l’indirizzo IP
e gli altri parametri di configurazione in esso proposti, deve informare della sua scelta tutti i
server DHCP che gli hanno inviato DHCPOFFER. A questo proposito, invia un messaggio
DHCPREQUEST in broadcast che contiene l’indirizzo IP (identificativo) del server DHCP dal
quale accetta l’offerta.
Il messaggio DHCPREQUEST viene utilizzato (in broadcast o in unicast) dal client anche per
richiedere il prolungamento o il rinnovo dell’indirizzo IP (e dei parametri di configurazione).
Il server DHCP assegna l’indirizzo IP (ed i parametri richiesti) con un messaggio DHCPACK,
se non è già stato assegnato ad un altro client o se non ci sono altri problemi. Il server invia
un messaggio DHCPNAK se l’indirizzo IP richiesto non è più disponibile oppure se il client ha
richiesto un indirizzo errato o appartenente ad un’altra rete.
Il client riceve il messaggio di conferma e compie la decisione finale, se accettare o rifiutare
con un messaggio DHCDECLINE. Il server che riceve un declino cancella il client dal
database.
Il client che termina di usare un indirizzo IP lo comunica al server con un messaggio
DHCPRELEASE.
Sintassi Stato
DHCP SERVER ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >Dhcp server on
Sintassi Stato
DHCP SERVER ICMP ECHO ENABLE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >dhcp server icmp echo enable
Per impostare il numero di pacchetti o il tempo per le richieste di ping, si usa il comando
seguente:
Sintassi Stato
DHCP SERVER PING {PKT | TIMEOUT} <Integer> CONFIG,
CONFIG RUN
RELEASE
Il comando che segue permette di ignorare i messaggi che vengono inviati dal Bootp al
server DHCP.
Sintassi Stato
DHCP SERVER IGNORE BOOTP MSG CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >Dhcp server ignore bootp msg
Sintassi Stato
DHCP SERVER GLOBAL OPTION {DEFROUT|NISSRV|TFTPSRV} <IP CONFIG,
Address> CONFIG RUN
RELEASE
Sintassi Stato
DHCP SERVER GLOBAL OPTION { DNSNAME|NISDNSNAME|TFTPSRV CONFIG,
} <String> CONFIG RUN
RELEASE
Di seguito sono riportati i comandi che creano i pool assegnabili dal server ai client.
Per ogni interfaccia si possono configurare al massimo 7 pool traquelli di tipo network e quelli
di tipo host
Sintassi Stato
DHCP SERVER POOL <pool number> <Interface>[/<Integer>] NETWORK CONFIG,
<IP Address> <Ip Mask> <first ip addr> <last ip addr> CONFIG RUN
RELEASE
Per ogni interfaccia si possono configurare al massimo 7 pool traquelli di tipo network e
quelli di tipo host
Sintassi Stato
DHCP SERVER POOL <pool number> <Interface>[/<Integer>]HOST CONFIG,
<Ethernet Address> <Integer> <IP Address> CONFIG RUN
RELEASE
Sintassi Stato
DHCP SERVER EXCLUDE POOL <pool number> <first ip addr> <last ip CONFIG,
addr> CONFIG RUN
RELEASE
Sintassi Stato
DHCP SERVER OPTION POOL <pool number> {TIMESRV | NAMESRV | CONFIG,
DNSSRV | LOGSRV | DEFROUT | SUBMASK| TFTPSRV | NETBIOSSRV CONFIG RUN
} <IP Address>
RELEASE
Sintassi Stato
DHCP SERVER OPTION POOL <pool number> {TMROFFSET | DEFTTL | CONFIG,
ARPCACHETMT | ETHERENCAP} <Integer> CONFIG RUN
RELEASE
Il comando abilita per il Pool specificato (1), le opzioni relative (44) il cui valore e’ un
indirizzo Ip (10.0.0.10).
Sintassi Stato
DHCP SERVER OPTION POOL < pool number> <num_option> IP- CONFIG,
ADDRESS <IP Address> CONFIG RUN
RELEASE
Esempio
DHCP SERVER OPTION POOL 1 44 IP-ADDRESS 10.0.0.10
Il comando abilita per il Pool specificato, le opzioni relative il cui valore e’ una stringa.
Sintassi Stato
DHCP SERVER OPTION POOL < pool number> <num_option> STRING CONFIG,
<String> CONFIG RUN
RELEASE
Esempio
DHCP SERVER OPTION POOL 1 67 STRING prova.txt
DHCP SERVER OPTION POOL 2 38 STRING 180
Sintassi Stato
DHCP SERVER POOL <pool number> LEASE TIME <Integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
DHCP SERVER ADDRESS TIMEOUT <integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
DHCP SERVER CLEAR STATISTIC CONFIG RUN
RELEASE
Esempio
(Config run) > Dhcp server clear statistic
Per ripulire l’indirizzo affittato dal database del server DHCP si utilizza il seguente comando:
Sintassi Stato
DHCP SERVER CLEAR BINDING <Ip Address> CONFIG RUN
RELEASE
Sintassi Stato
DHCP SERVER CLEAR EXCLUDEPOOL <pool number> <IP Address> CONFIG RUN
RELEASE
Sintassi Stato
DHCP RELAY ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >Dhcp relay on
Il seguente comando configura l’indirizzo IP del server tramite il quale il DHCP Relay Agent
inoltra le richieste dei client. È possibile configurare fino a cinque indirizzi IP di server DHCP.
Sintassi Stato
DHCP RELAY SERVER <Ip Address> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >Dhcp relay server 58.0.0.5
Per abilitare le opzioni del DHCP Relay Agent si usa il seguente comando:
Sintassi Stato
DHCP RELAY OPTION CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >Dhcp relay option
Sintassi Stato
<Interface>[/<Integer>] IP ON DYNAMIC CONFIG
RELEASE
Sintassi Stato
DHCP CLIENT <Interface>[/<Integer>] ON [DYNAMIC] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
DHCP CLIENT <Interface>[/<Integer>] RENEW CONFIG RUN
RELEASE
Per alzare un flag di broadcast nel pacchetto di Request si fa uso del seguente comando:
Sintassi Stato
DHCP CLIENT <Interface>[/<Integer>] BROADCAST CONFIG,
CONFIG RUN
RELEASE
Comando di configurazione delle opzioni del dhcp client. Al momento questo comando
accetta qualsiasi valore per integer ma gestisce solo l’opzione 61 client_identifier. La
configurazione dell’opzione 61 comporta l’inserimento, nel pacchetto di richiesta dell’indirizzo
IP, dell’opzione stessa del valore del client_identifier.
Sintassi Stato
DHCP CLIENT <interface> OPTION <integer> [string] CONFIG,
CONFIG RUN
RELEASE
Gaia 4 4.3.3
<Comando> [OPZIONE]: DESCRIZIONE
<Interface> Interfaccia su cui è configurto il DHCP CLIENT
<integer> Numero dell’opzione da configurare
[string] Valore dell’opzione configurata
Esempio
(CONFIG RUN) > DHCP CLIENT ethernet1/1 OPTION 55 ipc.com
Questo comando configura la metrica della default route nella tabella di routing, entry
acquisita in modo dinamico tramite il dhcp, legata all'opzione 3, valore di default 254.
Sintassi Stato
DHCP CLIENT <interface> DEFROUTE METRIC <integer> CONFIG,
CONFIG RUN
RELEASE
Gaia 4 4.3.3
<Comando> [OPZIONE]: DESCRIZIONE
<Interface> Interfaccia su cui è configurto il DHCP CLIENT
<integer> Valore della metrica
Esempio
(CONFIG RUN) > DHCP CLIENT ethernet1/1 DEFROUTE METRIC 10
Sintassi Stato
DHCP CLIENT <SubIfc> OPTION <numOption> [<valueOption>] CONFIG,
CONFIG RUN
RELEASE
Gaia 4 4.3.3
<Comando> [OPZIONE]: DESCRIZIONE
<subifc>: interface o subinterface
<numOption>: numero dell’opzione
[<valueOption>]: valore numerico dell’opzione da configurare che è opzionale
Esempio
(CONFIG RUN) > DHCP CLIENT ETHERNET1/1 OPTION 61
BOOTREQUEST
BOOTREPLY
client
server
Quando il client e il server sono situati in una differente subnet esiste una terza entità, il
BOOTP relay agent (o BOOTP Gateway), che si deve occupare di inoltrare i pacchetti alla
giusta destinazione.
Di solito la funzionalità relay agent viene collocata in un router che interconnette il client e il
server anche se in alternativa può essere svolta da un host che è direttamente connesso alla
subnet del client.
Server
Relay Agent BOOTREQUE
BOOTREQUE
al Client al Relay
WAN
Client
Router AMTEC Server
BOOTP Relay
Sintassi Stato
<Interface>[/<Integer>] BOOTPR ON <IP address> CONFIG
RELEASE
BOOTPR MODE
Sintassi Stato
<Interface>[/<Integer>] BOOTPR MODE <string> CONFIG
RELEASE
BOOTPR HOPS
Questo comando definisce il numero massimo di hop tra un client e un server BOOTP.
Sintassi Stato
<Interface>[/<Integer>] BOOTPR HOPS <integer> CONFIG
RELEASE
Se il valore del campo ‘hops’ nel pacchetto BOOTREQUEST è maggiore del numero
specificato da questo parametro il router scarta il pacchetto.
BOOTPR TIMESECS
Questo comando specifica il numero minimo di secondi che un router aspetta prima di
rinviare un pacchetto BOOTREQUEST alla nuova destinazione.
Sintassi Stato
<Interface>[/<Integer>] BOOTPR TIMESECS <integer> CONFIG
RELEASE
BOOTPR FLAGBROAD
Questo comando abilita/disabilita il controllo sul flag BROADCAST del campo 'flags' del
pacchetto di BOOTREPLY.
Sintassi Stato
<Interface>[/<Integer>] BOOTPR FLAGBROAD ON/OFF CONFIG
RELEASE
PROXY ARP
Il PROXY ARP rappresenta una funzionalità aggiuntiva del protocollo ARP e consente
all’apparato in esame di rispondere a tutte le richieste di ARP per gli indirizzi contenuti nella
rete sulla quale la funzione è abilitata.
Permette di poter introdurre il nostro apparato in una rete già esistente senza modificare gli
apparati presenti.
La macchina crede che l’host di destinazione sia il router medesimo, invece il vero
destinatario si trova dall’altra parte di quest’ultimo. Praticamente nasconde una rete all’altra
mappando numerosi indirizzi fisici su un solo indirizzo IP con il router che funge da
intermediario, ritrasmettendo al vero destinatario i pacchetti che gli arrivano.
Si analizza, con un esempio, l’applicazione PROXY ARP.
Si consideri una rete generica in cui la funzione PROXY ARP non sia stata ancora definita:
APPARATO
Host 1
10.0.0.0 Host 2
255.0.0.0
Fig. 6.3
Si inserisca tra l’apparato generico e la rete dell’host 2 un apparato in cui è stata configurata
l’applicazione PROXY ARP.
10.0.0.1
10.0.0.1
Router
APPARATO
Host 1 Host 2
Proxy arp 10.0.0.0
10.0.0.0 255.0.0.0
255.0.0.0
Fig. 6.4
Il PROXY ARP attivato serve per nascondere due reti tra loro in quanto le due reti usano lo
stesso indirizzo di rete.
Il PROXY ARP è una funzione che consente ai router di rispondere alle richieste ARP
relative a macchine che si trovano su un’altra sotto-rete.
Il router viene configurato in modo da rispondere alle richieste ARP relative ad altre reti
fornendo il proprio indirizzo ethernet (proxy ARP) e fa da tramite nella conversazione IP fra il
mittente e il destinatario, inviando di volta in volta all'uno i pacchetti IP che li giungono
dall'altro.
Nella configurazione in modalità PROXY ARP, si imposta il valore del default gateway di ogni
singolo host al valore dell’IP dell’host stesso. Questo comporta che l’host mittente generi in
ogni caso (anche se l’IP destinatario non si trova sulla stessa rete del mittente) una ARP
request che viene intercettata dal router (se questo si trova sulla stessa LAN del mittente)
che provvede, nel caso la rete di destinazione sia raggiungibile, a generare un’adeguata
risposta ARP e ad inoltrare la comunicazione.
Comandi di configurazione
I comandi sotto indicati servono per definire sia la funzionalità PROXY ARP, che per creare
una interazione tra VRRP e PROXY ARP.
(Per maggiori informazioni sul protocollo VRRP vedi capitolo dedicato al VRRP)
Sintassi Stato
<Interface> ARP SERVER <ip Address> <Ip Mask> <VRID> <integer> CONFIG
RELEASE
Sintassi Stato
<Interface> ARP SERVER RANGE <range’s first Ip Address> < range’s last CONFIG
Ip Address > <VRID> <Integer> RELEASE
Con la definizione dei due parametri opzionali si crea una interazione tra VRRP e PROXY
ARP.
La particolarità topologica richiesta dal VRRP di avere due o più router collegati in parallelo,
va conciliata con il protocollo PROXY ARP e con il routing dei messaggi multicast.
Nel caso del PROXY ARP, lo stato di master del virtual router su una interfaccia può essere
associato con lo stato di partecipazione attiva al PROXY ARP, mentre lo stato di backup del
VRRP con lo stato di standby del PROXY ARP. In questo modo, si evita che più router
partecipino contemporaneamente al PROXY ARP con conseguenti anomalie di
indirizzamenti sulla rete.
Nel caso del routing di messaggi multicast, il fatto di avere due o più router in parallelo è
fonte di situazioni anomale: il routing multicast da una interfaccia è consentito solo se il
router su quell’interfaccia ha un virtual router in stato di master.
Proxy arp
10.0.0.0
Router
Master
Router
Host 1 Backup Host 2
Proxy arp
10.0.0.0
Router virtuale
Fig. 6.5
Sintassi Stato
<Interface> ARP SERVER TIME <integer> CONFIG
RELEASE
Sintassi Stato
<Interface> ARP SERVER DISABLE <Ip Address> <Ip Mask> CONFIG
RELEASE
In figura 6.6 viene riportato un esempio di Proxy Arp con esclusione di un sottoinsieme di
indirizzi di una sottorete.
1.1.1.2
dfgtw 1.1.1.1
1.1.1.1 255.0.0.0
Router
Master
200.0.0.1
apparato
200.0.0.2
200.0.0.4
200.0.0.4
Router Host 2
Host 1 Backup
200.0.0.1
200.0.0.3
Fig. 6.6
CONFIGURAZIONE APPARATO:
ethernet1 ip on 1.1.1.1 255.0.0.0
ethernet1 ip on 200.0.0.1 255.255.255.0 add
ethernet1 ip on 200.0.0.4 255.255.255.0 add
ethernet2 ip on 100.0.0.2 255.0.0.0
XOT
XOT (X.25 over TCP) consente di trasportare X.25 su reti IP. Il sistema XOT utilizza il
protocollo TCP per il trasporto e la consegna affidabile delle strema.
XOT introduce un header di 4 byte tra la testa TCP e quella inserita dal protocollo X.25; i
primi 2 byte della testa XOT riportano la versione che deve essere 0 (altri valori sono riservati
per usi futuri), mentre i rimanenti 2 byte riportano la lunghezza del pacchetto X.25.
Il sistema XOT prevede una connessione TCP separata per ciascun circuito virtuale X.25
(più circuiti virtuali tra due macchine non possono sussistere sulla medesima connessione
TCP anche se ciò é plausibile da un punto di vista teorico). Ciascuna connessione deve
avvenire sulla porta TCP 1998 (numero di porta registrato IANA: Internet Assigned Numbers
Authority) e deve essere creata prima che il circuito virtuale venga stabilito.
Il campo Logical Channel Number (LCN), presente nell'header X.25, non ha un preciso
significato ed assume un valore arbitrario: XOT non prevede variazioni di comportamento
sulla base della distinzione DTE/DCE ai due estremi della connessione TCP
Comandi di configurazione
XOT ON
Attiva il modulo XOT; deve essere sempre presente in configurazioni che prevedono XOT.
Sintassi Stato
XOT ON <Interface> CONFIG
RELEASE
XOT FACILITY
Sintassi Stato
XOT FACILITY <string> CONFIG
RELEASE
Il comando che segue indica che non verrà selezionato alcun criterio di input di quelli
configurati. Eventuali comandi di crin configurati, vengono disabilitati da questo comando
Sintassi Stato
XOT CRIN NONE CONFIG
RELEASE
Esempio
(Config) >xot crin none
Il comando che segue indica che verrà selezionato un criterio di input in base alla lunghezza
del Nua.
Sintassi Stato
XOT CRIN NUALEN <integer> CONFIG
RELEASE
Il comando che segue indica che verrà selezionato un criterio di input in base al
sottoindirizzo.
Sintassi Stato
XOT CRIN SUBLEN <integer> CONFIG
RELEASE
<Comando> [OPZIONE]:
<integer>: lunghezza del sottoindirizzo (max 15 caratteri)
Il numero configurato sono le cifre che verranno controllate dal
core e che eccedono il numero configurato nel comando ‘XOT
CRIN NUALEN <integer>’
Il comando che segue indica che verrà selezionato un criterio di input in base alla lunghezza
del Nua e alla stringa del campo dati utente del pacchetto di chiamata entrante.
Sintassi Stato
XOT CRIN NUALENCUD <integer> CONFIG
RELEASE
Il comando che segue indica che verrà selezionato un criterio di input in base alla lunghezza
del sottoindirizzo e alla stringa del campo dati utente del pacchetto di chiamata entrante.
Sintassi Stato
XOT CRIN SUBLENCUD <integer> CONFIG
RELEASE
Il comando che segue indica che verrà selezionato un criterio di input relativo alla stringa del
campo dati utente del pacchetto di chiamata entrante (Call User Data).
Sintassi Stato
XOT CRIN CUD CONFIG
RELEASE
Esempio
(Config) >xot crin cud
XOT KEEPALIVE
Sintassi Stato
XOT KEEPALIVE [<Timer type value (sec)>] CONFIG
RELEASE
Esempio
(Config) >xot KEEPALIVE 100
Definisce la connessione interna tra l’interfaccia specificata ed il modulo XOT. Una chiamata
entrante (INC) ricevuta su una interfaccia e diretta verso il NUA e/o il cui CUD corrisponda a
quello configurato, viene instradata su XOT verso l’indirizzo IP destinatario.
Sintassi Stato
ADD CONNECTION XOT <Interface> [<SubAddress>] [<Cud>] CONFIG
INTXOT <IP Address> RELEASE
Sintassi Stato
ADD CONNECTION XOT NUA <stringa> INTXOT <ip_address> CONFIG
RELEASE
Sintassi Stato
ADD CONNECTION XOT INTXOT <ifc> <ip_address> NUA CONFIG
<stringa> RELEASE
Il comando aggiunge una connessione Xot. E' stato aggiunto il token nua e il parametro
intero è diventato stringa. In stato di config se il nua >9 si obbliga l'utente ad usare i nouvi
comandi.
Sintassi Stato
ADD CONNECTION XOT <stringa> NUA <STR_ALPHA> CONFIG
INTXOT <ip_address> RELEASE
Sintassi Stato
ADD CONNECTION XOT INTXOT <Interface> [CLUSTER] CONFIG
[<Cluster Number>] [SUBADDRESS] [<Subaddress>] [CUD] RELEASE
[<Cud>] Gaia4_4.3.2 P7
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia verso la quale verrà, internamente, accodata la
chiamata entrante (INC) ricevuta dal modulo xot
[<SubAddress>]: stringa del Nua o del subaddress da controllare per
l’instradamento
[<Cud>]: stringa di CUD da controllare per l’instradamento
Il comando aggiunge una connessione Xot. E' stato aggiunto il token nua e il parametro
intero è diventato stringa. In stato di config se il nua >9 si obbliga l'utente ad usare i nouvi
comandi.
Sintassi Stato
ADD CONNECTION XOT INTXOT <Interface> [SUBADDRESS] CONFIG
NUA <STR_ALPHA> RELEASE
Gaia4_4.3.3
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia verso la quale verrà, internamente, accodata la
chiamata entrante (INC) ricevuta dal modulo xot
<STR_ALPHA> sostituisce il parametro intero del vecchio comando (rappresenta
quindi sempre il nome del nua).
Sintassi Stato
ADD CONNETION <Interface> [<Nua>] <Interface> [<Cluster CONFIG
Number>] RELEASE
Gaia4_4.3.2 P7
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia che riceve una chiamata entrante (INC)
[<SubAddress>]: stringa del Nua da controllare per l’instradamento
<Interface>: interfaccia che riceverà internamente il pacchetto di chiamata
X.25
Questo comando serve a creare connessioni interne fra interfacce native x25 per
l’instradamento di chiamate entranti fra di esse. Esiste una connessione chiamata di ‘default’
che evita di dover configurare tanti comandi per quanti Nua e chiamate devono essere
gestite.
Per configurare questa connessione il comando è lo stesso, nel campo Nua devono essere
dichiarati ‘000000000000000’ (15 zeri).
Per tutte le chiamate entranti il core prima analizzerà le connessioni configurate con Nua e
poi, qualora il Nua letto nel pacchetto di chiamata non venga trovato in queste, instraderà la
chiamata entrante verso l’interfaccia configurata nella connessione di default: tutte le
chiamate entranti con Nua diversi da quelli configurati, passeranno in questa connessione.
PC 1 PC 2
GRE TUNNEL
10.0.0.1 10.0.0.2
9.9.9.1 11.11.11.1
9.9.9.9 11.11.11.11
GRE ENCAPSULATION ON
Comando che attiva il modulo deve essere inserito prima di ogni altro comando del GRE.
Sintassi Stato
GRE ENCAPSULATION ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >gre encapsulation on
Comando che abilita il GRE in un’interfaccia sorgente, vale a dire: tutto quello che entra da
una certa interfaccia viene incapsulato con il tunnel specificato.
L’ultimo token specifica il protocollo che si vuole incapsulare, è facoltativo e per default si
trasporta IP.
Sintassi Stato
GRE ON SOURCE <INTERFACE>[/<integer>] TUNNEL <Tunnel CONFIG,
Number> [IP] CONFIG RUN
RELEASE
Comando che abilita il GRE in un’interfaccia uscente, vale a dire: tutto quello che esce da
una certa interfaccia viene incapsulato con il tunnel specificato.
L’ultimo token specifica il protocollo che si vuole incapsulare, è facoltativo e per default si
trasporta IP.
Sintassi Stato
GRE ON DEST <INTERFACE>[/<integer>] TUNNEL <Tunnel Number > CONFIG,
[IP] CONFIG RUN
RELEASE
GRE ON IP TRAFFIC
Comando che abilita il GRE in una lista di traffico, vale a dire tutti i pacchetti che hanno un
certo indirizzo sorgente o destinatario sono incapsulati con il tunnel o il gruppo specificato.
Questo comando viene utilizzato anche per trasportare un pacchetto multicast.
L’ultimo token specifica il protocollo che si vuole incapsulare, è facoltativo e per default si
trasporta IP.
Sintassi Stato
GRE ON TRAFFIC <LABEL FOR TRAFFIC (20000-30000)> TUNNEL CONFIG,
<TUNNEL NUMBER> [IP] CONFIG RUN
RELEASE
GRE ON TRAFFIC <LABEL FOR TRAFFIC (20000-30000) > GROUP
<GROUP NUMBER> [IP]
<Comando> [OPZIONE]: DESCRIZIONE
<LABEL FOR TRAFFIC (20000-30000)>: label for traffic 20000-30000;
<TUNNEL NUMBER>: identifica il tunnel
<GROUP NUMBER>: identifica il gruppo
Esempio
(Config) >gre on traffic 25000 tunnel 1 ip
(Config) >gre on traffic 25000 group 1 ip
TUNNEL GRE
Sintassi Stato
GRE TUNNEL <Tunnel Number> SOURCE <IP ADDRESS> DEST <IP CONFIG,
ADDRESS> [CHECKSUM] [KEY] [<INTEGER>] [SQ_NUMBER] CONFIG RUN
RELEASE
GRE GROUP
Questo comando permette di indirizzare i pacchetti ad un insieme di tunnel appartenenti allo
stesso gruppo.
Sintassi Stato
GRE GROUP <GROUP NUMBER> TUNNEL <Alphanumeric String> CONFIG,
CONFIG RUN
RELEASE
GRE KEEPALIVE
Il comando permette di abilitare l’invio dei messagi di keepalive in modo tale da testare
l’effettiva raggiungibilità dell’endpoint del tunnel. È possibile configurare il tempo di invio dei
messaggi di keepalive e il tempo massimo di attesa della risposta prima di disabilitare il
tunnel.
Gli ultimi due token, che specificano il tempo di invio e di attesa risposta, sono opzionali: se
non inseriti, per default il tempo di invio è impostato a 200 decimi di secondo ed il tempo di
attesa massima per la risposta è impostato a tre volte il tempo di invio.
Sintassi Stato
Gre keepalive tunnel < Tunnel Number > <Time to send keepalive CONFIG,
message> <Time to receive keepalive response> CONFIG RUN
RELEASE
Interfaccia TUNNEL
Il comando permette di incapsulare sul tunnel GRE tutto quello passa attraverso l’interfaccia
logica tunnel configurata.
Sintassi Stato
Gre on <Interface> /<Integer> CONFIG,
CONFIG RUN
RELEASE
Il protocollo SNTP Versione 4 (Simple Network Time Protocol) è una semplificazione del più
ampio protocollo NTP (Network Time Protocol), usato per la sincronizzazione dei clock in
internet.
La parte di gestione server del protocollo si riferisce solo a macchine operanti allo strato più
alto, quello direttamente connesso con fonti radio e atomiche di sincronizzazione e sono
abilitate a supportare un grande numero di client.
Le macchine che implementano la parte client del protocollo normalmente operano con un
unico server configurato, anche se con la Versione 4 può essere estesa l'operabilità anche in
modalità anycast.
É fortemente raccomandato che il protocollo SNTP venga usato solamente alle estremità
della sottorete ed in apparati client che non dipendono da altre macchine client per la
sincronizzazione.
Descrizione funzionale
Il protocollo SNTP Client Versione 4 può operare in diverse modalità:
Un Client Multicast rimane in ascolto sull'indirizzo di multicast (che lo IANA ha definito essere
il 224.0.1.1 per il protocollo NTP) e normalmente non invia richieste.
Raramente un client multicast può spedire richieste unicast per determinare il ritardo di
propagazione della rete tra server e client prima di continuare le operazioni in modalità
multicast.
Il client multicast deve essere predisposto a poter implementare il protocollo IGMP (Internet
Group Management Protocol).
Nel caso di client multicast, esiste una reale vulnerabilità dovuta a server multicast mal
funzionanti nella rete, visto che al momento tutti i server usano lo stesso indirizzo Ipv4
multicast di gruppo assegnato dallo IANA.
Dove necessario, può essere usato un controllo di accesso basato sull'indirizzo sorgente del
server per selezionare solo server designati, conosciuti dal client.
L'uso dell'autenticazione come modo di difesa è ancora opzionale.
Un Client Anycast invia richieste ad indirizzi Ipv4 o Ipv6 broadcast designati o a indirizzi di
gruppo multicast. Uno o più server anycast in ascolto su indirizzi locali di broadcast o indirizzi
di gruppo multicast, rispondono alla richiesta inviando un messaggio unicast.
Il client anycast accetta la prima risposta ricevuta, continuando le operazioni in modalità
unicast; risposte seguenti dagli altri server vengono scartate.
Per il momento però, questa modalità non è supportata in attesa dell’implementazione del
protocollo IPV6 negli apparati SAS.
Riguardo l’architettura interna propria del protocollo, il modulo SNTP presenta differenze
sostanziali nella gestione della modalità unicast e multicast, accomunate comunque da
parametri comuni ad entambe le funzioanalità, riguardanti più propriamente dati generali
relativi alla macchina dove il protocollo SNTP viene attivato.
Questi parametri comuni, tutti configurabili, si riferiscono alla definizione dell’ indirizzo
sorgente, al controllo dell’ora legale e alla definizione del fuso orario rispetto al meridiano di
Greenwech (vedere il capitolo dei comandi di configurazione).
Per quanto riguarda la configurazione dell’indirizzo sorgente, ci possono essere due casi:
- se l’indirizzo dato è valido e presente nella macchina, viene memorizzato come indirizzo
sorgente di lavoro ed usato successivamente come controllo alla ricezione dati.
Anche per quanto riguarda la configurazione del controllo dell’ora legale, possono esserci
due casi:
Il controllo viene configurato, quindi il protocollo SNTP, seguendo una sua tabella
interna, stabilisce automaticamente se nel periodo corrente è o meno attiva l’ora
legale.Se l’ora legale è in vigore, la data verrà aggiornata di conseguenza, tenendo
conto anche di questo valore oltre che dell’eventuale presenza di fuso orario. Se l’ora
legale non è in vigore, la data verrà aggiornata solo in base all’ eventuale fuso orario.
Il controllo non viene configurato, quindi la data viene aggiornata solo in base
all’eventuale differenza di fuso orario.
Per quanto riguarda la configurazione della differenza di fuso orario, i valori possono essere
positivi o negativi (+/- 23:59), a seconda di dove si trova la macchina in esame rispetto al
meridiano di Greenwech.
Se non è stata configurata nessuna differenza di fuso orario, la data viene aggiornata
copiando direttamente il valore riportato dal Server, controllando solo l’eventuale ora
legale.
Mentre i Server unicast vengono configurati dall’utente in modo statico, i Server multicast
vengono acquisiti dinamicamente a seguito della ricezione dei loro pacchetti Sntp (3 è il
massimo numero di server contemporanei); l’unica cosa configurabile del multicast riguardo
ai Server è la lista di indirizzi (al massimo 3 range o indirizzi singoli) su cui basare il controllo
degli accessi.
Comandi di configurazione
Il comando originario per la definizione della data era il seguente:
SET DATE < string > < string > < string >
La possibilità del settaggio manule è stata mantenuta ma, con l’introduzione del protocollo
SNTP, il precedente comando ha subito una modifica, con l’ aggiunta di un parametro
opzionale:
SET DATE < string > < string > < string > [ANYWAY]
Funzionalità unicast
La funzionalità unicast del Client SNTP viene abilitata dall’utente tramite la configurazione di
Server a cui inoltrare richieste di sincronizzazione.
Tali Sever possono essere configurati specificandone l’indirizzo IP oppure il nome di
dominio.
Se ne è stato indicato il nome di dominio, prima di procedere con la sincronizzazione, viene
inviata una richiesta di risoluzione del nome di dominio nel relativo indirizzo IP al modulo
DNS e solo quando l’indirizzo IP del Server unicast configurato è disponibile, si avvia la
procedura con la richiesta di apertura porta UDP all’interfaccia Socket,se non richiesta
precedentemente e l’invio del primo pacchetto al Server specificato.
Nel caso in cui il Server primario non risponda viene controllata la configurazione: se ci sono
altri server unicast presenti si passa a provare sul secondo (sempre con il meccanismo delle
3 ritrasmissioni ogni 5 secondi in caso di mancata risposta) e così via fino a trovarne uno
raggiungibile.
In questo caso comunque il Client continua a provare a contattare il Server unicast primario
ogni 40 secondi e nel caso che questo divenga raggiungibile, viene a sostituire l’eventuale
server unicast con cui si sta comunicando al momento.
Se non ci sono altri Server configurati, si rimane a provare sul preferito per 3 volte ogni 5
secondi ad intervalli di 40 secondi.
Se il Server non risponde dopo i 3 tentativi ogni 5 secondi si prova sul seccessivo
se presente, altrimenti dopo 40 secondi si riprova a contattarlo.
Nel caso in cui un Server sia stato configurato con il nome di dominio, la risoluzione nel
relativo indirizzo viene richiesta al DNS la prima volta che si prova a contattarlo e per le
eventuali richieste successive rimane questo l’indirizzo designato fino a che il Server
risponde correttamente; se il server diventa irraggiungibile (non risponde per 3 volte
consecutivamente), la prossima volta che il Server dovrà essere contattato, si richiede
nuovamente la risoluzione al DNS.
Dal momento che un Server viene ritenuto attendibile (cioè ha inviato 3 Update consecutivi),
questo suo stato rimane memorizzato ed anche se per qualche motivo viene sostituito nella
funzione di Server di riferimento (perchè per esempio non risponde più per 3 volte e si passa
al successivo o perchè viene configurato a caldo un Server primario), al momento che verrà
interrogato di nuovo non c’è bisogno di aspettare 3 update consecutivi prima di riaggiornare
la data.
Se lo stesso Server unicast viene configurato due volte, sia come indirizzo IP che come
nome di dominio, rispetto alla configurazione non vengono riscontrati problemi, mentre nel
funzionamento possono essere riscontrati dei malfunzionamenti, quindi è preferibile
configurare il Server solo in una modalità.
In questo caso comunque, se il server viene configurato come primario in una delle due
modalità (quindi tramite indirizzo o nome di dominio), il canale attivo sarà quello che gestisce
la modalità dichiarata preferita.
Se invece lo stesso Server viene configurato nelle due modalità sensa specificarlo come
primario, il canale che ha la precedenza è quello che gestisce la configurazione del nome di
dominio.
Dal momento che, dopo la risoluzione del nome tramite DNS, il protocollo si accorge di avere
2 Server con lo stesso indirizzo, il canale che gestisce il Server configurato per indirizzo
viene messo nello stato inattivo (State Link................. Inactive); fino a che sono presenti
entrambi i Server, l’unica operazione possibile per il canale “inattivo”è la cancellazione.
Se il canale che gestisce la configurazione del Server come nome di dominio viene
cancellato a caldo, il canale che ne gestiva la configurazione come indirizzo, torna ad essere
attivo e viene gestito come qualsiasi altro Server unicast configurato.
Il canale che gestisce la configurazione del Server con il nome di dominio non diventerà mai
inattivo, per consetire le successive eventuali richieste al DNS.
Funzionalità multicast
se non è stato configurato nessun Server (o range di indirizzi) multicast su cui fare
il controllo degli accessi, il Client SNTP è tenuto a ricevere tutti gli aggiornamenti
propagati in rete, controllando solo che l’indirizzo destinatario del multicast sia
proprio il 224.0.1.1.
se invece sono stati configurati uno o più Server (o range di indirizzi) multicast
abilitati, il Client Sntp utilizza questi come controllo di accesso: alla ricezione
dell’aggiornamento multicast non viene controllato solo l’indirizzo destinatario
(224.0.1.1), ma viene anche controllato che l’indirizzo sorgente del pacchetto di
sincronizzazione multicast, rientri in quelli configurati come accettabili.
Nel caso in cui siano presenti contemporaneamente le due modalità (unicast e multicast)
senza l’unicast primario, quella multicast viene preferita, a meno che non venga ricevuto
alcun aggiornamento. In questo caso il Client SNTP rimane in ascolto multicast, attivando
però la procedura unicast.
Se nel frattempo giungono aggiornamenti multicast ed almeno 1 di questi Server risulta
attendibile (ha mandato 3 aggiornamenti validi), la procedura unicast viene fermata ed il
Client continua l’aggiornamento in modalità multicast.
Dopo aver considerato le interazioni tra le due funzionalità coesistenti, vediamo più nel
dettaglio la procedura Multicast.
Il canale multicast viene occupato al momento della ricezione del primo aggiornamento da
parte di un Server; possono essere presenti fino a 3 server multicast contemporaneamente.
Comandi di configurazione
Impostazione sorgente per sntp client. Se viene fornita solo l'interfaccia viene preso il primo
indirizzo.
Il comando di abilitazione del protocollo SNTP è il seguente:
Sintassi Stato
SNTP CLIENT ON [< SOURCE >] [< IP address >]<subifc>] CONFIG,
CONFIG RUN.
RELEASE
Il comando che segue permette di configurare un server SNTP o NTP con cui il Client si
scambierà informazioni in modalità Unicast.
Possono essere configurati fino a 5 Server Unicast contemporaneamente
Sintassi Stato
SNTP CLIENT ON SERVER IP <IP address> [PRIMARY] [KEY] CONFIG,
[<integer>] CONFIG RUN.
RELEASE
Il comando che segue permette di configurare, come il precedente, un Server SNTP o NTP
con cui il Client si scambierà informazioni in modalità Unicast.
Possono essere configurati fino a cinque Server Unicast contemporaneamente.
Sintassi Stato
SNTP CLIENT ON SERVER NAME <string> [PRIMARY] [KEY] [<integer>] CONFIG,
CONFIG RUN.
RELEASE
Esempio
(Config) >sntp client on server name ntp1.ien.it
Il comando che segue permette di configurare l’intervallo di tempo tra successive richieste
del client unicast.
Se il comando non è configurato l’intervallo assume un valore di default (64 sec).
Sintassi Stato
SNTP CLIENT TIME [<integer>] CONFIG,
CONFIG RUN.
RELEASE
Sintassi Stato
SNTP CLIENT TIMEZONE <alphanumeric string> CONFIG,
CONFIG RUN.
RELEASE
Sintassi RELEASE
SNTP CLIENT DAYLIGHT
Esempio
(Config) >SNTP CLIENT DAYLIGHT
Sintassi Stato
SNTP CLIENT MULTICAST ENABLE CONFIG,
CONFIG RUN.
RELEASE
Questo comando permette di configurare una lista di Server Multicast da cui il nostro Client
accetta i pacchetti di sincronizzazione.
Se questo camando non è presente, il Client accetta pacchetti da tutti i Server Multicast
sull'indirizzo di gruppo 224.0.1.1.
Possono essere configurati fino a 3 Server o gruppi multicast su cui fare il controllo di
accesso, quindi possono essere presenti fino a 3 di questi comandi nella configurazione.
Questo meccanismo è stato introdotto come controllo di accesso, in modo da ridurre al
minimo la possibilità di congestione della rete e dell'apparato nel caso in cui la presenza di
numerosi Server Multicast, magari anche malfunzionanti, rischi di sovraccaricare di messaggi
il nostro apparato.
Sintassi Stato
SNTP CLIENT MULTICAST <IP address> <IP address>[NOT- CONFIG,
AUTHENTICATED] CONFIG RUN.
RELEASE
Sintassi Stato
SNTP CLIENT AUTHENTICATION ENABLE CONFIG,
CONFIG RUN.
RELEASE
Gaia4_4.3.2 P7
Sintassi Stato
SNTP CLIENT AUTHENTICATION KEY <integer> AUTH_MD5 <string> CONFIG,
CONFIG RUN.
RELEASE
Gaia4_4.3.2 P7
<Comando> [OPZIONE]: DESCRIZIONE
<integer>: Specifica il valore dell’Identificativo della chiave di autenticazione.
I valori ammessi sono compresi tra 1 e 255
<string>: Stringa alfanumerica che specifica il valore della chiave. La
lunghezza massima della chiave è 16 caratteri.
Questo comando permette di rendere “Trusted”, quindi valida ed utilizzabile, una chiave
precedentemente configurata.È possibile digitare il comando solo se precedentemente è
stato attivato il servizio di autenticazione e la chiave è stata configurata.
Sintassi Stato
SNTP CLIENT TRUSTED KEY <integer> CONFIG,
CONFIG RUN.
RELEASE
Gaia4_4.3.2 P7
<Comando> [OPZIONE]: DESCRIZIONE
<integer>: Specifica il valore dell’Identificativo della chiave di autenticazione. Il
valore deve corrispondere ad una chiave configurata
Jitter;
round trip time;
one way delay.
Comandi di configurazione
Sintassi Stato
RTR ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >RTR ON
Il comando che segue attiva una ‘sonda’ di pacchetti di echo udp che vengono trasmessi
verso un destinatario.
Sintassi Stato
RTR <num rtr(1-99)> JITTER IP_DEST <IP Address> PORT_DEST <dest CONFIG,
port> [[IP_SRC] [<ip source>]] [[PORT_SRC] [<src port>]] [[TOS] [<tos CONFIG RUN
value>]] RELEASE
Sintassi Stato
RTR <num rtr(1-99)> SET [[PKT_SIZE] [<(16-1500bytes)>]] CONFIG,
[[PKT_INTERVAL] [<(4-6000ms)>]] [[NUM_PKT] [<num pkt(1-65000)>]] CONFIG RUN
[[TIMEOUT] [<1-65000ms>]] [[FREQUENCY] [<(1-65000s)>]] RELEASE
[[TEST_LIFE] [<(1-40000000s)>]]
<Comando> [OPZIONE]: DESCRIZIONE
<num rtr(1-99)>: numero dell' operazione, che deve essere uguale a
quello configurato nel comando precedentemente
descritto
[[PKT_SIZE][<(16-1500bytes)>]]: configura la dimensione dati del pacchetto, il range
compreso fra 16- 1500 byte
[[PKT_INTERVAL] [<(4- configura l’intervallo di tempo fra un pacchetto e il
6000ms)>]: successivo, il range è compreso fra 4 e 6000 ms
[NUM_PKT] [<num pkt(1- configura il nº di pacchetti che verranno trasmessi
65000)>]]: nell'operazione, il range è compreso fra 1 e 65000
pacchetti
[[TIMEOUT] [<1-65000ms>]]: configura il tempo di attesa di una risposta (echo reply)
ad una richiesta (echo request), il range è compreso
fra 1 e 65000 ms
[[FREQUENCY][<(1-65000s)>]]: configura il tempo di attesa fra la fine di una sonda e la
successiva.
[[TEST_LIFE] [<(1-40000000s)>]]: configura il tempo di vita dell'operazione, di fatto
questo timer dichiara per quanti secondi dura
l'operazione il range è compreso fra 1 e 40000000
secondi
Esempio
(CONFIG) >RTR 1 SET PKT_SIZE 16 PKT_INTERVAL 4 NUM_PKT 10 TIMEOUT 5
FREQUENCY 60 TEST_LIFE 30
Sintassi Stato
RTR RESPONDER CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >RTR RESPONDER
Sintassi Stato
RTR START <num rtr(1-99)> [MIN] [<Integer>] [SEC] [<Integer>] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
RTR STOP <num rtr(1-99)> CONFIG RUN
RELEASE
Questo comando resetta, quindi cancella dalle statistiche collezionate, tutti i valori
dell’operazione dichiarata
Sintassi Stato
RTR RESET [<num rtr(1-99)> ] CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > RTR RESET 1
Sintassi Stato
RTR <num rtr(1-99)> SET_DATA <Alphanumeric String> [VERIFY] CONFIG,
CONFIG RUN
RELEASE
MODULO SMS
Comando che abilità il modulo SMS. Quasto comando ha dei parametri opzionali che sono
l’indirizzo ip locale su cui viene ricevuto il pacchetto, l’indirizzo ip remoto di chi spedisce il
pacchetto, la porta su cui ricevere il pacchetto se si vuole diversa da quella di default (1082).
Sintassi Stato
SMS ON [LOCALIP][<indirizzo ip locale>] [REMOTEIP] [<indirizzo ip CONFIG
remoto>] [PORT] [<numero di porta>] RELEASE
Gaia4_4.3.3
<Comando> [OPZIONE]: DESCRIZIONE
[<indirizzo ip locale>]: l’indirizzo ip locale su cui viene ricevuto il pacchetto
Esempio
(CONFIG) > sms on localip 10.36.2.56 remoteip 20.52.6.32 port 88
Comandi di default
pkt_size 32 byte
pkt_interval 20 ms
num_pkt 10
timeout 5000 ms
frequency 60 secondi
NOTA: Il protocollo RTR non utilizza porte assegnate UDP perciò necessita di
avere configurata una porta per tale servizio. Si rircorda che non è possibile
configurare per RTR le porte utilizzate da altri protocolli, come ad esempio la
porta UDP 500 assegnata ad IKE.
La progressiva scomparsa dei servizi OAM nelle reti ha reso necessario l’utilizzo di altre
applicazioni per testare lo stato di un collegamento in tempo reale in modo da implementare
e modificare certi servizi.
Tali servizi verranno realizzati sui nostri router utilizzando l’RTR(round trip reporter)
Icmpecho e il protocollo BFD(bidirectional forwarding detection) sempre realizzato dal
modulo RTR.
L’ applicazione RTR permette di fare statistiche sul traffico mandando serie di pacchetti di
prova. L’RTR ICMPecho invia pacchetti ICMP “echo” type=8 (RFC 792).
Sono configurabili:
Indirizzo destinatario
Indirizzo sorgente
Tempo di intervallo dei pacchetti
Tempo di vita dell’invio di pacchetti
DOW
P2 R1
R2
VER
UP
P1
Eventi:
Stati:
DOWN – lo stato del servizio associato è down (entry unreachable) il polling dei ping ha
periodo t_fast (tempo veloce)
UP – lo stato del servizio associato è up il polling dei ping ha periodo t_slow (tempo lento)
VER – lo stato del servizio associato è up il polling dei ping ha periodo t_fast (tempo veloce)
I valori p1, p2, r1, r2, t_fast e t_slow sono tutti configurabili con valori:
p1 da 1 a 10 default = 1
p2 da 1 a 10 default = 4
r1 da 1 a 10 default = 4
r2 da 1 a 10 default = 1
Sintassi Stato
RTR <num rtr(1-99)> ICMPECHO IP_DEST <IP Address> [[IP_SRC] [<ip CONFIG,
source>]] [[TOS] [<tos value>]] [[ TTL] [<ttl value> ]] CONFIG RUN
RELEASE
Esempio
(CONFIG) >RTR 23 ICMPECHO IP_DEST 10.36.3.209 IP_SRC 30.0.0.1 TOS 23 TTL 100
Sintassi Stato
RTR <num rtr(1-99)> SET_ICMPECHO [[TIME_FAST] [<fast_time(1-30s)>]] [[ CONFIG,
TIME_SLOW] [<slow_time(1-30s)>]] [[ NUM_PKT_REC] [<num_pkt_1>] CONFIG
[<num_pkt_2>]] [[ NUM_PKT_LOST] [<num_pkt_1>] [<num_pkt_2>]] RUN
RELEASE
Esempio
(CONFIG) >RTR 23 SET_ICMPECHO time_fast 1 time_slow 4 num_pkt_rec 1 4
num_pkt_lost 4 1
Associazione di una operazione RTR ad una entry statica della tabella di routing configurata
con uno specifico gruppo.
Sintassi Stato
RTR STATIC GROUP <group label> RTR <num rtr(1-99)> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >RTR STATIC GROUP 3 RTR 23
Sintassi Stato
RTR FILTER LIST <numero o range di liste> RTR <num rtr(1-99)> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >RTR FILTER LIST 40 RTR 23
Quando l’operazione va down vengono mandate giù tutte le entry della tabella di routing che
intercettano quella list.
Sintassi Stato
IP ROUTE LIST <Integer> RTR <IP Address> <Ip Mask> [ge:<lesser CONFIG,
value of a mask range>] [le:<greater value of a mask range>] CONFIG RUN
[gateway:<gateway address>] [tag:<tag value>] [protocol:<protocol RELEASE
string>] [<Interface>[/<Integer>]]
Esempio
(CONFIG) >IP ROUTE LIST 50 RTR 50.0.0.10 255.255.255.255
Sintassi Stato
RTR <num rtr(1-99)> BFD <Interface>[/<Integer>] [[TOS] [<tos value>]] [[ CONFIG,
TTL] [<ttl value> ]] [GTW ]] [<ip_address>]] CONFIG RUN
RELEASE
Esempio
(CONFIG) >RTR 10 BFD ETHERNET1 TOS 30 TTL 1 GTW 10.0.0.1
Per settare le opzioni della macchina a stati per il controllo dello stato del link si usa la stessa
funzione dell’ icmpecho (RTR 20 SET_LINK_CTRL....).
Con interfaccia ADSL è necessario specificare il gateway (GTW <ip_addr>).
Sintassi Stato
RTR <integer> ICMPECHO IP_DEST <ip addr> IP_SRC <ip_addr> TOS CONFIG,
<integer> TTL <integer> THRESHOLD <integer> <STR_ALPHA> CONFIG RUN
PROFILE <profile name> RELEASE
Sintassi Stato
RTR RESPONDER IP_SRC <ip_address> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
RTR RESPONDER IP_SRC <interface/[integer]> CONFIG,
CONFIG RUN
RELEASE
Rtr Voip-jitter : Introdotta una funzionalità del jitter in modo da poter simulare un traffico voip
con un determinato codec configurabile.
Sintassi Stato
RTR <num op> VOIP_JITTER CODEC <g711alaw | g711ulaw | g729a> [ CONFIG,
[ADV_FACTOR] [< 0-10 >] ] CONFIG RUN
RELEASE
DEBUG E DUMP
Sintassi Stato
<SUBIFC> [SUBIFC] <string> IP WFQ ON CONFIG,
CONFIG RUN
RELEASE
Valori di default: l’algoritmo WFQ è configurato di default con una banda di 10 Mb, criterio di
accodamento IP_DEST e KBLI MIT di 50 Kbyte.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ CRITERIA CONFIG,
<ip_dest/ip_port/full_flow/tos_flow/list_flow> [NQUEUE] [<Qos queue for ifc CONFIG RUN
number -max 16->] [DEFAULT] [WEIGHT] [<Weight for the specified traffic RELEASE
flow>]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è attivato l’algoritmo
WFQ.
[SUBIFC]: specifica il nome del profilo
[<Sub ifc name - max 15 char - nome della subinterface su cui è configurato il WFQ
>]: (stringa di max 15 caratteri).
<ip_dest/ip_port/full_flow/tos_fl criterio di accodamento: ip_dest, ip_port, full_flow,
ow/list_flow>: tos_flow, list_flow. Nel caso in cui il criterio selezionato
sia il list_flow, non deve essere impostato il numero di
code.Quest’ultimo viene impostato automaticamente
uguale al numero di flussi di traffico configurati per il
Qos (vedi comando ip traffic <integer>set weight
<integer>);
[<Qos queue for ifc number - numero delle code. Configurabile con i soli criteri
max 16->]: automatici.
[<Weight for the specified peso della coda di default, solo per il criterio list_flow.
traffic flow>]:
Esempio
(Config) >ethernet1 subifc Nome_PROFILO ip wfq criteria LIST_flow DEFAULT Weight16
Valori di default: Se non viene inserito il peso per la lista di default nel critero List Flow, tale
parametro assume il valore pari a 5.
Sintassi Stato
<SUBIFC> [SUBIFC] <string1> IP WFQ BANDWIDTH <Available CONFIG, CONFIG
bandwidth in Kbit> [KBLIMIT] [<Limit in Kbytes for QoS queueing>] RUN.
[STATIC] RELEASE
Valori di default: se non viene inserito il parametro opzionale Kblimit, tale valore assume il
valore di default di 50 Kbyte.
Valori di default: l’algoritmo WFQ, se ancora configurato, a seguito di tale comando assume
di default una banda di 10 Mbit/sec e un KBLIMIT DI 10 Kbyte.
Il comando che segue permette di assegnare un certo peso ai differenti valori del campo
TOS (Type of Service) della testa IP, quando il criterio di accodamento è tos_flow.
Sintassi Stato
<SUBIFC> [SUBIFC] <string1> IP WFQ TOS < TOS value (1-127)> CONFIG,
WEIGHT <Weight for the specified traffic flow > [KBQUEUE ] [<Queue's CONFIG RUN.
size in Kbytes. This value must be included between 1 and the Kblimit>] RELEASE
[LIMIT]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è configurato il QoS
[SUBIFC]: specifica il nome del profilo
<string1>: nome della subinterface su cui è configurato il QoS (stringa di max
15 caratteri).
TOS value (1-127)>: specifica il valore TOS da associare alla coda.
<WEIGHT>: specifica il peso relativo alla coda con il TOS sopra selezionato.
[KBQUEUE]: profondità della coda associata alla lista in Kbyte
[LIMIT]: evita che il peso della coda configurato venga modificato
dall’algoritmo di ridistribuzione dei pesi del WFQ.
Esempio
(Config) >ethernet1 subifc NOME_PROFILO ip wfq tos 1 weight 40
(Config) >ethernet1 subifc pippo ip wfq tos 2 weight 20
Il comando che segue permette di assegnare i kb/secondo ai differenti valori del campo TOS
(Type of Service) della testa IP, quando il criterio di accodamento è tos_flow.
Sintassi Stato
<SUBIFC> [SUBIFC] <string1> IP WFQ TOS < TOS value (1-127)> CONFIG,
RATE <Rate [kb/sec] for the specified traffic flow > [KBQUEUE ] CONFIG RUN.
[<Queue's size in Kbytes. This value must be included between 1 and the RELEASE
Kblimit>] [LIMIT]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è configurato il QoS
[SUBIFC]: specifica il nome del profilo
<string1>: nome della subinterface su cui è configurato il QoS (stringa di max
15 caratteri).
TOS value (1-127)>: specifica il valore TOS da associare alla coda.
<RATE>: specifica i kb/secondo relativo alla coda con il TOS sopra
selezionato.
[KBQUEUE]: profondità della coda associata alla lista in Kbyte
[LIMIT]: evita che il peso della coda configurato venga modificato
dall’algoritmo di ridistribuzione dei pesi del WFQ.
Esempio
(Config) >ethernet1 subifc NOME_PROFILO ip wfq tos 1 rate 100
(Config) >ethernet1 subifc pippo ip wfq tos 2 rate 200
Lo stato delle code LLQ viene monitorato nel modulo QoS al fine di garantire una bassa
latenza dei pacchetti real-time. Con pacchetti di elevate dimensioni in transito nelle code
WFQ tale controllo potrebbe non risultare sufficiente. Nella coda del driver i pacchetti grandi
provenienti dalle code WFQ andrebbero ad interfacciarsi con quelli provenienti dalla coda
real-time andando ad incidere negativamente sulla latenza di quest’ultimi. Il comando WFQ
DELAY consente di inibire lo scheduling delle code WFQ qual’ora si verifichi che la
dimensione in byte della coda del driver sia tale da non poter essere smaltita (secondo la
velocità del driver) nell’intervallo in msec impostato.
Naturalmente durante il blocco dello schedulatore WFQ, lo schedulatore delle code LLQ
continua invece a lavorare normalmente secondo la percentuale di banda impostata.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Alphanumeric String>] IP WFQ DELAY <Delay for CONFIG,
WFQ priority queue [msec] (10-200)> CONFIG RUN.
RELEASE
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ TOS < CONFIG,
TOS value (0-127)> MPP CLASS <Multilink Class (1)> CONFIG RUN
RELEASE
Valori di default
Se tale comando non viene configurato il valore della classe risulta di default uguale a zero.
Relazioni con altri comandi
Risulta impossibile configurare tale comando qual'ora sull'interfaccia specificata non sia
attivo il protocollo MPP, l'algoritmo LFI e il protocollo WFQ con il criterio TOS_FLOW.
Sintassi Stato
ip traffic <Label for traffic (20000-30000) > MPP CLASS <Multilink Class CONFIG,
(1)> CONFIG RUN
RELEASE
Valori di default
Se tale comando non viene configurato il valore della classe risulta di default uguale a zero.
Il comando che segue permette di assegnare un certo peso ai differenti valori del campo
TOS (Type of Service) della testa IP, quando il criterio di accodamento è tos_flow.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ RANGE- CONFIG,
TOS range tos (t1|t1-t2) [range tos (t1|t1-t2)] [range tos (t1|t1-t2)] [range CONFIG RUN.
tos (t1|t1-t2)] WEIGHT <Weight for the specified traffic flow> [KBQUEUE] RELEASE
[<Queue's size in Kbytes. This value must be included between 1 and the
Kblimit>] [LIMIT]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è configurato il QoS
[SUBIFC]: specifica il nome del profilo
<string1>: nome della subinterface su cui è configurato il QoS (stringa di max
15 caratteri).
RANGE-TOS: specifica il valore TOS singolo o il range TOS da associare alla
coda(max 4 range TOS con valore (0-255)).
<WEIGHT>: specifica il peso relativo alla coda con il TOS o i TOS sopra
selezionati.
[KBQUEUE]: profondità della coda associata alla lista in Kbyte
[LIMIT]: evita che il peso della coda configurato venga modificato
dall’algoritmo di ridistribuzione dei pesi del WFQ.
Esempio con due tos specifici
(Config) > ETHERNET1 IP WFQ RANGE-TOS 10 20 WEIGHT 10
Esempio con due intervalli di range tos
(Config) > ETHERNET1 IP WFQ RANGE-TOS 0-31 32-64 WEIGHT 20
Esempio con un tos specifico e due intervalli di range tos
(Config) > ETHERNET1 IP WFQ RANGE-TOS 0 32-64 128-255 WEIGHT 20
Il comando che segue permette di assegnare i kb/secondo ai differenti valori del campo TOS
(Type of Service) della testa IP, quando il criterio di accodamento è tos_flow.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ RANGE- CONFIG,
TOS range tos (t1|t1-t2) [range tos (t1|t1-t2)] [range tos (t1|t1-t2)] [range CONFIG RUN.
tos (t1|t1-t2)] RATE <rate [kb/sec] for the specified traffic flow> RELEASE
[KBQUEUE] [<Queue's size in Kbytes. This value must be included
between 1 and the Kblimit>] [LIMIT]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è configurato il QoS
[SUBIFC]: specifica il nome del profilo
<string1>: nome della subinterface su cui è configurato il QoS (stringa di max
15 caratteri).
RANGE-TOS: specifica il valore TOS singolo o il range TOS da associare alla
coda(max 4 range TOS con valore (0-255)).
<RATE>: specifica i kb/secondo relativo alla coda con il TOS o i TOS sopra
selezionati.
[KBQUEUE]: profondità della coda associata alla lista in Kbyte
[LIMIT]: evita che il peso della coda configurato venga modificato
dall’algoritmo di ridistribuzione dei pesi del WFQ.
Esempio con due tos specifici
(Config) > ETHERNET1 IP WFQ RANGE-TOS 10 20 RATE 100
Esempio con due intervalli di range tos
(Config) > ETHERNET1 IP WFQ RANGE-TOS 0-31 32-64 RATE 200
Esempio con un tos specifico e due intervalli di range tos
(Config) > ETHERNET1 IP WFQ RANGE-TOS 0 32-64 128-255 RATE 200
NOTA: risulta impossibile configurare tale comando con l’opzione LIMIT qualora
siano già presenti code WFQ configurate con l’opzione LIMIT e la sommatoria dei
pesi di queste ultime risulti maggiore di 100.
Comandi di configurazione
Il comando che segue, utilizzato quando il criterio di accodamento è Tos_Flow, permette di
associare al flusso specificato, identificato con una label di valore compreso fra 20000 e
30000,un certo valore di TOS. Ciò consente la marcatura con tale valore di TOS di tutti i
datagrammi IP congruenti con tale flusso.
Sintassi Stato
ip traffic <Label for traffic (20000-30000)> SET TOS <TOS value (1- CONFIG,
127)> CONFIG RUN.
RELEASE
Esempio
(Config) >ip traffic 20001 set tos 8
Valori di default: se la profondità della coda non è stata selezionata, tale valore è posto a
zero e la ricerca della coda in cui scartare le frame, nel caso in cui venga superato il limite
aggregato delle code (kblimit), avviene in base al peso e alla dimensione in byte della coda
stessa.
Il comando che segue, è stato mantenuto per compatibilità con le vecchie versioni di
software e può essere ancora utilizzato per marcare i primi tre bit del TOS. Il comando è
ormai ridondante in quanto la marcatura del byte TOS viene eseguita dal comando
precedente (sette bit + il primo (ce bit – no congestion) che non è possiblile marcare, come in
figura 7.1). MSB LSB
7 6 5 4 3 2 1 0
Sintassi Stato
IP TRAFFIC <Integer> SET PRECEDENCE < IP PRECEDENCE (0 - 7)> CONFIG,
CONFIG RUN.
RELEASE
Il comando che segue, permette di associare al flusso specificato, identificato con una label
di valore compreso fra 20000 e 30000, un certo valore di COS. Ciò consente la marcatura
con tale valore di COS di tutti i datagrammi IP congruenti con tale flusso.
Sintassi Stato
ip traffic <Label for traffic (20000-30000)> SET COS <COS value (0-7)> CONFIG, CONFIG
RUN.
RELEASE
Esempio
(Config) >ip traffic 20001 set cos 5
Il comando che segue permette la configurazione di una lista traffic con Tos nullo (NO_TOS).
Tale lista, se intercettata, non lascerà invariato il Tos del pacchetto.
Definizione di gruppi a livello QoS
Sintassi Stato
IP TRAFFIC <num_list> SET TOS NO_TOS CONFIG,
CONFIG RUN.
RELEASE
Sintassi Stato
ip traffic <Label for traffic (20000-30000) > SET WEIGHT <Weight for the CONFIG,
specified traffic flow> [KBQUEUE ] [<Queue's size in Kbytes. This value CONFIG RUN.
must be included between 1 and the Kblimit>] [LIMIT] RELEASE
Sintassi Stato
ip traffic <Label for traffic (20000-30000) > SET RATE <Rate [kb/sec] for CONFIG,
the specified traffic flow> [KBQUEUE ] [<Queue's size in Kbytes. This CONFIG RUN.
value must be included between 1 and the Kblimit>] [LIMIT] RELEASE
Il seguente comando permette lo sharing di più liste su un’unica coda gestita con politica
FIFO.
Sintassi Stato
IP TRAFFIC WFQ SHARE LIST <Label for traffic (20000-30000) > ON CONFIG, CONFIG
<Label for traffic (20000-30000) > RUN.
RELEASE
NOTA: le liste possono essere poste nello stato Shared solo quando il
criterio di accodamento è List Flow e quando le liste presentano lo stesso
peso e, se configurata in quanto parametro opzionale, la medesima
profondità della coda.
Il seguente comando permette di effettuare il refresh delle code QoS quando il criterio di
accodamento è LIST_FLOW. Con tale criterio la lista viene inserita o modificata con il
comando ‘IP TRAFFIC SET WEIGHT’ che però non fa riferimento all’interfaccia in cui si
vuole che figuri la rispettiva coda QoS.
In stato di CONFIG RUN tale comando è necessario affinché siano inseriti o modificati i
corrispondenti valori della coda QOS per la lista di traffico inserita o modificata.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ CONFIG RUN
REFRESH RELEASE
Esempio
(Config run) > ETHERNET1 SUBIFC NOME_PROFILO IP WFQ REFRESH
Il seguente comando permette l’attivazione delle funzionalità di QOS per il protocollo IPSEC.
Sintassi Stato
IPSEC LOOPBACK/x OUTPUT CONFIG, CONFIG
RUN.
RELEASE
Esempio
(Config) >IPSEC LOOPBACK/1 OUTPUT
Il comando che segue permette di configurare la coda ad alta priorità LLQ (Low Latency
Queuing) all’interno dell’algoritmo WFQ quando il criterio di accodamento è LIST_FLOW.
Risulta possibile configurare al massimo 5 code ad alta priorità.
Sintassi Stato
IP TRAFFIC <Label for traffic (20000-30000) > WFQ PRIORITY CONFIG,
PERCENTAGE <Bandwidth’s percentage reserved for WFQ priority queue CONFIG RUN.
(1-100)> [KBQUEUE] [<Queue's size in Kbytes for WFQ priority queue (0- RELEASE
300)>] [OUTPUT] [LIMIT] [<Integer>]
<Comando> [OPZIONE]: DESCRIZIONE
<PERCENTAGE>: percentuale della banda configurata per l’algoritmo WFQ riservata
alla coda ad alta priorità.
<OUTPUT>: percentuale della banda totale garantita alla coda prioritaria in
situazioni di congestione. Tale valore deve essere minore della
percentuale (percentage) di banda configurata per la coda
prioritaria.
<Integer>: percentuale di banda garantita incaso di congestione (1-100).
Esempio
(Config) >IP TRAFFIC 21000 WFQ PRIORITY PERCENTAGE 70
Valori di default: se non viene selezionata la profondità della coda, tale valore assume il
valore di default di 100.
Il comando che segue permette di configurare la coda ad alta priorità LLQ (Low Latency
Queuing) all’interno dell’algoritmo WFQ quando il criterio di accodamento è LIST_FLOW.
Risulta possibile configurare al massimo 5 code ad alta priorità.
Sintassi Stato
IP TRAFFIC <Label for traffic (20000-30000) > WFQ PRIORITY RATE CONFIG,
<Rate [kb/sec] reserved for WFQ priority queue > [KBQUEUE] [<Queue's CONFIG RUN.
size in Kbytes for WFQ priority queue (0-300)>] [OUTPUT] [LIMIT] RELEASE
[<Integer>]
<Comando> [OPZIONE]: DESCRIZIONE
<RATE>: rate (kb/sec) per l’algoritmo WFQ riservata alla coda ad alta priorità.
<OUTPUT>: percentuale della banda totale garantita alla coda prioritaria in
situazioni di congestione. Tale valore deve essere minore della
percentuale (percentage) di banda configurata per la coda
prioritaria.
<Integer>: percentuale di banda garantita incaso di congestione (1-100).
Esempio
(Config) >IP TRAFFIC 21000 WFQ PRIORITY RATE 700
Valori di default: se non viene selezionata la profondità della coda, tale valore assume il
valore di default di 100.
Il comando che segue permette di configurare il limite massimo di byte da porre nella coda
ad alta priorità quando il criterio di accodamento è LIST_FLOW.
Sintassi Stato
IP TRAFFIC <Label for traffic (20000-30000) > WFQ PRIORITY INPUT CONFIG,
LIMIT <Input Bandwidth percentage (1-100)> CONFIG RUN.
RELEASE
Il comando che segue permette di configurare una diversa priorità alle code LLQ quando il
criterio di accodamento è LIST_FLOW.
Sintassi Stato
IP TRAFFIC <Label for traffic (20000-30000) > WFQ PRIORITY <HIGH | CONFIG,
MEDIUM | NORMAL | LOW> <CR> CONFIG RUN.
RELEASE
Valori di default: se non viene selezionata il suddetto comando, la priorità assume il valore di
default di high.
Il comando che segue permette di configurare la coda ad alta priorità LLQ (Low Latency
Queuing) all’interno dell’ algoritmo WFQ quando il criterio di accodamento è TOS_FLOW. È
possibile configurare una sola coda ad alta priorità.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ CONFIG,
PRIORITY PERCENTAGE <Percentage bandwidth reserved for WFQ CONFIG RUN.
priority queue (1-100)> TOS < TOS value (1-127)> [KBQUEUE] RELEASE
[<Queue's size in Kbytes for WFQ priority queue (0-300)>] [OUTPUT]
[LIMIT] [<Guaranted Bandwidth percentage in situation of congestion (1-
100)>]
<Comando> [OPZIONE]: DESCRIZIONE
< SUBIFC>: interfaccia/subinterface su cui è stato attivato l’algoritmo WFQ
[SUBIFC]: specifica il nome del profilo
<PERCENTAGE>: percentuale della banda configurata per l’algoritmo WFQ riservata
alla coda ad alta priorità.
<TOS>: specifica il valore TOS da associare alla coda 1-127.
<OUTPUT>: percentuale della banda totale garantita alla coda prioritaria in
situazioni di congestione. Tale valore deve essere minore della
percentuale (percentage) di banda configurata per la coda
prioritaria.
Esempio
(Config) >ETHERNET2 SUBIFC NOME_PROFILO IP WFQ PRIORITY PERCENTAGE 70
TOS 8
Valori di default: se non viene selezionata la profondità della coda, tale valore assume il
valore di default di 100.
Il comando che segue permette di configurare la coda ad alta priorità LLQ (Low Latency
Queuing) all’interno dell’ algoritmo WFQ quando il criterio di accodamento è TOS_FLOW.
Risulta possibile configurare al massimo 5 code ad alta priorità.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ CONFIG,
PRIORITY RATE <Rate [kb/sec] reserved for WFQ priority queue (1- CONFIG RUN.
100)> TOS < TOS value (1-127)> [KBQUEUE] [<Queue's size in Kbytes RELEASE
for WFQ priority queue (0-300)>] [OUTPUT] [LIMIT] [<Guaranted
Bandwidth percentage in situation of congestion (1-100)>]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è stato attivato l’algoritmo WFQ
[SUBIFC]: specifica il nome del profilo
<RATE>: rate (kb/sec) per l’algoritmo WFQ riservato alla coda ad alta priorità.
<TOS>: specifica il valore TOS da associare alla coda 1-127.
<OUTPUT>: percentuale della banda totale garantita alla coda prioritaria in
situazioni di congestione. Tale valore deve essere minore della
percentuale (percentage) di banda configurata per la coda
prioritaria.
Esempio
(Config) >ETHERNET2 SUBIFC NOME_PROFILO IP WFQ PRIORITY RATE 700 TOS 8
Il comando che segue permette di configurare la coda ad alta priorità LLQ (Low Latency
Queuing) all’interno dell’ algoritmo WFQ quando il criterio di accodamento è TOS_FLOW.
Risulta possibile configurare al massimo 5 code ad alta priorità.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ PRIORITY CONFIG,
PERCENTAGE <Bandwidth's percentage for the priority queue (1-100)> CONFIG RUN
RANGE-TOS <range tos (t1|t1-t2) [range tos (t1|t1 t2)] [range tos (t1|t1-t2)] RELEASE
[range tos (t1|t1-t2)]> [KBQUEUE] [<Queue's size in Kbytes for WFQ
priority queue (0-300)> ]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è stato attivato l’algoritmo WFQ
[SUBIFC]: specifica il nome del profilo
<PERCENTAGE>: percentuale della banda configurata per l’algoritmo WFQ riservata
alla coda ad alta priorità.
RANGE-TOS: specifica il valore TOS singolo o il range TOS da associare alla
coda(max 4 range TOS con valore (0-255)).
<KBQUEUE>: Profondià della coda che si vuloe riservare alla coda LLQ espressa
in Kbytes.
Esempio
(Config) > ETHERNET1 IP WFQ PRIORITY PERCENTAGE 10 RANGE-TOS 128 130
Il comando che segue permette di configurare la coda ad alta priorità LLQ (Low Latency
Queuing) all’interno dell’ algoritmo WFQ quando il criterio di accodamento è TOS_FLOW.
Risulta possibile configurare al massimo 5 code ad alta priorità.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ PRIORITY CONFIG,
RATE <Rate [kb/sec] for the priority queue (1-100)> RANGE-TOS <range CONFIG RUN
tos (t1|t1-t2) [range tos (t1|t1 t2)] [range tos (t1|t1-t2)] [range tos (t1|t1-t2)]> RELEASE
[KBQUEUE] [<Queue's size in Kbytes for WFQ priority queue (0-300)> ]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interfaccia/subinterface su cui è stato attivato l’algoritmo WFQ
[SUBIFC]: specifica il nome del profilo
<RATE>: rate kb/sec per l’algoritmo WFQ riservato alla coda ad alta priorità.
RANGE-TOS: specifica il valore TOS singolo o il range TOS da associare alla
coda(max 4 range TOS con valore (0-255)).
<KBQUEUE>: Profondià della coda che si vuloe riservare alla coda LLQ espressa
in Kbytes.
Esempio
(Config) > ETHERNET1 IP WFQ PRIORITY RATE 100 RANGE-TOS 128 130
Il comando che segue permette di configurare il limite massimo di byte da accodare nella
coda ad alta priorità quando il criterio di accodamento è TOS_FLOW.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ PRIORITY CONFIG,
TOS <integer (1-127)> INPUT LIMIT<integer (1-100)> CONFIG RUN.
RELEASE
Il comando che segue permette di configurare un diverso livello di priorità per le code LLQ
quando il criterio di accodamento è TOS_FLOW.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ TOS CONFIG,
<TOS value (0-127)> PRIORITY <HIGH | MEDIUM | NORMAL | LOW> CONFIG RUN.
<CR> RELEASE
Esempio
(Config) > ETHERNET1 IP WFQ TOS 128 PRIORITY MEDIUM
Valori di default: se non viene selezionato il suddetto comando la priorità della coda, assume
il valore di default di high.
Il comando che segue permette di configurare il limite massimo di byte da accodare nella
coda ad alta priorità quando il criterio di accodamento è TOS_FLOW.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] PRIORITY CONFIG,
RANGE-TOS range tos (t1|t1-t2) [range tos (t1|t1-t2)] [range tos (t1|t1-t2)] CONFIG RUN.
[range tos (t1|t1-t2)] INPUT LIMIT <Integer> [PKTLIMIT] [Maximum RELEASE
number of packets allowed in this priority queue]
<Comando> [OPZIONE]: DESCRIZIONE
< SUBIFC>: interfaccia/subinterface su cui è stato attivato l’algoritmo WFQ
[SUBIFC]: specifica il nome del profilo
[<Sub ifc name - max nome della sub ifc.
15 char ->]:
RANGE-TOS: specifica il valore TOS singolo o il range TOS da associare alla
coda(max 4 range TOS con valore (0-255).
<integer (1-100)>: numero massimo di byte che possono essere accodati nella coda
prioritaria, espresso in percentuale della banda configurata, per
l’algoritmo WFQ. È possibile riassegnare alla coda LLQ la banda
non utilizzata dalle code WFQ. Qual’ora il traffico per le code WFQ
sia tale da far sì che esistano degli istanti in cui tali code risultino
vuote si ha la seguente situazione:
INPUT LIMIT ≠ 100: la banda WFQ non viene assegnata alla
coda LLQ
INPUT LIMIT = 100: la banda WFQ viene rassegnata alla coda
LLQ.
[PKTLIMIT]: numero massimo di pacchetti che possono essere accodati nella
coda prioritaria(RANGE:10 -150 Default:50)
Esempio
(Config) > ETHERNET1 IP WFQ PRIORITY RANGE-TOS 128 130 INPUT LIMIT 99
Il comando che segue permette di configurare un diverso livello di priorità per le code LLQ
quando il criterio di accodamento è TOS_FLOW.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ RANGE- CONFIG,
TOS range tos (t1|t1-t2) [range tos (t1|t1-t2)] [range tos (t1|t1-t2)] [range CONFIG RUN.
tos (t1|t1-t2)] PRIORITY <HIGH | MEDIUM | NORMAL | LOW> <CR> RELEASE
Valori di default: se non viene selezionato il suddetto comando la priorità della coda, assume
il valore di default di high.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WFQ CONFIG,
REDISTRIBUTE CONFIG RUN.
RELEASE
Qual’ora si voglia invece non riassegnare le risorse della coda che lavora sotto soglia
basterà aggiungere il peso il token opzionale LIMIT nel comando che segue:
Sintassi RELEASE
<SUBIFC> [SUBIFC] <string1> IP WFQ TOS < TOS value (1-127)> WEIGHT
<Weight for the specified traffic flow > [KBQUEUE ] [<Queue's size in Kbytes.
This value must be included between 1 and the Kblimit>] [LIMIT]
O al seguente:
Sintassi RELEASE
<SUBIFC> [SUBIFC] <string1> IP WFQ TOS < TOS value (1-127)> RATE
<Rate for the specified traffic flow > [KBQUEUE ] [<Queue's size in Kbytes. This
value must be included between 1 and the Kblimit>] [LIMIT]
Il comando che segue permette di impostare la dimensione massima del pacchetto che verrà
accodato sulla coda/code (WFQ,PQ) dell'interfaccia specificata.
Se la dimensione del pacchetto eccede la dimensione configurata, quest'ultimo è
frammentato in più frammenti in funzione di quest'ultima.
Se il pacchetto ricevuto risulta essere già frammentato, viene accodato senza ulteriori
elaborazioni sulla coda/code (WFQ,PQ) dell'interfaccia specificata.
Tale comando permette di reallizzare una frammentazione a livello 3.
Il traffico interattivo, come il VoIP, Telnet e SNMP, caratterizzato da pacchetti piccoli, è
suscettibile ad aumenti di ritardo e di Jitter, quando la rete processa un flusso di pacchetti
lunghi (traffico FTP), specialmente in quei tratti in cui la rete lavora con un basso bit_rate
disponibile.
Tale funzionalità permette di frammentare i pacchetti grandi, andando ad interlacciare i flussi
interattivi con i pacchetti derivati da tale frammentazione.
Sintassi Stato
<SUBIFC> IP FRAGMENTATION SIZE <Fragment's size [Bytes]. (10- CONFIG,
1400)> CONFIG RUN.
RELEASE
ABILITAZIONE DELL’ALGORITMO PQ
Comandi di configurazione
Di seguito si riportano i comandi di configurazione dell’algortimo PQ.
Il comando che segue attiva l’algoritmo PQ su base interfaccia o subinterface.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP PQ ON CONFIG, CONFIG
RUN.
RELEASE
Valori di default: l’algoritmo PQ viene configurato di default con una banda di 10 Mbit e
criterio di accodamento LIST_FLOW.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP PQ CONFIG, CONFIG
CRITERIA <ToS_flow/list_flow> RUN.
RELEASE
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP PQ CONFIG, CONFIG
BANDWIDTH <Available bandwidth in Kbit/sec 1-100000> RUN.
RELEASE
Valori di default: l’algoritmo PQ, se ancora configurato, a seguito di tale comando assume di
default la banda di 10 Mbit/sec.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP PQ PRIORITY CONFIG,
<String> TOS < integer> [PKTLIMIT] [<Integer>] CONFIG RUN.
RELEASE
Valori di default: se non viene configurato il parametro opzionale PKTLIMIT alle code a
priorità HIGH, MEDIUM, NORMAL, LOW vengono assegnati rispettivamente i valori
20,40,60,80.
Sintassi Stato
IP PQ PRIORITY <HIGH | MEDIUM | NORMAL | LOW> TRAFFIC <Label CONFIG,
for traffic (20000-30000) > [PKTLIMIT] [Maximum number of packets CONFIG RUN.
allowed in this priority queue]Queue's size in packets] RELEASE
Valori di default: se non viene configurato il parametro opzionale PKTLIMIT alle code a
priorità HIGH, MEDIUM, NORMAL, LOW vengono assegnati rispettivamente i valori
20,40,60,80.
Per attivare le funzionalità di QoS per il protocollo Ipsec si fa uso del seguente comando.
Sintassi Stato
IPSEC LOOPBACK/x OUTPUT PQ CONFIG,
CONFIG RUN.
RELEASE
Esempio
(Config) >IPSEC LOOPBACK/1 OUTPUT PQ
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP PQ PRIORITY CONFIG,
<HIGH/NORMAL/MEDIUM/LOW> MPP CLASS <Multilink Class (1)> CONFIG RUN
RELEASE
Valori di default
Se tale comando non viene configurato il valore della classe risulta di default uguale a zero.
Risulta impossibile configurare tale comando qual'ora sull'interfaccia specificata non sia
attivo il protocollo MPP, l'algoritmo LFI e il protocollo PQ con il criterio TOS_FLOW.
Sintassi Stato
IP PQ PRIORITY <HIGH/NORMAL/MEDIUM/LOW> TRAFFIC <Label for CONFIG,
traffic (20000-30000) > MPP CLASS <Multilink Class (1)> CONFIG RUN
RELEASE
Valori di default
Se tale comando non viene configurato il valore della classe viene posto di default uguale a
zero.
Relazioni con altri comandi
Risulta impossibile configurare tale comando qual'ora non esista un'interfaccia in cui risulti
attivo il protocollo MPP, l'algoritmo LFI e il protocollo PQ con il criterio LIST_FLOW.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WRED ON CONFIG,
CONFIG RUN.
RELEASE
NOTA: l’algoritmo WRED non può essere configurato qualora sulla medesima
interfaccia sia configurato uno degli algoritmi prioritari configurati (WFQ,PQ).
Valori di Default: l’algoritmo WRED viene configurato di default con una lista che presenta
una soglia minima di 10 pacchetti, una soglia massima di 50 pacchetti, un fattore
esponenziale di 9, un denominatore della frazione di pacchetti che vengono scartati quando
la profondità della coda è uguale alla soglia massima uguale a 10 e un valore del bandwidth
uguale a 10 Mbit/sec. Tale lista servirà a monitorare tutti i flussi i cui pacchetti hanno un
campo TOS non presente in nessuna delle liste WRED configurate
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WRED CONFIG,
BANDWIDTH <Available bandwidth in Kbit/sec 1-100000> CONFIG RUN.
RELEASE
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WRED CONFIG,
EXP_WEIGHT <Exponential factor (1-16)> CONFIG RUN.
RELEASE
Il comando che segue permette di configurare una lista WRED, associandogli il valore del
campo TOS cui appartiene il flusso che tale lista dovrà monitorare. La probabilità di scarto
dei pacchetti, quando la media è compresa tra la soglia mimima e la soglia massima,
diminuisce all’aumentare del parametro MARK_WEIGHT.
Sintassi Stato
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IP WRED TOS < CONFIG,
TOS value (1-127)> MIN_THRESHOLD <Minimum threshold (1-50)> CONFIG RUN.
MAX_THRESHOLD <Maximum threshold (Minimum threshold,50)> RELEASE
MARK_WEIGHT<Mark-prob denominator (1-65536)>
<Comando> [OPZIONE]: DESCRIZIONE
< SUBIFC>: interfaccia/subinterface su cui attivare l’algoritmo PQ
[SUBIFC]: specifica il nome del profilo
<MIN_THRESHOLD>: soglia inferiore al di sotto della quale i pacchetti vengono
accodati
<MAX_THRESHOLD>: soglia superiore al di sopra della quale i pacchetti vengono
scartati
<MARK_WEIGHT>: denominatore della frazione di pacchetti che vengono scartati
quando la profondità della coda è uguale alla soglia massima.
Esempio
(Config) >ETHERNET2 SUBIFC NOME_PROFILO IP WRED TOS 4 MIN_THRESHOLD 15
(Config) >MAX_THRESHOLD 50 MARK_WEIGHT 512
Il comando che segue permette l’attivazione delle funzionalità di QOS WRED per il protocollo
IPSEC.
Sintassi Stato
IPSEC LOOPBACK/x OUTPUT WRED CONFIG,
CONFIG RUN.
RELEASE
Esempio
(Config) >IPSEC LOOPBACK/1 OUTPUT WRED
Fragment_size=Bandwidth x fragment_delay/8
Il valore fragment_delay viene configurato tramite il comando MPP LFI FRAGMENT DELAY,
mentre il valore del bandwidth è quello relativo all'algoritmo prioritario configurato.
Tramite i comandi IFC IP WFQ TOS MPP CLASS, NO IFC IP WFQ TOS MPP CLASS
(algoritmo WFQ) IFC IP PQ PRIORITY MPP CLASS, IP PQ PRIORITY TRAFFIC MPP
CLASS (algoritmo PQ) è possibile stabilire, tramite un'opportuna codifica proprietaria IP-
PPP, quali pacchetti IP, gestiti dallo scheduler degli algoritmi propietari saranno destinati alla
coda di classe 1 del modulo PPP. Con tale funzionalità si ha la possibilità di creare un'unico
condotto prioritario (LAYER 3, LAYER 2) lungo il quale coinvogliare il traffico real-time con
l'obbiettivo specifico di ridurre al minimo la latenza di quest'ultimo all'interno dell'apparato. La
coda LLQ del medesimo algoritmo e la coda a priorità HIGH dell'algoritmo PQ risultano a tale
proposito le più indicate per tale applicazioni.
Risulta inoltre possibile effettuare una frammentazione di livello 3. Tale funzionalità risulta
svincolata dalla presenza del protocollo MPP e dalla presenza o meno sull'interfaccia degli
algoritmi prioritari (WFQ, PQ).
Comandi di configurazione
Di seguito si riportano i comandi di configurazione dell’algortimo LFI.
MPP LFI ON
Sintassi Stato
<IFC> MPP LFI ON CONFIG
RELEASE
L’algoritmo LFI può essere configurato qualora sulla medesima interfaccia sia configurato il
protocollo MPP e uno tra algoritmi prioritari WFQ, PQ.
Valori di default
L’algoritmo LFI viene configurato di default con un valore di ritardo pari a 20 msec o ad un
valore tale da garantire una dimensione del frammento non superiore a 1514 e non inferiore
a 40 byte qual'ora, in funzione del bandwidth configurato, tale valore non fosse appropriato a
garantire i suddetti valori.
Nel caso in cui la dimensione del frammento non risultasse superiore a 40 byte verrebbe
scelto il valore immediatamente più grande a quello configurato tale da garantire la
disuguglianza sopra.
Viceversa nel caso in cui la dimensione del frammento risultasse superiore a 1514 byte
verrebbe scelto il valore immediatamente più piccolo a quello configurato tale da garantire la
disuguglianza sopra. Tale situazione dovrebbe risultare assai remota in quanto, per
dimensioni così grandi del pacchetto, risulta discutibile la presenza stessa dell'algoritmo LFI.
Il valore del ritardo viene utilizzato congiuntamente al valore del bandwidth dell'algorimo
prioritario per il calcolo della dimensione massima del pacchetto.
Sintassi Stato
<SUBIFC> MPP LFI FRAGMENT DELAY <Maximum size, in units of time, for CONFIG
packet fragments on an MPP bundle (1-1000) [msec]> RELEASE
Il comando abilita la funzionalita’ di Fast Authentication MPP sull SubIfc specificata. Estende
all’ MPP la funzionalità già presente per il protocollo PPP. La funzionalità consiste nel
procedere nella negoziazione ppp/mpp qualora il peer contattato ci autentichi senza mandare
il pacchetto di CHAP SUCCESS o PAP CONFACK, a seconda del tipo di autenticazione
usata.
Sintassi Stato
SUBIFC MPP FAST AUTHENTICATION CONFIG
RELEASE
Gaia4_4.3.3
<Comando> [OPZIONE]: DESCRIZIONE
<subifc> MPP FAST AUTHENTICATION
Sintassi Stato
<SUBIFC> FRY ADD DLCI <Dlci Id> ENC PPPoFRY/MPPoFRY CONFIG
RELEASE
Sintassi Stato
<SUBIFC> ENC PPPoFRY/MPPoFRY CONFIG
RELEASE
Sintassi Stato
<SUBIFC SEC> ENC MPPoFRY ADD <SUBIFC BASE> CONFIG
RELEASE
Sintassi Stato
<SUBIFC> ENC MPPoA [<VC_based/LLC_based>] CONFIG
RELEASE
Sintassi Stato
<SUBIFC SEC> ENC MPPoA <VC_based/LLC_based> ADD <SUBIFC CONFIG
BASE> RELEASE
IFC IP FRAGMENTATION
Sintassi Stato
<SUBIFC> IP FRAGMENTATION SIZE <Fragment's size [Bytes]. (10- CONFIG,
1400)> CONFIG RUN
RELEASE
CLASS OF SERVICE
Class of Service (CoS) consente di gestire il traffico in una rete trattando tipologie di traffico
simili (e-mail, streaming video, voice, file transfer), ognuna con il proprio livello di priorità di
servizio.
A differenza della Qualità di Servizio (QoS), Class of Service non garantisce un livello di
servizio in termini di banda ma in termini di tempo. In altre parole, la tecnologia CoS
semplifica la gestione e la scabilità della rete in termini di struttura e volume di traffico.
Il commando che segue consente di disabilitare su di una porta il DSCP che di default è
abilitato (vedi terza colonna della tabella ‘QoS PORTS' CONFIGURATION’).
Sintassi Stato
vlan switch PORT <port number> DSCP MAP DISABLE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 DSCP MAP DISABLE
Il commando che segue consente di disabilitare su di una porta il CoS (802.1p) che di default
è abilitato (vedi quarta colonna della tabella ‘QoS PORTS' CONFIGURATION’).
Sintassi Stato
vlan switch PORT <port number> COS MAP DISABLE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 COS MAP DISABLE
Il commando che segue consente, abilitati sia DSCP che CoS (802.1p), di fare prevalere il
DSCP sul CoS: in questo modo nella colonna ‘If both,rules’ invece di 802.1p comparirà
DSCP.
Di default, se su di una porta sono abilitati sia 802.1p che DSCP, prevale 802.1p.
Sintassi Stato
vlan switch PORT <port number> DSCP MAP RULES CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 DSCP MAP RULES
Il commando che segue consente di associare ad una porta una traffic_class di default (Def.
TC) differente da ‘0’ (vedi quinta colonna della tabella PORTS' CONFIGURATION’ o la
quarta colonna del ‘dump vlan vlan’).
Sintassi Stato
vlan switch PORT <port number> DEFAULT TRAFFIC-CLASS <BEST | CONFIG,
GOOD | NORMAL |WORSE or numeric range 15 (best) - 0 (worse)> CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 DEFAULT TRAFFIC-CLASS BEST
Il commando che segue consente di modificare, per una data porta, il default egress mode
riportato nella seconda colonna del ‘dump vlan vlan’.
Sintassi Stato
vlan switch PORT <port number> EGRESS MODE <default egress mode CONFIG;
(UNMODIFY | TAGGED | UNTAGGED | ADD)> CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 EGRESS MODE UNMODIFY
Il seguente commando consente di modificare il valore del bit meno significativo del CoS e
che di default è posto a ‘0’ (vedi colonna ‘802.1p LSB’ del ‘dump vlan vlan’).
Sintassi Stato
vlan switch PORT <port number> DSCP MAP <802.1q Least Significant CONFIG;
Bit (see documentation)> CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 DSCP MAP 1
Il commando che segue consente di forzare il Vlan_ID nei pacchetti in ingresso ad una porta
(vedi colonna ‘Force VID’ del ‘dump vlan vlan’), quando la modalità i802.1q è disabilitata.
Sintassi Stato
vlan switch PORT <port number> FORCE VID CONFIG;
CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 FORCE VID
Il comando che segue consente di modificare il campo Sched mod (sesta colonna della
tabella QoS PORTS' CONFIGURATION’) che è un parametro globale per tutte le porte dello
switch.
Sintassi Stato
vlan switch PORT <port number> SCHEDULE MODE <Strict Pritority CONFIG;
(STRICT) | Fair Queuing (FAIR)> CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch PORT 1 SCHEDULE MODE STRICT
Sintassi Stato
vlan switch MAP DSCP <DiffServ Code Point (0-63)> TRAFFIC-CLASS CONFIG; CONFIG
<BEST | GOOD | NORMAL |WORSE or numeric range 15 (best) - 0 RUN
(worse)> RELEASE
Esempio
(Config) >vlan switch MAP DSCP 50 TRAFFIC-CLASS GOOD
Sintassi Stato
vlan switch MAP COS <802.1q Priority (0-7)> TRAFFIC-CLASS <BEST | CONFIG;
GOOD | NORMAL |WORSE or numeric range 15 (best) - 0 (worse)> CONFIG RUN
RELEASE
Esempio
(Config) >vlan switch MAP COS 5 TRAFFIC-CLASS NORMAL
8 PROTOCOLLI DI ROUTING
RIP (ROUTING INFORMATION PROTOCOL)
Per quanto riguarda la possibilità che si creino dei loop di trasmissioni di dati, che possono
generare informazioni errate sulla raggiungibilità di una destinazione, sono stati implementati
due algoritmi:
In modalità RIP 2 è possibile definire una password per ogni interfaccia. Per il RIP standard,
la password definita è quella con la quale vengono inviati tutti gli aggiornamenti su
quell’interfaccia.
Per il RIP 2, la password definita è la password che viene assegnata di default ad ogni vicino
presente nella tabella dei vicini, a meno che nella definizione di un vicino non ne venga
specificata un’altra per la comunicazione specifica con quel vicino.
Sintassi Stato
<Interface>[/<Integer>] RIP ON [<mode>] CONFIG
RELEASE
TM1: tempo di vita di una entry prima che venga interdetta (default =180 sec);
TM2: tempo di interdizione della entry prima che venga cancellata (default =120 sec.);
TM3: intervallo di tempo per l’invio dell’aggiornamento completo della tabella di routing
(default =30 sec.)
Sintassi Stato
<Interface>[/<Integer>] RIP TIME [<TM1>][<TM2>][<TM3>] CONFIG
RELEASE
Per la scelta di una strategia antiloop per i messaggi RIP si procede con il seguente
comando.
Sintassi Stato
<Interface>[/<Integer>] RIP ALG <strategy> CONFIG
RELEASE
Sintassi Stato
<Interface>[/<Integer>] RIP VERSION <modality> CONFIG
RELEASE
Sintassi Stato
<Interface>[/<Integer>] RIP PASSWORD [<password>] CONFIG
RELEASE
Sintassi Stato
RIP REDISTRIBUTE STATIC [GROUP] [<group label>] [COST] [<Integer>] CONFIG
RELEASE
Sintassi Stato
RIP REDISTRIBUTE LOCAL [<Interface>[/<Integer>]] [COST] [<Integer>] CONFIG
RELEASE
Sintassi Stato
RIP REDISTRIBUTE DEFAULT [COST] [<integer>] CONFIG
RELEASE
Sintassi Stato
RIP REDISTRIBUTE OSPF [COST] [<integer>] CONFIG
RELEASE
Sintassi Stato
RIP REDISTRIBUTE BGP [COST] [<integer>] CONFIG
RELEASE
Sintassi Stato
RIP REDISTRIBUTE IPSEC [COST] [<Integer>] CONFIG
RELEASE
Si possono aggiungere entry nella tabella dei vicini (neighbors) a cui mandare informazioni
usando il comando «RIP NEIGH».
Sintassi Stato
<Interface>[/<Integer>] RIP NEIGH <IP address> [<password>] CONFIG
RELEASE
Il seguente comando regola il numero di ritrasmissioni dei pacchetti che non sono stati
confermati.
Sintassi Stato
<Interface>[/<Integer>] RIP2091 RETRANSMIT <integer> CONFIG
RELEASE
Il seguente comando serve per inviare una request ai vicini nel caso di un possibile
disallineamento tra le tabelle di routine. Con la ricezione della request i vicini inviano tutta la
loro tabella di routing che permetterà il riallineamento.
Sintassi Stato
<Interface>[/<Integer>] RIP2091 REQUEST ADVERTISE ON CONFIG
RELEASE
Esempio
(Config) >serial1 rip2091 request advertise on
Per evitare che, in tabella di routing, venga inserita una entry dinamica uguale ad una entry
statica già presente, si utilizza il seguente comando:
Sintassi Stato
<Interface>[/<Integer>] RIP2091 NOREPLACE STATIC ENTRY CONFIG
RELEASE
Esempio
(Config) >serial1 rip2091 noreplace static entry
Sintassi Stato
<Interface>[/<Integer>] RIP COST <integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
CONFIG
<Interface>[/<Integer>] RIP AUTH_MD5 KEY_ID <Integer> KEY <String> RELEASE
Liste
Indirizzo/maschera sorgente
Indirizzo/maschera destinatario
Interfaccia
Protocollo
Porta sorgente o range di porte
Porta destinatario o range di porte
TOS (8 bit)
Dimensione massima del pacchetto
Sono obbligatori i campi numero lista, indirizzo sorgente e destinatario e facoltativi gli altri.
In caso di frammentazione del pacchetto i frammenti successivi seguono l’instradamento del
primo
Sintassi Stato
ADD IP TRAFFIC <Label for traffic (20000-30000)> <Ip Address Src> <Ip Mask CONFIG
Src> <Ip Address Dst> <Ip Mask Dst> [<Interface>[/<Integer>]] [<Protocol>] RELEASE
[PORTS:<Source port range s1/s2>] [PORTD:<Destination port range s1/s2>]
[TOS:<tos value>] [SIZE:<packet size value>] [<Permit/Denied>]
<Comando> [OPZIONE]: DESCRIZIONE
<Label for traffic (20000- intero da 20000 a 30000 che identifica univocamente la
30000)>: lista
<Ip Address Src>: indirizzo IP rete sorgente
<Ip Mask Src>: maschera IP sorgente
<Ip Address Dst>: indirizzo IP rete destinatario
<Ip Mask Dst>: maschera IP sorgente
[<Interface>[/<Integer>]]: interfaccia o subinterface sorgente (opzionale)
[<Protocol>]: protocollo trasportato (opzionale)
[PORTS:<Source port range porta sorgente oppure intervallo di porte con s1 < s2
s1/s2>]: (opzionale)
[PORTD:<Destination port porta destinataria oppure intervallo di porte con s1 < s2
range s1/s2>]: (opzionale)
[TOS:<tos value>]: TOS 8 bit; è possibile fornire il TOS anche in forma
esadecimale anteponedo 0x
[SIZE:<packet size value>]: dimensione soglia: solo i pacchetti aventi dimensione
minore di tale valore si accordano con la lista.
Esempio
(Config) >add ip traffic 20000 190.0.0.1 255.0.0.0 179.0.0.1 255.0.0.0
(Config) >add ip traffic 20000 190.0.0.1 255.0.0.0 179.0.0.1 255.0.0.0 ethernet1
(Config) >add ip traffic 20000 190.0.0.1 255.0.0.0 179.0.0.1 255.0.0.0 ethernet1 tcp
(Config) >add ip traffic 20000 190.0.0.1 255.0.0.0 179.0.0.1 255.0.0.0 ethernet1 tcp
IP DISCARD LIST
Tale comando associa, ad una lista di traffico, la funzionalità discard, secondo la quale tutto
il traffico corrispondente ha una determinata lista può essere scartato.
Sintassi Stato
CONFIG,
<Interface>[/<Integer>] IP DISCARD LIST <integer> CONFIG RUN
RELEASE
IP ROUTING DISCARD ON
Sintassi Stato
IP ROUTING DISCARD ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >ip routing discard on
Le Discard List sono configurabili ma non attive. Questa funzionalità è sostituita dalle Access
list di tipo Out
Instradamento
Ad ogni lista è possibile dichiarare un gateway remoto oppure un profilo verso il quale
instradare i pacchetti. Quando il gateway remoto risulta irraggiungibile il pacchetto viene
instradato secondo le modalità della tabella di routing.
Sintassi Stato
ADD IP ROUTE TRAFFIC <Label for traffic (20000-30000) > <Gateway Ip CONFIG
Address> <Hop Number> <Interface>[/<Integer>][<PBR group number (1- RELEASE
255)>]
Con il seguente comando si imposta il costo di una route traffic appartenente ad un certo
gruppo, se in tabella di routing non è presente la entry definita nella IP route list specificata.
Sintassi Stato
TRACK IP ROUTE LIST <numero o range di liste> POLICY_BASED CONFIG
GROUP <PBR group number (1-255)> COST <absolute or relative numeric RELEASE
cost (1-255)> [INCREASE]
Esempio
(Config) > Track IP ROUTE LIST 5 POLICY_BASED GROUP 10 COST 15
Attivazione
La funzionalità PBR diventa efficace quando viene esplicitamente attivata dall’utente.
Sintassi Stato
IP POLICY_BASED ROUTING ON CONFIG
RELEASE
Esempio
(Config) >ip policy_based routing on
OSPF è un protocollo di routing a Database Distribuito che si colloca nella famiglia dei
protocolli IGP (Interior Gateway Protocol). Si basa sulla tecnologia Link State; esistono infatti
un Database Distribuito, una procedura di Flooding, una definizione di adiacenze, record
speciali per external route.
OSPF utilizza il concetto di gerarchia e permette di gestire reti di dimensioni notevoli. Un AS
(Autonomous System) viene suddiviso in AREE, le quali contengono un gruppo di reti
continue con una parte superiore chiamata Backbone Area: ciò garantisce un risparmio di
risorse di memoria.
Il "routing gerarchico" viene gestito tramite le AREE: il database include solo lo stato dei link
dell'area; il protocollo di flooding si ferma ai confini dell'area; i router calcolano solo le route
all' interno dell'area. Il costo del protocollo di routing è proporzionale al formato dell'area e
non a quello della rete.
Allo scopo di connettere l'intera rete, alcuni router appartengono a più aree - tipicamente a
un'area a basso livello e all'area di backbone (chiamata anche AREA 0). Questi router sono
chiamati "area-border router" (ABR): ci deve essere almeno un ABR in ciascun’area, per
connetterla al backbone. Gli ABR mantengono più database, uno per ciascun’area alla quale
appartengono ed ogni area include un set di sottoreti IP. La Backbone area è responsabile
della distribuzione delle informazioni di routing tra non-backbone aree, pertanto non può
essere disconnessa, altrimenti alcune aree di AS potrebbero diventare irraggiungibili. Per
stabilire e mantenere la connettività con il Backbone, possono essere definiti Virtual Link
attraverso non-Backbone area.
I Virtual Link connettono fisicamente componenti separate del Backbone. I due end-point del
Virtual Link sono Area Border Router (ABR) e il Virtual Link deve essere configurato in
entrambi.
I protocolli SPF-based hanno la caratteristica dell'uniformità del database topologico (DT)
relativo all'Autonomous System (AS), cioè tutti i router di AS hanno le stesse informazioni
relative allo stato delle connessioni (lo stesso link-state database). Questa caratteristica
permette di rispondere prontamente alle variazioni topologiche dell'AS con un rapido
aggiornamento delle informazioni di routing, con un minimo traffico di protocollo.
Comandi di configurazione
Prima di configurare l’OSPF è necessario aver configurato sull’interfaccia, interessata al
routing OSPF, il protocollo IP.
Parametri interfaccia
In OSPF l’interfaccia (link) definisce la connessione tra un router e la rete cui è attaccato;
l’interfaccia verso una rete ha associato un indirizzo IP e una maschera di rete. Un’interfaccia
appartiene ad un’unica area OSPF.
IFC ON
Sintassi Stato
<Interface>[/<Integer>] OSPF ON AREA <IP Address> [PASSIVE] CONFIG,
CONFIG RUN
<Interface>[/<Integer>] OSPF ON AREA <Integer> [PASSIVE] RELEASE
Il comando che segue definisce la password valida per l’interfaccia indicata, nel caso di
autenticazione semplice. La chiave definita viene inserita, in chiaro, direttamente nell’header
dei pacchetti OSPF trasmessi sull’interfaccia.
Sintassi Stato
<Interface>[/<Integer>] OSPF AUTHENTICATION KEY <Alphanumeric CONFIG,
String> CONFIG RUN
RELEASE
FC AUTH_MD5
Questo comando definisce la password valida per l’interfaccia indicata, nel caso di
autenticazione MD5. La chiave definita viene inserita, codificata MD5, nell’header dei
pacchetti OSPF trasmessi sull’interfaccia.
Sintassi Stato
<Interface>[/<Integer>] OSPF AUTH_MD5 <Key Identifier> <Password> CONFIG,
CONFIG RUN
RELEASE
IFC COST
10 8/ Bandwidth
per cui:
Ethernet-Default è 10
Seriale 64-kbps – Default è 1562
Sintassi Stato
<Interface>[/<Integer>] OSPF COST <Integer> CONFIG,
CONFIG RUN
RELEASE
IFC PRIORITY
Questo comando definisce la priorità (8 bit) del router sull’interfaccia specificata.
Quando due router, attaccati ad una comune rete, tentano entrambi di diventare Designed
Router (DR), quello con la priorità più alta acquista la precedenza. Nel caso di uguale
priorità, vince il router con il più alto router ID.
Se un router ha priorità 0 non può diventare Designed Router.
Sintassi Stato
<Interface>[/<Integer>] OSPF PRIORITY <Integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface>[/<Integer>] OSPF DEAD INTERVAL <Integer> CONFIG,
CONFIG RUN
RELEASE
Questo comando definisce una stima del numero di secondi entro cui il router trasmette,
sull’interfaccia, un link state update.
I Link State Advertisement, nel pacchetto di update, hanno la loro “age” incrementata di
questa quatità prima della trasmissione.
Sintassi Stato
<Interface>[/<Integer>] OSPF TRANSMIT DELAY <Integer> CONFIG,
CONFIG RUN
RELEASE
IFC NEIGHBOR
Sulle reti non-broadcast (X.25, Frame Relay, etc), ma che supportano più router, sono
richieste alcune informazioni per scoprire i vicini OSPF. Su tali reti i pacchetti di Hello, che
normalmente sono multicast, necessitano di essere mandati, in turno, su ogni router vicino.
In OSPF ci sono 2 modi di utilizzare questi tipi di reti:
Le informazioni di configurazione che sono richieste per scoprire i vicini OSPF vengono date
tramite il comando di configurazione Neighbor.
Il parametro “priority” determina la capacità del vicino di poter diventare router designato
(DR: Designed Router) e determina la modalità di invio del pacchetto di Hello sulle interfacce
NBMA. Se il router ha priorità diversa da 0 può diventare DR e deve periodicamente inviare il
pacchetto di Hello a tutti i vicini che possono anch’essi diventare DR; se poi il router è
Designed Router (DR) o Backup Designed Router (BDR) deve anche periodicamente inviare
il pacchetto di Hello a tutti gli altri vicini.
Se il router ha priorità 0 deve periodicamente inviare il pacchetto di Hello al DR e al BDR e
deve anche inviare un pacchetto di Hello in risposta ad un pacchetto di Hello ricevuto dai
vicini che possono diventare DR (oltre al DR e al BDR).
Sintassi Stato
<Interface>[/<Integer>] OSPF NEIGHBOR <IP Address> [<Priority CONFIG,
Number>] CONFIG RUN
RELEASE
IFC NETWORK
Il seguente comando stabilisce il tipo di rete IP.
Sintassi Stato
<Interface>[/<Integer>] OSPF NETWORK TYPE < NBMA/P2P/P2MP > CONFIG,
CONFIG RUN
RELEASE
IFC DEMAND
Questo comando disabilita la trasmissione dei pacchetti di Hello alla fine della
sincronizzazione. Utilizzato su linee di tipo ON DEMAND (ISDN).
Sintassi Stato
<Interface>[/<Integer>] OSPF DEMAND CIRC CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >serial1 ospf demand circ
Comandi di configurazione
ROUTER ID
Questo comando viene utilizzato per configurare un numero di 32 bit, sotto forma di indirizzo
IP, che identifica il router nell’Autonomous System. Se il comando viene omesso si assume
come Router ID il più piccolo indirizzo IP configurato tra le interfacce del router.
Sintassi Stato
OSPF ROUTER ID <IP Address> CONFIG,
CONFIG RUN
RELEASE
REDISTRIBUTE STATIC
Questo comando serve per ridistribuire route statiche dentro il dominio OSPF. Le route
ridistribuite appartengono al gruppo indicato; si possono ridistribuire più gruppi. Il gruppo
indicato è quello relativo al comando di configurazione
Sintassi RELEASE
ADD IP ROUTE <Ip Address Dst> <Ip Mask Dst> <Gateway Ip Address>
<Hop Number> <Interface> [GROUP] [<group label>]
Le route statiche vanno a far parte delle informazioni di routing OSPF di tipo external. Un
router che possiede questo comando di configurazione è un ASBR (Autonomous System
Bondary Router).
Sul comando di configurazione viene indicato il modo e il costo con cui l’OSPF intende
annunciare queste route dentro il dominio OSPF: Type 1 external e Type 2 external.
Il Type 1 external metric è equivalente al link state metric, per cui ci si riporta alla stessa
unità del costo OSPF.
ll Type 2 external metric assumono che il routing external ha il costo più grande di qualsiasi
percorso interno all’AS; eliminano pertanto la conversione di costi esterni in internal link state
metric.
Sintassi Stato
OSPF REDISTRIBUTE STATIC [GROUP] [<Integer>] [EXT_METRIC] CONFIG
[<Type1/Type2>] [COST] [<Integer>] RELEASE
REDISTRIBUTE LOCAL
Questo comando serve per ridistribuire le route locali dentro il dominio OSPF.
Per route locale si intende una route che è inserita nella tabella di routing IP ed è creata a
seguito della configurazione di un’interfaccia IP. Vengono ridistribuite solo route locali
relative ad interfacce IP che non hanno abilitato il protocollo di routing OSPF. Si possono
ridistribuire più interfacce.
Le route statiche locali vanno a far parte delle informazioni di routing OSPF di tipo external.
Un router che possiede questo comando di configurazione è un ASBR (Autonomous System
Bondary Router).
Sul comando di configurazione viene indicato il modo e il costo con cui l’OSPF intende
annunciare queste route dentro il dominio OSPF: Type 1 external e Type 2 external.
Il Type 1 external metric è equivalente al link state metric, per cui ci si riporta alla stessa
unità del costo OSPF.
ll Type 2 external metric assumono che il routing external ha il costo più grande di qualsiasi
percorso interno all’AS; eliminano pertanto la conversione di costi esterni in internal link state
metric.
Sintassi Stato
OSPF REDISTRIBUTE LOCAL <Interface>[/<Integer>] [EXT_METRIC] CONFIG
[<Type1/Type2>] [COST] [<Integer>] RELEASE
REDISTRIBUTE DEFAULT
Questo comando serve per ridistribuire la route di default dentro il dominio OSPF, così come
una route statica. Le route di default va a far parte delle informazioni di routing OSPF di tipo
external. Un router che possiede questo comando di configurazione è un ASBR
(Autonomous System Bondary Router).
Sul comando di configurazione viene indicato il modo e il costo con cui l’OSPF intende
annunciare questa route dentro il dominio OSPF: Type 1 external e Type 2 external.
Il Type 1 external metric è equivalente al link state metric, per cui ci si riporta alla stessa
unità del costo OSPF.
ll Type 2 external metric assume che il routing external ha il costo più grande di qualsiasi
percorso interno all’AS; elimina, pertanto, la conversione di costi esterni in internal link state
metric.
Sintassi Stato
OSPF REDISTRIBUTE DEFAULT [EXT_METRIC] [<Type1/Type2>] [COST] CONFIG
[<Integer>] RELEASE
REDISTRIBUTE BGP
Questo comando serve per ridistribuire la route BGP (Border Gateway Protocol) dentro il
dominio OSPF. Le route BGP entrano a far parte delle informazioni di routing OSPF di tipo
external. Un router che possiede questo comando di configurazione è un ASBR
(Autonomous System Bondary Router).
Sul comando di configurazione viene indicato il modo (Type 1 external e Type 2 external) il
costo con cui l’OSPF intende annunciare questa route dentro il dominio OSPF: Type 1
external e Type 2 external.
Il Type 1 external metric è equivalente al link state metric, per cui ci si riporta alla stessa
unità del costo OSPF.
ll Type 2 external metric assume che il routing external ha il costo più grande di qualsiasi
percorso interno all’AS; elimina pertanto la conversione di costi esterni in internal link state
metric.
Sintassi Stato
OSPF REDISTRIBUTE BGP [EXT_METRIC] [<Type1/Type2>] [COST] CONFIG
[<Integer>] RELEASE
REDISTRIBUTE RIP
Questo comando serve per ridistribuire la route RIP (Routing Internet Protocol) dentro il
dominio OSPF. Le route acquisite tramite protocollo di routing RIP entrano a far parte delle
informazioni di routing OSPF di tipo external. Un router che possiede questo comando di
configurazione è un ASBR (Autonomous System Bondary Router).
Sul comando di configurazione viene indicato il modo (Type 1 external e Type 2 external) il
costo con cui l’OSPF intende annunciare queste route dentro il dominio OSPF: Type 1
external e Type 2 external.
Il Type 1 external metric è equivalente al link state metric, per cui ci si riporta alla stessa
unità del costo OSPF.
ll Type 2 external metric assume che il routing external ha il costo più grande di qualsiasi
percorso interno all’AS; elimina, pertanto, la conversione di costi esterni in internal link state
metric.
Sintassi Stato
OSPF REDISTRIBUTE RIP [EXT_METRIC] [<Type1/Type2>] [COST] CONFIG,
[<Integer>] CONFIG RUN
RELEASE
REDISTRIBUTE IPSEC
Sintassi Stato
OSPF REDISTRIBUTE IPSEC [EXT_METRIC] [{Type1|Type2}] [COST] CONFIG
[<Integer>] RELEASE
OVERFLOW
Sintassi Stato
OSPF OVERFLOW [LIMIT] [<integer>] [INTERVAL] [<Int>] CONFIG,
CONFIG RUN
RELEASE
ABR-BEHAVIOR
Questo comando serve per modificare il comportamento di un ABR, un router collegato a più
aree che non ha interfacce verso l’area Backbone; (rif. RFC 3509).
Sintassi Stato
OSPF ABR-BEHAVIOR <Standard | Cisco | Ibm> CONFIG
RELEASE
Area STUB
Questi comandi definiscono un’area OSPF come STUB; i pacchetti contenenti informazioni
che provengono dall'esterno dell'Autonomous System non vengono trasmessi in questa
area.
Il vantaggio immediato che si ha dall'utilizzo di tali aree è che la dimensione dei database
topologici si riduce sostanzialmente (visto che in alcuni AS la maggior parte degli annunci
sono propio quelli external). Nelle aree STUB si utilizza il routing di default, cioè il router o i
router di confine dell'area annuncieranno alle aree stub la strada di default che esse devono
seguire; questa informazione, però, viene inoltrata solo alle aree stub e non oltre.
NOTA: ci sono delle limitazioni nell'uso delle aree stub, infatti i link virtuali non
prevedono l'utilizzo di aree stub così come i router di frontiera dell'AS non si
possono trovare all'interno di aree stub.
Comandi di configurazione
Sintassi Stato
OSPF AREA <Integer> STUB [COST] [<Integer>] [NO_SUMMARY] CONFIG,
CONFIG RUN
OSPF AREA <IP Address> STUB [COST] [<Integer>] [NO_SUMMARY] RELEASE
Area NSSA
Sintassi Stato
OPSF AREA <Integer> NSSA [NO_SUMMARY] [EXT_METRIC] CONFIG,
[<Type1/Type2>] [METRIC] [<Integer>] [NO_REDISTRIBUTION] CONFIG RUN
[TRANSLATOR-ROLE] [<Always /Candidate>] [TRANSLATOR- RELEASE
INTERVAL] [<Integer>]
Area RANGE
Sintassi Stato
OSPF AREA <Integer> RANGE <IP Address> <IP Mask> <Adv/Not_adv>] CONFIG,
CONFIG RUN
OSPF AREA <IP Address> RANGE <IP Address> <IP Mask> RELEASE
<Adv/Not_adv>]
<Comando> [OPZIONE]: DESCRIZIONE
<Integer>: identificativo area OSPFsotto forma di intero;
<IP Address>: identificativo area OSPFsotto forma di indirizzo IP;
<IP Address> <IP rete e maschera che definisco in range;
Mask>:
<Adv/Not_adv>: Advertise: vengono generate Type 3 summary LSA;
Not_advertise: Type 3 summary LSA sono soppresse e le componenti di reti
rimangono ignote alle altre reti.
Default: Advertise
Esempio
(Config) >ospf area 5 range 180.35.0.0 255.255.0.0 Adv
Area SUMMARY
Sintassi Stato
OSPF AREA <Integer > SUMMARY <IP Address> <Ip Mask> [<Adv | CONFIG,
Not_adv | Allow | Deny>] [TRANSLATION] [<Enable / Disable>] CONFIG RUN
RELEASE
OSPF AREA <IP Address> SUMMARY <IP Address> <Ip Mask> [<Adv |
Not_adv | Allow | Deny>] [TRANSLATION] [<Enable / Disable>]
<Comando> [OPZIONE]: DESCRIZIONE
<Integer>: identificativo area OSPF sotto forma di intero (area 0 oppure
NSSA area)
<IP Address>: identificativo area OSPF sotto forma di indirizzo IP.area 0 o NSSA
area)
<IP Address><Ip Indirizzo IP e maschera di rete per il “summarize”
Mask>:
[<Adv|Not_adv|Allow| Questa opzione definisce l’effetto dell’aggregazione.
Deny>] Adv:se l’area ID è 0 per lo specifico range sono generate le
LSA di type-5 (External Route) ed eventualmente non sono
generate le LSA di tipo-7 (External Route della NSSA)
verso l’area NSSA. Se l’area ID è diversa da 0 (area NSSA)
aggregate type-7 sono generate nella NSSA
Not_adv: se l’area ID è 0 per lo specifico range non sono
generate le LSA di type-5 (External Route) ed
eventualmente sono generate le LSA di tipo-7 (External
Route della NSSA) verso l’area NSSA. Se l’area ID è
diversa da 0 (area NSSA) aggregate type-7 non sono
generate.
Allow:se l’area ID è 0 per lo specifico range sono generate
le LSA di type-5 (External Route) ed eventualmente sono
generate anche le LSA di tipo-7 (External Route della
NSSA) verso l’area NSSA. Questa opzione non è valida per
un’area diversa da 0.
Deny: se l’area ID è 0 per lo specifico range non sono
generate le LSA di type-5 (External Route) ed
eventualmente sono generate nemmeno le LSA di tipo-7
(External Route della NSSA) verso l’area NSSA. Questa
opzione non è valida per un’area diversa da 0.
[TRANSLATION] Questa opzione serve per trasformare o meno LSA Type-7 in LSA
[<Enable / Disable>]: Type-5 (External LSA NSSA-> External LSA).
Esempio
(Config) >OSPF AREA 3 SUMMARY 180.35.0.0 255.255.0.0 Not_Adv
In OSPF la Backbone Area (o Area 0) non può essere disconnessa, in caso contrario, alcune
aree dell’Autonomous System potrebbero diventare irraggiungibili. Per stabile e mantenere la
connettività con il Backbone, i Virtual Link possono essere configurati attraverso non-
Backbone area.
L’area di Backbone, o in generale qualsiasi area, è connessa se, partendo da una qualunque
interfaccia (appartenente alla Backbone), è possibile raggiungere le altre interfacce (della
Backbone) attraverso un percorso che non abbandona la Backbone stessa.
I Virtual Link servono per connettere fisicamente componenti separate del Backbone. I due
end-point del Virtual Link sono Area Border Router (ABR) e il Virtual Link deve essere
configurato in entrambi.
Nota: Virtual Link non possono essere configurati attraverso STUB Area.
Comandi di configurazione
Area VLINK
Questo comando definisce il Virtual Link OSPF specificando la Transit area e il router ID
dell’altro endpoint.
Sintassi Stato
OSPF AREA <INTEGER> VLINK <Router ID> CONFIG,
OSPF AREA <Ip Address> VLINK <Router ID> CONFIG RUN
RELEASE
Questo comando definisce, per il Virtual Link, una stima del numero di secondi entro il quale
il router trasmette un link state update sull’interfaccia (il virtual link). I Link state
advertisement nel pacchetto di update hanno la loro “age” incrementata di questa quatità
prima della trasmissione.
Sintassi Stato
OSPF AREA <INTEGER> VLINK <IP Address> TRANSMIT DELAY CONFIG,
<Integer> CONFIG RUN
RELEASE
OSPF AREA <Ip Address> VLINK <IP Address> TRANSMIT DELAY
<Integer>
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER>: identificativo area OSPF sotto forma di intero o indirizzo IP.
Questa è la Transit area per il Virtual Link;
<Router ID>: router ID dell’altro endpoint del Virtual Link;
<Integer>: intero (1÷ 3600) che esprime il transmit delay in secondi. -
Default:1.
Esempio
(Config) >ospf area 5 vlink 130.0.0.1 transmit delay 5
Questo comando definisce, per il Virtual Link, il tempo in secondi tra la ritrasmissione di un
link state advertisement (LSA) sulle adiacenze appartenenti all’interfaccia (Virtual Link).
Utilizzato anche per la ritrasmissione di Database Description e pacchetti Link State
Request.
Sintassi Stato
OSPF AREA <INTEGER> VLINK <Router ID> RETRANSMIT DELAY CONFIG,
<Integer> CONFIG RUN
RELEASE
OSPF AREA <Ip Address> VLINK <Router ID> RETRANSMIT DELAY
<Integer>
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER>: identificativo area OSPF sotto forma di intero o indirizzo IP. Questa
è la Transit area per il Virtual Link;
<Router Id>: router ID dell’altro endpoint del Virtual Link;
<Integer>: l’intero (1 ÷ 3600) che esprime il retransmit delay. – Default 5.
Esempio
(Config) >ospf area 5 vlink 130.0.0.1 retransmit delay 10
Questo comando definisce, per il Virtual Link, il tempo in secondi tra i pacchetti di Hello
inviati sull’interfaccia (Virtual Link).
Sintassi Stato
OSPF AREA <INTEGER> VLINK <Router ID> HELLO INTERVAL CONFIG,
<Integer> CONFIG RUN
RELEASE
OSPF AREA <Ip Address> VLINK <Router ID> HELLO INTERVAL
<Integer>
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER>: identificativo area OSPF sotto forma di intero o indirizzo IP. Questa
è la Transit area per il Virtual Link;
<Router ID>: router ID dell’altro endpoint del Virtual Link;
<Integer>: l’intero (1 ÷ 65535) che esprime lo hello interval. – Default 10.
Esempio
(Config) >ospf area 5 vlink 130.0.0.1 hello interval 20
Questo comando definisce, per il Virtual Link, il tempo in secondi per cui se non viene sentito
un pacchetto di Hello, il vicino router viene dichiarato down (Virtual Link).
Sintassi Stato
CONFIG,
OSPF AREA <INTEGER> VLINK <Router ID > DEAD INTERVAL CONFIG RUN
<Integer> RELEASE
Questo comando definisce la password usata dai vicini router. La chiave definita viene
inserita direttamente nell’header dei pacchetti OSPF generati sul Virtual Link.
Sintassi Stato
OSPF AREA <INTEGER> VLINK <Router ID> AUTHENTICATION KEY CONFIG,
<Alphanumeric String> CONFIG RUN
RELEASE
OSPF AREA <Ip Address> VLINK <Router ID> AUTHENTICATION KEY
<Alphanumeric String>
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER>: identificativo area OSPF sotto forma di intero o indirizzo IP.
Questa è la Transit area per il Virtual Link;
<Router ID>: router ID dell’altro endpoint del Virtual Link;
<String>: una stringa alfanumerica di un massimo 8 caratteri che definisce
la password.
Esempio
(Config) >ospf area 5 vlink 180.14.34.9 authentication key abcdefgh
Questo comando definisce la password usata dai vicini router. La chiave definita viene
inserita direttamente nell’header dei pacchetti OSPF generati sul Virtual Link.
Sintassi Stato
OSPF AREA <INTEGER> VLINK <Router ID> AUTH_MD5 <Key CONFIG,
Identifier> <Password> CONFIG RUN
OSPF AREA <Ip Address> VLINK <Router ID> AUTH_MD5 <Key RELEASE
Identifier> <Password>
<Comando> [OPZIONE]: DESCRIZIONE
<INTEGER>: identificativo area OSPF sotto forma di intero o indirizzo IP. Questa
è la Transit area per il Virtual Link.
<Router ID>: router ID dell’altro endpoint del Virtual Link;
<Key Identifier>: numero identificativo (1 255) associato alla password;
<Password>: stringa alfanumerica massimo 16 caratteri che definisce la password
per MD5.
Esempio
(Config)> ospf area 5 vlink 180.14.34.9 auth_md5 3 abcdefgh
Sintassi Stato
OSPF REFRESH ROUTING TIMER <time> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config)> OSPF REFRESH ROUTING TIMER 4
Il BGP è un protocollo di routing di tipo Exterior Gateway Protocol (EGP), adatto cioè ad
applicazioni di tipo Internet.
L’utilizzo tipico del protocollo di routing in esame consiste nel fornire un mezzo per
condividere le risorse di routing tra differenti Autonomous System (AS).
AS 3200
AS 3100
AS 3000
AS 2000
AS 1300
AS 1000
AS 1100
AS 1200
Autonomous System
BGP link
Fig. 8.1
RIP), ma da un punto di vista esterno (AS) appare come una collezione di informazioni di
routing coerenti provenienti da un singolo IGP.
Si può immaginare Internet come costituito da isole (AS) in cui BGP stabilisce dei ponti
affinché le informazioni di routing di ogni isola raggiungano le altre in maniera dinamica
(tenendo aggiornati i percorsi di routing in accordo con le politiche configurate dall’utente) ed
efficace (evitando ad esempio loop nell’instradamento, generati ad esempio per mezzo di
una condivisione delle stesse informazioni tra più protocolli di routing).
La funzionalità implementa è la versione 4 del protocollo.
I messaggi scambiati tra interlocutori BGP vengono incapsulati in pacchetti TCP (sfruttando
anche l’autenticazione, se questa funzionalità è implementata nel protocollo), utilizzando la
porta 179 in ascolto.
Gli interlocutori BGP (in seguito detti peer o speaker) tentano di stabilire una connessione
TCP sopra la quale fluiranno i messaggi BGP.
Ogni peer BGP è identificato mediante un indirizzo IP. La sua raggiungibilità è quindi
fortemente dipendente dalla topologia della rete.
Non sussistono problemi quando i peer condividono lo stesso data-link, qualora, al contrario,
il raggiungimento del peer necessita di più hop occorre che in tabella di routing esista una
entry che includa l’indirizzo IP del neighbor (vicino).
L’ultima affermazione sembrerebbe una dicotomia, considerando però che nelle applicazioni
tipiche BGP lavora affiancato da protocolli IGP è facile rendersi conto che la necessità di
avere una entry in tabella di routing per individuare un vicino non rappresenta una pretesa
così strana.
iBGP
eBGP
Verso altri AS
IGP domain
eBGP
Fig. 8.2
Ogni connessione TCP è univocamente determinata per mezzo della quadrupla IP e porta
sorgente, IP e porta destinatario: per questo motivo (e per il fatto che i peer si configurano
dichiarando il loro indirizzo IP) per i neighbor che non condividono lo stesso data-link può
risultare necessario (ed è sempre consigliato) configurare quale indirizzo IP utilizzare come
sorgente. La connessione TCP viene mantenuta aperta mediante messaggi keepalive.
Esistono due tipi di connessioni BGP in funzione del fatto che i due peer appartengano allo
stesso AS (connessioni iBGP) oppure no (connessioni eBGP).
I due tipi seguono regole leggermente differenti per eseguire il flooding delle informazioni di
routing.
All’interno dello stesso AS non è necessario che due peer condividano lo stesso data link
poiché, ricorrendo alle entry propagate via IGP, è possibile instaurare una sincronizzazione.
Due vicini eBGP dovrebbero, al contrario, condividere lo stesso data link per non dover
attingere alle risorse di routing al fine di stabilire una connessione TCP.
Infine, alcuni attributi (es: local preference, MED) relativi alle reti acquisite non vengono
propagati uscendo dallo AS.
Comandi di configurazione
Comandi di attivazione
Sintassi Stato
BGP ROUTER ON LOCAL-AS <Integer> CONFIG,
CONFIG RUN
RELEASE
Il seguente comando è impiegato per modificare il router ID di default, scelto come l’indirizzo
IP più alto configurato sulle interfacce del router.
Sintassi Stato
BGP ROUTER ID {<Integer>/<IP address>} CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
CONFIG,
[STANDARD|LOOK-UP] CONFIG RUN
RELEASE
Esempio
(Config) >bgp routing add standard
Sintassi Stato
BGP NEIGHBOR ADD <IP Address> REMOTE-AS <Integer> [SELF- CONFIG,
NEXT] [MULTIHOP] [SOURCE] [<Interface>[/<Integer>]] CONFIG RUN
[KEEPALIVE:<integer>] [HOLD:<integer>] [DEFAULT-ORIGINATE] RELEASE
[PASSWORD] [<Alphanumeric String>]
<Comando> [OPZIONE]: DESCRIZIONE
SELF-NEXT: opzione necessaria se si vuole che il router annunci le entry (verso
un vicino) inserendo se stesso come next hop. Questa opzione è
utile qualora il vicino non disponga di informazioni sul
raggiungimento del gateway che genera una entry;
MULTIHOP: è impiegato nelle connessioni BGP qualora i vicini non
condividano lo stesso data link;
KEEPALIVE: intervallo di tempo in secondi tra un messaggio di keepalive ed il
successivo. Dichiarando il valore zero non vengono spediti
messaggi di keepalive;
HOLD: tempo di attesa in secondi dopo il quale la connessione BGP
viene chiusa percè non si ricevono più messaggi dal neighbor.È
evidente che HOLD deve essere maggiore di KEEPALIVE
(tipicamente di tre o quattro volte).Il valore di default per il
keepalive è fissato a 30 secondi, per HOLD è d i120 secondi.
Esempio
(Config) >bgp neighbor add 173.1.1.1 remote-as 1 self-next
Il seguente comando è impiegato per configurare alcuni timer relativi al neighbor specifcato.
Sintassi Stato
BGP NEIGHBOR <IP Address> [ADV-TIMER:<1 to 65535>] [ASORIG- CONFIG,
TIMER:<1 to 65535>] [CONNECT-RETRY:<1 to 65535>][DEFAULT- CONFIG RUN
ORIGINATE: <ifc>] RELEASE
Sintassi Stato
BGP SYNCHRONIZATION ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >bgp synchronization on
Sintassi Stato
BGP REDISTRIBUTE LOCAL [<Interface>[/<Integer>]] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
BGP REDISTRIBUTE STATIC [GROUP <Integer>] CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >bgp redistribute static group 1
Per attivare il redistribute delle entry OSPF nel dominio BGP si utilizza il comando:
Sintassi Stato
BGP REDISTRIBUTE OSPF [<Interface>[/<Integer>]] CONFIG
RELEASE
Esempio
(Config) >bgp redistribute ospf
Per attivare il redistribute delle entry RIP nel dominio BGP si utilizza:
Sintassi Stato
CONFIG,
BGP REDISTRIBUTE RIP [<Interface>[/<Integer>]] CONFIG RUN
RELEASE
Esempio
(Config) >bgp redistribute rip
Il seguente comando specifica il valore di default della metrica alle entry ridistribuite. Se non
dichiarato le entry sono ridistribuite con la metrica IGP.
Sintassi Stato
BGP REDISTRIBUTE METRIC <Integer> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >bgp redistribute metric 2
Sintassi Stato
BGP REDISTRIBUTE REMOTE ONLY CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >bgp redistribute remote only
Sintassi Stato
CONFIG,
BGP REDISTRIBUTE DEFAULT CONFIG RUN
RELEASE
Esempio
(Config) >bgp redistribute default
Con il seguente comando si definisce l’origin, di una o più entry, del tipo IGP, EGP o
INCOMPLETE.
Sintassi Stato
BGP REDISTRIBUTE SET-ORIGIN <Integer> IGP|EGP|INCOMPLETE CONFIG,
[<IP Address>] [<Ip Mask>] [<Interface>[/<Integer>]] [ge:<lesser value of a CONFIG RUN
mask range>] [le:<greater value of a mask range>] [gateway:<gateway RELEASE
address>] [protocol:<protocol string>]
Esempio
(Config) > BGP REDISTRIBUTE SET-ORIGIN 1 INCOMPLETE 0.0.0.0 0.0.0.0 ge:0 le:32
protocol:OSPF
Il seguente comando attiva la ridistribuzione della entry IPSEC. (Tale comando è subordinato
all’attivazione del protocollo IPSEC).
Sintassi Stato
BGP REDISTRIBUTE IPSEC CONFIG
RELEASE
Esempio
(Config) >BGP redistribute ipsec
Il comando che segue, permette di configurare la funzionalità di dampening, grazie alla quale
viene assegnato un livello di penalità a quelle entry che in tabella di routing subiscono
cancellazioni ed inserimenti, che non sono, dal punto di vista del routing, stabili. Superato un
certo livello di penalità, le entry vengono soppresse (suppress) e tornano riutilizzabili non
appena il livello scende al di sotto della soglia di rientro (reuse). Il valore della soglia di
soppressione (suppress) è superiore al valore della soglia di rientro (reuse).
Sintassi Stato
BGP DAMPENING [HALF-LIFE:<60 to 2700>] [REUSE:<1 to 19999>] CONFIG,
[SUPPRESS:<2 to 20000>] [MAX-SUPPRESS:<60 to 10800>] [DECAY- CONFIG RUN
GRANULARITY:<1 to 10800>] [REUSE-GRANULARITY:<15 to 10800>] RELEASE
[REUSE-ARRAY:<256 to 65535>]
Esempio
(Config) >bgp dampening half-life 1000
Valori di default:
Half-life: 900
Reuse (soglia di rientro, entro la quale la entry torna utilizzabile): 750
Suppress (soglia di soppressione, oltre la quale la entry è soppressa): 2000
Max-suppress: 3600
Decay-granularity: 1
Reuse-granularity: 15
Reuse-array: 1024
Reflector
Fig. 8.3
AS 100
AS 200
CONFEDERATION 100
AS 1000
AS 300
Fig. 8.4
Il seguente comando deve essere inserito nel router che sarà il riflettore.
Nessun particolare comando deve essere inserito nei router client.
Sintassi Stato
BGP REFLECTOR ON [CLUSTER] [<CLUSTER NUMBER>] [CLIENT- CONFIG,
TO-CLIENT] CONFIG RUN
RELEASE
Sintassi Stato
BGP REFLECTOR NEIGHBOR <IP Address> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >bgp reflector neighbor 167.2.2.1
Sintassi Stato
CONFIG,
BGP CONFEDERATION IDENTIFIER <Integer> [BESTPATH] CONFIG RUN
RELEASE
Sintassi Stato
CONFIG,
BGP CONFEDERATION PEER <AS,AS,AS,...> CONFIG RUN
RELEASE
Esempio
(Config) >bgp confederation peer 1
Politiche di selezione
L’utente può agire filtrando alcune entry in funzione di alcuni attributi.
Le politiche configurate non hanno effetto retroattivo: vengono applicate alle entry inoltrate
dopo l’applicazione della politica.
Il comando che segue specifica il comportamento del modulo BGP in presenza di entry che
si sovrappongono.
Sintassi Stato
CONFIG,
BGP OVERLAP {LESS|MORE|BOTH} CONFIG RUN
RELEASE
Il seguente comando predispone l’attributo MED come primo parametro per confrontare le
entry verso la medesima destinazione.
Sintassi Stato
BGP COMPARE MED ALWAYS CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >bgp compare med always
Quando si vuole limitare la dimensione della tabella di routing si adopera il comando che
segue. Quando lo speaker BGP riceve almeno una entry, sottorete della net del comando,
installa nella tabella di routing l’aggregato dichiarato.
Sintassi Stato
BGP AGGREGATE <IP address> <IP mask> [SUMMARY] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
BGP LOCAL-PREFERENCE DEFAULT <Integer> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >bgp local-preference default 3
Il seguente comando configura un filtro sulle entry ricevute in funzione degli attributi
specificati.
Sintassi Stato
BGP FILTER <Integer> [REMOTE-AS] [<Integer>] [<IP address>][<IP CONFIG,
mask>] [NEIGHBOR] [<IP Address>]{IN|OUT} {DENIED|PERMIT} CONFIG RUN
[<AS,AS,AS,...>] [EXACT-NET] [ge:<lesser value of a mask range>] RELEASE
[le:<greater value of a mask range>]
<Comando> [OPZIONE]: DESCRIZIONE
FILTER <Integer>: identificativo del filtro;
REMOTE-AS<Integer>: individua le entry che provengono da uno specifico AS. Se non
dichiarato il filtro si applica a tutti gli AS;
{IN|OUT}: specifica se il filtro agisce in ingresso (prima dell’istallazione
delle entry in tabella di routing) o in uscita (durante il flooding
verso i peer);
{DENIED|PERMIT}: specifica se la entry che si accorda con il filtro deve essere
scartata o meno;
<AS,AS,AS,...>: sceglie le entry che hanno attraversato quegli AS.
ge:<lesser value of a intercetta solo le entry con mask del valore immesso (0 ÷ 32)
mask range>:
le:<greater value of a intercetta solo le entry con mask ≤ del valore immesso (0 ÷ 32)
mask range>:
Esempio
(Config) >bgp filter 1 in permit
Nel caso in cui una entry si accordi con più filtri viene applicata la politica del filtro configurato
prima.
Il seguente comando configura l’attributo local preference se accorda i parametri dichiarati.
Sintassi Stato
BGP LOCAL-PREFERENCE LIST <Integer> [REMOTE-AS] [<Integer>] CONFIG,
[<IP address>][<IPmask>] VALUE <Integer> [OVERRIDE] {IN|OUT} CONFIG RUN
[<AS,AS,AS,...>] [ge:<lesser value of a mask range>] [le:<greater value of RELEASE
a mask range>]
<Comando> [OPZIONE]: DESCRIZIONE
LIST <Integer>: è l’identificativo della lista;
REMOTE-AS<Integer>: individua le entry che provengono da uno specifico AS. Se non
dichiarato la lista vale per tutti gli AS;
VALUE <Integer>: è il valore da configurare;
OVERRIDE: specifica se un eventuale valore già configurato deve essere
sovrascritto;
{IN|OUT}: specifica se la lista agisce in ingresso (prima dell’istallazione
delle entry in tabella di routing) o in uscita (durante il flooding
verso i peer);
<AS,AS,AS,...>: sceglie le entry che hanno attraversato quegli AS.
ge:<lesser value of a intercetta solo le entry con mask del valore immesso (0 ÷ 32)
mask range>:
le:<greater value of a intercetta solo le entry con mask ≤ del valore immesso (0 ÷ 32)
mask range>:
Esempio
(Config) >bgp local-preference list 1 value 4 in
Con il seguente comando si modifica una o più entry, aggiungendo al campo AS-PATH, uno
o più AS attraversati, rendendo così la/e rotta/e più svantaggiosa/e.
Sintassi Stato
CONFIG,
BGP PREPEND-LIST <Integer> <AS,AS,AS,...> [REMOTE-AS] [<Integer>] CONFIG RUN
[<IP Address>] [<Ip Mask>] [NEIGHBOR] [<IP Address>] {IN|OUT} RELEASE
[<AS,AS,AS,...>] [EXACT-NET] [ge:<lesser value of a mask range>]
[le:<greater value of a mask range>]
<Comando> [OPZIONE]: DESCRIZIONE
LIST <Integer>: è l’identificativo della lista;
REMOTE-AS <Integer>: individua le entry che provengono da uno specifico AS. Se non
dichiarato la lista vale per tutti gli AS;
{IN|OUT}: specifica se la lista agisce in ingresso (prima dell’istallazione
delle entry in tabella di routing) o in uscita (durante il flooding
verso i peer);
<AS,AS,AS,...>: sceglie le entry che hanno attraversato quegli AS.
ge:<lesser value of a intercetta solo le entry con mask del valore immesso (0 ÷ 32)
mask range>:
le:<greater value of a intercetta solo le entry con mask ≤ del valore immesso (0 ÷ 32)
mask range>:
Esempio
(Config) > BGP PREPEND-LIST 1 65500,65500 OUT
Sintassi Stato
CONFIG,
BGP COMMUNITY <IP address> <ip mask> {ADD|DELETE} VALUE {no- CONFIG RUN
advertise | no-export | no-exp-subconf | <integer> | xx:xx:...(8HexChar)} RELEASE
{SET|SET NONE| MODIFY}
Esempio
(Config) >bgp community 10.0.0.1 255.0.0.0 add value advertise set
Il seguente comando specifica verso quale vicino inoltrare le entry appartenenti ad una
community.
Sintassi Stato
CONFIG,
BGP COMMUNITY ADVERTISE NEIGHBOR <IP Address> [ EXTENDED | CONFIG RUN
NOT-EXTENDED | BOTH ] RELEASE
Sintassi Stato
CONFIG,
BGP COMMUNITY VALUE {no-advertise | no-export | no-exp-subconf | CONFIG RUN
<integer> | xx:xx:...(8HexChar)} FILTER {IN|OUT} {DENIED|PERMIT} RELEASE
Con il comando che segue è possibile ripulire le connessioni peer to peer. È possibile
cancellare la connessione verso un singolo peer oppure verso tutti i peer. La cancellazione
può essere soft (la connessione TCP rimane up), oppure hard (la connessione TCP è down).
Occorre ricordare che il BGP considera due tabelle di routine (la propria e quella dei
neighbors): solo nel caso di cancellazione soft, con le opzioni IN e OUT si cancella l’una o
l’altra tabella.
Sintassi Stato
BGP CLEAR <IP Address> [SOFT] [{IN|OUT}] CONFIG RUN,
CONNECT
RELEASE
Il protocollo Bgp in caso di più entries che hanno stessa rete destinataria sceglie, in base ad
un algoritmo di selezione, la entry migliore:
abilitando il seguente comando il modulo sceglie più di una entry che arrivano dai vari
neighbor.
L’ algoritmo di selezione non viene più verificato come prima, gli update devono avere i
seguenti attributi
- Local preference
- As-path lenght
- Origin type
- Med
con gli stessi valori, le entries verrano installate prima nel database e poi successivamente
passate in tabella di routing IP.
Questa funzionalità è stata aggiunta per garantire, anche in caso di routing dimanico Bgp, la
possibilità di gestire load balancing del traffico iP.
Sintassi Stato
BGP MAX-MULTIPATH <Integer> [{IBGP|EBGP}] [BESTPATH] CONFIG RUN,
CONNECT
RELEASE
L’installazione nel database la si può verificare attraverso i dump riportati nella sezione
dedicata al Bgp. Non esistono dump aggiuntivi.
Sintassi Stato
BGP HOLDTIME <integer> CONFIG RUN,
CONNECT
RELEASE
Esempio:
Bgp holdtime 20
Vincoli e limitazioni
Il numero massimo di peer configurabili è 255, pari al numero di istanze del modulo TCP.
Bisogna tenere presente però, che TCP deve sostenere anche le connessioni provenienti da
altre applicazioni.
<AS,AS,AS,...> può contenere al massimo 20 AS.
Il token loopback-add, per dichiarare quale indirizzo IP deve essere utilizzato come sorgente
nella connessione TCP, si riferisce ad un indirizzo secondario di un’interfaccia. È auspicabile
l’introduzione di una vera e propria interfaccia di loopback.
IP ROUTE FILTER
Le ROUTE FILTER consentono di non installare in tabella di routing le entry che rispondono
ai comandi configurati.
Comandi di configurazione
Il comando di attivazione è:
Sintassi Stato
IP ROUTE FILTER ON CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IP ROUTE FILTER <Integer> <Permit/Denied> <IP Address> <Ip Mask> CONFIG,
[ge:<lesser value of a mask range>] [le:<greater value of a mask range>] CONFIG RUN
[gateway:<gateway address>] [tag:<tag value>] [protocol:<protocol string>] RELEASE
[<Interface>[/<Integer>]]
<Comando> [OPZIONE]: DESCRIZIONE
<Integer>: indica la priorità della IP ROUTE (in maniera crescente)
ge:<lesser value of a mask intercetta solo le entry con mask del valore immesso (0 ÷
range>: 32
le:<greater value of a mask intercetta solo le entry con mask ≤ del valore immesso (0 ÷
range>: 32) Se vengono inseriti entrambi i valori sopra indicati è
necessaria la condizione ge ≤ le.
gateway:<gateway indirizzo del gateway
address>:
tag:<tag value>: tag riferito al protocollo BGP
protocol:<protocol string>: tipo di protocollo (RIP, EBGP, IBGP, OSPF) ma anche le
statiche e le locali
Esempio
(CONFIG) >IP ROUTE FILTER 50 DENIED 137.137.137.0 255.255.255.0 le:24
Il primo contollo avviene sull’IP Address e l’IP Mask (se le entry da spedire o ricevute
corrispondono, viene intercettata la entry), successivamente viene controllato il campo
seguente che richiede che la maschera della entry sia ≤ 24. Se, invece di le:24, si inserisce
ge:25, la entry non veniva intercettata.
In generale se per una entry viene meno il primo controllo, essa non viene intercettata,
quindi gli altri campi opzionali sono dei controlli più restrittivi.
Le ROUTE LIST consentono di definire delle liste in cui sono configurate le entry che
possono o meno essere ridistribuite dai protocolli di routing. La ridistribuzione o meno di una
o più entry può essere effettuata solo nel caso che provenga da un altro protocollo di routing.
Ad esempio se si definisce una lista con una entry che proviene dal RIP, tale entry può
essere ridistribuita o meno, solo nel caso che il protocollo in questione sia BGP e OSPF, non
ancora una “tratta” RIP.
Sintassi Stato
IP ROUTE FILTER ON CONFIG,
CONFIG RUN
RELEASE
Sintassi RELEASE
IP ROUTE LIST <Integer> <Permit/Denied> <IP Address> <Ip Mask>
[ge:<lesser value of a mask range>] [le:<greater value of a mask
range>] [gateway:<gateway address>] [tag:<tag value>]
[protocol:<protocol string>] [<Interface>[/<Integer>]]
<Comando> [OPZIONE]: DESCRIZIONE
<Integer>: Indica la priorità della IP ROUTE (va in maniera crescente)
ge:<lesser value of a intercetta solo le entry con mask del valore immesso (0 ÷ 32)
mask range>:
le:<greater value of a intercetta solo le entry con mask ≤ del valore immesso (0 ÷ 32) Se
mask range>: vengono inseriti entrambi i valori sopra indicati è necessaria la
condizione ge ≤ le.
gateway:<gateway indirizzo del gateway
address>:
tag:<tag value>: tag riferito al protocollo BGPprotocol:<protocol string>: tipo di
protocollo (RIP, EBGP, IBGP, OSPF) ma anche le statiche e le
locali
Permette di redistribuire una lista di entry specifica o un range di liste di tipo ospf bgp static
reseved senza doverle per forza redistribuire tutte.
Sintassi Stato
IP FILTER LIST <integer> CONFIG
RELEASE
Gaia4_4.3.2
P7
I comandi che abilitano i protocolli RIP, OSPF e BGP a redistribuire le entry che sono
configurate nelle IP ROUTE LIST sono:
Sintassi Stato
OSPF REDISTRIBUTE LIST <numero o range di liste> [EXT_METRIC] CONFIG,
[{Type1|Type2}] [COST] [<Integer>] CONFIG RUN
RELEASE
Sintassi Stato
RIP REDISTRIBUTE LIST <numero o range di liste> [COST] [<Integer>] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
BGP REDISTRIBUTE LIST <numero o range di liste> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >RIP REDISTRIBUTE LIST 1/6
(Config) >BGP REDISTRIBUTE LIST 1,3,6
(Config) >OSPF REDISTRIBUTE LIST 1/6,8,50/55
Il comando che segue serve per redistribuire la metrica, invece che la distanza
amministrativa.
Sintassi Stato
BGP REDISTRIBUTE METRIC INTERNAL CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) > BGP REDISTRIBUTE METRIC INTERNAL
Il comando che segue serve per redistribuire le rotte di IPSEC installate in tabella di routing.
Sintassi Stato
BGP REDISTRIBUTE IPSEC CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) > BGP REDISTRIBUTE IPSEC
9 ROUTING MULTICAST
Le informazioni per realizzare il routing multicast sono gestite dal protocollo IGMP tramite
l’utilizzo di una tabella che contiene dinamicamente tutte le associazioni gruppo-interfaccia
che il protocollo IGMP individua; tale tabella viene consultata dal protocollo IP per
determinare l’eventuale instradamento multicast.
Sintassi RELEASE
IP ROUTING MULTICAST ON [<VRID>] [<VRIDnumber>] [<Interface>] Gaia4_4.3.1
(aggiunta
P3
l’opzione
[<RPF>] [<RPF>])
<Comando> [OPZIONE]: DESCRIZIONE
<VRID>: è opzionale, significa Virtual Router Identifier
<VRIDnumber>: è opzionale, significa numero del Virtual Router Identifier
<Interface>: è opzionale, ma deve essere specificata per individuare
univocamente il Virtual Router.
[<RPF>] Abilitazione Riverse Path Forwarding (controllo di
raggiungibilità del sorgente del pacchetto multicast)
Questo comando permette di associare l’attivazione del routing multicast allo stato di un
preciso Virtual Route del VRRP (analogamente a quanto accade per la funzionalità di
PROXY ARP).
Sintassi Stato
ADD IP MULTICAST <Class D IpAddress> <Interface> [<Interface>] CONFIG,
[<Interface>] [<Interface>] [<Interface>] [<Interface>] [<Interface>] CONFIG RUN
[<Interface>] [<Interface>] [<Interface>][<Interface>] [<Interface>] RELEASE
Con questo comando è possibile selezionare più interfacce su cui indirizzare i pacchetti
multicast, ad eccezione dell’interfaccia di ingresso del pacchetto stesso.
IGMP
Il ruolo di IGMP è, in effetti, quello di gestire il multicast alla base, consentendo la definizione
e l’aggiornamento dei “gruppi di host” presenti sulla rete. Le informazioni che IGMP è in
grado di fornire verranno in seguito utilizzate da altri protocolli di routing multicast, quali ad
esempio PIM, per gestire il traffico su una rete ad indirizzamento multiplo. Si comprende,
quindi, come IGMP sia alla base dei meccanismi di gestione delle tecnologie prettamente
multicast.
IGMP viene utilizzato dagli host di una rete per comunicare ai router a loro adiacenti la
propria appartenenza a gruppi di host definiti sulla rete ed ai router per scambiarsi
informazioni sulla presenza di gruppi sulla rete stessa.
IGMP fu progettato in origine per host su reti multiaccesso, allo scopo di consentire ai router
collegati localmente di far conoscere la propria appartenenza a determinati gruppi. In base
alle informazioni ottenute, i router multicast gestiscono lo scambio delle informazioni con gli
altri router presenti sulla rete.
Descrizione funzionale
I router multicast utilizzano IGMP per determinare dinamicamente la struttura dei gruppi e
stabilire all’interno di ogni gruppo quali sono gli host che sono collegati alla loro rete fisica.
Un router multicast conserva una “lista di appartenenza a gruppi” per ogni rete collegata, ed
un timer per ogni relazione di appartenenza. Si noti comunque che “appartenenza a gruppi
multicast” sta ad intendere la presenza di almeno un membro di un gruppo multicast su una
rete collegata e non la lista di tutti i membri.
IGMP V1
IGMP V2
IGMP V3
La versione 3 implementa un supporto di “source filtering” per tutti quei sistemi che
selezionano il traffico multicast direzionato verso un particolare gruppo sulla base di un
insieme definito di indirizzi IP Unicast sorgenti. Lo scopo risulta quello di diminuire il carico
sulla rete eliminando il traffico indesiderato proveniente da particolari sorgenti.
QueryV2 + QueryV3
contempoaranee
SQI interval
Report V3
Router IGMP
URI interval
configured
Report V3
Sintassi Stato
<Interface> IGMP JOIN GROUP <Class D IpAddress> [PORT] CONFIG
[<Integer,Integer,…>] RELEASE
Nel caso in cui il protocollo IGMP sia configurato IGMP_HOST sulla medesima interfaccia
specificata nel comando “<Interface> IGMP JOIN GROUP <ip addr>”, l’effetto è che <ip
addr> (l’indirizzo specifico di un gruppo) verrà comunicato tra i gruppi di appartenenza nella
risposta IGMP ad una eventuale richiesta.
Il comando che segue configura una modalità di condivisione delle informazioni igmp su due
interfacce
Sintassi Stato
<Interface> JOIN GROUPFROM <Interface>[/<Integer>] [FORWARD] CONFIG
RELEASE
NOTA: i protocolli multicast OSPF e VRRP non hanno necessità di fare inserire i
propri indirizzi multicast tra quelli che insistono sulle varie interfacce dell’apparato,
poiché i pacchetti IP che li riguardano non sono instradabili (TTL = 1) quindi
eventualmente il protocollo IGMP in modalità IGMP_HOST non deve comunicare
l’appartenenza a quei gruppi. Nel caso in cui il protocollo di livello superiore abbia
la necessità di ricevere pacchetti multicast instradati da gateway multicast, è
necessario che il gruppo di tali pacchetti venga inserito fra i gruppi che insistono su
tutte le interfacce per fare in modo che IGMP in modalità IGMP_HOST comunichi
l’appartenenza a tale gruppo in risposta ad una Query IGMP inviata da un gateway
multicast.
Vincoli e limitazioni
Il protocollo IGMP può essere configurato esclusivamente solo su interfacce fisiche di tipo
ethernet, ISDN, ADSL e logiche di tipo TUNNEL.
Questo modulo gestisce per sua natura solo indirizzi di tipo multicast.
PIM
Sparse Mode;
Dense Mode.
La modalità Sparse si usa quando gli utenti multicast sono un numero limitato rispetto agli
utenti globali della rete e si vuole limitare l’utilizzo della linea per messaggi di servizio. Il PIM
Sparse Mode utilizza il metodo di instradamento ad albero di distribuzione condiviso e
permette, inoltre, la completa dinamicità della rete se i router vengono configurati
opportunamente (modalità Sparse-mode con RP dinamico).
La modalità Dense viene usata quando gli utenti multicast sono la totalità degli utenti della
rete (piccole reti densamente popolate dal multicast); utilizza il metodo di distribuzione ad
albero basato sulla sorgente.
In entrambi i casi il protocollo PIM si appoggia sulla LAN al protocollo IGMP per creare i
gruppi multicast di appartenenza.
Sia in Sparse Mode che in Dense Mode esistono router chamati Designate Router che
hanno, sulla Lan, il compito di determinare i gruppi di host multicast trasmettendo ogni 30
secondi messaggi di Hello.
Il meccanismo di funzionamento del DR (Designate Router) è strettamente legato al
protocollo IGMP (Internet Group Multicast Protocol) che deve essere necessariamente
configurato sulle interfacce ethernet e che comunica, attraverso pacchetti IGMP di “Request
e Respons”, quali sono i gruppi multicast presenti sulla LAN.
Il DR viene eletto scegliendo, fra tutti i router che mandano messaggi di Hello, quello con
indirizzo IP più alto.
Il PIM deve, inoltre, interagire con i protocolli di routing unicast, quindi convivere con RIP,
OSPF e BGP.
qualora ci siano più percorsi per arrivare allo stesso ricevente, si sceglie il percorso
più corto utilizzando il criterio degli Hop.
Source Int. Group Register Rendez_vouz Point Input Int. Output Int.
Source è un indirizzo sorgente del Multicast: può essere un indirizzo unicast oppure un
indirizzo jolly “*” nel caso in cui il pacchetto venga inoltrato dal router RP.
Group è un indirizzo di classe D che risulta essere l’indirizzo di destinazione dei pacchetti
multicast.
Register è un flag usato solo dal PIM Sparse Mode ed indica che nel pacchetto S e G
coincidono. Il Designate Router si occupa di incapsulare il pacchetto in un pacchetto di
registrazione e lo invia a RP.
Rendez_vouz Point è un flag che, se è configurato, indica la presenza dell’indirizzo IP nel
Rendez_vouz Point di questo gruppo.
Input Interface indica da quale interfaccia entrano i pacchetti appartenenti binomio S,G. Se
un pacchetto S,G arriva da una interfaccia non considerata Input IF viene scartato.
PIM ENABLE
Per attivare il PIM su un’interfaccia, questo comando deve precedere tutti gli altri.
Sintassi Stato
<Interface>[/<Integer>] PIM ON < SPARSE/DENSE > MODE CONFIG,
CONFIG RUN
RELEASE
PIM RP
Sintassi Stato
PIM RP <IP Address> GROUP <Class D IpAddress><IP mask> CONFIG,
CONFIG RUN
RELEASE
PIM CRP
Sintassi Stato
PIM RP_CANDIDATE <Interface>[/<Integer>] GROUP <Class D CONFIG,
IpAddress><IP Mask > CONFIG RUN
RELEASE
PIM CBSR
Sintassi Stato
PIM BSR_ CANDIDATE <Interface>[/<Integer>] PRIORITY <Integer> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >pim bsr_candidate ethernet2 priority 1
PIM THRESHOLD
Il seguente comando consente, grazie al PIM SM, di poter passare da una topologia Shared
poco conveniente ad una del tipo Source dopo un certo numero (integer1) di pacchetti
derivanti da una stessa sorgente, o dopo un certo numero (integer2) di pacchetti destinati ad
uno stesso gruppo, o dopo un certo numero (integer3) di secondi.
Sintassi Stato
PIM THRESHOLD SOURCE <integer1> GROUP <integer2> PERIOD CONFIG,
<number of seconds> CONFIG RUN
RELEASE
PIM BORDER
Sintassi Stato
PIM BORDER CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >pim border
PIM PRIORITY
Sintassi Stato
PIM DR <Interface>[/<Integer>] PRIORITY <Integer> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >pim dr ethernet1 priority 10
PIM HOLDTIME
Sintassi Stato
PIM RP_HOLD_TIME <number of seconds> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) > PIM RP_HOLD_TIME 100
PIM ADVISTIME
Configura il valore del timer d’invio dei messaggi di hello fra i vicini.
Sintassi Stato
PIM NEIGHBOR <Interface>[/<Integer>] ADVISTIME <number of CONFIG,
seconds> CONFIG RUN
RELEASE
Esempio
(CONFIG) >pim NEIGHBOR ethernet1 ADVISTIME 10
PIM COMPATIBLE
Sintassi Stato
PIM REGISTER COMPATIBLE ON [RP_CANDIDATE] [<IP Address>] CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >PIM REGISTER COMPATIBLE ON
Sintassi Stato
PIM BSR COMPATIBLE ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >PIM BSR COMPATIBLE ON
PIM RP COMPATIBLE
Sintassi Stato
PIM RP COMPATIBLE ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >PIM RP COMPATIBLE ON
TRACK MULTICAST
Introduzione
Comandi di configurazione
Sintassi Stato
TRACK <Id Track> MULTICAST <Interface>[/<Integer>] CONFIG,
<Interface>[/<Integer>] <Interface>[/<Integer>] <Interface>[/<Integer>] RELEASE
10 RIDONDANZA
VRRP (VIRTUAL ROUTER REDUNDANCY PROTOCOL)
Il protocollo VRRP (Virtual Router Redundancy Protocol) è un protocollo utilizzato per
ottenere il backup fisico, in modo automatico, su reti locali di tipo ethernet con protocollo IP
configurato.
Il protocollo VRRP viene applicato a due o più router collegati in parallelo. Il Router A ed il
router B possono entrambi essere default gateway di host della rete 1. Il VRRP deve essere
configurato su entrambe le macchine. Se uno dei due router va in fault, l’altro router, oltre a
mantenere le proprie funzioni, prende anche l’indirizzo/IP del router guasto: questo
passaggio prevede che il protocollo IP degli apparati che gestiscono il VRRP, supporti il
multiindirizzamento IP sulle interfacce.
Il protocollo VRRP utilizza il protocollo IP per inviare e ricevere informazioni.
Il numero di protocollo assegnato dalla IANA al VRRP, riconoscibile sullo header del
pacchetto IP, è 112 decimale.
Il VRRP utilizza lo scambio di messaggi IP Multicast sull’indirizzo 224.0.0.18 con
indirizzamento fisico multicast.
Per comprendere e configurare correttamente il protocollo VRRP occorre tenere presenti i
seguenti concetti:
VIRTUAL ROUTER: router virtuale, identificato da un numero detto Virtual Router ID
(VRID) e uno o più indirizzi IP detti ‘indirizzi del Virtual Router’ che non devono
necessariamente essere presenti sulla LAN. La definizione di un Virtual Router vale
solo all’interno di una LAN (ovvero si può assegnare lo stesso VRID a Virtual Router
definiti su LAN diverse)
Router VRRP: router con configurato il protocollo VRRP
Gruppo VRRP: gruppo di router VRRP configurati per fare il backup dello stesso
Virtual Router
Router possessore dell'indirizzo del Virtual Router: router VRRP che possiede gli
indirizzi IP del Virtual Router, ovvero che ha tali indirizzi configurati sulla propria
interfaccia ethernet con il comando “ethernet1 ip on”. Il possessore dell'indirizzo
virtuale è quello a cui viene assegnata in fase di configurazione la priorità 255. Non è
obbligatorio che all’interno di gruppo VRRP sia presente il possessore dell’indirizzo
del Virtual Router.
Router A
RETE Router C
Router B
Host 2
Host 1
Fig. 10.1
Con riferimento alla figura 10.1 si suppone che Host1 comunichi con Host2 attraverso il
RouterA. Se i due router partecipano al protocollo VRRP ed il RouterA manifesta uno dei
malfunzionamenti citati, il Router B è in grado di prendere il suo posto in modo del tutto
trasparente ai due host (figura 10.2). Questa situazione può essere estesa a più router a
condizione che siano connessi fisicamente alle rispettive reti ethernet ed abbiano il protocollo
VRRP attivo.
Router A
RETE Router C
Router B
Host 1 Host 2
Router virtuale
Fig. 10.2
configurazione con due o più router di Backup aventi la stessa priorità, il ruolo di
Master verrà preso dal router che ha l’indirizzo IP più alto.
Tutti i router partecipanti al protocollo VRRP assumono lo stato initialize subito dopo il
boot, mentre il router sta analizzando ed eseguendo i suoi comandi di configurazione
o quando una qualsiasi delle interfacce configurate IP va in stato di down (ad esempio
per la disconnessione di un cavo). In questo stato il router rimane passivo al protocollo
VRRP. Al raggiungimento delle condizioni di corretta funzionalità il router, in funzione
del valore assegnato alla priorità, assume lo stato Master o Backup e partecipa
attivamente al VRRP.
È importante notare che, nel caso di un apparato che abbia lo stesso VRID configurato su
iverse interfacce ethernet, basta che una sola di esse passi Initialize perchè anche tutte le
altre vengano messe Initialize.
Una classica applicazione a tale riguardo è quella che prevede due router collegati in
parallelo come in figura 10.3 con stesso VRID 1 configurato sulle LAN 1 e 2 (si sceglie di
configurare lo stesso VRID su diverse interfacce in modo che queste vengano messe
contemporaneamente Initialize quando anche una sola delle sue ethernet vada in down,
escludendo completamente l’apparato dal traffico IP). Il router A è Master a priorità 255 per
entrambi i Virtual Router. I due host A e B e la rete R hanno il router A come gateway di
default. In questo modo, in condizioni di normalità, la gran parte del traffico IP passa per il
router A.
LAN 1 LAN 2
10.0.0.1 20.0.0.1
Router A
Host A (MASTER)
RETE R
Router B
(BACKUP)
10.0.0.2 20.0.0.2
Host B
VR 1 VR 1
Ip 10.0.0.1 Ip 20.0.0.1
Fig. 10.3
Se il router A per un qualche motivo va in fault e quindi interrompe l’invio dei messaggi di
refresh, il router B, trascorso il tempo massimo di attesa dei messaggi, assume lo stato di
Master, inserisce sulle proprie interfacce gli indirizzi IP del Virtual Router configurati (in
questo caso 10.0.0.1 e 20.0.0.1, essendo A a priorità 255 su entrambe le sue ethernet) ed
invia una chiamata di ARP per questi nuovi indirizzi. Da questo momento il router B ha
l’interfaccia sulla LAN 1 configurata con gli indirizzi IP 10.0.0.2 e 10.0.0.1, e l’interfaccia sulla
LAN 2 con gli indirizzi 20.0.0.2 e 20.0.0.1; il traffico IP che prima transitava per il router A ora
viene instradato dal router B.
Al ripristino della sua completa funzionalità il router A effettua una chiamata ARP per ogni
indirizzo IP delle proprie interfacce LAN dove è configurato il VRRP e riprende ad inviare
periodicamente i suoi messaggi di advertisement. Il router B ritorna al suo stato iniziale di
Backup ed elimina dalla configurazione IP delle sue interfacce gli indirizzi 10.0.0.1 e 20.0.0.1
del Virtual Router. In questo modo vengono ripristinate le condizioni iniziali di traffico IP
instradato tramite il router A.
È bene notare che nella situazione descritta in precedenza non è obbligatorio configurare un
apparato a priorità 255. Si possono infatti definire due Virtual Router (uno per LAN) con
indirizzi di Virtual Router non appartenenti a nessun apparato: tali indirizzi ‘virtuali’ saranno
quelli di cui verrà fatto il backup tramite il VRRP, e saranno anche i default gateway degli
host A e B e della rete R (vedi fig. 10.4).
LAN 1 LAN 2
10.0.0.1 20.0.0.1
Router A
Host A (MASTER)
RETE R
Router B
(BACKUP)
10.0.0.2 20.0.0.2
Host B
VR 1 VR 1
Ip 10.0.0.3 Ip 20.0.0.3
Fig. 10.4
Rispetto alla situazione precedente, cambia la necessità di dover configurare gli indirizzi dei
due Virtual Router sia sul Master, che su entrambe le LAN avrà la priorità più alta ma
inferiore a 255, sia sul Backup: gli indirizzi di Virtual Router da configurare saranno 10.0.0.3
e 20.0.0.3 rispettivamente sulle LAN 1 e 2. Questi indirizzi di Virtual Router verranno aggiunti
alle interfacce di competenza dall’apparato che sta svolgendo il ruolo di Master.
Un router partecipante al VRRP nel momento in cui passa da uno stato Backup o Initialize
allo stato Master invia un certo numero di messaggi di tipo ARP REQUEST utilizzando come
indirizzo sorgente l’indirizzo IP virtuale primario relativamente all’interfaccia in oggetto (che è
il proprio indirizzo IP se ha priorità 255). Lo scopo di questi messaggi è quello di creare o
aggiornare l’associazione tra l’indirizzo IP del Virtual Router e l’indirizzo fisico del router che
in quel momento si trova nello stato di Master nelle tabelle ARP di tutti i router e host
appartenenti alla LAN in oggetto. Per avere una maggiore sicurezza che tutti gli apparati
connessi sulla LAN li ricevano, questi messaggi vengono inviati in un numero configurabile e
con un intervallo di tempo l’uno dall’altro che è il medesimo intervallo con il quale vengono
inviati i messaggi di advertisement dal Master.
Per quanto riguarda la funzionalità del VRRP con la sicurezza, il router che viene messo in
Backup perderà anche tutte le informazioni dinamiche relative alla sicurezza.
Funzionalità di tracking
altre interfacce, non configurate con lo stesso VRID, e di associare ad esso il VRRP. Questo
significa che è possibile mettere Initialize un’interfaccia configurata VRRP (o decrementarne
la priorità all’interno di un gruppo abbinando il DECREASE al TRACK) quando lo stato
dell’interfaccia ‘tracked’ è down.
Comandi di configurazione
La configurazione dei parametri del protocollo VRRP è relativa alle interfacce che devono
essere di tipo ethernet.
I comandi di configurazione del VRRP sono i seguenti:
Sintassi Stato
<Interface>[/<Integer>] VRRP < Virtual Router ID > ON CONFIG
RELEASE
Sintassi Stato
<Interface>[/<Integer>] VRRP < Virtual Router ID > PRIORITY < Priority CONFIG
number between 1-255 > RELEASE
NOTA: in caso di apparati appartenenti allo stesso gruppo VRRP configurati con
la medesima priorità vincerà quello con l’indirizzo IP più alto.
Sintassi Stato
<Interface>[/<Integer>] VRRP < Virtual Router ID > ADVISTIME < Refresh CONFIG
Time (tenths of seconds) > RELEASE
Sintassi Stato
<Interface>[/<Integer>] VRRP <Virtual Router ID> PREEMPTMODE OFF CONFIG
RELEASE
Esempio
(Config) >ethernet1 vrrp 5 PREEMPTMODE OFF
Sintassi Stato
<Interface>[/<Integer>] VRRP <Virtual Router ID> PREEMPTMODE ON CONFIG
RELEASE
Per configurare il numero dei messaggi di ARP REQUEST che un router invia quando passa
da uno stato allo stato di MASTER, viene utilizzato il seguente comando:
Sintassi Stato
<Interface>[/<Integer>] VRRP < Virtual Router ID > SENDARP < num send CONFIG
arp request >[NO_REPLY] RELEASE
Per configurare gli indirizzi IP del Virtual Router si usa il comando <Interface>[/<Integer>]
VRRP <Virtual Router ID> Address <IP Address>; questo comando va necessariamente
configurato sui router di Backup, con tutti gli indirizzi contenuti nel pacchetto VRRP mandato
dal Master a priorità 255 (sono tutti quelli configurati sull’interfaccia del Master e compaiono
nel DUMP VRRP accanto alla voce ‘Virtual Router Ip Address’). Deve essere configurato
anche su un Master a priorità minore di 255: questo nel caso si voglia fare il backup di un
indirizzo non necessariamente presente nella rete.
Sintassi Stato
<Interface>[/<Integer>] VRRP < Virtual Router ID > Address < IP Address> CONFIG
RELEASE
Oltre all’IP ADDRESS virtuale il VRRP “lavora” con il MAC virtuale.Quest’ultimo è calcolato
nel seguente modo:
Comandi di tracking
Il comando che segue abilita la funzionalità di tracking fra più interfacce (max 10) che sono
raggruppate dall’identificativo < integer >:
Sintassi Stato
Track <track (0-9)> <interface> [ / <Integer> ] [ <Interface> [ / <Integer> ] ] CONFIG
[<Interface> [ / <Integer> ] ] [ <Interface> [ / <Integer> ] ] [ <Interface> [ / RELEASE
<Integer> ] ] [ <Interface> [ / <Integer> ] ] [<Interface> [ / <Integer> ] ] [
<Interface> [ / <Integer> ] ] [ <Interface> [ / <Integer> ] ] [ <Interface> [ /
<Integer> ] ] [NONE]
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>[/<Integer>]: interfaccia
[<Integer>]: identificativo che raggruppa le interfacce
Esempio
(Config) >track 1 serial1
Con più interfacce configurate,basta che una di esse va down che scatta il track.Con il
parametro NONE configurato fino a che tutte le interfacce sono down il track non scatta.
Il comando che segue, previo utilizzo del comando precedente, permette di associare lo
stato del VRRP allo stato dell'interfaccia 'tracked'; in riferimento all’ esempio precedente, nel
caso in cui l’interfaccia serial1 vada ‘down’, il VRRP <Virtual Router Number> sull'interfaccia
<Interface> verrà messo Initialize:
Sintassi Stato
<Interface> [/<Integer>] VRRP <Virtual Router ID> TRACK [<Integer>] CONFIG
RELEASE
Sintassi Stato
<Interface> [/<Integer>] VRRP <Virtual Router ID> DECREASE [<Integer>] CONFIG
RELEASE
Il TRACK-WATCH può essere configurato solo negli apparati con il VRRP ed il TRACK
attivo. Può essere configurato dallo stato di “Confing”:
Sintassi Stato
TRACK<track number (0-9)>TRACK-WATCH ON[{LOCAL |STATIC |BGP CONFIG
|OSPF|RIP}] [LIST] [<Integer>] [JUST-ONE] RELEASE
Esempio
(Config) >TRACK 1 TRACK-WATCH ON
Può essere configurato per protocollo (primo campo),per lista (secondo campo),oppure per
protocollo per lista (entrambi i campi).
Nel primo caso fino a che in tabella di routing c’è una entry del protocollo configurato il track-
watch non manda l’”avviso” al track.Nel secondo caso deve essere configurato il numero di
lista,che sarà legato a entry specifiche tramite il prossimo comando.Se il campo (opzionale)
JUST-ONE viene configurato,al momento che una delle sole entry definita in una lista non è
più raggiungibile,viene mandato l’”avviso” al track.
Sintassi Stato
TRACK-WATCH LIST <Integer><IP Address>[<Mask>] CONFIG
RELEASE
Esempio
(Config) >TRACK-WATCH LIST 10 20.0.0.1 255.255.255.0
Con questo comando si configura il numero della lista e la entry associata.Per ogni lista
possono essere associate piu entry.
11 INTERFACCIA SERIALE
Si può selezionare il clock per l’interfaccia seriale specificata usando il comando «CLOCK».
Si può selezionare sia un clock interno (e quindi sarà il router a fornirlo all'apparato
connesso) sia un clock esterno (e quindi il router userà quello generato dell'apparato
connesso). La velocità massima in ogni caso è di 2 Mb/sec.
COMANDI DI CONFIGURAZIONE
Sintassi Stato
<Interface> CLOCK <baud rate> [MIX | TCI] CONFIG
RELEASE
Si può abilitare il controllo dei criteri DCD e CTS sull’interfaccia seriale usando il comando
«CTRL DCDCTS».
Sintassi Stato
<Interface> CTRL DCDCTS ON/OFF CONFIG
RELEASE
Si può impostare la modalità di trasmissione della porta in NRZ o NRZI usando il comando
«TYPTRM».
Sintassi Stato
<Interface> TYPTRM <string> CONFIG
RELEASE
Sintassi Stato
<Interface> MODE <string> CONFIG
RELEASE
Si può configurare il numero di stop bit sull’interfaccia seriale nel caso di trasmissione
asincrona, usando il comando «MODE UART STOP».
Sintassi Stato
<Interface> UART STOP < Stop Bits > CONFIG
RELEASE
Si può configurare il numero di bit per carattere sull’interfaccia seriale in caso di trasmissione
asincrona, usando il comando «MODE UART DATA».
Sintassi Stato
<Interface> UART DATA < Data Bits > CONFIG
RELEASE
Sintassi Stato
<Interface> UART PARITY < None/Odd/Even/High/Low > CONFIG
RELEASE
Sintassi Stato
<Interface> UART MODE < Char/Pkt > CONFIG
RELEASE
CHAR,
PKT.
Esempio
(Config) >serial1 uart mode pkt
Sintassi Stato
<Interface> UART ENDPKT <None/Etx/Cr/Lf/Eot> CONFIG
RELEASE
<Interface> UART ENDPKT <Ascii Code EndPkt>
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: SERIAL1
SERIAL2
<None/Etx/Cr/Lf/Eot>: valori ammessi
<Ascii Code EndPkt>: indica il codice ASCII in decimale del carattere di fine
pacchetto.
Esempio
(Config) >serial1 uart endpkt cr
(Config) >serial1 uart endpkt 13
Sintassi Stato
<Interface> UART TMO < Time > CONFIG
RELEASE
12 PROTOCOLLI ATM
IMA
La tecnologia IMA (Inverse Multiplexing over ATM) combina link multipli T1 o E1 in modo da
formare un canale di banda di dimensioni più grandi. Le celle ATM sono trasmesse su tutti i
link IMA attivi in modalità 'round robin' per assicurare che la distribuzione del traffico copra
tutti i link. In ogni link, tra l’interfaccia IMA trasmittente e l’interfaccia IMA ricevente, le celle
ATM sono trasmesse in gruppi chiamati frame IMA. Ogni frame è composta da M celle, dove
M può assumere valori rispettivamente di 32, 64, 128 (valore di default), 256.
Una delle M celle su ogni link è una cella ICP, o cella di controllo del protocollo, che gestisce
lo stato di ogni link IMA e che è riconosciuta dal suo header. Questa cella contiene
informazioni, come IMA-ID, LINK-ID, FRAME SEQUENCE NUMBER (0; M-1) e la posizione
della cella ICP in una frame IMA.
Periodicamente l’interfaccia IMA trasmittente invia, su ATM, all’interfaccia IMA ricevente celle
speciali (celle ICP) per identificare IMA-ID, LINK-ID, FRAME SEQUENCE NUMBER, per
allineare nell’ordine corretto le frame e ricostruire lo stream originario, per migliorare la
sincronizzazione del link stesso.
IMA è utilizzata nelle reti DSL per l'interconnessione di DSLAM, per connettere reti Wireless
3G alla Base Station con punti Radio Network Controller Access e tradizionali reti ATM.
La figura sottostante mostra come un flusso di celle ATM venga trasmesso attraverso link
multipli e ricombinato riformando il flusso originale.
Fig. 12.1
In ciascun link ogni frame contiene una cella ICP, alcune celle ATM e, facoltativamente, delle
celle FILLER che, come le celle ATM, sono ricevute dal layer ATM. Se non ci sono celle ATM
da inviare (ciò può accadere se la velocità associata ai link supera la velocità di trasmissione
ATM del trasmittente), l’interfaccia IMA trasmittente invia delle celle FILLER per mantenere
continuo lo stream di celle sul livello fisico del link. Le celle FILLER sono utilizzate per il
CELL RATE DECOUPLING in ogni link e vengono rimosse dall’interfaccia IMA ricevente,
presso la quale, una volta riconosciuta la cella ICP, viene ricostruito lo stream iniziale.
STUFFING
Al fine di evitare eccessive discordanze nella sincronizzazione delle frame è importante il
timing di ogni link. In questo caso entra in gioco la modalità di Stuffing, in cui vengono
trasmesse delle celle di STUFF per compensare le differenze di timing tra i link di un gruppo
IMA. Esistono due possibili modalità di Stuffing: Common Transmit Clock (CTC) e
Independent Transmit Clock (ITC). Se si utilizza il CTC, tutti i link sono sincronizzati con una
sorgente comune. Se si utilizza la modalità ITC, un link viene definito come Timing
Reference Link (TRL).
Oltre alle celle FILLER che sono inserite per mantenere uno stream continuo di celle sul link,
potrebbero essere inserite delle celle ICP per calcolare le differenze di clock tra i link. Le
specifiche dell'ATM Forum IMA richiedono che, quando l’interfaccia IMA trasmittente sta
operando in modalità CTC, i trasmettitori IMA introducano un riempimento ogni 2048 celle
(se sono celle ICP, FILLER o ATM) su tutti i link.
LIMITAZIONI: attualmente è possibile configurare l’interfaccia IMA su Sas-860 EN+ sullo slot
n°1 e su SAS-900 sullo slot n°1 e n°2, dove è presente il bus UTOPIA. Ogni interfaccia può
gestire un traffico fino a 2Mbit, per un totale di 8 Mbit per scheda e può essere collegata ad
un’altra corrispondente interfaccia IMA su SaS o router di altro tipo.
Sintassi Stato
<Inteface> ATM SET VERSION <Alphanumeric String> CONFIG
RELEASE
Il comando che segue abilita o meno la compatibilità con Cisco per quanto riguarda la
gestione delle UnAssigned Cell e del recovery del link di riferimento.
Cisco, infatti, quando riceve UnAssigned Cell, contrariamente allo standard, manda down il
link IMA.
Sintassi Stato
<Inteface> ATM COMPATIBLE <ON/OFF > CONFIG
RELEASE
Sintassi Stato
<Interface> ATM GROUP <group number> DIFFERENTIAL-DELAY- CONFIG
MAXIMUM <DDM value> ACTIVE-LINKS-MINIMUM <ALM value> RELEASE
Sintassi Stato
<Interface> ATM GROUP <Group Number> CLOCK-MODE <COMMON | CONFIG
INDEPENDENT> [<CM number (only ifCOMMON)>] RELEASE
Il comando che segue consente di configurare la lunghezza delle frame del gruppo IMA.
Sintassi RELEASE
<Interface> ATM GROUP <Group Number> FRAME-LENGTH <Frame
length (32,64,128,256)>
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia IMA1 e IMA2
<Group Number>: numero identificativo del gruppo, varialbile tra 0 e 3. Allo stato
attuale è possibile configurare solo il gruppo 0 per IMA1 ed il
gruppo1 per IMA2.
Esempio
(Config) >IMA1 ATM GROUP 0 FRAME-LENGTH 32
Il comando che segue abilita, per il gruppo selezionato, la funzionalità di scrambling che
codifica le celle ATM. Lo scrambling è usato per rendere Random la sequenza di 1 e 0 nelle
celle ATM al fine di evitatre un pattern di bit non variabile (in generale i protocolli per
mantenersi agganciati al clock contano su frequenti transizioni da 1 a 0 e viceversa).
Sintassi RELEASE
<Interface> ATM GROUP <Group Number> SCRAMBLING CELL-
PAYLOAD
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia IMA1, IMA2 e SHDSL1
<Group Number>: numero identificativo del gruppo, varialbile tra 0 e 3. Allo stato
attuale è possibile configurare solo il gruppo 0 per IMA1 ed il
gruppo1 per IMA2.
Esempio
(Config) >IMA1 ATM GROUP 0 SCRAMBLING CELL-PAYLOAD
Il seguente comando abilita, per il gruppo selezionato, la funzionalità di Looped Timed (LT)
Sintassi RELEASE
<Interface> ATM GROUP <Group Number> CLOCK NO_LT <Integer>
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia IMA1 e IMA2
<Group Number>: numero identificativo del gruppo, varialbile tra 0 e 3. Allo stato
attuale è possibile configurare solo il gruppo 0 per IMA1 ed il
gruppo1 per IMA2.
<Integer>: valore intero che può assumere valore 0 oppure 1. Nel primo caso
(NO_LT = 0) il clock di trasmissione è agganciato al clock di
ricezione; nel secondo caso (NO_LT = 1) il clock di trasmissione
non è agganciato al clock di ricezione
Esempio
(Config) >IMA1 ATM GROUP 0 CLOCK NO_LT 0
Attraverso il seguente comando, viene trasmesso alle celle ICP il valore identificativo del
gruppo IMA selezionato.
Sintassi RELEASE
<Interface> ATM GROUP <Group Number> IMA-ID <ima id [0,255]>
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia IMA1 e IMA2
<Group Number>: numero identificativo del gruppo, varialbile tra 0 e 3. Allo stato
attuale è possibile configurare solo il gruppo 0 per IMA1 ed il
gruppo1 per IMA2.
Esempio
(Config) >IMA1 ATM GROUP 0 IMA-ID 255
Sintassi RELEASE
<Interface> ATM GROUP <Group Number> STUFF <stuff adv mode [0,1]>
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>: interfaccia IMA1 e IMA2
<Group Number>: numero identificativo del gruppo, varialbile tra 0 e 3. Allo stato
attuale è possibile configurare solo il gruppo 0 per IMA1 ed il
gruppo1 per IMA2.
Esempio
(Config) >IMA1 ATM GROUP 0 STUFF 1
Sintassi Stato
<Interface> ATM PORT <port number> IMA-GROUP <Group Number> CONFIG
RELEASE
Il comando che segue consente di configuare il parametro LBO (Line Build Out) come
SHORT-HAUL (DS1), che è il valore di default, oppure come LONG-HAUL (DSX-1).
Sintassi Stato
<Interface> ATM PORT <port number> LBO <LONG|SHORT> CONFIG
RELEASE
ADSL
La connessione ADSL connette direttamente l’utente alla centrale telefonica. Dalla centrale
telefonica al Provider si utilizzano delle connessioni basate su protocollo ATM utilizzando o le
infrastrutture già esistenti (come la rete ATM Telecom) o reti private ATM.
L’ADSL nasce per trasportare celle ATM, in modo da rendere più semplice possibile,
l’interconnessione tra ADSL e trasporto ATM.
Il fatto di trasportare l’ATM con l'ADSL si paga con la necessità di dover gestire una parte
dell’ATM, in casa dell’utente (o nel Router/Modem o nel PC).
IP over Ethernet (IPoE): il MODEM ADSL è connesso alla LAN locale attraverso un
collegamento Ethernet. Ogni PC che vuole collegarsi con il Provider, dovrà gestire
una connessione in PPPoE ed il modem funzionerà da semplice BRIDGE
IP over ATM (PPPoA): il MODEM ADSL è connesso direttamente ad un solo PC (in
USB o con una scheda interna); il PC potrà utilizzare una connessione PPPoA per
collegarsi al Provider.
IP over ATM (IPoA): in questo caso non c’è il PPP (e quindi mancano tutti I servizi
messi a disposizione del PPP quale l’autenticazione e l’assegnazione dell’indirizzo
IP), ma l’utente (in questo caso è di solito un Router) è connesso direttamente alla
rete IP del Provider
Realizzazione di un driver conforme ai driver già presenti, in grado di gestire dei PVC
ATM, con le seguenti caratteristiche:
ATM ON
Questo comando attiva l’interfaccia ADSL, o IMA, o SHDSL. Deve essere sempre presente e
fornito come primo comando.
Sintassi Stato
<Interface> ATM ON CONFIG
RELEASE
Sintassi Stato
<IFC> ENC RFC1483B CONFIG
RELEASE
Modifica la modalità di lavoro dell’ADSL+ forzandola sul tipo che si vuole es:ADSL2 , ADSL.
In uso solo su apparati con ADSL2+, la modalità AUTO forza la modulazione sulla velocità
del DSLAM con cui si interfaccia.
Sintassi Stato
<IFC> OPERMODE <ADSL|ADSL2|ADSL2+|AUTO> CONFIG
RELEASE
Sintassi Stato
CONFIG,
<Interface>[/<Integer>] ATM ADD PVC <PVC (1-32)> [SHUTDOWN] CONFIG RUN
[NO_SHUTDOWN] RELEASE
ATM PVC
Sintassi Stato
<Interface>[/<Integer>] ATM PVC <Integer> <CBR / VBR_RT / VBR_NRT / CONFIG
VBR2_RT / VBR2_NRT / ABR / UBR> <PCR (4%-100% phys rate)> [<SCR RELEASE
(4%-100% phys rate; only VBR)>] [<MBS (cells number; only VBR)>]
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>[/<Integer>]: interfaccia/subinterface ADSL1, o ADSL2, o IMA1, IMA2, o
SHDSL1
<Integer>: numero intero, variabile da 1 a 32, che specifica il numero del
PVC
<CBR/VBR_RT/VBR_NR tipologie e servizi di traffico:
T/VBR2_RT CBR: Costant Bit Rate – la sorgente emette dati con
/VBR2_NRT/ABR/UBR>: temporizzazione fissata ed una quantità di bit fissata. La
connessione con classe di servizio CBR mette a
disposizione una banda garantita, definita dal PCR, per
tutto il suo tempo di vita ed è adatta al trasferimento
affidabile di traffico real time e bit rate costante pari al
PCR.
VBR_RT: Variable Bit Rate Real Time - la sorgente
emette quantità di dati aleatorie con temporizzazione
fissata. La sorgente comunica le caratteristiche del traffico
generato in termini di PCR, SCR, MBS. La connessione
con classe di servizio VBR è adatta per applicazioni real
time che generano traffico a bit rate variabile.
VBR_NRT: la sorgente emette a cadenze variabili,
quantità variabili di dati. Pensata esplicitamente per
applicazioni non real time.
ABR: Avaible Bit Rate – tale categoria prevede un
meccanismo di controlo di flusso mediante il quale la rete
può sollecitare la sorgente a ridurre il bit rate trasmesso,
in caso di congestione, incrementare il bit rate trasmesso
se vi sono risorse disponibili.
UBR: Unspecified Bit Rate – servizio attivo di default. Una
connessione UBR offre un servizio di trasporto dati di tipo
best effort. La sorgente emette un flusso di celle a bit rate
variabile fino ad un massimo specificato pari al PCR.
<PCR (4%-100% phys Peak Cell Rate – velocità massima possibile impostata in
rate)>: configurazione, variabile tra il 4% e il 100% del physical rate
(percentuale di banda massima in trasmissione che verrà
riservata a quel PVC).
[<SCR (4%-100% phys Sustainable Cell Rate - velocità media di trasmissione ed è
rate; only VBR)>]: definita in percentuale del physical rate, variabile tra il 4% e il
100%.
[<MBS (cells number; Minimum Cell Rate – numero di celle consecutive che vengono
only VBR)>]: trasmesse alla velocità impostata dal PCR.
Esempio
(Config) >adsl1 atm pvc 1 ubr 40
Con questo comando si specifica che la banda massima riservata al PVC 1 è il 40% della
banda totale.
Sintassi Stato
<Interface> ATM PVC <PVC NUMBER (1-32)> [SHUTDOWN| CONFIG,
NO_SHUTDOWN] CONFIG RUN
RELEASE
Il comando che segue specifica se un router può rispondere (active) o meno (passive) a
interrogazioni da parte di altri router.
Sintassi Stato
<Interface>[/<Integer>] ATM OAM PVC <PVC NUMBER (1-32)> [PASSIVE] CONFIG
[ACTIVE] [AIS_RDI] [NO_AIS_RDI] RELEASE
ENC
Sintassi Stato
<Interface>[/<Integer>] ENC [RFC1483R | PPPoA | PPPoE] [VC_BASED | CONFIG
LLC_BASED] RELEASE
Per disabilitare le varie funzioni bisogna disattivare la funzione principale «ADSL1 ATM ON»
con conseguente cancellazione degli altri comandi adsl.
ATM CONF PVC
Sintassi Stato
<Interface>[/<Integer>] ATM CONF PVC <PVC NUMBER (1-32)> [UP_COUNT CONFIG
<attempts (1-100)>] [DOWN_COUNT <attempts (1-100)>] [ ] [RETRY_FREQ RELEASE
<seconds (1-600)>] [LOOPBACK_FREQ <seconds (1-600)>]
<Comando> [OPZIONE]: DESCRIZIONE
<Interface>[/<Integer>]: interfaccia /subinterface ADSL1, o ADSL2, o IMA1, o IMA2, o
SHDSL1
<PVC NUMBER (1-32)>: è un numero intero, variabile da 1 a 32, che specifica il
numero del PVC
[UP_COUNT <attempts (1- numero di tentativi, variabile tra 1 e 100, per dichiarare il
100)>]: CANALE LOGICO UP.
[DOWN_COUNT <attempts numero di tentativi, variabile tra 1 e 100, per dichiarare il
(1-100)>]: CANALE LOGICO DOWN.
[RETRY_FREQ <seconds intervallo di tempo, variabile tra 1 e 600 secondi, impiegato
(1-600)>]: dalle celle di loopback per dichiarare il CANALE LOGICO UP
oppure DOWN.
[LOOPBACK_FREQ periodo, variabile tra 1 e 600 secondi, in cui la cella viene
<seconds (1-600)>]: trasmessa. Se la cella viene trasmessa tra due endpoint in un
intervallo di tempo ragionevole, allora al canale corrisponde
uno STATO LOGICO UP.
Esempio
(Config) >adsl1/1 atm conf pvc 1 up_count 5 down_count 5 retry_freq 2 loopback_freq 10
Sintassi Stato
<Interface> UPSTREAM MAX_RATE [Kb/s] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface> DOWNSTREAM MAX_RATE [Kb/s] CONFIG,
CONFIG RUN
RELEASE
LINK
Sintassi Stato
CONFIG
<Interface>[/<Integer>] LINK <Point_to_Point / Multipoint> RELEASE
SHDSL
Con SHDSL si rendono disponibili diversi tipologie di servizio che si rispecchiano in diversi
protocolli di connessione:
IP over Ethernet (IPoE): il MODEM SHDSL è connesso alla LAN locale attraverso un
collegamento Ethernet. Ogni PC che vuole collegarsi con il Provider, dovrà gestire
una connessione in PPPoE ed il modem funzionerà da semplice BRIDGE
IP over ATM (PPPoA): il MODEM SHDSL è connesso direttamente ad un solo PC (in
USB o con una scheda interna); il PC potrà utilizzare una connessione PPPoA per
collegarsi al Provider.
IP over ATM (IPoA): in questo caso non c’è il PPP (e quindi mancano tutti I servizi
messi a disposizione del PPP quale l’autenticazione e l’assegnazione dell’indirizzo
IP), ma l’utente (in questo caso è di solito un Router) è connesso direttamente alla
rete IP del Provider
Il PPP on demand e il PPP down sono due nuove funzionalità gestite dal software GAIA.
La funzionalità di PPP on demand permette di sfruttare una connessione ADSL a tempo
qualora il tipo di incapsulamento sia PPPoE (PPP Over Ethernet) oppure PPPoA (PPP Over
ATM).
Grazie al PPP on demand configurabile, quando la funzionalità non è configurata,
l’interfaccia ADSL si comporta come un normale point to point, ossia il livello logico diventa
UP in conseguenza all’attivazione del livello fisico. Se invece la funzionalità è configurata, si
distinguono due casi:
La funzionalità di PPP down permette invece di abbattere il livello logico di una connessione
attiva. La connessione rimane inattiva anche sotto traffico finchè il relativo comando non è
disabilitato.
Comandi di configurazione
Il comando che segue, attiva la funzionalità di PPP on demand sulla subinterface specificata.
È possibile configurarlo solo da <CONFIG>.
Sintassi Stato
<subifc> PPP MODE DEMAND [<Acceptreq/Noacceptreq>(activate from peer CONFIG
or not)] RELEASE
Il comando che segue, disattiva il livello logico della subinterface specificata. È possibile dare
il comando da <CONNECT>, <(CONFIG) > e <CONFIG RUN>.
Sintassi Stato
<Interface>[/<Integer>] PPP DOWN CONNECT,
CONFIG,
CONFIG RUN
RELEASE
Il comando seguente, utilizzato con PPPoE, ricontratta dei parametri sulla finestra TCP.
L’incapsulamente del PPP su ethernet provoca una frame di dimensioni superiori a quelle
consentite su ethernet. Tale comando riduce la massima dimensione del segmento
permessa in ingresso (MSS: MAX SIZE SEGMENT) e la frame non viene scartata.
Sintassi Stato
<Interface>[/<Integer>] IP MAX_TCP_MSS <max bytes for TCP MSS on this CONFIG
ifc> RELEASE
Esempio
(Config) >adsl1 ip max_tcp_mss 1452
VC –BUNDLE
Il VC-BUNDLE rappresenta un’architettura ATM atta a riunire logicamente, sotto un unico
insieme, alcuni PVC tra due endpoint. Il VC-BUNDLE definisce per i PVC ad esso
appartenenti delle regole atte a stabilire dei criteri di selezione, prioprità e backup del traffico
sui PVC stessi.
Descrizione Funzionale
Il VC-BUNDLE viene implementato all'interno dello stack del sistema operativo GAIA come
una funzionalità del modulo IP.
Il modulo VC-BUNDLE risulta essere configurabile solo su interfacce di tipo ATM (ADSL,
E3,IMA,SHDSL).
Nella figura sotto riportata viene mostrato una schema rappresentativo del bundle ATM.
VC1
VC2
VC3
•
•
•
TOS/COS/VID
Risulta possibile definire dei meccanismi di backup (bumping) tra i pvc appartenenti ad un
medesimo bundle.
Tale funzionalità prevede la dichiarazione esplicita per un pvc del suo pvc di backup sul
quale verrà deviato il traffico qualora il primo pvc risulti nello stato DOWN.
Risulta possibile inoltre, in fase di configurazione, definire alcuni pvc in maniera tale da non
consentire che questi ricevano il traffico deviato da altri pvc che si trovano nello stato di
DOWN (reject-bumping).
Un pvc può essere dichiarato “protetto”, in tal caso un failure sul pvc causa il DOWN
dell’intero bundle. Tale funzionalità è usata per gestire pvc con requisiti di qualità stringenti
che non devono subire bumping onde non perdere qualità del servizio.
I PVC, appartenenti al bundle ATM, sui quali vengono instradati i pacchetti possono essere
selezionati tramite il controllo del campo Type of Services (TOS) del datagram IP, o tramite il
campo Class of Services (COS) dello standard IEEE802.1P o tramite il controllo del campo
Vlan ID (VID) dello standard IEEE802.1Q.
Su ciascun PVC è possibile configurare fino a 5 chiavi di ricerca distinte.
Vc-bundle INPUT
Vc-bundle OUTPUT
Sintassi Stato
<SUBIFC> BUNDLE <NUMBER OF BUNDLE(0-9)> PVC <PVC NUMBER (1- CONFIG
32)> [<PVC NUMBER (1-32)>] [<PVC NUMBER (1-32)>] [<PVC NUMBER (1- RELEASE
32)>] [<PVC NUMBER (1-32)>]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interface/SubInterface (ADSL,E3,IMA,SHDSL) su cui
attivare la funzionalità vc-bundle
{NUMBER OF BUNDLE}: identificativo numerico del bundle
{PVC NUMBER }: identificativo numerico del pvc appartente al bundle
Esempio
(Config) >ADSL1/1 BUNDLE 1 PVC 1 2 3
Tale comando presenta come comando propedeutico quello di attivazione dei pvc cui
viene fatto riferimento.
VC-BUNDLE CRITERIA
Sintassi Stato
<SUBIFC> BUNDLE <NUMBER OF BUNDLE (0-4)> CRITERIA CONFIG,
{TOS|COS|VID} {INPUT|OUTPUT} CONFIG RUN
RELEASE
PVC PRIORITY
Il comando in questione permette di definire all’interno del bundle il pvc protetto, il cui stato di
DOWN causa il DOWN dell’intero bundle.
Sintassi Stato
<SUBIFC> BUNDLE <NUMBER OF BUNDLE (0-4)> PRIORITY PVC CONFIG,
<PVC NUMBER (1-32) CONFIG RUN
RELEASE
PVC TOS
Sintassi Stato
<SUBIFC> BUNDLE number of bundle (0-4) PVC <PVC NUMBER (1-32)> CONFIG,
RANGE-TOS range tos (t1|t1-t2) [range tos (t1|t1-t2)] [range tos (t1|t1-t2)] CONFIG RUN
[range tos (t1|t1-t2)] [range tos (t1|t1-t2)] RELEASE
Tale comando può essere configurato solo qualora il criterio di selezione del bundle sia su
base tos o range-tos.
PVC COS
Sintassi Stato
<SUBIFC> BUNDLE < NUMBER OF BUNDLE (0-4)> PVC <PVC NUMBER (1- CONFIG
32)> COS <802.1q Priority (0-7)> [<802.1q Priority (0-7)>] [<802.1q Priority (0- RELEASE
7)>] [<802.1q Priority (0-7)>] [<802.1q Priority (0-7)>]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interface/SubInterface (ADSL,E3,IMA,SHDSL) su è attiva la
funzionalità vc-bundle
<NUMBER OF BUNDLE (0- identificativo numerico del bundle
4)>:
<PVC NUMBER (0-32)>: identificativo numerico del pvc appartente al bundle
Esempio
(Config) >ADSL1/1 BUNDLE 1 PVC 1 COS 4 5 6
Tale comando può essere configurato solo qualora il crirerio di selezione del bundle sia su
base cos.
PVC VID
Sintassi Stato
<SUBIFC> BUNDLE < NUMBER OF BUNDLE (0-4)> PVC <PVC NUMBER (1- CONFIG
32)> VID <IEEE 802.1Q Vlan Id (1 - 4095)> [<IEEE 802.1Q Vlan Id (1 - 4095)>] RELEASE
[<IEEE 802.1Q Vlan Id (1 - 4095)>] [<IEEE 802.1Q Vlan Id (1 - 4095)>] [<IEEE
802.1Q Vlan Id (1 - 4095)>]
<Comando> [OPZIONE]: DESCRIZIONE
<SUBIFC>: interface/SubInterface (ADSL,E3,IMA,SHDSL) su è attiva la
funzionalità vc-bundle
<NUMBER OF BUNDLE identificativo numerico del bundle
(0-4)>:
<PVC NUMBER (0-32)>: identificativo numerico del pvc appartente al bundle
Esempio
(Config) >ADSL1/1 BUNDLE 1 PVC 1 VID 10 20 30
Il comando in questione permette di definire all’interno del bundle i pvc sui quali non è
possibile redizionare il traffico degli altri pvc in caso di failure di quest’ultimi.
Sintassi Stato
<SUBIFC> BUNDLE < NUMBER OF BUNDLE (0-4)> PVC <PVC NUMBER CONFIG
(1-32)> NO BUMP TRAFFIC RELEASE
Il comando in questione permette di definire all’interno del bundle il pvc di backup di un pvc.
Sintassi Stato
<SUBIFC> BUNDLE < NUMBER OF BUNDLE (0-4)> PVC <PVC NUMBER CONFIG
(1-32)> BUMP EXPLICIT PVC <PVC NUMBER (1-32)> RELEASE
BUNDLE BACKUP
Il comando in questione permette di definire il bundle backup di un bundle. Nella sintassi del
comando il primo bundle funge da backup per il secondo.
Sintassi Stato
BUNDLE < NUMBER OF BUNDLE (0-4)> SUBIFC BACKUP BUNDLE < CONFIG
NUMBER OF BUNDLE (0-4)> SUBIFC RELEASE
FRY VC-BUNDLE
Il modulo FRY VC-BUNDLE risulta essere configurabile solo su interfacce di tipo seriale.
Nella figura 2.1 viene mostrato una schema rappresentativo del bundle FRAME-RELAY.
VC1
VC2
VC3
•
•
•
TOS/COS/VID
Risulta possibile definire dei meccanismi di backup (bumping) tra i dlci appartenenti ad un
medesimo bundle.
Tale funzionalità prevede la dichiarazione esplicita per un dlci del suo dlci di backup sul
quale il traffico per esso selezionato verrà deviato qual’ora il primo risulti nello stato DOWN.
Il traffico viene nuovamente deviato sul dlci originale al termine dello stato di DOWN.
Risulta possibile inoltre, in fase di configurazione, definire alcuni dlci in maniera tale da non
consentire che questi ricevano il traffico deviato da altri dlci che si trovano nello stato di
DOWN (reject-bumping).
Un dlci può essere dichiarato “protetto”, in tal caso un failure sul dlci causa il DOWN
dell’intero bundle. Tale funzionalità è usata per gestire dlci con requisiti di qualità stringenti
che non devono subire bumping onde non perdere qualità del servizio.
Qualora il traffico in ingresso non realizzi il match con nessuno dei selettori (TOS/COS/VID)
dei dlci appartenenti al bundle questo verrà veicolato sul dlci di default se configurato, o in
alternativa verrà effettuato un bumping implicito sul dlci con selettore (TOS/COS/VID) di
valore più basso.
Comandi di configurazione
Di seguito si riportano i comandi di configurazione del modulo FRY VC-BUNDLE
Sintassi Stato
<SUBIFC> FRY-BUNDLE <NUMBER OF BUNDLE(0-4)> DLCI <DLCI ID > CONFIG
[<DLCI ID >] [<DLCI ID >] [<DLCI ID >] [<DLCI ID >] [<DLCI ID>] [<DLCI ID >] RELEASE
[<DLCI ID >] [<Encip1/Encip2/NoEnc>]
VC-BUNDLE CRITERIA
Il comando in questione permette di definire il criterio di selezione (TOS/COS/VID) dei dlci
all’interno del bundle.
Con tale comando si definisce inoltre la modalità di funzionamento input/output.
Sintassi Stato
<SUBIFC> FRY-BUNDLE <NUMBER OF BUNDLE (0-4)> CRITERIA CONFIG
{TOS|COS|VID} {INPUT|OUTPUT} RELEASE
DLCI PRIORITY
Il comando in questione permette di definire all’interno del bundle il dlci protetto, il cui stato di
DOWN causa il DOWN dell’intero bundle.
Sintassi Stato
<SUBIFC> FRY-BUNDLE <NUMBER OF BUNDLE (0-4)> PRIORITY DLCI CONFIG
<DLCI ID> RELEASE
Tale comando presenta come comando propedeutico l’attivazione del bundle sull’interfaccia
selezionata (paragrafo “VC-BUNDLE ADD DLCI”).
DLCI TOS
Il comando in questione permette di definire i valori di tos per la selezione di un determinato
dlci.
Èpossibile definire fino a 5 tos o range di tos distinti. Il tos o range di tos definiti come chiave
di ricerca per un dlci non possono essere definiti per nessun altro dlci appartenente al
bundle.
Sintassi Stato
<SUBIFC> FRY-BUNDLE < NUMBER OF BUNDLE (0-4)> DLCI <DLCI ID> CONFIG
RANGE-TOS < range tos (t1|t1-t2)> [<range tos (t1|t1-t2)>] [range tos (t1|t1- RELEASE
t2)>] [<range tos (t1|t1-t2)>] [<range tos (t1|t1-t2)>]
Esempio
(Config) > SERIAL1 FRY-BUNDLE 1 DLCI 1 TOS 13 15-18
Tale comando può essere configurato solo qualora il crirerio di selezione del bundle sia su
base tos (paragrafo “ VC-BUNDLE CRITERIA").
DLCI COS
Il comando in questione permette di definire i valori di cos per la selezione di un determinato
dlci.
È possibile definire fino a 5 cos distinti. Il cos definito come chiave di ricerca per un dlci non
può essere definito per nessun altro dlci appartenente al bundle.
Sintassi Stato
<SUBIFC> FRY-BUNDLE <NUMBER OF BUNDLE (0-4)> DLCI <DLCI ID> CONFIG
COS <802.1q Priority (0-7)> [<802.1q Priority (0-7)>] [<802.1q Priority (0-7)>] RELEASE
[<802.1q Priority (0-7)>] [<802.1q Priority (0-7)>]
Esempio
(Config) > SERIAL1 FRY-BUNDLE 1 DLCI 1 COS 4 5 6
Tale comando può essere configurato solo qualora il crirerio di selezione del bundle sia su
base cos (paragrafo “VC-BUNDLE CRITERIA”).
DLCI VID
Il comando in questione permette di definire i valori di vid per la selezione di un determinato
dlci.
Èpossibile definire fino a 5 vid distinti. Il valore di vid definito come chiave di ricerca per un
dlci non può essere definito per nessun altro dlci appartenente al bundle.
Sintassi Stato
<SUBIFC> FRY-BUNDLE <NUMBER OF BUNDLE (0-4)> DLCI <DLCI ID> CONFIG
VID <IEEE 802.1Q Vlan Id (1 - 4095)> [<IEEE 802.1Q Vlan Id (1 - 4095)>] RELEASE
[<IEEE 802.1Q Vlan Id (1 - 4095)>] [<IEEE 802.1Q Vlan Id (1 - 4095)>]
[<IEEE 802.1Q Vlan Id (1 - 4095)>]
Esempio
(Config) > SERIAL1 FRY-BUNDLE 1 DLCI 1 VID 10 20 30
Tale comando può essere configurato solo qualora il crirerio di selezione del bundle sia su
base vid (paragrafo “VC-BUNDLE CRITERIA”).
Sintassi Stato
<SUBIFC> FRY-BUNDLE < NUMBER OF BUNDLE (0-4)> DLCI <DLCI ID> CONFIG
NO BUMP TRAFFIC RELEASE
Esempio
(Config) > SERIAL1 FRY-BUNDLE 1 DLCI 1 NO BUMP TRAFFIC
Sintassi Stato
<SUBIFC> FRY_BUNDLE <NUMBER OF BUNDLE (0-4)> DLCI <DLCI ID> CONFIG
BUMP EXPLICIT DLCI <DLCI ID> RELEASE
Esempio
(Config) > SERIAL1 FRY-BUNDLE 1 DLCI 2 BUMP EXPLICIT DLCI 3
DLCI DEFAULT
Il comando in questione permette di definire all’interno del bundle il dlci di default sul quale
verrà veicolato tutto il traffico che non realizza il match con nessuno dei selettori
(TOS/COS/VID) dei dlci appartenenti al bundle.
Sintassi Stato
<SUBIFC> FRYBUNDLE <NUMBER OF BUNDLE (0-4)> DLCI <DLCI ID> CONFIG
DEFAULT RELEASE
Esempio
(Config) > SERIAL1 BUNDLE 1 DLCI 2 DEFAULT
BUNDLE BACKUP
Il comando in questione permette di definire il bundle backup di un bundle. Nella sintassi del
comando il primo bundle funge da backup per il secondo.
Sintassi Stato
FRY-BUNDLE <NUMBER OF BUNDLE (0-4)> SUBIFC BACKUP FRY- CONFIG
BUNDLE < NUMBER OF BUNDLE (0-4)> SUBIFC RELEASE
Esempio
(Config) > BUNDLE 2 BACKUP BUNDLE 1 SERIAL2
SERIAL1
Sintassi Stato
<SUBIFC> FRY-BUNDLE <NUMBER OF BUNDLE (0-4)> CLEAR CONFIG_RUN
COUNTERS RELEASE
Esempio
(Config_run) > SERIAL1 FRY-BUNDLE 0 CLEAR FRY COUNTERS
Sintassi Stato
DUMP FRY BUNDLE CONNECT
CONFIG
CONFIG_RUN
RELEASE
Esempio
(Config) > |BUNDLE 0|TOS CRITERIA|INPUT|STATE UP|
|DLCI 32|STATE UP|PRIORITY|NO BUMP TRAFFIC|
tos 1 2 3 4 5
|DLCI 10|STATE UP|BUMP EXPLICIT DLCI 32|
tos 21 22 23 24 25
|DLCI 20|STATE UP|BUMP EXPLICIT DLCI 32|
tos 16 17 18 19 20
|DLCI 30|STATE UP|BUMP EXPLICIT DLCI 32|
tos 11 12 13-18
|DLCI 31|STATE UP|BUMP EXPLICIT DLCI 32|
tos 6 7 8 100-130
INPUT: indica che la selezione dei dlci nel bundle avviene nella fase di
prerouting.
OUTPUT: indica che la selezione dei dlci nel bundle avviene nella fase di
postrouting.
STATE: stato logico del bundle e del dlci
PRIORITY: indica che il suddetto dlci è protetto
NO BUMB TRAFFIC: indica che il suddetto dlci non può essere il backup di altri dlci
BUMP EXPLICIT: indica che in caso di DOWN il dlci veicola il traffico sul dlci di backup
specificato
Aggiunta del token CLEAR al comando di ripulitura dei contatori del DLCI.
Sintassi Stato
DUMP FRY STATE <ID> CLEAR CONNECT
CONFIG
CONFIG_RUN
13 FUNZIONALITÀ ISDN
La rete ISDN è una rete di comunicazione intesa a:
Videotex
Tele- Video-
scrittura conferenza
Dispositivo di Rete
accesso
utente ISDN
Fig. 13.1
La rete ISDN mette a disposizione dei canali trasmissivi di dati e voce distinti in:
accesso Base (BRI Basic Rate Interface): costituito da due canali a 64 kbit/s detti
canali B (Bearer Channel) per la comunicazione di voce e dati e da un
canale di servizio detto canale D (Data Channel) a 16kbit/s;
accesso Primario (PRI Primary Rate Interface): costituito da 30 canali a 64 kbit/s di
tipo B e un canale a 64 kbit/s di tipo D. Tale canale viene impiegato solo ed
esclusivamente con i profili di configurazione ISDN, ampiamente trattati nel seguito
del capitolo.
LIVELLO FISICO
Si può configurare il numero di telefono che l'apparato compone in una chiamata ISDN. Il
numero di telefono dovrà avere anche il prefisso teleselettivo. Se non viene configurato alcun
numero telefonico l'apparato sarà in grado di ricevere solo chiamate, ma non di farle.
Sintassi Stato
<Interface> ISDN NTEL CALLED <phone number> CONFIG
RELEASE
Si può configurare il numero di telefono dell'utente a cui l'apparato potrà rispondere. Tutti gli
utenti con numero diverso da questo verranno ignorati. Se non viene configurato alcun
numero, l'apparato non eseguirà alcun controllo sul numero di telefono del chiamante e
verranno accettate tutte le chiamate ISDN.
Sintassi Stato
<Interface> ISDN NTEL CALLING <phone number> CONFIG
RELEASE
Si può configurare il TEI (Terminal Endpoint Identifier) dell'apparato. Può essere configurato
sia un TEI fisso che uno automatico; questo parametro dipende dal tipo di accesso che si ha
a disposizione. Normalmente si utilizza un TEI automatico, ma può anche essere stabilito in
maniera fissa dal fornitore dell'accesso ISDN.
Sintassi Stato
<Interface> ISDN TEI<TEI number > <Interface> ISDN TEI AUTO CONFIG
RELEASE
Sintassi Stato
ISDN TRAP <AllClear/BadClear/Setup/All> ON [<Trap sending timeout on sec. CONFIG
(1 to 120 sec.)>] RELEASE
Sintassi Stato
<Interface> ISDN CABLE {UTP | BNC} CONFIG
RELEASE
Sintassi Stato
<Interface> ISDN CONNECTION {SHORTHAUL | LONGHAUL} CONFIG
RELEASE
Attiva sulle interfacce di tipo isdn la possibilità di ricevere un set up voce mandando ad un
server radius il calling ed il called id contenuti nel set up ricevuto. Il comando necessita di:
IFC PPP ON: configurazione del protocollo ppp sulla medesima interfaccia;
Configurazione del radius client sul profilo che gestisce la chiamata (vedi SF DDR:
6sr-sc000019-I in http://gcsweb/biblioteca).
Sintassi Stato
IFC ISDN RADIUS CALLING-ID ON CONFIG
RELEASE
Gaia4_4.3.3
<Comando> [OPZIONE]: DESCRIZIONE
<Ifc> ISDN RADIUS CALLING-ID ON
Protocollo Q931
Può essere configurato solo sull'interfaccia canale D ISDN e può avere sotto di se, solo il
protocollo LAPD (sia in modalità TEI fisso o TEI automatico).
Molte delle funzionalità attivabili con il DDR sono configurabili anche senza fare uso di profili,
ma si consiglia di utilizzare sempre questa modalità di configurazione ovunque possibile.
Attraverso l’uso dei profili ISDN è quindi possibile gestire la funzionalità di server di
autenticazione a livello PAP o CHAP nonché i servizi di callback.
Si può anche definire, con lo stesso comando, il profilo come profilo di default: in questo
caso, esso accetterà tutte le chiamate senza effettuare controllo sul numero chiamante.
Sintassi Stato
ADD PROFILE <Profile Name> [DEFAULT] CONFIG
RELEASE
Perché un profilo possa funzionare, è fondamentale che si conosca il suo gateway remoto.
Esiste solo una deroga a questa legge ed è quando il profilo è collegato al default gateway;
in questo caso lo si può definire dinamico e tutti i pacchetti altrimenti non indirizzabili
verranno gestiti tramite lui.
Il comando che definisce gateway remoto del profilo è il seguente:
Sintassi Stato
PROFILE <Profile Name> IP GTW <IP address> CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> IP GTW DYNAMIC CONFIG
RELEASE
Un altro requisito fondamentale, per il corretto funzionamento del router, è la presenza del
numero di telefono (tranne il caso di profilo di default con chiamata disabilitata). Il comando
permette di configurare fino a 5 numeri di telefono che vengono composti in sequenza
fermandosi al primo trovato libero (richiamata su occupato). Il primo e solo il primo di questi
numeri viene utilizzato per controllare le chiamate entranti. Se non è configurato il profilo di
default, solo le chiamate provenienti da un numero presente in un profilo vengono accettate.
Ecco di seguito la sintassi del comando.
Sintassi Stato
PROFILE <Profile Name> PHNUMBER [<Isdn Number>] [<Isdn CONFIG
Number>] [<Isdn Number>] [<Isdn Number>] [<Isdn Number>] RELEASE
Si ricorda che, per la funzionalità del profilo, è fondamentale che esso sia inserito o in tabella
di routing o collegato al defaut gateway con i comandi che si trovano nel capitolo dedicato
alla configurazione del protocollo IP
È possibile configurare su ogni singolo profilo, che lavora su interfaccia ISDN BRI o ISDN
PRI, una temporizzazione espressa in secondi che rappresenta il tempo di attesa fra un
tentativo di chiamata fallita ed il successivo.
Se sul profilo sono configurati più numeri ISDN, il tentativo di chiamata fallirà solo dopo un
ciclo completo sui numeri da chiamare, per cui la temporizzazione verrà attivata dopo tale
ciclo.
Durante il tempo di attesa, eventuali chiamate entranti sullo stesso stesso profilo verranno
accettate dal router e la temporizzazione si annullerà spontaneamente.
Durante il tempo di quiete i pacchetti in input vengono scartati.
Sintassi Stato
PROFILE <Profile Name> CALLRETRYTMO <Time between a failed call CONFIG
attempt and the follow (1 to 255 sec.)> ON RELEASE
Oltre alle funzionalità essenziali sopra descritte, il profilo può contenere una serie di
funzionalità aggiuntive che ne estendono e generalizzano l’utilizzo.
Se l’interfaccia ISDN su cui insistono i profili è definita tra le interfacce attive del NAT, tutti i
profili fanno uso delle funzionalità di traduzione degli indirizzi.
Talvolta è possibile che questo non sia un comportamento idoneo per certi profili; si può
allora inibire la traslazione degli indirizzi per un certo profilo con il comando «PROFILE NAT
ON/OFF».
Sintassi Stato
PROFILE <Profile Name> NAT ON/OFF CONFIG
RELEASE
NOTA: se NAT non è definito per l’interfaccia, il comando non ha alcun effetto.
Sintassi Stato
PROFILE <Profile Name> CALLED OFF CONFIG
RELEASE
Esempio
(Config) >profile internet called on
Con i seguenti comandi si abilita/disabilita il profilo in chiamata entrante. Tale funzionalità è
ON di default e discrimina il chiamante dal primo numero di telefono configurato nel profilo.
Sintassi Stato
PROFILE <Profile Name> CALLED ON CONFIG
PROFILE <Profile Name> CALLED OFF RELEASE
Per riabilitare le chiamate uscenti nel profilo <profile name> cancellando il comando di
disabilitazione si utilizza:
Sintassi Stato
PROFILE <Profile Name> CALLING ON CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> CALLING_ALL ON/OFF CONFIG
RELEASE
Esempio
(Config) >profile internet calling_all on
Sintassi Stato
PROFILE <Profile Name> IP DYNAMIC NETWORK <REMOTEMASK CONFIG
/AUTOMATIC> [<IP Address>] RELEASE
Per configurare un profilo come backup di un altro profilo su diverse interfacce si utilizza il
comando:
Sintassi Stato
PROFILE <Profile Name1> BACKUP <Profile Name2>[IFC] CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> USERNAME <Username> CONFIG
RELEASE
Sintassi Stato
PROFILE USERNAME DEFAULT <Username> CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> PASSWORD <Password> CONFIG
RELEASE
Sintassi Stato
PROFILE PASSWORD DEFAULT <Password> CONFIG
RELEASE
La funzionalità di autenticazione lato server deve essere in primo luogo attivata in quanto è
necessario stabilire quale protocollo richiedere. A questo scopo si usa il comando «PROFILE
AUTHENTICATION ON».
Sintassi Stato
PROFILE <Profile Name> AUTHENTICATION <PAP|CHAP> ON CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> AUTHENTICATION <PAP|CHAP> OFF CONFIG
RELEASE
Esempio
(Config) >profile internet authentication chap off
Per attivare il protocollo di autenticazione di default (PAP oppure CHAP) indipendente dal
profilo attivato, si utilizza il comando:
Sintassi Stato
PROFILE AUTHENTICATION DEFAULT <PAP|CHAP> CONFIG
RELEASE
Il seguente comando configura il tempo di invio del challenge nel caso di autenticazione
CHAP con i profili. Per default è definito a zero ossia viene inviato un solo challenge.
Sintassi Stato
PROFILE <Profile Name > CHAP TIMECHL <Time of challenge's sending CONFIG
(sec./10) > RELEASE
Sintassi Stato
PROFILE <Profile Name> PEERUSERNAME <Peer username> CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> PEERPASSWORD <Peer password> CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> MPP <max - links> CONFIG
RELEASE
NOTA: Per il PRI il numero massimo è 30 link, mentre per BRI è 2 link
Sintassi Stato
PROFILE <Profile Name> DBA ON [<Threshold on %>] [<Timeout on CONFIG
sec.>] RELEASE
PROCEDURE DI CALLBACK
Si definisce callback la procedura per cui il router chiamato (server) abbatte la chiamata
ricevuta e ne inoltra subito dopo un’altra verso lo stesso host remoto. Il router chiamante
(client), si preoccupa di non richiamare il server a seguito dell’abbattimento della chiamata
stessa. In GAIA è gestito anche sia il lato server che il latoclient.
La callback può essere implementata a vari livelli. A livello ISDN, il chiamante risparmia
l’addebito anche del solo primo scatto e l’identificazione del chiamante è fatta
esclusivamente sulla base del numero telefonico. A livello PPP, la callback è gestita da
un’apposita opzione del protocollo e standardizzata nella RFC 1570. In GAIA4 è
implementata solo l’opzione 0. Se l’opzione è attiva, il router richiede l’autenticazione (PAP o
CHAP) al connesso prima di abbattere la connessione e richiamare. In questo caso,
comunque uno scatto viene addebitato al chiamante.
Nel caso di callback ISDN, il numero che viene effettuato per la richiamata, non è quello
chiamante, ma quello del profilo identificato all’atto della ricezione della prima chiamata.
Questo per avere un minimo di controllo e richiamare solo host configurati
Sintassi Stato
PROFILE <Profile Name> CALLBACK ACCEPT TMO <TMO> CONFIG
RELEASE
Per configurare la callback lato client si utilizza il comando. TMO è il tempo che intercorre tra
la chiamata e il successivo tentativo di chiamata e vale di default 10 sec. Può essere
modificato specificandolo nel comando.
Sintassi Stato
PROFILE <Profile Name> CALLBACK REQUEST TMO <Time> CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> CALLBACK TYPE [<ISDN|PPP>] CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> CALLBACK OFF CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> CONNECTION OFF CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> REMOTE_CONFIG IP <IP Address> ON CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> REMOTE_CONFIG IP <IP Address> OFF CONFIG
RELEASE
Esempio
(Config) >profile internet remote_config ip 1.1.1.1 off
Per configurare il pool al quale fa riferimento il profilo chiamato per reperire le informazioni
(username, password ed eventualmente indirizzo ip da assegnare) relative al chiamante
(vedi comandi di configurazione del PPPIFC), si utilizza il comando:
Sintassi Stato
PROFILE <Profile Name> REMOTE_CONFIG POOL <String> ON CONFIG
RELEASE
Sintassi Stato
PROFILE <Profile Name> REMOTE_CONFIG POOL <string> OFF CONFIG
RELEASE
Esempio
(Config) >profile internet remote_config pool gruppoutenti off
Per configurare la funzionalità Radius sul profilo nel caso di autenticazione pap/chap si
utilizza il comando:
Sintassi Stato
PROFILE <Profile Name> REMOTE_CONFIG RADIUS ON [ACCOUNTING] CONFIG
RELEASE
Esempio
(Config) >profile internet remote_config radius off
Per configurare il default gateway sul profilo <profile name> sull’interfaccia ifc si procede
come segue:
Sintassi Stato
IP DEFGTW PROFILE <Profile Name> <Interface> CONFIG
RELEASE
Sintassi Stato
<Interface> IP MAP PROFILE <Profile Name> CONFIG
RELEASE
Configura tutti i parametri da inviare alla scheda sim o alla scheda modem. I parametri
vengono inviati al momento dell’apertura della chiamata.
Sintassi: Stato
PROFILE <string1> LINE <string2> RINGS <integer1> RETRY<integer2> CONFIG
[APN][<string3>][TIMEOUT][<integer3>] RELEASE
Gaia4_4.3.2
P7
<Comando> [OPZIONE]: DESCRIZIONE
<string1>: Specifica il nome del profilo (max 15 caratteri).
<string2>: Specifica il tipo di linea(a toni o ad impulsi) e può assumere i
valori PULSE oppure TONE. Il default è PULSE.
<integer1>: Numero di squilli prima della risposta. Di default è 0.
<integer2>: Numero di secondi da attendere prima di richiamare. Di default è
0.
<string3>: Specifica il nome dell’ APN (Access Point Name: esempio
ibox.tim.it). Questo parametro è obbligatorio qualora si utilizzi
l’interfaccia GPRS1, per una corretta attivazione della scheda. In
caso di interfaccia V90_MODEM1 questo parametro non va
specificato.
<integer3>: Specifica il numero di secondi da attendere prima di considerare
DOWN l’interfaccia configurata e di conseguenza restartare la
sessione PPP. Di default è 0.
Esempio
Config> profile dinamico line tone rings 0 retry 0 apn ibox.tim.it timeout 30.
DIALER-WATCH
In Fig. 13.2 è riportato un possibile schema di piattaforma di rete per l’utilizzo della
funzionalità Dialer-Watch.
HOST
LOCAL PEER
WAN
SAS
LAN DI SEDE
Fig. 13.2
lista di reti;
protocolli di routing (RIP, OSPF, BGP) per lista di reti e non;
per routes statiche per lista di reti e non;
per routes locali (indirizzi configurati nel router) per lista di reti e non.
Considerando la lista di reti il canale ISDN B viene aperto, attraverso il profilo agganciato (in
configurazione) alla dialer, anche in assenza di traffico dati, quando le reti specificate in tale
lista non sono più raggiungibili sull’interfaccia primaria (naturalmente devono essere presenti
in tabella di routing come entry acquisite dall’interfaccia ISDN1b), mentre il canale ISDN B
viene chiuso alla scadenza dell’idletimeout, configurato (o di default) sull’interfaccia ISDN1b,
quando tali reti tornano ad essere raggiungibili sull’interfaccia primaria. Per le altre condizioni
di vincolamento il funzionamento della Dialer-Watch è identico a quella appena descritto.
Comandi di configurazione
Sintassi Stato
<IFC> DIALER-WATCH ON [ {LOCAL | STATIC | BGP | OSPF | RIP} ] CONFIG,
[LIST] [<Integer>] [JUST-ONE] [PROFILE] [<Profile Name>] (1) CONFIG RUN
RELEASE
Sintassi Stato
DIALER-WATCH LIST <list-id> <IP address> <IP mask> [PROFILE] CONFIG,
[<Profile Name>] CONFIG RUN
RELEASE
Sintassi Stato
TCP DIALER-WATCH <Interface>[/<Integer>] <Inf list name (20000-30000)> CONFIG
<Sup list name (20000-30000)> RELEASE
Esempio
(Config) >ADD IP TRAFFIC 21000 20.0.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp
(Config) >ADD IP TRAFFIC 22000 0.0.0.0 0.0.0.0 20.0.0.0 255.255.255.0 tcp
(Config) >TCP DIALER-WATCH ISDN1B 21000 22000
Sintassi Stato
PPPIFC ADD POOL <Pool Name> <Ip address1> [<Ip address2>] MASK CONFIG
<Ip Mask> RELEASE
Sintassi Stato
PROFILE LIST TRAFFIC ON [<Profile Name>] CONFIG
RELEASE
Per definire il numero di lista gestita dal singolo profilo (se specificato <profile name>) o da
tutti i profili configurati (se non specificato alcun <profile name>) si utilizza il comando:
Sintassi Stato
PROFILE ON TRAFFIC <List name (20000-30000)> [<Profile Name>] CONFIG
RELEASE
A tal proposito occorre specificare che la lista viene definita da CONFIG, tramite il comando
Sintassi RELEASE
ADD IP TRAFFIC <Label for traffic (20000-30000) > <Ip Address Src> <Ip Mask
Src> <Ip AddressDst> <Ip Mask Dst> [<Interface>[/<Integer>]] [<Protocol>]
[PORTS:<Source port range s1/s2>] [PORTD:<Destination port range s1/s2>]
[TOS:<tos value>] [SIZE:<packet size value>] [<Permit/Denied>]
Sintassi Stato
PROFILE ON TRAFFIC DEFAULT <Permit/Denied> [<Profile Name>] CONFIG
RELEASE
AGGREGATI ISDN
L’aggregato ISDN è una funzionalità che permette di associare più interfacce fisiche di tipo
ISDNBRI o ISDNPRI in un’unica interfaccia logica, chiamata ISDNBUNDLE. La sua
applicazione risulta utile qualora un’apparato abbia più schede ISDNBRI e si vogliano
utilizzare tali schede come se fossero un’unica interfaccia; è possibile aggregare interfacce
BRI appartenenti a schede diverse, in modo da garantire al meglio il funzionamento della
linea in caso di guasto.
Questa interfaccia è utilizzabile solo associandola al sistema PROFILE; una volta definita
l’interfaccia come aggregato, su di essa va configurato il PPP (Point To Point Protocol) ed i
profili che lavorano su questa interfaccia. MPP (Multilink PPP) va definito sul sistema profili.
Se un’interfaccia fisica appartiene al bundle non può essere configurata come interfaccia a
sè stante. Inoltre la stessa interfaccia fisica non può appartenere a interfacce ISDNBUNDLE
diverse. A livello IP sia lo stato logico che quello fisico dell’interfaccia ISDNBUNDLE risulta
UP. In chiamata uscente viene fatta una scansione sequenziale delle interfacce fisiche
appartenenti al bundle per inoltrare la chiamata. In chiamata entrante, oltre ai consueti
controlli (riconoscimento su base chiamante, parametri di autenticazione etc.. presenti sul
sistema profili, vedi specifica dei requisiti del DDR), è necessario che matchi anche
l’aggregato da cui proviene la chiamata; in caso contrario essa verrà abbattuta.
Descrizione Funzionale
L’interfaccia ISDNBUNDLE viene gestita nell’ambiente GAIA come subinterface; risulta
quindi possibile configurare fino a 255 aggregati. Ad ogni aggregato si possono associare al
massimo 4 interfacce fisiche.
L’interfaccia ISDNBUNDLE risulta inoltre visibile a livello SNMP ed indicizzabile nella tabella
IfTable.
INTERFACCE LOGICHE
ISDNBUNDLE/1 ISDNBUNDLE/2
INTERFACCE FISICHE
Comandi di configurazione
Per i comandi di configurazione relativi ai profili si rimanda al modulo DDR. Va osservato che
è stata mantenuta la compatibilità con la vecchia gestione dell’interfaccia BRI; vale a dire
l’interfaccia ISDN1B può essere configurata come a sè stante con i profili oppure come
appartenente ad un bundle sempre con i profili oppure vista come ISDN1B1 e ISDN1B2
senza profili. In quest’ultimo caso non solo non si configurano i profili ma ISDN1B1 e
ISDN1B2 non possono appartenere ad un bundle. Si ricorda inoltre che la configurazione
delle interfacce isdn è possibile solo dallo stato di CONFIG.
Il seguente comando permette la creazione dell’aggregato ISDN.
Sintassi Stato
<interface>/<integer> IS <interface> [<interface>] [<interface>] [<interface>]. CONFIG
RELEASE
NOTA: non è possibile togliere dal bundle una singola interfaccia facente parte
dell’aggregato la procedura corretta è quella di cancellare tutto il bundle e
ridefinirlo.
La funzionalità permette di sfruttare i servizi offerti dal Dial On Demand Routing, nati per le
interfacce di tipo ISDN, anche sulle interfacce GPRS1 e V90_MODEM1 del software Gaia.
Queste interfacce, a differenza di quelle di tipo ISDN, lavorano con PPP asincrono e
permettono di sfruttare un unico canale disponibile in chiamata uscente.
Descrizione Funzionale
IP
PPP
V90_MOD
INTERFACCIA GPRS/V90MODEM
Comandi di Configurazione
Tutti i comandi di configurazione dei profili possono essere dati dallo stato di config. Di
seguito viene riportato il comando nuovo dei profili per la gestione dei parametri di
configurazione della scheda sim/modem. Gli altri comandi sui profili rimangono inalterati e si
rimanda alla specifica 6sr-sc000019-i.Vengono anche riportati i comandi per configurare il
PPP asincrono ma per maggiori dettagli si rimanda alla specifica 6sr-sc000059.
“Il comando riportato di seguito onfigura tutti i parametri da inviare alla scheda SIM o alla
scheda modem. I parametri vengono inviati al momento dell’apertura della chiamata”
Sintassi Stato
PROFILE <string1> LINE <string2> RINGS <integer1> RETRY <integer2> CONFIG
[APN][<string3>][TIMEOUT][<integer3>]: RELEASE
Sintassi Stato
<Interface> PPP ON CONFIG
RELEASE
Sintassi Stato
<Interface> PPP ASYNCHRONOUS CONFIG
RELEASE
Abilita la negoziazione per la compressione del campo protocol del pacchetto PPP
Sintassi Stato
<Interface> PPP PFCOMPRESSION CONFIG
RELEASE
Sintassi Stato
PROFILE <profile_name> PHNUMBER [AUTO] CONFIG
RELEASE
Sintassi Stato
<IFC> PPP SIM_PIN <alphastring: PIN> CONFIG
RELEASE
Abilita la negoziazione per la compressione dei campi address e control del pacchetto PPP.
Sintassi Stato
<Interface> PPP ACFCOMPRESSION CONFIG
RELEASE
Sintassi Stato
<Interface> PPP PIN <PIN NUMBER> CONFIG
RELEASE
Attivare <debug profile 3> per verificare se la chiamata viene attivata o meno. Attivare
<debug ppp 8> per visualizzare la negoziazione PPP. Attivare <debug v90 255> per
visualizzare il colloquio con la scheda.
PPP
Il PPP (Point to Point Protocol) è conforme alle RFC 1331 e 1332 per quanto riguarda il
protocollo, alla RFC 1334 per quanto riguarda il PAP (Password Authentication Protocol), e
alla RFC 1994 per quanto concerne il CHAP (Challenge Handshake Authentication Protocol).
Il PPP può essere configurato sia su interfaccia BRI canale B, sia su interfaccia PRI, sia su
interfaccia V.24/V.35 e solo in modalità sincrona. La modalità asincrona non è supportata.
Per quanto riguarda il protocollo LCP, sono gestite le seguenti opzioni di configurazione:
AuthenticationProtocol (PAP e CHAP), MagicNumber.
Per quanto riguarda il protocollo IPCP, sono gestite le seguenti opzioni di configurazione: IP-
Address.
Con i protocolli PAP e CHAP è possibile fornire una coppia username/password ad un
paritario. Attraverso la configurazione di profili è possibile chiedere ad un paritario di inviare
la propria coppia username/password. Per i dettagli di questa funzionalità si rinvia al capitolo
configurazione di profili.
Sintassi Stato
<Interface> PPP ON CONFIG
RELEASE
Sintassi Stato
<Interface> PPP PAP PASSWORD <password> CONFIG
RELEASE
Il comando che segue seleziona uno username che l'apparato fornirà al router remoto
attraverso il protocollo PAP (Password Authentication Protocol). L'apparato fornisce lo user
ID solo se il router remoto ne fa richiesta (attraverso il protocollo PAP).
Sintassi Stato
<Interface> PPP PAP USERNAME <username> CONFIG
RELEASE
Sintassi Stato
<Interface> PPP CHAP SECRET <secret key> CONFIG
RELEASE
È possibile selezionare uno username che l'apparato fornirà al router remoto attraverso il
protocollo CHAP usando il comando «PPP CHAP USERNAME». L'apparato fornisce lo user
ID solo se il router remoto ne fa richiesta (attraverso il protocollo CHAP).
Sintassi Stato
<Interface> PPP CHAP USERNAME <username> CONFIG
RELEASE
Per interfaccia seriale o ADSL, il tempo di attesa per l’autenticazione chap si configura con il
seguente comando:
Sintassi Stato
<Interface> PPP CHAP WAITCHL <timeout> CONFIG
RELEASE
<Comando> DESCRIZIONE
[OPZIONE]:
<Interface>: SERIALn (con n variabile in base alle caratteristiche hardware
dell'apparato che si sta configurando).
ISDN1B
ISDN1PRI
ADSL
<timeout>: Questo è un parametro AMTEC: durante la negoziazione CHAP con il
paritario si fa partire un timer per la richiesta scambio password <timeout>
(espresso in secondi), se la negoziazione non è avvenuta allo scadere del
timeout impostato in tale campo, la connessione viene abbattuta. Se il valore
di <timeout> viene posto a zero, nessun timer viene fatto partire.
Esempio
(Config) >serial1 ppp CHAP WAITCHL 30
Sintassi Stato
<Interface> PPP <PAP/CHAP> WAITTMO <wait time on sec> CONFIG
RELEASE
Il comando che segue, configura il tempo di invio del challenge nel caso di autenticazione
chap con i profili. Per default è definito a zero ossia viene inviato un solo challenge:
Sintassi Stato
PROFILE <name> CHAP TIMECHL <time> CONFIG
RELEASE
Sintassi Stato
<Interface> PPP FAST AUTHENTICATION CONFIG
RELEASE
PPP PFCOMPRESSION
Abilita la negoziazione per la compressione del campo protocol del pacchetto PPP
Sintassi: Stato
<ifc> PPP PFCOMPRESSION CONFIG
RELEASE
Gaia4_4.3.2
P7
<Comando> [OPZIONE]: DESCRIZIONE
<ifc>: Specifica una delle interface su cui abilitare la compressione. Nel
caso di questa specifica, GPRS1 oppure V90_MODEM1.
Esempio
Config> gprs1 ppp pfcompression.
PPP ACFCOMPRESSION
Abilita la negoziazione per la compressione dei campi address e control del pacchetto PPP.
Sintassi: Stato
<ifc> PPP ACFCOMPRESSION CONFIG
RELEASE
Gaia4_4.3.2
P7
<Comando> [OPZIONE]: DESCRIZIONE
<ifc>: Specifica una delle interface su cui abilitare la compressione. Nel
caso di questa specifica, GPRS1 oppure V90_MODEM1.
Esempio
Config> gprs1 ppp acfcompression.
PPP CONTROL
Questo comando sostituisce l’impostazione di default (tutti i caratteri di controllo attivi) del
comando PPP ASYNCHRONOUS ON con quelli che vengono scritti nel campo <string> di
ciascun comando. I comandi consentiti sono quelli elencati nella tabella dei codici ASCII da 0
a 31 (decimali) scritti con la loro sigla più il comando NOBODY che indica nessun carattere
selezionato
NULL SOH STX ETX EOT ENQ ACK BEL BS HT LF VT FF
CR SO SI DLE DC1 DC2 DC3 DC4 NAC SYN ETB CAN EM
SUB ESC FS CS RS US
Sintassi Stato
<interface> PPP CONTROL <string> CONFIG
RELEASE
Gaia4_4.3.2
P7
Questo commando invia al driver il numero telefonico cui chiamare per la connessione
tramite modem. Questo comando può essere eseguito sia nello stato CONFIG che CONFIG
RUN del configuratore. Quest’ultimo per permettere di ri/connettersi a caldo al mumero
telefonico specificato dal comando.
Sintassi Stato
<interface> PPP MODEM NTEL <telef. Num.> CONFIG
RELEASE
Gaia4_4.3.2
P7
Il PPP MULTILINK nasce dalla possibilità, offerta dagli accessi base e primari della rete
ISDN, di poter connettere due sistemi remoti tra loro usando più canali
contemporaneamente. In questo modo gli utenti dei due sistemi hanno a disposizione una
maggiore larghezza di banda, che può essere fissa o seguire algoritmi di allocazione
dinamica dei canali utilizzati (Bandwidth on Demand) in modo da ottenere un compromesso
tra velocità di trasmissione e costo di utilizzo.
Un esempio caratteristico è quello di due unità remote connesse mediante due canali B di un
accesso base ISDN, in modo da ottenere velocità di trasmissione prossime a 128Kbit/s (il
doppio rispetto ad una connessione a canale singolo ottenuta attraverso il collegamento PPP
standard) senza nessuna richiesta di hardware aggiuntivo, dato che i due canali B sono
presenti nella stessa connessione fisica con un sistema a divisione di tempo (Time Division
Multiplexing).
Il PPP MULTILINK è standardizzato nella RFC 1990.
Sintassi Stato
<Interface> MPP ON CONFIG
RELEASE
NOTA: Come gia anticipato, qualora si lavori con interfaccia ISDN1PRI, non è
possibile configurare il protocollo MPP su base interfaccia con il comando
<interface> MPP ON. In questo caso si procede come segue:
si configura il protocollo PPP sull’interfaccia ISDN1PRI
si configura il protocollo MPP solo sul profilo ISDN con il comando
PROFILE <Profile Name> MPP <numero max di link>
Per attivare un successivo canale con PPP multilink è necessario “aggiungerlo” ad un canale
primario. Una volta attivato il primo canale è quindi possibile attivare il secondo. I due canali
devono essere configurati su interfacce dello stesso tipo.
Sintassi Stato
<Interface1> MPP ADD <Interface2 CONFIG
RELEASE
Sintassi Stato
<Interface> MPP MRRU <integer> CONFIG
RELEASE
Il parametro MRU, che di default vale 1512, può essere modificato tramite il seguente
comando:
Sintassi Stato
<Interface> MPP MRU <integer> CONFIG
RELEASE
Per configurare il waiting time per il parametro MRRU si utilizza il seguente comando:
Sintassi Stato
<Interface> MPP MRU WAITTMO <wait time on sec> CONFIG
RELEASE
Sintassi Stato
<Interface> MPP MRU WAITTMO <wait time on sec> CONFIG
RELEASE
Comandi di configurazione
Sintassi Stato
<Interface> MPP DBA ON CONFIG
RELEASE
La soglia per l’attivazione del secondo canale è invece modificabile dal default (75%) con il
seguente comando:
Sintassi Stato
<Interface> MPP DBA THRESHOLD <integer> CONFIG
RELEASE
Sintassi Stato
<Interface> MPP DBA TMO <integer> CONFIG
RELEASE
Sintassi Stato
<Interface> MPP PAP PASSWORD <password> CONFIG
RELEASE
Il seguente comando seleziona uno username che l'apparato fornirà al router remoto
attraverso il protocollo PAP (Password Authentication Protocol). L'apparato fornisce lo user
ID solo se il router remoto ne fa richiesta (attraverso il protocollo PAP).
Sintassi Stato
<Interface> MPP PAP USERNAME <username> CONFIG
RELEASE
Per selezionare uno username che l'apparato fornirà al router remoto attraverso il protocollo
Challenge Handshake Authentication Protocol (CHAP), si usa il comando «PPP CHAP
SECRET». L'apparato fornisce la password solo se il router remoto ne fa richiesta
(attraverso il protocollo CHAP).
Sintassi Stato
<Interface> MPP CHAP SECRET <secret key> CONFIG
RELEASE
È possibile selezionare uno username che l'apparato fornirà al router remoto attraverso il
protocollo CHAP usando il comando «PPP CHAP USERNAME». L'apparato fornisce lo user
ID solo se il router remoto ne fa richiesta (attraverso il protocollo CHAP).
Sintassi Stato
<Interface> MPP CHAP USERNAME <username> CONFIG
RELEASE
Per interfaccia seriale o ADSL, il tempo di attesa per l’autenticazione chap si configura con il
seguente comando:
Sintassi Stato
<Interface> MPP CHAP WAITCHL <time> CONFIG
RELEASE
Sintassi Stato
<Interface> MPP <PAP/CHAP> WAITTMO <wait time on sec> CONFIG
RELEASE
FRAME RELAY
ITU-T X.36;
ANSI T1.617-1991.
Il modulo Frame Relay è conforme alla RFC 1490 che indica come realizzare il trasporto di
altri protocolli; nella presente implementazione si realizza solo il trasporto del protocollo IP
sia seguendo la RFC 1490, sia senza utilizzare alcun tipo di imbustamento (modalità
trasparente).
In tale versione è possibile gestire solo i servizi in PVC.
Il modulo Frame Relay realizza il protocollo descritto nelle specifiche sopra elencate ed è
possibile utilizzarlo su interfaccia dedicata (tipo V.24/V.35). Esso è in grado di funzionare
contemporaneamente su più interfacce, su ognuna delle quali è possibile configurare tutti i
parametri in modo indipendente.
Sintassi Stato
<Interface> FRY ON <X36/Ansi/Nolmi> [<Lmi/Debuf CONFIG
RELEASE
Parametri di polling
Si può configurare il parametro «T391» sull’ interfaccia specificata usando il comando «FRY
T391».
Sintassi Stato
<Interface> FRY T391 <Liv Polling Time CONFIG
RELEASE
Si può configurare il parametro N391 sull’ interfaccia selezionata usando il comando «FRY
N391».
Sintassi Stato
<Interface> FRY N391 <Full Status Polling Counter CONFIG
RELEASE
Si può configurare il parametro N392 sull’ interfaccia specificata usando il comando «FRY
N392».
Sintassi Stato
<Interface> FRY N392 <Error/Recovery Counter CONFIG
RELEASE
Si può configurare il parametro N393 sull’ interfaccia specificata usando il comando «FRY
N393».
Sintassi Stato
<Interface> FRY N393 <Monitored Event Counter CONFIG
RELEASE
Modo bidirezionale
Sintassi Stato
<Interface> FRY BIDIRECTIONAL ON CONFIG
RELEASE
Si può configurare il parametro T392 sull’ interfaccia specificata usando il comando «FRY
BIDIRECTIONAL T392».
Sintassi Stato
<Interface> FRY BIDIRECTIONAL T392 <Polling Verification Timer CONFIG
RELEASE
Si può configurare il parametro N391 sull’ interfaccia specificata usando il comando «FRY
bidirectional N391».
Sintassi Stato
<Interface> FRY BIDIRECTIONAL N391 <Full Status Polling Counter CONFIG
RELEASE
Si può configurare il parametro N392 sull’ interfaccia specificata usando il comando «FRY
BIDIRECTIONAL N392».
Sintassi Stato
<Interface> FRY BIDIRECTIONAL N392 <Error/Recovery Counter CONFIG
RELEASE
Si può configurare il parametro N393 sull’ interfaccia specificata usando il comando «FRY
BIDIRECTIONAL N393».
Sintassi Stato
<Interface> FRY BIDIRECTIONAL N393 <Monitored Event Counter CONFIG
RELEASE
Modo asincrono
Sintassi Stato
<Interface> FRY ASYNCHRONOUS ON CONFIG
RELEASE
Sintassi Stato
<Interface>[/<Integer>] FRY ADD DLCI < DLCI ID > [<Encip1/Encip2/NoEnc>] CONFIG
RELEASE
L’utente può configurare il parametro N203 per il DLCI selezionato usando il comando «FRY
DLCI N203».
Sintassi Stato
<Interface>[/<Integer>] FRY DLCI < DLCI ID > N203 <MaxLen> CONFIG
RELEASE
L’utente può configurare il parametro Committed Information Rate (CIR) per il DLCI
selezionato usando il conmando «FRY DLCI CIR», che permette lo scarto di pacchetti a
bassa priorità se la coda supera il limite definito.
Sintassi Stato
<ifc> FRY DLCI <DLCI number> CIR <cir value> [QUEUE] [<max n° pkt on CONFIG
queue>] RELEASE
Esempio
(Config) >serial1 fry dlci 16 CIR 1024
Quando questo comando viene cancellato vengono rimossi anche i parametri che si
riferiscono a Bc e a Be. Se sia il valore del parametro CIR che quello del parametro Be sono
nulli, l’invio viene bloccato. È una condizione da evitare.
Si può configurare il parametro Committed Burst Size (Bc) per il DLCI selezionato usando il
comando «FRY DLCI BC».
Sintassi Stato
<Interface>[/<Integer>] FRY DLCI < DLCI ID > BC < Committed Burst Size> CONFIG
RELEASE
Con il comando di cancellazione si imposta, anche Bc al valore di default pari a CIR * 1s.
Si può configurare il parametro Excess Burst Size (Be) per il DLCI selezionato usando il
comando «FRY DLCI BE».
Sintassi Stato
<Interface>[/<Integer>] FRY DLCI < DLCI ID > BE <Excess Burst Size> CONFIG
RELEASE
X.25
Il protocollo X.25 è conforme alle specifiche CCITT del 1988, Blue Book. Si può fare
instradamento X25 verso 802.2 oppure X25 verso IP.
Gestisce le prestazioni opzionali di Packet Size e di Window Size per tutte le chiamate
entranti e per le sole chiamate uscenti provenienti dal protocollo IP. Nell’attuale versione di
GAIA, i comandi X.25, riportati di seuito, sono disabilitati.
Attivazione/disattivazione X.25
Si può attivare il protocollo X.25 sull’ interfaccia selezionata usando il comando «X25 ON».
Tale comando è mutuamente esclusivo con altri protocolli che sulla stessa interfaccia
facciano incapsulamento.
Sintassi Stato
<Interface> X25 ON DTE/DCE CONFIG
RELEASE
Sintassi Stato
<Interface> X25 ADDRESS <Nua> CONFIG
RELEASE
Si può configurare il NUA relativamente ad una propria interfaccia usando il comando «X25
MYADDR»; i pacchetti X.25 che riportano come NUA destinatario quello specificato nel
comando in questione, non vengono sottoposti alla fase di routing X.25 ma sono destinati ai
livelli software superiori (IP).
Sintassi Stato
<Interface> X25 MYADDR <Nua> CONFIG
RELEASE
Si può agire sul NUA chiamante nel pacchetto di CALL, in uscita dall’interfaccia <Interface>
usando il comando «X25 CALLING ADDRESS».
Sintassi Stato
<Interface> X25 CALLING ADDRESS [<string>] CONFIG
RELEASE
Si può agire sul NUA chiamante nel pacchetto di CALL, in uscita dall’interfaccia <Interface>,
usando il comando «X25 CALLING MYADDR».
Sintassi Stato
<Interface> X25 CALLING MYADDR [<string>] CONFIG
RELEASE
Sintassi Stato
<Interface> X25 PSIZE <Packet size> CONFIG
RELEASE
Si abilita la negoziazione della WSIZE usando il comando «X25 WSIZE». Il valore di default
per la window size X.25 è 7.
Sintassi Stato
<Interface> X25 WSIZE <Window size> CONFIG
RELEASE
NOTA: Per disabilitare i due comandi «X25 PSIZE» e «X25 WSIZE» occorre
disattivare il comando principale del protocollo X25 con conseguente
cancellazione delle funzioni configurate nel suddetto protocollo.
Si può configurare il numero dei circuiti virtuali bidirezionali usando il comando «X.25 BVC».
Sintassi Stato
<Interface> X25 BVC <BVC number> CONFIG
RELEASE
Per abilitare l’uso dei circuiti commutati, abilitati alla gestione delle sole chiamate entranti
(IVC), si usa il comando «X25 IVC».
Sintassi Stato
<Interface> X25 IVC <Ivc Number> CONFIG
RELEASE
Per abilitare l’uso dei circuiti commutati, abilitati alla gestione delle sole chiamate uscenti
(OVC), si usa il comando «X.25 OVC».
Sintassi Stato
<Interface> X25 OVC <Ovc number> CONFIG
RELEASE
Per abilitare l’uso dei circuiti permanenti del protocollo X.25 (PVC) si usa il comando «X25
PVC».
Sintassi Stato
<Interface> X25 PVC <Pvc number> CONFIG
RELEASE
NOTA: Per disabilitare i comandi «X25 BVC», «X25 IVC», «X25 OVC» e «X25
PVC» occorre disattivare il comando principale del protocollo X25 con
conseguente cancellazione delle funzioni configurate nel suddetto protocollo.
ROUTING X.25
ETHERNET1
IP
Modulo IP
X.25/IP X.25/IP
ISDN SERIAL1
Fig. 14.1
Lo schema in figura 14.1 illustra una situazione in cui, utilizzando l’instradamento X.25, è
possibile instradare tutto o parte del traffico entrante sull’interfaccia ISDN su un’interfaccia
specifica (SERIAL1) e viceversa utilizzando i criteri di instradamento basati sull’indirizzo
X.25, anziché utilizzare il meccanismo di instradamento IP.
L’instradamento X.25 è utilizzato anche per il corretto instradamento delle chiamate X.25 in
situazioni quali quella illustrata nello schema in figura 14.2
Si supponga di avere un apparato con un accesso ISDN e un accesso SERIALE e di aver
configurato su quest’ultimo il protocollo SDLC con due cluster, il cluster 1 e il cluster 2.
ISDN/X25 1 2 SERIAL1/SDLC
Fig. 14.2
Sull’accesso ISDN si potrebbe ricevere sia una call X.25, per attivare una sessione di traffico
con il cluster 1, che una call per il cluster 2. A questo punto è indubbia la necessità di uno
strumento che consenta il corretto instradamento delle due chiamate, che in assenza di
ulteriori specifiche verrebbero instradate sul primo cluster libero in quel momento.
Pertanto occorre:
per specificare che la chiamata entrante su ISDN con sottoindirizzo 35 va instradata verso
l’interfaccia SERIAL1 sul cluster 1, mentre la chiamata con sottoindirizzo 36 va instradata
verso il cluster 2.
Si possono selezionare i criteri di routing sulle chiamate entranti usando il comando «X25
CRIN».
Comandi di configurazione
Sintassi Stato
<Interface> X25 CRIN <criterion> <integer>] CONFIG
RELEASE
Si può inserire una connessione tra l’interfaccia <ifc1> e l’interfaccia <ifc2>, eventualmente
avvalendosi dei criteri di instradamento configurati sull’interfaccia <ifc1>, usando il comando
«ADD CONNECTION».
Sintassi Stato
ADD CONNECTION <ifc1> [<integer>] <ifc2> [<integer>] CONFIG
RELEASE
Si può inserire una connessione tra PVC sull’interfaccia <ifc1> e PVC sull’interfaccia <ifc2>,
usando il comando «ADD CONNECTION PVC».
Sintassi Stato
ADD CONNECTION PVC <ifc1> <integer> <ifc2> <integer> CONFIG
RELEASE
BACKUP X.25
Per abilitare il backup tra due linee impostandone la modalità di rientro, si usa il comando
«X25 BACKUP».
Comandi di configurazione
Sintassi Stato
X25 BACKUP<ifc1> <ifc2> [<backup mode>] CONFIG
RELEASE
PROTOCOLLO LAPB
Il protocollo LAPB è il più semplice tra i sotto-protocolli di HDLC ed è usato per connettere
una postazione a una rete. Tale protocollo fornisce soltanto le funzioni di base necessarie
per il collegamento tra un DTE e un DCE.
Il protocollo LAPB è usato esclusivamente in caso di configurazione bilanciata tra due
postazioni combinate; la modalità di comunicazione è ovviamente, ABM. Il protocollo LAPB è
usato nelle reti ISDN su canali di tipo B.
Sintassi Stato
<Interface> LAPB ON <mode CONFIG
RELEASE
Sintassi Stato
<Interface> LAPB T1 <Time> CONFIG
RELEASE
Sintassi Stato
<Interface> LAPB N1 <Max Number of Bit> CONFIG
RELEASE
Sintassi Stato
<Interface> LAPB N2 <Max Number of Attempt> CONFIG
RELEASE
Per selezionare la window size del LAPB si usa il comando «LAPB WSIZE».
Sintassi Stato
<Interface> LAPB WSIZE <window size> CONFIG
RELEASE
PROTOCOLLO LAPD
Il protocollo LAPD è conforme alle specifiche ETS 300-125. Può funzionare sia in modalità di
TEI Fisso che di TEI Automatico.
Può trasportare sia il protocollo Q.931 (per le segnalazioni sul canale D ISDN), sia il
protocollo X.25 (per trasferire dati sul canale D dell'ISDN).
Sintassi Stato
<Interface> LAPD ON CONFIG
RELEASE
PROTOCOLLO RSRB
L’RSRB è il protocollo che incapsula e trasporta il protocollo 802.2 presente sulla ethernet.
Su quest’ultima deve comunque esistere la configurazione dei parametri 802.2 ai quali RSRB
risulta essere legato.
Comandi di configurazione
Sintassi Stato
<Interface> RSRB ON CONFIG
RELEASE
Sintassi Stato
<Interface> RSRB DLCI <DLCI ID> <Interface> CONNECTION <Cluster CONFIG
Number> RELEASE
Sintassi Stato
<Interface> RSRB TUNNEL <Tunnel Number> CONNECTION <Cluster CONFIG
Number> RELEASE
Esempio
(Config) >ethernet1 rsrb tunnel 2000 connection 12
15 AUTENTICAZIONE UTENTI
Nel caso in cui un apparato sia configurato per utilizzare RADIUS, ogni utente che desideri
connettersi deve fornire al Client alcune informazioni come Username e Password. Questi
dati possono essere inseriti da prompt, oppure nel caso di determinati protocolli (ad esempio
il PPP) sono prelevati direttamente dai pacchetti di autenticazione (CHAP o PAP).
Nel caso in cui il server non risponda ad una connessione mediante Console o Telnet è
possibile effettuare un’autenticazione in locale. Quest’ultima avrà esito positivo solo se lo
Username e la Password inseriti appartengono ad una lista locale di utenti autorizzati.
Qualora un utente non risulti idoneo, non sarà possibile per lui accedere alla configurazione
dell’apparato. In caso contrario vi potrà accedere a seconda del livello specificato dal server:
I pacchetti di risposta inviati dal server possono trasportare vari attributi. In particolare una
Access-Accept può contenere:
Gli attributi che invece possono essere contenuti in una Access-Reject sono:
Replay Message: messaggio che indica il motivo per cui l’autenticazione non è
andata a buon fine.
Interoperabilità con PAP e CHAP
Nel caso del protocollo di autenticazione PAP, il NAS (Network Access Server) invia a
Radius una Access-Request utilizzando PAP ID e Password rispettivamente come
Username e Password. Tale pacchetto, oltre agli attributi standard di Autenticazione ed
Accounting, può contenerne alcuni specifici per il protocollo PAP.
Quelli riportati come obbligatori nella RFC 2865 sono:
Service-Type = Framed-User
Framed Protocol = PPP
I suddetti attributi sono inseriti anche nel pacchetto di Access-Accept, dove può essere
presente, se richiesto, il Framed-IP-Address contenente indicazioni sull’indirizzo assegnabile
all’utente.
Nel caso del protocollo di autenticazione CHAP, il NAS (Network Access Server) genera un
numero random (preferibilmente di 16 ottetti) denominato Challenge e lo trasmette all’utente.
Quest’ultimo ritorna una CHAP Response insieme ad un CHAP ID ed un CHAP Username.
Il NAS invia una Access-Request al Server Radius con il CHAP Username come Username
e con il CHAP ID e la CHAP Response come CHAP-Password.
Nel caso in cui la dimensione del Challenge corrisponda a 16 ottetti, tale numero può essere
incluso nel campo Request Authenticator del pacchetto di Access-Request.
Radius ricava la Password in base allo Username, in seguito cifra il Challenge usando MD5
sul CHAP ID, sulla Password, e sul CHAP-Challenge e confronta il risultato con la CHAP-
Password. Se i due valori corrispondono allora il server invia al NAS un Access-Accept, in
caso contrario trasmette una Access-Reject.
Funzionalità di accounting
Di seguito viene presentata una descrizione degli attributi supportati nella presente versione.
A fronte dell’inizio di una sessione Telnet o di una connessione da Console, il client (NAS)
invia al server Radius un pacchetto di Accounting-Request contenente:
A fronte della chiusura di una sessione Telnet o di una connessione da Console, l’apparato
invia al server Radius un pacchetto di Accounting-Request nel quale sono presenti:
In entrambi i casi il server Radius notifica al client (Nas) la corretta ricezione della richiesta di
Accounting tramite un pacchetto di Accounting-Response.
Comandi di configurazione
RADIUS ON
Permette l’attivazione del modulo software e deve essere presente come primo comando. Il
comando inserito senza nessun parametro opzionale abilita l’autenticazione Radius su
chiamate provenienti da Console, Telnet, PPP oppure IEEE 802.1X.
Sintassi Stato
RADIUS ON [TELNET/CONSOLE/ADMINISTRATIVE/I802.1X] CONFIG,
CONFIG RUN
RELEASE
RADIUS PRIMARY
Il seguente comando consente di configurare il server primario utilizzato per la fase di
Authentication e di Accounting. In particolare è possibile distinguere tra il server di
Autorizzazione e quello di Accounting, oltre a configurarne l’indirizzo IP ed il Secret
condiviso.
Sintassi Stato
RADIUS PRIMARY AUTH_ON/ACCT_ON <IP Address> <secret> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
NAS DISABLE PRIMARY SERVER TMO <Timeout in minute> CONFIG,
CONFIG RUN
RELEASE
RADIUS BACKUP
Questo comando permette di realizzare le medesime funzionalità del Radius Primary riferito
però al server di backup.
Sintassi Stato
RADIUS BACKUP AUTH_ON/ACCT_ON <IP Address> <secret> CONFIG
RELEASE
Tale comando consente di configurare il timeout tra due ritrasmissioni ed il numero massimo
di tentavi possibili.
Sintassi Stato
RADIUS TMO <Timeout for retransmission (sec)> RETRY <n. of attempt> CONFIG,
CONFIG RUN
RELEASE
NAS IP ADDRESS
Sintassi Stato
NAS IP ADDRESS <Interface> [/<Integer>] CONFIG,
NAS IP ADDRESS < IP address> CONFIG RUN
RELEASE
Esempio
(Config) >nas ip address ethernet1
(Config) >nas ip address 33.3.3.1
NAS AUTH
Sintassi Stato
NAS AUTH <Username> <Password> [<RO/RW>] CONFIG,
CONFIG RUN
RELEASE
RADIUS PORT
Tale comando consente di configurare le porte UDP destinatarie utilizzate nella fase di
Authentication e di Accounting.
Sintassi Stato
RADIUS PORT AUTH_ON/ACCT_ON <UDP port number> CONFIG,
CONFIG RUN
RELEASE
RADIUS ATTRIBUTE
Tale comando consente di configurare gli attributi che l’apparato deve controllare nel
pacchetto di Access-Accept restituito dal server Radius.
Sintassi Stato
RADIUS ATTRIBUTE <Service_Type/Login_Service or both> CONFIG,
CONFIG RUN
RELEASE
Qualora il comando non sia presente oppure siano inseriti attributi diversi da quelli descritti,
esiste una impostazione di default secondo la quale il Service-Type è impostato ad
Administrative.
Tale comando, relativo ai profili, è necessario per gestire la interoperabilità con PAP e
CHAP.
Sintassi Stato
PROFILE <Profile Name> REMOTE_CONFIG RADIUS ON [ACCOUNTING] CONFIG
RELEASE
Tale comando permette di abilitare il download di attributi Radius dinamici su una qualsiasi
richiesta di autenticazione. Gli attributi gestiti risultano il numero 28 (Idle-Timeout), il numero
22 (Framed Route) e il numero 26 (Vendor Specific) relativamente alla configurazione di
Access List.
Nel caso di attivazione del comando a livello USER le ACL saranno personalizzate con
l’indirizzo IP sorgente dell’host richiedente l’autenticazione, in caso contrario saranno
abilitate le ACL direttamente configurate sul Server. Affinché le ACL siano operative è
necessario configurare i relativi comandi di attivazione.
Sintassi Stato
RADIUS ATTRIBUTE DOWNLOAD LEVEL <stringa> ON CONFIG
RELEASE
SHOW ATTRIBUTE
Permette di monitorare gli attributi Radius acquisiti dinamicamente da uno stato particolare
del configuratore definito “config dynamic”.
Sintassi Stato
SHOW ATTRIBUTE CONFIG DYNAMIC
RELEASE
Esempio
(Config) >SHOW ATTRIBUTE
RADIUS SOURCE
Il seguente comando indica l’interfaccia per colloquiare con il server Radius e l’eventuale
indirizzo IP con cui trasmettere i pacchetti Radius.
Sintassi Stato
radius source <Interface>[/<Integer>] [<IP Address>] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
RADIUS REQUEST ATTRIBUTE <Call_Station_Id/SType_callck> CONFIG,
[<TELNET/ CONSOLE/ ADMINISTRATIVE>] CONFIG RUN
RELEASE
L'attivazione degli attributi di Call_station_id (calling ed called sono considerati come un solo
attributo ai fini della configurazione) e del Service_Type in modalità call_ck è configurabile e
può essere discriminata in 4 modalità di funzionamento:
- Console (l'attributo attivato è gestito solo in sessione console)
- Telnet (l'attributo attivato è gestito solo in sessione telnet)
- Administrative (l'attributo attivato è gestito solo in sessione ISDN)
- Global (corrisponde al caso in cui, non essendo stata selezionata alcuna modalità di
funzionamento, sono attive tutte le precedenti modalità).
NOTA:
Se si inserisce un attributo, non avendo selezionato alcuna modalità di
funzionamento (attivazione per tutte le modalità di funzionamento, che
corrisponde a "nessuna immissione"), in seguito, non sarà possibile cancellare
una singola modalità.
Nel caso in cui si utilizzino tre singoli comandi per attivare un attributo in tutte e
tre le modalità di funzionamento, poi non sarà possibile cancellarli con un solo
comando di NO "nessuna immissione".
Se l'attributo è già attivo per tutte e tre le modalità non è possibile attivarlo
ancora per una singola modalità. Si deve prima rimuovere l'attivazione globale
e poi inserire l'attivazione per la singola funzionalità.
Infine se un attributo è già attivo per una o più modalità (tramite comando per
console/telnet/administrative) non è possibile configurarlo per tutte le modalità
(comando "nessuna immissione"). Si deve prima rimuovere l'attivazione per le
singole modalità e poi inserire l'attivazione globale.
Sintassi Stato
NAS DISABLE PRIMARY SERVER TMO <Timeout in minute> CONFIG
RELEASE
Sintassi Stato
SET USER <username> PASSWORD <user_password> CONFIG
<CONFIGURATOR/PPP> <CONFIGURATOR: <RO/RW> / PPP: pool_name> RELEASE
[PROFILE] [<Profile Name>]
<Comando> [OPZIONE]: DESCRIZIONE
<CONFIGURATOR: è una stringa. Se viene impostato il campo CONFIGURATOR
<RO/RW> / PPP: deve essere inserita la modalità RO (Read Only) oppure RW
pool_name>: (Read e Write). Mentre se è impostato PPP deve essere inserito
il nome del pool.
[<Profile Name>]: nome del profilo associato all’utente a cui corrisponde una certa
password e un certo username.
Esempio
(Config) >set user amtec password AMTEC configurator ro
(Config) >set user amtec password AMTEC ppp AMTEC
Vincoli e limitazioni
Nella versione attuale il modulo software presenta alcuni vincoli e limitazioni. In particolare:
16 TACACS+
Il protocollo Tacacs+, permette, ad un router che svolge la funzione di Network Access
Server (di seguito NAS), di demandare le funzionalità del “controllo di accesso” ad uno o più
server a questo scopo dedicati. In particolare, Tacacs+ suddivide il controllo di accesso nelle
tre funzionalità, gestiste indipendentemente l’una dall’altra, di autenticazione, autorizzazione
ed accounting. La sicurezza dei dati è garantita ricorrendo alla cifratura dei pacchetti
secondo un algoritmo specifico del protocollo. Il protocollo di trasporto è il tcp, la porta
destinataria assegnata la numero 49.
DESCRIZIONE FUNZIONALE
AUTENTICAZIONE
si richede l’accesso, sia da locale tramite console, sia da remoto tramite protocollo
telnet o http, ad un apparato;
si richiede l’attivazione di una connessione ppp.
1. La sessione di autenticazione inizia con l’invio da parte del NAS di una pacchetto di
richiesta autenticazione;
2. il Tacacs Server risponde con l’invio del prompt per l’acquisizione dello username;
3. il NAS invia lo username;
4. il Tacacs Server risponde con l’invio del prompt per l’acquisizione della password;
5. il NAS invia la password;
6. il Tacacs Server può chiudere la sessione di autenticazione, comunicando al NAS
l’esito della stessa, o inviare il prompt per ulteriori richieste, nel qual caso il processo
richiede lo scambio di ulterirori coppie di pacchetti.
Nel caso in cui tutti i server tacacs configurati risultino non raggiungibili, è possibile abilitare
una procedura di autenticazione locale, basata cioè sul locale database di coppie
username/password.
Autorizzazione
L’autorizzazione è l’azione che determina se un utente può eseguire una determinata azione
o accedere ad un determinato servizio, ed ha luogo quando:
L’identità dell’utente che richiede di eseguire una specifica azione è stata accertata in
precedenza, nel caso sia configurata l’autenticazione tacacs, in caso contrario si assume la
richiesta come proveniente da un utente generico.
1. La sessione di autorizzazione inizia con l’invio da parte del NAS di una pacchetto di
richiesta autorizzazione, contenente il comando che l’utente intende eseguire o le
caratteristiche della connessione ppp che intende stabilire;
2. il Tacacs Server chiude la sessione di autorizzazione, comunicando al NAS l’esito della
stessa;
Accounting
L’accounting è la registrazione del fatto che un utente sta per eseguire, o ha eseguito, una
determinata azione. Nella implementazione sul sw GAIA, l’accountig Tacacs+ registra
l’istante in cui un utente inzia ad usufruire di un servizio e l’istante in cui cessa di usufruire
del servizio stesso, in particolare:
L’identità dell’utente che richiede di eseguire una specifica azione è stata accertata in
precedenza, nel caso sia configurata l’autenticazione tacacs, in caso contrario si assume la
richiesta come proveniente da un utente generico.
L’autorizzazione dell’utente ad eseguire l’azione è stata, nel caso sia configurata
l’autorizzazione tacacs, accertata in precedenza.
1. La sessione di accounting inizia con l’invio da parte del NAS di una pacchetto di
richiesta accounting, contenente l’identificativo del task, il valore di start-time o
quello di stop-time;
2. il Tacacs Server chiude la sessione di accounting, comunicando al NAS l’esito della
stessa;
L’accounting Tacacs+ non è obbligatorio e la sua configurazione o non configurazione è del
tutto indipendente da quella delle funzionalità di autenticazione ed autorizzazione.
Comandi di configurazione
TACACS ON
Sintassi Stato
tacacs on CONFIG
RELEASE
Esempio
(Config) >TACACS ON
TACACS AUTHENTICATION
Abilita la fuzionalità di autenticazione del protocollo tacacs. Tale fuzionalità può essere
limitata agli accessi al NAS e/o alle sessioni PPP, è anche configurabile una autenticazione
locale quale autenticazione di default.
Sintassi Stato
tacacs authentication [<login/ppp/all>] [local] enable CONFIG
RELEASE
Relazioni con altri comandi: il protocollo tacacs deve essere stato precedentemente abilitato.
TACACS AUTHORIZATION
Sintassi Stato
TACACS AUTHORIZATION ENABLE [IF_AUTHEN: LOCAL CONFIG
AUTHENTICATION IMPLY LOCAL AUTHORIZATION THROUGHOUT RELEASE
CONFIGURATOR SESSION]
<Comando> [OPZIONE]: DESCRIZIONE
if_authen: permette di non richiedere più l’autorizzazione al server tacacs
se l’autenticazione è avvenuta localmente
Esempio
(Config) >TACACS AUTHORIZATION ENABLE
Relazioni con altri comandi: il protocollo tacacs deve essere stato precedentemente abilitato.
TACACS ACCOUNTING
Abilita la fuzionalità di accounting del protocollo tacacs. Tale fuzionalità può essere limitata
alla registrazione dell’inizio di una attività e/o della fine dell’attività stessa.
Sintassi Stato
TACACS ACCOUNTING [<START-ONLY/STOP-ONLY/ALL>] ENABLE CONFIG
RELEASE
Relazioni con altri comandi: il protocollo tacacs deve essere stato precedentemente abilitato.
TACACS KEY
Abilita la fuzionalità di cifratura dei pacchetti tacacs.
Sintassi Stato
tacacs global key <string > CONFIG
RELEASE
Osservazioni:la stringa deve essere lunga come minimo 8 caratteri, al massimo 20 caratteri.
Relazioni con altri comandi: il protocollo tacacs deve essere stato precedentemente abilitato.
TACACS TIMEOUT
Configura il timeout generale del protocollo tacacs. Tale timeout rappresenta l’intervallo di
tempo, a partire dall’istante di invio di un pacchetto al server tacacs, che il NAS attende per i
pacchetti di risposta dal sever.
Sintassi Stato
tacacs global timeout <integer> CONFIG
RELEASE
Relazioni con altri comandi: il protocollo tacacs deve essere stato precedentemente abilitato.
TACACS SERVER
Sintassi Stato
tacacs server <IP_address> [single-connection] [port] [<integer1>] [timeout] CONFIG
[<integer2>] RELEASE
Valori di default
[single-connection] = funzionalità non abilitata.
[<integer1>] = 49.
[<integer2>] = in caso di assenza del timeout, vale il timeout generale, se anche questo è
assente vale il timeout generale di default che è pari a 8 sec..
Relazioni con altri comandi: il protocollo tacacs deve essere stato precedentemente abilitato.
TACACS SOURCE
Sintassi Stato
tacacs source <interface> [/<integer>] [<ip address>] CONFIG
RELEASE
Esempio
(Config) >TACACS SOURCE ETHERNET1
Vincoli e limitazioni
1. L’autenticazione Tacacs+ non può essere attivata riguardo alle connessioni PPP;
2. Nel campo [<login/ppp/all>] è abilitata solamente l’opzione login;
3. La funzionalità [single-connection] non è disponibile;
4. La funzionalità[<start-only/stop-only/all>] non è disponibile (default all);
5. Non sono abilitati la cancellazione e l’inserimento dei comandi Tacacs+ dallo stato
di config run.
17 SSL
Il protocollo SSL (Secure Socket Layer Protocol) è nato al fine di garantire la privacy delle
comunicazioni Internet.
Permette alle applicazioni client/server di comunicare in modo da prevenire le intrusioni, le
manomissioni e le falsificazioni dei messaggi.
Il protocollo SSL garantisce la sicurezza del collegamento mediante tre funzionalità
fondamentali:
Privatezza del collegamento: per assicurare un collegamento sicuro tra due utenti
coinvolti in una comunicazione i dati vengono protetti utilizzando algoritmi di
crittografia a chiave simmetrica(DES, RC4 etc.);
Autenticazione: l’autenticazione dell’identità nelle connesioni può essere eseguita
usando la crittografia a chiave pubblica (RSA, DSS, etc.). In questo modo i clients
sono sicuri di comunicare con il server corretto, prevenendo eventuali interposizioni.
Inoltre è prevista la certificazione sia del server che del client;
Affidabilità: il livello di trasporto include un controllo sull’integrità del messaggio
basato su un apposito MAC (Message Authentication Code) che utilizza funzioni hash
sicure (SHA, MD5 etc.). In tal modo si verifica che i dati spediti tra client e server non
siano stati alterati durante la trasmissione.
Il protocollo SSL è composto da quattro protocolli, SSL Record a livello inferiore ed SSL
Handshake a livello superiore, che si interfaccia con un’applicazione come può essere il
TELNET (Stelnet) o anche HTTP (HTTPS); SSL Alert e Change Cipher Spec.
Client_hello Server_hello
Server_certificate**
Certificate_request**
Server_key_exchange**
Server_hello_done
Client_certificate**
Client_key_exchange
Certificate_verify**
Change_cipher_spec
Finished
Change_cipher_spec
Finished
Quando un client e un server SSL comunicano per la prima volta contrattano la versione di
protocollo da utilizzare, gli algoritmi di crittografia da usare in base alle cipher suites che essi
gestiscono, opzionalmente si autenticano a vicenda.
I messaggi contrassegnati con ** non sempre vengono spediti/ricevuti e sono opzionali nel
senso che l’invio/ricezione dipendono da come sono configurati sia il client che il server.
Inoltre può succedere che sia il client che il server decidano di riutillizzare una sessione già
negoziata (tramite un identificativo di sessione: Session ID); in tal caso il client manda il
Client_hello usando l’ID della sessione da riesumare; il server controlla se quell’ID è
presente nella sua cache e se sì, manda il Server_hello con lo stesso ID. A questo punto sia
il client che il server mandano il Change_cipher_spec e il Finished e procedono con la
trasmissione/ricezione. Se il server non trova l’ID nella sua cache la fase di handashake è
quella descritta nel precedente grafico.
Il protocollo SSL Record è interfacciato su di un protocollo affidabile come il TCP.
SSL Record è usato per l’incapsulamento dei dati provenienti dai protocolli superiori.Esso
prende i messaggi da trasmettere, li frammenta in blocchi di dati (record da 214 byte o
meno), opzionalmente li comprime, applica un MAC (Message Authentication Code: usato
per l’integrità dei dati), li cifra e trasmette il risultato. I dati ricevuti vengono decifrati,
decompressi, e riassemblati, quindi trasmessi al livello superiore.
Il protocollo SSL Alert notifica situazioni anomale o segnala eventuali problemi.
Il protocollo Change Cipher Spec impone l’esecuzione di un nuovo handshake per
rinegoziare i parametri di sicurezza e l’autenticazione.
Comandi di configuazione
Il comando che segue permette l’attivazione di Secure Telnet. Senza questo comando Telnet
Server continua a funzionare come nelle precedenti versioni di Gaia; ossia non sfrutta SSL e
si interfaccia direttamente col TCP.
Sintassi Stato
SSLTELNET ON CONFIG
RELEASE
Esempio
(Config) >SSLTELNET ON
Il comando che segue configura il numero di porta TCP da ascoltare per le connessioni. Se
non specificata viene usata quella di default: 4433.
Sintassi Stato
SSLSERVER PORT <integer> CONFIG
RELEASE
Sintassi Stato
SSLSERVER VERIFY <integer> CONFIG
RELEASE
Sintassi Stato
SSLSERVER VERIFYFULL <integer> CONFIG
RELEASE
Il comando che segue configura il certificato del server. Va osservato che se nella macchina
sono caricati dei certificati, questo certificato sarà correlato ad un file di CA; risulta quindi
obbligatorio configurare su ssl server il comando che definisce la CA da usare e configurare
opportunamente il modulo CRT_MNG.
Se questo comando non è presente verrà utilizzato un certificato di default cablato nel
codice.
Sintassi Stato
SSLSERVER CERT <string> CONFIG
RELEASE
Sintassi Stato
SSLSERVER KEY <string> CONFIG
RELEASE
Il comando che segue configura il file di CA da usare. Esso contiene la lista dei certificati
trusted per l’autenticazione dei clients.
Va osservato che qualora si vogliano utilizzare certificati installati sulla macchina bisogna:
Configurare il modulo CRT_MNG:
es: CRTM CA cacert IS cn: CA_20_ONLINE (associa il dummy name cacert alla ca
CA_20_ONLINE presente sulla macchina)
Configurare una CA su ssl server:
es: SSLSERVER CAFILE cacert.pem (NB: il dummy name deve essere uguale a quello
del comando precedente)
Configurare certificato e chiave di ssl server:
es: SSLSERVER CERT server1.pem
o SSLSERVER KEY serverkey1.pem
Il modulo CRT_MNG in base al nome della CA restituirà a SSL certificato e chiave da usare;
questa richiesta viene fatta in fase di inizializzazione di Open SSL server e i file restituiti
verranno caricati nei rispettivi file configurati su SSL.
Sintassi Stato
SSLSERVER CAFILE <string> CONFIG
RELEASE
Il comando che segue configura la directory da usare per la verifica del certificato del client.
Essa deve essere in formato hash.
Sintassi Stato
SSLSERVER CAPATH <string> CONFIG
RELEASE
Il comando che segue configura la cipher suite del server. Quando il client spedisce una lista
di cifrari supportati viene usato il primo cifrario del client incluso anche nella lista del server.
Poichè il client specifica l’ordine di preferenza, l’ordine della lista del server è irrilevante.
Se questo comando non è presente il server utilizzerà una lista di default.
Sintassi Stato
SSLSERVER CIPHER <string> CONFIG
RELEASE
Sintassi Stato
SSLSERVER <string> CONFIG
RELEASE
VINCOLI E LIMITAZIONI
Una limitazione di questa implementazione è quella di avere gli stessi parametri (es:
certificato, chiave etc.) per sessioni diverse.
Un vincolo è sicuramente rappresentato dal fatto che se non si vuole lavorare con i parametri
di default, come ad esempio il certificato del server, occorre installarlo sulla macchina.
18 MODULO KEYGEN
Il software Gaia 4.3.2 P7 può gestire una vasta gamma di operazioni legate alla sicurezza. Di
default queste funzionalità sono attivate su tutti gli apparati, ad esclusione del SAS 113.
La sicurezza è garantita dalla generazione di un pool di coppie di chiavi (pubblica-privata)
che l’apparato userà quando necessario. Il modulo che si occupa della generazione e della
memorizzazione delle chiavi si chiama KEYGEN.
Ogni coppia di chiavi è formata da due elementi della stessa lunghezza. Su ogni apparato
devono essere sempre presenti almeno 2 coppie di chiavi da 1024 bits e 2 coppie da 2048
bits. Se manca qualcuna di queste coppie, KEYGEN attiva la loro generazione. Esse
vengono memorizzate in maniera sicura all’interno della memoria FLASH.
Ad ogni avvio dell’apparato il modulo KEYGEN controlla la presenza delle chiavi nella
memoria FLASH
La generazione delle chiavi è un’operazione complessa che può richiedere anche alcuni
minuti.
È essenziale sapere che all’avvio è necessario attendere l’avvenuta generazione di tutte le
coppie di chiavi affinché le funzionalità di sicurezza dell’apparato siano attivate.
Sulla porta di servizio viene inviato un messaggio spontaneo a generazione completata:
“KEYS generation completed” che avvisa dell’operatività dell’apparato.
Durante il normale lavoro, le chiavi verranno prelevate dal pool messo a disposizione da
KEYGEN e, conseguentemente, verranno rigenerate. Questa fase di rigenerazione non
sospenderà le funzionalità di sicurezza dell’apparato.
In ogni momento è possibile verificare l’esistenza delle chiavi generate da KEYGEN con il
dump “DUMP KEY”.
Sintassi Stato
DUMP KEY #
RELEASE
Esempio
# DUMP KEY
Key One 1024 is present
Key Two 1024 is not present
Key One 2048 is present
Key Two 2048 is not present
IPSEC E IKE
Lo standard IPSec (Internet Protocol Security) fornisce due meccanismi di sicurezza al livello
IP dell’architettura ISO-OSI:
Il protocollo IPSec implementato all’interno del software GAIA soddisfa alle seguenti RFC:
RFC 2401, RFC 2402, RFC 2406, RFC 2410, RFC 2451, RFC 2403, RFC 2404, RFC 2405,
RFC 2104. Il protocollo IKE implementato all’interno del software GAIA soddisfa alle seguenti
RFC: RFC 2407, RFC 2408, RFC 2409, RFC 2412, RFC 2522, RFC 2523.
Livello 7
IKE Manager IKE
Livello 6
L4 interface Livello 2
Livello 1
X25 PPP
IFC 1 DRIVER I
F
IPSEC
Comandi di configurazione IPSEC
I passi necessari per configurare il protocollo IPSEC su un apparato sono i seguenti:
Per il traffico che si vuole instradare senza che subisca elaborazioni IPSEC è necessario
definire una access list di tipo IPSEC per tale tipo di traffico, configurare una map di tipo
CLEAR e associare a tale map le access list precedentemente definite.
Attivazione/disattivazione IPSEC
Sintassi Stato
IPSEC ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ipsec on
Sintassi Stato
IPSEC ON [DOUBLE_SA] CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ipsec on
Sintassi Stato
IPSEC TRAP ON <conf flags (Hex)> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IPSEC SECUR ADDRESS <IFC local IPSEC tunnel endpoint> CONFIG,
CONFIG RUN
RELEASE
È possibile configurare più transform set e quindi associare uno o più di questi transform set
ad una IPSec map di tipo dinamico. Durante la fase di negoziazione delle SA, i gateway di
sicurezza concordano di utilizzare un particolare transform set per proteggere un certo flusso
di dati.
A ipsec map di tipo manual può essere associato un solo transform set.
Un transform set specifica uno o più protocolli di sicurezza dell’IPSec (ESP, AH o entrambi) e
indica quali algoritmi utilizzare con il protocollo di sicurezza selezionato. Possono essere
specificate fino a tre transform (sigle corrispondenti a protocolli e algoritmi). Di seguito è
riportata una tabella che indica le combinazioni accettabili di protocolli e algoritmi che
possono costituire un transform set. Ogni transform set può essere costruito come
combinazione di una delle sigle specificate in ognuna delle colonne (3 colonne => max tre
sigle).
esp-aescbc192
ESP con algoritmo di cifratura
AES a 192bit
esp-aescbc256
ESP con algoritmo di cifratura
AES a 256 bit
Nel caso in cui si voglia modificare un transform set è necessario prima cancellare tutti i
comandi che utilizzano il transform set stesso.
ACCESS LIST
Ogni lista di tipo IPSEC è individuata da un numero che ne permette l’associazione con la
IPSEC map. Ogni entry di una lista IPSEC ha un "flag di permesso": se il flag è PERMIT il
traffico congruente con tale entry è permesso, se è DENIED è negato.
indirizzo IP sorgente;
indirizzo IP destinatario;
protocollo trasportato;
porta applicativa destinataria;
porta sorgente;
Comandi di configurazione
Sintassi Stato
IPSEC ACCESS <List label -between 2 and 10000-> [PERMIT] [<Ip CONFIG,
Address Src>] [<Ip Mask Src>] [<Ip Address Dst>] [<Ip Mask Dst>] CONFIG RUN
[<Protocol>] [<Source port range s1/s2>] [<Destination port range s1/s2>] RELEASE
[BIDIRECTIONAL]
chiaro.
Esempio
Config #>ipsec access 34 permit 10.0.0.3 255.255.255.255 180.0.0.1 255.255.255.255
Config #>ipsec access 34 permit 10.0.0.3 255.255.255.255 180.0.0.1 255.255.255.255 tcp
23 bidirectional
NOTA: E´ possibile anche non riportare tutta la sequenza del comando; in tal
caso dietro conferma, viene cancellato tutto ciò che inizia con la sequenza di
indirizzo riportato sul comando.
In questo caso viene cancellato tutto quello che inizia con la sequenza IPSEC ACCESS 34
PERMIT
Sintassi Stato
IPSEC DATA PROTECTED ONLY CONFIG
RELEASE
Esempio
(Config) >ipsec data protected only
IPSEC MAP
È possibile definire un set di IPSec map, ognuna con un differente numero di sequenza
identificativo della map stessa. Il criterio di assegnazione di tale numero deve essere il
seguente: la IPSec map entry con il numero di sequenza più basso ha la priorità più alta,
viene cioè utilizzata per prima. Solo nel caso in cui il traffico non sia congruente con la lista di
accesso collegata ad una IPSec map con numero di sequenza più basso, sarà confrontato
con la IPSec map successiva.
Sintassi Stato
IPSEC ADD MAP <Map label -between 2 and 10000-> MANUAL CONFIG,
<Permitsec /Clear /Corporate> [PRIORITY] [<Map label -between 2 and CONFIG RUN
10000>] RELEASE
Per configurare una IPSec map di tipo dinamico, i cui parametri di sicurezza saranno
negoziati tramite il protocollo IKE, si usa il seguente comando
Sintassi Stato
IPSEC ADD MAP < Map label -between 2 and 10000 > ISAKMP CONFIG,
[DYNAMIC] [PRIORITY] [<Map label -between 2 and 10000>] CONFIG RUN
RELEASE
Per specificare l’entità di pari livello, ovvero il gateway decifrante, in una IPSec map.
Sintassi Stato
IPSEC MAP < Map label -between 2 and 10000 > SET PEER <Remote CONFIG,
Ip Address> CONFIG RUN
RELEASE
Con IPsec map di tipo manual è possibile configurare un solo transform set, dal momento
che non ci sarà nessuna negoziazione con l’entità di pari livello.
Per specificare quali transform set utilizzare con questa IPSec map si usa:
Sintassi Stato
IPSEC MAP <Map label -between 2 and 10000 > SET TRANSFORM CONFIG,
<Name of Trasform> [ < Name of Trasform >] [ < Name of Trasform >] CONFIG RUN
RELEASE
Sintassi Stato
IPSEC MAP <Map label-between 2 and 10000> LIST <List label-between CONFIG,
2 and 10000> TRANSFORM <name of transform> [<name of transform>] CONFIG RUN
[<name of transform>] [PRIORITY] [<Map label -between 2 and 10000>] RELEASE
Sintassi RELEASE
IPSEC MAP - <Map label -between 2 and 10000-> SET PFS DHGROUP
<Diffie-Hellman: 768M/1024M/1536M> [FLEXIBLE]
Esempio
IPSEC MAP 10 SET PFS DHGROUP 1024M FLEXIBLE
Funzionalità comando:
consente di invocare il modulo Diffie Hellman durante ogni rinegoziazione IPSEC generando
una nuova coppia di chiavi (pubblica / privata) ogni volta.
I valori possibili sono 768M, 1024M,1536M
Il parametro opzionale [FLEXIBLE] può essere configurato su una macchina per permettere
a quest’ultima, nel caso si comporti come Responder, di accettare dinamicamente il valore
del modulo utilizzato dall’Initiator della negoziazione IPSEC (Quick Mode).
Sinatssi RELEASE
IPSEC MAP - <Map label -between 2 and 10000-> SET ANTI_REPLAY
EXTENDED
Esempio
IPSEC MAP 10 7 SET ANTY_REPLAY EXTENDED
Sintassi RELEASE
IPSEC MAP - <Map label -between 2 and 10000-> SET ANTI_REPLAY ON
Esempio
IPSEC MAP 10 7 SET ANTY_REPLAY ON
Funzionalità comando:
Sintassi Stato
IPSEC MAP <Map label-between 2 and 10000> SET KEY <inbound / CONFIG,
outbound> AH <Spi Value> <key> CONFIG RUN
RELEASE
Per permettere di specificare le chiavi e lo SPI per il protocollo ESP (disponibile solo per map
di tipo manual):
Sintassi Stato
IPSEC MAP <Map label-between 2 and 10000> SET KEY <inbound / CONFIG,
outbound> ESP <Spi Value> [CIPHER] [<Cipher Key>] [AUTH] CONFIG RUN
[<Authentication Key>] RELEASE
Se non viene utilizzato tale comando di configurazione viene creata una sola SA per ogni
entry della lista di accesso associata ad una map isakmp. Questo comando permette di
forzare la creazione di una nuova SA per ogni nuovo indirizzo IP sorgente protetto, per ogni
nuovo IP destinatario, per ogni nuovo protocollo o porta destinataria. Se voglio impostare la
granularità massima per la generazione di SA abilitando il comando per ogni selettore del
pacchetto, devo ripetere il comando per tutti i possibili selettori. Per impostare la granularità
con cui devono essere create le SA associate a tale map (Disponibile solo per map di tipo
isakmp):
Sintassi Stato
IPSEC MAP <Map label -between 2 and 10000-> SET LEVEL CONFIG,
[<ip_source / ip_dest / port_s / port_d /prot / subset>] CONFIG RUN
RELEASE
Per abilitare il servizio di anti-replica per la map specificata (Disponibile solo per map di tipo
isakmp):
Sintassi Stato
IPSEC MAP <Map label -between 2 and 10000> SET ANTI_REPLAY ON CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
CONFIG,
IPSEC MAP <Map label -between 2 and 10000-> SET DHCP <Addr of the CONFIG RUN
DHCP server> RELEASE
È possibile permettere ad una mappa IPSec di reindirizzare in chiaro il traffico delle proprie
access list verso un gateway configurabile, ma questo nel caso in cui il peer della mappa
stessa non sia raggiungibile tramite il protocollo IKE. Il meccanismo prevede la
configurazione automatica del persistent a livello IKE e richiede l’attivazione del DpD.
Quest’ultimo, che deve essere attivato manualmente per definire il tempo di invio dei
pacchetti RU_THERE, verrà configurato in modo da inviare il pacchetto anche in assenza di
traffico o di SA IPSec attive. La persistenza della prima fase ISAKMP garantisce che, all’atto
del ripristino della comunicazione tra i peer IKE, il tunnel viene instaurato e, quindi, le rotte in
chiaro rimosse.
Sintassi Stato
IPSEC MAP <integer> SET BACKUP CLEAR ON GATEWAY <gateway> CONFIG,
CONFIG RUN
RELEASE
Cancellazione della SA
Sintassi Stato
IPSEC KILL SA <Sa index> CONFIG RUN
RELEASE
Sintassi Stato
IPSEC DYNAMIC NAT ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ipsec dynamic nat on
Sintassi Stato
IPSEC ADD POOL <List Name> <IP Address> [<IP Address>] MASK CONFIG,
<IP Mask> [<Eth Ifc on which publish address>] [<Eth Ifc on which CONFIG RUN
publish address>] [<Eth Ifc on which publish address>] RELEASE
Si possono definire al più 10 POOL, ognuno con un nome diverso; ogni pool può
contenere un massimo di 256 indirizzi IP.
Si può passare al comando un solo indirizzo IP, una rete o un insieme contiguo di indirizzi di
una rete:
<IP Address 1> + maschera piena: viene considerato solo l’indirizzo specificato.
<IP Address 1> + maschera di rete: viene considerata l’intera rete.
<IP Address 1> + <IP Address 2> + maschera di rete: gli indirizzi devono essere contenuti
nella rete e vengono considerati solo
gli indirizzi contenuti nell’intervallo
che essi definiscono.
Esempio
(Config) >ipsec add pool x1 192.69.23.1 mask 255.255.255.255 (indirizzo unico)
(Config) >ipsec add pool x2 192.69.100.0 mask 255.255.255.224 (rete)
(Config) >ipsec add pool x1 192.69.23.10 192.69.233.20 mask 255.255.255.0
(intervallo contiguo di indirizzi)
Utilizzando la tabella dei certificati (vedi Capitolo 8) siamo in grado di associare ad ogni
utente tramite il POOL o l’IP ADDRESS l’indirizzo IP col quale l’utente si presenta all’interno
della rete protetta.
Sintassi Stato
IPSEC MAP <Map label -between 2 and 10000-> NAT DISABLE CONFIG,
CONFIG RUN
RELEASE
È possibile collegare lo stato di IPSec e IKE allo stato del VRRP in una interfaccia in cui
quasto protocollo sia configurato. Non è richiesto che l’interfaccia di sicurezza dell’apparato
sia quella in cui è attivo il VRRP.
Sintassi Stato
IPSEC TRACK VRRP < IFC/SUBIFC FOR vrrp TRACK > CONFIG,
CONFIG RUN
RELEASE
Comandi di configurazione
Di seguito vengono riportati e descritti i comandi di configurazione del protocollo IKE.
Comando di attivazione
Sintassi Stato
IKE ON CONFIG, CONFIG RUN
RELEASE
Esempio
(Config) >ike on
Sintassi Stato
IKE TRAP ON <conf flags (hex)> CONFIG, CONFIG
RUN
RELEASE
Aggiunta di policy
Per creare una politica IKE con un nome impostato si prosegue come segue:
Sintassi Stato
IKE ADD POLICY < Policy Name> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE POLICY < Policy Name> ENCRYPTION <Encryption Algorithm: CONFIG,
Descbc| Tdescbc | AESCBC128 |AESCBC192 |AESCBC256> CONFIG RUN
RELEASE
Il comando che segue imposta l’algoritmo di hashing per la politica specificata. Default: MD5-
HMAC.
Sintassi Stato
IKE POLICY < Policy Name > HASH <Hashing Algorithm: Md5/Sha> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE POLICY < Policy Name > AUTHENTICATION <Authentication CONFIG,
Algorithm: Pshkey/Rsasign> CONFIG RUN
RELEASE
Sintassi Stato
IKE POLICY < Policy Name > DHGROUP <Diffie-Hellman: 768M/1024M> CONFIG,
CONFIG RUN
RELEASE
È possibile impostare il limite di durata del canale ISAKMP. Default: 64800 secondi
Sintassi Stato
IKE POLICY < Policy Name > LIFETIME SECONDS <LifeTime of Policy CONFIG,
in sec.> CONFIG RUN
RELEASE
Sintassi Stato
IKE POLICY < Policy Name > LIFETIME TRAFFIC <LifeTime of Policy in CONFIG,
KB> CONFIG RUN
RELEASE
Il comando che segue stabilisce quante volte è possibile usare le chiavi di ipsec prima di
rinnovare le chiavi di IKE
Sintassi Stato
IKE POLICY < Policy Name > LIFETIME REKEY <Max n. of key usage> CONFIG,
CONFIG RUN
RELEASE
Il comando che segue imposta la priorità per la politica IKE specificata. Le politiche con
valore di priorità più bassa sono quelle proposte per prime.
Sintassi Stato
IKE POLICY < Policy Name > PRIORITY < Priority of Policy between 0- CONFIG,
255> CONFIG RUN
RELEASE
Aggiunta di PEER
Per configurare un peer,un gateway remoto, con il nome specificato si fa uso del seguente
comando:
Sintassi Stato
IKE ADD PEER < Peer Name> CONFIG,
CONFIG RUN
RELEASE
Per impostare l’indirizzo per il peer specificato, l’indirizzo del peer remoto si procede come
segue:
Sintassi Stato
IKE PEER < Peer Name > IP ADDRESS <Ip Address> CONFIG,
CONFIG RUN
RELEASE
NOTA: il comando è obsoleto e non produce effetti. Il valore dell’IP Address del
peer remoto viene letto direttamente dalla MAP di riferimento.
Con il comando che segue, l’apparato accetta contrattazioni IKE solo con peer il cui indirizzo
è compreso in un range indicato da first ip addr e last ip addr.
Sintassi Stato
IKE PEER <Peer Name> IP SOURCE [<first ip addr>] [<last ip addr>] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE PEER <Peer Name> CA <CA dummy name (max 14 car)> CONFIG,
CONFIG RUN
RELEASE
Il comando che segue permette l’inserimento in tabella di routing della rete remota relativa
alla lista IPSec negoziata e questo quando la relativa SA viene messa in traffico. Alla
scadenza della SA, la entry in tabella di routing viene rimossa.
In tabella di routing, la rete appare come appartenente al gruppo IPSEC ed è di tipo lookup.
È possibile ridistribuire la entry attraverso il BGP, L’OSPF e il RIP con appositi comandi di
configurazione.
Sintassi Stato
IKE PEER <string> ROUTE ADD CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE CA <CA dummy name (max 14 car)> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE PEER < Peer Name > MAP <ID Map Label -between 2 and 10000- > CONFIG,
CONFIG RUN
RELEASE
Il comando che segue associa al peer specificato la politica di sicurezza. Possono essere
associate varie policy per ogni peer.
Sintassi Stato
IKE PEER < Peer Name > POLICY < Policy Name > CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE PEER < Peer Name > PRESHARED <Preshared Key> CONFIG,
CONFIG RUN
RELEASE
Grazie al comando che segue, è possibile definire il tipo di scambio scelto quando viene
instaurata una negoziazione con un peer remoto. Se non diversamente configurato, nel caso
di innesco come responder il router, tale comando accetta il tipo di scambio proposto dal
peer remoto. Default: MAIN
Sintassi Stato
IKE PEER <Peer Name> MODE MAIN CONFIG,
CONFIG RUN
IKE PEER <Peer Name> MODE AGGRESSIVE RELEASE
Il comando che segue permette la variazione dell’indirizzo che viene utilizzato come end-
point locale per il peer indicato. Il default è il valore assegnato tramite il comando IP SECUR
ADDRESS <Interface>.
Sintassi Stato
IKE PEER < Peer Name> LOCAL IP ADDRESS <Local Ip Address> CONFIG,
CONFIG RUN
RELEASE
Il comando che segue permette la configurazione del servizio di fino a tre peer di backup.
Essi vengono chiamati in sequenza fino al primo che risponde.
Sintassi Stato
IKE PEER <Peer Name > BACKUP IP ADDRESS <Remote Ip Address> CONFIG,
[<Remote Ip Address>] [<Remote Ip Address>] CONFIG RUN
RELEASE
Il comando che segue associa al peer specificato un pool, perchè l’utente connesso si
presenti all’interno della rete con uno degli indirizzi presi dal pool.
Sintassi Stato
IKE PEER < Peer Name > NAT POOL <Pool Name> CONFIG,
CONFIG RUN
RELEASE
Il comando che segue associa al peer specificato un pool perchè l’utente connesso si
presenti all’interno della rete con l’indirizzo assegnato.
Sintassi Stato
IKE PEER <Peer Name> NAT ADDRESS <IP addr for NAT translation> CONFIG,
CONFIG RUN
RELEASE
Per associare la funzionalità di NAT traversal ad un peer specificato si procede come segue:
Sintassi Stato
IKE PEER < Peer Name > NAT-T [KEEPALIVE] [<keepalive interval CONFIG,
(sec)>] [<sec of keepalive persistency after sa clear>] CONFIG RUN
RELEASE
La cancellazione del comando oltre che anteponendo “NO” può avvenire anche mediante il
seguente comando.
Sintassi Stato
IKEPEER <Peer Name> NAT-T OFF CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ike peer periferia nat-t OFF
Per associare la funzionalità di NAT traversal a livello globale, si procede come segue:
Sintassi Stato
IKE PORT NAT [<UDP port number>] [KEEPALIVE] [<keepalive interval CONFIG,
(sec)>] [<sec of keepalive persistency after sa clear>] CONFIG RUN
RELEASE
Sintassi Stato
IKE PEER <Peer Name> KEEPALIVE <keepalive interval (sec)> CONFIG,
CONFIG RUN
RELEASE
TMO e RETRY
Il comando che segue configura tentativi di ritrasmissione e timeout per l’invio dei pacchetti
IKE relativamente al per indicato.
Sintassi Stato
IKE PEER < Peer Name > TMO <Timeout for retransmission (sec)> CONFIG,
RETRY <n. of attempt> CONFIG RUN
RELEASE
Comandi di configurazione
Sintassi RELEASE
IKE PEER <Peer Name> XAUTH SERVER
Esempio
IKE PEER pippo XAUTH SERVER
Funzionalità comando:
Sintassi RELEASE
IKE PEER <Peer Name> XAUTH CLIENT LIST <List Name>
Esempio
IKE PEER pippo XAUTH CLIENT LIST topolino
Funzionalità comando:
Sintassi RELEASE
IKE XAUTH <List Name> USER <username> PASSWORD user_password
Esempio
IKE XAUTH topolino USER pippo1 PASSWORD pippo2
Funzionalità comando:
Definisce una coppia USERNAME, PASSWORD legandoli ad una lista <List Name> da
utilizzare per l’XAUTH
Il config mode ha inizio dopo lo scambio xauth;dopo aver correttamente configurato xauth è
quindi necessario procedere con la definizione di un gruppo legato al client che espliciti tutti i
parametri che questo acquisirà con lo scambio CFG.
Notare che il sw GAIA implementa per il config mode il lato SERVER della funzionalità
descritta.
Sintassi Stato
IKE ADD GROUP CLIENT <string> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE ADD GROUP CLIENT <groupname> [DYNAMIC] CONFIG,
CONFIG RUN
RELEASE
Esempio
Config #> IKE ADD GROUP CLIENT DOMENICO
Config #> IKE GROUP CLIENT DOMENICO IP4_ADDR 10.36.1.100
Config #> IKE GROUP CLIENT DOMENICO IP4_NET 255.255.255.0
Config #> IKE PEER VPNCLIENT GROUP CLIENT DOMENICO
Sintassi Stato
IKE GROUP CLIENT <nameClient> { IP4_ADDR |IP4_NET |IP4_DNS CONFIG,
|IP4_NBNS | ADDR_EXPIRY |IP4_DHCP |IP6_ADDR |IP6_NET |IP6_DNS CONFIG RUN
|IP6_NBNS |IP6_DHCP} <groupValue> RELEASE
Sintassi Stato
IKE PEER < Peer Name > FLAGS <conf flags (Hex)> [<conf flags CONFIG,
(Hex)>] CONFIG RUN
RELEASE
Sintassi Stato
IKE KILL SA PEER <Peer Name> [ALL] CONFIG RUN
RELEASE
Sintassi Stato
IKE BACKUP ON CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ike backup on
Sintassi Stato
IKE BACKUP RUN CONFIG RUN
RELEASE
Esempio
(Config) >ike backup run
Il comando che assegna l’indirizzo a cui viene inviato il traffico di backup è il seguente:
Sintassi Stato
IKE BACKUP REMOTE IP <Remote IP Address> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE BACKUP LOCAL IP <Remote IP Address> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
IKE BACKUP MODE VRRP CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ike backup mode vrrp
Il backup delle SA comporta la duplicazione delle informazioni delle SA di primo livello nella
macchina di backup. Se si vuole evitare che una SA non dupichi le sue informazioni sulla
macchina remota, si può fare attraverso il comando:
Sintassi Stato
IKE PEER < Peer Name > NO BACKUP CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >ike peer pippo backup
IDENTIFICATION TYPE
Questo insieme di comandi permette la definizione del tipo di identificativo locale/remoto con
cui il router si presenta al peer oppure con cui riconosce il peer remoto. I valori di default per
questi campi dipendono dal tipo di autenticazione e sono IPV4 ADDR, nel caso di
autenticazione via preshared key, DISTINGUISH NAME, nel caso di autenticazione via firma
con algoritmo RSA. In totale, i tipi di autenticazione sono: IPV4_ADDR, FQDN,
USER_FQDN, IPV4_ADDR_SUBNET, IPV4_ADDR_RANGE, KEY_ID, DER_ASN, 1_DR
DER_ASN1_GN.
Identificativo locale
Con i comandi che seguono, il peer si identificherà tramite l’indirizzo IP indicato o una
particolare stringa. Se manca il valore dell’indirizzo, viene preso l’indirizzo locale (definito dal
secur address dell’apparato o, se configurato, dal valore indicato nel peer stesso).
Sintassi Stato
IKE PEER < Peer Name > LOCAL_ID <ID type: any word for see options> CONFIG,
[<ip address, range or subnet>] [<ip address, range or subnet>] CONFIG RUN
RELEASE
Sintassi Stato
IKE PEER < Peer Name > LOCAL_ID <ID type: any word for see CONFIG,
options> [<type of the previousous field>] CONFIG RUN
RELEASE
Identificativo remoto
Con questo comando si forza il router ad aspettarsi che il remoto si identifichi attraverso un
particolare ID (IPV4_ADDR, FQDN, USER_FQDN, IPV4_ADDR_SUBNET,
IPV4_ADDR_RANGE, KEY_ID, DER_ASN, 1_DR DER_ASN1_GN).
Sintassi Stato
IKE PEER < Peer Name > REMOTE_ID <ID type: any word for see CONFIG,
options> [<ip address,range or subnet>] [<ip address, range or subnet>] CONFIG RUN
RELEASE
Sintassi Stato
IKE PEER <Peer Name> LOCAL_ID [<ID type: any word for see CONFIG,
options>] [<type of the previousous field>] CONFIG RUN
RELEASE
Esempio
(Config) >ike peer periferia remote_id der_asn1_dn
Il comando che segue, inserisce una entry che permette di definire una coppia,
identificativo_remoto –preshared, in grado di autenticare un peer rempto su una mappa
dinamica
Sintassi Stato
IKE REMOTE_ID <remote ID name (FQDN or KEY_ID)> MAP <Map label CONFIG,
-between 2 and 10000-> [ADDRESS] [<IP addr for NAT translation>] CONFIG RUN
PRESHARED <Preshared Key> RELEASE
Il comando che segue, si comporta coma il precedente ed inoltre, associa alla macchina
remota un indirizzo IP, se disponibile, prelevato dal POOL
Sintassi Stato
IKE REMOTE_ID <remote ID name (FQDN or KEY_ID)> MAP <Map label CONFIG,
-between 2 and 10000-> [POOL] [<Pool Name>] PRESHARED CONFIG RUN
<Preshared Key> RELEASE
Sintassi Stato
IKE REMOTE_ID <remote ID name (FQDN or KEY_ID)> MAP <Map CONFIG,
label -between 2 and 10000-> [DHCP] [<ip address>] PRESHARED CONFIG RUN
<Preshared Key> RELEASE
Timeout – retry
Questo comando permette di definire i due parametri (timeout e numero di tentativi) legati
alla ritrasmissione di un pacchetto.
Inoltre imposta alcuni flags di configurazione in formato esadecimale.
Sintassi Stato
IKE TMO <Timeout for retransmission (sec)> RETRY <n. of attempt> [FLAGS] CONFIG
[<conf flags (Hex)>] [<conf flags (Hex)>] RELEASE
Comando di configurazione necessario per aggiungere una entry in tabella dei certificati.
Sintassi Stato
ADD SCERT <string> <alfastring> MAP <integer> CONFIG
ADD SCERT <string> <alfastring> MAP <integer> [IP] [<address>] RELEASE
ADD SCERT <string> <alfastring> MAP <integer> [POOL] [<string2>]
ADD SCERT <string> <alfastring> MAP <integer> [DHCP] ] [<ip address>]
<Comando> [OPZIONE]: DESCRIZIONE
<string>: Identifica il nome della Certification Authority (max 40 caratteri).
<alfastring>: Identifica con uno o più parametri le caratteristiche del Certificato
associate all’utente (max di 50 caratteri).
<integer >: Identificativo della mappa IPSec.
<address>: Indirizzo col quale l’utente si presenta all’interno della rete protetta.
Può essere inserito dopo la parola chiave IP.
<string2>: Nome del pool nat (ipsec) da cui prendere l’indirizzo da associare
all’utente identificato dal certificato.
[<ip address>]: IP sorgente del pacchetto DHCP dal relay agent verso il server.
Esempio
(Config) >add scert ca_serena cn:test2;o:amtec;c:italy map 23 ip 104.0.0.1
(Config) >add scert ca_gw cn:test2;o:amtec;c:it MAP 23 POOL TUTTI
(Config) >add scert ca_gw cn:test2;o:amtec;c:it MAP 23 DHCP 50.0.0.2
Configurabilità a caldo
Dato che il reset dell’apparato con le SA dell’IKE attive produce la caduta di tutti i tunnel con
conseguente disservizio di connessione, si rende necessario fare in modo che tutti i comandi
relativi alla configurazione dell’IKE e dell’IPSec e quelli che ne permettono la raggiungibilità
di routing come le ADD IP ROUTE siano attivabili senza pretendere il reset dell'apparato. La
sintassi per l’utente rimane invariata. Eventuali comandi incompleti, perché necessitano di
più righe per poter essere attivi, acquistano efficacia solo quanto tutti, o i minimi
indispensabili, sono stati digitati. Le variazioni hanno effetto solo sulle nuove negoziazioni.
20 RMON
Il Remote monitoring (RMON) è uno standard basato sul Simple Network Management
Protocol (SNMP) e permette la formulazione di statistiche e l’analisi del traffico di una rete al
fine di diagnosticarne eventuali problemi tecnici e metterne a punto le prestazioni.
Lo standard definisce 9 gruppi o MIB di livello inferiore che sono: Statistics, History, Host,
Host Topn, Matrix, Filter, Capture, Alarm, Event.
Un device può dichiarare di supportare RMON gestendo anche uno solo di questi gruppi. Nei
SAS sono stati implementati i gruppi Alarm e Event. Prima di analizzare in dettaglio le
variabili MIB che costituiscono i due gruppi MIB, ricordo che:
le variabili MIB che possono essere monitorate attreverso RMON sono di tipo: integer,
counter, gauge e time ticks;
la variabile MIB AlarmStartupAlarm è possibile settarla solamente con l’opzione
risingorFallingAlarm(3),
la variabile MIB EventType non può assumere il valore None(1);
le variabili MIB AlarmStatus e EventStatus possono assumere solamente l’opzione
Valid(1);
le variabili MIB LogEventIndex, LogIndex, e LogTime e LogDescription non sono
gestite.
Gruppo MIB Alarm: il gruppo Alarm è costituito da un alarmTable. Ciascuna Entry della
table contiene le seguenti variabili MIB:
AlarmIndex: contiene un intero che identifica univocamente una riga della tabella o un
allarme;
AlarmVariable: contiene l’ object identifier della variabile contenuta in RMON MIB da
monitorare;
AlarmInterval: riporta l’intervallo temporale espresso in secondi su cui effettuare il
monitoraggio della variabile MIB indicata nella variabile precedente;
AlarmSampleType.: indica la modalità di comparazione del valore della variabile con
la soglia. Se il valore di questo parametro è absoluteValue(1), il valore riportato nell’
ultimo istante di campionamento della variabile selezionata sarà comparato
direttamente con i valori riportati nella RISING-THERSHOLD (R.T.) e FALLING-
THRESHOLD (F.T). Se il valore di questa variabile è deltaValue(2) il valore
confrontato con le soglie è la differenza tra i valori riportati nell’ultimo intervallo di
campionamento.
AlarmValue: se la variabile precedente è settata a absoluteValue(1) in tale variabile è
riportato il valore della variabile MIB monitorata rilevato all’ ultimo istante di
campionamento, se la variabile precedente è settata a deltaValue(2) riporta la
differenza tra i valori riportati nell’ultimo intervallo di campionamento.
AlarmStartupAlarm: può assumere tre valori: risingAlarm(1), fallingAlarm(2),
risingorFallingAlarm(3). Specifica quale o quali soglie dovranno generare l’allarme;
AlarmRisingThreshold: contiene il valore della R.T.;
AlarmFallingThreshold: riporta il valore della F.T.;
AlarmRisingEventIndex: identifica l’evento che deve essere generato nel caso in cui il
valore della variabile MIB monitorata diventa >= del valore della R.T;
AlarmFallingEventIndex: identifica l’evento che deve essere generato nel caso in cui il
valore della variabile MIB monitorata diventa <= del valore della F.T.
AlarmOwner: contiene un stringa di caratteri che identifica il propritario dell’Alarm;
AlarmStatus: identifica lo stato di un alarmEntry; può assumere le seguenti opzioni:
Valid(1), CreateRequest(2),underCreation(3), invalid(4).
Quando un evento è generato viene creata una entry nella logTable. Tale tabella è formata
dalla seguenti variabili MIB:
LogEventIndex: identifica l’evento che genera una logEntry. Il valore dell’indice
riferito è identico a quello riportato nell’eventIndex;
LogIndex: contiene l’ indice che identifica univocamante le entry nella logTable, tale
valore è identico a quello della eventEntries.
LogTime: contiene il valore del sysUpTime al momento in cui è stata creata la entry;
LogDescription: descrive l’evento che ha generato la entry.
RMON SNMP
MODULO A CUI
APPARTIENE LA
VARIABILE
Fig.20.1
* * * Risinig threshold
Falling threshold
* *
t
Fig. 20.2
COMANDI DI CONFIGURAZIONE
RMON ON
Sintassi Stato
Rmon on CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >Rmon on
RMON ALARM
Sintassi Stato
RMON alarm <alarm number: 1-65535> <Mib object to monitor> <Time in CONFIG,
seconds: 1-2147483647> <delta/absolute> RISING-THRESHOLD <0 - CONFIG RUN
2147483647> <event number> FALLING-THRESHOLD <0 - RELEASE
2147483647> <event number> [<owner string>]
<Comando> [OPZIONE]: DESCRIZIONE
<alarm number: 1-65535>: identifica l’allarme da configurare.
<Mib object to monitor>: specifica la variabile da monitorare. Può essere inserito un
objid oppure il nome dalla variabile in formato stringa.
<Time in seconds: 1- specifica l’intervallo di tempo espresso in secondi per
2147483647>: effettuare i monitoraggi.
<delta/absolute >: specifica la modalità di confronto del valore della variabile
Mib monitorata con i valori configurati nei token di comando
RISING- RISING-THRESHOLD <0 - 2147483647> e
FALLING-THRESHOLD <0 - 2147483647>
<RISING-THRESHOLD <0 – indica il valore della soglia superiore.
2147483647>>:
<event-number>: associa alla soglia superiore l’evento che deve essere
generato.
<FALLING-THRESHOLD <0 indica il valore della soglia inferiore.
- 2147483647>>:
<event-number>: associa alla soglia inferiore l’evento che deve essere
generato.
<[<owner string>]>: stringa che definisce il proprietario dell’ allarme.
Esempi
(CONFIG) >rmon alarm 1 ifentry.11.1 5 absolute rising-threshold 500 1 falling-threshold 400
1 myalarm
(CONFIG) >rmon alarm 4 1.3.6.1.2.1.2.2.1.17.2 20 delta rising-threshold 800 4 falling-
threshold 700 4 myalarm
RMON EVENT
Sintassi Stato
rmon event <event number: 1-65535>{ [LOG] / [[TRAP] [community string CONFIG,
(max len 127 char)]]} DESCRIPTION <description string (max len 127 CONFIG RUN
char)> [<owner string>] RELEASE
NOTA: Deve essere scelto almeno uno dei token LOG o TRAP nel caso in cui è
scelto il token TRAP deve essere inserita anche la community string. I due token
possono essere scelti anche contemporaneamente.
COMANDI DI CONFIGURAZIONE
Configurazione dei certificati
Comando di configurazione necessario per aggiungere una entry nella tabella dei certificati.
Uno utilizza l’indirizzo IP col quale l’utente si presenta all’interno della rete protetta
Uno utilizza il nome con cui l’utente si identifica.
Sintassi Stato
ADD SCERT < common_name ca (max 40 char)> <certificate ID (max 50 CONFIG
char)> MAP < Map label -between 2 and 10000-> [IP] [<IP Address>] RELEASE
Sintassi Stato
ADD SCERT <common_name ca (max 40 char)> <certificate ID (max 50 CONFIG
char)> MAP <Map label -between 2 and 10000-> [POOL] [<Pool Name>] RELEASE
Per abilitare la richiesta di autenticazione con certificato da parte del SAS si usa il comando:
Sintassi RELEASE
AUTHENTICATION SESSION CERT <remote/local>
<Comando> [OPZIONE]: DESCRIZIONE
<remote/local>: attualmente è gestito remote
Esempio
(Config) >authentication session cert remote
Generazione delle chiavi RSA, sfruttando i dispositivi Hardware addetti alla sicurezza
Elaborazione delle richieste di certificato nel formato PKCS#10
Ricezione dei certificati in formato X.509v3 emessi dalla C.A a seguito della richiesta.
Acquisizione delle CRL/CSL e delle White List” (che nel seguito indicheremo con
WHL)
Aggiornamento periodico delle CRL/CSL e delle WHL
Rinnovo di un certificato
Controllo accessi attraverso la verifica della validità dei certificati (attendibilità della
C.A. emittente, validità temporale, revoca o sospensioni).
Occorre quindi, a tal fine, prevedere anche meccanismi automatici/real time per l’invio della
richiesta e l’acquisizione del certificato, necessari anche per la ricezione temporizzata delle
CRL/CSL dalla CA esterna
C.A CSSMAN
SASM
X500
SNMP
ATCM
LDAP
CRTM_SVC CRT_MNG
IPSEC RSA
CIFRA
Fig.22.1
Le frecce in figura 22.1 indicano il verso di apertura del colloquio. Il CRT_MNG interfaccia i
moduli interni per la generazione delle chiavi, le operazioni di cifratura/decifratura e tutti i
controlli sui certificati compresi quelli della validità temporale Sfrutta invece i protocolli
(LDAP, SNMP) ed il modulo ATCM per le comunicazioni con l’esterno, mentre il SASM o un
COMANDI DI CONFIGURAZIONE
PRESHARED
Per effettuare la procedura di backup è necessario che l’apparato master e l’apparato slave
condividano una stringa alfanumerica che utilizzano per fare autenticazione.
Sintassi Stato
PRESHARED KEY < preshared key (min 8 max 20 char) > CONFIG
RELEASE
Questo comando di configurazione permette di stabilire quanti giorni prima della data di
scadenza, s’intenda attivare il CRT_MNG per:
Sintassi Stato
CERT EXPIRATION WARNING TIME < Time in day > CONFIG
RELEASE
Interfaccia di BACKUP
Comando per configurare l’interfaccia su cui fare il backup del certificato
Sintassi Stato
INFO SECURITY <Interface> CONFIG
RELEASE
SLAVE IP ADDRESS
Comando utilizzato per configurare l’indirizzo destinatario dell’apparato su cui fare il backup.
Sintassi Stato
BACKUP IP ADDRESS <ip-addr> CONFIG
RELEASE
Sintassi Stato
DISABLE CHECK DATE CONFIG
RELEASE
Esempio
(Config) >disable check date
Il CRTM_SVC per mandare la richiesta di certificato alla C.A. deve instaurare una
connessione TCP tramite l’ATCM. La richiesta di connessione è inoltrata con un
OPEN_CONN che richiede tra i vari parametri l’indirizzo del destinatario e l’interfaccia fisica
sorgente parametri che sono configurabili con i seguenti comandi:
CA IP ADDRESS
Sintassi Stato
CAGATEWAY IP ADDRESS <ip-addr> CONFIG
RELEASE
Interfaccia sorgente
Sintassi Stato
CERT AGENT < Interface>[/<Integer>] CONFIG
RELEASE
SERVER IP ADDRESS
Sintassi Stato
TIME DATE SERVICES IP ADDRESS <ip addr> CONFIG
RELEASE
VINCOLI E LIMITAZIONI
23 LDAPC
LDAPC (Lightweight Directory Access Protocol Client) è un protocollo per l’accesso al
Directory Server.
Lo standard più completo per definire i servizi di accesso al Directory è l’ X.500 che descrive
in effetti, il protocollo DAP (Directory Access Protocol).
DAP permettere a un client di accedere ai servizi offerti da un Directory Server, ovvero una
macchina che offre servizi di accesso a uno o più elenchi in rete. Visto che DAP è un
protocollo molto pesante che richiede la presenza della pila completa prevista dall’ OSI e una
quantità di risorse non indifferenti è quindi stato disegnato un protocollo molto più leggero
chiamato LDAP in grado di appoggiarsi direttamente sul TCP.
I vantaggi di LDAP nella gestione delle informazioni sono legati principalmente all’architettura
client/server, alla sua struttura gerarchica che permette una distribuzione uniforme dei dati,
eventualmente anche su server distinti, con tempi ridotti nella lettura degli oggetti.
Il modello del protocollo LDAP è molto semplice: è basato sul classico meccanismo
richiesta/risposta che permette sia la consultazione e la ricerca sia la gestione (aggiungi,
modifica, rimuovi) delle informazioni contenute in un elenco, ovvero un albero gerarchico
definito DIT (Directory Information Tree) in cui ogni nodo prende il nome di entry. L’albero ha
una struttura a cascata per cui ogni entrata ha un solo “genitore”, ma può avere più “figli”,
senza collegamenti incrociati; la radice dell’albero rappresenta il Server che lo gestisce. Tutte
le entrate dello stesso livello sono dette “sorelle” (sibling).
Il Directory Server dunque consiste di entries contenenti informazioni descrittive su oggetti,
una singola entry è formata da uno o più attributi, ognuno dei quali ha un tipo e può avere
uno o più valori (compresi di dati binari). Il tipo determina il formato e le caratteristiche dei
valori in questione.
Ogni tipo di attributo ha un nome mnemonico rappresentato da una stringa di caratteri, o in
alternativa da un OID (object identifier); esempi di attributi possono essere “mail”,
“UserCertificate”, “cn”, etc.
Un attributo in particolare dà il nome alla entry (naming attribute); ogni entry è quindi
caratterizzata da un nome formato dall’indicativo dell’attributo e dal valore corrispondente
separati dal segno di uguale (es: c=it). Questa stringa viene chiamata Relative Distinguished
Name o RDN. La sequenza di tutti gli RDN, a partire da quello della entry in questione e a
salire fino alla prima entrata sotto la radice dell’albero, si chiama Distinguished Name, ovvero
DN (es: CN=AbbadiaSS,L=Siena,ST=Toscana,C=it).
Il protocollo LDAPC versione 2 (è quella implementata pur essendo presente anche la
versione 3) definisce le operazioni che il client usa per ricercare e modificare le directory. Un
client LDAP ha quindi la possibilità di svolgere le seguenti operazioni:
1. ricerca di una determinata entry
2. aggiungere una nuova entry
3. modifica di una entry (compresa la richiesta di cancellazione)
4. rinomina di una entry
In realtà la funzionalità implementata permette solo di leggere dal server ldap e non di
scrivervi dentro in modo da non compromettere la struttura del server
Il protocollo LDAPC viene attivato dal protocollo CRT_MNG tramite il CRTM_SVC quando il
primo ha bisogno di ricercare dentro ad un Server LDAP dei certificati o delle crl per
rinnovare quelle che lui già posside ma che sono in fase di scadenza, o per acquisirne di
nuove. I rinnovi o le emissioni vengono effettuati dalla Ca competente e depositati nel
database del Server LDAP nel quale tramite scambio di pacchetti LDAPC va a reperire gli
oggetti richiesti dal CRT_MNG al quale poi vengono inoltrati, tramite CRTM_SVC. Per
maggiori chiarimenti sul CRT_MNG e CRTM_SVC leggere le specifiche funzionali 6sr-
sc0000241-i. Questo comporta che in un apparato in qui viene configurato LDAPC debbano
essere configurati anche dei comandi del CRT_MNG che sono riportati nel paragrafo
successivo.
Comandi di configurazione
Comando del CRT_MNG che associa al reale common name della CA presente nel
certificato di inizializzazione un nome fittizio che può essere usato anche da LDAPC che non
ha la diretta visione del certificato
Sintassi Stato
CRTM CA <CA dummy name (max 16 car)> IS <cn:/sn:> <certificate ID CONFIG,
(max 50 char)> [<cn:/sn:>] [<certificate ID (max 50 char)>] CONFIG RUN
RELEASE
Comando del CRT_MNG che per un determinato oggetto associato ad una CA sceglie il
modo di acquisizione o rinnovo tramite CSSMAN/LDAPC/SCEP/ONESELF
Sintassi Stato
CRTM <CertCA/CertCSS/CertSAS/CRL/WHLL/WHLC> CA <dummy CONFIG,
name ca> MODE <CSSMAN/LDAPC/SCEP/ONESELF> [RENEW] CONFIG RUN
RELEASE
Sintassi Stato
CRTM CA <CA dummy name> ENABLE CDP CHECK CONFIG,
CONFIG RUN
RELEASE
Gaia4_4.3.2 P7
Esempio
(Config) > CRTM CA PIPPO ENABLE CDP CHECK
Lo scopo del comando è di configurare il comportamento che dovrà avere il SAS in caso di
assenza della CRL.
L’inserimento del comando fa interpretare come condizione critica la mancanza della CRL
nel caso di transazioni autenticate (cioè nelle VPN).
Nel dettaglio, se questo comando è configurato e il modulo IKE richiede al CRTM la verifica
di un certificato di un peer, il certificato stesso verrà ritenuto invalido se nel SAS non è
installata la CRL della CA che ha firmato il certificato del peer. L’assenza della CRL non
blocca le transazioni autenticate. Questo comando necessita la configurazione precedente di
un CA dummy name.
La cancellazione del rispettivo CA dummy name provocherà pure la cancellazione di questo
comando.
Sintassi Stato
CRTM CA <CA dummy name> ENABLE CRL CHECK PRESENCE CONFIG,
CONFIG RUN
RELEASE
Gaia4_4.3.2 P7
Esempio
(Config) > CRTM CA PIPPO ENABLE CRL CHECK PRESENCE
Lo scopo del comando è di configurare il comportamento che dovrà avere il SAS in caso di
CRL scaduta.
L’inserimento del comando fa interpretare come condizione critica la CRL scaduta nel caso
di transazioni autenticate (cioè nelle VPN).
Nel dettaglio, se questo comando è configurato e il modulo IKE richiede al CRTM la verifica
di un certificato di un peer, il certificato stesso verrà ritenuto invalido se la CRL installata sul
SAS è scaduta. L’assenza della CRL non blocca le transazioni autenticate. Il controllo della
validità della CRL è seguente a quello della presenza. Quindi se un certificato è assente ma
non è configurato il controllo sulla presenza, questo comando non ha effetto. Questo
comando necessita la configurazione precedente di un CA dummy name.
La cancellazione del rispettivo CA dummy name provocherà pure la cancellazione di questo
comando.
Sintassi Stato
CRTM CA <CA dummy name> ENABLE CRL CHECK VALIDITY CONFIG,
CONFIG RUN
RELEASE
Gaia4_4.3.2 P7
Esempio
(Config) > CRTM CA PIPPO ENABLE CRL CHECK VALIDITY
Sintassi Stato
LDAPC <Certificate/Crl/CertCa/Wll/Wlc> <dummy name ca> ON <Interface> CONFIG
SERVER <IP Address> RELEASE
Comando di abilitazione della funzionalità ldapc in riferimento all’ URL del server LDAP
Sintassi Stato
LDAPC <Certificate/Crl/CertCa/Wll/Wlc> <dummy name ca> ON <Interface> CONFIG
SERVER <Alphanumeric String> RELEASE
“ldap://10.17.11.1:389/CN=COMPUTERS,DC=valg,Dc=amtec,DC=labs?CertificateRevocatio
nList;binary”
Comando che descrive il percorso da compiere dentro l’albero del server LDAP, definisce il
Distinguished Name (DN) della entry base per la ricerca LDAP, ovvero il nome della entry del
Directory Information Tree (DIT) da cui partirà la ricerca LDAP.
Sintassi Stato
LDAPC <Certificate/Crl/CertCa/Wll/Wlc> <dummy name ca> BASE_DN CONFIG
<Alphanumeric String> RELEASE
Comando che setta l’indicatore SCOPE che definisce l’ambito della ricerca LDAP.
L’operazione di ricerca può essere eseguita per leggere gli attributi di una singola entry, delle
entries immediatamente sotto a una particolare entry, dell’intero subtree di entries.
Sintassi Stato
LDAPC <Certificate/Crl/CertCa/Wll/Wlc> <dummy name ca> SCOPE CONFIG
<Base/Single/Subtree> RELEASE
Comando che setta l’indicatore DEREF che indica come devono essere trattati gli oggetti
alias (vedi X.509) durante la ricerca nel server
Sintassi Stato
LDAPC <Certificate/Crl/CertCa/Wll/Wlc> <dummy name ca> DEREF CONFIG
<Never/Searching/Base/Always> RELEASE
Comando con cui imposto la ricerca LDAP basata su espressioni logiche i cui componenti
sono detti FILTRI; I filtri riguardano essenzialmente gli attributi e i loro valori.
Sintassi Stato
LDAPC <Certificate/Crl/CertCa/Wll/Wlc> <dummy name ca> FILTER CONFIG,
<SN/CN/C/SP/S/N/L/OU/O/D/T/DNQ/GQ/I/GN/OBJ> CONFIG RUN
RELEASE
Comando che configura un generico filtro di ricerca deve essere configurato sempre di
seguito all’altro comando sui filtri, assegna ai vari attributi (SN CN OBJ) il loro valore effettivo
Sintassi Stato
LDAPC <Certificate / Crl / CertCa / Wll / Wlc> <dummy name ca> CONFIG,
<SN / CN / C / SP / S / N / L / OU / O / D / T / DNQ / GQ / I / GN / OBJ> CONFIG RUN
<Alphanumeric String> RELEASE
Esempio
(CONFIG) >LDAPC certificate pippo CN “Ca Amtec”
Lo scopo di questo comando è di attivare il modulo LDAPC. Gli ultimi due token sono
opzionali e sono da usare obbligatoriamente nel caso che si vogliano configurare
manualmente tutti i parametri del modulo LDAPC. Se invece si intende configurare
l’acquisizione automatica della configurazione LDAP tramite CDP tali parametri possono
essere omessi. Se viene fornito pure l’ultimo parametro di configurerà l’IP del server LDAP.
Se è presente pure il comando per configurare l’URL del server avrà precedenza quello con
l’IP numerico
Sintassi Stato
LDAPC <Certificate/Crl/CertCa/Wll/Wlc> <CA dummy name> ON CONFIG,
<Interface> [SERVER] [<IP Address>] CONFIG RUN
RELEASE
Gaia4_4.3.2 P7
Esempio
(CONFIG) >LDAPC Certca pippo ON ETHERNET1
Lo scopo di questo comando è di attivare il modulo LDAPC. Gli ultimi due token sono
opzionali e sono da usare obbligatoriamente nel caso che si vogliano configurare
manualmente tutti i parametri del modulo LDAPC. Se invece si intende configurare
l’acquisizione automatica della configurazione LDAP tramite CDP tali parametri possono
essere omessi. Se viene fornito pure l’ultimo parametro si configurerà l’URL del server
LDAP. Se è presente pure il comando per configurare l’IP del server avrà precedenza quello
con l’IP numerico
Sintassi Stato
LDAPC <Certificate / Crl / CertCa / Wll / Wlc> <CA dummy name> ON CONFIG,
<Interface> [SERVER] [<Alphanumeric String>] CONFIG RUN
RELEASE
Gaia4_4.3.2 P7
Esempio
(CONFIG) > LDAPC Certca pippo ON ETHERNET1
SNMP USER
Comandi di configurazione
Il gestore dei certificati all’interno del SAS è il modulo CRT_MNG, quindi l’operatività del
modulo è legata all’inserimento di un apposito comando di configurazione nel CRT_MNG
(ad esempio per ricercarcare il certificato di una CA il comando è “crtm certca ca <ca
dummy name> mode scep”).
Alcuni messaggi di scambio con l’esterno, previsti dal protocolllo SCEP, devono essere
formattati secondo la sintassi PKCS#7. Quindi prima di iniziare ad utilizzare il modulo
SCEP è obbligatorio abilitare il modulo PKCS#7 tramite l’apposito comando “pkcs7
enable”.
SCEP ENABLE
Sintassi Stato
SCEP ENABLE CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP ENABLE
Osservazioni
L’attivazione deve essere successiva all’attivazione del modulo PKCS7 e del modulo
CRT_MNG.
Il CRT_MNG gestisce fino a 5 PKI differenti. Questa molteplicità è stata trasportata nelle
strutture di SCEP. Si può quindi configurare ciascuna PKI in maniera indipendente. Il
nome convenzionale con cui si individua una data PKI, all’interno di SCEP, è una stringa
che identifica la CA firmante (trustpoint). Tale stringa è definita dall’amministratore della
CA e deve essere nota a priori, al pari degli altri parametri di connessione. Al momento i
trustpoint gestiti da SCEP sono 5 (come le CA gestite dal CRT_MNG) ma il numero può
essere variato dal programmatore indipendentemente dalle funzionalità del CRT_MNG.
Sintassi Stato
SCEP TRUSTPOINT <trustpoint name> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP TRUSTPOINT AMTEC
Osservazioni
La stringa del nome può essere lunga max. 49 caratteri. Il nome è case-sensitive.
Sintassi Stato
SCEP <trustpoint name> URL <complete ca/ra url> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC URL http://10.36.3.126:2010
Valori di default
Il numero di porta, se non viene fornito, è di default 8080.
Il percorso del programma lato server, se non fornito, è di default “/pkiclient.exe”.
Osservazioni
L’indirizzo deve essere fornito in forma numerica.
Sintassi Stato
SCEP <trustpoint name> RETRY COUNT <number of trials > CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC RETRY COUNT 6
Valori di default
3 tentativi, valore max. 65536
Esempio
(CONFIG) >SCEP AMTEC RETRY PERIOD 1
Valori di default
valore max. 65536
L’identità del richiedente è descritta tramite varie informazioni fornite con la sintassi X.500.
Alcuni valori, ritenuti di uso più normale per identificare un router, sono configurabili
separatamente. In analogia ai certificati richiedibili, da un utente umano, questo comando
è fornito per personalizzare ulteriormente l’identità del richiedente. I valori impostabili da
configuratore sono un ampio insieme di quelli previsti dall’X.500:
1 common name (CN), descrizione (D), name (N), organization unit (OU), locality
(L), stato o provincia (ST), titolo (T), iniziali (I), generation qualifier (GQ), domain
name qualifier (DNQ), email (E), country (C)
Alcuni di essi si applicano male al contesto in esame (qual’è l’email di un router?) e
pertanto se ne sconsiglia l’uso, benchè siano gestiti. Un’esempio di stringa X.500 è il
seguente: "CN=SAS-AMTEC B,D=sas di prova,N=nome,O=Elsag,OU=Amtec"
Sintassi Stato
SCEP <trustpoint name> SUBJECT-NAME <x.500 distinguished name> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC SUBJECT-NAME ou=elsag,c=it
Osservazioni
Esiste una limitazione sulla lunghezza dei comandi passati da configuratore. Al momento
della stesura della specifica, il limite è di 81 caratteri per ogni parola immessa. È perciò
probabile l’avere una stringa di configurazione del Subject-Name non immissible con un
unico comando. La scelta fatta è di permettere l’immissione di più righe di comando per il
Subject-Name. Esse saranno accettate a patto che ciascuna riga non contenga nessun
campo X.500 precedentemente immesso, per evitare ambuiguità o sovrascritture
indesiderate. Al contrario per la cancellazione dei comandi basta immettere “no scep
<trustpoint name> SUBJECT-NAME” per cancellare tutti i comandi relativi al Subject-
Name.
Il draft di SCEP prevede espressamente l’uso di tre campi per individuare un richiedente.
Uno di essi è l’FQDN (es: sas04.elsag.it). L’informazione fornita da questo campo è
univoca ed è sufficiente ad identificare univocamente un dispositivo, senza bisogno di
fornire altri dati. L’FQDN è obbligatorio nel caso si voglia usare il certificato per l’ISAKMP.
Sintassi Stato
SCEP <trustpoint name> FQDN <requester fqdn> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC2 FQDN sas.cd.ed
Il draft di SCEP prevede espressamente l’uso di tre campi per individuare un richiedente.
Uno di essi è il numero di serie dell’apparato. L’informazione fornita da questo campo è
univoca ed è sufficiente ad identificare univocamente un dispositivo, senza bisogno di
fornire altri dati.
Sintassi Stato
SCEP <trustpoint name> SERIAL-NUMBER CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC2 SERIAL-NUMBER
Osservazioni
Il numero seriale non è impostabile dall’utente, ma letto dal dispositivo hardware.
Il draft di SCEP prevede espressamente l’uso di tre campi per individuare un richiedente.
Uno di essi è l’indirizzo IP dell’apparato. L’informazione fornita da questo campo è univoca
ed è sufficiente ad identificare univocamente un dispositivo, senza bisogno di fornire altri
dati.
Sintassi Stato
SCEP <trustpoint name> IP-ADDRESS <local ip address> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC2 IP-ADDRESS 10.36.3.43
Valori di default
Gli indirizzi di default impostabili sono quelli già configurati per l’IP.
Osservazioni
Dato che l’apparato può aver assegnati più indirizzi, è necessario scegliere quello di lavoro.
Senza questo comando non può inizare nessuna sessione SCEP.
Il meccanismo gestito da SCEP per la richiesta di un certificato utente prevede una fase di
registrazione “manuale” presso la CA-RA. Con il termine manuale si intende che la
registrazione debba avvenire tramite altri mezzi rispetto alla comunicazione via internet
(posta, telefono, di persona). Questa fase può avvenire prima o dopo l’inizio della
transazione SCEP. Se avviene prima, verrà fornita dalla RA una password che serve al
richiedente per farsi riconoscere: è la password che va impostata qui. Se la transazione
“manuale” avviene dopo, è sufficiente iniziare la sessione con una password scelta a
piacere. Quella definitiva verrà poi comunicata in seguito.
Sintassi Stato
SCEP <trustpoint name> PASSWORD <challenge password> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC2 PASSWORD Strayeahhh
Osservazioni
L’inserimento del comando è obbligatorio. La password risulterà mascherata inserendo il
comando “show conf” da modalità connessa. È quindi necessario memorizzarla altrove. La
medesima password servirà anche nel caso che un’entità voglia, in seguito, revocare il
proprio certificato.
La gestione delle PKI da parte di SCEP avviene configurando i vari trustpoint, come
descritto dai comandi precedenti. Queste strutture vanno a loro volta collegate alle
strutture che gestiscono i certificati (le chiavi e i PKCS#10) memorizzate sull’apparato dal
CRT_MNG. Il punto di contatto è questo comando.
Sintassi Stato
SCEP <trustpoint name> CA DUMMY_NAME <ca dummy name> CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >SCEP AMTEC2 CA DUMMY_NAME ca_3
Sintassi Stato
SCEP <TRUSTPOINT name (max 49 char)> KEY LENGTH <1024/2048> CONFIG,
CONFIG RUN
RELEASE
Gaia4_4.3.2 P7
Esempio
(CONFIG) >SCEP TRUSTPOINT1 KEY LENGTH2048
Vincoli e limitazioni
SCEP prevede varie caratteristiche opzionali che non saranno implementate:
- comando per richiedere le capacità opzionali gestite dalla CA
- tutte le modalità opzionali collegate al comando sopra menzionato (uso del
POST al posto del GET, richiesta del successivo certificato di CA)
COMANDI DI CONFIGURAZIONE
Configurazione smartcard
Occorre precisare che i comandi di configurazione sono tra loro esclusivi: nel file di
configurazione non può essere presente più di un comando. L’introduzione di un secondo
comando cancella automaticamente quello già presente.
Modalità config
Sintassi Stato
SMART CONFIG [VERIFY] ON CONFIG
RELEASE
Modalità traffic
Sintassi Stato
SMART TRAFFIC [VERIFY] ON CONFIG
RELEASE
NOTA: L’opzione VERIFY abilita la verifica periodica del certificato nella CWL
(Configuration White List) ogni 24 ore.
Se introdotto, il comando di abilitazione impedisce l’accesso alla porta di
maintenance in assenza di una S.C. valida.
Sintassi Stato
IP ACCESS CONFIG ON CONFIG
RELEASE
Esempio
(Config) >ip access config on
Sintassi Stato
ADD IP ACCESS <Integer> <Ip Address Src> <ip address, range or CONFIG,
subnet> DEF_SERVICE/<Prot> [<Gate>] [<Gate>] CONFIG RUN
RELEASE
Per congruenza con le vecchie versioni di software viene mantenuto il vecchio comando
riportato di seguito.
Sintassi Stato
ADD IP ACCESS CONFIG <Ip Address Src> <ip address, range or CONFIG,
subnet> DEF_SERVICE/<prot> [<gate>][<gate>] CONFIG RUN
RELEASE
Una volta compilata la lista, abilitata e configurato l’apparato a funzionare con S.C.
Se la Smart Card è valida l’accesso ai servizi dichiarati nelle varie entry è possibile solo agli
host specificati. I servizi non compresi nella lista CONFIG sono accessibili da parte di tutti gli
utenti.
Se la Smart Card non è valida oppure non presente nessun utente può accedere ai servizi
dichiarati nelle varie entry. I servizi non compresi nella lista CONFIG sono accessibili da
parte di tutti gli utenti.
Esempio 1
smart config on
ip access config on
add ip access config 172.16.106.127 255.255.255.0 def_service
Se si dispone di una S.C. valida viene consentito l’accesso ai servizi default da parte degli
host della rete 172.16.106.0.
Se la S.C. non è valida (o assente) l’accesso alle porte default è inibito a tutti gli host.
Esempio 2
smart config on
ip access config on
add ip access config 172.16.106.127 255.255.255.255 TCP 2000 2005
add ip access config 172.16.106.3 172.16.106.24 TCP 2004
add ip access config 172.16.106.233 255.255.255.255 TCP 2007
Esempio 3
smart config on
ip access config on
Configurazione che non agisce da “filtro” per nessun servizio: occorre configurare la lista di
accesso.
Vincoli e limitazioni
Quando in configurazione è presente un comando smart (config o traffic) e non è presente
una S.C. valida, la configurazione dell’apparato dalla UART (porta di maintenance) viene
disabilitata indipendentemente dalla configurazione della lista di accesso.
In presenza di S.C. valida la porta di maintenance è attiva.
È previsto che uno stesso apparato sia configurato per gestire contemporaneamente Crypto
Card e Smart Card.
Abilitando la Crypto Card in modalità TRAFFIC e la Smart Card in CONFIG, ad esempio, è
possibile addizionare ai servizi di accesso garantiti dalla Crypto Card, un set di capillari
controlli forniti dalla Smart Card e dalla configurazione di opportune liste di accesso,
discriminando per reti/host e servizi.
Le liste d’accesso
È possibile compilare un nuovo set di liste di accesso simili a quelle di tipo INTERNAL.
La nuova lista denominata CONFIG permette di selezionare gli indirizzi IP abilitati alla
gestione dell’apparato e di specificare in ognuno le porte su cui è possibile agire. Come per
le altre liste d’accesso esiste la possibilità di abilitare o meno le restrizioni derivanti da liste
CONFIG.
I servizi non compresi nella lista CONFIG sono accessibili da parte di tutti gli
utenti. Per le modalità di configurazione delle liste di accesso per il modulo Cripto Card, si
rimanda al capitolo precedente.
È previsto un reboot dell’apparato ogni volta che la carta viene sfilata dall’apposito slot
qual’ora sia configurata la modalità di CryptoCard.
Modalità traffic
Se la Crypto Card non è presente o non dispone di una coppia PIN/certificato valida viene
negato l’accesso al configuratore attraverso la porta di maintenance e tutto il traffico
passante per il router in questione.
Se sulla Crypto Card viene rilevato una coppia PIN/certificato valida è consentito l’accesso
al configuratore e al routing conformemente alle liste di accesso configurate.
Opzione verify
Il campo opzionale VERIFY abilita il modulo alla verifica periodica (ogni 24 ore) della validità
del certificato.
PINS
Per rendere attiva la configurazione del modulo Crypto Card è necessario configurare
sull’apparato almeno un PIN code.
È possibile configurare un massimo di 2 PIN code: questo garantisce il backup della Crypto
Card in uso.
È possibile cancellare i PIN configurati nell’apparato eccetto il PIN che rende operativa la
Crypto Card.
In questo caso è necessario procedere prima con la sconfigurazione del modulo.
Porta UART
Quando in configurazione è presente il comando CryptoCard traffic on e non è presente una
Crypto Card valida, la configurazione dell’apparato dalla UART (porta di maintenance) viene
disabilitata indipendentemente dalla configurazione delle liste di accesso.
In presenza di Crypto Card valida la porta di maintenance è attiva.
Reset
Un’ulteriore protezione contro tentativi di accesso indesiderati è stata introdotta in fase di
boot.
Normalmente all’avvio l’utente può selezionare la configurazione con cui operare con
l’apparato.
Se l’apparato è configurato a funzionare con la Crypto Card l’utente non può operare tale
scelta e l’apparato è forzato a lavorare con la configurazione di lavoro.
Comando Funzionalità
26 FUNZIONALITÀ DI FIREWALL
Il Firewall di “Intoto” integrato su GAIA include l’implementazione di stateful inspection,
access policies, application content filtering, NAT con supporto ALG, protezione da attacchi
interni ed esterni e supporto della redirezione del traffico web. eFirewall integra inoltre
funzionalità quali NAT, routing dinamico, QoS ed è un software certificato ICSA.
La nuova versione (iGateway Firewall v3.2 [2]) prevede inoltre una serie di nuovi ALGs
(DNS) e di attacchi rilevati.
EFirewall è dotato di un Cyber Defence Engine che protegge reti interne e DMZ da tutti gli
attacchi internet conosciuti.
eFirewall fornisce protezione automatica da attacchi tipo Denial of service (DoS) quali SYN
flooding, IP smurfing, LAND, ping of Death e tutti gli attacchi legati al riassemblaggio IP.
Esso inoltre impedisce che la ricezione di pacchetti ICMP redirects ed IP source routing
possa comportare il reindirizzamento indesiderato del traffico (Data Spoofing). eFirewall
fornisce protezione da tutti gli attacchi internet più diffusi, incluso WinNuke, Mime flood,
Octopus, Teardrop, Jolt, Tentacle, etc.
La protezione dagli attacchi prevede per la nuova versione (3.2) anche i seguenti:
- Unknown IP protocol
- Reassembly attacks
- IP fragment last length changing.
- Very small IP fragments
- Empty fragment
- Zero Length IP option.
- IP unaligned time.
- ICMP router advertisement
- UDP short header.
- TCP header fragmentation.
- TCP short header
- TCP null scan
- TCP sequence out of range.
- TCP post connection syn.
- RFProw.
- Blind Spoofing
- FTP bounce attack
- Sequence number prediction
- ICMP short header
- ICMP Replay attack
- DNS Replay attack
- Post TCP-RST
STATEFUL INSPECTION ENGINE
Efirewall utilizza stateful inspection engine per mantenere informazioni su ogni connessione
(o, più in generale, ogni flusso di dati) che passa attraverso eFirewall.
Gli elementi base del meccanismo di stateful inspection sono le “association”, strutture che
descrivono in tempo reale le caratteristiche dei flussi in atto. EFirewall crea automaticamente
una “association” allorchè il flusso che essa descrive soddisfa le policy “ALLOW” configurate.
ALG supportati:
H.323 ALG
AOL ALG
MSN ALG
RTSP ALG
IRC ALG
MS Games ALG
Quake ALG
ICQ ALG
DNS Alg
eFirewall consente di effettuare filtri specifici sui protocolli applicativi elencati di seguito:
HTTP, FTP, SMTP ed RPC. Per esempio è possibile definire filtri su HTTP tali da bloccare
ActiveX e Java basandosi sull’estensione del file.
La nuova versione (iGateway Firewall v3.2 [2]) permette di configurare un numero
complessivo di filtri pari ad 32 unità.
ACCESS POLICIES
Le access policies sono le regole per accedere ai servizi della rete attraverso eFirewall.
EFirewall fornisce meccanismi di configurazione delle policies basati su Servizio, sorgente e
destinazione IP (range, subnet, any o singolo), protocollo, porta, finestra temporale ed anche
autenticazione. Le policies vengono configurate sulla base di oggetti (IP address ed altri)
predefiniti: questo permette di avere una configurazione di semplice lettura e flessibile per
eventuali modifiche: ad esempio se la rete interna viene ampliata, sarà sufficiente modificare
RELAY SERVER
EFirewall fornisce un meccanismo tramite il quale il traffico HTTP può essere redirezionato
verso un proxy invece di raggiungere il server attuale. Questa informazione viene mantenuta
nel relay server database ed è possibile avere il reindirizzamento su una porta TCP diversa.
In questo paragrafo sono riportati i comandi di configurazione necessari per la gestione del
firewall.
Di seguito sono riassunte le notazioni utilizzate per descrivere i comandi di configurazione:
<string>: nel comando, al posto di tale notazione, deve essere inserita una
stringa alfanumerica.
<integer>: nel comando, al posto di tale notazione, deve essere inserito un
numero intero.
<interface>: nel comando, al posto di tale notazione, deve essere inserito il nome di
una interfaccia (o subinterface secondo l’opportuna sintassi).
<IP address>: nel comando, al posto di tale notazione, deve essere inserito un
indirizzo IP.
[<param1>]: param1 è un parametro opzionale del comando.
{param1 | param2}: nel comando deve essere specificato obbligatoriamente uno fra i
parametri elencati e separati dal simbolo ‘|’.
FIREWALL ON
Questo comando permette di attivare il modulo software e deve essere presente come primo
comando
Sintassi Stato
FIREWALL ON CONFIG,
CONFIG RUN
RELEASE
Osservazioni
Nello stato CONFIG RUN questo comando rende immediatamente attivo il Firewall; nello
stato CONFIG agisce soltanto sulla configurazione.
FIREWALL RUN
Questo comando permette di attivare la funzionalità di “packet inspection” del Firewall.
Sintassi Stato
FIREWALL RUN CONFIG,
CONFIG RUN
RELEASE
Osservazioni
Disponibile solo nello stato CONFIG RUN, questo comando non agisce in alcun modo sul file
di configurazione.
Questo comando permette di classificare ciascuna interfaccia IP secondo una delle tipologie
previste dal Firewall: Dmz, Corporate oppure External. Per default tutte le interfacce su cui è
configurato IP sono CORPORATE.
Sintassi Stato
FIREWALL SET <Ifc> <string> CONFIG,
CONFIG RUN
RELEASE
Questo comando permette di configurare un record appartenente all’ “ip address database”.
Gli oggetti presenti nell’ “ip address database” sono alla base della configurazione delle
politiche d'accesso utilizzate dal firewall per la gestione del traffico. Il numero massimo di
IPDB configurabile è pari a 50.
Sintassi Stato
FIREWALL ADD IPDB <string1> < string2> [<IP Address1>] [<IP Address CONFIG,
2>] CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL ADD SERVICEDB <string1> <string2> <integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL ADD TIMEWINDOWDB <string> <integer1> <integer2> CONFIG,
<interger3> <integer4> <integer5> <integer6> CONFIG RUN
RELEASE
Osservazioni
Lo stesso oggetto del “timewindow database” può specificare fino a 3 diversi intervalli
temporali
Esempio
FIREWALL ADD TIMEWINDOWDB ufficio 2 6 8 30 13 30
FIREWALL ADD TIMEWINDOWDB ufficio 2 6 14 30 17 30
FIREWALL ADD TIMEWINDOWDB ufficio 7 7 8 30 13 30
Nat many_to_one
Questa modalità permette di mascherare un gruppo di indirizzi (tutti i possibili sorgenti della
politica a cui il record many_to_one verrà associato) mediante un unico ip.
Sintassi Stato
FIREWALL ADD NATDB <string> MANY_TO_ONE <IP Address> CONFIG,
CONFIG RUN
RELEASE
Nat one_to_one
Questa modalità permette di mascherare gli indirizzi ip mediante una associazione uno ad
uno.
Sintassi Stato
FIREWALL ADD NATDB <string1> ONE_TO_ONE <string2> <string3> CONFIG,
CONFIG RUN
RELEASE
Osservazioni
Nella modalità one_to_one è necessario che il numero di indirizzi ip che compongono la Nat
Internal List ed il Nat Pool sia il medesimo: in particolare i due record appartenenti all’ “IP
DataBase” possono essere di tipo RANGE o di tipo ip_address singolo.
Permette di creare un record del “group database”. I gruppi vengono utilizzati per rendere le
policy attive solo a seguito di autenticazione; infatti possono essere definiti vari utenti (con
relativo username e password) appartenenti al gruppo configurato, ed il gruppo può essere
legato ad una o più policy. Il numero massimo di GROUPDB configurabile è pari a 20.
Sintassi Stato
FIREWALL ADD USERDB <string1> PASSWORD <string2> GROUP CONFIG,
<string3> [TIMEOUT] [<Integer>] CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL ADD NATDB <string> MANY_TO_ONE <IP Address> CONFIG,
CONFIG RUN
RELEASE
Questo comando permette di creare un selettore. I selettori sono alla base della definizione
delle politiche d'accesso utilizzate dal firewall per la gestione del traffico. In particolare, il
selettore è costituito dall’insieme di: protocollo, ip e porte sorgenti, ip e porte destinazione. In
seguito il selettore verrà legato ad una rule permission tipo permit /deny. Il numero massimo
di selettori configurabili è pari a 100.
Sintassi Stato
FIREWALL ADD SELECTOR <string1> <string2> SOURCE <string3> CONFIG,
<string4> [<integer1>] DEST <string5> <stringa6> [<integer2>] CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL ADD SELECTOR <string1> <string2> SOURCE <string3> CONFIG,
<string4> [<integer>] DEST <string5> SERVICE <string6> CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL ADD POLICY <Integer> <string1> <string2> SELECTOR CONFIG,
<string3> <string4> [GROUP] [<string5>] CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL POLICY <Integer> NAT_ENABLE <string> CONFIG,
CONFIG RUN
RELEASE
FIREWALL NAT_ON_DINAMIC
Sintassi Stato
FIREWALL POLICY <Integer> NAT_ON_DYNAMIC <Ifc> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL POLICY <Integer> SCHEDULE <string> CONFIG,
CONFIG RUN
RELEASE
Permette di creare un record del Database per Application Control (detto anche “filtro”)
relativamente al protocollo HTTP. Il filtro definito può essere poi associato ad una o più policy
(#3.45). Le funzionalità associate al filtro HTTP vengono specificate con i comandi definiti in
#3.31 #3.33 #3.35.
Da notare che alla creazione di un filtro HTTP segue l’inserimento automatico di un comando
#3.31 permette di creare un record del Database per Application Control (detto anche “filtro”)
relativamente al protocollo HTTP. Il filtro definito può essere poi associato ad una o più policy
(vedi il capitolo Firewall Policy Application Control DataBase). Le funzionalità associate al
filtro HTTP vengono specificate con i comandi definiti inei comandi che seguono.
Da notare che alla creazione di un filtro HTTP segue l’inserimento automatico di un comando
per la negazione dei file standard vietati descritto nei paragrafi successivi.
Sintassi Stato
FIREWALL ADD APPLCTRLDB <string1> HTTP <string2> <integer> CONFIG,
<string3> CONFIG RUN
RELEASE
Permette di associare ad un filtro HTTP una estensione di file da negare; per lo stesso
protocollo applicativo (HTTP) possono essere aggiunte, relative ad uno o più filtri, fino a 32
estensioni di file da vietare. Il filtraggio avviene sul pacchetto di GET HTTP facendo una
analisi sintattica relativa alla URL richiesta dalla GET in questione.
Sintassi Stato
FIREWALL ADD HTTPCMD <string1> DENYFILE <string2> CONFIG,
CONFIG RUN
RELEASE
Permette di associare ad un filtro HTTP un permesso ALLOW/DENY per ciascuno dei file
“standard”:
- JAVAFile (*.java)
- ActiveXFile (*.ocx)
- JarFile (JAVA Archive File *.jar)
- MSARFile (Microsoft Archive File *.msar)
Il filtraggio avviene sul pacchetto di GET HTTP facendo una analisi sintattica relativa alla
URL richiesta dalla GET in questione.
L’inserimento di questo permesso è vincolato al numero massimo di comandi gestito dal
protocollo applicativo HTTP.
Sintassi Stato
FIREWALL APPLCTRLDB <string1> JAVAFILE <string2> ACTIVEXFILE CONFIG,
<string3> JARFILE <string4> MSARFILE <string5> CONFIG RUN
RELEASE
Osservazioni
Per default, definendo un filtro HTTP i permessi associati ai file standard JAVA, ACTIVEX,
JAVA Archive e Microsoft Archive sono tutti DENY.
Sintassi Stato
FIREWALL APPLCTRLDB <string1> HTTPPROXY <string2> CONFIG,
CONFIG RUN
RELEASE
Osservazioni
Per default, definendo un filtro HTTP il permesso associato ai pacchetti destinati al Proxy è
DENY.
Permette di creare un record del Database per Application Control (detto anche “filtro”)
relativamente al protocollo FTP, SMTP o RPC. Il filtro definito può essere poi associato ad
una o più policy . Il permesso ALLOW/DENY associato al filtro FTP,SMTP e RPC è unico per
tutti i comandi definiti definiti nelle sessioni successive
Sintassi Stato
FIREWALL ADD APPLCTRLDB <string1> <string2> <string3> <integer> CONFIG,
<string4> <string5> CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL ADD FTPCMD <string1> <string2> CONFIG,
CONFIG RUN
RELEASE
Osservazioni
I comandi del protocollo FTP (da usare per il filtro FTP) non corrispondono a quelli disponibili
sulle interfacce utente dei variClient. In particolare:
Sintassi Stato
FIREWALL ADD SMTPCMD <string1> <string2> CONFIG,
CONFIG RUN
RELEASE
Osservazioni
Sintassi Stato
FIREWALL ADD RPCCMD <string1> < integer> CONFIG,
CONFIG RUN
RELEASE
Permette di specificare al più un filtro per ciascuna tipologia (HTTP, SMTP, FTP, RPC) da
legare ad una policy. Questo comando consente di far entrare in funzione i filtri definiti in
precedenza, legandoli alle policy. Se non viene specificato questo comando i filtri definiti con
i comandi “FIREWALL ADD APPLCTRLDB” non hanno alcun effetto.
Sintassi Stato
FIREWALL POLICY <integer> APPLCTRLDB [WEB] [<string1>] [FTP] CONFIG,
[<string2>] [SMTP] [string3] [RPC] [string4] CONFIG RUN
RELEASE
Permette di specificare una Self Policy: le Self Policy regolano il traffico entrante destinato al
SAS.
È possibile specificare univocamente protocollo, eventuale porta e direzione del traffico
entrante.
Sintassi Stato
FIREWALL ADD SELFPOLICY <string1> [<integer>] <string2> [<string3>] CONFIG,
FIREWALL APPLCTRLDB <string1> HTTPPROXY <string2> CONFIG RUN
RELEASE
Osservazioni
Nel caso in cui il parametro opzionale relativo alla direzione non sia presente, la selfpolicy
viene resa valida per tutte le direzioni possibili (Ext_Self, Corp_Self, Dmz_Self).
Per default esistono sull’apparato le Self Policy di ALLOW riportate di seguito, valide per tutte
le direzioni:
Protocol PortNum
ICMP 0
ESP 0
AH 0
GRE 0
TCP 23
TCP 80
UDP 161
UDP 162
UDP 500
Inoltre è attiva la selfpolicy relativa alla porta 14444 utilizzata dal task Hamm valida solo per
la direzione Corp_Self.
Permette di impostare la soglia di generazione dei log differenziata per log relativi agli
attacchi e log relativi alle Policy. Per default tali soglie sono impostate a 1 cioè per ogni
evento viene generato il corrispondente log.
Sintassi Stato
FIREWALL SET ATTACK LOG THRESHOLD <Integer> CONFIG,
FIREWALL SET POLICY LOG THRESHOLD <Integer> CONFIG RUN
RELEASE
Syn Flooding: Richiede una pesante elaborazione che impatta sulle caratteristiche
prestazionali del router; per questo il rilevamento di tale attacco può essere disattivato
nel caso in cui non siano presenti Server sulle reti protette.
Source Route: Il router può essere posizionato in una rete nella quale l'opzione di source
routing deve essere utilizzabile dagli apparati di tale network.
Winnuke: Interessa solo alcuni S.O. Windows (Windows 95 fino alla versione OSR2
inclusa, Windows NT 4.0 fino alla Service Pack 3 inclusa) quindi, nel caso in cui questa
tipologia di apparati non sia presente nella rete protetta dal Firewall, non esiste la
necessità d'abilitare il controllo per questo attacco.
Mime Flood: Questo attacco si basa sul protocollo MIME (Multimedia Internet Mail
Extension) e quindi sulle applicazioni Http con un server web. In base a questa
descrizione non esiste la necessità d'abilitare il controllo, se nella rete in questione tali
applicazioni non sono utilizzate.
Sintassi Stato
FIREWALL CHECK ATTACK <string1> <string2> CONFIG,
CONFIG RUN
RELEASE
Permette di configurare i timeout di disconnessione (per inattività) sulla base del protocollo
TCP, UDP o ICMP.
Per default tali valori sono:
- 60 sec. per le connessioni TCP
- 60 sec. per le connessioni UDP
- 60 sec. per il traffico ICMP
Sintassi Stato
FIREWALL SET <string1> INACTIVITY TIMEOUT <Integer1> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL ADD SERVICE TIMEOUTDB <string1> <string2> PORT CONFIG,
<integer1> TIMEOUT <Integer2> CONFIG RUN
FIREWALL SET <string1> INACTIVITY TIMEOUT <Integer1> RELEASE
È possibile utilizzare nello stato CONFIG_RUN un comando che ripristina le impostazioni dei
timeout di inutilizzo iniziali, cancellando tutte le entry presenti sul Service Timeout DataBase.
Sintassi Stato
FIREWALL RESET SERVICE TIMEOUTDB CONFIG RUN
RELEASE
FIREWALL IP REASSEMBLY
Permette di impostare i parametri relativi al riassemblaggio dei frammenti IP. Per default il
riassemblaggio è attivo per tutti i pacchetti, anche quelli non destinati al SAS: tuttavia è
possibile disabilitare questa modalità di funzionamento del Firewall ed in questo caso tutti i
frammenti IP verranno scartati.
Sintassi Stato
FIREWALL IP REASSEMBLY <string1> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL IP REASSEMBLY MAX_PARAM [<string1>] [<integer1>] CONFIG,
[<string2>] [<integer2>] [<string3>] [<integer3>] CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL SET MAX_NUM_ASSOCIATION <string> <integer> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) FIREWALL SET MAX_NUM_ASSOCIATION EXTERNAL 1000
Permette di attivare la funzionalità di Relay Server per il protocollo HTTP: questa permette di
reindirizzare tutti i pacchetti HTTP verso un Proxy Server locale (in modalità
TRANSPARENT) eventualmente su una porta diversa dalla 80.
Sintassi Stato
FIREWALL RELAY SERVER <IP Address> PORT <Integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL POLICY <Integer1> RATE_LIMIT MAX_CONN <Integer2> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL POLICY <Integer1> RATE_LIMIT CONN_RATE <Integer2> CONFIG,
<Integer3> CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL POLICY <Integer1> RATE_LIMIT PKT_RATE <Integer2> CONFIG,
<Integer3> CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL POLICY <Integer1> RATE_LIMIT BANDWIDTH <Integer2> CONFIG,
<Integer3> CONFIG RUN
RELEASE
Sintassi Stato
FIREWALL URL FILTER ENABLE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) FIREWALL URL FILTER ENABLE
Sintassi Stato
FIREWALL ADD URL KEYWORD <String> CONFIG,
CONFIG RUN
RELEASE
Osservazioni
Tale comando può essere configurato solo dopo avere abilitato la funzionalità di url filtering
descritta precedentememente
Sintassi Stato
FIREWALL ADD DNS ENTRY <string> <IP address1> <IP address2> <IP CONFIG,
address3> <IP address4> CONFIG RUN
RELEASE
Osservazioni
Sintassi Stato
FIREWALL ADD ALGPORT <string> <integer> CONFIG,
CONFIG RUN
RELEASE
Osservazioni
Attualmente l’unico tipo di alg per la quale è possibile configurare le porte di registrazione è
quella relativa al protocollo H323. Il numero massimo di registrazioni possibili è pari a 10
(attualmente tutte a disposizione di H323).
ALERT:
- Syn_flood
- PingOfDeath
- Generic Attack
- IP Spoof
- Unauth-Access
- WinNuke
- Deny Policy
WARNING:
- Data Inspect
- Content Filter
- No Policy
NOTICE:
- System message
INFO:
- Allow Policy
- Access Stat
Policy
Sintassi Stato
DUMP FIREWALL POLICY LIST CONFIG,
DUMP FIREWALL POLICY <rule id> CONFIG RUN
RELEASE
Self Policy
Sintassi Stato
DUMP FIREWALL SELFPOLICY CONFIG,
CONFIG RUN
RELEASE
Attack Configuration
Sintassi Stato
DUMP FIREWALL ATTACK CONFIGURATION CONFIG,
CONFIG RUN
RELEASE
Permette di avere informazioni sui record presenti nel Database degli Application Control
(“Filtri”).
Sintassi Stato
DUMP FIREWALL APPLCTRLDB [<Application Control Database Name>] CONFIG,
CONFIG RUN
RELEASE
Permette di avere informazioni sui record presenti nel Time Window Database.
Sintassi Stato
DUMP FIREWALL TIMEWINDOWDB [<Time Window Database Name>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<Time Window Database Name>] identificativo del record presente nel Time Window
Database
Esempio
(Config) DUMP FIREWALL TIMEWINDOWDB tempo-prova
Nat Database
Sintassi Stato
DUMP FIREWALL NATDB [<NAT Database Name>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<NAT Database Name>] identificativo del record presente nel Nat Database
Esempio
(Config) DUMP FIREWALL NATDB nat-out
Ip Database
Permette di avere informazioni sui record presenti nel Database degli Ip Address.
Sintassi Stato
DUMP FIREWALL IPDB [<IP Database Name>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<IP Database Name>] identificativo del record presente nel Database degli Ip Address
Esempio
(Config) DUMP FIREWALL IPDB rete-locale
Service Database
Sintassi Stato
DUMP FIREWALL SERVICEDB [<Service Database Name>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<Service Database Name>] identificativo del record presente nel Service Database
Esempio
(Config) DUMP FIREWALL SERVICEDB telnet
Selector
Permette di avere informazioni sui record presenti nel Database dei Selector.
Sintassi Stato
DUMP FIREWALL SELECTOR [<Selector Database Name>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<Selector Database Name>] nome del selettore
Esempio
(Config) DUMP FIREWALL SELECTOR selector1
Sintassi Stato
DUMP FIREWALL GROUPDB [<Selector Database Name>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<Selector Database Name>] nome del gruppo
Esempio
(Config) DUMP FIREWALL GROUPDB gruppo1
Sintassi Stato
DUMP FIREWALL USERDB [<Selector Database Name>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<Selector Database Name>] nome dell’utente
Esempio
(Config) DUMP FIREWALL USERDB utente1
Permette di avere informazioni sui timeout di inattività configurati, ivi compresi i record
presenti sul Database dei Service Timeout.
Sintassi Stato
DUMP FIREWALL TIMEOUT CONFIG,
CONFIG RUN
Firewall State
Sintassi Stato
DUMP FIREWALL STATE CONFIG,
CONFIG RUN
Association
Sintassi Stato
DUMP FIREWALL ASSOCIATION CONFIG,
CONFIG RUN
Sintassi Stato
DUMP FIREWALL ASSOCIATION STATE CONFIG,
CONFIG RUN
Sintassi Stato
DUMP FIREWALL ASSOCIATION LIMIT CONFIG,
CONFIG RUN
Memory
Sintassi Stato
DUMP FIREWALL MEM CONFIG,
CONFIG RUN
Interface Type
Permette di avere informazioni riguardo alla configurazione della tipologia di rete per
interfaccia.
Sintassi Stato
DUMP FIREWALL IFC TYPE CONFIG,
CONFIG RUN
Sintassi Stato
DUMP FIREWALL REASSEMBLY CONFIG CONFIG,
CONFIG RUN
Relay Server
Sintassi Stato
DUMP FIREWALL RELAY SERVER CONFIG,
CONFIG RUN
Gestione Utenti
Sintassi Stato
DUMP FIREWALL USER LOGGED HISTORY CONFIG,
CONFIG RUN
Sintassi Stato
DUMP FIREWALL USER LOGGIN CONFIG,
CONFIG RUN
Log Threshold
Permette di avere informazioni riguardo alla configurazione delle soglie dei log.
Sintassi Stato
DUMP FIREWALL LOG THRESHOLD CONFIG,
CONFIG RUN
Rate Limit
Permette di avere informazioni riguardo alle configurazioni di rate limit associate ad una
particolare policy.
Sintassi Stato
DUMP FIREWALL RATE_LIMIT POLICY [<rule id>] CONFIG,
CONFIG RUN
<Comando> [OPZIONE]: DESCRIZIONE
[<rule id>] numero identificativo della policy
Esempio
(Config) DUMP FIREWALL RATE_LIMIT POLICY 1
Statistic (Alg,Policy,Association)
È possibile avere informazioni statistiche relative ad alcuni ALG, alle policy ed alle
associazioni.
Sintassi Stato
DUMP FIREWALL STATISTIC ALG CONFIG,
<H323/MSN/AOL/RTSP/IRC/MSG/QUAKE/ICQ> CONFIG
RUN
<Comando> [OPZIONE]: DESCRIZIONE
<H323/MSN/AOL/RTSP/IRC/MSG/QUAKE/ICQ> tipo di ALG
Esempio
(Config) DUMP FIREWALL STATISTIC ALG H323
Sintassi Stato
DUMP FIREWALL STATISTIC POLICY CONFIG,
CONFIG RUN
Sintassi Stato
DUMP FIREWALL STATISTIC ASSOCIATION CONFIG,
CONFIG RUN
Sintassi Stato
DUMP FIREWALL URL KEYWORD CONFIG,
CONFIG RUN
Dns Entry
Permette di avere informazioni relative alle entry Dns configurate per la funzionalità di alg.
Sintassi Stato
DUMP FIREWALL DNS ENTRY CONFIG,
CONFIG RUN
Il DLSW è un protocollo che permette il trasporto di reti SNA su reti IP. Esso stabilisce
inizialmente due connessione TCP, una per l’invio ed una per la ricezione di dati, tra ogni
coppia di router che implementano il DLSW; gli indirizzi IP dei router in questione devono
essere noti a livello di configurazione. Attraverso questi link vengono scambiate informazioni
riguardo le specifiche caratteristiche del DLSW supportato: la versione di DLSW
implementata, le liste del Service Access Point supportate, il numero di sessioni TCP
utilizzate ed altro.
Una volta avvenuto lo scambio iniziale di informazioni è possibile creare dei circuiti che
permettano il passaggio di dati da un host LLC ad un altro attraverso la connessione TCP.
Un circuito è identificato dagli indirizzi ethernet di entrambi gli host comprensivi di
identificativo SAP e gli indirizzi IP dei gateway attraverso cui essi sono raggiungibili. Al
circuito così definito viene applicata la macchina a stati principale del DLSw. Essa consta di
tre stati stabili: disconnesso, in cui non è permesso passaggio di dati, circuito stabilito, in cui
solo unnumbered frame possono essere trasmesse e connesso, in cui tutte le trame possono
passare. Altri stati sono relativi alle procedure di connessione e disconnessione del
protocollo LLC.
Host LLC/SDLC
Host LLC/SDLC
Fig.27.1
Una volta stabilito il circuito, tutti i messaggi di controllo (come gli RR del protocollo LLC)
rimangono confinati nella parte LAN senza essere notificati al vero host; in pratica, il DLSW
si preoccupa di simulare il comportamento dell’host remoto, evitando così di inviare su WAN
messaggi non contenenti dati.
Il DLSW implementa anche meccanismi che permettono di controllare la presenza di un
particolare host presso un router remoto. Essi vengono attivati prima di poter stabilire un
circuito.
Il DLSW può anche permettere switching locale tra LAN IEEE 802.2 (protocollo LLC) e
SDLC.
Risulta quindi che il DLSw si deve interfacciare con i seguenti moduli:
Fig. 27.2
Il Logical Link Control fornisce servizi al livello superiore e riceve servizi dal livello inferiore
attraverso i cosiddetti punti di accesso al servizio o SAP (Service Access Point), che sono
interfacce di comunicazione tra livelli.
Fig. 27.3
Protocollo I802
I comandi che si riferiscono al protocollo IEEE802.2 sono riportati per completezza e per
specificare come essi vengono interpretati a livello DLSW.
I802 ON
Il comando abilita la ricezione dei pacchetti I802 sull’interfaccia specificata. Alla prima
occorrenza, essa abilita anche l’intero modulo. Inoltre esso abilita l’apparato a stabilire
sessioni I802-LLC. Perché questo avvenga occorre o che sia presente un modulo superiore
che termina logicamente la sessione (DLSW) attivo sull’interfaccia, o che sia configurato
staticamente un canale. Il comando, variando la modalità di lavoro del driver, può avere
effetti negativi sulle prestazioni dell’apparato. Essendo un comando non riferibile al
protocollo IP, per esso non hanno senso le subinterface.
Sintassi Stato
<ifc> I802 ON CONFIG,
CONFIG RUN
RELEASE
MAX LF SIZE
Sintassi Stato
<ifc> I802 LF <Integer> CONFIG,
CONFIG RUN
RELEASE
NOTA: I comandi che seguono, relativi a IEEE 802.2 rimangono per compatibilità
con le vecchie versioni di GAIA ma sono da considerarsi obsoleti.
I802.2 links
Il comando abilita la configurazione dello specificato numero di link I802. I link cosi definiti
sono preconfigurati e si sostituiscono a quelli delle precedenti versioni dell’I802. Questo
comando, nella nuova versione, viene interpretato come un forzare la configurazione statica
precedente. Non può essere utilizzato con le nuove funzionalità dinamiche del DLSw. Per
questo motivo il comando non è inseribile a caldo. Nel caso di migrazioni da vecchi a
nuovi software, si consiglia di rimuovere il comando.
Sintassi Stato
<Interface> I802 LINKS <Link Number> CONFIG
RELEASE
Il comando permette la configurazione del TMNG (tempo di attesa prima dell’invio di un test
per iniziare a stabilire una nuova connessione) relativo al link in oggetto. Il comando non ha
effetto diretto a livello DLSw.
Sintassi Stato
<Interface> I802 LINK <Link Number> TMNG <Time> CONFIG,
CONFIG RUN
RELEASE
Il comando permette la configurazione del T203 (timeout di polling risposta dallo slave)
relativo al link in oggetto. Il comando non ha effetto diretto a livello DLSw.
Sintassi Stato
<Interface> I802 LINK <Link Number> T203 <Time> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface> I802 LINK <Link Number> N200 <integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface> I802 LINK < Link Number > N201 <integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface> I802 LINK <Link Number> WSIZE <integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface> I802 LINK <Link Number> ETHDST [<Ethernet address dest>] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface> I802 LINK < Link Number > ETHSRC [<Ethernet Address CONFIG,
Src>] CONFIG RUN
RELEASE
Si può configurare l’indirizzo X.121 su cui instradare il traffico del link i-esimo, usando il
comando «I802 LINK NUADEST».
Sintassi Stato
<Interface> I802 LINK <Link Number> NUADEST [<NUA>] CONFIG
RELEASE
Il comando permette la configurazione del parametro source SAP relativo al link in oggetto.
Ricordiamo che il link viene inteso in senso apparato to host. Il link viene considerato attivo
solo quando sono presenti i comandi ethsrc, ethdst, dsap e ssap.
Il valore di default è 4.
Sintassi Stato
<Interface> I802 LINK <integer> SSAP <integer> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
<Interface> I802 LINK <integer> DSAP <integer> CONFIG,
CONFIG RUN
RELEASE
i802 WSIZE
Il comando permette di configurare a livello globale del protocollo i802 il valore della finestra
dati da utilizzare.Fino ad ora il valore della finestra era configurabile solo a livello di singolo
link statico. Il valore della Wsize deve essere compreso tra 1 e 127.
Il comando e’ attivabile sia dallo stato di CONFIG che da CONFIG RUN.
Sintassi Stato
<SubIfc> i802 WSIZE <integer> CONFIG,
CONFIG RUN
RELEASE
DLSW ON
Il comando attiva il protocollo. Esso prescinde dalla presenza di interfacce ethernet in cui sia
attivo il protocollo IEEE 802.2, ma perché esso funzioni, è ovviamente necessario che
un’interfaccia locale permetta il trasporto di trame IEEE 802.2. Il comando abilita la versione
1.0 del protocollo e per questo apre la porta 2065 TCP in ascolto. Il solo comando, però, non
consente l’apertura di sessioni TCP verso nessun host.
Attraverso lo stesso comando è possibile definire l’indirizzo IP che il DLSW considera come
suo indirizzo locale.
Il parametro può essere dato in due forme: attraverso l’indicazione dell’interaccia o
subinterface, nel qual caso viene considerato sempre l’indirizzo primario della stessa, oppure
attraverso la definizione esplicita dell’indirizzo stesso. Viene lasciato in questo caso all’utente
il controllo sulla effettiva presenza dell’indirizzo in una delle interfacce dell’apparato. Le due
forme del comando sono mutuamente esclusive.
Sintassi Stato
DLSW ON <Ifc> CONFIG,
DLSW ON <Ip Address> CONFIG RUN
RELEASE
La versione 2.0 viene attivata dal comando sotto descritto, se non viene specificata, di
default verrà attivata la versione 1.0
Sintassi Stato
DLSW VERSION <2.0> [<Multicast class: 224.0.10.0 - 224.0.10.191>] CONFIG,
[UNICAST] [ADVERTISE] [KEEPALIVE] [<keepalive interval (sec)>] CONFIG RUN
RELEASE
Con questo comando si inserisce il MAC indicato come raggiungibile attraverso l’interfaccia
indicata, interfaccia che ovviamente deve supportare il protocollo I802. Con il parametro
opzionale public (che rappresenta anche il default) o private si dice al DLSW se questa entry
deve essere notificata ai peer attraverso il pacchetto di CAPEX che viene scambiato durante
la fase di stabilimento delle sessioni TCP.
Sintassi Stato
DLSW IFC <Ifc local> ETHSRC <Ethernet Address Src> CONFIG,
[<public/private>] CONFIG RUN
RELEASE
Con questo comando, nei messaggi di capex generati dal DLSW verrà indicato che i MAC
notificati sono anche gli unici raggiungibili da questo endpoint. Esso previene così l’invio di
parte degli altri peer DLSW di messaggi CANUREACH indirizzati a MAC non presenti negli
elenchi di quelli configurati.
Sintassi Stato
DLSW ON EXCLUSIVE CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >dlsw on exclusive
Il comandi fa sì che, nei messaggi in cui questo è previsto il DLSW locale alzi il bit di LF size
Control flag. Di default esso viene messo a zero. Il valore della LF viene acquisito dall’I802
su base interfaccia o circuito.
Sintassi Stato
DLSW ON LF CONTROL CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >dlsw on lf control
Sintassi Stato
DLSW ON IMMEDIATE_UA CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >dlsw on immediate ua
Il comando abilita l’invio delle trap DLSW che sono collegate allo stabilirsi/chiudersi di circuiti
e connessioni.
Sintassi Stato
DLSW ENABLE TRAP [<Connection/Circ>] CONFIG,
CONFIG RUN
RELEASE
Il comando permette, nel caso di utilizzo della versione 1 (anche solo per determinati peer),
di definire la porta sorgente delle sessioni TCP pari al valore raccomandato dall’RFC 1795
(2067). Questo non è obbligatorio, ma può essere utile per compatibiltà con determinate
implementazioni del DLSW. Il settaggio non ha effetto qualora si lavori in V2 e non è
obbligatorio neanche per la V1.
Sintassi Stato
DLSW PORT <port number> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
DLSW TMO <Timer type name> <Timer type value (sec)> [RETRY] [<n. CONFIG,
of attempt>] CONFIG RUN
RELEASE
Questi comandi permettono di collegare il DLSW a interfacce locali in cui sia stato
configurato il protocollo I802.
Sintassi Stato
DLSW BRIDGE <Ifc of bridging> CONFIG,
CONFIG RUN
RELEASE
Questa serie di comandi permettono di configurare staticamente peer remoti con alcune loro
caratteristiche. La configurazione passa attraverso la definizione di una “connection” e del
parametro fondamentale che la rende attiva, ovvero l’indirizzo del peer remoto. Gli altri sono
tutti opzionali.
È inoltre possibile anche permettere la ricezione di richieste di aperture da peer remoti non
conosciuti a priori (modalità promiscuous).
Con questo comando viene permesso lo stabilirsi di sessioni TCP da qualunque indirizzo IP
remoto. In caso di assenza dello stesso comando, solo richieste di connessione provenienti
da indirizzi IP configurati vengono accettate. Da specificare che qui si tratta solo di
connessioni di tipo v. 1.0 (porta TCP 2065) in quanto quelle 2.0 non possono che essere
accettate se si lavora in versione 2.0, ma solo se precedute da ricezione di pacchetti UDP.
I due token opzionali permettono la notifica, tramite il messaggio di CAPEX della cache degli
indirizzi MAC locali (default NO) e l’utilizzo della procedura di keepalive sulle sessioni
(default ASSENTE). Questa modalità è progettata per macchine situate al centro di reti
stellate. Essa permette di evitare la configurazione al centro di un numero ampio, quindi
spesso poco gestibile, di connessioni.
Sintassi Stato
DLSW ON PROMISCUOUS [ADVERTISE] [KEEPALIVE] [<keepalive CONFIG,
interval (sec)>] CONFIG RUN
RELEASE
Sintassi Stato
DLSW ADD CONNECTION <connection name (max 19 char)> CONFIG,
CONFIG RUN
RELEASE
Il comando permette di configurare l’indirizzo IP remoto a cui si trova il peer DLSW che si sta
configurando. È possibile assegnare anche 2 indirizzi di backup verso i quali si prova la
connessione nel caso in cui il primario fallisca per non risposta, per errore di trasporto TCP o
per errore nello scambio CAPEX. L’ordine di prova è l’ordine in cui sono scritti.
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> IP ADDRESS CONFIG,
<Remote Ip Address> [<Remote backup IP Addr>] [<Remote backup IP CONFIG RUN
Addr>] RELEASE
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> KEEPALIVE CONFIG,
[<keepalive interval (sec)>] CONFIG RUN
RELEASE
Il comando fa sì che venga definito il modo in cui una connessione TCP può essere attivata.
Essi sono 3:
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> MODE CONFIG,
<Persistent/ OnDemand/ Passive> [TIME] [<Integer>] CONFIG RUN
RELEASE
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> ADVERTISE CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
DLSW CONNECTION <stringa> VERSION 1.0 CONFIG,
CONFIG RUN
RELEASE
Il comportamento del comando è diverso tra versione 1.0 e 2.0 (a livello connessione).
Versione 1.0:
Il comando fa si che, una volta terminato lo scambio CAPEX e che i due peer si siano trovati
d’accordo, una delle due sessioni TCP aperte con porta destinataria 2065 (quindi Versione
1). È utile quindi solo la specifica ONECONN.
Versione 2.0:
Essendo il default per questa versione di una sola connessione per peer, nel caso la
macchina remota sia di versione 1.0, il comando permette di richiedere due sessioni TCP. È
quindi utile solo la specifica TWOCONN.
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> ONECONN/ CONFIG,
TWOCONN CONFIG RUN
RELEASE
Il comando che segue permette di modificare attraverso il DLSW il TMO di una sessione
TCP. Se non specificato il valore, verrà attivato quello di default del tcp, ovvero 190 secondi
Sintassi Stato
DLSW TCP TMO <integer (10-180 s)> CONFIG,
CONFIG RUN
RELEASE
Esempio
(Config) >DLSW TCP TMO 100
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> ETHDST CONFIG,
<Ethernet Address Dst> CONFIG RUN
RELEASE
Sintassi Stato
DLSW DISABLE CONFIG RUN
RELEASE
Esempio
(Config run) > DLSW disable
Il seguente comando avvisa i peer durante lo scambio CAPEX che i mac notificati sono gli
unici raggiungibili dall’apparato.
Sintassi Stato
DLSW ON EXCLUSIVE CONFIG
RELEASE
Esempio
(Config) >dlsw on exclusive
Sintassi Stato
DLSW KILL CIRC < num of the entry to be shown> CONFIG
RELEASE
Sintassi Stato
DLSW KILL CIRC_EX < num of the entry to be shown> CONFIG
RELEASE
Il seguente comando collega il link cluster dell’ i802 nell’interfaccia (locale) dell’IP remoto
della connessione.
Sintassi Stato
DLSW CONNECTION < connection name (max 19 char) > <ifc local> <cluster> CONFIG
RELEASE
Sintassi Stato
DLSW TMO <Timer type name> <Timer type value (sec)> CONFIG
RELEASE
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> ADVERTISE CONFIG
RELEASE
Sintassi Stato
DLSW CONNECTION <connection name (max 19 char)> KILL CONFIG
RELEASE
Il comando permette collegare un cluster I802 alla connessione in oggetto. Esso fa sì che
l’indirizzo ethsrc del cluster venga visto come presente in cache come remoto all’indirizzo
assegnato alla connessione, mentre il ethdst venga visto come indirizzo locale assegnato
all’interfaccia specificata nel comando. Il comando resta presente solo per compatibilità con
le versioni precedenti del DLSW e non può essere configurato a caldo. Esso va
eventualmente sostituito con le configurazioni della cache locale e remota.
Sintassi Stato
DLSW CONNECTION <stringa> <Ifc> <Integer> CONFIG
RELEASE
28 PROTOCOLLI DI GESTIONE
SNMP V1
get request;
get next request;
get response;
set request;
trap.
Get request:
La struttura dei dati gestibili tramite SNMP, rispecchia una struttura ad albero. Le foglie di
questo albero rappresentano le istanze delle variabili interne.
Se si vuole interrogare una tabella e non si conosce il numero di occorrenze presenti, si
ricorre al comando get next request. Infatti tale comando permette di richiedere il valore
dell'istanza successiva alla occorrenza specificata nel comando stesso. Ovviamente esiste
una regola da rispettare per l'ordinamento delle variabili.
Get request:
La struttura dei dati gestibili tramite SNMP, rispecchia una struttura ad albero. Le foglie di
questo albero rappresentano le istanze delle variabili interne.
Se si vuole interrogare una tabella e non si conosce il numero di occorrenze presenti, si
ricorre al comando get next request. Infatti tale comando permette di richiedere il valore
dell'istanza successiva alla occorrenza specificata nel comando stesso. Ovviamente esiste
una regola da rispettare per l'ordinamento delle variabili.
2 3 4
Variable A Table Variable B
5 6 7
Table occurrences
Fig. 28.1
Get response:
Set request:
Il comando set request permette la modifica da parte del Manager, del valore di una variabile
della MIB. Ovviamente una variabile deve essere abilitata alla scrittura per poter essere
modificata. Questa abilitazione è un parametro previsto dalla sintassi ASN.1. Se si tenta di
modificare una variabile di sola lettura, il dispositivo Agent risponde con un messaggio di
errore.
Attivazione/disattivazione SNMP V1
Per abilitare l’SNMP si usa il comando «SNMP ON».
Sintassi Stato
SNMP ON CONFIG
RELEASE
Esempio
(Config) >snmp on
Sintassi Stato
SNMP MYCOMMUNITY <Community Name> CONFIG
RELEASE
Il protocollo SNMP prevede la gestione di una tabella di community creata attraverso una
sequenza di comandi «ADD SNMP COMMUNITY», ognuno dei quali aggiunge una entry alla
tabella
Sintassi Stato
ADD SNMP COMMUNITY <community name> [<access type>] CONFIG
RELEASE
Sintassi Stato
ADD SNMP MANAGER <IP address> [<community name>] [GT] [ST] [SECT] CONFIG
RELEASE
Si può abilitare la generazione spontanea di TRAP. Questo comando è valido solo se è stato
abilitato il protocollo SNMP (con il comando «SNMP ON»); inoltre occorre configurare
correttamente l'indirizzo IP del manager a cui inviare le segnalazioni (utilizzando il comando
ADD SNMP MANAGER).
Sintassi Stato
SNMP TRAP ON CONFIG
RELEASE
Esempio
(Config) >snmp trap on
Sintassi Stato
SNMP AUTH TRAP ON CONFIG
RELEASE
Esempio
(Config) >snmp auth trap on
Si può configurare l'indirizzo IP mittente delle TRAP SNMP inviate verso i vari manager
configurati; l’indirizzo è quello relativo all’interfaccia indicata su cui deve essere configurato il
protocollo IP. Il comando è il seguente:
Sintassi Stato
SNMP AGENT <Interface>[/<Integer>] [<IP Address>] CONFIG
RELEASE
SNMP V3
Il protocollo SNMPV3 è definito nelle RFC 2271-2275 del gennaio 1998, successivamente
sostituite dalle RFC 2571-2575 dell’aprile 1999.
Il protocollo SNMPV3 nasce, essenzialmente, per porre rimedio ad una grave carenza
strutturale delle precedenti versioni del protocollo: la mancanza di servizi di sicurezza.
Autenticazione
Cifratura
Questi servizi di sicurezza proteggono il traffico SNMPV3 dai seguenti tipi di “attacco”:
Questi servizi di sicurezza NON proteggono il traffico SNMPV3 dai seguenti tipi di “attacco”:
Denail of Service
Traffic-analisys
Comandi di configurazione
SNMPV3 ON
Attiva il modulo il modulo SNMP che supporta i protocolli SNMPV3 e SNMPV1 (con controllo
di accesso VACM).
Sintassi Stato
SNMPV3 ON CONFIG
RELEASE
Esempio
(Config) >snmpv3 on
Il nuovo modulo SNMP multiprotocollo non può coesistere, nella medesima configurazione,
con il precedente modulo SNMP (attivato dal comando di configurazione snmp on).
Se si intende passare dal vecchio modulo SNMP al nuovo modulo è necessario eseguire,
nell’ordine indicato, le seguenti operazioni:
Se si intende passare dal nuovo modulo SNMP al vecchio modulo è necessario eseguire,
nell’ordine indicato, le seguenti operazioni:
SNMP ENGINEID
Sintassi RELEASE
SNMP ENGINEID <engineid-string> (only exadecimal digit)
<Comando> [OPZIONE]: DESCRIZIONE
<engineid-string>: il comando accetta una stringa composta da soli caratteri
esadecimali (01...9ABCDEF). La stringa può avere una lunghezza
massima di 24 caratteri ed il primo carattere deve essere < 8.
1. è lungo 9 byte
2. il bit più significativo del primo byte è uguale ad 1
3. i primi 4 byte (a parte quanto specificato al punto 2), contengono l’identificativo IANA
della società. Il numero assegnato ad AMTEC è 1954.
4. Il 5º byte è uguale ad 1
5. Gli ultimi 4 byte contengono l’indirizzo IP dell’Agent
SNMP VIEW
Configura una mib-view, cioè un sottoinsieme della mib sul quale si può concedere o negare
l’accesso per le operazioni SNMP. Ad una mib-view possono essere associati più mib-tree
ripetendo più volte questo comando con il medesimo viewname.
Sintassi RELEASE
SNMP VIEW <viewname> <mibview> [ [mask] [<mibviewmask> (4 exadecimal
digit)]] [type] [<included / excluded> (default: included)]
<Comando> [OPZIONE]: DESCRIZIONE
<viewname>: stringa che identifica la view.
<mibview>: nodo della MIB, es: 1.3.6.1.2.1.1 (nodo system).
<mibviewmask>: maschera da utilizzare in combinazione con mib-tree. La
maschera è lunga 2 byte perciò bisogna inserire 4 caratteri
esadecimali. Il numero inserito, convertito in binario, deve avere
una lunghezza (posizione dell’ultimo 1) pari a quella di mib-tree.
[<included/excluded>]: tipo di accesso assegnato alla view:
included permette l’accesso alle variabili il cui codice ASN1 ha come prefisso mibview
excluded nega l’accesso alle variabili il cui codice ASN1 ha come prefisso mibview
Funzionamento:
Quando all’Agent arriva una richiesta SNMP, determinata la view da utilizzare (vedi comandi
3.x e 3.y), si confrontano le variabili della varbind con la coppia mib-tree e viewmask.
Se una variabile ha come prefisso del proprio codice ASN1 il mib-tree allora è inclusa nella
view.
Esempi:
la variabile sysname, che ha codice ASN1 Pari a 1.3.6.1.2.1.1.5, è inclusa nel mib-
tree 1.3.6.1.2.1.1 (nodo system)
la variabile snmpEngineID, che ha codice ASN1 pari a 1.3.6.1.6.3.10.2.1.1, non è
inclusa nel mib-tree 1.3.6.1.4.1.1954 (nodo AMTEC)
Esempio
la viewmask FFA0 (11111111 10100000) associata al mib-tree 1.3.6.1.2.1.2.2.1.0.3
(terza riga della tabella ifTable che identifica la terza interfaccia dell’apparato) ha
l’effetto di includere nella view tutte le variabili della tabella ifTable relative alla terza
interfaccia e di escludere della view tutte le variabili della tabella ifTable relative alla
altre interfacce.
SNMP COMMUNITY
Sintassi Stato
SNMP COMMUNITY <Community Name> MANAGER <IP Address> CONFIG
RELEASE
Esempio
(Config) >snmp community pippo manager 10.36.0.95
Sintassi RELEASE
SNMP GROUP <groupname> V3 [[<NOAUTHNOPRIV / AUTHNOPRIV /
AUTHPRIV>]] [[READ] [<readviewname>]] [[WRITE] [<writeviewname>]]
[[NOTIFY] [<notifyviewname>]]
<Comando> [OPZIONE]: DESCRIZIONE
<groupname>: stringa che identifica il gruppo.
<noauthnopriv | livello di sicurezza del gruppo:
authnopriv | noauthnopriv identifica un gruppo di utenti cui sono
authpriv>: associati messaggi SNMP in chiaro
authnopriv identifica un gruppo di utenti cui sono associati
messaggi SNMP autenticati
authpriv identifica un gruppo di utenti cui sono associati
messaggi SNMP autenticati e cifrarti
<readviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
read.
<writeviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
write.
<notifyviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
notify.
Valori di default
Osservazioni:
Sintassi RELEASE
SNMP GROUP <groupname> V1 [[COMMUNITY] [<communityname>]]
[[READ] [<readviewname>]] [[WRITE] [<writeviewname>]] [[NOTIFY]
[<notifyviewname>]]
<Comando> [OPZIONE]: DESCRIZIONE
<groupname>: stringa che identifica il gruppo.
<communityname>: stringa che identifica la community.
<readviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
read.
<writeviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
write.
<notifyviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
notify.
Valori di default
Osservazioni
Sintassi RELEASE
SNMP GROUP <groupname> V2 [[COMMUNITY] [<communityname>]] [[READ]
[<readviewname>]] [[WRITE] [<writeviewname>]] [[NOTIFY] [<notifyviewname>]]
<Comando> [OPZIONE]: DESCRIZIONE
<groupname>: stringa che identifica il gruppo.
<communityname>: stringa che identifica la community.
<readviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
read.
<writeviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
write.
<notifyviewname>: stringa che identifica la snmp view da utilizzare per le operazioni di
notify.
Valori di default
Osservazioni
Snmp user
Sintassi RELEASE
SNMP USER <username> GROUP <groupname> [AUTHPROT] [<MD5/SHA>]
[<authpassword>] [PRIVPROT] [DES] [<privpassword>]
<Comando> [OPZIONE]: DESCRIZIONE
<username>: stringa che identifica l’utente.
<groupname>: stringa che identifica il gruppo cui l’utente appartiene.
<md5 / sha>: protocollo di autenticazione.
<authpassword>: password di autenticazione, sulla base della quale è calcolata la
chiave utilizzata dai protocolli md5 o sha1.
<privpassword>: password di cifratura, sulla base della quale è calcolata la chiave
utilizzata dal protocollo DES.
Valori di default
Osservazioni:
SNMP MANAGER
Configura un manager snmp definendone l’indirizzo IP, la versione del protocollo SNMP da
utilizzare, l’utente associato (snmpv3) o la community associata (snmpv1).
Sintassi RELEASE
SNMP MANAGER <managername> ADDRESS <IP Address> VERSION
<Integer> USER <username>
Sintassi Stato
SNMP CONF WRITE PERM ON CONFIG
RELEASE
Esempio
(Config) >snmp conf write perm on
Il seguente comando configura l’indirizzo IP con il quale l’apparato gestisce un eventuale file-
transfer con un manager SNMP.
Sintassi Stato
SNMP SERVER TFTP <IP Address> CONFIG
RELEASE
Esempio
(Config) >snmp server tftp 163.0.9.1
Per abilitare il software a controllare le liste che filtrano le abilitazioni eseguite sui vari
manager.
Sintassi Stato
SNMP FILTER MANAGER ON CONFIG
RELEASE
Esempio
(Config) >snmp filter manager on
Il seguente comando monitorizza tutti i tipi di ping compresi quelli fatti da telnet che quelli fatti
da console.
Sintassi Stato
SNMP ALLPING CONFIG
RELEASE
Esempio
(Config) >SNMP ALLPING
SNMP INTERFACE/SUB-INTERFACE
Associa due stringe, Alias oppure IFXNAME, appartenenti alla IFXTABLE, a delle interfacce
o sub-interface.
Sintassi Stato
SNMP <Interface>[/<Integer>] ALIAS <alpha numeric string (max 64 char)> CONFIG
RELEASE
SNMP <Interface>[/<Integer>] IFXNAME <alpha numeric string (max 64 char)>
Esempio
(Config) > SNMP ETHERNET1/1 ALIAS pippo1974
SNMP IPLIST
È possibile associare ad un gruppo una access list di tipo traffic oppure un range di access
list, per filtrare il traffico. Il numero massimo di access list o range di access list che è
possibile associare ad un gruppo è pari a cinque.
Sintassi Stato
SNMP IPLIST <ip list number(from 20000 to 30000)> [<ip list number(from CONFIG
20000 to 30000)>] GROUP <groupname> RELEASE
PROTOCOLLO TFTP
Tale protocollo è stato realizzato nella sola modalità client e viene sfruttato nel software in
oggetto per l’Upload/Download di software e configurazioni.
Il protocollo può essere attivato tramite il comando SET SNMP o da Console sia locale che
Telnet.
Caricamento configurazione
Mediante TFTP, carica dal server remoto, identificato da <IP address>, il file identificato da
<filename> come file di configurazione; tale file viene analizzato dal configuratore; se l’esito
dell’analisi è positivo il file caricato diviene il file di lavoro e quindi l’utente lo può modificare e
scrivere nella memoria permanente; se l’analisi fallisce viene avvisato l’utente che il file non è
corretto (indicando e visualizzando la riga errata) e quindi il file viene rilasciato.
Sintassi Stato
LOAD CONF <IP address> <filename> CONFIG
RELEASE
Caricamento software
Mediante TFPT carica dal server remoto (identificato dal parametro <IP address>) il file
<filename> come nuovo software dell’apparato.
Sintassi Stato
LOAD SW <IP address> <filename> [<integer>] [<sw type>] CONFIG
RELEASE
NOTA: Il file da caricare non è quello prodotto dal link, ma quello sottoposto alle
operazioni di calcolo del CRC e di assegnazione della lunghezza. Tale file ha
estensione ftp.
Per configurare l’interfaccia con la quale viene eseguito traffico con il protocollo TFTP si
utilizza il comando:
Sintassi Stato
TFTP SOURCE <Interface>[/<Integer>] [<IP Address>] CONFIG
RELEASE
Il seguente comando serve per l’aggancio dell’indirizzo sorgente per il caricamento del
software all’indirizzo dinamico acquisito da profilo.
Sintassi Stato
TFTP SOURCE <Interface>[/<Integer>] [<IP Address>] [PROFILE] [<nome CONFIG
profilo>] RELEASE
una configurazione da sostituire a quella esistente (sia in formato ascii che asn1);
uno o più comandi da sostituire senza modificare il resto della configurazione;
il software da trasferire all’apparato;
le Crl, le WWHL e le CWHL (in formato asn1) utilizzate poi da CRT_MNG;ed inoltre
può
inviare un file contenente la configurazione o il software in formato asn1.
MODULO GLINK
Il modulo Glink (MultiLayer Switch) è un’espansione per SAS-750 e SAS-1000 equipaggiata
con 8 porte lan 10/100 e un acceleratore hardware per le funzionalità di switch di livello 2 e
router IP.
La scheda si inserisce sugli apparati in cui sono presenti i connettori di espansione glink e il
sistema di commutazione crossbar e, svolge le funzionalità di acceleratore hardware per le
operazioni di L2 Switch e routing IP;
Nel modulo è presente, inoltre, un classificatore di flusso (flow classifier) capace di
selezionare e filtrare il traffico, in accordo con delle liste di accesso configurabili
dinamicamente. Ogni funzionalità svolta dalla scheda è strettamente subordinata alla
funzionalità equivalente eseguita nel software GAIA installato sul SAS che la ospita, il quale,
oltre a fornirgli tutti i comandi dinamici di funzionamento, si occupa anche della gestione dei
transitori, richiedendo l’intervento dell’acceleratore hardware solo sui flussi di traffico
consolidati.
Facendo riferimento alle operazioni di routing hardware, queste vengono attivate solo dopo
che il software ha portato a termine i transitori legati all’ARP e si è instaurata una condizione
di regime, relativa all’instradamento verso un particolare gateway: tutto ciò è compatibile con
i protocolli di routing e le altre funzionalità svolte da un router IP.
Una volta attivato su un particolare tipo di traffico, è possibile eseguire gli instradamenti, sia
tra le porte di una stessa espansione sia verso porte di espansioni compatibili, montate sullo
stesso apparato.
Il sistema consente di configurare dinamicamente le virtual lan (VLAN) per porta,
supportando sia traffico tagged sia untagged, compatibilmente con lo standard IEEE 802.1Q.
Inoltre, è possibile configurare il protocollo Spanning Tree per ogni VLAN del sistema,
compatibilmente con lo standard IEEE 802.1D.
In una tipologia di rete magliata è probabile che si creino dei loop in rete con conseguente
blocco dei sistemi.
L’algoritmo di Spanning Tree (descritto nello standard IEEE 802.1D) ha la funzionalità di
evitare la creazione dei loop, trasformando dinamicamente la maglia in un albero.
In caso di priorità uguale tra due bridge si sceglie come root bridge quello che ha indirizzo
MAC minore.
Inoltre ogni bridge identifica la sua root port, cioè la porta che ha il cammino di costo minimo
verso il Root Bridge.
Le porte non-root diventano Designated Port per le LAN che collegano e qualora più porte
siano collegate sulla stessa LAN, una sola porta viene messa nello stato di Forwarding
mentre le altre vengono messe in Blocking state.
Hello time (valore di default 2s), tempo che intercorre tra la generazione delle BPDU.
Forward delay (valore di default 15s), ritardo applicato nelle transizioni da listening a
learning e da learning a forwarding.
Max Age (valore di default 20s), valore massimo trascorso il quale una BPDU è
considerata invalida.
Una porta in stato di blocking che riceve una BPDU meno prioritaria passa allo stato di
listening, quindi a quello di learning e infine a quello di forwarding con un tempo di
convergenza di 30s.
Una porta che non riceve BPDU aspetta lo scadere del max age, poi passa allo stato di
listening, quindi a quello di learning e infine a quello di forwarding con un tempo di
convergenza pari a: max age + 2 x Forwarding Delay = 50s.
Il Glink ha un meccanismo hardware che consente di impostare direttamente sulle porte il
comportamento che deve essere tenuto nei confronti dei singoli traffici, questo scarica il
software dall’onere di dover ricevere, per poi scartare, tutto il traffico che si presenta in
ingresso a porte che non sono in stato di Forwarding rispetto ad una certa VLAN.
Lo Spanning Tree non può essere configurato qualora si decida di utilizzare le VLAN per
sottorete.
ID
Questo comando serve per assegnare o modificare il VLAN ID di una VLAN.
Sintassi Stato
VLAN <Ifc/Vlan Name> ID <Integer> [<VlanProt>] CONFIG,
CONFIG RUN
RELEASE
NOTA: Qualora il nome della VLAN sia una stringa o ETHERNETx/y, il VLAN ID
deve essere il primo parametro assegnato alla VLAN.
IS
Questo comando serve per configurare le porte di default appartenenti alla VLAN per uno
specifico dispositivo glink posizionato su uno slot.
Sintassi Stato
VLAN <Ifc/Vlan Name> IS <Slot/Port> [<Slot/Port>] [<Slot/Port>] CONFIG,
[<Slot/Port>] CONFIG RUN
RELEASE
Relazione con altri comandi: nel caso di vlan_name pari ad ethernetx/y o pari ad una stringa,
deve essere configurato, in precedenza, il Vlan_ID.
SET
Questo comando serve per configurare il parametro specificato nel campo <Set Name> sulle
varie porte di una VLAN.
Sintassi Stato
VLAN <Ifc/Vlan Name> SET <Set Name> <Slot/Port> [<Slot/Port>] CONFIG,
[<Slot/Port>] [<Slot/Port>] CONFIG RUN
RELEASE
Relazione con altri comandi: nel caso di vlan_name pari ad ethernetx/y o pari ad una stringa,
deve essere configurato, in precedenza, il Vlan_ID.
ROUTE ON
Questo comando serve per attivare la funzionalità di routing hardware sui pacchetti in uscita
nella VLAN specificata.
Sintassi Stato
VLAN <Ifc/Vlan Name> ROUTE ON CONFIG,
CONFIG RUN
RELEASE
ROUTER MODE
Imposta il funzionamento dello switch hardware in modalità router
Sintassi Stato
VLAN SET ROUTER MODE CONFIG,
CONFIG RUN
RELEASE
NETWORK
Questo comando serve per attivare una VLAN per sottorete.
Sintassi Stato
VLAN <Ifc/Vlan Name> NETWORK <IP Address> <Ip Mask> CONFIG
RELEASE
Relazione con altri comandi: nel caso di vlan_name pari ad ethernetx/y o pari ad una stringa,
deve essere configurato, in precedenza, il Vlan_ID.
STP ON
Questo comando serve per attivare il protocollo di Spanning Tree sulla VLAN specificata.
Sintassi Stato
VLAN <Ifc/Vlan Name> STP ON CONFIG
RELEASE
Relazione con altri comandi: nel caso di vlan_name pari ad ethernetx/y o pari ad una stringa,
deve essere configurato, in precedenza, il Vlan_ID.
STP
Questo comando serve per modificare alcuni dei parametri dello Spanning Tree per una
specifica VLAN, ad esempio i timer. Se il protocollo di Spanning Tree non è stato attivato in
precedenza sulla VLAN specificata, comparirà un messaggio d’errore che informa l’utente
che non si possono effettuare cambiamenti nei parametri dello Spanning Tree per quella
specifica VLAN.
Sintassi Stato
VLAN <Ifc/Vlan Name> STP <Alphanumeric String> <Integer> CONFIG
RELEASE
Relazione con altri comandi: nel caso di vlan_name pari ad ethernetx/y o pari ad una stringa,
deve essere configurato, in precedenza, il Vlan_ID.
Questo comando serve per eliminare le access list di routing all’interno del modulo Glink.
Sintassi Stato
GLINK ACCESS LIST RESET CONFIG, CONNECT,
CONFIG RUN
RELEASE
Esempio
(Config) >glink access list reset
Route reset
Questo comando viene utilizzato per cancellare tutte le entry di routing del database.
Sintassi Stato
GLINK ROUTE RESET CONFIG, CONNECT,
CONFIG RUN
RELEASE
Esempio
(Config) >glink route reset
Route threshold
Questo comando viene utilizzato per configurare una soglia di velocità al di sopra della quale
vengono memorizzate le entry di routing all’interno del router hardware.
Sintassi Stato
GLINK ROUTE THRESHOLD <Rate(b/sec)> CONFIG
RELEASE
Address expiration
Sintassi Stato
GLINK ADDRESS EXPIRATION <TimeOut(sec)> CONFIG
RELEASE
Con tale comando, tutte le modifiche fatte dallo stato CONFIG RUN, sulla configurazione,
vengono apprese dal router.
Sintassi Stato
GLINK ACCESS LIST DYNAMIC LOAD CONFIG RUN
RELEASE
Esempio
(Config) >glink access list dynamic load
Write data
Questo comando serve per assegnare ad un registro interno del chip un valore diverso da
quello configurato nel software e deve essere utilizzato solo da utenti esperti. Non è visibile
dal comando di help.
Sintassi Stato
GLINK WRITE DATA <Link Number> <Physical Address> <Integer> [<Key CONFIG,
Identifier>] CONNECT
RELEASE
Se non viene specificata la chiave, i registri da scrivere vengono considerati quelli generici di
configurazione del chip Galileo.
PORT SET
Questo comando serve per impostare un particolare comportamento per una porta o un
gruppo di porte.
Sintassi Stato
GLINK PORT SET <Set Name> <Slot/Port> [<Slot/Port>] [<Slot/Port>] CONFIG
[<Slot/Port>] RELEASE
NOTA: Il trunk consente di collegare due parti della stessa vlan residenti su due
switch differenti. In generale sullo stesso trunk vengono trasportate più vlan
composte da varie sezioni distribuite su switch differenti. Per evitare conflitti è
quindi necessario configurare TAGGED le porte su cui insiste il trunk.
PORT SNIFFER
Questo comando permette di ‘spiare’, dalla porta di un device glink, il traffico che attraversa
un’altra porta dello stesso device glink o di un altro device glink montato sullo stesso
apparato.
Sintassi Stato
GLINK PORT SNIFFER <Sniffer Dev> <Sniffer Port> <Target Dev> CONFIG,
<Target Port> CONFIG RUN
RELEASE
Lo Switch VLAN è costituito da uno o più dispositivi hardware di livello 2 (connessi tra di loro)
che, grazie ad un’opportuna configurazione, possono interfacciarsi con il layer 3 del software
GAIA e permettere funzioni di routing.
Gli apparati della serie 11x, SAS 500, SAS 900, SAS AM dispongono di una o più interfacce
multiporta 10/100 Ethernet/Switch prodotte dalla Marvell che integrano funzionalità hardware
di QoS e VLAN. Inoltre, grazie all’ausilio del software GAIA, consentono la funzionalità di
IGMP Snooping.
Lo scopo di questo documento è illustrarne le funzionalità dal punto di vista dell’utente,
ovvero dall’esterno dei vari apparati, focalizzandosi in particolare sulla descrizione
funzionale, sui comandi di configurazione e sui dump.
Descrizione Funzionale
Tutti gli apparati equipaggiati con lo switch Marvell dispongono di almeno 4 porte esterne di
tipo Ethernet (versione base). Alla data di stesura del documento sono state prodotte varie
versioni personalizzate che sfruttano la presenza di massimo due dispositivi switch installati.
La famiglia di apparati SAS 11x (es. 113, 114) è disponibile, oltre che nella versione base,
con una porta Wi-Fi aggiuntiva.
Il SAS 900 è disponibile nella sola versione base con switch installato on-board.
Il SAS 500 è disponibile nella versione base, nella versione che prevede una espansione con
altre 8 porte LAN (12 in totale) e nella versione che prevede una espansione con 8 porte
LAN e una porta Wi-Fi (13 porte complessive).
Le porte presenti possono essere raggruppate tra di loro, formando dei bridge auto-
apprendenti separati dal punto di vista delle caratteristiche di switching e della propagazione
del broadcast.
Ogni bridge può essere associato ad una VLAN in grado di gestire sia traffico Tagged che
traffico Untagged.
Ogni VLAN è caratterizzata da un indice detto VID (Vlan ID) che può essere assegnato
dinamicamente o configurato dall’utente.
Ogni VLAN può essere connessa ad un’interfaccia IP del router, permettendo
l’instradamento di Livello 3 tra le varie VLAN.
Su ogni scheda (sia essa a 4 o 8 porte) è presente un sistema di accelerazione hardware
che svolge autonomamente le funzioni di switch auto-apprendente.
Di seguito vengono elencati i principali blocchi funzionali (vedi figura sotto riportata):
Gestione indirizzi MAC (ATU)
Ingress Policy
Queue Controller
Egress Policy
Port Address Manager Ingress Policy Queue Controller Egress Policy Port
IN Coda di uscita 3 OUT
ATU VTU Coda di uscita 2
Coda di uscita 1
Coda di uscita 0
Ogni blocco funzionale può essere configurato per porta o per VLAN. La configurazione per
VLAN diventa prioritaria nel caso che nello switch entri una frame appartenente a tale VLAN,
indipendentemente dalla porta di ingresso. Nel caso entri una frame che non appartiene ad
una VLAN nota viene applicato il comportamento configurato di default per le porta di
ingresso (frame entrante) o di uscita (frame uscente).
Tagged (cioè porta con sé informazioni relative al protocollo IEEE 802.1q sulla priorità
di Livello 2 e sulla VLAN di appartenenza): viene inviato direttamente allo switch
senza eseguire su di esso alcuna operazione.
Untagged (normale pacchetto Ethernet): viene elaborato dalla porta che provvede a
inserire al suo interno le informazioni relative alla VLAN d’appartenenza e alla priorità
di Livello 2.
Quindi sono le porte in ingresso a decidere le VLAN di appartenenza dei pacchetti Untagged.
Tale assegnazione viene obbligatoriamente effettuata poiché qualsiasi elaborazione che
subirà il pacchetto in seguito (sia nel chip dello switch che in GAIA) dipenderà
necessariamente dal VID.
Lo switch apprende automaticamente l’associazione MAC-porta (ingresso e uscita) e in base
ad essa opera la funzionalità switching di default. In sostanza le porte che non hanno una
configurazione specifica si comportano tra di loro come un normale switch auto-apprendente.
Se su una o più porte è configurata un’interfaccia di tipo Ethernet con indirizzo IP associato,
le frame in ingresso vengono inoltrate verso la CPU che si prende in carico del routing di
livello 3 e seleziona, indirettamente, le porte di uscita assegnando un determinato VID al
pacchetto.
La ATU (Address Translation Unit) si occupa quindi di apprendere le nuove associazioni,
memorizzarle in un database interno che può contenere fino a 2048 entries (default 1024) e
gestire l’instradamento di livello 2 dei pacchetti in ingresso. Le entries non scadono mai, a
meno che non si configuri un tempo di vita.
Gli indirizzi UNICAST sono appresi automaticamente oppure caricati in maniera statica dalla
CPU.
Gli indirizzi MULTICAST non possono essere appresi automaticamente, solo la CPU può
inserirli nella tabella della ATU (vedi IGMP).
Ingress Policy
L’Ingress Policy modifica il normale flusso di un pacchetto all’interno dello switch. Tutte le
porte hanno le stesse funzionalità. Il pacchetto viene analizzato più in profondità per svolgere
QoS nel modulo Queue Controller. Inoltre il traffico può essere bloccato in ingresso o in
uscita in base al meccanismo delle VLAN (per porta o 802.1q).
Classificazione QoS
L’Ingress Policy non esegue operazioni di QoS, bensì determina la priorità di ciascuna frame
per il Queue Controller. La priorità della frame può essere determinata, nell’ordine, da:
VLAN
Il termine VLAN (Virtual LAN) indica un insieme di tecnologie che permettono di segmentare
il dominio di broadcast, che si crea in una rete locale (tipicamente IEEE 802.3) basata su
switch, in più reti non comunicanti tra loro. Questa tecnologia è stata standardizzata come
IEEE 802.1q. Il protocollo definisce un header di 4 bytes aggiuntivi da inserire a livello 2 di un
pacchetto che viaggia su reti Ethernet (vedi figura sotto riportata).
Le interfacce di rete compatibili con lo standard sono in grado di interpretare correttamente i
bytes aggiuntivi e di separare logicamente traffici di diverso tipo 802.1q che viaggiano su un
medesimo mezzo fisico.
7 bytes 1 6 6 4 2 42-1496 4 4
SFD
Preambolo MAC Dest. MAC Sorg. 802.1q len/ DATA Pad Checksum
type
alto disponibile (normalmente 4095). Il VID della VLAN di default può essere
modificato con il comando “VLAN VLDEFAULT ID <vid>”.
VLAN 802.1q
Se è in uso il protocollo IEEE 802.1q ogni frame che arriva contiene un VID compreso
tra 1 e 4095 che serve a selezionare la VLAN di appartenenza. Il VID 0 è disponibile
per le frame di cui non si vuol impostare un VID particolare ma se ne vuol comunque
impostare la priorità.
Esistono vari tipi di controllo sul VID che servono a permettere o meno l’ingresso della
frame nello switch.
Il VID può essere soprascritto in uscita dallo switch con quello di default della porta,
per questioni di sicurezza.
Modalità FALLBACK
Tutte le frame possono entrare. Se il VID è presente nella VTU (VLAN Translation
Unit) il pacchetto uscirà dalle porte presenti nella VTU, altrimenti da tutte le porte
appartenenti alla VLAN della porta di ingresso, come per la modalità DISABLED.
Modalità CHECK
Da una porta appartenente a VLAN possono entrare solo le frame con un VID noto
alla VTU. Da una porta non configurata possono entrare tutte le frame. La frame è
accodata verso tutte le porte appartenenti al gruppo di quella d’ingresso.
Modalità SECURE
Da una porta appartenente a VLAN possono entrare solo le frame con un VID noto
alla VTU. Da una porta non configurata NON può entrare alcuna frame.La frame è
accodata verso tutte le porte appartenenti al gruppo di quella di ingresso.
IGMP
Una frame con MAC multicast è normalmente replicata su tutte le porte selezionate
dall’Ingress Policy. In alcuni casi si può voler limitare questo tipo di comportamento
sfruttando il protocollo di routing multicast IGMP. Quando questo modulo è configurato,
sull’apparato tutte le frame multicast di controllo in arrivo da una porta sono inviate
unicamente alla CPU. Conseguentemente la CPU comanderà allo switch su quali porte
replicare, da quel momento in poi, le frame dirette a un certo indirizzo multicast.
tutte le frame
solo multicast e unicast flooded (broadcast compresi)
solo multicast (broadcast compresi)
solo broadcast
I pacchetti unicast flooded sono pacchetti unicast replicati su tutte le porte, quando la tabella
ATU non contiene ancora il MAC destinatario.
Ci sono sette livelli possibili di limitazione da 128 kbps a 8 Mbps. Ci sono 4 code possibili.
Ogni coda può gestire traffico pari a quella a successiva di priorità inferiore o il doppio di
essa, quindi la coda a priorità più alta può gestire fino a 64 Mbps.
La limitazione del traffico in ingresso non è raccomandata per il traffico TCP/IP. Sono tuttavia
supportate le modalità di prevenzione da attacchi DoS (UDP limiting e storm prevention).
Queue Controller
Lo switch dispone di un avanzato sistema di controllo delle code ai fini della QoS
caratterizzato da:
gestione della latenza della frame: ogni frame ad alta priorità è sempre la prossima ad
uscire da una porta quando altre frame di priorità più bassa stanno in coda
indipendenza della porte: ogni porta congestionata non danneggia il traffico sulle altre
porte
algoritmo di scheduling: esistono due algoritmi (selezionabili globalmente, non per
porta). Lo STRICT PRIORITY inoltra solo le frame a priorità più alta, finché ce ne
sono. Il FAIR QUEUEING inoltra frame di tutte le priorità, favorendo quelle più
importanti con i pesi 8-4-2-1
Egress Policy
L’Egress Policy modifica le frame prima che escano dalla porta.
TAG 802.1q
La frame può uscire con tag 802.1q oppure no, secondo le seguenti modalità.
FALLBACK
Se il VID assegnato dall’Ingress Policy è nella VTU, il tag di uscita è quello configurato per la
data VLAN, sulla porta di uscita. Se il VID non appartiene alla VTU, il tipo di tag in uscita è
quello selezionato di default per la porta di uscita.
Il VID può essere soprascritto in uscita dallo switch con quello di default della porta, per
questioni di sicurezza (vedi paragrafo 28.3.2.3 il secondo punto: VLAN 802.1q).
SECURE o CHECK
Il TAG di uscita è quello configurato per la data VLAN sulla porta di uscita.
Il VID può essere soprascritto in uscita dallo switch con quello di default della porta, per
questioni di sicurezza (vedi paragrafo 28.3.2.3 il secondo punto: VLAN 802.1q).
ID
Questo comando serve per assegnare o modificare il VLAN ID di una VLAN.
Sintassi Stato
VLAN <Ifc/Vlan Name> ID <IEEE 802.1Q Vlan Id (1 - 4095)> CONFIG,
CONFIG RUN
RELEASE
IS
Questo comando serve per configurare le porte appartenenti alla VLAN per porta.
Sintassi Stato
VLAN <Ifc/Vlan Name> IS <port1,...,portN> CONFIG,
CONFIG RUN
RELEASE
PORT
Serve per impostare il comportamento riguardo al tag 802.1q in ingresso e riguardo alla
velocità della porta.
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> SET <IEEE 802.1Q MODE CONFIG,
(DISABLED/FALLBACK/CHECK/SECURE)> [{HALF10 | HALF100 | CONFIG RUN
FULL10 | FULL100}] [NAN] RELEASE
SET
Questo comando, come il precedente ‘IS’, permette di configurare le porte appartenenti alla
VLAN per porta. L’impiego di tale comando è subordinato alla presenza in configurazione del
comando precedentemente introdotto (vlan switch port <port number> set [<ieee 802.1q mode (disabled/ fallback
/check/ secure)>])
Sintassi Stato
VLAN <Ifc/Vlan Name> SET <TAG/UNTAG/UNMOD> <port1,...,portN> CONFIG,
CONFIG RUN
RELEASE
MAC TIMEOUT
Serve per impostare il tempo di vita delle entries dinamiche della tabella ATU che associa i
MAC alle porte dello switch.
Sintassi Stato
VLAN SWITCH SET MAC TIMEOUT <timeout(sec)> CONFIG,
CONFIG RUN
RELEASE
Gaia 4.3.1p3
<Comando> [OPZIONE]: DESCRIZIONE
<TimeOut(sec)>: intervallo di tempo in secondi.
Esempio
(Config) >vlan switch set mac timeout 16
Serve per disabilitare la classificazione QoS in ingresso in base a uno dei campi
TOS/DSCP/Traffic Class.
Sintassi Stato
VLAN SWITCH PORT <port number> DSCP MAP DISABLE CONFIG,
CONFIG RUN
RELEASE
Gaia 4.3.1p3
<Comando> [OPZIONE]: DESCRIZIONE
<port number>: numero che identifica la porta su cui abilitare/disabilitare la
modalità IEEE802.1Q o su cui variare la velocità
Esempio
(Config) > Vlan switch port 1 dscp map disable
Valori di default
ENABLED
Osservazioni
Per disattivare qualunque classificazione QoS in ingresso va inserito sia questo comando
che l’analogo relativo al CoS.
VLAN SWITCH PORT
Serve per disabilitare la classificazione QoS in ingresso in base al campo CoS dell’header
IEEE 802.1q.
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> COS MAP DISABLE CONFIG,
CONFIG RUN
RELEASE
Gaia 4.3.1p3
<Comando> [OPZIONE]: DESCRIZIONE
<port number>: numero che identifica la porta su cui abilitare/disabilitare la modalità
IEEE802.1Q o su cui variare la velocità
Esempio
(Config) > Vlan switch port 1 cos map disable
Valori di default
ENABLED
Osservazioni
Per disattivare qualunque classificazione QoS in ingresso va inserito sia questo comando
che l’analogo relativo al DSCP.
Nell’eventualità che siano abilitate sia la classificazione in base al DSCP che al CoS, con
questo commando si dà priorità alla classificazione in base al DSCP
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> DSCP MAP RULES CONFIG,
CONFIG RUN
RELEASE
Gaia 4.3.1p3
<Comando> [OPZIONE]: DESCRIZIONE
<port number>: numero che identifica la porta su cui abilitare/disabilitare la modalità
IEEE802.1Q o su cui variare la velocità
Esempio
(Config) > Vlan switch port 1 dscp map rules
Valori di default
Di default, se sono abilitate entrambe le classificazioni, predomina quella in base al CoS.
Osservazioni
Interazione con il comando: VLAN SWITCH PORT <port number> DEFAULT TRAFFIC-
CLASS <BEST|GOOD|NORMAL|WORST or numeric range 15 (best) - 0 (worst)> per
scegliere il CoS di un pacchetto che deve avere il tag 802.1q in uscita.
Serve per impostare la coda in cui vengono inviate di default tutte le frame entranti in questa
porta se non è possibile applicare nessuno degli altri criteri descritti nel paragrafo 28.3.2.1.
La coda può essere scelta in base a due tipi di ordinamenti: in base a 4 classi (Best–migliore,
Good, Normal, Worst–peggiore) o numerico (15,migliore – 0,peggiore).
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> DEFAULT TRAFFIC-CLASS CONFIG,
<BEST | GOOD | NORMAL |WORST OR NUMERIC RANGE 15 (BEST) - CONFIG RUN
0 (WORST)> RELEASE
Gaia 4.3.1p3
<Comando> [OPZIONE]: DESCRIZIONE
<port number>: numero che identifica la porta su cui abilitare/disabilitare la modalità
IEEE802.1Q o su cui variare la velocità
Esempio
(Config) > vlan switch port 1 default traffic-class best
Valori di default
Coda di default peggiore, ovvero TC = 0.
Osservazioni
I chip degli attuali switch supportano 4 code di traffico (TC, Traffic Class): da 3, la migliore,
fino alla 0, la peggiore.
Tuttavia il comando è indipendente da questa caratteristica intrinseca del chip e permette di
essere flessibile verso ogni futuro chip, adattando automaticamente la classe scelta con il
comando a quella opportuna presente effettivamente nel chip.
Serve per impostare il comportamento riguardo al tag 802.1q da applicare di default per tutte
le frame in uscita da una certa porta (vedi paragrafo 28.3.4.1).
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> EGRESS MODE <DEFAULT CONFIG,
EGRESS MODE (UNMOD | TAG| UNTAG | ADD)> CONFIG RUN
RELEASE
Gaia 4.3.1p3
Esempio
(Config) > vlan switch port 1 egress mode tag
Valori di default
UNTAG.
Osservazioni
Relazioni con altri comandi
Questo comando ha effetto solo in assenza di comandi più specifici per VLAN.
Serve per forzare il VID che avrà una frame quando uscirà dallo switch con tag 802.1q. Sarà
applicato il VID di default della porta d’ingresso. Il comportamento, benché riferito all’uscita,
va configurato sulla porta da quale entra la frame.
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> FORCE VID CONFIG,
CONFIG RUN
RELEASE
Gaia 4.3.1p3
Esempio
(Config) > vlan switch port 1 force vid
Valori di default
DISABLED.
Osservazioni
Questa è una caratteristica di sicurezza usata per ignorare il VID di una frame che entra da
una certa porta dove accedono host considerati inaffidabili. Per questo va configurato sulla
porta di ingresso, indipendentemente da quella/e sulla/e quale/i uscirà. Questo comando è
utile soprattutto nei casi dove le frame in ingresso escono da molte più porte di quello che si
vorrebbe, in virtù del VID assegnato nel momento della creazione della frame.
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> SCHEDULE MODE <STRICT CONFIG,
PRIORITY (STRICT) | FAIR QUEUING (FAIR)> CONFIG RUN
RELEASE
Gaia 4.3.1p3
Esempio
(Config) > vlan switch port 1 schedule mode strict
Valori di default
FAIR.
Osservazioni
Il comando viene dato su base porta. Tuttavia i chip attualmente presenti negli apparati
supportano una configurazione globale, quindi la configurazione di una porta si riflette su
tutte le altre. Il comando viene lasciato su base porta per flessibilità verso future
implementazioni di chip che abbiano l’algoritmo di scheduling configurabile su base porta.
Serve per impostare i valori della tabella che associa la priorità di una frame di tipo IPv4 o
IPv6 a una delle code dello switch.
Sintassi Stato
VLAN SWITCH MAP DSCP <DIFFSERV CODE POINT (0-63)> TRAFFIC- CONFIG,
CLASS <BEST | GOOD | NORMAL |WORST OR NUMERIC RANGE 15 CONFIG RUN
(BEST) - 0 (WORST)> RELEASE
Gaia 4.3.1p3
Esempio
(Config) > vlan switch map dscp 1 traffic-class best
Valori di default
DCSP 0-15->TC 0, DCSP 16-31->TC 1, DCSP 32-47->TC 2, DCSP 48-64->TC 3.
Osservazioni
Questa mappatura ha effetto solo se è attiva la selezione in base al TOS/DSCP/Traffic
Class.
Serve per impostare i valori della tabella che associa la priorità di una frame Ethernet con tag
802.1q a una delle code dello switch.
Sintassi Stato
VLAN SWITCH MAP COS <802.1Q PRIORITY (0-7)> TRAFFIC-CLASS CONFIG,
<BEST | GOOD | NORMAL |WORST OR NUMERIC RANGE 15 (BEST) - CONFIG RUN
0 (WORST)> RELEASE
Gaia 4.3.1p3
Esempio
(Config) > vlan switch map cos 1 traffic-class best
Valori di default
CoS 1,2->TC 0, CoS 0,3->TC 1, CoS 4,5->TC 2, CoS 6,7->TC 3
Osservazioni
Questa mappatura ha effetto solo se è attiva la selezione in base al CoS.
Serve per impostare il valore del bit meno significativo (LSB, Least Significant Bit) del campo
CoS.
Sintassi Stato
VLAN SWITCH PORT <PORT NUMBER> COS LSB <802.1P LEAST CONFIG,
SIGNIFICANT BIT)> CONFIG RUN
RELEASE
Gaia 4.3.1p3
Esempio
(Config) > vlan switch port 1 cos lsb 1
Valori di default
LSB = 0.
Osservazioni
In un pacchetto che entra senza tag ed esce con tag, lo switch deve necessariamente
scrivere un valore nel campo CoS dell’header 802.1q. Dei 3 bit di questo campo, i primi 2
sono presi dal valore impostato per la coda di default e l’ultimo è preso da questo comando
di configurazione. Ci sono quattro code e quindi i bit sono: coda 0->00, coda 1->01, coda 2-
>10, coda 3->11.
30 MODULI DRIVER
La rete ISDN mette a disposizione dei canali trasmissivi di dati e voce distinti in:
accesso Base (BRI Basic Rate Interface)
costituito da due canali a 64 kb/s detti canali B (Bearer Channel) per la comunicazione di
voce e dati e da un canale di servizio detto canale D (Data Channel) a 16kb/s.
accesso Primario (PRI Primary Rate Interface)
La scheda di espansione 4xWAN si colloca sugli apparati SAS su cui sono presenti i
connettori PCI (es. SAS-750, SAS860EN) e fornisce tutte le funzionalità proprie delle
interfacce seriali presenti sugli apparati della famiglia SAS.
La scheda MultiLayer Switch, nota anche con il nome di modulo Glink, è un’espansione per
SAS-750 e SAS-1000 equipaggiata con 8 porte lan 10/100 e un acceleratore hardware per le
funzionalità di switch di livello 2 e router IP.
Abilita la uart solo a seguito della ricezione della sequenza di escape crtl-break, la stessa
sequenza abilita e disabilita la funzione di console.Funziona solo sulla serie 200 900 500
Sintassi Stato
DISABLE UART RX CONFIG,
RELEASE
Esempio
(CONFIG)> Disabile uart rx
COMANDI SIP
N.B. L’HELP dei comandi VoIP va digitato con la seguente sintassi e comprende tutti i
comandi che si possono impartire da quello stato.
GATEWAY PRI
CONFIGURAZIONE
Il gateway primario può essere installato su apparati SAS 900, 860 EN+ e 1000. La
configurazione del voip dipende dallo slot su cui viene alloggiata la scheda e deve essere
sempre associato ad un altra interfaccia configurata. Su una stessa scheda Voip possono
essere installati sia il gateway pri che il modulo Call Manager singolarmente o
contemporaneamente, per questo motivo la configurazione varia a seconda del tipo di
installazione:
L’ aggiornamento del software deve essere fatto via TFTP tramite il comando:
voipM load tftp pkg <indirizzo ip del server TFTP> <nome del sw>.
ES:
VoipM/1 load tftp pkg x.x.x.x gtw.pkg
Comandi SIP
Per prima cosa si deve definire la porta sip utilizzata dal gateway.
Sintassi Stato
VoipM load sipport {1024…1900 2100…49000} CONFIG,
RELEASE
Esempio
(CONFIG) >Voip1 load siport 5060
Il comando che segue consente di definire il range di porte rtp utilizzato dal gateway quando
viene aperto il flusso audio. Tale range deve essere obbligatoriamente un valore dispari in
quanto per ogni flusso audio vengono aperte due porte, la prima rtp e la seconda rtcp.
Sintassi Stato
VoipM load rtprangeport {1024…1900 2100…49000 - 1024…1900 CONFIG
2100…49000 } RELEASE
Esempio
(CONFIG) >Voip1 load rtprangeport 8000-8999
Il comando che segue permette di definire uno o più proxy server dove vengono instradate
(se non specificato nella dialplan) tutte le chiamate lato sip.
Sintassi Stato
VoipM load proxyserveraddr {1....5} <indirizzo ip del server> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load proxyserveraddr 1 x.x.x.x
Esempio
(CONFIG) >Voip1 load proxyserverport 1 5060
Il comando che segue permette di utilizzare i proxy successivi al primo configurati come
proxy di buckup nel caso in cui questo non risponda.
Sintassi Stato
VoipM load trybackupproxy {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load trybackupproxy yes
Sintassi Stato
VoipM load backupproxyvalidresponse {101…199} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load backupproxyvalidresponse 180
Il comando che segue è sempre legato ai comandi precedenti e permette di definire il tempo,
in secondi, di attesa della risposta configurata nel backupproxyvalidresponse prima di inviare
il pacchetto sip di INVITE al proxy successivo.
Sintassi Stato
VoipM load backupproxytimeout {0…} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load backupproxytimeout 5
Il comando che segue forza il gateway ad accettare Invite provenienti soltanto dai proxy
configurati e scartare tutte le altre richieste.
Sintassi Stato
VoipM load acceptnoproxyinvite {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load acceptnoproxyinvite no
Il comando che segue permette di inserire nel campo from dei pacchetti SIP il valore
specificato nel comando localuser.
Sintassi Stato
VoipM load fromuseraspstncaller {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load fromuseraspstncaller yes
Il comando che segue permette di definire cosa inserire nel campo from dei pacchetti SIP
quando il valore del comando fromuseraspstncaller è no.
Sintassi Stato
VoipM load localuser {alphanumeric string} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load localuser amtec
Sintassi Stato
VoipM load sipcompactform {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipcompactform yes
Il comando che segue attiva (yes) o disattiva (no) la funzionalità che permette di inserire il
campo sdp nell’INVITE trasmesso dal gateway.
Sintassi Stato
VoipM load sipsdpinvite {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipsdpinvite no
Il comando che segue permette di trasmettere il messaggio di risposta 200 ok, dopo aver
inviato una provisional response, con o senza sdp.
Sintassi Stato
VoipM load sipsdp200ok {always|ifneeded} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipsdp200ok no
Il comando che segue permette di settare il valore del tos per i paccheti sip.
Sintassi Stato
VoipM load siptos {0…255(0x0…0xff)} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipstos 0x10
Il comando che segue permette di settare il tempo di attesa, prima di abbattere la chiamata
con un 480 Temporary Unavaible, dopo l’invio del messaggio di ringing se in tale tempo non
è stata ricevuta nessuna richiesta di apertura del canale Isdn.
Sintassi Stato
VoipM load sipringingtimeout {1…} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipringingtimeout 10
Il comando che segue permette di settare il campo from del pacchetto sip uguale ad
Anonymous o ***** se il presentation della chiamata proveniente da Isdn è Restricted.
Questo comando ha effetto soltanto se il sipcustomerclihandling è disabilitato (VoipM load
sipcustomerclicallerhandling no) ed il fromuseraspstncaller è abilitato (VoipM load
fromuseraspstncaller yes).
Sintassi Stato
VoipM load siprestrictioncallername {anonymous| *****} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load siprestrictedcallername *****
Il comando che segue permette di definire delle regole per il riempimento del campo from
dell’ invite a seconda delle informazioni contenute nel calling party number del messaggio
setup proveniente dall’isdn.
8 7 6 5 4 3 2 1
Calling Party Number
0 1 1 0 1 1 0 0
Information Element Identifier
Length of Calling Party Number Contents
0/1 Type of Number Numbering Plan Identification
ext
1 Presentation 0 0 0 Screening Indicator
ext Indicator Spare
0 Number digits
(IA5 characters)
Bits
7 6
0 0 presentation allowed
0 1 presentation restricted
1 0 number not available due ot interworking
1 1 reserved
Sintassi Stato
VoipM load sipcustomerclicallerhandling {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipcustomerclicallerhandling yes
Il comando che segue permette di definire delle regole per il riempimento del campo calling
party number del setup a seconda delle informazioni contenute nel from del messaggio di
Invite proveniente da sip.
Sintassi Stato
VoipM load sipcustomerclicalledhandling {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipcustomerclicalledhandling yes
Il comando che segue permette di settare sul pacchetto di invite (expires) il tempo di attesa
della risposta (100 Tryining, 180 Ringing) prima di abbattere la chiamata con un messaggio
di cancel.
Sintassi Stato
VoipM load sipexpiresheader {0…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipexpiresheader 15
Il comando che segue permette di abilitare la compatibilità descritta nella rfc 2543 con tutti i
sistemi che utilizzano IN P4 0.0.0.0 nel connection information per mettere in hold un utente.
In ricezione viene accettato sia l’IN P4 0.0.0.0 che il send only il comando descritto invece
agisce solo in trasmissione.
Sintassi Stato
VoipM load holdbackwardcompability {on|off} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load callednumbercheck isdn2 length_check
Il comando che segue permette di inserire nel pacchetto di invite trasmesso dal gateway la
funzionalità 100rel come supported o come required. ES:
Gateway PRI/FXS
Proxy
INVITE (Supported 100Rel)
100 Trying
PRACK
200 OK
200 OK
ACK
Sintassi Stato
VoipM load 100reluac {supported|required|unsupported} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load 100reluac required
Il comando che segue permette di configurare come il gateway si deve comportare quando
riceve nel messaggio di invite un supported o un required 100rel.
Sintassi Stato
VoipM load 100reluas {supported|required} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load 100reluas supported
Esempio
(CONFIG) >Voip1 load sessiontimer enable
Il comado che segue permette di definire il tempo (ogni quanti secondi deve essere inviato il
reinvite) inserito nel campo Session-Expires nel massaggio di Invite quando la funzionalità di
keep-alive definita precedentemente è abilitata.
Sintassi Stato
VoipM load sessiontimersevalue {90…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sessiontimersevalue 1800
Il comando che segue permette di settare il Round-Trip Time (RTT) definito nella RFC 3261
per le transactions client - server.
T1
INVITE
2T1
INVITE
4T1
INVITE
.
.
.
INVITE
64T1
INVITE
Sintassi Stato
VoipM/1 load retransmissiont1 {500…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load retransmissiont1 700
Il comando che segue permette di definire il massimo intervallo di tempo per la ritrasmissione
di richieste non-INVITE e risposte ad INVITE (Rfc 3261).
Sintassi Stato
VoipM/1 load retransmissiont2 {4000…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load retransmissiont2 5000
Il comando che segue permette di impostare il tempo massimo che un messaggio può
rimanere nella rete (Rfc 3261).
Sintassi Stato
VoipM/1 load retransmissiont4 {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load retransmissiont4 100
Sintassi Stato
VoipM/1 load generallingertimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load generallingertimer yes
Il comando che segue permette di settare il tempo in ms entro il quale è possibile inviare
ritrasmissioni di messaggi di ack quando si riceve ritrasmissioni di pacchetti di risposta ad un
invite.
Sintassi Stato
VoipM/1 load invitelingertimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load txdcoffsetremoval yes
Il comando che segue permette di settare il tempo di attesa del pacchetto di 200 ok dopo
aver ricevuto un provisional response.
Sintassi Stato
VoipM/1 load provisionaltimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load provisionaltimer 5
Il comando che segue permette di settare il tempo di attesa di una risposta ad una qualsiasi
richiesta prima di chiudere la chiamata.
Sintassi Stato
VoipM/1 load generalrequesttimeout {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load generalrequesttimeout 10
Sintassi Stato
VoipM/1 load sessionexpiretimeout {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load sessionexpiretimeout 10
Il comando che segue permette di impostare il tempo di attesa prima di inviare un messaggio
di CANCEL se non si riceve risposta ad invio di una richiesta generica.
Sintassi Stato
VoipM/1 load cancelgeneralnoresponsetimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load cancelgeneralnoresponsetimer 31000
Il comando che segue permette di impostare il tempo di attesa prima di inviare un messaggio
di CANCEL se non si riceve risposta ad invio di una richiesta di Invite.
Sintassi Stato
VoipM/1 load cancelinvitenoresponsetimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load cancelinvitenoresponsetimer 31000
Sintassi Stato
VoipM load registrationenable {on|off} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationenable on
Sintassi Stato
VoipM load registrationserveraddress <indirizzo ip del server> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationserveraddress x.x.x.x
Sintassi Stato
VoipM load registrationserverport {1…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationserverport 5060
Il comando che segue permette di definire uno o più utenti SIP che andranno a registrarsi sul
server.
Sintassi Stato
VoipM load registrationusername {1...}{alphanumeric string} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationusername 1 1000
Il comando che segue permette di configurare la password associata all’utente nel caso si
utilizzi sul registrar la funzionalità di autenticazione.
Sintassi Stato
VoipM load registrationuserpassword {1...}{alphanumeric string} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationuserpassword 1 123
Il comando che segue permette di settare ogni quanti secondi gli utenti devono registrarsi
(expire time) quando sono nello stato di registered.
Sintassi Stato
VoipM load registrationexpirestimer {60..86400} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationexpirestimer 320
Sintassi Stato
VoipM load registrationexpirerefresh {0..99} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationexpirerefresh 70
Esempio
(CONFIG) >Voip1 load registrationtimeout 500
Il comando che segue permette di impostrare il tempo di attesa per il prossimo tentativo di
registrazione. Il tempo è un numero random ottenuto dal range configurato.
Viene utilizzato nei seguenti casi:
a-nessuna risposta dal server alla richiesta di registrazione
b-tentativo di autenticazione fallito
c-light registration fallito
d-light autentication fallito
Sintassi Stato
VoipM load registrationrangesleeptime {100..10000}-{100..10000} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationrangesleeptime 200 - 400
Il comando che segue permette di inserire il numero massimo di utenti che è possibile
registrare.
Sintassi Stato
VoipM load registrationmaxregclients {1…200} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationmaxregclients 120
Il comando che segue permette abilitare la funzionalità di multicontact per utilizzare una sola
registrazione per tutti gli utenti inseriti riempiendo il campo contact con tutti gli user
configurati.
Sintassi Stato
VoipM load registrationmulticontact {on|off} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationmulticontact on
Esempio
(CONFIG) >Voip1 load subscribeenable on
Il comando che segue permette di configurare l’indirizzo ip del server (Message Center) al
quale inviare i messaggi di subscribe.
Sintassi Stato
VoipM load subscribeserveraddress <indirizzo ip> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscribeserveraddress x.x.x.x
Esempio
(CONFIG) >Voip1 load subscribeseverport 1000
Il comando che segue permette di inserire nel messaggio di subscribe il tempo di expires per
la ritrasmissione di tali pacchetti.
Sintassi Stato
VoipM load subscribeexpirestimer {0…} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscribeexpirestimer 3600
Il comando che segue permette di settare la percentuale sul valore del subscribeexpiretimer.
Quindi può essere definito il tempo di attesa prima di inviare nuovamente il subscribe
calcolato sulla percentuale del valore inserito nel comando precedente.
Sintassi Stato
VoipM load subscriberefreshpercent {0...100} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscriberefreshpercent 90
Il comando che segue permette di impostrare il tempo di attesa per il prossimo tentativo di di
invio di subscribe. Il tempo è un numero random ottenuto dal range configurato. Vengono
adottate le stesse politiche del registrationsleeptime.
Sintassi Stato
VoipM load subscribesleeptime {0…65535}-{0…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscribesleeptime 300-800
Comandi GTW
Il comando che segue permette di definire in ordine di priorità le codifiche che il gateway può
utilizzare durante la chiamata.
Sintassi Stato
VoipM load rtpcodec {1...8}{none|g7{11{u|a}|26- CONFIG, CONFIG RUN
{32|16|24|40}|23.1-{5|6}|29}} RELEASE
Esempio
(CONFIG) >Voip1 load rtpcodec 1 G711u/30
Nella seguente tabella vengono elencate le possibili codifiche che si possono configurare e
le relative caratteristiche di trasmissione.
G.726 20ms 8 KHz 60B 45, 6Kb/s 61,6 Kb/s 114B 154B
bitRate=24Kb/s 3
bit/sample
24 Kb/sec
G.726 30ms 8 KHz 90B 38,4Kb/s 49,3Kb/s 144B 185B
bitRate=24Kb/s 3
bit/sample
24 Kb/sec
G.726 10ms 8 KHz 40B 75,2Kb/s 104Kb/s 94B 130B
bitRate=32Kb/s 4
bit/sample
32 Kb/sec
G.726 20ms 8 KHz 80B 53,6Kb/s 71,2 Kb/s 134B 178B
bitRate=32Kb/s 4
bit/sample
32 Kb/sec
G.726 30ms 8 KHz 120B 46,4Kb/s 56kb/s 174B 210B
bitRate=32Kb/s 4
bit/sample
32 Kb/sec
G.726 10ms 8 KHz 50B 83,2Kb/s 116Kb/s 104B 145B
bitRate=40Kb/s 5
bit/sample
40 Kb/sec
G.726 20ms 8 KHz 100B 61,6Kb/s 77,6 Kb/s 154B 194B
bitRate=40Kb/s 5
bit/sample
40 Kb/sec
G.726 30ms 8 KHz 150B 54,4Kb/s 65,5Kb/s 204B 242B
bitRate=40Kb/s 5
bit/sample
40 Kb/sec
Con il comando che segue è possibile definire le regole di instradamento delle chiamate.I
parametri da configurare sono i seguenti:
Order {1...}: viene definita la priorità associata alla dialplan (valore più basso priorità
maggiore).
In: in questa sezione vengono definiti i requisiti che una chiamata deve soddisfare per
essere associata a tale entry. I parametri configurabili sono:
protocol if:sip|isdn{1|2}: interfaccia di ingresso della chiamata (sip o isdn);
caller identifier idc: identificativo del chiamante. Il valore (.*) equivale a chiunque sia
il chiamante (regular expression);
callee identifier id: identificativo del chiamato. Il valore (.*) equivale a chiunque sia il
chiamato (regular expression);
time planning hh: consente di specificare quando la pianificazione specificata è
valida. Sono possibili due modalità di configurazione:
daily: la pianificazione è valida in tutti i giorni impostati nell’intervallo orario
specificato;
weekly: la pianificazione è valida a partire dall’ora del giorno specificati nel
campo “from” fino all’ora del giorno specificati nel campo “to”;
Out: in questa sezione viene stabilito come e dove la chiamata definita in In viene instradata.
I parametri configurabili sono:
priority: priorità di ogni singolo out;
protocol if:sip|isdn{1|2}: protocollo di uscita. Se il protocollo di ingresso è il sip quello
di uscita può essere solo isdn e viceversa;
Proxy (opzionale):consente di specificare (solamente quando il protocollo di uscita è il
sip) l’indirizzo ip e la porta del proxy verso cui instradare la chiamata;Questa opzione
se inserita sovrascrive il comando proxyserveripaddress;
caller idc: identificativo del chiamante. Se si inserisce (1) equivale a dire che il
numero del chiamante non deve essere modificato;
callee id: identificativo del chiamato. Se si inserisce (1) equivale a dire che il numero
del chiamato non deve essere modificato;
Naturalmente ad ogni In devono essere associati uno o più Out per rendere la dialplan
attiva.
Sintassi Stato
VoipM load dialplan {1...} CONFIG, CONFIG RUN
[out:{1...}],if:{sip|isdn{1…4}},idc:{reg_exp},id: {reg_exp}} RELEASE
Esempio
(CONFIG) >Voip1 load dialplan 1 if:sip,idc:(.*),id:(.*),hh:13:00/mon-14:00/tue
(CONFIG) >Voip1 load dialplan 1 out:1,if:isdn1,idc:(1),id:(1)
Il comando che segue può essere configurato se si desidera definire dei gruppi di interfacce
isdn che possono essere associati ad una o più dialplan.
Sintassi Stato
VoipM load group {1...} isdn{1…2}[isdn{1…2}] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load group 1 isdn2,isdn1
(CONFIG) >Voip1 load dialplan 1 if:sip,idc:(.*),id:(.*)
(CONFIG) >Voip1 load dialplan 1 out:1,if:group1,idc:(1),id:(1)
Il comando che segue viene utilizzato nel caso in cui si voglia ridondare il gateway
utilizzando il Vrrp di gaia. Esiste la possibilità di attivare il tracking sull’interfaccia isdn del
gateway, in questo caso quando uno dei due canali isdn o entrambi sono down l’interfaccia
di gaia configurata in vrrp (e legata con il track al gateway) viene messa nello stato di
Initialize oppure viene decrementata la priorità.
Sintassi Stato
VoipM load track isdn{1|2} [isdn{1|2}] {and|or} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load track isdn1 isdn2 and
Il comando che segue permette di definire il numero massimo di chiamate supportate dal
gateway. Una volta raggiunto tale valore tutte le chiamate successive vengono rifiutate.
Sintassi Stato
VoipM load maxcallnumber {1…} CONFIG, CONFIG
RUN
RELEASE
Esempio
(CONFIG) >Voip1 load maxcallnumber 3
Il comando che segue permette di definire il numero massimo di chiamate contenute nella
history, visualizzabili tramite il comando dump voipM history.
Sintassi Stato
VoipM load maxcallhistory {1…} CONFIG, CONFIG
RUN
RELEASE
Esempio
(CONFIG) >Voip1 load maxcallhistory 15
Comandi ISDN
Il comando che segue permette di definire l'INTER DIGIT DELAY cioè l'intervallo di tempo
entro cui deve arrivare la cifra successiva quando si sta componendo il numero da chiamare.
Sintassi Stato
VoipM load timeout {ISDN{1|2}{0…10 sec} CONFIG
RELEASE
Esempio
(CONFIG) >VoipM load timeout isdn1 3
Il comando che segue definisce se il canale isdn del gateway funziona da Network (NT) o da
Terminal (TE).
Sintassi Stato
VoipM load networkterminator isdn{1|2} {yes|no} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load networkterminator isdn2 yes
Il comando che segue definisce il tipo di protocollo utilizzato (etsi o qsig) dal canale isdn.
Sintassi Stato
VoipM/1 load networktype isdn{1|2} {qsig|etsi} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load networktype isdn1 qsig
Il comando che segue definisce se sui canali isdn/fxs generare (yes) o meno (no) il ring tone.
Sintassi Stato
VoipM load ringtonegeneration isdn{1|2} {auto|yes|no} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load ringtonegeneration isdn1 auto
Il comando che segue permette di impostare manualmente o lasciare automatico il valore del
Terminal Endpoint Identifier.
Sintassi Stato
VoipM load tei isdn{1|2} {0...63|auto} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load tei isdn2 auto
Il comando che segue permette di stabilire un range di numeri che possono essere chiamati.
Le chiamate verso isdn devono avere come destinazione un numero compreso nel range
configurato altrimenti vengono rifiutate.
Sintassi Stato
VoipM load phoneusers isdn{1|2}{first number-last number} CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load phoneusers isdn2 781222-781333
Comandi RTP
Il comando che segue permette di abilitare o disabilitare l’effetto eco sulla cornetta.
Sintassi Stato
VoipM load echoopmode {normal|disable} CONFIG, CONFIG
RUN
RELEASE
Esempio
(CONFIG) >Voip1 load echoopmode normal
Il comando che segue permette di definire come verranno trasmessi dal gateway i toni dtmf.
Le possibili opzioni sono:
Sintassi Stato
VoipM load dtmftxrelay {none|rfc2833|sip-info|in-band|rfc2833/in- CONFIG, CONFIG RUN
band|sip-info/in-band} RELEASE
Esempio
(CONFIG) >Voip1 load dtmftxrelay rfc2833/in-band
Il comando che segue permette di modificare il valore del payload nel caso in cui la
trasmissione dei toni dtmf avvenga tramite rfc2833.
Sintassi Stato
VoipM load txdtmfpayloadtype {96…127} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load txdtmfpayloadtype 101
Esempio
(CONFIG) >Voip1 load silencesuppression yes
Esempio
(CONFIG) >Voip1 load pdvmaxdelay 300
Sintassi Stato
VoipM/1 load txcnpkttype {white-energy|no-send|marker|spectral} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load txcnpkttype white-energy
Il comando seguente permette di modificare il valore del payload del comfort noise.
Sintassi Stato
VoipM/1 load txcnpayloadtype {0…127} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load txcnpayloadtype 13
Il comando seguente permette la marcatura con tale valore di TOS di tutti i pacchetti RTP
trasmessi dal gateway.
Sintassi Stato
VoipM/1 load rtptos {0…255}{0x0…0xff} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load rtptos 25
Il comando che segue permette di abilitare la funzionalità di frame loss concealment per la
ricostruzione della voce in caso di perdita di pacchetti o nel caso di pacchetti che arrivano in
ritardo.
Sintassi Stato
VoipM/1 load framelossconcealmentenable {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load framelossconcealmentenable yes
Sintassi Stato
VoipM/1 load pdvmaxdelay {0…500} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load pdvmaxdelay 300
Il comando che segue permette di settare il valore iniziale in ms del jitter buffer.
Sintassi Stato
VoipM/1 load pdvinitdelay {0…pdvmaxdelay-1} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load pdvinitdelay 200
Il comando che segue permette al buffer di adattarsi dinamicamente a seconda dei ritardi
con cui arrivano i pacchetti voce.
Sintassi Stato
VoipM/1 load pdvadaptiveenable {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load pdvadaptiveenable yes
Sintassi Stato
VoipM/1 load pdvnetworkdelay {0…} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load pdvnetworkdelay 100
Il comando che segue permette di definire il valore del guadagno ricevuto da isdn.
Sintassi Stato
VoipM/1 load rxlevctrlgain {-24…24} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load rxlevctrlgain -10
Il comando che segue permette di abilitare il controllo del guadagno di segnale ricevuto da
isdn.
Sintassi Stato
VoipM/1 load rxlevctrl {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load rxlevctrl yes
Il comando che segue permette di definire il valore di guadagno di segnale trasmesso a isdn.
Sintassi Stato
VoipM/1 load txlevctrlgain {-24…24} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load txlevctrlgain -10
Il comando che segue permette di abilitare il controllo del guadagno di segnale trasmesso a
isdn.
Sintassi Stato
VoipM/1 load txlevctrl {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load txlevctrl yes
Il comando che segue permette di ablitare o meno la rimozione offset della cc dal segnale in
ricezione da isdn.
Sintassi Stato
VoipM/1 load rxdcoffsetremoval {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load rxdcoffsetremoval yes
Il comando che segue permette di ablitare o meno la rimozione offset della cc dal segnale
trasmesso a isdn.
Sintassi Stato
VoipM/1 load txdcoffsetremoval {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load txdcoffsetremoval yes
Attivazione LOG
Sintassi Stato
VoipM/1 load log {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load log enable
Sintassi Stato
VoipM/1 load syslogserveripaddress <indirizzo ip del server> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load syslogseveripaddress x.x.x.x
Sintassi Stato
VoipM/1 load sysloglevel {0...255} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load sysloglevel 2
Il comando che segue permette di inserire la massima dimensione, in bytes, del file di log
prima di sovrascrivere i vecchi con i nuovi.
Sintassi Stato
VoipM/1 load logfilesize {100…1000000} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logfilesize 100000
Il comando che segue permette di ablitare la generazione dei log riguardanti il protocollo sip.
Sintassi Stato
VoipM/1 load logsip {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logsip enable
Il comando che segue permette di ablitare la generazione dei log riguardanti il protocollo rtp.
Sintassi Stato
VoipM/1 load logmediamng {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logmediamng enable
Sintassi Stato
VoipM/1 load logdebug {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logdebug enable
Il comando che segue permette di definire su quale modulo attivare i debug ed il livello.
Sintassi Stato
VoipM/1 load logdebugmodule CONFIG, CONFIG RUN
{gtw|sip|mediamng|cpld|registration} {0…255} RELEASE
Esempio
(CONFIG) >Voip1/1 load logdebugmodule sip 255
Dump
Utilizzando questo Dump è possible controllare il valore attuale dei comandi e quello che
assumeranno al prossimo reset (valore contenuto tra le parantesi).
Registration:
Reg Enable: ON
Multi Contact: OFF
Max Reg Clients: 100
Server: 192.168.1.108
Port: 5060
Expire: 3600 sec
TimeOut: 0 ms
Sleep Time: 600-900 sec
ExpireRefreshPercent: 98%
- status: viene visualizzato lo stato dei moduli che compongono il gateway PRI:
- transaction: viene visualizzato se ci sono transaction attive, quali sono gli utenti
coinvolti le codifiche utilizzate le porte e lo stato della chiamata (Answered,
Proceeding, Forwarded, Not answer, Refused, Accepted):
-----------------------------------
Transaction Descriptor #: 0001
Initiator ISDN:
Stream:0 Timeslot:1 Call in stream:3
Responder SIP:
From Host: 192.168.1.108 Port: 5060 User: 104
To Host: 192.168.1.108 Port: 5060 User: Anonymous
Call status:ANSWERED
RTP Parameter
Local:192.168.1.23:8000 Remote:192.168.1.33:11000
Codec #01: G729/8000 payload:18
-----------------------------------
Transaction Descriptor #: 0002
Initiator ISDN:
Stream:0 Timeslot:2 Call in stream:3
Responder SIP:
From Host: 192.168.1.108 Port: 5060 User: 103
To Host: 192.168.1.108 Port: 5060 User: Anonymous
Call status:ANSWERED
RTP Parameter
Local:192.168.1.23:8002 Remote:192.168.1.33:11002
Codec #01: G729/8000 payload:18
-----------------------------------
Transaction Descriptor #: 0003
Initiator ISDN:
Stream:0 Timeslot:3 Call in stream:3
Responder SIP:
From Host: 192.168.1.108 Port: 5060 User: 105
-----------------------------------
Active transaction 3
Calls History
From/To Start/End St/Time RTP param loc/rem
105@192.168.1.108:5060 05/15-15:47:24 ANSWERED 192.168.1.23:8004
Anonymous@192.168.1.108:5060 05/15-15:54:21 6:55 192.168.1.108:16676
Codec: 18
104@192.168.1.108:5060 05/15-15:47:03 ANSWERED 192.168.1.23:8000
Anonymous@192.168.1.108:5060 05/15-15:54:18 7:13 192.168.1.108:25562
Codec: 18
103@192.168.1.108:5060 05/15-15:47:14 ANSWERED 192.168.1.23:8002
Anonymous@192.168.1.108:5060 05/15-15:54:16 7:00 192.168.1.108:27654
Codec: 18
Anonymous@192.168.1.25:5060 05/15-15:34:52 REFUSED
104@192.168.1.25:5060 05/15-15:34:52
Anonymous@192.168.1.25:5060 05/15-15:34:43 REFUSED
103@192.168.1.25:5060 05/15-15:34:43
Debug
I debug possono essere abilitati direttamente dalla console di gaia (stato di connect)
utilizzando i seguenti comandi:
debug on
debug voipM <sip,gtw,isdn,registration,mediamng> <livello del debug>
Il gateway Isdn-Fxs/Fxo può essere installato su apparati SAS 500 tramite espansione
oppure su SAS 900, EN+ e 1000 tramite PCI.
Adsl SWITCH
- 3 FXS e1 FXS/FXO
Adsl SWITCH
- 2 BRI
ISDN1 ISDN2
Adsl SWITCH
CONFIGURAZIONE
Il modulo Voip deve essere sempre associato ad un altra interfaccia configurata. Su una
stessa scheda Voip possono essere installati sia il gateway che il modulo Call Manager
singolarmente o contemporaneamente, per questo motivo la configurazione varia a seconda
del tipo di installazione:
- 2 FXS e 2 FXS/FXO
FXS4
FXS3
FXS2
FXS1
- 2 BRI e 1 FXS
FXS1
ISDN2
ISDN1
Configurazione:
La configurazione del voip dipende dallo slot su cui viene alloggiata la scheda e deve essere
sempre associato ad un altra interfaccia configurata. Su una stessa scheda Voip possono
essere installati sia il gateway che il modulo Call Manager singolarmente o
contemporaneamente, per questo motivo la configurazione varia a seconda del tipo di
installazione:
ES:
VoipM load tftp pkg x.x.x.x gtw.pkg
Comandi SIP
Per prima cosa si deve definire la porta sip utilizzata dal gateway.
Sintassi Stato
VoipM load sipport {1024…1900 2100…49000} CONFIG,
RELEASE
Esempio
(CONFIG) >Voip1 load siport 5060
Il comando che segue consente di definire il range di porte rtp utilizzato dal gateway quando
viene aperto il flusso audio. Tale range deve essere obbligatoriamente un valore dispari in
quanto per ogni flusso audio vengono aperte due porte, la prima rtp e la seconda rtcp.
Sintassi Stato
VoipM load rtprangeport {1024…1900 2100…49000 - 1024…1900 CONFIG,
2100…49000 } RELEASE
Esempio
(CONFIG) >Voip1 load rtprangeport 8000-8999
Il comando che segue permette di definire uno o più proxy server dove vengono instradate
tutte le chiamate lato sip, qualora non si utilizzi la dialpan che può essere presente
sull’apparato.
Sintassi Stato
VoipM load proxyserveraddr {1....5} <indirizzo ip del server> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load proxyserveraddr 1 x.x.x.x
Esempio
(CONFIG) >Voip1 load proxyserverport 1 5060
Il comando che segue permette di utilizzare i proxy successivi al primo configurati come
proxy di buckup nel caso in cui questo non risponda.
Sintassi Stato
VoipM load trybackupproxy {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load trybackupproxy yes
Il comando che segue risulta attivo soltanto quando il trybackupproxy è yes e quando sono
configurati almeno due proxyserver e definisce quale mancata risposta all’INVITE trasmesso
dal gateway (es:100 Trayng 180 Ringing) permette di provare ad utilizzare i proxy successivi
al primo.
Sintassi Stato
VoipM load backupproxyvalidresponse {101…199} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load backupproxyvalidresponse 180
Il comando che segue è sempre legato ai comandi precedenti e permette di definire il tempo,
in secondi, di attesa della risposta configurata nel backupproxyvalidresponse prima di inviare
il pacchetto sip di INVITE al proxy successivo.
Sintassi Stato
VoipM load backupproxytimeout {0…} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load backupproxytimeout 5
Il comando che segue forza il gateway ad accettare Invite provenienti soltanto dai proxy
configurati e scartare tutte le altre richieste.
Sintassi Stato
VoipM load acceptnoproxyinvite {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load acceptnoproxyinvite no
Il comando che segue permette di inserire nel campo from dei pacchetti SIP il valore
specificato nel comando localuser.
Sintassi Stato
VoipM load fromuseraspstncaller {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load fromuseraspstncaller yes
Il comando che segue permette di definire cosa inserire nel campo from dei pacchetti SIP
quando il valore del comando fromuseraspstncaller è no.
Sintassi Stato
VoipM load localuser {alphanumeric string} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load localuser amtec
Sintassi Stato
VoipM load sipcompactform {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipcompactform yes
Il comando che segue attiva (yes) o disattiva (no) la funzionalità che permette di inserire il
campo sdp nell’INVITE trasmesso dal gateway.
Sintassi Stato
VoipM load sipsdpinvite {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipsdpinvite no
Il comando che segue permette di trasmettere il messaggio di risposta 200 ok, dopo aver
inviato una provisional response, con o senza sdp.
Sintassi Stato
VoipM load sipsdp200ok {always|ifneeded} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipsdp200ok no
Il comando che segue permette di settare il valore del tos per i paccheti sip.
Sintassi Stato
VoipM load siptos {0…255(0x0…0xff)} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipstos 0x10
Il comando che segue permette di settare il tempo di attesa, prima di abbattere la chiamata
con un 480 Temporary Unavaible, dopo l’invio del messaggio di ringing se in tale tempo non
è stata ricevuta nessuna richiesta di apertura del canale Isdn.
Sintassi Stato
VoipM load sipringingtimeout {1…} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipringingtimeout 10
Il comando che segue permette di settare il campo from del pacchetto sip uguale ad
Anonymous o ***** se il presentation della chiamata proveniente da Isdn è Restricted.
Questo comando ha effetto soltanto se il sipcustomerclihandling è disabilitato (VoipM load
sipcustomerclicallerhandling no) e il fromuseraspstncaller è abilitato (VoipM load
fromuseraspstncaller yes).
Sintassi Stato
VoipM load siprestrictioncallername {anonymous| *****} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load siprestrictedcallername *****
Il comando che segue permette di definire delle regole per il riempimento del campo from
dell’ invite a seconda delle informazioni contenute nel calling party number del messaggio
setup proveniente dall’isdn.
8 7 6 5 4 3 2 1
Calling Party Number
0 1 1 0 1 1 0
0
Information Element Identifier
Length of Calling Party Number Contents
0/1 Type of Number Numbering Plan Identification
ext
1 Presentation 0 0 0 Screening Indicator
ext Indicator Spare
0 Number digits
(IA5 characters)
Bits
7 6
0 0 presentation allowed
0 1 presentation restricted
1 0 number not available due ot interworking
1 1 reserved
ng mous.invalid>
Presentation number Number<sip:number@domain> Header,us Number<sip:num
Indicator=Restric er,id ber@domain>
ted Empty/missi Anonymous<anonymous@anony Header,us Missing
ng mous.invalid> er,id
Presentation Empty/missi Anonymous<anonymous@anony header Missing
Indicator=Unavai ng mous.invalid>
lable
Octect 3° number Number<sip:number@domain> header Number<sip:num
Missing ber@domain>
Empty/missi Anonymous<anonymous@anony header Missing
ng mous.invalid>
IE Missing Anonymous<anonymous@anony header Missing
mous.invalid>
Sintassi Stato
VoipM load sipcustomerclicallerhandling {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipcustomerclicallerhandling yes
Il comando che segue permette di definire delle regole per il riempimento del campo calling
party number del setup a seconda delle informazioni contenute nel from del messaggio di
Invite proveniente da sip.
Sintassi Stato
VoipM load sipcustomerclicalledhandling {yes|no} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipcustomerclicalledhandling yes
Il comando che segue permette di settare sul pacchetto di invite (expires) il tempo di attesa
della risposta (100 Tryining, 180 Ringing) prima di abbattere la chiamata con un messaggio
di cancel.
Sintassi Stato
VoipM load sipexpiresheader {0…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sipexpiresheader 15
Il comando che segue permette di abilitare la compatibilità descritta nella rfc 2543 con tutti i
sistemi che utilizzano IN P4 0.0.0.0 nel connection information per mettere in hold un utente.
In ricezione viene accettato sia l’IN P4 0.0.0.0 che il send only o Inactive, il comando
descritto agisce quindi solo in trasmissione.
Sintassi Stato
VoipM load Holdrfc2543style {yes|no} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load Holdrfc2543style yes
Il comando che segue permette di inserire nel pacchetto di invite trasmesso dal gateway la
funzionalità 100rel come supported o come required.
ES:
Gateway BRI/FXS
Proxy
INVITE (Require 100Rel)
100 Trying
PRACK
200 OK
200 OK
ACK
Sintassi Stato
VoipM load 100reluac {supported|required|unsupported} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load 100reluac required
Il comando che segue permette di configurare come il gateway si deve comportare quando
riceve nel messaggio di invite un supported o un required 100rel.
Sintassi Stato
VoipM load 100reluas {supported|required} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load 100reluas supported
Esempio
(CONFIG) >Voip1 load sessiontimer enable
Il comado che segue permette di definire il tempo (ogni quanti secondi deve essere inviato il
reinvite) inserito nel campo Session-Expires nel massaggio di Invite quando la funzionalità di
keep-alive definita precedentemente è abilitata.
Sintassi Stato
VoipM load sessiontimersevalue {90…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load sessiontimersevalue 1800
Il comando che segue permette di settare il Round-Trip Time (RTT) definito nella RFC 3261
per le transactions client- server.
T1
INVITE
2T1
INVITE
4T1
INVITE
.
.
.
INVITE
64T1
INVITE
Sintassi Stato
VoipM/1 load retransmissiont1 {500…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load retransmissiont1 700
Il comando che segue permette di definire il massimo intervallo di tempo per la ritrasmissione
di richieste non-INVITE e risposte ad INVITE (Rfc 3261).
Sintassi Stato
VoipM/1 load retransmissiont2 {4000…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load retransmissiont2 5000
Il comando che segue permette di impostare la durata massima che un messaggio può
rimanere nella rete (Rfc 3261).
Sintassi Stato
VoipM/1 load retransmissiont4 {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load retransmissiont4 100
Sintassi Stato
VoipM/1 load generallingertimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load generallingertimer yes
Il comando che segue permette di settare il tempo in ms entro il quale è possibile inviare
ritrasmissioni di messaggi di ack quando si riceve ritrasmissioni di pacchetti di risposta ad un
invite.
Sintassi Stato
VoipM/1 load invitelingertimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load txdcoffsetremoval yes
Il comando che segue permette di settare il tempo di attesa del pacchetto di 200 ok dopo
aver ricevuto un provisional response.
Sintassi Stato
VoipM/1 load provisionaltimer {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load provisionaltimer 5
Il comando che segue permette di settare il tempo di attesa di una risposta ad una qualsiasi
richiesta prima di chiudere la chiamata.
Sintassi Stato
VoipM/1 load generalrequesttimeout {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load generalrequesttimeout 10
Sintassi Stato
VoipM/1 load sessionexpiretimeout {0…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1/1 load sessionexpiretimeout 10
Sintassi Stato
VoipM load registrationenable {on|off} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationenable on
Sintassi Stato
VoipM load registrationserveraddress <indirizzo ip del server> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationserveraddress x.x.x.x
Sintassi Stato
VoipM load registrationserverport {1…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationserverport 5060
Il comando che segue permette di definire uno o più utenti SIP che andranno a registrarsi sul
server.
Sintassi Stato
VoipM load registrationusername {1...}{alphanumeric string} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationusername 1 1000
Il comando che segue permette di configurare la password associata all’utente nel caso si
utilizzi sul registrar la funzionalità di autenticazione.
Sintassi Stato
VoipM load registrationuserpassword {1...}{alphanumeric string} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationuserpassword 1 123
Il comando che segue permette di settare ogni quanti secondi gli utenti devono registrarsi
(expire time) quando sono nello stato di registered.
Sintassi Stato
VoipM load registrationexpirestimer {60..86400} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationexpirestimer 320
Sintassi Stato
VoipM load registrationexpirerefresh {0..99} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationexpirerefresh 70
Esempio
(CONFIG) >Voip1 load registrationtimeout 500
Il comando che segue permette di impostrare il tempo di attesa per il prossimo tentativo di
registrazione. Il tempo è un numero random ottenuto dal range configurato.
Viene utilizzato nei seguenti casi:
a-nessuna risposta dal server alla richiesta di registrazione
b-tentativo di autenticazione fallito
c-light registration fallito
d-light autentication fallito
Sintassi Stato
VoipM load registrationrangesleeptime {100..10000}-{100..10000} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationrangesleeptime 200 - 400
Il comando che segue permette di inserire il numero massimo di utenti che è possibile
registrare.
Sintassi Stato
VoipM load registrationmaxregclients {1…200} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationmaxregclients 120
Il comando che segue permette abilitare la funzionalità di multicontact per utilizzare una sola
registrazione per tutti gli utenti inseriti riempiendo il campo contact con tutti gli user
configurati.
Sintassi Stato
VoipM load registrationmulticontact {on|off} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load registrationmulticontact on
Esempio
(CONFIG) >Voip1 load subscribeenable on
Il comando che segue permette di configurare l’indirizzo ip del server (Message Center) al
quale inviare i messaggi di subscribe.
Sintassi Stato
VoipM load subscribeserveraddress <indirizzo ip> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscribeserveraddress x.x.x.x
Esempio
(CONFIG) >Voip1 load subscribeseverport 1000
Il comando che segue permette di inserire nel messaggio di subscribe il tempo di expires per
la ritrasmissione di tali pacchetti.
Sintassi Stato
VoipM load subscribeexpirestimer {0…} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscribeexpirestimer 3600
Il comando che segue permette di settare la percentuale sul valore del subscribeexpiretimer.
Quindi può essere definito il tempo di attesa prima di inviare nuovamente il subscribe
calcolato sulla percentuale del valore inserito nel comando precedente.
Sintassi Stato
VoipM load subscriberefreshpercent {0...100} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscriberefreshpercent 90
Il comando che segue permette di impostrare il tempo di attesa per il prossimo tentativo di di
invio di subscribe. Il tempo è un numero random ottenuto dal range configurato. Vengono
adottate le stesse politiche del registrationsleeptime.
Sintassi Stato
VoipM load subscribesleeptime {0…65535}-{0…65535} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load subscribesleeptime 300-800
Comandi GTW
Il comando che segue permette di definire in ordine di priorità le codifiche che il gateway può
utilizzare durante la chiamata.
Sintassi Stato
VoipM load rtpcodec {1...8}{none|g7{11{u|a}|26- CONFIG, CONFIG RUN
{32|16|24|40}|23.1-{5|6}|29}} RELEASE
Esempio
(CONFIG) >Voip1 load rtpcodec 1 G711u/30
bit/sample
24 Kb/sec
G.726 20ms 8 KHz 60B 45, 6Kb/s 61,6 Kb/s 114B 154B
bitRate=24Kb/s 3
bit/sample
24 Kb/sec
G.726 30ms 8 KHz 90B 38,4Kb/s 49,3Kb/s 144B 185B
bitRate=24Kb/s 3
bit/sample
24 Kb/sec
G.726 10ms 8 KHz 40B 75,2Kb/s 104Kb/s 94B 130B
bitRate=32Kb/s 4
bit/sample
32 Kb/sec
G.726 20ms 8 KHz 80B 53,6Kb/s 71,2 Kb/s 134B 178B
bitRate=32Kb/s 4
bit/sample
32 Kb/sec
G.726 30ms 8 KHz 120B 46,4Kb/s 56kb/s 174B 210B
bitRate=32Kb/s 4
bit/sample
32 Kb/sec
G.726 10ms 8 KHz 50B 83,2Kb/s 116Kb/s 104B 145B
bitRate=40Kb/s 5
bit/sample
40 Kb/sec
G.726 20ms 8 KHz 100B 61,6Kb/s 77,6 Kb/s 154B 194B
bitRate=40Kb/s 5
bit/sample
40 Kb/sec
G.726 30ms 8 KHz 150B 54,4Kb/s 65,5Kb/s 204B 242B
bitRate=40Kb/s 5
bit/sample
40 Kb/sec
Il comando che segue permette di modificare l’endianess della codifica G726 per mantenere
la compatibilità con chi usa il little endian (lsb) o il big endian(msb).
Sintassi Stato
VoipM load g726endianess {lsb|msb} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load g726endianess msb
Con il comando che segue è possibile definire le regole di instradamento delle chiamate.I
parametri da configurare sono i seguenti:
Order {1...}: viene definita la priorità associata alla dialplan (valore più basso priorità
maggiore).
In: in questa sezione vengono definiti i requisiti che una chiamata deve soddisfare per
essere associata a tale entry. I parametri configurabili sono:
protocol if:sip|isdn{1|2}: interfaccia di ingresso della chiamata (sip o isdn);
caller identifier idc: identificativo del chiamante. Il valore (.*) equivale a chiunque sia
il chiamante (regular expression);
callee identifier id: identificativo del chiamato. Il valore (.*) equivale a chiunque sia il
chiamato (regular expression);
time planning hh: consente di specificare quando la pianificazione specificata è
valida. Sono possibili due modalità di configurazione:
daily: la pianificazione è valida in tutti i giorni impostati nell’intervallo orario
specificato;
weekly: la pianificazione è valida a partire dall’ora del giorno specificati nel
campo “from” fino all’ora del giorno specificati nel campo “to”;
Out: in questa sezione viene stabilito come e dove la chiamata definita in In viene instradata.
I parametri configurabili sono:
priority: priorità di ogni singolo out;
protocol if:sip|isdn{1|2}: protocollo di uscita. Se il protocollo di ingresso è il sip quello
di uscita può essere solo isdn e viceversa;
Proxy (opzionale):consente di specificare (solamente quando il protocollo di uscita è il
sip) l’indirizzo ip e la porta del proxy verso cui instradare la chiamata;Questa opzione
se inserita sovrascrive il comando proxyserveripaddress;
caller idc: identificativo del chiamante. Se si inserisce (1) equivale a dire che il
numero del chiamante non deve essere modificato;
callee id: identificativo del chiamato. Se si inserisce (1) equivale a dire che il numero
del chiamato non deve essere modificato;
Naturalmente ad ogni In devono essere associati uno o più Out per rendere la dialplan
attiva.
Sintassi Stato
VoipM load dialplan {1...} CONFIG, CONFIG RUN
[out:{1...}],if:{sip|isdn{1…4}},idc:{reg_exp},id: {reg_exp}} RELEASE
Esempio
(CONFIG) >Voip1 load dialplan 1 if:sip,idc:(.*),id:(.*),hh:13:00/mon-14:00/tue
(CONFIG) >Voip1 load dialplan 1 out:1,if:isdn1,idc:(1),id:(1)
Il comando che segue può essere configurato se si desidera definire dei gruppi di interfacce
isdn che possono essere associati ad una o più dialplan.
Sintassi Stato
VoipM load group {1...} isdn{1…2}[isdn{1…2}] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load group 1 isdn2,isdn1
(CONFIG) >Voip1 load dialplan 1 if:sip,idc:(.*),id:(.*)
(CONFIG) >Voip1 load dialplan 1 out:1,if:group1,idc:(1),id:(1)
Il comando che segue viene utilizzato nel caso in cui si voglia ridondare il gateway
utilizzando il Vrrp di gaia. Esiste la possibilità di attivare il tracking sull’interfaccia isdn del
gateway, in questo caso quando uno dei due canali isdn o entrambi sono down l’interfaccia
di gaia configurata in vrrp (e legata con il track al gateway) viene messa nello stato di
Initialize oppure viene decrementata la priorità.
Sintassi Stato
VoipM load track isdn{1|2} [isdn{1|2}] {and|or} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load track isdn1 isdn2 and
Il comando che segue permette di definire lo username associato al canale Isdn o FXS.
Sintassi Stato
VoipM load phoneusername {1...16} {alphanumeric string} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load phoneusername 1 5551000
Il comando che segue permette di definire la password associata al canale Isdn o FXS.
Sintassi Stato
VoipM load phoneuserpassword {1...16} {alphanumeric string} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load phoneuserpassword 1 1234
Il comando che segue permette di definire su quale interfaccia Isdn o FXS associare il
phoneusername ed il phoneuserpassword precedentemente definiti.
Sintassi Stato
VoipM load phoneuserifc {1...16} ISDN{1|2} or FXS{1|2|3|4} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load phoneuserifc 1 isdn1
Sintassi Stato
VoipM load linehunting {on|off} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load linehunting on
Es1:
Voip1 load phoneusername 1 5551000
Voip1 load phoneuserpassword 1 1234
Voip1 load phoneuserifc 1 isdn1
Voip1 load linehunting on
Voip1 load dialplan 1 if:sip,idc:(.*),id:(.*)
Voip1 load dialplan 1 out:1,if:isdn2,idc:(1),id:(1)
Voip1 load dialplan 1 out:2,if:isdn1,idc:(1),id:(1)
Le chiamate da sip verso 5551000 vengono instradate dalla dialplan sull’ isdn2 e se questa è
down o occupata su Isdn1.
Es2:
Voip1 load phoneusername 1 5551000
Voip1 load phoneuserpassword 1 1234
Voip1 load phoneuserifc 1 isdn1
Voip1 load linehunting off
Voip1 load dialplan 1 if:sip,idc:(.*),id:(.*)
Voip1 load dialplan 1 out:1,if:isdn2,idc:(1),id:(1)
Voip1 load dialplan 1 out:2,if:isdn1,idc:(1),id:(1)
Nel secondo esempio invece il linehunting è off quindi le chiamate da sip verso il 5551000
vengono instradate direttamente (senza controllare le dialplan) sull’isdn1.
Esempio
(CONFIG) >Voip1 load presentationrange 1 5551000-5553000
Esempio
(CONFIG) >Voip1 load presentationroot 1 5551001
Esempio
(CONFIG) >Voip1 load presentationifc 1 isdn1
Es:
Voip1 load presentationrange 1 5551000 5553000
Voip1 load presentationroot 1 5551001
Voip1 load presentationifc 1 isdn1
Nelle chiamate uscenti da isdn1 viene fatto un controllo sul numero del chiamante, se questo
è compreso nel presentation range viene fatto passare senza essere modificato se invece
non è compreso nel range viene fatto uscire con il valore del presentationroot.
Il comando che segue permette di definire il numero massimo di chiamate supportate dal
gateway. Una volta raggiunto tale valore tutte le chiamate successive vengono rifiutate.
Sintassi Stato
VoipM load maxcallnumber {1…} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load maxcallnumber 3
Il comando che segue permette di definire il numero massimo di chiamate contenute nella
history, visualizzabili tramite il comando dump voipM history.
Sintassi Stato
VoipM load maxcallhistory {1…} CONFIG, CONFIG
RUN
RELEASE
Esempio
(CONFIG) >Voip1 load maxcallhistory 15
Sintassi Stato
VoipM load callwaitingenable {FXS(1|2|3|4)}{yes|no} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load callwaitingenable fxs1 yes
Il comando che segue permette di impostare dopo quanti secondi viene terminata una
chiamata in callwaiting.
Sintassi Stato
VoipM load callwaitingdroptimer {FXS(1|2|3|4)}{0…65535} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load callwaitingdroptimer fxs1 30
Il comando che segue permette di impostare il tipo di risposta inviata in caso di callwaiting.
Le possibili opzioni sono 180 ringing, 180 Ringing con l'HEADER Alert-Info inserito oppure
182 queued.
Sintassi Stato
VoipM load callwaitingresponsetype {FXS(1|2|3|4)} {180:180+alert- CONFIG
info:182} RELEASE
Esempio
(CONFIG) >Voip1 load callwaitingresponsetype fxs1 180
Esempio
(CONFIG) >Voip1 load callwaitingalertinfo fxs1 120
Il comando che segue permette di definire l'INTER DIGIT DELAY cioe' l'intervallo di tempo
entro cui deve arrivare la cifra successiva quando si sta componendo il numero da chiamare.
Sintassi Stato
VoipM load timeout {ISDN|FXS(1|2|3|4)}{0…10 sec} CONFIG
RELEASE
Esempio
(CONFIG) >VoipM load timeout fxs1 3
Il comando che segue permette di definire l’azione che deve essere intrapresa quando scade
il timeout precedente.
Connect – viene inviato il messaggio di Invite;
Disconnect – la chiamata viene disconnessa.
Sintassi Stato
VoipM load timeoutdialingevent {isdn|fxs(1|2|3|4)}{connect or CONFIG
disconnect} RELEASE
Esempio
(CONFIG) >Voip1 load timeoutdialingevent fxs1 connect
Il comando che segue permette di configurare la modalità utilizzata dal gateway per capire
quando il numero di telefono chiamato è terminato per poter quindi instradare la chiamata
correttamente. Le possibilità sono tre:
length_check - si definisce la lunghezza del numero di telefono. Quando viene raggiunta tale
lunghezza il gateway fa partire la chiamata.
terminator_check – si definisce un particolere carattere che termina il numero. Quando il
gateway riceve tale carattere fa partire la chiamata (es: #).
lenght_and_terminator_check – viene fatto un controllo sia sul carattere terminatore che sulla
lunghezza.
Sintassi Stato
VoipM load callednumbercheck fxs|isdn{1|2|3|4} CONFIG
{length_check|terminator_check|lenght_and_terminator_check} RELEASE
Esempio
(CONFIG) >Voip1 load callednumbercheck isdn2 length_check
Il comando che segue permette, come specificato sopra, di inserire il numero massimo di
caratteri da cui può essere composto il numero di telefono. Quando si raggiunge tale
dimensione il gateway fa automaticamente partire la chiamata. Se la dimensione massima
non viene raggiunta ed il numero chiamato è più corto viene fatta partire dopo il timeout.
Sintassi Stato
VoipM load callednumbermaxlenght fxs|isdn{1|2|3|4} {max length} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load callednumbercheck isdn2 length_check
Sintassi Stato
VoipM load callednumberterminatorchar fxs|isdn{1|2|3|4} {# or *} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load callednumberterminatorchar isdn1 #
Il comando che segue permette di impostare sulle interfacce fxs il tempo di attesa prima di
abbattere la chiamata se si sta eseguendo un cambio spina.
Sintassi Stato
VoipM load plugchangetimeout {0…65535} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load plugchangetimeout 120
Il comando che segue permette di definire il numero massimo di cambio spina che possono
essere eseguiti su ogni canale fxs.ES: se il valore di tale parametro è 3 la terza volta che
l’utente riaggancia la cornetta la chiamata viene disconnessa.
Sintassi Stato
VoipM load plugchangemaxnumber {0…65535} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load plugchangemaxnumber 3
Il comando che segue permette di definire il carattere o la stringa che deve essere digitata
per mettere in hold una chiamata.
Sintassi Stato
VoipM load holdstring isdn{1|2} or fxs{1|2|3|4|} {#, * or string} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load holdstring fxs1 #
Il comando che segue ablita i -40 v per alimentare i telefoni Isdn collegati al canale
configurato come network terminator. Quando si abilita il linepower si accende un led rosso
sul frontalino per ricordare all’utente quale interfaccia è alimentata.
Sintassi Stato
VoipM load linepower {1|2} {yes|no} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load linepower 1 yes
Il comando che segue definisce se il canale isdn del gateway funziona da Network (NT) o da
Terminal (TE).
Sintassi Stato
VoipM load networkterminator isdn{1|2} {yes|no} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load networkterminator isdn2 yes
Il comando che segue definisce se sui canali isdn/fxs generare (yes) o meno (no) il ring tone.
Sintassi Stato
VoipM load ringtonegeneration isdn{1|2} {auto|yes|no} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load ringtonegeneration isdn1 auto
Il comando che segue permette di impostare manualmente o lasciare automatico il valore del
Terminal Endpoint Identifier.
Sintassi Stato
VoipM load tei isdn{1|2} {0...63|auto} CONFIG
RELEASE
Esempio
(CONFIG) >Voip1 load tei isdn2 auto
Il comando che segue permette di stabilire un range di numeri che possono essere chiamati.
Le chiamate verso isdn devono avere come destinazione un numero compreso nel range
configurato altrimenti vengono rifiutate.
Sintassi Stato
VoipM load phoneusers isdn{1|2}{first number-last number} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load phoneusers isdn2 781222-781333
Esempio
(CONFIG) >Voip1 load faxrate fxs3 9600
Il comando che segue permette di definire il codec utilizzatto nella modalità fax passthrough.
Sintassi Stato
VoipM load faxpassthrough ISDN{1|2} or FXS{1|2|3|4} {g711{u|a}} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load faxpassthrough isdn1 g711a
Il comando che segue permette di definire il codec utilizzatto nella modalità modem
passthrough.
Sintassi Stato
VoipM load modempassthrough ISDN{1|2} or FXS{1|2|3|4} CONFIG, CONFIG RUN
{g711{u|a}} RELEASE
Esempio
(CONFIG) >Voip1 load modempassthrough isdn1 g711a
Il comando che segue consente di abilitare o disabilitare l’invio dei fax su interfacce FXS
utilizzando il protocollo t38.
Sintassi Stato
VoipM load faxprotocolt38 ISDN{1|2} or FXS{1|2|3|4} CONFIG, CONFIG RUN
{enable|disable} RELEASE
Esempio
(CONFIG) >Voip1 load faxprotocolt38 fxs1 enable
Il comando che segue permette di configurare le interfacce pots come FXS o come FXO
(soltanto nei casi che prevedono tale possibilità). Fare riferimento al paragrafo
Configurazione.
Sintassi Stato
VoipM load potstype POTS{1|2|3|4} {FXS|FXO} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load faxprotocolt38 fxs1 enable
Comandi RTP
Il comando che segue permette di abilitare o disabilitare l’effetto eco sulla cornetta.
Sintassi Stato
VoipM load echoopmode {normal|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load echoopmode normal
Il comando che segue permette di definire come verranno trasmessi dal gateway i toni dtmf.
Le possibili opzioni sono:
inband: in banda utilizzando il traffico rtp;
rfc2833: trasmissione mediante pacchetti rtp-event;
sip-info: trasmissione tramite pacchetti sip.
Sintassi Stato
VoipM load dtmftxrelay {none|rfc2833|sip-info|in-band|rfc2833/in- CONFIG, CONFIG RUN
band|sip-info/in-band} RELEASE
Esempio
(CONFIG) >Voip1 load dtmftxrelay rfc2833/in-band
Il comando che segue permette di modificare il valore del payload nel caso in cui la
trasmissione dei toni dtmf avvenga tramite rfc2833.
Sintassi Stato
VoipM load txdtmfpayloadtype {96…127} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load txdtmfpayloadtype 101
Sintassi Stato
VoipM load silencesuppression {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load silencesuppression yes
Sintassi Stato
VoipM load pdvmaxdelay {0…500} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load pdvmaxdelay 300
Il comando che segue permette di impostare la lunghezza della finestra di osservazione del
cancellatore d'eco.
Sintassi Stato
VoipM load echotaillenght {2,4,6,8,... in 1 ms unit,max 128} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load echotaillenght 128
Il comando che segue permette di abilitare il controllo automatico del livello del segnale
relativo al traffico in ingresso.
Sintassi Stato
VoipM load automaticlevelcontrol {NO|YES} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load automaticlevelcontrol yes
Il comando che segue permette di impostare la percentule di riempimento del jitter buffer
prima di inziare a scartare i pacchetti voce.
Sintassi Stato
VoipM load pdvpacketlossrate {1…100} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load pdvpacketlossrate 80
Il comando che segue permette di abilitare la generazione di un tono locale quando l’utente
viene messo in hold.
Sintassi Stato
VoipM load playlocaltone {no|yes} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1 load playlocaltone yes
Attivazione LOG
Sintassi Stato
VoipM/1 load log {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load log enable
Sintassi Stato
VoipM/1 load syslogserveripaddress <indirizzo ip del server> CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load syslogseveripaddress x.x.x.x
Sintassi Stato
VoipM/1 load sysloglevel {0...255} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load sysloglevel 2
Il comando che segue permette di inserire la massima dimensione, in bytes, del file di log
prima di sovrascrivere i vecchi con i nuovi.
Sintassi Stato
VoipM/1 load logfilesize {100…1000000} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logfilesize 100000
Il comando che segue permette di ablitare la generazione dei log riguardanti il protocollo sip.
Sintassi Stato
VoipM/1 load logsip {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logsip enable
Il comando che segue permette di ablitare la generazione dei log riguardanti il protocollo rtp.
Sintassi Stato
VoipM/1 load logmediamng {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logmediamng enable
Sintassi Stato
VoipM/1 load logdebug {enable|disable} CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/1 load logdebug enable
Il comando che segue permette di definire su quale modulo attivare i debug ed il livello.
Sintassi Stato
VoipM/1 load logdebugmodule CONFIG, CONFIG RUN
{gtw|sip|mediamng|cpld|registration} {0…255} RELEASE
Esempio
(CONFIG) >Voip1/1 load logdebugmodule sip 255
Esempio di configurazione:
Dump
Utilizzando questo Dump è possible controllare il valore attuale dei comandi e quello che
assumeranno al prossimo reset (valore contenuto tra le parantesi).
- status: viene visualizzato lo stato dei moduli che compongono il gateway BRI:
- transaction: viene visualizzato se ci sono transaction attive, quali sono gli utenti
coinvolti le codifiche utilizzate le porte e lo stato della chiamata (Answered,
Proceeding, Forwarded, Not answer, Refused, Accepted):
Responder SIP:
From Host: 192.168.1.108 Port: 5060 User: 104
To Host: 192.168.1.108 Port: 5062 User: 103
Call status:ANSWERED
RTP Parameter
Local:192.168.1.33:11000 Remote:192.168.1.33:11002
Codec #01: G729/8000 payload:18
-----------------------------------
Transaction Descriptor #: 0002
Initiator SIP:
From Host: 192.168.1.108 Port: 5060 User: 103
To Host: 192.168.1.33 Port: 5062 User: 104
Responder FXS: FXS callid:102 stream:3 timeslot:1
Call status:ANSWERED
RTP Parameter
Local:192.168.1.33:11002 Remote:192.168.1.33:11000
Codec #01: G729/8000 payload:18
-----------------------------------
Transaction Descriptor #: 0003
Initiator FXS: FXS callid:103 stream:4 timeslot:1
DSP Channel: 3 Call STATUS No SS
SS Service No SS, Status 5 Call in stream:1
Responder SIP:
From Host: 192.168.1.108 Port: 5062 User: 105
To Host: 192.168.1.108 Port: 5060 User: 106
Call status:PROCEEDING
-----------------------------------
Active transaction 3
Calls History
Debug
I debug possono essere abilitati direttamente dalla console di gaia (stato di connect)
utilizzando i seguenti comandi:
debug on
debug voipM {sip|gtw|isdn|registration} {0…255}
Il Call Manager può essere installato su apparati SAS 900, 860 EN+ e 1000 nelle schede
dedicate (solo Call Manager) ed in tutte le altre schede VoIP Gateway Pri, Bri ed FXS (Call
Manager + Gateway) oppure su espansione per SAS 500 insieme al Gateway BRI/FXS-
FXO. La configurazione del voip dipende dallo slot su cui viene alloggiata la scheda e deve
essere sempre associato ad un altra interfaccia configurata. Su una stessa scheda Voip
possono essere installati sia i gateway pri,bri/fxs-fxo che il modulo Call Manager, per questo
motivo per la configurazione devono essere utizzate le subinterface:
L’ aggiornamento del software deve essere fatto via TFTP tramite il comando:
voipM/2 load tftp {pkg} <indirizzo ip del server TFTP> <nome del sw>.
ES:
VoipM/2 load tftp pkg x.x.x.x voicemanager.pkg
CONFIGURAZIONE
Il comando che segue permette di definire le porte rtp utilizzate dal Call Manager.
Sintassi Stato
VoipM/2 load rtprangeport [{0..65535-0..65535}] [rtp port range] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/2 load rtprangeport 9000-30000
Il comando che segue permette di definire il range di porte utilizzate dal modulo h323 del
Call Manager.
Sintassi Stato
VoipM/2 load rthrangeport [{0..65535-0..65535}] [h323 range port] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/2 load rthrangeport 1720-1900
Il comando che segue permette di definire la porte http utilizzata per configurare il Call
Manager utilizzando l’interfaccia grafica.
Sintassi Stato
VoipM/2 load httpport [{0..65535}] [http port] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/2 load httpport 80
Il comando che segue permette di definire la porta sip di segnalazione utilizzata dal Call
Manager.
Sintassi Stato
VoipM/2 load sipport [{0..65535}] [sip port] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/2 load sipport 5060
Il comando che segue permette di definire la porte h323 di segnalazione utilizzata dal Call
Manager.
Sintassi Stato
VoipM/2 load h323port [{0..65535}] [h323 port] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/2 load h323pport 1719
Il comando che segue permette di definire la porta iax di segnalazione utilizzata dal Call
Manager.
Sintassi Stato
VoipM/2 load iaxport [{0..65535}] [iax port] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/2 load iaxport 4569
Il comando che segue permette di definire l’indirizzo ip virtuale utilizzato dal Call Manager
quando questo deve essere ridondato tramite il protocollo vrrp.
Sintassi Stato
VoipM/2 load virtual_ip [{x.x.x.x}] [vrrp ip address] CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG) >Voip1/2 load virtual_ip 192.168.1.1
Una volta definite tutte le porte utilizzate dal Call Manager è possible modificare la
configurazione via Http:
http:// indirizzo ip del Call Manager
(vedere manuale di configurazione del Call Manager).
Esempi di configurazione:
Esempio 1
Esempio 2
GATEWAY ANALOGICO
PROCEDURA DI CARICAMENTO DELL’IMMAGINE
Questa procedura va utilizzata quando sulla scheda VoIP (Stradivarius) non è stata installata
mai l’immagine SW oppure quando è necessario riportarla in uno stato stabile: infatti
l’operazione in oggetto cancella tutta la flash della scheda VoIP.
Il programma da utilizzare per programmare la flash si chiama HyperVarius: la particolarità
di questo programma è che per funzionare richiede che la porta COM sulla quale
collegheremo il cavo console non sia stata utilizzata da nessun altro programma dall’avvio
del PC (es. Hyperterminal), altrimenti si deve riavviare il PC.
Ecco la procedura:
1. Togliere il coperchio del SAS, collegare il PC alla porta maintenance della scheda VoIP
2. Avviare HyperVarius (la porta COM si può selezionare dal menu Settings)
3. Spegnere il SAS, togliere il jumper TB1103 (che protegge la flash dalla scrittura) e
riavviare il SAS. A questo punto su Hypervarius si dovrebbe avere il prompt: VOIP>
4. Mediante la finestra sulla destra, posizionarsi all’interno della cartella
\ScriptFiles\Advanced
5. Lanciare lo script IRAM_Agent.script e attendere il prompt (si udirà un ticchettio
proveniente dalla scheda)
6. Lanciare lo script XRAM_Agent.script e attendere il prompt
a. Dal prompt digitare la seguente riga di comando: initflash 4000000 100000 ff.
Al termine dell’operazione comparirà il messaggio: PASS
b. Dal prompt digitare la seguente riga di comando: initflash 4200000 1e0000 ff.
Al termine dell’operazione comparirà il messaggio: PASS
ETH2 ETH1
L’aggiornamento del SW di boot e del SW VoIP può essere effettuato via TFTP. I software
da caricare via TFTP hanno sempre estensione .bin. La configurazione minima del SAS è la
seguente:
Per caricare il SW di boot si deve lanciare il seguente comando: voip1 load code 4
Per caricare il SW VoIP si deve lanciare il seguente comando: voip1 load code. Se il nome
del file dell’immagine SW è diverso da quello di default vxWorks_rom.bin la configurazione
deve contenere anche il comando: voip1 load ftp_code_file <nome del file se diverso da
vxworks_rom.bin>.
Si noti che il SW GAIA cerca per default l’immagine da caricare nella cartella del server
TFTP configurata per il download/upload. Se l’immagine è in un’altra cartella, quest’ultima va
specificata in configurazione con il comando: voip1 load ftp_dir <percorso completo
directory>
I Call Progress Tone (cpt) sono toni udibili inviati da un PBX o da PSTN al dispositivo
(telefonico) che inizia una chiamata per indicargli lo stato della telefonata stessa.
I fax e i modem sono in grado di riconoscere automaticamente i toni di libero (dial) e
occupato (busy). Le raccomandazioni ITU-T E.180 ed ITU-T E.182 definiscono le
caratteristiche tecniche e l’utilizzo di questi toni.
Dato che questi toni possono variare da centralino a centralino, e da nazione a nazione
(http://www.itu.int/ITU-T/inr/forms/files/tones-0203.pdf), esiste la possibilità di configurare il
comportamento della scheda VoIP a seguito delle diverse esigenze lavorative.
I comandi che presiedono a tale scopo sono: voip1 load cpt_cadence e voip1 load
cpt_freq. Il primo definisce la forma d’onda del tono, mentre il secondo le varie armoniche
che lo compongono.
Se però la variabile busy_td = 2, allora possono esserci due tipi di busy (busy1 e 2) e il tono
di ring-back è letto nel campo busy 2.
dove:
0 se il tono è continuo
Tone Duration = Tone Duration
durata del tono in sec ondi
8000
1 cadence ON1
Tone Pattern Binary = 3 cadence ON1 e OFF1
15 cadence ON1, OFF1, ON 2 e OFF 2
Cadence ON/OFF 1/2 = lunghezza in secondi dei tratti alto e basso dell’onda quadra
periodica che rappresenta analiticamente il tono, secondo la formula:
lunghezza [sec] = cadence / 8000
Energy Threshold First Armonic = ampiezza della prima armonica del tono
Energy Threshold Second Armonic = ampiezza della seconda armonica del tono
1ª armonica XXX 1,1ª armonica XXX 2, 2ª armonica XXX 1,2ª armonica XXX 2
I valori della prima e seconda armonica si ricavano a partire dalla frequenza freq definita da
ITU-T E.180 applicando le seguenti formule:
freq
1a armonica cos 2 32768
8000
2 freq
2 a armonica cos 2 32768
8000
Toni di squillo
È possibile impostare le modalità di squillo associate al dial tone, busy tone e ring-back tone.
La struttura del comando è la stessa per le tre opzioni: 12 valori esadecimali separati da
virgole senza spazio che esprimono i seguenti valori
dove:
1 F1 F2
MIX = 2 F1 F2
3 F /F
1 2
La scheda VoIP comunica con la scheda madre del SAS attraverso una connessione
“ethernet” interna: la scheda ha infatti indirizzo IP 169.254.0.2 (mentre la scheda madre del
SAS è .1). Questo indirizzo è trasparente all’utente, nel senso che non compare mai
all’esterno.
Va però ricordato che in configurazioni con IPSEC si deve NECESSARIAMENTE configurare
una MAPPA IN CHIARO tra la rete 169.254.0.0/24 e tutto il mondo, altrimenti tutto il traffico
da e per la scheda VoIP sarebbe bloccato da IPSEC.
La scheda VoIP può essere configurata da CLI (ossia da dentro la scheda) o da Gaia. È
preferibile utilizzare questa opzione.
Se abilito 2 linee per canale posso commutare tra le due telefonate pigiando il tasto R sul
telefono.
I numeri di telefono SIP terminano tutti con il cancelletto #.
*30 BLIND TRANSFER (Unattended) Per trasferire una chiamata senza aspettare che
risponde
Nel caso di utilizzo di protocollo H323 con il tasto R si eseguono tutti i servizi supplementari
descritti sopra.
Ogni volta che si effettua una modifica alla configurazione VoIP la scheda va resettata (se il
comando è impartito da CONFIG). Ciò significa che si resetta il SAS e quando questo ha
terminato la fase di boot, la scheda VoIP si resetta automaticamente. Quest’ultima è pronta
quando compare il messaggio: VOIP0: go in state WORKING.
CODEC PTIME Sample Rate RTP Occupazione Occupazione PKT PKT totale
Bit/sample PAYLO Banda su banda su totale IPSEC (ESP-
BITRATE AD ETH IPSEC ETH TDES)
G.729A 10ms 8 KHz 10B 51,2Kb/s 84,8Kb/s 64B 106B
1 bit/sample
8 Kb/sec
G.729A 20ms 8 KHz 20B 29,6Kb/s 45,6Kb/s 74B 114B
1 bit/sample
8 Kb/sec
G.723(.1) 30ms 8 KHz 20B 20Kb/s 30,4Kb/s 74B 114B
bitRate=5,3 5,3 Kb/sec
Kb/s
G.723(.1) 30ms 8 KHz 24B 21Kb/s 32,6Kb/s 78B 122B
bitRate=6,4 6,4 Kb/sec
Kb/s
G.711 30ms 8 KHz 240B 79,96Kb/s 90,1Kb/s 294B 338B
8 bit/sample
64 Kb/sec
G.711 20ms 8 KHz 160B 85,6Kb/s 103,2Kb/s 214B 258B
8 bit/sample
64 Kb/sec
G.711 10ms 8 KHz 80B 107,2Kb/s 142,4Kb/s 134B 178B
8 bit/sample
64 Kb/sec
G.726L32 20ms 8 KHz 40B 37, 6Kb/s 55,2Kb/s 94B 138B
bitRate=16 2 bit/sample
Kb/s 16 Kb/sec
G.726L32 20ms 8 KHz 60B 45, 6Kb/s 61,6 Kb/s 114B 154B
bitRate=24 3 bit/sample
Kb/s 24 Kb/sec
G.726L32 20ms 8 KHz 80B 53,6Kb/s 71,2 Kb/s 134B 178B
bitRate=32 4 bit/sample
Kb/s 32 Kb/sec
G.726L32 20ms 8 KHz 100B 61,6Kb/s 77,6 Kb/s 154B 194B
bitRate=40 5 bit/sample
Kb/s 40 Kb/sec
Comandi H323
NOTA: HELP dei comandi VoIP va digitato con la seguente sintassi e comprende
tutti i comandi che si possono impartire da quello stato.
Il comando che segue consente di cambiare il nome della scheda VoIP; questo può essere
utile nel caso vengano utilizzate delle piattaforme dove vi è la coesistenza di schede VoIP
dello stesso tipo. In questo caso si rende necessario il cambio del nome di default delle
schede per non creare problemi di conflitto.
Sintassi Stato
voip1 load Boardname <Alphanumeric String> (Boardname) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load boardname Stradivarius
Il comando che segue permette di inserire l’indirizzo IP del server TFTP dal quale si deve
scaricare il software da inserire sulla scheda.
Sintassi Stato
voip1 load ftp_server <a.b.c.d> (FTP Server IP Address) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load ftp_server 1.1.1.1
Il comando che segue specifica la directory nella quale si trova il file da trasferire sulla
scheda (è preferibile non specificare la directory ma impostarla direttamente sul programma
che fa da server su PC).
Sintassi Stato
voip1 load ftp_dir <Alphanumeric String> (FTP Directory Name) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load ftp_dir
Il comando che segue indica il nome del file da trasferire sulla scheda Voip
Sintassi Stato
voip1 load ftp_code_file <Alphanumeric String> (FTP Code File Name) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load ftp_code_file vxworks_rom.bin
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto di compensare il fenomeno del jitter (ritardo dei pacchetti) nel caso di traffico voce.I
valori impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo.
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default.
Sintassi Stato
voip1 load min_jitter_tmo {0..200 (Only multiples of 10 allowed)} CONFIG, CONFIG RUN
(Minimum Jitter of the Time) RELEASE
Esempio
(CONFIG) >voip1 load min_jitter_tmo 0
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto, di compensare il fenomeno del jitter (ritardo dei pacchetti) nel caso di traffico voce.
I valori impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default.
Sintassi Stato
voip1 load max_jitter_tmo {0..200 (Only multiples of 10 CONFIG, CONFIG RUN
allowed)} (Maximum Jitter of the Time) RELEASE
Esempio
(CONFIG) >voip1 load max_jitter_tmo 10
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto di compensare il fenomeno del jitter nel caso della trasmissione di fax. I valori
impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default.
Sintassi Stato
voip1 load min_jitter_tfax {0..200 (Only multiples of 10 allowed)} CONFIG, CONFIG RUN
(Minimum Jitter of Fax Time) RELEASE
Esempio
(CONFIG) >voip1 load min_jitter_tfax 20
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto di compensare il fenomeno del jitter nel caso della trasmissione di fax. I valori
impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo.
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default
Sintassi Stato
voip1 load max_jitter_tfax {0..200 (Only multiples of 10 allowed)} CONFIG, CONFIG RUN
(Maximum Jitter of Fax Time) RELEASE
Esempio
(CONFIG) >voip1 load max_jitter_tfax 30
Il comando che segue specifica il numero degli apparecchi telefonici che possono essere
usati; tale parametro va da un minimo di 1 a un massimo di 4 essendo 4 le porte utilizzabili.
Sintassi Stato
voip1 load nb_use_phone {1..4} (Number of the telephones to use) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load nb_use_phone 2
Il comando che segue specifica il numero di chiamate che possono essere gestite per ogni
canale; al massimo ogni canale corrispondente ad una porta fisica può sostenere due
chiamate.
Sintassi Stato
voip1 load calls_per_ch {1|2} (Number of Calls allowed per Channel) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load calls_per_ch 2
Il comando che segue serve per abilitare o disabilitare l’effetto eco che può essere fastidioso
se si presenta oltre un certo tempo; normalmente risulterà sempre abilitato.
Sintassi Stato
voip1 load echo_canceller {0|1} (Disable/Enable the cancellation of the CONFIG,
Echo) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load echo_canceller 0
Il comando che segue, se abilitato, serve per rilevare l’attività vocale; può essere utile per
sfruttare l’ampiezza di banda non utilizzata per la trasmissione della voce per altri scopi. Tale
rilevazione però non sempre è possibile a causa della presenza di rumori di sottofondo che si
possono avere nel momento in cui si sta effettuando la chiamata
Sintassi Stato
voip1 load vad_cng_mgt {0|1} (Disable/Enable the Activity Detector) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load vad_cng_mgt 0
Il comando che segue serve per indicare il tipo di codifica che può supportare il dispositivo;
possono essere elencate più codifiche in modo da permettere la comunicazione con un’
ampia gamma di dispositivi.
Sintassi Stato
voip1 load capab_order {0..10} (Sequence of the Codecs to use CONFIG,
(Maximum 11 codecs)) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load capab_order 5
Per il CODEC G-723 con packet size pari a 30 ms abbiamo la possibilità di settare due
bitrate diversi.
1. bitrate pari a 5.3Kb/s.
2. bitrate pari a 6.4Kb/s.
Sintassi Stato
voip1 load G723_bitrate {1|2} (Bitrate of G723 CODEC:1 = 5,3 kb / s,2 = CONFIG,
6,4 kb/s) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load g723_bitrate 2
Per il CODEC G-726 L32 con packet size pari a 20 ms abbiamo la possibilità di settare
quattro bitrate diversi.
3. bitrate pari a 16Kb/s.
4. bitrate pari a 24Kb/s.
5. bitrate pari a 32Kb/s.
6. bitrate pari a 40Kb/s.
Il comando che segue consente di mappare con Payload Type diversi lo stesso CODEC
G726.
Sintassi Stato
voip1 load G726_mapping {0|1} (Mapping of G726 CODEC:0=111,1=2) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load g726_mapping 1
Il comando che segue consente di modificare il tono che sente l’utente che vuole
intraprendere una chiamata nel momento in cui alza la cornetta. Il parametro può essere
modificato specificando i dodici valori numerici che lo caratterizzano.
Sintassi Stato
voip1 load dialtone{mix,f1,f2,dbm,T1on,T1off,T2on,T2off,T3on,T3off,T4on,T4off} CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load dialtone 1,425,425,-12,4800,8000,1600,1600,0,0,0,0
Il comando che segue di modificare il tono che l’utente chiamante sente nel momento in cui
trova occupato il numero chiamato. Può essere modificato specificando i dodici valori
numerici che lo caratterizzano.
Sintassi Stato
voip1 load Busytone {mix,f1, f2, dbm, T1on, T1off, T2on, T2off, T3on, T3off, CONFIG
T4on, T4off} RELEASE
Esempio
(CONFIG) >voip1 load busytone 1,425,425,-20,4000,4000,0,0,0,0,0,0
Il comando che segue consente di modificare il tono che sente l’utente chiamante, una volta
composto il numero, in attesa di una risposta dal chiamato. Anche questo può essere
modificato specificando i dodici valori numerici che lo caratterizzano.
Sintassi Stato
voip1 load ring_bk_tone {mix, f1, f2, dbm, T1on, T1off, T2on, T2off, T3on, T3off, CONFIG
T4on, T4off} RELEASE
Esempio
(CONFIG) >voip1 load ring_bk_tone 1,425,425,-20,8000,32000,0,0,0,0,0,0
Esempio
(CONFIG) >voip1 load gate_keeper_ip 60.0.0.1
Il comando che segue indica il tempo entro cui gli elementi della zona H.323 rinfrescano
automaticamente la registrazione al gatekeeper.
Sintassi Stato
voip1 load gk_exp_time {1..18000} (Desired Expire Time in seconds) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load gk_exp_time 20
Sintassi RELEASE
voip1 load early_open_ch {0|1} (Disable/Enable Early Open Logical Channel)
Esempio
(CONFIG) >voip1 load early_open_ch 0
Sintassi Stato
voip1 load place_call {0|3} (Select the way to place calls) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load place_call 0
Sintassi Stato
voip1 load fast_start {0|1} (Disable/Enable the Fast Start Mode) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load fast_start 1
Il comando che segue permette la visualizzazione a grappolo degli utenti sulla interfaccia
grafica del GateKeeper
Sintassi Stato
voip1 load gtw_mode {0|1} (Disable/Enable the Registration Mode) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load gtw_mode 1
È possibile incapsulare (tunnel) i messaggi H.245 nel canale di segnalazione della chiamata
H.225 invece di creare un canale di controllo H.245 distinto. Questo metodo migliora il tempo
di instaurazione della chiamata e l’allocazione delle risorse e fornisce una sincronizzazione
fra la segnalazione e il controllo della chiamata. In qualsiasi momento i terminali possono
commutare su una connessione H.245 differente e in ogni messaggio H.225 è possibile
incapsulare anche più messaggi H.245.
Valore Impostato a 1 abilita il tunnel, impostato a 0 lo disabilita
Sintassi Stato
voip1 load h245_tunnel {0|1} (Disable/Enable the H245 Tunneling Mode) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load h245_tunnel 0
Sintassi Stato
voip1 load h4508_use{0|1} (Disable/Enable the Call Checking) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load h4508_use 1
Se è inserito il valore a 0, viene disabilitata la trasmissione del tono nel caso di call Waiting.
Sintassi Stato
voip1 load call_enable {0|1} (Disable/Enable the call Waiting) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load call_enable 1
Il comando che segue consente di selezionare la frequenza del Call Process Tone
Sintassi Stato
voip1 load cpt_freq {0..2} {f1,f2,f3,f4} (Tone:0=Dial,1=Busy,2=Ring Back) CONFIG,
(Freq. (HEX values)) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load cpt_freq 0 0x78ef,0x78ef,0x6485,0x6485
Il comando che segue consente di selezionare la cadenza del Call Process Tone
Sintassi Stato
voip1 load cpt_cadence {0..2} CONFIG,
{tD,TPB,Con1,Coff1,Con2,Coff2,ETh1,ETh2} (Tone) (Settings (HEX CONFIG RUN
values)) RELEASE
Esempio
(CONFIG) >voip1 load cpt_cadence 0 0x7d0,0xf,0x12c0,0x1f40,0x640,0x640,0x1000,0x200
Il comando che segue imposta il comportamento del campo 2 (busy) del cpt_cadence
Sintassi Stato
voip1 load busy_td {1|2} (Busy Tone Number) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load busy_td 2
Il comando che segue assegna la porta TCP associata al canale 0 per la segnalazione H323
relativa all’istaurazione della chiamata (definita questa porta, agli altri canali saranno
assegnate automaticamente le porte CH0+2, CH0+4, CH0+6).
Sintassi Stato
voip1 load H323_gw_port {Integer} (Starting value for H323 Range Port) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load H323_gw_port 1720
Il seguente comando associa ad ogni canale due porte per il traffico RTP. Il comando
assegna la prima porta UDP associata al canale 0 (definita questa porta iniziale, saranno
assegnate automaticamente le porte successive per il Canale 0 CH0+4 e per gli altri canali
CH0+8, CH0+12, CH0+16, CH0+20, CH0+24 e CH0+28).
Sintassi. Stato
voip1 load RTP_gw_port {Integer} (Starting value for RTP Range Port) CONFIG
RELEASE
Esempio
(CONFIG) >voip1 load rtp_gw_port 9000
La scheda VoIP presenta tre porte fisiche funzionanti come FXS e una che può funzionare
sia come FXS sia come FXO; con questo comando vengono assegnati i numeri di telefono
corrispondenti a tali porte. L’assegnazione avviene specificando il numero di porta [0-3] e il
numero di telefono.
Sintassi Stato
voip1 load phonenumber {0..3} {phone number} (Channel) (Associated CONFIG
Telephone Number) RELEASE
Esempio
(CONFIG) >voip1 load phonenumber 0 4000
Il comando che segue associa al numero di telefono configurato su quel canale un nome.
Sintassi Stato
voip1 load channel_name {0..3} {Alphanumeric String} (Channel) (Associated CONFIG
Channel Name) RELEASE
Esempio
(CONFIG) >voip1 load channel_name 0 Channel0
Esempio
(CONFIG) >voip1 load cli_restrict_en 0 1
Il comando che segue permette di redirezionare tutte le chiamate in ingresso in una porta
fisica verso un altro utente.
Sintassi Stato
voip1 load always_fwd_to {0..3} {Phone Number} (Channel) (Phone Number CONFIG
Used to Forward the Calls) RELEASE
Esempio
(CONFIG) >voip1 load always_fwd_to 0 1000
Il comando che segue consente di marcare i pacchetti di traffico voce in uscita da una porta
fisica del dispositivo. In generale la marcatura dei pacchetti può servire all’amministratore di
rete per raggruppare i vari flussi in modo da ottenere determinate classi di servizi in termini di
banda e di latenza. Inoltre può essere utile per gestire in maniera corretta la priorità del
traffico
Sintassi Stato
voip1 load tos {0..3} {0x00-0xFF} (Channel) (Value of the TOS) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load tos 0 0x3a
Il comando che segue consente di specificare se le porte fisiche della scheda funzionano da
FXS o da FXO. Nella scheda utilizzata può essere modificata solo la quarta porta.
Sintassi Stato
voip1 load ch_mode {0..3} {0|1} (Channel) (Desired Mode for the CONFIG,
Channel:0=FXS,1=FXO) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load ch_mode 3 1
In base alla modalità con cui si vogliono gestire le chiamate in ingresso sulla porta FXO si
possono avere due possibilità. La prima è la modalità PLAR che si ottiene specificando nel
comando il canale 3 e lo 0 come valore intero. La seconda è la modalità 2 dial stages che si
ottiene specificando nel comando il canale 3 e l’1 come valore intero.
Sintassi Stato
voip1 load fxo_in_ch_mode {0..3} {0|1} (Channel) (Desired Mode for the CONFIG,
Incoming Calls:0=PLAR,1=2SD) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load fxo_in_ch_mode 3 0
Il comando che segue permette di specificare in modalità PLAR il numero di telefono su cui
vengono redirette le chiamate entranti sulla porta FXO.
Sintassi Stato
voip1 load fxo_redir_in_ch {0..3} {Phone Number} (Channel) (Phone CONFIG,
Number to redirect the Incoming Calls) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load fxo_redir_in_ch 3 4000
Il comando che segue associa ad un canale un utente individuato dalla tripletta numero di
telefono, indirizzo IP, porta di segnalazione. Ad ogni canale si possono associare al massimo
8 utenti.
Sintassi Stato
voip1 load addr_book {0..3} {Alphanumeric String} (Channel) (Phone CONFIG,
Number,a.b.c.d,port) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load addr_book 0 5000,2.2.2.2,5060
Sintassi Stato
voip1 load tel_redundancy {0..3} {0|1} (Channel) (Disable/Enable the CONFIG,
Redundancy on DTMF Transmitted) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load tel_redundancy 0 0
Sintassi Stato
voip1 load dtmf_mode {0..3} {0|1} (Channel) (Disable/Enable the CONFIG,
Transport of DTMF) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load dtmf_mode 0 0
Il comando che segue permette di eseguire un TFTP con la scheda voip per il caricamento
della nuova immagine.
Sintassi Stato
voip1 load code [{1|2|3|4}] (Start Tftp SW Loading with Optional type of CONFIG,
code 1-4) CONFIG RUN
RELEASE
Esempio
(CONFIG) >voip1 load code
Comandi obbligatori per abilitare la gestione del traffico voip di segnalazione. Nel caso in cui
il voip venga gestito da una scheda PCI la sintassi del comando sotto cambia a seconda
dello slot dove la scheda è inserita. Per il primo slot si usa VOIP1, per il secondo VOIP2, per
il terzo VOIP3 e per il quarto VOIP4.
Sintassi Stato
VOIP1 PORT RANGE 1000 1800 CONFIG, CONFIG RUN
RELEASE
Sintassi Stato
VOIP1 PORT RANGE 8000 9200 CONFIG, CONFIG RUN
RELEASE
L’HELP dei comandi VoIP va digitato con la seguente sintassi e comprende tutti i comandi
che si possono impartire da quello stato.
Oppure
Il comando che segue consente di cambiare il nome della scheda VoIP; questo può essere
utile nel caso vengano utilizzate delle piattaforme dove vi è la coesistenza di schede VoIP
dello stesso tipo. In questo caso si rende necessario il cambio del nome di default delle
schede per non creare problemi di conflitto.
Sintassi Stato
voip1 load boardname <Alphanumeric String> (Boardname) CONFIG, CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load boardname Stradivarius
Esempio
(CONFIG RUN) > voip1 load sip_register_addr 1.1.1.1
Il comando che segue identifica l’indirizzo IP del server proxy (smistamento delle chiamate)
Sintassi Stato
voip1 load sip_proxy_addr <a.b.c.d> (Sip Proxy IP Address) CONFIG
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load sip_proxy_addr 1.1.1.1
Il comando che segue serve per inserire l’indirizzo IP del server TFTP dal quale si deve
scaricare il software da caricare sulla scheda.
Sintassi Stato
voip1 load ftp_server <a.b.c.d> (FTP Server IP Address) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load ftp_server 1.1.1.1
Il comando che segue specifica la directory nella quale si trova il file da trasferire sulla
scheda (è preferibile non specificare la directory ma impostarla direttamente sul programma
che fa da server su PC).
Sintassi Stato
voip1 load ftp_dir <Alphanumeric String> (FTP Directory Name) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load ftp_dir /SW
Il comando che segue identifica il nome del file da trasferire sulla scheda Voip
Sintassi Stato
voip1 load ftp_code_ file <Alphanumeric String> (FTP Code File Name) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load ftp_code_file vxworks_rom.bin
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto di compensare il fenomeno del jitter (ritardo dei pacchetti) nel caso di traffico voce.I
valori impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo.
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default.
Sintassi Stato
voip1 load min_jitter_tmo {0..200 (Only multiples of 10 allowed)} (Minimum CONFIG,
Jitter of the Time) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load min_jitter_tmo 0
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto di compensare il fenomeno del jitter (ritardo dei pacchetti) nel caso di traffico voce. I
valori impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo.
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default.
Sintassi Stato
voip1 load max_jitter_tmo {0..200 (Only multiples of 10 allowed)} CONFIG,
(Maximum Jitter of the Time) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load max_jitter_tmo 10
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto di compensare il fenomeno del jitter nel caso della trasmissione di fax. I valori
impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default.
Sintassi Stato
voip1 load min_jitter_tfax {0..200 (Only multiples of 10 allowed)} CONFIG,
(Minimum Jitter of Fax Time) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load min_jitter_tfax 20
Il comando che segue consente, attraverso un opportuno settaggio del valore numerico
richiesto di compensare il fenomeno del jitter nel caso della trasmissione di fax. I valori
impostati devono essere multipli di 10 ed il minimo non deve superare mai il massimo
In generale tali parametri non vengono modificati perché sono già corrette le impostazioni di
default.
Sintassi Stato
voip1 load max_jitter_tfax {0..200 (Only multiples of 10 allowed)} CONFIG,
(Maximum Jitter of Fax Time) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load max_jitter_tfax 30
Il comando che segue identifica il tempo max di registrazione al server in sec (è il keepalive)
Sintassi Stato
voip1 load sip_proxy_tmo {10-18000} (Desired Expire Time in seconds) CONFIG
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load sip_proxy_tmo 180
Sintassi Stato
voip1 load dns_addr <a.b.c.d> (DNS Server IP Address) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load dns_addr 1.1.1.1
Sintassi Stato
voip1 load domain_name <Alphanumeric String> (Domain Name) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load domain_name Elsag
Il comando che segue specifica il numero degli apparecchi telefonici che possono essere
usati; il parametro va da un minimo di 1 a un massimo di 4 essendo 4 le porte utilizzabili.
Sintassi Stato
voip1 load nb_use_phone {1..4} (Number of the telephones to use) CONFIG,
RELEASE
Esempio
(CONFIG) > voip1 load nb_use_phone 2
Il comando che segue specifica il numero di chiamate che possono essere gestite per ogni
canale; al massimo ogni canale corrispondente ad una porta fisica può sostenere due
chiamate.
Sintassi Stato
voip1 load calls_per_ch {1|2} (Number of Calls allowed per Channel) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load calls_per_ch 2
Il comando che segue serve per abilitare o disabilitare l’effetto eco che può essere fastidioso
se si presenta oltre un certo tempo; normalmente risulterà sempre abilitato.
Sintassi Stato
voip1 load echo_canceller {0|1} (Disable/Enable the cancellation of the CONFIG,
Echo) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load echo_canceller 0
Il comando che segue, se abilitato, serve per rilevare l’attività vocale; può essere utile per
sfruttare l’ampiezza di banda non utilizzata per la trasmissione della voce per altri scopi. Tale
rilevazione però non sempre è possibile a causa della presenza di rumori di sottofondo che si
possono avere nel momento in cui si sta effettuando la chiamata
Sintassi Stato
voip1 load vad_cng_mgt {0|1} (Disable/Enable the Activity Detector) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load vad_cng_mgt 0
Il comando che segue serve per indicare il tipo di codifica che può supportare il dispositivo;
possono essere elencate più codifiche in modo da permettere la comunicazione con un’
ampia gamma di dispositivi.
Sintassi Stato
voip1 load capab_order {0..10} (Sequence of the Codecs to use CONFIG,
(Maximum 11 codecs)) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load capab_order 5
Per il CODEC G-723 con packet size pari a 30 ms abbiamo la possibilità di settare due
bitrate diversi. Il valore di default è 1.
1. bitrate pari a 5.3Kb/s.
2. bitrate pari a 6.4Kb/s.
Sintassi Stato
voip1 load G723_bitrate {1|2} (Bitrate of G723 CODEC:1 = 5,3 kb / s,2 = CONFIG,
6,4 kb/s) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load g723_bitrate 2
Il comando che segue consente di mappare con Payload Type diversi lo stesso CODEC
G726.
Sintassi Stato
voip1 load G726_mapping {0|1} (Mapping of G726 CODEC:0=111,1=2) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load g726_mapping 1
Il comando che segue permette di scegliere se inserire uno o tutti i codec utilizzabili nel
pacchetto di “200 Ok” di risposta ad una richiesta di INVITE. Se il valore del comando è pari
a 0 la risposta conterrà tutti i codec utilizzabili, se il valore è pari a 1 nel pacchetto di risposta
sarà presente il primo codec utilizzabile
Sintassi Stato
voip1 load interoperability {0|1} (All/One matching CODECs in the CONFIG,
Answer msg to the INVITE Request)] CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load interoperability 0
Nel comando che segue i valori <0|1> rappresentano lo stato <Disable|Enable> – Se abilitato
inoltra la chiamata entrante al prossimo UserAgent se non c’e’ risposta entro 15s
Note:VoIP1 rappresenta il numero dell’interfaccia voip e puo’ variare da 1 a 4 (SAS-PCI).
Sintassi Stato
CONFIG,
Voip1 load multiline <0|1> CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load multiline 0
Il comando che segue consente di scegliere il tempo di durata per gli RTPEvent.
Sintassi Stato
voip1 load rtp_event_duration {30..300} (Set the RTP event timer CONFIG,
duration) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load rtp_event_duration 210
Il comando peer2peer server per gestire le chiamate (in modalità peer to peer) con il campo
To non perfettamente indicato. Il campo To è composto da Alias, IP e porta, se il valore del
peer2peer è 0 vengono accetati solamente pacchetti che hanno l’Alias corretto, mentre
vengono scartati quelli privi di Alias oppure con un Alias non corretto. Se il valore del
peer2peer è 1, invece, tutti i pacchetti, indipendentemente dal fatto che sia o meno un Alias
e che sia corretto, vengono accettati
Sintassi Stato
voip1 load peer2peer {0|1} (Peer to peer working mode:0=srict,1=loose) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load peer2peer 1
Il comando che segue consente di modificare il tono che sente l’utente che vuole
intraprendere una chiamata nel momento in cui alza la cornetta. Il parametro può essere
modificato specificando i dodici valori numerici che lo caratterizzano.
Sintassi. Stato
voip1 load dialtone {mix, f1, f2, dbm, T1on, T1off, T2on, T2off, T3on, T3off, CONFIG
T4on, T4off} RELEASE
Esempio
(CONFIG) > voip1 load dialtone 1,425,425,-12,4800,8000,1600,1600,0,0,0,0
Il comando che segue consente di modificare il tono che l’utente chiamante sente nel
momento in cui trova occupato il numero chiamato. Può essere modificato specificando i
dodici valori numerici che lo caratterizzano.
Sintassi Stato
voip1 load busytone {mix, f1, f2, dbm, T1on, T1off, T2on, T2off, T3on, T3off, CONFIG
T4on, T4off} RELEASE
Esempio
(CONFIG) > voip1 load busytone 1,425,425,-20,4000,4000,0,0,0,0,0,0
Il comando che segue consente di modificare il tono che sente l’utente chiamante, una volta
composto il numero, in attesa di una risposta dal chiamato. Può essere modificato
specificando i dodici valori numerici che lo caratterizzano
Sintassi Stato
voip1 load ring_bk_tone {mix, f1, f2, dbm, T1on, T1off, T2on, T2off, T3on, CONFIG
T3off, T4on, T4off} RELEASE
Esempio
(CONFIG) > voip1 load ring_bk_tone 1,425,425,-20,8000,32000,0,0,0,0,0,0
Porta UDP per la segnalazione SIP (di default è la 5060). Deve coincidere con quella
impostata sul server.
Sintassi Stato
voip1 load sip_register_port {[1024..1900] [2100..49000]} (Sip Register Port to CONFIG
use) RELEASE
Esempio
CONFIG > voip1 load sip_register_port 49000
Sintassi Stato
voip1 load place_call {0..3} (Select the way to place calls) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load place_call 3
Sintassi Stato
voip1 load sip_reg_mask {0..3} {0|1} (Channel) (Disable/Enable the CONFIG,
registration request) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load sip_reg_mask 0 0
Sintassi Stato
voip1 load cpt_freq {0..2} {f1,f2,f3,f4} (Tone:0=Dial,1=Busy,2=Ring Back) CONFIG,
(Freq. (HEX values)) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load cpt_freq 0 0x78ef,0x78ef,0x6485,0x6485
Il comando che segue consente di selezionare la cadenza del Call Process Tone
Sintassi Stato
voip1 load cpt_cadence {0..2} {tD, TPB, Con1, Coff1, Con2, Coff2, ETh1, CONFIG,
ETh2} (Tone) (Settings (HEX values)) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load cpt_cadence 0 0x7d0, 0xf, 0x12c0, 0x1f40, 0x640, 0x640,
0x1000, 0x200
Il comando che segue consente di selezionare il tipo di Payload codec per RFC2833. (Va da
90 a 127 escluso il 100 ed il 111).
Sintassi Stato
voip1 load rfc2833pt {90..127 (100 & 111 are not allowed)} (Payload CONFIG,
Type) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load rfc2833pt 114
Il comando che segue imposta come lo squillo del telefono (di default è quello italiano =
50,200,50,200).
Sintassi Stato
voip1 load ring_seq {t1,t2,t3,t4} (Ring Time Sequence) CONFIG
RELEASE
Esempio
(CONFIG) > voip1 load ring_seq 50,200,50,200
Esempio
(CONFIG RUN) > voip1 load busy_td 2
Il comando che segue assegna la porta UDP associata al canale 0 per la segnalazione SIP
(definita questa porta, agli altri canali saranno assegnate automaticamente le porte CH0+2,
CH0+4, CH0+6).
Sintassi Stato
voip1 load sip_gw_port {Integer} (Starting value for SIP Range Port) CONFIG
RELEASE
Esempio
(CONFIG) > voip1 load sip_gw_port 5060
Il comando che segue consente di selezionare la porta UDP per il traffico RTP associato al
canale 0 (definita questa porta le altre saranno associate automaticamente secondo il
seguente schema: Channel 0 (P0-P0+4); Channel 1 (P0+8- P0+12); Channel 2 (P0+16-
P0+20); Channel 3 (P0+24-P0+28) dove P0 è la porta UDP definita con il comando in
oggetto e associata al canale 0. Come si può notare ad ogni canale è associato un range di
4 porte).
Sintassi Stato
voip1 load rtp_gw_port {Integer} (Starting value for RTP Range Port) CONFIG
RELEASE
Esempio
(CONFIG) > voip1 load rtp_gw_port 8000
Esempio
(CONFIG RUN) > voip1 load sip_proxy_port 5060
La scheda VoIP presenta tre porte fisiche funzionanti come FXS e una che può funzionare
sia come FXS sia come FXO; con questo comando vengono assegnati i numeri di telefono
corrispondenti a tali porte. L’assegnazione avviene specificando il numero di porta [0-3] e il
numero di telefono.
Sintassi Stato
voip1 load phonenumber {0..3} {phone number} (Channel) (Associated CONFIG
Telephone Number) RELEASE
Esempio
(CONFIG) > voip1 load phonenumber 0 4000
Il comando che segue associa al numero di telefono configurato su quel canale un nome.
Sintassi Stato
voip1 load channel_name {0..3} {Alphanumeric String} (Channel) (Associated CONFIG
Channel Name) RELEASE
Esempio
(CONFIG) > voip1 load channel_name 0 Channel0
Il comando che segue permette di redirezionare tutte le chiamate in ingresso in una porta
fisica verso un altro utente.
Sintassi Stato
voip1 load always_fwd_to {0..3} {Phone Number} (Channel) (Phone Number CONFIG
Used to Forward the Calls) RELEASE
Esempio
(CONFIG) > voip1 load always_fwd_to 0 5000
Il comando che segue consente di marcare i pacchetti di traffico voce in uscita da una porta
fisica del dispositivo. In generale la marcatura dei pacchetti può servire all’amministratore di
rete per raggruppare i vari flussi in modo da ottenere determinate classi di servizi in termini di
banda e di latenza. Inoltre può essere utile per gestire in maniera corretta la priorità del
traffico.
Sintassi Stato
voip1 load tos {0..3} {0x00-0xFF} (Channel) (Value of the TOS) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load tos 0 0x3a
Il comando che segue consente di specificare se le porte fisiche della scheda funzionano da
FXS o da FXO. Nella scheda utilizzata può essere modificata solo la quarta porta.
Sintassi Stato
voip1 load ch_mode {0..3} {0|1} (Channel) (Desired Mode for the CONFIG,
Channel:0=FXS,1=FXO) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load ch_mode 3 1
Il comando che segue imposta il modo in cui la porta FXO gestisce le chiamate entranti
(vale, quindi solo se ch_mode 3 = 1): 0 = PLAR MODE tutto il traffico interessato è ridiretto
verso il numero di telefono specificato da fxo_redir_in_ch; 1 = 2SD (Dual Stage Dialing) alle
chiamate in ingresso l’FXO risponde con un segnale di libero al quale chi ha effettuato la
chiamata deve far seguire in numero di telefono da raggiungere
Sintassi Stato
voip1 load fxo_in_ch_mode {0..3} {0|1} (Channel) (Desired Mode for the CONFIG,
Incoming Calls:0=PLAR,1=2SD) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load fxo_in_ch_mode 3 0
Il comando che segue condente di scegliere come configurare il codec G726, se messo a 0
viene configurato come Little Endian, se invece è posto ad 1 viene configurato come Big
Endian
Sintassi Stato
voip1 load g726_endian {0|1} (Desidered mode: 0=Little Endian, 1=Big CONFIG,
Endian) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load g726_endian 1
Il comando che segue consente di selezionare il numero di telefono verso cui inoltrare le
chiamate in ingresso al canale 3 nella modalità PLAR MODE.
Sintassi Stato
voip1 load fxo_redir_in_ch {0..3} {Phone Number} (Channel) (Phone CONFIG,
Number to redirect the Incoming Calls) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load fxo_redir_in_ch 3 4000
Il comando che segue associa ad un canale un utente individuato dalla tripletta numero di
telefono,indirizzo IP,porta SIP. Ad ogni canale si possono associare al massimo 8 utenti.
Sintassi Stato
voip1 load addr_book {0..3} {Alphanumeric String} (Channel) (Phone CONFIG,
Number,a.b.c.d,port) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load addr_book 0 5000,2.2.2.2,5060
Il comando che segue seleziona la DTMF redundancy, ossia quante volte invio i toni DTMF 0
= tanti pacchetti RTP per quanto viene premuto il tasto con un pacchetto RTP finale ripetuto
un’unica volta volta, 1 = tanti pacchetti RTP per quanto viene premuto il tasto con un
pacchetto RTP finale ripetuto 3 volte.
Sintassi Stato
voip1 load tel_redundancy {0..3} {0|1} (Channel) (Disable/Enable the CONFIG,
Redundancy on DTMF Transmitted) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load tel_redundancy 0 0
Sintassi Stato
voip1 load dtmf_mode {0..3} {0|1} (Channel) (Disable/Enable the Transport CONFIG,
of DTMF) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load dtmf_mode 0 0
Il comando che segue disattiva/attiva la visualizzazione del campo contact nel pacchetto SIP.
Sintassi Stato
voip1 load en_custom_contact {0..3} {0|1} (Channel) (Disable/Enable the CONFIG
Custom Contact) RELEASE
Esempio
(CONFIG) > voip1 load en_custom_contact 0 1
Sintassi Stato
voip1 load custom_from {0..3} {Alphanumeric String} (Channel) CONFIG,
(Alias,SIP:Username@URL) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load custom_from 0 VoIP,sip:Elsagdatamat@elsagdatamat.com
Sintassi Stato
voip1 load custom_contact {0..3} {Alphanumeric String} (Channel) (Alias) CONFIG,
CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load custom_contact 0 Elsagdatamat
Il comando che segue definisce il modo con cui mi presento: 0 = numero di telefono IP
scheda VoIP; 1 = ANONYMOUS; 2 = numero di telefono@IP server register; 3 = come
specificato dal comando custom_from
Sintassi Stato
voip1 load from_setup {0..3} {0-3} (Channel) (Select the Way to Show the CONFIG
Informations) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load from_setup 0 2
Il comando che segue identifica il nome utente associato al canale per autenticarsi al Call
Manager. Di default è: 123 per tutti i canali.
Sintassi Stato
voip1 load auth_usr_name_ch {0..3} {Alphanumeric String} (Channel) CONFIG
(Authentication Username) RELEASE
Esempio
(CONFIG) > voip1 load auth_usr_name_ch 0 123
Il comando che segue identifiaca la password utente associata al canale per autenticarsi al
Call Manager. Di default è: 123 per tutti i canali.
Sintassi Stato
voip1 load auth_pssw_ch {0..3} {Alphanumeric String} (Channel) (Authentication CONFIG
User Password) RELEASE
Esempio
(CONFIG) > voip1 load auth_pssw 0 123
Esempio
(CONFIG RUN) > voip1 load fwd_busy 0 5000
Il comando che segue avvia il trasferimento via TFTP dell’immagine SW della scheda VoIP.
[1-4]: avvio il trasferimento via TFTP di: 1-3: non utilizzato 1 = SW in una partizione ufficilae;
2 = SW in una partizione di backup; 3 = file per la Answering Machine; 4 = SW di boot.
Sintassi Stato
voip1 load code [{1|2|3|4}] (Start Tftp SW Loading with Optional type of CONFIG,
code 1-4) CONFIG RUN
RELEASE
Esempio
(CONFIG RUN) > voip1 load code
32 NETFLOW V.5
I servizi NetFlow consistono in numerose statistiche fatte dal router sui flussi unidirezionali, i
dati raccolti vengono poi spediti verso un ‘collector’ esterno. Un flusso viene identificato
come il traffico passante da un determinato punto di osservazione ed avente delle
caratteristiche comuni quali ad esempio indirizzo sorgente, destinatario, protocollo,
interfaccia porte e tos. NetFlow permette di fare statistiche come ad esempio il numero di
pacchetti passati, dimensione del flusso, tempo arrivo primo pacchetto ecc....
FUNZIONALITÀ
FLUSSI UNIDIREZIONALI
Indirizzo IP sorgente
Indirizzo IP destinatario
Porta Sorgente
Porta destinataria
Protocollo
Type of Service (ToS)
Ifc/subifc di ingresso e/o di uscita
I 7 campi chiave definiscono un unico flusso se anche solo uno di questi parametri risulta
differente per 2 pacchetti essi si condsiderano appartenenti a flussi diversi.
Nel Netflow v.5 a questi 7 campi possono aggiungersene altri due:
NETFLOW CACHE
I dati statistici relativi ai flussi attivi sono memorizzati in una cache. Per default la cache
contiene informazioni per 32K flussi (default, configurabile sino al massimo 128K), ogni
flusso necessita di 56 byte (netflow v5 su Gaia), per un totale di 2MB circa di RAM(al
massimo configurabile va ad occupare 8MB).
i dati statistici relativi ai flussi non più attivi danno origine ad un report, quindi sono eliminati
dalla cache.
Un insieme di più report (al massimo 30) è esportato, verso una destinazione configurabile,
per mezzo di datagrammi UDP.
Un flusso che rimane attivo per più di 30 minuti (valore di default, configurabile [1,60]min)
viene considerato scaduto,
da origine ad un report ed è comunque eliminato dalla cache per poi, eventualmente, essere
reinserito.
ogni secondo
allo scadere del 30-esimo flusso (netflow v5)
Ogni secondo la cache è scandita per dare origine all’export dei flussi scaduti, se la cache si
avvicina alla condizione di full esiste un meccanismo per svuotarla generando il report dei
flussi più “vecchi”.
Quando, infatti, il numero dell entry in cache supera l’ 85% della dimensione totale della
cache ogni secondo viene inviato un gruppo di export.
È possibile impedire l’invio di un export quando il numero di flussi in esso contenuto è
inferiore ad soglia configurata.
Se questo limite non è impostato gli export sono inviati anche contenendo un solo flusso.
NETFLOW REPORT
IP sorgente e destinatario
Indirizzo next hop
Interfaccia (numero) di Input ed output
Numero di pkt del flusso
Numero di ottetti del flusso
Primo e ultimo time stamp del flusso
Porta Sorgente e destinataria
Protocollo
Type of Service
BGP AS number sorgente e destinatario (origine o peer)
Maschera sorgente e destinataria
TRAFFICI MONITORABILI
È possibile limitare il traffico monitorato da netflow definendo dei filtri creando un legame con
le traffic list.
Sono associabili al massimo 5 Traffic list alle operazioni di Netflow.
La configurazione di queste liste limiterà il traffico monitorato da una operazione ai soli flussi i
cui pacchetti stanno nell’insieme dei parametri delimitati da almeno una delle liste.
PACCHETTI PER L’EXPORT
Header IP
Header UDP
Header Netflow
Flow Record
Flow Record
...
Flow Record
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| srcaddr |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| dstaddr |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| nexthop |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| input | output |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| dPkts |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| dOctects |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| First |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Last |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| srcport | dstport |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| pad1 | tcp_flags | prot | tos |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| src_as | dst_as |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| src_mask | dst_mask | pad2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Struttura del Flow Record
NETFLOW ED SNMP
Tutte le informazioni raccolte dal modulo Netflow nella sua cache e i suoi parametri di
configurazione sono visionabili
Tramite SNMP. Le informazioni le possiamo trovare sotto il nodo amtecNetflowMIB
(1.3.6.1.4.1.1954.9.387) nella
MIB proprietaria AMTEC.
Tabelle e variabili
Per poter configurare una operazione via SNMP è necessario che il modulo sia attivato
sull’apparato in forma minima ossia senza specifica di interfaccia:
NETFLOW V5 ON.
Come prima cosa dobbiamo segliere su quali interfacce abilitare il monitoraggio. Nella tabella
amt-cnfCIInterfaceTable (indicizzata per interfaccia) andiamo a settare la direzione di
osservazione su almeno una delle interfacce disponibili.
Come seconda cosa dobbiamo impostare i parametri del collector. Per settare questo
dobbiamo fare una set nella tabella
amt-cnfEICollectorTable settando la riga status con il valore ‘createAndGo(4)’. La tabella
ha quattro indici
amt-cnfCICacheType (della tabella amt-cnfCICacheTable) che nel nostro caso può essere
solo 0.
amt-cnfEICollectorAddress: indirizzo del collector. Deve essere scritto nel formato valore
intero di oni byte separato da punti preceduto dalla lunghezza(nel caso di indirizzo ipv4 è 4)
Variabile: amt-cnfEICollectorPort.0.1.4.11.99.77.11.2323
Valore: createAndGo(4).
Sintassi Stato
NETFLOW V5 ON [ <Interface>[/<Integer>] ] [ [DIR] BOOT, CONFIG, FT,
[EGRESS|BIDIR] ] PROC
RELEASE
Se non viene specificata una interfaccia I parametri di configurazione del modulo potranno
essere configurati via SNMP.
Esempio:
NETFLOW V5 ON
Sintassi Stato
NETFLOW ADDRESS EXPORT <IP Address> <dest port> CONFIG,
[ [MIN_FLOWS] [<min. flows to exp.(1-25)>] ] [ [BGP] RELEASE
[ORIGIN_AS|PEER_AS] ]
[ BGP_NEXT_HOP ]
Sintassi Stato
NETFLOW SET CACHE [ [NO_ENTRIES] [<(1- BOOT, CONFIG, FT,
128)X1024entries>] ] PROC
[ [ACTIVE_TIMEOUT] [<(1-60)min>] ] [ [INACTIVE_TIMEOUT] RELEASE
[<(1-600)sec>] ]
Esempio
CONFIG> NETFLOW SET CACHE NO_ENTRIES 64 ACTIVE_TIME OUT 1
INACTIVE_TIME OUT 30
Sintassi Stato
NETFLOW IPLIST <List name (20000-30000)> [ <List name CONFIG,
(20000-30000)> ] [ <List name (20000-30000)> ] [<List name RELEASE
(20000-30000)>] [<List name (20000-30000)>]
Esempio
CONFIG> NETFLOW IPLIST 22100
CONFIG>ADD IP TRAFFIC 22100 10.0.0.1 255.255.255.255 20.0.0.1 255.255.255.255 TCP
179 DENIED
Sintassi Stato
DUMP NETFLOW [ CHILD | CONF | CACHE | PROT ] CONFIG,
[<Options(all|no_en:<.>|src:<.>|dst:<.>|mask:<.>|ifc_in:<.>|ifc_out:<.>|prot: RELEASE
<.>|tos:<.>)>] [<Options>] [<Options>]
<Comando> DESCRIZIONE
[OPZIONE]:
CHILD Visualizza i parametric della Bss e dei child in pratica tutti i parametri di
lavoro
Esempio
CONFIG> DUMP NETFLOW CACHE
No_en:<...>: viene visualizzata la entry relativa alla posizione specificata con tutte le
informazioni
Prot:<.>: protocollo
Quando viene specificato un indirizzo filtro sia destinatario o sorgente la visualizzazione delle
entry contiene tutte le informazioni.
NETFLOW DEBUG
<level>:
Altri livelli:
64: Flusso delle funzioni del modulo
128: Messaggi nel main del modulo
256: Child di lavoro
512: Funzioni di configurazione
1024: Messaggi della parte netflow – SNMP.
33 IPV6
COMANDI DI CONFIGURAZIONE DEL MODULO IPV6
IPV6 ON
Sintassi Stato
<SUBIFC> IPV6 ON [<X:X:X:X::X>] [LINK-LOCAL] BOOT, CONFIG, FT,
PROC
RELEASE
IPV6 ON ADDRESS
Tale comando permette di configurare un indirizzo IPV6 di tipo non Link-Local sull’interfaccia
specificata. Qual’ora il modulo IPV6 non risultasse già attivo su tale interfaccia (comando:
<SUBIFC> IPV6 ON [<X:X:X:X::X>] [LINK-LOCAL]) tale comando provvede ad istanziarlo
configurando l’indirizzo Link Local implicitamente secondo procedura standard EUI-64.
Sintassi: Stato:
<SUBIFC> IPV6 ON <X:X:X:X::X> <Prefix: 0-128>[ANYCAST] BOOT, CONFIG, FT,
FPROC
RELEASE
Sintassi: Stato:
IPV6 DEFGTW <X:X:X:X::X> <Interface>[/<Integer>] BOOT, CONFIG, FT,
FPROC, CONFIG
RUN
RELEASE
Tale comando permette di configurare delle entry statiche nella tabella di routing IPV6
Risulta possibile configuare tale comando solo qualora il protocollo IPV6 risulti attivo almeno
su un’interfaccia.
Sintassi: Stato:
ADD IPV6 ROUTE <IPV6 Address Dst> <Prefix: 0-128> <IPV6 BOOT, CONFIG, FT,
Gateway> <Adm Distance> <Interface>[/<Integer>] FPROC, CONFIG
RUN
RELEASE
IPV6 ACCESS ON
Sintassi: Stato:
IPV6 ACCESS <INTERNAL/ROUTING> ON BOOT, CONFIG, FT,
FPROC
RELEASE
Sintassi: Stato:
ADD IPV6 ACCESS <Integer> <PERMIT/DENIED> <IPV6 BOOT, CONFIG, FT,
Address Src> <Prefix: 0-128>: <IPV6 Address Dst> <Prefix: 0- FPROC
128>: [<Interface>[/<Integer>]] [<Protocol>] [PORTS:<Source port RELEASE
range s1/s2>] [PORTD:<Destination port range s1/s2>]
<Comando> [OPZIONE]: DESCRIZIONE
<PERMIT/DENIED>: PERMIT=traffico consentito; DENIED=traffico non consentito
<IPV6 Address Src>: Indirizzo IPV6 sorgente
<Prefix: 0-128>: Prefisso dell’indirizzo sorgente
<IPV6 Address Dst>: Indirizzo IPV6 destinatario
<Prefix: 0-128>: Prefisso dell’indirizzo destinatario
[PORTS:<Source port Porta sorgente o range di porte sorgenti
range s1/s2>]:
PORTD:<Destination port Porta destinataria o range di porte destinatarie
range s1/s2>]:
Esempio:
CONFIG> ADD IPV6 ACCESS 10500 DENIED 2043::1 64 3002::1 32 ETHERNET2 UDP
PORTS:45/64 PORTD:78/89
Sintassi: Stato:
IPV6 ROUTING MULTICAST ON BOOT, CONFIG,
FT, FPROC,
CONFIG RUN
RELEASE
Esempio:
CONFIG> IPV6 ROUTING MULTICAST ON
Tale comando permette di configurare dei gruppi multicast statici all’interno della tabella di
routing multicast.
Risulta possibile configuare tale comando solo qualora il protocollo IPV6 risulti attivo almeno
su un’interfaccia.
In assenza del comando: IPV6 ROUTING MULTICAST ON, i gruppi multicast risultano
configurati ma non operativi.
Sintassi: Stato:
ADD IPV6 MULTICAST <X:X:X:X::X>[<Interface>[/<Integer>]] BOOT, CONFIG,
[<Interface>[/<Integer>]][<Interface>[/<Integer>]] CONFIG RUN, FT,
[<Interface>[/<Integer>]][<Interface>[/<Integer>]] FPROC
I<Interface>[/<Integer>]][<Interface>[/<Integer>]] RELEASE
[<Interface>[/<Integer>]]
<Comando> [OPZIONE]: DESCRIZIONE
<X:X:X:X::X>: Indirizzo multicast del gruppo
[<Interface>[/<Integer>]: Interfaccia verso la quale propagare il pacchetto multicast
appartenente al gruppo
Esempio:
ADD IPV6 MULTICAST ETHERNET1 ETHERNET2
TUNNEL MODE
Comando di attivazione su base SubInterface del tunnel IPV6. Tale comando permette la
configurazione del tunnel manuale (topologia punto-punto) e del tunnel 6TO4 (topologia
punto-multipunto).
L’interfaccia utlizzata può essere solo di tipo TUNNEL.
Sintassi: Stato:
<SUBIFC> MODE IPV6IP [<6TO4>] BOOT, CONFIG,
CONFIG RUN, FT,
FPROC
RELEASE
TUNNEL SOURCE
Sintassi: Stato:
<SUBIFC> SOURCE <INTERFACE/IP ADDRESS> CONFIG,
CONFIG RUN,
RELEASE
TUNNEL DESTINATION
Sintassi: Stato:
<SUBIFC> DESTINATION <IP ADDRESS> BOOT, CONFIG,
CONFIG RUN, FT,
FPROC
RELEASE
GRE ON SUBIFC
Sintassi: Stato:
GRE ON <SUBIFC> IPV6 BOOT, CONFIG,
CONFIG RUN, FT,
FPROC
RELEASE
Il modulo TELNET è predisposto per lavorare sia in modalità client che server su datagram
IPV6.
Di seguito si riportano i comandi per l’attivazione del telnet client su host IPV6
Sintassi: Stato
TELNET <IPV6 ADDRESS> CONNECT
RELEASE
Il modulo DNS è predisposto per la risoluzione di url con indirizzi IPV6, nel formato AAAA,
sia su datagram IPV4 che su datagram IPV6.
Nel secondo caso occorre specificare l’indirizzo IPV6 del server DNS.
DNS IPV6 ON
Tale comando consente di configurare l’indirizzo IPV6 del server DNS primario.
Sintassi: Stato:
DNS IPV6 ON <IPV6 ADDRESS> BOOT, CONFIG, FT,
FPROC
RELEASE
Esempio:
DNS IPV6 ON 7002::2
Tale comando consente di configurare l’indirizzo IPV6 del server DNS secondario.
Sintassi: Stato:
DNS IPV6 <IPV6 ADDRESS> SECONDARY BOOT, CONFIG, FT,
FPROC
RELEASE
Esempio:
DNS IPV6 7002::2 SECONDARY
Sintassi: Stato:
<SUBIFC> IPV6 ND RA ON BOOT, CONFIG,
CONFIG RUN, FT,
FPROC
RELEASE
Esempio:
ETHERNET1 IPV6 ND RA ON
Sintassi: Stato:
SUBIFC> IPV6 ND RA FIELDS [CHL] [<Current Hop Limit Value (0-255)>] BOOT,
[MAN-FLAG] [OTH-FLAG] [REACHABLE-TIME] [<value in msec>] CONFIG, FT,
[RETRANS-TIMER] [<value in msec>] FPROC,
CONFIG RUN
RELEASE
Tale comando consente ad un router di propagare i suoi prefissi (eccetto quello link-local) in
modo che gli host multi-homed si configurino correttamente.
Sintassi: Stato:
<SUBIFC> IPV6 ND RA PREFIX <X:X:X:X::X> <Prefix: 0-128> BOOT, CONFIG, FT,
[VALID-LIFETIME] [<Integer>] [PREFERRED-LIFETIME] FPROC, CONFIG
[<Integer>] [OFFLINK] [NO-AUTOCONFIG] RUN
RELEASE
Tale comando consente di stabilire la validità di un indirizzo verificando se sia già stato
assegnato ad un altro nodo.
Sintassi: Stato:
<SUBIFC> IPV6 ND DAD-ATTEMPTS <Integer> BOOT, CONFIG,
FT, FPROC
RELEASE
Tale comando consente di stabilire la frequenza con la quale spedire messaggi di Router
Advertisement.
Sintassi: Stato:
<SUBIFC> IPV6 ND RA INTERVAL <Integer> BOOT, CONFIG,
FT, FPROC
RELEASE
REDIRECTION ON
Tale comando consente di abilitare le funzionalità di Redirezione per informare altri nodi di
una migliore scelta del primo passo di instradamento.
Sintassi: Stato:
<SUBIFC> IPV6 REDIRECT BOOT, CONFIG,
FT, FPROC,
CONFIG RUN
RELEASE
Esempio:
ETHERNET1 IPV6 REDIRECT
Sintassi: Stato:
<SUBIFC> IPV6 MTU <Integer> BOOT, CONFIG, FT,
FPROC, CONFIG RUN
RELEASE
Sintassi: Stato:
<SUBIFC> IPV6 ND RA MIN-INTERVAL <Min Router CONFIG, CONFIG RUN
advertisement frequency [0.75 * MAX-INTERVAL)]> MAX- RELEASE
INTERVAL <Max Router advertisement frequency [4-1800]>
[ROUTER-LIFETIME] [<value in sec>]
Comando di rimozione delle entry presenti nella cache del Neighbor Discovery.
Sintassi: Stato:
<SUBIFC> IPV6 ND CACHE CLEAR CONFIG, CONFIG
RUN
RELEASE
PING6
Sintassi: Stato:
PING6 <X:X:X:X::X> [<Interface>[/<Integer>]] [RTR] [<number of SHOW, CONFIG,
pings>] [SIZE] [<len of pings>] [TMO] [<Timeout in sec>] [SENDER] CONFG RUN
[<X:X:X:X::X>] RELEASE
TRACERT6
Sintassi: Stato:
TRACERT6 [<X:X:X:X::X>] [SENDER] <X:X:X:X::X> SHOW, CONFIG,
CONFG RUN
RELEASE
IPV6 WFQ ON
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ BOOT, CONFIG,
ON CONFIG RUN, FT,
FPROC
RELEASE
Valori di default
L’algoritmo WFQ viene configurato di default con una banda di 10 Mbit, criterio di
accodamento TRAFFIC_CLASS_FLOW e con KBLI MIT di 50 Kbytes.
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ BOOT, CONFIG,
CRITERIA < traffic_class_flow/list_flow> CONFIG RUN, FT,
FPROC
RELEASE
Valori di default
Se non viene inserito il peso per la lista di default nel critero List Flow tale parametro assume
il valore di 5.
Comando per l’impostazione della banda da assegnare all’interfaccia e della soglia oltre la
quale avviene lo scarto pesato delle frames (KBLIMIT).
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ BOOT, CONFIG,
BANDWIDTH <Available bandwidth in Kbit/sec 1-100000> CONFIG RUN, FT,
[KBLIMIT] [<Limit in Kbytes for QOS queueing>] FPROC
RELEASE
Valori di default:
Se non viene inserito il parametro opzionale Kblimit tale valore assume il valore di default di
50 Kbytes.
Il comando in questione permette di assegnare ad uno specifico valore del parametro traffic
class il peso della coda cui verranno accodati i pacchetti con il valore di traffic class sopra
specificato quando il criterio di accodamento è TRAFFIC_CLASS_FLOW.
Poichè con il criterio TRAFFIC_CLASS_FLOW la coda di default assume il valore di traffic
class=0, configurando tale comando con detto valore si va di fatto ad impostare le
carratteristiche (peso, profondità della coda) della coda di default.
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ BOOT, CONFIG,
TRAFFIC-CLASS <Traffic class value (0-255)> WEIGHT <Weight for CONFIG RUN, FT,
the specified traffic flow 1-100> [KBQUEUE ] [<Queue's size in Kbytes. FPROC
This value must be included between 1 and the Kblimit>] [LIMIT] RELEASE
7 6 5 4 3 2 1 0
Bit configurabili
Bit del campo traffic class configurabili con il comando SET TRAFFIC
CLASS
Sintassi: Stato:
ipv6 traffic <Label for traffic (20000-30000) > SET TRAFFIC-CLASS BOOT, CONFIG,
<TRAFFIC CLASS value (0-255) > CONFIG RUN, FT,
FPROC
RELEASE
Sintassi: Stato:
Ipv6 traffic <Label for traffic (20000-30000) > SET WEIGHT <Weight for BOOT, CONFIG,
the specified traffic flow (1-100)> [KBQUEUE ] [<Queue's size in CONFIG RUN, FT,
Kbytes. This value must be included between 1 and the Kblimit>] FPROC
[LIMIT] RELEASE
Valori di default
Se non viene selezionata la profondità della coda, tale valore viene posto a zero e la ricerca
della coda cui scartare le frames nel caso in cui venga superato il limite aggregato delle code
(kblimit) avviene in base al peso e alla dimensione in bytes della coda stessa.
Sintassi: Stato:
IPV6 Traffic WFQ SHARES LIST <Label for traffic (20000-30000) > BOOT, CONFIG,
ON <Label for traffic (20000-30000) > CONFIG RUN, FT,
FPROC
RELEASE
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ CONFIG RUN
REFRESH RELEASE
Esempio:
ETHERNET1 SUBIFC NOME_PROFILO IPV6 WFQ REFRESH
Tale comando permette di configurare la coda ad alta priorità (Low Latency Queueing)
all’interno dell’ algoritmo WFQ quando il criterio di accodamento è LIST_FLOW. Risulta
possibile configurare una sola coda alta priorità.
Sintassi: Stato:
IPV6 TRAFFIC <Label for traffic (20000-30000) > WFQ PRIORITY BOOT, CONFIG,
PERCENTAGE <Percentage bandwidth reserved for WFQ priority CONFIG RUN, FT,
queue (1-100)> [KBQUEUE] [<Queue's size in Kbytes for WFQ FPROC
priority queue (0-32)>] [OUTPUT] [LIMIT] [<Guaranted Bandwidth RELEASE
percentage in situation of congestion (1-100)>]
<Comando> [OPZIONE]: DESCRIZIONE
< PERCENTAGE>: La percentuale della banda configurata per l’algoritmo WFQ
riservata alla coda ad alta priorità.
< OUTPUT>: Percentuale della banda totale garantita alla coda prioritaria in
situazioni di congestione. Tale valore deve essere minore della
percentuale (percentage) di banda configurata per la coda
prioritaria.
Esempio:
IPV6 TRAFFIC 21000 WFQ PRIORITY PERCENTAGE 70 KBQUEUE 32
Valori di default
Se non viene selezionata la profondità della coda, tale valore viene assume il valore di
default di 32.
Tale comando permette di configurare il limite massimo di byte che possono essere accodati
nella coda ad alta priorità quando il criterio di accodamento è LIST_FLOW.
Sintassi: Stato:
IPV6 TRAFFIC <Label for traffic (20000-30000) > WFQ PRIORITY BOOT, CONFIG,
INPUT LIMIT <Input Bandwidth percentage (1-100)> CONFIG RUN, FT,
FPROC
RELEASE
Tale comando permette di configurare la coda ad alta priorità (Low Latency Queueing)
all’interno dell’ algoritmo WFQ quando il criterio di accodamento è TOS_FLOW. Risulta
possibile configurare una sola coda ad alta priorità.
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ BOOT, CONFIG,
PRIORITY PERCENTAGE <Percentage bandwidth reserved for WFQ CONFIG RUN,
priority queue (1-100)> TRAFFIC-CLASS <Traffic class value (0-255)> FT, FPROC
[KBQUEUE] [<Queue's size in Kbytes for WFQ priority queue (0-32)>] RELEASE
[OUTPUT] [LIMIT] [<Guaranted Bandwidth percentage in situation of
congestion (1-100)>]
<Comando> [OPZIONE]: DESCRIZIONE
< SUBIFC>: Interface/SubInterface su cui è stato attivato l’algoritmo WFQ
{SUBIFC}: Specifica il nome del profilo
< PERCENTAGE>: La percentuale della banda configurata per l’algoritmo WFQ
riservata alla coda ad alta priorità.
< OUTPUT>: Percentuale della banda totale garantita alla coda prioritaria in
situazioni di congestione. Tale valore deve essere minore della
percentuale (percentage) di banda configurata per la coda
prioritaria.
Esempio:
ETHERNET2 SUBIFC NOME_PROFILO IPV6 WFQ PRIORITY PERCENTAGE 70
TRAFFIC-CLASS 8 KBQUEUE 32 OUTPUT LIMIT 30
Valori di default
Se non viene selezionata la profondità della coda, tale valore viene assume il valore di
default di 32.
Tale comando permette di configurare il limite massimo di byte che possono essere accodati
nella coda ad alta priorità quando il criterio di accodamento è TRAFFIC_CLASS_FLOW
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ BOOT, CONFIG,
PRIORITY TRAFFIC-CLASS <Traffic class value (0-255)> INPUT LIMIT CONFIG RUN,
<Input Bandwidth percentage (1-100)> FT, FPROC
RELEASE
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 WFQ BOOT, CONFIG,
REDISTRIBUTE CONFIG RUN, FT,
FPROC
RELEASE
IPV6 PQ ON
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 PQ ON BOOT, CONFIG,
CONFIG RUN, FT,
FPROC
RELEASE
Valori di default
L’algoritmo PQ viene configurato di default con una banda di 10 Mbit e criterio di
accodamento LIST_FLOW.
IPV6 PQ CRITERIA
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 PQ BOOT, CONFIG,
CRITERIA <traffic_class_flow/list_flow> CONFIG RUN, FT,
FPROC
RELEASE
IPV6 PQ BANDWIDTH
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 PQ BOOT, CONFIG,
BANDWIDTH <Available bandwidth in Kbit/sec 1-100000> CONFIG RUN, FT,
FPROC
RELEASE
Sintassi: Stato:
<SUBIFC> [SUBIFC] [<Sub ifc name - max 15 char ->] IPV6 PQ BOOT, CONFIG,
PRIORITY <HIGH/NORMAL/MEDIUM/LOW> TOS TRAFFIC-CLASS CONFIG RUN, FT,
<TRAFFIC CLASS value (0-255) > [PKTLIMIT] [<Queue's size in FPROC
packets. This value must be included between 1 and 120>] RELEASE
Valori di default:
Se non viene configurato il parametro opzionale PKTLIMIT alle code a priorità HIGH,
MEDIUM, NORMAL, LOW vengono assegnati rispettivamente i valori 20,40,60,80.
Sintassi: Stato:
IPV6 PQ PRIORITY HIGH TRAFFIC <HIGH/NORMAL/MEDIUM/LOW> BOOT, CONFIG,
traffic <Label for traffic (20000-30000) > [PKTLIMIT] [<Queue's size in CONFIG RUN,
packets. This value must be included between 1 and 120>] FT, FPROC
RELEASE
Valori di default
Se non viene confgurato il parametro opzionale PKTLIMIT alle code a priorità HIGH,
MEDIUM, NORMAL, LOW vengono assegnati rispettivamente i valori 20,40,60,80.
34 APPENDICE A
MAINTENANCE SERVER
Sia nella ricerca delle cause dei problemi di funzionamento, che nella verifica delle
prestazioni del software, è importante avere un riscontro visivo dello stato del sistema.
Inoltre, è utile, qualora l'apparato disponga di una porta di maintenance, poterlo configurare
localmente tramite UART.
I sistemi AMTEC, quali SAS-1000, SAS-860EN, SAS-860, etc,,,, dispongono di una console
accessibile da porta di maintenance (console locale) utilizzando un terminale TTY
configurato nel modo seguente:
bit/sec. 9600
bit/car. 8
parity NONE
stop bit 1
local echo OFF
Per poter accedere alla modalità "comando", una volta collegato il terminale alla porta di
maintenance, è sufficiente inserire una delle chiavi il cui valore esadecimale sia compreso fra
0x20 e 0x7F (lettere maiuscole e minuscole, tutti i numeri e i simboli normalmente utilizzati
sulla tastiera); quindi, il seguente prompt apparirà sul video:
comando di HELP
comando di CONNECT
comandi di ARP
comandi di SHOW
comandi di DUMP
comandi di DEBUG
comandi di TRACE
Per poter uscire dalla modalità "comando" occorre digitare un comando corretto (terminato
con "RETURN") oppure premere il tasto "ESCAPE" (chr 27).L’uscita avviene con conferma:
con y ci si disconnette dal configuratore mentre con n si permane nello stato connesso.
Usando il comando CONNECT, si accede allo stato di "connect".
Usando il comando CONFIG, si accede allo stato di "config".
Per evitare l’uscita senza conferma dallo stato di config, è stato previsto un nuovo stato
ST_CONFIRM che informerà l’utente della disconnessione;con "y" si esce e con "n" si
rimane in stato di config.
TELNET
Nella fase di configurazione e di manutenzione di una rete risulta molto utile poter accedere
al configuratore di un apparato in remoto, per questo L’applicazione Telnet è ormai uno
standard nel panorama delle applicazioni INTERNET.
Per raggiungere un apparato ovviamente deve esistere un instradamento tra l’host, dove gira
l’applicazione client, ed il router che si vuole configurare.
ABILITAZIONE
Non sono consentite connessioni loopback (server e client sulla stessa macchina).
È possibile configurare un intervallo di tempo in cui, in caso di inattività della sessione telnet,
la sessione viene abbattuta.
Sintassi Stato
TELNET SET TMO <Tmo for Inactivity (sec) [30 - 300]> CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
TELNET SET TRAFFIC <Label for traffic (20000-30000) > CONFIG,
CONFIG RUN
RELEASE
È possibile avere più sessioni telnet in un apparato. Allo stato attuale non è possibile avere
contemporaneamente più di quattro sessioni.
Sintassi Stato
TELNET SET MAX SESSION <Max telnet session> CONFIG
RELEASE
DISCONNESSIONE
CONFIGURAZIONE DI FABBRICA
Gli apparati AMTEC vengono forniti con una configurazione particolare che viene detta
Configurazione di fabbrica. Questa configurazione può essere ricaricata in ogni momento nel
modo descritto dal manuale d’installazione di ogni apparato. È indispensabile ricaricare la
configurazione di fabbrica se:
35 APPENDICE B
I comandi messi a disposizione dalla console interattiva sono:
comando di HELP
comando di CONNECT (solo da Maintenance Server
comandi di ARP
comandi di SHOW
comandi di DUMP
comandi di DEBUG (solo da Maintenance Server)
comandi di TRACE
comandi di LOG
HELP
Mostra una lista di comandi disponibili. La modalità comando rimane attiva in attesa di un
nuovo comando.
Sintassi Stato
HELP COMMAND STATE (solo da
Maintenance Server)
RELEASE
Esempio
--->help
Command:
CONNECT
TRACEON TRACEOFF
ADDARP ip_address ethernet_address
DELARP ip_address
[IFC/SUBIFC] PPP DOWN (Disable logical status)
NO [IFC/SUBIFC] PPP DOWN (Enable logical status)
DUMP subcommand:
ACCESS ARPTABLE BUSY FRYCONF FRYSTAT
HEX HHEX IPCONF IPNUA MEM
NATCONF NATTABLE PPPCONF PPPASTAT PPPLINK
IPSEC IKE TABROUT IPPBRTAB TCPCONN UDPCONN
IGMPTAB TABMULTICAST
OSPF
PROFILE REPORT DATE
COMANDI DI CONNECT
Sintassi RELEASE
CONNECT
COMANDI DI ARP
Sintassi RELEASE
DELARP <ip_address>
<Comando> [OPZIONE]: DESCRIZIONE
<ip_address>: indirizzo IP di cui si vuole eliminare l’associazione ip-
address/ethernet-address.
Sintassi RELEASE
ADDARP <ip_address> <ethernet_address>
<Comando> [OPZIONE]: DESCRIZIONE
<ip_address>: indirizzo IP di cui si vuole inserire l’associazione ip-
address/ethernet-address.
<ethernet_address>: indirizzo relativo ethernet nella tabella protocollo ARP.
COMANDI DI SHOW
Il comando può essere dato sia in fase di consultazione, sia in fase di configurazione e
mostra la configurazione o parte di essa a seconda del comando eseguito.
Sintassi Stato
SHOW SHOW, CONFIG
RELEASE
Esempio
---> show?
<ROUTE/ACCESS >:
<STATIC/POOL/LIST>:
Sintassi RELEASE
SHOW PROFILE [<string>]
<Comando> [OPZIONE]: DESCRIZIONE
SHOW PROFILE [<string>]: mostra i comandi relativi alla configurazione dei profili
<string>: nome di un profilo configurato; vengono visualizzate solo le
stringhe di comando relative al profilo.
DUMP
Sintassi RELEASE
DUMP <subcommand>
<Comando> [OPZIONE]: DESCRIZIONE
<subcommand>: sottocomando che indica il tipo di informazioni da visualizzare.
Sottocomandi DUMP
DUMP GENERALI
modello;
versione del software applicativo caricato;
configurazione;
dimensione della RAM;
indirizzo Ethernet;
causa dell’ultimo reset;
versione boot (se disponibile);
serial number;
data di compilazione
dimensione dei buffer;
numero totale di buffer;
buffer liberi;
massima occorrenza dei buffer;
minima occorrenza dei buffer.
2 report di default
3 report di lavoro
Di seguito è riportato l’elenco dei subcommand per i dump relativi alle varie
funzionalità e ai vari protocolli.
PING ESTESO
PROTOCOLLO IP
PEP
DUMP PEP CHILD [<integer>]: serve a visulizzare i child del protocollo Pep occupati.
[<integer>]: Opzionale.Se presente il dump visualizza il child specificato dal numero,
altrimenti vengono visualizzati tutti quelli occupati
ACCESS LIST
PROTOCOLLO ICMP
ICMP DISABLE WORK: stampa i filtri ICMP sulla generazione di pacchetti ICMP da
parte dell’apparato.
PROTOCOLLO DHCP
DHCP RELAY INFO: visualizza informazioni sui comandi di configurazione del relay e
sui pacchetti che transitano attraverso
PROTOCOLLO ARP
PROTOCOLLO TCP
PROTOCOLLO UDP
PROTOCOLLO NAT
Esempio
Protocol Version 1
Max req 2
Re-auhtperiod 15 sec
Tx period 6 sec
Server timeout 10 sec
Quiet period 10 sec
Rate limit period 777 sec
AUTHENTICATED MAC
| MAC |
|00:b0:d0:d5:a0:ee|Static|
|00:06:5b:20:08:b0|Dynamic|
| MAC |
|00:b0:d0:d5:a0:ce|Static|
|00:b0:d0:d5:a0:ce|Dynamic|
WAITING MAC
|00:b0:d0:d5:a0:a4|
|00:b0:d0:d5:a0:f3|
|00:b1:d0:d5:a0:43|
Authenticated mac 2
Not-authenticated mac 2
Waiting mac 3
PROTOCOLLO DNS
DNS CACHE: stampa la tabella delle entry memorizzate nella cache del Resolver Dns;
PROTOCOLLO XoT
X25VC: permette di visualizzare i circuiti virtuali attivi e lo stato della linea a livello di
protocollo.
PROTOCOLLO GRE
GRE TUNNEL: visualizza una tabella dove sono inseriti tutti i tunnel gre configurati;
GRE ACTIVE: visualizza una tabella dove sono inseriti tutti i tunnel gre attivi su
un’interfaccia, su una lista di traffico o su link;
GRE ON: visualizza una tabella dove sono inseriti tutti i tunnel gre configurati su
un’interfaccia su una lista di traffico o su link;
GRE IP_TRAFFIC: visualizza una tabella dove sono inseriti tutti i parametri relativi ad
una lista di traffico dove un tunnel gre è attivo;
GRE GROUP: visualizza una tabella dove sono presenti tutti i gruppi definiti;
GRE KEEPALIVE: visualizza i keepalive se abilitati;
GRE INTERFACE: visualizza su quali interfacce tunnel è stato configurato il gre.
PROTOCOLLO SNTP
SNTP CLIENT LINK [< integer >]: visulizza la struttura Link di lavoro. Se il campo <
integer > non è presente, vengono stampate tutte le strutture link, altrimenti questo
campo rappresenta il numero della struttura che si vuole visulizzare.
SNTP CLIENT GLOBAL VALUES: permette di visualizzare i parametri globali del
modulo
DUMP SNTP CLIENT KEY [INTEGER]: Questo Dump permette di visualizzare le
eventuali chiavi di autenticazione configurate:
QOS
QOSFLOW: visualizza l’elenco dei parametri (indirizzo sorgente, porta sorgente…) dei
flussi dati sui cui viene effettuato il QOS. Tale dump, essendo relativo alle liste di traffico
destinate al QOS, è comune ai due algoritmi WFQ e PQ.
QOSQUEUE <Alphanumeric string>: alphanumeric string: <Nome Interfaccia
/subinterface /profilo> utilizzato per verificare la corretta gestione delle informazioni.
Permette una visione dettagliata delle code relative all’algoritmo WFQ.
PROTOCOLLO RIP
PROTOCOLLO PBR
PROTOCOLLO OSPF
OSPF NODE: visualizza informazioni generali del processo OSPF del router, con le
caratteristiche di ogni area configurata;
OSPF MEM: fornisce informazioni relative alla memoria utilizzata dai moduli SW della
“future Software ” evidenziando i buffer allocati, liberi, occupati e allocazioni fallite;
OSPF INTERFACE: visualizza le informazioni circa le interfacce OSPF operative sul
Router;
OSPF V-LINK: visualizza le informazioni circa i Virtual Link OSPF attivi sul Router;
OSPF NEIGHBOR: visualizza le informazioni circa la lista dei vicini OSPF;
OSPF DATABASE: fornisce un sommario di tutto il database;
OSPF DATABASE ROUTER: fornisce informazioni circa i Router link;
OSPF DATABASE NETWORK: fornisce informazioni circa i Network link;
OSPF DATABASE SUMMARY: fornisce informazioni circa i Summary link;
OSPF DATABASE OPAQUE: fornisce informazioni circa gli OPAQUE link;
OSPF DATABASE ASBR_SUMMARY: fornisce informazioni circa ASBR Summary
link;
OSPF DATABASE EXTERNAL: fornisce informazioni circa gli External link;
OSPF DATABASE NSSA: fornisce informazioni circa gli external link relativi all’area
NSSA
OSPF AREA: visualizza le informazioni riguardanti i router presenti nelle varie aree;
OSPF AREA <integer>: visualizza le informazioni riguardanti i router presenti nell’area
specificata:<integer>: intero decimale.
OSPF AREA <IP address>: visualizza le informazioni riguardanti i router presenti
nell’area specificata;
OSPF ROUTE: visualizza le informazioni circa la tabella di routing OSPF;
PROTOCOLLO BGP4
PROTOCOLLO VRRP
PROTOCOLLO IGMP
PROTOCOLLO PIM
PROTOCOLLO ISDN
Esempio
IMA
IMA PARAM: visualizza i parametri utilizzati per il gruppo indicato (Differential delay
maximun, Active links minimum, Clock-mode, Clock common number, frame length,
Scrambling) e per tutte le porte (Gruppo, Clock source, Line code, Framing type, FDL,
National riserve, Haul type).
IMA PERF: visualizza alcuni contatori relativi al gruppo e alle porte (ad esempio,il
numero delle celle stuff ricevute e trasmesse.)
IMA STATE: visualizza lo stato dell’interfaccia, delle porte e del gruppo
WORKPARAM: visualizza alcuni parametri relativi al gruppo, come IMA ID del Far End
e del Near End, il frame length ricevuto e trasmesso, la versione del protocollo, il TRL
ricevuto e trasmesso. Il dump visualizza anche alcuni parametri relativi alle porte (work
mode, Physical group ID, Tx logical link ID, Rx logical link ID, Tx ICP offset).
ADSL
PROTOCOLLO PPP
FRY CONF [<interface: mostra le informazioni sulla configurazione del Frame Relay;
FRY STATE [<Dlci Id stato interno del Frame Relay.
MODULO RADIUS
Sul protocollo tacacs sono attivi seguenti dump, attivabili sia da console che da sessione
telnet:
PROTOCOLLO SSL
I dump disponibili sono i seguenti:
DUMP SSLSERVER TASK: visualizza lo stato dei task dinamici assegnati a ciascuna
connessione; in questo dump è possible verificare lo stato del task (255: libero; 0:
impegnato su una connessione telnet; 1: da rilasciare) e l’identificativo di connessione
ad esso assegnato.
DUMP SSLSERVER CHILD: visualizza le informazioni relative a ciascuna sessione
telnet.
DUMP SSLSERVER FS: visualizza le informazioni relative al file system a cui SSL fa
riferimento.
PROTOCOLLO IPSEC
PROTOCOLLO IKE
PROTOCOLLO DLSW
IEEE 802.2
DUMP I802 STATE [<link number>]: permette di visualizzare l’elenco delle connessioni
I802 viste dal lato del modulo I802 manager. L’indicazione dell’indice permette di
visualizzare in modo dettagliato una entry.
[<link number >]: indice della connessione I802 di cui verranno stampate informazioni
dettagliate.
DUMP I802 WORK [<link number >]: permette di visualizzare l’elenco delle connessioni
I802 viste dal lato del modulo I802 core. L’indicazione dell’indice permette di visualizzare
in modo dettagliato una entry.
[<link number >]: indice della connessione I802 di cui verranno stampate informazioni
dettagliate.
DUMP I802 IFC [<ID of the ifc>]: permette di visualizzare l’elenco delle interfacce I802.
L’indicazione dell’indice permette di visualizzare in modo dettagliato una entry.
[<ID of the ifc>]: indice dell’interfaccia I802 di cui verranno stampate informazioni
dettagliate.
DUMP I802 CACHE: permette di visualizzare l’elenco delle entry presenti nella cache che
gestisce i messaggi di TEST dell’I802.
PROTOCOLLO SNMP
SNMP USER: stampa la tabella USER TABLE, che contiene le impostazioni relative
agli utenti configurati (USER | AUTH PROT | PRIV PROT | STATUS).
SNMP GROUP: stampa la tabella SecurityToGroupTable, che contiene le informazioni
relative ai gruppi configurati, per quanto riguarda i livelli di sicurezza (USER | GROUP |
MODEL | STATUS).
SNMP ACCESS: stampa la tabella AccessTable, che contiene le informazioni relative
ai gruppi configurati per quanto riguarda le diverse view associate (GROUP |MOD|
LEVEL | READ VIEW | WRITE VIEW | NOT. VIEW | STATUS |)
SNMP VIEW: stampa la tabella ViewTreeFamilyTable, che contiene le informazioni
relative alle view configurate (VIEW | SUBTREE | MASK | TYPE | STATUS)
SNMP MANAGER: stampa la tabella ManagerTable, che contiene le informazioni
relative ai manager configurati (MANAGER | ADDRESS |FLAG | USER/COMMUNITY |
MODEL | STATUS)
SNMP COMMUNITY: stampa la tabella CommunityTable, che contiene le informazioni
relative alle community configurate (COMMUNITY | ACCESS TYPE |)
RMON
GESTIONE CERTIFICATI
LDAP
SCEP
MODULO SMARTCARD
CRYPTOCARD CONF: visualizza lo slot su cui è montata la crypto card e il suo stato di
funzionamento.
FUNZIONALITÀ FIREWALL
Sintassi RELEASE
DUMP FIREWALL STATISTIC ALG <H323 / MSN / AOL / RTSP / IRC / MSG /
QUAKE / ICQ>
DUMP FIREWALL STATISTIC POLICY
DUMP FIREWALL STATISTIC ASSOCIATION
È possibile avere informazioni statistiche relative ad alcuni ALG, alle policy ed alle
associazioni;
MODULO GLINK
Dump particolari:
DUMP VLAN PORT: Con questo dump è possibile visualizzare lo stato delle porte a
seguito del comando di configurazione: VLAN SWITCH PORT <port number>
INGRESS RATE_LIMIT TRAFFIC-CLASS <BEST|GOOD|NORMAL|WORST or
numeric range 15(best)-0 (worst)> TWICE comportamento di default riguardo al tag
802.1q in ingresso, VID, stato fisico, velocità di connessione, auto-negoziazione. Inoltre
è visualizzato come le porte dello switch sono collegate tra di loro. Il simbolo ‘*’ è posto
all’intersezione di quelle porte che sono in comunicazione tra di loro (si può dire che
formano un hub tra di loro).
DUMP VLAN DEFAULT:Con questo dump è possibile visualizzare il comportamento di
default che assumono le porte dello switch. Alcune delle caratteristiche mostrate sono
modificabili con i comandi di configurazione, altre benché variabili, non sono
direttamente modificabili dall’utente con l’attuale software.
DUMP VLAN QOS: Con questo dump è possibile visualizzare la configurazione sulla
QoS dell’apparato. Il dump è diviso in due parti.Nella prima viene mostrato lo stato di
ogni porta riguardo alla classificazione dei pacchetti in base al campo
TOS/DSCP/Traffic Class, coda di default per il traffico entrante, algoritmo di scheduling.
Nella seconda parte vengono mostrate le tabelle di mappatura globali CoS (802.1p) ->
Coda e DSCP -> Coda.
DUMP VLAN VTU: visualizza il db memorizzato nel chip.
DUMP VLAN ATU: visualizza la tabella in cui vengono immagazzinati i mac-address
acquisiti attraverso le porte dello switch.
DUMP VLAN STATS: visualizza le statistiche sulle porte dello switch:i pacchetti ricevuti
ed i pacchetti trasmessi.È possibile ripulire i contatori con l’opzione RESET.
DUMP RTR: Questa istruzione fornisce informazioni legate alle operazioni attive (sia
configurate che attivate da snmp)
DUMP RTR <NUM RTR(1-99)> STAT: Questa istruzione fornisce le informazioni
statistiche dell'operazione indicata nel campo <num rtr(1-99)>. Le statistiche riportate
forniscono i valori,calcolati, dell'RTT timer, dell'OneWay Delay e dei Jitter (per questi
ultimi due vengono forniti i valori dalla sorgente alla destinazione e viceversa)
DUMP RTR <NUM RTR(1-99)> STAT_OP: Questa istruzione fornisce i valori statistici
della penultima sonda e di quella appena processata per l'operazione descritta nel
campo <num rtr(1-99)>
DUMP RTR <NUM RTR(1-99)> CHILD: Questa istruzione attualmente fornisce le
stesse informazioni del primo dump in elenco.
LAYER 2 SWITCH
DUMP L2SWITCH < CHILD / VLAN >: visualizza la tabella dei children o/e delle vlan
configurate insieme al numero ed al tipo di porta associato, al tipo di interfaccia
associata, ecc…
DUMP SLI CONNECTION: visualizza lo stato delle strutture SLI. È un sottoinsieme del
dump delle connessioni TCP e UDP e si riferisce alle applicazioni che impiegano SLI.
VOIP
ESEMPI
dump voip child 0
dump voip child 0 detail.
FAST ROUTING
DUMP IPV6
DUMP IPV6 CONF: il dump in questione permette una visione dettagliata dei
parametri di configurazione delle interfacce IPV6 attive. Stato: SHOW, CONNECT,
CONFIG, CONFIG RUN.
Esempio:
|---------------- GLOBAL IPv6 CONFIGURATION ---------------|
Interface number = 1
DUMP IPV6 IFC <IFC_NAME>: il dump in questione permette una visione dettagliata
dei parametri relativi ad una singola interfaccia selezionata. Stato: SHOW,
CONNECT, CONFIG, CONFIG RUN.
Esempio:
--- ETHERNET_2 IPV6 INFO ---
Description: ETHERNET_2
Type: ethernetCsmacd(6)
IPV6 Add[0]: FE80::260:3BFF:FE00:9D11/10
IPV6 Add[1]: 2001:760:FFFF:FFFF::AA/126
Mac Add: 00:60:3b:00:9d:11
Mtu: 1500
Speed: 10000000
State: Up
DUMP IPV6 ROUTE: il dump in questione permette una visione dettagliata dei
parametri della tabella di routing IPV6. Stato: SHOW, CONNECT, CONFIG, CONFIG
RUN.
Esempio:
-------------------------- IPv6 Routing Table -------------------
Net dest 4002::/64
Interface ETHERNET2
Metric 1
Age 785
Gtw ::
--------------------------------------------------------------------Net dest
FE80::/10
Interface ETHERNET2
Metric 1
Age 785
Gtw ::
----------------------- Total entries = 2 --------------------------
Esempio:
-------------- IPv6 MULTICAST ROUTING TABLE ------------------------
Group FF05::2
Num ifc 2
Ifc ETHERNET1
ETHERNET2
DUMP IPV6 ACCESS LIST: Il dump in questione permette una visione dettagliata dei
parametri delle access list configurate. Stato: SHOW, CONNECT, CONFIG, CONFIG
RUN.
Esempio:
******************* DUMP IPv6 ACCESS LIST ***********************
Number\Type\Flag 10500\DENIED\11243
Source 2043::1/64
Dest 3002::1/32
Interface ETHERNET2
Protocol UDP
Src port range 45 - 64
Dst port range 78 - 64
-----------------------------------------------------------------
Number\Type\Flag 11100\PERMIT\1200
Source 2002::1/64
Dest 3002::1/32
Interface ETHERNET2
*****************************************************************
DUMP IPV6 ND: il dump in questione permette una visione dettagliata dei parametri di
Neighbor Discovery relativamente ad ogni interfaccia configurata. Stato: SHOW,
CONNECT, CONFIG, CONFIG RUN.
Esempio:
-------------------- Neighbors Discovery Interface Info -----------
ETHERNET2
> Reachable Time = 30000 millisecs
> Retrans Interval = 1000 millisecs
> DAD is enabled, N. of DAD attempts: 1
> RA Sending suppress
TUNNEL/1
> Reachable Time = 30000 millisecs
> Retrans Interval = 1000 millisecs
> DAD is enabled, N. of DAD attempts: 1
> RA Sending suppress
DUMP IPV6 ND-CACHE: il dump in questione permette una visione dettagliata dei
neighbor node presenti nella cache del Neighbor Discovery con informazioni relative a
raggiungibilità, età, Stato: SHOW, CONNECT, CONFIG, CONFIG RUN.
Esempio:
--------------------------- IPv6 Neighbors Cache ------------------
ETHERNET2
IPv6 Address Link-layer Addr State Flags Age
2001:760:FFFF:FFFF::AB 00:60:3b:00:88:cd REACH R 0
--------------------------------------------------------------------
IPv6 Address: Indirizzo IPv6 acquisito per un neighbor node.
Link-Layer Addr: indirizzo MAC relativo all’indirizzo IPv6 acquisito.
State: stato di raggiungibilità di un neighbor node.
Flags: tipologia di neighbor node.
Age: età della entry in cache.
DUMP QOSQUEUE: il dump in questione permette una visione dettagliata delle code
relative all’algoritmo WFQ. Stato: SHOW, CONFIG, CONFIG RUN.
Esempio:
IPV6 WFQ
Bandwidth 4500 kbit/sec
Kblimit 50 Kbyte
Redistribute ON
Internal Details
Active|Queue| hold | KB Queue |Traffic class|
No| 0| 0| 0.0| 140|
No| 1| 0| 2812.5| 150| Priority
queue
Yes| 2| 46| 0.0| 0|
Default queue
Total parameters
IPV6 WFQ Indica che l’algoritmo WFQ è attivo per lo stack IPV6
Bandwidth Indica la banda in Kbit/sec configurata per l’algoritmo
Kblimit Indica il limite aggregato delle code in Kbytes
Redistribute Indica se l’algoritmo di redistribuzione dei pesi è attivo
o meno
DUMP QOSPQ: il dump in questione permette una visione dettagliata delle code
relative all’algoritmo PQ. Stato: SHOW, CONFIG, CONFIG RUN.
Esempio:
IPV6 PQ
Medium| No| 2| 0| 0| 0|
0| 0|
Normal| No| 1| 0| 0| 0|
0| 0|
Low| No| 0| 128| 0| 0|
2| 0|
Internal Details
Total parameters
DEBUG
Il comando DEBUG attiva le trace su video.
Sintassi RELEASE
DEBUG <subcommand> <level>
<Comando> [OPZIONE]: DESCRIZIONE
<subcommand>: tipo di trace da attivare;
<level>: indica il livello di trace. Il valore 0 annulla il comando;
Se vengono attivati diversi debug si consiglia di attivare il comando PRND ON che bufferizza
le print.
Sintassi Stato
PRND ON COMMAND
STATE
RELEASE
Sintassi RELEASE
DEBUG PKT SHOW
Sintassi RELEASE
DEBUG ON [LOG]
Sintassi RELEASE
DEBUG TIME [<minuti / secondi / decimi di secondo]
Sintassi RELEASE
DEBUG DATE [<MESE / GIORNO / ANNO ]
Sintassi RELEASE
DEBUG <Name of the module> [<debug level (bit field>] [<Key Identifier>]
[<timeout for debug]
Sintassi RELEASE
DEBUG PKT FILTER <Ip Address Src> <Ip Mask Src> <Ip Address Dst> <Ip
Mask Dst> [PROTOCOL] [<Protocol>] [PORT] [<port src or dst>] [IFC]
[<Ifc_In>]
Di seguito sono riportati gli elenchi dei possibili subcommand per i DEBUG dei vari
moduli
PROTOCOLLO IP
IP (0,255): attiva il debug sul protocollo IP; sono attivabili i seguenti livelli di debug, tra di
loro sommabili:
PROTOCOLLO DHCP
PROTOCOLLO ARP
PROTOCOLLO TCP
PROTOCOLLO UDP
PROTOCOLLO ICMP
PROTOCOLLO NAT
PEP
PROTOCOLLO DNS
DNS: attiva il debug sul protocollo DNS e i subcommand sono così strutturati:
PROTOCOLLO SNTP
SNTP: attiva il debug sul protocollo SNTP e i subcommand sono così strutturati:
QOS
Sintassi RELEASE
DEBUG IPQOS <numero del livello di debug 1-255>
Sintassi RELEASE
DEBUG IPPQ <numero del livello di debug 1-255>
Sintassi RELEASE
DEBUG IPWRED <numero del livello di debug 1-255>
PROTOCOLLO XOT
PROTOCOLLO GRE
0 disabilita i debug;
1 visualizza i messaggi di errore;
2 visualizza i messaggi di allarme;
4 visualizza gli frame ricevuti;
8 visualizza le funzioni chiamate;
16 visualizza le frame inviate;
32 varie;
255 tutti i debug attivi.
PROTOCOLLO RIP
1 primitive;
2 configurazione interfaccia;
4 trace messaggi inviati;
8 trace messaggi ricevuti;
1 errori;
2 warning;
3 nozioni sui vicini;
4 messaggi ricevuti da IP e udp;
5 scambio di pacchetti rip2091;
6 attivazione e disattivazione timer;
7 stampe di valori dei pacchetti e delle entry.
PROTOCOLLO PBR
PROTOCOLLO OSPF
PROTOCOLLO BGP4
PROTOCOLLO IGMP
IGMP 1: Errori
IGMP 2: Warning
IGMP 3: Messaggi Ricevuti
IGMP 4: Funzioni chiamate
IGMP 5: Messaggi Inviati
IGMP 6: Attivazione e Disattivazione Timer
IGMP 7: Stampe di valori
PROTOCOLLO PIM
PIM: esistono attualmente due soli livelli di debug attuabili da console con i seguenti
comandi:
PROTOCOLLO VRRP
PROTOCOLLO ISDN
ISDN (0,31): attiva il debug sul canale D; sono attivabili i seguenti livelli di debug, tra di
loro sommabili:
1 traffico dati
2 procedure del LAPD management (es. assegnamento TEI) Livello 2 MNG
4 procedure del Q931 - Livello 3
8 procedure di SETUP e DISCONNECT - Livello 4
16 procedure del controllore ISDN - Livello 1
MODULO WAN
PROTOCOLLO ADSL
PROTOCOLLO PPP
PPP (0,15): attiva il debug sul protocollo PPP; sono attivabili i seguenti livelli di debug, tra
di loro sommabili:
1 eventi da e per il PPP
2 errori
4 traffico dati
8 stato interno
PROTOCOLLO X.25
PROTOCOLLO LAPB
LAPB (0, 2023): attiva il debug sul modulo LAPB QUADS; è possibile visualizzare i
seguenti eventi sommabili (vedi manuale QUADS):
2 DL DATA indication
16 DL CONN indication
32 DL CONN confirmation
64 DL DISC indication
128 DL DISC confirmation
1024 MDL ERROR indication
PROTOCOLLO LAPD
LAPD (0,32767): attiva il debug sul modulo LAPD QUADS; è possibile visualizzare i
seguenti eventi sommabili (vedi manuale QUADS):
2 DL DATA indication
16 DL EST indication
32 DL EST confirmation
64 DL REL indication
128 DL REL confirmation
256 DL UDATA indication
512 MDL ASN indication
1024 MDL ERROR indication
2048 MDL UDATA indication
4096 MDL XID confirmation
8192 MDL XID indication
16384 EXT MDL error
PROTOCOLLO RSRB
PROTOCOLLO RADIUS
TACACS+
I debug tacacs sono attivati dal comando debug tacacs <integer>, dove <integer> può
assumere i valori compresi tra 1 e 128.
Livelli di debug:
1, descrive le situazioni di errore;
4, descrive gli eventi della sessione tcp associata alla sessione tacacs;
8, stampa le trace relative alla gestione dei parametri di autenticazione;
16, stampa le trace relative alla gestione dei child tacacs;
64, stampa le trace relative ai timer/timeout tacacs
128, stampa le trace relative ai pacchetti tacacs ricevuti ed inviati.
PROTOCOLLO IPSEC
PROTOCOLLO IKE
NOTA: data la notevole mole di stampe prodotte dai livelli superiori al 4°, se ne
sconsiglia vivamente l’uso se non in condizioni di particolare esigenze. In questo
caso, ricordarsi di aumentare i tempi di negoziazione.
Il protocollo IKE gestisce anche i log seguendo lo schema standard. Ogni stringa di log inizia
con l’identificativo del modulo (“IKE Ist phase” oppure ”IKE IIth phase”), poi c’è il nome della
connessione per la prima fase oppure l’indice nella seconda ed infine un indice univoco
assegnato ad ogni peer remoto che si connette (indicato tra due trattini, p.e. -34-).
Quest’ultimo indice viene replicato tra le verie SA, sia IKE che IPSec che si succedono
mantenendo comunque la possibilità di colloquio tra i due peer.
PROTOCOLLO DLSW
PROTOCOLLO SNMP
DEBUG RMON
PROTOCOLLO TFTP
APPLICAZIONE ASN1
PROTOCOLLO QLLC
MODULO CRT_MNG
LDAP
SCEP
MODULO SMARTCARD
CRYPTO CARD
FUNZIONALITÀ FIREWALL
LAYER 2 SWITCH
MODULO GLINK
SLI: attiva il debug del modulo SLI. I livelli di debug disponibili sono:
1 Errori di flusso inattesi.
2 Warning
4 Messaggi tra SLI e protocollo sottostante
8 Dati scambiati tra SLI e protocollo sottostante
16 Chiamate di funzioni da parte dell’applicazione
Per attivare più livelli di debug contemporaneamente basta dichiarare la somma di quelli
interessati.
VOIP
DEBUG IPV6
Sintassi: Stato:
DEBUG IPV6 <numero del livello di debug 1-255> CONNECT
RELEASE
Esempio:
DEBUG IPV6 255
Osservazioni
Le funzionalità di debug vengono rimosse con il seguente comando:
DEBUG IPV6 0
DEBUG ICMPv6
Sintassi: Stato:
DEBUG ICMPv6 <numero del livello di debug 1-255> CONNECT
RELEASE
Esempio:
DEBUG ICMPv6 255
Osservazioni
Le funzionalità di debug vengono rimosse con il seguente comando:
DEBUG ICMPv6 0
DEBUG IPV6ND
Sintassi: Stato:
DEBUG IPV6nd <numero del livello di debug 1-255> CONNECT
RELEASE
Esempio:
DEBUG IPV6nd 255
Osservazioni
Le funzionalità di debug vengono rimosse con il seguente comando:
DEBUG IPV6nd 0
DEBUG WFQ
I debug da Maintenance Server per l’algoritmo WFQ sono implementati secondo lo standard
adottato su GAIA.
Sintassi: Stato:
DEBUG IPQOS <numero del livello di debug 1-255> CONNECT
RELEASE
Esempio:
DEBUG IPQOS 255
Osservazioni
Le funzionalità di debug vengono rimosse con il seguente comando:
DEBUG IPQOS 0
DEBUG PQ
Sintassi: Stato:
DEBUG IPPQ <numero del livello di debug 1-255> CONNECT
RELEASE
Esempio:
DEBUG IPQOS 255
Osservazioni
Le funzionalità di debug vengono rimosse con il seguente comando:
DEBUG IPPQ 0
COMANDI DI TRACE
Sintassi RELEASE
TRACEON
Sintassi RELEASE
TRACEOFF
LOG
Il modulo di log permette la memorizzazione, l’invio e lo scaricamento di tracce di sistema
(log) che permettono di memorizzare le attività più importanti dell’apparato.
L’azione svolta da tale modulo è sia di monitoraggio dell’attività dell’apparato che di ausilio
alla risoluzione di malfunzionamenti dovuti a problemi di progettazione della rete o del
software applicativo.
Il modulo di logging è necessario per garantire le caratteristiche di sicurezza di un apparato,
infatti, senza di esso, non si avrebbe conoscenza di eventuali condizioni di criticità, di
“attacchi”, di modifiche di configurazione che potrebbero determinare la perdita di sicurezza
di una rete.
L’attivazione delle tracce di log è subordinata ad un comando di attivazione. Esse vengono
quindi salvate in un file interno consultabile da telnet. È poi possibile permettere l’invio delle
tracce attraverso il protocollo UDP secondo la RFC 3164 che ne consente la cattura e
l’immagazzinamento da un server. Inoltre, per avere le tracce in file senza il traffico continuo
UDP, è possibile, tramite manager di gestione, scaricare l’intero file di log. Questa procedura
puo essere automatizzata tramite delle trap che avvisano il server dell’avvicinarsi del
riempimento del buffer di memorizzazioni ed innescano lo scaricamento dello stesso.
Comandi di configurazione
LOG ON
Abilita la funzionalità di cattura eventi per un’ampiezza pari alla dimensione del buffer
inserita. Al riempimento del buffer, le entry vengono sovrascritte: il router memorizza gli ultimi
x eventi, dove x è la dimensione del buffer.
Sintassi Stato
LOG ON [<buffer size (n. events) (def. 1000)>] CONFIG,
CONFIG RUN
RELEASE
LOG SHOW
Consente di visualizzare il buffer contenente i log catturati.
Sintassi Stato
LOG SHOW [<name of buffer (max 16 char)>] [<buffer size (n. CONFIG, CONFIG
events) (def. 1000)>] [<Integer>] RUN, SHOW
RELEASE
LOG DEL
Comando di cancellazione del file di log. Il comando permette la cancellazione dell’intero
buffer di log fino a quel momento acquisito.
Sintassi Stato
LOG DEL [<name of buffer (max 16 char)>] CONFIG,
CONFIG RUN
RELEASE
LOG LEVEL
Il comando modifica il livello di severity con cui vengono filtrate le entry di log in fase di
memorizzazione. Indica il livello di dettaglio delle informazioni catturate nel buffer di log.
Sintassi Stato
LOG LEVEL <HEX figure for LOG level> CONFIG,
CONFIG RUN
RELEASE
Imposta il livello di severity con cui vengono filtrate le entry di log in fase di memorizzazione
a 0x40 (livello 7 nella tabella 32.1): notare che i restanti livelli della tabella non verranno
attivati.
Esempio
(Config) >LOG LEVEL 0x7f
LOG IP ADDRESS
Il comando abilita la funzionalità di invio in real time delle stringhe di log verso l’host remoto
indicato utilizzando il BSD syslog Protocol (RFC 3164). Se non configurata, viene utilizzata la
porta standard 514. È comunque possibile configurare una porta arbitraria.
Sintassi Stato
LOG IP ADDRESS <Remote Ip Address> [PORT] [<UDP port number>] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
LOG LOCAL IP ADDRESS <Local Ip Address> [<subifc>] CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
LOG FILTER POLICY DENIED CONFIG, CONFIG
RUN, SHOW
RELEASE
Esempio
(Config) >LOG FILTER POLICY DENIED
DEBUG ON LOG
Il comando trasforma una stringa di debug in una di log.
Sintassi RELEASE
DEBUG ON LOG
LOG NAME [<Alphanumeric String>]: in generale i log vengono visualizzati nel server con
il parametro di “identificazione”che corrisponde al
SYS NAME o, se non configurato, dall’indirizzo ip.
Con questo comando la stringa alfanumerica viene
visualizzata nel Campo di “identificazione”.
LOG FACILITY [LABEL]: con questo comando tutti i log appartenenti a qualsiasi
facility,vengono inglobati nella facility configurata e visualizzati
nel server.
Sintassi Stato
LOG FILTER MODULE <Name of the module> [LEVEL] [<HEX figure for CONFIG,
LOG level>] CONFIG RUN
LOG FILTER FACILITY <facility filter> [LEVEL] [<HEX figure for LOG RELEASE
level>]
<Comando> [OPZIONE]: DESCRIZIONE
<Name of the module>: nome del modulo da filtrare.
< HEX figure for LOG level >: livello di severity. Ogni bit corrisonde ad un livello della
specifica. Il bit meno significativo si riferisce alla severity
più alta (vedi tabella 32.1).
< facility filter>: facility, è una stringa del tipo LEVELx con x compreso tra
0 e 7 (vedi tabella 32.2).
Esempio
(Config) >LOG FILTER MODULE IPSEC LEVEL 0x7F
(Config) >LOG FILTER FACILITY LEVEL3 LEVEL 0x3F
Il comando specifica il buffer in cui memorizzare le log relative al modulo o alla facility
specificata
Sintassi Stato
LOG FILTER FACILITY <facility filter> BUFFER <name of buffer (max 16 CONFIG,
char)> CONFIG RUN
RELEASE
LOG FILTER MODULE <Name of the module> BUFFER <name of buffer
(max 16 char)>
<Comando> [OPZIONE]: DESCRIZIONE
< Name of the module >: nome del modulo da filtrare.
<name of buffer (max 16 char)>: nome del buffer. Deve essere già configurato con il
comando LOG ADD BUFFER.
< facility filter>: facility, è una stringa del tipo LEVELx con x compreso
tra 0 e 7.
Esempio
(Config) >LOG FILTER MODULE IKE BUFFER sicurezza
(Config) >LOG FILTER FACILITY LEVEL3 buffer logIp
Il comando specifica se accettare o scartare le log relative al modulo o alla facility specificata
superando la policy di default.
Sintassi Stato
LOG FILTER FACILITY <facility filter> POLICY {PERMIT | DENIED} CONFIG,
CONFIG RUN
LOG FILTER MODULE <Name of the module> POLICY RELEASE
{PERMIT|DENIED}
<Comando> [OPZIONE]: DESCRIZIONE
<Name of the module>: nome del modulo da filtrare.
< facility filter >: facility, è una stringa del tipo LEVELx con x compreso tra 0 e
7.
Esempio
(Config) >LOG FILTER MODULE IKE POLICY PERMIT
(Config) >LOG FILTER FACILITY LEVEL6 POLICY DENIED
Il comando specifica se inviare o meno le log relative al modulo o alla facility specificata
utilizzando gli indirizzi indicati
Sintassi Stato
LOG FILTER FACILITY <facility filter> ADDRESS <Remote Ip Address> CONFIG,
[<Local Ip Address>] CONFIG RUN
RELEASE
LOG FILTER MODULE <Name of the module> ADDRESS <Remote Ip
Address> [<Local Ip Address>]
<Comando> [OPZIONE]: DESCRIZIONE
< Name of the module >: nome del modulo da filtrare.
<facility filter>: facility. È una stringa del tipo LEVELx con x compreso tra 0 e
7.
< Remote Ip Address >: indirizzo dell’IP remoto cui inviare le frame.
< Local Ip Address >: indirizzo sorgente delle frame inviate.
Esempio
(Config) >LOG FILTER MODULE IP ADDRESS 100.0.0.12 23.0.0.1
(Config) >LOG FILTER FACILITY LEVEL6 ADDRESS 20.0.0.1
LOG THRESHOLD
Il comando abilita l’invio di trap di warning che notificano l’approssimarsi dell’esaurimento del
buffer. Esse vengono inviate al raggiungimento della percentuale di soglia indicata ed a metà
tra la soglia e il massimo (per esempio al 60% e all’80%). Ad ogni sovrascrittura.
Sintassi Stato
LOG THRESHOLD <TRAP log buffer threshold (1-99 def 80) > CONFIG,
CONFIG RUN
RELEASE
Sintassi Stato
LOG ADD BUFFER <name of buffer (max 16 char)> [<buffer size (n. CONFIG, CONFIG
events) (def. 1000)>] [THRESHOLD] [<TRAP log buffer threshold (1-99 RUN, SHOW
def 80) >] RELEASE
TCP
QOS
I log da Maintenance Server per il QOS sono implementati secondo lo standard adottato su
GAIA.
I comandi di log di seguito riportati vengono abilitati dallo stato di CONFIG con il comando:
LOG ON <Buffer Size>
LOG WRED
Sintassi RELEASE
LOG FILTER MODULE IPWRED LEVEL <numero del livello di log (hex) 0-0xff>
I log da Maintenance Server per il modulo IEEE 802.1X sono implementati secondo lo
standard adottato su GAIA.
Sintassi Stato
LOG FILTER MODULE I802.1X LEVEL <numero del livello di log CONFIG, CONFIG
(hex) 0-0xff> RUN
RELEASE
Valori di default
Se non specificato il valore di default per la dimensione del buffer è 100.
LOG IPV6
I log da Maintenance Server per il modulo IPV6 sono implementati secondo lo standard
adottato su GAIA. Il modulo da selezionare è quello IP.
Sintassi: Stato:
LOG FILTER MODULE IP LEVEL <numero del livello di log (hex) 0- CONFIG, CONFIG
0xff> RUN
RELEASE
Valori di default
Se non specificato il valore di default per la dimensione del buffer è 100.ù+
Osservazioni
Le funzionalità di log vengono rimosse con i seguenti comandi:
NO LOG FILTER MODULE IP LEVEL <numero del livello di log (hex) 0-0xff>
NO LOG ON
Tale comando consente di configurare l’indirizzo IPV6 remoto del server LOG.
Sintassi: Stato:
LOG IPV6 ADDRESS <Remote Ip Address> [PORT] [<UDP port BOOT, CONFIG,
number>] CONFIG RUN, FT,
FPROC
RELEASE
Esempio:
LOG IPV6 ADDRESS 6002::2
Tale comando consente di configurare l’indirizzo IPV6 locale sorgente dei log.
L’indirizzo IPV6 configurato deve appartenere a una delle interfacce dell’apparato.
Sintassi: Stato:
LOG IPV6 LOCAL ADDRESS <Local IPv6 Address> BOOT, CONFIG,
CONFIG RUN, FT,
FPROC
RELEASE
Esempio:
LOG IPV6 LOCAL ADDRESS 6002::1
LOG WFQ
I log da Maintenance Server per l’algoritmo WFQ sono implementati secondo lo standard
adottato su GAIA.
Sintassi: Stato:
LOG FILTER MODULE IPQOS LEVEL <numero del livello di log (hex) 0- CONFIG,
0xff> CONFIG RUN
RELEASE
Valori di default
Se non specificato il valore di default per la dimensione del buffer è 100.
Osservazioni
Le funzionalità di log vengono rimosse con i seguenti comandi:
NO LOG FILTER MODULE IPQOS LEVEL <numero del livello di log (hex) 0-0xff>
NO LOG ON
LOG PQ
Sintassi: Stato:
LOG FILTER MODULE IPPQ LEVEL <numero del livello di log (hex) 0- CONFIG,
0xff> CONFIG RUN
RELEASE
Valori di default
Se non specificato il valore di default per la dimensione del buffer è 100.
Osservazioni
Le funzionalità di log vengono rimosse con i seguenti comandi:
NO LOG FILTER MODULE IPPQ LEVEL <numero del livello di log (hex) 0-0xff>
NO LOG ON