Sei sulla pagina 1di 54

Reti e dintorni

Giugno 2003 Marzo 2004 N 20

EDITORIALE
Residui
Il presente numero di Reti e Dintorni nasce da alcuni frammenti tratti dai nostri capitolati tecnici in risposta a varie gare durante lanno 2003. In particolare il lavoro da me svolto presso la progettazione Telecom, mi ha permesso di conoscere persone professionali che sanno affrontare con seriet una risposta ad una gara. Lavorando con loro ho appreso la modalit di un approccio sistemico per ottenere una risposta tecnica soddisfacente. Sappiamo tutti che ogni gara un mondo a s, in quanto il metodo di valutazione prescelto per lesamina delle risposte, pu esaltare di pi la parte economica o la parte tecnica. Nel caso sia pi importante la parte economica rispetto alla parte tecnica, non ha molto senso andare nel dettaglio della descrizione tecnica, e anzi talvolta sufficiente la sola offerta commerciale. Mentre nel caso inverso la difficolt maggiore fornire un documento tecnico dettagliato in ogni punto richiesto o opzionale, e anche lutilizzo di una forma di scrittura schematico che possa favorire in ogni modo la lettura e lidentificazione dei punti importanti, alla persona giudicante. Particolare enfasi deve essere riservata alla massima esplicitazione delle risposte fornite, ai requisiti obbligatori richiesti da una gara, infatti, essi devono essere identificabili velocemente dallindice. Infine credo che ogni sistemista della Tecnonet dovrebbe passare, almeno per una volta a lavorare con il gruppo di progettazione Telecom. Sono specializzati nella formattazione delle persone che lavorano con loro. R. G.

RETI E DINTORNI N 20

Pag. 3

CARATTERISTICHE DELLO SWITCH/ROUTER CISCO CATALYST 6509


Lapparato costituito da un cabinet modulare con backplane a 9 Slot, in grado di ospitare un doppio modulo supervisor engine (modulo CPU/switching/router) e alimentazione ridondata. La banda della matrice di switching (integrata nella supervisor720) pu arrivare ad un massimo di 720 Gbit/s full duplex e un forwarding rate che pu arrivare fino a 400 milioni di pacchetti per secondo e ci indipendentemente dal livello (L2/L3/L4). Le caratteristiche salienti dellapparato, come la capacit di banda, il numero di porte, possibilit della doppia supervisor engine e dellalimentazione ridondata, lo rendono del tutto idoneo a supportare funzionalit di apparato di core (Centro stella).

Larghezza 431 mm; Profondit: 460 mm; Peso chassis vuoto: 24,9 Kg; Peso Chassis pieno: da 61,2 Kg (Chassis fully).

Condizioni ambientali - Temperatura operativa: da 0 C a 40 C; - Umidit: da 10% a 90% senza condensa. Caratteristiche fondamentali del moduli Supervisor engine I moduli Supervisor engine rappresentano il centro di elaborazione dei dati che devono attraversare lo switch. Abbiamo due tipologie di moduli Supervisor engine che saranno descritti nel seguito: Supervisor Engine 1A: composto da un modulo base la Supervisor 1A e due schede aggiuntive opzionali, la PFC e la MSFC2: 1) Supervisor 1A: il modulo supervisor che fornisce lelaborazione e la connessione al bus a 32 Gbit/s. Permette linoltro centrale fino a 15 Milioni di pacchetti al secondo. 2) PFC (Policy Feature Card): costituisce la componente che permette migliori performance su unarchitettura centralizzata di tipo flow based. Scala linoltro centrale a 15 Milioni di pacchetti al secondo, anche in presenza di Access list, funzionalit QoS e Policy. 3) MSFC2 (Multilayer Switch Feature Card 2): esegue funzionalit Layer 3 e rappresenta un requisito per le informazioni FIB (Forwarding Information Base) basate su CEF. Supporta il Multicast in hardware. La supervisor1A non pu interagire con uneventuale scheda Crossbar Switching Fabric, per ottenere una banda di 256 Gb/s. Infatti soltanto la PFC2 costruita in modo da interoperare con una Switching Fabric, ma la PFC2 non pu essere installata su Supervisor1A. La PFC2 presente solo sulla Supervisor2.

Catalyst 6509 rappresentazione grafica Componenti e caratteristiche Hardware Il Catalyst 6509 uno switch di tipo modulare; i componenti hardware minimi per il funzionamento sono: - lo chassis; - almeno unalimentazione; - un fan tray per il raffredamento delle schede; - almeno una line card; - almeno una supervisor engine. Componenti opzionali sono: - ulteriore alimentazione; - ulteriori line card; - un ulteriore supervisor engine; - uno o due crossbar switching fabric; - schede DFC Distributed Forwanding Card da aggiungere alle line card. Caratteristiche fisiche dello chassis WS-C6509 Dimensioni - Altezza: 648 mm;

Supervisor engine 1A Supervisor Engine 2 composta da due distinti elementi (Supervisor e PFC2) e una scheda aggiuntiva opzionale la MSFC2: 1) Supervisor 2: il modulo supervisor che fornisce lelaborazione e la connessione al bus a 32 Gbit/s.

RETI E DINTORNI N 20

Pag. 4 3 ed esegue molte funzioni di Cisco IOS nell'hardware. Tramite l'hardware esegue funzioni di inoltro IP Unicast e Multicast, QoS, lookups negli elenchi ACL (Access Control List), MPLS, GRE, IPv6. 3) MSFC3 (Multilayer Switch Feature Card 3): esegue funzionalit Layer 3 e rappresenta un requisito per le informazioni FIB (Forwarding Information Base) basate su CEF. Supporta il multicast in hardware. 4) Switch Fabric: un crossabr switching con una larghezza di banda di 720 Gb/s e permette di ottenere un massimo di elaborazione di 400 Milioni di pacchetti al secondo

Permette linoltro centrale fino a 30 milioni di pacchetti al secondo. 2) PFC2 (Policy Feature Card 2): costituisce una componente fondamentale dell'architettura distribuita CEF (Cisco Express Forwarding). Contiene tutti i circuiti ASIC (ApplicationSpecific Integrated Circuit) per i lookups Layer 2 e 3 ed esegue molte funzioni di Cisco IOS nell'hardware. Tramite l'hardware esegue funzioni di inoltro IP Unicast e Multicast, QoS e lookups negli elenchi ACL (Access Control List). Scala l'inoltro centrale a 30 Milioni di pacchetti al secondo anche in presenza di Access list, funzionalit QoS e Policy. Permette linteroperabilit (se presente) con la Crossbar Switching Fabric, permettendo di ottenere una banda di 256 Gb/s. 3) MSFC2 (Multilayer Switch Feature Card 2): esegue funzionalit Layer 3 e rappresenta un requisito per le informazioni FIB (Forwarding Information Base) basate su CEF. Supporta il multicast in hardware. Se sono utilizzate line card di tipo only fabric o di tipo fabric enabled con la scheda aggiuntiva DFC, si possono raggiungere, su un 6509, un massimo di 168 Milioni di pacchetti al secondo.

Supervisor engine 720 La Supervisor720 ha una porta 10/100/1000 Ethernet e due slots per interfacce gigabit SFP (Small FormFactor Pluggable). La porta 10/100/1000 non pu essere utilizzata se viene inserito nel secondo slot uninterfaccia gigabit SFP. Le intefacce disponibili gigabit SFP sono per 1000BaseSX, 1000BaseLX/LH e 1000BaseZX. Supervisor engine 2 Supervisor Engine 720 composta da quattro distinti elementi: 1) Supervisor: il modulo supervisor che fornisce lelaborazione e la connessione al bus a 32 Gbit/s. 2) PFC3 (Policy Feature Card 3): costituisce una componente fondamentale dell'architettura distribuita CEF (Cisco Express Forwarding). Contiene tutti i circuiti ASIC (ApplicationSpecific Integrated Circuit) per i lookups Layer 2 e Classificazione generale delle line cards Esistono tre tipologie di line-cards per il Catalyst 6509 esse sono: Tipologia Spiegazione Questo tipo di line cards si connettono soltanto al Bus condiviso a 32 Non Fabric-enabled Gbit/s. Se presente il modulo Crossbar Switching Fabric, esso non verr utilizzato da line cards di tipo non fabric-enabled. Non possono installare la scheda aggiuntiva DFC Distributed Forwanding Card. Questo tipo di line cards si connettono sia al Bus condiviso a 32 Gbit/s Fabric-enabled sia al modulo Crossbar Switching Fabric a 256 Gbit/s o alla Switching Fabric a 720 Gbit/s integrata nella Supervisor720. In caso di guasto di questultimo, questo tipo di scheda pu continuare a funzionare tramite il

Interfaccia Gigabit SFP per Supervisor720

RETI E DINTORNI N 20

Pag. 5

Fabric-only

Bus a 32 Gbit/s. Possono installare la scheda aggiuntiva DFC Distributed Forwanding Card o la scheda aggiuntiva DFC3. Questo tipo di scheda si connette soltanto al modulo Crossbar Switching Fabric a 256 Gbit/s o alla Switching Fabric a 720 Gb/s integrata nella Supervisor720. gi installata la scheda aggiuntiva DFC Distributed Forwanding Card. Se viene utilizzata la Supervisor720 la DFC deve essere aggiornata con la DFC3.

Tabella riassuntiva della propriet del 6509 con diverse opzioni La seguente tabella riassume le propriet e le opzioni disponibili per il 6509 utilizzando le varie combinazioni di Supervisor:
Max Port Density 10/10 Gigabit 0
1 2

Forwarding Performance Bandwidth Aggregate System Forwarding Performance 15 Mpps 15 Mpps


5

QoS & Security QoS/ACL Look Up Performance 15 Mpps 30 Mpps 15 Mpps 30 Mpps 15Mpps 15 Mpps ACL Entries

MPLS Supporto MPLS

Supervisor1A (WS-X6K-SUP1A-2GE) Supervisor1A + PFC (WS-X6K-SUP1A-PFC) Supervisor2 + PFC2 (WS-X6K-S2-PF2)

384

130

32 Gb/s 32 Gb/s 256 Gb/s 32 Gb/s 32 Gb/s

IP Multicast Hardware Support -

16K 32K + 32K

NO NO NO

384 336
3

130 114
4

384 Supervisor1A + PFC + MSF2 (WS-X6K-SUP1AMSFC2) Supervisor2 + PFC2 + MSFC2 (WS-X6K-S2-MSFC2) 384

130 130

30 Mpps 6 15 Mpps 30 Mpps 7 15 Mpps 15 Mpps

(S,G)

16K

SI (solo tramite moduli OSM)

336

114

256 Gb/s

384 Supervisor720 (WS-SUP720) 384

130 130

32 Gb/s 720 Gb/s

168 Mpps 9 105 Mpps 10 30 Mpps 11 15 Mpps 30 Mpps 15 Mpps 13 400 Mpps 14 250 Mpps 15 30 Mpps 15 Mpps

(S,G) 12 (*,G)

(S,G) 16 (*,G)

168 Mpps 105 Mpps 30 Mpps 15 Mpps 30 Mpps 15 Mpps 400 Mpps 250 Mpps 30 Mpps 15 Mpps

32K + 32K

SI (solo tramite moduli OSM)

32K + 32K

SI (per qualsiasi interfaccia LAN)

Caratteristiche fondamentali del modulo Crossbar Switching Fabric (WS-C6500-SFM) L'architettura del Catalyst 6509 utilizza un bus da 32 Gbit/s, condiviso da tutti gli slot per la trasmissione dei dati. Il modulo di switch SFM si basa su un'architettura crossbar e fornisce 256 Gbit/s di capacit totale.

Crossbar Switching fabric

1 2

Corrisponde a 8 line card da 48 porte 10/100 ciascuna. Corrisponde a 8 line card da 16 porte Gigabit + 2 porte Gigabit presenti sulla Supervisor. 3 Corrisponde a 7 line card da 48 porte 10/100 ciascuna (caso con switch fabric presente). 4 Corrisponde a 7 line card da 16 porte Gigabit + 2 porte Gigabit presenti sulla Supervisor (caso con switch fabric presente). 5 Switch Fabric presente. 6 Se si utilizzano line card non fabric enabled. 7 Se si utilizzano line card non fabric enabled. 8 Se si utilizzano solo line card di tipo fabric only. 9 Se si utilizzano solo line card di tipo fabric enabled con la scheda aggiuntiva DFC. 10 Se si utilizzano solo line card di tipo fabric enabled ma senza la DFC. 11 Se si utilizzano solo line card di tiponon fabric enabled. 12 Solo se abilitato il dCEF. 13 Se si utilizzano solo line card di tipo fabric only con la scheda DFC3. 14 Se si utilizzano solo line card di tipo fabric enabled con la scheda aggiuntiva DFC. 15 Se si utilizzano solo line card di tipo non fabric enabled o di tipo fabric enabled ma senza la DFC3. 16 Solo se abilitato il dCEF.

RETI E DINTORNI N 20

Pag. 6

Il modulo deve essere installato solo sullo slot 5 o slot 6 del Catalyst 6509. Inoltre con line card fabricenabled, in caso di guasto di questo modulo, le line card possono tornare ad usare il bus a 32 Gbit/s. Si pu ottenere ridondanza di questo modulo installandone un altro nello slot disponibile rimanente. In questultimo caso, in caso di guasto di uno dei due moduli lapparato, si mantiene la capacit di banda a 256 Gbit/s. Non deve essere utilizzato se si ha a disposizione la Supervisor720. Line card fabric-enabled con 10/100/1000BaseT (WS-X6516-GE-TX) 16 porte

Modulo con 16 slot GBIC Interfaccia GBIC 1000Base-SX (WS-G5484) Linterfaccia GBIC WS-G5484 (Vedi Allegato V per il Data Sheet) conforme agli standards IEEE802.3z e 1000Base-SX, il quale permette di raggiungere distanze da un minimo di 2 metri ad un massimo di 550 metri (la lunghezza massima dipende dal tipo di fibra multimodale utilizzata).

La line card WS-X6516-GE-TX ha 16 porte RJ45 con autonegoziazione 10/100/1000BaseT. una line card di tipo fabric-enabled, e quindi se presente nel 6509 il Crossbar Switching Fabric, utilizzer direttamente il backplane da 256 Gbit/s. Le interfacce sono conformi allo standard IEEE802.3ab, il quale permette collegamenti Gigabit fino a 100 metri su cavi di Categoria 5 UTP. La scheda supporta il dCEF (lookup locale) con laggiunta della scheda DFC.

Interfaccia GBIC 1000Base-SX Line card fabric-enabled con 48 porte 10/100 RJ-45 (WS-X6548-RJ-45) La line card WS-X6548-RJ-45 ha 48 porte RJ45 con autonegoziazione 10/100BaseTX. una line card di tipo fabric-enabled, e quindi se presente nel 6509 il Crossbar Switching Fabric, utilizzer direttamente il backplane da 256 Gbit/s. Le interfacce sono conformi agli standards IEEE802.3, IEEE802.3u, 100Base-TX e 10Base-T. La scheda supporta il dCEF (lookup locale) con laggiunta della scheda DFC.

Modulo a 16 porte 10/100/1000BaseT Line card fabric-enabled con 16 slot GBIC (WSX6516-GBIC) La line card WS-X6516-GBIC ha 16 slots per interfacce GBIC. Le interfacce GBIC disponibili per questa line card sono: - WS-G5484: Interfaccia GBIC 1000Base-SX (utilizza fibra multimodale) - WS-G5485 (non oggetto di offerta): Interfaccia GBIC 1000Base-LX/LH (utilizza fibra multimodale o monomodale) - WS-G5487 (non oggetto di offerta): Interfaccia GBIC 1000Base-ZX (utilizza fibra monomodale) - WS-G5483 (non oggetto di offerta): Interfaccia GBIC 1000Base-T una line card di tipo fabric-enabled, e quindi se presente nel 6509 il Crossbar Switching Fabric, utilizzer direttamente il backplane da 256 Gbit/s. La scheda supporta il dCEF (lookup locale) con laggiunta della scheda DFC.

Modulo con 48 porte 10/100 Line card fabric-enabled con 1 porta 10GBASE-LR (WS-X6502-10GE + WS-G6488) La line card WS-X6502-10GE pu fornire connessioni a velocit 10Gb/s tramite, lutilizzo di un modulo OIM (Optical Interface Module) il quale deve essere aggiunto alla line card- I moduli OIM attualmente disponibili sono: - WS-G6488: modulo 10GBASE-LR con connettori SC, conforme allo standard

RETI E DINTORNI N 20

Pag. 7

IEEE802.3ae. Le distanze di collegamento sono comprese tra 2 metri e 10 Km. - WS-G6483: modulo 10GBASE-ER con connettori SC, conforme allo standard IEEE802.3ae. Le distanze di collegamento sono comprese tra 2 metri e 40 Km. La scheda supporta il dCEF (lookup locale) con laggiunta della scheda DFC.

Line card fabric-enabled Intrusion Detection System 2 (WS-SVC-IDS2BUNK9) La line card IDSM-2 (WS-SVC-IDS2BUNK9) permette il monitoraggio del traffico di pi reti VLAN contemporaneamente. Permette il monitoraggio, in tempo reale, fino a 500 Mb/s e circa 500.000 connessioni contemporanee. Per il funzionamento richiede che la Supervisor abbia la PFC (la Supervisor2 gi include di base la PFC2). Il modulo IDS ha gi integrato il software SC-SVC-IDSM-4.0K9, il quale contiene, la IDS Device Maganer (IDM) che permette di gestire il modulo tramite un web browser, e la IDS Event Viewer che permette di avere funzionalit base per il monitoraggio e lanalisi di eventi. Per una gestione completa a livello Enterprise si pu utilizzare la soluzione CiscoWorks VMS (la quale ha integrato la Cisco Secure Policy Manager (CSPM). La Cisco non fornisce pi il CSPM singolarmente). La line card IDS, non pregiudica le prestazioni dello switch, in quanto lelaborazione e analisi del traffico viene effettuata direttamente dal modulo.

Modulo con 1 porta 10Gbase-LR DFC (WS-F6K-DFC) La scheda WS-F6K-DFC, pu essere aggiunta sulle line card di tipo fabric enabled, per permettere il lookup locale. Per ottenere ci viene eseguita una copia della tabella di instradamento centrale direttamente sulla DFC della line card. Questo meccanismo permette un minore impegno della CPU centrale, rispetto ad un meccanismo basato sulla Cache di interfaccia. Le prestazioni di commutazione aggregata dello switch sono in questo caso superiori ai 100 Milioni di pacchetti al secondo. La scheda DFC replica le logiche di inoltro su ogni line card ed in grado di eseguire un minimo di 15 Mpps di commutazione locale per le schede di tipo fabric enabled (e 24 Mpps per le schede fabric only).

Line card IDSM-2 per 6509 Il modulo IDS ha due porte interne: - Porta di monitoraggio: definita come porta 1 e configurata in modalit trunk, la porta di ingresso del traffico da analizzare; - Porta di comando e di controllo: definita come porta 2, comunica direttamente con la piattaforma di management esterna, e gli viene assegnata unindirizzo IP; I metodi di cattura del traffico sono effettuati tramite tre tecniche: - SPAN (Switched Port Analyzer); - RSPAN (Remote SPAN); - ACL VLAN (Access Control List Virtual Lan); Caratteristica molto importante, la possibilit per la line card IDSM-2 di aggiornamenti automatici per le cosidette signatures, semplicemente configurando il server ftp (della Cisco) e la frequenza di aggiornamento. Gli aggiornamenti delle signatures sul server ftp Cisco, sono effettuati allincirca ogni due settimane. In caso di emergenze importanti laggiornamento viene effettuato tra le 8 e le 24 ore.

Inoltro locale tramite DFC La capacit di commutazione aggregata dello switch nella sua totalit, viene misurata installando sul 6509 una Supervisor Engine 2, una Crossbar switching fabric e sette line cards fabric enabled con 16 porte Gigabit. In questo caso otteniamo una capacit aggregata di 15Mpps x 7 105 Mpps (mentre si ottengono circa 168Mpps se si utilizzano sette line cards fabric only).

RETI E DINTORNI N 20

Pag. 8

I dati entrano nel NAM attraverso una delle tre interfacce interne del modulo stesso. I dati sono analizzati dal processo RMON del NAM e i risultati del processo sono memorizzati sulle MIBs RMON, SMON e altre presenti nel NAM. Un processo di polling raccoglie i dati dalle MIBs del Mini-RMON presente sulle line card dello switch. Un web browser o nGenius pu raccogliere le analisi dei dati rispettivamente tramite http o snmp.

Rappresentazione logica del funzionamento del modulo IDS Linteroperabilit con i moduli NAM e FWM garantita se presente minimo il sistema operativo CatOS versione 7.5(1).

Line card fabric-enabled Network Analysis Module 1 (WS-SVC-NAM-1) Il modulo NAM 1 (WS-SVC-NAM-1) consente lanalisi del traffico, tramite Remote Monitoring (RMON), RMON2, Switch Monitoring (SMON), High-Capacity Monitoring (HCRMON) e DiffServ Monitoring (DSMON). Flussi funzionali del NAM Il modulo NAM-1 ha le seguenti funzionalit incluse: - ART (Application Response Time): questa funzionalit permette di misurare le statistiche del tempo di risposta su richieste e risposte di tipo client/server. I valori ottenuti possono fornire informazioni sul perch un applicativo lento. Cio si riesce a discernere se il problema dovuto alla rete o al server che ha problemi.

Modulo NAM 1 I pacchetti sono catturati in base alle porte dello switch, in base alla VLAN o in base a un aggregazione di traffico tipo EtherChannel. Il modulo NAM ha gi integrato una console web-based per la visualizzazione delle analisi effettuate. Oppure si pu utilizzare il Cisco nGenius RTM compreso nel Cisco Works LAN management.

Esempio di Server Latency tramite ART VoIP (Voice-over-IP): questa funzionalit pu raccogliere, i messaggi di controllo e diagnostica inviati tra i telefoni IP e lapplicazione CallManager. Le statistiche sono basate sui messaggi H.323 e SCCP. Licenza mini-RMON: la licenza WS-C6X09EMS-LIC, normalmente richiesta per attivare le funzionalit dei primi quattro gruppi (Statistics, History, Alarms e Events) RMON direttamente sulle line card.

Possibilit di management del modulo NAM

RETI E DINTORNI N 20

Pag. 9

Lacquisto del modulo direttamente questa licenza.

NAM

include

Minimo sistema operativo CatOS versione 7.5(1); Linteroperabilit con i moduli IDSM-2 e NAM garantita se presente minimo il sistema operativo CatOS versione 7.5(1);

Line card FlexWAN (WS-X6182-2PA) La line card FlexWAN (WS-X6182-2PA) permette lutilizzo di moduli per collegamenti WAN. Le interfacce sono disponibili per E1, E3, ATM, POS, T1, T3, HSSI, ISDN PRI, Seriali (V.35, RS232 o X.21).

I gruppi MIBs supportati dal modulo NAM sono: - MIB-II (rfc 1213): tutti i gruppi tranne il gruppo EGP e trasmissione; - RMON (rfc 2819): tutti i gruppi; - RMON2 (rfc 2021): tutti i gruppi; - SMON (rfc 2613): DataSource Caps e smonStats; - DSMON (RMON MIB per Differentiated Services); - ART MIB; - HCRMON; Linteroperabilit con i moduli IDSM-2 e FWM garantita se presente minimo il sistema operativo CatOS versione 7.5(1). Line card fabric-enabled Firewall (WS-SVC-FWM-1K9) Il modulo di Firewalling (WS-SVC-FWM-1-K9) pu essere installato sugli switch della serie Catalyst 6500. Il modulo FWM utilizza la stessa tecnologia e lo stesso sistema operativo dei Cisco PIX, basato su ASA (Adaptive Security Algorithm) consente di ottenere una funzionalit firewall di tipo stateful. Il modulo FWM pu analizzare fino a 5 Gb/s di traffico e fino a 1 Milione di connessioni contemporanee. Possono essere installati fino ad un massimo di 4 moduli FWM per chassis. Pu supportare fino a 100 firewall Vlans e permette il failover con altri moduli FWM sia allinterno dello stesso chassis, o tra chassis diversi.

Line card FlexWAN Port Adapter 8 porte seriali V.35 (PA-8T-V35) Il modulo Port Adapter (PA-8T-V35), utilizzato insieme alla line card FlexWan, permette di ottenere 8 porte seriali V.35 ad una velocit massima di 2 Mb/s oppure 4 porte seriali V.35 ad una velocit massima di 4 Mb/s (non si deve usare nessunaltra delle rimanenti 4 porte), o infine 2 porte seriali V.35 ad una velocit massima di 8 Mb/s (non si deve usare nessunaltra delle rimanenti 6 porte).

Port Adapter PA-8T-V35 Il Port Adapter si presenta con un connettore proprietario a 200 pin, e per ottenere le 8 interfacce seriali V.35 DTE si deve usare il cavo proprietario CAB-OCT-V35-MT.

Cavo proprietario CAB-OCT-V35-MT Port Adapter 4 porte seriali V.35 (PA-4T+) Il modulo Port Adapter (PA-4T+), utilizzato insieme alla line card FlexWan, permette di ottenere 4 porte seriali V.35 ad una velocit massima di 2 Mb/s oppure 1 porta seriale V.35 ad una velocit massima di 8 Mb/s (non si deve usare nessunaltra delle rimanenti 3 porte).

Modulo di Firewalling Le richieste minime per il funzionamento sono: - Deve essere presente la Supervisor2 con la MSFC2;

RETI E DINTORNI N 20

Pag. 10

Port Adapter PA-4T+ Il Port Adapter si presenta con 4 connettori proprietari a 60 pin, e per ottenere le 4 interfacce V.35 DTE si devono utilizzare 4 cavi proprietari CAB-V35MT.

Cavo proprietario CAB-V35MT Autore: R. Gaeta

RETI E DINTORNI N 20

Pag. 11

CARATTERISTICHE DELLO SWITCH/ROUTER ALLIED TELESYN SWITCHBLADE (AT-SB4108-00)


Lo Switch Blade costituito da un cabinet modulare con backplane passivo a 10 Slot, in grado di ospitare un doppio modulo di engine (switch controller) e alimentazione ridondata. Lo Switch Blade progettato per avere funzioni native Layer 3 switching in tecnologia ASIC, non Blocking (wire speed su tutte le porte), ed il supporto dei protocolli IP, IPX, AppleTalk. La banda della matrice di switching pari a 128 Gbps con un forwarding rate pari a 90 milioni di pacchetti per secondo. Lapparato costituito da n. 8 slot disponibili per moduli hardware di trasmissione dati (Ethernet, FastEthernet, Gigabit Ethernet con interfacce in rame e/o fibra). Ulteriori 2 slot sono destinati per lalloggiamento dei moduli di engine (switch controller). Le caratteristiche salienti dellapparato, come la capacit del backplane, il numero di porte, possibilit del doppio engine e dellalimentazione ridondata, lo rendono del tutto idoneo a supportare funzionalit di apparato di core (Centro stella).

un fan tray per il raffredamento delle schede; almeno una line card; almeno uno switch controller.

Componenti opzionali sono: ulteriore alimentazione (PSU); ulteriori line card; un ulteriore switch controller che provvede alla ridondanza dei processi di switching. Performance Lo Switch Blade ha unarchitettura di tipo centralizzato con switching fabric non-blocking e wire-speed sia a layer 2 che layer 3. Anche le line card entrano direttamente nel processo di switching L2 e L3. Il processo di forwarding pu essere descritto nel seguente modo: Se il pacchetto pu essere direttamente instradato dalla line card che lo riceve, poich lindirizzo di destinazione presente nel DB locale, allora viene mandato alla line card duscita; Se la line card non in grado di smistarlo, il pacchetto viene processato dal Forwarding Engine (FE) dello switch controller. Il pacchetto viene instradato e viene aggiornata la Cache della line card mittente. Se neanche il Forwarding Engine in grado di gestirlo, allora viene passato alla CPU che se non in grado di gestirlo lo scarta. In caso contrario il pacchetto ritorna alla line card mittente che lo instrada. Viene aggiornata la Cache della line card mittente. Se nello chassis presente un solo switch controller, ogni line card avr una banda massima di 8 Gb/s full duplex. Se invece sono presenti due switch controller, ogni line card avr una banda massima di 16 Gb/s. Quindi la banda totale con uno switch controller e 8 line card di 64 Gb/s, mentre con due switch controller e 8 line card di 128 Gb/s. La realizzazione del non-blocking switching dipendente, logicamente dal tipo di line cards installate ma soprattutto se sono presenti uno o due switch controller. La seguente tabella mostra per ogni line card la percentuale di traffico trasmesso nel caso che tutte le porte delle line card considerate siano sottoposte al 100% del traffico full duplex.

Switch Blade Componenti e caratteristiche Hardware Lo Switch Blade uno switch di tipo modulare; i componenti hardware minimi per il funzionamento sono: lo chassis; almeno unalimentazione (PSU);
Line card Massima banda full duplex richiesta dalla line card

Percentuale di massima banda non-blocking con 1 switch controller (8 Gb/s full duplex per line card) 83% 100%

AT-SB4311 48-port 10BASE-T/100BASE-TX AT-SB4352 32-port 100BASE-FX

9,6 Gb/s 6,4 Gb/s

Percentuale di massima banda non-blocking con 2 switch controller (16 Gb/s full duplex per line card) 100% 100%

RETI E DINTORNI N 20

Pag. 12

8-port gigabit cards AT-SB4411 10/100/1000 (RJ-45) AT-SB4441 GBIC AT-SB4451 SX (SC) AT-SB4452 SX (MT-RJ) AT-SB4461 LX (SC) AT-SB4462 LX (MT-RJ)

16 Gb/s

50%

100%

Descrizione dellinterazione dei due switch controller Quando viene installato un secondo switch controller, esso automaticamente si pone nello stato slave. In questo caso il primo switch controller, che nello stato master, si occupa degli aggiornamenti delle tabelle e del processamento dei pacchetti non in grado di essere immediatamente smistati dalle line card; il carico di switching (L2 e L3) viene comunque suddiviso fra i due switch controller, e lo slave manterr copie di tutte le tabelle del master. Se il master si guasta o viene rimosso, lo slave assume il controllo di tutti i processi diventando master. Hot swapping Per hot swapping si intende la possibilit di rimuovere o installare un componente dellapparato mentre esso alimentato e funzionante. I seguenti componenti dello SwitchBlade possono essere hot swapped: Alimentatore (PSU); Fan Tray; Switch controller; Line card. Caratteristiche fisiche dello chassis AT-SB4108 Dimensioni Altezza: 666 mm; Larghezza 440 mm (escluso supporti per il montaggio a rack 19); Profondit: 392,5 mm; Peso chassis vuoto: 19 Kg; Peso Chassis pieno: da 34 a 63,5 Kg (dipende dalla configurazione hardware). Condizioni ambientali Temperatura operativa: da 0 C a 40 C; Umidit: da 5% a 95% senza condensa. Massima corrente assorbita Nel caso di 8 line card, 2 PSU, fan tray e 2 switch controller, si arriva ad un massimo di 3 Ampere per ogni PSU, per un totale di 6 Ampere. Caratteristiche fondamentali dello switch controller AT-SB4211A Ogni switch controller ha due ASIC dedicati per il processamento dello switching non-blocking L2 e L3, con un database che pu gestire fino a 104.000 indirizzi, espandibili a 232.000 con lapposita espansione detta SwitchCAM. Inoltre lo switching core ha 128 Mbyte di buffer. Il processing core

composto da una CPU costituita da un processore PowerPC 500 MHz, 1 Mbyte di cache L2, 256 Mbytes di DRAM, 32 Mbytes di memoria Flash, 512 kBytes di NVRAM. Le porte utilizzabili per la configurazione/management sono: Porta seriale RS-232 asincrona, con connettore DB9 femmina, velocit fino a 115 kb/s e controllo di flusso hardware o software. Porta RJ-45 10/100BaseTX, la quale permette di ottenere un management dello switch controller di tipo out-of-band. MTBF = 188.560 ore Peso: 2,5 kg Caratteristiche fondamentali della line card ATSB4311 Line card con 48 porte RJ-45 10BaseT/100BaseTX, con autonegoziazione di velocit, di duplex e di MDI. Lo switching viene effettuato tramite: due ASIC che operano in modalit L2 e L3; database che gestisce fino a 40.000 indirizzi; 128 Mbyte di buffer. MTBF = 322.560 ore Peso: 2,2 kg Caratteristiche fondamentali della line card ATSB4352 Line card con 32 porte MT-RJ 100BaseFX. Lo switching viene effettuato tramite: due ASIC che operano in modalit L2 e L3; database che gestisce fino a 40.000 indirizzi; 128 Mbyte di buffer. MTBF = 83.590 ore Peso: 2,2 kg Caratteristiche fondamentali della line card ATSB4411 Line card con 8 porte RJ-45 10BaseT/100BaseTX/1000Base-T, con autonegoziazione di velocit, di duplex e di MDI. Lo switching viene effettuato tramite: ASIC che opera in modalit L2 e L3; database che gestisce fino a 40.000 indirizzi (espandibile fino a 232.000 con lespansione detta LineCAM); 64 Mbyte di buffer. MTBF = 456.137 ore Peso: 2,2 kg

RETI E DINTORNI N 20

Pag. 13

Caratteristiche fondamentali delle line card ATSB4451 e AT-SB4461 Line card con 8 porte 1000BaseSX (AT-SB4451), o 8 porte 1000BaseLX (AT-SB4461), con connettori SC. Lo switching viene effettuato tramite: ASIC che opera in modalit L2 e L3; database che gestisce fino a 40.000 indirizzi (espandibile fino a 232.000 con lespansione detta LineCAM, non oggetto di offerta); 64 Mbyte di buffer.
Base version General Packet Classifier QoS (modello DiffServ) IP IGMP, IGMP snooping RIP, RIP2 OSPF NTP EGP GRE Trigger facility Logging facility Scripting http server http client Tftp client TCP Command Line Interface Graphical User Interface VLAN STP (IEEE802.1D) RSTP (IEEE802.1w) Multiple spanning (IEEE802.1s) GARP (GVRP, GMRP) DHCP L2TP SNMP, RMON Compression Service SSL SSH Full layer 3 AT-AR-SBFL3UPGRD IPX Appletalk RSVP DVMRP PIM-DM PIM-SM VRRP

MTBF = 238.300 ore Peso: 2,2 kg Funzionalit e caratteristiche del software Il software suddiviso in una versione base e in funzionalit aggiuntive fornite da licenze. La seguente tabella descrive in modo sintetico le funzionalit fornite dalla versione base e dalle opzioni.

Advanced layer 3 AT-ARSB4000ADVL3UPGRD IPv6 BGP4 IS-IS Load Balancer

Security package AT-SB4000SecPk Firewall SMTP Proxy HTTP Proxy

tree

Descrizione delle funzionalit della versione Base e dellopzione full layer 3 Modalit di configurazione e autenticazione user Lo Switch Blade pu essere configurato tramite la porta seriale presente sullo switch controller, tramite http attraverso la porta 10/100 di management out-ofband dello switch controller, oppure abilitando il management in-band tramite Telnet. Lo user pu essere autenticato tramite lutilizzo di password, oppure grazie allausilio di server esterni di tipo Radius o Tacacs. Inoltre si pu rendere sicuro il collegamento http con lopzione SSL. Funzionalit di switching Jumbo frames Le porte sono standard IEEE802.3ac, ci significa che possono accettare pacchetti di lunghezza fino a 1522 Bytes. Questo permette alla porta di elaborare contemporaneamente sia pacchetti con tag IEEE802.1Q sia senza tag. In alternativa si pu settare il parametro

JUMBO, che permette alle porte 10/100 di accettare pacchetti di lunghezza fino 9000 Bytes e alle porte gigabit di accettare pacchetti di lunghezza fino a 32704 Bytes. IEEE802.3ad o aggregazione di canali Ogni istanza di aggregazione deve contenere porte dello stesso tipo e stessa velocit, quindi non si possono aggregare, nella stessa istanza, porte gigabit e 10/100. Ogni istanza pu aggregare fino ad un massimo di 16 porte, ed il numero massimo di istanze dipende dalla quantit di porte presenti nellapparato. Protezione dai broadcast e multicast storm Si possono impostare delle soglie per la quantit di pacchetti broadcast e multicast al secondo presenti in una VLAN. Sono dunque configurabili due soglie: una per i broadcast ed una per i multicast, superate le quali i pacchetti in eccesso durante il campione temporale di un secondo sono eliminati.

RETI E DINTORNI N 20

Pag. 14

Port security Labilitazione di questa funzionalit su una porta comporta lapprendimento di un numero configurabile (da 1 a 256) di MAC address sorgente. Qualsiasi altro pacchetto con MAC address sorgente diverso da quelli appresi potr portare a una delle seguenti possibilit configurabili: il pacchetto viene scartato; il pacchetto viene scartato e viene inviata una trap SNMP; il pacchetto viene scartato, viene inviata una trap SNMP e la porta viene disabilitata. VLAN possono essere configurate fino a 4078 VLAN distinte. Le VLAN possono essere configurate in modo statico su ogni singolo switch o in modo dinamico tramite VLAN associate alla stessa porta IP Subnet Protocol Port VLAN associate alla stessa porta MAC address Limited protocol Port VLAN Relaying Questa funzionalit permette di instradare fra VLAN differenti pacchetti non ruotabili, come per esempio i pacchetti SNA, incapsulati su LLC2. Spanning tree Lo switch permette di operare tramite il protocollo IEEE802.1D, oppure tramite il Rapid Spanning Tree Protocol (RSTP) specificato in IEEE802.1w. Inoltre possibile configurare spanning tree multipli in modo che sulle singole VLAN operi un distinto processo di spanning tree come specificato in IEEE802.1s. Funzionalit IP DHCP Lo switch pu essere configurato come DHCP server, oppure le interfacce dello switch possono essere configurate come DHCP client e pu operare come DHCP Relay tramite la funzionalit Add IP Helper la quale trasforma un pacchetto UDP broadcast in un pacchetto UDP unicast. La funzionalit di Add IP Helper opera in modo selettivo rispetto alla porta UDP configurata (nel caso DHCP la porta da configurare la 67). Routing IP La tabella di routing pu essere aggiornata manualmente, tramite le consuete rotte statiche, o dinamicamente, tramite i seguenti protocolli dinamici: RIP, RIPv2, OSPF, EGP. In alternativa si possono configurare regole di routing basate su policy (basate sul campo di 4 bit del pacchetto IP che definiscono il

lutilizzo del protocollo GVRP. Le VLAN possono essere definite per porta, ip subnet, limited protocol, protocollo e per MAC address. Le VLAN per protocollo sono definite tramite il valore del protocol type dei pacchetti incapsulati in Ethernet II o SNAP, o tramite il valore del SAP LLC. Le VLAN per MAC address permettono di configurare un range di MAC address contigui. Le VLAN per IP subnet permettono di definire una subnet (e quindi un range di indirizzi IP contigui). Le VLAN per limited protocol sono un sottoinsieme di protocolli. Le regole di ingresso prevedono che qualsiasi pacchetto, con tag o senza, ricevuto su una porta deve essere associato ad una VLAN. Dato che ad una porta possono essere associate VLAN di tipo differenti, lo switch supporta le seguenti regole di associazione:

Precedenza Alta Media Bassa Precedenza Alta Media Bassa TOS) oppure su priority (basate sui 3 bit del pacchetto IP che definiscono la Precedence). Packet filtering E possibile creare filtri in funzione dellindirizzo IP sorgente e destinazione, IP subnet sorgente e destinazione, porte TCP o UDP sorgente e destinazione, sui tipi di pacchetti ICMP e relativo codice, sul tipo di protocollo trasportato dal pacchetto IP (es. OSPF, EGP, ecc.) DNS caching Questa funzionalit permette allo switch di memorizzare le risoluzioni di nome DNS in modo che, alla successiva richiesta di risoluzione dello stesso nome DNS, sar lo stesso switch a rispondere in vece del server DNS remoto. La cache per il DNS pu essere configurata per mantenere in memoria un massimo di 1.000 risoluzioni per un tempo massimo di unora. Multicast IP Lo switch pu operare con il multicast IP utilizzando i seguenti protocolli: DVMRP (v3); PIM-SM; PIM-DM; IGMPv2; IGMP snooping. VRRP

RETI E DINTORNI N 20

Pag. 15

Oltre alle normali funzionalit richieste dallo standard VRRP (RFC 2338), lo switch implementa delle funzionalit aggiuntive: port monitoring: permette di decrementare la priority del master, nel caso in cui la porta fisica (non appartenente al processo VRRP) sottoposta a monitoraggio perda il link; Inteface monitoring: permette di decrementare la priority del master, nel caso in cui linterfaccia logica (non appartenente al processo VRRP) sottoposta a monitoraggio non sia pi operativa. Funzionalit QoS Lo Switch Blade ha funzionalit di QoS implementate tramite il modello IntServ o DiffServ. Il modello IntServ realizza il controllo del traffico mediante quattro componenti logiche: Classifier: individua il flusso a cui appartiene ogni pacchetto entrante e determina la classe di servizio con cui verr trattato dal packet scheduler; Packet scheduler: stabilisce lordine di rilancio e leventuale scarto dei pacchetti dalla coda di uscita; Admission control: implementa lalgoritmo di decisione per laccettazione di un nuovo flusso; Resource Reservation Protocol (RSVP): crea e mantiene lo stato riguardante un flusso. Linterazione tra le quattro componenti logiche schematizzata nella figura seguente.

Shaper/Dropper: sagoma il flusso di pacchetti in accordo al profilo di traffico concordato dallo SLA, oppure scarta i pacchetti che sono fuori dal profilo di traffico concordato (anche in modalit RED); Scheduler: determina lordine di trasmissione dei pacchetti in accordo alle regole di trattamento del particolare flusso aggregato a cui appartiene il pacchetto. Linterazione tra le cinque componenti logiche schematizzata nella figura seguente.

Interazione tra le componenti logiche del modello DiffServ

Funzionalit di Logging Lo scopo del processo di logging lelaborazione dei messaggi inviati da ogni modulo. I messaggi di logging possono essere: inviati alla console di management; inviati a un syslog server (porta UDP 514); inviati ad un altro switch o ricevuti da altri switche tramite il protocollo SRLP (Secure Router Log Protocol, porta UDP 5023); memorizzati in RAM o NVS Inoltre il processo di logging pu causare linvio di messaggi selezionati tramite e-mail a uno specifico indirizzo di posta elettronica. Linvio delle e-mail da parte dello switch implementato di default e permette di inviare e-mail non solo per le funzionalit di logging, ma anche per quelle di trigger e firewall. Funzionalit per altre architetture protocollari Lo Switch Blade ha funzionalit di routing IPX e permette di settare rotte statiche IPX, di utilizzare lIPX RIP ed il SAP. Inoltre possibile utilizzare il ping anche per inviare una echo request ad un indirizzo IPX. Lo Switch Blade supporta inoltre larchitettura Appletalk, ed in particolare i seguenti protocolli: ELAP; DDP; RTMP; ATP; NBP; ZIP. Inoltre possibile utilizzare il ping anche per inviare una echo request ad un indirizzo Appletalk.

Interazione tra le componenti logiche del modello IntServ

Il modello DiffServ realizza il controllo del traffico mediante cinque componenti logiche: Classifier: identifica il flusso a cui appartiene il pacchetto entrante; Meter: misura i parametri temporali del flusso ed effettua il confronto con il profilo stabilito dallo SLA; Marker: assegna il valore del campo DSCP del pacchetto e lo associa ad un particolare flusso aggregato;

RETI E DINTORNI N 20

Pag. 16

Descrizione delle funzionalita Advanced layer 3 e Security package IPv6 Funzionalit per il routing di IPv6 e IPv6 multicasting e funzionalit per lintegrazione con reti IPv4. BGP4 Funzionalit di protocollo BGP4. IS-IS Funzionalit dei protocolli dellarchitettura OSI, in particolare IS-IS e ES-IS. Load Balancer Permette di fare bilanciamento rispetto a sessioni di tipo: TCP (layer 4); HTTP (layer 7); SSL (layer 6); Basate su rotte layer 3. Funzionalit Firewall Lopzione Security implementa un firewall di tipo stateful inspection, il quale permette le seguenti funzionalit: Il firewall aprir solo le porte richieste dalla connessione TCP o UDP; Il firewall rileva vari tipologie di attacchi, inclusi: SYN e FIN flooding, Ping of death, attacchi Smurf, e port scan; Funzionalit di NAT, la quale permette le seguenti possibilit: o Standard NAT: lIP address sorgente viene cambiato per i pacchetti provenienti da interfaccia privata verso interfaccia pubblica. LIP address destinazione viene cambiato per i pacchetti provenienti da interfaccia pubblica verso interfaccia privata. o Reverse NAT: lIP address sorgente viene cambiato per i pacchetti provenienti da interfaccia pubblica verso interfaccia privata. LIP address destinazione viene cambiato per i pacchetti provenienti da interfaccia privata verso interfaccia pubblica. o Double NAT: sono cambiati insieme sia lIP address sorgente che di destinazione. o Enhanced NAT: permette di mappare pi indirizzi privati in un solo indirizzo pubblico (PAT), oppure pi indirizzi pubblici in solo indirizzo privato (Reverse PAT). o Subnet Translation: permette di cambiare gli indirizzi appartenenti ad una subnet in unaltra subnet (per esempio tutti gli indirizzi della

192.168.xxx.xxx nella 202.36.xxx.xxx). La subnet translation pu essere applicata a tutti i tipi di NAT precedentemente descritti. Funzionalit di SMTP Proxy, la quale permette le seguenti protezioni: o Protezione contro il relaying; o Protezione contro lo Spam e-mail; o Protezione contro attacchi Smurf Amp. Funzionalit di HTTP Proxy, la quale permette di filtrare richieste HTTP e di bloccare i cookie provenienti da un certo server o dominio. Autore: R. Gaeta

RETI E DINTORNI N 20

Pag. 17

CARATTERISTICHE DEL SET TOP 880 TANDBERG


Gli apparati SetTop possono riunire in un unico apparato due componenti dellarchitettura di una comunicazione multimediale: Il terminale: dispositivo dellapparato che si interfaccia con lutilizzatore, effettuando lacquisizione e linvio dei media da trasmettere, la ricezione e la presentazione di quelli in arrivo e fornendo gli strumenti e le funzioni di controllo per effettuare e ricevere chiamate e per gestire conferenze. Il Multipoint Controller Unit (MCU): un componente necessario per lo svolgimento di sessioni di comunicazione che coinvolgano pi di due partecipanti.

in ingresso (le funzionalit in dettaglio descritte nel seguito). Multipoint Controller (MC): Componente necessario per lo svolgimento di sessioni di videocomunicazioni che coinvolgano pi di due partecipanti. Le funzionalit del Multipoint Controller sono integrate nel Tandberg 880, ma di default non sono attivate. Lattivazione delle funzionalit del MC, sono effettuate tramite lopzione MultiSite (descritta nel seguito). Telecomando: il telecomando permette il controllo e la configurazione completa dellapparato. La trasmissione dei codici di controllo sono inviati sullinfrarosso (lunghezza donda 940 nm), utilizzando il protocollo Siemens SDA2208. Il telecomando pu trasmettere 46 codici diversi.

Lapparato SetTop Tandberg 880, di base predisposto sia per la videoconferenza su IP sia su ISDN (H.323/H.320) e con lopzione di una licenza software vengono attivate le funzionalit della MCU interna allapparato. Lapparato composto di base da: Telecamera integrata (Wide Angle View): telecamera da CCD, la quale ha un campo visivo orizzontale di 77 e un campo visivo verticale di 61. Pu essere mossa in orizzontale (pan) di +/- 95 e in verticale (tilt) di +15/-20. Ha le funzionalit di autofocus, auto brightness e auto white balance. Pu essere controllata remotamente tramite FECC (Far End Camera Control) conforme allo standard H.281. Lunghezza focale da 4,2 mm a 42 mm. Apertura diaframma da 1,8 a 2,7. Illuminazione minima richiesta 2 Lux. Risoluzione 752x582 pixels. Possibilit di memorizzare fino a 15 posizioni/regolazioni (preselezioni) della telecamera. Le prime 10 preselezioni sono richiamabili tramite telecomando, le rimanenti 5 preselezioni sono accessibili tramite comandi sulla porta dati.

Rappresentazione grafica del telecomando in dotazione al Tandberg 880 Microfono da tavolo: microfono da tavolo omnidirezionale Audio Tecnica AT871-R con le seguenti caratteristiche: connettore XLR; sensibilit: -32 dBm; Impedenza: 200 ohm; Rapporto segnale rumore: > 67 dB a 1 kHz; Lunghezza cavo microfono: 7,5 metri; Peso: 415 grammi; Cavi in dotazione: 1 cavo video (1,5 metri), 1 cavo S-video (2,0 metri), 1 cavo audio (1,5 metri), 1 cavo VGA (5,0 metri), 3 cavi ISDN BRI (4,0 metri), 1 cavo ethernet (3,0 metri), 1 cavo RS232 monitor control (2,0 metri), 1 scart S-VHS.

Rappresentazione grafica del campo visivo orizzontale della telecamera integrata Codec: il componente principale dellapparato. Le sue funzionalit principali sono la codifica e la compressione della trasmissione video/dati in uscita e la decodifica e decompressione della trasmissione video/dati

Rappresentazione fotografica del SetTop Tandberg 880 Interfaccia duso: Normalmente il Tandberg 880 gestito e configurato completamente dal telecomando. Su di esso oltre ai comandi presenti direttamente, esistono tre tasti colorati (rispettivamente verde, giallo

RETI E DINTORNI N 20

Pag. 18

e blu), i quali hanno funzionalit che variano a secondo del men presente sullo schermo, facilitandone luso.

Infine presente una porta RS-232 la quale permette la trasmissione dati in conformit allo standard T.120.

Esempio di men con funzionalit attivabili dai tasti colorati del telecomando La seguente figura illustra in modo schematico tutte le voci del men di configurazione: Rappresentazione grafica posteriore del Tandberg 880 Interfacce ISDN: Il SetTop Tandberg 880 utilizza H.320 su ISDN e pu arrivare ad utilizzare una banda di 384 kbps, riuscendo ad aggregare i 6 canali B ISDN tramite il protocollo di aggregazione Bonding (ISO 13871) oppure fino a 2 canali B tramite H.221 se il remoto non supporta il Bonding. Interfacce LAN: Sia linterfaccia Ethernet/FastEthernet, sia linterfaccia Wireless IEEE802.11b (non inclusa nella configurazione offerta), utilizzano H.323 versione 4, e supportano velocit di trasmissione fino a 768 kbps. XGA Input: Il Tandberg 880 pu connettersi ad un PC che sar utilizzato per trasmettere ci che viene mostrato sullo schermo del PC (questa funzionalit attivata dallopzione PC Presenter compresa nellopzione Natural Presenter Package (NPP)). Lapparato supporta i seguenti formati:

Diagramma delle voci di configurazione tramite telecomando Inoltre sullo schermo sono riportate informazioni importanti per lutilizzatore (es. messaggio di channel is lost ecc.). In alternativa lapparato pu essere controllato tramite web browser da un PC. Oppure tramite telnet o la porta dati. Inoltre il linguaggio delle scritte del menu interattivo pu essere selezionato tra le seguenti lingue: Italiano, Francese, Tedesco, Inglese, Cinese, Norvegese, Portoghese, Spagnolo, Svedese e Giapponese. Interfacce disponibili sul Codec: Lapparato Tandberg 880 fornito per i collegamenti di rete di una interfaccia 10/100 Mb/s Ethernet/FastEthernet (RJ45), di 3 interfacce ISDN BRI (RJ45) e una PC card slot dedicato per scheda wireless IEEE802.11b PCMCIA (non inclusa nella configurazione offerta). Sono presenti 4 ingressi video (1 MiniDin, S-video per ausiliario o document camera, 1 RCA video composito per ausiliario o document camera, 1 RCA video composito per VCR, 1 XGA per PC) e 4 uscite video (1 MiniDin, S-video per monitor principale, 1 RCA video composito per monitor principale o VCR, 1 RCA video composito per secondo monitor o VCR, 1 XGA per monitor principale o secondo monitor). Gli ingressi audio sono invece 4, (2 per microfono con connettore XLR, 1 RCA per lingresso ausiliario, 1 RCA per ingresso VCR), mentre le uscite audio sono 2 (1 RCA per luscita principale, 1 RCA per luscita verso VCR).

Se lapparato remoto non supporta H.263+ (custom formats), allora il codec trasformer linput XGA in CIF o 4CIF. XGA output: questa interfaccia pu essere utilizzata per connettere allapparato un monitor. Ingressi audio: Tutti e quattro gli ingressi audio sono regolabili e abilitati o disabilitati in modo indipendente. Di default tutti gli ingressi sono abilitati, e segnali ricevuti ingresso sono miscelati. Le specifiche per gli ingressi sono: Ingressi microfono Mic 1 e Mic 2:

RETI E DINTORNI N 20

Pag. 19

Ingressi audio 3 e audio 4 (VCR):

Automatic Gain Control (AGC): il TANDBERG 880 ha 4 AGC indipendenti. Uno in comune per i due ingressi microfono, uno per ingresso audio 3, uno per ingresso audio 4 e uno per laudio proveniente dallapparato remoto. La funzionalit AGC, prova a mantenere il segnale a un determinato livello, attenuando i segnali forti e amplificando i segnali deboli. VCR Ducking: quando un VCR connesso allingresso audio 4, se lapparato rileva segnali sonori provenienti dai rimanenti tre ingressi, automaticamente viene attenuato lingresso del VCR,e ci per permettere commenti vocali durante la trasmissione VCR.

Sincronizzazione Lip (conosciuta anche come sincronizzazione labbra): la trasmissione audio e video di una videoconferenza H.323, viene effettuata tramite due flussi separati, ed sempre possibile che laudio arrivi in ritardo rispetto al video o viceversa. Per evitare questa asincronia, la funzionalit di sincronizzazione Lip, permette tramite tecniche di buffer, di attendere il flusso in ritardo, in modo da ottenere una ricostruzione sincrona del video e dellaudio. Intelligent audio mixing: questa funzionalit, permette di stabilire quale dei due microfoni riceve un segnale audio pi intenso, e di conseguenza attenua i segnali provenienti dal rimanente microfono, per evitare rumore di sottofondo.

Acoustic echo cancellers: questa funzionalit attiva in modo indipendente sui due ingressi microfono. Il Tandberg 880 ha la possibilit di regolare manualmente la funzionalit di cancellazione di eco, in due modi: Room size: permette una ottimizzazione del cancellatore di eco rispetto alle riflessioni sonore dipendenti dalle dimensioni fisiche e geometrica della stanza, e dagli oggetti presenti in essa. Motion: permette una ottimizzazione del cancellatore di eco rispetto alle riflessioni sonore, dovute a persone continuamente in movimento. Noise reduction: Il Tandberg 880 in grado di rimuovere due tipologie di rumore: Rumore a bassa frequenza; Rumore costante. -

Compressione audio: Il TANDBERG 880 supporta le seguenti tecniche di compressione audio: G.711 a 48/56/64 kbps, larghezza di banda 3,1 kHz; G.728 a 16 kbps, larghezza di banda 3,1 kHz; G.722 a 48/56/64 kbps, larghezza di banda 7 kHz; G.722.1 a 24 kbps, larghezza di banda 7 kHz. Auto: lapparato selezioner la migliore qualit audio in funzione della velocit di trasmissione: o Per velocit di trasmissione superiori a 192 kbps le priorit sono le seguenti: G.722 (64 H.323) G.722 (56 H.320) G.722 (48 H.320) G.722.1 (32 H.320) G.722.1 (24 H.320) G.728 G.711 o Per velocit di trasmissione inferiori o uguali a 192 kbps, le priorit sono le seguenti: G.722.1 (24 H.320) G.722.1 (32 H.320) G.728 G.722 (56 H.320) G.722 (64 H.323) G.722 (48 H.320) G.711

Uscite audio: luscita audio 1 adatta alla connessione a televisori,o amplificatori audio. Il segnale presente in questa uscita lunione del segnale proveniente dallapparato remoto, e dei segnali presenti sugli ingressi audio 3 e audio 4

RETI E DINTORNI N 20

Pag. 20

dellapparato locale. Su questa uscita sono presenti anche eventuali toni di allarme, e toni DTMF. Luscita audio 2 adatta invece alla connessione di un VCR. Il segnale presente lunione del segnale proveniente dallapparato remoto, e dei segnali presenti sugli ingressi audio 3 dellapparato locale. Su questa uscita non sono presenti n toni di allarme n toni DTMF. Le specifiche sono:

abilitatati per questa funzionalit, tipo Microsoft NetMeeting ver. 2.1 (o superiore) o Intel ProShare Premier ver 2.0 (o superiore). Effettuare una chiamata Per una chiamata ISDN deve essere digitato direttamente il numero telefonico remoto, mentre per una chiamata IP deve essere o digitato lindirizzo IP del remoto, oppure se presente un gatekeeper dovr essere digitato il numero alias E.164 (sar poi il gatekeeper a traslarlo in indirizzo IP). Il Tandberg 880 con lopzione MultiSite (MS) pu connettersi contemporaneamente con apparati remoti sia su ISDN sia su IP nella stessa sessione di conferenza. La chiamata di una sessione viene effettuata su H.323 (IP) o H.320 (ISDN), in modo automatico in funzione del valore (indirizzo IP o numero E.164) che viene immesso nel campo del men Make a call.

Ingressi video: lingresso S-video (ingresso video 2) e lingresso composito (ingresso video 3) possono essere utilizzati per una Document camera mentre lingresso video composito 4 utilizzabile per un VCR. Lingresso video 1 interno allapparato ed utilizzato dalla telecamera integrata. Uscite video: luscita S-video (uscita video 1) e luscita video composita 2 forniscono il video principale (video da remoto, video locale (Self view), PIP (Picture in Picture), Still Image (funzionalit one-touch snapshot) e men interattivo), mentre luscita composita 3 fornisce solo la funzionalit di dual monitor (video locale (Self view) e Still Image (funzionalit one-touch snapshot)). Interfaccia RS-232: questa interfaccia supporta 4 modalit di funzionamento: Control: permette la configurazione e la gestione dellapparato da un computer direttamente connesso allapparato; Modem: permette la configurazione e la gestione dellapparato da un computer remoto, tramite lausilio di un modem esterno; Data mode e T.120: permette conferenza di tipo dati, la quale permette le funzionalit di: Condivisione di applicazioni; Trasferimento di files; Lavagna elettronica; Presentazioni; La conferenza dati pu essere effettuata tramite lo standard T.120 o tramite il protocollo proprietario DDC (Dynamic Data Channel). dunque possibile durante una videoconferenza attivare simultaneamente una conferenza dati, con velocit massima di 38.400 baud. I computers utilizzati per la conferenza dati devono avere programmi

Qualit di una chiamata La qualit di una chiamata strettamente correlata alla banda utilizzabile. I settaggi possibili sono: Settaggio Call Rate Auto Descrizione In questa modalit, viene utilizzata la massima banda possibile in conformit alla rete utilizzata. 384 kbps su ISDN / 768 kbps su IP. 768 kbps solo su IP 512 kbps solo su IP 384 kbps 320 kbps 256 kbps 192 kbps 128 kbps 64 kbps Chiamata telefonica

Max 768 512 384 320 256 192 128 64 Teleph

Directory La Directory una rubrica che pu memorizzare fino a 500 numeri per chiamate di videoconferenza puntopunto pi 16 entry per le chiamate di multivideoconferenza . I numeri registrati sono abbinati ad un nome mnemonico, alla banda che deve essere utilizzata per quella specifica chiamata e la rete che sar utilizzata (IP o ISDN). La directory suddivisa in: - local directory: pu memorizzare fino a 100 numeri per videoconferenze punto-punto. Pu essere gestita da menu; - multisite directory: pu memorizzare fino 16 entry per multi-videoconferenza. Ogni entry pu contenere al massimo 5 numeri di chiamata che devono gi essere memorizzati nella local directory. Pu essere gestito da menu; - global directory: pu memorizzare fino a 400 numeri per videoconferenza punto-punto. Possono essere gestiti soltanto o tramite FTP, o

RETI E DINTORNI N 20

Pag. 21

tramite il software di management TMS (Tandberg Management System). Voice Tracking: attraverso questa funzionalit la telecamera automaticamente si orienta e si posiziona sulla persona che in quel momento sta parlando. necessario connettere allapparato, oltre al microfono di default, anche un secondo microfono. Inoltre si procede con una preselezione della posizione della telecamera verso il microfono 1 (si usa la preselezione 7), e unaltra preselezione della posizione della telecamera verso il microfono 2 (si usa la preselezione 8). Quindi se chi parla pi vicino al microfono 1 la funzionalit di Voice Tracking automaticamente attiva la preselezione 7, mentre se chi parla pi vicino al microfono 2 verr attivata la preselezione 8. Se infine due persone parlano contemporaneamente (o una poco dopo laltra) una ad un microfono e la seconda allaltro microfono, la telecamera cercher di inquadrare entrambi. La velocit del passaggio da una ripresa di entrambe le persone che parlano, a una ripresa di soltanto lultima persona che parla, pu essere settato in tre modi: - Slow: la telecamera attende un tempo di circa 10 secondi prima di zoomare sul singolo parlatore; - Norm: la telecamera attende un tempo di circa 5 secondi prima di zoomare sul singolo parlatore; - Fast: la telecamera impiega il minor tempo possibile (circa 2 secondi) per zoomare sul singolo parlatore.

collegati ad un solo monitor (o videoproiettore) possono usufruire della funzionalit DuoVideo. In questo caso invece di ricevere il contributo di una fonte video (ad esempio limmagine del parlatore) su un monitor e quello della seconda fonte video (ad esempio la presentazione in Power Point) sul secondo monitor, riceveranno sul loro unico monitor la presentazione in Power Point e limmagine del parlatore nel riquadro del PIP (Picture in Picture). Utilizzando il tasto Selfview del telecomando si potranno invertire le due immagini. La banda impiegata dal singolo segnale video, dipende dalla rete utilizzata: IP (H.323): La banda utilizzata dal singolo segnale video circa della banda totale originaria. ISDN (H.320) : In questo caso abbiamo che il secondo segnale video utilizzer una banda di 64 kbps se la banda totale originaria era tra 128 256 kbps e invece utilizzer una banda di 128 kbps se la banda totale orinaria era tra 320 384 kbps. La banda utilizzata invece dal segnale video principale sar data dalla sottrazione alla banda totale originaria, della banda utilizzata dal secondo segnale e dalla banda utilizzata dallaudio (esempio banda totale originaria = 256 kbps; quindi banda utilizzata secondo segnale = 64 kbps e banda audio 64 kbps. Allora la banda disponibile per il segnale video principale 256 64 64 = 128 kbps).

Rappresentazione schematica della funzionalit di voice Tracking.

Rappresentazione grafica di visualizzazione su doppio schermo di due segnali video simultanei. PC Presenter: questa funzionalit permette di utilizzare un PC, collegato allingresso XGA, che sar utilizzato per trasmettere ci che viene mostrato sullo schermo del PC. PC SoftPresenter: questa funzionalit abilit allinterno dellapparato la componente VNC viewer. Un PC dotato del VNC server (scaricabile liberamente dal sito www.uk.research.att.com/vnc/),

Versioni Software disponibili: Il Tandberg 880 viene fornito, sul mercato europeo, con software compatibile allo standard PAL, e sono disponibile le seguenti versioni o opzioni (descritte nel seguito del paragrafo): - Standard; - Opzione Natural Presenter Package (NPP): Comprende le seguenti funzionalit: DuoVideo: permette la trasmissione e ricezione di due segnali video (sia su H.320 che su H.323). I due segnali potranno essere visualizzati su due schermi distinti. Anche i terminali

RETI E DINTORNI N 20

Pag. 22

collegato in rete IP, permette di inviare presentazioni in videoconferenza. Digital Clarity: questa opzione permette di ricevere e trasmettere immagini con risoluzioni native VGA, SVGA, XGA e 4CIF. Opzione MultiSite (MS): questa funzionalit attiva il Multipoint Conference Unit (MCU) integrato nellapparato Tandberg 880. La MCU permette di connettere alla stessa sessione di videoconferenza pi di due apparati. possibile avere una combinazione mista di chiamate ISDN e IP. La multi conferenza viene stabilita per prima cosa chiamando un sito remoto. Quando la chiamata stabilita, si procede a chiamare direttamente gli altri siti remoti. anche possibile che sia il sito remoto che effettua la chiamata verso lapparato con funzionalit MCU abilitata. La seguente tabella elenca la banda massima disponibile per ogni collegamento video (N.B. N siti video corrispondono a N-1 collegamenti video):
4 siti video 4 siti video + 1 sito solo audio 64 kbps 3 siti video 3 siti video + 2 siti solo audio 128 kbps Point-to-Point Video + 1 3 siti audio

(Esempio di MultiSite Cascading). Rappresentazione grafica della conferenza con 10 siti video e 4 siti audio. Audio Bridge: possibile effettuare conferenze soltanto audio le chiamate possono essere effettuate sia verso telefoni normali (ISDN o PSTN) oppure verso telefoni IP su rete Intranet.

Solo ISDN (384 kbps)

128 kbps

192 kbps

Solo LAN (768 kbps) Sia ISDN e LAN

256 kbps

256 kbps

384 kbps

384 kbps

320 kbps (1 sito audio) 256 kbps (2 siti audio) 192 kbps (3 siti audio) 768 kbps

Opzione AES Security questa opzione adotta lo Advanced Encryption Standard (AES), il quale molto pi sicuro rispetto al DES. AES pu essere implementato con un lunghezza delle chiavi di 128, 192 e 256 bits. Questa opzione permette limplementazione delle chiavi lunghe 128 bits.

128 kbps

64 kbps

192 kbps

128 kbps

N/A

Esempio di multiconferenza con 4 siti video e 1 sito audio Multisite Cascading: lapparato TANDBERG 880 con lopzione MS pu essere connesso con altri apparati TANDBERG 880 con opzione MS (conforme allo standard H.243 cascading), fino ad un massimo di tre e ci permette di arrivare fino a 10 siti video e 4 audio che possono partecipare alla stessa conferenza.

Codifiche video: Il Tandberg 880 pu utilizzare le seguenti codifiche video: H.261, H.263, H.263+ (annex N), H.263++ (annex W) e H.264. Lo standard H.264 e un nuovo standard video frutto di un progetto di collaborazione fra il Video Coding Experts Group (VCEG) dell ITU-T e il Moving Picture Experts Group (MPEG) delliSO/IEC. Questo nuovo standard permette di avere una qualita video pari a quella dellH.263 utilizzando pero meta della banda. Per esempio una chiamata a 384 Kbps effettuata con terminali che supportano lH.264 fornira la stessa qualita video che si puo avere a 768 Kbps su terminali che supportano solo lH.263. Le risoluzioni video utilizzabili sono: Formato Video Dimensione immagine immagine (pixels) 4CIF PAL 704x576 iCIF PAL 352x576 CIF PAL 352x288 QCIF PAL 176x144 SQCIF PAL 128x96 (solo decodifica) XGA PC 1024x768 SVGA PC 800x600 VGA PC 640x480 Nel men della qualit della chiamata si possono settare tre modalit generali:

RETI E DINTORNI N 20

Pag. 23

Motion: ottimizzato per video dove presente molto movimento; Sharpness: ottimizzato per video dove presente poco movimento; Auto: selezioner automaticamente la funzionalit Motion o Sharpness in funzione dalla sorgente video (per Doument Camera e PC selezioner Sharpness, mentre per la telecamera principale, ingresso ausiliario e VCR selezioner Motion).

Indipendentemente dallorganizzazione topologica e dallestensione di una sessione, esistono essenzialmente i seguenti modelli di controllo per le conferenze: Modello di controllo di tipo lasco (loosely coupled, light-weight) : Si tratta, fondamentalmente, di un modello di conferenza multimediale basato sul multicast, privo di meccanismi espliciti di controllo, ad esempio sullingresso di nuovi partecipanti nella sessione oppure sulla distribuzione degli stream. I membri della sessione non sono connessi a livello di un protocollo di controllo della conferenza. La scalabilit di un simile approccio notevole, si possono ottenere senza problemi conferenze di estensione geografica che ben si adattano ad eventi, pubblici o non. La trasmissione multicast permette di trasmettere dello streaming video,secondo il paradigma uno a molti. Il tandberg 880 che funzioner come server multicast pu configurare: lindirizzo ip multicast da utilizzare (indirizzo scelto nel range 224.0.0.1 239.255.255.255); la porta UDP da utilizzare; il valore del campo TTL (Time To Live) dei pacchetti di streaming trasmessi. Questo valore serve per definire la distanza massima in termine di routers attraversati (hops) per la trasmissione video; la sorgente video pu essere locale (da telecamera, da PC, da VCR) oppure pu essere trasmessa in multicast una videoconferenza punto-punto, e in questo caso si pu selezionare se verr trasmesso solo la sorgente locale o quella remota o entrambe (tramite funzionalit voiceswitching); la velocit di trasmissione video streaming pu essere selezionata tra 16 kbps e 320 kbps, mentre lo streaming audio (G.711) user una velocit di 64 kbps per un totale massimo di 384 kbps; si pu inoltre configurare una password per fare in modo che la visualizzazione del video multicast non sia accessibile ad utenti non autorizzati.

La seguente tabella mostra quali risoluzioni sono utilizzate in funzione delle modalit generali e delle possibilit del sistema remoto: Modalit Ingresso Regole di selezione della Video modalit di trasmissione MOTION PAL iCIF CIF QCIF MOTION VGA CIF QCIF MOTION SVGA CIF QCIF MOTION XGA CIF QCIF SHARPNESS PAL 4CIF VGA CIF QCIF SHARPNESS VGA VGA 4CIF CIF QCIF SHARPNESS SVGA SVGA 4CIF VGA CIF QCIF SHARPNESS XGA XGA SVGA 4CIF VGA CIF QCIF One-touch Snapshot: questa funzionalit permette di inviare o ricevere unimmagine fissa durante una videoconferenza. Abbiamo le seguenti possibilit: Se lapparato remoto ha un doppio monitor limmagine fissa apparir sul secondo monitor, In caso di invio di immagine fissa, in una multiconferenza, essa potr essere inviata a tutti i partecipanti da chi in quel momento mantiene il floor; Se il remoto non supporta i formati custom H.263+, lo snapshot sar inviato in formato 4CIF; I formati possibili dellimmagine inviata in snapshot sono: CIF, 4CIF (H.261 Annex D), VGA, SVGA, XGA;

Tipologie di controllo di una sessione di videoconferenza: I partecipanti ad una conferenza, in genere, devono avere unidea riguardo al contesto nel quale la conferenza si sta svolgendo. Molte conferenze hanno delle linee guida formali che stabiliscono delle regole di comportamento per la partecipazione. In altre situazioni non si hanno tali restrizioni. In entrambi i casi, inizialmente ogni partecipante deve conoscere i suoi interlocutori. E quindi opportuno che, durante la conferenza, siano scambiate alcune informazioni di controllo per implementare una regola di comportamento o almeno per rendere noto chi sta prendendo parte alla conferenza. Inoltre, possono essere richieste misure di sicurezza per verificare se chi sta partecipando autorizzato.

Rappresentazione grafica del men di configurazione dello streaming multicast Inoltre possibile abilitare uno streaming sia allinterno di una chiamata, sia al di fuori di una chiamata. I clients utilizzabili sono: Cisco

RETI E DINTORNI N 20

Pag. 24

IP/TV, QuickTime versione 4 o superiore, RealPlayer versione 7, VIC. Il Tandberg 880 invia periodicamente un pacchetto di Session Announcement Protocol (SAP) per informare i clients dove trovare il flusso di streaming. Lattivazione dello streaming disabilita le funzionalit fornite dalle opzioni MultiSite (MS) e DuoVideo (compresa in NPP). Modello di controllo di tipo stretto (tightly coupled): In questo caso, la conferenza basata trasmissioni su unicast; in aggiunta sono presenti quei meccanismi di controllo esplicito della sessione che invece mancano del tutto nelle conferenze loosely coupled, come ad esempio il floor and chair control (per la detenzione del diritto a spedire/ricevere dati nella sessione) e la gestione dei membri appartenenti al gruppo. In generale si parla di: Servizi per il controllo della sessione (Session Control Services), inerenti la gestione dei media session (es. funzioni floor and chair control, funzioni di hold and mute, ecc.). Il Tandberg 880 permette i seguenti controlli della sessione: o Chair Control: permette una gestione completa della sessione. Una volta definito chi pu controllare la sessione (tramite la funzionalit di Take Chair), egli pu definire di volta in volta chi dei partecipanti alla videoconferenza viene visualizzato sugli schermi, tramite la funzionalit Floor to Site Servizi per il controllo della chiamata (Call Control Services), inerenti la gestione dei partecipanti ad una sessione (es. trasferimento di chiamata, chiamate multi-party, ecc.).

Quality of service: le trasmissioni multimediali sono sensibili a ritardi (delay) elevati e a variazioni elevate del ritardo (Jitter). Valori elevati di Jitter possono causare larrivo fuori sequenza dei pacchetti in ricezione. Il SetTop Tandberg 880, pu gestire la ricostruzione della sequenza dei pacchetti se il valore massimo del Jitter non supera i 100 ms. Altre funzionalit, descritte nel seguito, per la gestione della qualit di trasmissione sono: il protocollo RSVP, letichettatura dei pacchetti rispetto allo standard dei servizi differenziati (DiffServ) o ToS, tramite la funzionalit IPLR e infine tramite il downspeeding. RSVP: RSVP (Reservation Protocol RFC 2205) un protocollo di segnalazione che consente al SetTop di effettuare prenotazioni di risorse di rete. Requisito essenziale per lutilizzo di questa funzionalit che tutti i router di rete del percorso di trasmissione, supportino e siano configurati per lutilizzo del protocollo RSVP. Un SetTop che vuole prenotare le risorse sui router costituenti il percorso fisico, invia un messaggio (PATH message) al SetTop dellaltra estremit del tunnel. Il SetTop remoto risponde con un messaggio (RESV message) che, attraversando i routers della rete interna, consente di prenotare le risorse relative alla richiesta. Prima di prenotare delle risorse, i router devono verificare che esse siano disponibili; lammissione di chiamata (call admission) consente di verificare che lammontare di risorse richieste non superi quelle disponibili. La Figura seguente mostra come avviene questo scambio di messaggi.

Modalit di visualizzazione: Abbiamo tre possibili scenari di visualizzazione dei partecipanti di una videoconferenza: - Normale: viene visualizzato soltanto chi sta parlando in quel momento. La selezione sar effettuata in modo automatico tramite la funzionalit di voice switching, oppure in modo manuale da chi detiene il chair control; - PIP (Picture In Picture): come la visualizzazione Normale con in pi la visualizzazione tramite un piccolo riquadro, nella parte alta a destra dello schermo, della ripresa video di se stessi; - Continuos Presence: viene suddiviso lo schermo in 3 o 4 riquadri, e in questo modo sono visualizzati contemporaneamente tutti i partecipanti di una multi-videoconferenza.

Rappresentazione grafica di scambio di messaggi RSVP Differential Services: I servizi differenziati (abbreviati DiffServ) consentono di offrire garanzie sulla QoS classificando il traffico inviato dal SetTop in modo da definire la classe di traffico di ogni pacchetto; diverse classi di traffico riceveranno un trattamento diverso allinterno della rete di trasmissione. Requisito essenziale per lutilizzo di questa funzionalit che tutti i router di rete del percorso di trasmissione, supportino e siano configurati per lutilizzo delle funzionalit DiffServ. I SetTop marcano ogni pacchetto trasmesso impostando un particolare valore nel campo DSCP

RETI E DINTORNI N 20

Pag. 25

dellheader IP. Una regola generale dei valori del DSCP che un valore pi alto assicura caratteristiche di inoltro superiori. Il SetTop Tandberg 880 permette di definire in modo indipendente i valori (da 0 a 63) del campo DSCP per la trasmissione audio, video, dati e segnalazione. IP Precedence e Type of Service (ToS): nel caso la rete di trasmissione dati utilizzi routers non aggiornati per lutilizzo del Diffserv, si pu fare ricorso alla classificazione classica dei pacchetti, tramite IP Precedence e il Type of Service. Il SetTop Tandberg 880 permette di definire in modo indipendente I valori (da 0 a 7) del campo IP Precedence per la trasmissione audio, video, dati e segnalazione. Mentre per il ToS pu essere configurato per minimizzare il ritardo, o il costo, oppure massimizzare la velocit di trasmissione o laffidabilit. Requisito essenziale per lutilizzo di questa funzionalit che tutti i router di rete del percorso di trasmissione, supportino e siano configurati per lutilizzo delle funzionalit IP Precedence e ToS.

decoder elabora una stima interpolante dellinformazione associata ai pacchetti persi. Questa funzionalit continuamente in funzione. IPLR in trasmissione: quando un livello di almeno 1-2% dei pacchetti sono persi, lencoder diminuisce lintervallo temporale di trasmissione delle Intraframes.

Rappresentazione grafica di esempio del men di configurazione per lIP Precedence e il Tos. Intelligent Packet Loss Recovery (IPLR) : le tecniche di compressione utilizzate comunemente per la videoconferenza sono H.261 e H.263. In generale esse sfruttano il fatto che solo piccoli cambiamenti sono presenti fra una video-frame e la successiva. Questa caratteristica conosciuta come ridondanza temporale e viene utilizzata dalla tecnica di compressione tramite Interframe. Essa consiste nel trasmettere una video-frame completa, detta Intraframe, la successive n video-frame, dette Interframes conterrano solo le variazioni rispetto alla propria precedente, la successiva video-frame, sar di nuovo una Intraframe completa e le successive saranno n Interframes e cos via. Dato che le Intrafames contengono tutta linformazione di una singola video-frame in modo completo, la perdita di una di esse non critico. Invece la perdita di una Interframe critico. IPLR permette di affrontare la perdita di pacchetti utilizzando tecniche diverse nel caso di ricezione o di trasmissione dei pacchetti: IPLR in ricezione: quando in ricezione presente una perdita di pacchetti, il

Intelligent Call Management (ICM): la funzionalit ICM permette un controllo puntuale della qualit del canale trasmissivo, diminuendo la quantit di dati trasmessi in caso di un numero elevato di errori o nel caso di una caduta di una linea ISDN. Nel seguito sono descritte in dettaglio le tecniche utilizzate: ISDN Downspeeding: La funzionalit di diminuzione della velocit trasmissiva avviene nei seguenti casi: Se lapparato remoto non supporta il Bonding, verr utilizzato solo H.221 fino a 128 kbps; Se il numero N di canali B utilizzati dal setup del Bonding, non sono disponibili sul remoto (ne siano disponibili solo M < N), allora saranno utilizzati solo M canali B; Se un canale B durante la fase di setup non si connette; Se in un canale B si riscontrano problemi di sincronismo, il canale sar disconnesso, e proceder con il downspeeding; Se viene rilevato che un canale B in loop; Se durante una chiamata un canale B viene interrotto dalla rete. IP Downspeeding: funzionalit simile alla precedente presente su IP. La diminuzione della velocit trasmissiva avviene nei seguenti casi: Se la percentuale dei pacchetti persi superiore al 10% durante gli ultimi 2 secondi, la velocit di trasmissione sar diminuita di 64 kbps. (es. se la velocit prima del rilevamento dei pacchetti persi era di 768 kbps, allora la nuova velocit sar di 704 kbps); Se nei successivi 2 secondi si presentano le stesse condizioni (10% di pacchetti persi), lapparato proceder ad una ulteriore diminuzione di velocit di 64 kbps. Questo passo viene ripetuto finch la percentuale dei pacchetti persi non sar minore del 10% in un intervallo di 2 secondi; Se la velocit di trasmissione ha raggiunto i 192 kbps, ed ancora presente uneccessiva percentuale di

RETI E DINTORNI N 20

Pag. 26

pacchetti persi, allora lapparato riporter la velocit di trasmissione alla velocit originale della chiamata, e durante tutta la chiamata la funzionalit downspeeding non verr pi attivata. Tutto ci nellassunzione che la perdita dei pacchetti non da attribuirsi alla velocit della chiamata. Sicurezza: Encryption: lo scopo della cifratura (encryption) quello di rendere inintelligibile la trasmissione video/dati per un eventuale hacker. Di default il SetTop 880 utilizza DES (H.235 per IP e H.233 e H.234 per ISDN) con chiave a 56 bits, con tecnica Diffie-Hellman per la distribuzione delle chiavi su H.323 e H.320. Il SetTop pu sopportare anche lo standard AES a 128 bit tramite lopzione Secure Conference AES (non inclusa nella configurazione offerta). Quando viene effettuata una chiamata punto-punto H.323 o H.320, se lapparato remoto supporta la cifratura, automaticamente la trasmissione sar criptata utilizzando la migliore tecnica di cifratura supportata da ambedue gli apparati, se invece lapparato remoto non supporta tecniche di cifratura, la trasmissione sar non criptata. Nel caso invece di videoconferenza con pi di due partecipanti, quindi tramite MCU (funzionalit attivata tramite lopzione MultiSite), si deve distinguere fra videoconferenza multipla in ISDN o in IP: Sicurezza su videoconferenza multipla in ISDN: per avere una videoconferenza multipla sicura tutti gli apparati partecipanti devono supportare la cifratura. Sicurezza su videoconferenza multipla su IP: in questo caso gli apparati partecipanti che supportano la cifratura avranno trasmissioni criptate, mentre gli apparati partecipanti che non supportano la cifratura avranno trasmissioni non criptate.

Rappresentazione grafica dei livelli di sicurezza. Nessuna cifratura, DES, AES, cifratura tramite apparati esterni per uso militare (opzione non disponibile per usi civili). Supporto ai Firewall: I firewall sono preposti al controllo del flusso del traffico in base a regole

che consentono o impediscono determinati tipi di traffico. Attualmente i firewall possono essere suddivisi in: Firewall Packet Filtering: I firewall di questo tipo si basano esclusivamente sulle intestazioni TCP, UDP, ICMP e IP dei singoli pacchetti. Un router utilizzato come firewall, deve effettuare controlli complessi sui pacchetti. La maggiore limitazione del packet filtering dovuta al fatto che questa tecnica non effettua controlli a livello applicativo. Comunque il packet filtering risulta un sistema economico, in quanto le sue funzionalit sono integrate nei vari sistemi operativi dei router in commercio. Loperato di questo tipo di firewall completamente trasparente agli utenti. Dato che il protocollo H.323 alloca in modo dinamico porte TCP e UDP dalla 1024 alla 65535, lunico modo per trasmettere in H.323 attraverso un firewall packet filtering, quello di lasciare aperte tutte le porte superiori alla 1024 sul firewall. Ci significa che si lasciano pi possibilit per le violazioni dei sistemi interni alla rete. Per evitare ci, il Tandberg 880 restringe lutilizzo delle porte soltanto alla 1720 (porta server per le chiamate Q.931), 5555-55XX per il TCP, e le porte 2326-2373 per lUDP. Firewall Stateful Filtering: I firewall di questo tipo mantengono informazioni sullo stato e ricostruiscono il flusso di dati associato al traffico. Questa tecnica entra nel merito di tutti i parametri connessi allintestazione TCP, quali i numeri seriali, gli ack e lo stato dei flags. Un filtro sul circuito non lascia passare i pacchetti che non fanno parte di una connessione stabilita. Per evitare che un hacker riesca in un attacco di tipo denial of service, il firewall accetta solo un limitato numero di richieste da ogni utente. Loperato di questo tipo di firewall completamente trasparente agli utenti. Questo tipo di firewall sono sicuramente migliori del tipo packet filtering, ma essi devono interpretare i pacchetti anche a livello superiore, e potrebbero nascere dei problemi di compatibilit. Per esempio se il firewall interpreta solo H.323 versione 1 e 2, mentre il Tandberg 880 utilizza H.323 versione 3 e 4, allora la trasmissione potr non funzionare. Firewall Proxy: Nei firewall di questo tipo il client non apre la connessione direttamente verso il server remoto, ma bens verso il firewall proxy, e sar questultimo che aprir una nuova sessione verso il server remoto. Questo

RETI E DINTORNI N 20

Pag. 27

tipo di firewall deve avere funzionalit di H323 Proxy, il quel deve manipolare i segnali di controllo H.225 e H.245 e far passare i flussi RTP e RTCP. Un terminale H.323, per attraversare un firewall proxy, deve essere proxy compatibile. Il Tandberg 880 non proxy compatibile. Supporto al NAT: se la trasmissione video deve attraversare un apparato (router o firewall) che opera il cambiamento degli indirizzi IP (NAT), allora si potrebbero presentare dei problemi se lapparato (router o firewall) non ha funzionalit operative ALG (Application Level Gateway) specifiche per il protocollo H.323 e H.225. Infatti lindirizzo IP sorgente nel caso di questi protocolli lo si trova anche a livello superiore, e gli apparati con funzionalit ALG, quando viene attivato il NAT, modificano lindirizzo non solo al livello IP ma anche in ogni campo che lo contenesse a livello superiore. Nel caso lapparato che opera il NAT, non ha una funzionalit ALG, allora il SetTop 880 si pu configurare in modo che lindirizzo IP sorgente posto ai livelli superiore al terzo sia gi il corrispondente indirizzo traslato, dopo lattraversamento dellapparato che opera il NAT. Passwords: Laccesso al Tandberg 880 pu essere protetto da passwords differenziate per servizi/funzionalit. Si pu configurare la password per laccesso tramite Telnet, HTTP e FTP, la password per le funzionalit di multicast streaming e la password per entrare in alcuni sottomen di configurazione (modalit detta protected Mode). HTTP Digest: Nel caso di accesso tramite http, al Tandberg 880, la password non sar inviata tramite testo in chiaro ma sar criptata. Trap SNMP per password incorretta: Il Tandberg 880 pu inviare un trap SNMP a un server di management SNMP, ogni volta che viene digitata una password errata su http, Telnet o FTP. Disabilitazione dei servizi: Di default i servizi Telnet. FTP, http, Remote Software Upgrades, Rinfo e SNMP sono abilitati. possibile per sicurezza disattivarli singolarmente, e nel caso del servizio SNMP, lasciare abilitata soltanto la funzionalit Read-Only.

reti wireless particolarmente importante, in quanto le onde elettromagnetiche non vengono confinate allinterno degli edifici. Il Tandberg 880 permette la configurazione di due modalit di sicurezza in conformit allo standard: - SSID (Service Set Identifier): L'SSID un parametro configurabile che deve essere identico sia sul client e sia sull'Access Point (AP). una stringa di 32 caratteri ASCII. - WEP (Wired Equivalency Privacy): WEP basato sul metodo di criptaggio RC4. Usando questo metodo sia il client sia l'AP condividono chiavi di WEP statiche (lunghezza chiavi da 64 bit o 128 bit). Questa chiave controllata durante il processo di autenticazione. Se la chiave di WEP del client non uguale a quella dell'AP, il client non si pu connettere alla rete. La scheda wireless, pu essere configurata per connettersi alla rete wireless tramite Access Point (modalit Infrastructure), o direttamente ad altre schede wireless (modalit AdHoc). Gestione dellapparato: Lapparato TANDBERG 880 pu essere gestito nei seguenti modi: Localmente tramite il telecomando; Localmente da un computer direttamente connesso allapparato tramite porta seriale o tramite la porta ethernet con lausilio di una cavo lan crossato; Remotamente da un computer, tramite Intranet/Internet; Remotamente, tramite un modem esterno connesso allapparato, e un computer remoto, che attiva una chiamata verso di esso; Tramite lopzione software TMS (Tandberg Management Suite);

Gli aggiornamenti software possono essere effettuati: - tramite FTP, da un qualsiasi computer della Intranet/internet; - tramite un altro apparato TANDBERG 880 allinterno di una chiamata di videoconferenza. Diagnostica: Lapparato dispone diverse funzionalit di diagnostica, le quali permettono di effettuare sia dei test interni allapparato sia dei test rivolti alle connessioni di rete: - System Selftest: questa funzionalit effettua dei tests per verificare lintegrit dellapparato a livello hardware; - Far End Loop (solo ISDN): permette di ritrasmettere indietro il segnale video ricevuto. In questo modo possibile testare il funzionamento del codec; - Channel Status (solo ISDN): permette di verificare lo stato di ogni singolo canale B utilizzato nella videoconferenza; - Cause Codes (solo ISDN): mostra la causa specifica di una chiamata ISDN non riuscita;

Wireless: Il Tandberg 880 dispone di un PC Card Slot per scheda PCMCIA Wireless IEEE802.11b (non inclusa nella configurazione offerta). Lo standard IEEE802.11b utilizza la banda di frequenze 2,4 GHz ISM e pu utilizzare velocit di trasmissione fino ad un massimo di 11 Mb/s. Il problema della sicurezza con le

RETI E DINTORNI N 20

Pag. 28

Control Trace (solo IP): permette di avere dettagli specifici sui protocolli di segnalazione RAS, Q.931 e H.245; Ping (solo IP): permette di verificare la connettivit IP; Traceroute (solo IP): permette di verificare esattamente il percorso effettuato dai pacchetti IP per giungere a destinazione; Autore: R. Gaeta

RETI E DINTORNI N 20

Pag. 29

CARATTERISTICHE DELLAPPARATO MCU 16+16 DELLA TANDBERG


Lapparato Tandberg MCU 16+16 (codice listino: 112450INT) permette di connettere alla stessa videoconferenza, fino ad un massimo di 16 siti video in ISDN o IP e 16 siti audio ISDN.

Allarmi per ISDN PRI: per ognuna delle singole interfacce ISDN PRI sono presenti 4 leds, i quali servono ad indicare: Layer 1 Red Alarm: allarme di segnalazione Loss Of Signal (LOS); Layer 1 Yellow Alarm: allarme di segnalazione Remote Alarm Indicator (RAI); Layer 1 Blue Alarm: allarme di segnalazione che indica non disponibilit di rete; D-Channel Down: allarme che segnala la perdita della segnalazione del canale D; LAN: segnalazione di ricezione e trasmissione pacchetti; Calls active: segnalazione di presenza di chiamate attive.

Rappresentazione fotografica anteriore del Tandberg MCU Interfacce disponibili:

Rappresentazione grafica espansa dei 24 leds di allarme presenti sul Tandberg MCU 16+16. Rappresentazione grafica dellinterfacce disponibili sul Tandberg MCU Interfacce ISDN: lapparato ha 4 interfacce PRI ISDN, utilizzano H.320 e i seguenti protocolli di aggregazione canali: Bonding (ISO 13871): possibilit di aggregare fino a 30 canali B, per una velocit complessiva di 2 Mbps; H,221: possibilit di aggregare fino a 2 canali B, per una velocit complessiva di 128 kbps; H0: aggrega 6 canali B, per una velocit complessiva di 384 kbps. Interfacce LAN: Linterfaccia Ethernet/FastEthernet, utilizza H.323 versione 4, e supportano velocit delle chiamate video fino a 2 Mbps. Interfaccia RS232: utilizzata per il controllo dellapparato. Regole per il numero di chiamate simultanee: Il numero di chiamate simultanee sono soggette ad alcune regole, elencate nel seguito: Possibilit di avere fino ad un massimo di 3 videoconferenze simultanee e distinte; possibilit di connettere un massimo di 16 siti video (senza cifratura) e 16 siti audio nella stessa videoconferenza; possibilit di connettere un massimo di 7 siti video (con cifratura). Nella stessa videoconferenza cifrata non possibile effettuare chiamate solo audio; non sono possibili chiamate cifrate e non cifrate nella stessa videoconferenza; sono possibili chiamate miste ISDN e IP nella stessa videoconferenza; la banda totale massima di tutte le chiamate non pu superare il valore di 7680 kbps; ad una chiamata associato un peso, e il suo valore dipende dalla banda utilizzata dalla chiamata, dalleventuale uso di cifratura oppure no. La seguente tabella indica il peso per le chiamate video:

Lapparato fornito di base dei seguenti cavi: 4 cavi ISDN PRI (5,0 metri), cavo ethernet (5,0 metri), cavo RS232 (3,0 metri), cavo di alimentazione (2,5 metri). Leds di segnalazione o allarme: Il Tandberg MCU 16+16 presenta sulla facciata anteriore 24 leds di allarme o segnalazione cos suddivisi:

Mentre questaltra tabella indica il peso per le chiamate audio:

RETI E DINTORNI N 20 la somma dei pesi di chiamata non deve mai superare il valore di 845. Per esempio per verificare se sono possibili in contemporanea 3 videoconferenze delle quali la prima con 6 chiamate video non cifrate a 768 kbps (peso della chiamata = 62), la seconda con 4 chiamate video non cifrate a 384 kbps kbps (peso della chiamata = 46), e la terza con 4 chiamate video cifrate a 192 kbps (peso della chiamata = 60), allora la somma dei pesi data da 6x62+4x46+4x60=796. Dato che il peso ottenuto 796 < 845, che la banda totale 6912 < 7680 kbps allora sono effettuabili in contemporanea tutte le chiamate precedenti. La seguente tabella mostra un esempio del massimo numero di chiamate video contemporanee, in conformit alle regole precedentemente descritte:

Pag. 30

Continuos Presence 4 (CP4): lo schermo viene suddiviso in quattro riquadri. Se ci sono pi di quattro partecipanti, saranno visualizzati lultimi quattro che hanno parlato. Se sono meno di quattro, saranno presenti dei riquadri vuoti (in nero). Continuos Presence 9 (CP9): lo schermo viene suddiviso in nove riquadri. Se ci sono pi di nove partecipanti, saranno visualizzati lultimi nove che hanno parlato. Se sono meno di nove, saranno presenti dei riquadri vuoti (in nero). Continuos Presence 16 (CP16): lo schermo viene suddiviso in sedici riquadri. Se ci sono pi di sedici partecipanti, saranno visualizzati lultimi sedici che hanno parlato. Se sono meno di sedici, saranno presenti dei riquadri vuoti (in nero). Auto: verr scelta in modo automatico la visualizzazione da utilizzare come da tabella:

Codifiche video: Il Tandberg MCU 16+16 pu utilizzare le seguenti codifiche video: H.261, H.263, H.263+ (annex N). Di default lapparato utilizzer H.263, tranne nel caso che il remoto supporti soltanto H.261. In questo caso lapparato utilizzer automaticamente H.261. Le risoluzioni video utilizzabili sono: Formato Video Dimensione immagine immagine (pixels) 4CIF PAL 704x576 (solo H.263) CIF PAL 352x288 QCIF PAL 176x144 XGA PC 1024x768 SVGA PC 800x600 VGA PC 640x480 Nel men di configurazione di una videoconferenza si possono settare le seguenti funzionalit video: Modalit di visualizzazione: Voice Switched: viene visualizzato a pieno schermo lattuale partecipante, della videoconferenza, che sta parlando. Sullo schermo di chi sta parlando invece, viene visualizzato lultima persona che ha parlato.

Formato video: Motion: ottimizzato per video dove presente molto movimento. Sharpness: ottimizzato per video dove presente poco movimento; Auto: selezioner automaticamente la funzionalit Motion o Sharpness in funzione dalla modalit di Continuos Presence; Video Custom Format: permette la visualizzazione a schermo intero delle risoluzioni native VGA, SVGA e XGA.

Altre funzionalit video sono: - Video Transcoding: il Tandberg MCU supporta la possibilit che nella stessa videoconferenza si abbiano siti collegati a velocit diverse; - Duo Video: il Tandberg MCU ha la possibilit di ricevere e trasmettere due segnali video simultanei da o verso tutti i partecipanti alla videoconferenza. Quando viene inviato il Duo Video verso un sito ogni segnale user circa met della banda della chiamata; Funzionalit audio:

Automatic Gain Control (AGC): funzionalit che assicura che il segnale audio inviato a tutti i partecipanti sia allo stesso livello. Telephone Noise Suppression: il collegamento di un normale telefono alla conferenza (quindi sito solo audio), normalmente introduce anche del

RETI E DINTORNI N 20

Pag. 31

rumore. Il Tandberg MCU implementa un filtro particolare dedicato ad eliminare questa tipologia di rumore. Compressione audio: Il Tandberg MCU seguenti tecniche di compressione audio: G.711 a 48/56/64 kbps, larghezza di banda 3,1 kHz; G.728 a 16 kbps, larghezza di banda 3,1 kHz. G.728 viene utilizzato soltanto per chiamate con larghezza di banda di 192 kbps o minore; G.722 a 48/56/64 kbps, larghezza di banda 7 kHz; G.722.1 a 24 kbps o 32 kbps, larghezza di banda 7 kHz. Rappresentazione grafica del men di configurazione di una videoconferenza Completata la configurazione dei parametri di una videoconferenza, si pu scegliere di aggiungere immediatamente i partecipanti che saranno chiamati, oppure di creare la videoconferenza senza aggiunta dei partecipanti, e questo pu essere utile per esempio nelle videoconferenze che accettano chiamate. Aggiungere un partecipante ad una videoconferenza: i partecipanti che devono essere aggiunti ad una videoconferenza devono essere gi presenti nella rubrica dellapparato. La rubrica pu contenere fino a 99 numeri singoli e 16 indirizzi di gruppo. Terminato di aggiungere lultimo partecipante si pu procedere alla chiamata di ognuno.

Lapparato configurabile tramite Web browser, e permette di effettuare: Creare e configurare una conferenza: si possono definire i seguenti parametri: Nome identificativo della conferenza; Banda massima utilizzabile per ogni chiamata; Permettere di ricevere chiamate in entrata; Durata massima della singola chiamata; Definire la modalit di visualizzazione: Voice Switched; Continuos Presence 4 (CP4); Continuos Presence 9 (CP9); Continuos Presence 16 (CP16); Definire il formato video: Auto; Sharpness:; Motion; Video Custom Format; Abilitare o disabilitare la funzionalit di AGC (Automatic Gain Control); Abilitare funzionalit di sicurezza: Settare una password per laccesso dei partecipanti alla videoconferenza; Abilitare e settare la modalit di cifratura della conferenza: o AES 128: possono connettersi solo siti remoti che supportano AES; o DES: possono connettersi solo siti remoti che supportano DES; o Auto: utilizzer il massimo livello di sicurezza supportato dal remoto. Ci significa che nella stessa conferenza possono sussistere siti collegati in cifratura DES, altri in cifratura AES; Settare un limite al numero di partecipanti in video; Settare un limite al numero di partecipanti in audio;

Rappresentazione grafica del men di aggiunta partecipanti ad una videoconferenza. Gestione di una videoconferenza attiva: una videoconferenza attiva pu essere gestita dal men di Conference Status:

RETI E DINTORNI N 20

Pag. 32

remoto di Request Floor (H.243 MCV); Possibilit di rilasciare il Floor; Possibilit di disconnettere un singolo partecipante; Possibilit di richiamare un singolo partecipante; Possibilit di non inviare laudio di un singolo partecipante agli altri partecipanti;

Rappresentazione grafica del men di gestione di un a videoconferenza attiva. Da questa finestra si hanno le seguenti informazioni o possibilit di settaggio: Visualizzazione della videoconferenza; Numero ISDN/IP del Tandberg MCU associato alla videoconferenza attiva; Durata della videoconferenza; Tipologia della codifica video e risoluzione utilizzata nella videoconferenza; Se uno dei partecipanti sta utilizzando il Duo Video, sar indicato la velocit di trasmissione, il tipo di decodifica utilizzato e la risoluzione; Possibilit di modificare la modalit di visualizzazione durante la videoconferenza (Voice Switched, CP4, CP9, CP16, Auto); Indicazione sulla modalit di cifratura utilizzata; Indicazione se la partecipazione alla videoconferenza richiede la conoscenza di una password; Indicazione del numero di partecipanti in video e audio; Possibilit di aggiungere ulteriori partecipanti durante la videoconferenza; Indicazioni dettagliate sullo stato di connessione dei singoli partecipanti: Nome del partecipante; Stato di connessione; Tipologia di connessione (H.320 o H.323); Stato della funzionalit audio del partecipante; Stato della funzionalit video del partecipante; Indicazione della posizione del singolo partecipante sullo schermo; Sono possibili le seguenti azioni: Si pu assegnare il Floor a un partecipante, che sar mostrato a schermo pieno a tutti gli altri partecipanti. supportata anche la funzionalit inviata da un terminale

Quality of service: le trasmissioni multimediali sono sensibili a ritardi (delay) elevati e a variazioni elevate del ritardo (Jitter). Valori elevati di Jitter possono causare larrivo fuori sequenza dei pacchetti in ricezione. Il Tandberg MCU 16+16, pu gestire la ricostruzione della sequenza dei pacchetti se il valore massimo del Jitter non supera i 100 ms. Altre funzionalit, descritte nel seguito, per la gestione della qualit di trasmissione sono: il protocollo RSVP, letichettatura dei pacchetti rispetto allo standard dei servizi differenziati (DiffServ) o ToS, tramite la funzionalit IPLR e infine tramite il downspeeding. RSVP: RSVP (Reservation Protocol RFC 2205) un protocollo di segnalazione che consente al Tandberg MCU di effettuare prenotazioni di risorse di rete. Requisito essenziale per lutilizzo di questa funzionalit che tutti i router di rete del percorso di trasmissione, supportino e siano configurati per lutilizzo del protocollo RSVP. Un Tandberg MCU che vuole prenotare le risorse sui router costituenti il percorso fisico, invia un messaggio (PATH message) allapparato dellaltra estremit del tunnel. Lapparato remoto risponde con un messaggio (RESV message) che, attraversando i routers della rete interna, consente di prenotare le risorse relative alla richiesta. Prima di prenotare delle risorse, i router devono verificare che esse siano disponibili; lammissione di chiamata (call admission) consente di verificare che lammontare di risorse richieste non superi quelle disponibili. Differential Services: I servizi differenziati (abbreviati DiffServ) consentono di offrire garanzie sulla QoS classificando il traffico inviato dal Tandberg MCU in modo da definire la classe di traffico di ogni pacchetto; diverse classi di traffico riceveranno un trattamento diverso allinterno della rete di trasmissione. Requisito essenziale per lutilizzo di questa funzionalit che tutti i router di rete del percorso di trasmissione, supportino e siano configurati per lutilizzo delle funzionalit DiffServ. Il Tandberg MCU marca ogni pacchetto trasmesso impostando un particolare valore nel campo DSCP dellheader IP. Una regola generale dei valori del DSCP che un valore pi alto assicura caratteristiche di inoltro

RETI E DINTORNI N 20

Pag. 33

superiori. Il Tandberg MCU permette di definire in modo indipendente i valori (da 0 a 63) del campo DSCP per la trasmissione audio, video, dati e segnalazione. IP Precedence e Type of Service (ToS): nel caso la rete di trasmissione dati utilizzi routers non aggiornati per lutilizzo del Diffserv, si pu fare ricorso alla classificazione classica dei pacchetti, tramite IP Precedence e il Type of Service. Il Tandberg MCU permette di definire in modo indipendente I valori (da 0 a 7) del campo IP Precedence per la trasmissione audio, video, dati e segnalazione. Mentre per il ToS pu essere configurato per minimizzare il ritardo, o il costo, oppure massimizzare la velocit di trasmissione o laffidabilit. Requisito essenziale per lutilizzo di questa funzionalit che tutti i router di rete del percorso di trasmissione, supportino e siano configurati per lutilizzo delle funzionalit IP Precedence e ToS.

Https: permette una connessione SSL sicura al web server integrato nellapparato; Trap SNMP per password incorretta: Il Tandeberg MCU pu inviare una trap SNMP a un server di management SNMP, ogni volta che viene digitata una password errata su http, Telnet o FTP. Disabilitazione dei servizi: Di default i servizi Telnet. FTP, http, https e SNMP sono abilitati. possibile per sicurezza disattivarli singolarmente, e nel caso del servizio SNMP, lasciare abilitata soltanto la funzionalit Read-Only.

Gestione dellapparato: Il Tandberg MCU pu essere gestito nei seguenti modi: Localmente da un computer direttamente connesso allapparato tramite porta seriale o tramite la porta ethernet con lausilio di una cavo lan crossato; Remotamente da un computer, tramite Intranet/Internet; Remotamente, tramite un modem esterno connesso allapparato, e un computer remoto, che attiva una chiamata verso di esso; Tramite lopzione software TMS (Tandberg Management Suite); Autore: R. Gaeta

Rappresentazione grafica di esempio del men di configurazione per la QoS. Sicurezza: Encryption: lo scopo della cifratura (encryption) quello di rendere inintelligibile la trasmissione video/dati per un eventuale hacker. Di default il Tandberg MCU 16+16 utilizza DES (H.235 per IP e H.233 e H.234 per ISDN) con chiave a 56 bits, con tecnica Diffie-Hellman per la distribuzione delle chiavi su H.323 e H.320 e AES con chiave a 128 bits. In una videoconferenza cifrata si possono avere un massimo di 7 siti video, nessun sito audio, e nessun sito video non cifrato. Inoltre nella stessa videoconferenza possibile avere siti che utilizzano la cifratura DES e altri siti che usano la cifratura AES. H.243 Password (TCS-1): possibile settare una password, che deve essere digitata da chi vuole partecipare alla videoconferenza.

RETI E DINTORNI N 20

Pag. 34

CARATTERISTICHE DEI PONTI OTTICI DELLA MRV TERESCOPE


Descrizione del sistema Laser TS155 Il sistema utilizza come interfaccia di ingresso fibra ottica multimodale a 1310 nm ed indipendente dal protocollo a livello fisico utilizzato su tale interfaccia, purch la velocit di trasmissione sia compresa fra 10 e 155 Mb/s. Nel caso di collegamento ad interfacce fisiche costituite da mezzi diversi dalla fibra ottica multimodale a 1310 nm, si utilizzano transceiver o convertitori. Il Terescope utilizza un laser di classe 1 con una potenza di uscita di 21mW. Nella figura seguente si riporta la rappresentazione grafica.

collegamenti analoga. Se invece si considerano condizioni atmosferiche migliori, caratterizzate da una minore attenuazione per Km, il collegamento a 785 nm riesce a coprire la stessa distanza di uno a 1550 nm anche in presenza di unattenuazione maggiore (es. possono essere coperti 10 Km con attenuazioni rispettivamente di 1 dB/Km e 0,4 dB/Km per i collegamenti a 785 e 1550 nm). La tabella seguente riassume quanto descritto.
Visibilit (km) 0,05 0,2 0,5 1 2 4 10 23 Attenuazione dB/Km a 785 nm 340 85 34 14 7 3 1 0,5 Attenuazione dB/Km a 1550 nm 340 85 34 10 4 2 0,4 0,2 Condizioni atmosferiche

Nebbia Foschia Limpido

Il sistema di comunicazione ottico Terescope 155 pu essere gestito tramite software di management in modalit out-band mediante un adattare SNMP che viene fornito separatamente, codice SNMP AccessV2 che si integra con il software di management MegaVision. La tabella seguente descrive le caratteristiche fondamentali dellapparato.
Terescope 155
MODELLI (TS155/J/DST/V2) (TS155/J/TS3/V2 Indipendente dal protocollo fisico 10 155 Mb/s 4.000 metri

Il sistema ottico composto da un puntatore laser e da un pannello di assemblaggio che presenta uninterfaccia in fibra ottica fino a 155 Mbps per trasmissione dati, uninterfaccia seriale RS232 per puntamento/management, uninterfaccia video NTSC RG59 per video esterno opzionale. Il puntamento degli apparati Laser eseguito mediante connessione di PC alla porta seriale del Terescope e tramite il software in dotazione, da installare sul PC; possibile vedere informazioni aggiuntive sul puntamento (Temp.,Potenza,Ecc.). Opzionalmente possibile collegare monitor esterni NTSC collegati alla connessione video RG59 del pannello di assemblaggio. In questo caso possibile eseguire il puntamento anche da remoto collegando monitor e Pc al Terescope mediante cavi RG59 e Lan .

Protocolli fisici trasportabili Performance

Trasmettitore

Ricevitore Interfaccia dingresso per TS155/J/DST/V2 Interfaccia dingresso per TS155/J/TS3/V2

Velocit trasmissive Distanza massima con presenza di una leggera pioggia (5- 10 mm/hr) corrispondenti a 3 dB/Km BER (in caso di assenza di pioggia e nebbia) MTBF Sorgente Luminosa Lunghezza donda Potenza di uscita Divergenza Tipo di ricevitore Sensibilit Tipologia

10-9

>70.080 ore 3 diodi laser 785 nm 21 mW 2,5 mrad APD 100 nW Fibra ottica multimodale

Tipologia

Fibra ottica monomodale

Pannello di assemblaggio- Rappresentazione schematica

Il Sistema ottico Terescope 155 usa una lunghezza donda di 785 nm ottimale per la trasmissione. Confrontando un collegamento a laser a diodo a 785 nm con altri a lunghezze donda maggiori (ad esempio 1550 nm), in condizioni di forte attenuazione dovuta a nebbia, la distanza massima raggiungibile dai due

Alimentazione Informazioni ambientali

Connettore Lunghezza donda Lunghezza massima per la fibra multimodale di collegamento Volt Potenza assorbita Temperatura operativa

ST 1310 nm 2 Km

200 240 VAC 350 W Da -30 C a +50 C

RETI E DINTORNI N 20

Pag. 35

MODELLI (TS155/J/DST/V2) (TS155/J/TS3/V2 Fino al 90% senza condensa IP66

MODELLO (TS155/J/E3/V2) pioggia (5- 10 mm/hr) corrispondenti a -3 dB/Km BER (in caso di assenza di pioggia e nebbia) MTBF Sorgente Luminosa Lunghezza donda Potenza di uscita Divergenza Tipo di ricevitore Sensibilit Tipologia Connettore Volt Potenza assorbita Temperatura operativa Umidit Certificazione resistenza allacqua Management

Umidit Certificazione resistenza allacqua Management

10-9

SNMP Trasmettitore

Come anticipato precedentemente, per fornire le interfacce non su fibra ottica multimodale a 1310 nm, sono necessari transceiver o convertitori. Nel seguito si riporta la descrizione. Interfaccia Ethernet 10 e 100 Mbps Per la connessione ad uninterfaccia 10/100BaseTx viene usato il transceiver MC102M/FI dotato di porta 100FX, da collegare al terescope e porta 10/100Tx autosensing per la connessione alle rete wired. La figura seguente riporta la rappresentazione grafica del transceiver MC102M/FI.

>70.080 ore 3 diodi laser 785 nm 21 mW 2,5 mrad APD 100 nW E3 BNC 200 240 VAC 350 W Da -30 C a +50 C Fino al 90% senza condensa IP66

Ricevitore Interfaccia dingresso Alimentazione Informazioni ambientali

SNMP

Transceiver MC102FI/M

La tabella seguente descrive fondamentali dellapparato.

le

caratteristiche

MODELLO Protocolli fisici trasportabili Performance Power input Temperatura di funzionamento Assorbimento Max Dimensioni

MC102FI/M Ethernet, FastEthernet Velocit trasmissive AC 90v 240v 0 - 40 C 12W 120mm x 180mm x 45mm 10T 100Tx

Per la gestione e monitoraggio degli apparati laser si prevede lutilizzo di un apparato esterno AccessBox che si interfaccia al Terescope TS155 mediante un media converter esterno Telebyte 271M/ST che converte il segnale RS232 dal Terescope in fibra sullAccessBox .

L apparato AccessBox accessibile per la configurazione tramite porta seriale RS232 e porta Ethernet RJ45 con protocollo SNMP. La funzione di questo apparato quella di convertire i dati seriali di allarmistica provenienti dal Terescope in oggetti MIB SNMP gestibili dal software Megavision.

Nel caso di connessioni a 100 Mbps su fibra, viene assicurato il trasporto per lo standard 100BaseFX su fibra ottica Multimodale a 1310nm. Nel caso di connessioni ATM STM1 viene assicurato il trasporto su fibra multimodale a 1310nm. La tabella seguente descrive le caratteristiche fondamentali dellapparato con interfaccia E3 34 Mbps.
MODELLO Protocolli fisici trasportabili Performance (TS155/J/E3/V2) Indipendente dal protocollo fisico 10 155 Mb/s 4.000 metri

Principali caratteristiche: Compatibilit con piattaforma di Management HP OpenView Rack Mount Allarmistica: Rilevamento potenza in uscita Stato di trasmissione/ricezione Stato del laser Temperatura del laser Tempo di funzionamento

Velocit trasmissive Distanza massima con presenza di una leggera

Funzionalit del software: parametri di operativit Ricezione potenza del segnale

RETI E DINTORNI N 20

Pag. 36

Stato laser Temperatura operativa

Per quanto riguarda la gestione, il sistema di comunicazione ottico TS960/E1 pu essere gestito tramite software di management in modalit out-band mediante un adattare SNMP che viene fornito separatamente con il codice RSM-SNMP e che si integra con il software MegaVision descritto nel par. 4.7. La tabella seguente descrive fondamentali dellapparato.
MODELLO

Opzionalmente attraverso lutilizzo di un monitor esterno collegato al Terescope possibile vedere il reale stato della linea di visibilit tra i due apparati laser per verificare eventuali ostruzioni. Descrizione del sistema Laser TS960/E1 Il TS960/E1 fornisce uninterfaccia E1 G703 G.704 a 2 Mbps (30 linee), che pu essere utilizzata per linterconnessione di centralini. Linterfaccia dingresso costituita da connettori BNC o RJ48. Lallineamento dei laser eseguito manualmente sul Terescope con puntamento visivo. La figura successiva riporta la rappresentazione grafica del dispositivo.

le

caratteristiche

Protocolli fisici trasportabili Performance

TS960/E1 (TS/F/E1/V2) E1 G.703 - G.704 Velocit trasmissive Distanza massima con presenza di una leggera pioggia (5- 10 mm/hr) corrispondenti a 3 dB/Km BER (in caso di assenza di pioggia e nebbia) MTBF Sorgente Luminosa Lunghezza donda Potenza di uscita Divergenza Tipo di ricevitore Sensibilit Tipologia Connettore Impedenza 2,048 Mb/s 5.500 metri

10-9

Trasmettitore

70.080 ore 4 VCSELs 850 nm 26 mW 1,8 mrad Si PIN -47 dBm Elettrica BNC o RJ48 (STP) 75 Ohm; 100 Ohm; 120 Ohm 200 240 VAC 22 W Da -50 C a +50 C Fino al 90% senza condensa IP66

Terascope TS960/E1 Rappresentazione grafica

Ricevitore Interfaccia dingresso

Ogni unit ottica TS960 composta da un ricevitore e quattro trasmettitori e uninterfaccia di collegamento periferico nel pannello posteriore. Questo permette un facile puntamento e una minore possibilit di perdita di segnale sulla linea di visibilit. La figura successiva riporta la rappresentazione schematica del dispositivo.

Alimentazione Informazioni ambientali

Volt Potenza assorbita Temperatura operativa Umidit Certificazione resistenza allacqua

Terascope TS960/E1 Rappresentazione schematica

Il sistema ottico pu essere settato come Local Loop per la verifica della funzionalit del trasmettitore/ricevitore ottico; pu anche essere settata la potenza del segnale di uscita con impostazioni predefinite di attenuazione mediante Dip-switch posti nel pannello posteriore (-3dB,-6dB,-9dB,-12dB). Il Sistema ottico TS960/E1 usa una lunghezza donda di 850 nm per quale, dal punto di vista dellattenuazione del collegamento rispetto a collegamenti a laser a diodo con lunghezza donda maggiore, valgono considerazioni analoghe a quelle esposte per il TS155.

Per la gestione dellapparato ottico con interfaccia E1 TS960/E1 verr fornito il relativo adattatore per il management codice RSM-SNMP LRSM permette il monitoraggio remoto di: - Alimentazione del laser - Presenza segnale laser Sistema di gestione Il software di gestione per i laser a diodo MRV Communication il software di management Megavision MV-WEB20/ST. Megavision un Network Management System che copre tutta la gamma di prodotti Terescope. Questo software pu quindi essere usato anche per altri prodotti MRV quali Switch, Router.

RETI E DINTORNI N 20

Pag. 37

Nel seguito si riportano le caratteristiche principali: Supporto protocolli e funzionalit: TFTP BootIP Client/server; - permette di fare download/upload del firmware o di file di configurazione sullapparato RMON group 1,2,3,9; - raccoglie le informazioni che transitano dallapparato (statistiche ,storico, allarmi,eventi) MIB standard e proprietarie; possiede le Mib proprietarie per la gestione dei Terescope ed in grado di caricare nel software Mib Standard GUI based-management; La gestione e visualizzazione degli apparati tramite interfaccia grafica Monitoraggio multiplo dei device. pu contemporaneamente collegarsi ad apparati diversi per il monitoraggio Fault Management: Autodiscovery dei device SNMP; tramite configurazione crea automaticamente la mappa della rete e identifica gli apparati che sono connessi sulla rete Notifica allarmi con Trap SNMP; avvisa automaticamente mediante invio trap snmp un eventuale superamento di un parametro precedentemente impostato Notifica via E-mail degli allarmi; avvisa automaticamente mediante invio e-mail un eventuale superamento di un parametro precedentemente impostato Log degli allarmi su file. Genera automaticamente un file che raccogli gli eventuali errori o trap snmp generate dal managment

Accesso alla console di management da remoto (Web-browser).

Security Management: Accesso tramite password; permette laccesso al management mediante due livelli di password (user e supervisor) SNMPv3. Requisiti minimi Hw/Sw della piattaforma: 500 Mhz Processore; 128 Mb RAM memoria; 40 Mb di spazio disponibile su disco; OS: Win95/98/NT/2000. La figura seguente riporta, a titolo di esempio, una schermata di Megavision.

Esempio di mappa di rete

Per il monitoraggio dellapparato laser, viene utilizzata la schermata come nella figura che permette la visualizzazione in tre tipi di formato i livelli di voltaggio, potenza segnale, temperatura, stato del link , deviazione del valore di segnale e permette di settare delle soglie di allarme.

Performance Management: Device, Port,Interface mostrato in tabella o grafico; permette la visualizzazione dei parametri di traffico , di utilizzazione e di performance dellapparato monitorato Monitoraggio traffico su periodo di tempo; permette il monitoraggio dellutilizzazione della rete su un periodo di tempo stabilito Monitoraggio delle applicazioni FTP, HTTP, e-mail. Permette il monitoraggio su sessioni di traffico applicativo Configuration Management: Grafico delle VLAN; in grado di rappresentare graficamente la suddivisione delle Vlan configurate sullapparato Configurazione del polling e settaggio valori di soglia allarmi; Configurazione valori di QoS e DiffServ; assegna la priorit sulle porte di un apparato

Rappresentazione finestra di monitoraggio Oltre al software di gestione, per la gestione e monitoraggio degli apparati laser si prevede lutilizzo di un apparato esterno AccessBox che si interfaccia al Terescope TS155 mediante un media converter esterno Telebyte 271M/ST che converte il segnale RS232 dal Terescope in fibra sullAccessBox. Verr fornito per il management del Terescope serie 155 lapparato SNMP Access/V2 laccess box.

RETI E DINTORNI N 20

Pag. 38

L apparato AccessBox accessibile per la configurazione tramite porta seriale RS232 e porta Ethernet RJ45 con protocollo SNMP. La funzione di questo apparato quella di convertire i dati seriali di allarmistica provenienti dal Terescope in oggetti MIB SNMP gestibili dal software Megavision.

Nel seguito dellAccessBox.

le

principali

caratteristiche

Principali caratteristiche: Compatibilit con piattaforma di Management HP OpenView; Rack Mount. Allarmistica: Rilevamento potenza in uscita; Stato di trasmissione/ricezione; Stato del laser; Temperatura del laser; Tempo di funzionamento. Funzionalit del software: Parametri di operativit; Ricezione potenza del segnale; Stato laser; Temperatura operativa. Opzionalmente, attraverso lutilizzo di un monitor esterno collegato al Terescope (non oggetto di offerta), possibile vedere il reale stato della linea di visibilit tra i due apparati laser per verificare eventuali ostruzioni. La figura seguente riporta un esempio.

Per la gestione dellapparato ottico con interfaccia E1 TS960/E1 verr fornito il relativo adattatore codice RSM-SNMP per il management. LRSM permette il monitoraggio remoto di: Alimentazione del laser; Presenza segnale laser.

Autore: L. Natale

RETI E DINTORNI N 20

Pag. 39

CARATTERISTICHE DEL FIREWALL CHECKPOINT CON APPARATI NOKIA


Secondo quanto proposto nella divisione FYI numero 36 (http://www.faqs.org/rfcs/fyi/fyi36.html) , un firewall pu essere definito come: Il firewall uninternetwork gateway che restringe il traffico dei dati da e per una delle reti connesse (detta interna al firewall) e protegge le risorse del sistema della rete dalle minacce di unaltra rete (detta esterna al firewall). A seconda della configurazione e della tipologia, un firewall riesce a determinare se un pacchetto di dati o richiesta di connessione da parte di un utente, hanno diritto o meno di passare allinterno della zona protetta. Esso pu essere realizzato tramite hardware o software posizionato tra la rete locale e Internet. Il firewall determina quali servizi interni possono essere accessibili esternamente alla rete, quali utenti esterni possono accedere ai servizi interni e quali servizi esterni possono essere accessibili da chi sta dentro. Il firewall quindi permette il passaggio solo al traffico autorizzato. Oltre a rappresentare una barriera contro possibili violazioni dallesterno, un firewall si rivela anche adatto ad isolare e controllare laccesso tra le diverse parti di una rete privata, isolare cio dei domini di sicurezza ossia un insieme di macchine che sono sotto il controllo amministrativo comune. La modalit di funzionamento di un firewall descrive la filosofia fondamentale delle politiche di sicurezza. Il firewall pu operare in due modalit opposte: - Tutto ci che non specificatamente permesso negato. Con questa configurazione il firewall blocca tutto il traffico e ciascun servizio o applicazione deve essere implementato caso per caso. Questo approccio crea un ambiente molto sicuro, ma tutto ci va a discapito dellagilit duso, limitando le scelte disponibili dellutente. - Tutto ci che non specificatamente negato permesso. In questo caso il firewall permette tutto il traffico e ogni servizio potenzialmente pericoloso viene chiuso caso per caso. Questo approccio crea un ambiente pi flessibilie rispetto al precedente, ma tutto ci va a discapito di una buona sicurezza, rendendo difficile laggiornamento man mano che la rete cresce. Esistono tre tipologie di firewall: - Firewall Packet Filtering: I firewall di questo tipo si basano esclusivamente sulle intestazioni TCP, UDP, ICMP e IP dei singoli pacchetti. Un router utilizzato come firewall, deve effettuare controlli complessi sui pacchetti. Tal controlli consumano notevoli risorse del router stesso, e i controlli sono effettuati per ogni pacchetto ricevuto. Dunque un router che implementa funzioni di packet filtering deve disporre di una CPU pi veloce e di maggiore memoria, rispetto a un router

che deve solo svolgere funzioni di instradamento IP. La maggiore limitazione del packet filtering dovuta al fatto che questa tecnica non effettua controlli a livello applicativo. Comunque il packet filtering risulta un sistema economico, in quanto le sue funzionalit sono integrate nei vari sistemi operativi dei router in commercio. Loperato di questo tipo di firewall completamente trasparente agli utenti. Firewall Proxy Service: I firewall di questo tipo elaborano i messaggi specifici di determinate applicazioni IP. La tecnica utilizza la seguente procedura: Il client contatta il proxy server, indicando il server remoto con cui intende scambiare dati; Il proxy server richiede allutente linvio delle credenziali indispensabili per accedere al servizio; Il client invia al proxy server le credenziali in suo possesso; Il proxy server valuta le credenziali, se conformi effettua una connessione con il server remoto; Il client pu scambiare dati con il server remoto; Per ogni messaggio il proxy server valuta lopportunit della trasmissione. Si ritiene generalmente che il firewall proxy server sia pi sicuro rispetto al packet filtering, in quanto introduce livelli di controllo aggiuntivi. Lo svantaggio una minore trasparenza dovuta a una partecipazione attiva degli utenti nel processo di firewall. Firewall Stateful Filtering: I firewall di questo tipo mantengono informazioni sullo stato e ricostruiscono il flusso di dati associato al traffico. Questa tecnica entra nel merito di tutti i parametri connessi allintestazione TCP, quali i numeri seriali, gli ack e lo stato dei flags. Un filtro sul circuito non lascia passare i pacchetti che non fanno parte di una connessione stabilita. Per evitare che un hacker riesca in un attacco di tipo denial of service, il firewall accetta solo un limitato numero di richieste da ogni utente. Per complicare la predizione dei numeri seriali (tecnica utilizzata dagli hacker per dirottare una connessione stabilita!) il firewall sostituisce i numeri seriali con numeri casuali. Loperato di questo tipo di firewall completamente trasparente agli utenti.

RETI E DINTORNI N 20

Pag. 40

I firewall pur essendo molto importanti per la sicurezza di una rete sono impotenti di fronte a certi tipi di attacchi: - Non proteggono dagli attacchi che non passano attraverso di esso; - Non proteggono la rete dalle minacce di utenti interni che consapevolmente o inconsapevolmente attuano procedure o programmi pericolosi; - Non proteggono contro il trasferimento di files infetti da virus e da applicazioni conosciute come cavalli di troia;

L'architettura Nokia L'architettura di Nokia frutto di una strategia tesa a combinare una piattaforma hardware, robusta e a elevate prestazioni, con soluzioni e applicazioni di sicurezza scelte tra le migliori presenti sul mercato. Questo approccio vuole, quindi, fornire all'utente i vantaggi del fornitore unico, quali la maggiore gestibilit dei sistemi e un minor cost of ownership, insieme alla garanzia della specializzazione tecnologica. Punto di partenza di questa strategia sono le alleanze, che Nokia ha siglato con partner di eccellenza, e la politica di apertura agli sviluppatori, promossa per allargare con soluzioni di terze parti il portafoglio di applicazioni e gli ambiti di impiego delle proprie security appliance. Alla base dell'architettura di sicurezza Nokia, si trova una piattaforma hardware specializzata su cui possono essere facilmente e rapidamente impiantate le applicazioni, anche grazie a due ulteriori livelli che completano l'architettura: uno di gestione e l'altro di sviluppo.

L'architettura hardware e software di Nokia IPSO (Ip Security operating System) Il sistema operativo utilizzato, dagli apparati Nokia denominato IPSO il quale presenta un kernel "hardened", ottimizzato per le reti Ip e in grado di supportare nativamente il clustering, consentendo di scalare il supporto per grandi data center fino a piccoli uffici dipartimentali. Sviluppato da Nokia a partire da FreeBsd, questo sistema concepito per il solo supporto delle applicazioni di sicurezza installabili sugli apparati Nokia ed dotato di un proprio stack di protocollo Tcp/Ip. Ipso implementa inoltre le funzionalit di Flows; una tecnologia che Nokia e

Check Point hanno sviluppato congiuntamente e che permette di portare la connection table di Firewall-1 a livello di kernel del sistema operativo, consentendo di migliorare le prestazioni del firewall fino a 5 volte. Ipsilon Routing Daemon (IPSRD) il software di Nokia per il routing. Le politiche di routing implementate risiedono in un database. Grazie a Ipsrd, le appliance Nokia forniscono supporto per praticamente tutti i protocolli di routing, quali Rip, Ospf, Dvmrp, Bgp, Igrp e Vrrp. Quest'ultimo, il Virtual Router Redundancy Protocol (Rfc2338), in particolare, consente il load sharing e abilita una ridondanza attiva tra due o pi sistemi. Nokia ha introdotto in Ipso, a partire dalla release 3.6, la tecnologia di Ip clustering per i servizi di firewalling e Vpn, al fine di garantire l'affidabilit dei sistemi di sicurezza. La tecnologia di clustering Ip di Nokia consente a diversi dispositivi di essere visti come una singola entit di rete, con un unico indirizzo Ip interno, uno esterno, un indirizzo Ip Dmz e cos via. Questa entit chiamata gateway cluster ed costituita da pi nodi gateway, ognuno dei quali ha, all'interno del cluster, un indirizzo Ip reale per ogni interfaccia, condividendo l'Ip virtuale comune a tutto il cluster. Queste interfacce sono utilizzate per le comunicazioni interne al cluster e facilitare il bilanciamento del carico tra i nodi. Pi gateway possono essere inseriti in cluster, realizzando un'architettura completamente ridondata per il supporto delle funzioni di rete. Ogni nodo mantiene le informazioni di stato su tutte le attivit, permettendo, in caso di guasto, il passaggio del carico di lavoro a un altro nodo che, assumendo le suddette informazioni, pu mantenere consistente la sessione firewall o Vpn. I dispositivi in cluster possono essere rimossi o inseriti in qualsiasi momento, mantenendo tali servizi attivi e consentendo, cos, di aumentare facilmente la capacit del cluster. A salvaguardare un corretto bilanciamento del carico tra tutti gli elementi del cluster, concorre un master gateway, che tiene traccia di tutte le attivit. Questo invia in multicast un messaggio per valutare lo stato di funzionamento di ciascun membro del cluster. Se uno di questi dovesse essere inaccessibile per qualsiasi ragione o se dovesse essere necessario ribilanciare il traffico, i gruppi Ipsec Sa (Security association) e le connessioni Tcp/Udp verrebbero riassegnate in circa un secondo. Il meccanismo, chiamato Active Session Failover, proattivo e consente di salvaguardare i pacchetti Tcp e quelli Vpn, al massimo permettendo la perdita di qualche pacchetto Udp. Pi precisamente, ogni gateway tiene traccia continuamente delle IpSec Sa (cio dei building block dei tunnel Vpn) di tutti i membri del cluster. I pacchetti IpSec Sa sono riuniti in gruppi (questi contengono tutte le informazioni atte a realizzare il tunnel, dall'algoritmo di encryption alle scadenze delle chiavi e cos via). Ogni nodo ha un gruppo di IpSec Sa su cui lavorare, ma viene tenuto informato di tutti i gruppi, per cui al momento di un failover, non necessario trasmettere tutti i dati, ma solo riassegnare i carichi e il ripristino risulta trasparente per l'utente che non percepisce interruzioni del servizio.

RETI E DINTORNI N 20

Pag. 41

Voyager il software che comunica con quello di routing per configurare interfacce ed protocolli di routing, modifica le politiche per il firewall ed esamina il traffico di rete e le performance dei protocolli. Voyager stesso gira su una macchina remota come applicazione client del Nokia routing software; Le security appliance della serie Ip I prodotti della famiglia Ip di Nokia sono caratterizzati dall'avere lo stesso sistema operativo, le stesse funzionalit di routing, di ridondanza (Vrrp) e di gestione della quality of service, mentre differiscono per le prestazioni e per la possibilit di espansione con l'inserimento di nuove schede di interfaccia o di accelerazione crittografica. Tutti i modelli sono inoltre dotati di una porta seriale e di una porta di console.

La famiglia Nokia Ip Le appliance sono equipaggiate con le applicazioni di sicurezza dei partner e scalano da configurazioni adatte alle piccole e medie imprese, fino a soluzioni pensate per i service provider. Queste ultime, in particolare, si distinguono per l'alta disponibilit che garantiscono grazie a un'architettura completamente ridondata. Check Point Firewall Il VPN-1/FireWall-1 NG un firewall di tipo Stateful Inspection e consiste di due componenti principali, il Firewall Module e il Management Module accessibili attraverso una GUI.

include il GUI Client e il Management Server, mentre il FireWall Module comprende l'Inspection Module, i Security Servers. Il GUI Client permette di definire e amministrare la propria politica di sicurezza (con un'interfaccia grafica) in termini di oggetti di rete (host, network, etc.) e regole di sicurezza. Tale modulo include anche Log Viewer (per la visualizzazione dei file di log) e System Status Viewer (per il controllo dello stato dell'intero sistema di firewall). Con il Management Server vengono memorizzate le regole di sicurezza definite tramite GUI Client e mantenuti i databases di VPN-1/Firewall-1 NG, incluse le definizioni di oggetti di rete, le definizioni dell'utente, la politica di sicurezza e i file di log per ognuno dei punti di rinforzo della rete protetta (firewalled enforcement points). Dopo che la Security Policy stata definita con il GUI Client e memorizzata sul Management Server, viene generato uno script (con il linguaggio proprietario INSPECT), il quale una volta compilato viene caricato nel FireWall Module, il cui compito proteggere la rete. L'Inspection Module esamina tutte le comunicazioni in accordo con la Security Policy e comunica con il Managent Module. Compito dei Security Servers provvedere a tutto ci che riguarda autenticazioni e contesti sicuri. L'architettura Stateful Inspection utilizza un motore denominato Inspect. Il motore Inspect esamina l'indirizzo IP, il numero di porta e ogni altra informazione utile per determinare se il pacchetto pu essere accettato. Il Firewall-1 conosce la struttura interna della famiglia dei protocolli IP e le applicazioni costruite su questi fornendogli quindi la capacit di estrarre tutti i dati del pacchetto a seconda dell'applicazione che si sta utilizzando e di mantiene tutte le informazioni necessarie alle comunicazioni; in questo modo il programma pu dinamicamente attivare o meno una connessione. Questa capacit pensata per provvedere un pi alto grado di sicurezza per i protocolli pi complessi.

Flusso di controllo utilizzato dal motore Inspect Componenti principali di CheckPoint VPN1/Firewall-1 Questi moduli possono risiedere sullo stesso apparato (stand-alone installation) oppure su apparati differenti (distributed installation). Il Management Module Il Management Module include la Grafical User Interface (GUI) e il Management server. Il GUI il front end al Management Server, il quale amministra il database VPN 1 /Firewall 1. Il Management Module pu essere sviluppato in una configurazione Client-

RETI E DINTORNI N 20

Pag. 42

Server. Il client pu essere installato su piattaforme Windows 9x,Me,Nt o su X/Motif Grafical User Interface, e controlla l'esecuzione di un Management Server su di una delle piattaforme supportate. Il Client interagisce con l'utente attraverso il GUI Client, ma tutti i dati (database e file di configurazione) sono mantenuti sul Management Server. Ogni traffico nella rete non permesso esplicitamente dalla sicurezza rifiutato per default e viene generato un allarme in tempo reale, fornendo allamministratore del sistema uno stato completo della situazione della rete. Quando il primo pacchetto di una connessione arriva al FireWall Module (il gateway o l'host sul quale installato il modulo), l' Inspection Module esamina le regole di base per determinare se la connessione deve essere permessa o meno. Il FireWall Module applica la prima regola che descrive la connessione (sorgente, destinazione e servizio); se l'azione della regola Accept o Encrypt, la connessione e permessa. Una volta che la connessione stata stabilita, viene aggiunta alla connections table (elenco delle connessioni accettate); successivamente i pacchetti della connessione non saranno verificati in base alle regole ma in base alla connections table, in questo modo un pacchetto pu passare solo se la relativa connessione presente nelle tabella. Una connessione come quella in figura gestita dall'Inspection Module

connessione con il destinatario finale. Ci saranno quindi due connessioni: una dal Client al Security Server e una da questo al destinatario finale (il Server dal punto di vista del Client). Entrambe le connessioni sono mantenute nella connections table. Il VPN1/Firewall-1 fornisce cinque Security Servers : o Telnet - solo autenticazione; o Rlogin - solo autenticazione; o FTP - autenticazione e contesto sicuro; o HTTP - autenticazione e contesto sicuro; o SMTP - solo contesto sicuro; Nokia IP530

Rappresentazione grafica Nokia IP530 Il firewall Nokia IP530 composto da: piattaforma hardware con le seguenti caratteristiche: o Pentium III 700Mhz o 4 porte integrate 10/100 Ethernet; o 1 slot interno PMC per acceleratore di crittografia o 3 slots per le seguenti schede opzionali: scheda con 4 porte 10/100 Ethernet; scheda con 2 porte seriali V.35/X.21; scheda con 2 porte GigaEthernet scheda con 1 porta T1/E1 con CSU/DSU; scheda con 1 porta S/T ISDN, BRI; scheda con 1 porta MMF ATM 155Mbps OC-3 o 256MB di RAM di default (1GB max); o 2 slots PCMCIA Tipo II; o hard disk da 20 GB; o FW-1 throughput: 507 Mbps (CheckPoint NG); o VPN-1 throughput (SHA1-3DES): 18 Mbps (CheckPoint NG); o VPN-1 throughput (SHA1-3DES) con acceleratore: 115 Mbps (CheckPoint NG); o 450.000 sessioni contemporanee; Nokia IP710

Connessione gestita dallInspection Module Quando una regola specifica come servizio una risorsa o come azione una autenticazione utente, il corrispondente Security Server invocato a mediare la connessione, come da figura.

Connessione che richiede un Security Server Quando un Security Server viene invocato, l'Inspection Module ridirige tutti i pacchetti nella connessione a questo, il quale gestisce l'autenticazione richiesta o ispeziona il contesto sicuro. Se la connessione permessa, il Security Server apre una seconda

Rappresentazione grafica Nokia IP710

RETI E DINTORNI N 20

Pag. 43

Il firewall Nokia IP710 composto da: piattaforma hardware con le seguenti caratteristiche: o Pentium III 1Ghz o 4 porte integrate 10/100 Ethernet; o 1 slot interno PMC per acceleratore di crittografia o 4 slots per le seguenti schede opzionali: scheda con 4 porte 10/100 Ethernet; scheda con 2 porte seriali V.35/X.21; scheda con 2 porte GigaEthernet scheda con 1 porta T1/E1 con CSU/DSU; scheda con 1 porta MMF ATM 155Mbps OC-3 o 512MB di RAM di default (1GB max); o 2 slots PCMCIA Tipo II; o hard disk da 20 GB; o FW-1 throughput: 700 Mbps (CheckPoint NG); o VPN-1 throughput (SHA1-3DES): 22 Mbps (CheckPoint NG); o VPN-1 throughput (SHA1-3DES) con acceleratore: 139 Mbps (CheckPoint NG); o 900.000 sessioni contemporanee; Autore: M. Scapellato

RETI E DINTORNI N 20

Pag. 44

DESCRIZIONE TECNICA DI ALCUNI ROUTERS CISCO E DI ALCUNI MODULI


Descrizione tecnica del router Cisco 2611XM: Il router Cisco 2611XM fornito di base di: o due interfacce 10/100 Ethernet (RJ45); o una porta console asincrona (DTE), velocit massima 115,2 Kbps; o una porta AUX (DTE), velocit massima 115,2 Kbps; o Alimentazione singola (alimentazione di ridondanza fornita tramite PWR600-ACRPS); o Due slots per Wan Interface Card (WIC); o Uno slot di espansione per Network Module (NM); o Performance in pacchetti per secondo (pps): la performance del router dipende dalla modalit di instradamento utilizzata. Il router Cisco 2611XM, utilizza tre modalit di intradamento: Process Switching: in questa modalit la CPU del router elabora ogni singolo pacchetto ricevuto, ottenendo un valore di elaborazione di 1.500 pps; Fast Switching (modalit di default): in questa modalit la CPU elabora soltanto il primo pacchetto di una sessione, e pone in cache la intestazione di livello 2 necessaria per linstradamento, ottenendo un valore di elaborazione di 20.000 pps; CEF Switching: una modalit che risolve alcuni problemi della modalit Fast, ma sostanzialmente il valore di elaborazione dei pacchetti rimane invariato a 20.000 pps. o 96 MB DRAM; o 32 MB Flash; o 1 RU;

o o o o

o o

Alimentazione singola (alimentazione di ridondanza fornita tramite PWR600-ACRPS); Tre slots per Wan Interface Card (WIC); Uno slot di espansione per Network Module (NM); Uno slot per flash esterna; Performance in pacchetti per secondo (pps): la performance del router dipende dalla modalit di instradamento utilizzata. Il router Cisco 2691, utilizza tre modalit di intradamento: Process Switching: in questa modalit la CPU del router elabora ogni singolo pacchetto ricevuto, ottenendo un valore di elaborazione di 7.400 pps; Fast Switching (modalit di default): in questa modalit la CPU elabora soltanto il primo pacchetto di una sessione, e pone in cache la intestazione di livello 2 necessaria per linstradamento, ottenendo un valore di elaborazione di 70.000 pps; CEF Switching: una modalit che risolve alcuni problemi della modalit Fast, ma sostanzialmente il valore di elaborazione dei pacchetti rimane invariato a 70.000 pps. 128 MB DRAM; 64 MB Flash (di default 32 MB pi la fornitura di 32 MB di upgrade (codice prodotto: MEM2691-32U64CF)); 2 RU;

Cisco 2691 Router Cisco 2651XM: Il router Cisco 2651XM fornito di: o due interfacce 10/100 Ethernet (RJ45); o una porta console asincrona (DTE), velocit massima 115,2 Kbps; o una porta AUX (DTE), velocit massima 115,2 Kbps; o Alimentazione singola (alimentazione di ridondanza fornita tramite PWR600-ACRPS); o Due slots per Wan Interface Card (WIC);

Cisco 2611XM Router Cisco 2691 (codice prodotto: CISCO2691): Il router Cisco 2691 fornito di: o due interfacce 10/100 Ethernet (RJ45); o una porta console asincrona (DTE), velocit massima 115,2 Kbps; o una porta AUX (DTE), velocit massima 115,2 Kbps;

RETI E DINTORNI N 20

Pag. 45

o o

o o

Uno slot di espansione per Network Module (NM); Performance in pacchetti per secondo (pps): la performance del router dipende dalla modalit di instradamento utilizzata. Il router Cisco 2651XM, utilizza tre modalit di intradamento: Process Switching: in questa modalit la CPU del router elabora ogni singolo pacchetto ricevuto, ottenendo un valore di elaborazione di 2.000 pps; Fast Switching (modalit di default): in questa modalit la CPU elabora soltanto il primo pacchetto di una sessione, e pone in cache la intestazione di livello 2 necessaria per linstradamento, ottenendo un valore di elaborazione di 40.000 pps; CEF Switching: una modalit che risolve alcuni problemi della modalit Fast, ma sostanzialmente il valore di elaborazione dei pacchetti rimane invariato a 40.000 pps. 128 MB DRAM; 48 MB Flash (di default 32 MB pi la fornitura di 16 MB di upgrade (codice prodotto: MEM2600XM--32U48FS)); 1 RU;

o o

ricevuto, ottenendo un valore di elaborazione di 8.000 pps; Fast Switching (modalit di default): in questa modalit la CPU elabora soltanto il primo pacchetto di una sessione, e pone in cache la intestazione di livello 2 necessaria per linstradamento, ottenendo un valore di elaborazione di 120.000 pps; CEF Switching: una modalit che risolve alcuni problemi della modalit Fast, ma sostanzialmente il valore di elaborazione dei pacchetti rimane invariato a 120.000 pps. 128 MB DRAM; 64 MB Flash (di default 32 MB pi la fornitura di 32 MB di upgrade (codice prodotto: MEM3725-32U64CF)); 2 RU;

Descrizione tecnica del modulo NM-32A=: il modulo NM-32A= fornisce 32 interfacce RS-232 (DTE) che possono essere utilizzate una velocit massima di 134,4 Kbps. Sono utilizzati 4 connettori a 68-pin, e ognuno di essi raggruppa 8 interfacce RS-232. Lutilizzo del cavo CAB-OCTAL-ASYNC= il quale fornisce 8 cavi rolled con terminazione RJ-45 connessi al connettore a 68-pin, permette il collegamento a 8 porte console.

Modulo NM-32A= Cisco 2651XM Router Cisco 3725 (codice prodotto: CISCO3725): Il router Cisco 3725 fornito di: o due interfacce 10/100 Ethernet (RJ45); o una porta console asincrona (DTE), velocit massima 115,2 Kbps; o una porta AUX (DTE), velocit massima 115,2 Kbps; o Alimentazione singola (alimentazione di ridondanza fornita tramite PWR600-ACRPS); o Tre slots per Wan Interface Card (WIC); o Uno slot di espansione per Network Module (NM); o Uno slot per moduli ad alta densit (HDSM); o Performance in pacchetti per secondo (pps): la performance del router dipende dalla modalit di instradamento utilizzata. Il router Cisco 3725, utilizza tre modalit di intradamento: Process Switching: in questa modalit la CPU del router elabora ogni singolo pacchetto

Cavo CAB-OCTAL-ASYNC= Modulo NM-1FE1R2W: Il modulo fornisce una porta 10/100 Ethernet, una porta Token Ring RJ-45 e una porta Token Ring DB-9 (si pu usare un solo tipo di porta Token Ring) e due WIC slots.

Modulo NM-1FE1R2W Interfaccia WIC-1T: Questa interfaccia fornisce il supporto a diversi protocolli seriali sincroni (V.35, X.21, RS-232, RS-449, RS-530). Se intallata su routers della famiglia Cisco 1600 o 1720, essa pu operare

RETI E DINTORNI N 20

Pag. 46

anche in modalit asincrona, mentre sui routers della famiglia 2600 e 3600 non pu operare in modalit asincrona. Il connettore a 60-pin deve essere collegato al cavo specifico, rispetto al protocollo utilizzato e alla modalit di collegamento (DTE o DCE). Il codice prodotto del cavo per la V.35 DTE : CAB-V35MT.

Interfaccia WIC-1T

Cavo V.35 DTE Modulo NM-30DM: Il modulo NM-30DM fornisce 30 modems digitali, che devono operare unitamente a moduli E1/PRI o BRI, e supportano le seguenti funzionalit: o Supporto per chiamate voce ISDN canale B (BRI o PRI); o Segnalazione R2; o V.90; o V.110; o Dial-out, fax modem.

Modulo NM-30DM Modulo NM-2CE1T1-PRI: questo modulo fornisce 2 porte E1 con possibilit di trasmissione bilanciata o non-bilanciata. Le funzionalit sono le seguenti: Supporto per ISDN PRI; Supporto per segnalazione R2 E1-CAS; Modalit G.703 e G.704; Interoperabile con i moduli NM-xDM; Il cavo CAB-E1-RJ45BNC, fornisce unadattamento dimpedenza fra 75 Ohm e 120 Ohm.

Modulo NM-2CE1T1-PRI

Cavo CAB-E1-RJ45BNC Autore: R. Gaeta

RETI E DINTORNI N 20

Pag. 47

DESCRIZIONE DEL CISCO SECURITY DEVICE MANAGER


Il Cisco SDM fornisce uninterfaccia grafica di facile utilizzo per la configurazione di un routers Cisco. Ci permette a personale con limitata conoscenza sui comandi CLI IOS, di utilizzare la funzionalit Wizard Mode per configurare: o Configurazione di interfacce Ethernet o FastEthernet: IP address e Netmask; DHCP Server, DHCP Address Pool e DHCP Options; o Configurazione di interfacce WAN: Configurazione di interfacce seriali; Configurazione di interfacce ADSL; Configurazione di interfacce G.HDSL; Configurazione del tipo di encapsulation; Configurazione dei PVC; Configurazione di LMI e DLCI; o Configurazione di funzionalit Firewall; o Configurazione di VPN; o Configuirazione del NAT; o Configurazione di funzionalit IDS; Sono richiesti soltanto 2,8 MB di spazio libero sulla memoria flash del router. Laccesso a SDM avviene eseguendo da un browser un file HTML presente nel router, il quale utilizzer la JVM (Java Virtual Machine) presente nel browser. In questo modo limpatto sullutilizzazione della CPU e della DRAM del router ridotto al minimo. La modalit Monitor permette di: o Selezionare linterfaccia desiderata per monitorarne le statistiche; o Fornire rapporti dettagliati sul numero e tipo di attacchi subiti dalla funzionalit Firewall; o Fornire statistiche dettagliate sulle connessioni VPN attive; o Fornire lelenco dei rapporti Syslog, catalogati in rapporto al livello di severit;

La funzionalit Security Audit esamina la configurazione presente sul router per trovare eventuali possibili problemi di sicurezza. Il controllo viene effettuato in conformit alla Router Security Configuration Guide prodotto dalla NSA (National Security Agency) sul seguente elenco di funzionalit:
Disable Finger Service Disable PAD Service Disable TCP Small Servers Service Disable UDP Small Servers Service Disable IP BOOTP Server Service Disable IP Identification Service Disable CDP Disable IP Source Route Enable Password Encryption Service Enable TCP Keepalives for Inbound Telnet Sessions Enable TCP Keepalives for Outbound Telnet Sessions Enable Sequence Numbers and Time Stamps on Debugs Enable IP CEF Disable IP Gratuitous ARPs Set Minimum Password Length to Less Than 6 Characters Set Authentication Failure Rate to Less Than 3 Retries Set TCP Synwait Time Set Banner Enable Logging Set Enable Secret Password Disable SNMP Set Scheduler Interval Set Scheduler Allocate Set Users Enable Telnet Settings Enable NetFlow Switching Disable IP Redirects Disable IP Proxy ARP Disable IP Directed Broadcast Disable MOP Service Disable IP Unreachables Disable IP Mask Reply Disable IP Unreachables on NULL Interface Enable Unicast RPF on Outside Interfaces Enable Firewall on All of the Outside Interfaces Set Access Class on HTTP Server Service Set Access Class on VTY Lines Enable SSH for Access to the Router

Al termine del controllo viene presentata una finestra di riepilogo, dovr si potr scegliere lazione da intraprendere.

Esempio di finestra di riepilogo dei problemi di sicurezza trovati tramite Security Audit Rappresentazione di esempio della finestra di avvio SDM Autore: R. Gaeta

RETI E DINTORNI N 20

Pag. 48

DESCRIZIONE DEL CATALYST 4506


Gli switches di Access Layer richiesti dal capitolato tecnico sono i Cisco Catalyst 4506 (WS-C4506). Lapparato costituito da un cabinet modulare con backplane a 6 Slot, in grado di ospitare un singolo modulo supervisor engine (modulo CPU/switching/router) e alimentazione ridondata.

possibilit di fornire direttamente lalimentazione in linea. Abbiamo tre modelli di alimentatore AC, che possono essere inseriti nello chassis, e sono: - PWR-C45-1000AC: fornisce alimentazione soltanto per le line card e la supervisor ma non fornisce lalimentazione in linea per la telefonia. La potenza fornita di 1000 Watt.

Catalyst 4506 Le caratteristiche principali del 4506 sono: - Backplane passivo a 64 Gb/s; - Possibilit di alimentazione ridondata; - Possibilit di alimentazione integrata in linea per telefonia IP; - Pu solo montare un modulo Supervisor sullo slot 1, quindi non ha possibilit di ridondanza di Supervisor; - Supporta tre tipi di Supervisor (la II, la III e la IV); - Pu supportare fino ad un massimo di 240 porte 10/100 e 240 porte Gigabit; - Pu avere un forwarding rate fino a 48 Milioni di pacchetti al secondo (solo con supervisor III e IV);

Alimentatore PWR-C45-1000AC. Fornisce potenza solo per i dati rappresentazione logica PWR-C45-1300ACV: fornisce alimentazione sia per i dati sia lalimentazione in linea per la telefonia IP. La potenza fornita dallalimentatore di 1300 Watt. Questa potenza viene suddivisa fra la potenza disponibile per i dati e per lalimentazione in linea. Possiamo avere un massimo di 1000 watt disponibili per i dati (quindi solo 300 Watt per alimentazione in linea), o un massimo di 800 watt per lalimentazione in linea (quindi solo 500 Watt per i dati).

Alimentatore PWR-C45-1300ACV PWR-C45-2800ACV: fornisce alimentazione sia per i dati sia lalimentazione in linea per la telefonia IP. La potenza fornita dallalimentatore di 2800 Watt. La potenza suddivisa (e non condivisa come lalimentatore da 1300W) in 1360 Watt per i dati e 1400 Watt per lalimentazione in linea. Inoltre in presenza di due alimentatori possiamo avere due modalit di funzionamento:

Architettura interna del 4506 Modelli di alimentatore per il 4506 I modelli disponibili per lalimentazione del 4506, non si distinguono soltanto per la potenza che possono fornire, ma anche, in quasi tutti i modelli, per la

RETI E DINTORNI N 20

Pag. 49

alimentazione in ridondanza: ognuno dei due alimentatori fornisce al massimo solo met della potenza a sua disposizione, e in caso di guasto di uno dei due alimentatori, il rimanente pu fornire fino al massimo della sua potenza; alimentazione combinata: tutte e due gli alimentatori forniscono il massimo della potenza possibile;

Supervisor III rappresentata tramite macroblocchi Il Packet Engine responsabile della ricezione, memorizzazione nel buffer, e della trasmissione dei pacchetti. Inoltre si occupa delle problematiche di queuing, scheduling e rewriting; Il Forwarding Engine responsabile del forwarding per i livelli 2, 3 e 4. Inoltre provvede alla funzionalit di access lists, policing/marking e replicazione dei pacchetti;

La seguente tabella riassume le potenze massime disponibili con i vari alimentatori:


Alimentatori Potenza max per Dati in modalit ridondante PWR-C451000AC PWR-C451300ACV 1000 W 1000 W
(restano solo 300 W per lalimentazione in linea)

Potenza max per Dati in modalit combinata 1666 W 1666 W


(restano solo 934 W per lalimentazione in linea)

Potenza max per alimentazione in linea in modalit ridondante 800 W


(restano solo 500 W per lalimentazione dati)

Potenza max alimentazione in linea in modalit combinata 1333 W


(restano solo 1267 W per lalimentazione dati)

PWR-C452800ACV

1360 W

2472 W

1400 W

2333 W

Supervisor Engine III (WS-X4014) La Supervisor Engine III (WS-X4014), pu essere installata sui modelli Catalyst 4506, 4503 e 4006. Essa fornisce funzionalit di switching integrato ai livelli 2, 3 e 4. Pu elaborare un massimo di 48 Mpps tramite la funzionalit CEF (Cisco Express Forwarding). Il sistema operativo utilizzato di tipo IOS.

Line card con 6 slot GBIC (WS-X4306-GB) La line card WS-X4306-GB ha 6 slots per interfacce GBIC. Le interfacce GBIC disponibili per questa line card sono: - WS-G5484: Interfaccia GBIC 1000Base-SX (utilizza fibra multimodale); - WS-G5485: Interfaccia GBIC 1000Base-LX/LH (utilizza fibra multimodale o monomodale); - WS-G5487: Interfaccia GBIC 1000Base-ZX (utilizza fibra monomodale); - WS-G5483: Interfaccia GBIC 1000Base-T; - CWDM-GBIC-XXXX: Interfaccia CWDM GBIC (utilizza fibra monomodale);

Supervisor Engine III Le caratteristiche base sono: - CPU: 300 Mhz; - 64 Gb/s switching engine; - Packet buffer: 16 Mbytes; - NVRAM: 512 Kbytes; - SDRAM: 256 Mbytes; - Flash: 64 Mbytes; - Forwarding rate: 48 Mpps per ogni livello fino a 4; Larchitettura della Supervisor III pu essere suddivisa in due macroblocchi come evidenziato nella seguente figura: Line card con 6 slots per GBIC Line card con 48 porte 10/100 RJ-45 e alimentazione in linea (WS-X4148-RJ45V) La line card WS-X4148-RJ45V ha 48 porte RJ45 con autonegoziazione 10/100BaseTX, con alimentazione in linea. Le interfacce sono conformi agli standards IEEE802.3, IEEE802.3u, 100Base-TX e 10Base-T. Questa line card introduce le seguenti nuove funzioni per il networking multifunzione: 1) Funzione Inline Power:

RETI E DINTORNI N 20

Pag. 50

Lalimentazione in linea di 48Volt c.c., fornita su cavi standard UTP (Unshielded Twisted-Pair) di Categoria 5 fino a 100 metri. Invece della presa a parete, i dispositivi terminali come i telefoni IP possono utilizzare lalimentazione fornita dalla famiglia di switch Catalyst 4500. Questa funzione offre allamministratore di rete un controllo centralizzato dellalimentazione, che si traduce in una maggiore disponibilit di rete. Implementando la famiglia di switch Catalyst 4500 con sistemi UPS (UninterruptablePower-Supply) in wiring closet protetti, gli amministratori di rete possono essere certi che eventuali interruzioni elettriche delledificio non influenzeranno le connessioni telefoniche di rete. 2) Funzione Phone Discovery: a) Tramite la funzione Phone Discovery, lo switch Catalyst rileva automaticamente la presenza di un telefono IP e fornisce alimentazione in linea. Il meccanismo di rilevazione del telefono permette di distinguere tra un telefono IP e una scheda NIC (Network Interface Card) e non fornir lalimentazione in linea ad una NIC o ad altro dispositivo non progettato per utilizzare lalimentazione in linea. 3) VLAN (Virtual LAN) ausiliarie: a) Questa funzione fornisce la configurazione VLAN automatica per i telefoni IP, ed elimina la complessit rappresentata dalla sovrapposizione di una topologia di fonia in una rete di dati. Gli amministratori di rete possono facilmente segmentare i telefoni in reti logiche separate, anche quando le infrastrutture di dati e fonia sono le stesse. La VLAN ausiliaria colloca i telefoni nelle rispettive VLAN senza alcun intervento dellutente finale. Inoltre, queste assegnazioni di VLAN possono essere agevolmente mantenute, anche se il telefono viene spostato in una differente collocazione. Lutente deve semplicemente collegare il telefono allo switch che fornir al telefono le informazioni VLAN necessarie.

a)

Modulo con 48 porte 10/100 con alimentazione in linea Autore: R. Gaeta

RETI E DINTORNI N 20

Pag. 51

INDICE VOLUME I
RETI E DINTORNI N1 (Marzo 2001) Interconnessione di reti locali pag. 3 aut. R. Gaeta Comandi di configurazione pag. 7 aut. R.Gaeta Il livello transport di Internet pag. 9 aut. R. Gaeta Generalit sui comandi per i router Cisco pag. 12 documento trovato da L. Cupini RETI E DINTORNI N2 (Aprile 2001) Firewall pag. 2 aut. R. Gaeta DHCP pag. 5 aut. R. Gaeta Architettura dei Routers pag. 7 aut. R. Gaeta RETI E DINTORNI N3 (Maggio/Giugno 2001) Ip Security pag. 2 aut. G. Grassi Ip Security su Nortel Network pag. 11 aut. G. Grassi Installazione e configurazione NOKIA IP pag. 16 aut. M. Scapellato Introduzione alla progettazione pag. 24 aut. R. Gaeta RETI E DINTORNI N4 (Luglio/Agosto 2001) Information security pag. Scapellato 2 aut. M. Configurazione iniziale dellinterfaccia E1, PRI e BRI su routers Cisco pag. 22 aut. R. Gaeta ATM pag. 25 aut. R. Gaeta RETI E DINTORNI N8 (Gennaio/Febbraio 2002) Fault-tolerance su topologie BMA (Broadcast Multi Access) pag. 4 aut. R. Gaeta Wireless lan pag. 12 aut. R. Gaeta Analisi di protocollo di una chiamata ISDN pag. 30 aut. R. Gaeta Voice Over IP pag. 32 aut. N. Memeo RETI E DINTORNI N7 (Novembre/Dicembre 2001) La sicurezza pag. 4 aut. R. Gaeta RETI E DINTORNI N 5 (Settembre 2001) Lan virtuali pag. 2 aut. R. Gaeta Internet Addressing pag. 5 aut. R. Gaeta Principi di Routing pag. 10 aut. R.Gaeta Protocolli di Routing pag. 18 aut. R. Gaeta RETI E DINTORNI N6 (Ottobre 2001) ISDN pag. 2 aut. R. Gaeta PPP pag. 27 aut. R. Gaeta

Efficienza, errori e pacchetti pag. 9 aut. R. Gaeta

RETI E DINTORNI N 20

Pag. 52

INDICE VOLUME II
RETI E DINTORNI N9 (Marzo/Aprile 2002) Routing Information Protocol pag. 3 aut. G. Grassi MultiLink Trunking over Passport 8000 pag. 5 aut. G. Grassi Affidabilit di rete pag. 7 aut. R. Gaeta Cisco AAA Security Technology pag. 13 aut. M. Scapellato La normativa italiana per la Wireless pag. 17 RETI E DINTORNI N10 (Maggio 2002) DNS (Domain Name System) pag. 4 aut. L. Natale Procedura per il recovery password su cisco 761 M pag. 9 aut. G. Grassi Caricamento IOS su piattaforme cisco pag. 10 aut. D. Trombetta Roam About Wireless Enterasys pag 14 aut. E. Lucidi Concetti di VPN pag. 16 (tratto da networkingitalia) QoS: una faccenda non ancora per tutti pag. 17 (tratto da networkingitalia) Unindirizzo per tutti pag. 20 (tratto da networkingitalia) RETI E DINTORNI N11 (Giugno/Luglio 2002) ODR (On-Demand Routing) pag. 4 aut. R. Gaeta Cenni sullarchitettura protocollare Netware pag. 5 aut. R. Gaeta Esempio di Troubleshotting su rete Netware pag. 12 aut. R. Gaeta Telefonia IP: la parola al laboratorio pag. 19 (tratto da networkworld) RETI E DINTORNI N12 (Agosto/Settembre 2002) Introduzione al NetBEUI/NetBIOS pag. 3 (tratto da networkingitalia) Mezzi trasmissivi, normative strumentazione pag. 7 aut. R. Gaeta e

RETI E DINTORNI N 13 (Ottobre 2002) Multi-Protocol Label Switching pag. 3 aut. R. Gaeta Caratteristiche degli apparati Enterasys pag. 7 aut. R. Gaeta Procedure per la configurazione upgrade e ottimizzazione degli switches 6500 e 3500 pag. 11 aut. L. Natale RETI E DINTORNI N14 (Novembre 2002) Configurazione iniziale del PIX tramite il PDM pag. 3 aut. R. Gaeta Procedure di creazione vlan e vlan di management su apparati Enterasys pag. 10 aut. R. Gaeta Configurazione dellaccess point aironet 350 pag. 17 aut. R. Gaeta cisco

Configurazione della scheda wireless airpcm352 e air-pci352 pag. 24 aut. R. Gaeta

RETI E DINTORNI N 20

Pag. 53

RETI E DINTORNI N15 (Dicembre 2002) Descrizione generale della costruzione di una web-farm a pi livelli protetti pag. 3 aut. M. Guillaume VoIP su routers cisco pag. 7 aut. L. Natale VPN pag. 10 aut. R. Gaeta RETI E DINTORNI N16 (Gennaio 2003) Standard TIA TSB-67 certificazione dei cablaggi pag. 4 aut. R. Gaeta Il lantek pro xl della wavetek pag. 6 aut. R. Gaeta

Time Domain Reflectometry (TDR) pag. 9 aut. R. Gaeta Optical Time Domain Reflectometry (OTDR) pag. 11 aut. R. Gaeta Autonegoziazione (non tutto oro ci che luccica) pag. 17 aut. R. Gaeta Wireless Bridging pag. 19 aut. R. Gaeta Server Farm pag. 26 aut. M. Scapellato RETI E DINTORNI N17 (Febbraio 2003) Failure Distributions pag. 4 aut. R. Gaeta Introduzione allarchitettura Differentiated Services pag. 13 aut. R. Gaeta

INDICE VOLUME III


RETI E DINTORNI N18 (Marzo/Aprile 2003) Link Proof pag. 3 aut. L. Natale Intrusion Detection System pag.6 aut. M. Scapellato RETI E DINTORNI N19 (Maggio 2003) Wireless Security pag. 3 aut. R. Gaeta DWDM, la potenza della luce pag.10 aut. M. Guillaume Uso di SSL per trasmissioni sicure in Internet pag. 15 aut. R. Gaeta Procedura di aggiornamento software per Cisco Catalyst 3550 pag. 16 aut. E. lucidi FTP (File Transfer Protocol) pag. 17 aut. R. Gaeta Caratteristiche dellapparato MCU 16+16 della Tandberg pag. 29 aut. R. Gaeta Caratteristiche dei ponti ottici della MRV Terescope pag. 34 aut. L. Natale Caratteristiche del firewall Checkpoint con apparati Nokia pag. 39 aut. M. Scapellato Descrizione tecnica di alcuni routers Cisco e di alcuni moduli pag. 44 aut. R. Gaeta RETI E DINTORNI N20 (Giugno 2003/Marzo 2004) Caratteristiche dello Switch/Router Cisco Catalyst 6509 pag. 3 aut. R. Gaeta Caratteristiche dello Switch/Router Allied Telesyn SwitchBlade (AT-SB4108-00) pag. 11 aut. R. Gaeta Caratteristiche del Set Top 880 Tandberg pag. 17 aut. R. Gaeta

RETI E DINTORNI N 20

Pag. 54

Descrizione del Cisco Security Device Manager pag. 47 aut. R. Gaeta Descrizione del Catalyst 4506 pag. 48 aut. R. Gaeta