Sei sulla pagina 1di 19

Reti e dintorni

Gennaio/Febbraio 2002 N 8

RETI E DINTORNI N 8

Pag. 2

EDITORIALE
Le tecniche di vendita, possono essere viste come unapplicazione pratica della persuasione. Il sociologo Cialdini ha identificato i sei modelli fondamentali della persuasione: 1. Fare leva sulla dipendenza creata con unofferta 2. Fare leva sulla coerenza ad un impegno 3. Fare leva sulla coerenza con il gruppo sociale 4. Fare leva sulla simpatia 5. Fare leva sullautorit 6. Fare leva sulla scarsa disponibilit di qualcosa evidente che alcuni dei modelli precedenti sono pi utilizzabili, rispetto ad altri per le tecniche di vendita. La persuasione deve essere intesa come un arma per modificare la visione della realt da parte di chi riceve il messaggio. Ma essa solo la pi ingenua e la pi scoperta fra le tecniche per formare/distruggere le opinioni. Attualmente alla persuasione, sono preferite tecniche di informazione sofisticate, che preparano il terreno allinterpretazione errata dellinformazione. Queste tecniche si basano soprattutto a quelle che in retorica vengono definite sofismi. Lo scopo finale non tanto di portare fuori strada chi riceve il messaggio cos strutturato, quanto nellabituare la gente a ragionare in modo distorto. Questo significa creare dei dispositivi che permettono di portare la gente a elaborare la disinformazione autonomamente. I sofismi sono dunque lequivalente delle bombe ad effetto ritardato, e i loro effetti devastanti sgombrano il terreno da qualsiasi forma di resistenza verso la persuasione. Vediamo alcuni di questi sofismi. Essi sono solo apparentemente corretti. In realt si tratta di dispositivi retorici atti a scardinare proprio le difese della logica. Molti di voi riconosceranno in questi modelli delle forme abituali di espressione e questo d la misura di quanto sia facile abituarsi a ragionare in modo distorto. SOFISMI ARGUMENTUM AD BACULUM: Ovvero, fare appello alla forza. Si tratta di una delle forme di argomentazione pi rozze perch si riferisce al potere (il potere ha sempre ragione) ed spesso utilizzata in politica e in religione per suggestionare la massa. ARGUMENTUM AD HOMINEM: Invece di dimostrare la falsit delle affermazioni dellavversario, questo tipo di argomentazione rivolta contro la persona e funziona secondo il seguente schema: 1) A afferma la tesi X. 2) Si getta discredito su A. 3) Quindi la tesi di A falsa. ARGUMENTUM AD IGNORANTIAM: Questa argomentazione si basa sullaffermare che una tesi vera solo per il fatto che non stata provata la sua falsit o viceversa. Lo schema il seguente: 1) Nessuno ha mai provato che X sia falso (o vero). 2) Quindi X vero (o falso). ARGUMENTUM AD POPULUM: Si ottiene il consenso basandosi sul fatto che la propria tesi condivisa da un grande numero di persone. Lo schema il seguente: 1) Tutti sanno che X vero. 2) Quindi X vero. APPELLO ALLA PRATICA COMUNE: variante dellArgumentum ad Populum, consiste nel sostenere che se una certa azione fatta abitualmente da tutti necessariamente giusta. Lo schema : 1) X una azione che fanno tutti. 2) Quindi fare X giusto/corretto/ragionevole ecc. ARGUMENTUM AD VERECUNDIAM: fare appello allautorit una forma di argomentazione molto persuasiva ed utilizzata in pubblicit, in politica e in religione. Lo schema : 1) che X sia vero lo dice anche A. 2) Quindi X vero. ARGUMENTUM AD NAUSEAM: Consiste nella costante ripetizione di una affermazione e si basa sulla credenza che una tesi diventi tanto pi vera quanto pi viene comunicata. NON CAUSA PRO CAUSA: Identificare qualcosa come causa di un fatto

RETI E DINTORNI N 8

Pag. 3

quando non c alcun modo di provare che quella sia la causa reale. Lo schema : 1) c A. 2) c B. 3) Quindi A ha prodotto B. La lista dei sofismi qui enunciata non completa, in quanto ne esistono altri 50 tipi diversi. Nella strutturazione di un discorso, che ha lobiettivo di persuadere gli ascoltatori, non esiste limprovvisazione pura e semplice. Gli elementi costitutivi di un discorso sono elencati di seguito: - Introduzione o preambolo - Scopo o enunciazione - Argomentazione: prima gli argomenti negativi, cio quelli contro la tesi che si vuole sostenere, e poi quelli positivi, in favore della nostra tesi. - Ricapitolazione o conclusione Le figure retoriche pi utilizzate in un discorso sono: - lantitesi - la prolessi - la preterizione - la litote - lironia - la deprecazione - lapostrofe - la reticenza - la similitudine - lanafora Unesempio di argomentazione persuasiva (senza andarsi a scomodare su gli infiniti esempi che forniscono certi politici!), lo troviamo sul corso BCMSN di Cisco. Nellintrodurre lHSRP, il manuale introduce prima, esaltando, mentendo e omettendo, sui problemi di altre tecniche alternative. Vediamo un po: - omissione: non viene considerato lICMP REDIRECT - esaltazione: delleventuale aumento dei broadcast quando si utilizza il PROXY ARP - omissione ed esaltazione: sullIRDP si esaltano i tempi di default (che sono molto lunghi), lasciando intendere che sono un problema. Purtroppo viene omesso che i tempi possono essere diminuiti, e quindi avere la ridondanza del gateway in pochi secondi. - Omissione: non viene trattato, nemmeno come cenno, che esiste un protocollo similare allHSRP, e cio il VRRP. - LHSRP viene presentato come soluzione dei problemi presentati. Sembra che per la Cisco lHSRP non abbia difetti. La realt diversa. Primo, ogni tecnica ha i suoi pregi e difetti.Secondo, lo scopo non dichiarato esplicitamente dal manuale Cisco, quello di persuadere ad utilizzare sempre HSRP. Ma il protocollo HSRP lo utilizza solo Cisco. Conclusione finale: il capitolo sullHSRP del corso BCMSN, nella maggior parte pubblicit con la maschera di informazioni tecniche. (Il sofisma qui utilizzato il seguente: 1) Si enunciano soltanto i problemi della tecnica X 2) Si presenta la tecnica Y come soluzione senza problemi.) Spero che larticolo che segue possa riportare largomento su una base pi scientifica e meno retorica. R.G.

RETI E DINTORNI N 8

Pag. 4

FAULT-TOLERANCE SU TOPOLOGIE BMA (Broadcast Multi Access)


I computer presenti in una Lan sono normalmente configurati con lindirizzo Ip la Netmask e un default gateway. Se vogliamo trasmettere dati a computer che non appartengono alla nostra subnet dobbiamo utilizzare il default gateway (vedi Reti e Dintorni n5). La domanda se il default gateway si guasta, quali sono i metodi per continuare a trasmettere i dati verso subnet diverse? Ebbene s abbiamo un solo router presente sulla nostra subnet non abbiamo nessuna speranza! Se invece sono presenti almeno due routers possiamo utilizzare uno dei seguenti metodi: ICMP Redirect (RFC 792) Multiple Gateways on PC (RFC 816) Proxy ARP (RFC 1027) RIPv1 Listening (RFC 1058) IRDP (RFC 1256) HSRP (RFC 2281 Informational) VRRP (RFC 2338)

invia il pacchetto al suo default gateway (Router A). 2) Il pacchetto arriva al router A, e verifica, tramite la sua tabella di routing, che deve inviare il pacchetto al router B, presente sulla stessa subnet dove anche presente lhost sorgente. Dunque invia un ICMP Redirect che informa lhost sorgente della presenza di un percorso migliore. 3) Il router A comunque invia il pacchetto Ip ricevuto al router B. 4) Lhost sorgente ricevuto il pacchetto ICMP Redirect, DEVE aggiornare la sua tabella di routing (vedi RFC 1122 pag. 40-41). Su sistemi windows 9x potete verificare laggiornamento tramite il comando route print. Da questo momento lhost invia i successivi pacchetti a lhost destinazione, appartenente alla subnet 14.4.0.0, tramite il router B. Il punto debole di questa strategia sicuramente il guasto del router A, in questo caso nessun ICMP Redirect potr essere inviato. Multiple Gateways on PC Un PC pu essere configurato (manualmente o tramite server DHCP) con pi di un default gateway. Il PC user il primo della lista. Su Windows 9x / Me / NT e 2000 la Microsoft ha adottato la seguente tecnica di rilevamento di Dead Gateway: 1) Siano presenti sulla lan i due default gateway: Router A e Router B; 2) Il PC sia configurato con in due default gateway e che il router A sia il primo della lista; 3) Abbiamo il seguente algoritmo: a) Se allinvio di un segmento TCP si ottiene risposta entro met del tempo definito dal valore:TcpMaxDataRetransmissions (questo
valore si modifica in modo dinamico ed utilizzato dalle procedure TCP) allora si continuano ad inviare i

ICMP Redirect Questi messaggi sono inviati da un router per segnalare che presente un percorso migliore per la trasmissione dei pacchetti Ip. La figura seguente mostra come pu essere utilizzata questa informazione per il fault-tolerance:

I due routers devono scambiarsi tra di loro informazioni di routing, per fare in modo che a seguito di un guasto, possano trovare uneventuale percorso alternativo. Sia il Router A il default gateway dei pc presenti sulla subnet 10.1.0.0. A seguito di un guasto sul collegamento wan del router A il protocollo dinamico di routing ottiene linformazione che ora la subnet 14.4.0.0 ora raggiungibile tramite il router B. Ora abbiamo: 1) Lhost C trasmette un pacchetto indirizzato a un host appartenente alla subnet 14.4.0.0, per fare ci

segmenti/pacchetti verso il router A. b) Se invece non si ottiene riposta il PC invier degli ARP Request per conoscere il MAC Address del Router B. Se si ottiene risposta il PC da questo istante utilizzer il Router B come default gateway. i) Se non si ottiene risposta il PC cercher in modo ciclico con gli altri default gateway presenti sulla lista (nel nostro caso riproverebbe con il router A) da rimarcare il fatto che la rilevazione del Dead Gateway avviene solo tramite linvio di segmenti TCP (quindi qualsiasi applicazione che utilizzi TCP), una volta rilevato e passato ad utilizzare il router B qualsiasi pacchetto (TCP, UDP, ICMP ecc.) che dovr utilizzare il default gateway potr essere inviato con successo. Dunque se dovete fare degli esperimenti se usate solo il ping (ovviamente per una subnet remota raggiungibile da ambedue i router) per verificare se questa tecnica funziona otterrete un clamoroso fallimento.

RETI E DINTORNI N 8

Pag. 5

PROXY ARP Il Proxy ARP stato sviluppato per rendere le sottoreti trasparenti ai sistemi terminali. una variante di ARP, il router in grado di rispondere, alle richieste ARP, per conto dei nodi raggiungibili attraverso il router stesso. Tutti i routers di default hanno il Proxy ARP abilitato. Anche se normalmente abilitato per usare i suoi servizi bisogna fare in modo che i Pc che devono trasmettere dati a Pc appartenenti a subnet differenti, inviino pacchetti ARP Request richiedendo la risoluzione dellindirizzo Ip di destinazione. Ma essendo, in questo caso, lindirizzo Ip di destinazione appartenente a unaltra subnet, il Pc sorgente invia ARP request per risolvere lindirizzo Ip del default gateway (vedi Reti e Dintorni n5). Ci significa che, nonostante il Proxy ARP sia sempre abilitato, in realt non viene utilizzato, e forse anche questo uno dei motivi che potrebbe spiegare perch il Proxy ARP quasi sconosciuto fra i tecnici. Cosa si deve fare per utilizzare le funzionalit del Proxy ARP? Semplice, configurare manualmente il Pc con il default gateway uguale allindirizzo Ip del Pc (detto anche default gateway su stesso)(in modo automatico solo se sulla lan presente un server DHCP SP4. Aggiungere nel registro del server, nella posizione HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo ntrolSet\Services\DHCPServer\configuration\Subne ts\w.x.y.z dove w.x.y.z la network ID per la quale vogliamo che i pc abbiano il default gateway su se stesso, aggiungere la chiave SwitchedNetworkFlag, tipo REG_DWORD e settare il suo valore a 1). Quali sono i vantaggi del Proxy ARP? 1) Configurazione semplice (default gateway su stesso!) 2) Load Balancing (diversi hosts usano in modo randomico uno o laltro router) 3) Fault Tolerance immediato se lindirizzo di destinazione non presente in cache ARP del Pc

a)

Se si utilizza un Proxy Server per le connessioni su Internet, il traffico broadcast non aumenta in modo considerevole.

2) Fault Tolerance ritardato se lindirizzo di destinazione presente in cache (bisogna attendere il timeout). a) Se viene utilizzato un DHCP server il parametro ARP
cache timeout (codice 35) permette di specificare la validit in secondi delle entry della tabella ARP.

3) Controllo limitato da parte dellamministratore di rete per quanto riguarda il load balancing. Sar sempre usato il router che ha risposto alla richiesta ARP, che temporalmente pi distante. Questo dovuto al fatto che le risposte Arp Reply sovrascrivono la entry relativa presente in cache arp. Sui router Cisco di default il Proxy ARP abilitato. Per disabilitarlo su un interfaccia:
Router (config-if)# no ip proxy-arp

Per abilitarlo su uninterfaccia:


Router (config-if)# ip proxy-arp

Sui Switch/Router della Enterasys il Proxy ARP abilitato di default. Per disabilitarlo su uninterfaccia si usi:
ssr(config)# name ip disable proxy-arp interface

per riattivarlo si neghi il precedente comando. RIPv1 Listening Se i routers presenti sulla lan utilizzano come protocollo dinamico di routing il RIPv1, allora possiamo abilitare sui pc il silent RIPv1 o RIPv1 listening. In questo modo lhost ascolta gli update inviati dai routers per costruirsi la propria tabella di routing. Per abilitare il RIPv1 listening su un pc win 98 eseguire i seguenti passi: 1) Entrare in pannello di controllo e selezionare rete. 2) Selezionare aggiungi servizio e aggiungere dal cd di win98 il servizio fornito dal file Irip.inf presente nella directory \Tools\RIP 3) Riavviare il computer. Da questo momento il pc imparer i percorsi dagli update RIP che ricever. IRDP LICMP Router Discovery Protocol un metodo per scoprire i router presenti sulla lan. Il protocollo diviso in due parti: una parte server che risiede sui routers e una parte client residente sugli hosts.

Svantaggi: 1) Genera pi traffico broadcast nel caso si abbia un collegamento su Internet.

Labilitazione del processo server IRDP su router Cisco viene effettuata tramite il comando dinterfaccia:
Router(config-if)# ip irdp

RETI E DINTORNI N 8

Pag. 6

Mentre labilitazione del processo client IRDP su un pc win9x/2000, viene abilitato di default per i client DHCP (sul server DHCP parametro con codice 31 = Perform router discovery). [Oppure modificare, nel registro di windows, il valore del parametro PerformRouterDiscovery (tipo STRING) portandolo ad 1 (1=abilita IRDP) o 0 (0=disabilita IRDP. Questo parametro lo trovate (o lo dovete aggiungere) nella seguente chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo ntrolSet\Services\Class\NetTrans\#### dove #### il numero di binding TCP/IP relativo allinterfaccia dove volete attivare IRDP]. Il router invia periodicamente dei messaggi di Router Advertisement da ogni interfaccia con il processo server IRDP abilitato, inviato in broadcast (255.255.255.255) o in multicast (224.0.0.1). Ogni Router Advertisement contiene una lista degli indirizzi ip di router utilizzabili, con relativa preferenza. Inoltre un campo (lifetime) definisce per quanto tempo questo messaggio deve essere ritenuto valido. Lhost pu inviare dei Router Solicitation (in broadcast o in multicast = 224.0.0.2), al quale i router risponderanno con un Router Advertisement inviato in unicast (se si utilizza un server DHCP lindirizzo pu essere configurato tramite il parametro (codice 35) Router solicitation address). Altri comandi dinterfaccia per i routers Cisco sono:
Router(config-if)# ip irdp multicast (invia i Router Advertisement in multicast = 224.0.0.1) Router(config-if)# ip irdp holdtime sec (definisce il valore del lifetime. Default = 3 * maxadvertinterval.. Range fra maxadvertinterval e 9000 sec) Router(config-if)# ip irdp preference number (definisce la preferenza per questo router. Il router o linterfaccia con il valore di preferenza maggiore preferito.) Router(config-if)# ip irdp maxadvertinterval sec (definisce il massimo intervallo fra due Router Advertisement. Default = 600 sec =10 min. Range fra 4 e 1800 sec) Router(config-if)# ip irdp minadvertinterval sec (definisce il minimo intervallo fra due Router Advertisement. Default = 0,75 * maxadvertinterval. Range fra 3 e maxadvertinterval.)

Router(config-if)# ip irdp holdtime 10

In questo modo il tempo di transizione, in caso di guasto, di soli 10 secondi. Per i Smart Switch Router della Enterasys abbiamo i seguenti comandi:
ssr(config)# rdisc add interface <name>|all
(abilita lirdp sullinterfaccia specifica oppure su tutte)

ssr(config)# rdisc set address <ipaddr> type multicast|broadcast advertise enable|disable preference <number> |ineligible
(questo comando definisce che lindirizzo ipaddr deve essere inviato o solo in multicast o in broadcast, oppure che deve essere incluso o escluso, oppure definisce la preferenza)

ssr(config)# rdisc set interface <name> |all min-adv-interval <number> max-adv-interval <number> lifetime <number>
(questo comando definisce i parametri suddetti)

ssr(config)# rdisc start


( il comando che fa partire lintero processo IRDP)

HSRP Il protocollo Hot Standby Routing Protocol (HSRP), sviluppato da Cisco, provvede al backup automatico di un router. Ci significa che un router si assume le funzioni assolte da un altro router che si guastato. Il protocollo HSRP prevede lesistenza di un gruppo di routers, identificati dallo Standby Group. In questo gruppo sono identificati un Active router ed almeno un Standby router. Lactive router il router del gruppo che avr la funzione di trasmettere i dati, mentre lo standby router in uno stato di backup. Gli hosts useranno come loro default gateway un indirizzo ip virtuale, associato a un mac virtuale, che sono utilizzati dallactive router. Se lactive router si guasta, lo standby router si trasforma in active router e utilizza lip virtuale e il mac virtuale. In questo modo linterruzione dei flussi dati limitata al tempo di transizione da standby ad active.

Come avete visto i valori di default sono molto elevati (dopotutto la RFC 1256 del 1991, cio qualche era geologica fa!). Il mio consiglio di utilizzare i seguenti valori sullinterfaccia dei router coinvolti nel processo IRDP:
Router(config-if)# ip irdp Router(config-if)# ip irdp maxadvertinterval 4 Router(config-if)# ip irdp minadvertinterval 3

HSRP non deve essere inteso come un protocollo che vuole sostituire i metodi precedentemente descritti, ma che anzi ne complemento (vedi RFC 2281 pag.2). LHSRP utilizza come trasporto lUDP e la porta 1985. I pacchetti sono inviati allindirizzo multicast 224.0.0.2 con TTL = 1. Il pacchetto ha i seguenti campi:

RETI E DINTORNI N 8

Pag. 7

lautenticazione il campo contiene il valore esadecimale 63.69.73.63.6F.00.00.00 (che corrisponde alla parola: cisco) Virtual IP Address: contiene lindirizzo virtuale utilizzato dallo Standby Group. Come vedete il pacchetto HSRP non contiene il MAC Address virtuale che sar utilizzato dallactive router. Come viene formato il MAC virtuale? 1) Token Ring a) Standby Group = 0 MAC Virtuale = C0.00.00.01.00.00 b) Standby Group = 1 MAC Virtuale = C0.00.00.02.00.00 c) Standby Group = 2 MAC Virtuale = C0.00.00.04.00.00 2) Altre tecnologie (Ethernet, FDDI, ecc.) a) Standby Group = XX MAC Virtuale = 00.00.0C.07.AC.XX HSRP e Proxy ARP HSRP e Proxy ARP possono coesistere tranquillamente, in quanto un router appartenente ad uno Standby Group, DEVE rispondere (se pu fornire il servizio Proxy ARP) fornendo il MAC Virtuale. Esempio di un pacchetto Hello inviato da un active router, con i seguenti parametri; Stanby Group = 0; Priorit = 200; Ip virtuale = 10.24.1.10: HSRP e ICMP Redirect La RFC 2281 definiva che, lutilizzo dellHSRP comporta che il router NON DEVE inviare pacchetti del tipo ICMP Redirect. Comunque dalla versione IOS 12.1(3)T, permesso linvio dei ICMP Redirect. Abbiamo tre possibilit : 1) Reindirizzamento verso un altro Standby Group: In questo caso il pacchetto ICMP Redirect fornisce lindirizzo IP virtuale di quel gruppo (solo con il comando standby redirects enable) 2) Reindirizzamento verso routers non appartenti a gruppi HSRP: in questo caso il pacchetto ICMP Redirect contiene lindirizzo reale del router (sia con il comando standby redirects enable che con standby redirects disable) 3) Reindirizzamento verso routers appartenenti allo stesso Standby Group: a) non permesso (con il comando standby redirects enable) b) permesso (con il comando standby redirects disable) MHSRP Il Multigroup HSRP permette a una singola interfaccia di un router, lappartenenza a pi di uno Standby Group.

Version: numero della versione di protocollo Opcode: descrive il tipo di messaggio contenuto nel pacchetto come descritto in figura:

State: Definisce lo stato interno del processo HSRP. Possibili valori sono:

Hellotime: contiene il valore in secondi, del periodo dinvio dei pacchetti Hello. Default = 3 sec. Holdtime: contiene il valore in secondi, del periodo di validit del pacchetto Hello. Default = 10 sec. Priority: questo campo utilizzato per eleggere lactive router. Quando sono comparati le priorit di due differenti routers, il router con priorit pi alta diventa active router. In caso di uguale priorit diventa active router quello che ha lindirizzo Ip di valore pi alto. Group: questo valore identifica in modo univoco a quale "Standby Group il router appartiene. Per Token Ring sono validi solo i valori da 0 a 2. Mentre per tutte le altre tecnologie sono validi i valori da 0 a 255. Authentication Data: contiene una password inviata senza criptografia. Se non viene utilizzata

RETI E DINTORNI N 8

Pag. 8

La figura soprastante mostra un utilizzo del MHSRP per ottenere load sharing. Tracking Prendiamo in considerazione la figura seguente:

Router(config)# disable]

standby

redirects

[enable

(Comando che permette linvio di ICMP Redirects (di default dalla versione 12.1(3)T), dove enable abilita la sostituzione dellIp reale con lIp virtuale, mentre disable disabilita questa funzione.)

Router(config-if)# authentication string

standby

group
di

(Comando che definisce la stringa autenticazione. Default = cisco)

se avviene un guasto sulla seriale S0 del router A (active) HSRP pu accorgersi di ci tramite il tracking, cio lassociazione dello stato dellinterfaccia Ethernet E0 anche allo stato della S0. Se la S0 diventa down, allora la priorit del router viene diminuita, in modo tale che un altro diventi active router. Da notare infine che le interfacce dei router appartenenti ad uno Standby Group sono comunque utilizzabili attraverso lindirizzo Ip reale, quindi possiamo trasmettere dati e riceverli anche da una interfaccia che in standby HSRP, se indirizzata direttamente!!! LHSRP lo trovate solo su router Cisco, in quanto a pag. 3 del RFC 2281, si chiarisce che il protocollo brevettato (US Patent n 5.473.599), e si richiede per la sua implementazione il pagamento della licenza alla Cisco. Comandi Cisco per lHSRP:
Router(config-if)# [secondary] standby group ip ip-add

VRRP Il protocollo VRRP (Virtual Router Redundancy Protocol) molto simile al protocollo HSRP. Anche qui abbiamo un router che diventa Master e laltro router rimane in standby. A livello IP i pacchetti VRRP sono inviati in Multicast allindirizzo 224.0.0.18 (ci corrisponde a un multicast locale e un router NON DEVE ruotare questo pacchetto, qualsiasi sia il valore del campo TTL). Il valore TTL deve essere 255, Un router VRRP DEVE scartare pacchetti VRRP con valori TTL diversi da 255. Lidentificatore del protocollo VRRP a livello IP il 112. I campi propri del VRRP sono i seguenti:

(Comando che definisce lo standby group e il suo indirizzo ip virtuale. Con secondary abilitiamo pi di un indirizzo Ip virtuale sul processo HSRP)

Router(config-if)# priority

standby

group

priority

(Comando che definisce la priorit. Default = 100)

Version: questo campo deve essere uguale a 2 Type: attualmente lunico valore definito il numero 1 = ADVERTISEMENT. Qualsiasi altro valore comporta che il pacchetto deve essere scartato. VRID (Virtual Router ID): identifica a quale virtual router appartiene il pacchetto Priority: la priorit definisce chi deve diventare master. Maggiore il valore, maggiore la priorit. IP address count: contiene il numero di indirizzi Ip contenuti nel pacchetto. Authenticatio Type: Abbiamo definite tre possibilit 1) No Authentication; 2) Simple Text Password 3) IP AH Advertisement interval: lintervallo dinvio fra un pacchetto VRRP e un altro. Default = 1 sec. A livello MAC abbiamo che: - Ethernet: il MAC address virtuale di destinazione formato da: 00-00-5E-00-01-{VRID}. Questo significa che per dominio lan possiamo al massimo avere 255 VRRP virtual routers. - Token Ring: sono utilizzati gli 11 indirizzi functional. Ma si deve fare attenzione, e verificare se sulla rete alcuni di essi non siano gi utilizzati. - Tabella di corrispondenza VRID e Functional address

Router(config-if)# standby group preempt


(Comando che definisce che il router deve diventare active router ogniqualvolta la sua priorit la pi alta.)

Router(config-if)# hellotime holdtime

standby

group

timers

(Comando che definisce i valori di hellotime (default = 3 sec) e di holdtime (default = 10 sec))

Router(config-if)# standby group track number interface-priority

type-

(Comando che permette il tracking di un interfaccia type-number, e dove il valore di interface-priority indica il valore che deve essere decrementato dalla priorit.)

RETI E DINTORNI N 8

Pag. 9

RIASSUMENDO Riassumiamo larticolo prendendo come modello di riferimento la seguente rete:

I routers VRRP passano i seguenti stati:

Sono definiti i seguenti parametri: Skew Time = (256 Priority)/ 256 Master Down Interval = (3 * Advertisement Interval) + Skew Time Initialize: se la priority = 255 (se il proprio indirizzo ip uguale allindirizzo ip virtuale la priority si setta a 255!), il router invia un ADVERTISEMENT, invia un ARP Gratuito contenente lindirizzo MAC virtuale e lIp virtuale e passa allo stato di Master. Altrimenti passa allo stato di Backup Backup: quando il router in questo stato DEVE: - Non rispondere agli ARP Request per il virtual router - Scartare pacchetti inviati al MAC address virtuale - Non accettare pacchetti inviati allindirizzo Ip virtuale Master: quando il router in questo stato DEVE: - Rispondere agli ARP Request per il virtual router - Trasmettere i pacchetti che abbiano MAC di destinazione uguale al MAC Virtuale - Scartare pacchetti inviati allIp virtuale se non equivalente allindirizzo Ip proprio - Accettare pacchetti inviati allIp virtuale se equivalente allindirizzo Ip proprio. Comandi Enterasys per il VRRP:
ssr(config)# ip-redundancy interface interface create vrrp vrid

La quale di base composta da sei routers, che interconnettono due lan, la net A e la net F. Sui collegamenti seriali attivo un protocollo di routing dinamico. Cerchiamo di considerare alcune possibilit, prendendo come esempio un pc (A.100), fra i tanti presenti sulla lan, e che il flusso dati di maggiore entit di questo pc sia verso il server (F.100) presente sulla net F. ICMP REDIRECT In questo caso abbiamo che il dominio di routing dinamico viene esteso anche alle lan (si pu anche evitare usando opportune rotte statiche), e il pc e il server hanno configurato il Default Gateway. Normalmente il flusso traffico attraversa i routers R1, R3 e R5. Abbiamo le seguenti possibilit: 1) Guasto del router R3 o del link seriale R1R3 o R3R5: a) Dopo il tempo di convergenza del protocollo di routing (transiente), R1 e R5 inviano rispettivamente un ICMP Redirect e il flusso dati si sposta sul percorso alternativo: R2, R4 e R6.

(comando che crea un virtual router)

ssr(config)# ip-redundancy associate vrrp vrid interface interface address ipaddr/netmask


(comando che associa lindirizzo virtuale al virtual router)

b) Se invece si guasta o il router R1 o il router R5 o le loro interfacce lan, il flusso viene interrotto, anche se presente un percorso alternativo. Per esempio nella figura seguente a seguito di un guasto del router R5, il server

RETI E DINTORNI N 8

Pag. 10

(F.100) non ha ricevuto lICMP Redirect, mentre il router R1 ha aggiornato la sua tabella di routing ed ha inviato il ICMP redirect al pc (A.100), il quale a questo punto invia i pacchetti tramite R2, e arrivando al server, risponde (almeno finch lindirizzo ip di R5 presente nella cache arp) inviando i pacchetti di risposta al router defunto.

1) Guasto dei routers intermedi o dei link seriali di un percorso: a) Tempo di ripristino = tempo di convergenza del protocollo di routing 2) Guasto dei routers estremi del percorso o della loro interfaccia lan a) Tempo di ripristino = tempo di validit delle entry nella cache arp. IRDP & ICMP REDIRECT Nel caso di IRDP viene utilizzato il router con la preferenza maggiore. Nel nostro modello di riferimento, i router abilitati allIRDP sono R1, R2, R5 e R6. Inoltre si deve avere il routing dinamico esteso alle lan. Supponiamo che sulla net A il router il router con preferanza maggiore sia R2 e che sulla net F sia R6. Abbiamo le seguenti situazioni: 1) Nel caso di guasto di R2 (o R6), lIRDP permette lutilizzo del router con preferenza minore R1 (o R5). Mentre ICMP Redirect reindirizza il traffico verso R5 (o R1). 2) Nel caso di guasto del router R4 o delle linee seriali, soltanto lICMP Redirect che instrada il flusso dati sul percorso alternativo.

PROXY ARP Prendiamo in considerazione, nel caso del Proxy ARP, due pc A.100 e A.101, che hanno ognuno un flusso dati verso il server, supponiamo che i flussi siano come in figura. Consideriamo che sulle lan non sono presenti protocolli di routing. Allora abbiamo che a seguito di un guasto di un qualsiasi componente di un percorso (routers o link) il flusso che passava per quel percorso, passato il timeout della cache arp, passer per il secondo percorso. In figura abbiamo che dopo il guasto di R5, il flusso da A.100 passer per R2.

HSRP Supponiamo di avere HSRP abilitato sui router R1, R2, R5 e R6. Di default lHSRP disabilita linvio dei ICMP Redirect e quindi il dominio di routing dinamico pu non essere portato sulle lan. Supponiamo inoltre che i router HSRP siano configurati al tracking delle interfacce seriali. Abbiamo le seguenti situazioni possibili: PROXY ARP & ICMP REDIRECT Nel caso precedente, abbiamo supposto implicitamente una situazione simmetrica, cio che i due percorsi sostanzialmente abbiano lo stesso costo. Nel caso ci non sia vero necessario anche con il Proxy ARP abilitare il routing dinamico anche sulle lan (oppure avere pi collegamenti Wan di ridondanza, solo che questa soluzione pi costosa). Questo per evitare che siano utilizzati in modo casuale percorsi a bassa velocit. Portando il routing dinamico anche sulle lan, otteniamo uninteressante interazione con gli ICMP Redirect, infatti in questo caso otteniamo che in caso di guasto, il tempo di ripristino del flusso dati sul percorso alternativo dipende da:

RETI E DINTORNI N 8

Pag. 11

1) Guasto del router R3: in questo caso il tracking di R1 e R5, diminuisce la priorit del router e permette di far diventare active router i router R6 e R2, permettendo cos al flusso dati di usare il percorso alternativo. 2) Nel caso di un guasto sui link seriali, o delle interfacce ethernet di R1 o R5, o il guasto di R1 e R5, non riusciamo ad ottenere il fault tolerance.

Biblografia LAN Commutate John J. Roese, Mc Graw Hill TCP/IP Sidnie Feit, Mc Graw Hill Windows NT, guida alle reti Mondadori informatica SmartSwitch Router CLI Reference Manual Cabletron Systems Windows Registry Guide www.winguides.com BCMSN Corso Cisco CCIE Study Guide John Swartz, Todd Lammle, SYBEX Inc. CID Mike Crane, Cisco Press Cisco IOS IP and IP Routing Configuration Guide www.cisco.com www.rware.demon.co.uk RFC 792 RFC 816 RFC 1027 RFC 1058 RFC 1256 RFC 2281 RFC 2338

La situazione pu essere migliorata portando il dominio di routing dinamico anche sulle lan. In questo caso nelleventualit di un guasto sui link seriali, o delle interfacce ethernet di R1 o R5, o il guasto di R1 e R5, riusciamo ad ottenere il fault tolerance, ma con il prezzo di un ulteriore passaggio attraverso la lan.

HSRP & ICMP REDIRECT Si pu migliorare la situazione precedente abilitando lICMP Redirect tramite il comando Standby redirects disable, in questo modo permesso lo reindirizzamento anche nello stesso standby group. In questo caso il server F.100, a seguito del guasto sulla net B, trasmetter i dati direttamente al router R6, evitando di passare inutilmente per R5. HSRP & PROXY ARP Abbiamo detto che abilitando lHSRP, soltanto il virtual router abilitato al Proxy Arp. Quindi anche se possiamo utilizzarlo, nel nostro modello di riferimento, non ci aiuta ad aumentare lefficienza del faulttolerance. R. Gaeta Ringrazio L. Natale per gli esperimenti di laboratorio.

RETI E DINTORNI N 8

Pag. 12

WIRELESS LAN
Nel 1896 Guglielmo Marconi invent il telegrafo senza fili, e in una stupefacente dimostrazione, prov la possibilit di trasmettere informazioni, attraverso le onde elettromagnetiche, al di l delloceano. Questa prova f stupefacente, anche perch, molti illustri scienziati dellepoca, ritenevano impossibile una trasmissione del genere. Ma Marconi f anche fortunato, perch non sapeva dellesistenza della Ionosfera che si comporta come uno specchio per certi valori di frequenza elettromagnetica, e grazie anche al fatto che il trasmettitore utilizzato era di potenza sufficiente (minimo 50 Watt), e soprattutto era anche un generatore di armoniche impressionante. Ma cosa sono le onde elettromagnetiche, e quali sono le loro caratteristiche basilari? ONDE ELETTROMAGNETICHE Le onde elettromagnetiche consistono in una variazione del campo elettrico e da una variazione del campo magnetico perpendicolare al campo elettrico. Queste onde viaggiano a una velocit che dipende dal mezzo che attraversano, in aria la velocit quasi uguale a c 300.000 Km/s.

La cosa interessante delle onde elettromagnetiche che onde a frequenze diverse possono coesistere nello stesso spazio e nello stesso tempo senza nessuna interferenza fra loro (infatti la luce che un onda elettromagnetica non interferisce, per esempio con le onde radio!):

Mentre onde con medesima frequenza presenti nello stesso spazio e nello stesso tempo interferiscono fra loro. La propagazione multipercorso (multipath) di unonda elettromagnetica dipende dai seguenti fattori:

(In figura R=Riflessione; D=Diffrazione; S=Scattering) 1) Riflessione: quando unonda elettromagnetica incontra una superficie di diametro maggiore alla lunghezza donda, avviene leffetto della riflessione. a) Comunque una percentuale di energia dellonda
elettromagnetica, che dipende dal materiale e dalla frequenza dellonda, viene assorbita dal materiale stesso, e in alcuni casi, trasmessa al di l del mezzo stesso (Rifrazione).

Esse si distinguono fra loro tramite il valore della frequenza dato dal rapporto fra la velocit di propagazione dellonda e il periodo delloscillazione:

2) Diffrazione: quando unonda elettromagnetica incontra uno spigolo di un materiale di dimensioni maggiori alla lunghezza donda, avviene leffetto della diffrazione. 3) Scattering: quando unonda elettromagnetica incontra unoggetto di dimensioni paragonabili o minori alla lunghezza donda, avviene lo scattering. ISM Frequency Le frequenze ISM (Industrial, Medical e Scientific) sono tre bande di frequenza dove non richiesto, per trasmettere, il pagamento di una licenza.

La seguente figura mostra in modo schematico la classificazione delle onde elettromagnetiche

RETI E DINTORNI N 8

Pag. 13

pregi e difetti delle tre bande sono descritti nella seguente tabella:

IEEE 802.11 Lo standard IEEE802.11 stato ratificato nel 1997 e definiva lutilizzo di due tipi di onde elettromagnetiche: 1) Infrarossi: lunghezza donda compresa fra 850 nm e 950 nm e velocit di 1 e 2 Mb/s 2) Radiofrequenze: sono definite due tecnologie di trasmissione: a) FHSS (Frequency Hopping Spread Spectrum); banda di frequenze utilizzate 2,4 GHz ISM; velocit di 1 e 2 Mb/s b) DSSS (Direct Sequence Spread Spectrum); banda di frequenze utilizzate 2,4 GHz ISM; velocit di 1 e 2 Mb/s IEEE 802.11a Standard ratificato nel 1999. Utilizza la banda di frequenze 5 GHz ISM e sono definite le seguenti velocit di trasmissione: 6, 9 , 12, 18, 24, 36, 48, 54 Mb/s. Viene utilizzata la tecnologia di trasmissione OFDM. (Sviluppo futuro 100 Mb/s). IEEE 802.11b Standard ratificato nel 1999. Utilizza la banda di frequenze 2,4 GHz ISM e sono definite le seguenti velocit di trasmissione: 5,5 Mb/s e 11 Mb/s. Viene utilizzata soltanto la tecnologia di trasmissione DSSS. (Sviluppo futuro 22 Mb/s).

TECNOLOGIE SPREAD SPECTRUM La tecnologia di trasmissione Spread Spectrum nasce durante la seconda guerra mondiale, come metodo per evitare le interferenze radio che utilizzavano i tedeschi per disturbare la radio guida dei missili sottomarini. Lidea della tecnologia Spread Spectrum per non venne n ai militari n a degli scienziati incalliti, ma bens allattrice Hedy Lamar (vedi foto a fianco) e al compositore George Antheil. Vediamo le due tecnologie Spread Spectrum utilizzate dallIEEE 802.11. FHSS: Frequency Hopping Spread Spectrum, si basa sulla trasmissione su 79 frequenze diverse, in sequenza ciclica. La trasmissione su singola frequenza dura 400 ms e dopo 31,6 sec il ciclo ricomincia.

Lo standard 802.11 ha definito 26 sequenze di trasmissione, e sono state studiate per ottenere il minimo di interferenza quando pi trasmettitori FHSS condividono lo stesso spazio. Nel caso di un pacchetto perso, esso verr ritrasmesso alla prossima frequenza di hop. Per questo motivo questa tecnica molto affidabile rispetto alla distorsione multipercorso. DHSS: Direct Sequence Spread Spectrum si basa sulla trasmissione su uno dei 13 canali definiti dallo standard (11 negli Stati Uniti). In figura si vede la distribuzione dei canali (ognuno 22 MHz di Banda) e della loro larghezza di banda:

Notate che possiamo avere al massimo solo tre gruppi con tre canali che non si sovrappongono, e sono: - Gruppo 1: Canali 1, 6 e 11 - Gruppo 2: Canali 2, 7 e 12 - Gruppo 3: Canali 3, 8 e 13

RETI E DINTORNI N 8

Pag. 14

Inoltre per diminuire i problemi dovuti alle interferenze o rumori che modificano i dati trasmessi, ogni bit viene trasformato in un chip, cio una sequenza di bits con ridondanza elevata:

lo

ritrasmette.

SCALABILITA Il throughput massimo possibile, dipende dalla velocit utilizzata, dalla tecnologia di trasmissione e dal numero di trasmettitori (denominati formalmente Access Point):

3) Se invece il mezzo occupato: a) La stazione trasmittente elabora unalgoritmo di Backoff similare a quello utilizzato in ethernet. La figura seguente mostra lalgoritmo relativo:

con la tecnica FHSS e 15 access points e alla velocit di 2 Mb/s, otteniamo un throughput massimo di 17 Mb/s, mentre con soli 3 access points che trasmettono alla velocit di 11 Mb/s DSSS, otteniamo un throughput massimo di 33 Mb/s. CSMA/CA Il protocollo utilizzato a livello MAC CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) che una variazione rispetto al protocollo CSMA/CD utilizzato su ethernet. Ci significa che attualmente la trasmissione wireless IEEE 802.11a utilizza la modalit Half Duplex. Quindi dobbiamo considerare i client wireless che si collegano a un access point, come dei PCs che si collegano a un Hub. La tecnica per accedere al mezzo consiste nelle seguenti fasi: 1) Il client che deve trasmettere invia per primo un pacchetto molto corto denominato RTS (Request to Send), il quale contiene lindirizzo della destinazione e del mittente ed in pi unindicazione della durata del messaggio che deve trasmettere. 2) Se il mezzo libero: a) il ricevitore risponde trasmettendo un pacchetto CTS (Clear to Send), e il client pu cominciare a trasmettere il messaggio. b) La stazione ricevente il messaggio verifica che sia ricevuto corretamente. Se il messaggio non alterato risponde con un ACK. c) Se la stazione trasmittente non riceve un ACK, ritiene che il messaggio stato perso e

(il significato dellacronimo IFS spiegato in seguito) FRAMMENTAZIONE Nellarticolo Efficienza, Errori e Pacchetti pubblicato in Reti e Dintorni n4, viene affrontato il problema del Throughput in funzione del BER del mezzo e del RTT. Si era visto che per BER alti conviene trasmettere pacchetti di dimensione corta. Il mezzo trasmissivo wireless pu avere un BER dellordine di 10-5 che elevato in confronto con il BER di 10-10 di un mezzo trasmissivo UTP. Per questo la wireless pu utilizzare la frammentazione a livello MAC. IFS (Inter Framing Spacing) Esistono quattro tempi IFS: 1) SIFP (Short Inter Frame Spacing): corrisponde al massimo tempo che un trasmettitore attende per ricevere le risposte dal ricevitore (ACK o CTS).

RETI E DINTORNI N 8

Pag. 15

2) PIFS (Point Coordination Inter Frame): il tempo utilizzato dallAccess Point per guadagnare laccesso al mezzo prima di ogni altra stazione. (PIFS = SIFP + 78 s). 3) DIFS (Distributed Inter Frame Spacing): il tempo che aspetta un client prima di iniziare a trasmettere. (DIFS = PIFS + 128 s). 4) EIFS (Extended Inter Frame Spacing): il tempo che un client deve aspettare, se esso non ha interpretato (pacchetto corrotto) il tempo specificato e permesso per la trasmissione dallaccess point. PROCESSO DI ASSOCIAZIONE Quando un client prova a connettersi a una WLAN, esso deve eseguire tre passaggi importanti: 1) Scelta dellaccess point di entrata: a) Il client pu utilizzare due metodi: i) Passive scanning: il client attende le Beacon frames inviate dagli AP. Queste sono inviate periodicamente. ii) Active scanning: il client invia una Probe Request Frame in broadcast. Gli Aps rispondono con un Probe Response Frame, la quale contiene informazioni che permette al client di scegliere lAP di accesso migliore. 2) Autenticazione: a) Il client invia unAuthentication Request allAP selezionato. (contenente per esempio la stringa SSID). b) LAP autentica il client, ed invia un ACK. 3) Associazione: a) Una volta autenticato, il client, invia un Association Request. b) Le caratteristiche del client sono registrate sullAP e viene inviato un ACK. Da questo momento il client pu iniziare a trasmettere e ricevere dati.

la LAN Ethernet tutti i pacchetti presenti ancora nel buffer, relativi a quel client, dellAP che st per essere abbandonato.

SICUREZZA Il problema della sicurezza con le reti wireless particolarmente importante, in quanto le onde elettromagnetiche non vengono confinate allinterno degli edifici. Infatti chiunque sia in possesso di un portatile con scheda wireless 802.11b compatibile, posto in vicinanza del nostro ufficio, anche se allesterno, pu entrare in rete e fare ci che vuole. Per evitare una cos spiacevole evenienza, il comitato 802.11 prevedeva le seguenti modalit di sicurezza: 1) SSID (Service Set Identifier): L'SSID un parametro configurabile che deve essere identico sia sul client e sia sull'AP. una stringa di 32 caratteri ASCII. Questo valore controllato dal processo di associazione. Se un client non possiede lSSID corretto non si pu associare. GLI SSID servono anche a segmentare logicamente gli utenti e gli AP. a) Secondo le specifiche 802.11, un AP pu trasmettere (se
configurato in questa modalit) in broadcast il suo SSID. In questo caso durante il processo di associazione, qualsiasi client con nessun valore entro il campo SSID, richieder che gli AP trasmettino il loro SSID. Se l'AP cos configurato, trasmetter l'SSID al client, il quale user poi questo SSID per associarsi all'AP. Per queste ragioni, l'SSID deve essere considerato una caratteristica di sicurezza di basso livello.

2) AUTENTICAZIONE TRAMITE MAC: manualmente possono essere configurati i MAC address abilitati ad entrare sulla wireless lan. a) Questo metodo pu essere accettabile se i client che
devono accedere sono al massimo una decina, perch altrimenti la gestione di queste tabelle diventa complicata.

3)

ROAMING il processo che permette, durante il movimento del client, di riassorciarsi a un altro AP. Il client sempre in ascolto dei Beacons inviati dagli APs, e valuta continuamente se esiste un AP meno utilizzato o con maggiore potenza di segnale. Per un roaming di tipo soft, quando il client st per essere riassociato a un altro AP esso riceve attraverso

WEP (Wired Equivalency Privacy): WEP basato sul metodo di criptaggio RC4. Usando questo metodo sia il client sia l'AP condividono chiavi di WEP statiche. Questa chiave controllata durante il processo di autenticazione. Se la chiave di WEP del client non uguale a quella dell'AP, il client non si pu connettere alla rete.
a) RC4 permette criptaggio fino a 128-bit. IEEE 802.11 ha scelto di usare chiavi a 40-bit. Molti venditori come Lucent e Cisco Aironet possono utilizzare chiavi fino a 128-bit. La modalit di distribuzione e negoziazione delle chiavi non trattata dallo standard. 802.11 definisce due modalit di funzionamento per il WEP.
i) Un metodo chiamato "Key Mapping" dove solamente alcuni client hanno la chiave e gli altri client stabiliscono una relazione con questi client per imparare le chiavi.

b)

RETI E DINTORNI N 8

Pag. 16

ii) c)

Nel secondo metodo una collezione di chiavi pu essere configurata su ciascuno AP o client.

WEP pu usare due metodi di autenticazione: Open Authentication e Shared Key Authentication:

i)

OPEN AUTHENTICATION: Questo metodo permette autorizzazioni e associazioni con o senza una chiave di WEP. Si tenga in mente che la testata del pacchetto non criptata, solamente il payload (o dati) criptato. Una volta che il client associato, la trasmissione dei dati comincia, un cliente che usa la chiave WEP giusta, trasmetter i dati senza problemi, mentre se non viene usata una chiave WEP oppure non quella giusta il client impossibilitato a trasmettere i dati.

b) Supporto RADIUS per AAA (Authentication, Authorization, Accounting) centralizzata. c) Supporto per Roaming in spazi pubblici. d) Chiavi WEP dinamiche.

5)

e) WDMZ (Wireless DeMilitarized Zone): unopportuna progettazione di una WLAN, che permetta una sicurezza il pi possibile elevata, quella di considerare sempre una WLAN come se fosse un collegamento su Internet, e quindi utilizzare oltre alle tecniche prima esemplificate, le ulteriori possibilit:
a) b) c) Utilizzo delle VPN. Collegamento della LAN dove sono collegati gli APs, su una DMZ di un firewall Utilizzo di unIDS (Intrusion Detection System).

ii)

SHARED KEY AUTHENTICATION: Con questo metodo un client deve usare una chiave WEP. Il client va attraverso il processo dell'autenticazione normale. Una volta che il client autenticato, un pacchetto non criptato (challenge) spedito al client. Il client allora cripta il pacchetto e lo riinvia all'AP. Il criptaggio viene controllato con il risultato ottenuto dall'AP medesimo. Se la chiave corretta allora al client permesso di associarsi all'AP e cominciare a spedire dati. Shared Key Authentication considerata meno sicura rispetto alla OPEN Authentication a causa del pacchetto challenge. Poich questo pacchetto spedito non criptato e viene riinviato criptato, pu essere possibile catturare abbastanza di questi pacchetti per rompere il criptaggio utilizzato.

d)

Pu sembrare che la sicurezza tramite il WEP sia ottima (invero fornisce la stessa sicurezza di una trasmissione dati non criptati su cavo o fibra). In realt essa presenta i seguenti difetti: i) Autenticazione a una sola via (AP autentica il client ma il client non autentica lAP) ii) Non possibile generare in modo dinamico le chiavi iii) Non esiste integrazione con i metodi di autenticazione gi esistenti iv) Le chiavi una volta definite sono statiche e possono essere cambiate solo manualmente v) Per ulteriori informazioni vedi: Intercepting Mobile Communications The Insecurity of 802.11 scritto da Nikita Borisov et al. UC Berkeley. ( www.isaac.cs.berkeley.edu/isaac/mobicom.pdf ).

TOPOLOGIE DELLE WLAN Abbiamo sostanzialmente due possibilit: - Wireless Networking: che si occupa della connettivit dei client mobili, e del posizionamento degli AP, allinterno degli edifici; - Wireless Bridging: che si occupa del collegamento wireless tra edifici; Wireless Networking: A livello topologico abbiamo le seguenti possibilit/problematiche: - Site Survey: posizionamento e scelta dei canali da utilizzare per gli AP da installare allinterno di unedificio.

4) IEEE802.1X: questo standard rappresenta unottima soluzione ai problemi prima esposti, esso infatti offre: a) Autenticazione EAP tramite server RADIUS

RETI E DINTORNI N 8

Pag. 17

Wireless Repeater Cell: unAP non collegato direttamente alla LAN pu essere utilizzato come repeater, e in questo si pu estendere il range di copertura della WLAN. Logicamente il Troughput diminuisce sensibilmente.

senza lausilio di unAP e quindi di una struttura come una LAN. Questa tipologia ottima per esempio per piccoli uffici, i quali in questo modo evitano linstallazione del cablaggio.

Hot Standbye: in caso di guasto di unAP, una cella perde completamente la copertura. Per evitare questo si pu utilizzare un secondo AP, posto vicino al primo, che sia configurato in Hot Standbye. Esso ascolta in WLAN e in LAN se il primo AP attivo, e nel caso non lo sia, esso stesso diventer attivo e sostituir il primo AP guasto/spento. La configurazione del secondo AP deve essere identica al primo (tranne per il fatto che il secondo configurato Hot Standbye).

R. Gaeta Biblografia Wireless Lan Corso Cisco Wireless Cisco la libert in movimento Cd Cisco Networkers 2000 Cisco - 2307Introduction to Wireless Technology - 2309Deploying Wireless LAN infrastructure - 2902Design Principles for Fixed Wireless Access Solutions

Root Mode / No Root Mode(Repeater): un AP di default configurato in modalit Root, ci significa che accetter associazioni dai client e da AP configurati in modalit No Root, ma verranno rifiutate le associazioni da altri AP configurati come Root

Attenzione che se per caso un AP No Root collegato sulla LAN, si forma un loop. Ad Hoc Mode: anche possibile avere un collegamento peer-to-peer fra i client wireless,

RETI E DINTORNI N 8

Pag. 18

BREVI DAL FRONTE


Questo breviario intende raccogliere notizie tecniche dal fronte delle installazioni e dalle problematiche riscontrate e risolte sulle reti che abbiamo in manutenzione. Potete inviare le vostre notizie, alle-mail:

rgaeta@tecnonetspa.it AUTONEGOZIAZIONE: se si riscontrano problemi di troughput, di perdita di pacchetti e rallentamenti vari, prima di fare ipotesi di qualsiasi tipo disabilitate lautonegoziazione sia sulla scheda del PC/server sia sulla scheda dello Switch/Router, e cio fissate in modo manuale la velocit e il tipo di duplex da utilizzare. Se siete curiosi di capire se lautonegoziazione d problemi, controllate le statistiche dello switch/router e se sono presenti collisioni ritardate siete sicuri che lautonegoziazione st dando problemi, se invece riscontrate FCS errati in quantit notevole questo un altro indizio (meno sicuro del primo!). COME RISOLVERE IL RITARDO, DA QUANDO IL LINK E ATTIVO, DI 15-20 sec. NELLA TRASMISSIONE DEI PACCHETTI, NELLA FAMIGLIA SWITCH CATALYST CISCO: gli switch Catalyst delle serie 4000, 5000, 6000 e i 2926G, 2948G, 2980G, appena il link su una porta si attiva, non iniziano a trasmettere immediatamente i pacchetti, infatti ogni porta di default ha abilitato lo spanning tree, la negoziazione dellEtherchannel e la negoziazione del trunking Vlan. Anche se Cisco consiglia di usare il comando portfast per accelerare la trasmissione dei pacchetti, in realt ci in molti casi non basta e si deve usare il macro comando set port host mod/num il quale abilita il portfast, e disabilita le altre due negoziazioni. SI POSSONO CONFIGURARE PIU PORTE SPAN SULLO STESSO CATALYST?: Lo Switched Port Analyzer (SPAN) permette di copiare il traffico proveniente da alcune porte sorgenti o da intere Vlan verso una porta detta di monitoring. Per esempio il seguente comando: set span 6/1, 6/3-5 6/2 copia il traffico entrante e uscente dalle porte 6/1, 6/3, 6/4 e 6/5 sulla porta 6/2. Notare che indifferente se le porte sorgenti appartengono a Vlan differenti. Si pu inoltre copiare lintero traffico delle Vlan sulla porta di monitoring. Per esempio il seguente comando: set span 2,3 6/2 copia lintero traffico della Vlan 2 e Vlan 3 sulla porta 6/2. importante notare che la porta sorgente pu anche essere una porta trunk ISL o 802.1Q. Se si desidera creare pi di una porta SPAN su uno stesso apparato si deve usare il comando set span [source_mod/source_port | source_vlan] [destination_port][rx | tx | both] create. Se viene utilizzato il comando senza utilizzare la parola chiave create la precedente sessione span viene eliminata. Limitazioni dello SPAN: La prima sessione SPAN copia il traffico entrante (rx) e uscente (tx) (si definisce both = rx + tx) dalle porte definite come sorgenti o dalle Vlan definite come sorgenti. Sul Catalyst 4000 e Catalyst 5000 possono essere configurate contemporaneamente 5 sessioni SPAN. Di cui solo una pu essere rx o both e le altre quattro devono essere tx. Di default se non configurato esplicitamente la prima sessione SPAN di tipo both. Vuole dire che la seconda sessione dovr essere di tipo tx. Esplicitiamo qualche esempio valido di configurazione di sessione multipla SPAN: Configurazione 1: il traffico both delle vlan 2 e 3 sono copiate sulla porta 6/2, e il traffico tx delle vlan 1 e 4 sono copiate sulla porta 6/3. Set span 2,3 6/2 Set span 1,4 6/3 tx create Configurazione 2: il traffico tx delle vlan 2 e 3 sono copiate sulla porta 6/2, il traffico both delle vlan 1 e 4 sono copiate sulla porta 6/3 e il traffico tx della vlan 5 copiato sulla porta 6/4. Set span 2,3 6/2 tx Set span 1,4 6/3 both create Set span 5 6/4 tx create La porta di destinazione utilizzata per lo SPAN, di default disabilita la ricezione di pacchetti dallesterno. Quindi se per esempio si utilizza un PC come analizzatore di protocollo, il PC potr analizzare i pachetti ricevuti dalla porta SPAN, ma sar isolato dalla rete in quanto gli eventuali pacchetti che il PC invia per entrare in rete saranno scartati dalla porta SPAN. Se si vuole che il PC possa anche entrare in rete si devono usare le parole chiavi inpkts enable. Esempio: il traffico both delle vlan 2 e 3 sono copiate sulla porta 6/2 la quale deve abilitare il traffico in ingresso, e il traffico tx delle vlan 1 e 4 sono copiate sulla porta 6/3 la quale deve abilitare il traffico in ingresso: Set span 2,3 6/2 tx inpkts enable Set span 1,4 6/3 tx inpkts enable create

RETI E DINTORNI N 8

Pag. 19

INDICE VOLUME I
RETI E DINTORNI N1 (Marzo 2001) Interconnessione di reti locali pag. 3 aut. R. Gaeta Comandi di configurazione pag. 7 aut. R.Gaeta Il livello transport di Internet pag. 9 aut. R. Gaeta Generalit sui comandi per i router Cisco pag. 12 documento trovato da L. Cupini RETI E DINTORNI N2 (Aprile 2001) Firewall pag. 2 aut. R. Gaeta DHCP pag. 5 aut. R. Gaeta Voice Over IP pag. 32 aut. N. Memeo Architettura dei Routers pag. 7 aut. R. Gaeta RETI E DINTORNI N3 (Maggio/Giugno 2001) Ip Security pag. 2 aut. G. Grassi Ip Security su Nortel Network pag. 11 aut. G. Grassi Installazione e configurazione NOKIA IP pag. 16 aut. M. Scapellato Introduzione alla progettazione pag. 24 aut. R. Gaeta RETI E DINTORNI N4 (Luglio/Agosto 2001) Information security pag. Scapellato 2 aut. M. RETI E DINTORNI N7 (Novembre/Dicembre 2001) La sicurezza pag. 4 aut. R. Gaeta Configurazione iniziale dellinterfaccia E1, PRI e BRI su routers Cisco pag. 22 aut. R. Gaeta ATM pag. 25 aut. R. Gaeta RETI E DINTORNI N8 (Gennaio/Febbraio 2002) Fault-tolerance su topologie BMA (Broadcast Multi Access) pag. 4 aut. R. Gaeta Wireless lan pag. 12 aut. R. Gaeta RETI E DINTORNI N 5 (Settembre 2001) Lan virtuali pag. 2 aut. R. Gaeta Internet Addressing pag. 5 aut. R. Gaeta Principi di Routing pag. 10 aut. R.Gaeta Protocolli di Routing pag. 18 aut. R. Gaeta RETI E DINTORNI N6 (Ottobre 2001) ISDN pag. 2 aut. R. Gaeta PPP pag. 27 aut. R. Gaeta Analisi di protocollo di una chiamata ISDN pag. 30 aut. R. Gaeta

Efficienza, errori e pacchetti pag. 9 aut. R. Gaeta