Networking Academy

un hub (letteralmente in inglese fulcro, mozzo, elemento centrale) rappresenta un concentratore, un dispositivo di rete che funge da nodo di smistamento di una rete di comunicazione dati organizzata prevalentemente a stella.

Nel caso, molto diffuso, delle reti Ethernet, un hub è un dispositivo che inoltra i dati in arrivo da una qualsiasi delle sue porte su tutte le altre. Per questa ragione può essere definito anche un “ripetitore multiporta”.

Questo permette a due dispositivi di comunicare attraverso l’hub come se questo non ci fosse, a parte un piccolo ritardo nella trasmissione. La conseguenza del comportamento dell’hub è che la banda totale disponibile viene ridotta ad una frazione di quella originaria, a causa del moltiplicarsi dei dati inviati.

Vi sono tre categorie di Hub:

-Gli Hub Attivi: (ormai la grande maggioranza dei dispositivi in commercio sono di questo tipo), essi necessitano di alimentazione, poiché amplificano il segnale affinché non arrivi troppo debole a destinazione.

-Gli Hub Passivi: Non fanno la funzione di “amplificatore di segnale”, quindi non necessitano di alimentazione. Si limitano solo a connettere fisicamente i cavi.

-Gli Hub Ibridi: Sono particolari ed avanzati hub che permettono il collegamento tra piu’ tipologie di cavo.

 

E’ necessario prestare attenzione in tali casi: -> Esempio: Lo standard 10BASET prevede che la lunghezza del cavo UTP non superi i 100 metri.

Generalmente usando un Hub attivo e facendo uso dello standard 10BASET possiamo usare una coppia di cavi entrambi lunghi sui 100 metri, interconnessi dall’hub stesso, superando quindi il limite dei 100 metri teorici secondo tale schema: PC—–[HUB ATTIVO]—–PC (cavi rappresentati sotto tratteggio). Questo è possibile perché l’hub attivo amplifica il segnale, portandolo a destinazione con un’intensità tutto sommato buona. Tale tipo di interconnessione non è attuabile mediante hub passivo, poiché i due spezzoni di cavo verrebbero interconnessi senza amplificazione, ed il risultato finale sarebbe non diverso dall’avere un cavo lungo il doppio del massimo previsto dallo standard, connettente pc e pc: il segnale potrebbe arrivare troppo debole, o non arrivare proprio.

 

Il ritardo introdotto da un hub è generalmente di pochi microsecondi, quindi quasi ininfluente.

La semplicità del comportamento di un hub ne fa uno dei componenti più economici per costruire una rete. Uno switch, che si comporta in modo simile ad un hub ma con una maggiore intelligenza, in modo da non sprecare gran parte della banda, è leggermente più complicato e costoso.

Un hub non ha bisogno di riconoscere i confini dei dati che lo attraversano, quindi è considerato un dispositivo di livello 1 (fisico) nel modello OSI in quanto ritrasmette semplicemente i segnali elettrici e non entra nel merito dei dati.

Nel gergo delle reti Ethernet, un hub crea un unico dominio di collisione unendo tutti i calcolatori o le reti connessi alle sue porte, ovvero se due calcolatori collegati a porte diverse trasmettono contemporaneamente, si verifica una collisione e la trasmissione deve essere ripetuta. Infatti l’hub non distingue i segmenti di LAN e ritrasmette tutti i segnali che riceve. Ciò crea anche delle limitazioni al numero di nodi che si possono connettere nella LAN vista nella sua complessità. Inoltre, a causa di questa sua semplice funzione, non è possibile connettere segmenti Ethernet di tipologia e di velocità diversa in quanto l’hub non è neanche fornito di buffer. In pratica la LAN nel suo complesso va vista come un’unica rete.

Le ACL (Access Control List) sono una lista di istruzioni applicate alle interfacce del router. Queste istruzioni indicano al router quali pacchetti accettare e quali scartare in base alle specifiche delle ACL.

Le ACL possono essere standard, Standard ACL, oppure estese, Extended ACL. Le prime specificano delle limitazioni ai pacchetti guardando esclusivamente l’indirizzo della sorgente e vanno posizionate sull’interfaccia del router il più possibile vicino alla destinazione finale. Le seconde, invece, pongono le limitazioni ai pacchetti in base a molte specifiche, come il protocollo usato, l’indirizzo di sorgente, l’indirizzo di destinazione e la porta a cui è indirizzato il pacchetto.

Le ACL possono essere usate per tutti i routed protocol, come IP, IPX, Apple Talk e forniscono un alto livello di protezione evitando di instradare il traffico non consentito, risparmiando in questo modo anche l’utilizzo della bandwidth.
Le ACL sono applicate per molteplici ragioni:

• Limitare il traffico sulla rete e di conseguenza aumentare le performance

• Controllare il flusso di pacchetti sulla rete

• Assicurare un livello di sicurezza

• Filtrare il tipo di traffico

Le ACL sono applicate alle interfacce del router e vengono processate in sequenza.

Il pacchetto arriva al router, se è presente una ACL sull’interfaccia in ingresso il pacchetto viene processato in base a queste condizioni; dopodiche, se viene trovata una corrispondenza, vengono processate le voci della tabella di routing e infine inoltrato verso l’interfaccia di destinazione, la quale può aver applicato altre ACL.
I passi per usare una ACL sono estremamente semplici:

• Creazione ACL
• Applicazione ACL sull’interfaccia

Le ACL come già detto si dividono in Standard ACL e Extended ACL.
Cisco assegna questa numerazione per le ACL:

• 1-99 Standard ACL
• 100-199 Extended ACL
• 600-699 AppleTalk ACL
• 800-899 IPX ACL
• 900-999 IPX Extended ACL
• 1000-1099 IPX Service Advertising Protocols

 Access List Standard:

Le ACL standard vengono utilizzate per bloccare o permettere il traffico da una rete o da un host specifico o per negare una suite di protocolli. L’aspetto fondamentale delle ACL standard è che il controllo viene esclusivamente effettuato sull’indirizzo sorgente.

La sintassi del comando per i router Cisco è

Router(config)# access-list access-list number {permit|deny} source [source wildcard] [log]

dove

Parametri	Descrizione
Access-list-number	Numero della ACL. Ne indica il nome e il tipo (es. da 1 a 99 per le ACL IP standard)
Permit	Permette l’accesso se le condizioni sono soddisfatte
Deny	Nega l’accesso se le condizioni sono soddisfatte
Source	Indirizzo sorgente del pacchetto
Souce wildcard	(Optional) La wildcard mask che deve essere applicata all’indirizzo sorgente
Log	(Optional) Attiva i messaggi di log. Questi comprendono l’indirizzo sorgente, il numero di pacchetti e l’esito del controllo (permit o deny). I log vengono generati a intervalli di 5 minuti.

 

Per eliminare una ACL bisogna utilizzare il comando

Router(config)# no access-list access-list number

Una volta definite le condizioni si deve applicare la ACL all’interfaccia desiderata, secondo la seguente sintassi:

Router(config-if)# ip access-group access-list number {in|out}

I parametri utilizzati sono descritti di seguito:

Parametri	Descrizione
Access-list-number	Indica il numero della ACL che deve essere legata all’interfaccia.
In|out	Specifica se la ACL va applicata all’interfaccia in entrata o in uscita. Una ACL in input fa sì che il router applichi prima la ACL e poi effettui il routine, mentre in output prima il routine e poi la ACL. Se non è specificato, per default è out.

 

ESEMPI DI ACL STANDARD

 

 

interface ethernet 0

ip access-group 1 out

interface Ethernet 1

ip access-group 1 out

Esempio n. 2: negare il traffico da un host specifico

In questo esempio viene bloccato sull’interfaccia E0 esclusivamente il traffico proveniente dall’host 172.16.4.23.

access-list 2 deny 172.16.4.23 0.0.0.0

access-list 2 permit 0.0.0.0 255.255.255.255

(access-list 2 deny any – implicito, non visibile nella lista)

interface ethernet 0

ip access-group 2 out

 

ACCESS LIST ESTESE:

Le ACL estese forniscono una maggiore flessibilità e controllo se paragonate a quelle standard. Le ACL estese, infatti, possono effettuare il controllo non solo sull’indirizzo del mittente, ma anche su quello del destinatario, su uno specifico protocollo, sul numero di porta o su altri parametri.

Il controllo effettuato sul protocollo merita una precisazione; infatti, sebbene le ACL standard permettano di negare o no un’intera suite di protocolli (es. IP, …) (eseguendo il controllo su un’intera rete come fanno le ACL standard, si effettua di conseguenza anche il controllo sul protocollo di comunicazione utilizzato), non permettono di gestirne singolarmente le varie componenti. Al contrario le ACL estese possono effettuare controlli sui singoli protocolli che compongono la suite (es. ICMP, …).

 

 

Configurazione di un’ACL Estesa

Per definire un’ACL Estesa sui router Cisco entrare in configuration mode ed eseguire i seguenti passi:

1. Definire l’ACL secondo la sintassi:

Router(config)# access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [operator operand] [established] [precedence precedence] [log]

Parametri	Descrizione
Access-list-number	Numero dell’ACL. Ne indica il nome e il tipo (es. da 100 a 199 e da 2000 a 2699 per le ACL IP Estese). E’ importante ricordare che le ACL estese utilizzano access-list number differenti da quelli utilizzati dalle standard, anche se riferiti allo stesso protocollo.
Permit	Permette l’accesso se le condizioni sono soddisfatte
Deny	Nega l’accesso se le condizioni sono soddisfatte
Protocol	Il protocollo di comunicazione; es. IP, TCP, UDP, ICMP, IGRP, …
Source e Destination	Indirizzo del mittente e  del destinatario.
Souce-wildcard e Destination-wildcard	La wildcard mask che deve essere applicata all’indirizzo sorgente e a quello di destinazione.
Operator operand	Un operatore logico: lt, gt, eq, neq, range (less than, greater than, equal, not equal, range) e il numero o il nome della porta TCP o UDP (vedi Tabella n.1). Nel caso dell’operatore range occorre inserire due valori operand (es. range 21 25)
Established	(Optional) Si utilizza solo con il protocollo TCP: indica una “estabilished connection”. Il controllo viene effettuato solo se il datagramma ha settato il bit di ACK o RST, mentre non ci sono controlli sul pacchetto iniziale per stabilire la connessione.
Precedence	(Optional) Indica un numero da 0 a 7, che specifica la precedenza del pacchetto rispetto a un altro (Queuing).
Log	(Optional) Attiva i messaggi di log. Questi comprendono l’indirizzo sorgente, il numero di pacchetti e l’esito del controllo (permit o deny). I log vengono generati a intervalli di 5 minuti.

1. Applicare l’ACL a una o più interfacce:

Router(config-if)# ip access-group access-list number {in|out}

Parametri	Descrizione
Access-list-number	Indica il numero della ACL che deve essere legata all’interfaccia.
In|out	Specifica se la ACL va applicata all’interfaccia in entrata o in uscita. Un’ACL in input fa sì che il router applichi prima l’ACL e poi effettui il routing, mentre in output prima il routing e poi l’ACL. Se non è specificato, per default è out.

Nota:    Per cancellare un ACL o rimuoverla da un’interfaccia del Router occorre utilizzare  rispettivamente i seguenti comandi:

Router(config)# no access-list access-list number

Router(config-if)# no ip access-group access-list number

E’ consigliabile, prima di cancellare un’ACL, rimuoverla da tutte le interfacce.

Valore Decimale	Keyword	Descrizione	TCP/UDP
20	FTP-DATA	FTP (data)	TCP
21	FTP	FTP	TCP
23	TELNET	Terminal connection	TCP
25	SMTP	SMTP	TCP
42	NAMESERVER	Host Name Server	UDP
53	DOMAIN	DNS	TCP/UDP
69	TFTP	TFTP	UDP
70		Gopher	TCP/IP
80		WWW	TCP

Port-Numbers

ESEMPI DI ACL ESTESE

 

Figura 1

Esempio n. 1:  negare il traffico FTP da una determinate rete o sottorete

Questo esempio dimostra come bloccare esclusivamente il traffico FTP.

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 permit ip 172.16.4.0 0.0.0.255 any
(access-list 101 deny any any – implicito, non visibile nella lista)

interface ethernet 0
ip access-group 101

Esempio n. 2: permettere esclusivamente l’invio di E-mail

In questo esempio viene bloccato sull’interfaccia E0 tutto il traffico a esclusione della posta elettronica.

access-list 102 permit tcp 172.16.3.0 0.0.0.255 any eq 25 (o eq smtp)
(access-list 102 deny any any– implicito, non visibile nella lista)

interface ethernet 0
ip access-group 102 out

 

 

ESEMPIO

Si vuole negare all’host B l’accesso al Server FTP e allo stesso tempo negare all’host C qualsiasi accesso alla rete 172.16.3.0.

 

 

Figura 2

 

Sul Router A:

access-list 1 deny host 172.16.4.12
access-list 1 permit any

interface ethernet 1
ip access-group 1

access-list 101 deny tcp host 172.16.4.15 172.16.3.0 0.0.0.255 eq ftp
access-list 101 permit ip 172.16.4.0 0.0.0.255 any

interface ethernet 0
ip access-group 101

 

 

Esempio pratico: usare le ACL come Firewall

Le ACL, tra gli altri tipi di utilizzo, possono essere adottate per aumentare la sicurezza della rete dagli attacchi provenienti dall’esterno (internet). Questo tipo di configurazione si ottiene configurando opportunamente il border router ovvero il router connesso verso l’esterno. In questo caso, appunto, il router avrà anche funzione di firewall.

Un esempio di tale architettura potrebbe essere il seguente (figura n. 3):

 

Figura 3

In questa rete si può pensare, con l’utilizzo delle ACL, di forzare tutto il traffico proveniente da Internet verso l’application gateway, mentre il router connesso alla LAN interna accetterà solo i pacchetti provenienti da quest’ultimo.

Bisogna comunque evidenziare che l’utilizzo delle ACL come firewall, sebbene forniscano un livello base di sicurezza, non offrono in alcun modo tutti i vantaggi, la flessibilità e il livello di sicurezza di un “classico”  firewall (hardware o software che sia).

 

Verificare le ACL

Per visualizzare le informazioni sulle ACL si possono utilizzare i seguenti comandi:

–        Router> show access-list [access-list number]: mostra il contenuto di tutte le ACL caricate sul router (utilizzando l’opzione access-list number vengono elencate solo le condizioni di una determinata ACL);

–         Router> show ip interface [interface-type number] : mostra le informazioni sulle interfacce IP e quindi anche la presenza di un’eventuale ACL collegata all’interfaccia (le opzioni interface-type e number permettono di indicare una determinata interfaccia).

ESEMPIO

Router#show ip interface serial 0

Serial0 is down, line protocol is down

Internet address is 172.151.12.16/16
  Broadcast address is 255.255.0.0
  MTU 1500 bytes,
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list 10 is set
  Inbound  access list is not set
  Proxy ARP Is Enabled
  Security Level Is Default
  Split horizon Is Enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Null turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled

 

Regole fondamentali

Quando si utilizzano le ACL ci sono alcune regole e consigli da seguire:

• Studiare bene lo scopo che si vuole ottenere con le ACL;

• Inserire le clausole più restrittive e quelle più utilizzate all’inizio;

• Posizionare le ACL Standard più vicino al destinatario;

• Posizionare le ACL Estese più vicino al mittente;

• Poiché non è possibile cambiare l’ordine in cui vengono inserite le varie condizioni di un’ACL, può essere opportuno scriverle con un editor di testo e poi esportarle sul router, avendo cura di salvarne una copia. Questo è utile anche in caso di future modifiche.

• Ricordare che le ACL, in ogni caso, richiedono l’utilizzo di risorse aggiuntive al processore del router.

 

 

 

Il modello OSI (Open System Interconnection) è un modello che serve per la divisione in livelli della gestione di una rete e nel 1984 è diventato parte degli standard ISO (International Standard Organizzation).

Come dicevamo, il modello OSI divide la gestione reti in sette livelli:

• 1 livello fisico: è un livello fondamentale e riguarda la trasmissione di dati tramite cavi.

• 2 livello di collegamento dati: affidabilità del trasferimento dei dati attraverso il livello fisico. Questo livello ha il compito di sincronizzare i dati, controllare il loro flusso e riconoscere gli errori.

• 3 livello di rete: funge da interfaccia tra il livello fisico e quello del collegamento dati.

• 4 livello di trasporto: livello molto importante per il trasferimento di pacchetti in una LAN.

• 5 livello di sessione: fra le applicazioni fornisce un metodo standard per lo scambio dei dati.

• 6 livello di presentazione: livello che indica il formato che i dati devono avere per poter essere utilizzati da altri dispositivi.

• 7 livello di applicazione: livello molto importante che si riferisce a programmi con funzioni e aspetti standard.

Esaminiamo bene ora tutti i livelli, uno per uno:

• Livello 7: Applicazione

E’ il livello pi๠alto del modello OSI, interagisce con l’utente e tratta direttamente le applicazioni (application program interface). Nel livello 7 risiedono il SO di rete e tutte le altre applicazioni quali posta elettronica, condivisione file, gestione database, etc etc.
Gli standard di questo layer sono SAA (System Application Architecture) di IBM e anche X.400 Message Handling. Come abbiamo già detto questo è probabilmente il livello pi๠importante poichè in diretto contatto con l’utente.

 

• Livello 6: Presentazione

Questo livello riguarda riguarda il formato dati e ha la capacità di gestire i formati speciali e la crittografia. Oltre a questo, qui risiedono anche i codici di controllo, set caratteri e loro funzioni grafiche. Inoltre il protocollo HTTP (per formattare le pagine web) un protocollo tipico appartenente a questo livello.
Capita anche che i sistemi operativi di rete usino codifiche diverse, tipo EBCDIC oppure ASCII. In poche parole il livello sei di presentazione serve per l’interpretazione dei dati da parte del ricevente.

 

• Livello 5: Sessione

Anche questo livello è molto importante perchè permette a due applicazioni (o alle sue parti) di comunicare attraverso la rete per eseguire azioni che riguardano la sicurezza e tutta l’amministrazione.

 

• Livello 4: Trasporto

A questo quarto livello, come si può capire dal nome, è delegato il compito del trasporto dati. Infatti, si occupa di fornire un trasferimento dati sufficientemente affidabile, correggendo anche gli eventuali errori. Fraziona tutti i messaggi in pacchetti, controlla il loro ordine e i loro errori.Questo quarto livello viene chiamato anche end-to-end perchè è il primo che agisce indipendentemente dalla tipologia di rete sulla quale è situato.
I protocolli principali di questo livello sono TCP (Transmission Control Protocol) e UDP (User Datagram Protocol). Il TCP si occupa della scomposizione e ricomposizione dei dati, ma anche di controllarli, infatti, gli eventuali dati danneggiati o persi vengono ritrasmessi. L’UDP invece non esegue alcun controllo.

 

• Livello 3: Rete

Il livello 3, chiamato anche Network, si occupa del percorso che devono fare tutti i pacchetti dati, cioè indica la vera e propria strada fisica. Diciamo che ci sono due elementi hardware fondamentali: per primi gli switch che filtrano e direzionano il traffico, quindi i pacchetti dati e le schede di rete che li formatta, tanto da renderli riconoscibili e in un certo senso compatibili con i programmi che hanno il compito di direzionarli.
Questo terzo livello utilizza maggiormente il protocollo IP, difatti il 90% delle reti dispone di questo protocollo per l’indirizzamento e comunque tutta la gestione dei pacchetti viaggianti in rete (e anche per la definizione di indirizzi). Il protocollo IP inoltre, viene usato anche nel livello transport, quindi nel quarto.

 

• Livello 2: Collegamento dati

Questo livello gestisce il flusso dati fra i vari sistemi e indica come collegare tra di loro i caratteri in modo da formare il messaggio, inoltre li analizza e li controlla prima del loro invio.
Utilizza vari protocolli, quali: BSC (Binary Sinchronous Communications Protocol), ADCCP (Advanced Data Communications Control Procedures) e HDLC (Hight-Level Data Link Control) etc etc. Questi ultimi servono semplicemente per dirigere i messaggi verso la giusta direzione e a verificare che siano stati effettivamente ricevuti.
Per apprendere meglio, tutto questo procedimento può essere paragonato a quello analogo del protocollo FTP, che individua gli errori e ritrasmette i dati durante lo scambio dei file.

 

• Livello 1: Fisico

Finalmente siamo arrivati al level one! Dal nome capiamo già che si occupa totalmente della parte fisica della trasmissione dati, cioè hardware. Infatti i cavi coassiali, le fibre ottiche, le schede ethernetà¢â‚¬Â¦ sono elementi fondamentali di questo livello. Gli standard sono stati decisi da ISO, ma anche da CCITT.
Ognuno di questi livelli, interagisce pienamente con quello sotto. Ciò significa che Applicazione interagisce con Presentazione, Presentazione con Sessione, e cosi via. E’ meglio dire riceve dati al posto di interagire, appunto perchè, per funzionare, il modello OSI permette lo scambio dei dati da un livello all’altro (sempre rispettando l’ordine del successivo), per poi arrivare all’ultimo, quindi livello fisico. Questo livello fisico passa i dati al livello fisico dellà¢â‚¬â„¢altro host, che provvederàƒ poi a passare il tutto al livello superiore (e cosi continua il ciclo).
Ai dati, ogni volta che passano da un livello all’altro, viene aggiunta una piccola intestazione, ma non possono essere modificati.
La suddivisione in livelli del modello OSI può essere paragonata alla suddivisione del protocollo TCP/IP suite.

Vediamo ora le caratteristiche dei livelli TCP:

• Livello Application:

nel TCP/IP non esistono i livelli sessione e presentation, infatti dopo il transport troviamo direttamente l’application, contenente tutti i protocolli di alto livello, per esempio (quelli prima introdotti e ora i piàƒÂ¹ usati): Telnet, SMTP, FTP, NNTP, DNS e infine HTTP.

 

• Livello Transport:

Si occupa della qualità del servizio che offre, quindi il trasporto dei dati, correggendo gli errori. Qui, come nel modello OSI, troviamo due protocolli: TCP e UDP.
Con il TCP, di connessione, tutti i dati arrivano nel giusto modo. Spezzetta inoltre il flusso dati e li manda al layer sottostante, quindi al livello Internet. L’UDP (User Datagram Protocol), non è un protocollo di connessione, quindi per niente affidabile, visto che i pacchetti possono arrivare in modo disordinato o addirittura non arrivare.

 

• Livello Internet:

Il protocollo di questo livello è IP, che si occupa del routing, quindi del direzionamento dei pacchetti. Il compito di questo livello è far viaggiare i pacchetti, in modo da farli giungere a destinazione, anche se magari in un pc di un’altra rete.

 

• Livello Network Interface

Ecco l’ultimo livello della suite TCP/IP, chiamato anche host-to-network layer poichè invia pacchetti IP nella rete. Qui non esiste un modello fisico, in quanto si usano piattaforme hardware, comunque conformi agli standard IEEE 802.
I VANTAGGI DEL MODELLO OSI

La suddivisone in livelli della gestione di una rete, quindi del modello OSI, comporta dei vantaggi:

Innanzitutto (1)riduce la complessità , grazie alla divisione in livelli stessa, poi (2)standardizza le interfacce o i componenti, (3)facilita la creazione dei componenti, quindi sia software che hardware, (4)assicura l’interoperabilità , quindi consente una gestione indipendente dal tipo di piattaforma (sia hw che sw) e infine (5)velocizza lo sviluppo perchè permette l’implementazione di ogni livello indipendentemente da un altro.

Gli Indirizzi IP, classi e Subnet Mask.

Per far sì che avvenga una comunicazione in internet deve essere adoperato un sistema di indirizzamento univoco.
Al fine di evitare sdoppiamenti di IP, questi indirizzi vengono assegnati dall’InterNIC (InterNetwork Information Center). Gli inidirizzi ip possono essere suddivisi in tre classi. A, B e C che occupano rispettivamente 8, 16, 24 bits dell’ip, mentre i rimanenti bits sono destinati agli hosts.

Un indirizzo IP ha la dimensione di 32 bits, diviso in quattro ottetti binari.
La classe A comprende i primi 8 bits per la rete e i restanti 24 bits per gli hosts, Es. : 126.0.0.0 equivalente Rete.Host.Host.Host
La classe B è costituita da i primi 16 bits per la rete e 16 bits restanti per gli hosts, Es: 151.1.0.0 equivalente Rete.Rete.Host.Host
La classe C è formata da i primi 24 bits per la rete ed i rimanenti 8 bits per gli hosts. Es: 192.1.1.0 equivalente Rete.Rete.Rete.Host
La Subnet mask oppure Maschera di sottorete sta ad indicare la classe di appartenenza dell’IP ed eventuali “subnetting” che spieghero` seguentemente.

Subnet Mask:

Classe A: 255.0.0.0

Classe B: 255.255.0.0

Classe C: 255.255.255.0

Traducendoli in una forma binaria:

Classe A 11111111.00000000.00000000.00000000

Classe B 11111111.11111111.00000000.00000000

Classe C 11111111.11111111.11111111.00000000

Da questa conversione binaria notiamo che l’IP è formato da 4 ottetti e cioè da 4 serie di 8 numeri, ogni numero vale un bit ed ecco spiegato perchè l’indirizzo IP è formato da 32 bit.
Premettendo il fatto che ogni rete possiede un proprio indirizzo di Broadcast ed un indirizzo di rete.

L’indirizzo di broadcast è rappresentato dall’inserimento di tutti 1 binari nella porzione dell’host ed ha il compito di ricevere il dato ed inoltrarlo a tutti gli host connessi alla sua rete.
Immaginiamo un lunghissimo corridoio che comprende tantissime porte una fronte all’altra ed al termine del corridoio una porta ci viene di fronte. Se non sappiamo a chi recapitare il messaggio lo recapitiamo all’impiegato presente in quell’ultima porta il quale si preoccuperà di portare il messaggio per “ogni porta” del corridoio.

L’indirizzo di rete invece è caratterizzato da tutti 0 binari nella porzione degli host.
Sia l’indirizzo di rete che l’indirizzo di broadcast sono inutilizzabili per quel che riguarda gli user connessi alla rete.
Potete verificare il tutto lanciando il comando Winipcfg o ipconfig /all in ambiente Windows, oppure ifconfig su OS Unix.

 

Il subnetting

Una sottorete e’ una suddivisione dello spazio di indirizzi riservato ad una rete.
Per venire contro al problema dell’indirizzo IP pubblico, ogni azienda ha a disposizione un gran numero di indirizzi IP privati. Tali IP non sono visibili ad Internet, ma per maggiori informazioni vi rimando alla RFC 1981 in cui vengono descritti tali intervalli:

10.0.0.0 10.255.255.255 (10/8)
172.16.0.0 172.16.255.255 (172.16/12)
192.168.0.0 192.168.255.255 (192.168/16).

Una sottorete viene creata “rubando” dei bit di appartenenza agli host facendoli creando una ulteriore porzione nell’IP chiamata sottorete.
La suddivisione in sottoreti viene effettuata generalmente a causa del gran numero di user facenti parte della stessa rete.

Facciamo un piccolo schema per la conversione da decimale in binario.
Prendiamo d’esempio questa tabella:

128 64 32 16 8 4 2 1

Questa è la tabella per la conversione da binario a decimale. Dato un ottetto di bit: 00001001 sottoponiamolo alla tabella:

128 64 32 16 8 4 2 1

0 0 0 0 1 0 0 1

Il calcolo è semplice ci basta sommare tutti i numeri che sono posti sopra l’uno ed avremmo come risultato la
conversione del numero binario 00001001 in 1 + 8 = 9
E’ chiaro il procedimento ? …è molto semplice.

Per venirvi incontro ecco uno schema prelevato da Cisco.com:

 

Andiamo ora a creare una sottorete.
Prendiamo una rete di classe C con un indirizzo 198.10.1.0 e vorremmo creare 5 sottoreti ed avere per ognuna delle
sottoreti circa 25 nodi. Seguiamo i seguenti passi:

Convertiamo l’IP in ottetti binari.

198.10.1.0 equivale a 11000110.00001010.00000001.00000000
essendo una classe C la porzione di rete sono i primi 24 bit “11000110.00001010.00000001″. La porzione Host invece comprende gli ultimi 8 bit “00000000″. Da tale presupposto vogliamo creare 5 sottoreti.
Per creare 5 sottoreti con almeno 25 host bisogna rubare 3 bit agli Host ed i restanti 5 bit lasciarli per gli utenti
della sottorete. Per arrivare a calcolare il numero di sottoreti ed il numero di host basta fare un semplice calcolo.

Bisogna prendere il numero 2 ed elevarlo al numero di Bit degli host oppure della sottorete e sottrarre 2 al calcolo finale. Ma veniamo all’esempio pratico:

Nel caso precedente abbiamo preso 3 bit agli Host per creare una sottorete.
Prendendo il numero 2 ed elevandolo per il numero di bit preso in prestito e cioè 3 otterremo 8 che equivale al numero di sottoreti che possiamo realizzare, ma a questo risultato ci tocca sottrarre 2 combinazioni impegnate precedentemente dall’indirizzo di Rete e da quello di Broadcast.

Per calcolare gli host che comprendono ogni sottorete basta elevare 2 al numero di bit disponibili per gli user e sottrarne sempre le due combinazioni 2 che corrispondono all’indirizzo di rete e di broadcast.
ecco un disegno esplicativo di come viene effettuato un subnetting.

Con IP di classe A: 125.13.73.15 che viene subnettato rubando 12 bit alla porzione host dell’IP:

Introduzione alla VPN (Virtual Private Network)

L’accesso in modalità sicura ai dati da ogni parte del mondo sta diventando ogni giorno di più un obbiettivo concreto per molte aziende; l’accrescere delle connessioni a banda larga anche per uso “casalingo” ha ulteriormente spostato questa necessità verso un’utenza evoluta ma non aziendale.

Per soddisfare questa necessità la tecnologia mette a disposizione varie soluzioni, tra qui la VPN (Virtual Private Network) che è una delle soluzioni migliori e sicuramente meno costose, ed è un collegamento in rete, con le stesse caratteristiche di una connessione diretta come sicurezza e velocità ma che sono utilizzati su reti condivise, come può essere Internet.

Questo tipo di connessione si stabilisce grazie alla tecnica del tunneling che consiste nel creare un canale privato tra il pc client ed il server in una rete privata o pubblica il tutto attraverso l’uso di un protocollo di comunicazione apposito il PPTP (Point to Point Tunnelling Protocol).

CONFIGURAZIONE VPN SERVER

Entriamo in Connessioni di Rete

e clicchiamo su Creazione guidata nuova connessione di rete per far avviare il Wizard di configurazione, successivamente premiamo avanti.

Nella finestra Tipi di connessione di rete sceglieremo Installazione di una connessione avanzata per “Windows XP”, e Accetta connessioni in ingresso per “Windows 2000″, successivamente premiamo avanti.

(Schermata Windows XP)

 

(Schermata Windows 2000)

 

Nelle Opzioni di connessione avanzate selezioniamo Accetta connessioni in ingresso, successivamente premiamo avanti.

Nella scheramta successiva Periferiche per chiamate in ingresso non selezioniamo nulla, premiamo solamente avanti.

Nella schermata Connessione di rete privata virtuale(VPN) in ingresso selezioniamo Consenti connessioni private virtuali, successivamente premiamo avanti.

 

A questo punto in Autorizzazioni utenti selezioniamo gli utenti che possono accedere sulla nostra VPN dalla lista degli account validi di Windows, successivamente premiamo avanti.

Nella finestra Software di rete vedremo tutti gli elementi interessati per la connessione in ingresso, selezioniamo il Protocollo TCP e premiamo Proprietà.

Nella finestra delle Proprietà TCP/IP in ingressocome prima cosa dobbiamo assicurarci che l’opzione consenti ai chiamanti di accedere alla rete locale sia selezionata, dopodichè specifichiamo gli indirizzi ip della nostra rete locale privata da assegnare ai chiamanti in ingresso.
Fatto questo non ci rimane altro che confermare le nostre scelte con l’OK e premere avanti per finire la procedura di creazione della VPN in ingresso.

Adesso, la nostra VPN è configurata ed attiva per ricevere chiamate, il nome assegnato è quello di Default  Connessioni in ingresso che nn può essere modificato in nessun modo.

 

CONFIGURAZIONE VPN CLIENT

L’avvio della procedura per la creazione del client VPN è la medesima di quella descritta per il server, si entra in Connessioni di Rete e cliccha su Creazione guidata nuova connessione di rete per far partire il Wizard.

Nella finestra Tipi di connessione di rete sceglieremo Connessione alla rete aziendale, successivamente premiamo avanti.

In Connessione di rete selezioniamo Connessione VPN, successivamente premiamo avanti.

A questo punto ci viene chiesto il Nome connessione da dare, inseriamo un nome a piacimento e premiamo avanti.

Dopo il nome della connessione, bisogna specificare l’indirizzo internet od intranet del server a cui collegarsi nella schermata di Selezione server VPN.

Inseriamo l’indirizzo o il nome host e premiamo avanti.

A questo punto il nostro client VPN è configurato e pronto per collegarsi.

 

COLLEGAMENTO DEL CLIENT AL SERVER VPN

La connessione alla VPN funziona alla stessa maniera di una normalissima connessione di accesso remoto, quindi dopo averla selezionata ed avviata, non ci rimarrà da fare altro che inserire il nostro nome utente e password per connetterci.

Il server riceve la chiamata verifica se siamo autorizzati ad accedere e ci permette di collegarci alla rete locale remota.

A questo punto potremo usufruire dei servizi della rete remota in maniera sicura e veloce.

Queste reti coprono un’area corrispondente a dimensioni tra quelle di un ufficio o una struttura aziendale composta da più edifici purchè non ci sia attraversamento di suolo pubblico.

I vantaggi tipici di una LAN sono:

• Condivisione di dati e programmi;
• Condivisione di un collegamento a Internet unico per più PC;
• Condivisione di accesso a risorse hardware (stampanti, periferiche, modem, ecc.);
• Riduzione dei costi grazie alla condivisione;
• Standardizzazione delle applicazioni;
• Gestione più efficiente di dati, comunicazione e pianificazioni.

Le Tipologie

Esistono diversi tipi di reti di computer in grado di soddisfare le esigenze di uffici o aziende di piccola, media, grossa dimensione. Una rete è caratterizzata da tre elementi fondamentali:

• Sicurezza
  Assicurare la destinazione corretta del flusso di dati ed evitarne l’intercettazione.
  Garantire un rischio di guasto bassissimo.
• Prestazione
  Velocità di trasmissione dei dati nella rete.
  fattibilità
• Facile costruzione della rete in base al luogo e ai materiali.
  Per evitare che ci siano guasti di solito in una rete può essere realizzata la ridondanza, ma dato che in una LAN è raro che ci siano guasti, la ridondanza è usata per ampliare la rete.

 

 

Con il termine rete si definisce la condivisione di risorse fra diverse entità, come ad esempio pc, stampanti, ecc …

 

 Per realizzare una semplice rete domestica, si devono avere i seguenti elementi:

• Almeno due pc
• Un interfaccia di rete (NIC) per ogni dispositivo che vogliamo collegare
• Un mezzo di trasmissione dati (Un cavo ethernet)
• Configurazione della rete (IP, Subnet, ecc)

Associando a questi elementi minimali altri dispositivi HW e Sw, i clienti della rete possono condividere archivi, unità periferiche  e altri molteplici servizi.

Le reti possono avere dimensioni differenti ed è possibile ospitarle in sedi singole, in edifici attigui fra loro (campus MAN) oppure dislocarle in ambito globale (dal singolo quartiere a tutto il pianeta WAN).

In una rete, di solito, si trovano uno o più calcolatori con potenza maggiore. La presenza di uno o più di questi calcolatori determina la distinzione fra i sistemi “centralizzati” e quelli “distribuiti”.

Sistema centralizzato: laddove la potenza di calcolo e di elaborazione è garantita da un unico elaboratore.

Sistema distribuito: laddove la potenza di calcolo viene distribuita fra più elaboratori in rete fra loro.

Nei sistemi centralizzati tutti i calcolatori (terminali) sono direttamente connessi al calcolatore centrale. I dati debbono assolutamente passare attraverso il calcolatore centrale per essere smistati fra i vari terminali.
Nei sistemi distribuiti i vari elaboratori possono dialogare fra di loro senza nessun intermediario.

La distribuzione della potenza di calcolo si spalma fra diverse unità più o meno potenti. In senso metaforico e molto lato, è’ come se tante CPU si dividessero fra di loro il carico di una unica CPU.

Al giorno d’oggi la potenza di calcolo di un sistema distribuito è di gran lunga maggiore di quella di un sistema centralizzato.

Fra le diverse tecnologie di rete le più diffuse, attualmente, sono Ethernet e Fast Ethernet. Le tecnologie Ethernet e Fast Ethernet sono abbastanza simili e la differenza maggiore è rappresentata dalla velocità con cui trasferiscono le informazioni.

• Ethernet funziona a 10 Megabit per secondo
• Fast Ethernet a 100 Megabit per secondo
• Gigabit Ethernet a 1000 Megabit per secondo

Per far “grande” una rete, si devono installare dei dispositivi di rete che hanno la funzionalità di garantire il funzionamento, l’efficenza, l’affidabilitò e la scalabilita della rete stessa. Non sono dei PC, anche se loro possono fornire alcune di queste funzioni.

Alcuni di questi dispositivi sono:

• HUB
• Switch
• Router