Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Reti di Computer: DHCP, VLAN e Firewall, Appunti di Sistemi di reti

Appunti sistemi e reti 5^ superiore

Tipologia: Appunti

2019/2020
In offerta
30 Punti
Discount

Offerta a tempo limitato


Caricato il 06/01/2020

Utente sconosciuto
Utente sconosciuto 🇮🇹

1 documento

1 / 72

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Appunti di Sistemi e Reti
1/72
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
Discount

In offerta

Anteprima parziale del testo

Scarica Reti di Computer: DHCP, VLAN e Firewall e più Appunti in PDF di Sistemi di reti solo su Docsity!

Appunti di Sistemi e Reti

Table of Contents

DHCP (Dynamic Host Configuration Protocol)

Il protocollo DHCP viene usato per automatizzare l'assegnazione della configurazione TCP/IP dei diversi client in una rete: tramite DHCP è possibile infatti assegnare, oltre all'indirizzo IP e la subnet mask, i DNS e l'eventuale Gateway che il client dovrà usare. Il protocollo DHCP è definito nel livello 7 (Applicazione) del modello ISO/OSI, anche al fine di non legare le operazioni di configurazione all'hardware della macchina, rendendole valide per qualunque tipo di host. Il DHCP consente di configurare i computer in un qualsiasi punto rete senza doverne riconfigurare i parametri, di conseguenza richiede tempi molto più brevi per l'installazione di nuovi client. Allo stesso modo risulta molto più semplice modificare la configurazione degli indirizzi di rete in quanto non è necessario ripetere la stessa operazione su ciascun client, ma è sufficiente agire sul server. Per contro la diagnostica dei client è più complessa in quanto un host può assumere nel tempo indirizzi di rete diversi. Gli indirizzi IP da assegnare ai client vengono configurati nel database del server DHCP. L'insieme degli indirizzi a disposizione viene chiamato address pool. Il server garantisce l'indirizzo IP per un certo periodo di tempo, detto di lease. Il tempo di lease ottimale dipende dal tipo di rete e dalle necessità:

  • un periodo lungo offre più stabilità ma occorre aspettare molto per liberare le configurazioni non più usate (ad esempio se un host viene spento molto tempo prima dello scadere del lease);
  • un periodo corto permette di liberare più velocemente le configurazioni non più usate, ma costringe gli host attivi a richiedere continuamente il rinnovo.

Formato dei messaggi

Il formato dei messaggi DHCP è molto simile a quello del predecessore BOOTP: nel campo OPTIONS di BOOTP vengono specificate le informazioni aggiuntive necessarie a DHCP.

op htype hlen hops transaction ID seconds flags Client IP address Your IP address Server IP address Router IP address Client hardware address (16 ottetti) Server host name (64 ottetti) Boot file name (128 ottetti) OPTIONS (variabile) Nel dettaglio, i campi del messaggio hanno il seguente significato:

  • op (operation code): specifica se il messaggio è request (1) o reply (2);
  • htype (hardware type): indica il tipo di hardware (ad esempio 1 per Ethernet 10Mbps);
  • hlen (hardware address length): lunghezza in byte dell'indirizzo fisico (per il MAC è 6);
  • hops : incrementato ogni volta che il pacchetto viene inoltrato da un router;
  • transaction ID : numero casuale che permette di associare la risposta alla richiesta;
  • seconds : secondi trascorsi da quando il client ha iniziato il processo di acquisizione della configurazione;
  • flags : è definito solo il bit più significativo; se è impostato ad 1, il server invierà la risposta in broadcast;
  • Client IP Address : contiene l'IP del client solo se quest'ultimo si trova nello stato BOUND, RENEW e REBIND;
  • Your IP Address : l'indirizzo che il server ha assegnato al client;
  • Server IP Address : l'indirizzo del server DHCP;
  • Router IP Address : serve per l'instradamento dei messaggi DHCP attraverso un router (detto Relay Agent);
  • Client hardware address : l'indirizzo fisico del client;
  • Server host name : campo opzionale che indica il nome del server DHCP, che può essere anche un nome di dominio;
  • Boot file name : specifica il nome completo del file che serve al client per effettuare il bootstrap, cioè l'avvio della macchina;
  • Options : mentre in BOOTP questo campo era di lunghezza fissa e si chiamava Vendor- specific Area, in DHCP ha lunghezza variabile, anche se la codifica di ogni opzione è la stessa di BOOTP. Si usano tre campi: il primo ottetto contiene il codice , il secondo la lunghezza in ottetti del successivo campo valore , che contiene il parametro specificato.

Nella seguente figura, sono evidenziati tutti i campi delle PDU: Da notare il flag “Broadcast bit” nell’intestazione DHCP: questo bit specifica al DHCP server se inviare le offerte in broadcast/unicast. Nel nostro caso è impostato ad 0, quindi la risposta del server avverrà in unicast. Le offerte UNICAST hanno il vantaggio di ridurre il traffico di rete.

  1. Offerta di configurazione: OFFER Il server DHCP manda un’offerta di parametri di rete tramite il messaggio (DHCPOFFER) contenente la configurazione. Il client sceglierà la prima configurazione ricevuta e, nel caso ci siano più server DHCP sulla rete, gli altri verranno ignorati.
    • Dato: DHCP OFFER.
    • Segmento: il processo mittente DHCP SERVER è attivo sulla porta 67, mentre quello CLIENT sulla 68.
    • Pacchetto: l’offerta al livello 3 viene fatta dal server che indica come IP mittente il suo e come IP destinatario l’indirizzo broadcast, poichè l'indirizzo poiché il client non ha ancora i parametri di rete. Se, però, il flag broadcast bit della DISCOVER era impostato a 0, l’indirizzo IP di destinazione sarà quello dell’offerta.
    • Frame: la richiesta viene incapsulata in un frame che contiene l'indirizzo MAC del server come mittente e il MAC del client come destinatario.
  2. Selezione di configurazione: REQUEST Dopo aver scelto una configurazione, il client manda un messaggio (DHCP REQUEST) in broadcast, informando tutti i server DHCP. Il messaggio include l'indirizzo del server DHCP che ha mandato la configurazione scelta; tutti gli altri server ritirano le loro offerte. In figura la PDU DHCP (cioè le informazioni relative alla REQUEST) che andrà incapsulata in un pacchetto con mittente 0.0.0.0 (fino al completamente della sequenza, cioè fino al

DHCPACK, il client non ha ancora i parametri di rete) e destinatario 255.255.255.255.

  • Dato: DHCP REQUEST con l’indicazione del server da cui si accettano i parametri di rete:
  • Segmento: il processo DHCP CLIENT destinatario è attivo sulla porta 68, mentre quello SERVER mittente sulla 67.
  • Pacchetto: la richiesta fatta dal client viene fatta all'indirizzo broadcast, per informare tutti i DHCP server, la richiesta a livello 3 avrà quindi come mittente 0.0.0.0 (poichè l'IP non è stato ancora configurato) e 255.255.255.255 come destinazione.
  • Frame: la richiesta viene incapsulata in un frame che contiene l'indirizzo MAC dell’host client come mittente e il MAC broadcast FF:FF:FF:FF:FF.
  1. Conferma assegnazione: ACK Il server DHCP manda quindi un messaggio di conferma in broadcast (DHCPACK) al client, contenente il valore di Lease per l'IP. Quando il client riceve il messaggio di ACK completa la configurazione del TCP/IP.
  • Dato: DHCP ACK (contenente il tempo di Lease).
  • Segmento: il processo mittente DHCP SERVER è attivo sulla porta 67, mentre quello CLIENT sulla 68.
  • Pacchetto: l’offerta a livello 3 viene fatta dal server che indica come IP mittente il suo e come IP destinatario l’indirizzo broadcast, poichè l'indirizzo poiché il client non ha ancora i parametri di rete. Se, però, il flag broadcast bit della DISCOVER era impostato a 0, l’indirizzo IP destinazione sarà quello dell’offerta.
  • Frame: la richiesta viene incapsulata in un frame che contiene l'indirizzo MAC del server come mittente e il MAC del client come destinatario. Riassumendo:

Gli stati del DHCP

La specifica di DHCP usa una macchina a stati finiti per descrivere il ciclo di vita del lease della configurazione. La seguente figura mostra gli stati principali di un DHCP client. Su ciascuna transizione è riportato il messaggio in ingresso o l'evento che causa la transizione, seguito da uno slash "/" e dal messaggio in uscita. Quando un client viene inizializzato per la prima volta, entra nello stato INITIALIZE. Dopo aver trasmesso in broadcast il messaggio DHCP DISCOVER per contattare tutti i server DHCP disponibili nella rete locale, passa allo stato SELECT. I server DHCP nella rete locale, ricevuto il messaggio, inviano un messaggio DHCP OFFER che contiene la configurazione assegnata. Nello

stato SELECT, il client raccoglie tutte le risposte, ne sceglie una e invia al server un messaggio DHCP REQUEST, passando allo stato REQUEST. Per confermare la richiesta, il server invia il messaggio DHCP ACK. Ricevuta la conferma, il client passa allo stato BOUND , in cui usa la configurazione assegnata, memorizza i parametri e imposta due timer:

  • renewal timer (T1): indica al client quando effettuare la richiesta di rinnovo della configurazione;
  • rebinding timer (T2): indica al client che è scaduto il tempo per rinnovare la configurazione. Il valore predefinito del renewal timer è del 50% del tempo di lease; quando scade, il client passa allo stato RENEW e invia un messaggio DHCP REQUEST al server da cui ha ottenuto il lease per chiederne il rinnovo. Il server può rispondere in due modi:
  • comunica al client di interrompere l'uso della configurazione, inviando il messaggio DHCP NACK e facendolo tornare allo stato INITIALIZE;
  • concede il rinnovo, inviando il messaggio DHCP ACK e facendo tornare il client allo stato BOUND. Il server potrebbe però non essere più attivo o raggiungibile: quando scatta il rebinding timer, il cui valore predefinito è dell'87,5% del tempo di lease, il client passa allo stato REBIND e invia in broadcast sulla rete locale un messaggio DHCP REQUEST. Se un altro server risponde positivamente con un DHCP ACK, il client passa allo stato di BOUND e reimposta i timer. Se invece un altro server risponde negativamente con un DHCP NACK oppure nessun server risponde alla richiesta, il client passa allo stato INITIALIZE per richiedere una nuova configurazione. L'invio del messaggio DHCP RELEASE da parte del client, che serve a rilasciare la configurazione acquisita, è opzionale: i server sono progettati per gestire anche i casi in cui il client scompare senza terminare in modo esplicito il lease.

Laboratorio: configurazione del DHCP su router Cisco

  1. Abilitare il DHCP sul router tramite CLI: R 1# configure terminal R 1( config)# service dhcp
  2. Creare il pool di indirizzi che verranno assegnati: R 1( config)# ip dhcp pool NET POOL- R 1( dhcp config- )# network 192.168.1.0 255.255.255.
  3. Specificare gli altri parametri di configurazione (nell'ordine: gateway, DNS primario e secondario e tempo di lease di 9 giorni, 12 ore e 23 minuti): R 1( dhcp config- )# default router- 192.168.1. R 1( dhcp config- )# dns server- 192.168.1.5 195.170.0. R 1( dhcp config- )# lease 9 12 23
  4. Specificare eventuali altri indirizzi esclusi dall'assegnazione DHCP (quelli da 192.168.1.1 a

Gli switch non interpretano però gli indirizzi a livello 3 e quindi non risolverebbe il problema (ARP/DHCP, ad esempio, hanno un destination address impostato a FF:FF:FF:FF:FF:FF). Inoltre, non sarebbe possibile applicare dei filtri di controllo: cambiando il proprio IP si potrebbe passare liberamente da una subnet all’altra. Per separare i domini di broadcast, si dovrebbe separare fisicamente l’infrastruttura di rete: aggiungere due switch e attestare fisicamente gli host su segmenti di rete separati. In alternativa è possibile definire (via software) tre VLAN sullo switch creando così tre reti logiche (e tre domini di broadcast) sullo stesso segmento di rete. Per definizione, le VLAN rappresentano un metodo per segmentare un dominio di broadcast in più domini di dimensione ridotta. A livello 2, ogni VLAN contiene solo il traffico dei dispositivi appartenenti a quella VLAN. Si osservi ora il seguente scenario in cui sono presenti due gruppi di lavoro posti su due piani diversi dello stesso edificio e associati a due gruppi di lavoro diversi: Amministrazione e Vendite. Si immagini che l'utente AMM_2 cambi ufficio spostandosi al piano terra. Per associarlo allo switch corretto, si dovrà ricablare l'edificio collegando il suo host all'altro switch (all'altro dominio di broadcast). Un processo analogo avviene se l'utente cambia gruppo di lavoro senza cambiare ufficio. Questa azione andrebbe ripetuta per ogni host che debba cambiare l'appartenenza ad un gruppo di lavoro. Definendo delle VLAN (LAN virtuali) è possibile definire gruppi logici di host, anche se questi sono separati da switch e fanno parte di segmenti di LAN differenti. Gli host che fanno parte di una VLAN comunicano tra loro come se si trovassero su uno stesso segmento LAN fisico. In questo caso sarà sufficiente un unico collegamento tra i due switch, come mostrato nella seguente figura:

In questo modo la segmentazione di reti switched è definita in funzione delle attività svolte, dei gruppi di lavoro a prescindere dalla collocazione fisica degli utenti rispetto alle connessioni fisiche della rete. Quando si vuole spostare un host da una VLAN ad un'altra non è necessario collegare fisicamente l'host ad un altro switch, ma è sufficiente assegnare la porta dello switch ad un'altra VLAN. Le VLAN consentono quindi di definire soluzioni quasi completamente indipendenti dalle topologie fisiche. Più reti logiche possono condividere la stessa infrastruttura fisica. Le VLAN definiscono logicamente la segmentazione della rete in diversi domini broadcast in modo da eseguire operazioni di switching solo tra le porte assegnate alla stessa VLAN. In altre parole le porte di una VLAN condividono i broadcast, mentre VLAN differenti non condividono alcun broadcast. Questo consente di migliorare le prestazioni complessive della rete. Vantaggi delle VLAN:

  • Facilità di gestione delle infrastrutture di rete : invece di spostare cavi, riposizionare uplink, aggiungere dispositivi e ricablare intere zone, si gestiscono le VLAN tramite strumenti software.
  • Scalabilità : le VLAN possono essere aggiunte utilizzando le porte esistenti dello switch e quindi a costo nullo, rendendo semplice e relativamente economica l’espansione della rete.
  • Flessibilità : le porte dello switch possono essere spostate da una VLAN ad un'altra per mezzo di semplici operazioni di riconfigurazione software, spesso effettuabili da remoto; se si desidera isolare una subnet non è necessario aggiungere uno switch e/o un router, ma sarà sufficiente riassegnare alcune porte.
  • Economicità : con uno switch livello 3, si può effettuare routing tra le VLAN.
  • Diminuzione del traffico di rete : tramite VLAN si confina facilmente il broadcast
  • Sicurezza : se un utente cambiasse il proprio IP per fare parte di un’altra subnet, resterebbe del tutto isolato poiché separato dalle altre VLAN a livello 2. I dispositivi di una VLAN sono in grado di comunicare solo con altri dispositivi che si trovano nella stessa VLAN (a meno che nella rete sia presente un router configurato in modo da attivare il routing inter-VLAN o uno switch layer 3 che offre funzionalità a livello 3). Lo switch gestisce una tabella di forwarding per ciascuna VLAN.

Switch config vlan( - )# name Amministrazione Switch config vlan ( - )# exit Switch config ( )# vlan 20 Switch config vlan ( - )# name Vendite Switch config vlan ( - )# exit Switch config ( )# vlan 20 Switch config vlan ( - )# name Gestione Switch config vlan ( - )# exit Switch config ( )# b. Associazione porte - VLAN A questo punto è necessario assegnare le VLAN a un certo numero di porte. Una porta può appartenere a una sola VLAN alla volta. Queste porte sono dette Access Port o Untagged Port. I pacchetti che attraversano una porta untagged (o access) sono privi del tag VLAN. In questa modalità l'interfaccia può essere untagged member di una sola VLAN. Switch config ( )# interface FastEthernet0/ Switch config if ( - )# switchport access vlan 10 Switch config if ( - )# exit Switch config ( )# interface FastEthernet0/ Switch config if ( - )# switchport access vlan 10 Switch config if ( - )# exit Switch config ( )# interface FastEthernet0/ Switch config if ( - )# switchport access vlan 20 Switch config if ( - )# exit Switch config ( )# interface FastEthernet0/ Switch config if ( - )# switchport access vlan 30 Switch config if ( - )# exit Le macchine non associate alle VLAN 10, 20, 30 appartengono alla VLAN 1. Per esaminare quali VLAN sono state definite e a quali porte sono associate potete usare il comando show vlan brief. Non sarà possibile effettuare un ping tra host che appartengono a VLAN diverse nonostante appartengano alla stessa rete IP. Un ping in broadcast è limitato alla VLAN da cui è stato inviato. E’ anche possibile associare gruppi di interfacce ad una VLAN: Switch config ( )# interface range FastEthernet0/1- Switch config if range ( - - )# switchport access vlan 10 La Default VLAN ha le seguenti caratteristiche:

  • esiste sempre e non può essere eliminata;
  • esiste perchè lo switch ha bisogno di almeno una VLAN a cui assegnare le sue porte; inoltre è utilizzata per protocolli speciali quali VTP e DTP;
  • inizialmente, tutte le porte sono untagged member della VLAN di default;
  • a meno di modifiche, la VLAN di default ha ID 1;
  • l'ID della VLAN di default può essere cambiato;
  • se una porta non è più membro di alcuna VLAN, automaticamente diventa untagged member della VLAN di default (una porta non appartiene più a una determinata VLAN quando è rimossa dalla VLAN stessa, oppure se quella VLAN viene eliminata).

VLAN Trunking

Si immagini il seguente scenario: a due switch sono collegati host appartenenti a VLAN diverse. Per far colloquiare host appartenenti alla stessa VLAN, ma collegati a switch diversi, è necessario un collegamento crossover tra i due switch, uno per ogni VLAN. Poichè questo collegamento è molto laborioso, è stata sviluppata una tecnica, detta VLAN trunking, che consente di collegare con una sola connessione fisica i due switch e consentire il trasferimento su di essa di frame appartenenti a VLAN diverse. Un trunk è una connessione fisica e logica tra due switch (link punto- a-punto) in grado di supportare la presenza di più VLAN. In pratica un solo link fisico tra due switch è in grado di supportare il traffico tra qualsiasi VLAN. Un link trunk non appartiene ad una VLAN particolare, ma è un canale che le VLAN possono utilizzare per collegare switch e router. Per gestire il traffico tra qualsiasi VLAN a ciascun frame inviato al link o switch aggiunge un tag che consente di identificare la VLAN a cui appartiene. Il VLAN trunking si basa su una serie di specifiche standard: uno dei protocolli più utilizzati è IEEE 802.1Q.

stesso dominio broadcast. Le VLAN eseguono le operazioni di partizionamento della rete e di separazione del traffico a livello 2. Le comunicazioni inter-VLAN non possono avvenire senza un dispositivo a livello 3, ad esempio un router o uno switch a livello 3. Tre possibili soluzioni sono: a. Router Il routing inter-VLAN tradizionale avviene utilizzando un router tante interfacce quante le VLAN che deve collegare. Ad esempio: Se PC1 si trova sulla VLAN10 e vuole inviare un messaggio a PC3 sulla VLAN30 dovrà farlo attraverso il router R1. Il messaggio verrà inviato allo switch S2 tramite il trunk (con tag 10), di qui verrà inviato all'interfaccia F0/0 del router. Il router lo reinvierà a S1 tramite l'interfaccia F0/1 che è connessa alla VLAN30. S1 lo invierà a S2 sul trunk (tag 30) e da qui a PC3. b. Router-on-a-stick Una configurazione più interessante è nota con l'espressione router-on-a-stick. Una sola interfaccia del router è configurata in modo da operare con trunk ed è connessa ad una porta di uno switch anch'essa configurata in trunk mode. Il router può ricevere pacchetti da una VLAN ed eseguire il forwarding verso un'altra VLAN. Per far questo è necessario suddividere l'interfaccia fisica del router in più interfacce logiche e indirizzabili, una per ciascuna VLAN, e abilitare il trunking sulla connessione fisica. Le interfacce logiche che derivano da questa impostazione prendono il nome di sottointerfacce. Il router effettua l'inter-VLAN routing accettando

il traffico con tag proveniente dallo switch, effettuando il routing tra le VLAN utilizzando le sottointerfacce. Il router infine inoltra il traffico con tag pari alla VLAN di destinazione sulla stessa interfaccia fisica. In mancanza di questa suddivisione diventa necessario dedicare a ciascuna VLAN una distinta interfaccia fisica. c. Switch Layer 3 Alcuni switch possono effettuare funzioni Layer 3, evitando la necessità di utilizzare un router. Gli switch detti “Multilayer switch” sono in grado di effettuare il routing inter-VLAN routing. In questo caso PC1 sulla VLAN10 invia un messaggio a PC3 che appartiene alla VLAN30 come segue:

  • PC1 invia il messaggio unicast a S2;
  • Lo switch S2 appone il tag 10 al messaggio e lo invia tramite il link trunk allo switch S1;
  • S1 rimuove il tag, effettua il routing del traffico ponendo il tag 30 al messaggio e inviandolo nuovamente sul trunk;
  • Lo switch S2 rimuove il tag e lo invia a PC3 sulla porta F0/6.