CISCO Module 2 Chapters 4 5 - Switching PDF

Preview

Summary

Download CISCO Module 2 Chapters 4 5 - Switching PDF

Description

SWITCHING Che cos’è uno switch multi-livello? Uno switch multi-livello, in inglese multilayer switch, è un dispositivo di rete in grado di gestire pacchetti a livello ethernet (2), internet (3), trasporto (4) e persino applicazione (7). Essi sono un “potenziamento” dei normali switch. Infatti, gli switch normali sono in grado esclusivamente di operare a livello 2 ed interpretare gli indirizzi MAC, mentre gli switch multilayer riescono ad interpretare gli indirizzi IP, i protocolli TCP e UDP e diversi protocolli applicativi come l’HTTP. Grazie agli switch multi-livello si distinguono i 3 livelli logici di una switched network (rete switch): -

-

Access Layer: rappresenta il bordo della rete, in cui il traffico entra o esce dalla rete, e si focalizza sulla connessione fra end device; Distribution Layer: è all’interno della rete, rappresenta il livello in cui il traffico viene instradato al fine di farlo giungere a destinazione correttamente. In base al tipo di informazioni, potrebbe essere utilizzato uno switch multi-livello che gestisce gli indirizzi IP e i protocolli di trasporto. Dal momento che si occupa di instradamento, è compito del distrinbution layer individuare una backup route da utilizzare nel caso in cui qualche link sia per qualche motivo inutilizzabile; Core Layer: è definito il backbone della rete. È il livello responsabile della velocità e della affidabilità della trasmissione all’interno della rete.

Quali sono i metodi di switching? I metodi di switching, anche chiamati metodi di frame forwarding, indicano i criteri secondo cui uno switch, ricevuto un pacchetto, lo inoltra sulle sue interfacce. I metodi che conosciamo sono due: -

-

Store and Forward: lo switch aspetta di ricevere l’intero pacchetto prima di inoltrarlo. Inoltre, attua un controllo degli errori di tipo CRC (Cyclic Redundancy Check) utilizzando una FCS (Frame Check Sequence). Qualora venissero trovati degli errori, verrebbe richiesto il rinvio del pacchetto; Fast Forward: questo metodo comprende a sua volta due metodi distinti: o Cut Through: legge il pacchetto fino al MAC destinazione e lo inoltra; o Fragment Free: legge i primi 64 byte del pacchetto (perché è lì che si verificano la maggior parte delle collisioni) e se tutto va bene lo inoltra.

Che cosa sono le collisioni e come si evitano? Le collisioni sono fenomeni dannosi per la trasmissione che si possono verificare nel momento in cui due host provano a comunicare tramite lo stesso canale di trasmissione simultaneamente. Per la prevenzione di questo fenomeno, si possono utilizzare due sistemi: -

-

CSMA/CD (Collision Detection): questo sistema si assicura che, nel momento della trasmissione, il canale trasmissivo sia libero e che si possa quindi iniziare la comunicazione senza rischi. In questo modo, la trasmissione è libera da eventuali collisioni; CSMA/CA (Collision Avoidance): tramite l’utilizzo di un pacchetto di ACK (Acknowledgement) l’host trasmittente l’host “dall’altra parte” che sta per iniziare una trasmissione.

Entrambi questi sistemi sono caratteristici di canali di comunicazione Half-Duplex poiché, in questo tipo di comunicazione entrambi gli host comunicano sullo stesso mezzo.

Che cosa sono gli errori di input? Gli errori di input sono errori che si verificano nel momento in cui un pacchetto viene ricevuto a livello fisico dalla interfaccia di rete e riguardano principalmente le dimensioni del frame. Ecco alcuni esempi: -

Frame Runt: quando un frame Ethernet, a seguito di malfunzionamenti della NIC (Network Interface Card), ha una dimensione minore alla dimensione minima dei pacchetti; Frame Giant: quando un frame Ethernet ha dimensioni maggiori rispetto al normale; Errori CRC: sono dovuti al malfunzionamento del mezzo trasmissivo e si ripercuoto influenzando i frame con eccessivo rumore che ne manomette il contenuto informativo.

Che cosa sono gli errori di output? Gli errori di output sono quegli errori che impediscono la finale trasmissione del pacchetto da parte dell’interfaccia che si occupa di inoltrarlo. Alcuni esempi sono: -

Collisioni: sono frequenti nelle connessioni Half-Duplex; Collisioni tardive: sono errori dovuti ad una scorretta configurazione delle interfacce Full-Duplex.

Come posso accedere in modo sicuro allo switch? Per accedere in maniera sicura allo switch ci sono diverse strategie da mettere in atto: -

Configurare il dominio di IP; Generare una coppia di chiavi RSA: le chiavi RSA permettono la criptazione delle informazioni; Abilitare SSHv2: la versione 2 del protocollo SSH è più sicura; Configurare le linee VTY: saranno le linee utilizzate per l’accesso da remoto; Disabilitare le porte inutilizzate; Port security: limitare i MAC address che possono accedere allo switch e quindi trasmettere.

Come posso limitare i MAC che accedono allo switch? Per limitare i MAC address che possono accedere allo switch al fine di modificarne la configurazione o, più banalmente, di trasmettere dei pacchetti ad altri host, si possono utilizzare tre metodi: -

-

MAC acquisiti staticamente: l’admin aggiunge manualmente i MAC “sicuri” ed essi vengono salvati nella running-config. Sarà necessario salvare tutto nella NVRAM per attuare i cambiamenti; MAC acquisiti dinamicamente : mano a mano che il MAC inoltra pacchetti, salva nella MAC address table i MAC dei pacchetti trasmessi e li salva automaticamente ma temporaneamente. Una MAC address table così popolata viene resettata al riavvio dello switch; MAC acquisiti tramite Sticky Mode : tutti gli indirizzi acquisiti dinamicamente presenti nella MAC address table vengono copiati nella running-config. Se rimangono dei posti liberi nella MAC address table, lo switch acquisisce altri MAC dinamicamente. Questi ultimi indirizzi però non vengono salvati nella running-config e vengono persi al riavvio. Anche qui, bisogna salvare nella NVRAM.

Che cosa sono le violazioni e come possono essere gestite? Le violazioni sono dei tentativi di accesso non autorizzato allo switch e possono verificarsi nel caso in cui un MAC non registrato provi ad accedere allo switch oppure nel momento in cui un MAC presente nella tabella prova ad accedere ad una porta che non è prevista dalla sua VLAN. Lo switch può agire in tre modi diversi: -

Protect: una volta raggiunto il numero massimo di MAC sicuri, tutti i pacchetti che accedono allo switch che non hanno un MAC riconosciuto vengono droppati; Restrict: è una modalità identica a protect, in più incrementa il counter di violazioni avvenute e notifica l’admin della violazione; Shutdown: quando viene registrata una violazione su una interfaccia, essa viene disattivata. Per capire se una interfaccia è disattivata, è sufficiente assicurarsi che il relativo LED sia spento.

Nei router Cisco, è possibile indicare la politica di gestione delle violazioni con il comando switchport portsecurity. L’immissione di questo comando è facoltativa, ma omettendolo il router rimane pericolosamente esposto al rischio di violazioni. Se inserito senza nessun argomento, viene attuata la politica di default (shutdown), ma è possibile indicare dopo il comando quale politica utilizzare. Esempio: switchport port-security restrict

Come possono essere configurate le interfacce dello switch? Le interfacce dello switch, responsabili della ricezione e dell’inoltro dei pacchetti, possono essere configurate in due modi diversi, in base al dispositivo che si trova dall’altra parte del cavo: -

Access mode: indica un collegamento fra end device e switch; Trunk mode: indice un collegamento fra due switch o fra switch e router. Questa particolare modalità permette la comunicazione fra VLAN grazie al protocollo 802.1Q, che vedremo subito.

Che cosa sono le VLAN?

Le VLAN sono un raggruppamento prettamente logico di una rete che in realtà è fisicamente unita. L’idea di VLAN è simile all’idea di sottorete poiché ognuna è caratterizzata da domini e indirizzi personali che permettono ai dispositivi di comunicare fra di loro in maniera separata dalle altre VLAN. Questa suddivisione offre diversi vantaggi: -

Sicurezza: tramite la creazione di una VLAN con dati segreti, l’accesso indesiderato è più difficile; Riduzione dei costi: la divisione virtuale anziché fisica è un grande risparmio; Riduzione dei domini di broadcast: conseguente riduzione del traffico generale....