Il Protocollo IPv6 e Progetto Di Una Rete Aziendale
Il Protocollo IPv6 e Progetto Di Una Rete Aziendale
Il Protocollo IPv6 e Progetto Di Una Rete Aziendale
FACOLTA’ DI INGEGNERIA
Corso di Laurea Triennale in Ingegneria Informatica
Il protocollo IPv6 e
progetto di una rete aziendale
Relatore:
Prof. ENZO MINGOZZI
1. INTRODUZIONE ................................................................................................................................... 6
5. CONCLUSIONI .................................................................................................................................... 48
6. BIBLIOGRAFIA .................................................................................................................................. 49
2.6. Organizzazione dei moduli di progetto e attribuzione delle relative risorse .................................................63
3.5. Dispositivi impiegati in ogni Distribution Facilities della rete comune .........................................................73
3.5.1. MDF ............................................................................................................................................................... 73
3.5.2. Tabella riassuntiva dispositivi impiegati ........................................................................................................ 74
2. Comunicazione tra PC e server appartenenti alla stessa VLAN (NcbN.pkt – scenario 1) ..................................114
Sono passati alcuni anni da quando il protocollo IPv6 è stato specificato. In questi anni l‟attuale
versione del protocollo IP ha mostrato capacità di sopravvivenza inimmaginabili, pur tuttavia le
ragioni per un nuovo protocollo non sono venute meno e l‟esaurimento degli indirizzi IP sta
diventando una preoccupazione concreta per gli Internet Service Provider.
IPv6 offre uno spazio d‟indirizzamento davvero ampio e propone nuovi meccanismi per la
configurazione automatica dei terminali; queste novità sono sufficienti a fare di IPv6 un protocollo
incompatibile con IPv4 e quindi a rendere il problema della migrazione alquanto complesso.
I Service Provider stanno studiando le modalità più opportune per affiancare il trasporto di IPv6 a
quello di IPv4 con i minimi impatti su tutte le componenti tecnologiche, infrastrutture di rete,
piattaforme di controllo, servizio e gestione e terminali d‟utente.
Si prospetta all‟orizzonte uno scenario in cui i due protocolli coesisteranno a lungo e anche altri
segnali fanno intravedere la prospettiva di una rete sempre più eterogenea. La nuova frontiera del
networking potrebbe proprio essere quella di gestire secondo nuovi paradigmi questa realtà
diversificata.
IPv6 è la nuova versione di IP che succede a IPv4, protocollo che è alla base di Internet, delle
Intranet e di molte reti aziendali.
Alla fine degli anni ‟70, quando fu definito il protocollo IPv4 ancora oggi in uso [1], un campo
indirizzo di 32 bit, corrispondente ad uno spazio di 2^32 (circa 4,3 miliardi) di indirizzi, sembrò
sufficiente a soddisfare ogni possibile espansione di Internet.
Tuttavia, già nella metà degli anni ‟90, apparve chiaro che la limitazione dello spazio di
indirizzamento, anche a causa delle soluzioni tecniche e delle politiche di assegnazione adottate,
sarebbe diventato a breve un vincolo all‟espansione della rete. Furono quindi adottate soluzioni
tecniche per contrastare l‟esaurimento degli indirizzi (principalmente CIDR e NAT [2]), e fu
operata una prima revisione delle politiche di assegnazione.
Sono state fatte varie previsioni realistiche sulla possibile data di esaurimento [3]. Dal 2004 al 2009
sono state assegnate 54 classi A, circa 10 l‟anno, con un picco di 13 nel 2007. Ne rimangono 31 da
allocare; a questi ritmi, potranno bastare per 24/36 mesi. Quindi, se nulla di nuovo succede, entro il
2012 non saranno più disponibili indirizzi IPv4.
Il grande successo di Internet e delle Intranet va di pari passo con quello dell‟architettura di rete che
ne è alla base. Il protocollo IPv4 si è dimostrato affidabile, facile da implementare e interoperativo,
nonché scalabile dalle dimensioni di un sistema di reti semplice fino a quelle di un'utilità globale
qual è Internet oggi. Ciò va ascritto alla struttura di progettazione iniziale.
Per ovviare a tali inconvenienti, il gruppo IETF ha sviluppato una suite di protocolli e standard noti
come IPv6 (IP versione 6). La nuova versione applica molti metodi proposti per l'aggiornamento del
protocollo IPv4. Per garantire un impatto minimo di IPv6 sui protocolli di livello superiore e
inferiore, l'aggiunta arbitraria di nuove funzionalità è stata limitata al minimo indispensabile.
Ma allora che fine ha fatto IPv5? Il numero di versione 5 è stato assegnato a un protocollo
sperimentale di streaming flow-oriented (ST2+, definito nel RFC 1819 [4]), simile a IPv4, ma
rivolto al supporto video e audio.
Il protocollo IPv6 rappresenta l'evoluzione di molte proposte di IETF e di diversi gruppi di lavoro
incentrati sullo sviluppo di un IP Next Generation. Esso rappresenta oltre tre anni di sforzi
concentrati su quest‟argomento.
La creazione di gruppi di lavoro avvenne al meeting IETF del 1992 svoltosi a Boston.
Dall‟inverno del 1992, la comunità di Internet sviluppò quattro proposte separate per IPng. Queste
erano "CNAT", "IP encaps", "Nimrod", e "Simple CLNP". Dal dicembre 1992 si aggiunsero altre
tre proposte: "The P Internet Protocol" (PIP), "The Simple Internet Protocol" (SIP) e "TP/IX". Nella
primavera del 1992, il "Simple CLNP" si evolse in "TCP and UDP with Bigger Addresses" (TUBA)
mentre "IP encaps" si evolse in "IP Address Encapsulation" (IPAE).
TUBA proponeva l‟utilizzo di indirizzi Network Service Access Point (NSAP) fissi a 20
ottetti;
SIP proponeva un IP con indirizzi su 64 bit;
IPAE proponeva una sorta di “IP in IP”; in altre parole due livelli di IP uno sopra l‟altro, un
IP per interconnessioni mondiali e un IP per interconnessioni locali;
PIP prevedeva un approccio innovativo riguardo alle politiche di routing e alla mobilità;
CATNIP prevedeva l‟integrazione di diversi protocolli di rete (IP, CLNP, IPX) e di
trasporto (TP4, SPX, TCP, UDP);
SIPP proponeva indirizzi su 128 bit.
SIPP puntava al mantenimento delle caratteristiche positive, alla correzione di quelle negative e alla
semplicità, estendendo gli indirizzi e eliminando i campi superflui.
Grazie alla sua semplicità architetturale, IPv6 (SIPP) fu raccomandato dagli IPng Area Directors di
IETF al meeting IETF di Toronto il 25 Luglio 1994 nel RFC 1752 [5], The Recommendation for the
IP Next Generation Protocol. La raccomandazione fu approvata dall‟Internet Engineering Steering
Group e resa standard il 17 Novembre 1994.
Il nucleo dei protocolli IPv6 fu steso in una draft standard il 10 Agosto 1998.
Le tecniche di NAT, se da una parte sono sempre state osteggiate da parte degli architetti di
Internet, hanno sempre trovato terreno abbastanza fertile tra gli ISP.
IPv6 dal punto di vista degli ISP è sicuramente una scelta molto più controversa. Il regime di
concorrenza impone ad essi attenzione alle richieste del mercato, alla stabilità delle reti e ai costi
delle soluzioni fornite. IPv6 sembra andare contro tutti questi principi basilari della fase
commerciale di Internet. Non vi è richiesta da parte del mercato perché non vi sono ad oggi nuove
prestazioni abilitate in IPv6 che non siano già disponibili in IPv4. Dal punto di vista della stabilità
della rete, anche se negli ultimi dieci anni si sono moltiplicate le sperimentazioni, vale la massima
generale, che ogni cambiamento introduce necessariamente transitori in cui si creano disservizi. Da
ultimo i costi: per partire occorre intervenire riprogettando la rete, formando il personale,
aggiornando le release sulle macchine; nel transitorio in cui la rete sarà dual stack, occorre disporre
Nei Service Provider è, quindi, ancor oggi radicata la convinzione che, anche se il passaggio ad
IPv6 sarà inevitabile, saranno necessariamente coloro che si muoveranno per primi a sostenere i
maggiori costi e ad avere maggiori ritorni negativi. Secondo questa logica è quindi conveniente
procrastinare l‟introduzione di IPv6 il più a lungo possibile. Ma è davvero questa la logica corretta?
Il dubbio è più che legittimo; la migrazione verso IPv6 come detto è un processo molto lungo e chi
parte troppo tardi rischia di trovarsi in difficoltà, esattamente come chi inizia la migrazione troppo
presto.
Dal punto di vista degli ISP quindi l‟unica strategia vincente, o forse non perdente, è quella di un
progressivo adeguamento dell‟infrastruttura, con una realistica attenzione ai costi.
1.5. Riferimenti
[3] http://www.potaroo.net/tools/ipv4/index.html
Vediamo ora quali sono le principali caratteristiche di IPv6, necessarie per comprendere al meglio
le relazioni di interoperabilità con l‟attuale versione del protocollo.
Per soddisfare l‟incremento esponenziale del numero di utenti e dispositivi connessi a Internet, la
nuova versione dell‟Internet Protocol introduce un nuovo formato di indirizzi a 128 bit.
Un indirizzo IPv6 è di solito rappresentato da sedici campi ognuno dei quali rappresenta un numero
decimale da 0 a 255 o da otto campi di quattro cifre esadecimali (otto parole di 16 bit ciascuna)
separati da “:”. Per esempio:
Per brevità di notazione, poi, è possibile sostituire (tecnica zero compression) sequenze contigue di
valori nulli con un unico campo vuoto ed omettere eventuali zeri in testa di ciascun campo.
805B:2D9D:DC28::FC57:D4C8:1FFF
È possibile sapere quanti zeri sono stati rimpiazzati dai due punti poiché si vedono quanti campi
non compressi ci sono nell‟indirizzo. In questo caso sono sei, quindi :: rappresenta due campi di
zeri. Per evitare ambiguità, i doppi due punti possono apparire solo una volta in ogni indirizzo IP,
perché se così non fosse, non si potrebbe sapere quanti zeri sono stati rimpiazzati da ognuno di loro.
C‟è un‟ultima notazione alternativa, detta notazione mista, usata in alcuni casi, soprattutto per
esprimere indirizzi IPv6 che incorporano al loro interno indirizzi IPv4. Per questi, è utile mostrare
la porzione di indirizzo IPv4 nella vecchia notazione decimale puntata. Poiché si usano 32 bit per
l‟indirizzo IPv4, la notazione presenta i primi 96 bit in notazione esadecimale e gli ultimi 32 in
notazione decimale. A tal proposito, si può scrivere per esempio:
805b2D9D:DC28::FC57:212.200.31.255
Come gli indirizzi IPv4 classless, gli indirizzi IPv6 sono fondamentalmente divisi in una parte
identificativa della rete (prefisso) seguita da una parte identificativa dell‟host. La lunghezza del
prefisso è indicata come per gli indirizzi classless IPv4 da un carattere “/” seguito dal numero di bit
che lo compongono. Per esempio:
805B: 2D9D:DC28::FC57:D4C8:1FFF/48
Come era stato per IPv4, due delle cose principali che riguardavano la divisione dello spazio degli
indirizzi IPv6 furono l‟assegnamento degli indirizzi e il routing. I progettisti di IPv6 volevano
strutturare lo spazio degli indirizzi in modo da rendere l‟allocazione degli indirizzi da parte degli
ISP, delle organizzazioni e dei singoli il più semplice possibile.
L‟allocazione di parti diverse dello spazio degli indirizzi è ancora una volta basata su particolari
sequenze di bit più significativi (da tre a dieci) dell‟indirizzo, così da permettere ad alcune categorie
di avere più indirizzi degli altri.
Per comprendere la tabella, è utile vedere l‟indirizzo IPv6 come suddiviso in otto parti. Di queste,
una (001) è stata riservata agli indirizzi unicast, una seconda (000) è stata usata per ricavarvi
blocchi di indirizzi riservati più piccoli, una terza (111) è stata usata per sottoblocchi per indirizzi
local e multicast. Cinque non sono ancora state assegnate.
Gli indirizzi unicast sono quelli più utilizzati per il traffico Internet in IPv6, così come in IPv4. Per
questo motivo il più grande blocco dello spazio degli indirizzi IPv6 (001) è dedicato
all‟indirizzamento unicast.
Il modo più semplice per dividere i 128 bit dello spazio degli indirizzi unicast è in tre parti:
Il prefisso e l‟identificatore di sottorete rappresentano i due livelli base sui quali gli indirizzi devono
essere costruiti gerarchicamente, ovvero livello globale e livello specifico locale. La topologia
pubblica è l'insieme degli ISP maggiori e minori che offrono accesso alla rete Internet IPv6. La
topologia locale è l'insieme delle subnet all'interno del sito di un'organizzazione. L'identificatore di
interfaccia identifica un'interfaccia specifica in una subnet all'interno del sito di un'organizzazione
(RFC 2374 An IPv6 Aggregatable Global Unicast Address Format [1]).
In teoria possono essere usati due valori n e m qualsiasi, ma in genere si assegnano 48 bit al prefisso
e 16 bit all‟identificatore di sottorete. Gli altri 64 bit sono così disponibili per gli identificatori di
interfaccia.
Come si vede, i 16 bit dell‟identificatore di sottorete permettono una certa flessibilità nella
creazione di sottoreti. Per esempio:
Con IPv6 viene creato un miglior modo di mappare indirizzi IP unicast e indirizzi fisici di rete. I bit
a disposizione per l‟identificatore di interfaccia sono 64. Questo consente una maggiore flessibilità
e permette di amministrare le reti in maniera più semplice.
Di seguito sono descritti i diversi modi in cui viene determinato un identificatore di interfaccia:
Universale/Locale (U/L): il bit U/L è il settimo bit del primo byte e consente di determinare
se l'indirizzo è amministrato universalmente o localmente. Se il bit U/L è impostato su 0,
l'indirizzo è amministrato dall'IEEE attraverso la designazione di un ID azienda univoco. Se
il bit U/L è impostato su 1, l'indirizzo è amministrato localmente, ovvero l'amministratore di
rete ha ignorato l'indirizzo originale e ha specificato un indirizzo diverso;
Individuale/di gruppo (I/G): il bit I/G è il bit meno significativo del primo byte e consente di
determinare se l'indirizzo è individuale (unicast) o di gruppo (multicast). Se il bit è
impostato su 0, l'indirizzo è unicast. Se il bit è impostato su 1, l'indirizzo è multicast.
Nell'indirizzo di una scheda di rete 802.x, entrambi i bit U/L e I/G sono impostati su 0 indicando un
indirizzo MAC unicast universale.
L'indirizzo IEEE EUI-64 (extended unique identifier), invece, rappresenta un nuovo standard per
l'indirizzamento delle interfacce di rete. Gli indirizzi EUI-64 vengono assegnati alla scheda di rete o
derivati dagli indirizzi IEEE 802. L'ID azienda di 24 bit e l'ID estensione di 40 bit creano uno
spazio di indirizzi di dimensioni maggiori per il produttore di schede di rete. I bit U/L e I/G
vengono utilizzati nell'indirizzo EUI-64 in modo analogo all'indirizzo IEEE 802.
Per creare un indirizzo EUI-64 da un indirizzo IEEE 802, i 16 bit di 11111111 11111110 (0xFFFE)
vengono inseriti nell'indirizzo IEEE 802 tra l'ID azienda e l'ID estensione.
Il protocollo IPv6 e progetto di una rete aziendale Pagina 16
Per ottenere l'identificatore di interfaccia a 64 bit per gli indirizzi unicast IPv6, il bit U/L
nell'indirizzo EUI-64 viene reso complementare (modified EUI-64), ovvero se il valore è 1, viene
impostato su 0, mentre se il valore è 0, viene impostato su 1.
Per ottenere un identificatore di interfaccia IPv6 da un indirizzo IEEE 802, è necessario innanzi
tutto eseguire il mapping dell'indirizzo IEEE 802 su un indirizzo EUI-64, quindi rendere
complementare il bit U/L.
Una piccola parte dello spazio di indirizzi IPv6 (0,1%) è riservato ad indirizzi speciali. Il compito di
questi indirizzi o blocchi di indirizzi è quello di fornire indirizzamento per servizi particolari e per
l‟utilizzo privato in reti IPv6.
Riservati: una parte dello spazio di indirizzi è riservato per vari usi di IETF. Il blocco di
indirizzi riservati si trova in cima allo spazio di indirizzi e comincia con 0000 0000. Esso
rappresenta 1/256 dello spazio totale;
Privati: gli indirizzi privati sono validi esclusivamente su uno specifico link fisico o
all‟interno dell‟organizzazione locale. Hanno i primi nove bit a 1111 1110 1, ovvero in
esadecimale hanno un primo ottetto FE. Questi indirizzi sono ulteriormente divisi in due
tipi: site-local e link-local:
▪ Indirizzi site-local (FEC0::/10): sono validi esclusivamente all‟interno
dell‟organizzazione locale. In notazione esadecimale, questi indirizzi cominciano
con FE, seguiti poi da C a F per la terza cifra; quindi cominciano con FEC, FED,
FEE, FEF. Il loro uso è stato sconsigliato nel settembre 2004 con il RFC 3879 [4].
▪ Indirizzi link-local (FE80::/10): sono validi esclusivamente sullo specifico link
fisico. Servono, quindi, solo per la comunicazione locale su un particolare segmento
di rete. Possono essere usati per la configurazione degli indirizzi o per funzioni di
neighbor discovery. Cominciano con FE, seguiti poi da 8 a B per la terza cifra
esadecimale. Quindi cominciano con FE8, FE9, FEA, FEB.
Loopback: è un indirizzo associato al dispositivo di rete che ripete come eco tutti i pacchetti
che gli sono indirizzati. L‟indirizzo di loopback è 0:0:0:0:0:0:0:1, espresso usando la tecnica
zero compression come ::1;
Non specificato: l‟indirizzo composto da tutti zeri (::) viene utilizzato per indicare qualsiasi
indirizzo e viene utilizzato esclusivamente a livello software. Di solito viene utilizzato nel
campo sorgente di un datagramma da un dispositivo che richiede un indirizzo IP per la
configurazione.
Una delle modifiche più significative introdotte dal modello di indirizzamento IPv6 riguarda i tipi di
indirizzi e il modo in cui esse vengono utilizzati. Sebbene gli indirizzi unicast siano ancora la
stragrande maggioranza nelle comunicazioni, i metodi di indirizzamento sono diversi in IPv6. Gli
indirizzi broadcast come specifica classe di indirizzamento sono stati eliminati. Invece, il supporto
al multicast è stato espanso e ciò ha richiesto l‟introduzione di un nuovo tipo di indirizzi detti
anycast.
Per capire meglio il significato di “ambito” e come tale nozione permetta al multicast IPv6
di essere limitato a precise sfere di influenza è interessante la seguente figura:
Per identificare tutti i nodi degli ambiti locali al nodo e al collegamento, vengono definiti i seguenti
indirizzi multicast:
Per identificare tutti i router degli ambiti locali al nodo, al collegamento e al sito, vengono definiti i
seguenti indirizzi multicast:
Gli indirizzi anycast sono un tipo particolare di indirizzi introdotto con IPv6 [5]. Un indirizzo
anycast identifica più interfacce. Utilizzando la topologia di routing appropriata, i pacchetti
indirizzati a un indirizzo anycast vengono recapitati a una singola interfaccia, ovvero l'interfaccia
più vicina identificata dall'indirizzo. Si tratta dell'interfaccia più vicina in termini di distanza di
routing. A differenza degli indirizzi multicast che vengono utilizzati per la comunicazione uno-a-
molti con recapito a più interfacce, gli indirizzi anycast vengono utilizzati per la comunicazione
uno-a-uno-di-molti con recapito a una singola interfaccia.
Per facilitare il recapito al membro del gruppo anycast più vicino, è necessario che l'infrastruttura di
routing riconosca le interfacce a cui sono state assegnati indirizzi anycast e la loro distanza in
termini di metrica di routing. Attualmente, gli indirizzi anycast vengono utilizzati come indirizzi di
destinazione e assegnati solo ai router. Gli indirizzi anycast vengono assegnati dallo spazio di
indirizzi unicast. L'ambito di un indirizzo anycast corrisponde all'ambito del tipo di indirizzo
unicast dal quale l'indirizzo anycast viene assegnato.
L'indirizzo anycast subnet-router è predefinito e obbligatorio. Questo tipo di indirizzo viene creato
dal prefisso della subnet di una determinata interfaccia. Per creare l'indirizzo anycast subnet-router,
i valori appropriati dei bit del prefisso della subnet rimangono fissi, mentre i bit rimanenti vengono
impostati su 0. L'indirizzo anycast subnet-router viene assegnato a tutte le interfacce di router
Version [4 bit] - Indica la versione del datagramma IP: per IPv6, ha valore 6 (da qui il nome
IPv6);
Traffic Class [8 bit] - Si traduce come "classe di traffico", permette di gestire le code by
priority assegnando ad ogni pacchetto una classe di priorità rispetto ad altri pacchetti
provenienti dalla stessa sorgente. Viene usata nel controllo della congestione. I valori
possibili sono i seguenti:
La parte successiva contiene il carico utile (payload in inglese) lungo come minimo 1280 byte o
1500 byte se la rete supporta un MTU variabile. Il carico utile può raggiungere i 65.535 byte in
modalità standard o può essere di dimensioni maggiori in modalità "jumbo payload".
IPv6 è molto flessibile riguardo al supporto delle opzioni attraverso le estensioni dell'header. Le
estensioni dell'header sono disposte fra l‟header e l'intestazione di livello superiore e sono
concatenate insieme usando il campo Next Header nell'intestazione IPv6. I possibili valori sono:
Una delle più interessanti caratteristiche implementate in IPv6 è una funzione che permette ai
dispositivi presenti su una rete IPv6 configurarsi indipendentemente. In IPv4 gli host erano
generalmente configurati manualmente. Solo più tardi, i protocolli di configurazione come il DHCP
permisero ai server di allocare indirizzi IP agli host che venivano ad unirsi alla rete.
IPv6 si allontana da questo concetto, definendo un metodo con il quale i dispositivi possano
automaticamente configurare i loro indirizzi IP e altri parametri senza bisogno di un server.
Inoltre definisce un metodo con il quale gli indirizzi IP su una rete possono essere rinumerati
(cambiati in massa).
I meccanismi di autoconfigurazione e di rinumerazione sono definiti nel RFC 2462, “IPv5 Stateless
Address Autoconfiguration” [6]. La parola stateless contrasta con il metodo detto stateful che
utilizza una sorta di protocollo DHCPv6. Tale metodo viene detto stateless perché l‟host
inizialmente non ha nessuna informazione e non ha bisogno di un server DHCP.
Questi sono i passi che un dispositivo deve fare quando utilizza l‟autoconfigurazione stateless:
Questo metodo presenta degli evidenti vantaggi rispetto sia alla configurazione manuale sia a quella
basata su server soprattutto per quanto riguarda la mobilità dei dispositivi.
2.9. Riferimenti:
[3] RFC 3041Privacy Extensions for Stateless Address Autoconfiguration in IPv6: http://www.rfc-
editor.org/rfc/rfc3041.txt
Le differenze fondamentali si limitano al formato del header dei pacchetti, alla struttura degli
indirizzi ed ai meccanismi per assegnare ed utilizzare gli indirizzi all‟interno della rete. Queste
differenze sono sufficienti a fare di IPv6 un protocollo simile ma incompatibile con IPv4 e quindi a
determinare i conseguenti problemi di migrazione.
Vediamo quali sono i cambiamenti principali introdotti dal protocollo IPv6 rispetto alla versione
precedente.
L'intestazione IPv6 dispone di un nuovo formato creato per ridurre al minimo il sovraccarico. Sia i
campi non essenziali sia i campi facoltativi vengono spostati in intestazioni di estensione, poste
dopo l'intestazione IPv6. L'intestazione IPv6 così semplificata garantisce un‟elaborazione più
efficiente nei router intermedi.
La più importante caratteristica di IPv6 è un maggiore spazio degli indirizzi rispetto a IPv4: gli
indirizzi in IPv6 sono di 128 bit, contro i 32 bit degli indirizzi IPv4.
Questo maggiore spazio di indirizzi supporta un totale di 2^128 (circa 3.4x10^38) indirizzi, vale a
dire 655.570.793.348.866.943.898.599 indirizzi IPv6 per metro quadrato di superficie terrestre.
Sebbene questi numeri siano impressionanti, l‟intento non è certamente quello di assicurare un
numero sufficiente di indirizzi. Piuttosto, un maggior numero di bit consente una migliore,
sistematica e gerarchica allocazione degli indirizzi e un‟efficiente aggregazione delle rotte. In altre
parole: flessibilità.
La dimensione di una sottorete in IPv6 è di 264 indirizzi (subnet mask a 64 bit), ovvero il quadrato
delle dimensioni dell‟intera Internet IPv4.
Pertanto,il tasso di utilizzo effettivo dello spazio di indirizzi sarà probabilmente minore in IPv6, ma
la gestione della rete e il routing saranno più efficaci per le decisioni di progettazione inerenti alla
grandezza delle sottoreti e all‟aggregazione gerarchica delle rotte. Inoltre il numero molto più
Il protocollo IPv6 e progetto di una rete aziendale Pagina 28
elevato di indirizzi disponibili le tecniche di risparmio degli indirizzi, quali l'applicazione del
protocollo NAT, non risultano più necessarie.
3.3. Frammentazione
Le differenze più importanti fra IPv4 ed IPv6 riguardo a datagram size, MTU, frammentazione e
riassemblaggio, sono:
Aumento del default MTU: in IPv4, l'MTU minimo che i router ed i collegamenti fisici
possono gestire era di 576 byte. In IPv6, tutti i collegamenti gestiscono formati dei
datagrammi di almeno 1280 byte. Tale incremento nel formato migliora l'efficienza
aumentando il rapporto fra carico utile massimo e la lunghezza dell'intestazione e riducendo
la frequenza con cui la frammentazione è richiesta.
Eliminazione della frammentazione da parte dei Router: in IPv4, i datagrammi possono
essere frammentati dal nodo sorgente o dai router intermedi durante la consegna. In IPv6,
soltanto la sorgente può effettuare la frammentazione, i router non hanno questa possibilità
per motivi di efficienza. La sorgente deve quindi frammentare fino al più piccolo MTU
sull'itinerario prima della trasmissione. Ciò presenta sia vantaggi sia svantaggi. Il
riassemblaggio dei frammenti naturalmente è fatto soltanto dalla destinazione, come in IPv4.
3.4. Multicast
Il multicast, ovvero la capacità di inviare un singolo pacchetto a più destinatari, fa parte delle
specifiche di base di IPv6, ma in modo diverso che in IPv4, dove è facoltativo (anche se in genere
implementato).
IPv6 non implementa il broadcast, ovvero la possibilità di inviare un pacchetto a tutti gli host
presenti sul link diretto. Lo stesso effetto può essere raggiunto inviando un pacchetto multicast al
gruppo composto da tutti gli host del link locale.
Il multicast in IPv6 condivide alcune caratteristiche e alcuni protocolli con il multicast di IPv4, ma
fornisce anche modifiche e miglioramenti. Quand‟anche il più piccolo prefisso IPv6 di routing
globale viene assegnato a un‟organizzazione, all‟organizzazione viene assegnato l‟uso di 4,2
miliardi di gruppi multicast, da utilizzare per applicazioni multicast intra ed extra dominio (RFC
3306 [1]). In IPv4 invece era molto difficile per un‟organizzazione ottenere anche un solo gruppo
multicast per il routing extra dominio e quindi l‟implementazione di soluzioni era veramente
complicata.
IPv6 supporta anche nuove soluzioni multicast, come Embedded Rendezvous Point (RFC 3956 [2]),
che semplifica lo sviluppo di soluzioni extra dominio.
Per semplificare la configurazione di host, IPv6 supporta sia la configurazione di indirizzi con
informazioni sullo stato (ad esempio la configurazione in presenza di un server DHCP) che la
configurazione di indirizzi senza informazioni sullo stato (configurazione di indirizzi in assenza di
un server DHCP). Tramite la configurazione di indirizzi senza informazioni sullo stato gli host
appartenenti a un collegamento vengono configurati automaticamente con indirizzi IPv6 per il
collegamento (indirizzi locali del collegamento) e con indirizzi derivati da prefissi annunciati dai
router locali. Anche in assenza di un router gli host dello stesso collegamento possono essere
configurati automaticamente con indirizzi locali del collegamento e comunicare senza richiedere
operazioni di configurazione manuali.
Anche in IPv6, il protocollo di configurazione dinamica degli host si basa su modello client/server,
ma in questo caso affianca il metodo di autoconfigurazione stateless degli host introdotto dalla
nuova versione. Tale protocollo può dunque essere usato per assegnare dinamicamente gli indirizzi
su una rete se l‟amministratore desidera un maggiore controllo rispetto al metodo automatico.
Oppure può essere utilizzato anche per distribuire informazioni che non sono ricavabili in nessun
altro modo, come ad esempio il DNS server (tuttavia, l‟indirizzo del DNS server può essere inviato
tramite il Neighbor Discovery Protocol [3]).
Solicit;
Advertise;
Request;
Reply;
Release;
Reconfigure.
È l‟evoluzione del protocollo ICMPv4. In esso vengono aggiunte nuove funzionalità che nel
protocollo precedente erano demandate ad altri livelli protocollari (come ad esempio l‟ARP) e tolte
altre che, invece, erano poco usate. Come nel caso della versione precedente, ICMPv6 [8] viene
usato per monitorare lo stato della rete e per inviare pacchetti di gestione e di errore.
L'ICMPv6 viene, inoltre, utilizzato anche per gestire i gruppi multicast, questa funzione è svolta dal
protocollo IGMP nelle reti IPv4. Per decidere il gruppo multicast i router o server inviano pacchetti
di membership query e gli host appartenenti ad un gruppo rispondono con un messaggio di
membership report. Questi ultimi vengono inviati costantemente dai client e per non provocare un
appesantimento della rete un campo di maximum response delay indica l'intervallo di invio dei
membership report. Nel momento in cui un host abbandona il gruppo multicast, viene inviato un
ICMPv6 di termination.
Sebbene compatibile anche con IPv4, IPSec (RFC2401) si è dovuto scontrare con la diffusione dei
dispositivi di NAT, che ne hanno reso impossibile una diffusione su larga scala. IPv6 è
stato invece progettato in modo tale da integrare nativamente i meccanismi di sicurezza
previsti da IPSec. La definizione di uno standard di questo genere a livello IP permette a tutte le
applicazioni, anche quelle non sicure per definizione, di usufruire di un canale comunicativo
affidabile anche dal punto della sicurezza. IPSec garantisce infatti l‟integrità, la provenienza e la
confidenzialità dei dati definendo un header per l‟autenticazione (AH) ed una funzionalità di
incapsulamento sicuro del payload (ESP), insieme a metodologie per la gestione delle chiavi e
particolari algoritmi di cifratura o autenticazione.
Il protocollo di rilevamento adiacente (ND, Neighbor Discovery) per IPv6 è una serie di messaggi
ICMPv6 (Internet Control Message Protocol per IPv6) che gestisce l'interazione dei nodi adiacenti
(ovvero dei nodi posti sullo stesso collegamento). Il protocollo di rilevamento adiacente sostituisce
il protocollo ARP (Address Resolution Protocol), il rilevamento router ICMPv4 e i messaggi
ICMPv4 con messaggi multicast e unicast di elevata efficienza, fornendo inoltre funzionalità
aggiuntive.
3.11. Estensibilità
In IPv4 le opzioni sono uno strumento attraverso cui è possibile aggiungere nuovi campi alla
header di base; si tratta comunque di uno strumento piuttosto limitato, dal momento che lo
spazio massimo disponibile è di soli 40 byte.
3.12. Riferimenti
[2] RFC 3956: Embedding the Rendezvous Point (RP) Addressing an IPv6 Multicast Address
http://www.rfc-editor.org/rfc/rfc3956.txt
[4] RFC 2463 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6
(IPv6) Specification: http://www.rfc-editor.org/rfc/rfc2463.txt
Il problema che sta alla base del passaggio alla nuova versione del protocollo IP è il fatto che IPv6 e
IPv4 sono di per sé protocolli incompatibili. Per potersi affermare IPv6 deve garantire la
compatibilità con i dispositivi IPv4 esistenti e fornire strumenti che facilitino il processo di
transizione.
La necessità di meccanismi di transizione efficaci è stata riconosciuta sin dalle prime fasi di
definizione di IPv6. Sono state fatte negli anni ripetute analisi sulle modalità di introduzione di IPv6
in una rete IPv4, con l‟obiettivo di preservare il più possibile gli investimenti, ridurre i disservizi e
procedere in modo graduale all‟abilitazione del nuovo protocollo.
I meccanismi proposti sono numerosi e variano a seconda dello scenario. La transizione sarà
graduale; non ci sarà un “D-Day”, ma un lungo periodo di coesistenza dei due protocolli. Il
processo non sarà breve, anzi potrebbe durare decenni.
Fase iniziale: la rete IPv6 si appoggia all‟infrastruttura IPv4 e i nodi IPv6 utilizzano
prevalentemente i servizi IPv4 esistenti;
Fase intermedia: i due protocolli coesistono;
Fase finale: la rete IPv4 si appoggia all‟infrastruttura IPv6 e i nodi IPv4 devono poter
utilizzare i servizi IPv6.
In generale le applicazioni devono comunque essere modificate per poter utilizzare IPv6. Bisogna
quindi prevedere meccanismi di transizione implementati sugli host, a livello di rete e basati su
traduttori di protocollo.
Da lungo tempo viene proposto l‟approccio cosiddetto dual-stack, basato sulla capacità di un router
di instradare pacchetti appartenenti a protocolli differenti.
Tale approccio è sicuramente il più semplice. Prevede che un nodo implementi entrambi i protocolli
e di conseguenza abbia, anche sulla stessa interfaccia, sia un indirizzo IPv4 che un indirizzo IPv6.
In questo caso le applicazioni IPv4-only utilizzano sempre IPv4. Per quanto riguarda, invece, le
applicazioni che supportano IPv6, il DNS risolve sia indirizzi IPv4 sia indirizzi IPv6; quindi, se la
destinazione ha un indirizzo IPv6 si utilizzerà IPv6, altrimenti se la destinazione ha soltanto un
indirizzo IPv4, si utilizzerà IPv4.
Per quanto riguarda i meccanismi di compatibilità a livello di rete, una delle soluzioni principali è
quella dei tunnel [1]. Tale soluzione permette di collegare reti IPv6 tra loro, anche se interconnesse
da nuvole IPv4.
I tunnel sono comunemente usati per trasportare un protocollo in una rete basata su un altro
protocollo. I tunnel IPv6-in-IPv4 permettono di utilizzare IPv6 senza disporre di una infrastruttura
All‟ingresso del tunnel i pacchetti IPv6 vengono incapsulati in pacchetti IPv4, vengono poi
instradati normalmente sulla rete IPv4 fino all‟altro estremo del tunnel dove vengono de capsulati.
A questo punto i pacchetti IPv6 contenuti sono elaborati normalmente, come se fossero giunti su
una qualunque altra interfaccia.
Ovviamente gli estremi del tunnel devono essere nodi dual stack. Da fuori il tunnel appare come un
solo hop IPv6. Dal punto di vista di IPv6, è come se la rete IPv4 fosse semplicemente una
tecnologia trasmissiva di livello due. L‟MTU di un tunnel è inferiore di 20 byte per via della
presenza dell‟header IPv4.
Tunneling configurato:
▪ Tunneling manuale.
Tunneling automatico:
▪ Indirizzi “IPv4-compatible”;
▪ 6over4;
▪ 6to4;
▪ Tunnel Broker;
▪ ISATAP;
▪ Teredo.
Vediamo i principali.
Vengono creati configurando manualmente gli estremi, specificando gli indirizzi IPv4 e IPv6
(qualunque tipo di indirizzo unicast) dell‟interfaccia del tunnel su entrambi. L‟utilizzo tipico di
questo genere di tunneling è quello di stabilire un collegamento punto-punto permanente tra due
router dual stack. Per questo motivo essi sono ampiamente utilizzati.
Questo tipo di tunneling viene spesso indicato impropriamente col nome di “automatic tunneling”.
In questo caso, viene definita una pseudo-interfaccia. Tutti i pacchetti uscenti da essa vengono
“tunnellati” in base all‟indirizzo IPv6 di destinazione: l‟indirizzo IPv4 dell‟estremo del tunnel è
determinato automaticamente dall‟indirizzo destinazione, usando il meccanismo degli indirizzi IPv6
“IPv4-compatibili” (del tipo ::a.b.c.d).
I tunnel automatici di questo tipo purtroppo però non riducono il fabbisogno di indirizzi IPv4,
poiché il tunnel è verso un solo nodo, identificato con il suo indirizzo IPv4; se il mittente è un nodo
dual stack, tanto vale allora utilizzare IPv4.
6over4 è un meccanismo di transizione volto a trasmettere pacchetti IPv6 tra nodi dual stack agli
estremi di una rete multicast IPv4. IPv4 viene usato come livello data link virtuale (da qui anche il
nome di “virtual ethernet”) sul quale IPv6 può viaggiare.
Tale meccanismo definisce un metodo banale per generare un indirizzo IPv6 link-local da un
indirizzo IPv4. Ogni host che desidera prendere parte a 6over4 su una rete IPv4 data può definire
un‟interfaccia di rete IPv6 virtuale. L‟indirizzo link-local è determinato nel modo seguente:
I limiti di questo metodo stanno nel confidare sulla disponibilità del multicast IPv4, che in realtà
non è così ampiamente supportato dalle infrastrutture di rete IPv4. Per questo motivo 6over4 ha un
uso pratico limitato e non è supportato dai più comuni sistemi operativi. Il suo uso è circoscritto alla
rete aziendale e non all‟intera Internet.
6to4 è un sistema che permette di trasferire pacchetti IPv6 su una rete IPv4 (generalmente la parte
IPv4 di Internet) senza il bisogno di configurare tunnel espliciti. Esistono convenzioni di routing
che permettono agli host 6to4 di comunicare con la parte IPv6 di Internet. È utilizzato
comunemente quando si vuole accedere alla parte IPv6 di Internet da una connessione con solo
accesso IPv4 (preferibilmente con indirizzo pubblico).
Dal punto di vista pratico 6to4 non fa altro che creare in modo automatico dei tunnel punto-punto
tra ogni host 6to4 e ogni altro, senza bisogno però di configurarli manualmente. Dato che tra due
host dual-stack configurati per 6to4 i pacchetti IPv6 viaggiano incapsulati in normali pacchetti
IPv4, non è necessario che i router e le altre apparecchiature di rete che li collegano supportino
IPv6.
Per ogni indirizzo IPv4 pubblico assegnato ad un determinato host, si ha un prefisso di rete IPv6 di
48 bit formato dal prefisso esadecimale 2002 seguito dai 32 bit dell'indirizzo IPv4 stesso [2].
Nell'utilizzo classico, ad ogni prefisso di 48 bit seguono uno SLA di 16 bit e un indirizzo di
interfaccia di 64 bit (che generalmente è calcolato automaticamente utilizzando il MAC univoco
della scheda di rete): questo permette di assegnare indirizzi IPv6 a 65536 sottoreti ognuna
contenente un numero pressoché arbitrario di host.
Per permettere ad un host configurato con 6to4 di comunicare con host IPv6 "nativi" vengono
utilizzati dei "relay router" che sono raggiungibili sia dalla rete nativa IPv4 che da quella IPv6.
Questi router instradano tutti i pacchetti 6to4 in arrivo sull'interfaccia IPv4 verso la rete IPv6 e
solamente i pacchetti IPv6 la cui destinazione ha il prefisso 2002::/16 al corrispondente indirizzo
IPv4.
Un host o router configurato con 6to4 che voglia comunicare con un indirizzo IPv6 "nativo" non
dovrà fare altro che utilizzare uno di questi "relay router" come gateway di default. Per facilitare
ulteriormente la configurazione è stato allocato l'indirizzo IPv4 anycast 192.88.99.1 (che in
notazione 6to4 corrisponde all'indirizzo IPv6 2002:c058:6301::) appositamente per indicare questi
router: utilizzandolo si comunicherà automaticamente con il "relay router" più vicino dal punto di
vista della topologia di rete.
semplice da configurare;
permette di utilizzare IPv6 senza disporre di indirizzi e senza avere un provider Ipv6 nativo;
non richiede alcun supporto particolare ai nodi.
gli indirizzi IPv6 sono legati all‟indirizzo IPv4 del router di bordo (quindi se cambia
l‟indirizzo IPv4, l‟intera rete deve essere rinumerata);
il relay router può essere molto lontano sia dal nodo sorgente (in IPv4) sia dal nodo
destinazione (in IPv6).
Il tunnel broker [3] è un‟applicazione web raggiungibile tramite IPv4 che crea automaticamente i
tunnel configurati. Un utente che desidera stabilire un tunnel lo richiede al broker attraverso una
pagina web, il broker identifica l‟utente e configura un router per creare il tunnel verso l‟utente e ne
comunica i parametri. Questo tipo di tunnel è molto utilizzato per utenti “occasionali”.
in 6to4 è necessaria la connettività nativa IPv6 all‟interno della rete, in quanto non è previsto il
concetto di router advertisement sul tunnel. ISATAP (“Intra_Site Automatic Tunnel Addressing
Protocol”) rimuove questo limite. Il router può essere identificato attraverso una query al DNS ed è
possibile interagire con il router attraverso router advertisement o router solicitation conoscendone
il suo indirizzo IPv4. È ancora in fase di definizione.
4.2.7. Teredo
Teredo (“Tunneling IPv6 over UDP Through NATs”) incapsula i pacchetti IPv6 in pacchetti UDP
(IPv4) anziché direttamente in pacchetti IPv4. Questo ha infatti lo scopo di permettere l‟utilizzo di
tunnel anche in presenza di NAT IPv4. È ancora in fase di definizione
L‟utilizzo di traduttori di protocollo è l‟unico modo di far comunicare nodi IPv4-only con nodi
IPv6-only e viceversa. Questo meccanismo può essere un‟alternativa ai nodi dual stack che
La traduzione può avvenire a livelli diversi dello stack di rete (a livello IP, a livello di trasporto o
modificando la pila protocollare dell‟host) e può essere implementata in vari modi. In molti di
questi meccanismi gli indirizzi IPv4 sono rappresentati come particolari indirizzi IPv6. Questo è
possibile perché lo spazio di indirizzamento è più ampio. Gli indirizzi IPv4 rappresentati in questo
modo sono instradati verso il traduttore.
La traduzione molto spesso ha il difetto di introdurre perdite di informazioni. In tutti quei casi
in cui non esiste una corrispondenza tra i campi dei due protocolli i valori possono infatti essere
persi o impostati a valori standard senza particolare significato; la traduzione di un datagram
IPv6 in IPv4 comporterà sicuramente la perdita, ad esempio, del valore di Flow_Label.
4.4.1. SIIT
Il funzionamento è il seguente:
gli indirizzi IPv4 sono mappati su indirizzi IPv6. Le destinazioni IPv4 sono indicate con
indirizzi IPv6 IPv4-mapped (::FFFF:a.b.c.d), che sono instradati verso il traduttore. I nodi
ottengono indirizzi IPv4 temporanei che vengono mappati in indirizzi IPv6 “IPv4-transated”
(::FFFF:0:a.b.c.d) e usati come indirizzo sorgente;
il traduttore traduce i pacchetti in transito;
la traduzione effettuata dal traduttore è stateless poiché gli indirizzi sono desunti
direttamente dagli indirizzi IPv6.
Un vantaggio sicuramente importante di questo meccanismo di traduzione sta nel fatto che il nodo
traduttore non deve mantenere informazioni sullo stato delle connessioni. Questo va a favorire la
Ha però anche alcuni svantaggi da non sottovalutare. Innanzitutto esso richiede modifiche alle
implementazioni IPv6; inoltre, richiede la presenza di un meccanismo per l‟assegnazione dinamica
degli indirizzi temporanei e richiede di gestire il routing per gli indirizzi IPv4-translated all‟interno
della rete e questo rende difficile gestire la distribuzione in subnet degli indirizzi IPv4.
4.4.2. NAT-PT
Network Address Translation – Protocol Translation [5] è un traduttore IPv4/IPv6 stateful che basa
il proprio funzionamento sull‟algoritmo descritto da SIIT.
Il nodo traduttore dispone di un pool di indirizzi IPv4 che vengono assegnati ai nodi che lo
utilizzano;
Il traduttore mantiene lo stato delle associazioni;
Gli indirizzi IPv4 sono rappresentati mediante indirizzi IPv6 aggiungendo i 32 bit
dell‟indirizzo ad un prefisso arbitrario di 96 bit instradato verso il traduttore (la mappatura
di un indirizzo IPv6 in un indirizzo IPv4 avviene in maniera dinamica, mentre il contrario
avviene in maniera deterministica).
Utilizzando inoltre appositi ALG (Application Level Gateway) NAT-PT è in grado di effettuare la
traduzione dei protocolli di livello applicativo (FTP, DNS, ecc.).
Tale meccanismo è quindi trasparente ai nodi che lo utilizzano. Tuttavia, poiché questo meccanismo
deve tenere traccia delle associazioni effettuate tra gli indirizzi (stateful), è necessario che
tutti i datagram di una sessione vengano inoltrati attraverso il medesimo dispositivo NAT-PT. In
poche parole, esso ha gli stessi problemi del NAT IPv4. Questi svantaggi non hanno però impedito
la diffusione di esso, tanto che molte applicazioni già lo supportano.
E‟ possibile anche pensare di utilizzare un router posto a cavallo di due distinti segmenti di
rete, ciascuna delle quali basata su una versione differente del protocollo IP. Il Transport
Relay Translator [6] converte sessioni TCP/UDPv6 in sessioni TCP/UDPv4. La traduzione ha
quindi luogo solo a livello 4; anche in questo caso, operando su sessioni comunicative, è
necessario che tutto il traffico relativo alla stesso flusso attraversi lo stesso router (stateful).
La comunicazione, iniziata dal lato IPv6, attraversa il router traduttore; quest‟ultimo
provvederà a terminare la sessione IPv6 e inizierà quindi una nuova sessione comunicativa
IPv4 verso il destinatario, il cui indirizzo viene ricavato direttamente dall‟indirizzo IPv6 (al
prefisso di 64 bit deve seguire infatti l‟indirizzo IPv4 dell‟host destinatario).
Tale meccanismo si basa su un nodo che funziona da “tramite” (relay), il quale agisce in maniera
simile ad un proxy trasparente: il nodo sorgente crede di connettersi al nodo destinazione, ma la
connessione viene intercettata dal relay, che stabilisce a sua volta la connessione IPv4 con la
destinazione.
Purtroppo questo sistema richiede modifiche al server DNS o al resolver sui nodi e richiede che si
mantengano informazioni sullo stato.
Alcune tipologie di traduttori operano direttamente sugli end-system, inserendosi sotto forma
di modulo aggiuntivo all‟interno dello stack TCP/IP. IETF ha proposto due diversi
meccanismi, entrambi pensati per consentire ad applicazioni IPv4 di operare all‟interno di reti IPv6.
La soluzione BIS (“Bump-in-the-Stack” [7]) permette a nodi IPv4 di comunicare con nodi IPv6
senza utilizzare trasduttori esterni. Prevede un modulo traduttore inserito tra lo stack IP e il
livello 2 in grado di identificare i pacchetti di livello applicativo che attraversano lo stack
TCP/IPv4 e di conseguenza tradurli prima di inoltrarli via IPv6. In caso che l‟host contattato sia
IPv6, il resolver DNS ritorna all‟applicazione un finto indirizzo IPv4; i pacchetti IPv4 diretti a
questo host vengono così intercettati e trasformati in IPv6.
Anche BIA (“Bump-in-the-API” [8]) permette alle applicazioni pensate per IPv4 di comunicare
con host IPv6 ma, trovandosi ad un livello superiore rispetto a BIS, è in grado di intercettare
direttamente le chiamate alle Socket API. Questo permette a BIA di evitare la traduzione di
pacchetti IP e non è nemmeno necessaria la modifica del nucleo del sistema operativo.
L‟approccio è molto più efficiente rispetto al precedente.
Quando fu proposta in IETF per la prima volta la soluzione dual stack IPv4/IPv6 l‟obiettivo era una
migrazione tra i due protocolli del tutto trasparente: partendo con un sufficiente anticipo vi era la
possibilità di avere il 100% dell‟utenza Internet connessa in IPv6 prima di giungere ad un
esaurimento degli indirizzi IPv4; in una situazione di questo tipo ogni applicativo, poteva essere
migrato ad IPv6 in modo del tutto scorrelato dall‟evoluzione di rete. Se a livello applicativo si
fosse a questo punto privilegiato IPv6 rispetto a IPv4 in tutti i casi in cui questo fosse stato
possibile, il traffico IPv4 sarebbe gradatamente diminuito in rete, sino a rendere di fatto inutili
nuove assegnazioni di indirizzi IPv4, se non per esigenze molto specifiche.
È molto probabile che questa situazione ottimale non si possa più verificare neanche con
un‟accelerazione improvvisa dell‟introduzione di IPv6 . È quindi molto probabile che
l‟esaurimento degli indirizzi IPv4 si verifichi prima che IPv6 abbia raggiunto una penetrazione
significativa. Da quel momento in poi a nuovi utenti potranno essere assegnati solo indirizzi
pubblici IPv6. Internet sarà di fatto partizionata in tre categorie di utenza, IPv4 only, IPv4/IPv6 ed
IPv6 only.
4.8. Riferimenti
[1] RFC 2893 Transition mechanism for IPv6 hosts and routers: http://www.rfc-
editor.org/rfc/rfc2893.txt
[2] RFC 3068 An anycast prefix for 6to4 relay routers: http://www.rfc-editor.org/rfc/rfc3068.txt
[7] RFC 2767 Dual stack hosts using the Bump-In-the-Stack technique: http://www.rfc-
editor.org/rfc/rfc2767.txt
Una delle motivazioni che portarono alla definizione di IPv6 è sicuramente la visione di una
Internet del futuro che a partire dal Web e dai servizi telematici, si espande prima all‟ambito
delle telecomunicazioni in generale (telefoni IP, cellulari, sistemi di videoconferenza, ecc.), per
diventare infine pervasiva e permettere la comunicazione ed il controllo remoto di un‟ampia varietà
di oggetti all‟interno e all‟esterno degli edifici.
In futuro gli ambienti (le case, gli uffici, le automobili, le città) diventeranno sempre più intelligenti
e informatizzati e i nuovi dispositivi saranno in grado di interagire e sfruttare l'intelligenza
largamente distribuita in questi ambienti. In futuro si tenderà ad utilizzare sempre più applicazioni
che, a partire dalle funzionalità di localizzazione, permetteranno ai terminali di “capire il
contesto” in cui operano consentendo alle applicazioni di adattarsi alla situazione.
Le nuove applicazioni non comporteranno solo interazione fra esseri umani e servizi, ma anche fra
macchine e macchine. I servizi possibili spaziano dalle applicazioni relative alla sanità e al
wellness a quelle relative al controllo remoto di apparati e sistemi di produzione e controllo, dai
sistemi di infomobilità, ad applicazioni complesse di smistamento merci. Questo nuovo “tipo” di
Internet forse non consumerà grandi quantità di banda, ma avrà sicuramente dei requisiti stringenti
su come i dati saranno trasportati e inviati agli estremi della rete.
Occorre tuttavia notare che questi scenari, pur se da tempo dibattuti, tardano a concretizzarsi: in
passato, ed in certa misura ancora oggi, lo spazio di indirizzamento non ha costituito una
limitazione al collegamento ad Internet di nuovi terminali, ma non per questo vi è stato un
pervasivo proliferare di dispositivi IP.
In questo quadro, non si può quindi affermare che l‟industria sia compatta nell‟attesa della
diffusione del nuovo protocollo. Tuttavia IPv6, con la sua abbondanza di indirizzi, costituisce un
elemento importante affinché i fornitori di tecnologia IP e i Service Provider possano aspirare ad un
ruolo in questo nuovo potenziale mercato.
In vista della dinamicità del settore (e in particolare dell‟elevato livello di concorrenza tra ISP) le
aziende richiedono, inoltre, che sia fornita una guida dettagliata (in grado di far loro determinare i
costi intrinseci al progetto proposto) delle operazioni da effettuare sulla loro rete nel caso di una
loro eventuale decisione di cambiare il fornitore di accesso a Internet.
Le scelte effettuate dovranno essere adeguatamente giustificate (in termini di costi, funzionalità,
ecc.) e dovrà essere fornita tutta la documentazione del caso:
numero e tipo degli switch/router installati in ciascuna delle Distribution Facilities;
configurazione di uno degli switch, a scelta, a cui faccia capo almeno una macchina per
ciascuno dei domini di sicurezza descritti sopra.
configurazione di tutti i router di interesse per la gestione del traffico di NcbN
(connessione con l'ISP compresa, per quanto riguarda le interfacce DTE).
Viene, infine, richiesto di fornire una dimostrazione della rete progettata attraverso una simulazione
della stessa, costruita con Packet Tracer limitatamente alle funzionalità supportate dal simulatore.
La simulazione deve contenere uno scenario con almeno 5 PDU che permettano di verificarne il
funzionamento.
Il protocollo IPv6 e progetto di una rete aziendale Pagina 52
1.3. Planimetrie
Come si può vedere dalle planimetrie allegate il campus da cablare è composto da più edifici così
partizionati:
per la WATB srl abbiamo:
Il South Building 1 di dimensioni 25x26m su due piani.
Due edifici su di un piano di dimensioni 30x6m e 38x6m.
Per la NcbN srl abbiamo:
Il North Building di dimensioni 25x26m su due piani.
Il Multi Purpose Building di dimensioni 27x14m su di un piano, dove è stata concordata
l'area a comune tra le tre aziende in quanto contiene il POP.
Due edifici di un piano di dimensioni 38x6m 38x6m
Per la PNcS srl abbiamo:
Il South Building 2 di dimensioni 25x26m su due piani.
Il Media Center di dimensioni 20x12m su di un piano.
Due edifici di un piano di dimensioni 38x6m .
inoltre è presente un edificio (non riportato nelle planimetrie) a comune tra le tre aziende
per l'erogazione dei corsi di formazione. Questo è supposto vicino al Multi-Purpose
Building.
Server usati:
Server DNS che gestisce la corrispondenza tra gli indirizzi IP pubblici di internet e i nomi
simbolici.
Server WEB che gestisce il servizio internet mediante il protocollo http.
Server e-mail che gestisce l'invio e la ricezione di posta elettronica rispettivamente tramite il
protocollo SMTP e POP3.
Vista la presenza di diversi domini si prevedono sette VLAN per ogni rete aziendale più cinque
nell'area condivisa:
Amministrazione, indicata con la lettera A:
Postazioni di lavoro e server workgroup appartenenti all'amministrazione;
si occupa dell'amministrazione della azienda;
Marketing, indicata con la lettera M:
Postazioni di lavoro e server workgroup appartenenti al marketing.
Produzione, indicata con la lettera P:
Postazioni di lavoro e server workgroup appartenenti alla produzione.
Formazione, indicata con la lettera F:
Server workgroup dell'azienda specifica.
Enterprise, indicata con la lettera E:
Server enterprise appartenenti all'azienda.
SMTP, indicata con la lettera S:
Server MAIL;
ForW:
(ovviamente per le VLAN con la stessa denominazione sarà aggiunta una lettera maiuscola in fondo
indicante l'azienda d'appartenenza; ad esempio: AmministrazioneW sarà la sottorete
dell'amministrazione di WATB)
Per quanto riguarda la connessione con l‟ISP, questa avviene attraverso un link Frame Relay. Tale
tecnica di trasmissione permette di inviare dati con “banda a richiesta”: l‟utente può richiedere
banda più alta secondo il bisogno. Comunque si possono specificare banda minima garantita oltre
che banda massima, grazie ai meccanismi di controllo del flusso e della congestione. Inoltre ha
anche il vantaggio di usare una sola interfaccia sul DTE e una sola linea di accesso al servizio.
Per rendere la rete più robusta viene implementata una politica di ridondanza esclusivamente a
livello di cablaggio. Infatti, viste le dimensioni ridotte della rete non è strettamente necessario
prevedere anche una ridondanza a livello di dispositivi di rete che porterebbero ad una spesa
eccessiva. Invece, la ridondanza del cablaggio è opportuna per non perdere i contatti con un edificio
appartenente all'azienda. Questa parte verrà meglio approfondita nella parte pertinente ad ogni
singola azienda.
Avremo bisogno di configurare anche il NAPT (Network Address Ports Translation) per permettere
agli utenti della rete aziendale di accedere ed essere visibili all'esterno.
Infatti, visti i costi e lo scarso numero di indirizzi pubblici, all'interno della rete aziendale si usano
indirizzi privati. Questo viene configurato su ogni router di confine dell'azienda i quali hanno
sull'interfaccia che da sull'esterno un indirizzo IP pubblico.
In particolare usiamo il NAPT, che permette la differenziazione per indirizzo IP più porta, per la
seguente osservazione: abbiamo otto server (tre server SMTP, tre server POP3, un web server e un
DNS server) che necessitano di indirizzo pubblico, questi offrono quattro servizi diversi (SMTP,
POP3, DNS, HTTP) ovvero quattro porte diverse (25, 110, 53, 80) e quindi anziché usare nove
indirizzi pubblici (uno per il router del MDF) ne uso sei (agli altri host le porte vengono assegnate
automaticamente dal Sistema Operativo), così distribuiti:
uno per il router contenuto nel MDF;
uno per il server DNS;
uno per il server WEB;
uno per ogni router di confine dell'azienda che, in overloading, gestisce gli host interni e i
due server di posta.
In particolare visto che i server che sono visibili su internet devono avere un indirizzo IP statico si
utilizza il NAPT statico.
Per gestire i diversi “permessi” associate alle VLAN (Virtual Loacal Area Network) si usano le
ACL (Access Control List) che operano a livello di filtraggio di pacchetti. È utile specificare che ne
esistono di due tipi:
Standard, sono posizionate il più vicino possibile alla destinazione.
Estese, sono posizionate il più vicino possibile alla sorgente del traffico da bloccare. Con
queste si specificano condizioni più dettagliate in quanto è possibile inserire più parametri
discriminanti.
Le tre aziende adottano una stessa politica nella gestione delle ACL; queste sono poste in ingresso
alla sottointerfaccia logica (le motivazioni per l'uso delle sottointerfacce logiche è rimandato alla
parte personale) corrispondente al dominio stesso. Il traffico controllato da queste ACL è quindi
quello che proviene dal dominio di sicurezza a loro associato ed è diretto fuori dal dominio stesso,
in tal modo viene evitato un inutile spreco di banda.
Inoltre ci saranno ACL per impedire la comunicazione tra le tre aziende.
Da una prima analisi vediamo che, per permettere la raggiungibilità dei server e l'interconnessione a
internet, sono necessari nove indirizzi pubblici, di cui uno per il router di confine MDF, sei per i
server di posta delle tre aziende, due rispettivamente per i server condivisi WEB e DNS.
Per cercare di ridurre al minimo necessario il numero di tali indirizzi, però consideriamo che
potrebbero bastare tre indirizzi IP pubblici, uno per il router di confine della rete complessiva e due
indirizzi IP pubblici per i server di posta elettronica (2 per ogni azienda). Questo perché i server
WEB e DNS a comune tra le tre aziende e due server di posta di una delle aziende vengono
discriminati in base al numero di porta sulla quale presentano le proprie richieste (25 per l'SMTP,
110 per il POP3, 53 per il DNS, 80 per il server WEB).
In questo modo avremmo bisogno di una sottorete da 8 host (tre indirizzi IP pubblici più un
indirizzo di rete e uno di broadcast).
Quindi, visto che rimangono tre indirizzi IP pubblici liberi, decidiamo di sfruttarli con la seguente
configurazione:
(Nel numero di host abbiamo già considerato un eventuale crescita di un fattore 10x.)
Dallo spazio di indirizzi pubblici 131.114.28.0/24 prendiamo una sottorete da otto host, ovvero
131.114.28.0/29.
Ovviamente gli indirizzi IP privati delle interfacce dei router che danno verso l'interno delle singole
reti aziendali e dei server dell'azienda, saranno assegnati staticamente, mentre gli indirizzi IP privati
degli host saranno assegnati dinamicamente dal meccanismo DHCP implementato dal router
aziendale.
Per quanto riguarda l'assegnamento degli indirizzi IP ai portatili dei corsi di formazione il DHCP
viene implementato sul router condiviso (quello contenuto nel MDF) per tutte e tre le aziende.
Il collegamento della rete aziendale con l'lSP, ovvero con il provider dei servizi, avviene attraverso
il punto di interconnessione POP presente nel Multi Purpose Building con un link frame relay.
Se ci sono particolari esigenze sulla capacità di banda, sulla velocità e sulla garanzia del servizio, è
consigliabile l'utilizzo della tecnologia VDSL (Very High Digital Subcriber Line), che consente di
avere un collegamento simmetrico e un'elevata velocità garantita.
Inoltre abbiamo i due server condivisi a cui sono assegnati indirizzi pubblici:
Dispositivo IP Maschera
Server WEB 131.114.28.5 255.255.255.248
Server DNS 131.114.28.6 255.255.255.248
Router MDF:
Come si nota dalla tabella, il router di frontiera dell‟MDF e i server MAIL hanno la necessità di
utilizzare un proprio ben determinato indirizzo pubblico in uscita pur conservando il proprio
indirizzo privato. In questo caso tramite il NAT statico si può fare una mappatura 1:1 in cui è
garantito il mascheramento ma l'unicità dell'host in uscita permette di tradurre solamente l'indirizzo
IP sorgente lasciando inalterata la porta TCP/UDP.
Nel caso, invece, dei server WEB e DNS si utilizza il NAT dinamico, un caso particolare di source
NAT, in cui le connessioni generate da un insieme di macchine diverse vengono "presentate" verso
l'esterno con un solo indirizzo IP. La tecnica è detta anche Port Address translation (PAT), IP
Overloading o NAPT (Network Address and Port Translation), in quanto vengono modificati non
solo gli indirizzi IP ma anche le porte TCP e UDP delle connessioni in transito.
Questo metodo prevede di individuare una rete "interna" (che tipicamente utilizza indirizzi IP
privati) ed una "esterna" (che tipicamente utilizza indirizzi IP pubblici), e permette di gestire solo
connessioni che siano originate da host della rete "interna".
Questa tecnica viene dunque qua scelta per collegare la rete interna ad Internet, permettendo di
mantenere un piano di indirizzamento IP che non permetterebbe la connessione diretta ad internet,
di risparmiare indirizzi IP pubblici e di "nascondere" all'esterno l‟intera rete privata. In questo
modo, nella rete interna gli host utilizzano indirizzi IP privati, e tramite il router di frontiera viene
effettuata la traduzione da indirizzo IP privato (valido nella sola Intranet) ad indirizzo IP pubblico
(quindi utilizzabile in Internet).
3.5.1. MDF
Elenco dispositivi presenti nel MDF:
Dispositivo Caratteristiche
Router MDF Router di confine della intera rete aziendale.
Qui implemento il DHCP per la formazione.
Ha tre sottointerfacce logiche per le VLAN della formazione.
Ha due porte FastEthernet per i cavi UTP.
Ho due porte seriali, di cui una usata per la connessione con il POP3.
Collocazione --> MDF nel Media Purpose Building
Switch MDF Ha sedici porte FastEthernet:
sei per la fibra ottica
dieci per cavi UTP
Interconnette fisicamente le reti dei vari edifici principali di ogni singola
azienda, i due server condivisi e lo switch dell'edificio della formazione.
Su di esso è attivo lo STP per permettere la ridondanza dei cavi in fibra
ottica tra gli edifici principali.
E' in server mode per il VTP per le VLAN.
Modello Cisco Catalyst 2960-16TT-L.
Collocazione --> MDF nel Media Purpose Building
Switch AP Ha otto porte FastEthernet:
due per la fibra ottica
sei per cavi UTP
Interconnette fisicamente lo switch MDF con i tre access point
dell'edificio della formazione.
E' in server mode per il VTP per le VLAN.
Modello Cisco Catalyst 2960-8TT-L.
Collocazione --> prima stanza dell'edificio della formazione.
Server DNS Server.
Collocazione --> MDF nel Media Purpose Building
Server WEB Server.
Collocazione --> MDF nel Media Purpose Building
SWITCH MDF:
Dobbiamo impostare le VLAN. Per farlo usiamo il VTP (Virtual Trunking Protocol) che si occupa
di trasferire le VLAN create sullo switch server agli altri switches a lui collegati. Lo switch server
sarà lo switch MDF, mentre gli sugli altri eseguiremo il comando <(config)#vtp mode client> per
configurarli come client.
Imposteremo come porte trunk quelle tra gli switch mentre le altre saranno access.
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SwitchMDF
!
!
!
interface FastEthernet0/1
switchport mode trunk
!
interface FastEthernet0/2
switchport mode trunk
!
interface FastEthernet0/3
switchport mode trunk
!
interface FastEthernet0/4
switchport mode trunk
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
switchport mode trunk
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
Vista la presenza di VLAN useremo delle sottointerfacce del router per permettere la
comunicazione tra queste. Questa soluzione è ottimale in quanto sennò avrei avuto bisogno di router
con più porte, e quindi più costosi, e di un numero maggiore di router.
Poi impostiamo le ACL: il router centrale dell‟MDF è il punto focale per la connessione a Internet
dell‟intera rete. Per aiutare il controllo di sicurezza della rete è stato quindi implementato un filtro,
che consente di interfacciare i server residenti DNS, Email e Web a Internet utilizzando il router
come una sorta di spina dorsale, di pubblico confine. In questo modo il traffico inviato dall‟esterno
della rete può interfacciarsi solo con alcune specifiche porte del router di frontiera. Tutto questo
viene fatto dalle ACL. Ogni altro traffico inviato dall‟esterno della rete viene fermato quando tenta
di entrare nella rete e connettersi alle varie LAN aziendali.
Le ACL saranno prevalentemente di tipo esteso e saranno implementate per la suite di protocolli
TCP. Questo permetterà alle ACL di abilitare o bloccare specifiche porte e indirizzi destinatari. Le
ACL saranno implementate su entrambe le interfacce del router in uscita. Questo assicura che ogni
pacchetto che tenta di accedere alla rete da Internet sarà soggetto all‟ACL, per controllare a quale
porta tenta di connettersi. Se non viene trovata una regola per la rispettiva porta nell‟ACL il
pacchetto verrà automaticamente scartato.
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
ip name-server 0.0.0.0
!
!
!
!
!
!
Una volta ottenuti gli indirizzi dal nuovo ISP, si tratta di andare a sostituire la configurazione
corrente di ogni dispositivo con la nuova configurazione aggiornata.
I dispositivi trasmissivi da modificare sono quelli che fanno uso degli indirizzi pubblici in
questione; ovvero:
router MDF;
router delle singole azienda;
server WEB e DNS.
E' opportuno, osservare che anche i server MAIL fanno uso d'indirizzi pubblici, ma questi sono
impostati staticamente dal DHCP.
Una volta connessi, se è andato tutto a buon fine, battendo Invio dovrebbe apparire il
simbolo del dollaro: $
R>en
Password: enter password
R#erase startup-config
Erasing the nvram filesystem will remove all configuration files!
Continue? [confirm] enter
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
R#
Le modifiche da apportare alla startup-configuration del router dell‟azienda NcbN, sono riportate
sottolineate in giallo sotto:
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
ip name-server 0.0.0.0
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.2
description vlan 4 amministrazione
Infine sono stati collocati altri due IDF nei due edifici distaccati, polo E e polo F.
Come già accennato al punto 2.6, il numero massimo di postazioni di lavoro presenti negli edifici
della NcbN è visibile in tabella:
Per il posizionamento degli IDF e degli MDF, si è fatto in modo che il raggio di copertura fosse
rispettato. Per i cavi UTP cat 5e si vede che il raggio di copertura, nei casi peggiori, non supera i
40m, quindi non ci sono assolutamente problemi dovute a degradazione del segnale, nonostante si
debba passare da un piano all'altro o dal controsoffitto scendere fino al pavimento.
Le specifiche richiedono che la backbone della rete garantisca tempi di interruzione della
connessione non superiori al centinaio di secondi. Per fare questo si implementa opportunamente lo
SPT (Spanning Tree Protocol) che garantisce, in caso di guasto, una ripresa del sevizio di
connessione nei tempi richiesti. Per la configurazione del STP si rimanda al p.to 5.5.
Per ragioni di robustezza della rete si implementa un‟ulteriore ridondanza del cablaggio inserendo
dei collegamenti in fibra ottica tra gli switch aziendali appartenenti ad edifici diversi. Questi
collegamenti ridondanti ulteriori sono riportati nella precedente figura in blu. Ovviamente questo
comporta una spesa per l'azienda, in quanto come già discusso in precedenza, il cablaggio in fibra
ottica ha costi abbastanza alti però bisogna tenere in considerazione che se uno dei due link tra lo
switch centrale del North Building e i poli cade, questi rimarrebbero isolati. Per ridurre i costi si
potrebbe prevedere una ridondanza della fibra ottica facendole fare lo stesso percorso dell'altra,
però in caso d'interruzione accidentale ci sarebbe una forte probabilità di guasto anche della fibra
adiacente. Quindi si preferisce tale soluzione che, se pur a costo maggiore, garantisce una maggiore
robustezza della rete.
Ovviamente in vista di questa soluzione sarà impostato opportunamente lo STP sugli switch
interessati per evitare la creazione di loop. Per la configurazione rimandiamo al p.to 5.5.
E' possibile osservare la presenza di uno switch di raccordo in ogni edificio in cui sono configurate
tutte e sei le VLAN. Il router si occuperà di permettere la comunicazione tra queste. Saranno inoltre
impostate delle ACL per garantire un minimo di sicurezza e di “spartizione” del traffico seguendo
le esigenze espresse dalle aziende.
Inoltre, si può notare il loop tra gli switch dei vari edifici, che consentirà, dopo aver
opportunamente impostato lo Spanning Tree Protocol, a rendere più robusta la rete in caso di guasti.
I primi tre domini erano esplicitamente chiesti dall'azienda nelle specifiche del progetto; mentre, per
quanto riguarda gli altri è stato opportuno aggiungerli in quanto ad ognuno sono associati permessi
diversi. Nello specifico:
Formazione. Serve per permettere l'accesso dei portatili degli studenti, che seguono il corso
di formazione dell'azienda, ai loro server dedicati a tale scopo. Questi infatti possono
accedere esclusivamente a questi due server. La comunicazione sarà fatta assieme alla
corrispondente VLAN presente nella parte condivisa, ovvero con la forN. Questa
comunicazione esclusiva sarà gestita con opportune ACL poste sulle sottointerfacce del
router MDF.
Enterprise. I server enterprise hanno associati permessi diversi dagli altri server
(workgroup, mail, formazione) e, in particolare, sono accessibili da tutti i gruppi di lavoro
presenti all'interno dell'azienda (ovviamente il gruppo di formazione è escluso).
Mail. I server mail, a differenza degli altri server devono essere visibili all'esterno (sono
permesse solo richieste smtp e pop3), accessibili da tutti i gruppi di lavoro interni
all'azienda, e configurabili solo da utenti privilegiati.
In questo modo ogni dispositivo dello stesso tipo appartiene ad un dominio a lui omogeneo, ovvero
dove il traffico generato e ricevuto è lo stesso e quindi sono sottoposti alle medesime regole.
Ad ognuno di questi domini è associata una VLAN. Per permettere la comunicazione tra queste
VLAN ( i vincoli secondo i quali potranno comunicare verranno definiti successivamente) c'è
bisogno ovviamente di un router.
Sarebbe molto dispendioso prevedere un router con otto (sei per le VLAN più due per la fibra
ottica) porte, ragion per cui si usa un router con sole tre porte e alle sei VLAN si associa un'unica
interfaccia che sarà suddivisa in sottointerfacce logiche.
Per quanto riguarda le impostazioni di sicurezza, possono essere fatte queste considerazioni:
Le macchine del dominio di sicurezza Amministrazione potranno aprire connessioni con
protocolli basati su TCP verso macchine dei domini P ed M ma non viceversa.
Solo le macchine dei domini M e P potranno accedere a internet.
Le macchine del dominio F non potranno aprire alcun tipo di connessione
I server WEB, DNS e di posta potranno essere acceduti rispettivamente solo da richieste di
tipo http, dns, smtp e pop3.
Nonostante le macchine dei domini P ed M non possano aprire connessioni TCP verso
macchine del dominio A, tuttavia occorrerà impostare le ACL in modo tale da permettere i
pacchetti TCP di risposta, in vista per esempio di eventuali richieste http o dns di tali
domini.
Dispositivo IP Maschera
Interfaccia router fa0/0.3 172.17.144.1 255.255.255.0
Server PN 1-9 172.17.144.2-10 255.255.255.0
Postazioni di lavoro P 1-210 172.17.144.11-254 255.255.255.0
Dispositivo IP Maschera
Interfaccia router fa0/0.2 172.17.145.129 255.255.255.192
Server AN 1-9 172.17.145.130-138 255.255.255.192
Postazioni di lavoro A 1-29 172.17.145.139-190 255.255.255.192
5.4.1. IDF
Per quanto riguarda l'elenco dei dispositivi contenuti negli IDF abbiamo:
North Building :
IDF piano terra:
Tre switch (2 da 48 porte, 1 da 24 porte);
48 server
IDF primo piano:
Uno switch (da 48 porte);
IDF Polo E:
Uno switch da 48 porte.
IDF Polo F:
Uno switch da 48 porte.
In conclusione, questi sono tutti i dispositivi trasmissivi usati nella sottorete della NcbN:
Dispositivo Caratteristiche
Router NcbN Router di confine della rete NcbN.
Qui viene implementato il NAPT e il DHCP.
Ha tante sottointerfacce logiche quante sono le VLAN della NcbN.
Ha 4 porte FastEthernet:
2 per la fibra ottica
2 per cavi UTP
Collocazione --> NB010
Switch 1 piano Ha 48 porte FastEthernet per cavi UTP.
terra North Modello Cisco Catalyst 2960-48TT-L.
Building Collocazione --> SB08
Switch 2 piano Ha 48 porte FastEthernet per cavi UTP.
terra North Modello Cisco Catalyst 2960-48TT-L.
Building Collocazione --> NB010
Switch 3 piano Ha 24 porte FastEthernet per cavi UTP.
terra North Modello Cisco Catalyst 2960-24TT-L.
Building Collocazione --> NB010
Switch primo Ha 48 porte FastEthernet per cavi UTP.
piano North Modello Cisco Catalyst 2960-48TT-L.
Building Collocazione --> primo piano NB
Switch polo E Ha 48 porte FastEthernet per cavi UTP.
Modello Cisco Catalyst 2960-48TT-L.
Collocazione --> PE03
Switch polo F Ha 48 porte FastEthernet per cavi UTP.
Modello Cisco Catalyst 2960-48TT-L.
Collocazione --> PF03
Router NcbN
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
ip name-server 0.0.0.0
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.2
description vlan 4 amministrazione
encapsulation dot1Q 4
ip address 172.17.145.129 255.255.255.192
!
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname "Switch North Building"
!
!
!
interface FastEthernet0/1
switchport access vlan 7
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 7
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 3
switchport mode access
Il protocollo IPv6 e progetto di una rete aziendale Pagina 105
!
interface FastEthernet0/5
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/6
switchport access vlan 5
switchport mode access
!
interface FastEthernet0/7
switchport access vlan 6
switchport mode access
!
interface FastEthernet0/8
switchport access vlan 6
switchport mode access
!
interface FastEthernet0/9
switchport mode trunk
!
interface FastEthernet0/10
switchport mode trunk
!
interface FastEthernet0/11
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/12
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/13
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/14
switchport mode trunk
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
Switch Polo E
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname "Switch polo E"
!
!
!
interface FastEthernet0/1
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 4
switchport mode access
Il protocollo IPv6 e progetto di una rete aziendale Pagina 107
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
no ip address
shutdown
!
!
line con 0
Switch Polo F
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname "Switch polo F"
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
Il protocollo IPv6 e progetto di una rete aziendale Pagina 109
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
no ip address
shutdown
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end
Sul router NcbN abbiamo impostato il NAT statico per i server di posta, ovvero abbiamo tradotto
l‟indirizzo ip privato con quello pubblico del router unito alla porta del servizio richiesto (25 o 110).
Nella simulazione si dimostra come facendo una richiesta smtp sulla porta 25 del router NcbN, il
pacchetto venga inoltrato tradotto al server smtp sempre sulla porta 25. Nello specifico, si ottiene
questo:
In questa simulazione si dimostra come i PC e i server appartenenti allo stesso dominio di sicurezza
possano tranquillamente parlare tra di loro. Nell‟esempio ci concentriamo sulla VLAN della
produzione. In particolare facciamo un ping da PCPN verso PCPFN e verso ServerPN. Questo è
l‟output:
In questo scenario si vuole dimostrare come i computer dei vari domini possano fare richiesta di
indirizzo IP al server DHCP implementato sul router MDF. Si vede inizialmente che l‟indirizzo IP
di PCAFN non è impostato staticamente:
In questo esempio vogliamo dimostrare come sia possibile accedere al server WEB posto nell‟area
condivisa tramite una richiesta http sulla porta 80.
In questo esempio vogliamo dimostrare come le macchine del dominio di sicurezza A possano
inviare richieste TCP verso le macchine dei domini M e P, ma non viceversa. Proviamo prima a fare
una richiesta http da PCAN verso ServerPN e vediamo come essa ha successo: