1
Dispositivi di rete
Docente: Marco Sechi
Modulo 1
Docente: Marco Sechi
Modulo 1
DISPOSITIVI DI RETE
Analizziamo ora alcuni dispositivi utilizzati nella rete:
RIPETITORE:
Un ripetitore (repeater) riceve un segnale debole (attenuato dalla lunghezza del
collegamento o dai disturbi sulla linea), lo “rigenera” e lo ritrasmette in modo da
garantire una percorrenza su distanze più lunghe. Esso opera al livello 1 dello standard
ISO-OSI.
I ripetitori sono fondamentali nell’estensione di reti locali in quanto consentono di
collegare fra loro cavi appartenenti a due distinte porzione di rete, aumentando di
conseguenza la distanza raggiungibile dalle LAN. Sono dispositivi che sono ormai andati in
disuso sostituiti dagli HUB.
2
Docente: Marco Sechi
Modulo 1
HUB:
L’Hub “converte” una topologia “a Bus” in una topologia “a Stella”. Non è niente altro che
un “filo” che riesce ad amplificare i segnali in entrata per poi inviarli in “broadcast” a tutti i
computer a lui connessi.
L’hub crea un unico dominio di collisione per cui se due calcolatori connessi trasmettono
contemporaneamente, si verifica una collisione
Le comunicazioni avvengono sempre in maniera Half-Duplex, ovvero si possono avere
comunicazioni in entrambe le direzioni (in/out), ma non contemporaneamente.
La topologia Ethernet che utilizza gli hub viene chiamata Ethernet condiviso poiché ogni
messaggio emesso è inviato a tutti i nodi connessi e la banda passante è condivisa.
L'hub è noto anche con il nome multiport-repeater, ovvero si tratta di un
dispositivo che opera a livello fisico (il primo del modello ISO/OSI).
Si distinguono due categorie di hub :
• Gli hub detti "attivi": sono alimentati elettricamente e permettono di
rigenerare il segnale sulle differenti porte
• Gli hub detti "passivi": permettono solo di diffondere il segnale a tutti gli host
connessi senza amplificazione
3
Docente: Marco Sechi
Modulo 1
Un hub non ha idea di cosa sia un pacchetto o un frame. Un hub si occupa solo di bit.
Quando arrivano dei bit su una delle sue porte l'hub li ritrasmette a tutte le altre. Un
chiaro vantaggio di questo approccio è la bassissima latenza: non c'è infatti alcun
tempo di elaborazione. Man mano che i bit arrivano, vengono ritrasmessi in
automatico.
Solo un computer può quindi parlare alla volta. Il messaggio viene inviato in broadcast
a tutti i nodi della rete. Al crescere dei nodi crescono il numero di collisioni nella rete.
E' possibile connettere più hub. Si parla allora di connessione a cascata (talvolta detta daisy
chains in inglese). Per questo, basta connettere gli hub attraverso un cavo incrociato, cioè
un cavo che collega i connettori di ricezione di un'estremità ai connettori di ricezione
dell'altra.
Gli hub sono in generale dotati di una porta speciale detta
"uplink " che permette di utilizzare un cavo dritto per
connettere due hub fra loro. Esistono anche hub capaci di
incrociare o di disincrociare automaticamente
le loro porte a seconda se sono
collegati ad un host o ad un hub.
Una porta uplink ha la stessa funzionalità del cavo
incrociato (crossover cable) per cui è essenzialmente
un suo sostituto.
4
Docente: Marco Sechi
Modulo 1
SWITCH
Lo switch è noto come multiport-bridge. Si tratta di un dispositivo di livello data-link
(livello 2 del modello ISO/OSI) . Uno switch non si ferma alla semplice conoscenza dei bit,
ma è in grado di decifrare le informazioni di livello 2 rappresentate dai frame.
Le reti Ethernet che utilizzano gli switch vengono chiamate Switched Ethernet.
Dal punto di vista visivo una semplice LAN basata su hub o su switch non presenta
differenze: tutte le stazioni sono connesse con un proprio cavo al concentratore.
A differenza però di quanto farebbe un hub, lo switch inoltra i frames ricevuti a una delle
sue porte verso quella a cui è connesso il nodo destinatario.
In questo modo si possono raggiungere velocità di trasmissione maggiori. Si consideri ad
esempio una rete di 100Mbps costituita da uno switch con 4 porte. Se si creano due
connessioni separate (ad esempio tra la porta 1 e 3 e la porta 2 e 4) si potranno
raggiungere velocità di 200Mbps.
Gli switch possono operare in modalità Full-Duplex (trasmettere e ricevere
contemporaneamente aumentando ulteriormente il throughput).
Un aspetto negativo degli switch è invece la latenza. Uno switch deve infatti analizzare
alcune informazioni prima di inviare il pacchetto, naturalmente questo provoca un ritardo
superiore dell'hub (dove i bit invece vengono inviati subito).
5
Docente: Marco Sechi
Modulo 1
Uno switch non è in grado di connettere reti fisicamente diverse, ad esempio una rete
Ethernet con una Token Ring mentre può interconnettere reti ethernet con velocità e
tecnologie fisiche diverse.
Nel gergo delle reti locali, uno switch isola ogni PC (connesso alle sue porte) in un
proprio dominio di collisione. Se due calcolatori collegati a porte diverse trasmettono
contemporaneamente, non si verifica una collisione, e i due frame possono attraversare
lo switch contemporaneamente.
Gli switch non si limitano a replicare il segnale, ma agiscono sui frame ricevuti
instradandoli verso la destinazione esatta. Mediante queste loro capacità essi tengono
i domini di collisione separati, col vantaggio di occupare banda passante solo sulle
porte effettivamente interessate dal traffico, lasciando libere le altre. Operano anche
sulla gestione dei frame per cui se trovano la rete occupata utilizzano un buffer per
immagazzinare i frame attendendo che la rete si liberi.
6
Docente: Marco Sechi
Modulo 1
Lo switch controlla gli indirizzi sorgente e di destinazione dei messaggi e crea in memoria
una tabella che associa gli indirizzi MAC dei computer connessi alle sue porte (di solito
questo processo avviene automaticamente, ma il gestore dello switch può procedere a
delle configurazioni complementari) utilizzata per creare circuiti virtuali di connessione
tra mittente e destinatario.
Il risultato di questa modalità è quello che i dati inviati ad una porta non vengono più
inviati a tutte le altre, ma solo a quelle dove si trova il destinatario. Quindi non si può più
parlare di mezzo condiviso, inoltre le collisioni vengono molto ridimensionate.
Conoscendo la porta del destinatario, lo switch trasmetterà il messaggio solo sulla porta
indicata, e le altre porte resteranno libere per altre trasmissioni che potranno prodursi
contemporaneamente. Ne risulta un aumento sensibile della banda della rete
disponibile.
Gli switch ethernet rilevano la velocità di trasmissione utilizzata da ogni terminale
(autosensing) e si adeguano alla massima velocità consentita. Questo permette di avere
un parco informatico connesso con performance differenti.
Dato che il traffico emesso e ricevuto non è trasmesso su tutte le porte, diventa più
difficile "controllare" (sniffing) quello che succede, contribuendo così alla sicurezza
generale della rete, tema molto sensibile ai nostri giorni.
7
Docente: Marco Sechi
Modulo 1
BRIDGE
Un bridge è un dispositivo simile allo switch che viene utilizzato per connettere diversi
segmenti di rete mentre uno switch viene collegato direttamente ai singoli host.
Un bridge (letteralmente ponte)
si colloca al livello datalink (il
secondo) del modello ISO/OSI
Quando un bridge riceve un frame su una porta, cerca di capire dall'indirizzo del
destinatario se questi si trova nello stesso segmento del mittente oppure no. In questo
caso evita di inoltrare il frame, in quanto presumibilmente il destinatario l'ha già
ricevuto. Altrimenti il bridge inoltra la trama verso il segmento in cui si trova
effettivamente il destinatario. Se non sa su quale segmento si trova il destinatario, il
bridge inoltra il frame su tutte le porte tranne quella da cui l'ha ricevuta. Queste
operazioni sono definite operazioni di filtraggio e inoltro.
8
Docente: Marco Sechi
Modulo 1
Nell'attraversare il bridge il pacchetto informativo subisce un maggior ritardo, rispetto a
quello consueto di propagazione, e questo per i tempi di elaborazione necessari al bridge
per decidere su quale segmento inoltrarlo.
Altra differenza rispetto allo switch è il numero di porte: un bridge possiede al massimo
una decina di porte, mentre uno switch può arrivare fino ad alcune centinaia nei modelli
più complessi.
Il comportamento del bridge è dunque simile a quello dello switch per via della capacità di
indirizzamento ma il suo ruolo nell'architettura di una rete è anche simile a quello del
repeater grazie alla capacità di inoltrare verso un altro segmento di rete.
9
Il bridge riduce il volume di traffico in una lan poiché in effetti la divide in due domini
di collisione distinti.
Docente: Marco Sechi
Modulo 1
ROUTER
È un dispositivo di rete che si posiziona sul livello 3
del modello OSI. Pertanto un Router (dall'inglese
instradatore) è un dispositivo che è in grado di
instradare i dati fra reti fisicamente diverse.
Un router ha almeno due interfacce di rete, ciascuna
connessa su una rete fisicamente differente
(altrimenti si utilizza il termine di bridge/switch).
Quando il router riceve un pacchetto (per il quale il computer mittente non ha saputo
identificare la posizione del destinatario) dobbiamo considerare due casi:
• Il router risolve l'indirizzo logico del destinatario traducendolo nell'indirizzo hardware di
una macchina posta su una delle reti a cui esso è connesso. Esegue l'inoltro del
pacchetto verso la rete di destinazione.
• Il router non sa eseguire la risoluzione. Crea un frame diretto verso il successivo router
(next hop) posto su una delle reti cui è connesso.
10
Docente: Marco Sechi
Modulo 1
L'instradamento dei pacchetti, attraverso le
reti direttamente e indirettamente connesse,
avviene sulla base di particolari tabelle di
instradamento (caricate sul router). Alcuni
router (detti dinamici) comunicano tra di loro
per determinare qual sia il miglior tragitto
basandosi su parametri come il costo della
tratta e la velocità trasmissiva dei vari
collegamenti (generano quindi tabelle di
routing dinamiche).
Per visualizzare l'elenco dei
router attraversati da un
pacchetto per raggiungere
una determinata destinazione
i sistemi operativi mettono a
disposizione un comando che
in windows è tracert
(traceroute ovvero
tracciamento dei router).
11
Docente: Marco Sechi
Modulo 1
Per visualizzare le tabelle di routing caricate sul proprio PC in windows si utilizza il
comando route:
12
Docente: Marco Sechi
Modulo 1
A seconda di come vengono costruite le tabelle di routing distinguiamo due tipologie di
router: router statici e router dinamici.
I router statici hanno tabelle di instradamento che …
– sono invarianti nel tempo
– sono indipendenti dalle condizioni di traffico nella rete (non adottano algoritmi adattativi)
- non comunicano con altri router per scambiare le informazioni contenute nelle proprie
tabelle di instradamento
Nei router statici le tabelle di instradamento vengono modificate con l’intervento di un
operatore durante la fase di configurazione e successivamente, solo in caso di variazioni
strutturali o topologiche della rete.
Gli unici modi con cui un router statico può inviare un pacchetto a un computer che si trova
su una rete a cui non è direttamente connesso sono:
- inviare il pacchetto al suo “gateway” predefinito
- consultare la sua tabella d'instradamento statica.
L'instradamento statico è perfetto per le reti composte da due sole sottoreti. Le tabelle
d'instradamento di ogni router statico elencano tutte le reti di destinazione e il router a cui
dovrebbero essere inviati i pacchetti per iniziare il loro tragitto verso la destinazione.
Si definisce inter-rete un gruppo di reti locali (segmenti) che sono collegate tra loro
tramite router.
13
Docente: Marco Sechi
Modulo 1
Un router dinamico, invece, aggiorna la sua tabella d'instradamento automaticamente
scoprendo e comunicando percorsi ad altri router dinamici sulla rete. Se si verifica un guasto
lungo una connessione oppure ne viene attivata una nuova, gli aggiornamenti dei vari
percorsi vengono automaticamente propagati a tutti i router.
Lo scopo di un protocollo di routing (Routing Protocol) è quello di mantenere
dinamicamente le routing table.
I router dinamici contengono informazioni costantemente aggiornate sui possibili percorsi
attraverso la rete, nonché informazioni su colli di bottiglia ed interruzioni del collegamento.
Alcuni protocolli per la costruzione e l'aggiornamento automatico delle tabelle di
instradamento sono RIP o OSPF.
L'instradamento dinamico è adatto a inter-reti complesse come Internet.
14
Docente: Marco Sechi
Modulo 1
PROXY
Un proxy è un dispositivo (sw/hw) che si interpone tra un client ed un server facendo da
tramite o interfaccia tra i due.
Il client invece di collegarsi al server si collega al proxy al quale invia le richieste. Il proxy a
sua volta si collega al server ed inoltra le richiesta del client al server. La risposta ricevuta
viene poi inviata al client corrispondente.
A differenza del bridge e del router, che lavorano ad un livello ISO/OSI più basso, i proxy
lavorano a livello applicativo. Di conseguenza un programma proxy può gestire solo il
protocollo applicativo per il quale è stato progettato.
Un caso in cui viene spesso usato un proxy è per la navigazione web (denominato
proxy HTTP dal nome del protocollo usato).
Se non siamo in presenza di situazioni dette di proxy trasparente occorre configurare
il client (browser) in modo che questo si colleghi al proxy invece che al server.
15
Docente: Marco Sechi
Modulo 1
Un proxy HTTP viene usato per questi motivi:
 connettività: è possibile configurare un computer in modo che faccia da proxy a
tutti gli altri computer della lan. In questo caso un unico computer (il proxy) è
connesso ad internet ma tutti gli altri possono accedere ai servizi offerti dalla rete
(web, posta, etc.)
 caching: un proxy può immagazzinare per un certo tempo i risultati delle richieste
dei suoi client e se un altro utente effettua le stesse richieste può rispondere senza
dover consultare il server originale. Questo consente un miglioramento delle
prestazioni ed una riduzione del consumo di ampiezza di banda.
 monitoraggio: un proxy può tenere traccia di tutte le operazioni effettuate (ad
esempio, tutte le pagine web visitate), consentendo statistiche ed osservazioni
sull'utilizzo di internet.
 filtro: un proxy può applicare regole definite dall'amministratore del sistema come
limitare l‘ampiezza di banda utilizzata dai client oppure impedire l’accesso a
determinati siti.
 privacy: un proxy può garantire un maggiore livello di privacy mascherando il vero
indirizzo IP del client poiché il server vede solo quello del proxy.
 risparmio di indirizzi IP pubblici: questo punto vale per gli ISP: un proxy consente
di limitare il numero di ip pubblici da assegnare ai clienti dell’ISP quando questi si
connettono ad internet.
16
Docente: Marco Sechi
Modulo 1
GATEWAY
Il gateway è considerato un dispositivo che connette due reti con protocolli diversi
(traduce quindi il protocollo).
I gateway possono operare a qualsiasi livello del modello ISO a seconda del protocollo che
supportano.
Spesso il termine gateway viene utilizzato impropriamente come sinonimo di router, ma
un router è un dispositivo responsabile dell'instradamento dei pacchetti di dati attraverso
due reti fisicamente diverse.
Un gateway può essere completamente software, hardware o combinazione di entrambi.
I gateway più importanti sono quelli che mettono in connessione due o più reti,
intervenendo all'ultimo livello (il settimo) del modello OSI/ISO. Tali gateway mettono in
connessione i servizi di due o più ambienti che altrimenti sarebbero incompatibili.
Esempi di gateway che intervengono al settimo livello sono:
• un file translator (ad esempio quando consente a dei MACintosh (Apple) di accedere al
file system di un server LINUX)
• un mail translator (quando mette in comunicazione due protocolli di posta differenti)
• un network protocol translator (ad esempio traduce da TCP/IP a AppleTalk)
• un’interfaccia tra VoIP (voice over Internet protocol) e la rete telefonica pubblica (PSTN
public switched telephone network).
17
• un OS Gateway ovvero quando mette in connessione differenti NOS (Network Operating
System) es. Windows e UNIX.
Docente: Marco Sechi
Modulo 1
NETWORK FIREWALL
Un network firewall (o perimetrale) è una componente di difesa di una rete informatica,
che svolge funzioni di collegamento tra due o più tronconi di rete, garantendo la
protezione (in termini di sicurezza informatica) della rete stessa.
Usualmente il firewall divide la rete in due sottoreti: una (detta esterna) che comprende
l'intera Internet mentre l'altra (detta interna) è costituita dalla LAN che rappresenta
l’insieme dei computer locali. Tutto il traffico fra la LAN ed Internet transita attraverso il
firewall.
In alcuni casi è possibile che si crei l'esigenza di creare una terza sottorete detta DMZ (o
zona demilitarizzata) adatta a contenere quei sistemi che devono essere isolati dalla rete
interna, ma che devono comunque essere protetti dal firewall ed essere raggiungibili
dall'esterno (server pubblici).
18
Docente: Marco Sechi
Modulo 1
Un firewall può essere realizzato con un semplice computer (con almeno due schede di rete,
una per l'input l'altra per l'output) ed un apposito software. Talvolta la funzionalità logica
(software) che implementa il firewall è parte del software installato in un router ed in questo
caso si parla di router/firewall.
Il principio di funzionamento dei
network firewall si basa sulla
definizione di regole che
inibiscono/permettono flussi di traffico.
Le regole vengono impostate in base:
- all'indirizzo IP sorgente
- all'indirizzo IP di destinazione
- alla porta attraverso la quale
viene erogato il servizio.
Le regole devono essere impostate in modo da autorizzare solo il
traffico considerato sicuro. Nella stesura delle regole occorre:
• garantire l’accesso solo ai servizi di rete ritenuti necessari
• verificare che il firewall sia immune da problemi di sicurezza
(aggiornamento del firmware)
• In fase di configurazione del firewall, decidere la politica di default per tutti i servizi di
rete:
 default deny : tutti servizi non esplicitamente permessi sono negati
 default allow : tutti i servizi non esplicitamente negati sono permessi
19
Docente: Marco Sechi
Modulo 1
Esistono inoltre i cosiddetti “personal firewall" che sono programmi installati su normali
computer e che hanno il compito di filtrare solamente i pacchetti che entrano ed escono
da quel calcolatore. In questo caso la scheda di rete è una sola: quella del PC!
Un buon personal firewall controlla che i programmi installati nel PC non tentino di
accedere ad Internet senza autorizzazione. L’utente può impostare delle regole che
neghino o permettano tale accesso. Questo per prevenire la possibilità che un programma
malevolo possa connettere il computer all'esterno pregiudicandone la sicurezza.
Nel personal firewall le regole di filtraggio
vengono definite dall'utente mediante una
semplice espressione di consenso affinché una
determinata applicazione possa interagire con il
mondo esterno attraverso il protocollo IP.
Da sottolineare che l'aggiornamento del personal
firewall è importante ma non è così vitale come
invece lo è l'aggiornamento di un antivirus, in
quanto le operazioni che il firewall deve compiere
sono sostanzialmente sempre le stesse.
È invece importante creare delle regole che siano corrette per decidere quali
programmi devono poter accedere alla rete esterna e quali invece non devono.
20