Q U A D E R N I P E R L A P R O G E T T A Z I O N E I C T
PROGETTAZIONE E CONDUZIONE DI RETIDI COMPUTERVOLUME IVMANIPOLAZIONI NEL CONTROL-PLANEE DATA-PLANE
Per la preparazione agli esami CISCO,CCNA, CCNP, CCNA-Security
diENRICO CIPOLLONEFRANCESCO CIPOLLONE
VOLUME_4.book Page 1 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
5
PIANO DELL’OPERA
VOLUME I - FONDAMENTI DI SWITCHING
PARTE PRIMANATURA E CARATTERISTICHE DELLE INFORMAZIONI
TRASPORTATE IN RETE
CAP. 1 Natura e caratteristiche delle informazioni trasportate da reti TCP-IP
PARTE SECONDASWITCHING
CAP. 2 Ethernet e altri modelli di distribuzione in area locale
CAP. 3 Virtualizzazione e gestione della congestione e tecniche di ridondanza in reti LAN
CAP. 4 Servizi e sicurezza in reti LAN. Sicurezza nelle reti Ethernet
PARTE TERZALE RETI CONDIVISE DEGLI ISP: NATURA E COMPOSIZIONE DEI SERVIZI
CAP. 5 Soluzioni e tecnologie per l’estensione WAN di reti TCP-IP
PARTE QUARTASTRUTTURA, CONFIGURAZIONE, GESTIONE DI MACCHINE DI RETE
CAP. 6 Accesso e configurazione di macchine intermedie in reti TCP-IP
CAP. 7 Network management configurazione di SNMP, NTP, SYSLOG in apparati di reti TCP-IP
VOLUME II - ROUTING BASE
PARTE QUINTAROUTING
CAP. 8 Tecnica di indirizzamento nelle reti TCP-IP
VOLUME_4.book Page 5 Wednesday, April 4, 2012 10:01 AM
6 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
CAP. 9 Principi di routing
CAP. 10 RIP versione 1 e 2
CAP. 11 Il protocollo di routing OSPF single-area
CAP. 12 Il protocollo di routing OSPF multi-area
CAP. 13 Il protocollo di routing EIGRP
VOLUME III - ROUTING BGP
PARTE SESTACONTROL-PLANE: INTERAZIONE DEI CLIENTI CON ISP
E SCAMBI DI INFORMAZIONI TRA ISP
CAP. 14 Border Gateway Protocol
VOLUME IV - MANIPOLAZIONI NEL CONTROL-PLANE E DATA-PLANE
PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE
E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI
CAP. 15 Tecniche di controllo dei flussi nel control-plane e nel data-plane
CAP. 16 Domini di indirizzamento pubblico e privato e relative traslazioni
CAP. 17 Completamento del control-plane in ambiente complesso: redistribuzione di informazioni tra protocolli di routing
PARTE OTTAVACOMUNICAZIONE SICURA PPTP, IPSEC, TUNNELING, VPN
CAP. 18 Comunicazione Sicura: IPSEC ed altri schemi
VOLUME_4.book Page 6 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
7
INDICE GENERALE
PIANO DELL’OPERA ...................................................................... 5
PARTE SETTIMAMANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI
CAPITOLO 15
TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE ............................. 21
SEZIONE PRIMA: Filtri L2, L3, L4 .......................................................21
15.1 Il Controllo dei flussi di traffico del control e data plane ................................................................. 21
15.1.1 Struttura di un blocco di controllo .................................... 22
15.1.2 Oggetti controllati .......................................................... 25
15.1.3 I MIB e il protocollo SNMP e demoni NBAR e NETFLOW ................................................................. 26
15.1.4 Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o “don’t care” mask ........ 27
15.2 Uso delle access-list nel data-plane................................... 29
15.2.1 ACL in ambiente Multi Layer Switch ................................ 30
15.2.2 Routed ACLs ovvero ACL su porte no-switchport................. 31
VOLUME_4TOC.fm Page 7 Wednesday, April 4, 2012 10:25 AM
8 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
15.2.3 Port ACLs ovvero ACL su porte switchport ........................ 31
15.3 Struttura e tipologia di access-control-list a livello 2 pila OSI ........................................................ 32
15.3.1 Struttura generale........................................................... 32
15.3.2 ARP access-list ............................................................... 35
15.3.2.1 Struttura ..................................................................... 35
15.3.2.2 Permit ARP ................................................................. 35
15.3.3 IP ARP inspection filter VLAN .......................................... 37
15.4 VLAN Maps .................................................................. 37
15.4.1 Struttura ........................................................................ 38
15.4.2 Uso di VLAN-MAP per blocco annunci ARP ....................... 40
15.4.3 Altri esempi di VLAN-MAP............................................... 41
15.5 Definizione ed uso di ACL a Livello 3-4 pila iso-osi............. 41
15.5.1 I range delle numerical access list .................................... 43
15.5.2 Numerical Standard ed extended access-list ...................... 43
15.5.3 Named access-list standard ed extended........................... 48
15.5.4 Turbo-ACL ..................................................................... 50
15.6 Reflexive access-list......................................................... 51
15.7 Uso dell’opzione Time Range per limitare la durata temporale del filtro in base a intervalli di tempo................. 57
15.8 Uso delle downloadable ACL per limitare la durata temporale del filtro in base al rilascio di permessi di accesso ................................................... 58
15.9 La frammentazione e le ACL ............................................ 60
15.10 Applicazione delle ACL: comandi ip access-group e ip access-class ............................................................ 63
15.11 Inbound e outbound access-list: relazione tra filtri e altre operazioni nel router ............................................ 65
15.12 Il comando di show ed i log ............................................ 65
VOLUME_4TOC.fm Page 8 Wednesday, April 4, 2012 10:25 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
9
SEZIONE SECONDA: Router e L3 firewall ............................................67
15.13 Router e firewall ............................................................ 67
15.14 Lo sbilanciamento dei versi di percorrenza delle interfacce con il coefficiente di sicurezza .................. 68
15.15 L’opzione established e sessioni TCP-IP e UDP-IP ....................................................................... 70
15.16 La tabella delle sessioni .................................................. 70
SEZIONE TERZA: Inspection ..............................................................75
15.17 Firewall ed Inspection..................................................... 75
15.18 Uso della modular policy il comando Class Map .............. 78
15.18.1 Comando match con le sue numerose opzioni................... 79
15.18.1.1 (config-cmap) match access-list.......................................79
15.18.1.2 (config-cmap) match any ...............................................80
15.18.1.3 (config-cmap) match destination-address .........................80
15.18.1.4 (config-cmap) match port...............................................80
15.18.1.5 (config-cmap) match source-address ...............................81
15.18.1.6 (config-cmap) match virtual-address ................................82
SEZIONE QUARTA: FTP, HTTP inspect ................................................83
15.19 Class Map FTP .............................................................. 83
15.20 Class Map HTTP ............................................................ 84
15.20.1 (Config-cmap-http-insp) match content .............................. 85
15.20.2 Controllo delle sequenze di caratteri inclusi nel testo .......... 85
15.20.3 Controllo delle massima lunghezza di caratteri inclusi nel testo .............................................................. 86
15.20.4 Controllo della lunghezza dell’header ............................. 89
15.20.5 Controllo della tipi di oggetti trasportati (tipi mime) ............ 89
15.20.6 Controllo sull’uso di istant-messaging, peer-to-peer ............. 90
VOLUME_4TOC.fm Page 9 Wednesday, April 4, 2012 10:25 AM
10 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
15.20.7 Controllo sull’uso di specifici comandi .............................. 91
15.20.8 Controllo sull’uso di tecniche di encoding.......................... 91
15.20.9 Controllo sull’uso di una specifica destinazione ................. 92
15.20.10 Controllo sull’uso della massima lunghezza di URL ............. 92
CAPITOLO 16
DOMINI DI INDIRIZZAMENTO PUBBLICO E PRIVATO E RELATIVE TRASLAZIONI .......................................................... 93
SEZIONE PRIMA: Fenomenologia ......................................................93
16.1 Introduzione agli spazi di indirizzamento ......................... 93
16.2 Domini pubblici e privati: analogiacon i piani telefonici ....................................................... 95
16.3 Cosa è una traslazione ................................................... 96
16.4 Ruolo dei demoni NBAR, NETFLOW per l’individuazione delle sessioni ................................................................. 97
16.5 Terminologia del NAT e riferimenti................................... 97
16.6 Tipi di Traslazioni .......................................................... 99
16.6.1 Traslazione IP sorgente Statica: pubblicazione di un server nell’internet ............................................... 100
16.6.2 Traslazione IP sorgente Dinamica................................... 101
16.7 Traslazioni IP sorgente e di Port Address- PAT.................. 101
16.7.1 Traslazioni di destination address .................................. 103
16.8 Stateful NAT ovvero rapporto tra NAT e gruppi active/stand-by............................................... 104
16.8.1 Che cosa è lo SNAT..................................................... 104
16.8.2 Funzionamento dello SNAT: STATEFUL NAT PROTOCOL ... 106
16.9 WLAN-NAT per supporto di indirizzi staticiin ambiente Wlan-pubblico ........................................... 107
VOLUME_4TOC.fm Page 10 Wednesday, April 4, 2012 10:25 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
11
SEZIONE SECONDA: Configurazione di traslazioni ............................110
16.10 IP NAT ....................................................................... 110
16.11 Due applicazioni particolari.......................................... 111
16.11.1 NAT Piggybacking....................................................... 111
16.11.2 Wlan-NAT - Static IP Support ........................................ 112
16.11.3 Configurazione del Wlan-nat ........................................ 113
16.12 IP NAT create flow-entries ............................................. 114
16.13 IP NAT enable ............................................................ 114
16.14 IP NAT inside destination.............................................. 114
16.15 IP NAT inside .............................................................. 116
16.15.1 Traslazione dinamica ................................................... 117
16.15.2 NAT Statico ................................................................ 117
16.15.3 PAT Port Static NAT .................................................... 117
16.16 IP NAT outside source .................................................. 118
16.16.1 NAT dinamico............................................................. 119
16.16.2 NAT statico di host ...................................................... 119
16.16.3 NAT statico di network ................................................. 119
16.16.4 Port Address Traslation ................................................. 119
16.17 IP NAT pool ................................................................ 121
16.18 IP NAT service............................................................. 122
16.19 IP NAT source (rapporto della traslazione con le VRF) ................................................................. 124
16.19.1 Dynamic NAT ............................................................. 125
16.19.2 Static NAT .................................................................. 125
16.19.3 Port Static NAT............................................................ 125
16.19.4 Network Static NAT ..................................................... 125
16.20 IP NAT Stateful id (rapporto della traslazione con i gruppi di ridondanza di default-gateway) ............... 125
VOLUME_4TOC.fm Page 11 Wednesday, April 4, 2012 10:25 AM
12 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
16.20.1 Esempio di configurazione completa del processo SNAT....................................................... 126
SEZIONE TERZA: Comandi di riscontro e controllo .............................128
16.21 Translation timeouts (scadenza temporale delle righe).................................................................. 128
16.22 IP NAT log .................................................................. 129
16.23 IP NAT translation max-entries-scadenza delle righe per limite d’uso ............................................ 129
16.24 I comandi Show, Clear, Debugging ............................... 130
16.24.1 Show IP NAT translations ............................................. 130
16.24.2 Esempi di show IP NAT translation ................................. 131
16.24.3 Show IP NAT translation: SNAT ..................................... 133
16.24.4 Wlan-NAT-Show IP nat translations verbose .................... 134
16.24.5 Show IP NAT NVI translations........................................ 134
16.24.6 Show IP NAT statistics................................................... 135
16.24.7 Show IP NAT NVI statistics ........................................... 136
16.24.8 Clear IP NAT translation ............................................... 138
16.24.8.1 Esempi .................................................................... 139
16.24.9 Debug IP NAT ............................................................ 140
16.24.9.1 Esempi di Debug e significato dei campi più importanti ........................................................... 141
SEZIONE QUARTA: Elementi di configurazione avanzata ....................147
16.25 NAT, ACL incoming e outgoing, e tabella di routing....................................................... 147
16.26 NAT e firewall-traslazione e tabella di stato .................... 151
16.27 NAT-PAT ed Inspection ................................................. 155
16.28 NAT Tranversal............................................................ 156
VOLUME_4TOC.fm Page 12 Wednesday, April 4, 2012 10:25 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
13
CAPITOLO 17
COMPLETAMENTO DEL CONTROL-PLANE IN AMBIENTE COMPLESSO: REDISTRIBUZIONE DI INFORMAZIONI TRA PROTOCOLLI DI ROUTING .................. 161
17.1 La omogeneizzazione delle fonti per il control-plane ........ 161
17.1.1 Redistribuzione tra protocolli IGP limiti e applicazioni ............................................................. 162
17.1.2 La Redistribuzione........................................................ 163
17.1.3 Il pericolo di loop ....................................................... 164
17.1.4 La seed-metric e la distanza amministrativa ..................... 166
17.1.5 Strumenti di controllo delle redistribuzioni ....................... 169
17.1.6 Route-map................................................................... 169
17.1.7 Prefix-list ..................................................................... 171
17.1.8 Distribuite-list in (RIP, IGRP, EIGRP, BGP)(distance vector e ibridi) ............................................... 172
17.1.9 Distribuite-list out (RIP, IGRP, EIGRP, BGP)(distance vector e ibridi) ............................................... 173
17.1.10 Distribuite-list delle route-map per OSPF .......................... 174
17.1.11 La configurazione della redistribuzione .......................... 174
17.1.11.1 Passive-interface, passive-interface default ....................174
17.1.11.2 Sintassi del comando redistribute ................................175
17.1.12 Redistribuzione nel protocollo EIGRP .............................. 177
17.1.12.1 Redistribuzione di rotte statiche e connesse ..................178
17.1.12.2 Redistribuzione di rotte RIP redistribuzionedi rotte OSPF ............................................................179
17.1.13 Redistribuzione nel protocollo OSPF............................... 180
17.1.14 Redistribuzione nel protocollo RIP .................................. 181
17.1.15 Uso delle tecniche di controllo nella redistribuzione a più punti .................................................................. 183
VOLUME_4TOC.fm Page 13 Wednesday, April 4, 2012 10:25 AM
14 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
17.1.16 Topologia di contatto a più punti tra due aree ................. 183
17.1.17 Topologia di contatto tra un core e due aree laterali ........ 184
17.1.18 Uso della distanza amministrativa .................................. 184
17.1.19 Uso dei tag ................................................................. 185
17.1.20 Uso dei parametri metric-type e metric ........................... 186
17.1.21 Esame di altre tecniche di modifica le control-plane ............................................................ 186
17.2 Creazione di rotte sommario nel control-plane di ambienti complessi ................................................... 187
17.2.1 Rotte sommario in OSPF ............................................... 188
17.2.2 Rotte sommario in EIGRP e RIP ...................................... 189
17.2.3 Default route e sua redistribuzione (comando IP classless) .................................................. 189
17.2.4 Uso del comando redistribute static ................................ 190
17.2.5 Uso del comando default-information originate ................ 190
17.2.6 Uso del comando ip default-network .............................. 191
PARTE OTTAVACOMUNICAZIONE SICURA
PPTP, IPSEC, TUNNELING, VPN
CAPITOLO 18
COMUNICAZIONE SICURA: IPSEC ED ALTRI SCHEMI............... 195
Comunicazione sicura: requisiti ...................................................... 195
SEZIONE PRIMA: Crittografia ..........................................................196
18.1 Principi di crittografia ................................................... 196
18.2 Storia della crittografia moderna: ruolo di algoritmi e chiavi ............................................. 198
VOLUME_4TOC.fm Page 14 Wednesday, April 4, 2012 10:25 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
15
18.3 Le dissimmetrie in matematica come base della crittografia asimmetrica ........................................ 201
18.4 La crittografia moderna: chiave simmetrica ed asimmetrica............................................................ 202
18.4.1 Crittografia simmetrica (a chiave condivisa) .................... 204
18.4.2 Digital Encription Standard e 3DES................................ 205
18.4.3 Advanced Encription standard....................................... 206
18.4.4 Crittografia asimmetrica a chiave pubblica e privata ....... 207
18.4.5 Principi generali di funzioni non invertibili ...................... 209
18.4.6 Uso primario della crittografia asimmetrica ..................... 210
18.4.7 Secondo uso della crittografia asimmetrica:il digest per l’autenticità del testo ................................... 212
18.4.8 Terzo uso della crittografia asimmetrica:la firma e il non ripudio ................................................ 215
18.5 L’architettura delle Certification Authority ........................ 217
18.6 La scalabilità delle architetture di Certification Authority (CA) ....................................... 219
18.7 Lo scambio di Diffie – Hellman per la negoziazione delle chiavi.................................... 219
18.8 Una tipica funzione RSA............................................... 222
18.9 DSS ........................................................................... 225
18.10 Confronto della crittografia simmetrica e asimmetrica e proposta di uso......................................................... 226
SEZIONE SECONDA: Uso di crittografia schema PPTP e TLS ................227
18.11 Applicazione della crittografia alla comunicazione sicura ............................................ 227
18.12 Schema di applicazione end to end senza intermediari:protocollo PPTP per le VPN ........................................... 227
18.12.1 PPTP scenari complessivi di applicazione........................ 228
18.12.2 Cosa fa un PPTP Client ................................................. 231
VOLUME_4TOC.fm Page 15 Wednesday, April 4, 2012 10:25 AM
16 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
18.12.3 Come funziona una architettura protocollare PPTP ......................................................... 232
18.12.4 Implementazione della sicurezza nello schema PPTP......... 237
18.12.5 Authentication, l’accreditamento di macchine e di utenti.................................................. 238
18.12.6 Crittografia ................................................................. 238
18.12.7 PPTP Packet Filtering ..................................................... 239
18.12.8 Il protocollo PPTP e i Firewall - Router.............................. 239
18.12.9 Alcuni aspetti critici dello schema PPTP ........................... 239
18.13 Comunicazione sicura come servizio di rete .................... 240
18.13.1 A che livello della pila osi implementare la protezione crittografiche? .......................................... 241
18.13.2 Transport Layer Security (TLS): la sicurezza in rete senza proxy..................................... 244
18.13.2.1 TLS: funzionamento ................................................... 245
18.13.2.2 TLS Handshake Protocol ............................................ 247
18.13.2.3 TLS Protocolli impiegati ............................................. 250
18.13.3 TLS e RFC.................................................................... 250
18.13.4 TLS in azione: HTTPS .................................................... 251
18.13.5 TLS in azione: Secure Remote Login................................ 254
18.13.6 TLS in azione Secure-ftp ................................................ 255
SEZIONE TERZA: IPsec VPN peer-to-peer ..........................................256
18.14 La scalabilità della vpn-ipsec e gli schemi di implementazione ...................................................... 256
18.14.1 Schemi di collegamento ................................................ 256
18.14.2 I limiti della VP-IPsec: il punto di vista del service provider ............................... 260
18.14.3 Procedura complessiva di una comunicazione sicura IPsec-VPN peer-to-peer .................................................. 260
VOLUME_4TOC.fm Page 16 Wednesday, April 4, 2012 10:25 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
17
18.14.4 Costruzione di architettura IPsec scalabili: le Security association. La costruzione dal database dei security parameters da applicare nelle trasformazioni .................................. 263
18.14.5 Il Security Policy Index per ciascun flusso monodirezionale ......................................................... 264
18.14.5.1 IKE1 fase 1: ISAKMP Internet Security Association Key Management Protocol ........................................265
18.14.5.2 IKE fase 1 scambio di Diffie Hellman ..........................266
18.14.5.3 IKE fase 1 l’autenticazione ........................................266
18.14.6 Riassunto dei comandi per IKE fase 1autenticazione pre-share............................................... 266
18.14.7 IKE1 esempio .............................................................. 268
18.14.8 Riassunto dei comandi per IKE 1 con autenticazione mediante uso delle Certification Authority ....................... 269
18.15 IKE fase 2 (IPsec): le regole per la protezione dei dati ...... 271
18.16 Modulo IKE2: I contenitori transform set.......................... 272
18.17 Modulo IKE2: protocollo di Authentication Headerper l’integrità degli header ........................................... 273
18.18 Modulo IKE2: protocollo di Encapsulation Security Payload per l’applicazione della crittografia .......................................................... 274
18.19 Modulo IKE2: Tunnel mode e Transport mode ................. 274
18.20 Modulo IKE2: le Cripto access list .................................. 276
18.21 Modulo IKE2: le Cripto map.......................................... 276
18.22 Applicare Crypto Map alle interfacce fisiche................... 277
18.23 Applicazione della VPN ad interfacce virtuali Uso del Tunneling GRE ................................................. 277
SEZIONE QUARTA: IPsec VPN HUB and spoke ..................................278
18.24 Scenario HUB-spoke: per imporre policies a un intero ambiente con la extended autenticationprocedura complessiva................................................. 278
VOLUME_4TOC.fm Page 17 Wednesday, April 4, 2012 10:25 AM
18 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
18.25 Struttura e fasi di una Estended-VPN............................... 281
18.25.1 IKE -1 ed ISAKAMAP autenticazione del peer .................. 282
18.25.2 Autenticazione della macchina e dell’utente .................... 283
18.25.3 Il mode configuration Parametri scaricabili da server a client ......................................................... 283
18.25.4 Il processo di creazione di rotte RRI................................ 283
18.26 IPsec client-server ......................................................... 284
18.27 Implementazione di HUB and spoke extended vpn ........... 284
18.27.1 Lato server................................................................... 284
18.27.2 Lato client.................................................................... 286
VOLUME_4TOC.fm Page 18 Wednesday, April 4, 2012 10:25 AM
PARTE SETTIMA
MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE
E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI
VOLUME_4.book Page 19 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
21
CAPITOLO 15
TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE
SEZIONE PRIMA: Filtri L2, L3, L4
15.1 Il Controllo dei flussi di traffico del control e data plane
Ci sono molte ragioni per voler controllare il traffico nel data-plane.
Solo a titolo di esempio non esaustivo si può:
permettere o negare o più in generale regolamentare l’accesso a certe zonedella rete opportunamente individuate;
Figura 15.1Access control-list per il controllo del data plane e degli accessi
VOLUME_4.book Page 21 Wednesday, April 4, 2012 10:01 AM
22 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
permettere o negare o più in generale regolamentare l’accesso a specifichemacchine (accessi alle porte VTY);
implementare diversi privilegi di accesso (permettere cose diverse ai diversiutilizzatori);
selezionare alcune tipologie di traffico per applicare ad esse opportuneregole di priorità (QOS);
raccogliere il traffico in topologie per motivi di documentazione-fattura-zione.
Ci sono molte ragioni per voler controllare il traffico nel control–plane:
Solo a titolo di esempio non esaustivo:
selezionare le rotte che si vogliono trasmettere o bloccare o più in generaleregolamentare la formazione della tabella di instradamento;
modificare i parametri con cui le rotte sono distribuite (es. BGP o redistri-buzione).
Per tutto quanto sopra è necessario dotarsi di una struttura di configurazioneche permetta questo ampio spettro di obiettivi.
Storicamente sono stati introdotti, nei rispettivi contesti, vari metodi di controllo.Ciascun metodo risolve alcune delle tematiche. Non è stato ancora propostoun modello unitario. Qui si vuole esaminare la struttura e le regole di realizza-zione di filtri in modo sistematico ed esaustivo.
Partendo dalle access-list (in sigla ACL) che sono una delle strutture più sem-plici utilizzate, saranno anche esaminate:
route map;
distribuite list;
modular qos infrastructure;
modular queue infrastructure.
15.1.1 Struttura di un blocco di controllo
Nella sua forma generale una ACL prevede due fasi:
- definizione di una regola;
- applicazione della regola:
ad una interfaccia fisica,
VOLUME_4.book Page 22 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
23
ad un gruppo logico,
all’interno di una più complessa struttura per la creazione di regole dicontrollo (distibute-list, route-map) o di manipolazione sia nel controlplane che nel data plane.
Le due fasi sono collegate tra loro mediante un codice identificativo.
Infatti sarà assegnato un identificativo (numerico o alfanumerico) alla strutturadel filtro che poi sarà richiamato nel comando di applicazione del filtro.
La regola di filtro è costruita mediante una o più condizioni, talvolta indivi-duate con nomi simbolici, seguendo la sequenza logica qui riportata:
Si tratta quindi, nella sua accezione generale, di una sequenza di condizionilogiche (Access-List Entries in sigla ACE) che costituisce una tabella delle veritàche è configurata in modo statico o dinamico nella macchina.
La macchina sottopone il dato oggetto di riscontro (traffico di data planeentrante/uscente o annunci di control plane) ad un confronto con la strutturalogica.
In modo più dettagliato la macchina confronta il dato in esame con lasequenza delle condizioni logiche nell’ordine con cui queste sono stateimmesse.
Ogni confronto produce un esito che è risolutivo ed interrompe la catena deiconfronti.
Condizione logica 1Dato in esame riscontra vero
falso
Condizione logica 2 vero
falso
Condizione logica n vero
falso
Il dato non riscontraNessuna condizione posta
=>Il dato è scartato
Applica un azione sul dato
Applica un azione sul dato
Applica un azione sul dato
Figura 15.2Access control-list per il controllo del data plane e degli accessi
VOLUME_4.book Page 23 Wednesday, April 4, 2012 10:01 AM
24 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
Infatti, in caso di condizione logica riscontrata, si applica al dato l’azionedescritta e condizionata dalla ACE ed il processo è terminato senza esaminarele successive condizioni. In caso di condizione logica non riscontrata il datosarà confrontato con la seconda condizione logica e così via fino all’ultimacondizione logica.
Persistendo la situazione di non riscontro di tutte le condizioni logiche previsteed esaurita la sequenza dei confronti si applica al dato una azione preliminar-mente prevista per questa condizione (condizione di last-choice).
L’azione di default prevista nelle varie situazioni in cui le access-list sono richia-mate è quella di procedere in sicurezza alla non trasmissione del dato.
In figura 15.3 è riportato un esempio di un dato che non riscontra nessuna del-le condizioni poste ed è scartato:
Dalle precedenti considerazioni emerge l’importanza delle singole righe e del-la loro sequenzialità.
Proprio per evidenziare l’importanza della giusta sequenza, in figura è infineriportato il percorso all’interno della struttura logica di un dato che riscontra laprima condizione, per evidenziare che le condizioni successive non sarannoesaminate.
Questo accade perché le condizioni poste non hanno tutte lo stesso insiemelogico di appartenenza: è infatti contemporaneamente possibile che un pac-chetto possieda una intestazione IP e, al suo interno, una intestazione UDP eancora un header RTP.
L’oggetto è verdeOggetto di colore ROSSO riscontra vero
falso
L’oggetto e blu vero
falso
L’oggetto è nero vero
falso
Il dato non riscontraNessuna condizione posta
=>Il dato è scartato
Applica un azione sul dato
Applica un azione sul dato
Applica un azione sul dato
Figura 15.3Esempio di
struttura logicae confronti
con le singolerighe
VOLUME_4.book Page 24 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
25
Questa peculiarità sarà ulteriormente discussa in altri esempi.
15.1.2 Oggetti controllati
Anche da queste considerazioni preliminari si evince che gli oggetti cui questestrutture logiche si applicano sono molti e comprendono:
specifici host, gruppi di host, sottoreti e reti ben individuati con un indirizzodi livello 2,3,4 della pila iso-osi;
oggetti più complessi genericamente detti conversazioni identificate da:
- un chiamante (host, gruppi di host, sottoreti, reti...);
- un chiamato;
- una tipologia di traffico identificata con:
una porta well-known, ovvero un indirizzo di livello superiore al 3;
un indice di qos;
una qualsiasi altra caratteristica che accomuna ad esempio potrebbeessere interessante voler individuare una conversazione voce (hea-der rtp) tra due host oppure tra due gruppi di host per associare que-sto traffico ad una coda a una priorità alta di smaltimento in caso ditraffico congestionato;
potrebbe essere interessante in un processo di redistribuzione indivi-duare tutte le subnets/24 e avente al terzo ottetto un valore pari edassegnare a queste un gateway diverso dalle subnets/24 con valore
Il pacchetto è ipPacchetto ip riscontra vero
falso
Ip pacchetto è udp vero
falso
Il pacchetto è rtp vero
falsoIl dato non riscontra
Nessuna condizione posta=>Il dato è scartato
trasmetti
blocca
blocca
Il dato riscontra=>Il dato è trasmessoLe altre righe sono ignorate
Figura 15.4Logica sequenziale dei riscontri.Il primo blocco determina la decisionedi trasmissione i blocchi successivi non sono riscontrati
VOLUME_4.book Page 25 Wednesday, April 4, 2012 10:01 AM
26 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
dispari. A tutte le subnet con mascherà diversa vietare la redistribu-zione.
Per comprendere a fondo la natura degli oggetti su cui si possono applicare ifiltri bisogna introdurre la Management Information Base (MIB) definita origi-nariamente per motivi di amministrazione remota di macchine e poi usataanche per la costruzione di oggetti complessi a partire dalla base dati median-te operazioni di aggregazione ed elaborazione condotte da programmi di cal-colo attivabili per funzionare in background sugli apparati.
Rimandando all’apposito capitolo per una trattazione esaustiva delle implica-zioni sul controllo degli accessi si richiamano qui per comodità di trattazione.
15.1.3 I MIB e il protocollo SNMP e demoni NBAR e NETFLOW
Il controllo ed il management di macchine di rete è fondato sull’architettura MIBcostituita da:
- un database delle informazioni in cui è riportato e costantemente allineatolo stato delle variabili che costituiscono i processi;
- processi di controllo all’interno di una macchina;
- processi controllati;
- protocollo di comunicazione (spesso architetture client server).
I protocolli di comunicazione sono specializzati per ruoli.
Il protocollo di comunicazione per la trasmissione verso un server remoto delleinformazioni della MIB è SNMP.
Il protocollo ha subito 3 edizioni.
La versione più diffusa è la versione 2.
Allo scopo di minimizzare le attività delle macchine controllate, il protocolloSNMP è basato su alcune operazioni standard svolte tra un server centralizza-to e processi client sulle macchine controllate.
I moduli software, detti agent, presso le macchine client sono rese minime.
Con riferimento alla versione 2 sono disponibili i seguenti comandi:
get-request per ottenere il valore di una singola variabile;
get-next-request questo comando è usato per estrarre valori da tabelle;
get-bulk per estrarre interi blocchi di dati come tabelle;
VOLUME_4.book Page 26 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
27
set-request scrive un valore nel campo della variabile dichiarata;
response Messaggio di conferma della ricezione di un messaggio(get-request, get-next-request, get-bulk, set-request) inviato da un serveroppure di conferma di un “inform” mandato da un agent.
A differenza di SNMP, il demone Netflow raccoglie informazioni de e verso ilMIB della macchina su cui risiede.
Si comporta quindi come un server locale e usa gli stessi comandi.
Le operazioni di retry sono eseguite ciclicamente o su richiesta.
Gli agent possono essere sollecitati a trasmettere senza alcuna programmazio-ne temporale quando si verifica un determinato evento.
Tale trasmissione può essere organizzata in modo inaffidabile mediante il coman-do Trap (il server non conferma la ricezione del messaggio) o in modo affidabilemediante le inform-request (il server manda conferma di avvenuta ricezione).
L’organizzazione del database MIB è costruita in modo gerarchico.
Ciascuno degli oggetti di un MIB vengono definiti utilizzando un sottoinsiemedella notazione Abstract Syntax Notation One (ASN.1) chiamato “Structure ofManagement Information Version 2 (SMIv2)” descritta nella RFC 2578.
Nella costruzione della nomenclatura dei MIB devono essere previste un grannumero di situazioni che rendono molto complessa la trattazione completadell’argomento.
Qui interessa evidenziare che mediante la lettura dei MIB è possibile costruirediversi oggetti intermedi richiamati nei comandi delle access-list.
15.1.4 Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o “don’t care” mask
Posizione nell’ottetto8 7 6 5 4 3 2 1Potenza sulla scala potenze del 2,7 6 5 4 3 2 1 0Valore del bit sulla scala decimale128 64 32 16 8 4 2 1
0 0 0 0 0 0 0 0considera tutti i bit mask 0
0 0 0 0 0 0 0 1considera i primi 7 bit mask 254
0 1 1 1 1 1 1 1considera solo il primo bit tmask 128
0 1 1 1 1 1 1 0 considera il primo e l’ultimo bit mask 129
1 1 1 1 1 1 1 1ignora tutti i bit mask 255
Figura 15.5Wild-card mask uno strumento per selezionare host o gruppi di host
VOLUME_4.book Page 27 Wednesday, April 4, 2012 10:01 AM
28 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
Gli oggetti su cui applicare filtri ed i modelli di filtro sono piuttosto simili:
nel data plane:
- frame,
- i pacchetti,
- datagrammi individuati come in vario modo mediante l’intestazione(source-destination mac, IP, port),
- le regole con cui si confrontano le frames, i pacchetti o i datagrammi sa-ranno scritte con espressioni simboliche per specificare ad esempio tuttii pacchetti che hanno i primi n-bit dell’indirizzo MAC, IP, sorgente, desti-nazione … coincidenti con …
nel control plane gli annunci che contengono destinazioni individuate conl’indirizzo di rete. In questo caso le regole con cui si effettua il confrontosaranno scritte con espressioni simboliche per raggruppare ad esempiotutti le destinazioni che hanno i primi n-bit coincidenti con quelli dellaregola...
In definitiva la struttura logica dei controlli sui due piani è assolutamente similee fa uso massiccio della scalabilità degli indirizzi IP.
Infatti gli oggetti sono individuati confrontando un indirizzo ip di riferimentocon una maschera detta wild-card mask. Come descritto in figura 15.5 talemaschera ha il valore 1 dove si vuole non considerare il corrispondente bitnell’indirizzo IP ed il valore 0 dove invece il bit deve essere considerato.
Tuttavia nella pratica di implementazione, esiste tuttavia una notevole differen-za di scrittura dei filtri nel control plane e nel data plane.
Ad esempio gli oggetti cui si applicano le regole sono:
nel data-plane:
- un host: 172.30.1.1 wild-card mask 0.0.0.0 può essere sostituita con laparola chiave host;
- una subnet:172.30.0.0 wild-card mask 0.0.255.255
nel control-plane:
- le sole subnet pari con maschera /24 0.0.0.255 255.255.254.0;
- le subnets da 172.30.16.0/24 a 172.30.31.0 /24 172.30.16.0wild-card 0.0.15.0.
In figura 15.6 è rappresentato questo caso notevole di utilizzo dellawild-card mask.
VOLUME_4.book Page 28 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
29
La wild-card mask è spesso presentata come l’opposto della maschera di subnet-ting.
Il paragone è del tutto improprio anche se per molti casi di pratica utilità sem-bra essere di aiuto.
La subnet mask tuttavia separa nell’indirizzo ip quella parte dell’indirizzo cheaccomuna più macchine (subnet) mentre la wildcard mask seleziona i bit dell’indi-rizzo da considerare per costruire gruppi cui si applica una qualche regola.
Solo in alcuni casi questi ultimi gruppi sono coincidenti con le subnet.
Peraltro nella prassi è invalso l’uso di utilizzare due tecniche opposte per cre-are selezionare i bit degli indirizzi:
nelle subnets gli 1 nella maschera di subnetting;
nei gruppi per ACL gli 0 nella maschera wild-card.
15.2 Uso delle access-list nel data-plane
Per limitare l’estensione dell’argomento, Questo capitolo è dedicato quasiesclusivamente all’uso dei filtri per il controllo del data-plane.
Infatti l’uso di filtri per la gestione del control-plane è ampiamente documentatonei capitoli di routing e di redistribuzione tra protocolli di routing.
Si esamina dapprima l’uso delle diverse tipologie di filtro applicabili alle diver-se tipologie di oggetti configurabili e quindi le tecniche di configurazione delleregole ed alcuni casi speciali.
Il linea generale gli oggetti, costruiti a partire dal MIB, possono essere frames,pacchetti, datagrammi.
L’ambiente dove questa unità di fondo è più evidente sono i multilayer switches.
Nelle altre macchine sono nettamente prevalenti le ACL applicate a pacchettie datagrammi.
Posizione nel terzo ottetto8 7 6 5 4 3 2 1Potenza sulla scala potenze del 2,7 6 5 4 3 2 1 0Valore del bit sulla scala decimale128 64 32 16 8 4 2 1
0 0 0 0 1 1 1 1considerai i bit meno significativi mask 15
Annuncio 172.30.16.0 0.0.15.0
Tutte le subnets /24 da 172.30.16.0 a 172.30.31.0 wild-card 0.0.X.0 per gli ottetti 1,2,4
Figura 15.6Uso della Wild-card mask
VOLUME_4.book Page 29 Wednesday, April 4, 2012 10:01 AM
30 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
15.2.1 ACL in ambiente Multi Layer Switch
Le ACL ed i controlli sul traffico di data-plane configurabili in un MultilayerSwitch possono essere applicate e quindi impattare su oggetti differentiesempio porte fisiche livello 2, porte logiche e VLAN, porte routed.
Per ragioni di didattiche è opportuno considerare le possibili ACL divise per:
routed ACLs per il controllo di accesso all’apparato ma anche per il con-trollo del traffico che è trasmesso da una VLAN all’altra. Queste access-listin nulla differiscono da quelle che sono ampiamente descritte nei capitoliseguenti e che si riferiscono alle access-list che usano oggetti di livello 3 e 4;
access list applicate alle porte di livello 2. Questa ACL sono permesse soloper il traffico entrante nello switch. È ammessa solo una IP-ACL e una macACL per porta;
ACL applicate alle VLAN e VLAN map access-control (bridged and routed).Le VLAN-map possonno essere usate sia per il traffico tra le VLAN che percontrollare il traffico all’interno della stessa VLAN. Possono essere configu-rate per filtrare il traffico IP usando la potenza delle ACL del livello 3-4 mapossono anche essere configurate per filtrare altro traffico non ip usando leACL di livello 2 che prevedono i controlli sui mac-address ma anche sulletipologie di ethertype. La potenza di queste ACL è dovute al fatto che essesono applicate ad una entità logica e non ad una porta fisica.
Possono essere configurate più criteri contemporanei. In questo caso, la prio-rità tra i diversi filtri contemporaneamente presenti rispetta le regole qui diseguito elencate:
in caso di presenza contemporanea di filtro di livello 2 applicati sia alleporte fisiche che alle VLAN i primi hanno la precedenza;
anche in caso di contemporanea presenza di filtri di livello 3 su una portarouted e filtri sulla VLAN i primi prevalgono sui secondi;
in caso di presenza contemporanea di un filtro applicato sulla porta inaccesso e una ACL Livello 3 è configurata sulla porta in uscita sarà eviden-temente applicata la prima e quindi la seconda;
in caso di contemporanea presenza di filtri:
- VLAN map,
input ACL livello 3,
input port ACL.
VOLUME_4.book Page 30 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
31
I pacchetti entranti su quella porta saranno filtrati dalla input port.
in caso di contemporanea presenza di filtri:
- VLAN map,- input port ACL, - output port ACL.
I pacchetti entranti su quella porta saranno filtrati dalla input port. I pacchettiuscenti subiranno i filtri dalla VLAN map e dal filtro in uscita.
15.2.2 Routed ACLs ovvero ACL su porte no-switchport
Le ACL router sono applicabili alle porte fisiche in cui sia definito il livello 3,alle VLAN in cui sia pure definito il livello 3 e sugli etherchannel di livello 3.
Le ACL possono essere configurate una per interfaccia (fisica o logica) proto-collo e direzione.
Una ACL può essere usata su molte diverse interfacce.
Sono configurabili:
Standard IP access lists che usano il source ip per le definire le regole diconfronto;
Extended IP access lists che usano IP sorgente e destinazione insieme con ilprotocollo dei livelli superiori per definire le regole di confronto.
15.2.3 Port ACLs ovvero ACL su porte switchport
Le Port ACLs sono quella ACL che sono applicate sulle porte switched.
Sono permessi filtri solo sul traffico entrante.
Le tipologie di ACL permesse sono:
Standard IP access lists che usano il source ip per le definire le regole diconfronto;
Extended IP access lists che usano ip sorgente e destinazione insieme conl’header dei livelli superiori per definire le regole di confronto;
MAC extended access lists che usano source e destination MAC addressese protocol ethertype per definire le regole di confronto.
Il funzionamento di queste ultime ACL è del tutto analogo alle altre con la solaconsiderazione che gli oggetti sono individuati dai mac-address.
Le ACL sulle porte sono permesse solo in direzione inbound.
VOLUME_4.book Page 31 Wednesday, April 4, 2012 10:01 AM
32 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
Applicando una ACL ad un trunk la ACL sarà applicata a tutte le VLAN per-messe nel trunk.
Applicando la ACL ad una porta in cui è configurata una VLAN voce la ACLsi applica anche alla VLAN voce.
15.3 Struttura e tipologia di access-control-list a livello 2 pila OSI
15.3.1 Struttura generale
La struttura del filtro è composta secondo le regole generali descritte: unasequenza di righe (ACE) in cui è descritta un’azione (pemit/Deny) che è attua-ta al verificarsi di una condizione.
Gli oggetti di livello 2 su cui applicare i filtri sono individuati, per lo stackTCP-IP, con il mac-address.
Possono essere previsti filtri per altri protocolli.
Le ACL possono essere composte da più righe essendo sempre cogente la rego-la logica generale per cui ogni condizione espressa da una riga (access-listentry ACE) consente di decidere indipendentemente dalle altre righe.
Layout LAYER 2 ACLmac access-list extended name permit {{src-mac mask | any} {dest-macmask | any} [protocol [vlan vlan] [cos value]]}
Parametri per layer 2 acl{ permit | deny} {any | host src-MAC-addr | src-MAC-addr mask} {any | host dst-MAC-addr | dst-MAC-addr mask} [type mask | cos cos | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp]
La ACL esempio contiene righe come quella mostrata in cui il traffico è individuato in funzione del mac sorgente e destinazioneLe righe possono usare anche altre opzioni come deny
Esempio: Mac access-list esempioRouter(config-ext-macl)# permit00aa.00bb.00cc 0.0.0 any
Figura 15.7Layer 2 ACL filtricon controllo dimac address oethertype o cos
VOLUME_4.book Page 32 Wednesday, April 4, 2012 10:01 AM
Q U
A D
E R
N I
p e
r l
a p
r o
g e
t t a
z i
o n
e I C
T
33
Per creare una regola con più righe, tutte le righe dovranno avere lo stessonome simbolico che individua la regola e che sarà utilizzato per richiamare laregola.
Ogni ACE sarà costituita come la seguente:
mac access-list extended name permit {{src-mac mask | any} {dest-mac mask | any} [pro-tocol [vlan vlan] [cos value]]}
Il significato ed i possibili parametri di ogni ACE sono riassunti nella tabella.
{permit | deny} {any | host src-MAC-addr | src-MAC-addr mask} {any | hostdst-MAC-addr | dst-MAC-addr mask} [type mask | cos cos | aarp | amber | dec-span-ning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsapmask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip |xns-idp]
Il significato dei parametri è riassunto in Tabella 15.2.
Tab. 15.1
Esempio: Mac access-list esempioRouter(config-ext-macl)# permit 00aa.00bb.00cc 0.0.0 any
La ACL esempio contiene righe come quella mostrata in cui il traffico è individuato in fun-zione del mac sorgente e destinazioneLe righe possono usare anche altre opzioni come deny,
Tab. 15.2
any Parola chiave per qualsiasi source o destination MAC address
host src-MAC-addr |src-MAC-addr mask
Per definire un host o un gruppo di host sorgenti di traffico mediante mac-address e maschera
host dst-MAC-addr | dst-MAC-addr mask
Per definire un host o un gruppo di host destinatari di traffico mediante mac-address e maschera
type
Figura 15.8Layer 2 MAC ACL
VOLUME_4.book Page 33 Wednesday, April 4, 2012 10:01 AM
34 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV
In definitiva nella riga sono specificati i valori di source e destination, usandol’indirizzamento del livello 2 ed eventuali protocolli cui il filtro deve intendersiapplicato tra tutti i possibili filtri di livello 2.
Una grande importanza nella gestione della sicurezza degli switches hanno leARP ACCESS-LIST sia per il controllo della sorgente di pacchetti ARP (controllodel gratuitous-ARP) in ambiente con abilitato il DHCP (comando arpaccess-list) che in ambente di configurazioni di IP statici (IP ARP inspection filterVLAN).
type mask
(Opzionale) specifica a quali protocolli ethetype (numero esadecimale come specificato nell’header e range. • type esadecimale da 0 a 65535l. • mask maschera di wildcard per includere un range di ethertype.
aarp (Opzionale) specifica l’ethertype AppleTalk Address Resolution Protocol.
amber (Opzionale) specifica EtherType DEC-Amber.
cos cos (Opzionale) Specifica an arbitrary class of service (CoS) number from 0 to 7 to set priority. Filtering on CoS can be performed only in hardware. A warning message appears if the cos option is configured.
dec-spanning (Opzionale) specifica il protocollo dec-spanning tree
decnet-iv (Opzionale) specifica il protocollo DECnet Phase IV protocol.
diagnostic (Opzionale) specifica il protocollo dec--Diagnostic.
dsm (Opzionale) specifica il protocollo dec--DSM.
etype-6000 (Opzionale) specifica il protocollo 0x6000.
etype-8042 (Opzionale) specifica il protocollo 0x8042.
lat (Opzionale) specifica il protocollo dec--LAT.
lavc-sca (Opzionale) specifica il protocollo dec--LAVC-SCA.
lsap lsap-number mask (Opzionale) usa un identificativo LSAP (0 to 65535) con l’incapsula-mento 802.2 per identificare una tipologia di traffico. È prevista anche una maschera qualora si volesse far riferimento ad un range di protocolli
mop-console (Opzionale) specifica il protocollo DEC-MOP Remote Console.
mop-dump (Opzionale) specifica il protocollo DEC-MOP Dump.
msdos (Opzionale) specifica il protocollo DEC-MSDOS.
mumps (Opzionale) specifica il protocollo DEC-MUMPS.
netbios (Opzionale) specifica il protocollo DEC- Network Basic Input/Output System (NETBIOS).
vines-echo (Opzionale) specifica il protocollo Virtual Integrated Network Service (VINES) Echo from Banyan Systems.
vines-ip (Opzionale) specifica il protocollo VINES IP.
xns-idp (Opzionale) specifica il protocollo Xerox Network Systems (XNS) proto-col suite.
Tab. 15.2 (segue)
VOLUME_4.book Page 34 Wednesday, April 4, 2012 10:01 AM