Router&Switch...Consegna indiretta. Se un router non è direttamente collegato alla rete di...

Paolo Macchi

R&SRouter&Switch

- Indirizzamento dei dispositivi -

Paolo Macchi – R&S Router&Switch - Indirizzamento dei dispositivi- Rel. 20.01.18 1

Questo testo è pubblicato sotto licenza Creative Commons - Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Unported - Per le condizioni consulta: http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it . Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Il documento è scaricabile da http://isisfacchinetti.gov.it/ , sezione download, per fini esclusivamente didattici e non commerciali Segnalazioni di errori, critiche e consigli sono molto graditi e possono essere inoltrati a [email protected] , oppure lasciando un commento al momento del download per gli studenti registrati.

R&S - Router&Switch

ISIS “Cipriano Facchinetti” v ia Azimonti, 5 - 21053 Castellanza (VA) - http://isisfacchinetti.gov.it/

Convenzioni usate nel testo:

rappresenta una curiosità, un approfondimento

NOTA rappresenta una nota

rappresenta una esercitazione o esempio

https://www.the-qrcode-generator.com/ link di riferimento

Sommario.........................................................................................................................................................................................................................6

Switch..............................................................................................................................................................................................................6

Router e Routing.............................................................................................................................................................................................7

Routing Statico................................................................................................................................................................................................8

Routing dinamico : EGP, IGP........................................................................................................................................................................10

Indirizzamento NON ottimizzato: Reti con numero identico di terminali..................................................................................................14

Esercizio (8.1.4.7)....................................................................................................................................................................................14

NOTA VLAN e SVI...................................................................................................................................................................................16

Indirizzamento ottimizzato.......................................................................................................................................................................17

Esercizio 1 (2 reti, 1 Router)..............................................................................................................................................................17

Esercizio 2 (2 reti, 2 Router)...............................................................................................................................................................19

Esercizio 3 2 router - 4 sottoreti + R-R...............................................................................................................................................22

ESERCIZIO 4 - Esercizio1 NewTron (di potenziamento con ottimizzazione del piano di indirizzamento)........................................23

Ottimizzato 8.2.1.4 Designing and Implementing a VLSM Addressing Scheme...............................................................................25

RIP- Routing Information Protocol................................................................................................................................................................27

RIP v1.......................................................................................................................................................................................................27

Esercizio 1 RIPv1................................................................................................................................................................................27

Esercizio 2-RIPv1................................................................................................................................................................................29

Esercizio 3-RIPv1................................................................................................................................................................................30

Es. CDIR con tabella indirizzamento statico (grafico e a mano)........................................................................................................30


https://www.the-qrcode-generator.com/

http://isisfacchinetti.gov.it/

mailto:[email protected]



http://isisfacchinetti.gov.it/

http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it

http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it

RIPv2 (reti CDIR).....................................................................................................................................................................................31

Esercizio 1-RIPv2................................................................................................................................................................................31

Esercizio 2-TEST rete con RIPv1.......................................................................................................................................................33

ESEMPIO CONFRONTO RIPv1 e RIPv2...........................................................................................................................................34

Basic Commands for R&S CCNA1...............................................................................................................................................................37

Gli stati di router e switch.........................................................................................................................................................................37

NOTA – INTERFACCE FISCHE.........................................................................................................................................................40

“Privileged EXEC Mode”..........................................................................................................................................................................41

Global Configuration Mode......................................................................................................................................................................41

Dare il nome allo switch......................................................................................................................................................................41

DNS lookups (traduzione di comandi non desiderati)........................................................................................................................41

PASSWORD.............................................................................................................................................................................................41

Enable password ( utilizzato in Privilege EXEC Mode ).....................................................................................................................42

Metodi di configurazione.....................................................................................................................................................................42

Line Password.....................................................................................................................................................................................42

Password – Console - “Securing Console Access Using a Console Password”......................................................................43

Password – VTY........................................................................................................................................................................43

Service password-encryption..............................................................................................................................................................43

MOTD banner.....................................................................................................................................................................................44

USERNAME/PASSWORD Encrypts...................................................................................................................................................44

Salvataggio della configurazione in NVRAM...........................................................................................................................................46

SHOW......................................................................................................................................................................................................46

Visualizza la “current configuration”....................................................................................................................................................48

Visualizza la versione IOS ( e modello router)..........................................................................................................................48

Visualizza lo stato delle interface ( status of the connected interfaces) con VLAN............................................................................49

Visualizza Flash..................................................................................................................................................................................49

Cancellazioni VLAN.................................................................................................................................................................................50

Reload......................................................................................................................................................................................................50

Reset Router............................................................................................................................................................................................51

Promemoria comandi...............................................................................................................................................................................51

Es. 2.3.2.5 (cfr 2.1.4.8 e 2.2.3.3 )............................................................................................................................................................54

Scenario..............................................................................................................................................................................................54

2.4.1.2 Skills Integration Challenge.........................................................................................................................................................56

2.3.3.3 LABORATORIO in pratica Lab - Building a Simple Network.......................................................................................................57

Mac e Arp (cap.5).....................................................................................................................................................................................58

Su PC.................................................................................................................................................................................................58

Un esercizio completo (6.5.1.3 capitolo 6 Packet Tracer Skills Integration Challenge)...............................................................................60

Indirizzi IPv6 (cap7).......................................................................................................................................................................................65

Indirizzi Unicast........................................................................................................................................................................................66

Global Unicast - Indirizzi unicast globali aggregabili → 2001:DB8:1:1::1/64 (prefisso 2000-3FFFh).....................................................67

Link-local → FE80::1/10...........................................................................................................................................................................69

Subnetting in IPv6...............................................................................................................................................................................70

Unique local → FC00 ::/7.........................................................................................................................................................................71


Multicast aggregabili (FF00::/8)...............................................................................................................................................................71

Multicast già definiti (riservati).............................................................................................................................................................72

Tabella riassuntiva indirizzi IPV6..............................................................................................................................................................72

IPv4 vs IPv6.............................................................................................................................................................................................73

Esercizi....................................................................................................................................................................................................74

Configuring IPv6 Addressing 7.2.4.9..................................................................................................................................................75

TRACEROUT 7.3.2.4..........................................................................................................................................................................76

PT 7.3.2.6 scoprire errore di blocco....................................................................................................................................................76

7.4.1.2 Challange................................................................................................................................................................................78

8.4.1.2 Cap 8 - Subnetting - Skills Integration Challenge...................................................................................................................79

NOTA LOGIN.......................................................................................................................................................................................83

Capitolo 11 e final..........................................................................................................................................................................................86

Basic password........................................................................................................................................................................................86

Aumentare la sicurezza delle password - enable secret ...................................................................................................................86

Schema di indirizzamento...................................................................................................................................................................86

PING e BASELINE........................................................................................................................................................................................89

Cap 11...........................................................................................................................................................................................................90

11.2.4.3 Basic security practice...............................................................................................................................................................90

esempio con telnet e SSH..................................................................................................................................................................90

ESEMPIO con comandi......................................................................................................................................................................93

The following example sets the incoming protocol to Telnet for vtys 0 to 4:.......................................................................................93

11.2.4.5 Configuring Secure Passwords and SSH..................................................................................................................................94

11.3.2.3 (tracert)..................................................................................................................................................................................96

ESEMPIO TRACERT con Wireshark........................................................................................................................................97

11.3.3.3 (show)...................................................................................................................................................................................98

11.5.1.2-3 Skill Integration Challenge (inizio)....................................................................................................................................98

11.5.1.3..............................................................................................................................................................................................102

Warm Up Final............................................................................................................................................................................................102

INTRODUZIONE....................................................................................................................................................................................103

RICHIESTE............................................................................................................................................................................................103

Step 1: Determinare la schema di indirizzamento IP........................................................................................................................104

Step 2: Configurare il router 0...........................................................................................................................................................104

Step 3: Configurare lo Switch LabB..................................................................................................................................................105

Step 4: configurazione e verifica indirizzamento Host......................................................................................................................105

Step 5: backup della configurazione del router0 al TFTP.................................................................................................................105

ESECUZIONE........................................................................................................................................................................................105

Step 1: Determinare la schema di indirizzamento IP........................................................................................................................105

Step 2: Configurare il router..............................................................................................................................................................109

Step 3: Configurare lo Switch LabB - Configurare lo Switch LabB per la gestione remota attraverso Telnet..................................110

Step 5: backup della configurazione del router0 al TFTP..................................................................................................................111

Appendice1 - Configurazione tabelle di routing..........................................................................................................................................111

Configurazione di route statiche.............................................................................................................................................................111

Comandi su host Unix: route.............................................................................................................................................................111

Comandi su router CISCO:ip route...................................................................................................................................................112


Comandi che mostrano il contenuto della tabella..................................................................................................................................112

Comandi su host Unix: netstat -r.......................................................................................................................................................112

Comandi su router CISCO: show ip route.........................................................................................................................................112

Appendice2 - ACL.......................................................................................................................................................................................115

Comando ACL...................................................................................................................................................................................115

ACL standard.....................................................................................................................................................................................116

Condizione 1 . Il traffico verso il Server0 (presente nella rete 30.0.0.0/8) viene bloccato se giunge da Laptop0 (10.0.0.10) e permessose è generato da PC0 (10.0.0.11)..........................................................................................................................................................117

Condizione 2 permettere a rete 10.0.0.0 di accettare tutto il traffico proveniente dalla rete 40.0.0.0 e contemporaneamente bloccare quello da altre ret....................................................................................................................................................................................118

Appendice3 - PT 4.2.3.3 Sicurezza (Iot introduction)............................................................................................................................122

Tools e Sitografia.........................................................................................................................................................................................125


SwitchScopo dello switch è quello di interconnettere e inviare le trame Ethernet ai computer presenti nella rete locale.

Ciascun segmento di rete, collegato ad una porta di uno switch, costituisce un dominio di collisione che dà la possibilità di dividere una rete in domini più piccoli ed efficienti.

Fig. s1 -CISCO SYSTEMS Catalyst 2960-X Switch 24 Porte PoE 370W Gigabit Ethernet 10/100/1000 con il simbolo di PT

Lo switch opera al livello 2, datalink, del modello ISO/OSI, utilizzando gli indirizzi MAC presenti nelle trame per prendere le sue decisioni, senza curarsi del tipo di dati presenti nei livelli superiori.

A differenza degli hub, che inviano quello che ricevono su TUTTE le porte tranne quella di ingresso, uno switch Ethernet consulta la tabella degli indirizzi MAC per sapere su quale porta inviare la trama ricevuta.


https://it.wikipedia.org/wiki/Dominio_di_collisione

Questa tabella è creata dinamicamente, in auto-apprendimento, analizzando le trame che arrivano alle porte dello switch. In questa tabella gli indirizzi MAC degli host vengono associati alle porte dello switch a cui sono collegati. Le voci in tabella, se non vengono utilizzate entro un periodo di tempo di qualche minuto, vengono cancellate.

Più precisamente, quando uno switch riceve da un dispositivo di rete, una trama Ethernet, fa due tipi di controlli.

Controllo dell’indirizzo MAC sorgente, utilizzato per popolare la tabella ◦ Se l'indirizzo MAC di origine non è presente nella tabella, viene aggiunto insieme al numero di porta dello switch◦ Se l'indirizzo MAC di origine è presente nella tabella, lo switch aggiorna il timer associato a quella porta (circa cinque

minuti)◦ Se l'indirizzo MAC di origine è presente nella tabella, ma è associato a una porta diversa, la tabella viene aggiornata con

la nuova corrispondenza tra l’indirizzo MAC e la porta.

Controllo dell’indirizzo MAC di destinazione, utilizzato per inoltrare la trama su una porta Se l'indirizzo MAC di destinazione è unicast, lo switch lo cercherà nella sua tabella:

◦ Se l'indirizzo MAC di destinazione si trova in tabella, lo switch inoltra la trama ricevuta sulla porta specificata◦ Se l'indirizzo MAC di destinazione non è nella tabella, lo switch inoltra la trama ricevuta su tutte le porte tranne la porta in

entrata Se l'indirizzo MAC di destinazione è multicast, la trama viene inviata a tutte le porte tranne la porta in entrata Se l’indirizzo IP di destinazione non si trova nella rete locale, la trama viene inoltrata all'indirizzo MAC del gateway

predefinito, il router.

fonte CISCO--------------------------------------------------Comandi IoS

In privileged EXEC mode S2# show mac address-table

S2# clear mac address-table dynamic -----------------------------------------------

Router e RoutingIl compito del router e' quello di trasportare le informazioni tra reti diverse individuando il miglior percorso possibile.

Il pacchetto che il router riceve va instradato all'host di destinazione o ad un altro router. Sono previste due tipi di consegna:

Consegna diretta. Se un router è direttamente collegato alla rete di destinazione, il pacchetto è inoltrato all'host locale


Consegna indiretta. Se un router non è direttamente collegato alla rete di destinazione, inoltra il pacchetto a un router intermedio, che costituisce il successivo nodo (hop) più vicino, presente nella tabella di routing. Per prendere le sue decisioni il router si affida alla tabella di routing, dove è definita la “rotta” da seguire per arrivare a destinazione

L’inoltro avviene da router a router attraverso le reti IP. I router inoltrano i pacchetti basandosi esclusivamente sulla parte di retedell’indirizzo IP di destinazione. Tutti gli host che appartengono alla rete di destinazione sono identificati, nelle tabelle di routing da unasingola voce (il prefisso di rete).

Per inoltrare un pacchetto il router deve capire a quale sottorete appartiene una delle sue interfacce. Per verificarlo effettua un ANDlogico, bit a bit, tra l’indirizzo dell’interfaccia di rete e la netmask e tra l’indirizzo di destinazione e la netmask: se i due risultaticoincidono allora la sottorete è la stessa e si procede all’inoltro diretto. Ad esempio

(131.175.21.77) AND (255.255.255.0) = 131.175.21.0

(131.175.21.96) AND (255.255.255.0) = 131.175.21.0

Le tabelle di routing devono essere aggiornate continuamente in modo che il traffico di rete viaggi lungo percorsi ottimali. Per questooccorre che i router vengano configurati con un percorso predefinito o si possano scambiare continuamente informazioni:

Routing statico. Un amministratore inserisce manualmente le informazioni di instradamento. Le informazioni di istradamentonon cambiano fino a che l'amministratore non le aggiorna. L'utilizzo di routing statico è utilizzato tipicamente solo per retimedio-piccole

Routing dinamico. Un amministratore configura un router per generare automaticamente le informazioni di instradamento,condividendole con altri router e aggiornando la propria tabella quando si verificano cambiamenti nella rete (intasamenti,guasti, ritardi).

Routing StaticoE’ utilizzato in ambienti in cui il traffico di rete è prevedibile e in cui la rete è semplice. La maggior parte delle reti utilizza percorsi dinamici per comunicare tra router, ma potrebbe avere uno o due percorsi statici configurati per casi speciali. Le route statiche sono anche utili per specificare un gateway di ultima istanza (un router predefinito a cui vengono inviati tutti i pacchetti non instradabili).

(cfr https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/5_x/nx-os/unicast/configuration/guide/l3_cli_nxos/l3_route.html#15832 )

Costruzione delle tabelle di routing in modo statico.

Partiamo dall’esempio in figura R1


https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/5_x/nx-os/unicast/configuration/guide/l3_cli_nxos/l3_route.html#15832

RETE a SX 10.0.0.0/8 (255.0.0.0)

Default gateway (Router 2): 10.0.0.1

PC1-2-MIN = 10.0.0.2

RETE-ROUTER 20.0.0.0/8 (255.0.0.0)

20.0.0.1 (Router2)

20.0.0.2 (Router0)

RETE a DX 30.0.0.0/8 (255.0.0.0)

Default gateway (Router 0): 30.0.0.1

PC2-1-MIN = 30.0.0.2

fig. R1 – Le due reti 10.0.0.0/8 e 30.0.0.0/8 sono collegate tramite la rete 20.0.0.0/8

Attenzione! Una volta costruita la rete, per default, i router conoscono solo reti connesse direttamente:

Router2 conosce solo la rete 10.0.0.0 e la rete 20.0.0.0 non conosce la rete 30.0.0.0.

Router0 non sa dell’esistenza della rete 10.0.0.0.

Quindi aggiungeremo un percorso statico a entrambi i router (fig. R2).

(a)


(b)

Fig R2 – La rete da raggiungere dal Router0 (Network 10.0.0.8 con Mask 255.0.0.0 ) attraverso il collegamento verso il Router1 (Next Hop via 20.0.0.1) - (oppure configurando a mano : R(config) #ip route Destinazione-rete SubnetMask Next Hop Address Router2(config)#ip route 30.0.0.0 255.0.0.0 20.0.0.2 )

La tabella di router0 è:

Legenda:

C rete direttamente connessa (la route e' generata dal router) S statica (deriva da un comando "ip route" presente nel file di configurazione)R La route è stata attivata con il protocollo RIP D La route è stata attivata con il protocollo EIGRP O La route è stata attivata con il protocollo OSPF B La route è stata attivata con il protocollo BGP

Routing dinamico : EGP, IGPLa rete Internet, essendo vastissima, è suddivisi in reti separate denominate Autonomous System (AS) descritti in RFC 1930: “ un ASè un gruppo connesso di una o più reti IP (classless) gestite da uno o più operatori ma con identiche e ben definite politiche di routing “.

Molte reti IP aziendali e la maggior parte degli ISP sono costituiti da un sistema autonomo. Solo reti molto grandi sono divisi in più AS: Internet ne ha più di 20000 (fig. a1).


fig. a1- L’architettura di Internet dal punto di vista organizzativo è composto da più di 20000 AS

Un AS, si tratti di una singola rete o di un insieme di reti, è sotto il controllo di un'autorità amministrativa comune, ad esempio un'impresa o un'altra organizzazione che condivide lo stesso protocollo di routing.

In una grande organizzazione, un AS potrebbe essere suddiviso in più regioni di routing (routing domains o areas) che definiscono una gerarchia all'interno di AS.

Gli Autonomous System sono identificati, a livello globale, tramite un numero univoco a 16 bit chiamato ‘Autonomous System Number’(ASN), assegnato dalla stessa autorità che rilascia gli indirizzi Internet a livello mondiale.

Gli AS utilizzano due tipi di protocolli di routing per aggiornare le informazioni di routing:

EGP (Exterior Gateway Protocol) - protocolli utilizzati per distribuire le informazioni di routing tra due o più sistemi autonomi

IGP (Interior Gateway Protocol) - protocolli utilizzati per distribuire le informazioni di routing all'interno di un unico AS

La figura R11 illustra due sistemi autonomi che utilizzano protocolli interni ed esterni per comunicare.

fig R11 I protocolli IGP e EGP

IGP - Nei protocolli interni rientrano:

link state - i router di un sistema autonomo conoscono l'intera topologia della rete che li circonda per scegliere la strada migliore verso il nodo di destinazione:

◦ Open Shortest Path First (OSPF), basato sull' algoritmo di Dijkstra che calcola il percorso più breve per far transitare i dati tra due nodi della rete in base alle informazioni su: congestione dei nodi, collegamenti attivi ecc. delle connessioni dei router adiacenti.

distance vector. Tengono conto della distanza che un pacchetto percorre per giungere a destinazione:

◦ Routing Information Protocol (RIP) RIP è un protocollo particolarmente significativo.

▪ E’ stato sviluppato nel 1969 come parte integrante di ARPANET, per reti di tipo classful.▪ Prevede lo scambio dei dati della tabella di routing con quelli dei router adiacenti. A partire da tali dati, il router

costruisce una tabella che associa la distanza che lo separa a ogni destinazione conosciuta ▪ La distanza corrisponde al numero di salti (hop) che un pacchetto compie prima di raggiungere la destinazione:

massimo 15 (16 rappresenta una distanza infinita). La distanza amministrativa che nel caso di RIP è 120.


▪ I pacchetti normalmente sono inviati, con cadenze dell’ordine delle decine di secondi, in modalita' broadcast. Un percorso che non viene aggiornato entro qualche minuto, non è più valido

▪ Questo protocollo ha dei limiti perchè è classful: gli aggiornamenti delle tabelle di routing non contengono la maschera di sottorete e ciò rende impossibile la creazione di sottoreti di dimensione diverse, all'interno della stessa classe . Inoltre non supportata autenticazione

▪ RIP version 2 ( RIPv2). Introduce le subnet mask per la determinazione del percorso di rete (classless). Esegue lo scambio, in multicasting, dell'intera tabella di routing con tutti i router adiacenti e prevede un meccanismo di autenticazione basato su password. Mantiene la stessa metrica basata sugli hop (15) e la stessa distanza amministrativa di RIPv1 (120).

◦ Enhanced Interior Gateway Routing Protocol (EIGRP) che è un protocollo proprietario CISCO e sostituisce il predecessore (Interior Gateway Routing Protocol - IGRP) che era stato progettato per superare i limiti del protocollo RIP. E’ utilizzato tipicamente per reti medio-grandi.

EGP - I protocolli di tipo EGP sono diversi da quelli di tipo IGP :

All’interno di un AS si persegue l’ottimizzazione dei percorsi

Nel routing tra diversi AS si deve tener conto anche (e soprattutto) delle politiche di instradamento

ogni AS vuole mantenere una propria autonomia ed indipendenza dagli altri e non vuole subire decisioni prese da altri

◦ alcuni AS non vogliono permettere ad altri AS di instradare il traffico attraverso le loro reti,

◦ in altri casi bisogna operare secondo accordi internazionali

Per Internet sono stati definiti due protocolli di tipo EGP:

◦ Exterior Gateway Protocol (EGP) - EGP è simile ad un protocollo distance vector – le informazioni inviate ai vicini sonosostanzialmente informazioni di raggiungibilità

◦ Border Gateway Protocol (BGP) - BGP è stato concepito come sostituto di EGP • Oggi è in uso la versione 4 (RFC 1771) • I router BGP si scambiano informazioni attraverso connessioni TCP (porta 179) chiamate sessioni BGP – le comunicazioni sono affidabili – funzionalità di controllo degli errori demandate allo strato di trasporto

NOTA - tecnologia MPLS (Multiprotocol Label Switching)

MPLS determina il percorso di un pacchetto a partire dal punto di partenza (ingress router) fino a quello di arrivo (egress router). Per questo ci si serve un identificatore (label) assegnato al pacchetto. L’uso di MPLS nelle reti IP presuppone un’infrastruttura logica e fisica, composta da router che supportano MPLS. Le label che contengono le informazioni di instradamento e di servizio vengono prese in considerazione dalle stazioni intermediarie (label switched router) che valutano i percorsi. La valutazione avviene grazie a un hardware posto al di sopra del livello di collegamento (livello 2), mentrel’instradamento si ha al livello di rete (livello 3). Il procedimento di label opera principalmente all’interno di un sistema autonomo (AS).

https://www.1and1.it/digitalguide/server/know-how/mpls-che-cose-il-multiprotocol-label-switching/

APPROFONDIMENTO - La rete GARR (AS 137)

“GARR è la rete nazionale a banda ultralarga dedicata alla comunità dell’istruzione e della ricerca. Il suo principale obiettivo è quello di fornire connettività ad alte prestazioni e di sviluppare innovativi per le attività quotidiane di docenti, ricercatori e studenti e per la collaborazione a livello internazionale. La rete GARR (fig. Gar1) dispone 5.000 km di fibra ottica su tutto il territorio nazionale, raggiunge circa 4 milioni di utenti, collega oltre ed è interconnessa all’Internet mondiale.La rete GARR è ideata e gestita dal Consortium GARR, un’associazione senza fini di lucro fondata sotto l’egida del Ministero dell’Istruzione, dell’Università e della Ricerca.” https://www.garr.it/it/


https://www.garr.it/it/

https://www.1and1.it/digitalguide/server/know-how/mpls-che-cose-il-multiprotocol-label-switching/

fig. Gar1 – Le dorsali della rete GARR con I collegamenti verso l’estero

Anche se la situazione è più complessa, dal punto di vista del routing, GARR appare all'esterno come un unico Autonomous System (AS 137) e comprende varie reti universitarie conle stesse politiche di routing. Così, ad esempio l’Università di Bologna (rete137.204.0.0/16 ) o il politecnico di Torino (130.192.0.0/16 ), comunicano con il mondo intero tramite GARR senza dover disporre di un proprio AS.

Per avere informazioni su un AS è possibile interrogare il database contenente le politiche di routing degli AS (Internet Routing Registries), visitando e facendo una richiesta specifica (fig. Garr2).

fig. Garr2 – Query su AS137 per conoscere e reti del GARR


Indirizzamento NON ottimizzato: Reti con numero identico di terminali

Esercizio (8.1.4.7)

Step 1: Subnet the 192.168.100.0/24 network into the appropriate number of subnets.

a. Based on the topology, how many subnets are needed?

b. How many bits must be borrowed to support the number of subnets in the topology table?

c. How many subnets does this create?

d. How many usable hosts does this create per subnet?

Net 0: 192 . 168 . 100 . 0

..

f. Calculate the binary and decimal value of the new subnet mask.

Risposte:

Assign the subnets to the network shown in the topology.

Network: 192.168.100.0/24 11000000.10101000.01100100 .00000000 (Class C)

Si deve disporre di 5 reti ciascuna di 25host => 5 reti → 8 reti→ 2^3 → 3 bit → da /24 a /27

(la cosa combacia con 25host => 32 hotst per sottorete => 2^5 => 5 bit per host (32-5=27 →/27)

Net 0 a. Assign Subnet 0 to the LAN connected to the GigabitEthernet 0/0 interface of R1:

Network: 192.168.100.0/27 11000000.10101000.01100100.000 00000 (Class C)

Broadcast: 192.168.100.31 11000000.10101000.01100100.000 11111

HostMin: 192.168.100.1 11000000.10101000.01100100.000 00001

HostMax: 192.168.100.30 11000000.10101000.01100100.000 11110

Hosts/Net: 30 (Private Internet)

Net 1 b. Assign Subnet 1 to the LAN connected to the GigabitEthernet 0/1 interface of R1:

Network: 192.168.100.32/27 11000000.10101000.01100100.001 00000 (Class C)

Broadcast: 192.168.100.63 11000000.10101000.01100100.001 11111

HostMin: 192.168.100.33 11000000.10101000.01100100.001 00001

HostMax: 192.168.100.62 11000000.10101000.01100100.001 11110


http://www.ietf.org/rfc/rfc1918.txt


Net 2 c. Assign Subnet 2 to the LAN connected to the GigabitEthernet 0/0 interface of R2:

Network: 192.168.100.64/27 11000000.10101000.01100100.010 00000 (Class C)

Broadcast: 192.168.100.95 11000000.10101000.01100100.010 11111

HostMin: 192.168.100.65 11000000.10101000.01100100.010 00001

HostMax: 192.168.100.94 11000000.10101000.01100100.010 11110


Net 3 d. Assign Subnet 3 to the LAN connected to the GigabitEthernet 0/1 interface of R2:

Network: 192.168.100.96/27 11000000.10101000.01100100.011 00000 (Class C)

Broadcast: 192.168.100.127 11000000.10101000.01100100.011 11111

HostMin: 192.168.100.97 11000000.10101000.01100100.011 00001

HostMax: 192.168.100.126 11000000.10101000.01100100.011 11110


Net 4 e. Assign Subnet 4 to the WAN link between R1 to R2:

Network: 192.168.100.128/27 11000000.10101000.01100100.100 00000 (Class C)

Broadcast: 192.168.100.159 11000000.10101000.01100100.100 11111

HostMin: 192.168.100.129 11000000.10101000.01100100.100 00001

HostMax: 192.168.100.158 11000000.10101000.01100100.100 11110


…

Step 1: Configure IP addressing on R1 LAN interfaces.

R1>enable

R1#configure terminal

R1(config)#interface g0/0

R1(config-if)#ip address 192.168.100.1 255.255.255.224

R1(config-if)#no shutdown

R1(config)#interface g0/1

R1(config-if)#ip address 192.168.100.33 255.255.255.224

R1(config-if)#no shutdown

Step 2: Configure IP addressing on S3, including the default gateway.

S3>enable S3#configure terminal Enter configuration commands, one per line. End with CNTL/Z.






S3(config)#interface vlan 1S3(config-if)#ip address 192.168.100.66 255.255.255.224S3(config-if)#no shutdown S3(config-if)#exitS3(config)#ip default-gateway 192.168.100.65

Step 3: Configure IP addressing on PC4, including the default gateway.

NOTA VLAN e SVI(tratto da http://www.gianrico.com/SITO/Libro_switch_2900/switch_base.htm ...VLAN http://www.gianrico.com/SITO/Libro_switch_2900/switch_base.htm

http://www.netsetup.it/cisco-ccna/configurazione-vlan-cisco )

Il concetto di VLAN e' di fondamentale importanza per la configurazioni di reti complesse. Di default tutte le porte dello switch sono nella stessa VLAN. Con questo intendiamo che tutte le porte dello switch comunicano tra loro. Questo puo' sembrare ovvio per chi utilizza semplici switch. Infattinon si vede per quale motivo un PC collegato alla porta 3 di uno switch non debba comunicare con un secondo PC collegato alla porta 10. In realta',in molte circostanze, isolare porte o gruppi di porte e' estremamente utile. E qui entrano in gioco le VLAN.

Una VLAN e' identificata da un nome o da un numero che si puo' associare ad una o piu' porte che formeranno un gruppo isolato rispetto ad altre porte che si troveranno in altre VLAN.

Sostanzialmente con le VLAN possiamo dividere uno switch fisico in piu' switch logici, isolati tra loro.

Nelle aziende di qualsiasi tipo e' importante la sicurezza. Attivita' di uffici differenti devono restare isolate tra loro. Per fare un esempio banale e' abbastanza ovvio mettere in VLAN diversa i PC dell'officina rispetto a quelli dell'amministrazione anche in una piccola attivita' di riparazione auto. E cosi', dalle aziende piu' piccole ai campus universitari, e' fondamentale tenere separate le reti negli switch.

Ma chi decide chi e quando puo' attraversare la barriera tra una VLAN e l'altra? La risposta e' che un router, o un dispositivo di Layer 3, raccoglie iltraffico di tutte le VLAN e decide, tramite la configurazione dell'operatore, le eccezioni di sicurezza che consentono il passaggio di traffico tra le VLAN.

Quindi le VLAN restano isolate tra loro attraversando uno o piu' switch della LAN. Se c'e' comunicazione tra loro avviene in un Layer 3 che deve ricevere i dati da tutte le VLAN (tramite un collegamento speciale con uno switch chiamato TRUNK).

Per creare una vlan

(config)#int vlan 1

(config-if)#decription VLAN 1 Interface

Per vedere le vlan configurate in uno switch si utilizza il comando 'show vlan'.

-----

SVI Switch Virtual Interface

Tradizionalmente, gli switch inviano il traffico solo agli host all'interno dello stesso dominio broadcast (Single VLAN) e i router gestiscono il traffico tra diversi domini broadcast (diverse VLAN). Ciò significava che i dispositivi di rete in domini broadcast diversi non possono comunicare senza un router.

Con SVI lo switch utilizzerà l'interfaccia virtuale Layer 3 per indirizzare il traffico verso l'altra interfaccia Layer 3, eliminando così la necessità di un router fisico. Le VLAN riducono il carico su una rete dividendo una LAN in segmenti più piccoli e mantenendo il traffico locale all'interno di una VLAN. Tuttavia, poiché ogni VLAN ha il proprio dominio, è necessario un meccanismo per le VLAN per passare i dati ad altre VLAN senza passare i dati attraverso un router.


http://www.netsetup.it/cisco-ccna/configurazione-vlan-cisco

http://www.gianrico.com/SITO/Libro_switch_2900/switch_base.htm



La soluzione è usare l'interfaccia virtuale commutata - SVI. Un SVI si trova normalmente sugli switch (Layer 3 e Layer 2). Con SVI lo switch riconosce le destinazioni dei pacchetti che sono locali alla VLAN di invio e commuta i pacchetti e i pacchetti destinati alle diverse VLAN.Esiste un mapping uno-a-uno tra una VLAN e SVI, quindi solo una SVI singola può essere mappata a una VLAN. Nell'impostazione predefinita, vienecreato un SVI per la VLAN predefinita (VLAN1) per consentire l'amministrazione degli switch remoti.

Nella maggior parte dei progetti tipici abbiamo il gateway predefinito per gli host che puntano agli switch SVI, quindi lo switch instraderà i pacchettial resto del dominio Layer 3.

----------------------

Indirizzamento ottimizzato

L’ottimizzazione degli indirizzi si ottiene attraverso una tecnica che adotta un piano di indirizzamento con prefissi di rete di lunghezzadifferente, evitando le sovrapposizioni e gli sprechi.

VLSM (Variable-lenght subnet masking) è la tecnica usata con CIDR (CIDR/VLSM) che consente di allocare sottoreti di lunghezzadifferente. Questo metodo permette di suddividere una rete in sottoreti di dimensioni diverse, applicando maschere nonnecessariamente uguali tra loro

Gli esempi che seguono mostrano come operare in simili casi: il primo esempio contiene un solo router e due sottoreti, il secondo lestesse due sottoreti collegate da due router.

Esempio

Altri esempi in file:///C:/Users/lanci/Downloads/02__Subnetting__2008-2009.pdf

Esercizio 1 (2 reti, 1 Router)

Si vuole creare una rete come quella in figura R1, che dispone di un indirizzamento Classless utilizzando il range di indirizzi192.168.0.0/24. La prima rete (Rete1) deve disporre di 100 host, la seconda (Rete2) di 50 host. Le due reti parlano tramite lo stessorouter. Gli indirizzi devono essere assegnati con uno spreco minimo.


../../../Users/lanci/Downloads/02__Subnetting__2008-2009.pdf

fig R1

Soluzione

Identificare le reti a cui assegnare gli indirizzi

Nel nostro caso abbiamo due reti: Rete1, Rete2 (fig. R1)

Determinare il numero di indirizzi da assegnare ad ogni rete

Nel nostro caso abbiamo (fig. c1)

o Rete1: 100 host + 2. In totale 102 indirizzi che corrisponde a 128 indirizzi di host che corrisponde a una rete /25 (mask 255.255.255.128)

o Rete2: 50 indirizzi (host) + 1 indirizzo di broadcast + 1 indirizzo di rete (compreso l’indirizzo del Gateway di interfaccia presente nel router) . In totale 52 indirizzi. Ciò comporta che il numero allocabile di host deve essere quello che , in potenze di 2, più si avvicina a 52. In questo caso 64 indirizzi di host che corrisponde a una rete /26(infatti 32-26=6, 2^6=64) (mask 255.255.255.192)

Controllare se il totale degli indirizzi allocati non supera quello previsto dal range di indirizzi previsto. Nel nostro caso /24 corrisponde a 2^8 indirizzi, pari a 256 che è di gran lunga minore del numero complessivo allocato (128+64= 192 < 256). OK!


fig c1- il totale degli indirizzi ripartiti su due reti diverse (cfr.

Nota : il “Numero Magico”. In subnetting senza classi, abbiamo visto come possiamo prendere in prestito bit dalla porzione host. L’ultimo bit della subnet mask è il numero magico. Ad esempio Address:

192.168.0.0 /26 11000000.10101000.00000000 .00000001

Subnets

Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000

Numero magico 64

+64 Next Network: 192.168.0.64/26 11000000.10101000.00000000.01 000000 (Class C)

+ 64 Next Network: 192.168.0.128/26 11000000.10101000.00000000.10 000000 (Class C)

+64 Next Network: 192.168.0.192/26 11000000.10101000.00000000.11 000000 (Class C)

Esercizio 2 (2 reti, 2 Router)

Si vuole creare una rete come quella in figura, che dispone di un indirizzamento Classless utilizzando il range di indirizzi192.168.0.0/24. La prima rete (Rete1) deve disporre di 100 host, la seconda (Rete2) di 50 host. Le due reti si devono parlare tramitedue router. Gli indirizzi devono essere assegnati con uno spreco minimo.

Soluzione

Per progettare la rete come richiesto e per rendere minimo lo spreco di indirizzi, occorre seguire una serie di passi che conducono,senza errori, all’assegnazione degli indirizzi corretti.

Identificare le reti a cui assegnare gli indirizzi

Nel nostro caso abbiamo tre reti: Rete1, Rete2 e la rete tra i due router (ReteR) (fig. R2)


figura R2 - le tre reti e, a titolo di esempio, due PC per rete

Determinare il numero di indirizzi da assegnare ad ogni rete

Nel nostro caso abbiamo (fig. c2)

o Rete1: 100 host + 2. In totale 102 indirizzi che corrisponde a 128 indirizzi di host che corrisponde a una rete /25

o Rete2: 50 indirizzi (host) + 1 indirizzo di broadcast + 1 indirizzo di rete (compreso l’indirizzo del Gateway di

interfaccia presente nel router ). In totale 52 indirizzi. Ciò comporta che il numero allocabile di host deve essere quello che , in potenze di 2, più si avvicina a 52. In questo caso 64 indirizzi di host che corrisponde a una rete /26(infatti 32-26=6, 2^6=64)

o ReteR: in totale 4 indirizzi (2 per le due interfacce dei router + broacast + rete). Ciò corrisponde a una rete /30

(mask: 255.255.255.252)


fig c2- il totale degli indirizzi ripartiti su tre reti diverse

Controllare se il totale degli indirizzi allocati non supera quello previsto dal range di indirizzi previsto. Nel nostro caso /24 corrisponde a 2^8 indirizzi, pari a 256 che è di gran lunga minore del numero complessivo allocato (128+64+4= 196 < 256). OK!

Assegnare gli indirizzi agli host. Il criterio fondamentale è che gli indirizzi non possono sovrapporsi. Buona norma è quella di partire sempre dalla rete più grande, cioè con un numero maggiore di host (In questo caso Rete2), scalando verso la più piccola. Non esiste l’obbligo di assegnare un indirizzo particolare al gatway presente nel router e agli host della rete ma, di norma, si preferisce assegnare al router l’indirizzo più piccolo o più grande. Agli host tutti gli altri.

((NOTA Nota : il “Numero Magico”. In subnetting abbiamo visto come possiamo prendere in prestito bit dalla porzione host. L’ultimo bit della subnet mask è il numero magico. Ad esempio Address:

192.168.0.0 /26 → Netmask: 255.255.255.192 11111111.11111111.11111111.11 000000 Numero magico 64 )

◦ Rete 1

Netmask: 255.255.255.128 = 25 11111111.11111111.11111111.1 0000000

Network: 192.168.0.0/25 11000000.10101000.00000000.0 0000000 (Class C)Broadcast: 192.168.0.127 11000000.10101000.00000000.0 1111111Host Min: 192.168.0.1 11000000.10101000.00000000.0 0000001Host Max: 192.168.0.126 11000000.10101000.00000000.0 1111110Numero massimo di host : 126

◦ Rete 2

Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000

Network: 192.168.0.128/26 11000000.10101000.00000000.10 000000 (Class C)Broadcast: 192.168.0.191 11000000.10101000.00000000.10 111111Host Min: 192.168.0.129 11000000.10101000.00000000.10 000001Host Max: 192.168.0.190 11000000.10101000.00000000.10 111110Numero massimo di host : 62

◦ Rete R

Netmask: 255.255.255.252 = 30 11111111.11111111.11111111.111111 00

Network: 192.168.0.192/30 11000000.10101000.00000000.110000 00 (Class C)Broadcast: 192.168.0.195 11000000.10101000.00000000.110000 11HostMin: 192.168.0.193 11000000.10101000.00000000.110000 01HostMax: 192.168.0.194 11000000.10101000.00000000.110000 10Numero massimo di host : 2


FigR2-1- la rete completa di indirizzi ottimizzati

Esercizio 3 2 router - 4 sottoreti + R-R


ESERCIZIO 4 - Esercizio1 NewTron (di potenziamento con ottimizzazione del piano di indirizzamento)

La sede dell’azienda NewTron.com, che commercializza dispositivi elettronici, vuole rinnovare la propria rete aziendale.

Il progetto prevede la ristrutturazione della sede aziendale che comprende, oltre all’ufficio di amministrazione, un ufficiocommerciale con una decina di postazioni ciascuno. Inoltre si vuole dotare il locale della reception, che comprende anche la salariunioni, di una ventina di terminali, con accesso Wi-Fi. Tutte le sottoreti fanno capo a un unico router Router 0.

Il blocco di indirizzi privati disponibile in sede è 192.168.0.0/26 e con questi si ritiene di attuare un piano di indirizzamento ottimizzato (*)che rende minimo lo spreco di indirizzi.

si analizzi il problema e si proponga una soluzione disegnando lo schema della topologia logica della rete

si assegnino gli indirizzi IP ai terminali di ogni sottorete in modo da rendere minimo lo spreco

Si colleghi il Router 0 al router remoto (Router ISP) a cui è collegata la rete con il server.

Il Router 0 avrà come indirizzo IP, lato esterno, 20.1.1.2. Al Router ISP è associato l’indirizzo 20.1.1.1. L’indirizzodel Server 0 è 20.1.2.2

Si faccia in modo che, tramite protocollo RIP, le reti create parlino tra loro

Soluzione

Indirizzi di rete disponibili

Indirizzo: 192.168.0.0 11000000.10101000.00000000.00 000000Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000Network: 192.168.0.0/26 11000000.10101000.00000000.00 000000(Class C)

Sottorete Reception

Netmask: 255.255.255.224 = 27 11111111.11111111.11111111.111 00000

Network: 192.168.0.0/27 11000000.10101000.00000000.000 00000 (Class C)Broadcast: 192.168.0.31 11000000.10101000.00000000.000 11111Host Min: 192.168.0.1 11000000.10101000.00000000.000 00001Host Max: 192.168.0.30 11000000.10101000.00000000.000 11110Numero di host: 30

Sottorete Commerciale

Netmask: 255.255.255.240 = 28 11111111.11111111.11111111.1111 0000


Sottorete Amministrazione


In fig. 0 è rappresentato lo schema completo della rete.


Fig 0 – Gli indirizzi IP assegnati alle sottoreti della sede, ai router e al server remoto


Ottimizzato 8.2.1.4 Designing and Implementing a VLSM Addressing Scheme

10.11.48.0/24

numero host per sottorete : 60 , 30 , 14, 6

Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000

Wildcard: 0.0.0.63 00000000.00000000.00000000.00 111111

60 → Room407 Branch2 - 60 host → 64 (2^6 → 6 bit host /26)

Network: 10.11.48.0/26 00001010.00001011.00110000.00 000000 (Class A)

Broadcast: 10.11.48.63 00001010.00001011.00110000.00 111111

HostMin: 10.11.48.1 00001010.00001011.00110000.00 000001

HostMax: 10.11.48.62 00001010.00001011.00110000.00 111110

Hosts/Net: 62

30 → Room279 Branch1 - 30 host → 32 (2^5 → 5 bit host /27)

Network: 10.11.48.64/27 00001010.00001011.00110000.010 00000 (Class A)

Broadcast: 10.11.48.95 00001010.00001011.00110000.010 11111

HostMin: 10.11.48.65 00001010.00001011.00110000.010 00001

HostMax: 10.11.48.94 00001010.00001011.00110000.010 11110

Hosts/Net: 30

14 → Room114 Branch1 - 14 host → 16 (2^4 → 4bit host /28)

Network: 10.11.48.96/28 00001010.00001011.00110000.0110 0000 (Class A)

Broadcast: 10.11.48.111 00001010.00001011.00110000.0110 1111

HostMin: 10.11.48.97 00001010.00001011.00110000.0110 0001

HostMax: 10.11.48.110 00001010.00001011.00110000.0110 1110


6→ Room312 Branch2 - 6 host → 8 (2^3 → 3 bit host /29)

Paolo Macchi – R&S Indirizzamento e Routing - Rel. 18.12.09 25


Network: 10.11.48.112/29 00001010.00001011.00110000.01110 000 (Class A)

Broadcast: 10.11.48.119 00001010.00001011.00110000.01110 111

HostMin: 10.11.48.113 00001010.00001011.00110000.01110 001

HostMax: 10.11.48.118 00001010.00001011.00110000.01110 110


2→ Branch2 - 2 host → 4 (2^2 → 2 bit host /30)

Network: 10.11.48.120/30 00001010.00001011.00110000.011110 00 (Class A)

Broadcast: 10.11.48.123 00001010.00001011.00110000.011110 11

HostMin: 10.11.48.121 00001010.00001011.00110000.011110 01

HostMax: 10.11.48.122 00001010.00001011.00110000.011110 10

Hosts/Net: 2

NON usato

Network: 10.11.48.124/30 00001010.00001011.00110000.011111 00 (Class A)

Broadcast: 10.11.48.127 00001010.00001011.00110000.011111 11

HostMin: 10.11.48.125 00001010.00001011.00110000.011111 01

HostMax: 10.11.48.126 00001010.00001011.00110000.011111 10

Hosts/Net: 2

Step 1: Configure IP addressing on Branch1 LAN interfaces.

B1 → Room114 → G0/0 → 10.11.48.97 255.255.255.240

Branch1>enable

Branch1#show running-config

Branch1#configure terminal Branch1(config)#interface g0/0Branch1(config-if)#ip address 10.11.48.97 255.255.255.240Branch1(config-if)#no shutdown Interface GigabitEthernet0/0, changed state to up



RIP- Routing Information Protocol Il protocollo IGP maggiormente utilizzato oggi su Internet è il protocollo RIP ( Routing Information Protocol) che fa parte della famiglia di protocolli di tipo Distance Vector che hanno la caratteristica di scambiare la tabella di routing e le metriche con i soli router vicini. RIP rappresenta uno dei primi protocolli di routing (è stato sviluppato nel 1969 come parte integrante di ARPANET, l’antenata di Internet)

Le informazioni ricevute da un router vengono aggiunte o vanno a modificare la tabella di routing se hanno una metrica migliore di una già conosciuta.

Ogni router misura la distanza che lo separa dai nodi adiacenti ricevendo i dati dai router vicini.

A partire da tali dati il router costruisce una tabella che associa ad ogni destinazione conosciuta la stima della distanza che lo separa dalla destinazione.

La metrica prende in considerazione la sola distanza in hop (cioè il numero di nodi dai quali passare per raggiungere la destinazione). Questa distanza e' espressa come un numero intero variabile tra 1 e 15; 16 rappresenta una distanza infinita.

La sua distanza amministrativa è 120. (La distanza amministrativa e' un parametro che permette di associare un valore di peso, o di importanza ad ogni informazione di routing. La AD è un numero compreso tra 0 e 255: minore è il valore della distanza amministrativa, migliore è considerato il protocollo di routing).

Periodicamente RIP prevede l’invio ai router adiacenti dell’intera tabella di routing.

RIP utilizza UDP come protocollo di livello 4.

RIP v1 RIPv1 usa il routing "classful". Gli aggiornamenti delle tabelle di routing non contengono la maschera di sottorete rendendo impossibile la creazione di sottoreti di dimensione differente all'interno della stessa classe di rete. Non viene supportata nessuna forma di autenticazione, lasciando RIPv1 vulnerabile ad attacchi.

Gli indirizzi presenti nelle tabelle RIP sono indirizzi Internet a 32 bit. Una voce (entry) nella tabella di routing puo' rappresentare un host, una rete o una sottorete. E’ compito dei router analizzare l'indirizzo per capire di cosa si tratta. Al fine di discriminare la rete e' necessario conoscere la subnet mask

I pacchetti normalmente sono inviati in modalita' broadcast, questo significa che saranno ricevuti da tutti i router connessi alla rete. Normalmente i pacchetti vengono inviati ogni 30 secondi, o meno, nel caso di aggiornamenti alle tabelle. Se una route non viene aggiornata entro 3 minuti, la distanza viene fissata ad infinito e l'entry verra' successivamente rimossa dalle tabelle.

Esercizio 1 RIPv1Consideriamo ancora la rete r1-0.

rete r1-0 (routing-RIP-1.pkt)

Per configurare I percorsi in modo automatico con RIP, è sufficiente aggiungere l’indirizzo della propria rete LAN e quello della rete del router (su entrambi i router):


http://netgroup-serv.polito.it/nettuno/introd.htm#CLASSLESS%20ROUTING

https://it.wikipedia.org/wiki/Distance_Vector

fig. r1-1 RIPv1 configurato su Router0 (20.0.0.0 la rete di collegamento e 30.0.0.0 la rete interna) e Router2 (20.0.0.0 la rete di collegamento e 10.0.0.0 la rete interna)

Ogni router ha una tabella di instradamento in cui compare una riga per ciascuna rete di cui il router sia a conoscenza.

Su un router CISCO il contenuto della tabella di routing si esamina con il comando show ip route.

Router0#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static route

Gateway of last resort is not set

R 10.0.0.0/8 [120/1] via 20.0.0.1, 00:00:25, FastEthernet1/0C 20.0.0.0/8 is directly connected, FastEthernet1/0C 30.0.0.0/8 is directly connected, FastEthernet0/0

Ogni riga della tabella contiene le seguenti informazioni:

La prima colonna indica la provenienza della route ed e' indicata mediante una lettera :

C rete direttamente connessa (la route e' generata dal router)

S statica (deriva dal comando "ip route" )

R La route è stata attivata con il protocollo RIP

D La route è stata attivata con il protocollo EIGRP


O La route è stata attivata con il protocollo OSPF

B La route è stata attivata con il protocollo BGP

La seconda colonna (10.0.0.0/8) indica la rete di destinazione con netmask;

La terza colonna ([120/1] indica [AD/metrica] ) quando presente indica la distanza amministrativa (AD) e la metrica

◦ Per decidere quale route utilizzare, il router utilizza la distanza amministrativa. La distanza amministrativa e' un

parametro che permette di associare un valore di peso, o di importanza ad ogni informazione di routing. La AD è un

numero compreso tra 0 e 255: minore è il valore della distanza amministrativa, migliore è considerato il protocollo di

routing.

Ad esempio RIP ha, di default, un valore di distanza amministrativa pari a 120, mentre IGRP a 100; questo rende IGRP

preferibile rispetto a RIP.

◦ La metrica e' una misura del valore di una route determinata a partire da alcune caratteristiche specifiche della rete su

cui si opera: per il RIP è, ad esempio, il numero di router da attraversare per raggiungere una determinata destinazione

(hop count ), per IGRP e EIGRP sono il delay e bandwidth che misurano invece l'ampiezza di banda e il ritardo di

propagazione per raggiungere una determinata destinazione.

Per un routing di tipo S, nella tabella, troveremo i valori [1/0]. In questo caso si ha una AD pari ad 1 e metrica pari a 0.

La quarta colonna (20.0.0.1) determina il next-hop ovvero a chi deve essere inoltrato il pacchetto per raggiungere la

destinazione indicata nella seconda colonna.

La quinta colonna (00:00:25) , presente nel caso di routing dinamico, indica l'eta’ della route. Alcuni protocolli di routing

dinamico come OSPF e EIGRP permettono a questa di crescere, altri invece ne azzerano periodicamente il valore come RIP

(ogni 30 secondi di default) o IGRP (ogni 90 secondi di default).

La sesta colonna ( FastEthernet1/0) , indica il canale fisico

Esercizio 2-RIPv1

2-rip-rout.pkt


Esercizio 3-RIPv1

C:\Paolo\CISCO\CCNA12014-15\progetto packet tracer\classless1\dida-4\4c\3-router-RIP-p.pkt

Es. CDIR con tabella indirizzamento statico (grafico e a mano)(/26)

Router(config)#ip route 192.168.10.0 255.255.255.192 192.168.10.97

Router#sh ip route 192.168.10.0/24 is variably subnetted, 3 subnets, 3 masksS 192.168.10.0/26 [1/0] via 192.168.10.97C 192.168.10.64/27 is directly connected, FastEthernet0/0C 192.168.10.96/30 is directly connected, Serial2/0


RIPv2 (reti CDIR)RIPv2, sviluppato nel 1994 e definito da RFC 2453, include il trasporto delle informazioni sulla maschera di sottorete, supportando così il Classless Inter-Domain Routing, CIDR.

Il protocollo RIPv2 che, al contrario della prima versione di RIP, supporta la modalità classless con VLSM.

Tale protocollo, per mantenere la retrocompatibilità con il suo predecessore (RIPv1):

usa una metrica basata sugli hop (max 15) ed una distanza amministrativa pari a 120.

Prevede un meccanismo di autenticazione basato su password in chiaro (piuttosto vulnerabile) oppure sul digest generato mediante algoritmo MD5. http://nazarenolatella.myblog.it/2009/10/17/rip-e-ripv2/

Esercizio 1-RIPv2

Per attivare RIPv2 sui router occorre fornire i seguenti comandi per ogni router interessato:

Router>enable

Router#configure terminal

Router(config)#router rip attivo il protocollo RIP in v1

Router(config-router)#version 2 gli dico che voglio la versione 2

Router(config-router)#network 1.0.0.0 gli dico di lavorare sulla rete per dialogare col partner

Router(config-router)#network 192.168.1.0 gli dico di lavorare sulla LAN

Router(config-router)#no auto-summary gli dico (a RIPv2) di non fare l'aggregazione delle rotte (route summarization) altrimenti si comporta

come RIPv1 anche se è v2 (*)

Ad esempio:


http://nazarenolatella.myblog.it/2009/10/17/rip-e-ripv2/

Router>show ip route ..C 1.0.0.0/8 is directly connected, Serial2/0

192.168.1.0/24 is variably subnetted, 5 subnets, 2 masksC 192.168.1.0/26 is directly connected, FastEthernet0/0C 192.168.1.64/26 is directly connected, FastEthernet1/0R 192.168.1.128/27 [120/1] via 1.1.1.2, 00:00:22, Serial2/0R 192.168.1.160/27 [120/1] via 1.1.1.2, 00:00:22, Serial2/0C 192.168.1.192/26 is directly connected, FastEthernet7/0

If you want to see live RIP advertisements, you can use the debug IP RIP command :

(*) Più reti contigue possono essere accorpate in un’unica super-rete con la parte comune del prefisso di rete. Un router può essere configurato per includere delle rotte aggregate (supernetting). L’idea di base è che se due o più destinazioni si raggiungono attraverso lo stesso router (next hop), le destinazioni possono essere accorpate nella stessa destinazione. Il vantaggio dell’aggregazione è che il numero di route nella routing table diminuisce, favorendo il lavoro dei router nelle operazioni di inoltro dei pacchetti IP verso le destinazioni (esempio di fig.a1).

Esempio 8 reti di classe C (8 × 256 = 2048 indirizzi) dalla 194.24.0.0 alla 194.24.7.0 • Supernetting: si accorpano le 8 reti contigue in un’unica super-rete: – Identificativo: 194.24.0.0/21 – Supernet mask: 255.255.248.0 – Indirizzi: 194.24.0.1 – 194.24.7.254 – Broadcast: 194.24.7.255

Fig a1 – L’aggregazione degli indirizzi (supernetting) consente una propagazione efficiente delle rotte (http://home.deib.polimi.it/capone/fir/4.2-Livello_rete.pdf http://www-tlc.deis.unibo.it/Didattica/CorsiBO/RetiLB/lucidi/Eser03.pdf )


http://www-tlc.deis.unibo.it/Didattica/CorsiBO/RetiLB/lucidi/Eser03.pdf

http://home.deib.polimi.it/capone/fir/4.2-Livello_rete.pdf

fig. r01 - Address Aggregation

Uno dei problemi di che può sorgere utilizzando la tecnica di aggregazione con route estese è la creazione di loop nell’inoltro dei pacchetti. Si supponga ad esempio che R1, in figura a1, abbia un default route (invece di specificare l’indirizzo viene impostata una default route che invia tutte le destinazioni non conosciute a un certo next hop prestabilito) verso destra, mentre R2 abbia una default route verso sinistra. In questo caso un pacchetto destinato all’host 20.2.2.2 non è compreso in nessuna route specifica e deve pertanto seguire la strada indicata nella default route. A questo punto, però, R1 invierà il pacchetto ad R2, che lo inoltrerà nuovamente ad R1 e così via fino a quando il pacchetto verrà tolto dalla rete a causa dell’esaurimento del suo tempo di vita. E’ compito dell’amministatore di rete progettare il routing in modo che questo non accada (http://www.itistulliobuzzi.it/informatica/sistemi/4h/D1_EserciziRouting.pdf)

Esercizio 2-TEST rete con RIPv1 Consideriamo le reti in fig sottostante con i router che utilizzano RIPv1.

Da PC2 vogliamo raggiungere PC10, prima e dopo aver tolto il link tra Router2 e Router3.

Analizziamo il comportamento della rete nei due casi.

Se stacchiamo ad esempio il ramo del router (130) viene scelta una strada alternativa: via Router1, se cade il link tra 2 e 3!

C:\Paolo\CISCO\PT\4\classless1\RIP2 -es tabella routing MP corretto.pkt


ESEMPIO CONFRONTO RIPv1 e RIPv2L’esempio mostra tre reti strutturalmente identiche ma con una maschera diversa e gestite con protocolli RIP di versione 1 e 2:

Rete rip1 /24 : utilizza broadcast per informare/si router adiacenti

Rete rip1 /26 : non funziona perché classless1

RIP v2 : usa multicast

fig rr1 -invio pacchetti esplorazione RIP


fig. rr2 - Broadcast

Router>sh ip route

...

192.168.1.0/26 is subnetted, 4 subnetsR 192.168.1.0 [120/2] via 192.168.1.129, 00:00:16, FastEthernet0/0R 192.168.1.64 [120/1] via 192.168.1.129, 00:00:16, FastEthernet0/0C 192.168.1.128 is directly connected, FastEthernet0/0C 192.168.1.192 is directly connected, FastEthernet0/1

Router#show ip rip database (… numero host =16 infinito!)192.168.1.0/26 auto-summary192.168.1.0/26

[2] via 192.168.1.129, 00:00:07, FastEthernet0/0192.168.1.64/26 auto-summary192.168.1.64/26

[1] via 192.168.1.129, 00:00:07, FastEthernet0/0192.168.1.128/26 auto-summary192.168.1.128/26 directly connected, FastEthernet0/0192.168.1.192/26 auto-summary192.168.1.192/26 directly connected, FastEthernet0/1

Router#show IP protocols … mostra protocolli

Router#debug ip rip (no debug ip rip)…

config Router#passive interface (per evitare trffico inutile)

router IP???


ESEMPI

Paolo Macchi – R_S Indirizzamento e Routing - Rel. 18.12.18 36

Basic Commands for R&S CCNA1

Gli stati di router e switchCisco IOS ( Internetwork Operating System) è il sistema operativo usato su moltissimi router e switch CISCO.

All'accensione dei dispositivi di rete IOS è caricato nella memoria interna (RAM) da una memoria non volatile (FLASH) e decompresso(fig IOS1)

(a) (b)

fig. IOS1 – la configurazione logica delle memorie di un router (a) e la sintassi dei comandi IOS (b)

L'interfaccia della riga di comando IOS fornisce un insieme di comandi che sono accettati in funzione dello stato o modalità (“mode”) incui si trova il router, e dal livello di privilegio dell'utente corrente (fig.1). Ad esempio "Global configuration mode" fornisce comandi permodificare la configurazione del sistema e "Interface configuration mode" fornisce comandi per modificare la configurazione diun'interfaccia specifica.

A tutti i comandi viene assegnato un livello di privilegio, da 0 a 15, a cui possono accedere solo gli utenti con i privilegi necessari.Attraverso la CLI, è possibile definire i comandi disponibili per ciascun livello di privilegio.

All’accensione il router (o lo switch) entra nella modalità utente, “User EXEC Mode”, in cui è possibile fare pochissimo se nonvisualizzare qualche parametro.

Per apportare modifiche alla configurazione del router, è necessario entrare nel modo privilegiato (“Privileged EXEC Mode”) con ilcomando enable.

NOTA Di norma, non è necessaria alcuna password per accedere al modo privilegiato a meno che non sia stata preventivamenteimpostata.


https://it.wikipedia.org/wiki/RAM

fig. 1 Gli stati (“mode”) di un dispositivo di rete: router o switch. Cfr http://home.deib.polimi.it/gianoli/Reti%20di%20comunicazione%20e%20internet%202013-2014/Modulo%202/Laboratorio%202/lab_2.pdf


http://home.deib.polimi.it/gianoli/Reti%20di%20comunicazione%20e%20internet%202013-2014/Modulo%202/Laboratorio%202/lab_2.pdf

http://home.deib.polimi.it/gianoli/Reti%20di%20comunicazione%20e%20internet%202013-2014/Modulo%202/Laboratorio%202/lab_2.pdf

Alcuni dei comandi di IOS di uso comune per la gestione di router e switch CISCO

Comandi di Base

COMANDO SCOPO

Router>enable Entra in privileged mode per l’amministrazione (può richiedere una password)

Router#disable Uscita da privileged mode

Router>logout Uscita dalla sessione attiva (log off)

Router(config)#exit Esce dalla modalità di configurazione

Comandi di Configurazione

COMANDO SCOPO

Router#?…auto Exec level Automationclear Reset functionsclock Manage the system clock… enable Turn on privileged commands ...

Help dei comandi

Router#configure terminal Entra in modalità di configurazione

Router(config)# hostname RouterSistemi Assegna un nome al router (RouterSistemi) che viene utilizzato come prompt

Router(config)#line con 0Router(config-line)#loginRouter(config-line)#password sistemi

Imposta password (sistemi) di console

Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password sistemi

Configura 5 terminali virtuali numerati da 0 a 4 terminali virtuali con lapossibilità di 5 accessi contemporanei al router

Router(config-line)# login Imposta la fase di login nell’accesso via Telnet

Router(config)#enable password sistemi Imposta la password (sistemi) di enable (Attenzione: se la password viene persa occorre procedere ad una operazione di password recovery che non è semplice)

Router(config)#enable secret sistemi Imposta la password (sistemi) e la cripta

Router(config)# interface “nome” Entra nel menu di configurazione dell'interfaccia “nome” per l’abilitazione ai comandi successivi .

Ad esempio

Router(config)#interface gigabitEthernet 0/1

Router(config-if)#ip address 10.0.0.1 255.0.0.0 Imposta indirizzo IP e maschera a una interfaccia di rete

Router(config-if)#no shutdown Abilita l’interfaccia

Router(config)#router ripRouter(config-router)#network 100.1.0.0

Abilita RIP sulle interfacce 100.1.x.y

Router(config)#no router rip Disabilita RIP

Router(config)#ip route 193.16.1.0 255.255.255.0 193.16.2.1 Imposta una rotta statica sulla rete remota 193.16.1.0, con maschera 255.255.255.0, e next hop 193.16.2.1


switch# configure terminalswitch(config)# ip route 192.0.2.0/8 ethernet 1/2 192.0.2.4switch(config)# show ip static-route switch(config)# copy running-config startup-config

Switch(config)#ip default-gateway 173.10.10.1 Configura il default gateway (Switch Virtual Interface) su uno switch

Switch#configure terminal

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport access vlan 10

VLAN - Assegna le porte alle Vlan ( associamo fastEthernet 0/1 alla VLAN10)

Switch#configure terminal Switch(config)#interface gigabitEthernet 0/1Switch(config-if)#shutdown Switch(config-if)#switchport trunk allowed vlan none Switch(config-if)#switchport trunk allowed vlan add 10

VLAN – Imposta la modalità trunk sulla porta gigabitethernet 0/1 delloswitch

Comandi di Visualizzazione parametri

COMANDO SCOPO

Router#show version Informazioni sula versione IOS

Router#show running-config Configurazione corrente (DRAM)

Router#show startup-config Configurazione startup (NVRAM)

Router#show flash File IOS e spazio su Flash

Router#show ip interfaces brief Ripilogo dei valori delle interfacce

Router#show cdp neighbor Riepilogo dispositivi connessi - Cisco Discovery Protocol (CDP)

Router#show ip protocols Protocolli di routing correnti

Router#show ip route Routing table

Router#show access-lists Access List

Comandi di Backup

COMANDO SCOPO

Router#copy running-config startup-config Copia la configurazione corrente da DRAM in NVRAM

Router#copy startup-config running-config Copia la configurazione da NVRAM in DRAM

Router#copy runing-config tftp Copia la configurazione da DRAM su un server TFTP

(E' possibile salvare il file di configurazione in rete, anziché in NVRAM, su uno specifico server srvendosi di Trivial File Transfer Protocol )

Router#copy tftp runing-config Copia la configurazione da server TFTP in DRAM

Router#copy flash tftp Backup the IOS in un server TFTP

Router#copy tftp flash Aggiorna IOS del router da server TFTP

Router#erase startup-config Cancella la configurazione presente nella memoria NVRAM

NOTA – INTERFACCE FISCHECfr http://www.massimilianosbaraglia.it/documenti/configurazioni/cisco_cli/startup%20interfaces%20routing.pdf


http://www.massimilianosbaraglia.it/documenti/configurazioni/cisco_cli/startup%20interfaces%20routing.pdf

L'IOS assegna ad ogni interfaccia fisica di rete un identificativo univoco all'interno del sistema. Questo identificativo è formato dalla tipologia dell'interfaccia (ad esempio, le interfacce Ethernet avranno un nome che inizierà con Ethernet, le interfacce Fast Ethernet con FastEthernet, la console con CON, e così via) seguito da un identificativo numerico (quindi si troveranno Ethernet0, Ethernet1, Serial0, Serial1) in ordine crescente. Nel caso di apparati composti da chassis, il numero dell'interfaccia comprende anche il numero della linecard (ad esempio Ethernet0/1 indica la seconda Ethernet della prima linecard). In carti casi, alcuni apparati hanno nomi anche su tre livelli numerici (es. Ethernet0/0/1).

L'interfaccia fisica di un apparato Cisco può trovarsi nei seguenti tre stati:

Administratively Down: l'interfaccia è stata disabilitata da management (ad esempio mediante un comando shutdown) e non può nè inviare nè ricevere i pacchetti;

Down: l'interfaccia è abilitata a funzionare, ma qualcosa ne impedisce il funzionamento e il router non rileva la presenza del segnale di portante sull'interfaccia. Ad esempio, può capitare su una interfaccia seriale in modalità DCE senza il clockrate attivato.

Up: l'interfaccia è abilitata a funzionare e il il segnale di portante è correttamente rilevato. Questo non vuole necessariamentedire che l'interfacia sia completamente funzionante: ad esempio un link seriale

“Privileged EXEC Mode” Il set di comandi privilegiati permette di configurare i dispositivi e controllarli.

Per entrare in “Privileged EXEC Mode” (da User Exec Mode) digitare:

switch>enableSwitch# (il prompt cambia da Switch> a Switch# che indica Privileged EXEC Mode)

esempio:S1#clock set 02:00:00 31 Jan 2014S1#show clock 2:0:2.495 UTC Fri Jan 31 2014

Global Configuration Mode

Switch# configure terminal Switch(config)#(per terminareCNTL/Z)

Dare il nome allo switch

Switch(config)# hostname S1

DNS lookups (traduzione di comandi non desiderati)Disattivare la ricerca con Domain Name System ( DNS )

S1(config)# no ip domain-lookup

PASSWORDPer aumentare il livello di sicurezza del nostro router è possibile fare uso di password ma anche dei cosìdetti Privileged Levels. (http://www.areanetworking.it/sicurezza-sui-cisco-password-e-privileged-levels.html# )

Esistono due tipi di password:

Enable Password necessaria per passare allo stato di Privileged EXEC Mode

Possiamo impostare la Enable Password in due modi: ▪ enable password modo non sicuro▪ enable secret modo sicuro

Line Password che protegge da accessi esterni quali porta console, porta auxiliary e dal servizio telnet.


http://www.areanetworking.it/sicurezza-sui-cisco-password-e-privileged-levels.html

Enable password ( utilizzato in Privilege EXEC Mode )Enable password – Limita accessi a privileged exec mode . Configurare la Password locale - “Securing Administrative Access to a Cisco Router”

Una volta che si è in modalità EXEC privilegiata, è possibile abilitare la password.

switch(config)#enable password cisco

Questo è il metodo insicuro poichè la password sarà ben visibile nella configurazione del router. Infatti per vederla:

Switch# show running-config line con 0loginenable password cisco ..

Enable secret (Securing Privilege EXEC Mode)Per aumentare il grado di sicurezza, abbiamo la possibilità di inserire la password e far sì che venga crittografata tramite il comando enable secret

L'algoritmo di hashing utilizzato è Message Digest 5 (MD5) che è un hash a senso unico. In altre parole, una volta che la password è criptata non è possibile rivederla in chiaro)

Switch> enableSwitch# configure terminalSwitch(config)# enable secret class

La password, nella configurazione, non sarà più visibile in chiaro ma bensì esclusivamente crittografata

Switch#sh run..!enable secret 5 $1$AWfn$JnM/50S9kiJoDEcUuFd4/...

Nota: È possibile memorizzare le password locali sul router o utilizzare una sorta di amministrazione remota utilizzando un server di autenticazione, autorizzazione e contabilità (AAA) di CiscoSecure Access Control Server oppure utilizzare il servizio di accesso remotodi autenticazione (RADIUS)

Metodi di configurazioneLa configurazione di un router Cisco può avvenire in diversi modi:

Console -attraverso un computer connesso al router attraverso la porta console (Hyper Terminal);

VTY - tramite comandi dati da Terminali Virtuali (Telnet)

Aux

SNMP

HTTP

(Anche con upload di una configurazione attraverso rete con l'ausilio di un server TFTP sulla rete).

Line PasswordLe line Password proteggono il dispositivo dagli accessi esterni quali porta console, porta auxiliary (aux) e VTY (telnet).

Il comando line permette di osservare quali porte possiamo configurare:

Switch(config)#line ? <0-70> First Line number aux Auxiliary line console Primary terminal line tty Terminal controller


http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/Cisco/cisco827_htm/cisco827_conf_tipica.htm#tftp_server

http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/Cisco/glossario_htm/glossario.htm#telnet

vty Virtual terminal x/y Slot/Port for Modems

Possiamo anche osservare quante interfacce abbiamo:

router(config)#line tty ? <1-64> First Line numberrouter(config)#

Il procedimento per assegnare una password a questi tre differenti tipi di porte è lo stesso:

router#conf tEnter configuration commands, one per line. End with CNTL/Z.router(config)#line aux ? <0-0> First Line numberrouter(config)#line aux 0router(config-line)#login% Login disabled on line 65, until 'password' is setrouter(config-line)#password prova3router(config-line)#endrouter#

Password – Console - “Securing Console Access Using a Console Password”

Switch(config)# line console 0Switch(config-line)# password cisco

Switch(config-line)# login

Password – VTY

Limita accessi a dispositivi che usano una console (Telnet). Per impostazione predefinita, tutti i router Cisco supportano fino a cinque sessioni Telnet simultaneamente e per impostazione predefinita non sono assegnate password a queste linee. Per assegnarle:

Switch> enableSwitch# configure terminalSwitch(config)# line vty 0 4Switch(config-line)# password Cisco123Switch(config-line)# loginSwitch(config-line)# end

Tutte queste password saranno visibili con un sh run:

Switch#sh run

Service password-encryptionA differenza di enable secret che permette di crittografare la password di Enable (Enable Password) , per le Line Password non c’è un servizio specifico ma possiamo utilizzare un servizio che crittografa tutte le password del router: service password-encryption

router#conf tEnter configuration commands, one per line. End with CNTL/Z.router(config)#service password-encryptionrouter(config)#endrouter#

Lo show run ci permette di verificare che service password-encryption è attivo e che le password inserite in precedenza sono tutte crittografate:

router#sh run


..

MOTD bannerUn messaggio di login (noto come “message of the day (MOTD) banner”) può essere usato come messaggio di attenzione. Il comando motd richiede l'uso di delimitatori # per identificare il contenuto del messaggio. (es. Switch(config)# banner motd #messaggio #)

S1(config)# banner motd # Enter TEXT message. End with the character '#'. # Accessi non autorizzati sono proibiti. # S1(config)# exit

USERNAME/PASSWORD Encrypts

Sui router Cisco, la configurazione degli accessi utilizzando solo la password per la modalità utente (user exec) o quella per la privilege

mode è un metodo limitato, non scalabile e poco sicuro. E’ preferibile utilizzare una modalità basata su database che crei singoli

account utente, ognuno con una specifica password. La sicurezza aumenta sia perché viene tracciato il log-in degli utenti, sia

perché un eventuale attaccante dovrebbe conoscere, oltre alla password, anche il nome utente.

L’autenticazione basata su database locale si configura con i comandi seguenti:

Router(config)#username nome_utente password password

Router(config)#username nome_utente secret password

Bisogna poi indicare al router di effettuare la verifica delle credenziali sul database locale, credenziali necessarie per gli accessi aux,

console, tty e vty:

Router(config-line)#login local

Con la combinazione username password, la password viene visualizzata in chiaro nel file di configurazione (se il

comando service password-encryption non è configurato). Con la combinazione username secret, la password viene cifrata con

l’algoritmo MD5. Pertanto, è consigliabile utilizzare solo la combinazione username secret e dimenticare l’altra.

NB Ricordiamo che il comando login senza la parola chiave "local" configura le linee di accesso (aux, console, tty e vty) per

un’autenticazione basata sulla sola password, ossia quella impostata per ogni linea di accesso con il comando

“password mia_password”.

“To provide an additional layer of security, particularly for passwords that cross the network or are stored on a TFTP server, you can use

either the enable password or enable secret commands. Both commands accomplish the same thing; that is, they allow you to

establish an encrypted password that users must enter to access enable mode (the default), or any privilege level you specify. “ (https://

www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html )

(show privilege Displays your current privilege level.

R0#show privilege


https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html

https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html

Current privilege level is 15 )

(cfr. 11.2.4.3

“Create a local database username entry using the username global configuration command.” “Create a user of your choosing with a strong

password. (config)# username any_user password any_password “, “Create a user Admin1 with a privilege level of 15 using the encrypted password

for Admin1pa55.(username Admin privilege 15 secret Admin1pa55)”

Because protocol analyzers can examine packets (and read passwords), you can increase access security by configuring the Cisco IOS software toencrypt passwords. Encryption prevents the password from being readable in the configuration file. To configure the Cisco IOS software to encryptpasswords, use the following command in global configuration mode:

Router(config)# service password-encryption

Encrypts a password

NB Password encryption is applied to all passwords, including authentication key passwords, the privileged command password, console and virtualterminal line access passwords, and BGP neighbor passwords. The service password-encryption command is primarily useful for keepingunauthorized individuals from viewing your password in your configuration file.

Privilegi utente

By default, the Cisco IOS software command-line interface (CLI) has two levels of access to commands: user EXEC mode (level 1) and privileged EXECmode (level 15).

However, you can configure additional levels of access to commands, called privilege levels, to meet the needs of your users while protecting thesystem from unauthorized access.

Up to 16 privilege levels can be configured, from level 0, which is the most restricted level, to level 15, which is the least restricted level.

Access to each privilege level is enabled through separate passwords, which you specify when configuring the privilege level.

For example, if you want a certain set of users to be able to configure only certain interfaces, but not allow them access to other configurationoptions, you could create a separate privilege level for only specific interface configuration commands and distribute the password for that level tothose users.

Router(config)# privilegemode level level command-stringConfigures the specified privilege level to allow access to the specified command.Router(config)# enable secret level level {0 |5}password-stringSets the password for the specified privilege level. This is the password users will enter after entering the enable levelcommand to access the specified level.indicates an unencrypted password string follows; 5indicates an encrypted password string follows.Router(config)# exitExists global configuration mode and returns to EXEC mode. Router# do copy running-config startup-config


(Optional) Saves the configuration to the startup configuration file in NVRAM.NotThe do keyword allows execution of EXEC commands in configuration mode.

The following example configures the auxiliary line for privilege level 5. Anyone using the auxiliary line has privilege level 5 by default:line aux 0privilege level 5enable secret

Specifies an additional layer of security over the enable passwordcommand.Privilege Configures a new privilege level for users and associate commands with that privilege level.

Encrypts passwords.service password-encryption

Displays your current level of privilege.show privilege

Router# enable levelLogs in to a specified privilege level.Direzione(config)#service password-encryption Direzione(config)#security passwords min-length 10Direzione(config)#enable secret cisco123456Direzione(config)#line console 0Direzione(config-line)#password cisco123456Direzione(config-line)#loginDirezione(config-line)#exitDirezione(config)#line vty 0 4Direzione(config-line)#password cisco123456Direzione(config-line)#loginDirezione(config-line)#exitDirezione(config)#line aux 0Direzione(config-line)#password cisco123456Direzione(config-line)#login

Salvataggio della configurazione in NVRAMUtilizzare il comando copy per salvare la configurazione in esecuzione (per l’avvio) su memoria non volatile ad accesso casuale ( NVRAM ) nel file “startup-config”:

S1# copy running-config startup-configDestination filename [startup-config]? [Enter] Building configuration... [OK]

SHOW Some of the more popular show

show running-config

show interfaces (show interfaces gigabitethernet 0/0) displays the physical and data link details of an interface

An IOS device, use the show ip interface or show ip interface brief commands to verify what IPv4 addresses are assigned to the network

interfaces. show ip interface or show ip interface brief commands to verify what IPv4 addresses are assigned to the network interfaces.

show ip interface brief output displays all interfaces on the router

(ex 4.2.4.5 PT

Switch# show ip interface brief Interface IP-Address OK? Method Status ProtocolFastEthernet0/1 unassigned YES manual up up GigabitEthernet1/1 unassigned YES manual down down …. Vlan1 172.16.0.2 YES manual up up C:\>ping 172.16.0.2


Pinging 172.16.0.2 with 32 bytes of data:§Request timed out...Reply from 172.16.0.2: bytes=32 time=2ms TTL=252

show ip interface gigabitethernet 0/0 displays IPv4 information (OSI Layer 3)

show ip route list the routing table and verify that the default gateway, known as a default route, has been set

show protocols

show version

show arp

terminal monitor

show flash

show users

show cdp neighbors (Cisco Discovery Protocol (CDP) is a Cisco-proprietary protocol that runs at the data link layer ) (details :

scopre l’indirizzo IP del vicino anche se non posso esegiore il ping)

To display log messages on a terminal (virtual console), use the terminal monitor privileged EXEC command.

To stop logging messages on a terminal, use the terminal no monitor privileged EXEC command.

User the Syntax Checker to practice using terminal monitor and debug for troubleshooting.

debug ip icmp 11.3.5.1


Visualizza la “current configuration”Il comando show running-config visualizza l' intera configurazione in esecuzione, una pagina alla volta

S1 # show running-configBuilding configuration... Current configuration : 1409 bytes ! ….. version 15.0 … hostname S1 ! … no ip domain-lookup banner motd ^C Accessi non autorizzati sono proibiti. ^C !line con 0 password cisco login line vty 0 4 … ! end S1#

Visualizza la versione IOS ( e modello router)

Utilizzare il comando show version per visualizzare la versione IOS in esecuzione , insieme ad altre utili informazioni:

S1 # show versionCisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)Copyright (c) 1986-2005 by Cisco Systems, Inc.Compiled Wed 12-Oct-05 22:05 by pt_team…Switch Ports Model SW Version SW Image------ ----- ----- ---------- ----------* 1 26 WS-C2960-24TT 12.2 C2960-LANBASE-M

Per trovare modello(2901)Router#show version Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc2)...-------------------------------------------------Device# PID SN-------------------------------------------------*0 CISCO2901/K9 FTX1524E3UR

per 1941 avremo-------------------------------------------------Device# PID SN


-------------------------------------------------*0 CISCO1941/K9 FTX152410BE

Visualizza lo stato delle interface ( status of the connected interfaces) con VLAN

S1# show ip interface brief Interface IP-Address OK? Method Status ProtocolFastEthernet0/1 unassigned YES manual up up..GigabitEthernet0/1 unassigned YES manual down downGigabitEthernet0/2 unassigned YES manual down downVlan1 192.168.1.253 YES manual up up….

Visualizza Flash

Switch# show flash Directory of flash:/ 2 -rwx 1919 Mar 1 1993 00:06:33 +00:00 private-config.text ….

Ping, tracert, ipconfig (11.3.2.1)

ping

tracert

ipconfig - ipconfig /displaydns

arp –a

show cdp neighbors

ipconfig /all

ipconfig /displaydns correspond to the fields of an actual DNS reply. In a DNS server's database, each piece of data is

a "resource record".

Configurazione IP di Windows

win1710.ipv6.microsoft.com

----------------------------------------

Nome record . . . . . : win1710.ipv6.microsoft.com

Tipo record . . . . . : 5

Durata (TTL). . . . . : 43

Lunghezza dati. . . . : 8

Sezione . . . . . . . : Risposta

Record CNAME . . . . : onpremwindows.ipv6.microsoft.com.akadns.net

- "Record name" is the name you query DNS for- "Record type" is the type, displayed as a number - although more commonly they are referred to by their names. -Type 1 is "A" for "address", an IPv4 address. (IPv6 uses type 28, "AAAA", for an address four times as long.) "PTR", type 12, is a "pointer" to a hostname - most commonly used when mapping an IP address back to its name. "CNAME" is "canonical name".- "Time To Live" is the time in seconds after which the cache entry must expire.


http://en.wikipedia.org/wiki/Domain_Name_System#Record_caching

http://en.wikipedia.org/wiki/Reverse_DNS_lookup

http://en.wikipedia.org/wiki/List_of_DNS_record_types

http://en.wikipedia.org/wiki/Domain_Name_System#DNS_resource_records

http://en.wikipedia.org/wiki/Domain_Name_System

- "Data Length" appears to be the length in bytes - an IPv4 address is four bytes, IPv6 is sixteen bytes. For CNAME or PTR, Windows displays a static number (either 4 or 8, depending on your system) - this is actually the size of a memory address where the actual text is kept.- The "answer" section of a DNS reply is the actual answer to the query, and "additional" contains information that will likely be needed to find the actual answer. For example, glue records."<type> record" shows the actual value store

ipconfig /flushdns Your DNS cache stores the locations (IP addresses) of web servers that contain web pages which you have recently viewed. If the location of the web server changes before the entry in your DNS cache updates, you can no longer access the site. If you encounter a large number of HTML 404 error codes, you may need to clear your DNS cache. After you clear your DNS cache, your computer will query nameservers for the new DNS information.

nslookup a user can manually place DNS queries and analyze the DNS response.

Use the ipconfig /all, as shown in Figure 1, to verify which DNS server is in use by the Windows computer.

The nslookup command is another useful DNS troubleshooting tool for Pcs (11.4)

Cancellazioni VLANRimuovere la VLAN

Switch# delete vlan.dat Delete filename [vlan.dat]? You will be prompted….Rimuovere lo “startup configuration file” da NVRAMSwitch# erase startup-config

Reload Ricaricare il software e cancellare qualunque informazione di configurazione precedente contenuta nella d memoria .

Switch# reloadProceed with reload? [confirm] ….Bypassare la finestra di configurazione iniziale .Dopo la ricariche del software ,digitare no alla richiesta e premere Invio .Would you like to enter the initial configuration dialog? [yes/no]: no Switch>password


https://documentation.cpanel.net/display/CKB/How+To+Clear+Your+DNS+Cache

http://en.wikipedia.org/wiki/Domain_Name_System#Circular_dependencies_and_glue_records

Reset Router Using Router Commands https://dcloud-cms.cisco.com/help/reset-router

To reset your router to its factory-default configuration using router commands:

1.With your router powered off, connect the power cord to the router, and plug the power cord into your power source.

2.Connect your laptop to the console port on your router with the console cable. ( Console. This is a physical management port that provides out-of-band access to a Cisco device. Out-of-band access refers to access via a dedicated management channel that is used for device maintenance purposes only. )

3.Power on the router and wait 5 to 10 minutes for the router to finish booting. You can check the lights on the router — when the lights are solid or blink in repeating patterns, the router is finished booting.

4.On your laptop, start the terminal emulator program and use it to access your router’s command line interface (CLI).

5.In the router CLI, enter the commands in boldface to erase the existing configuration on your router and reload the factory-default configuration on the router:

router> enablerouter# write eraseErasing the nvram filesystem will remove all configuration files! Continue? [confirm] <Press Enter key>router# reloadProceed with reload? [confirm] <Press Enter key>-OR-Would you like to enter the initial configuration dialog? [yes|no] no <Press Enter key>–OR–Do you want to save the configuration of the AP? [yes|no] no <Press Enter key>

6.Wait until the reload or erase finishes and a CLI prompt or completion message appears.

Promemoria comandi 2.1.3.1 Cisco IOS Modes of Operation

2.1.3.4 Navigate Between IOS Modes

2.1.4.3 IOS Help Features

----------------------

2.2.1.2 Configure Hostnames

2.2.2.2 Configure Passwords

2.2.2.3 Encrypt Passwords

2.2.2.4 Banner Messages

2.2.2.5 Syntax Checker - Limiting Access to a Switch

2.2.3.1 Save the Running Configuration File

2.2.3.2 Alter the Running Configuration

2.2.3.3 Capture Configuration to a Text File

2.3.2.3 Switch Virtual Interface Configuration

2.3.3.1 Interface Addressing Verification

5.x ARP

> Enable (enable privileged EXEC mode)


https://dcloud-cms.cisco.com/help/reset-router

▪ # Config term (Enter into configuration mode)

▪ (config)# interface gigabitEthernet 0/0, vlan x, serial x/x/x

▪ (config)#hostname xxx

▪ (config-if)# ip address addr mask

ip address 172.16.10.1 255.255.255.192

ipv6 address 2001:DB8:CAFE:1::1/64

ipv6 address FE80::1 link-local

ip default-gateway 172.16.10.65

(config-if)# no shutdown

(config-if)# exit/end

(config-if)#description xxxx

▪ #write mem

▪ #copy running-config startup-config

▪ #show run

▪ # sh ip route

▪ #line con 0

(line)#pass cisco

(line)#login

(line)#line vty 0 15

(line)#pass cisco

(line)#login

(line)#exit

(line)#enable secret 0 class

(line)#service passw-encryp

(line)#motd $

NOTA Regola mnemonica: i^2nodex (i=interface, i=ip, nod=no shutdown , ex= exit/end)

Es. 2.2.3.4Step 2: Examine the current switch configuration.

Switch# show running-config

Part 2: Create a Basic Switch Configuration

Assign a name to a switch.


Switch# configure terminal

Switch(config)# hostname S1

S1(config)# exit

Step 2: Secure access to the console line.

S1# configure terminal

S1(config)# line console 0

S1(config-line)# password letmein

S1(config-line)# login

S1(config-line)# exit

Step 3: Verify that console access is secured.

Password:

S1>

Step 4: Secure privileged mode access.

S1> enable

S1# configure terminal

S1(config)# enable password c1$c0

S1(config)# exit

Step 5: Verify that privileged mode access is secure.

Password:

c. The first password is the console password you configured for line con 0. Enter this password to return to user EXEC mode.

d. Enter the command to access privileged mode.

e. Enter the second password you configured to protect privileged EXEC mode.

f. Verify your configurations by examining the contents of the running-configuration file: S1# show running-config

Notice how the console and enable passwords are both in plain text. This could pose a security risk if someone is looking over your shoulder.

Step 6: Configure an encrypted password to secure access to privileged mode.

S1# config t

S1(config)# enable secret itsasecret

S1(config)# exit

Note: The enable secret password overrides the enable password. If both are configured on the switch, you must enter the enable secret password to enter privileged EXEC mode.

Step 7: Verify that the enable secret password is added to the configuration file.

S1# show run

Step 8: Encrypt the enable and console passwords.

As you noticed in Step 7, the enable secret password was encrypted, but the enable and console passwords were still in plain text. We will now encrypt these plain text passwords using the service password-encryption command.

S1# config t

S1(config)# service password-encryption

S1(config)# exit


Es. 2.3.2.5 (cfr 2.1.4.8 e 2.2.3.3 )

ScenarioLe reti sono costituite tipicamente da tre componenti host, switch e router.

In particolare lo switch è uno dei dispositivi fondamentali utilizzati nella creazione di una piccola rete: collegando due PC ad uno switch, si avrà l’immediata connettività tra loro.

Per queste ragioni ci concentreremo sulla creazione di una piccola rete di due PC collegati tramite uno switch che verrà configurato conle impostazioni iniziali che includono l'impostazione del nome, la limitazione degli accessi alla configurazione del dispositivo , la configurazione di messaggi di banner , e il salvataggio della configurazione .

Dopo aver collegato i PC allo switch e configurato le impostazioni sui PC con gli indirizzi IP, qui vediamo i comandi per impostare uno switch (ma in modo analogo si potrebbe fare la stessa cosa per i router):

Configurare lo switch con nome, password e banner

Salvare la configurazione in NVRAM

Mostrare la configurazione dello switch, la versione IOS e lo stato delle interfacce

Ripristinare le configurazioni iniziali

-2.1.4.8 -2.3.2.5

Part 1: Perform a Basic Configuration on S1 and S2

Part 2: Configure the PCs

Part 3: Configure the Switch Management Interface

Enter the correct command to configure the hostname as S1.

Switch>enable

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#

Switch(config)#hostname S1

S1(config)#

use cisco for console password

S1(config)#line console 0

S1(config-line)#password cisco

S1(config-line)#login

S1(config-line)#


S1(config-line)#exit

use class for privileged Exec mode

S1(config)#enable secret class

How can you verify that both passwords were configured correctly?

S1#show run

Building configuration...

Current configuration : 1111 bytes

version 12.2

….

line con 0

password cisco

login

..

Configure an MOTD banner

S1(config)#banner motd "attenzione"#

Save the configuration file to NVRAM.

S1#copy running-config startup-config

Destination filename [startup-config]?


[OK]

S1#

Configure S1 with an IP address.

S1#configure terminal


S1(config)#interface vlan 1

S1(config-if)#ip address 192.168.1.253 255.255.255.0

S1(config-if)#no shutdown

%LINK-5-CHANGED: Interface Vlan1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

S1(config-if)#

S1(config-if)#end

S1#copy running-config startup-config


Destination filename [startup-config]?


[OK]

S1#

Verify the IP address configuration on S1 and S2.

S1#show ip interface brief Interface IP-Address OK? Method Status ProtocolFastEthernet0/1 unassigned YES manual up up..GigabitEthernet0/1 unassigned YES manual down downGigabitEthernet0/2 unassigned YES manual down downVlan1 192.168.1.253 YES manual up upS1#

S1#show version Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)Copyright (c) 1986-2005 by Cisco Systems, Inc.Compiled Wed 12-Oct-05 22:05 by pt_team…

Switch Ports Model SW Version SW Image------ ----- ----- ---------- ----------* 1 26 WS-C2960-24TT 12.2 C2960-LANBASE-M

2.4.1.2 Skills Integration Challengeaddressing Table

Device Interface IP Address Subnet Mask

Class-A VLAN 1 172.16.5.35 255.255.255.0

Class-B VLAN 1 172.16.5.40 255.255.255.0

Student-1 NIC 172.16.5.50 255.255.255.0

Student-2 NIC 172.16.5.60 255.255.255.0

As a recently hired LAN technician, your network manager has asked you to demonstrate your ability to configure a small LAN. Your tasks include configuring initial settings on two switches using the Cisco IOS and configuring IP address parameters on host devices to provide end-to-end connectivity. You are to use two switches and two hosts/PCs on a cabled and powered network.

Su PC Student1:Use a console connection to access each switch.cavo (azzurro) console – RS232 Desktop → Terminal 9600 → OK → … sono su switch


ClassA> Switch>enableSwitch#conf terminal

use Name Class-ASwitch(config)#hostname Class-AUse the 8ubRu password for all lines.Class-A(config)#line console 0Class-A(config-line)#password 8ubRuClass-A(config-line)#loginClass-A(config-line)#exitUse the C9WrE secret password.Class-A(config)#enable secret C9WrEEncrypt all clear text passwordsClass-A(config)#service password-encryption Include the word warning in the message-of-the-day (MOTD) Banner.Class-A(config)#banner motd "aat"Configure addressing for all devices according to the Addressing Table.Class-A(config)#interface vlan 1Class-A(config-if)#ip address 172.16.5.35 255.255.255.0Class-A(config-if)#no shutdown

IDEM PER Class-B Student2...

Save your configurations.

Class-A(config-if)#end

Class-A#copy running-config startup-config Destination filename [startup-config]? Building configuration...[OK]Class-A#

Verify connectivity between all devices.(assegna indirizzi IP ai PC)

2.3.3.3 LABORATORIO in pratica Lab - Building a Simple Network


Objectives Part 1: Set Up the Network Topology (Ethernet only)

Part 2: Configure PC Hosts

Part 3: Configure and Verify Basic Switch Settings

Background / Scenario

Networks are constructed of three major components: hosts, switches, and routers. In this lab, you will build a simple network with two hosts and two switches. You will also configure basic settings including hostname, local passwords, and login banner. Use show commands to display the running configuration, IOS version, and interface status. Use the copy command to save device configurations. You will apply IP addressing for this lab to the PCs to enable communication between these two devices. Use the ping utility to verify connectivity.

Mac e Arp (cap.5)To add a permanent entry in the Address Resolution Protocol (ARP) cache, use the arp command in global configuration mode. To remove an entry from the ARP cache, enter the no form of this command

Router#show arp

Protocol Address Age (min) Hardware Addr Type InterfaceInternet 172.16.31.1 - 00E0.F7B1.8901 ARPA GigabitEthernet0/0

Switch#show mac address-table

Mac Address Table

Vlan Mac Address Type Ports---- ----------- -------- -----1 00e0.f7b1.8901 DYNAMIC Gig0/1

Switch#clear mac address-table dynamic Switch#show mac address-table Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----

Su PC

arp : Consente di visualizzare e modificare le tabelle di conversione da indirizzi IP

a indirizzi fisici utilizzate dal protocollo ARP (Address Resolution Protocol).

> arp -a

> arp -d


> arp -s 157.55.85.212 00-aa-00-62-c6-09 ....Aggiunge una voce statica.

C:\>arp -d

(oppure netsh interface ip delete arpcache )

C:\>ping 172.16.31.3Pinging 172.16.31.3 with 32 bytes of data:Reply from 172.16.31.3: bytes=32 time=9ms TTL=128Reply from 172.16.31.3: bytes=32 time=4ms TTL=128Reply from 172.16.31.3: bytes=32 time=4ms TTL=128Reply from 172.16.31.3: bytes=32 time=4ms TTL=128...C:\>arp -aInternet Address Physical Address Type172.16.31.3 0060.7036.2849 dynamic

Nota A runt frame is an Ethernet frame that is less than the IEEE 802.3's minimum length of 64 octets.


Un esercizio completo (6.5.1.3 capitolo 6 Packet Tracer Skills Integration Challenge)La rete

Obiettivi

• Eseguire attività di configurazione di router e switch.

• Configurare l'indirizzamento IP e le impostazioni di dispositivi di rete.

• Verificare la connettività Layer 3 e risolvere i problemi di connettività.

Si sta lavorando su una rete che è già stata parzialmente configurata. In questa prova si chiederà di soddisfare una serie di requisiti, configurando alcune impostazioni aggiuntive dello switch e del router. Utilizzate le conoscenze che avete acquisito nel curriculum e laboratori per soddisfare i requisiti richiesti.

Requisiti

Determinare i valori che mancano dalla Tabella di indirizzamento. Nota: è necessario formulare i valori corretti per i valori mancanti, come i gateway predefiniti in modo che gli host possano comunicare.

Configurare tutti i dispositivi con i valori di default del gateway mancanti.

Chiamare con il nome specifico richiesto Switch e Router

Accesso sicuro a tutte le linee di configurazione dello switch con password crittografata.

Assicurarsi che tutte le password in chiaro sullo switch Laboratorio siano criptate.

Configurare un banner appropriato sullo switch Laboratorio.

Configurare l'indirizzamento per tutti i dispositivi in base alla tabella di indirizzamento. La maggior parte dei valori sono riportati nella tabella, gli altri è necessario determinarli.

Descrivere le interfacce del router e dello switch

Salvare le configurazioni.

Verificare la connettività tra tutti i dispositivi. Tutti i dispositivi devono essere in grado di eseguire il ping con tutti gli altri dispositivi.

Risolvere eventuali problemi di connettività.


Provide the missing information in the Addressing Table.

1. · Name the router RTA and the second switch ASw-2. You will not be able to access ASw-1.

2. · Use cisco as the user EXEC password for all lines.

3. · Use class as the privileged EXEC password.

4. · Encrypt all plain text passwords.

5. · Configure an appropriate banner.

6. · Configure addressing for all devices according to the Addressing Table.

7. · Document interfaces with descriptions, including the ASw-2 VLAN 1 interface.

8. · Save your configurations.

9. · Verify connectivity between all devices. All devices should be able to ping any other device.

· Troubleshoot and document any issues.

· Implement the solutions necessary to enable and verify full end-to-end connectivity.

1. Addressing Table

Device Interface IP Address Subnet Mask Default Gateway

RTAG0/0 128.107.20.1 255.255.255.0 N/A

G0/1 128.107.30.1 255.255.255.0 N/A

ASw-1 VLAN 1 128.107.20.10 255.255.255.0

ASw-2 VLAN 1 128.107.30.15 255.255.255.0

User-01 NIC 128.107.20.25 255.255.255.0

User-02 NIC 128.107.20.30 255.255.255.0

User-03 NIC 128.107.30.25 255.255.255.0

User-04 NIC 128.107.30.30 255.255.255.0

Router (Name the router RTA)


Router>enable

#conf t

(config)#hostname RTA

Router : visualizzazione parametri

# sh run

… g0/0 no ip address

# show ip interf brief

.. … down

Router : configurazione IP

g0/0

#conf t

(config)#int g0/0

(config-if)# ip address 128.107.20.1 255.255.255.0

(config-if)#no shut

(config-if)#description RTA-Asw1 def gatw

(config-if)#exit

g0/1

(config)#int g0/1

(config-if)# ip address 128.107.30.1 255.255.255.0

(config-if)#no shut

(config-if)#description RTA-Asw2 - def gateway interface

(config-if)#end

Memorizziamo la configurazione appena settata utilizzando il comando write.

#wri mem

(NB copy running-config startup-config == write memory )

Visualizziamo

#sh run

…………..host name RTA

RTA#

(PC default gatway)

PC1 (che è già parzialmente configurato) rete1 128.107.20.0 (con def. Gateway su G0/0 128.107.20.1)

Def gatw 128.107.20.1

Ping 128.107.20.1

PC2 rete2 128.107.30.0

Def gatw 128.107.30.1

Ping 128.107.30.1


(SWITCH 2 name Asw-2 )

Switch>enable

(privileged exec mode)Switch#configure terminal

(global conf. Mode) (config)#hostname Asw-2

(config)#end

#wri mem

(use cisco for the EXEC pass - Passw (6.4.1 exec) RTA)

ricorda….setta la password per la line console, la line vty e la line aux - “Use cisco as the user EXEC password for all lines. »

NOTA

-Ricorda che line con 0 è associato alla console port #0 -Ricorda che line vty 0 4 è associato a telnet port #0 fino #4 (5 totali).

-Consideriamo il comando VTY 0 4 come la porta di accesso al router.

RTA#conf t

RTA(config)#line con 0

RTA(config-line)#pass cisco

RTA(config-line)#login

RTA(config-line)#line vty 0 15

RTA(config-line)#pass cisco

RTA(config-line)#login

(RTA(config-line)#exit

Router(config)#line aux 0Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#exit

Use class as the privileged EXEC password

(config)#enable secret 0 class (privileged EXEC)

Encrypt all plain text passwords.

(config)#service passw-encryp

Configure an appropriate banner.

(config)#banner motd #Solo personale autorizzato#

(config)#end

#wri mem

RTA sh ip route

(Config address for all devices according.. + documentation)

SWITCH (Passw (6.4.1 exec) SW2) (privileged pass))


Passiamo ora a configurare la sicurezza dello switch . Quindi poniamo la password alla line console 0 ed alla line vty 0 4, criptiamo la password e poniamo un messaggio del giorno, non prevediamo una password per la line aux 0

#conf t

(config)#enable pass 0 class

(Global)

(config)#enable secret class

(config)#exit

#wri mem

#conf t

(config)# line con 0

(config-line)#pass cisco

(config-line)#login

(config-line)#line vty 0 15

(config-line)#pass cisco

(config-line)#login

(config-line)#exit

(config)#service passw-encryp

(config)#banner motd #.non permessoooo..#

Document interfaces with descriptions, including the ASw-2 VLAN 1 (interface description)

(config)#int vlan 1

(config-if)#decription VLAN 1 Interface

(config-if)#end

#wri mem

Asw-2 VLAN1 ip address e default gatway

ATTENZIONE!!! Per lo switch occorre prevedere la configurazione della vlan 1 e del default-gateway

#conf t

(config)#int vlan 1

(config-if)#no shut

(config-if)#ip add 128.107.30.15 255.255.255.0

(config-if)#end

(prova ping da PC ping 128.107.30.15)

(config)#sh run

#conf t

NB settaggio default gateway

(config)#ip default-gateway 128.107.30.1

(config)##end

#wr mem


PC3

default gateway 128.107.30.1

Ping

PC4

Errore 128.107.20.30 .30

default gateway 128.107.30.1

RTA

sh ip route

Ping 128.197.30.25

Ping 128.197.20.25

https://www.youtube.com/watch?v=DFdjNfUNXFU

Indirizzi IPv6 (cap7)http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0102/IPv6/web_file/pag_testo_2_indirizzi.htm#eui64

“preferred format” per indirizzi Pv6: x:x:x:x:x:x:x:x, con ciascun “x” che consiste in 4 valori esadecimali

Un modo semplice per leggere gli indirizzi IPv6 è contare il numero di hextet.

NOTA Extet:

0 0 0 0 = 0 (valore decimale min)

0000 0000 0000 0000 = 16 bit

4bit 4bit 4bit 4bit = 4 Nibble

8bit 8bit = 2 Byte

16bit = 1 Hextet

F F F F = 65535 (valore decimale max)

1111 1111 1111 1111

Tipi indirizzamenti IPV6:


http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0102/IPv6/web_file/pag_testo_2_indirizzi.htm#eui64

https://www.youtube.com/watch?v=DFdjNfUNXFU

Unicast - un indirizzo unicast IPv6 identifica in modo univoco un'interfaccia su un dispositivo abilitato IPv6

◦ Anycast- un indirizzo anycast è un indirizzo unicast IPv6 che può essere assegnato a più dispositivi. Un pacchetto inviato a un indirizzo anycast viene indirizzato anche al dispositivo più vicino che ha quell'indirizzo. Questa tecnica viene utilizzata per distribuire il carico ed aumentare l'affidabilità di servizi essenziali per il funzionamento della rete, come il DNS.

Multicast - un indirizzo multicast IPv6 viene utilizzato per inviare un singolo pacchetto IPv6 a più destinazioni.

NOTA Broadcast - Unlike IPv4, in IPv6, the all-0s and all-1s host addresses can be assigned to a device. The all-1s address can be used due to the fact that broadcast addresses are not used within IPv6. The all-0s address can also be used, but is reserved as a Subnet-Router anycast address, and should be assigned only to routers.

Indirizzi Unicast“An IPv6 unicast address uniquely identifies an interface on an IPv6-enabled device. A packet sent to a unicast address is received by the interface that is assigned that address. “

Tutti gli indirizzi IPv6, tranne quelli che iniziano per FF16, sono di tipo unicast (e poi eventualmente tra questi si possono definire degli indirizzi anycast). La caratteristica più importante degli indirizzi unicast è quella di poter essere aggregati a una maschera di bit continua, simile a quella di IPv4, senza il vincolo delle classi di indirizzi (come avveniva invece con IPv4).

Un indirizzo IPv6 potrebbe essere visto come un elemento singolo di 128 bit:

128 bit

indirizzo dell’interfaccia

Di fatto però l’indirizzo è inteso come qualcosa qualcosa formato da diverse componenti, con un prefisso relativo a una sottorete e un identificatore di interfaccia:

n bit 128-n bit

prefisso di sottorete id interfaccia

Ad esempio:


https://it.wikipedia.org/wiki/Domain_Name_System

Gli indirizzi unicast hanno due ambiti definiti che includono il collegamento locale e globale (mentre gli indirizzi multicast ne hanno 14).

Global Unicast - Indirizzi unicast globali aggregabili → 2001:DB8:1:1::1/64 (prefisso 2000-3FFFh)Un indirizzo global unicast è simile a un indirizzo IPv4 pubblico. Questi sono indirizzi unici globali instradabili su Internet. Gli indirizzi global unicast possono essere configurati staticamente o assegnati dinamicamente.

Lo schema di indirizzamento di questi indirizzi è il seguente:

Global Routing Prefix (di 48 bit) inizia con il prefisso 001 (primi tre bit) che, allo stato attuale costituisce l’unico gruppo di indirizzi IPv6 global unicast (cioè per Internet) previsto da IANA

Subnet ID (la “rete estesa”), che aggiunge altri 16 bit per le sottoreti (permettendo fino a 65 mila sottoreti per ogni organizzazione, Site Prefix )

Interface ID che occupa i rimanenti 64 bit da assegnare agli host

In un indirizzo unicast globale /64, i primi quattro hextet (16x4=64 bit =8 byte ) sono per la parte di rete dell'indirizzo, con il quarto

hextet che indica l'ID di sottorete. I rimanenti quattro hextets sono per l'ID interfaccia.

In pratica, un sito che vuole utilizzare indirizzi IPv6 pubblici, accessibili anche da Internet, ottiene dal suo ISP un lotto di indirizzi

composto, nei primi 48 bit, con la possibilità di gestirsi le proprie sottoreti con i 16 bit che precedono l’identificatore di interfaccia.

NOTA di approfondimento formato . Dopo il prefisso di formato seguono 45 bit suddivisi in:


un identificatore del primo livello di aggregazione (Top Level Aggregation),

uno spazio di riserva

un identificatore successivo (Next Level Aggregation).

Subito dopo seguono altri 16 bit la cui gestione dovrebbe essere affidata a un solo sito, per la gestione delle proprie sottoreti.

Come sempre, la seconda metà dell’indirizzo è destinata all’identificatore di interfaccia.

3 13 + 8 + 24 bit 16 bit 64 bit

001 TLA + ris. + NLA SLA identificatore di interfaccia

Esercizio

Configure the IPv6 address with the following command: R1(config-if)# ipv6 address 2001:DB8:1:1::1/64

Configure the link-local IPv6 address with the following command: R1(config-if)# ipv6 address FE80::1 link-local

configure the IPv6 global unicast address.

◦ Indirizzo non specificato Unspecified address - :: / 128

L’indirizzo 0:0:0:0:0:0:0:0, ovvero quello in cui tutti i 128 bit sono azzerati, è quello non specificato (unspecified address). Questo indirizzo non può essere assegnato ad alcun nodo e rappresenta l’assenza di un indirizzo. Come regola non può essere utilizzato come destinazione di un pacchetto e nemmeno nella definizione delle regole di instradamento.

◦ Indirizzo locale di loopback ::1

L’indirizzo unicast 0:0:0:0:0:0:0:1 viene usato per identificare l’interfaccia virtuale locale, ovvero l’interfaccia di loopback. Come tale, non

può essere utilizzato per un’interfaccia fisica reale. In pratica, un pacchetto destinato a questo indirizzo non deve uscire al di fuori del

nodo (nella rete fisica esterna); inoltre, un pacchetto destinato a un altro nodo non può indicare come mittente questo indirizzo.

Verifica degli indirizzi IPv6

show ipv6 interface brief → command displays abbreviated output for each of the interface

show ipv6 route → command can be used to verify that IPv6 networks and specific IPv6 interface addresses have been installed in the IPv6 routing table


Link-local → FE80::1/10 Un indirizzo link-local di IPv6 consente a un dispositivo di comunicare con altri dispositivi abilitati IPv6 sulla stessa

rete. Di fatto hanno un significato locale e indicano la subnet a cui appartengono (ad esempio vengono dati gli stessi indirizzi link-local su interfacce diverse dello stesso router) e servono per scopi amministrativi particolari, legati all’ambito della rete fisica.

Gli indirizzi link-local rappresentano lo spazio relativo alla rete locale ( il termine link si riferisce alla rete) che non può essere raggiunto dall’esterno e, di conseguenza, il traffico interno non può attraversare i router.

Dal momento che l’indirizzo link-local deve essere univoco solo all’interno del collegamento fisico in cui si trova, non

richiede la distinzione in sottoreti e può essere determinato in modo automatico, eventualmente interrogando la rete stessa.

L' RFC 4921 riserva agli indirizzi link local il prefisso FE80::/10 ma impone che i successivi 54 bit siano impostati a 0 così il

prefisso effettivamente utilizzabile è FE80::/64. L'assegnazione di questi indirizzi può avvenire in automatico o in manuale (es

configurazione statica). A differenza di IPv4, tutte le interfacce di rete IPv6 dovranno avere un indirizzo link local che è

necessario per il funzionamento interno del protocollo. La configurazione automatica degli indirizzi link local è gestita

da Neighbor Discovery Protocol secondo quanto definito dall'RFC 4862 derivandolo dall'indirizzo MAC.

La struttura normale di un indirizzo link-local è molto semplice:

64 bit 64 bit

1111 1110 10.. .... 0000 identificatore di interfaccia

In esadecimale: 1111 1110 10...0000 corrisponde a FE80 . Come si può vedere, i primi 10 bit servono a definire il formato

dell’indirizzo (FE80), stabilendo che si tratta del tipo link-local.

Per ottenere l’identificatore di interfaccia si parte, di solito, dall’identificatore EUI-64 dell’indirizzo fisico:

http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0102/IPv6/web_file/pag_testo_2_indirizzi.htm#eui64)

Per esempio, da un’interfaccia Ethernet il cui indirizzo fisico sia 00:80:ad:c8:a9:81 si ottiene l’indirizzo IPv6 link-local

fe80:0000:0000:0000:0280:adff:fec8:a981

- Dynamic Link-Local Addresses : MAC address on router R1’s GigabitEthernet 0/0 interface. This address is used to dynamically

create the link-local address on the same interface. Fe80::1 link local


http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0102/IPv6/web_file/pag_testo_2_indirizzi.htm#eui64

https://it.wikipedia.org/wiki/Indirizzo_MAC

https://tools.ietf.org/html/rfc4862

https://it.wikipedia.org/wiki/Neighbor_Discovery_Protocol


- Link-local addresses can be configured manually

Subnetting in IPv6Le sottoreti IPv6 richiedono un approccio diverso rispetto a IPv4. Il motivo principale è che con IPv6 ci sono così tanti indirizzi, che sembra inutile fare subnetting. Le sottoreti IPv4 non servono soltanto per limitare i domini di broadcast, ma anche per gestione della scarsità degli indirizzi. Determinare la subnet mask e utilizzare VLSM serve per contribuire a conservare gli indirizzi IPv4.

Una sottorete IPv6 non ha come scopo risparmiare spazio di indirizzi. L'ID sottorete comprende un numero decisamente elevato di sottoreti.

Ricordiamo che ci sono due tipi di indirizzi IPv6 assegnabili:

un indirizzo link-local IPv6, NON subnettabile perché esiste solo sul collegamento locale

un indirizzo unicast globale IPv6 che può essere subnettato.

L'indirizzo unicast globale IPv6 è normalmente costituito da un prefisso /48 globale di routing, un ID di subnet a 16 bit, (in totale un prefisso /64, pari a 8 byte)e un ID di interfaccia a 64 bit (8 byte).

La subnet ID a 16 bit del IPv6 unicast globale può essere utilizzata da un'organizzazione per creare sottoreti interne.

La sezione a 16 bit può:

creare fino a 65.536 / 64 sottoreti. Questo non include la possibilità di prendere in prestito qualsiasi bit dal l'ID di interfaccia dell'indirizzo.

Supporta fino a 18 trilioni di indirizzi host IPv6 per sottorete (cioè, 18,000,000,000,000,000,000).

Nota: il subnetting nell’ID di interfaccia a 64 bit (o parte host) è possibile, ma è raramente necessario.

IPv6 subnetting è anche più facile da implementare rispetto a IPv4, perché non vi è alcuna conversione di binari. Per determinare la successiva sottorete a disposizione, basta contare in esadecimale.


Esempio 1 - si supponga di avere assegnato l’indirizzo 2001:0DB8:ACAD::/48 con un ID di subnet a 16 bit.

Si noti come il prefisso di routing globale è lo stesso per tutte le sottoreti.

Solo l'ID hextet viene incrementato in esadecimale per ogni sottorete.

--------------------

Esempio2 : con 4 bit ho 16 sottoreti (da 0 a F) → da /64 a /60

2001:0DB8:ABCD:11C0::/60

2001:0DB8:ABCD:11C1::/60

2001:0DB8:ABCD:11C2::/60

2001:0DB8:ABCD:11C3::/60

…

2001:0DB8:ABCD:11CF::/60

Unique local → FC00 ::/7 Gli indirizzi Unique local address (ULA rfc 4193) rappresentano uno spazio privato che non può essere raggiunto dalle reti esterne al sito in questione, sono simili agli indirizzi privati IPV4, come ad esempio 192.168.x.x. Si possono utilizzare liberamente senza bisogno di alcuna forma di registrazione all’interno della rete locale privata.

La struttura normale di un indirizzo site-local è molto semplice:

10 bit 54 bit 64 bit

1111 1110 11 sottoreti identificatore di interfaccia

In esadecimale: FC00 :: / 7 per FDFF :: / 7

I primi 10 bit servono a definire il formato dell’indirizzo, stabilendo che si tratta del tipo site-local; lo spazio tra l’undicesimo e il 64-esimo bit può essere utilizzato per strutturare gli indirizzi in sottoreti, in base alle esigenze del sito. La seconda metà dell’indirizzo viene riservata per l’identificatore di interfaccia, ottenuto dall’identificatore EUI-64.

In pratica, rispetto a un indirizzo link-local cambia il prefisso di formato, aggiungendo la possibilità di suddividere lo spazio di indirizzi in sottoreti.

Multicast aggregabili (FF00::/8)Un indirizzo IPv6 multicast serve a identificare e a raggiungere un gruppo di nodi simultaneamente. Gli indirizzi multicast hanno una

struttura particolare:

8 4 4 112 bit

1111 1111 000T scop identificatore di gruppo

Il prefisso di formato è 1111 11112, ovvero FF16, e a questo seguono 4 bit di opzione. Di questi 4 bit, è stato specificato solo il significato

di quello meno significativo, che viene indicato convenzionalmente con la lettera «T» (gli altri devono essere azzerati fino a che verrà

stabilito qualcosa di diverso).

Se T = 0 indica un indirizzo multicast assegnato permanentemente dall’autorità globale di Internet;


invece se T = 1 indica un indirizzo multicast assegnato in modo provvisorio;

I 4 bit successivi rappresentano l’ambito dell’indirizzo multicast (scope). Il significato dei valori che può assumere questo campo sono

indicati nella tabella 2.2.

La parte finale dell’indirizzo identifica il gruppo multicast nell’ambito stabilito dal campo scope.

Multicast giaA definiti (riservati)Tutti gli indirizzi multicast del tipo ff0x:0:0:0:0:0:0:0 sono riservati e non possono essere assegnati ad alcun gruppo multicast. Oltre a

questi sono interessanti gli indirizzi per «tutti i nodi»:

ff01:0:0:0:0:0:0:1

ff02:0:0:0:0:0:0:1

Questi servono a identificare i gruppi di tutti i nodi IPv6, nell’ambito 116 ( node-local) e 216 (link-local). Inoltre, sono importanti gli indirizzi

di «tutti i router»:

ff01:0:0:0:0:0:0:2

ff02:0:0:0:0:0:0:2

ff05:0:0:0:0:0:0:2

Questi servono a identificare i gruppi di tutti i router, negli ambiti 116 ( node-local), 216 ( link-local) e 516 (site-local).

Tabella riassuntiva indirizzi IPV6(cfr. https://it.wikipedia.org/wiki/IPv6 )

È stato definito un certo numero di indirizzi con significati particolari. La tabella seguente ne elenca alcuni nella notazione CIDR.

::/128 - l'indirizzo composto da tutti zeri viene utilizzato per indicare qualsiasi indirizzo e viene utilizzato esclusivamente a

livello software;

::1/128 - l'indirizzo di loopback è un indirizzo associato al dispositivo di rete che ripete come eco tutti i pacchetti che gli

sono indirizzati. Corrisponde a 127.0.0.1 in IPv4;

::/96 - è utilizzato per interconnettere le due tecnologie IPv4/IPv6 nelle reti ibride. Gli indirizzi IPv4 compatibili sono stati

deprecati in favore degli indirizzi IPv4-Mapped address;

::ffff:0:0/96 - l'indirizzo IPv4-mapped address è utilizzato nei dispositivi dual stack;

fe80::/10 - il prefisso link-local specifica che l'indirizzo è valido esclusivamente sullo specifico link fisico;

fec0::/10 - il prefisso site-local specifica che l'indirizzo è valido esclusivamente all'interno dell'organizzazione locale. Il suo

uso è stato sconsigliato nel settembre del 2004 con il RFC 3879 e i sistemi futuri non ne dovrebbero implementare il supporto;

fc00::/7 - il prefisso Unique Local Addresses (ULA) è valido esclusivamente all'interno dell'organizzazione. Il suo uso è

analogo alle classi private della versione IPv4 (gli IP ULA non vengono ruotati su internet). Sostituiscono gli indirizzi Site-local deprecati. Non esiste nessuna registrazione formale degli indirizzi privati presso organizzazioni RIR anche se esistono siti non istituzionali che tengono traccia dei vari ULA per evitare sovrapposizioni;

ff00::/8 - il prefisso di multicast è utilizzato per gli indirizzi di multicast.

NOTA dual stack


https://it.wikipedia.org/wiki/Multicast


https://it.wikipedia.org/wiki/Transizione_IPv4/IPv6#Dual_stack

https://it.wikipedia.org/wiki/IPv4-mapped_address

https://it.wikipedia.org/wiki/127.0.0.1

https://it.wikipedia.org/wiki/Interfaccia_di_loopback

https://it.wikipedia.org/wiki/Supernetting#CIDR

https://it.wikipedia.org/wiki/IPv6

IPv4 vs IPv6 (cfr. https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_71/rzai2/rzai2compipv4ipv6.htm e http://www.eforhum.it/news/slalom-

parallelo-ipv4-ipv6/ )

Descrizione IPv4 IPv6

Indirizzo 32 bit (4 byte) di lunghezza. L'indirizzo è composto da una parterelativa alla rete e da una parte relativa all'host, che dipendono dalla classe dell'indirizzo. Vengono definite diverse classi dell'indirizzo: A, B, C, D o E, in base ad un numero minimo di bitiniziali. di bit. Il numero totale di indirizzi IPv4 è 4 294 967 296.Il formato testo dell'indirizzo IPv4 è nnn.nnn.nnn.nnn, dove

0<=nnn<=255 e ciascuna n rappresenta una cifra decimale. È

possibile omettere gli zero iniziali. Il numero massimo di

caratteri di stampa è 15, senza considerare una maschera.

128 bit (16 byte) di lunghezza. L'architettura di base è a 64 bit per il numero di rete e a 64 bit per il numero host. Spesso, la parte host di un indirizzo IPv6 (o parte di essa) deriverà da un indirizzo MAC o da un altro identificativo dell'interfaccia.In base al prefisso della sottorete, IPv6 dispone di

un'architettura più complessa di IPv4.

Il numero di indirizzi IPv6 è 1028 (79 228 162 514 264337 593 543 950 336) volte più grande del numero di indirizzi IPv4. Il formato testo dell'indirizzo IPv6 è xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx, dove ciascuna x è una cifra esadecimale, che rappresenta 4 bit. È possibile omettere gli zero iniziali.Il raddoppiamento dei due punti (::) può essere utilizzato una volta nel formato testo di un indirizzo perindicare un qualsiasi numero di 0 bit. Ad esempio, ::ffff:10.120.78.40 è un indirizzo IPv6 corrispondente a IPv4.

Assegnazione indirizzo

In origine, gli indirizzi erano assegnati da una classe di rete. Poiché lo spazio indirizzo è stato ridotto, vengono effettuate assegnazioni più piccole utilizzando il CIDR (Classless Inter-Domain Routing). L'assegnazione non è stata bilanciata tra le istituzioni e le nazioni.

L'assegnazione è allo stadio iniziale. L'IETF (Internet Engineering Task Force) e l'IAB (Internet Architecture Board) hanno suggerito che sostanzialmente a ciascuna organizzazione, abitazione o entità debba essere assegnata una lunghezza del prefisso sottorete /48. In questo modo, l'organizzazione avrà

a disposizione 16 bit per creare la sottorete. Lo spazioindirizzo è sufficientemente grande per fornire a chiunque la relativa lunghezza del prefisso sottorete /

48.

Durata indirizzo

Di solito, non si tratta di un concetto applicabile agli indirizzi IPv4, ad eccezione degli indirizzi assegnati mediante DHCP.

Gli indirizzi IPv6 hanno due durate: una desiderata e una valida, con la durata desiderata sempre <= rispetto a quella valida.

Quando la durata desiderata scade, l'indirizzo non deve essere utilizzato come indirizzo IP di origine per le nuove connessioni nel caso sia disponibile un indirizzo desiderato ugualmente valido. Quando scadela durata valida, l'indirizzo non viene utilizzato (riconosciuto) come indirizzo IP di destinazione valido per i pacchetti in entrata oppure come indirizzo IP di origine.

Per definizione, alcuni indirizzi IPv6 hanno infinite


http://www.eforhum.it/news/slalom-parallelo-ipv4-ipv6/

http://www.eforhum.it/news/slalom-parallelo-ipv4-ipv6/

https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_71/rzai2/rzai2compipv4ipv6.htm

Descrizione IPv4 IPv6

durate desiderate e valide; ad esempio, il

collegamento locale (consultare Ambito indirizzo).

Maschera indirizzo

Utilizzata per distinguere la parte relativa allarete da quella relativa all'host.

Non utilizzata (consultare Prefisso indirizzo).

Prefisso indirizzo

A volte, utilizzato per distinguere la parte relativa alla rete da quella relativa all'host. A volte, scritto come suffisso /nn nel

formato di presentazione dell'indirizzo.

Utilizzato per specificare il prefisso sottorete di un indirizzo. Viene scritto come suffisso /nnn (fino a 3

cifre decimali, 0 <= nnn <= 128) in conformità del

formato di stampa. Un esempio è fe80::982:2a5c/

10, in cui i primi 10 bit costituiscono il prefisso di

sottorete.

ARP (Address ResolutionProtocol)

L'ARP viene utilizzato da IPv4 per trovare un indirizzo fisico, come ad esempio l'indirizzo MAC o di collegamento, associato aun indirizzo IPv4.

IPv6 incorpora queste funzioni all'interno dello stesso IP come parte degli algoritmi per l'autoconfigurazione senza stato e il rilevamento risorse utilizzando ICMPv6 (Internet Control Message Protocol versione 6). Quindi, non esiste un protocollo paragonabile a ARP6.

Ambito indirizzo

Per gli indirizzi unicast, questo concetto non viene applicato. Vi sono intervalli di indirizzo privato designati e loopback. Al di fuoridi ciò, gli indirizzi vengono considerati globali.

In IPv6, l'ambito indirizzo fa parte dell'architettura. Gli indirizzi unicast hanno due ambiti definiti che includono il collegamento locale e globale; mentre gli indirizzi multicast ne hanno 14. La selezione dell'indirizzo predefinito sia per l'origine che per la destinazione prende in considerazione l'ambito.

Un'area dell'ambito è un'istanza di un ambito in una determinata rete. Di conseguenza, a volte, gli indirizzi IPv6 devono essere immessi con un ID area o associati a tale ID. La sintassi è %zid dove zid è un

numero (di solito basso) o un nome. L'ID area viene scritto dopo l'indirizzo e prima del prefisso. Ad

esempio, 2ba::1:2:14e:9a9b:c%3/48.

Tipi di indirizzi

Gli indirizzi IPv4 si suddividono in tre tipi base: indirizzo unicast, indirizzo multicast e indirizzo di trasmissione.

Gli indirizzi IPv6 si suddividono in tre tipi base: indirizzo unicast, indirizzo multicast e indirizzo anycast. Per le descrizioni, consultare Tipi di indirizzi IPv6.

Esercizi

R1>enableR1#configure terminal Enter configuration commands, one per line. End with CNTL/Z.R1(config)#ipv6 ?access-list Configure access lists..


https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_71/rzai2/rzai2ipv6addrtypes.htm?view=kc#ipv6addrtypes

https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_71/rzai2/rzai2ipv6addrtypes.htm?view=kc#ipv6addrtypes

https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_71/rzai2/rzai2compipv4ipv6.htm?view=kc#rzai2compipv4ipv6__compaddrpref

https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_71/rzai2/rzai2compipv4ipv6.htm?view=kc#rzai2compipv4ipv6__compaddrscope

R1(config)#ipv6 unicast-routing → serve ad abilitare il routing di pacchetti unicast IPv6R1(config)#interface gigabitEthernet 0/0R1(config-if)#ipv6 address 2001:DB8:1:1::1/64R1(config-if)#ipv6 address FE80::1 link-localR1(config-if)#no shutdown R1#show ipv6 interface brief GigabitEthernet0/0 [up/up]FE80::12001:DB8:1:1::1GigabitEthernet0/1 [up/up]FE80::12001:DB8:1:2::1GigabitEthernet0/2 [administratively down/down]…

Configuring IPv6 Addressing 7.2.4.9

In this activity, you will practice configuring IPv6 addresses on a router, servers, and clients. You will also practice verifying your IPv6 addressing implementation.

R1>enable (enable privileged EXEC mode) R1#configure terminal (Enter into configuration mode)

R1(config)#ipv6 unicast-routing

R1(config)#interface gigabitEthernet 0/0 R1(config-if)#ipv6 address 2001:DB8:1:1::1/64 R1(config-if)#ipv6 address FE80::1 link-local R1(config-if)#no shutdown

R1(config)#interface Serial 0/0/0 R1(config-if)#ipv6 address 2001:DB8:1:A001::2/64 R1(config-if)#ipv6 address FE80::1 link-local R1(config-if)#no shutdown


PC>ping 2001:DB8:1:A001::1

Pinging 2001:DB8:1:A001::1 with 32 bytes of data:

Reply from 2001:DB8:1:A001::1: bytes=32 time=1ms TTL=254Reply from 2001:DB8:1:A001::1: bytes=32 time=1ms TTL=254Reply from 2001:DB8:1:A001::1: bytes=32 time=1ms TTL=254Reply from 2001:DB8:1:A001::1: bytes=32 time=1ms TTL=254

Ping statistics for 2001:DB8:1:A001::1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 1ms, Average = 1m

TRACEROUT 7.3.2.4 La prima sequenza di messaggi inviati da traceroute (tracert) avrà un valore di campo TTL pari a 1. Ciò determina il timeout

del TTL del pacchetto IPv4 nel primo router. Questo router risponde quindi con un messaggio ICMPv4 (time exceeded - il messaggio ICMP viene inviato quando il valore TTL di un pacchetto IP raggiunge lo zero).

Traceroute ora ha l'indirizzo del primo hop.

Traceroute incrementa progressivamente il campo TTL (2, 3, 4 ...) per ciascuna sequenza di messaggi. Questo fornisce la traccia con l'indirizzo di ogni hop come i pacchetti timeout più avanti lungo il percorso. Il campo TTL continua ad essere aumentato fino a raggiungere la destinazione, oppure viene incrementato a un valore massimo predefinito.

Una volta raggiunta la destinazione finale, l'host risponde con un messaggio di risposta echo ICMP anziché il messaggio di

tempo superato ICMP (time exceeded).

PT 7.3.2.6 scoprire errore di blocco


Compiere questi passi:

PC1 e PC3 ipconfig /all per reperire tutti gli indirizzi che vi servono per completare l'address table

PC1 tracert 10.10.1.18 al PC3 osserverete che si ferma al router R1

PC3 tracert 10.10.1.98 vedrete che si ferma a 10.10.1.17

entrate in R1 CLI show ip interface brief (tutto è corretto)

PC1 ping 10.10.1.6 s0/0/1 tutto ok

PC3 ping 10.10.1.10 s0/0/1 tutto ok

PC1 al router R2 ping s0/0/0 10.10.1.5 time out, il problema è qui....tra il router R1 ed R2

entro in R2 ed osservo che serial0/0/0 10.10.1.2 è errata deve essere 10.10.1.5

cambio in R2 : interface s0/0/0

no ip address

ip address 10.10.1.5 255.255.255.252

PC1 tracert 10.10.1.18 tutto ok

PC3 tracert 10.10.1.98 tutto ok

PC2 ping 2001:db8:1:4::2 fallito....

PC4 tracert 2001:db8:1:1::2 fallito, problema nel default gateway

R3 interface g0/0 ipv6 address FE80::3 link-local

PC4 cambio FE80::2 con FE80::3

Effettuo tutti i ping. Funziona.

Tabella corretta:

Device Interface

IPv4 Address Subnet Mask

Default Gateway

IPv6 Address/Prefix

R1 G0/0 2001:DB8:1:1::1/64 N/A

G0/1 10.10.1.97 255.255.255.224 N/A

S0/0/1 10.10.1.6 255.255.255.252 N/A


2001:DB8:1:2::2/64 N/A

Link-local FE80::1 N/A

R2

S0/0/010.10.1.5 255.255.255.252 N/A

2001:DB8:1:2::1/64 N/A

S0/0/110.10.1.9 255.255.255.252 N/A

2001:DB8:1:3::1/64 N/A


R3

G0/0 2001:DB8:1:4::1/64 N/A

G0/1 10.10.1.17 255.255.255.240 N/A

S0/0/110.10.1.10 255.255.255.252 N/A

2001:DB8:1:3::2/64 N/A


PC1 NIC 10.10.1.98 255.255.255.224 10.10.1.97

PC2 NIC 2001:DB8:1:1::2/64 FE00::1

PC3 NIC 10.10.1.18 255.255.255.240 10.10.1.17

PC4 NIC 2001:DB8:1:4::2/64 FE00::2

7.4.1.2 Challange

R1(config)#interface gigabitEthernet 0/0R1(config-if)#ipv6 address FE80::1 link-local R1(config-if)#ipv6 address 2001:DB8:CAFE:1::1/64R1(config-if)#ip address 172.16.10.1 255.255.255.192R1(config-if)#no shutdown R1#show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 172.16.10.1 YES manual up up GigabitEthernet0/1 unassigned YES unset administratively down down ..R1#show ipv6 interface brief GigabitEthernet0/0 [up/up]FE80::12001:DB8:CAFE:1::1GigabitEthernet0/1 [administratively down/down]GigabitEthernet0/2 [administratively down/down]Serial0/0/0 [down/down]Serial0/0/1 [administratively down/down]Vlan1 [administratively down/down]R1#…

S1#configure terminal


S1(config)#interface vlan 1S1(config-if)#ip address 172.16.10.62 255.255.255.192S1(config-if)#no shutdown S1(config-if)#exitS1(config)#ip default-gateway 172.16.10.1S1(config)#exitS1#show ip interface brief...Vlan1 172.16.10.62 YES manual up upS1#PC

8.4.1.2 Cap 8 - Subnetting - Skills Integration Challenge

Scenario

As a network technician familiar with IPv4 and IPv6 addressing implementations, you are now ready to take an existing network infrastructure and apply your knowledge and skills to finalize the configuration. In this activity, the network administrator has already configured some commands on the routers. Do not erase or modify those configurations.

Your task is to complete the IPv4 and IPv6 addressing scheme, implement IPv4 and IPv6 addressing, and verify connectivity.

Requirements

Requirements


· Configure the initial settings on Branch-A and Branch-B, including the hostname, banner, lines, and passwords. Use :

cisco as the user EXEC password

class as the privileged EXEC password.

Encrypt all passwords.

LAN A1 is using the subnet 172.20.16.0/23. (500 host)

LAN A2 - Assign the next available subnet to LAN A2 (NB la precedente finiva con 172.20.17.255 → +1 → 172.20.18.0) for a maximum of250 hosts

LAN B1 is using the subnet 2001:DB8:FADE:00FF::/64.

LAN B2 - Assign the next available subnet to LAN B2. (si ricorda che LAN B1 è 2001:DB8:FADE:00FF::/64. → 00FF+1= 0100 → 2001:DB8:FADE:0100::/64 )

· Finish documenting the addressing scheme in the Addressing Table using the following guidelines:

- Assign the first IP address for LAN A1, LAN A2, LAN B1, and LAN B2 to the router interface.

- For the IPv4 networks, assign the last IPv4 address to the PCs.

- For the IPv6 networks, assign the 16th IPv6 address to the PCs.

· Configure the routers addressing according to your documentation. Include an appropriate description for each router interface

. Branch-B uses FE80::B as the link-local address.

· Configure PCs with addressing according to your documentation.

. The DNS Server addresses for IPv4 and IPv6 are shown in the topology (central.pka)

· Verify connectivity between the IPv4 PCs and between the IPv6 PCs.

· Verify the IPv4 PCs can access the web page at central.pka.

· Verify the IPv6 PCs can access the web page at centralv6.pka.

Device Interface

IPv4 Address Subnet Mask

Default Gateway

IPv6 Address/Prefix

Branch-A

G0/0 N/A

G0/1 N/A

G0/2172.20.31.254 255.255.255.252 N/A

Branch-BG0/0 N/A

G0/1 N/A

G0/2 2001:DB8:FFFF:FFFF::2/64 N/A

PC-A1 NIC

PC-A2 NIC

PC-B1 NIC

PC-B2 NIC

Configure the initial settings on Branch-A and Branch-B, including the (1) hostname, (2) banner, (3) lines, and passwords. Use cisco as the user EXEC password (4) , and class as the privileged EXEC password (6). Encrypt all passwords (7).

Branch A


LAN A1-A2 is using the subnet 172.20.16.0/23.

◦ NOTA Ciò significa che siamo partiti da una rete 172.20.16.0/22 con 1022 host...

Address: 172.20.16.0 10101100.00010100.000100 00.00000000

Netmask: 255.255.252.0 = 22 11111111.11111111.111111 00.00000000

Network: 172.20.16.0/22 10101100.00010100.000100 00.00000000 (Class B)

Broadcast: 172.20.19.255 10101100.00010100.000100 11.11111111

HostMin: 172.20.16.1 10101100.00010100.000100 00.00000001

HostMax: 172.20.19.254 10101100.00010100.000100 11.11111110


...Che ripartiamo in due Subnets (di 512 host ciasuna)

LAN A1 is using the subnet 172.20.16.0/23.

Netmask: 255.255.254.0 = 23 11111111.11111111.1111111 0.00000000

Network: 172.20.16.0/23 10101100.00010100.0001000 0.00000000

Broadcast: 172.20.17.255 10101100.00010100.0001000 1.11111111

HostMin: 172.20.16.1 10101100.00010100.0001000 0.00000001 Gateway

HostMax: 172.20.17.254 10101100.00010100.0001000 1.11111110 PCA


Branch-A - LAN A1 (G0/0)

Lan successiva (che va subnettata) (NB la precedete finiva con 172.20.17.255 → +1 → 172.20.18.0)

Network: 172.20.18.0/23 10101100.00010100.0001001 0.00000000 (Class B)

Broadcast: 172.20.19.255 10101100.00010100.0001001 1.11111111

HostMin: 172.20.18.1 10101100.00010100.0001001 0.00000001

HostMax: 172.20.19.254 10101100.00010100.0001001 1.11111110






Andiamo a subnettare la seconda LAN successiva per ottenere due reti di 256 host, di cui la prima corrisponde alla LAN A2 di 256 host

◦ LAN A2 ( Assign the next available subnet to LAN A2 for a maximum of 250 hosts)

Netmask: 255.255.255.0 = 24 11111111.11111111.11111111 .00000000

Network: 172.20.18.0/24 10101100.00010100.00010010 .00000000 (Class B)

Broadcast: 172.20.18.255 10101100.00010100.00010010 .11111111

HostMin: 172.20.18.1 10101100.00010100.00010010 .00000001

HostMax: 172.20.18.254 10101100.00010100.00010010 .11111110


Branch-A - LAN A2 (G0/1)

Ora viene richiesto Branch-A G0/2 (vedi tabella) che:

G0/2 172.20.31.254 255.255.255.252

E quindi:

Configuro il PC-A1

Ed anche il PC-A2


255-3=252 (11111100)


NOTA LOGIN

Con il comando "login" ( ‘registrazione (log) dentro (in)’ ) si sta bloccando la porta. La password è la chiave per aprire la porta. Se non si digita il comando "login", significa che non si sta bloccando la porta per entrare nel router e in tal caso non sideve inserire la chiave per aprire (password).

DIGITARE anche login local invece che login: “login is used on vty and console and means that the password that is user for its authentication, is configured under vty and console as well. Login local, means that authentication uses locally configured credentials using the username <joebloggs> privilege <15> secret 0 password command in global configuration mode”

Branch-B (Stessi comandi )

Branch-B LAN B1 is using the subnet 2001:DB8:FADE:00FF::/64.

Branch-B Assign the next available subnet to LAN B2. ( 2001:DB8:FADE:0100::/64. ) (si ricorda che LANB1 è 2001:DB8:FADE:00FF::/64. → 00FF+1= 0100)

Branch-B poi devo configurare la g 0/2

Devo configurare quindi il PC B1


Ed il PC B2

Attenzione!

Cambiare poi con FE80::B

Torno quindi su branch B e lo configuro in link local come fe80 B sia g00 che g01 che g02

Mi accorgo che manca

◦ line console o, Password cisco, Login, Exit


0010= 0x 16^0+1x16^1=16

For the IPv6 networks, assign the 16th IPv6 address to the PCs. (0010)

Attenzione IPv6 gateway!

Cambiare poi con FE80::B

◦ Ed anche line vty 0 15 password cisco login exit


Capitolo 11 e finalRouter>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname DirezioneDirezione(config)#banner motd # ...

Basic passwordEstablishes a new password or change an existing password for the privileged command level.

Router(config)# password password

Aumentare la sicurezza delle password - enable secret To provide an additional layer of security, particularly for passwords that cross the network or are stored on a TFTP server, you can use enablesecret commands.

Nota Il protocolloTFTP (Trivial File Transfer Protocol) è la versione semplificata di FTP con la differenza che utilizza il protocollo UDP al posto di TCP. IserverTFTP sono utilizzati per eseguire il backup di router e switch. Ciò permette un rapido ripristino dello stato del sistema in caso di problemi,riducendo al minimo I tempi morti

Establishes a password for a privilege command mode. Specifies a secret password, saved using a non-reversible encryption method. (If enablepassword and enable secret are both set, users must enter the enable secret password.)

Router(config)# enable secret[level level] {password | encryption-type encrypted-password}

NB Oppure Router(config)# enable password[level level] {password| encryption-type encrypted-password} - (Both commands accomplish the samething; that is, they allow you to establish an encrypted password that users must enter to access enable mode (the default), or any privilege level youspecify.). We recommend that you use the enable secret command because it uses an improved encryption algorithm. If you configure the enablesecret command, it takes precedence over the enable password command; the two commands cannot be in effect simultaneously.

'Direzione(config)#enable secret cisco12345Direzione(config)#line console 0Direzione(config-line)#password cisco123456Direzione(config-line)#loginDirezione(config-line)#exitDirezione(config)#line vty 0 4Direzione(config-line)#password cisco123456Direzione(config-line)#loginDirezione(config-line)#exitDirezione(config)#line aux 0Direzione(config-line)#password cisco123456Direzione(config-line)#login Direzione(config-line)#exit

Schema di indirizzamentoProgettare uno schema di indirizzamento IPv4 e completare la tabella di indirizzamento, sapendo che la sottorete della rete

192.168.1.0/24 deve fornire 30 indirizzi host per sottorete. /24 →/27

Assegnare la quarta subnet alla LAN PC1 e PC2. 97,98

A partire dalla quinta subnet occorre subnettare nuovamente ed assegnare alle nuove sottoreti 14 host.


Network: 192.168.1.128/28 11000000.10101000.00000001.1000 0000 (Class C)

Netmask: 255.255.255.240

Broadcast: 192.168.1.143 11000000.10101000.00000001.1000 1111

HostMin: 192.168.1.129 11000000.10101000.00000001.1000 0001

HostMax: 192.168.1.142 11000000.10101000.00000001.1000 1110


Network: 192.168.1.144/28 11000000.10101000.00000001.1001 0000 (Class C)

Broadcast: 192.168.1.159 11000000.10101000.00000001.1001 1111

HostMin: 192.168.1.145 11000000.10101000.00000001.1001 0001

HostMax: 192.168.1.158 11000000.10101000.00000001.1001 1110


G0/0 e G0/1 devono avere l’indirizzo host più alto , per G0/1 il più alto della seconda sottorete 192.168.1.158

Direzione(config)#interface g0/1

Direzione(config-if)#ip address 192.168.1.146 255.255.255.240


Direzione(config-if)#no shutdown

Direzione(config-if)#

%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up

Direzione(config-if)#description Direzione LabB

Direzione(config-if)#exit

Direzione(config)#ipv6 unicast-routing

Direzione(config)#interface g 0/0

Direzione(config-if)#ipv6 address 2001:DB8:ACAD:A::1/64

Direzione(config-if)#ipv6 address FE80::1 link-local



Direzione(config)#interface g 0/1

Direzione(config-if)#ipv6 address 2001:DB8:ACAD:B::1/64

Direzione(config-if)#ipv6 address FE80::1 link-local




Direzione(config)#exit

Direzione#

%SYS-5-CONFIG_I: Configured from console by console

Direzione#wr


[OK]

Direzione#copy running-config t

Direzione#copy running-config tftp:

Address or name of remote host []? 192.168.1.146 ← vero solo se

TFTP Server

NIC

192.168.1.146

255.255.255.240

192.168.1.158

Destination filename [Direzione-confg]?

Writing running-config........

%Error opening tftp://192.168.1.146/Direzione-confg (Timed out)

Direzione#

Switch LabB

LabB>enable

LabB#configure terminal


LabB(config)#enable secret cisco123456

LabB(config)#line console 0

LabB(config-line)#password cisco123456

LabB(config-line)#login

LabB(config-line)#exit

LabB(config)#line vty 0 4

LabB(config-line)#password cisco123456

LabB(config-line)#login


LabB(config-line)#exit

LabB(config)#banner motd #

Enter TEXT message. End with the character '#'.

accesso riservato

#

LabB(config)#service password-encryption

LabB(config)#ip default-gateway 192.168.1.158

LabB(config)#interface vlan1

LabB(config-if)#ip address 192.168.1.157 255.255.255.240

LabB(config-if)#no shut

LabB(config-if)#

%LINK-5-CHANGED: Interface Vlan1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

LabB(config-if)#description LabA

LabB(config-if)#exit

LabB(config)#exit

LabB#

%SYS-5-CONFIG_I: Configured from console by console

LabB#wr


[OK]

LabB#

PING e BASELINEhttps://www.cisco.com/c/en/us/support/docs/availability/high-availability/15112-HAS-baseline.html

ping

Note: A failed ping usually does not provide enough information to draw any conclusions. It could be the result of an ACL or firewall blocking ICMP packets, or the destination device may be configured to not respond to pings. A failed ping is usually indication that further investigation is required.

The traceroute command, is useful for displaying the path that packets are using to reach a destination. While output from the ping command shows whether a packet has arrived at the destination, output from the traceroute command shows what path it tookto get there, or where the packet was stopped along the path.

The Cisco IOS show commands are some of the most useful troubleshooting and verification tools included the Cisco IOS. Taking advantage of a large variety of options and sub-options, the show command can be used to narrow down and display information about practically any specific aspect of IOS.


https://www.cisco.com/c/en/us/support/docs/availability/high-availability/15112-HAS-baseline.html

Cap 11

11.2.4.3 Basic security practicehttp://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html

esempio con telnet e SSHSSH (Secure SHell, shell sicura) è un protocollo che permette di stabilire una sessione remota cifrata (tutti i dati che partono dal client finchè nonarrivino sul terminal sono crittografate, ovvero non viaggiano in chiaro come via telnet).

- ssh con Putty

Per SSH, 4 passi:


http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html

Step 1. Ensure that the router has a unique hostname, and then configure the IP domain name of the network using the ip domain-name command in global configuration mode.

Step 2. One-way secret keys must be generated for a router to encrypt SSH traffic. To generate the SSH key, use the crypto key generate rsa general-keys command in global configuration mode. The specific meaning of the various parts of this command are complex and outof scope for this course. Just note that the modulus determines the size of the key and can be configured from 360 bits to 2048 bits. The larger the modulus, the more secure the key, but the longer it takes to encrypt and decrypt information. The minimum recommended modulus length is 1024 bits.

Step 3. Create a local database username entry using the username global configuration command.

Step 4. Enable inbound SSH sessions using the line vty commands login local and transport input ssh.

Encrypt all plaintext passwords (config)# service password-encryption

Set a strong secret password of your choosing. (config)# ip domain-name [[R1Name]].com

Create a user of your choosing with a strong password. (config)# username any_user password any_password

Generate 1024-bit RSA keys. (config)# crypto key generate rsa

Block anyone for three minutes who fails to log in after four attempts within a two-minute period. (config)# login block-for 180 attempts4 within 120

Configure the VTY lines for SSH access and use the local user profiles for authentication. (config)# line vty 0 4 (config-line)# transport input ssh (config-line) # login local

NOTA SSH (https://www.malatesta.biz/configurare-lssh-in-un-router-cisco/ )

L’ssh è un protocollo di rete che permette di stabilire una sessione remota al vostro apparato, è consigliato rispetto al telnet perchègarantisce “confidentiality” grazie all’algoritmo di cifratura assimmetrica RSA.

Come prima cosa dobbiamo dare un hostname e un domain-name:Router(config)#hostname c800C800(config)#ip domain-name dominio.local

Successivamente andiamo a creare un utente:C800(config)#username TuoUtente password TuaPassword

Ora generiamo la chiave rsa, quando verrà richiesto inserite la dimensione della chiave, cisco consiglia 1024 bit:C800(config)#crypto key generate rsa

Il protocollo ssh ora è abilitato, dobbiamo indicare alle interfacce vty quale protocollo consentire per l’accesso:C800(config)#line vty 0 4C800(config-line)#transport input ssh

In questo modo sarà consentito solo il protocollo ssh, se invece vogliamo anche il telnet:


https://www.malatesta.biz/configurare-lssh-in-un-router-cisco/

C800(config)#line vty 0 4C800(config-line)#transport input telnet ssh

A questo punto l’SSH è abilitato e configurato sull’interfaccia virtuale, possiamo aggiungere dei parametri opzionali e restringere gli accessi con una access-list.

Per utilizzare SSH v2:C800(config)#ip ssh version 2

Per limitare l’accesso alla subnet 192.168.1.0/24:C800(config)#access-list 21 permit 192.168.1.0 0.0.0.255C800(config)#line vty 0 4C800(config-line)#access-class 21 in

Per visualizzare la chiave pubblica:show crypto key mypubkey rsa

Per cancellare la chiave rsa e quindi disabilitare l’ssh:C800(config)#crypto key zeroize rsa

ESEMPIO Accesso a router da esterno soltanto via SSH, mentre dalla rete interna sia via telnet che SSH. Ho separato la configurazione deivirtual terminal, ovvero, ho riservato due virtual terminal per accessi dalle reti esterne e tre dalla rete interna.

line vty 0 1

line vty 2 4

Successivamente ho deciso che da esterno si possa accedere (transport) soltanto via SSH, mentre dalla rete interna sia via telnet che SSH.

- accedere soltanto via SSH

line vty 0 1

transport input ssh

- via telnet che SSH

line vty 2 4

transport input telnet ssh

Intanto bisogna accertarsi che il nome di dominio e l’hostname siano configurati. Serve come base per poter generare una chiavecrittografica.

hostname MyRouter

ip domain-name areanetworking.it

Generiamo la nostra chiave con la quale i dati saranno crittografati.

crypto key generate rsa

Una volta impartito questo comando ci verrà chiesto di scegliere la “dimensione” della chiave. Finita la generazione della chiavericeveremo la conferma che SSH è stato attivato. Questa informazione è ottenibile eseguento il commando:

show ip ssh

Se indica SSH 1.99, significa che sia SSH1 che l’SSH2 sono abilitati sul router, mentre se è indicato SSH 2.0 vuol dire che il router accettasoltanto la connessione SSH2.

Passiamo adesso a limitare l’accesso sulle vty alle quali è possibile accedere via telnet. Creiamo una access list da applicare sulla vty:


access-list 15 permit 10.10.10.0 0.0.0.255 log

Supponiamo che la rete interna sia la 10.10.10.10/24 ed applichiamo l’access list.

line vty 2 4

access-class 15 in

Se adesso proviamo da remoto ad accedere al router via telnet, la nostra richiesta andrà in time-out.

Se tentiamo l’accesso via SSH il router ci risponderà, e potremo stabilire la nostra connessione.

Inoltre per definire il tipo di protocollo da usare per connettere una specifica linea di un router si usa “transport input line configurationcommand.One protocol, multiple protocols, all protocols, or no protocols can be specified”, ad esempio

ssh Selects the Secure Shell (SSH) protocol.

Telnet Specifies all types of incoming TCP/IP connections.

ESEMPIO con comandi

The following example sets the incoming protocol to Telnet for vtys 0 to 4:

Router(config)#line vty 0

Router(config-line)#transport input telnet

Direzione(config)#ip domain-name cisco.com

Direzione(config)#username MyAdmin secret Cisco_Cisco

Direzione(config)#crypto key generate r

The name for the keys will be: Direzione.cisco.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Direzione(config)#line vty 0 4

*mar 1 0:18:51.669: %SSH-5-ENABLED: SSH 1.99 has been enabled

Direzione(config-line)#transport input ssh

Direzione(config-line)#login local

Direzione(config-line)#exit

Direzione(config)#interface g0/0



Direzione(config-if)#


%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

Direzione(config-if)#description Direzione LabA


11.2.4.5 Configuring Secure Passwords and SSH

Device Interface IP Address Subnet Mask

Bldg5 G0/0 10.10.10.1 255.255.255.0

Staff NIC 10.10.10.2 255.255.255.0

Configure IP addressing on NetAdmin according to the Addressing Table.

Configure the VTY lines for SSH access and use the local user profiles for authentication.

staff

Router>enRouter#conf terminal Router(config)#int g0/0Router(config-if)#ip address 10.10.10.1 255.255.255.0Router(config-if)#no shutdown Router(config-if)#exitRouter(config)#hostname RTA

CRITTOGRAFIA

Encrypt all plaintext passwordRTA(config)#service password-encryption


Set a strong secret password RTA(config)#enable secret cisco

Domain nameRTA(config)#ip domain-name RTA

Create a user of your choosing with a strong passwordRTA(config)#username paolo pass cisco

Generate 1024-bit RSA keys.RTA(config)#crypto key generate rsa

The name for the keys will be: RTA.RTAChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.

How many bits in the modulus [512]: 1024% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Block anyone for three minutes who fails to log in after four attempts within a two-minute period.Per 3 mit. 4 tentativi 2 minRTA(config)#login block-for 180 attempts 4 within 120

ConsoleRTA(config)#line console 0RTA(config-line)#login localRTA(config-line)#exit

Configure the VTY lines for SSH access and use the local user profiles for authentication.TTY con SSHRTA(config)#line vty 0 15RTA(config-line)#login localRTA(config-line)#transport input sshRTA(config-line)#end

Save the configuration to NVRAM.Set NVRAMRTA#copy running-config startup-config

PCPC>ssh -l paolo 192.168.10.1

IpconfigBrowser192.68.0.1admin admin198.133.219.1..254 (def. Gat)

netwrk setup173.31.1.1


255.255.255.224.5 25

---ipconfig /renewbrowser mi ricollego su 173.31.1.1

11.3.2.3 (tracert)

ATTENZIONE Router CNetmask: 255.255.255.252 = 30

Network: 10.100.100.4/30 00001010.01100100.01100100.000001 00 (Class A)Broadcast: 10.100.100.7 00001010.01100100.01100100.000001 11

HostMin: 10.100.100.5 00001010.01100100.01100100.000001 01

HostMax: 10.100.100.6 00001010.01100100.01100100.000001 10

Network: 10.100.100.8/30 00001010.01100100.01100100.000010 00 (Class A)Broadcast: 10.100.100.11 00001010.01100100.01100100.000010 11

HostMin: 10.100.100.9 00001010.01100100.01100100.000010 01

HostMax: 10.100.100.10 00001010.01100100.01100100.000010 10

RouterC#sh ip interface brief ..Serial0/0/0 10.100.100.17 YES manual up up ← NOOO deve essere 9Serial0/0/1 10.100.100.6 YES manual up up ← OK...

RouterC#configure terminal Enter configuration commands, one per line. End with CNTL/Z.RouterC(config)#interface serial 0/0/0RouterC(config-if)#no ip address RouterC(config-if)#ip address 10.100.100.9 255.255.255.252RouterC(config-if)#


ORA su PC0

Packet Tracer PC Command Line 1.0C:\>tracert 10.1.0.2

Tracing route to 10.1.0.2 over a maximum of 30 hops:

1 0 ms 0 ms 0 ms 10.0.0.2542 1 ms 1 ms 4 ms 10.100.100.23 0 ms 0 ms 5 ms 10.100.100.64 2 ms 2 ms 1 ms 10.100.100.105 * 2 ms 2 ms 10.1.0.2

Trace complete.

RouterA#traceroute 10.0.1.2 ←errore!!!

Type escape sequence to abort.Tracing the route to 10.0.1.2

1 10.100.100.2 0 msec 1 msec 3 msec 2 10.100.100.2 !H * !H 3 * * RouterA#traceroute 10.1.0.2Type escape sequence to abort.Tracing the route to 10.1.0.2

1 10.100.100.2 0 msec 0 msec 0 msec 2 10.100.100.6 2 msec 1 msec 1 msec 3 10.100.100.10 2 msec 1 msec 4 msec 4 10.1.0.2 1 msec 2 msec 2 msec RouterA#

RouterA#tracerouteProtocol [ip]: ipTarget IP address: 10.1.0.2Source address: 10.100.100.1Numeric display [n]: nTimeout in seconds [3]: 3Probe count [3]: 5Minimum Time to Live [1]: 1Maximum Time to Live [30]: 30Type escape sequence to abort.Tracing the route to 10.1.0.2

1 10.100.100.2 2 msec 0 msec 2 msec 1 msec 0 msec 2 10.100.100.6 4 msec 1 msec 0 msec 4 msec 0 msec 3 10.100.100.10 4 msec 7 msec 6 msec 4 msec 2 msec 4 10.1.0.2 2 msec 3 msec 2 msec 2 msec 3 msec RouterA#

ESEMPIO TRACERT con Wireshark


11.3.3.3 (show) show arp

show flash

show ip route

show interfaces

show ip interface brief

show protocols

show users

show version

11.5.1.2-3 Skill Integration Challenge (inizio) The router Central, ISP cluster and the Web server are completely configured. You have been tasked with creating a new IPv4

addressing scheme that will accommodate 4 subnets using 192.168.0.0/24 network.

The IT department requires 25 hosts.

The Sales department needs 50 hosts.

The subnet for the rest of the staff requires 100 hosts.

A Guest subnet will be added in the future to accommodate 25 hosts.

You are also tasked with finishing the basic security settings and interface configurations on R1.

Furthermore, you will configure the SVI interface and basic security setting on switches S1, S2 and S3


https://www.youtube.com/watch?v=2EVd4FEF2VQ Staff: 100 hosts (110→ 128 → 2^7 → 32-7=25 → /25)

Netmask: 255.255.255.128 = 25 11111111.11111111.11111111.1 0000000

Wildcard: 0.0.0.127 00000000.00000000.00000000.0 1111111

Network: 192.168.0.0/25 11000000.10101000.00000000.0 0000000 (Class C)

Broadcast: 192.168.0.127 11000000.10101000.00000000.0 1111111

HostMin: 192.168.0.1 11000000.10101000.00000000.0 0000001

HostMax: 192.168.0.126 11000000.10101000.00000000.0 1111110


Sales: 50 hosts (64 >2^6>/26)

Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000

Wildcard: 0.0.0.63 00000000.00000000.00000000.00 111111

Network: 192.168.0.128/26 11000000.10101000.00000000.10 000000 (Class C)

Broadcast: 192.168.0.191 11000000.10101000.00000000.10 111111

HostMin: 192.168.0.129 11000000.10101000.00000000.10 000001

HostMax: 192.168.0.190 11000000.10101000.00000000.10 111110


IT: 25 hosts (32 → 2^5 → /27)

Network: 192.168.0.192/27 11000000.10101000.00000000.110 00000 (Class C)

Broadcast: 192.168.0.223 11000000.10101000.00000000.110 11111

HostMin: 192.168.0.193 11000000.10101000.00000000.110 00001

HostMax: 192.168.0.222 11000000.10101000.00000000.110 11110


Guest network to be added later: 25 hosts (32 → 2^5 → /27)






https://www.youtube.com/watch?v=2EVd4FEF2VQ

Network: 192.168.0.224/27 11000000.10101000.00000000.111 00000 (Class C)

Broadcast: 192.168.0.255 11000000.10101000.00000000.111 11111

HostMin: 192.168.0.225 11000000.10101000.00000000.111 00001

HostMax: 192.168.0.254 11000000.10101000.00000000.111 11110

Hosts/Net: 30

PC Configurations

Configure the assigned IPv4 address, subnet mask, and default gateway settings on the Staff, Sales and IT PCs using your addressing scheme.

Assign IPv6 unicast and link local addresses and default gateway to the Staff, Sales, and IT networks according to the Addressing Table.

R1 Configurations

Configure the device name according to the Addressing Table. (hostname R1)

Disable DNS lookup (no ip domain-lookup).

Assign Ciscoenpa55 as the encrypted privileged EXEC mode password (enable secret Ciscoenpa55).

Assign Ciscoconpa55 as the console (line console 0) password ( password Ciscoconpa55 ) and enable → login.

Require that a minimum of 10 characters be used for all passwords.(security passwords min-lenght 10)

Encrypt all plaintext passwords. (service password-encryptions)

Create a banner that warns anyone accessing the device that unauthorized access is prohibited. Make sure to include the word Warning in the banner (banner motd #….).

Configure all the Gigabit Ethernet interfaces. (int g0/0 ipv6


address..)

Configure the IPv4 addresses according to your addressing scheme.(ip address...)

Configure SSH on R1:

◦ Set the domain name to CCNA-lab.com (ip domain-name CCNA-lab.com)

◦ Generate a 1024-bit RSA key.(crypto key generate rsa)

◦ Configure the VTY lines for SSH access (line vty 0 15 , transport input ssh)

◦ Use the local user profiles for authentication.(login local)

◦ Create a user Admin1 with a privilege level of 15 using the encrypted password for Admin1pa55.(username Admin privilege 15 secret Admin1pa55)

Configure the console and VTY lines to log out after five minutes of inactivity (line vty 0 15 , exec timeot 5 0 ).

Block anyone for three minutes who fails to log in after four attempts within a two-minute period.(login block-for 180 attemps 4)

Switch Configurations

Configure the device name according to the Addressing Table (hostname S1).

Configure the SVI interface with the IPv4 address and subnet mask according your addressing scheme (ip address 192.168.0.2 255.255.255.128).

Configure the default gateway (192.168.0.1).

Disable DNS lookup.(no ip domain-lookup)

Assign Ciscoenpa55 as the encrypted privileged EXEC mode password.(enable secret Ciscoenpa55)

Assign Ciscoconpa55 as the console password and enable login.(line console 0, password Ciscoconpa55)

Configure the console and VTY lines to log out after fiveminutes of inactivity.(exec-timeout 5 0)

Encrypt all plaintext passwords.(service password encrytpion)


11.5.1.3

Warm Up Final

RETE 192.168.1.0/24


INTRODUZIONEIn questo esame occorre configurare le periferiche in una rete IPv4 / IPv6.

Per motivi di tempo, non verrà chiesto di eseguire tutte le configurazioni su tutti i dispositivi di rete, come potrebbe essere richiesto di fare in una vera e propria rete.

Al contrario, molti valori che sono necessari per completare le configurazioni non sono stati forniti. In questi casi, vanno calcolati i valori di cui avete bisogno per completare quanto richiesto.

Per i valori che sono stati forniti devono essere immessi esattamente in ordine come appaiono per ottenere il completamento della configurazione.

DA FARE (usare la connessione terminale diretta alla console dispositivo):

configurazioni dispositivi• Impostazioni iniziali dei dispositivi • Progettazione e calcolo di indirizzamento IPv4• Configurazione di interfacce dei dispositivi, tra cui indirizzamento IPv4 e IPv6• Migliorare la sicurezza del dispositivo, inclusa la configurazione del protocollo di trasporto sicuro per la configurazione dei dispositivi a distanza• Configurazione di un'interfaccia di gestione dello switch (Vlan)

- Requisiti dispositivo:router:• Configurazione di impostazioni iniziali del router • Configurazione Interfaccia e indirizzamento IPv4 e IPv6• miglioramento della protezione del dispositivo • Trasporto sicuro per i collegamenti di configurazione remota • Backup del file di configurazione di un server TFTPLabB Switch:• Abilitazione della gestione remota di base da TelnetPC e server host:• indirizzamento IPv4, indirizzamento IPv6

RICHIESTEAddressing Table

Device InterfaceIPv4 Address Subnet Mask IPv4 Default Gateway

IPv6 Address IPv6 Default Gateway

Router0

G0/0 N/A

2001:DB8:ACAD:A::1/64 N/A

G0/1 N/A

2001:DB8:ACAD:B::1/64 N/A

Link Local FE80::1 N/A

LabB Switch Vlan 1

N/A N/A N/A

PC1 NIC

2001:DB8:ACAD:A::FF

PC2 NIC

2001:DB8:ACAD:A::15

PC0 NIC

2001:DB8:ACAD:B::FF

TFTP Server NIC

2001:DB8:ACAD:B::15


Step 1: Determinare la schema di indirizzamento IP.Progettare uno schema di indirizzamento IPv4 e completare la tabella di indirizzamento in base ai seguenti requisiti. Utilizzare la tabella per organizzare il proprio lavoro.. Rete 192.168.1.0/24

SubnetNumber

Beginning Address Ending Address Mask Assignment

1 192.168.1.0

2

3

4 LabA LAN Subnet

5

6 LabB LAN Subnet

a. Creare sottoreti della rete 192.168.1.0/24 per fornire 30 indirizzi host per sottorete, scartare gli ultimi indirizzi

b. Assegnare la quarta subnet alla LAN di LabA

c. Assegnare l'ultimo indirizzo host di rete (il più alto) in questa sottorete all'interfaccia G0 / 0 sul R0

d. A partire dalla quinta subnet, subnettare nuovamente la rete in modo che le nuove sottoreti forniranno 14 indirizzi host per sottorete scartare gli ultimi indirizzi

e. Assegnare la seconda di queste nuove sottoreti da 14 host per la LabB LAN.

f. Assegnare l'ultimo indirizzo host di rete (il più alto) nella LabB subnet LAN alla interfaccia G0/1 del router0.

g. Assegnare il secondo (più alto) all'ultimo indirizzo (il secondo più alto) in questa sottorete all’ interfaccia VLAN 1 dello Switch LabB.

h. Configurare gli indirizzi sugli host utilizzando uno degli indirizzi rimanenti nelle rispettive sottoreti.

Rete che si dovrà ottenere:

Step 2: Configurare il router 0.a. Configurare il router router0 con tutte le configurazioni iniziali che avete imparato nel corso finora:

Configurare l'hostname Router: Middle Proteggere le configurazioni dei dispositivi da accessi non autorizzati con la password exec privilegiata

criptata. Fissare tutte le linee di accesso al router utilizzando metodi trattati nel corso. La password appena immessa deve avere una lunghezza minima di 10 caratteri. Evitare tutte le password dalla visualizzazione in chiaro nei file di configurazione del dispositivo.


Configurare il router per accettare solo le connessioni in banda di gestione sul protocollo che è più sicuro di Telnet. Utilizzare il valore 2048 per la crittografia.

Configurare l'autenticazione utente locale per le connessioni di gestione in-band. Creare un utente con il nome (username) … e una password segreta. Assegnare all'utente i più alti privilegi amministrativi.

b. Configurare le due interfacce Gigabit Ethernet utilizzando i valori di indirizzamento IPv4 calcolati ed i valori IPv6 previsti nella tabella di indirizzamento.

Riconfigurare gli indirizzi locali di collegamento con il valore indicato nella tabella. Documentare le interfacce nel file di configurazione.

Step 3: Configurare lo Switch LabB. Configurare lo Switch LabB per la gestione remota attraverso Telnet.

Step 4: configurazione e verifica indirizzamento Host.a. Utilizzare l'indirizzamento IPv4 dal punto 1 e i valori di indirizzamento IPv6 previsti nella tabella di indirizzamento per configurare tutti iPC con il corretto indirizzamento.

b. Utilizzare l'indirizzo locale del collegamento interfaccia del router come gateway predefinito IPv6 degli host.

Step 5: backup della configurazione del router0 al TFTP.a. Completare la configurazione del server TFTP utilizzando i valori di indirizzamento IPv4 del punto 1 e i valori nella tabella di indirizzamento.

b. Backup della running configuration del router0 sul TFTP Server. Utilizzare il file name di default.

ESECUZIONE

Step 1: Determinare la schema di indirizzamento IP.a. Sottorete della rete 192.168.1.0/24 per fornire 30 indirizzi host per sottorete, scartare gli ultimi indirizzi /27 -> Netmask: 255.255.255.224 = 27 11111111.11111111.11111111.111 00000

LAN LabA

b. Assegnare la quarta subnet al switch LabA Network: 192.168.1.96/27 11000000.10101000.00000001.011 00000Broadcast: 192.168.1.127 11000000.10101000.00000001.011 11111HostMin: 192.168.1.97 11000000.10101000.00000001.011 00001HostMax: 192.168.1.126 11000000.10101000.00000001.011 11110Hosts/Net: 30 (Private Internet)

-PC1

Vado su PC1 e riempio anche gli IPv6 in base alla tabella (nb c. Assegnare l'ultimo indirizzo host di rete (il più alto) in questa sottorete all'interfaccia G0 / 0 sul R0 → default gateway 192.168.1.126)



- PC 2

- R0 G0/0c. Assegnare l'ultimo indirizzo host di rete (il più alto) in questa sottorete all'interfaccia G0 / 0 sul Router0.

192.168.1.126


d. A partire dalla quinta subnet, subnettare nuovamente la rete in modo che le nuove sottoreti forniranno 14 indirizzi host per sottorete scartare gli ultimi indirizzi

quinta subnetNetwork: 192.168.0.128/27 11000000.10101000.00000000.100 00000 (Class C)Broadcast: 192.168.0.159 11000000.10101000.00000000.100 11111HostMin: 192.168.0.129 11000000.10101000.00000000.100 00001HostMax: 192.168.0.158 11000000.10101000.00000000.100 11110Hosts/Net: 30

Ottengo con /28Subnets

Netmask: 255.255.255.240 = 28 11111111.11111111.11111111.1111 0000Wildcard: 0.0.0.15 00000000.00000000.00000000.0000 1111

Prima subnetNetwork: 192.168.0.128/28 11000000.10101000.00000000.1000 0000 (Class C)Broadcast: 192.168.0.143 11000000.10101000.00000000.1000 1111HostMin: 192.168.0.129 11000000.10101000.00000000.1000 0001HostMax: 192.168.0.142 11000000.10101000.00000000.1000 1110Hosts/Net: 14 (Private Internet)

Seconda subnetNetwork: 192.168.0.144/28 11000000.10101000.00000000.1001 0000 (Class C)Broadcast: 192.168.0.159 11000000.10101000.00000000.1001 1111HostMin: 192.168.0.145 11000000.10101000.00000000.1001 0001HostMax: 192.168.0.158 11000000.10101000.00000000.1001 1110Hosts/Net: 14 (Private Internet)Subnets: 2 Hosts: 28

LAN LabB

. Assegnare la seconda di queste nuove sottoreti da 14 host per la LabB LAN ( 192.168.0.144/28 )

Vado su PC0 e compilo tutto (ATTENZIONE LA SUBNET DI PC0 E DI TFTP DEVE ESSERE.240 CAMBIARE!!!!) -

f. Assegnare l'ultimo indirizzo host di rete (il più alto 158 ) nella LabB subnet LAN alla interfaccia G0 / 1 del router0 → Default Gateway




- TFTP server (richiesto in Step5, punto a: Completare la configurazione del server TFTP utilizzando i valori di indirizzamento IPv4 del punto 1 e i valori nella tabella di indirizzamento)


Step 2: Configurare il router

COLLEGARE I CAVI CONSOLE DAL PC1 AL ROUTER0 E DAL PC2 ALLO SWITCH LabA (RS232- AUXILIARY) E CONSOLE

Vado su PC1 clicco su terminal ok• Configurare l'hostname Router: Middle• Proteggere le configurazioni dei dispositivi da accessi non autorizzati con la password exec privilegiata criptata• Fissare tutte le linee di accesso al router utilizzando metodi trattati nel corso.• La password appena immessa deve avere una lunghezza minima di 10 caratteri.• Evitare tutte le password dalla visualizzazione in chiaro nei file di configurazione del dispositivo.• Configurare il router per accettare solo le connessioni in banda di gestione sul protocollo che è più sicuro di Telnet. Utilizzare il valore 2048 per la crittografia.• Configurare l'autenticazione utente locale per le connessioni di gestione in-band. Creare un utente con il nome…. e una password segreta di …… Assegnare all'utente i più alti privilegi amministrativi.

(Password: cisco123456)R>enable R#conf terminal R (config)#username ciscoR(config)#hostname MiddleMiddle(config)#ip domain-name ciscoMiddle(config)#crypto key generate rsa% You already have RSA keys defined named Direzione.cisco .% Do you really want to replace them? [yes/no]: yThe name for the keys will be: Middle.cisco..How many bits in the modulus [512]: 2048% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

Middle(config)#serv*mar 1 0:43:11.527: %SSH-5-ENABLED: SSH 1.99 has been enabled

Middle(config)#service password-encryption Middle(config)#security passwords min-length 10Middle(config)#banner motd #only you#

Middle(config)#line console 0Middle(config-line)#password cisco% Password too short - must be at least 10 characters. Password not configured.Middle(config-line)#password cisco123456Middle(config-line)#login


Middle(config-line)#exit

Middle(config)#enable secret cisco123456Middle(config)#line vty 0Middle(config-line)#password cisco123456Middle(config-line)#loginMiddle(config-line)#transport input sshMiddle(config-line)#login localMiddle(config-line)#exit

G0/0 del router0Middle(config)#int g0/0Middle(config-if)#ip address 192.168.1.126 255.255.255.224Middle(config-if)#no shutdown

G0/1 del router0 - f. Assegnare l'ultimo indirizzo host di rete (il più alto 158 ) nella LabB subnet LAN alla interfaccia

Middle#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Middle(config)#int g0/1Middle(config-if)#description RB2Middle(config-if)#ip address 192.168.1.158 255.255.255.240Middle(config-if)#no shutdown

Middle(config-if)#ipv6 address 2001:DB8:ACAD:B::1/64Middle(config-if)#ipv6 address FE80::1 link-local Middle(config-if)#no shutdown Middle(config-if)#exit

Middle#copy running-config startup-config Destination filename [startup-config]? Building configuration...[OK]Middle#

Step 3: Configurare lo Switch LabB - Configurare lo Switch LabB per la gestione remota attraverso Telnet.g. Assegnare il secondo (più alto) all'ultimo indirizzo (il secondo più alto) in questa sottorete all’ interfaccia VLAN 1 dello Switch LabB: ip address 192.168.1.157 255.255.255.240)

per Switch LabB → configure terminal, ok quindi entro nello switch 2 (labB) ( ho precedentemente collegato i cavi console (su PC0))

LabB>en(Password: cisco)

LabB#configure terminal Enter configuration commands, one per line. End with CNTL/Z.LabB(config)#enable secret ciscoLabB(config)#service password-encryption

LabB(config)#line con 0


LabB(config-line)#pass ciscoLabB(config-line)#loginLabB(config-line)#exit

LabB(config)#line vty 0LabB(config-line)#pass ciscoLabB(config-line)#loginLabB(config-line)#exit

LabB(config)#ip default-gateway 192.168.1.158LabB(config)#banner motd #only me#

LabB(config)#interface vlan 1LabB(config-if)#ip address 192.168.1.157 255.255.255.240LabB(config-if)#no shutdown LabB(config-if)#exit

Step 5: backup della configurazione del router0 al TFTP.a. (Completare la configurazione del server TFTP utilizzando i valori di indirizzamento IPv4 del punto 1 e i

valori nella tabella di indirizzamento.)b. Backup della running configuration del router0 al TFTP Server. Utilizzare il file name di default.

Middle#copy running-config tftp Address or name of remote host []? 192.168.1.146Destination filename [Middle-confg]?

Writing running-config...!![OK - 1566 bytes]

1566 bytes copied in 0.194 secs (8072 bytes/sec)Middle#

Appendice1 - Configurazione tabelle di routingConfigurazione di route statiche

Comandi su host Unix: route

Il comando route consente di modificare in maniera statica la tabella di routing.

Il comando ha la seguente sintassi:

route {add|delete|change} [-net|-host] address gateway [metric] .

Esempi:

route add 194.20.21.0 194.20.20.7 2

(route per la rete 194.20.21.0 tramite router 194.20.20.7 con costo 2)

route add -net 194.20.22.64 194.20.20.6


(route per la rete 194.20.22.64 mask 255.255.255.192 tramite 194.20.20.6)

route add default 194.20.20.7

(route di default tramite router 194.20.20.7)

Comandi su router CISCO:ip route

Il comando ip route consente di inserire route statiche su un router CISCO. Il comando ha la seguente sintassi:

ip route address mask router [metric]

Esempi:

ip route 193.43.125.0 255.255.255.0 194.20.20.7

ip route 194.20.144.0 255.255.255.0 Serial0 200

ip route 0.0.0.0 0.0.0.0 Serial3

Comandi che mostrano il contenuto della tabella

Comandi su host Unix: netstat -r

Sugli host Unix, il comando netstat -r consente di esaminare il contenuto attuale della tabella di routing (il comando netstat ha numerose

opzioni tramite le quali si possono analizzare varie informazioni sulla rete e i protocolli).

Esempio:

bash$ netstat -rn

Routing tables

Destination Gateway Flags Refs Use Interface

Route Tree for Protocol Family 2:

default 194.20.20.6 UG 196 18646259 tu0

127.0.0.1 127.0.0.1 UH 2 27417 lo0

….

Comandi su router CISCO: show ip routeSu un router CISCO il contenuto della tabella di routing si esamina con il comando show ip route.

Esempio:

Router#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area


* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is not set

20.0.0.0/30 is subnetted, 1 subnets

C 20.1.1.0 is directly connected, Serial2/0

192.168.0.0/26 is subnetted, 1 subnets

C 192.168.0.0 is directly connected, FastEthernet0/0

R 192.168.2.0/24 [120/1] via 20.1.1.1, 00:00:26, Serial2/0

Legenda:

La prima colonna (R ) indica la provenienza della route ed e' indicata mediante una lettera :

C rete direttamente connessa (la route e' generata dal router)

S statica (deriva dal comando "ip route" )

R La route è stata attivata con il protocollo RIP

D La route è stata attivata con il protocollo EIGRP

O La route è stata attivata con il protocollo OSPF

B La route è stata attivata con il protocollo BGP

La seconda colonna (192.168.2.0/24) indica la rete di destinazione con netmask;

La terza colonna ([120/1] indica [AD/metrica] ) quando presente indica la distanza amministrativa (AD) e la metrica

◦ Per decidere quale route utilizzare, il router utilizza la distanza amministrativa. La distanza amministrativa e' un

parametro che permette di associare un valore di peso, o di importanza ad ogni informazione di routing. La AD è

un numero compreso tra 0 e 255: minore è il valore della distanza amministrativa, migliore è considerato il protocollo di

routing.

Ad esempio RIP ha, di default, un valore di distanza amministrativa pari a 120, mentre IGRP a 100; questo rende IGRP

preferibile rispetto a RIP.

◦ La metrica e' una misura del valore di una route determinata a partire da alcune caratteristiche specifiche della

rete su cui si opera: per il RIP è, ad esempio, il numero di router da attraversare per raggiungere una determinata

destinazione (hop count ), per IGRP e EIGRP sono il delay e bandwidth che misurano invece l'ampiezza di banda e il

ritardo di propagazione per raggiungere una determinata destinazione.

Per un routing di tipo S, nella tabella, troveremo i valori [1/0]. In questo caso si ha una AD pari ad 1 e metrica pari a 0.

La quarta colonna (20.1.1.1) determina il next-hop ovvero a chi deve essere inoltrato il pacchetto per raggiungere la

destinazione indicata nella seconda colonna.

La quinta colonna (00:00:26) , presente nel caso di routing dinamico, indica l'eta’ della route. Alcuni protocolli di routing

dinamico come OSPF e EIGRP permettono a questa di crescere, altri invece ne azzerano periodicamente il valore come RIP

(ogni 30 secondi di default) o IGRP (ogni 90 secondi di default).

La sesta colonna ( Serial2/0) , indica il canale fisico

Esercitazione Class Activity - Design and Build a Small Business Network (Capstone Project)


Objectives Explain how a small network of directly connected segments is created, configured and verified.

Background /Scenario

Note: This activity is best completed in groups of 2-3 students.

Design and build a network from scratch.

Your design must include a minimum of one router, one switch, and one PC.

Fully configure the network and use IPv4 or IPv6 (subnetting must be included as a part of your addressing scheme).

Verify the network using at least five show commands.

Secure the network using SSH, secure passwords and console passwords (minimum).

Create a rubric to use for informal peer grading.

Present your Capstone Project to the class and be able to answer questions from your peers and Instructor!


Appendice2 - ACLhttp://wpage.unina.it/pieroandrea.bonatti/didattica/security/slides-17b.pdf

http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/Cisco/cisco827_htm/cisco827_acl_std.htm <----

https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html#anc5 <---

L'ACL è una raccolta sequenziale di condizioni (comandi o filtri) che autorizzano o meno l’accesso di un pacchetto in transito in un router. Queste liste dicono, in pratica, al router se accettare (“accept”) o rifiutare (“deny”) i pacchetti che gli arrivano. L’accettazione o il rifiuto è basato su specifiche condizioni che vengono applicate sulle interfacce dei router.

Le ACL vengono elaborate dal router in maniera sequenziale in base all’ordine in cui sono state inserite le varie clausole. Appena un pacchetto soddisfa una delle condizioni, la valutazione s’interrompe e il resto delle ACL non viene preso in considerazione. Il pacchetto viene quindi inoltrato o eliminato secondo l’istruzione eseguita (figura 1). Se il pacchetto non soddisfa nessuna delle condizioni viene scartato (si considera che alla fine di un ACL non vuota ci sia l’istruzione “deny any” ovvero nega tutto. In genere l’ultima ACL è detta Implicit Deny any any in quanto nega tutto il traffico di rete ).

Per il modo in cui vengono eseguite le ACL (in sequenza) occorre inserire le condizioni più restrittive all’inizio della lista

Figura 1

Alcune decisioni ACL comprendono:

◦ IP: source address e destination addresses

◦ TCP/UDP porte

◦ ICMP

Comando ACL

https://sistemiereti.com/acl-list/



https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html#anc5

http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/Cisco/cisco827_htm/cisco827_acl_std.htm

http://wpage.unina.it/pieroandrea.bonatti/didattica/security/slides-17b.pdf

Tipi di ACL più utlizzati:

standard (access-list-number 0-99) filtrano solo indirizzi IP SORGENTI (limitati ma veloci). Le ACL standard vengono utilizzate per bloccare o permettere il traffico da una rete o da un host specifico o per negare. Sono utilizzate per filtrare il traffico basandosi solo sull’indirizzo IP sorgente del pacchetto IP.

extended (access-list-number 100-199) filtrano oltre all’indirizzo IP sorgente le ACL extended possono basare le proprie decisioni anche sull’indirizzo IP di destinazione, sul protocollo (TCP, UDP, …), sulle porte sorgente e destinazione ecc.

• Numbered (numeriche), con identificativo basato sui numeri da 1 a 99 e da 1300 a 1999 per le standard ACL, da 100 a 199 e da 2000a 2699 per le ACL di tipo esteso.

• Named (con nome), associate a un nome

Le Standard ACL devono essere configurate il più vicino possibile alla destinazione del pacchetto Le Extended ACL devono essere configurate il più vicino possibile alla sorgente del pacchetto

Modalità di configurazione: 9 Una Numbered Access List è identificata per mezzo di un numero e utilizza solo comandi globali Una Named Access List è identificata per mezzo di un nome e permette l’utilizzo di sotto comandi


ACL standardLa sintassi del comando (per i router Cisco in Global Configuration Mode ) per configurare una o più access-list è:

Router(config)# access-list access-list number {permit|deny} source [source wildcard] [log]

Parametri Descrizione

Access-list-number Numero della ACL. Ne indica il nome e il tipo (es. da 1 a 99 per le ACL IP standard)

Permit Permette l’accesso se le condizioni sono soddisfatte

Deny Nega l’accesso se le condizioni sono soddisfatte

Source Indirizzo sorgente del pacchetto

Souce wildcard (Optional) La wildcard mask che deve essere applicata all’indirizzo sorgente

Log (Optional) Attiva i messaggi di log. Questi comprendono l’indirizzo sorgente, il numero di pacchetti e l’esito del controllo (permit o deny). I log vengono generati a intervalli di 5 minuti.

access-list number è il numero univoco che identifica ogni ACL e che ne definisce il tipo.

Permit e deny definiscono le condizioni (permetti e nega) su come devono essere maneggiati i pacchetti:

◦ permit indica che il pacchetto ha il permesso di utilizzare una o più interfacce specificate di seguito;

◦ deny indica che il pacchetto deve essere droppato

Il termine finale specifica la condizione da soddisfare.



La wildcard mask è un numero di 32-bit diviso in 4 ottetti, simile alla subnet-mask. La differenza sostanziale è che la wildcard-mask indica quali bit di un indirizzo IP devono essere controllati in un’ACL: il valore 0 nella wildcard-mask indica che il bit corrispondentedeve essere controllato, il valore 1 che deve essere ignorato.

-------

Esempio . Si supponga di voler testare gli indirizzi IP da 172.50.16.0 a 172.50.31.0. In questo caso conviene analizzare esclusivamentegli ultimi due ottetti:

Per cui, in questo caso, la wildcard-mask avrà la forma 0.0.15.255.

Si possono anche utilizzare delle abbreviazioni. Nel caso si vogliano controllare tutti gli indirizzi (Cisco li indica con l’IP 0.0.0.0) si puòutilizzare il termine any; per un singolo indirizzo si utilizza il termine host. ( access-list access-list-number {permit|deny} {host|sourcesource-wildcard|any})

-------

E’ necessario associare le ACL all’interfaccia del router, specificando anche la direzione. La sintassi:

Router(config-if)# ip access-group access-list number {in|out}

Parametri Descrizione

Access-list-number Indica il numero della ACL che deve essere legata all’interfaccia.

In|out Specifica se la ACL va applicata all’interfaccia in entrata o in uscita. Una ACL in input fa sì che il router applichi prima la ACL e poi effettui il routing mentre in output prima il routing e poi la ACL. Se non è specificato, per default è out.

per visualizzare ACL

Router#show access-lists

Router# show ip access-list interface FastEthernet 0/0 in

Per eliminare una ACL bisogna utilizzare il comando

Router(config)# no access-list access-list number

tutorial https://www.google.com/search?rlz=1C1FGUR_itIT707IT707&ei=y6qbXJ3iCY2dkwXN5K-oDQ&q=access+list+configuration+in+packet+tracer&oq=packt+accesslist&gs_l=psy-ab.1.1.0i13i5i30j0i8i13i30l9.3617.4377..7964...0.0..0.100.297.2j1......0....1..gws-wiz.......0i71.diflFEN9CEA#kpvalbx=1

Condizione 1 . Il traffico verso il Server0 (presente nella rete 30.0.0.0/8) viene bloccato se giunge

da Laptop0 (10.0.0.10) e permesso se è generato da PC0 (10.0.0.11).

es Router 0- su Fa0/0 : ammette PC0 (.11) ma non Laptop0 (.10)Router0#configure terminal


https://www.google.com/search?rlz=1C1FGUR_itIT707IT707&ei=y6qbXJ3iCY2dkwXN5K-oDQ&q=access+list+configuration+in+packet+tracer&oq=packt+accesslist&gs_l=psy-ab.1.1.0i13i5i30j0i8i13i30l9.3617.4377..7964...0.0..0.100.297.2j1......0....1..gws-wiz.......0i71.diflFEN9CEA#kpvalbx=1



Router0(config)#access-list 1 permit 10.0.0.11Router0(config)#access-list 1 deny 10.0.0.10Router0(config)#interface fa0/0Router0(config-if)#ip access-group 1 out Router0(config-if)#exitRouter0(config)#exitRouter0#show access-lists Standard IP access list 110 permit host 10.0.0.1120 deny host 10.0.0.10

Condizione 2 permettere a rete 10.0.0.0 di accettare tutto il traffico proveniente dalla rete 40.0.0.0 e contemporaneamente bloccare quello da altre retRouter2(config)#access-list 1 permit 40.0.0.0 0.255.255.255

Router2(config)#interface fastEthernet 0/0

Router2(config-if)#ip access-group 1 out

Router2(config-if)#exit

Router2(config)#exit

Router2#show access-lists

Standard IP access list 1

10 permit 40.0.0.0 0.255.255.255

---

ESEMPI DI ACL STANDARD

Esempio

ACL 1 è configurata in modo da:

Permettere il traffico generato dall’IP 10.1.1.1

Negare il traffico generato dagli indirizzi IP che iniziano per 10.1.1.x (dove x può assumere qualsiasi valore)

Permettere il traffico generato dagli indirizzi IP che iniziano per 10.0.x.x (dove x può assumere qualsiasi valore)


L’ACL 1 è poi applicata al traffico in ingresso all’interfaccia Seriale0/0/1 del router R2.

Infine, l’ACL è configurata solo su R2, in quanto è il router topologicamente più vicino alla destinazione del pacchetto. In questo modo si evita che R1 o altri router della catena possano scartare involontariamente traffico autorizzato.

https://www.lifelearning.it/wp-content/uploads/MaterialeDidatticoCorsi/AccademiaDomani/Cisco100/5.1.1BasicIPv4AccessList.pdf

Esempio

Esempio n. 1: permettere il traffico da una determinate rete o sottorete

Questo esempio dimostra come permettere tutto il traffico proveniente dalla rete 172.16.0.0 e contemporaneamente bloccare quello da altre reti (non-172.16.0.0).

access-list 1 permit 172.16.0.0 0.0.255.255

(access-list 1 deny any – implicito, non visibile nella lista)

interface ethernet 0

ip access-group 1 out

interface Ethernet 1


Esempio n. 2: negare il traffico da un host specifico

In questo esempio viene bloccato sull’interfaccia E0 esclusivamente il traffico proveniente dall’host 172.16.4.23.

access-list 2 deny 172.16.4.23 0.0.0.0

access-list 2 permit 0.0.0.0 255.255.255.255

(access-list 2 deny any – implicito, non visibile nella lista)

interface ethernet 0


Esempio

Router2(config)#interface Ethernet 3/0


https://www.lifelearning.it/wp-content/uploads/MaterialeDidatticoCorsi/AccademiaDomani/Cisco100/5.1.1BasicIPv4AccessList.pdf

Router2(config-if)#ip access-group 101 in


Router2(config)#access-list 101 deny ip 30.0.0.2 0.0.0.255 any

ESEMPIO https://sistemiereti.com/acl-list/

Supponiamo di volere bloccare il traffico generato da B e diretto al WEB server e di permettere invece il traffico generato da A e diretto a al WEB Server.

La prima cosa da fare è individuare la direzione del flusso dati. Come puoi vedere i dati entrano dall’interfaccia Fa0/0 di R1, escono da Se2/0; entrano nuovamente nell’interfaccia seriale di R2 e infine escono dall’interfaccia Fa0/0. Definire l’interfaccia di entrata e uscita di ciascun router è di fondamentale importanza.

Il passo successivo consiste nel creare un elenco di regole (rules o policy) per identificare il traffico da analizzare. Nel caso dell’esempio, il gruppo sarà quindi composto dalle seguenti regole:

Il tutto va implementato sui router.

Le Standard ACL devono essere configurate il più vicino possibile alla destinazione del pacchetto

Una volta attivate le ACL, ciascun router verifica per ogni pacchetto ricevuto se esiste corrispondenza con una o più regole. In altri termini, per ciascun pacchetto, il router controlla se Source e Destination IP corrispondono a quelli riportati nelle regole. Se c’è un riscontro (match)il router applica l’azione prevista dalla regola.

Nel nostro esempio:

Le ACL possono essere utilizzate anche per permettere o bloccare il flusso dati di un’intera subnet o porzione di essa. Per far ciò utilizza il concetto di Wildcard Mask.

Es. Si supponga di voler testare gli indirizzi IP da 172.50.16.0 a 172.50.31.0. In questo caso conviene analizzare esclusivamente gli ultimi due ottetti:



Per cui, in questo caso, la wildcard-mask avrà la forma 0.0.15.255.

Esempio 1 permettere il traffico da una determinate rete o sottorete su Router0

Questo esempio dimostra come permettere tutto il traffico proveniente dalla rete 10.0.0.0 e contemporaneamente bloccare quello da altre reti (non-10.0.0.0). Ciò significa che il pacchetto ping entra ma non torna indietro (si vede bene i simulazione)

Router0#configure terminal

Router0(config)#access-list 1 permit 10.0.0.0 0.255.255.255Router0(config)#interface fastEthernet 0/0Router0(config-if)#ip access-group 1 inRouter0(config-if)#exitRouter0(config)#exit

Router0#show access-lists Standard IP access list 110 permit 10.0.0.0 0.255.255.255

Router0#

Esempio 2 ????

Router2(config)#interface Ethernet 3/0

Router2(config-if)#ip access-group 101 in


Router2(config)#access-list 101 deny ip 30.0.0.2 0.0.0.255 any

Esempio 3???

Router2(config)#hostname Router2

Router2(config)#interface FastEthernet 0/0Router2(config-if)#ip access-group 1 inRouter2(config-if)#exitRouter2(config)#access-list 1 permit 10.0.0.10

Esercizio (ACL2 IBELLO.ppt )

Permit only the host 172.16.30.2 from exiting the Sales network.

Deny all other hosts on the Sales network from leaving the 172.16.30.0/24 network.


Esempi Standard IP :

access list 10

10 deny host 10.0.0.1120 permit any (13 match(es))

30 deny any40 deny host 30.0.0.2

Extended IP access list 11010 deny ip 30.0.0.0 0.0.0.255 any

Extended IP access list 10110 deny ip 30.0.0.0 0.0.0.255 any (9 match(es))

Appendice3 - PT 4.2.3.3 Sicurezza (Iot introduction)

“ABC Compnay” sta sviluppando sistemi IoT nel loro magazzino principale. L'obiettivo è inserire alcuni dispositivi di

sicurezza fisica nel magazzino in modo che, quando il magazzino è chiuso, questi dispositivi monitorino le porte e le finestre. Quando viene rilevato un intruso, le luci si accendono e le videocamere Web iniziano a registrare. Per fare

questo vengono prese alcune misure:


• un rilevatore di movimento, una luce diretta, una webcam e un sensore di scatto: quando il rilevatore di

motioin o il sensore di scatto sono attivati, la luce diretta e la webcam si accendono (Aggiungere le condizioni nel server di registrazione).

• Configurare il router del magazzino in modo da richiedere un'autenticazione avanzata per la console e l'accesso remoto.

• Configurare gli ACL per limitare il traffico di rete tra il server di registrazione e il magazzino dell'azienda ABC.

• Configurare il server Web nel provider di servizi cloud

Server : paolo , Paolo123456

Sicurezza:

• You will configure strong authentication for a wireless connection on the WH gateway device:

1. Within the warehouse, click on the WH Gateway device → Authentication to WPA2-PSK (Encryption

Type as AES).

2. Laptop set the SSID to WhGateway1, set Authentication to WPA2-PSK

• Warehouse 2911 router,

Configure Access Lists to Restrict Traffic between ABC Company IoT devices and the Cloud Service Provider Network


◦ On the warehouse router, configure and apply access list 10 to allow traffic from only the DNS server andthe registration server to enter the ABC Company warehouse IoT devices network

◦ On the Cloud Service Provider router, configure and apply an access list 110 to allow traffic from only the ABC Company warehouse IoT devices network to access the registration server:

HTTPS is on


Tools e Sitografiaper il calcolo indirizzi IP v4 : http://jodies.de/ipcalc . IPv6 https://subnettingpractice.com/ipv6_subnetting.html )

https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-110/45843-configpasswords.html

http://www.pearsonitcertification.com/articles/article.aspx?p=102180&seqNum=4

http://www.massimilianosbaraglia.it/documenti/configurazioni/cisco_cli/startup%20interfaces%20routing.pdf cfr http://archivio.tuttoreti.it/

tabelle_cmdrouter.htm (Comandi principali per la configurazione di router Cisco )

ACL http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/Cisco/cisco827_htm/cisco827_acl_std.htm


http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/Cisco/cisco827_htm/cisco827_acl_std.htm

http://archivio.tuttoreti.it/tabelle_cmdrouter.htm

http://archivio.tuttoreti.it/tabelle_cmdrouter.htm

http://www.massimilianosbaraglia.it/documenti/configurazioni/cisco_cli/startup%20interfaces%20routing.pdf

http://www.pearsonitcertification.com/articles/article.aspx?p=102180&seqNum=4

https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-110/45843-configpasswords.html

https://subnettingpractice.com/ipv6_subnetting.html

http://jodies.de/ipcalc

Router&Switch...Consegna indiretta. Se un router non è direttamente collegato alla rete di...

Documents

Transcript of Router&Switch...Consegna indiretta. Se un router non è direttamente collegato alla rete di...