8/4/2019 Reti e dintorni 15
1/15
Reti e dintorniDicembre 2002 N 15
8/4/2019 Reti e dintorni 15
2/15
RETI E DINTORNI N 15 Pag. 2
EEEDDDIIITTTOOORRRIIIAAALLLEEE
ETHERNET nelle MANLutilizzo di Ethernet nelle reti metropolitane (Metropolitan Area Network o
MAN) al posto di SDH/SONET sta riscuotendo molto interesse. Per supportareservizi IP come videoconferenza, video on demand, giochi interattivi e serviziintegrati di voce, video e dati, linfrastruttura basata su Ethernet deve essere perin grado di offrire servizi personalizzati per ogni cliente.La Quality of Service (QoS) basata su IP e le Virtual LAN (VLAN) 802.1q sonodue tecnologie che possono migliorare la gestione della banda Ethernet persoddisfare i requisiti dei servizi di nuova generazione.
A ciascuno la sua classeLa maggior parte dei servizi Ethernet richiedono la suddivisione dei clienti in
alcuni classi di servizio predefinite. I Service Provider possono usare la QoS basata su IP per dividere il traffico in quattro classi distinte, ciascuna con unproprio segmento di banda e un livello di priorit.
La classe con bassa latenza e basso jitter (cio con basso ritardo nellinvio deipacchetti e con una bassa variazione dei ritardi) offre il supporto per applicazioni
in real-time o comunque sensibili ai ritardi e al jitter, come Voice over IP. Lo"scheduling" (cio la gestione delle code) per i pacchetti in questa classe agisce inmodo da ottenere una bassa latenza a priori. Inoltre, lo "shaping" (cio la gestionedel flusso di dati utilizzando tecniche di buffering) mira al raggiungimento di un
basso jitter.La classe a bassa latenza prevede che i pacchetti vengano "schedulati" perraggiungere fin dallinizio una bassa latenza. Questo traffico non richiede shaping,
ma dovrebbe essere limitato a livello di rate in modo da non sottrarrecompletamente la banda al traffico a priorit inferiore.Queste due prime classi sono conformi alla classe di traffico Expedited
Forwarding stabilita dallInternet Engineering Task Force (IETF) nella RFC 2598.
La classe a bassa perdita fa in modo che ai pacchetti venga assegnato un pesomaggiore nello scheduler, il che significa che verr assegnata loro pi banda, esar anche assegnata una soglia pi alta, o pi buffering. Questa classe vienespesso usata per le applicazioni mission-critical. E equivalente al modello IETF
Assured Forwarding (RFC 2597).Nella classe best-effort i pacchetti verranno "schedulati", cio inviati, non appenapossibile. Questa classe usa la banda rimasta e dovrebbe risultare anche la menocostosa per il cliente.
Il supporto delle VLAN IEEE 802.1q offre invece la possibilit di segmentare
logicamente gli utenti e il loro traffico su uninterfaccia condivisa, per esempioGigabit Ethernet o Fast Ethernet.Lo standard IEEE 802.1q descrive due campi che sono stati aggiunti alla trama
Ethernet per identificare il traffico e assegnargli una priorit: lidentificatoreVLAN e i valori di priorit dellutente (802.1p). Il campo VLAN ID grande 12bit, consentendo lidentificazione di un massimo di 4.096 VLAN distinte.
Le trame "trattate" con questo campo vengono identificate dal valore 0x8100 nel
campo Ethernet Protocol Type; segue poi leffettivo Protocol Type.Usando lo strumento delle VLAN, i Service Provider possono offrire servizi
personalizzati assegnando un identificatore univoco per ogni cliente.
8/4/2019 Reti e dintorni 15
3/15
RETI E DINTORNI N 15 Pag. 3
DESCRIZIONE GENERALE DELLACOSTRUZIONE DI UNA WEB-FARM A
PI LIVELLI PROTETTI
LOperazione pi comune per realizzare una rete a pistrati protetti, che separi gli Apparati di Front-End (es:Web Server ),da Apparati di Applicazione ( es: Video-Streaming Server ) e da Apparati di Back-End ( es:
Host, DB SQL ), dividere con apparati di rete attivi ivari strati che la costituiscono, creando delle VirtualLan per ogni servizio di cui si dispone, inserendovi unfirewall per la protezione in ogni strato.
In questo modo, ogni strato provveder singolarmentealla protezione da eventuali intrusioni dei vari apparatidi Front e Back-end ed impedir laccesso alla rete
privata di eventuali intrusori.La necessit di inserire pi apparati proposti allaprotezione, si rende necessaria per aumentare il livellodi protezione, sia verso la rete privata che verso gliapparati esposti allesterno e anche per eliminare
problematiche di fault tollerance.Risulta pertanto necessario adoperare architettureparallele per raggiungere la scalabilit richiesta. Anchese la richiesta delle prestazioni globali pu essere
raggiunta con un solo firewall, pi firewalls sono perspesso necessari per garantire una migliore ridondanza.Il problema che sorge per quello di evitare i percorsi
asimmetrici: vero che si ottiene un load-balancing,ma anche vero che tale bilanciamento avviene ascapito della sicurezza.Volendo rimarcare questo punto, nella situazioneriportata in figura, la sessione TCP in oggetto
verrebbe bloccata dal firewall che riceve il SYN-ACKsenza aver visto passare il pacchetto di richiesta diSYN.
Occorre quindi predisporre un Egress-Ingress Layer in
grado di ricordare dove passato il primo pacchetto diquella sessione specifica.
Per risolvere questa problematica, necessarioimplementare un load-balancing, che memorizzi il
percorso effettuato per la connessione e restituisca lasessione a chi la originalmente la inoltrata.Un Load balancing pu anche effettuare bilanciamento
per pi protocolli, redirigendo la sessione a pi
server,in modo da bilanciare il carico su gli apparatifinali.La funzionalit di Content Switching erogata dai
load-balance, aumenterebbe la qualit e la velocit delservizio erogato dagli eventuali server applicativi.Nellipotesi che vi siano pi di un Server Applicativo
che eroghi gli stessi servizi o contenuti, sarebbe possibile, creare un unico indirizzo-IP (Virtual-IP),dove gli utenti indirizzino le loro richieste, mentre il
Vip effettuer il bilanciamento delle sessioni ( serverload-balancing ), in modo da sfruttare al megliolutilizzo in percentuale dei server.
E opportuno rilevare che la scelta del criterio di bilanciamento e selezione del server, oltre a essere
vincolata dagli impatti sul corretto funzionamento omeno delle applicazioni client coinvolte, pu essereottimizzata sulla base del contesto di rete.Ad esempio per traffico HTTP che non richieda la
persistenza delle sessioni TCP/IP del client sullo stessoserver reale, il criterio di bilanciamento round robin,oltre ad essere il pi semplice da implementare,
anche quello meno ottimizzato, specialmente nel casodi server Web che si differenzino nettamente tra loroper le prestazioni offerte.
Per questo tipo di traffico, criteri di bilanciamento piefficaci sono:
- Least ConnectionsLa nuova sessione client inviata sul server con ilminor numero di connessioni attive. Tipicamente
questo criterio viene integrato con lopzioneWeighting, che introduce la possibilit di fornire pesidiversi ai server del gruppo, in ragione della loro
diversa capacit in termini prestazionali. In questomodo la nuova sessione client verr inviata al servercon il minor numero di connessioni normalizzate,
permettendo un bilanciamento pesato delleconnessioni tra i server del gruppo. Unulterioreopzione configurabile quella del Max. Connections,
che consente di limitare il massimo numero di
connessioni attive su un real server, per nonpenalizzare il livello di servizio degli utenti gi attestati
sul server.
- Response TimeQuesto criterio adotta la misurazione dei tempi dirisposta dei server sulla base degli healthcheckeffettuati ad intervalli regolari (configurabili), per la
definizione del peso da assegnare ad ogni server reale.Pi veloce il tempo di risposta di un certo server
reale, maggiore il suo peso, e maggiore sar ilnumero di connessioni che gli vengono assegnate.Il criterio adottato preferibilmente Least Connections,
poich richiede meno risorse, e distribuisce il carico suiserver (grazie alloperazione weighting) sulla basedelle capacit prestazionali conosciute a priori.
8/4/2019 Reti e dintorni 15
4/15
RETI E DINTORNI N 15 Pag. 4
Esempio di Bilanciamento per Server:
Nota: Lutente effettua la richiesta http direttamente al virtual IP, questultimo a seconda lalgoritmo dibilanciamento distribuisce il carico, inviando la richiesta ad uno dei server
Inoltre, per aumentare le perfomance e limitare
lutilizzo dei Server Applicativi ( solo per server httped ftp ), e possibile utilizzare la funzionalit diCaching, che mantengono in un database interno a gli
apparati, le pagine html o contenuti ftp, di cui vengonomesse a conoscenza.Esistono due modalit per effettuare il caching, la
prima il Trasparent-Caching,la seconda modalit il Proxy Caching.Nella modalit Trasparent Caching, tutto il traffico http
ed ftp, tramite delle policy di redirect applicate negliapparati attivi della rete, dirigono tutto il traffico httped ftp alle cache, le quali se al loro interno hanno il
contenuto richiesto, lo inviano allutente, altrimenti
effettueranno il download della pagina o del contenutorichiesto, lo invieranno allutente e sar messo
successivamente a disposizione di altri utenti che nefaranno richiesta. Nella seconda modalit, Proxy Caching, solitamenteusata per la connessione ad Internet degli utenti,sfruttala possibilit di configurare le cache come proxy-server, le richieste http ed ftp, vengono inviate
direttamente dallutente alle cache, le quali svolgono lestesse operazione sopra citate.Nellipotesi che si usino le Cache Engine come Proxy-
Server, vi la possibilit di introdurre la funzionalitdi Content Filtering, ossia la possibilit di filtrare e
bloccare i contenuti richiesti dallutente, come siti nonattendibili o proibiti ecc.
La modalit di Content Filtering, prevede lattivazionedi un abbonamento Web-Sense con un sito Web che
eroghi questa funzionalit.I siti che erogano il servizio di web-sense, hanno undatabase aggiornato giornalmente dove vi la lista dei
siti non attendibili o con delle restrizioni, comepossono essere i siti porno, con questa funzionalit lacache, verificher ogni volta se il contenuto richiesto
dallutente compreso nella lista, ed in caso positivobloccher la richiesta di sessione.Di norma gli apparati cache vengono inseriti, tra il
firewall ed eventuali web-server che espongono serviziverso internet, la quale avr il compito di effettuare ilcaching per gli utenti internet, in modo da limitare le
connessioni dirette verso i web-server.
Nellipotesi che nella web Farm vi siano dei Server chenecessitano di connessioni protette (https), per
lattivazione di particolari connessioni o perlautenticazione degli utenti, per limitare le sessioni aloro carico ed aumentare le performance diquestultimi, possibile inserire un apparato che abbiala funzionalit di SSL-Accelerator.Questi tipi di apparati forniscono funzionalit di
Client/Server Authentication, Key Exchange, SSLHandshake, Http to Https session.Un SSL-Accelerator pu sia, trasformare una comune
sessione http in una sessione protetta https, siamantenere una connessioni https nativa tra i client ed i
server fungendo da terminatore della sessione per lunao laltra parte, in modo da svincolare i server dalmantenere le sessioni continuamante attive con tutti iclient.
Nelle figure seguenti riportiamo gli esempi relativi alle due modalit di caching:
Esempio della modalit Traparent-Proxy:
8/4/2019 Reti e dintorni 15
5/15
RETI E DINTORNI N 15 Pag. 5
2hit
Alteon ACC Cache(s)
miss
Alteon L4-7 Web Switch
Origin Web Servers
50% 50%
1
3
3
Internet
2
Transparent Proxy Nota: lutente richiede una pagina http ( 1 ),la sessione http viene catturata dal wsm che la dirige verso le cache (2 ), le quali soddisfano la richiesta, se la pagina gi presente nel database, la inviano al richiedente ( 3 ),altrimenti provvedono alla richiesta della pagina e successivamente la inoltrano allutente che ne ha fattorichiesta ( 3 )
Esempio della modalit reverse-proxy:
Nota: lutente richiede una pagina http ( 1 ) ,la sessione http viene indirizzata direttamente alla cache engine ( 2), le quali soddisfano la richiesta, se la pagina gi presente nel database, la inviano al richiedente ( 3 ),altrimenti provvedono alla richiesta della pagina e successivamente la inoltrano allutente che ne ha fattorichiesta ( 3 ).
Esempio di redirezione di una sessione http verso un SSL-Accelerator, che la trasforma in una sessione https:
8/4/2019 Reti e dintorni 15
6/15
RETI E DINTORNI N 15 Pag. 6
Il client attiva una sessione http verso il server, la sessione viene catturata da un apparato web switch che laredirige all SSL-Accelerator, il quale attiva una sessione https verso il client per lautenticazione, ed unasessione http verso il server
Di seguito riportiamo uno schema di esempio di una rete a 3 livelli:
M. Guillaume
8/4/2019 Reti e dintorni 15
7/15
RETI E DINTORNI N 15 Pag. 7
VOIP su routers Cisco
Fino adesso abbiamo sentito parlare di Voce su IP ma
non avevamo tanto bene le idee chiare sulla suaeffettiva integrazione e implementazione nelle reti acommutazione di pacchetto. Come tutti sappiamo i
principali sistemi di comunicazione tradizionale dellavoce si basano sulla commutazione di circuito. Laconnessione tra questi sistemi (Pbx o centralitelefoniche) pu avvenire con collegamenti analogici e
collegamenti digitali:
collegamenti analogici :
circuiti a due fili : FxS e FxO
circuiti a quattro fili : E&M
collegamenti digitali :
ISDN Basic
ISDN Pri
Linteroperabilit tra i centralini non possibile poich
ogni produttore ha sviluppato un proprio protocollo perla connessione dei vari sistemi. E stato creato cos unprotocollo chiamato QSIG (Q Signalling), che potesseinteroperare con i diversi sistemi. Questo protocolloche si basa sulle specifiche di ITU-T Q.9xx offre
servizi base, servizi supplementari ed compatibilecon lo standard ISDN, permettendo cos lacomunicazione tra centralini Pbx e la rete pubblica
PSTN.
Il protocollo QSIG pu: Interconnettere dispositivi sviluppati da
diversi produttori
Offrire servizi base per la comunicazione trapbx
Opera in configurazione a stella o maglia Opera su centrali telefoniche pubbliche e
private Non impone restrizioni sul piano di
numerazione
Nonostante sono state sviluppate in seguito diverseversioni del protocollo Qsig tuttavia possibile chealcuni sistemi non siano interoperabili .
Andiamo adesso a vedere come vengono integrati iservizi di fonia sulla rete a commutazione di pacchetto.
Interfaccia analogica FXS : serve per collegare untelefono analogico , un fax o un modem.Interfaccia analogica FXO : serve per collegare un
canale voce al PBX o CO.Interfaccia analogica E&M : serve per collegare uncanale voce al PBX
Interfaccia digitale ISDN BRI NT/TE : serve percollegare o un telefono Isdn o due canali voce al PbxInterfaccia digitale ISDN PRI: serve per collegare 30
canali voce al PBX
Cisco ha sviluppato questo tipo di interfacce che sono
supportate nei routers dalla serie 1700 fino a 7200.
In questo modo i routers possono diventare deigateway telefonici.
Lintegrazione tra Pbx e routers pu avvenire indiverse modalit di configurazione:
Voip con transparent CCS frame forwardingVoip con protocollo Qsig
Voip con protocollo ETSI (IDSN)
La differenza sostanziale quella con il TransparentCCS:Questa modalit permette di trasportare in modotrasparente i canali voce tradizionali a 64Kb con la
limitazione che le sessioni Voip sono sempre attive, equindi si occupa permanentemente la banda sulcollegamento. La configurazione simula dei
tradizionali trunk di giunzione tra i centralini. Sulcanale di segnalazione D viaggiano alcuni servizi
proprietari del Pbx che vengono trasportatitrasparentemente sul collegamento.Questa funzionalitsi chiama clear-channel.
Gli altri due tipi di configurazione sono normaliconfigurazioni di Voip.
Isdn switch-type primari-net5 per la configurazioneETSI
Isdn switch-type primari-qsig per la configurazioneQSIG
La comunicazione della voce attraverso i routersavviene con il protocollo standard H.323 , la qualetrasporta i pacchetti IP codificati in voce.
Le schede descritte prima hanno dei DSP (DigitalSignal Processor) che decodificano i segnalianalogici/digitali e li trasformano in pacchetti IP.
I pacchetti IP possono successivamente esserecompressi a secondo della codifica usata.
Codifiche :- G.711ulaw PCM 64000 bps (US)- G.711alaw PCM 64000 bps (Europa)- G.726 ADPCM 32000 bps- G.728 LDCELP 15000 bps- G.729 CS-CELP 8000 bps- G.723 ACELP 5300 bps
Il protocollo H.323 composto da diversi strati trasporta
la voce con il protocollo non connesso UDP.
Ogni pacchetto voce avr in pi loverhead di :
Header IP: 20ByteHeader UDP: 12 byte
Header RTP: 8 Byte pi il payload della voce.
Prendiamo un esempio pratico:Per impostazione predefinita Cisco costruisce duecampioni di voce G.729 ogni 10ms, generando in totale50 pacchetti IP al secondo, ne consegue quindi che si
8/4/2019 Reti e dintorni 15
8/15
RETI E DINTORNI N 15 Pag. 8
300
301 200
201
10.1.1.1 10.1.1.2
R1 R2
Inbound
POTS Call
Outbound
Voip Call
Inbound
Voip CallOutbound
POTS Call
avr un overhead di 16000 bps e un carico utile parialla met, e cio 8000 bps.
Si avr cos che per una codifica G.729 un canale voceIP occuper 24000 bps di banda al netto del protocollo
di trasporto di livello 2 (header
PPP,HDLC,ATM,Ethernet ecc.), che a secondo diquello che si usa aggiunger ancora overhead al
pacchetto.In definitiva una conversazione VoIP su protocollo ditrasporto HDLC occuper 25500 bps
E possibile ridurre lintestazione da 40 a 2 o 4 bytecon il comando ip rtp header-compression sottolinterfaccia seriale. Questo ha unenorme beneficio neicollegamenti a bassa velocit.
Per dare priorit ai pacchetti voce nella rete IP si usanormalmente una tecnica chiamata LLQ (Low Latency
Queuing).Questa tecnica assegna con priorit assoluta una certabanda ( in base alle chiamate voce) alle code in uscitanellinterfaccia di uscita dei pacchetti VoIP.
La configurazione la seguente:
Creo prima una classe che selezione un certo tipo di
trafficoclass-map match-allvoip
match access-group 2
identifico il traffico voce
access-list permit udp any any range 16384 32576
Configuro la policy per assegnare la priorit alla voce
policy-mapvoceclassvoippriority 200( in Kbps)
class class-defaultfair-queue
assegno la policy sullinterfaccia di uscita della VoIP.
service-policy outputvoce
Configurazione Voip
Prendiamo un caso molto probabile di collegamento
voce tra due routers:
Il collegamento sulla seriale IP punto-punto, leinterfacce sui routers sono FXS ,la configurazione sar:
R1#dial-peer voice 1 potsdestination-pattern 300
port 1/0/0
dial-peer voice 2 pots
destination-pattern 301port 1/0/1
dial-peer voice 3 voipdestination-pattern 2..session-target ipv4 :10.1.1.2
R2#dial-peer voice 1 pots
destination-pattern 200
port 1/0/0
dial-peer voice 2 potsdestination-pattern 201port 1/0/1
dial-peer voice 3 voipdestination-pattern 3..
session-target ipv4 :10.1.1.1
Il comando dial-peerpots identifica i dispositivi ditelefonia o trunk verso i PBX
Il comando dial-peer voip identifica la sessione IPdove inviare i pacchetti voce.
Il comando destination-pattern identifica ladestinazione delle cifre digitate.
Per meglio comprendere i flussi di chiamataschematizziamo il circuito di chiamata:
Le chiamate voice over Ip attraverso i gateway devonoavere un percorso statico fino alla destinazione. Questipercorsi sono chiamati come nello schema seguente e il
destination pattern usato per guidare i pacchetti adestinazione.
Allarrivo di una chiamata voce ( inbound Pots call) ilrouters cerca un dial-peer voip su cui fare match. I
digit sono rappresentati dalle cifre da 0 a 9, da lettere
da A a D * e #. Il segno . rappresenta identificauna wildcard, qualsiasi cifra . Il routers non appena
identificata la cifra nel destination-pattern apre lachiamata Voip al router selezionato inviando il resto
8/4/2019 Reti e dintorni 15
9/15
RETI E DINTORNI N 15 Pag. 9
delle cifre inserite nel destination-pattern , altre cifreselezionate successivamente saranno scartate.
Se per esempio abbiamo un destination-pattern 57..e digitiamo 5769800 il router invier le cifre 5769scartando le cifre 800
Quando un router riceve una chiamata Voip (inboundcall Voip) cerca un dial-peer pots su cui fare match.
Il router una volta identificato il pots dial peer, scarta lecifre inserite nel destination-pattern e invia il restodelle cifre equivalenti alla wildcard al dispositivotelefonico.Esistono metodi per identificare e abbreviare le cifre:
- . qualsiasi cifra- [ ] range di cifre- T il router memorizza tutte le cifre prima
del timeout
- + indica che le cifre precedenti sono stateinserite pi di una volta.
- Per configurare il supporto dei modem su unachiamata VoIP bisogna configurare il dial-peer con la funzionalit modem passthrough.
Questa funzionalit fa si che il router si comporta damodem relay , riconoscendo se una chiamata sia voce o
modem. Se la chiamata voce , applica il codec G.729 per la compressione , se modem non applica lacompressione permettendo il trasporto dati.
Nella configurazione tra centralini un altro comandoimportante isdn provocol-emulate [network | user]
Questo comando definisce se linterfaccia isdn sulrouter (sia BRI che PRI) a cui connesso il Pbx ditipo Master o SlaveSe il centralino configurato come Slave linterfacciasul router deve essere networkSe il centralino configurato come Master linterfacciasul router deve essere user
L. Natale
8/4/2019 Reti e dintorni 15
10/15
RETI E DINTORNI N 15 Pag. 10
VPN
Per realizzare le proprie WAN, le aziende sirivolgevano ad un operatore di rete pubblico per potere
affittare delle linee dedicate al fine di realizzare unapropria rete privata.
La Figura mostra un semplice scenario in cuiunazienda con un quartier generale e due sedi
decentrate ha realizzato la propria WAN tramitelaffitto di linee dedicate. Il traffico dati tra le varie sediscorre solo sulle linee dedicate le quali, essendo ad uso
esclusivo dellazienda che le affitta, sono sicure, nelsenso che nessun utente non autorizzato pu venire aconoscenza delle informazioni trasmesse. Questa
soluzione per molto costosa sia perch laffitto ditali linee dipende da quanto esse siano lunghe, sia perch il loro costo fisso ed indipendente dal fattoche lazienda le utilizzi per il 10% o per il 100% deltempo.Un notevole progresso nella realizzazione di WAN
aziendali stato raggiunto grazie allintroduzione di
tecnologie di livello 2 quali ATM o Frame Relay (FR).Queste due tecnologie utilizzano entrambe il concetto
di circuito virtuale: in base alle richieste di un cliente,un fornitore di servizi ATM o FR configura la propriarete in modo che tra due punti, ad esempio due sedi
della rete aziendale, il traffico dati fluisca condeterminate caratteristiche concordate in anticipo colcliente mediante accordi sul livello del servizio (SLA,Service Level Agreements). Il cliente ha bisognosoltanto di linee dedicate di breve lunghezza, checonnettano le reti delle varie sedi ai Point of
Presence (POP), ovvero a punti di accesso alla rete delfornitore del servizio ATM o FR, geograficamente
sparsi sul territorio. In tal modo, il cliente non paga pilaffitto delle linee in base alla loro lunghezza, ma pagalaccesso alla rete ed il livello di servizio desiderato. LaFigura seguente rappresenta levoluzione dello scenario
precedentemente descritto, dove le linee dedicate sonostate sostituite dalle linee di accesso ai POP, e lanuvoletta rappresenta la rete del fornitore di servizi di
rete.
Le tecnologie ATM e FR introducono un concetto
importante: la condivisione della banda passante. Labanda passante di un circuito virtuale pu cambiare neltempo a seconda dellintensit del traffico dati che
scorre sulla rete istante per istante. Il fornitore del
servizio ATM o FR pu quindi dare delle garanziesulla banda minima, media e di picco dei circuiti
virtuali, e pu condividere parte della banda passantetra pi circuiti virtuali. A differenza delle lineededicate, in questo caso la banda viene megliosfruttata.Laffermazione di internet come architettura di rete presente ovunque ha subito posto il seguente
interrogativo: si pu utilizzare internet per poterrealizzare una WAN aziendale, ovvero interconnetterele sedi aziendali mediante dei collegamenti virtuali
instaurabili dinamicamente e quindi non pi dedicati,che siano sicuri e con certe garanzie sulla qualit del
servizio? La risposta a questo quesito risiede tutta nellereti private virtuali (VPN, Virtual Private Network).
Motivazioni sulluso delle VPN
Lutilizzo delle VPN consente quindi di realizzare dellereti private sfruttando uninfrastruttura di rete pubblica
o condivisa. I vantaggi che ne traggono sia i clienti chei fornitori di un servizio VPN sono molteplici. I clienti possono estendere le funzionalit delle proprie reti
aziendali anche a siti sparsi su territorio oppure adutenti che si collegano ad esse per via remota o tramitereti di terze parti. I vantaggi economici che se ne
traggono sono molteplici, rispetto allutilizzo di WANrealizzate tramite linee dedicate: il fornitore pu
condividere le stesse risorse della propria rete dorsale(banda, collegamenti ridondanti) tra pi clienti.Il vantaggio principale nellutilizzare le VPN anzichdelle linee dedicate fondamentalmente un vantaggio
economico di cui beneficiano sia i clienti che i fornitoridel servizio. Laltro importante aspetto la flessibilitdi gestione e di fornitura del servizio.
Infatti, il fornitore spesso incaricato di gestire gran parte della complessit richiesta dalle VPN e ci gliconsente di differenziare i servizi ai vari clienti. Dalloro canto, i clienti sono avvantaggiati perch possono
rinegoziare dinamicamente dei parametri di rete per leloro VPN, pagando le risorse che utilizzano in pi, equindi non sono pi vincolati da contratti rigidi, comeavveniva nel caso delle linee dedicate.
Principali modelli usati nelle varieimplementazioni
Le VPN possono essere realizzate in diversi modi e condiverse architetture di rete; ciascuna implementazione
pu preferire, ad esempio, una rete switched ad una ditipo routed, oppure pu aumentare la complessit dellarete dei siti dei clienti per alleggerire quella della rete
dellISP.
8/4/2019 Reti e dintorni 15
11/15
RETI E DINTORNI N 12 Pag. 11Rivista interna Tecnonet SpA
VPN CPE-Based:
Col termine VPN CPE-based ci si riferiscead un approccio nella realizzazione di una
VPN in cui la complessit configurazione e
gestione delle VPN risiede in gran parte neidispositivi CE (anche detti CPE), appartenenti
alla rete del cliente. In particolare i dispositiviCE si fanno carico di gestire la topologiavirtuale ed infatti essi costituiscono le
terminazioni estreme dei collegamenti virtualiche connettono i vari siti. In tal modo la retedellISP viene alleggerita dallonere della
gestione delle VPN, consentendo diconcentrarsi maggiormente su come fornire laconnettivit tra i vari PE con una certa banda e
con certe garanzie di qualit del servizio (QoS,Qualit of Service).
Nel caso in cui il cliente volesse averecompleta autonomia nella gestione della
propria VPN (si parla in tal caso di customer provisioned VPN) egli dovr ricorrere a
personale qualificato in grado di configurare idispositivi CE; in alternativa egli pu delegaretale compito al proprio ISP (providerprovisioned VPN).
VPN Network-Based:
In un approccio network-based, il servizio
VPN viene completamente fornito dallISP,nascondendo lesistenza della VPN al clienteche lavora come in una normale rete
aziendale. LISP investe nellacquisto di picomplessi e costosi dispositivi PE, per potersupportare le VPN. Il cliente, affidando tuttala gestione della propria VPN allISP, purisparmiare sullacquisto dei dispositivi CEche saranno meno costosi rispetto al caso
precedente, in quanto non dovranno gestireloro le VPN.
LISP, in base alle esigenze del cliente,
configurer la propria rete per fornirgli ilservizio VPN desiderato, e la topologiavirtuale scelta; questultima sar costituita da
una rete di collegamenti virtuali aventi cometerminazioni i dispositivi PE, i quali si fannocarico di creare e distruggere i collegamenti
virtuali poich la topologia virtuale pucambiare dinamicamente nel tempo.
VPN Peer-Model:
Nel modello peer (paritario), il cammino
verso il quale verranno instradati i pacchettiappartenenti ad una VPN, viene stabilito da unalgoritmo di routing che coinvolge tutti i nodi
attraversati dal cammino stesso, ovverociascun nodo paritario con i suoi nodiadiacenti. Tutti i nodi rete dellISP (sia interni
che periferici) quando inoltrano i pacchettiVPN sanno distinguere il loro colore,ovvero la VPN a cui appartengono.
Il vantaggio nellusare questo modello
quello di avere un instradamento efficiente ed
una maggiore scalabilit, mentre lo svantaggio principale dovuto alluso di nodi VPN-
aware, ovvero in grado di distinguere i pacchetti (sia di dato che di controllo) dellevarie VPN, anche nei nodi interni alla rete
dellISP. Di conseguenza, la complessit nellagestione delle VPN risiede in tutti i nodi dellarete. Esempi di modelli di tipo peer sono le
reti tradizionali in cui viene effettuato ilrouting IP e le reti MPLS.
VPN Overlay-Model:
Al contrario, il modello overlay(soprastrato), nasconde i dettagli della reteinterna dellISP, ovvero i nodi costituenti la
8/4/2019 Reti e dintorni 15
12/15
RETI E DINTORNI N 12 Pag. 12Rivista interna Tecnonet SpA
rete interna non distinguono n il colore dei pacchetti VPN, n distinguono i pacchetti
VPN da quelli non VPN; essi fungonoesclusivamente da nodi di attraversamento(cut-through). I nodi VPN-aware saranno
confinati nel bordo periferico della rete
dellISP, mentre i nodi interni saranno VPN-unaware. In altre parole, i nodi periferici
sono paritari tra loro ma non lo sono con inodi interni. Per i nodi periferici la rete interna opaca: essi sanno che possono raggiungere
tramite essa i loro paritari, ma non conosconoil cammino che intraprenderanno i pacchetti alsuo interno.
Questo fatto pu portare ad avere uninstradamento non ottimo nella rete internaquando un nodo periferico deve raggiungereun suo paritario. Per ovviare a ci, tutti i nodi
periferici richiedono una maglia diconnessioni punto-punto, utilizzati sia per idati che per il routing. Ci porta ad avere un
notevole numero di collegamenti tra i nodiperiferici ed un notevole scambio di messaggidi controllo, e di fatto limita il numero di nodiperiferici che possono essere usati, con effettinegativi sulla scalabilit. Un esempio tipico di
modello overlay la tecnica del tunneling.
Riassumendo:
Tipi di VPN
Il servizio di rete privata virtuale pu essere realizzato
in diversi modi e con diverse architetture di rete e ci spesso causa di confusione sulle discussioni riguardantile VPN.
Sono molte infatti le soluzioni proposte, le qualifocalizzano la loro attenzione su alcuni requisiti
funzionali, quali ad esempio la sicurezza dellecomunicazioni, la scalabilit dellarchitettura, lasemplificazione della complessit di gestione e cos
via. Ci ha portato a soluzioni per le VPN spesso
mirate a soddisfare delle esigenze particolari deiclienti, in cui, ad esempio, viene curata la segretezza
dei dati ma non la qualit del servizio, oppure laflessibilit di gestione a scapito dellefficienza. Diconseguenza, molte delle soluzioni VPN esistenti non
sono compatibili tra di loro, e possono essere applicatesolo in un singolo ISP.Questo fatto ha creato un forte interesse per le VPN
basate sul protocollo IP, in modo da ricercare deglistandard che consentano di creare delle soluzioni VPNfunzionanti anche tra diversi ISP.
I vari tipi di VPN appartengono a delle categorie che possono essere localizzate ad un ben preciso livello
nella pila protocollare TCP/IP dove ciascun livello dominato da diversi protocolli e architetture.A livello fisico si trovano le reti private, non virtuali,realizzati mediante linee dedicate. La principale
tecnologia utilizzata a questo livello quella dei canalidiretti analogici o numerici (CDA e CDNrispettivamente).
A livello data-link le architetture maggiormenteutilizzate sono ATM (Asynchronous Transfer Mode) eFrame Relay.
A livello rete il protocollo IP ad essere predominante.I collegamenti virtuali sono realizzati mediante latecnica del tunneling e per poterli dotare di sicurezza o
di qualit del servizio, si utilizzano dei protocolli, qualiIPSec (IP Security) e RSVP (Reservation Protocol).Di recente sono state proposte anche delle soluzioni
ibride e il caso pi rappresentativo costituito dalprotocollo MPLS (Multi-Protocol Label Switching), ilquale riesce a combinare delle caratteristiche comuni
sia allarchitettura IP che a quella ATM, e per questomotivo si pone a met tra il livello rete ed il livellodata-link.
A livello trasporto ed applicazione sono presentidiversi protocolli che consentono di realizzare delleconnessioni sicure tra applicazioni software. Tuttavia le
VPN realizzate con protocolli a questi livelli non sono
molto comuni.
VPN a livello data-link: ATM e Frame Relay
Le VPN a livello data-link sfruttano per la connettivit
tra siti uninfrastruttura di rete pubblica di tiposwitched (commutata). Il cuore di tale rete costituito infatti da switch ATM o FR, mentre i
dispositivi periferici sono costituiti da router, in gradodi comunicare col protocollo ATM o FR verso la rete
commutata, e col protocollo utilizzato dal cliente,spesso IP, verso le reti delle varie sedi del cliente.Il punto di forza di queste tecnologie che si possono
creare i circuiti virtuali in maniera estremamenteflessibile. Il fornitore del servizio ATM o FR pustipulare degli accordi sul livello del servizio (SLA),che garantiscono una percentuale sulla consegna dei
8/4/2019 Reti e dintorni 15
13/15
RETI E DINTORNI N 12 Pag. 13Rivista interna Tecnonet SpA
frame di livello 2 del cliente. Spesso il cliente pusuperare il cosiddetto CIR (Committed Information
Rate), ovvero la velocit con cui invia i dati verso larete del provider, quando la rete non congestionata. Nonostante la presenza di utili meccanismi quali il
CIR, la rete ATM o FR molto conservativa; poich
occorre sempre garantire una certa banda nei circuitivirtuali, i casi in cui si pu sfruttare la banda libera
sono pochi. Ci non accade per esempio nei modelli ditipo best-effort quali internet. ATM e FR fornisconoquindi dei circuiti virtuali di alta qualit e ci risulta
essere la principale alternativa vantaggiosa rispettoalluso di linee dedicate.Gestire la configurazione dei circuiti virtuali,
specialmente nel caso in cui se ne vogliano aggiungeredi nuovi, risulta essere problematico e richiede particolare attenzione da parte del fornitore del
servizio. Infatti, determinare in maniera intelligente i percorsi fisici che devono seguire i circuiti virtuali
permette di ottenere maggiori prestazioni dalla rete.
MPLS-VPN
(Per i dettagli sulla tecnologia MPLS vedi larticolopubblicato sul n 13 di Reti e Dintorni).
Una funzionalit importante di MPLS che, una voltache tutti i LSR si sono scambiati le etichette e chequindi i vari LSP sono operativi, i LSR intermedi, per
instradare correttamente i pacchetti, esaminano soltantole informazioni contenute nelletichetta e non ilcontenuto del pacchetto. Per questo motivo i LSP di
MPLS vengono considerati una forma di tunnel, erappresentano quindi la realizzazione pratica deicollegamenti virtuali che connettono i LSR periferici.
Di conseguenza, il contenuto dellintero pacchetto,compreso il preambolo IP, pu venire cifrato senzaripercussioni sullabilit della rete di inoltrare i
pacchetti, garantendo quindi la sicurezza.Il traffico tra le varie VPN pu essere differenziatousando quindi dei tunnel LSP separati, e ciascun LSP
pu essere dotato di una certa qualit del servizio.MPLS utilizza delle tecniche che si rifanno allatecnologia Diffserv per differenziare il traffico dati
allinterno della rete.
VPN A LIVELLO RETE
Il protocollo di livello rete pi usato attualmente il protocollo IP. A differenza di architetture emergenti,
come MPLS, IP largamente utilizzato dalle reti dimolti ISP; risulta quindi molto attraente realizzare ilservizio VPN utilizzando tale protocollo.
TunnelingLa tecnica del tunneling consiste in un imbustamentoorizzontale anzich verticale: mentre limbustamentoverticale consiste nellimbustare un pacchetto di livello
i in uno di livello i-1, quello orizzontale, ovvero iltunneling, consiste nellimbustare un pacchetto dentroun altro pacchetto dello stesso livello. La Figuraseguente mostra come avviene limbustamento nel caso
in cui venga utilizzata la tecnica di tunneling pisemplice, ovvero il tunneling IP in IP [RFC 2003], in
cui un intero pacchetto IP diventa il carico utile(payload) di un altro pacchetto IP.
Il pacchetto risultante possiede due preamboli (header)IP: il preambolo pi esterno (outer header) contiene gli
indirizzi sorgente e destinazione dei router PE checostituiscono le terminazioni del tunnel, mentre ilpreambolo interno (inner header) contiene gli indirizzi
originali del mittente e del destinatario appartenenti ai
siti di una VPN.Mediante la tecnica del tunneling si pu fare in modo
che il formato del pacchetto e/o il tipo diindirizzamento usato allinterno di una VPN siatotalmente scorrelato da quello usato per instradare i
pacchetti tunnelizzati attraverso la dorsale IP.Creando una topologia di tunnel tra i vari PE si realizzaa tutti gli effetti un overlay sulla dorsale IP ed il
traffico inviato nel tunnel opaco alla dorsale IPsottostante.Linstaurazione di un tunnel richiede un consumo dirisorse nei router e, a seconda di quale protocollo ditunneling viene usato, questo consumo pu essere pi o
meno accentuato.Infatti, un tunnel richiede lallocazione di risorse suidue router che costituiscono le sue terminazioni (tunnelendpoints).
Prima della fase di incapsulamento/decapsulamento, idue PE costituenti le due terminazioni estreme di untunnel devono provvedere alla sua instaurazione (fase
di tunnel setup). Nella fase di tunnel setup i due PE si accordano sui parametri da usare per il tunnel, coinvolgendoeventualmente anche i router P, interni alla rete, cheapparterranno al cammino fisico corrispondente al
tunnel.
Verranno passati in rassegna alcuni protocolli per lacreazione di varie tipologie di tunnel; non si vuole perentrare nel dettaglio su come funzionino i meccanismi
dei vari protocolli, ma si vuole soltanto analizzarnevantaggi e svantaggi nel loro uso.
Tunnel leggeri (IP in IP, GRE)Si definiscono tunnel leggeri i tunnel realizzati conluso di protocolli di tunneling che richiedonopochissime risorse sui router che li gestiscono. Questi protocolli non forniscono nessuna garanzia n sulla
qualit del servizio, n sulla sicurezza (i dati viaggianoin chiaro sulla rete), ma realizzano la semplice
connettivit VPN. Essi sono facili da implementare enon consumano risorse sui router della rete interna. I protocolli di tunneling maggiormente utilizzati percreare tunnel leggeri sono: IP in IP [RFC 2003] e GRE
8/4/2019 Reti e dintorni 15
14/15
RETI E DINTORNI N 12 Pag. 14Rivista interna Tecnonet SpA
(Generic Routing Encapsulation) [RFC 1701]. Lunica pecca del protocollo IP in IP, la mancanza di un
campo di multiplexing nel preambolo del pacchetto IP.E molto importante che un protocollo di tunnelingsupporti un campo di multiplexing; poich infatti un
router PE pu gestire diverse VPN, esso deve essere in
grado di smistare correttamente il traffico uscente dallarete dellISP verso il giusto sito VPN.
Nel protocollo GRE si utilizza come campo dimultiplexing il campo key, contenuto nellheader
GRE, originalmente pensato per lautenticazione dellasorgente di un pacchetto. Il protocollo IP in IP, come stato gi detto, non possiede un campo di multiplexing;
tuttavia si pu sfruttare il campo options, che offre il protocollo IP, per trasportare il VPN-ID, comemostrato in Figura.
Tunnel sicuri (IPSec)Tra i vari protocolli di tunneling esistenti lunico adoffrire delle vere garanzie di sicurezza a livello rete il
protocolli IPSec. Non bisogna pensare per chelutilizzo di tale protocollo sia lunico modo pergarantire sicurezza al traffico VPN; infatti la sicurezza
complessiva non prerogativa del protocollo di
tunneling utilizzato, ma deve essere vista in un contestopi ampio su come i pacchetti VPN vengono inoltrati
nei tunnel. Ad esempio, se si sicuri che il trafficoVPN attraversa la sola rete dellISP di appartenenza,non sono necessari meccanismi di sicurezza di elevata
pesantezza computazionale, altrimenti necessari nelcaso in cui tale traffico attraversasse le reti di altri ISP.Luso di tunnel sicuri richiede un notevole consumo di
risorse nei router, ed quindi necessario poter sceglieretra i vari algoritmi di crittografia in modo da trovare ilgiusto compromesso tra livello di sicurezza e
complessit computazionale per ogni contesto possibile. In tal caso IPSec risulta molto utile poich
permette di scegliere lalgoritmo di crittografia.Un concetto chiave di IPSec la SecurityAssociation (SA), la quale permette di definire i parametri (algoritmi e chiavi di crittografia) di una
comunicazione sicura tra due macchine. Inoltre ingrado di offrire i seguenti servizi di sicurezza:
Controllo degli accessi: soltanto utenti autorizzatidevono avere accesso ad un particolare servizio direte;
Integrit dei dati: i dati devono arrivare adestinazione inalterati;
Autenticazione dellorigine dei dati: chi riceve idati deve essere in grado di identificare chi li hainviati;
Protezione dalle repliche: se dei dati cifrativengono inviati pi volte al destinatario, esso deve
essere in grado di riconoscerle come repliche; Segretezza: nessun altro allinfuori del destinatario
deve essere capace di leggere i dati che verranno
inviati.
Questi servizi di sicurezza vengono forniti da IPSec
mediante dalluso di due protocolli:
un protocollo che fornisce autenticazione ed
integrit ma non segretezza, chiamatoAuthentication Header (AH)
ed un protocollo che fornisce integrit esegretezza, chiamato Encapsulating SecurityPayload (ESP).
Il protocollo ESP fornisce pi servizi rispetto al
protocollo AH e di conseguenza risulta pi complicatoe richiede maggiore risorse per il suo processamento.
Ciascun protocollo pu funzionare in due modalit:
modalit trasporto (transport mode) e modalit tunnel(tunnel mode), che sono due tipi di securityassociation.
La modalit trasporto viene utilizzata per fornire protezione per i protocolli di livello superiore, comeTCP, UDP o ICMP, ma non per lheader IP.
La modalit tunnel fornisce invece una protezionedellintero pacchetto IP, e questa modalit quella chedi solito si preferisce per le VPN.
La Figura precedente illustra due diversi modi di protezione e autenticazione dei dati nelle modalit
trasporto e tunnel.Il pacchetto IP originale viene arricchito con nuoviheader e trailer del protocollo ESP, i quali contengono
le informazioni per gestire la cifratura e decifratura diogni pacchetto.Le comunicazioni sicure richiedono lo scambio di
chiavi crittografiche tra mittente e destinatario.La gestione delle chiavi pu venire in modo manualeoppure automatico. Nella modalit manualelamministratore di sistema configura manualmente lechiavi nei vari router, host, ecc., mentre nella modalitautomatica la creazione e distribuzione delle chiavi
viene effettuata da un apposito sistema automatico.Esistono due protocolli per la gestione automatica delle
8/4/2019 Reti e dintorni 15
15/15
RETI E DINTORNI N 12 Pag. 15Rivista interna Tecnonet SpA
chiavi: IKE (Internet Key Exchange) e ISAKMP(Internet Security Association and Key Management
Protocol).
Tunnel con qualit del servizioI clienti possono richiedere allISP che le connessioni
tra i propri siti VPN abbiano delle caratteristiche inqualche modo simili a quelle delle linee dedicate,ovvero possono richiedere che vengano rispettati i parametri tipici della qualit del servizio, quali
probabilit di perdita dei pacchetti, latenza, jitter sulritardo e garanzie di banda passante. In questa sede nonsi vuole entrare nel dettaglio dei vari meccanismi
utilizzati per offrire QoS al traffico VPN;bisogna perconsiderare che le stesse metodologie sviluppate perassicurare la QoS sulle reti fisiche possono benissimo
essere applicate anche alle reti virtuali.
Servizi integrati / RSVP
I servizi integrati (abbreviatiIntServ, ovvero IntegratedServices) consentono di offrire garanzie sulla QoS
prenotando delle risorse sui router percorsi da untunnel.RSVP (Reservation Protocol) un protocollo di
segnalazione che consente ai router di effettuareprenotazioni delle loro risorse. Un router PE che vuole prenotare le risorse sui router costituenti il percorso
fisico di un tunnel, invia un messaggio (PATHmessage) al PE dellaltra estremit del tunnel.Il PE remoto risponde con un messaggio (RESV
message) che, attraversando i router P della reteinterna, consente di prenotare le risorse relative allarichiesta. La Figura seguente mostra come avvienequesto scambio di messaggi.
Prima di prenotare delle risorse, i router devono
verificare che esse siano disponibili; lammissione dichiamata (call admission) consente di verificare chelammontare di risorse richieste non superi quelle
disponibili.RSVP un protocollo che ha dei seri problemi discalabilit. Esso richiede infatti che la rete dellISP
mantenga uno stato per ogni tunnel con risorseprenotate, e il numero di stati aumenta col numero diprenotazioni effettuate; ci di fatto limita il numero di
tunnel che possono essere instaurati nella rete dellISP.Inoltre il protocollo RSVP deve essere supportato datutti i router della dorsale, sia P che PE. Si pu notare
la differenza con il tunneling IP in IP, che di tipo
non segnalato, ovvero la creazione del tunnel unfenomeno puramente locale, che coinvolge soltanto i
router PE costituenti le due estremit del tunnel e non irouter P.
Servizi differenziatiI servizi differenziati (abbreviati DiffServ, ovvero
Differentiated Services) consentono di offrire garanziesulla QoS classificando il traffico VPN in ingresso allarete dellISP in modo da definire la classe di traffico di
ogni pacchetto VPN; diverse classi di traffico
riceveranno un trattamento diverso allinterno delladorsale.
I router PE marcano ogni pacchetto proveniente dalleconnessioni di accesso impostando un particolarevalore nel campo DS (Differentiated Services)
dellheader IP; un pacchetto marcato pu essereinoltrato immediatamente nella dorsale, ritardato per uncerto tempo prima di essere inoltrato oppure pu essere
scartato.I router P devono supportare i servizi differenziati; algiungere di un pacchetto marcato DS da un PE, essi lo
inoltrano verso la prossima destinazione in accordo allaclasse di servizio del pacchetto.
Pacchetti appartenenti alla stessa classe di servizioriceveranno lo stesso trattamento, indipendentementedalla VPN a cui appartengono.Di conseguenza, a differenza dei servizi integrati, non
necessario mantenere un stato nella dorsale dellISPper ogni tunnel creato.Per questo motivo la soluzioneDiffServper garantire la
QoS rappresenta una soluzione pi scalabile rispetto aIntServ.
R. GaetaBiblografia: Tesi di Laurea di Angelo Calafato
Top Related