Networking 2
I suggerimenti sono stati presi da riviste di informatica, da newsletters o da siti web
perciò ogni diritto rimane al legittimo proprietario.

Lunghezza cavi di rete

Versione

Velocità max.

Lunghezza max. di un segmento

N° max. di nodi su un segmento

Lunghezza totale raggiungibile

N° max. di ripetitori

N° max. di segmenti

Tipo di cavo utilizzato

10Base-5

10Mbps

500m.

100

2500m.

4

5, di cui 2 non popolati

Coassiale grosso

10Base-2

10Mbps

200m.

30

1000m.

4

5, di cui 2 non popolati

Coassiale sottile

10Base-T

10Mbps

100m.UTP 500m.STP

2

500m.

4

5, di cui 2 non popolati

Doppino UTP/STP

100Base-T

100Mbps

100m.

2

205

2

3, di cui 1 per l'uplink 

Doppino UTP (cat.5)

Le fondamenta dell'architettura di rete
Quando si crea una rete, ci sono tre alternative tra cui scegliere: hub, switch e lan wireless. È necessario conoscere alcuni elementi di base relativi alle reti prima di poter trovare delle risposte e prendere delle decisioni. 
E' meglio usare cavi Category 3 o 5, fibra multimode o single-mode, Ethernet, Fast Ethernet, hub, switch, hub in fibra ottica, Gigabit Ethernet, ATM (Asynchronous Transfer Mode), VoIP (Voice over IP), oppure LAN wireless?
Attualmente, sono proprio queste le domande a cui è necessario fornire una risposta prima di implementare una rete all'interno della propria azienda. Questo articolo illustra le varie possibilità di connessioni e pratiche architetturali. Infatti, è necessario conoscere alcuni elementi di base delle reti prima di poter trovare delle risposte e prendere delle decisioni.
LE DOMANDE A CUI RISPONDERE
Nella scelta della tecnologia più adatta alla propria azienda, è opportuno prendere in considerazione e trovare le risposte alle seguenti domande.
- Quanto a lungo si rimarrà nello stesso edificio? - Quanti utenti si prevede di avere in rete? - Gli utenti avranno bisogno di spostare spesso i computer nell'ambito dello spazio di lavoro? - Gli utenti dovranno mettere in rete applicazioni particolarmente affamate di larghezza di banda, sono previste applicazioni multimediali? - Qual è la velocità della connessione aziendale a Internet?
GLI HUB
Gli hub sono dei dispositivi di connessione che garantiscono a due computer di poter comunicare e "vedersi" reciprocamente in una tipologia di rete. Queste operazioni vengono compiute usando una metodologia a medium condiviso: una sorta di conferenza telefonica dove tutti i partecipanti possono ascoltare gli altri sulla linea. Dal punto di vista della sicurezza, qualsiasi computer host sull'hub può vedere i dati che appartengono a un altro host sul medesimo hub. Se la sicurezza tra i singoli host sulla rete costituisce una preoccupazione primaria, si dovrebbe prendere in considerazione fin da subito questo problema. Il tipo più piccolo di hub supporta da due a otto connessioni, mentre quello più grande, che spesso è configurabile a stack, offre centinaia di porte, ognuna delle quali può gestire un singolo computer che trasferisce i dati a 10 Mbps. Attenzione però! L'intero hub può trasmettere i dati alla velocità massima di 10 Mbps in aggregato; in conseguenza, se due computer stanno cercando di trasferire 10 Mbps ciascuno, non sarà possibile ottenere questa velocità.
GLI SWITCH
Gli switch permettono di segmentare il traffico. Ciò significa che il Computer A non può accedere ai dati che vengono trasferiti tra il Computer B e il Computer C. La cosa equivale a una normale chiamata telefonica: il mittente e il destinatario della chiamata sono gli unici partecipanti. Questa soluzione è quindi più sicura rispetto all'uso di un hub. Gli switch di fascia bassa offrono 24 porte, mentre i sistemi di fascia alta sono dotati di centinaia di porte. Ciascuna porta può gestire un singolo computer su una connessione da 10 o 100 Mbps.
LE LAN WIRELESS
Rispetto a switch e hub, le LAN wireless costituiscono un elemento relativamente nuovo. Invece di collegare i computer con cavi fisici, le LAN wireless usano antenne per trasmettere i dati attraverso un insieme specifico di frequenze radio. Mentre i computer si possono spostare, il ricevitore e le antenne per la LAN devono spesso essere stazionarie e si devono trovare entro una certa distanza dai computer. Il fatto di non usare cavi e di essere liberi di spostarsi ha molte implicazioni. Dal momento che non ci sono cavi che collegano ciascun ufficio, non occorre creare un impianto di cablaggio e la scalabilità risulta molto più economica. Durante gli spostamenti, ci sono meno dispositivi da acquistare e da mantenere.
SCEGLIERE UNA TECNOLOGIA
Ovviamente, ciascuna tecnologia ha un proprio costo associato. Fortunatamente, tutte le tecnologie stanno diventando sempre più economiche con l'andare del tempo. La connettività di rete si sta trasformando in un bene di massa per tutte le aziende; i produttori di dispositivi di rete la forniscono in molti casi senza ulteriori aumenti di prezzo.
Una parte dell'equazione dei costi è costituita dall'infrastruttura fisica indispensabile per usare una qualsiasi di queste tecnologie; si ricordi che in due soluzioni su tre bisogna creare una struttura di cavi nel quadro dell'implementazione.
Il cablaggio di un ufficio con una ventina di postazioni può costare più di una decina di milioni. Uno degli aspetti che è opportuno prendere in considerazione è costituito dal tipo di cablaggio che viene già utilizzato dall'azienda. Il sistema "Category" è uno standard per il tipo di cavi di rame che vengono utilizzati. In generale, il numero di Category indica quanto strettamente il cavo è intrecciato e quindi anche la velocità dei dati che può trasportare.
Il Category 3 è lo standard di cablaggio minimo indispensabile per ottenere connessioni da 10 Mbps. I cavi Category 5 possono raggiungere velocità di 100 Mbps; prima di dedicarsi al ri-cablaggio dell'ufficio, è tuttavia opportuno tenere presente che i cavi Category 5 possono costare il doppio di quelli Category 3.
Quando arriva il momento di decidere tra switch, hub e reti wireless, la soluzione più economica consiste in un hub. Quest'ultimo è caratterizzato da un modesto ingombro fisico e dalla presenza sul mercato di molti importanti produttori quali 3Com, Cabletron e Lucent. Gli hub tuttavia possono causare una degradazione delle prestazioni di rete e problemi di sicurezza. Con il crescere dell'utilizzo, a causa del maggior numero di host oppure di programmi "a utilizzo elevato" come i visualizzatori multimediali, le prestazioni possono diminuire in modo notevole. Per esempio, un file da 10 Mbyte trasferito da una porta hub a 10 Mbps verso un'altra porta hub da 10 Mbps verrà in media trasferito alla velocità di circa 1 Mbps (portando a ottenere un tempo totale di trasferimento di 10 secondi). Se si desidera avere una rete più veloce, la scelta migliore potrebbe essere quella di usare switch in grado di gestire dei trasferimenti a 100 Mbps. Su uno switch full-duplex da 100 Mbps, lo stesso file da 10 Mbyte citato nell'esempio dell'hub potrebbe essere trasferito a più di 10 Mbps; il trasferimento del file richiederebbe quindi meno di un secondo. Si tratta di un sostanziale incremento delle prestazioni, anche per un file relativamente piccolo. Si immagini come in questa situazione verrebbe trasferito più velocemente un filmato da 1 Gbyte, oppure un pacchetto software da 400 Mbyte.
Gli switch sono inoltre scalabili, dal momento che possono avere molte porte e permettono di inserire con facilità nuovo hardware nello stack.
Se si decide di fare completamente a meno di una struttura di cavi, è possibile utilizzare i dispositivi wireless. In questo caso non è richiesta alcuna struttura di cavi ed è consentito il computing mobile in tutto l'ufficio. Naturalmente, questo schema risulta incredibilmente utile negli uffici che non hanno o non possono avere una struttura di cavi.
HALF E FULL DUPLEX
Una volta scelta la tecnologia di rete, la fase successiva nell'implementazione della rete aziendale consiste nel decidere (ovviamente, nel caso in cui si abbia una soluzione in grado di funzionare a diverse velocità) a quale velocità le rete dovrà operare. Creare fin dall'inizio di un sistema in grado di gestire trasferimenti a 100 Mbps è una cosa utile per la pianificazione a lungo termine; se invece si prevede di implementare immediatamente il sistema, sarà necessario acquistare e installare delle interfacce di rete compatibili con questa velocità.
Le impostazioni duplex sulla rete sono un'altra questione da prendere considerazione. Il duplex indica se i dati che vengono trasmessi e ricevuti sono inviati attraverso gli stessi cavi oppure no. Analogamente a una strada senso unico, lo schema half-duplex permette ai dati di fluire soltanto in una direzione. Se arriva del traffico nella direzione opposta, ci sarà una collisione. Il full-duplex è invece come una strada a due sensi, con una doppia linea bianca centrale. Il traffico scorre in entrambe le direzioni e non attraversa le corsie, portando ad avere un numero minore di collisioni. In termini di cavi, lo schema half-duplex invia tutto il traffico lungo una coppia di cavi. Entrambi questi cavi vengono usati per trasmettere o ricevere. Quando un pacchetto di dati da un host viene inviato su un cavo che contiene già un pacchetto in arrivo, si verifica una collisione ed entrambi i pacchetti vengono scartati. I nuovi pacchetti vengono inviati secondo intervalli ritardati a caso (con ritardi di microsecondi), in modo da minimizzare la probabilità che avvenga nuovamente una collisione.
Le trasmissioni full-duplex mettono i dati su ciascun lato di coppie di cavi separate. Questo schema richiede che entrambe le estremità siano in grado di gestire la trasmissione full-duplex e il fatto di avere due coppie (quattro cavi) tra queste estremità. Lo schema full-duplex aumenta la possibilità che le velocità della linea (10 Mbps o 100 Mbps) si avvicini al massimo teorico.
GIGABIT ETHERNET
Esiste un'opzione che consente di superare la barriera dei 100 Mbps: lo schema Gigabit Ethernet. Se gli switch sono connessi da cavi Category 5 e da interfacce di rete multiple, si può ottenere una velocità a livello di Gbps. Gli switch e le interfacce di rete devono in questo caso essere compatibili con la tecnologia Gigabit Ethernet. L'idea è quella di usare tutte le porte di scheda Ethernet a quattro porte e aggregare simultaneamente il traffico su di esse; in questo modo, un computer può teoricamente trasferire i dati con una velocità prossima a 1 Gbps.
DAGLI HUB AGLI SWITCH
Gli hub di rete possono essere collegati soltanto a cascata due a due: se si dispone di un hub a 24 porte, si può collegare un altro hub a una di queste porte. Ciò porta il totale complessivo a 576 porte. Non è possibile aggiungere un ulteriore insieme di hub in modo da aumentare ancora di più il numero di porte, dal momento che il signaling fisico della rete non lo consente. In questo caso, la conseguenza è che gli hub hanno una inerente limitazione nella capacità di crescita. Ciò ne limita sostanzialmente la scalabilità.
Gli switch di rete, d'altra parte, possono essere concentrati. Inserendo nell'ambiente degli switch ad alta densità e interconnessioni in fibra ottica, il numero di switch fisici che si vedono reciprocamente è limitato soltanto dalla quantità di fibra ottica disponibile. In breve, gli switch hanno un'elevata densità di porte (più porte per slot e per dimensioni di altezza) e possono essere collegati attraverso un anello in fibra ottica, che garantisce la possibilità di connettere reciprocamente centinaia di switch.
In una fase di transizione, è ragionevole prendere in considerazione una configurazione mista con switch e hub. Per implementare questa configurazione ed essere ancora "legali" dal punto di vista delle limitazioni di signaling inerenti agli switch di rete (come specificato dalla IEEE), è necessario inserire uno switch multiporta (24 porte, 48 porte, o altro) e collegare a catena gli hub da quest'ultimo. Ciò garantisce la sicurezza di ogni hub, dal momento che tutto il traffico ad esso diretto passerà attraverso una porta sicura sullo switch. La segmentazione aiuta inoltre a ridurre le contese e la congestione della rete.
Quello della congestione è uno dei fattori che più comunemente contribuiscono al raggiungimento di scarse prestazioni.
I sistemi operativi NT e Unix sono in grado di sondare la congestione della rete vista da ciascun host. Se il livello di collisioni risulta maggiore del cinque per cento dei pacchetti totali in transito nell'interfaccia di quella macchina, esistono dei problemi di congestione.

Il cablaggio strutturato - La conoscenza della tecnologia
Il cablaggio strutturato, è un metodo di realizzazione e stesura del cavo di rete per la trasmissione dei dati nelle reti di PC.
Ad oggi i sistemi di cablaggio più diffusi e affidabili sono quelli basati su cavo UTP o FTP categoria 5 e/o cavi in Fibra Ottica.
Il primo composto da 8 conduttori a coppia intrecciata, offre delle caratteristiche molto interessanti sia dal punto di vista di velocità di trasmissione (10/100 Mbps) che di protezione da disturbi elettromagnetici esterni al cavo; il secondo nei vari tipi si adatta a diverse modalità di stesura, interna, esterna, sotterranea, armata e non, con un minimo di due fibre per poter avere il segnale necessario alla trasmissione/ricezione dati.
Nell'utilizzare questo sistema di cablaggio ci sono delle direttive internazionali standard (normativa EIA/TIA 568 A o B e ISO/IEC 11801) ben precise da conoscere e delle specifiche di installazione da seguire, necessarie per poter installare correttamente il cavo di rete.
Il rispetto di tali normative nell'installazione del sistema di cablaggio strutturato è necessario per richiedere eventuali certificazioni di legge divenute oggi necessarie per poter lavorare nell'ambito della Comunità Europea.
Naturalmente anche tutti gli apparati passivi di rete devono essere conformi a questa normativa per ottenere i risultati ricercati e la certificazione richiesta.
Sistema Wireless
Il sistema Wireless, permette di connettere PC DeskTop e PC Portatili alla rete LAN senza la necessità di collegamenti fisici tramite cavo.
Questa nuova tecnologia, che si stà sempre più affermando, permette di avere connessioni via RadioLAN ad una velocità di 11Mbps (fino a cinque volte superiore alle precedenti soluzioni WireLess).
Ogni punto di accesso permette la connessione contemporanea di 63 Client ad una distanza massima di 100 mt e grazie alla variazione dinamica della velocità di connessione e il bilanciamento di carico permette connessioni sempre affidabili. Facile da installare e utilizzare il sistema si rende molto utile in ambienti ove la mobilità e l'impossibilità di stendere cavi è di basilare importanza per l'Azienda ( es. edifici di interesse architettonico, ostacoli insormontabili, collegamenti fisici impossibili).
I punti di accesso, le schede di rete, sia in tecnologia PCI che PC Card, estendono i servizi forniti dalle LAN aziendali ad ogni sala riunioni o ufficio garantendo quando e dove servono prestazioni paragonabili a quelle fornite dai sistemi cablati.
La normativa internazionale sul cablaggio
Le norme e gli standard alla base dell'impiantistica di reti per la trasmissione dati sono (in ordine cronologico) : ·
EIA/TIA 568A (Electronic Industries Alliance/Telecommunication Industries Association) Standard americano e attualmente il più applicato e diffuso nel mondo. ·
ISO/IEC IS 11801 (International Standard Organization/International Electrotechnical Commission).
Alla IEC è affidato il compito di preparare norme utilizzabili dai 64 paesi membri, che comprendono tutte le nazioni industrialmente sviluppate, tra cui l'Italia. · prEN 50173 Final Draft (European Norms emesse dal Comitato Tecnico TC 115 CENELEC). Il CENELEC è l'organismo di coordinamento dei paesi membri dell'UE, che ha come scopo principale quello di far adottare ai paesi membri le Norme IEC e di preparare bozze di norme. Lo standard EIA/TIA 568 è stato fondamentale in quest'evoluzione costituendo il primo passo verso una regolamentazione dei sistemi di cablaggio, definendo un sistema generico di cablaggio per trasmissione dati all'interno dell'edificio in grado di supportare un ambiente multivendor e multiprotocol. L'ISO/IEC IS 11801 è l'evoluzione dello standard EIA/TIA 568A e come questo definisce norme e regole per il cablaggio strutturato d'edifici e i requisiti fisici ed elettrici di cavi e connettori in modo da garantire la trasmissione di voce, dati, testi, immagini. Le sostanziali differenze con lo standard americano EIA/TIA sono :
· nomenclatura leggermente diversa per gli elementi costituenti il cablaggio ;
· introduzione del concetto di classi di lavoro per definire i requisiti minimi di una tratta di collegamento ;
· allargamento della gamma dei tipi di cavo che possono essere utilizzati, sia a livello di rame sia di fibra ottica, con inammissibilità dell'uso di cavi coassiali ;
· fornisce un numero maggiore di dati sulle caratteristiche dei mezzi trasmissivi ; ·
introduzione di test più rigorosi per controllare le categorie dei cavi in rame ; · trattazione più approfondita degli aspetti della messa a terra in considerazione del fatto che viene introdotto l'utilizzo di doppini schermati.
Lo standard prEN 50173 riprende e fa propria a livello CEE/UE la normativa ISO/IEC IS 11801. In considerazione di quanto sopra, la normativa di riferimento per questo progetto sarà l'ISO/IEC 11801 di cui di seguito riportiamo i punti basilari. Il sistema di cablaggio dovrà inoltre essere compatibile con una varietà di standard, prodotti e protocolli, tra i quali almeno · ISO/IEC 8802.3 (Ethernet) · ANSI FDDI · ATM · 100BaseT · 1000Base T

Panoramica ed architettura di una DMZ
La classica infrastruttura IT di una media-grande azienda prevede un insieme di servizi per l'utenza interna (intranet-side) che per l'utenza esterna (internet-side). Quando parliamo di servizi intranet stiamo parlando della rete privata e di risorse che, nella maggior parte dei casi, non sono accessibili dall' esterno. Al contrario, quando parliamo di servizi Internet stiamo parlando di utenti che accedono ai servizi aziendali dall'esterno. Ovviamente l'accesso a servizi dall'esterno necessita di un'attenzione particolare rispetto a servizi intranet poichè, mentre l'utenza interna è ben definita, riconosciuta e limitata, l'utenza esterna è varia e difficilmente riconoscibile. In questo insieme di varietà è doveroso comprendere anche soggetti di conoscenze tecniche elevate e di poca raccomandabilità. La progettazione e la messa in funzione di una zona demilitarizzata (DMZ) puo' fare la differenza in situazioni in cui servizi verso l'esterno sono vitali. Oggi l'attuazione di una DMZ è fondamentale. E' da tenere presente che tale attuazione deve essere preceduta da un'attenta analisi, dall'installazione di macchine adeguatamente equipaggiate e da una configurazione minuziosa delle varie componenti di rete (server, firewall, router) .
Ma facciamo un passo indietro. Una rete è un aggregato di risorse interconnesse attraverso una varietà di media di collegamento. La rete è tale poichè permette l'utilizzo di tale risorse (servizi di stampa, applicazioni o altro). Non tutte le risorse di una rete aziendale devono pero' risiedere in una stessa posizione (fisica o logica che sia). Una prima suddivisione puo' essere svolta in base al fatto che l'uso delle risorse è esclusivo delle utenze esterne oppure è esclusivo delle utenze interne. Successivamente, possono esistere delle risorse particolarmente sensibili che necessitano un posizionamento sicuro nella rete. Tutte queste caratteristiche portano all'attuazione di una zona isolata, più comunemente chiamata demilitarizzata, in cui andremo a posizionare tutte quelle risorse e quei servizi che, in particolare, sono accessibili dalle utenze esterne.Vediamo in basso uno schema molto scarno di una rete aziendale dotata di una DMZ.

Esaminando l'immagine notiamo subito che la DMZ offre tutta una serie di tipici servizi accessibili dall'esterno. E' da notare che esiste comunque una connessione tra la rete interna e la rete esterna. A questo punto è lecito chiedersi: come deviare tutto il traffico verso la DMZ invece di mandarlo su host interni ? Quali sono i meccanismi particolarmente utilizzati ? E soprattutto perchè dividere la DMZ dal resto della rete interna ?
Il seguito del documento verterà sulle risposte a queste domande. Iniziamo dalla prima. Che esista un collegamento dalla rete interna verso Internet questo è scontato: un utente interno puo' tranquillamente collegarsi ad Internet dalla propria postazione.
Non dovrebbe essere possibile pero' collegarsi dall'esterno ad una risorsa interna, a meno che non vienga richiesto un particolare servizio. Le politiche di configurazione dei firewall dovrebbero assicurare tale meccanismo. Come dovrebbero assicurare il fatto che la richiesta di un servizio dall'esterno venga dirottata nella risorsa presente nella DMZ. Features come il NAT (Network Address Translation) ed il PAT (Port Address Translation) possono risultare utili in tali situazioni. Chiariamo il concetto e poi facciamo un semplice esempio. Ogni azienda dispone di uno o piu indirizzi IP pubblici. Sarebbe sbagliato assegnare ad una risorsa interna un indirizzo IP pubblico. Il NAT quindi serve per dirottare tutte le richieste su un determinato IP pubblico verso un determinato IP privato. In questo modo si ha un maggiore controllo di dove il traffico viene dirottato. Allo stesso modo, il PAT funziona in modo simile al NAT, con la sola differenza che il traffico verso l'interno viene dirottato su una particolare porta di un host, o su un range di porte predefinito. In alcuni casi i servizi sono comunque integrati: è possibile cioè dirottare una richiesta all'indirizzo pubblico IP:Porta verso l'indirizzo interno IP2:Porta2.
L'immagine facilita la comprensione del meccanismo.

Una richiesta sulla porta 80 all'indirizzo pubblico 62.10.5.6 viene translata con NAT ed indirizzata all'indirizzo IP interno 192.168.1.2 sulla porta 8080. Questo rende più sicuro il servizio e apporta un notevole guadagno di indirizzi IP pubblici.
A questo punto è normale chiedersi: perchè la necessità di dividere ed isolare tutti i servizi accessibili dall'esterno all'interno di una zona apposita ?
Una prima risposta è la gestione: avere un concentramento di servizi in un'unica zona isolata ne facilita la gestione.
In molti casi si preferisce isolare non solo logicamente ma anche fisicamente tutti i servizi di una DMZ. Questo sia per un fatto si sensibilità dei dati, sia per un fatto logistico.
In secondo luogo la banda disponibile: una DMZ a volte ha a disposizione un proprio collegamento privato con l'esterno, diviso dal carico interno della rete.
Il terzo ma forse il più importante motivo è la sicurezza: una zona è isolata dal resto della rete proprio per evitare che un malintenzionato possa, non solo accedere illegalmente alle risorse della DMZ, ma anche accedere al resto della rete interna.
Ecco perchè quindi si cerca di posizionare tutti i servizi possibili all'interno di una zona demilitarizzata. Una sorta di fossato da cui è possibile entrare ma non è possibile muoversi più di tanto. Una definizione non troppo azzeccata ma che rende l'idea.
Bisogna prevedere quindi che, nella peggiore delle ipotesi, un malintenzionato possa entrare all'interno della DMZ ; ma bisogna altrettanto e soprattutto prevedere che le risorse interne aziendali, di solito quelle più sensibili e delicate, rimangano fuori dalla sua portata.
E' sicuramente pero' da tenere in considerazione il fatto che anche una DMZ è una zona con particolari tipi di restrizioni e controllo.
Infatti esistono tutta una serie di meccanismi per l'analisi del traffico, delle operazioni effettuate o l'esclusione di determinati indirizzi IP da cui proviene il traffico (access list).
L'attuazione e la successiva messa in produzione di una DMZ è un'operazione delicata ma di fondamentale importanza.
Non bisogna tralasciare nulla al caso: si tratta infatti di una delle operazioni più sensibili quando di sta progettando una intranet aziendale. Bisogna tenere conto che l'universo Internet è illimitato e che in questa illimitatezza esistono persone senza scrupoli o semplici curiosi. Si tratta pero' anche questa di una scelta relativa alla grandezza ed all'importanza dell'azienda e dei servizi offerti: tutte le aziende grandi ne sono comunque dotate.
Non bisogna pero' considerare il concetto di DMZ come un qualcosa di prettamente fisico: il concetto puro e semplice è quello di concetrare, isolare e rendere sicuro.
Per una panoramica molto completa e dettagliata suddivisa per argomenti consiglio anche di visitare il sito
http://rr.sans.org.

Local Area Networks
La topologia delle reti
Negli anni le reti locali hanno sviluppato diverse tipologie fisiche. Inizialmente una topologia molto utilizzata era quella ad anello, usata dal Token Ring. Con l’avvento di Ethernet diventa molto popolare la tipologia a BUS, tipica delle reti ethernet su cavo coassiale. Oggi sono più diffuse le tipologie a stella, con un concentratore in mezzo (repeater o hub), o a stella estesa, con più stelle collegate tra di loro. Altri tipi di topologia sono quella gerarchica o full mesh, che collega ogni calcolatore o apparato con tutti gli altri.
I componenti
I componenti fondamentali delle reti sono gli host, ovvero computer, stampanti, server. Gli host hanno normalmente una scheda di rete (NIC) per il collegamento alla rete ma dato che sono gli applicativi a girare sui calcolatori, possiamo collocare gli host al livello 7 della pila OSI.
Come dicevamo gli host si collegano alla rete tramite un NIC (Network Interface Card). Nel caso delle reti ethernet si tratta ad esempio di quella che normalmente viene chiamata scheda di rete, dotata di un connettore verso il media fisico (ad esempio RJ45 per le reti basate su cavo UTP). La scheda ha inoltre su di essa l’indirizzo fisico di livello 2 e per questo motivo normalmente le NIC vengono posizionate al livello 2 della pila OSI.
Componente fondamentale di una rete è poi il mezzo fisico, ovvero i cavi o mezzi alternativi sui quali viaggiano i bit di dati. Il mezzo fisico viene collocato al livello 1 della pila OSI.
Altro componente tipicamente utilizzato su di una rete (oggi meno a dire la verità) è il cosiddetto repeater (ripetitore). Un repeater si occupa di rigenereare il segnale fisico sul media per permettere di estendere la rete oltre la lunghezza massima consentita dagli standard. Per questo motivo il repeater si colloca al livello 1 della pila OSI. Un repeater dotato di più di due porte (multiport repeater) è detto anche HUB e permette di realizzare la classica topologia a stella. Anche l’HUB, lavorando come un repeater, si colloca al livello 1 della pila OSI.
Il bridge è un apparato che si occupa connettere due segmenti di rete. In pratica rigenera il segnale come un repeater ma inoltre si occupa di filtrare il traffico tra i due segmenti non propagando sul segmento opposto quello che non è destinato a host che si trovano su quel segmento. Per fare questo il bridge tiene traccia degli indirizzi MAC e del segmento a cui appartiene ognuno degli indirizzi. Il bridge quindi interpreta informazioni di livello 2 e per questo motivo viene collocato a questo livello della pila OSI.
Un bridge con più di due porte viene detto switch. Lo switch è diventato ormai uno degli elementi fondamentali delle reti locali moderne basate su Ethernet. Questo perchè lo switch lavora normalmente in hardware e rende molto veloce il processo di commutazione delle trame, permettendo così di realizzare le massime performance. Lo switch permette di realizzare la classica topologia a stella (o stella estesa) delle reti Ethernet. Lo switch come il bridge si avvale di informazioni di livello 2 e per questo motivo viene collocato a questo livello della pila OSI.
Infine il router che si colloca al livello 3 della pila OSI (livello di rete). Scopo del router è quello di inoltrare i dati basandosi sugli indirizzi logici (di rete) del livello 3. Per poter operare il router si deve ovviamente connettere con diversi apparati e tecnologie di livello 2 permettendo così a diverse tecnologie di livello 2 di comunicare tra loro realizzando così le internetwork.
Molto importante infine è la definizione di segmento. Normalmente per segmento si indica un tratto di mezzo fisico al livello uno che è anche in comune per la trasmissione dei dati su di una LAN. Ogni qualvolta si inserisce un apparato per prolungare la rete (repeater, router, switch, ecc.) si crea un nuovo segmento. Cisco definisce a volte un segmento come dominio di collisione.
L’evoluzione delle reti
Inizialmente i primi computer, apparati elettromeccanici nati negli anni 40, non realizzavano alcuno tipo di comunicazione tra loro, anche perchè erano pochi e giganteschi. Negli anni 70 e 80 il dipartimento della difesa americano cominciò a sviluppare le prime reti locali e poi le prime reti geografiche. Nacquero così i primi ripetitori e i primi concentratori, alla base delle prime reti. Durante la metà degli anni 80 furono sviluppati i primi calcolatori adibiti a far comunicare tra loro le reti locali. Furono chiamati gateway e in seguito router. La sfida del nuovo millennio è la convergenza dati, video e voce, ovvero il far comunicare tutti i dati su di un unico mezzo fisico.
Il flusso dei dati in una LAN
Per realizzare il flusso dei dati, i dati stessi devono essere divisi e inseriti in opportuni contenitori in grado di trasportarli. Questo procedimento si chiama encapsulazione. Quando un dato parte da un calcolatore viene diviso in segmenti dal livello del trasporto. Il livello di rete inserisce il segmento in un pacchetto e assegna gli indirizzi logici di sorgente e destinazione. Il livello di data link si occupa di encapsulare ancora il pacchetto in opportune trame aggiungendo gli indirizzi di livello 2 (MAC). La trama viene poi trasmessa sotto forma di bit sul mezzo fisico, arriva al calcolatore destinatario che effettua la procedura inversa, ovvero deencapsula i dati ricostruendoli e passandoli al livello applicativo.
Il transito dei dati attraverso gli apparati di livello 1 (repeaters, hub) avviene semplicemente sotto forma di bits, bit per bit, e il segnale viene rigenerato.
Il transito dei dati attraverso gli apparati di livello 2 (switch e bridge) avviene sotto forma di trame. Gli apparati si occupano di ricostruire ogni trama prima di emetterla sulle porte di destinazione (anche se in realtà esistono alcuni metodi per abbreviare il tempo di commutazione). Lo switch esamina in ogni trama l’indirizzo di destinazione (indirizzo di livello 2) e in base ad esso emette la trama solo sulla porta dove si trova l’indirizzo MAC destinatario della trama.
Il flusso dei dati attraverso gli apparati di livello 3 (router) avviene invece sotto forma di pacchetti. Il router ricostruisce i pacchetti di livello 3 in base all’indirizzo logico di destinazione del pacchetto (ad esempio indirizzo IP) emette il pacchetto su una delle sue interfacce. Ovviamente per farlo deve encapsulare nuovamente al livello 2 il pacchetto in una trama (che varia a seconda della tecnologia dell’interfaccia) ed emettere poi la trama bit per bit sul mezzo fisico.
Negli host, infine, i dati percorrono tutti e sette i livelli della pila OSI per arrivare al livello applicativo.

Dove passare i cavi di rete
Nel cablare una rete LAN con cavo, non utilizziamo la predisposizione dell'impianto elettrico per ragioni di funzionamento e di sicurezza. Ricorriamo a canaline esterne per ridurre al minimo le possibili interferenze dovute ai campi elettromagnetici dell'alta tensione, che potrebbero arrivare ad impedire la connessione in rete tra i pc, ma soprattutto per prevenire incendi, danni all'impianto elettrico e infortuni. Se proprio vogliamo farlo utilizziamo dei cavi schermati.

Lan estesa
Un discorso da non sottovalutare nell'ipotesi di LAN estesa ad amici e parenti è quello relativo alla sicurezza. Condividere la connessione ADSL potrebbe rivelarsi una decisione rischiosa se presa con leggerezza. Bisogna scegliere delle persone realmente fidate. Non dimentichiamo che il contratto di fornitura viene stipulato a nostro nome; quindi i diretti responsabili dell'utilizzo che se ne farà, anche da parte di terzi. Pertanto, se il vicino di casa dovesse utilizzare la connessione internet per attaccare server, condividere file protetti da diritto d'autore nel canali P2P o scaricare materiale pedo-pornografico, saremmo incriminati in quanto titolari dell'abbonamento. Anche in presenza di una liberatoria scritta potremmo comunque essere indicati come corresponsabili, data la difficoltà tecnica di dimostrare la responsabilità altrui. Infine, non dimentichiamo che una rete LAN (con cavo ethernet e ancor più con il Wi-Fi) ci espone a maggiori rischi  di contagio da virus, trojan ecc. E' sufficiente che uno dei PC connessi sia infetti e... sono dolori.

Introduzione agli attacchi DoS
Con un attacco DOS (Denial Of Service) si cerca di "negare un servizio" mettendo il sistema vittima nell'impossibilità di erogare regolarmente il suo servizio.
Questo genere di attacchi non comporta la compromissione di un sistema, i suoi effetti si esauriscono nel momento in cui viene interrotto e, in vari casi, è tale da risultare quasi impossibile da evitare.
La natura di un simile attacco è a suo modo "violenta" e brutale e spesso non richiede particolari conoscenze e può essere esguito tramite strumenti e script reperibili in rete.
Un evoluzione di un attacco DOS è un DDOS (Distributed Denial Of Service), in cui gli IP da cui viene sferrato sono molteplici e permettono una amplificazione degli effetti.
Ha fatto notizia, nel Febbraio 2000, una serie di DDOS su siti particolarmente noti (Yahoo, Ebay, CNN...)
che un singolo individuo è riuscito a rendere inutilizzabili per alcune ore utilizzando centinaia di host di origine, a loro volta precedentemente violati.
La diffusione di questi attacchi deriva anche dal fatto che è molto più facile rendere una rete o un sistema impraticabile piuttosto che ottenerne l'accesso e, vista anche la diffusione di comodi tool per farlo, questo ha scatenato le velleità di molti aspiranti hacker che vedono in un DOS un modo veloce per ottenere effetti di cui vantarsi.
La definizione DOS attack si riferisce all'effetto finale che si intende raggiungere, il rendere impraticabile un servizio in rete, ma i modi con cui può essere ottenuto questo scopo sono vari:
ESAURIMENTO DELLA LARGHEZZA DI BANDA
E' uno dei metodi più comuni, consiste nel saturare le linee che garantiscono la connettività dei sistemi bersaglio, in modo da rallentare enormemente il flusso di pacchetti legittimi.
Se l'aggressore può avere a disposizione sui sistemi da cui intende sfoderare il suo attacco una largehzza di banda superiore a quella del suo bersaglio, un simile attacco è facilmente realizzabile, volendo anche con un ping flood che per ogni ECHO REQUEST si aspetta un ECHO REPLY (salvo filtri di qualche firewall).
Più comune è il caso in cui l'attaccante ha a disposizione meno banda del bersaglio, in questo caso è comunque possibile cercare di saturarla utilizzando degli amplificatori.
Un tipico attacco di questo tipo era lo smurf in cui veniva inviato un pacchetto spoofato (con IP sorgente modificato in modo tale da corrispondere al bersaglio dell'attacco invece che all'host attaccante) direttamente all'indirizzo di broadcast di reti particolarmente affollate di host: per ogni pacchetto originario venivano reinviati al presunto mittente molti pacchetti di risposta.
Al giorno d'oggi un attacco smurf è molto improbabile, visto che sono state introdotte adeguate controdifese sulla maggior parte dei dispositivi in rete.
ESAURIMENTO DELLE RISORSE DI UN SISTEMA
Questi tipi di attacchi si differenziano da quelli basati sull'esaurimento della banda in quanto si punta a sovraccaricare il sistema della vittima, sottoponendo a sforzi insostenibili varie componenti quali CPU, memoria, spazio su disco ecc.
Questo effetto può essere ottenuto in vari modi, tutti fondamentalmente basati sul principio di generare il maggior carico possibile su un sistema remoto con il minimo delle risorse. Un SYN flood (inizio di una sessione TCP, con l'invio di un SYN, che non viene mai conclusa in quanto non si risponde al SYN ACK di risposta del bersaglio) può esaurire le socket disponibili di un sistema, una enorme quantità di GET ad una o più pagine Web dinamiche particolarmente pesanti da computare può riempire memoria e CPU di un sistema e contribuire ad allargare a dismisura i file di log (con rischio di esaurimento dello spazio su disco), altri mezzi possono esistere per rendere indisponibili altri servizi.
Anche un mail bombing a suo modo è una forma di DoS attack, sia al server di posta che riceve le mail, che al destinatario finale, che può vedersi esaurire la sua quota.
DIFETTI DI PROGRAMMAZIONE
Difetti di programmazione possono impedire ad un sistema di gestire una situazione eccezionale. Il mondo del software è pieno di bug che possono avere ripercussioni in termini di sicurezza e dare a luogo a vulnerabilità di varia natura. Alcune di questo possono essere tali da saturare la CPU time o causare il crash del sistema o del programma che eroga un servizio.
Tutti gli exploit in grado di sfruttare simili vulnerabilità di fatto costituiscono un attacco di tipo DoS.
ATTACCHI A ROUTING E DNS
Un attacco DoS basato sul routing consiste nella manipolazione da parte dell'aggressore delle tabelle di routing in modo da impedire il normale indirizzamento di pacchetti ai sistemi legittimi.
Alternativamente si può cercare di impedire ai server DNS autoritari per un dato dominio di svolgere correttamente la loro funzione e quindi di impedire la risoluzione degli indirizzi IP.
In entrambi i casi l'attacco non si concentra direttamente sul vero bersaglio (un sito web, per esempio) ma sui sistemi collaterali che sono indispensabili per renderlo accessibile: i router che ne gestiscono la connettività e i server DNS che ne conoscono l'indirizzo IP.

Introduzione al design di una infrastruttura di rete sicura
Non esistono certezze nel campo dell'Information Security, non esiste un sistema in rete sicuro al 100%: di un software che oggi appare sicuro, domani potranno essere trovati buchi sfruttabili per intrusioni esterne; una rete per quanto protetta deve essere amministrabile e chi la amministra o la utilizza con privilegi particolari, può essere esso stesso una minaccia.
Per quanto le problematiche di sicurezza siano quindi vaste e abbiano fattori diversi (accesso fisico ai sistemi, livello di fiducia nelle persone che li amministrano, potenziale insicurezza dei software usati...) si possono definire alcune linee guida minime per disegnare una rete il più possibile protetta da quelle che di fatto sono le maggiori minacce: l'intrusione di ignoti da Internet.
L'accesso da remoto ad un sistema può avvenire quasi esclusivamente tramite una porta TCP o UDP aperta su un host in rete, per cui a livello di networking il controllo e l'attenzione vanno posti su quali porte lasciare accessibili e come.
Realizzare una rete con un design di base sicuro richiede l'applicazione di alcune semplici regole di base, che vanno adattate ai diversi contesti specifici:
- Chiudere le porte su IP pubblico non utilizzate
Ogni tentativo di intrusione remoto può avvenire solo tramite eventuali porte aperte su un host. La prima, fondamentale, comoda e utile procedura da adottare per iniziare a proteggere il proprio network è quella di non lasciare varchi inutili ai potenziali intrusori.
La chiusura delle porte può essere fatta sia a livello dei singoli host (consigliata in ogni caso), rimuovendo tutti i servizi che non servono, sia a livello di firewall perimetrale, con un rigoroso packet filtering.
Le due soluzioni non sono alternative, anzi possono tranquillamente coesistere: sull'host si rimuovono i servizi inutili, sul firewall si possono gestire quali indirizzi IP sorgenti possono accedere a determinati servizi.
Questo si ricollega al secondo punto chiave:
- Centralizzare i punti di controllo del traffico
Tipicamente una rete aumenta la sua complessità con la sua naturale crescita, ma se non viene strutturata dall'inizio in modo lungimirante, rischia di diventare una matassa di router e firewall su cui si deve intervenire in caso di problemi o "aperture di porte".
Centralizzare i punti di routing e firewalling aiuta a implementare più facilmente modifiche alle configurazioni esistenti e a dignosticare problemi di rete, oltre a ridurre i point of failure della nostra infrastruttura.
Il firewall perimetrale (lo trattiamo come entità unica, ma può essere tranquillamente una coppia o una "nuvola" di firewall in failover) dovrebbe, di default, bloccare ogni tipo di pacchetto dall'esterno e prevedere regole specifiche per ogni server in produzione. Queste regole possono essere di 2 tipi:
- regole che aprono una determinata porta di un dato host a tutta Internet. Queste sono quelle necessarie per i servizi pubblici in produzione (server web, server di posta, DNS ecc.) ed è bene che "aprano" sono le porte strettamente necessarie e non tutto un indirizzo IP (anche se su questo risponde una macchina con tutti i servizi inutili disattivati). Sui firewall che gestiscono regole di filtraggio in modo sequenziale (le catene di iptables, le ACL del Cisco IOS o del PIX...) è sempre meglio mettere per prime le regole che riguardano i flussi di traffico maggiori, per diminuire l'impatto sulle risorse evitando inutili controlli su regole di filtering poco usate.
- regole che aprono l'accesso a determinate porte e IP da specifici IP sorgenti. Possono essere necessarie per aprire l'accesso FTP a dei data feed provider o permettere l'accesso in VPN da una determinata sede o l'accesso ad un database da un server remoto. Queste tipicamente tendono a rendere più verbosa e complicata la configurazione di un firewall, dal momento che devono adattarsi a IP sorgenti specifici, ma visto che sono necessarie è opportuno centralizzarle.
Nell'applicare simili regole, che tendono per il loro numero ad appesantire il firewall, si consiglia buon senso e tendenza al raggruppamento: se ci sono più IP da "aprire" della stessa subnet, si può considerare l'apertura dell'intera subnet, se ci sono più porte da aprire (sopratutto porte che di fatto permettono l'accesso al sistema, come telnet e ssh) può aver senso aprire l'accesso all'intero IP dell'host di destinazione, senza specificarne le singole porte.
- Controllare tutti i punti di accesso
In termini di sicurezza informatica, l'anello debole, quello meno controllato e sicuro, riduce la sicurezza di tutta l'infrastruttura. Per questo motivo è fondamentale identificare e ponderare ogni punto di accesso ai nostri sistemi da remoto. Questo include router e linee di partner, clienti e fornitori, macchine per permettono l'accesso via modem alla rete da proteggere ma anche dipositivi meno comuni come gateway X25 per pagamenti elettronici.
A prescindere quindi da tutte le protezioni del caso da prendere sia a livello fisico, che a livello dei client degli utenti (sviluppatori, sistemisti, redattori ecc) che in qualche modo possono accedere in modo privilegiato alla nostra rete, vanno verificati anche tutti i punti di entrata accessibili pubblicamente.
Come sempre, se questi prevedono un accesso via password, la coppia login-password dovrebbe non essere facilmente intuibile e il relativo traffico dovrebbe essere criptato.
- Design multilayer in caso di reti complesse
Se la rete da gestire comprende decine di host, di diversi utilizzi (macchine in produzione di front-end, cioè che devono interagire direttamente con Internet, macchine di backend come database o sistemi di monitoring, macchine di stage e pre-produzione, macchine di sviluppo, client di sistemisti e sviluppatori ecc) è opportuno valutare una suddivisione della nostra rete in più livelli, cercando di proteggere quelli più interni e delicati (il backend) e limitando allo stretto necessario l'accesso a queste macchine da parte di altre macchine più esposte (per esempio i server pubblici di front-end, i server di sviluppo, i client vari).
In strutture complesse, inoltre, le macchine di frontend, se possibile, non dovrebbero avere accesso in scrittura ai dati: un web server per esempio non dovrebbe poter scrivere sulla directory in cui sono contenute le sue pagine web, eventualmente generate da un Content Management System sul backend.
Con reti più semplici è comunque buona norma cercare di limitare allo stretto necessario le possibilità di comunicazione di una macchina con qualciasi altra macchina del nostro network, in modo da limitare i potenziali danni su tutti i sistemi dopo l'intrusione in uno degli host.
- Diversificare le difese
Il Tipico Esperto di Sicurezza, per definizione, solleva una quantità di problematiche enormi, non del tutto ingiustificate invero, e arriva ad analizzare molteplici aspetti, dalla sicurezza fisica al training del personale, dal logging di ogni bit sospetto alla gestione di un verbosissimo IDS, che nella realtà spesso diventano di difficile attuazione.
Un'altra delle Tipiche Raccomandazioni del suddetto Esperto è la diversificazione delle difese: non basta il firewall, non basta l'IDS, non basta la password sul Bios: ogni possibile mezzo per rendere difficile la vita ad un cracker è un buon mezzo, anche se a volte rende la vita difficile anche ad un sysadmin.
Un esempio tipico è la rimozione di ogni programma non strettamente necessario da un server in produzione: nessun comando per scaricare un file da remoto (wget, ftp, lynk, irc, curl ecc), nessun compilatore che permetta ad un intrusore di compilarsi i suoi sorgenti maligni direttamente sul nostro sistema, sistema di Mandatory Access Control che impedisca ad un qualsiasi processo di fare qualcosa di diverso da quello che è stato configurato per fare.
Dal punto di vista della sicurezza sono tutti buoni mezzi che aumentano la solidità del sistema e al contempo ne aumentano la difficoltà di gestione.
Come al solito, nel mezzo e nelle nostre specifiche esigenze, sta la soluzione ideale.
A queste indicazioni generali, che si applicano considerando solo a livello di rete le nostre problematiche di sicurezza si affiancano tutte le altre procedure volte a rendere sicuri i servizi che si lasciano aperti in rete.
Questo è un argomento ben più complesso e articolato, che riguarda i singoli sistemi operativi, i software utilizzati e le proprie implementazioni specifiche.
Come si è potuto intravedere, quindi, realizzare un sistema estremamente sicuro è complicato e richiede sforzi e risorse notevoli, ma realizzare una struttura di rete "ragionevolmente" sicura, che ci possa proteggere dalla maggior parte delle insidie non è eccessivamente gravoso e si può riassumere, semplificando all'estremo, in tre principi fondamentali:
- ridurre al massimo le porte esposte a Internet;
- avere software aggiornati in ascolto sulle porte esposte;
- non configurare in modo scorretto i servizi pubblici.

Alternativa alle schede di rete
Un'alternativa al cablaggio strutturato, e quindi alla posa di cavi in apposite canaline, per creare una rete, esiste in commercio degli adattatori per "rete elettrica". E' un'ottima alternativa all'acquisto di schede di rete, costi di cavi e canaline e di.... elettricista. Il kit in questione è distribuito da http://www.devolo.it che vende i kit per lan o usb, per la creazione di una piccola rete. Non si può parlare certo di una rete di grandi dimensioni. Infatti il kit può arrivare fino a una decina di apparati. E' molto comodo, perchè è facile da installare (basta una presa elettrica), serve una scheda di rete nel computer e/o una porta USB, e il gioco è fatto. Due o più computer possono essere collegati in rete, pur restando in stanze completamente diverse, anche distanti. La velocità massima raggiunta è di 14Mbps, più che sufficiente per scaricare e navigare in internet.
(ndr. Io ero un po' diffidente, ma una volta acquistato, ho ottenuto il risultato voluto. Abitando in un palazzo ed avendo un "garage laboratorio" era impossibile portare cavi e utilizzare l'eventuale wireless. Questo kit mi ha permesso tranquillamente di testare la connessione internet e delle schede di rete, senza problemi, anche in garage!)

I codici di errore del modem
Molte volte non appena proviamo a collegarci in Internet, la connessione non va a buon fine e ci da' un bel due di picche con vari messaggi di errore numerici. 
In questa mail esamineremo i vari codici di errore che possono apparire e soprattutto quali soluzione adottare prima di ricorrere a travasi di bile. 
Messaggi di errore:
602 - Il modem è utilizzato da un'altra connessione di accesso remoto. - un'altra connessione di accesso remoto sta cercando contemporaneamente di collegarsi. Questo e' il problema che sovente capita quando utilizziamo software contascatti oppure quando apriamo Internet Explorer che cerca di connettersi automaticamente mentre noi stiamo provando da accesso remoto. - oppure e' attivo un software per invio/ricezione fax. Cosa fare: disattivare momentaneamente il software per fax ed evitare di aprire subito IExplorer mentre si cerca di connettersi. 
629 - Disconnessione dal computer su cui si è tentato di connettersi - C'e' un problema di collegamento tra modem e linea telefonica Cosa fare: verificare innanzitutto che il connettore della linea sia su "LINE" - verificare anche che non ci siano telefoni attaccati insieme col modem con spine passanti - Provare a disinstallare e poi reinstallare Accesso Remoto dal Pannello di controllo tramite Installazione/applicazioni. Inoltre reinstallare il TCP/in Pannello di controllo/Rete. Questo e' uno dei piu' fastidiosi errori e consiglio di chiamare l'assistenza tecnica del provider con computer davanti. 
630 - Il computer non riceve alcuna risposta dal modem - Non e' inserita nessuna stringa oppure la stringa addizionale e' errata - Il Modem collegato male o non e' acceso - Non c'e' linea telefonica Cosa fare: controllare i collegamenti tra modem e prese telefoniche, verificare che il Modem sia accesso ed andare in Pannello di controllo/Modem, cliccateci due volte sopra ed andate in Proprieta'/Connessione/Avanzate e controllate che in Altre Impostazioni ci sia inserita una stringa adatta. Alcuni Modem la "pretendono", per latri non e' necessaria. Uno di quelli che la vogliono per forza e' il modem US Robotics Sportser Flash. 
645 - Impossibile completare la connessione al server, verificare la configurazione e riprovare ad effettuare la connessione - La password e' errata - Manca il TCP/IP in Pannello di Controllo/Rete Cosa fare: controllare prima che TCP/IP sia correttamente installato. Riprovare a riscrivere la password facendo attenzione che se ve l'hanno data in minuscolo deve essere per forza scritta in minuscolo. Spesso pero' questo problema e' legato a problemi del provider a cui vi collegate. Pertanto non vi resta che tentare un paio di volte e poi riprovare piu' tardi. 
650 - Il computer selezionato per la connessione non risponde alla richiesta di rete - Bisogna reinstallare Accesso Remoto da Installazione Applicazioni - Provate a verificare su Pannello di controllo / rete la presenza di componenti differenti da : " DRIVER DI ACCESSO REMOTO " " TCP/IP " Cosa fare: cancellare tutte la connessione dalla cartella di Accesso Remoto e impostatene una nuova. Riavviate il computer e provate a collegarvi di nuovo.
676 - Linea Occupata - Verificate il numero di telefono del Pop. - Verificate che la configurazione del modem non sia stata cambiate. Cosa fare: a volte questo errore e' legato ai modem della US Robotics. Infatti al secondo tentativo ci si riesce a collegarsi. Se invece l'errore persiste spessissimo, controllate che qualcuno non vi abbia rubato la password e stia utilizzando la vostra connessione. 
678 - Mancata risposta da parte del computer selezionato per la connessione - Verificare che il Numero di telefono del Pop sia esatto. - Non c'e' collegamento tra modem - linea telefonica - Configurazione del modem da rivedere nuovamente Cosa fare: anche questo fa parte dei problemi spesso strettamente legati al Provider ed alle loro macchine. Quindi spegnere il PC e provare a collegarsi piu' tardi. 
680 - Segnale di linea assente - Aggiungere la stringa x3 nelle impostazioni addizionali - Andare nelle proprieta' del modem e disattivate la voce "Attendi il segnale prima di comporre il numero" nelle proprietà del modem, scheda Connessione. Cosa fare: a volte basta solo il punto 1 a rimettere a posto le cose. La stringa atx3 si dimostra spesso una soluzione molto efficace. Questa stringa nella maggior parte dei modem serve ad ignorare il segnale di linea libera e a forzare il numero. 
691 - Il computer selezionato per la connessione non può stabilire la connessione, verificare la password e riprovare. - La password e' errata. Cosa fare: Vedere la soluzione per l'errore 645 riguardo la password. 
731 - Protocollo non configurato - Rimuovere e Reinstallare TCP/IP Cosa fare: Rimuovete il TCP/IP e reinstallatelo. 
742 - Il computer che si sta chiamando non supporta i requisiti di codifica dei dati specificati - Reinstallare Dispositivo di Accesso Remoto Cosa fare: cancellate l'accesso remoto dalla cartella Risorse del Computer e reinstallatela. 

Falsificare un indirizzo web
Anche se Internet Explorer è uno dei browser più diffusi, presenta diversi problemi di varia natura fra cui alcuni gravi, relativi alla sicurezza. Uno dei più recenti bug scoperti consente a un malintenzionato di far credere, a un utente ignaro, di trovarsi sul sito della propria banca quando in realtà si trova in un sito che è stato ricreato per epletare la truffa.
La truffa si basa tutta su un link creato appositamente e che visualizza sulla barra degli indirizzi di Internet Explorer un URL differente da quello reale del sito in cui si è entrati. In questo caso si parla di URL Spoofing. Ecco il codice che permette lo spoof:
<html>
<head>
<title>URL Spoofing</title>
</head>
<body>
<button onclick="location.href=unescape('http://www.microsoft.com%01@www.manuali.net');">
<p><strong>Microsoft</strong></p></button>
</body>
</html>
Aprite il Blocco Note e copiate il codice riportato sopra, salvate il file con il nome "test.html" con le virgolette altrimenti vi salverà il file con estensione .txt.
Fatto questo aprite test.html con Internet Explorer e cliccate sul bottone Microsoft, noterete che sulla barra degli indirizzi comparirà l’indirizzo relativo alla Microsoft mentre sotto nella videata vedrete il sito di Manuali.net, questo è solo un esempio, ma chi compie transazioni su internet può essere facilmente raggirato attraverso questo metodo.
Soluzioni: fortunatamente Internet Explorer sembra essere l'unico browser a risentire di questo bug, perciò in attesa di una patch rilasciata da Microsoft (nel momento in cui scrivo non esiste una patch ufficiale) si possono utilizzare altri browser, fra cui: Netscape, Opera, Mozilla, Firebird, Camino. Infatti aprendo test.html con uno dei browser citati si visualizza l'indirizzo reale a cui ci si è collegati, ossia:
http://www.microsoft.com%01@www.manuali.net/Default.asp
Nota: la versione per Mac di Internet Explorer non sembra essere affetta da questo problema, mentre lo sono la versione 5.* e superiori per Windows.

Scambio files: impostazioni per ROUTER
I router sono un aiuto quando una connessione internet va ripartita su più pc ma uno svantaggio per il peer to peer (p2p), perchè non trasferiscono i pacchetti dati a causa del firewall integrato che blocca proprio le porte che sono sfruttate dagli strumenti di file sharing. Una soluzione semplice, ma rischiosa, è attivare la cosidetta "Demilitarized Zone"(DMZ): in questo modo il router trasferisce al pc di rete tutte quelle richieste per cui il firewall risulta disabilitato verso l'indirizzo IP interno del PC.
La schermata di tale impostazione si trova sotto DMZ nella configurazione del router; la maggior parte di tali periferiche richiede l'immissione dell'indirizzo IP interno del pc, che si può trovare selezionando Start - Esegui e immettendo nella riga comandi il termine CMD. Si apre così una sessione MS-DOS: al prompt è necessario scrivere ipconfig seguito da Invio; si potranno visualizzare gli indirizzi IP del computer, tra i quali quello ricercato. Il rischio, purtroppo, è che un hacher sia poi in grado di utilizzare le falle aperte tramite le porte del pc posto nella zona DMZ. (Se si attiva per il proprio PC la DMZ, gli strumenti p2p funzionano a dovere, ma manca qualsiasi protezione da parte del firewall)
Vi è poi una soluzione sicura: con l'aiuto dell'opzione "PortForwarding": si denon trasferire alle porte solo le richieste provenienti dal software di file sharing. Tale impostazione si trova, per la maggior parte dei router, nella voce di menù NAT (Netword Addess Translation) oppure sotto Applicazioni Server. Nella relativa finestra di configurazione sarà così possibile sbloccare intere serie di porte, ossia quelle richieste dal software p2p.

Software di p2p Porte
KaZaA Lite 1214, 3699 (può usare anche la porta 80)
eMule 4661, 4662, 4665, 4672
BitTorrent 6881 bis, 6889
SoulSeek 2234, 5534
DirectConnect  configurabile
Gnutella 6346
WinMX 6699 (TCP), 6257 (UDP)
Shareaza 6346

Porte che è consigliabili chiudere, per evitare attacchi:

UDP TCP
135, 137, 138, 139, 445, 503 tutte

Sono porte che fungono da interfaccia per il servizio RPC. In questo modo si sarà protetti dai futuri attacchi a questi punti deboli. Non sarà più possibile usare il software di controllo a distanza.
Vedi l'elenco delle porte

Porta Descrizione Suggerimento
21 FTP Server Da aprire per ricevere dati tramite FTP
22 SSH Server Necessaria per offrire un SecureShell
25 SMTP Da aprire solo nel caso di gestione di un mail server
80 HTTP Va aperta solo se si gestisce un server per il Web
110 POP3 Da aprire solo se si gestisce un mail server
135, 137, 138, 139, 445 Servizi Windows Remote (NetBios e RPC) Da tenere chiuse sempre: utili solo in una rete locale
1214 KaZaA Lite Da aprire se si utilizza KaZaA
1755 Microsoft Media Player Alcuni streaming server sul Web usano questa porta. Meglio tenerla chiusa.
1863 Microsoft MSN Messenger Da tener chiusa, il messenger funziona lo stesso.
4661, 4662, 4665, 4672 eMule Da aprire se si utilizza eMule
5050 Yahoo/Messenger Da tener chiusa, il messenger funziona lo stesso
5190 ICQ, AIM Da tener chiusa, il messenger funziona lo stesso
6881, 6889 BitTorrent Da aprire se si utilizza BitTorrent.

Schema de ISO/OSI

The 7 Layers of the OSI Model

The OSI, or Open System Interconnection, model defines a networking framework for implementing protocols in seven layers. Control is passed from one layer to the next, starting at the application layer in one station, proceeding to the bottom layer, over the channel to the next station and back up the hierarchy.

Application
(Layer 7)
This layer supports application and end-user processes. Communication partners are identified, quality of service is identified, user authentication and privacy are considered, and any constraints on data syntax are identified. Everything at this layer is application-specific. This layer provides application services for file transfers, e-mail, and other network software services. Telnet and FTP are applications that exist entirely in the application level. Tiered application architectures are part of this layer.
Presentation
(Layer 6)
This layer provides independence from differences in data representation (e.g., encryption) by translating from application to network format, and vice versa. The presentation layer works to transform data into the form that the application layer can accept. This layer formats and encrypts data to be sent across a network, providing freedom from compatibility problems. It is sometimes called the syntax layer.
Session
(Layer 5)
This layer establishes, manages and terminates connections between applications. The session layer sets up, coordinates, and terminates conversations, exchanges, and dialogues between the applications at each end. It deals with session and connection coordination.
Transport
(Layer 4)
This layer provides transparent transfer of data between end systems, or hosts, and is responsible for end-to-end error recovery and flow control. It ensures complete data transfer.
Network
(Layer 3)
This layer provides switching and routing technologies, creating logical paths, known as virtual circuits, for transmitting data from node to node. Routing and forwarding are functions of this layer, as well as addressing, internetworking, error handling, congestion control and packet sequencing.
Data Link
(Layer 2)
At this layer, data packets are encoded and decoded into bits. It furnishes transmission protocol knowledge and management and handles errors in the physical layer, flow control and frame synchronization. The data link layer is divided into two sublayers: The Media Access Control (MAC) layer and the Logical Link Control (LLC) layer. The MAC sublayer controls how a computer on the network gains access to the data and permission to transmit it. The LLC layer controls frame synchronization, flow control and error checking.
Physical
(Layer 1)
This layer conveys the bit stream - electrical impulse, light or radio signal -- through the network at the electrical and mechanical level. It provides the hardware means of sending and receiving data on a carrier, including defining cables, cards and physical aspects. Fast Ethernet, RS232, and ATM are protocols with physical layer components.

 

Strato 1: Fisico
Strato 2: di Collegamento Dati
Strato 3: di Rete
Strato 4: di Trasporto
Strato 5: di Sessione
Strato 6: di Presentazione
Strato 7: di Applicazione

1.  Riduce la complessità
Scompone le complesse problematiche del networking in parti più piccole (livelli)
2.  Standardizza le interfaccie
Standardizzando i componenti, permette a tutti i vendor di partecipare al mercato
3.  Facilita l' ingenerizzazione dei componenti
Permette ai costruttori di hw e di sw di creare prodotti "compatibili".
4.  Assicura l'interoperabilità
Permette la gestione di servizi indipendentemente dal tipo di piattaforma hw e sw
5.  Accellera l'evoluzione
Permette l'implementazione dei singoli livelli indipendentemente dagli altri. Ciò facilita sviluppo ed evoluzione.
6.  Semplifica l'apprendimento e l'insegnamento
Divide la complessità delle  comunicazioni in rete in tante piccole parti. Ognuna delle quali è facile da apprendere e da insegnare.

   

HUB opera a livello fisico (level 1)
Bridge opera a livello 2
Router opera a livello 3 (rete)
Anche alcuni switch operano a questo livello (layer 3)
Gateway opera a livello 7

Modello OSI dei livelli di rete
Livello fisico: si occupa della trasmissione dei singoli bit da un estremo all'altro dei vari mezzi di comunicazione che possono essere il doppino telefonico, il cavo coassiale, le fibre ottiche, le onde radio, i satelliti. Perchè si possa avere una connessione tra PC, è necessario dunque, ma non indispensabile, un supporto fisico, composto solitamente da un cavo e da interfacce di comunicazione. La connessione tipica di una rete locale utilizza sistemi Ethernet. I cavi e le schede ethernet appartengono a questo primo livello. Protocollo standard è il protocollo Ethernet.
Livello collegamento dati: riguarda i dispositivi che gestiscono il collegamento dati da un PC all'altro della stessa rete. Controlla la correttezza delle sequenze di bit trasmesse e ne richiede eventualmente la trasmissione. Provvede alla formattazione delle informazioni ed alla sincronizzazione dei frames, nonchè alla correzione ed al recupero dei messaggi errati. Un frame contiene, a livello di collegamento dati, l'indirizzo di destinazione e, se richiesto da un livello superiore, anche l'indirizzo di origine, e un codice per la correzione e rilevazione degli errori.
Livello di rete: i messaggi vengono suddivisi in pacchetti che, una volta giunti a destinazione, vengono riassemblati nella loro forma originaria. Il livello di rete provvede inoltre a reinstradare, tramite i router, i pacchetti verso il PC di destinazione. Nel caso di una rete locale a banda larga con canali multipli ciò significa che è a questo livello che avviene lo smistamento dei pacchetti dati da e verso i rispettivi canali di origine o di destinazione. Il protocollo di rete più utilizzato nel live 3 è il protocollo IP.
Livello trasporto: gestisce la trasmissione dei pacchetti end-to-end Ha il compito specifico di assicurare il trasferimento dei dati tra strati di sessione appartenenti a sistemi diversi, geograficamente separati, senza che sui dati vi siano errori o duplicazione. E' in grado di identificare il destinatario, aprire o chiudere un a connessione con il sistema corrispondente, suddividere o riassemblare un testo, controllare e recuperare gli errori, controllare la velocità con cui fluiscono le informazioni. A questo livello l'esistenza dei livelli inferiori è completamente ignorata e ciò porta ad identificarlo come il primo dei livelli che prescindono dal tipo e dalle caratteristiche della rete utilizzata. Il protocollo standard utilizzato nel livello 4 è il TCP: talvolta viene usato anche il protocollo UDP.
Livello sessione: gestisce la corretta sincronizzazione della corrispondenza dei dati che verranno poi visualizzati. Instaura cioè una sessione, cioè un collegamento logico e diretto tra due interlocutori, organizzandone il dialogo. Per tipo di dialogo si intende la modalità full-duplex, ovvero in entrambe le applicazioni in trasmissione e ricezione contemporaneamente (tipo telefono), o in half-duplex, che equivale a dire che mentre una stazione trasmette l'altra riceve o viceversa (tipo radiotelefono), oppure in simplex, dove una stazione può sempre e solo trasmettere e l'altra sempre e solo ricevere, come nelle trasmissioni televisive). Per la sincronizzazione si intende invece la capacità di sapere sempre fino a che punto la comunicazione sia arrivata a buon fine.
Livello presentazione: gestisce i formati di conversione dei dati, cioè effettua tutte le opportune conversioni in modo da compensare eventuali differenze di rappresentazione e di formato dei dati in arrivo e/o in partenza. Machcine diverse possono avere infatti rappresentazioni diverse. Ha anche il compito di assicurare l'opportuna compressione e/o la necessaria crittografia dei dati da scambiare.
Livello applicazione: riguarda i cosiddetti programmi applicativi. Questo livello gestisce la visualizzazione dei dati: login remoto, file transfer, posta elettronica. Per la gestione dei PC, il problema si presenta quando due sistemi che vogliono comunicare possiedono video o tastiere diverse, e quindi non compatibili. Ad esempio, per spostare il cursore ad inizio linea o per cancellare lo schermo, ogni scheda ha i suoi comandi specifici: invece di dotare tutti i sistemi di opportuni traduttori per tutti i possibili interlocutori è evidentemente molto più semplice definire uno standard unico di un PC virtuale a cui tutti i corrispondenti dovranno adeguarsi per comunicare.
Protocolli di rete
IP (Internet Protocol): responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP). Se necessario questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in pacchetti di dimensione adatta alla rete da utilizzare.
ICMP (Internet Control Message Protocol): Partner di IP con la funzione specifica di inviare, anzichè dati, messaggi di controllo e diagnostici (ad esempio pacchetti ECHO)
UDP (User Datagram Protocol): questo protocollo si trova ad un livello superiore rispetto ad IP, ed aggiunge alla semplice funzionalità di trasporto di IP la possibilità di "smistare" i pacchetti nella macchina di destinazione sulla base di un numero di porta aggiunto all'indirizzo. Viene controllata l'integrità dei dati attraverso una checksum, ma i pacchetti corrotti vengono smeplicemente buttati vie.
TCP (Transmission Control Protocol): questo è il protocollo di livello superiore ad IP che viene utilizzato più di frequente. La sua caratteristica è quella di stabilire una connessione fra due applicazioni identificate, come in UDP, da un numero di prota, e di garantire la trasmissione senza errori di flusso di dati. Se vegono ricevuti pacchetti corrotti, il protocollo richiede la ritrasmissione dei dati a partire dal primo pacchetto corrotto identificato. TCP implementa anche un timeout per la chiusura delle connessioni interrortte e non stabilite.
PPP (Point to Point Protocol): premete di trasferire traffico IP su una linea seriale. Create in particolare per gestire i collegamenti transitori via modem, comprende meccanismi di auto-configurazione delle estremità del collegamento e di autenticazione.
Protocolli applicativi: FTP (File Transfer Protocol), HTTP (HyperText Transfer Protocol), POP (Post Office Protocol), IMAP (Internet Message Access Protocol).
Protocolli per sessioni remote: Telnet, SSH (Secure Shell)

Il modello ISO/OSI
Verso la fine degli anni '70 la ISO (International Standard Organization) con lo scopo di uniformare la comunicazione anche tra reti progettate da case diverse, sviluppò un modello standardizzato, chiamato modello di riferimento OSI (Open System Interconnection).
Il modello di riferimento OSI descrive il modo in cui le informazioni vengono trasferite tra gli host in rete tramite 7 livelli (layer): Application, Presentation, Session, Transport, Network, Data Link, Physical.
- Application layer (livello applicazione): è il livello più vicino all'utente e si occupa di fornire i servizi di rete (ad esempio il traferimento di file o la posta elettronica). Tra i protocolli che fanno parte di questo livello abbiamo: SMTP (Simple Mail Transfer Protocol) il quale si occupa del trasferimento dei messaggi di posta elettronica, HTTP (Hypertext Transfer Protocol) per l'interconnessione con siti web, TELNET il quale svolge le operazioni necessarie a creare una sessione con un host remoto, FTP (File Transfer Protocol) che permette il traferimento dati attraverso la rete tra due host, POP3 (Post Office Protocol v3) per il download dei messaggi di posta, IMAP (Internet Mail Access Protocol) un protocollo relativo alla posta, ma più avanzato e complesso, NNTP (Network News Transfer Protocol) che permette di leggere e scrivere informazioni su Usenet;
- Presentation layer (livello presentazione): gestisce le conversioni tra formati di dati, cioè definisce una codifica indipendente dalla macchina utilizzata allo scopo di creare un formato standard comprensibile da tutti. Se necessario, sono utilizzate anche la funzioni di compressione e crittografia;
- Session layer (livello sessione): definisce le regole per aprire e chiudere una connessione logica riguardante il trasferimento dati tramite protocolli di connessione e comunicazione. In questo layer sono svolte anche funzioni di sicurezza al fine di garatire che due host siano autorizzati a comunicare tra loro. Tra i protocolli di questo layer troviamo NFS (Network File System), RPC (Remote Procedure Call), X Window;
- Transport layer (livello trasporto): assicura la corretta trasmissione dei dati segmentando il flusso proveniente dal livello superiore in porzioni di dimensione prevista dal supporto utilizzato dalla rete. Inoltre fornisce un riscontro delle trasmissioni e nel caso in cui si verifichino errori provvede a reinviare i dati. I protocolli caratteristici di questo layer sono TCP e UDP;
- Network layer (livello rete): si occupa di trovare il percorso migliore per il trasferimento dati tra host. Suddivide i dati in pacchetti che verranno poi instradati in un determinato percorso stabilito tramite degli algoritmi che analizzano le condizioni di traffico della rete. Tra i protocolli che sono coinvolti nelle funzioni svolte da questo livello abbiamo: IP (il quale si occupa dell'instradamento dei dati) e ICMP (si occupa della gestione degli errori ed il controllo dei messaggi) e protocolli di routing quali ad esempio RIP (Routing Information Protocol), IGP (Internet Gateway Protocol), oppure OSPF (Open Shortest Path First);
- Data link layer (livello collegamento dati): provvede ad organizzare i dati in blocchi di lunghezza predefinita chiamati frame ed effettua i primi controlli sulla validità tramite CRC (Cyclic Redundancy Check). Inoltre in questo strato sono definite le tecniche di sincronizzazione cioè le modalità per evitare che siano inviati dati ad una velocità incompatibile alla capacità di acquisizione del destinatario oppure che in una trasmissione bidirezionale i due nodi trasmettano contemporaneamente. Il Data link layer è suddiviso in due sottostrati: LLC (Logical Link Control) il quale si occupa del controllo errori e lavora a con il Network layer e MAC (Media Access Control) che fornisce l'accesso al mezzo trasmissimo (il cavo) e lavora quindi a stretto contatto con il Physical layer;
- Physical layer (livello fisico): gestisce l'interazione tra il computer e il mezzo trasmissivo e si occupa della conversione tra bit e segnali.
Le informazioni che vengono scambiate da un layer all'altro sono chiamate PDU (Protocol Data Unit). I dati del livello superiore vengono incpasulati come informazioni dallo strato inferiore.
Un esempio di processo:
1. I dati utente (Es. E-mail) vengono convertiti in un formato dati trattabile via rete;
2. I dati convertiti, a loro volta vengono trasformati in segmenti, quindi spediti tramite TCP o UDP ad un host remoto;
3. I segmenti vengono quindi incapsulati in pacchetti ai quale viene aggiunto l'indirizzo di partenza e di destinazione;
4. I pacchetti sono convertiti in frame a seconda del mezzo trasmissivo;
5. I frame sono convertiti in bit ed inviati via cavo.
Processo che dal punto di vista di Layer e PDU è il seguente:
[Dati] - in Application
[Dati] - in Presentation
[Dati] - in Session
[TCP o UDP Header][Dati] - in Transport (PDU = segmenti)
[IP Header][Dati] - in Network (PDU = pacchetti)
[LLC Header][Dati] - in Data Link (LLC) (PDU = frame)
[MAC Header][Dati] - in Data Link (MAC) (PDU = frame)
[010101] - in Physical (PDU = bits)
Una volta che i dati sono giunti a destinazione il processo viene ripetuto in senso inverso. Ogni layer estrae i dati che deve elaborare estrapolandoli dal relativo PDU.
===============================================================
Gestire le comunicazioni in rete è un problema complesso. Le differenze di hardware e software  hanno creato, in passato, incompatibilità fra i sistemi e quindi difficoltà di interazione fra i servizi.
Nei primi anni '80 la rapida evoluzione delle reti cominciò a creare grossi problemi alla interconnessione fra le stesse tanto da costringere le grandi multinazionali dell'IT ad abbandonare i sistemi proprietari e muovere verso un sistema di integrazione basato su uno standard.
Il modello di riferimento OSI (Open System Interconnection), diventato parte degli standard ISO (International Organization for Standardization) nel 1984, divide la gestione della rete in livelli  (layers). Questo modello non definisce uno standard tecnologico ma, un modello di riferimento comune per le tecnologie e i servizi che gestiscono le reti. Esso assicura compatibilità e interoperabilità anche fra diversi tipi di tecnologie.
Lo studio dell'Iso prese in esame gli aspetti comuni fra le varie tecnologie (SNA, DECNET, TCP/IP ecc) e cercò di addivenire ad una serie di regole, basate su livelli, che aiutassero i costruttori ad implementare protocolli aperti.
Per capire il concetto di strutturazione per livelli è necessario comprendere come il flusso dei dati viene gestito e regolato fra gli stessi. Un buon esempio potrebbe essere quello relativo al sistema postale. Ogni passaggio di consegna di una lettera avviene per livello di competgenza e per regole di smistamento. La lettera viene imbucata in una cassetta postale e poi prelevata e portata al centro di smistamento. Nel centro di smistamento viene interpretato l'indirizzo e la lettera viene veicolata verso un altro centro vicino alla destinazione finale dove seguirà il percorso analogo (ma a ritroso) fino ad arrivare nelle mani del postino per essere recapitata.
I livelli del modello OSI/ISO sono sette. La storia racconta che la scelta di 7  livelli è dovuta ad una aderenza sostanziale e a una compatibilità inevitabile con il modello di comunicazione più in voga nel 1984. IBM ovviamente.
Se consideriamo i livelli nel modo indicato dalla tabella seguente, il primo livello è quello più basso ed è a contatto con il mezzo fisico (media), mentre l'ultimo è quello più alto ed è direttamente a contatto con le applicazioni:
Livello 7 Applicazione (Network Processes to Application)
Il livello 7 è quello che si interfaccia direttamente con i programmi applicativi (Application Program Interface). I campi applicativi più conosciuti sono, per esempio, la posta elettronica (software per la gestione della Email), il trasferimento dei flussi (software per ftp o http), le connessioni remote (software di accesso remoto) , emulazioni di terminali ecc.
E' il livello più a contatto con l'utente e non serve nessun livello superiore.
Livello 6 Presentazione (Data Representation)
Il livello 6 serve per la trasformazione/conversione del formato dei dati (ad es. cifratura e decifratura). Molto spesso i sistemi che si interfacciano alla rete adottano codifiche diverse (es. ASCII o EBCDIC). In pratica il livello 6 assicura la "leggibilità e l'interpretazione" del dato da parte del sistema ricevente.
Livello 5 Sessione (Interhost Communication)
Si preoccupa di controllare il dialogo (sincronizzazione/mantenimento della comunicazione) fra due programmi applicativi. Questo livello si occupa quindi della qualità della cosidetta "conversazione".
Livello 4 Trasporto (End-to-end connections)
E' il livello a cui è delegata la funzione di invio e ricezione dei dati. Si occupa di fornire un trasferimento dati affidabile correggendo gli errori. Divide i messaggi i in pacchetti, ne controlla e preserva l'ordine con cui devono essere spediti, controlla la presenza di errori. E' il primo layer che lavora indipendentemente dalla topologia della rete in cui si trova, per questo viene chiamato end-to-end.
Questo livello non si occupa quindi della qualità del servizio e della sua affidabilità. In particolari servizi di comunicazione è questo il livello che stabilisce, mantiene e poi chiude i cosideti "circuiti virtuali".
Livello 3 Network (Address and best path)
Questo livello si occupa della gestione relativa all'instradamento dei pacchetti, controlla l'indirizzo di provenienza e di destinazione e gestisce le tabelle di instradamento (come le tabele di routing) necessarie per far giungere a destinazione i pacchetti. E' questo il livello che sceglie gli instradamenti alternativi, sia in caso di guasti o di mutate condizioni di traffico, che in base alla scelta del minor costo. Si può asffermere che lavora in modo astratto rispetto al tipo fisico di comunicazione. 
Livello 2 Data Link (Access to media)
Gestisce i pacchetti (frame), spezzoni di messaggio di lunghezza fissa. Si occupa di tutti i meccanismi di individuazione e correzione degli errori avvenuti nel livello 1. A questo livello avviene l'indirizzamento fisico basato sull'indirizzo fisico degli host (MAC).
Livello 1 Fisico (Bnariy transmission)
Si occupa della trasmissione dei dati sul mezzo fisico (media). Qui viene, di fatto, specificata la rappresentazione elettrica degli 0 ed 1 binari in modo tale che il sistema ricevente possa leggere correttamente il flusso di bit in arrivo. Tutti gli standard di voltaggio, distanze massime, connettori fisici ecc. sono qui attribuiti.
Tabella riassuntiva:

1

Application

SMB, NCP e FTP

2

Presentation

NCP, Compressione Dati

3

Session

Nessuno

4

Transport

TCP, SPX, NWLink, NetBEUI 

5

Network

IP, IPX, NetBEUI, DLC, DecNET 

6

Data Link

Solo lo standard IEEE 802

7

Physical

Solo lo standard IEEE 802

Principi seguiti durante lo sviluppo del modello OSI:
ogni livello deve avere un diverso livello di astrazione;
ogni livello deve avere una funzione ben definita;
la scelta dei livelli deve:
minimizzare il passaggio delle informazioni fra livelli;
evitare:
troppe funzioni in un livello;
troppi livelli
note:
modello di riferimento -> definisce il numero, le relazioni e le caratteristiche funzionali dei livelli

Il modello TCP/IP
Il modello TCP/IP, il quale prende il nome da i due protocolli principali di Internet progettati nel 1974 da Robert E. Kahn e Vinton G. Cerf a Berkeley, descrive il processo di trasmissione dati riassumendo i 7 livelli del modello ISO/OSI.
- Application (Applicazione): rappresenta i layer Application, Presentation e Session del modello OSI. Questo livello si occupa di fornire alle applicazioni (FTP, Telnet, Mail) i servizi di rete, compresi la rappresentazione dei dati, ed il mantenimento di sessioni;
- Transport (Trasporto): rappresenta l'omonimo layer del modello OSI. Questo livello si occupa del trasporto attraverso i protocolli TCP (Transmission Control Protocol) di tipo connection-oriented e UDP (User Datagram Protocol) di tipo connectionless permettendo quindi di stabilire comunicazioni tra due host;
- Internet (Internet): rappresenta il layer Network del modello OSI. Questo livello si occupa di indirizzare, suddividere e instradare i pacchetti sulla rete. Il protocollo IP lavora in questo layer offrendo un metodo di indirizzamento ed un tipo di trasmissione connectionless;
- Network (Rete): rappresenta i layer Data Link e Phisical del modello OSI, lavora a stretto contatto con l'hardware. Questo livello si occupa di prelevare ed immetere i frame dati, diversi a seconda della tipologia di rete, sul cavo di rete e di controllarne la correttezza tramite un algoritmo CRC (cyclic redundancy check). Rispetto al modello ISO/OSI non ci sono distinzioni tra schede di rete e driver con il vantaggio di poter implementare TCP/IP su ogni tipo di rete.
Un modello organizzato in questo modo presenta diversi vantaggi, infatti un nuovo protocollo in uno qualsiasi dei layer TCP/IP deve interagire solamente con quello adiacente a livello superiore od inferiore, semplificando e conseguentemente riducendo la possibilità di errori nello sviluppo e nella gestione.

Il modello TCP - (Internet Suite)
Ancora prima della attuale Internet, fu il progetto di ricerca Arpanet (finanziato dal Department of Defense americano) che si preoccupò di costruire una rete estremamente affidabile, anche in caso di eventi catastrofi. come cataclismi o guerre planetarie che potevano influire sulla eliminazione, o isolamento, di molti nodi di rete.
Arpanet, da prototipo, si sviluppò fino a diventare la Internet come ora la conosciamo. Nel corso del suo sviluppo Internet riuscì ad integrare i diversi sistemi di rete esistenti attraverso un architettura ideata,  fin dall'inizio, per consentire l'interconnessione di reti fra loro profondamente diverse (internetwork).
Ed è proprio il concetto di Internetworking che sta alla base del successo di Internet e che ne ha determinato l'assunzione a STANDARD.
Nel corso del tempo questo tipo di architettura (nota anche con il nome di Internet Protocol Suite, architettura TCP/IP e TCP/IP reference model) è cresciuta attraverso un costante lavoro di implementazione e affinamento. Questo lavoro di implementazione, affinamento e standardizzazione trova testimonianza permanente nelle RFC (Request For Comments).
Relazione fra i livelli OSI e quelli TCP/IP:

 OSI

 

 TCP/IP

 

 

 

APPLICATION

 



APPLICATION

 

 

 

PRESENTATION

<=

 

 

SESSION

 

 

 

 

TRANSPORT

<=

TRANSPORT

 

 

 

NETWORK

<=

INTERNET

 

 

 

DATA LINK

 

NETWORK INTERFACE

 

<=

PHYSICAL

 

I principali requisiti che il progetto stabilì, fin dall'inizio, si possono riassumere in:

questi requisiti portarono alla definizione di una architettura di rete basata su: 

 Livello Application 
Nella suite TCP/IP non sono previsti i livelli session e presentation (non furono ritenuti necessari; l'esperienza col modello OSI ha mostrato che questa visione è condivisibile).
Sopra il livello transport c'è direttamente il livello application, che contiene tutti i protocolli di alto livello che vengono usati dalle applicazioni reali. I progettisti hanno creato un livello che soddisfa le problematiche di presentazione, codifica e controllo della comunicazione.
I protocolli introdotti per primi (ed attualmente fortemente in uso) sono: 
* Telnet: terminale virtuale; 
* FTP (File Transfer Protocol): trasferimento di archivi; 
* SMTP (Simple Mail Transfer Protocol) e POP (Post Office Protocol): posta elettronica. 
Successivamente se ne aggiunsero altri, fra cui:
DNS (Domain Name Service): mappatura fra nomi di host e indirizzi IP numerici; 
NNTP (Network News Transfer Protocol): trasferimento di articoli per i newsgroup; 
HTTP (HyperText Transfer Protocol): alla base del Word Wide Web.
Livello Transport 
E' stato progettato per consentire la conversazione delle peer entity sugli host sorgente e destinazione (end-to-end). E' il livello che si occupa della qualità del servizio, dell'affidabilità, del controllo di flusso e della correzione degli errori.
Sono definiti due protocolli in questo livello:

Livello Internet 
E' il livello che tiene insieme l'intera architettura. Il suo ruolo è consentire ad un elaboratore (host) di iniettare pacchetti in una qualsiasi rete e fare il possibile per farli viaggiare, indipendentemente gli uni dagli altri e magari per strade diverse, fino alla destinazione, che può essere situata anche in un'altra rete. Dunque è connection less. E' un servizio best-effort datagram. Il protocollo che si occupa di questa incombenza è l' IP (Internet Protocol). Le funzioni principali sono l'instradamento (routing) e il controllo della congestione. 
Network Interface 
Nelle specifiche del modello TCP/IP non esiste una considerazione del livello fisico in quanto lo stesso si appoggia direttamente a quello dei dispositivi disponibili per le varie piattaforme HW e, comunque, conformi agli standard IEEE 802. Tutto ciò che si assume è la capacità dell'host di inviare pacchetti IP sulla rete, difatti questo livello viene anche denominato "host-to-network layer".
Collocazione dei principali protocolli sui livelli della suite TCP/IP:

APPLICATION =>

TELNET, FTP, SMTP, HTTP, NNTP, RLOGIN, DNS, TFTP

TRANSPORT =>

TCP, UDP

INTERNET =>

IP, ICMP, ARP, RARP

NETWORK INTERFACE =>

LAN, WAN, MAN

Il protocollo IP
Il protocollo IP si occupa di fornire un metodo di indirizzamento logico e di gestione frammentazione/riassemblaggio per la trasmissione dati tra gli host di una rete.
Il protocollo IP, descritto nella RFC 791, nasce negli anni '70 grazie a una serie di ricerche fatte dalle università americane su richiesta del ministro della difesa, allo scopo di realizzare una rete in grado di trasportare diversi tipi di informazioni. L'IP protocol definisce una tecnica di trasmissione dati non orientata alla connessione (connectionless) e senza riscontro (non c'è garanzia che i pacchetti giungano a destinazione e nella sequenza corretta). Esso prevede che le informazioni vengano strutturate in unità chiamate datagrammi IP (IP datagram), di lunghezza massima 65535 byte, suddivise in due aree: il campo dati (data) che contiene il messaggio da inviare e l'intestazione (header) che contiene le informazioni necessarie per instradare il pacchetto.
HEADER IP
L'intestazione di un pacchetto IP è suddivisa nei seguenti campi:
Version: campo di 4 bit, descrive la versione del protocollo;
IHL: campo di 4 bit, definisce la lunghezza dell'intestazione. Il campo IHL (Internet Header Lenght) viene sottratto da Packet Lenght per determinare l'inizio dei dati;
Service Type: campo di 8 bit, che definisce le caratteristiche del servizio in Precedence (importanza del pacchetto),
Delay, Throughput, Reliability (informazioni per il trasporto, servono a determinare il percorso che il pacchetto farà);
Packet Lenght: campo di 16 bit, definisce la lunghezza totale del pacchetto (Intestazione+Dati);
Packet Fragmentation: è formato da tre campi, identification di 16 bit , flags di 3 bit e fragment offset di 13 bit i quali permettono di suddividere il pacchetto in unità più piccole quando esso deve passare attraverso una rete che prevede frame di dimensioni minori, e di essere ricostruito all'uscita dalla rete;
Time-to-live (TTL): campo di 8 bit, definisce il tempo massimo di permanenza del pacchetto nella rete, ad ogni hop (router attraversato) il suo valore diminuisce di uno, una volta riaggiunto il valore zero il pacchetto viene scartato;
Protocol: campo di 8 bit, definisce il protocollo ad alto livello utilizzato per creare il messaggio contenuto nel campo dati (TCP, UDP, ICMP ecc);
Header Checksum: campo di 16 bit, definisce un checksum per il controllo della correttezza dei dati contenuti nell'intestazione del pacchetto;
Ip Address Source: campo di 32 bit, contiene l'indirizzo IP del mittente;
Ip Address Destination: campo di 32 bit, contiene l'indirizzo IP del destinatario;
Options: campo di dimensioni variabili, è opzionale, contiene informazioni sulle operazioni che devono essere effettuate durante il percorso;
Padding: campo di dimensioni variabili, è utilizzato per far raggiungere all'area d'intestazione una dimensione di 32 bit o un suo multiplo;
Data: i dati trasportati dal protocollo.

Apparati di Livello 2
Schede di rete:
una scheda di rete svolge compiti importanti quali,

Bridge: i bridge dividono la rete i due domini di collisione,ovvero operano una segmentazione della rete.
Quando più stazioni risiedono su uno stesso mezzo trasmissivo usano il CSMA/CD per poter trasmettere sul media e trasmettono solo quando il canale risulta libero. Se due stazioni trasmettono simultaneamente si verifica una collisione. Due stazioni si dicono appartenenti allo stesso dominio di collisione se trasmettendo simultaneamente creano una collisione.
Il bridge segmenta la rete separandola in due segmenti, con due domini di collisione distinti e allo stesso tempo ne garantisce la comunicazione. Quando da un segmento di rete viene trasmesso un frame, tutto le stazioni sul segmento lo ricevono,bridge compreso, il quale ne legge il campo Destination address. Il bridge dispone di una tabella comprensiva di tutte gli indirizzi MAC disposti su segmenti a lui collegati, verifica su quale segmento si trova la stazione con MAC Address corrispondente al destinatario e opera una decisione di instradamento. Se il destinatario risiede sullo stesso segmento della stazione mittente allora non inoltre il frame, in quanto Ethernet trasmette in broadcast e quindi il frame è già stato ricevuto da tutte le stazioni risiedenti sullo stesso segmento. Se invece risiede sull’altro segmento inoltra il frame.
Switch: gli switch possono essere spiegati come dei bridge multiporta, in cui ogni porta opera come fosse un bridge unico. Lo switch segmenta la rete con una tecnica detta microsegmentazione in quanto ogni porta rappresenta un dominio di collisione unico. Lo switch opera a livello dei frame e per effettuare decisioni di forwarding si basa sull’indirizzo MAC address, proprio come un bridge. La differenza sostanziale tra bridge e switch è che il bridge dispone di due porte cui collegare i due segmenti, mentre uno switch è un bridge che dispone di n porte. Lo switch inoltre permette di utilizzare la piena larghezza di banda su ogni porta: ogni porta dello switch disporrà di tutta la larghezza di banda supportata, indipendentemente dal numero di porte. Ad esempio 10 pc con scheda di rete a 10Mbps collegati a uno switch tutte con porte da 10Mbps usufruiranno tutti di 10Mbps ciascuno e on 10Mbps/10pc come nel caso di Etherner shared.
Questo perché lo swich microsegmenta la rete e crea dei circuiti virtuali tra mittente e destinatario assegnando ad ogni circuito la piena banda disponibile. Ad esempio se su uno switch ci sono 4 pc che devono comunicare a coppie, si creeranno due circuiti virtuali da 10Mbps ciascuno, restando nell’esempio di avere tutti apparati da 10Mbps.
GLI SWITCH POSSONO ANCHE ESSERE DI LIVELLO 3, se sono di quelli programmabili e gestibili da remoto
Questi apparati stanno rapidamente sostituendo i comuni hub nelle reti aziendali. Diversamente degli hub (apparati di Livello 1) che hanno il solo compito di rigenerare il segnale sulle porte a disposizione, gli switch (apparati di livello 2) si occupano di gestire la banda prendendo delle decisioni basate sul MAC.
In pratica, uno switch (detto anche multi-port bridge) crea dei percorsi commutati collegando fisicamente un interfaccia ad un altra rendendo così disponibile tutta la larghezza di banda.
Diversamente dall'hub, lo switch instrada i dati sull'interfaccia (porta dello switch) alla quale è connesso l'host. In pratica lo switch separa/isola i segmenti della rete, stabilendo una connessione temporanea tra la sorgente e il punto di destinazione, chiudendola al termine del collegamento.
Lo switch è un tipico apparato di Livello 2 (Data Link) anche se l'ovoluzione degli stessi (con capacità di instradamento anche a livello IP) lo sta portando verso gestioni di instradamento e load balancing.
La denominazione layer 2 o layer 3, deriva direttamente dalla struttura Iso/Osi. Il livello (layer) 2 è caratteristico degli switch più tradizionali, i quali si basano sul MAC address. Con questa tecnologia le comunicazioni sono di tipo 1 a 1, tutte le altre porte dello switch non sono interessate. Gli switch di livello 3 operano sul protocollo e sono, quindi, in grado di determinare i percorsi di instradamento utilizzando le informazioni fornite dai protocolli ( es. IPX, IP, AppleTalk).
La scelta della tecnologia switch è fondamentale per tutte le applicazioni che creano molto traffico e per tutte le reti con un alto numero di utenti. Nell'ottica di rete sul modello Intranet, con ampio utilizzo di contenuti multimediali, non si può più prescindere da una soluzione switched. L’hub è, oramai, un apparato che non soddisfa più le continue esigenze di alte performance e può trovare applicazione solo in piccoli uffici dove pochi client condividono un server per le stampe e/o semplici applicazioni transazionali.
Lo switch rappresenta quindi lo strumento principale per l'implementazione e la ottimizzazione di un qualsiasi ambiente di rete locale. Laddove esiste un numero di nodi molto elevato lo switch assolve pienamente al suo compito principale che è quello di distribuire "banda" in modo dedicato. Il proliferare degli accessi Internet, per esempio, spinge all’utilizzo di soluzioni switching in grado di ottimizzare la disponibilità di banda passante sul lato geografico evitando, per quanto possibile, l’interferenza con applicazioni, servizi e periferiche locali. D’altra parte, l’aumento dei server all’interno di una qualsiasi organizzazione rende l’utilizzo degli switch l’unico strumento veramente valido per garantire prestazioni e affidabilità. In quest’ottica, la disponibilità di funzionalità specifiche di CoS/QoS offre la possibilità di costruire una gerarchia di servizi che abilita la convergenza di applicazioni diverse su un’unica infrastruttura.
Gli switch oggi apportano un aiuto decisivo, superando i limiti della trasmissione "anarchica" di Ethernet e la rigidità del Token Ring. Oltre alla segmentazione fisica del traffico, gli switch consentono il tracciamento di reti virtuali per facilitare lo scorrimento del flusso dei dati. Gli switch di Livello 2, dimensionati per gestire un numero ristretto di reti virtuali, con un numero modesto di stazioni di lavoro, si rivelano non adatti alle topologie multiprotocollo distribuite su più piani e che generano un forte traffico tra gruppi di lavoro. I costruttori hanno permesso allora ai propri switch di gestire le reti virtuali al Livello 3 del modello Osi. Questo posizionamento consente a questi ultimi di assimilare un gruppo di lavoro virtuale a una sottorete Ip, Ipx o AppleTalk e di organizzare la comunicazione tra queste entità protocollari. Tuttavia, la semplice funzione di trasmissione dei pacchetti offerta da questi primi switch di Livello 3 non dispensa dalla mediazione di un router. L'ultima generazione di switch offre un palliativo a tale carenza, attivando una funzione di routing integrale, ovvero la trasmissione dei pacchetti e la definizione dei percorsi. E, bene o male, i router tradizionali iniziano a posizionarsi esternamente alla dorsale, per lasciare agli switch-router il compito di gestire i pacchetti e di organizzare le comunicazioni all'interno della rete locale

Apparati di Livello 2
HUB
Nella costruzione delle reti a stella, o a stella estesa ( extended star topology),  ogni personal computer deve essere collegato con un cavo ad un concentratore "centrale" detto HUB. Quando, per malfunzionamenti di vario tipo, viene meno la connessione fra un computer e l'hub, non viene compromessa la struttura generale della  rete. Si tratta dunque di un tipo di collegamento assai pratico ed affidabile.  La parola hub in inglese significa "perno" o "fulcro", traducendolo in informatichese possiamo meglio definirlo come "centro". E' un’apparecchiatura che si e' diffusa nel mondo delle reti locali nella seconda meta' degli anni Ottanta e che consente di realizzare un sistema di cablaggio a stella, dove tutte le connessioni provenienti dalle workstation di un certo gruppo di lavoro, confluiscono verso un centro di connessione che può essere attivo o passivo, ma il cui scopo fondamentale rimane quello di creare una connessione elettrica tra tutte le macchine che vi sono collegate ed eventualmente altri hub.
In pratica tutti gli utenti collegati all'hub (o ad una serie di hub connessi in cascata) si trovano sullo stesso segmento di rete e condividono la stessa larghezza di banda. Possiamo dire che si trovano tutti connessi alla stessa velocità.
Questà modalità di lavoro introduce degli effetti negativi da non sottovalutare: ogni volta che un PC comunica, l'Hub "satura" la rete. La relativa semplicità di questo componente lo rende abbastanza economico e quindi ancora molto usato. Esistono in commercio sia versioni da 10 Mbit/s che da 10/100 Mbit/s e con diverse porte: da un minimo di 4 fino ad arrivare a 16, 24 o anche più. E' ovvio che più aumentano il numero delle porte e più si degradano le prestazioni perchè la "banda" deve essere ripartita. Quindi con un hub a 8 porte - 100 Mbit/s avremo una banda disponibile per ogni Pc di 100/8cioè circa 12 Mbit/s per porta. In una rete Ethernet è possibile aggregare in cascata non più di 4 Hub.
La tipica funzione dell'hub trova collocazione nelle reti cosidette "shared" dove le risorse sono equamente condivise. In effetti quando una workstation invia dei pacchetti, questi non vengono indirizzati in modo "intelligente", ma vengono diffusi attraverso tutte le porte dell'hub ai vari elaboratori connessi che, decideranno se accettarli oppure no confrontando il proprio MAC Address con quello contenuto nei pacchetti inviati. L’hub viene usato solitamente con doppino (schermato e non), mentre vanno scomparendo gli hub per topologie a stella basate su cavo coassiale. Trova impiego nelle reti Ethernet e nelle reti Token Ring dove prende più propriamente il nome di MAU (Multistation Access Unit). Il vantaggio dell’impiego di un hub e di un cablaggio a stella è che si possono aggiungere e togliere workstation in qualsiasi momento senza interrompere la continuita' di collegamento delle altre e che eventuali stazioni con schede d’interfaccia guaste possono essere isolate automaticamente senza compromettere la connessione di tutte le altre.
Funzionamento:
Gli Hub, e i repeater, sono fondamentalmente la stessa cosa. Entrambi sono apparati che lavorano a liivello 1 del livello OSI. Diversamente dagli switch e dai router, gli hub non leggono la trama (frame) ma si assicurano che essa venga inoltrata sulle porte collegate. Va ricordato che i repeater hanno una porta di entrata e una di uscita mentre gli hub sono multiporta.
Tutti gli elaboratori (nodi) che condividono una rete Ethernet usano il metodo di accesso CSMA/CD. Si dice, infatti, che stanno tutti sullo stesso dominio di collisione. Detto questo possiamo affermare che tutti i nodi connessi ad un hub sono parte dello stesso dominio di collisione. In un dominio di collisione, infatti, quando avviene una collisione, tutti i nodi nell'area del dominio (domain/area) avvertiranno la collisione e, quindi, reagiranno di conseguenzza.
Per connettersi ad un hub, i nodi di una rete usaano il cavo UTP (Unshielded Twisted Pair). Ad ogni porta dell'hub può corrispondere un solo nodo. Quando gli hub non erano cosi diffusi, e costavano molto più di adesso, le reti lan di tipo SOHO (small office home office) utilizzavano il più economico cavo coassiale.
La modalità di lavoro degli hub è molto semplice e trasparente. Quando un nodo connesso ad una delle sue porte trasmette dei dati, questi vengono replicati e spediti su tutte le altre porte. Solo il destinatario dei dati "processerà" la trama ethernet mentre tutti gli altri nodi rifiuteranno la trama e non la inoltreranno sul proprio elaboratore. L'operazione di rifiuto e di accettazione della trama viene portata a termine dalla dcheda di rete (NIC)  che, leggendo il MAC address di destinazione contenuto nell'header della trama ethernet stessa, verrà portato a confrontato con il proprio MAC address. Solo in caso di uguale MAC address la trama verrà processata.
Gli hub più recenti hanno una porta speciale che funziona come "uplink" port. La porta uplink permette di connettere l'hub ad altri hub, aumentando le porte disponibili sulla LAN. Questo soluzione, a basso costo, permette di estendere le reti di pochi computers e, da un certo punto di vista funziona bbastanza bene.
Purtroppo, non appena la rete si appesantisce con nuovi nodi, anche il traffico inutile (tutte le trame non processate) diventa un problema e impatta in modo negativo sulle performance della stessa.
 

Come funzionano i router
In una rete a commutazione di messaggio, i router eseguono la funziona basilare di ricezione e trasmissione dei messaggi.
Il presente articolo descrive il funzionamento dei router
I router sono allo stesso tempo semplici e complessi. Siccome la dorsale Internet - e delle intranet - dipende da essi, è utile conoscere ciò che i router fanno e come lo fanno. Questo articolo descrive i router in termini generali e, quando appropriato, fa riferimento a comuni protocolli di rete. Una rete a commutazione di messaggi è composta interamente da elementi con funzione riflettente, di specchio, o mirror. I mirror sono device denominati router, bridge e switch, che ricevono i messaggi su una interfaccia, verificano le destinazioni di tali messaggi tramite tabelle e li ritrasmettono verso altra interfaccia. Una delle principali differenze fra un router e qualsiasi altro tipo di scambio di messaggio risiede nelle modalità con cui il router costruisce le tabelle. I router trasmettono i messaggi verso le reti, mentre le tabelle di destinazione bridge e switch contengono l’elenco degli indirizzi MAC (Media Access Control) Strato 2. Le due più importanti funzioni del router sono la commutazione del traffico e il mantenimento dell’ambiente in cui è possibile realizzare questo. Le due funzioni sono implementabili sul medesimo processore, ma si consiglia di non farlo. Sovente, un distinto processore di interfaccia, o una routine di interrupt kernel, commuta il traffico, mentre i processi di mantenimento ambiente vengono eseguiti in background. La Figura 1 riporta i principali componenti di un servizio di router integrati, ossia router che supportano algoritmi QOS (Quality Of Service). La parte superiore della Figura 1, lo strato di Routing è la parte del servizio di mantenimento dell’ambiente. Un router esegue operazioni che possono essere intrinseche nell’architettura della rete, oppure configurate a seconda delle necessità del manager di rete. Queste applicazioni, o processi, vengono eseguite sullo strato Applicazione di Routing (Routing Application) del router. Un processo che a volte è implementato dai router è il DNS (Domain Name Service), il quale memorizza nella cache dati DNS, in prossimità dei sistemi che li utilizzano. Comunque, il DNS non è fondamentale per l’architettura di un router IP, e non tutti concordano che un router debba offrire tale servizio. Per converso, due servizi che i router prevedono come routine sono la mappatura della topologia e la ingegnerizzazione del traffico. I protocolli di routing mappano la topologia della rete e memorizzano le relative valutazioni di quella topologia nella tabella di routing. Se un router non comprende un protocollo di routing, utilizza instradamenti statici per mappare la rete, oppure utilizza un protocollo distinto su ciascuna interfaccia. Di solito, i router utilizzano un protocollo di routing.
La tabella di routing, o database di routing, è il set di routing utilizzati da un router in qualsiasi momento predeterminato. I dati della tabella di routing includono, almeno:

• l’indirizzo o la serie di indirizzi attualmente conosciuti come esistenti sulla rete,
• i dati calcolati o richiesti dal protocollo di routing,
• i dati necessari per acquisire un messaggio su un router più vicino alla destinazione.

I dati di routing comprendono la metrica, una misura amministrativa del tempo o della distanza, e diversi contrassegni temporali. L’indirizzamento dei dati include le interfacce di uscita e gli indirizzi del sistema successivo lungo il percorso. Per i router è normale memorizzare i dati relativi agli indirizzi per più router potenziali del nodo adiacente in una singola entità della tabella di routing.
I protocolli utilizzati per la costruzione della tabella di routing variano, ma tutti rientrano in poche categorie generali.
Per esempio, i protocolli possono essere relativi a vettori di distanza, stato del link, o protocolli di routing secondo privilegi.
Protocolli di vettori di distanza
I protocolli di vettori di distanza (distance vector protocols) sono i più semplici e i più comuni protocolli di routing.
La gran parte di questi protocolli utilizzati attualmente hanno le root nel RIP (Routing Information Protocol) di Xerox Internet Transport e talvolta si fa riferimento a essi con questa sigla. I protocolli di questa classe comprendono RIP IP, RIP IPX, RTMP (AppleTalk Routing Table Management Protocol) e IGRP (Interior Gateway Routing Protocol) Cisco. Il nome di questa classe di protocolli deriva dalle modalità tramite le quali i protocolli si scambiano le informazioni. Periodicamente, ciascun router copia gli indirizzi di destinazione e le metriche di routing dalla propria tabella di routing e li inserisce nei messaggi di aggiornamento, che il router trasmette ai router prossimi. Questi router confrontano il contenuto degli aggiornamenti di percorso ricevuti con le proprie tabelle di routing, rilevando e applicando le modifiche. Questo algoritmo è semplice e apparentemente infallibile; sfortuna vuole che funzioni meglio in piccole reti che presentano una ridondanza limitata o nulla. Le reti estese richiedono messaggi periodici per descrivere una rete e la gran parte dei dati è ridondante. E’ per questa ragione che le reti complesse hanno problemi quando le connessioni cadono a causa di percorsi morti che possono restare nella tabella di routing per qualche tempo. Il traffico su un percorso morto non può raggiungere alcuna destinazione. L’euristica può rapportarsi con tali problemi, ma nessuno di questi metodi si dimostra realmente deterministico. Alcuni di tali problemi vengono risolti da un algoritmo migliorato, denominato DUAL, Diffusing Update Algorithm o algoritmo ad aggiornamento diffuso. Con questo algoritmo, i router utilizzano l’algoritmo di vettore di distanza per mantenere una mappa relativa alle modalità di reciproca interconnessione utilizzata per il collegamento affidabile con le LAN che supportano direttamente. Sulla rete vengono anche diffusi i dati inerenti le modifiche della topologia. Un esempio di questo protocollo migliorato è l’Enhanced IGRP Cisco. La seconda categoria dei protocolli di mantenimento ambiente è quella dei protocolli di stato del link. Proposti inizialmente nel 1970 da un documento di Edsger Dijkstra, questi protocolli sono più complessi di quelli di vettore di distanza. La loro complessità li rende però in grado di offrire la risoluzione deterministica dei problemi posti dai protocolli di vettore di distanza. Invece di comunicare ai vicini i contenuti della tabella di routing, ciascun router trasmette sulla rete un elenco dei router e delle LAN con cui esso può dialogare. Il router esegue con efficacia il multicast dei dati di "stato del link" in avvisi relativi allo stato del link. Oltre alla diffusione dei periodici messaggi di allerta fra se stesso e gli altri router, ciascun router produce report aggiornati di stato del link soltanto quando le informazioni cambiano, o quando è trascorso un determinato periodo di tempo. Risultato di questi processi, successivamente a una modifica della topologia, la rete passa a un traffico minimo di routing. Gli svantaggi dei protocolli di stato del link, quali l’OSPF (Open Shortest Path First), l’IS-IS (Intermediate System to Intermediate System) ISO e l’NLSP (NetWare Link Services Protocol) Novell, sono la complessità e le richieste di memoria. L’implementazione di questi protocolli può risultare difficile e richiedono una grande quantità di memoria per la registrazione delle comunicazioni pertinenti lo stato del link. Mentre sono in genere superiori dei più datati protocolli di vettore di distanza, non sono ancora ben chiare le loro prestazioni rispetto all’algoritmo DUAL. La terza categoria di protocolli di mantenimento dell’ambiente di routing sono i protocolli di routing secondo privilegi. Contrariamente ai protocolli di vettore di distanza e di stato del link che rilevano il modo migliore per portare un messaggio a destinazione, questi protocolli rilevano il modo migliore per far giungere un messaggio a destinazione utilizzando percorsi che hanno il permesso di usare. Protocolli quali il BGP (Border Gateway Protocol) o l’IDRP (Interdomain Routing Protocol) consentono ai provider di dorsale Internet di accettare informazioni di routing da provider vicini sulla base dei contrasti o di altri criteri non tecnici. Gli algoritmi a cui si fa ricorso per questi protocolli sono vettori di distanza, ma i dati di metrica e di percorso si basano sugli elenchi di provider di dorsale invece di semplici numeri. Una implicazione di questo tipo di protocollo prevede che i percorsi su Internet di una transazione e della relativa risposta siano in genere distinti. Nelle intranet, che di solito non impiegano protocolli di routing secondo privilegi, i percorsi dei versi di una transizione sono in genere lo stesso. Servizi di router integrati Un servizio di router integrati supporta il protocollo RSVP (Resource Reservation Protocol) di Internet Engineering Task Force. Questo tipo di router aggiunge un protocollo di risorsa, un modulo di accesso e un’interfaccia alle modalità di coda utilizzate nello strato di Switching (vedi Figura 1). L’RSVP consente ai sistemi di richiedere servizi da una rete, quali le garanzie di resa globale, percentuali di perdita ridotte, o maggiore prevedibilità dei ritardi. I messaggi del "percorso" RSVP provengono da una sorgente informativa e definiscono la via che i dati devono seguire, lasciando puntatori a monte sui router che incontrano. Questo processo permette ai router di stabilire eccezioni deterministiche sul percorso corretto, anche quando le vie sono asimmetriche. I messaggi di "prenotazione" RSVP vengano trasmessi dai ricevitori dei dati mentre richiedono i servizi necessari. Le eccezioni seguono i puntatori a monte alle rispettive sorgenti, realizzando eccezioni lungo il trasferimento. Nel router, i messaggi di prenotazione vengono combinati mentre risalgono il flusso delle informazioni. Come risultato, il trasmettitore - che può essere una workstation sulla rete - riceve un messaggio di prenotazione dal router adiacente e non da ciascuno delle centinaia o migliaia di potenziali riceventi. Comunque, le eccezioni vengono accettate e installate soltanto se possono essere garantite dalla disponibilità di sufficienti risorse. La relativa valutazione è responsabilità del modulo di accesso. Le eccezioni accettate determinano modifiche nel database delle code e nel database di prenotazione. Più oltre in questo articolo viene descritta la struttura delle code - i sottostanti algoritmi che definiscono l’ordine con cui i messaggi sono gestiti. Lo strato di Switching comprende le altre operazioni principali del router. Con la definizione della topologia della rete e delle modalità relative alle code, è importante considerare il motivo dell’esistenza del router: la commutazione, lo smistamento, lo switching del traffico. La commutazione è il processo comprendente la ricezione del messaggio, la selezione di un percorso appropriato su cui trasmetterlo e la trasmissione su quel percorso. Queste operazioni comportano quattro processi distinti: il driver di ingresso, il processo di selezione del percorso, il processo relativo alle code e il driver di uscita. Il percorso può prevedere numerose possibilità opzionali, i produttori comunque di solito tendono a ottimizzare la velocità. E’ quindi per questa ragione che un percorso di commutazione di router è tanto affidabile quanto il suo produttore è in grado di renderlo tale. Di solito si fa riferimento a queste ottimizzazioni come a percorso veloce. Caratteristiche utilizzate meno di frequente od opzionali, quali la frammentazione del messaggio o il processo di opzioni in header IP, sono relegate a un percorso di processo più lento ma più completo. Si pensa spesso al modulo di selezione del percorso come al cuore di un router. La selezione del percorso viene realizzata tramite tecniche "classiche". Per esempio, nella più semplice delle situazioni il codice di switching del router rileva gli indirizzi di destinazione nella tabella di routing, seleziona una delle possibilità per il prossimo nodo (con il protocollo di routing derivato), rimuove l’header di ingresso su strato Link, associa l’header di uscita su strato Link e trasmette il messaggio. E’ chiaro che il router esegue queste operazioni esclusivamente per messaggi validi. La gran parte dei protocolli di strato di Rete definiscono procedure di convalida per la qualificazione del messaggio. Qualora il messaggio fosse troppo esteso per essere supportato dall’interfaccia di uscita, il router deve frammentarlo o rifiutarlo. Per le architetture dotate di checksum (DECnet IV e IPv6 non ne dispongono ma la gran parte di altre lo prevedono), viene dapprima verificato il checksum. In pratica, tutte le architetture comprendono anche un campo di conteggio dei passaggi, salti o nodi; lo switch lo incrementa di un nodo e lo compara con una soglia. Il router rifiuta sommariamente i messaggi invalidi e può inviare al trasmettitore un messaggio di controllo indicante quanto avvenuto. Alcuni protocolli, in particolare l’IPv4, l’IPv6 e l’IP ISO, supportano anche campi opzionali, che permettono al router di registrare il percorso di un messaggio sulla rete e di forzare il messaggio alla visita di determinati sistemi lungo la via, alla raccolta di contrassegni temporali, a eseguire l’autenticazione dei dati, oppure alla esecuzione di altri servizi sulla strato di rete. Queste procedure opzionali vengono realizzate anche nel modulo di selezione del percorso. Una volta che il messaggio è stato commutato dal modulo di selezione del percorso, il programma relativo al messaggio determina quando trasmettere il messaggio. Lo scheduling del messaggio è la funzione più semplice e più complessa svolta dallo strato di Switching. La gran parte dei router aggiunge semplicemente i messaggi a un elenco FIFO di traffico in attesa, o rifiuta il traffico entrante qualora la coda fosse piena. Questo semplice algoritmo risulta efficace, ma le esperienze di gestione di lunga data e ricerche recenti indicano che di rado si dimostra ottimale. In un router che implementa l’architettura Integerated Services Architecture IETF, gli algoritmi relativi alle code si occupano di ordinare il traffico con sequenzialità che soddisfano le specifiche. Sovente, router non QOS implementano anche algoritmi simili per scopi di gestione del traffico.
Coda FIFO
Nelle code di tipo FIFO (First In First Out), l’ordine di uscita dei messaggi corrisponde a quello di entrata (il primo entrato è il primo a uscire). Le comuni implementazioni FIFO presentano anche la caratteristica di esclusione dalla coda quando la stessa è piena. Studi recenti hanno rilevato che l’esclusione dalla coda comporta seri effetti collaterali, almeno per il TCP/IP. Per esempio, quando un messaggio viene perduto, l’applicazione che l’ha trasmesso può intendere quel segnale come un segnale trasmesso troppo rapidamente. Il TCP risponde a questo segnale rallentandolo. Ma se la coda è piena, in genere più messaggi vengono rifiutati contemporaneamente, con il risultato in molte applicazioni di rallentamento simultaneo. Siccome queste applicazioni mettono alla prova le capacità della rete, raggiungono assieme il massimo del rendimento causando, pochi secondi dopo, un altro evento di congestione. La rilevazione RED (Random Early Detection) rappresenta un’alternativa alle code FIFO che distribuisce perdite di traffico - anche in condizioni di carichi pesanti - cosicché le applicazioni non risultano sincronizzate come nel caso precedente. Le code sono sempre di tipo FIFO, ma invece di forzare l’esclusione del traffico quando una coda è piena, la RED esclude il traffico statisticamente quando la profondità della coda principale in un periodo di tempo recente supera un certo valore. L’occupazione della coda viene pertanto ottimizzata con stabilità maggiore. Questo processo è per l’utilizzo con TCP, ma coloro che l’hanno progettato ritengono che sia in genere applicabile al traffico di picco. Quello della priorità della coda è un algoritmo che prevede che più code FIFO (a esclusione o RED) costituiscano un singolo sistema di coda. Il traffico viene distribuito in queste code tramite criteri di selezione, quali le specifiche applicazione o destinazione. Comunque, il traffico viene rimosso secondo una rigida sequenza di coda: la coda con priorità massima viene dapprima svuotata, quindi viene considerata la coda con priorità media, e così via. Questo algoritmo è facile da comprendere e da implementare, ma non funziona perfettamente in condizioni di carichi pesanti, pertanto le code con bassa priorità possono essere bloccate fuori per periodi di tempo estesi, o il relativo carico può richiedere ritardi di attesa altamente variabili ed essere funzionalmente inutili. Quello delle code CBQ (Class-Based Queuing) basate sulla classe è un algoritmo in cui il traffico viene suddiviso in classi differenti. La definizione di una classe di traffico è arbitraria. Una classe può contenere tutto il traffico indirizzato da una specifica interfaccia, il traffico che supporta una determinata applicazione, il traffico diretto verso una serie particolare di destinazioni, oppure il traffico garantito RSVP per una certa qualità del servizio. Ciascuna classe viene inserita in una singola coda FIFO ed è assicurata almeno per una parte della larghezza di banda del link. Quando vi sono classi che non utilizzano pienamente la corrispondente larghezza di banda minima garantita, altre classi aumentano in proporzione le relative percentuali massime. L’algoritmo WFQ (Weighted Fair Queuing) è una variante dell’algoritmo CBQ, che prevede che flussi singoli costituiscano classi distinte. Come per il CBQ, ciascuna classe WFQ viene messa in coda in singola coda FIFO e ad essa viene garantita una determinata percentuale della larghezza di banda del link. Quando vi sono flussi che non utilizzano pienamente la corrispondente larghezza di banda minima garantita, altri flussi aumentano in proporzione le relative percentuali massime. Siccome ciascuna classe è un flusso separato, la garanzia della larghezza di banda CBQ diventa anche una garanzia di ritardo. Se si conoscono i parametri di un messaggio, esiste una formula utilizzabile per il calcolo del ritardo massimo sulla rete. Questa allocazione di larghezza di banda addizionale per un flusso comporta un confinamento migliore del ritardo. I driver di ingresso e di uscita sono programmi e chip che introducono e fanno uscire messaggi da un sistema. Comunemente, essi possono essere trattati dal protocollo di strato di Rete. Comunque, il protocollo di routing deve tener conto di alcuni aspetti di topologia. Per questo motivo, i protocolli di routing in genere trattano in modo diverso i componenti dello strato di Link. Normalmente si fa riferimento ai componenti dello strato di Link come a LAN, connessioni punto-punto, reti a circuito virtuale multiaccesso, accesso occasionale, o collegamenti telefonici. E’ probabile che le LAN siano gli elementi di strato di Link più familiari ai tipici frequentatori di Internet. Esempi comprendono reti Ethernet, Token Ring ed FDDI, oltre a (in modo piuttosto paradossale) reti SMDS (Switched Multigigabit Data Service). Le LAN sono progettate non per alta utilizzazione, ma per elevata disponibilità; pertanto, quando non sono sottoposte a carico, le relative prestazioni in genere sono meno prevedibili e meno prossime alla perfezione. Le LAN possono essere implementate in diversi modi, tramite combinazioni varie di cavi fisici, hub di cablaggio e switch LAN. Ma i sistemi correlati, siano essi host o router, condividono caratteristiche comuni. A meno che si stia scrivendo per davvero il driver, le LAN si possono intendere come mezzi che forniscono un’elevata disponibilità di servizio fra una serie di sistemi a determinate velocità. Ciascuna sistema sulla LAN è provvisto di un indirizzo MAC, che identifica il sistema localmente. Quando un sistema trasmette un messaggi verso una destinazione, l’indirizzo di strato di Rete del sistema di destinazione deve essere convertito in indirizzo MAC prima della trasmissione. Le modalità di questo processo variano in funzione dello specifico protocollo: in NetWare, l’indirizzo MAC è parte dell’indirizzo dello strato di Rete, mentre AppleTalk e IP prevedono che vi sia un protocollo di definizione indirizzo, che richiede ai sistemi quali sono i relativi indirizzi di strato di Rete e di strato di Link e che ne memorizza nella cache la conversione. Siccome questa conversione deve essere realizzata, è necessario che ciascun sistema su una LAN presenti un unico indirizzo di strato di Rete, affinché i messaggi sulla rete possano essere ad esso indirizzati. Questo indirizzo deve comprendere sufficienti informazioni riguardanti la topologia (di solito in forma di numero di rete o prefisso di indirizzo), per consentire ai router di indirizzare i messaggi alle corrispondenti destinazioni. Tale identificazione del sistema permette al router dell’ultimo nodo di trasmettere il messaggio specificatamente al relativo sistema destinazione. Le operazioni di coda in una LAN sono problematiche, in quanto i sistemi non possono prevedere con certezza il comportamento di quelli adiacenti. I protocolli LAN dispongono di meccanismi che permettono ai sistemi di negoziare l’utilizzo del supporto su base messaggio per messaggio. Questa negoziazione viene di solito realizzata mediante sensibilità alla collisione o voting sui token. Talvolta questo processo può essere dispendioso in termini di tempo, perché la rete può soffrire code estese; comunque, grazie alla elevata larghezza di banda della LAN, le code estese sono insolite. Le connessioni punto-punto, come le connessioni PPP o HSSI (High-Speed Serial Interface), sono all’estremo opposto delle LAN, perché sono interessate soltanto due estremità - o peer. Alcune architetture di routing le considerano come interfacce interne fra le metà di un router, mentre altre le intendono come casi degradati di LAN. Comunque, queste connessioni normalmente non presentano indirizzo, perché i router sulle terminazioni della connessioni le possono identificare come "router su questa interfaccia" invece di cercare di conferire loro un nome formale. Questa configurazione presenta vantaggi nell’allocazione dell’indirizzo: non c’è necessità di assegnare un numero di rete alla connessione. Ciò significa anche che non avviene alcuna conversione degli indirizzi. Le operazioni relative alle code sono anche più semplici nelle configurazioni punto-punto. Sulle interfacce punto-punto, non c’è negoziazione per l’utilizzo della connessione - il sistema la controlla completamente. Pertanto, il sistema è in grado di controllare deterministicamente il comportamento del traffico. Connessioni di accesso occasionali, come le connessioni telefoniche asincrone o ISDN, sono molto simili alle connessioni punto-punto, ma con una importante eccezione. Quando una connessione punto-punto è disattivata, per poterla utilizzare deve essere necessariamente attivata. Quando le connessioni sono disattivate, i router comunicano fra essi per individuare un altro percorso sulla rete. Comunque, quando una connessione di accesso occasionale è disattivata, essa è disponibile in caso di richiesta di chiamata. In questo scenario, i router assumono che la connessione possa essere attivata su richiesta e desumono una topologia che comporti l’attivazione della connessione. Questa utile finzione - ossia che una connessione di fatto disattivata venga intesa come attivata - richiede una serie di profili per il supporto delle chiamate e meno modifiche dei protocolli di routing. Le reti a circuito virtuale multiaccesso (o reti NBMA - NonBroadcast MultiAccess) comprendono reti X.25, frame relay e ATM. Dal punto di vista del router, le reti a circuito virtuale vengono in genere trattate come LAN o gruppi di interfacce punto-punto. Sono simili alle LAN in quanto ciascun sistema connesso presenta indirizzi, ma differiscono perché l’indirizzo fa riferimento al circuito virtuale e non al sistema o all’interfaccia. Se due circuiti virtuali si collegano alla stessa coppia di router, su ciascun router è presente un indirizzo. Le reti a circuito virtuale sono simili anche alle connessioni punto-punto; per esempio, il sistema ha il completo controllo delle proprie code, inoltre c’è proprio un peer da cui i dati possono essere creati su un circuito virtuale. Il peer può essere conosciuto semplicemente come "quello che sta usando il circuito virtuale" pertanto non occorrono indirizzi di interfaccia. Dall’ottica del router, le reti a strato di Link devono essere supportate con attenzione. I problemi di routing sorgono dall’ipotesi che, per esempio, una rete a circuito virtuale multiaccesso opera in modo simile a una LAN. Per esempio, la perdita di un tratto di rete - un percorso comune per più circuiti - all’interno di una rete frame relay, ad alcuni protocolli di rete (in particolare OSPF) può causare la perdita della connessione con tutti i peer della rete, anche se in realtà i peer possono scambiare messaggi. Per questa ragione, è opportuno intendere le reti a circuito virtuale multiaccesso come a raccolte di connessioni punto-punto non numerate. La corretta comprensione dei componenti del router attuale riduce i tempi e facilita l’utilizzo, il funzionamento e la manutenzione della rete dotata di router.

NAT e PORTFORWARD
All'inizio dell'articolo, abbiamo introdotto i concetti di NAT e di PORTFORWARD.
Dopo aver chiarito che una macchina che eroga servizi, viene identificata dalla coppia IP + PORTA, vediamo come possiamo installare più servizi utilizzando più PC avendo a disposizione solo un ip pubblico.
Supponiamo di voler suddividere tutti i servizi su diversi PC per usufruire di potenze di calcolo maggiori. Per esempio nel PC1 mettiamo il server Web e sul PC 2 mettiamo un mail server.
A questo punto dobbiamo rendere pubblici i nostri servizi. Le soluzioni sono:

Considerando la seconda soluzione, facciamo un esempio pratico.
Supponiamo che la nostra rete sia così configurata:

  • IP pubblico -> 213.45.126.237 configurato sul router o sull'interfaccia di rete esterna del FIrewall se questo è connesso ad internet tramite un modem;
  • IP PC1: 192.168.1.1;
  • IP PC2: 194.168.1.2; <è>Il nostro firewall, dovrà assorbire le richieste all'IP pubblico e convertirle in IP Privato.
    Supponiamo di interrogare il server web per esempio per richiedere una pagina HTML per navigare all'interno del sito aziendale.
    La richiesta avrà una forma del tipo:
    (ROUTER) 213.45.126.237:80 -> NAT (Firewall) -> 192.168.1.1:80 (Web Server)
    L'operazione del firewall è di NAT e trasparent port forwarding cioè ha trasformato le richieste pubbliche in richiesta privata convertendo in modo trasparente la porta di destinazione.
    E' possibile anche configurare il web server in modo tale che la porta di ascolto sia diversa dalla porta 80 e quindi sarebbe necessario configurare il firewall in modo tale che faccia una operazione di portforwarding, per esempio:
    (ROUTER) 213.45.126.237:80 -> NAT (Firewall) -> 192.168.1.1:2000 (Web Server)
    Il firewall si preoccuperà anche di restituire al nostro provider le risposte del nostro server rispondendo alla porta 80.
    (ROUTER) 213.45.126.237:80 <- NAT (Firewall) <- 192.168.1.1:2000 (Web Server)
    Conclusioni
    Le porte quindi che servono per erogare i servizi rimarranno aperte. Ciò non significa che la nostra rete sia insicura.
    Sarà necessario prendere delle particolari precauzioni nei confronti di queste porte, per esempio installando opportunamente le patch nei vari server che erogano i servizi, attivando un sistema di log degli accessi all'interno del nostro firewall in modo tale da verificare i tentativi di accesso anche su porte non autorizzate.

    I protocolli di comunicazione
    I pacchetti vengono trasmessi e ricevuti in base a delle regole. Possiamo ben dire che un "protocollo di comunicazione" è un insieme di regole definite e accettate da tutti ("set of rules")
    Le regole si applicano già, nella vita normale, a tutti i livelli di comunicazione. Basti pensare ad una semplice telefonata fra due interlocutori:
    In base alle regole di comunicazione telefonica ogni telefonata inizia con un segnale di attenzione/disponibilità come "pronto" o "hello" (in un altra lingua) e finisce con un altro saluto. Durante la comunicazione telefonica, inoltre, mentre un interlocutore parla l'altro rimane in ascolto.
    Un altro esempio può essere rappresentato dalle modalità e dalle regole di guida degli autoveicoli. Anche in questo caso il tutto avviene per mezzo di "regole" riconosciute da tutti. Se gli automobilisti non le rispettassero (non usando le freccie, inserendosi contromano nei sensi unici, passando col rosso ecc) sarebbe il caos. I protocolli di comunicazione riferiti ai dati usano le stesse regole:
    Si annunciano, mentre un elaboratore trasmette gli altri restano in attesa e a fine trasmissione mandano dei segnali per avvertire che il contatto è terminato.
    Trattandosi di protocolli di comunicazione che devono soddisfare molte reti e molti elaboratori, necessitano di regole complesse ma efficenti.
    Tornando all'analogia con la vita quotidiana, si potrebbero paragonare alle regole che stabiliscono la comunicazione in un assemblea, in un dibattito politico o in una classe scolastica.
    Principali protocolli:
    INSTRADABILI (ROUTABLE) - TCP/IP, IPX/SPX, OSI, AppleTalk, DECnet, XNS. 
    NON INSTRADABILI (NON-ROUTABLE) - NetBEUI, DLC, LAT. 
    NetBEUI - Protocollo Microsoft disegnato per piccole  LAN; non è instradabile. Not è compatibile con le reti UNIX.
    IPX/SPX - Protocollo per reti Novell: è instradabile. In NT è conosciuto anche come NWLink.
    TCP/IP - Il protocollo di Internet ; è routabile. Usato nelle reti UNIXs.
    DECnet - Definisce le  comuncazioni sulle MAN FDDI; è instradabile.
    Appletalk - Protocollo disegnato per le piccole reti Apple; è instradabile.
    DLC - Usato per il collegamento a Mainframe IBM e stampanti di rete HP. Non è instradabile.

    Media, Connessioni e Collisioni
    Introduzione
    Una rete deve essere costruita su solide fondamenta. Nel modello di riferimento OSI le fondamenta sono rappresentate dal livello 1 (fisico). Il livello fisico è il livello che definisce l’elettricità, la meccanica, le procedure e le funzioni specifiche per attivare, mantenere e disattivare il collegamento fisico tra sistemi. I "networking media" sono utilizzati al livello fisico e includono doppini telefonici (twisted-pair) schermati (shielded), cavi coassiali, e fibra ottica.
    Ethernet – Standard 10 BaseT
    Nel 1990 il comitato IEEE pubblicò la specifica 802.3 per l’esecuzione di Ethernet su un cablaggio a doppini intrecciati. Il risultato, 10BaseT (10 Mbps a banda base su un cavo a doppini intrecciati) è una rete Ethernet che tipicamente utilizza cavi a doppini intrecciati non schermati (UTP) per il collegamento dei computer. Di solito, lo standard 10BaseT impiega i cavi UTP , tuttavia è possibile utilizzare i cavi a doppini intrecciati schermati (STP) senza modificare in alcun modo i parametri dello standard. La lunghezza massima di un segmento 10BaseT è 100 metri. Per estendere tale lunghezza è possibile ricorrere ai ripetitori.
    Tipi di cavo
    Cavo Doppino Telefonico
    Il cavo doppino telefonico è un tipo di supporto utilizzato in molte topologie di rete.  Il doppino telefonico fu sviluppato in origine ad uso delle linee telefoniche, classificato come CAT 1 UTP (unshielded twisted pair). Questo tipo di cavo consiste di in due coppie isolate di fili di rame, ritorte l’una sull’altra. La torsione dei fili garantisce un grado di protezione dalla diafonia (crosstalk).
    Il doppino telefonico esiste in due varianti: schermato e non schermato.
    STP (Shielded twisted-pair cable)
    STP (doppino ritorto schermato) combina le tecniche di schermatura (shielding), cancellazione,  e avvolgimento (twisting). Ogni coppia di fili elettrici è avvolta in una lamina metallica. Le 4 coppie di cavi sono avvolte in un intrecciato o lamina metallica. Normalmente è un cavo da 150 Ohm. Come specifica per l'uso in installazioni di reti Ethernet, STP riduce "rumori elettrici", entrambi dentro il cavo (accoppiamento coppia a coppia, o diafonia) e al di fuori del cavo (interferenza elettromagnetica - EMI - e interferenza radio frequenza RFI)
    Il cavo STP condivide molti vantaggi e svantaggi dell'Utp. STP offre una grande protezione da tutti i tipi di interferenze esterne, ma è più caro e difficile da installare rispetto ad UTP.
    Principali caratteristiche
    Cavo da 150 Ohm
    Velocità - 16 Mbps / 155 Mbps
    Lunghezza massima del cavo senza ripetitore - 100 metri (feet 382)
    Vantaggi – abbastanza resistente alle interferenze
    Svantaggi – più costoso e difficile da installare rispetto ad UTP
    ScTP (Screened Twisted-Pair cable) o FTP (Foil Twisted-Pair)
    Un nuovo incrocio di UTP con il tradizionale STP è conosciuto come ScTP conosciuto anche come FTP. Sctp è essenzialmente un UTP avvolto in una lamina metallica schermata o "screen". Di solito è un cavo da 100 o 120 Ohm. I materiali metallici schermati in STP e ScTP hanno bisogno di essere messi a terra  entrambi. Se impropriamente collegati a massa, essi diventano suscettibili ai principali problemi di rumore.
    UTP (Unshielded twisted-pair cable)
    UTP (doppino telefonico non schermato) consiste in due coppie isolate di fili di rame ritorte l’una sull’altra e avvolti in una guaina di plastica.
    Il cavo UTP viene classificato in cinque categorie.
    CAT 1 supporta solamente le comunicazioni vocali (cavo telefonico tradizionale)
    CAT 2 supporta velocità di trasferimento fino a 4 Mbps
    CAT 3 supporta velocità di trasferimento fino a 10 Mbps
    CAT 4 supporta velocità di trasferimento fino a 16 Mbps
    CAT 5 supporta velocità di trasferimento fino a 100 Mbps
    I doppini telefonici non schermati presentano numerevoli vantaggi. Sono facili da installare e costano poco rispetto a tutti gli altri “media”. Lo svantaggio è che i doppini sono sensibili al rumore elettrico e alle interferenze.
    Principali Caratteristiche
    Velocità – 10/100 Mbps
    Lunghezza massima del cavo senza ripetitore - 100 metri (feet 382)
    Vantaggi – installazione facile, costo ridotto
    Svantaggi – poco resistente alle interferenze
    Cavo Coassiale
    Il cavo coassiale consiste in un filo centrale conduttore di rame, che è più grosso dei fili del doppino telefonico consentendo velocità di trasmissione dati maggiore su distanze più lunghe. Il conduttore centrale è ricoperto da uno strato di materiale plastico isolante sotto forma di schiuma che a sua volta è circondato da un foglio di alluminio. Il conduttore non serve a trasferire dati ma fornisce una messa a terra elettrica isolando il conduttore centrale dalle interferenze. Il cavo coassiale può trasmettere dati a 10 Mbps, per distanze massime che vanno da 185 a 500 metri. I due principali tipi di cavi coassiali utilizzati nelle reti locali sono il Thin Ethernet e il Thick Ethernet.
    Cavo Thinnet o RG-58 (10Base2)
    E’ il supporto coassiale più utilizzato nelle reti di computer per connettere ciascun Pc direttamente agli altri sulla Lan, per mezzo di connettori BNC (British Naval Connectors) e terminatori da 50 ohm. Il connettore BNC a T viene applicato alla scheda di rete per permettere l’ interfacciamento con il cavo coassiale.
    Il terminatore, o tappo, è un connettore che va inserito rispettivamente ai due lati estremi della rete. Questo infatti ha il compito di assorbire un segnale sul cavo in modo da non creare collisioni e quindi errori nella trasmissione.
    Principali caratteristiche
    Velocità - 10 Mbps
    Lunghezza massima del cavo tra i ripetitori - 185 metri
    Vantaggi - economico
    Svantaggi - difficoltà nelle operazioni di messa a terra del cavo
    Cavo Thicknet (10Base5)
    Più spesso e costoso rispetto al Thinnet. Si serve di transceiver esterni AUI connessi a ciascuna NIC per mezzo di un “vampire tap” che fora la guaina del cavo per accedere al filo.
    Principali caratteristiche
    Velocità - 10 Mbps
    Distanza per segmento di cavo - 500m
    Vantaggi - trasmissione su distanze maggiori,  resistenza alle interferenze
    Svantaggi - rigido quindi difficile da installare, costoso
    Oltre alla dimensione e alla lunghezza supportata esiste un’ altra differenza sostanziale tra il cavo Thin ed il cavo Thick. Il cavo Thicknet infatti utilizza dei transceiver ( a tutti gli effetti l’ elemento che effettua la trasmissione e la ricezione dei dati ) esterni AUI connessi alla rete attraverso un vampire tap (rubinetto) che fora la guaina del cavo per accedere al filo di rame. Lo stesso transceiver è poi connesso con un cavo DB-15 ( 15 pin ) alla scheda di rete. Essendo il più costoso dei due ed avendo maggiore supporto in lunghezza, il cavo thicknet è spesso utilizzato in dorsali di collegamento di reti thinnet. Una dorsale è un collegamento ad alta velocità che ha il compito di interconnettere più reti tra loro.

    Tabella Riassuntiva
    Versione Velocità max. Lunghezza max. di un segmento N° max. di nodi su un segmento Lunghezza totale N° max. di ripetitori N° max. di segmenti Tipo di cavo utilizzato
    10Base-5 10Mbps 500m. 100 2500m. 4 5, di cui 2 non popolati Coassiale grosso
    10Base-2 10Mbps 200m. 30 1000m. 4 5, di cui 2 non popolati Coassiale sottile
    10Base-T 10Mbps 100m.UTP 500m.STP 2 500m. 4 5, di cui 2 non popolati Doppino UTP/STP
    100Base-T 100Mbps 100m. 2 205 2 3, di cui 1 per l'uplink  Doppino UTP (cat.5)

    Fibra Ottica (FDDI – Fiber Distributed Data Interface)
    Il cavo in fibre ottiche garantisce velocità di trasmissione dati superiori sulle lunghe distanze.
    La garanzia di questo supporto è dato anche dal fatto che è immune alle interferenze ed alle intercettazioni (EMI o RFI). La struttura di un cavo in fibra ottica è costituita da un conduttore centrale in vetro sottilissimo e purissimo con una guaina protettiva esterna. I dati vengono inviati nel cavo attraverso un trasmettitore laser o LED che manda gli impulsi luminosi. Dall’ altra parte c’è un corrispondente fotodiodo ricevitore che ha il compito di ricevere gli impulsi luminosi e convertirli in segnali elettrici.
    Principali caratteristiche
    Velocità - 100 Mbps / 2 Gbps
    Distanza supportata per invio dati affidabili – 2 Km senza ripetitore
    Vantaggi - trasmissione su distanze maggiori,  immune alle interferenze e intercettazioni
    Svantaggi – rigido quindi difficile da installare, il tipo di supporto più costoso
    Comunicazione Wireless
    Wireless si riferisce a una tipologia di comunicazione, ad un monitoraggio e a un insieme di sistemi di controllo in cui i segnali viaggiano nello spazio e non su fili o cavi di trasmissione. In un sistema wireless la trasmissione avviene principalmente via radiofrequenza (RF) o via infrarosso (IR).La Tecnologia Wireless consente in un ufficio, in una casa di far dialogare tra loro tutti i dispositivi elettronici presenti. Lo scambio di informazione fra gli strumenti avviene attraverso onde radio, eliminando qualsiasi tipo di connessione fisica tra dispositivi. Per fare ciò ciascun dispositivo deve possedere all'interno  un chip, integrato, in grado di trasmettere e ricevere informazioni nell'etere.
    Gli standard per le tecnologie Wireless più utilizzati sono :
    DECT (Digital Enhanced Cordless Telecommunications).standard digitale criptato  per telefonini cordless con possibilità di 120 canali su 12 frequenze, evoluzione del cordless analogico, implementa l'interfaccia Gap (Generic Access Profile) ed utilizza la modulazione GMSK, bit rate max 348 Kbps.
    IrDA (Infrared Device Application) tecnologia di interconnessione dati tramite infrarossi bidirezionale point-to-point tra dispositivi posizionati in visibilità reciproca  LoS, line of sight, con range ridotto a 1 - 2 metri e bit rate di 4 Mbps.
    Tipi di rete
    Alcune reti sono connesse direttamente. Tutti gli host condividono il livello 1.

    Altre reti sono connesse indirettamente.
    I dispositivi di rete al più alto livello e/o alcune distanze geografiche comunicano attraverso due host. Esistono due tipi:

    Collisioni e domini di collisioni
    La collisione è una condizione che si verifica sulle reti Ethernet quando due nodi tentano di trasmettere allo stesso momento.
    Ethernet permette solamente ad un pacchetto dati di accedere al cavo uno alla volta. Se più di un nodo tenta di trasmettere allo stesso momento avviene una collisione e i dati di ogni dispositivo ne risentono.
    Quando avviene una collisione i pacchetti spediti vengono distrutti bit dopo bit !!!!!
    Apparati che estendono il dominio di collisione
    Hub e Ripetitore
    Gli Hub, e i repeater, sono fondamentalmente la stessa cosa. Entrambi sono apparati che lavorano a livello 1 del modello OSI. Diversamente dagli switch e dai router, gli hub non leggono la trama (frame) ma si assicurano che essa venga inoltrata sulle porte collegate. Va ricordato che i repeater hanno una porta di entrata e una di uscita mentre gli hub sono multiporta.
    I segnali man mano che procedono lungo il cavo degradano e risultano distorti a causa di un processo definito “attenuazione”. L’installazione di un ripetitore consente la trasmissione dei segnali su distanze maggiori.
    I ripetitori rappresentano il modo meno costoso di estendere una rete. Lo svantaggio di utilizzare i ripetitori è che non possono filtrare il traffico di rete.
    Tutti gli elaboratori (nodi) che condividono una rete Ethernet usano il metodo di accesso CSMA/CD. Si dice, infatti, che stanno tutti sullo stesso dominio di collisione. Detto questo possiamo affermare che tutti i nodi connessi ad un hub sono parte dello stesso dominio di collisione. In un dominio di collisione, infatti, quando avviene una collisione, tutti i nodi nell'area del dominio (domain/area) avvertiranno la collisione e, quindi, reagiranno di conseguenzza.
    Per connettersi ad un hub, i nodi di una rete usano il cavo UTP (Unshielded Twisted Pair). Ad ogni porta dell'hub può corrispondere un solo nodo. Quando gli hub non erano cosi diffusi, e costavano molto più di adesso, le reti lan di tipo SOHO (small office home office) utilizzavano il più economico cavo coassiale.
    La modalità di lavoro degli hub è molto semplice e trasparente. Quando un nodo connesso ad una delle sue porte trasmette dei dati, questi vengono replicati e spediti su tutte le altre porte. Solo il destinatario dei dati "processerà" la trama ethernet mentre tutti gli altri nodi rifiuteranno la trama e non la inoltreranno sul proprio elaboratore. L'operazione di rifiuto e di accettazione della trama viene portata a termine dalla scheda di rete (NIC) che, leggendo il MAC address di destinazione contenuto nell'header della trama ethernet stessa, verrà portato a confrontato con il proprio MAC address. Solo in caso di uguale MAC address la trama verrà processata.
    Gli hub più recenti hanno una porta speciale che funziona come "uplink" port. La porta uplink permette di connettere l'hub ad altri hub, aumentando le porte disponibili sulla LAN. Questo soluzione, a basso costo, permette di estendere le reti di pochi computers e, da un certo punto di vista funziona abbastanza bene.
    Purtroppo, non appena la rete si appesantiisce con nuovi nodi, anche il traffico inutile (tutte le trame non processate) diventa un problema e impatta in modo negativo sulle performance della stessa. 
    La regola dei 4 ripetitori
    La regola 5-4-3 vale per tutti i tipi di reti Ethernet e dice che si possono collegare fino a 5 segmenti, intervallati da 4 ripetitori, e solo 3 segmenti possono essere popolati, gli altri due segmenti devono restare liberi e servono solo per collegare un ripetitore ad un altro.
    Una eccezione a questa regola è rappresentata dalla rete Fast Ethernet (100Base-T), dove possono essere collegati al massimo 3 segmenti separati da 2 hub. Il segmento centrale è un collegamento di uplink lungo 5 metri, usato per connettere i 2 hub.
    Apparati che limitano il dominio di collisione
    Switch
    Questi apparati stanno rapidamente sostituendo i comuni hub nelle reti aziendali. Diversamente degli hub (apparati di Livello 1) che hanno il solo compito di rigenerare il segnale sulle porte a disposizione, gli switch (apparati di livello 2) si occupano di gestire la banda prendendo delle decisioni basate sul MAC.
    In pratica, uno switch (detto anche multi-port bridge) crea dei percorsi commutati collegando fisicamente un interfaccia ad un altra rendendo così disponibile tutta la larghezza di banda.
    Diversamente dall'hub, lo switch instrada i dati sull'interfaccia (porta dello switch) alla quale è connesso l'host. In pratica lo switch separa/isola i segmenti della rete, stabilendo una connessione temporanea tra la sorgente e il punto di destinazione, chiudendola al termine del collegamento.
    Lo switch è un tipico apparato di Livello 2 (Data Link) anche se l'ovoluzione degli stessi (con capacità di instradamento anche a livello IP) lo sta portando verso gestioni di instradamento e load balancing.
    La denominazione layer 2 o layer 3, deriva direttamente dalla struttura Iso/Osi. Il livello (layer) 2 è caratteristico degli switch più tradizionali, i quali si basano sul MAC address. Con questa tecnologia le comunicazioni sono di tipo 1 a 1, tutte le altre porte dello switch non sono interessate. Gli switch di livello 3 operano sul protocollo e sono, quindi, in grado di determinare i percorsi di instradamento utilizzando le informazioni fornite dai protocolli ( es. IPX, IP, AppleTalk).
    La scelta della tecnologia switch è fondamentale per tutte le applicazioni che creano molto traffico e per tutte le reti con un alto numero di utenti. Nell'ottica di rete sul modello Intranet, con ampio utilizzo di contenuti multimediali, non si può più prescindere da una soluzione switched. L’hub è, oramai, un apparato che non soddisfa più le continue esigenze di alte performance e può trovare applicazione solo in piccoli uffici dove pochi client condividono un server per le stampe e/o semplici applicazioni transazionali.
    Lo switch rappresenta quindi lo strumento principale per l'implementazione e la ottimizzazione di un qualsiasi ambiente di rete locale. Laddove esiste un numero di nodi molto elevato lo switch assolve pienamente al suo compito principale che è quello di distribuire "banda" in modo dedicato. Il proliferare degli accessi Internet, per esempio, spinge all’utilizzo di soluzioni switching in grado di ottimizzare la disponibilità di banda passante sul lato geografico evitando, per quanto possibile, l’interferenza con applicazioni, servizi e periferiche locali. D’altra parte, l’aumento dei server all’interno di una qualsiasi organizzazione rende l’utilizzo degli switch l’unico strumento veramente valido per garantire prestazioni e affidabilità. In quest’ottica, la disponibilità di funzionalità specifiche di CoS/QoS offre la possibilità di costruire una gerarchia di servizi che abilita la convergenza di applicazioni diverse su un’unica infrastruttura.
    Gli switch oggi apportano un aiuto decisivo, superando i limiti della trasmissione "anarchica" di Ethernet e la rigidità del Token Ring. Oltre alla segmentazione fisica del traffico, gli switch consentono il tracciamento di reti virtuali per facilitare lo scorrimento del flusso dei dati. Gli switch di Livello 2, dimensionati per gestire un numero ristretto di reti virtuali, con un numero modesto di stazioni di lavoro, si rivelano non adatti alle topologie multiprotocollo distribuite su più piani e che generano un forte traffico tra gruppi di lavoro. I costruttori hanno permesso allora ai propri switch di gestire le reti virtuali al Livello 3 del modello Osi. Questo posizionamento consente a questi ultimi di assimilare un gruppo di lavoro virtuale a una sottorete Ip, Ipx o AppleTalk e di organizzare la comunicazione tra queste entità protocollari. Tuttavia, la semplice funzione di trasmissione dei pacchetti offerta da questi primi switch di Livello 3 non dispensa dalla mediazione di un router. L'ultima generazione di switch offre un palliativo a tale carenza, attivando una funzione di routing integrale, ovvero la trasmissione dei pacchetti e la definizione dei percorsi. E, bene o male, i router tradizionali iniziano a posizionarsi esternamente alla dorsale, per lasciare agli switch-router il compito di gestire i pacchetti e di organizzare le comunicazioni all'interno della rete locale
    Bridge
    Il bridge, come dice il nome, è un ponte tra due reti. Il suo lavoro consiste nel fare in modo che i dati generati da una rete rimangano separati dall'altra, salvo quando il destinatario non appartenga proprio all'altra rete. Il bridge lavora al livello 2 del modello ISO/OSI, cioè a livello data link. Questo comporta che l'indirizzo in base al quale si decide se inoltrare o meno un messaggio, è un indirizzo di scheda di rete Ethernet, a 48 bit.
    I bridge possono essere utilizzati per:
    -         estendere la lunghezza di un segmento
    -         servire un maggior numero di computer nella rete
    -         ridurre i colli di bottiglia del traffico
    -         suddividere una rete sovraccarica in due reti distinte
    -         collegare supporti fisici eterogenei, ad esempio cavi Ethernet coassiali e cavi a doppini intrecciati

    Router
    Un router è un apparecchio molto complesso. Ha in sé tutte le caratteristiche degli apparecchi visti fino ad ora, aggiungendone altre di maggior ecomplessità. Lo scopo di questo corso è quello di illustrare le caratteristiche di base di un router, lasciando maggiori dettagli a corsi successivi. La parola "router" significa instradatore. E’ un apparecchio di interconnessione fra reti diverse e lavora al livello "network" del modello OSI.
    Il suo compito è quello di suddividere la rete in più reti e gestire l’ instradamento dei dati attraverso l’ indirizzamento IP (o di altri protocolli routabili come l'IPX). La gestione è fatta attraverso una tabella di routing che riporta tutti gli indirizzi IP della rete e il percorso che un pacchetto deve fare per raggiungere una data destinazione. Tale tabella puo’ autoaggiornarsi, oppure è necessario che l’ amministratore di rete aggiorni quotidianamente le varie entry nella tabella. Si parla in questo caso di router statico o dinamico. Un router è, nella maggior parte dei casi, un apparato hardware a se stante,  ma un router potrebbe anche essere un PC dotato di due o più schede di rete, atte a collegare insieme più sottoreti. Si parla in questo caso di un PC multihomed (con più schede di rete) .
    Livello 1 – Componenti e dispositivi
    RJ-45
    Per una connessione a doppini intrecciati non schermata viene utilizzato un connettore RJ-45.
    Il connettore RJ-45 è simile a un connettore del telefono RJ-11, ma è di dimensioni maggiori e presenta otto conduttori invece dei quattro del connettore RJ-11.
    Patch Panels (Quadri di collegamento)
    Per facilitare l’organizzazione e la gestione delle installazioni di cavi UTP, i Patch Panel permettono di supportare fino a 96 porte e velocità di trasmissione fino a 100 Mbps.
    Transceiver
    Dispositivo per la connessione di un computer alla rete. Il termine transceiver deriva dall’unione dei termini in inglese transmitter/receiver, pertanto un trainscever è un dispositivo che riceve e trasmette segnali.
    Topologie di rete
    Il termine topologia di rete si riferisce alla disposizione fisica dei computer, dei cavi e di altri componenti della rete. Tutti i progetti di rete derivano da quattro topologie di base bus,stella,anello,maglie).
    Differenza topologia fisica e logica
    La topologia fisica di una rete è rappresentata dal cavo stesso, mentre la topologia logica è rappresentata dalla modalità di trasmissione dei segnali attraverso il cavo.
    Per implementare correttamente una topologia di rete, è necessario partire da una corretta pianificazione.
    Topologie Standard
    Bus
    Una rete a bus connette tutti i nodi sullo stesso canale trasmissivo, per cui i dati trasmessi da un nodo sono intercettabili da tutti gli altri. In questo modo la trasmissione simultanea da parte di più nodi può generare una collisione. 
    Stella
    Una rete a stella connette tutti i nodi periferici a un nodo principale (centro stella). Ogni nodo periferico è connesso in modo indipendente e non interferisce con gli altri. In questo modo tutte le comunicazioni passano per il nodo centrale che si occupa di gestirle.
    Anello
    Una rete ad anello connette tutti i nodi in sequenza fra di loro in modo da formare un anello. In questo modo la comunicazione avviene in un unico senso e ogni nodo ritrasmette al nodo successivo i dati che non sono destinati a se stesso.
    Completa (Maglia)
    Una rete con topologia a maglie offre ottime prestazioni a livello di ridondanza e affidabilità. In una topologia a maglie ogni computer è collegato agli altri tramite un cavo separato.
    Ogni nodo è connesso direttamente all’altro.
    Vantaggi
    Connessione ridondante, molti percorsi per il transito di informazioni
    Svantaggi
    L’installazione risulta costosa a causa della quantità elevata dei cavi necessari.
    Varianti delle Topologie Standard
    Stella Estesa
    In una topologia a stella estesa ogni nodo collegato con il nodo centrale è anche il centro di un’altra stella. Il vantaggio di utilizzare questa topologia è che si limitano il numero di dispositivi collegati al nodo centrale. Il nostro sistema telefonico è strutturato con questo tipo di topologia.
    Anello doppio
    Una topologia ad anello doppio consiste di due anelli concentrici che  connettono gli stessi dispositivi. Il secondo anello fornisce affidabilità e ridondanza nel caso il primo anello si guasti. La fibra ottica si basa su questa topologia di rete.
    Cellulare
    La topologia “Cellulare” consiste di aree circolari o esagonali ognuna delle quali ha un proprio nodo centrale. La sua area geografica è divisa in regioni (celle) per sfruttare al meglio la tecnologia Wireless. Non esistono collegamenti fisici in questo tipo di topologia ma solo onde elettromagnetiche.
    Metodi di trasmissione dati
    Broadcast
    Nelle reti broadcast i vari elaboratori comunicano tra di loro attraverso la trasmissione di piccoli impulsi elettrici  che utilizzano un unico "canale" di comunicazione  condiviso da tutti.  Si dice che il canale trasmissivo (media) è condiviso da tutti, e non c'è nessun ordine nella priorità di trasmissione. Questo è, in parole povere, il modo in cui Ethernet lavora.
    Le reti Ethernet e Fast Ethernet impiegano un protocollo chiamato CSMA/CD (Carrier-sense Multiple Access with Collision Detection). Questo protocollo ha la caratteristica implicita di permettere ad un solo dispositivo di comunicare in un dato momento. Quando due dispositivi cercano di comunicare simultaneamente, tra i pacchetti trasmessi si verifica una collisione che viene rilevata dai dispositivi trasmettenti. I dispositivi cessano quindi di trasmettere e si mettono in attesa prima di inviare nuovamente i loro pacchetti. Tutto ciò fa parte del normale funzionamento per le reti Ethernet e Fast Ethernet ed è paragonabile ad una conversazione tra un gruppo di persone; se due persone parlano contemporaneamente, si fermano entrambe e una di esse inizia a parlare nuovamente.
    Token-Passing 
    Nelle reti token-passing  viene distribuito sul canale trasmissivo un "gettone" che può essere catturato per trasmettere dati. Se un host non ha nessun dato da trasmettere passa il gettone (token) all'host  successivo. In questo modo si determina una sequenza. Le reti FDDI ed ArcNet sono due tipologie di rete che utilizzano il metodo del token passing. Mentre ArcNet è in via di estinsione data la sua complessità e la sua bassa velocità ( 2.5 mbps ), la FDDI ( Fiber Distributed Data Interface) è particolarmente diffusa. La sua peculiarità è quella di utilizzare un doppio anello che fornisce ridondanza nella trasmissione. Infatti alla rottura di un anello i dati vengono trasferiti sul secondo. La larghezza di banda supportata tocca i 100 mbps per circa 100 km di distanza.

    Introduzione ai firewalls
    I firewall
    1) Che cos'è un firewall?
    2) Perchè dovrei volere un firewall?
    3) Contro che cosa può proteggere un firewall?
    4) Contro che cosa non può proteggere un firewall?
    5) Risorse in rete sui firewall
    6) Come scegliere un firewall
    7) Cosa sono i proxy server e come funzionano
    8) Regole logiche di filtraggio per il mio Cisco
    9) Come far lavorare DNS e firewall
    10) Come far lavorare un FTP attraverso un firewall
    11) Come far lavorare un Telnet attraverso un firewall
    12) Come far lavorare Finger e whois attraverso un firewall
    13) Come far lavorare gopher, archie e altri servizi attraverso un firewall
    14) Pubblicazioni su X-Window attraverso un firewall
    15) Glossario di termini riferiti ai firewall

    1) Che cos'è un firewall?
    Un firewall è uno dei tanti modi per proteggere una rete da altre reti di cui non ci si fida o comunque sconosciute. Il reale meccanismo con cui è realizzato varia fortemente, ma il principio è che il firewall può essere pensato come una coppia di meccanismi: uno serve a bloccare il traffico e l'altro per veicolarlo. Alcuni firewall mettono più enfasi nel bloccarlo, altri nel permetterlo.
    2) Perchè dovrei volere un firewall?
    Internet, come ogni altra società, è piena di babbei che sono l'equivalente elettronico del teppistello che imbratta i muri con lo spray. Alcune persone cercano di lavorare su Internet e altre hanno dati sensibili o di loro proprietà da difendere. Un proposito del firewall è tenerci lontano dalla rete una volta lasciato il lavoro.
    Molti enti e centri dati hanno politiche di sicurezza informatica e procedure che vengono rispettate rigidamente. Il firewall diventa a volte espressione della politica aziendale di proteggere i dati. Spesso, la parte più ardua per connettersi ad Internet, se sei una grande azienda, non è giustificare la spesa o lo sforzo, ma convincere i manager che non ci sono pericoli di sicurezza. Un firewall provvede non solo alla reale sicurezza, ma gioca anche un importante ruolo come schermo di sicurezza per il management.
    Infine, un firewall può agire come ambasciatore dell'azienda su Internet. Molte aziende usano i loro firewall come un posto dove mettere informazioni pubbliche sui prodotti e i servizi dell'azienda, file da scaricare, correzioni e così via. Molti di questi sistemi stanno avendo importanza per le strutture di servizi per Internet (ad es.: UUnet.uu.net, gatekeeper.dec.com) e hanno avuto un buon riflesso sui loro finanziatori aziendali.
    3) Contro che cosa può proteggere un firewall?
    Qualche firewall permette solo il passaggio di email, proteggendo quindi la rete da attacchi diversi da quelli mirati al servizio di email. Altri firewall provvedono a una meno stretta protezione e bloccano servizi che tradizionalmente hanno problemi di sicurezza.
    Di solito, i firewall sono configurati per proteggere contro i login non autenticati dall'esterno. Questo aiuta a prevenire il login di vandali in macchine della rete. Firewall più complicati bloccano il traffico dall'esterno all'interno, ma permettono agli utenti interni di comunicare liberamente con l'esterno. Il firewall ti può proteggere contro qualsiasi tipo di attacco mediato dalla rete come se fossi disconnesso.
    I firewall sono anche importanti perchè possono provvedere a un singolo punto di blocco dove la sicurezza e il controllo possono essere imposte. Diversamente, in una situazione in cui un sistema è attaccato da qualcuno che usa un modem, il firewall può agire come un rubinetto telefonico e uno strumento di monitoraggio.
    4) Contro che cosa non può proteggere un firewall?
    I firewall non possono proteggere da attacchi che non vi passano attraverso. Molte aziende connesse ad Internet sono preoccupate dalla fuoriuscita di dati riservati attraverso qualche via. Sfortunatamente per questi preoccupati, un nastro magnetico può essere usato per trasportare dati all'esterno. Le politiche dei firewall devono essere realistiche e riflettere il livello di sicurezza dell'intera rete. Se un sistema contiene dati riservati sarebbe meglio non connetterlo al resto della rete. I firewall non possono proteggere bene da cose come i virus. Un firewall non può rimpiazzare la coscienza, la consapevolezza e la prudenza dei suoi utenti. In generale, un firewall non può proteggere contro un attacco guidato di dati, attacchi nei quali qualcosa è postato o copiato all'interno dell'host dove è eseguito. Questa forma di attacco è avvenuta nel passato contro varie versioni di Sendmail.
    5) Risorse in rete sui firewall
    Ftp.greatcircle.com - Firewall mailing list (archivi). Directory: pub/firewalls
    Ftp.tis.com - Strumenti e documenti sui firewall Internet. Directory: pub/firewalls
    Research.att.com - Documenti sui firewall e le violazioni di sicurezza. Directory: dist/internet_security
    Net.Tamu.edu - Texas AMU security tools. Directory: pub/security/TAMU
    Le mailing list per i firewall sono forum per amministratori e implementatori. Per sottoscriverle, manda "subscribe firewalls" nel corpo del messaggio (non nel soggetto) a "Majordomo@GreatCircle.COM".
    >N.d.T.
    Una ottima esposizione in italiano la potrete trovare a:
    http://telemat.die.unifi.it/book/Internet/Security/Firewall/
    La versione in inglese più aggiornata e più completa di questo testo la potrete trovare su Internet Firewalls FAQ:
    http://www.clark.net/pub/mjr/pubs/fwfaq/
    http://www.interhack.net/pubs/fwfaq/
    Firewalling and Proxy Server HOWTO
    http://okcforum.org/~markg/Firewall-HOWTO.html
    http://sunsite.unc.edu/LDP/HOWTO/Firewall-HOWTO.html
    con traduzione in italiano a cura del Pluto su:
    http://www.pluto.linux.it/ildp
    6) Come scegliere un firewall
    Allo sfortunato a cui è affidato il compito toccheranno tante letture. In generale occorre rispettare il modo in cui l'azienda vuole operare sul sistema: il firewall esiste per negare esplicitamente tutti i servizi eccetto quelli critici per cui ci si è connessi alla rete oppure serve per verificare e controllare i metodi di accesso in modo non minaccioso. Ci sono diversi gradi di paranoia tra queste posizioni. La configurazione del tuo firewall sarà effetto più delle tue politiche che delle decisioni tecniche. Inoltre, quanto monitorare e controllare? Occorre quindi decidere che cosa monitorare, permettere e negare. Devi coniugare obiettivi e analisi del rischio. Infine c'è la questione finanziaria: quanto costa comprare e implementare il sistema. Si va da 200 milioni a soluzioni gratuite. Per ciò che riguarda le soluzioni gratuite, configurare un Cisco o simili non costerà niente, ma solo tempo-uomo e caffè. Implementare un firewall impegnativo costerà molti mesi-uomo. Bisogna quindi considerare non solo il costo di acquisto ma anche di supporto nel tempo. Dal lato tecnico, c'è un paio di decisioni da prendere, basate sul fatto che per tutti i fini pratici di cui stiamo parlando occorrerebbe un servizio di routing (instradamento) statico del traffico messo tra il provider della rete e la rete interna. Il servizio di routing del traffico deve essere implementato a livello di IP attraverso regole di protezione in un router, o a livello di applicazione attraverso un proxy che faccia da gateway e dei servizi.
    La decisione da prendere qui è se mettere una macchina che può essere colpita all'esterno della rete per far girare un proxy per i servizi di telnet, ftp, news, etc., o se è meglio settare un router difensivo che faccia da filtro, permettendo comunicazioni con una o più acchine interne. Ci sono i pro e i contro a entrambi gli approcci, con la macchina proxy si provvede a un più alto livello di controllo e potenzialmente di sicurezza contro più alti costi di configurazione e una diminuzione nel livello di servizi erogati (poichè occorre sviluppare un proxy per ogni servizio desiderato). La forbice tra facilità d'uso e sicurezza ci perseguita.
    7) Cosa sono i proxy server e come funzionano
    Un proxy server (riferito a volte a una applicazione che permette il passaggio o che spedisce dati) è una applicazione che si occupa del traffico tra una rete protetta e Internet. I proxy sono spesso usati invece di router per il controllo del traffico, per non permettere al traffico di passare direttamente tra le reti. Molti proxy hanno log supplementari o supportano l'autenticazione dell'utente. Poichè i proxy devono capire quale protocollo sta per essere usato, possono anche implementare specifici protocolli di sicurezza (ad es., un proxy FTP potrebbe essere configurato per permettere l'FTP in entrata e bloccare l'FTP in uscita).
    I proxy server sono applicazioni specifiche. Per supportare un nuovo protocollo attraverso un proxy, questo deve essere sviluppato per quel protocollo. SOCKS è un sistema proxy generico che può essere compilato in una applicazione sul lato client per farlo lavorare attraverso un firewall. Il vantaggio è che è facile da usare, ma non supporta l'aggiunta di connessioni con autenticazione o protocolli con logging specifico. Per maggiori informazioni su SOCKS, cfr. ftp.nec.com/pub/socks/
    8) Regole logiche di filtraggio per il mio Cisco
    Il seguente esempio mostra una possibile configurazione per usare il Cisco come un router di filtraggio. E' un esempio che mostra l'implementazione di una specifica linea di condotta. La tua linea di condotta sarà sicuramente diversa.
    In questo esempio, una compagnia ha una Classe B di indirizzi di rete 128.88.0.0 e sta usando 8 bit per le subnet. La connessione Internet è sulla sottorete rossa 128.88.254.0. Tutte le altre sottoreti sono considerate di fiducia o sottoreti blu.

     

    Tieni in mente i seguenti punti perchè ti aiuteranno a capire i pezzi della configurazione:
    1. I Cisco applicano i filtri ai soli pacchetti in uscita.
    2. Le regole sono testate in ordine e si fermano quando la prima occorrenza è stata trovata.
    3. C'è una implicita regola di rifiuto alla fine di una lista di accesso che nega ogni cosa.
    L'esempio sotto tratta il filtraggio delle porte di una configurazione. I numeri di linea e la formattazione sono state aggiunte per leggibilità.
    Le linee guida per l'implementazione sono: - Niente non esplicitamente permesso è negato.
    - Il traffico tra la macchina esterna che fa da gateway e l'host della rete blu è permesso.
    - I servizi permessi sono originati dalla rete blu.
    - Assegna un range di porte alla rete blu per le informazioni di ritorno della connessioni dati FTP.

    1. no ip source-route
    2. !
    3. interface Ethernet 0
    4. ip address 128.88.1.1 255.255.255.0
    5. ip access-group 10
    6. !
    7. interface Ethernet 1
    8. ip address 128.88.254.3 255.255.255.0
    9. ip access-group 11
    10. !
    11. access-list 10 permit ip 128.88.254.2 0.0.0.0 128.88.0.0 0.0.255.255
    12. access-list 10 deny tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 lt 1025
    13. access-list 10 deny tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 gt 4999
    14. access-list 10 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255
    15. !
    16. access-list 11 permit ip 128.88.0.0 0.0.255.255 128.88.254.2 0.0.0.0
    17. access-list 11 deny tcp 128.88.0.0 0.0.255.255 0.0.0.0 255.255.255.255 eq 25
    18. access-list 11 permit tcp 128.88.0.0 0.0.255.255 0.0.0.0 255.255.255.255

    Linea   Spiegazione=====   ===========

    Cisco.com ha un archivio di esempi per costruire firewall usando i router Cisco, disponibile per ftp da: ftp://ftp.digital.de/pub/FireWalls/Cisco/acl-examples.tar.Z
    9) Come far lavorare DNS e firewall
    Alcune organizzazioni vogliono nascondere i nomi DNS dall'esterno. Molti esperti sono in disaccordo sul fatto che sia o meno utile, ma se il sito o l'azienda decide di nascondere i nomi dei domini, questo è un approccio che è funzionale.
    Questo approccio è uno dei tanti, ed è utile per le organizzazioni che vogliono celare i loro nomi di host a Internet. Il successo di questo approccio nasconde dal fatto che i client DNS in una macchina non comunicano con un server DNS nella stessa macchina. In altre parole, proprio perchè c'è un server DNS su una macchina, non c'è niente di sbagliato (e spesso ci sono vantaggi a farlo) nel ridirezionare l'attività di client DNS di quella macchina su un server DNS in una altra macchina.
    Per prima cosa, devi settare un server DNS nel bastion host in modo che il mondo esterno può comunicare con questo. Setta questo server così che sia autorevole per i tuoi domini. Infatti, ognuno di questi server sa ciò che vuoi che il mondo esterno sappia; i nomi e gli indirizzi dei tuoi gateway, i tuoi wildcard MX records, e così via. Questo è un server "pubblico".
    >N.d.T. per wildcard MX records: Vedi RFC1034 e RFC974 per i dettagli. In breve nella notazione del DNS indica un Mail eXchanger, cioe' una macchina destinata a scambiare posta. Supponiamo che voglia mandare posta a pippo@tin.it. "tin.it" è una rete e non una macchina, quindi nelle tabelle del DNS di tin.it si indica quale macchina fa da mail eXchanger per il dominio, ad es.: MX posta.tin.it Quindi ogni volta che c'è posta per le rete tin.it ci pensa la macchina di posta.tin.it a smistarla. Quindi, configura un server DNS in una macchina interna. Questo server pretende anch'esso di essere autorevole per i tuoi domini; diversamente dal server pubblico, questo sta dicendo la verità. Questo è il tuo nameserver "normale", nel quale mettere tutto le cose "normali" che riguardano il DNS. Devi configurare anche questo server in modo che trasferisca le domande a cui non può rispondere al server pubblico (usando una linea che faccia da "spedizioniere" in /etc/named.boot in una macchina Unix, per esempio).
    Infine, configura tutti i tuoi client DNS (il file /etc/resolv.conf in una Unix box, per esempio), includendoli in una macchina con il server pubblico, per usare il server interno. Questa è la chiave.
    Un client interno che interroga un host interno, interroga il server interno, e ottiene una risposta; un client interno che interroga un host esterno interroga il server interno, che interroga il server pubblico. Un client nel server pubblico lavora proprio nello stesso modo. Un client esterno, comunque, che interroga un host interno ottiene come risposta "restricted" (cioè limitata) dal server pubblico.
    Questo approccio presuppone che ci sia un filtraggio dei pacchetti da parte del firewall tra questi due server che permetterà a loro di comunicare il DNS a ogni altro, ma altrimenti limita il DNS tra gli altri host.
    Un altro trucco che è utile in questo schema è impiegare wildcard PTR records (N.d.T. PTR è un puntatore ad un altra parte dello spazio del nome di dominio) nei tuoi domini IN-ADDR.ARPA. Questo causa una ricerca (tabellare) da indirizzo a nome per ciascuno dei tuoi host non pubblici e restituisce qualcosa come sconosciuto.TUO.DOMINIO piuttosto che un errore. Questo soddisfa siti con ftp anonimo come ftp.uu.net che insiste nell'avere un nome per le macchine con cui comunica. Questo fallisce quando comunica con siti che fanno un controllo incrociato del DNS nel quale il nome dell'host è verificato a fronte del suo indirizzo e viceversa.
    Nota che nascondere i nomi nei DNS non risolve il problema dei nomi di host fuoriusciti con gli headers delle mail, articoli di news, etc.
    10) Come far lavorare un FTP attraverso un firewall
    Di solito, il far lavorare l'FTP attraverso il firewall è realizzato o usando un server proxy o permettendo connessioni in entrata in una rete su un ristretto range di porte, e altrimenti restringendo le connessioni in entrata usando qualcosa come regole di monitoraggio stabilite. Il client FTP è allora modificato per congiungere la porta dei dati alla porta all'interno del range. Questo implica il fatto di essere capaci di modificare l'applicazione che fa da client FTP sugli host interni.
    Un approccio differente è usare l'opzione "PASV" dell'FTP per indicare che il server FTP remoto dovrebbe permettere al client di iniziare la connessione. L'approccio con PASV assume che il server FTP sul sistema remoto supporti tale operazione. (Vedi l'RFC1579 per ulteriori informazioni).
    Altri siti preferiscono costruire versioni di client del programma di FTP che sono linkate alla libreria SOCKS.
    11) Come far lavorare un Telnet attraverso un firewall
    Telnet è generalmente supportato o per usare una applicazione che fa da proxy, o semplicemente per configurare un router per permettere connessioni in uscita usando qualcosa come regole di monitoraggio stabilite. Le applicazioni proxy potrebbero essere nella forma di un proxy standalone che gira su un bastion host, o nella forma di un server SOCKS e un client modificato.
    12) Come far lavorare Finger e whois attraverso un firewall
    Permettere connessioni alla porta finger dalle sole macchine fidate, che possono emettere richieste di finger nella forma di: finger user@host.domain@firewall .
    Questo approccio funziona solo con le versioni standard del finger di Unix. Qualche server finger non permette la connessione finger su user@host@host.
    Molti siti bloccano le richieste finger dirette verso l'interno per una varietà di ragioni, di cui la più importante è la presenza di buchi nella sicurezza del server finger (il worm Morris ha reso questi bug famosi) e il rischio che informazioni riservate o proprietarie siano rivelate nelle informazioni finger dell'utente.
    13) Come far lavorare gopher, archie e altri servizi attraverso un firewall
    Questa è ancora un'area di ricerca attiva nella comunità dei firewall. Molti amministratori di firewall supportano questi servizi solo attraverso l'interfaccia a linea di comando fornita da telnet. Sfortunatamente, molti dei servizi di rete più provocanti fanno connessioni a sistemi remoti multipli, senza trasmettere nessuna informazione di cui un proxy potrebbe prenderne vantaggio, e spesso i più nuovi sistemi di recupero delle informazioni trasmettono dati agli host e dischi locali con la sola sicurezza minima. C' è il rischio che (per esempio) i client WAIS possano richiedere file codificati in uuencode, che decifrano e modificano i file relativi alla sicurezza nella directory home dell'utente. Al momento, c'è molta incertezza tra gli amministratori di firewall che sono responsabili della sorveglianza dei perimetri della rete, e gli utenti, che vogliono avvantaggiarsi di questi davvero attraenti e utili strumenti.
    14) Pubblicazioni su X-Window attraverso un firewall
    X Windows è un sistema davvero utile, ma sfortunatamente ha qualche grande difetto di sicurezza. I sistemi remoti che possono guadagnare o spufare l'accesso a una workstation con X possono monitorare la pressione dei tasti degli utenti, scaricare copie dei contenuti delle loro finestre, etc.
    Mentre tentativi sono stati fatti per superarli (ad es., MIT "Magic Cookie") è ancora troppo facile per un aggressore impcciarsi del display di un utente di X.
    Molti firewall bloccano tutto il traffico di X. Qualcuno permette il traffico di X attraverso applicazioni proxy come il proxy DEC CRL X (FTP crl.dec.com).
    15) Glossario di termini riferiti ai firewall
    - Firewall basato su un host: un firewall dove la sicurezza è implementata in un software che gira in un computer non dedicato di qualunque tipo. La sicurezza nei firewall basati su un host è generalmente al livello di applicazione piuttosto che al livello della rete.
    - Firewall basato su un router: un router che è usato per implementare parte della sicurezza di un firewall configurandolo per permettere selettivamente o per negare il traffico a livello della rete.
    - Bastion host (host che si affaccia all'esterno): un sistema host che è un punto forte nel perimetro della sicurezza del sistema. I bastion host dovrebbero essere configurati per essere particolarmente resistenti agli attacchi. In un firewall basato su host, il bastion host è la piattaforma nella quale il software firewall gira. I bastion host sono anche chiamati gateway host.
    - Dual-Homed Gateway: un firewall di un bastion host con 2 interfaccie di rete, una delle quali è connessa per proteggere la rete, l'altra è connessa a Internet. L'inoltro del traffico IP è di solito disabilitato, limitando tutto il traffico tra le due reti a qualunque cosa passi attraverso qualche tipo di applicazione proxy.
    - Applicazione proxy: una applicazione che instrada il traffico delle applicazioni attraverso un firewall. I proxy tendono a essere specifici per il protocollo per cui sono progettati per inoltrare, e possono provvedere un aumentato controllo di accesso o verifica.
    - Subnet monitorata: una architettura firewall nel quale una rete "sand box" o "zona smilitarizzata" è configurata tra la rete protetta e Internet, con traffico bloccato tra la rete protetta e Internet. Concettualmente, è simile a un dual-homed gateway, eccetto che una intera rete, piuttosto che un singolo host è raggiungibile dall'esterno.

    Peer To Peer
    Affinchè i pacchetti possano viaggiare dall'host sorgente a quello di destinazione, ogni livello "sorgente" del modello OSI deve comunicare con il pari livello di "destinazione". Questa modalità viene chiamata Peer-to-Peer Communication.
    Durante questo processo ogni livello scambia delle informazioni, chiamate  protocol data units (PDUs) con il suo pari livello.
    In ogni livello di comunicazione il sorgente e la destinazione si scambiano le PDU.

    SORGENTE DESTINAZIONE
    APPLICATION <= DATI => APPLICATION
    PRESENTATION <= DATI => PRESENTATION
    SESSION <= DATI => SESSION
    TRANSPORT <= SEGMENTI => TRANSPORT
    NETWORK <= PACCHETTI => NETWORK
    DATA LINK <= TRAME => DATA LINK
    PHYSICAL <= BIT => PHYSICAL

    Il livello di trasporto si occupa di segmenti; i segmenti vengono incapsulati in pacchetti; i pacchetti sono frammentati e incapsulati in trame; le trame si trasformano in flussi di bit.
    L'ottimizzazione di questo processo avviene attraverso l'incapsulamento: il livello sottostante usa l'incapsulamento per inserire la PDU del livello superiore nel suo campo dati, dove poi verranno inserite ulteriori informazioni (header,  trailers) per ottimizzarne le funzioni.

    Problematiche del cablaggio in piccoli uffici e abitazione
    Oggigiorno numerose persone lavorano a casa propria. Non tutti hanno la possibilità di lavorare in uffici precablati, infatti vi sono persone che lavorano in edifici progettati per lo più sul modello di abitazioni residenziali. Per esempio, alcune aziende risiedono in affascinanti case d’epoca o vecchi mulini ristrutturati o addirittura castelli.
    Sfortunatamente, non esiste alcun manuale che fornisca indicazioni su come stendere i cablaggi della rete in queste lussuose dimore. La maggior parte dei manuali sul networking spiega come gestire un firewall e consiglia di non fare scorrere i cavi direttamente sui pannelli acustici posizionati sul soffitto a causa della loro pesantezza. Ma queste informazioni sui cablaggi, sebbene siano adatte per ambienti di un ufficio standard, non risultano utili per gli edifici residenziali adibiti a uffici. Un aspetto decisamente negativo, in quanto i cablaggi degli edifici residenziali sono più difficili da gestire. Per esempio, non è possibile spostare un pannello per accedere all’intercapedine sul soffitto e non esistono nemmeno dei condotti preesistenti sotto al pavimento. Inoltre, in molti di questi edifici residenziali sono presenti caratteristiche architetturali che, indipendentemente dalle esigenze lavorative, devono essere preservate.
    Un altro importante fattore nell’ambito dei cablaggi degli edifici residenziali, e delle piccole aziende in generale, è rappresentato da budget limitati. È molto probabile che non si disporrà del denaro necessario per acquistare un tester per i cablaggi che può costare anche 3 milioni, nonostante si tratti del migliore strumento per un certo tipo di lavoro. Se si ha la necessità di supportare soltanto cinque utenti, è normale chiedersi se non sia preferibile spendere solo 300 o 400 mila lire per uno strumento con funzionalità ridotte.
    Un’altra questione da affrontare è se si ha un’esperienza sufficiente per stendere personalmente i cablaggi del proprio ufficio. Chuck Yort, responsabile di un reparto presso 3Com, invita a fare attenzione poiché anche l’installazione di una rete di piccole dimensioni non è un lavoro alla portata di tutti. Nonostante siano presenti sul mercato alcune linee di prodotti destinate agli autodidatti, "il ruolo dei consulenti o dei VAR può risultare determinante. L’installazione di una rete non è come quella di un modem ed è necessaria una grande esperienza", sostiene.
    Se si ha già una certa esperienza e non si deve creare una rete complessa con più segmenti, è possibile riuscirci da soli. Esistono dei modi per evitare alcuni ostacoli fisici, come vecchi camini, come pure gli ostacoli tecnici, come la mancanza di affidabili strumenti di test. Richardson ha recentemente installato i cablaggi nel suo nuovo ufficio (cioè il suo appartamento) e sostiene che la volontà di portare a termine il progetto, una media conoscenza della strumentazione elettrica e una moderata quantità di buon senso sono i soli strumenti necessari per l’installazione dei cavi.
    Dietro i muri
    Il problema principale nel sistemare i cablaggi di una rete consiste nel tirare i cavi da ogni punto A ad ogni punto B. Vi sono numerosi uffici in tutto il mondo in cui i cavi sono incollati con del nastro adesivo al pavimento, graffettati alle pareti o fatti scorrere lungo il soffitto. Tali approcci consentono un normale funzionamento della rete. Un altro vantaggio di questo approccio consiste nel fatto che si possono utilizzare cavi di rete con una lunghezza predefinita che dispongono già dei terminatori collegati ad essi. In questo caso, è sufficiente inserire un’estremità del cavo nel concentratore e l’altra estremità nel NIC del computer. Questo metodo di installazione non solo è facile ma il cablaggio è anche sicuro dal punto di vista elettrico.
    Naturalmente, un modo professionale per sistemare i cablaggi del proprio ufficio consiste nel fare scorrere i cavi attraverso le pareti, sopra il soffitto o sotto il pavimento. Tali metodi sono generalmente semplici da adottare in edifici adibiti a uffici, ma non in residenze di altro tipo in cui è necessario conoscere la struttura dell’edificio e come effettuare il passaggio dei cavi nelle pareti.
    George Wang, commerciale presso Cabling System Warehouse, osserva che con alcuni tipi di costruzioni e in particolare con le pareti in muratura, spesso si è costretti a inserire i cavi in canaline prefabbricate che vengono incollate alle pareti.
    Negli Stati Uniti la maggior parte dei muri è vuota all’interno oppure è riempita di materiale isolante e questo facilita le cose. Incollato a una serie di travi, che costituiscono lo scheletro di un muro, vi è il rivestimento che può essere di vario tipo. Lo specifico rivestimento di un muro dipende molto spesso dall’età del muro stesso. In una costruzione recente, l’esterno del muro è costituito da compensato con diversi strati e al di sopra si trova un qualsiasi tipo di materiale. Le superfici interne del muro sono ricoperte da pannelli di cartone che possono essere facilmente tagliati con un semplice coltello. Essi sono frequentemente rivestiti con un sottile strato di stucco o di intonaco.
    I muri più vecchi sono costruiti in modo del tutto diverso. L’esterno del muro è solitamente rivestito da tavole di legno e non da compensato. Inoltre, le pareti interne sono costituite da tre strati. Innanzi tutto, sottili listelli di legno sono inchiodati orizzontalmente sulle travi dal pavimento al soffitto (compreso quest’ultimo). Sopra a questi listelli viene posto un misto di malta e di crine che deve essere inserito attentamente attraverso i listelli aperti. In tal modo la malta si incolla saldamente ai listelli di legno. La Figura 1 mostra la sezione di un muro con malta e listelli di legno.
    Dopo il primo rivestimento di malta grezza, viene applicato un secondo rivestimento più solido di malta bianca che rende il muro robusto ed elastico.
    Questo tipo di costruzione dei muri è ciò che rende straordinariamente solidi gli edifici più vecchi. Tuttavia, sebbene siano estremamente robusti, tali muri sono modificabili con molta difficoltà.
    In generale, un pannello di cartone si può tagliare con un seghetto, che è un utile strumento del costo di 5 dollari che effettua tagli precisi. I muri in malta presentano maggiori difficoltà poiché i materiali sono più spessi e più duri. Inoltre, i listelli in legno hanno la tendenza ad incurvarsi sui chiodi che li fissano alle travi. Quindi, effettuare dei fori in questo tipo di muro può provocare un effetto disastroso poiché le estremità dei listelli di legno possono assumere forme indesiderate. Inoltre, la malta vecchia tende a frantumarsi quando si effettuano dei fori. Non si può evitare in alcun modo; occorre soltanto prepararsi a trascorrere più tempo nelle operazioni di stuccatura e di imbiancatura.
    Per tagliare la malta, occorre un’apposita sega con lame sempre nuove; è necessario accertarsi di sostituire le lame non appena appaiono usurate.
    Per quanto riguarda il tipo di cavo da inserire nei muri, le possibilità a disposizione dipendono dal tipo di rete che si intende installare. Probabilmente si sarà scelto Ethernet. In installazioni di piccole dimensioni, Ethernet funziona su cavi coassiali o cavi UTP. Richardson ha optato per i cavi UTP poiché la terminazione dei cavi coassiali tende a creare giunture meno affidabili. Inoltre, esaminando reti ad elevata velocità ci si rende conto che raramente vengono utilizzati i cavi coassiali. Il principale aspetto negativo del cablaggio UTP nelle costruzioni residenziali è che richiede un maggior numero di cavi.
    Categoria 5

    Esistono numerosi modi diversi per stendere i cavi, ma probabilmente l’approccio più semplice consiste nello stenderli nell’intercapedine sotto al pavimento. Utilizzare gli occhielli dei cavi per collegarli ai travetti del pavimento e quindi inserirli nei muri fino ai connettori. Per l’operazione di inserimento dei cavi, effettuare un foro nel muro per la scatola della presa, quindi utilizzare una punta di trapano lunga per attraversare il muro fino all’intercapedine. Utilizzare questo foro e un piccolo filo metallico per collegare il cavo all’estremità della punta del trapano dopo aver forato. Ora è possibile utilizzare la punta del trapano per tirare il cavo attraverso il foro.
    È possibile, naturalmente, adattare tale strategia per stendere i cavi di un attico fino ad arrivare alla stanza sottostante. Risulta abbastanza semplice tirare i cavi in questo modo per attraversare completamente una stanza. Si possono ottenere utili consigli consultando manuali sugli impianti elettrici domestici. Molti di questi manuali, tuttavia, suggeriscono l’utilizzo di canaline di acciaio ma occorre essere esperti per non complicare le cose.
    Esiste un altro tipo di approccio per la stesura dei cavi in un’abitazione residenziale: tirare i cavi dietro ai battiscopa. Se si ha la necessità di sistemare il pavimento e di ridipingere le pareti, si devono comunque rimuovere i battiscopa e in tal caso si evita di fare dei fori nel muro. La strategia di Richardson in questo caso consiste nel tagliare il penultimo listello di legno vicino al pavimento e non l’ultimo per un paio di motivi. Innanzi tutto, perché è necessaria una superficie da fare aderire al livello del muro e mantenere i battiscopa verticali nel momento in cui devono essere riapplicati. In secondo luogo, le travi sono inchiodate al legno della parte inferiore del muro. Se si effettua un foro troppo vicino al pavimento, si rischia di urtare contro uno dei chiodi preesistenti.
    Uno dei modi più efficaci per lavorare con la malta consiste nell’effettuare un foro sufficientemente ampio da poter inserire la sega nell’intercapedine fra il secondo e il terzo listello. Accertarsi di indossare una maschera di protezione per gli occhi poiché la malta si frantuma e va ovunque.
    Con la sega, si taglia la lunghezza del listello fino ad arrivare alla successiva trave. A questo punto è possibile staccare il listello di legno che, a sua volta, consente di rimuovere parte della malta presente fra il taglio orizzontale e il pavimento. Occorre eliminare qualsiasi protuberanza in modo da poter incollare nuovamente i battiscopa senza intralci. La Figura 2 mostra il risultato di questa operazione.
    Se Richardson avesse voluto unicamente installare i cavi di una rete avrebbe effettuato dei fori attraverso le travi e avrebbe tirato i cavi. Ma poiché intendeva aggiungere anche l’impianto elettrico ha dovuto effettuare dei fori per tutto lo spessore delle travi e, poiché desiderava una certa distanza fra il cavo elettrico e quello della rete, ha deciso di inserire i cavi della rete nell’intercapedine che si era creata rimuovendo la malta. È necessario fare attenzione quando si inchiodano i battiscopa a non forare un cavo sottostante. È meglio rischiare di forare un cavo della rete piuttosto che uno elettrico. Per fissare i cavi della rete sono stati utilizzati dei serrafili isolati, come mostrato dalla Figura 3.
    Terminazione del cavo
    L’autore di questo articolo tratta reti e prodotti per reti per lavoro, ma poiché non esegue attività di cablaggio, non dispone di strumenti di test. Ha rilevato, tuttavia, che si può fare a meno della maggior parte di tali attrezzi. Naturalmente non si può sperare di installare una rete con 100 nodi senza alcuno strumento, ma per una rete di ridotte dimensioni i seguenti approcci potrebbero risultare sufficienti.
    In primo luogo, si deve avere la possibilità di terminare il cavo in corrispondenza della scatola sulla parete. Per fare ciò si possono acquistare scatole elettriche da un qualsiasi elettricista a un prezzo di circa 1,5 dollari ciascuna. Anche se non si è mai installata una scatola elettrica, l’operazione è abbastanza semplice. Dapprima si utilizza un modello di carta per disegnare la forma della scatoletta sul muro; alcune scatole vengono fornite con un modello di carta, in caso contrario se ne deve costruire uno. Posizionare la scatola con la parte aperta su un pezzo di carta, tracciarne il contorno con una matita e quindi modificarne la forma in base a ciò che sporge dalla sagoma. Utilizzare una squadra per accertarsi che il foro abbia gli angoli perfettamente retti.
    Possono essere utilizzate le scatole che gli elettricisti chiamano ad alette, poiché hanno piccole alette di plastica che sono collegate alla scatola con viti. Quando si inserisce la scatola nel foro del muro e si inizia a serrare le viti, le alette si espandono e premono contro la parete del foro.
    Prima di installare la scatola nel foro del muro, fare scorrere il cavo dal foro in modo che sporga dal muro. Una volta effettuata questa operazione, spingere la scatola sul cavo che deve essere terminato. Le scatole di plastica dispongono di linguette per bloccare il cavo; queste linguette mantengono il cavo in posizione sfruttando l’attrito. Accertarsi che le linguette non stringano il cavo. Una volta inserito il cavo nella scatola, posizionarla nel foro e assicurarla alla parete.
    A questo punto un installatore professionista utilizzerebbe un’apposita pinza per collegare la coppia di fili all’interno della guaina del cavo al connettore terminale. La pinza ha un costo di circa 50 dollari. Il prezzo non è eccessivo, ma è uno strumento che verrà utilizzato soltanto per dieci minuti. Fortunatamente, non occorre realmente una pinza se si dispone del connettore opportuno. Sia i connettori Hubbell che quelli leggermente meno costosi non di marca dispongono di clip di plastica per il bloccaggio che permettono di posizionare i fili nella corretta posizione. La Figura 4 illustra la clip posizionata su quattro fili.
    Si possono utilizzare connessioni a vite per i cavi e adottare 10BaseT Ethernet. Tuttavia, il motivo per cui è consigliabile utilizzare dispositivi di fissaggio dei fili di Categoria 5 consiste nel fatto che in questo modo si può migrare a 100BaseT. Se tale migrazione è una possibilità reale occorre tenere presente un piccolo accorgimento: si devono posizionare attentamente le coppie di fili prima di utilizzare la pinza di serraggio. Ciò comporta abilità e pazienza, ma non esiste alcuna alternativa.
    Una volta collegato al cavo, il connettore verrà inserito nell’apposita mascherina da parete. Infine, si avvita la mascherina sulla scatola nella parete.
    Terminazione all’altro capo
    All’altro capo del cavo, nell’armadio dei cablaggi, si hanno diverse possibilità. In numerose installazioni di piccole dimensioni, i cavi provengono da un foro nel soffitto. I cavi vengono successivamente terminati con gli appropriati connettori (noti generalmente con il nome di connettori RJ-45, anche se gli esperti di cablaggio sostengono che la terminologia non è corretta) che si inseriscono direttamente nel concentratore Ethernet. Questo approccio è semplice e tiene bassi i costi di installazione. In installazioni di maggiori dimensioni, i cavi vengono fatti confluire in pannelli in cui vengono utilizzati corti cavi di collegamento per fare arrivare le linee al concentratore. Questo tipo di pannello risulta ordinato e consente di terminare i collegamenti con strumenti appositi invece che con un connettore modulare. Per i meno esperti è più facile effettuare connessioni affidabili utilizzando tali strumenti. Tuttavia, un pannello può costare più di un concentratore e, di conseguenza, si può probabilmente fare a meno di tali pannelli se non si utilizzano più di 16 nodi di rete. Se il proprio budget non consente l’acquisto di un apposito pannello, si possono raggruppare i cavi in gruppi di sei in un pannello elettrico e terminarli in placche metalliche quali quelli fornite da Hubbel. La Figura 5 illustra un dispositivo di questo tipo prima del collegamento. Se si adottano connettori modulari alle estremità dei cavi, probabilmente si desidererà sistemare al meglio il foro in cui i cavi entrano nella stanza. Un modo facile consiste nel fare scorrere i cavi attraverso una placca analoga a quella dei comuni interruttori, che utilizza un’apertura rettangolare di maggiori dimensioni rispetto a quelle convenzionali.
    Test del cablaggio
    L’ultima fase del processo di cablaggio consiste nel test dei cavi. Se si dispone di uno scanner per cablaggio, tutto bene. In caso contrario, si deve verificare la rete nel modo consueto. Supponiamo di essere nella seconda situazione; in primo luogo si collegano due computer l’uno con l’altro con un cavo già controllato e funzionante. Se si utilizza 10BaseT, si deve avere a disposizione un cavo incrociato. L’approccio migliore consiste nell’utilizzarne uno già impiegato e funzionante. La procedura di test è semplice e veloce. In primo luogo si fanno colloquiare due computer fra di loro con il cavo incrociato, quindi si inseriscono nella rete il concentratore e due cavi preparati in precedenza. Quindi, si verifica la connessione con i cavi appena stesi. È importante avere molta pazienza ed essere molto pignoli.
    Conclusioni
    Molti aspetti della costruzione e della manutenzione del cablaggio di una LAN richiedono strumenti ed esperienza superiore a quella di molti utenti che non lavorano nel campo dei cablaggi. Tuttavia, se ci si sente sicuri e si conoscono alcuni aspetti di base del networking e di elettrotecnica, si riuscirà probabilmente ad effettuare una piccola installazione senza l’intervento di altre persone.
    Alcuni avvertimenti: un esperto sostiene che per avere successo si deve sempre avere presente il processo nel suo complesso, pur focalizzandosi sulle singole attività, una alla volta. Prestare la massima attenzione ai dettagli di una particolare attività impedirà di effettuare operazioni rischiose, che potrebbero inficiare il risultato dell’intero processo.

    Usare eMule con modem DSL AVM (modem con firewall integrato)
    Chi si connette a internet tramite una scheda modem DSL AVM e vuole scambiare file tramite eDonkey/eMule viene penalizzato da un Low ID e basse velocità di trasferimento. La colpa è del software di connessione Fritzweb, che lavora mascherando l'indirizzo IP della connessione e bloccando le porte che vengono attivate dal software peer to peer per l'assegnazione degli ID. La soluzione consiste nel chiudere Fritzweb e impostare manualmente nel programma una connessione di Accesso remoto tramite l'apposita procedura guidata di connessione alla rete, durante la quale bisognerà selezionare connessione a Internet / connessione manuale a internet /Linea ISDN / Driver AVM Dsl Ndis Wan Capi. Fornire i dati di accesso e un numero di telefono arbitrario; disattivare il firewall per le connessioni a internet e creare infine un collegamento sul desktop alla nuova connessione. Fare doppio clic sul nuovo collegamento e avviare il programma P2P: immediatamente si potrà disporre di un ID più veloce.

    Distanza dell'ADSL
    Fino a 5,5 Km dalla centrale telefonica si possono raggiungere velocità di 1,5-2 Mbps con la tecnologia ADSL. Se le distanze aumentano, le prestazioni teoriche diminuiscono proporzionalmente

    Sigle delle reti
    10-100 Switch o scheda di rete che dispone di due porte di collegamento diverse, rispettivamente per le reti a 10 Mbps e a 100 Mbps
    10/100 Switch o scheda di rete che gestisce sulla stessa porta si i collegamenti a 10 Mbps che quelli a 100 Mbps, scegliendo in modo automatico la velocità più indicata per il collegamento. Si chiamano AUTOSENSING
    10BASE-T Il sistema di collegamento più lento tra quelli in esame. Usa cavi composti da due coppie di fili: una per ricevere informazioni e l'altra per trasmetterle. La trasmissione arriva ad una distanza di circa 100 metri.
    100 BASE-T Chiamato anche Fast Ethernet, è uno standard Ethernet che prevede la trasmissione fino a 100 Mbps (megabit per secondo) su casi a doppino ritorno
    10BASE2 e BASE5 Due "vecchie"sistemi di collegamento che usano cavi coassiali, simili a quelli delle antenne televisive. Il 10BASE2 riesce a trasmettere informazione fino a 180 metri mentre il 10BASE5 arriva a 500 metri.
    10BASE-FL Sistema di collegamento a 10Mbps con cavi in fibra ottica che permette trasmissioni fino a 2Km di distanza
    100BASE-FX Sistema di collegamento del tutto simile al 10BASE-FL in cui le fibre ottiche garantisco una velocità di 100Mbps
    100BASE-TX Sistema di collegamento che usa cavi composti da due coppie di fili,una in ricezione e l'altra in trasmissione, alla velocità di 100 Mbps e che arriva alla distanza di 100 mt
    UTP Cavo privo di schermatura dai campi magnetici. Indicato per distanze brevi
    STP Cavo schermato da interferenze esterne, indicato per lunghe distanze o all'uso in ambienti che presentano disturbi elettromagnetici
    Categoria 3 e Catergoria 4 Cavi che per le loro caratteristiche sono indicati nelle reti a 10Mbps e che potrebbero impedire il corretto funzionamento di una rete di velocità superiore.
    Categoria 5, 5E, 6 Cavi usati per realizzare reti ad alta velocità, dai 100 Mbps e oltre (Ethernet, Fast Ethernet, Gigabit Ethernet). I 5E supportano 350 Mbps.
    Certificazione A/B Indicazione presente sui dispositivi che garantisce una bassa emissione di radiazioni e di disturbi elettrici secondo le norme della commissione federale delle comunicazioni degli USA. Tutti gli accessori di collegamento che vogliamo utilizzare in Italia devono essere classificati A e B
    Baud unità di misura per la trasmissione dei dati. Equivale più o meno al bit (?). In baud è calcolata anche la velocità dei modem
    Mbps Mega Baud per Second: ossia 1024x1024baud per secondo.
    Gbps GigaBaud per second
    Bridge Dispositivo hardware (o un componente software) che connette due reti fisicamente diverse, come una rete Ethernet e una rete basata sull'impianto telefonico
    Cavo Crossover Cavo che connette direttamente due computers in rete senza altri dispositivi di networking come hub o switch. Ha l'aspetto di un normale cavo Cat.5, ma i fili sono invertiti per consentire la comunicazione diretta tra i due computers
    Cavo Patch (patch cord) Un cavo di rete UTP provvisto di connettori RJ45 alle estremità.
    DHCP Dynamic Host Configuration Protocol, un protocollo usato per configurare automaticamente l'indirizzo IP di un computer client che si connette ad una rete. Il protocollo specifica in che modo i DHCP client e server negoziano un indirizzo per il client
    DNC (Domain Name Server) Un database gerarchico distribuito che mappa i nome degli host (i computers) ai rispettivi indirizzi IP. Questa mappatura permette agli utenti di connettersi a un computer conoscendone il nome di dominio (per esempio www.google.it) e lasciando che sia un server DNS a trovare il corrispondente indirizzo IP (come 216.239.59.104), utilizzando per l'inoltro del traffico in una rete TCP/P. Internet è un esempio di rete TCP/IP.
    Domain Name Nome di dominio: il nome che identifica univocamente una certa postazione Internet, a cui corrisponde un indirizzo IP numerico. E' compito dei server DNS tradurre i nomi di dominio in indirizzi IP (Internet protocol). 
    Ethernet Un protocollo di rete che specifica l'interfaccia fisica e i segnali elettrici per la comunicazione in una rete locale. Utilizza uno schema di segnalazione, noto come CSMA/CD (Carrier Sense Multiple Access/Collision Detection) per cui i computer cercano di trasmettere quando non sentono la presenza di traffico e, in caso di collisione di pacchetti, ritrasmettono i dati.
    Firewall Un dispositivo hardware o un'applicazione software che protegge un computer, una LAN o una WAN da attacchi originati all'esterno dell'area protetta. Windows XP include una versione "leggera" di firewall che si chiama ICF (Internet Connection Firewall)
    Gateway Il dispositivo o computer che mantiene la connessione di una rete con altre reti o con Internet. Occorre un gateway di default per inoltrare il traffico TCP/IP su un'altra rete.
    Gateway residenziale Un dispositivo hardware usato in reti domestiche o in piccoli uffici per gestire il traffico tra Internet e la LAN. Molti gateway residenziali includono ulteriori funzionalità, con l'assegnazione di indirizzi IP tramite DHCP e la traduzione NAT (Network Address Translation) tra indirizzi privati e indirizzo pubblico Internet. Un'alternativa a un gateway residenziale è la condivisione della connessione internet via software, attraverso l'ICS (Internet Connection Sharing) di Windows
    HomePNA Una tecnologia di networking che utilizza le linee telefoniche interne di casa o dell'ufficio come infrastrutture di rete. Gli adattatori HomePNA usano spie e prese telefoniche RJ-11 per connettersi all'impianto telefonico. La banda passante è di 10 Mbps e non c'è interferenza con le conversazioni locali.
    Hub E' chiamato anche concentratore. Si tratta di un dispositivo che connette un certo numero di computer a un segmento condiviso della rete. Nel caso più semplice, un hub si limita a connettere elettricamente tra di loro i vari computer tramite i cavi di rete; in questo modo ogni computer invia i dati a tutti gli altri computers collegati all'hub e anche la banda passante viene condivisa. Normalmente un hub è in grado di interconnettere collegamenti a diversa velocità, per esempio Ethernet a 10 e 100 Mbps. Vedere anche Switching Hub.
    ICS (Internet Connection Sharing) (Condivisione connessione Internet) Una funzionalità offerta da Windows XP che permette ad un computer di condividere la propria connessione a Internet con gli altri computer della rete locale.
    Indirizzo IP La rappresentazione numerica del nome di un host (computer), ovvero l'indirizzo dell'host utilizzato dai protocolli internet, a differenza del nome di dominio che ne è una versione mnemonica in formato testo.
    IP (Internet Protocol) Un protocollo di rete per indirizzare e instradare il traffico sulla rete; fa parte della suite di protocolli di networking TCP/IP.
    LAN (Local Area Network) Cioè rete locale. Una rete situata in una specifica ubicazione geografica, spesso in un edificio. Una LAN può server un gruppo di computer o può servire un gruppo di lavoro di pochi computer o può comprendere migliaia di computer. Tecnicamente, una LAN consiste di un mezzo condiviso a cui le stazione si collegano per comunicare tra loro.
    Indirizzo MAC (Media Access Control) Indirizzo che identifica in modo univoco qualsiasi adattatore di rete.
    NAT (Network Address Translation) Un processo di conversione degli indirizzi IP; di solito è usato per consentire a un singolo indirizzo IP pubblico (accessibile su Internet) di essere condiviso da più sistemi, ciascuno co un indirizzo IP privato (per esempio del tipo 192.168.0.x)
    Network Rete, un insieme di computer organizzati per condividere dati e risorse e scambiare messaggi.
    NIC (Network Interface Card) Scheda di interfaccia di rete o adattatore di rete.
    Pacchetto Una sequenza di dati, opportunamente organizzati e assemblati, che come singolo  blocco vengono scambiati tra i dispositivi collegati in rete. Le informazioni nel pacchetto possono includere messaggi, comandi e dati Mentre un pacchetto indica un qualche blocco di dati, al livello di data-link (lo strato funzionale appena superiore a quello fisico ( i bit vengono raggruppati in frame (trame) per essere trasmessi attraverso il mezzo fisico di connessione. 
    PPP (Point to Point Protocol) Un protocollo di accesso remoto che fornisce funzioni di autenticazione, cifrature e incapsulamento dei pacchetti IP e che permette agli utenti remoti di connettersi a una rete tramite linea telefonica (dialup) o altri modi. PPP è comunemente usato per connettere il proprio computer a un provider Internet tramite un modem e la normale linea telefonica.
    Protocollo Uno standard per la comunicazione in rete; definisce i modi in cui i sono trasmessi instradati ed eleaborati.
    RJ-45 (Registered Jack-45) Un connettore a 8 fili usato comunemente per il cablaggio delle reti locali. I cavi da 10 e 100 Mbps usano due doppini (4 fili). I cavi 1000 Mbps ne usano quattro (8 fili).
    Router Un dispositivo che dirige il traffico tra diverse reti. Un router esamina l'indirizzo di destinazione dei dati e stabilisce quale delle porte remote è la più adatta per instradare i dati. Fisicamente un router è una scatola con un ingresso e una o più uscite. I protocolli e algoritmi di routing, insieme alle tabelle di instradamento (routing table) permettono ai router di tracciare il percorso dei dati dall'origine alla destinazione, adottando strade alternative in caso di necessità.
    Switch Commutatore. Un dispositivo che connette tra loro diversi segmenti di rete, fornendo connessioni dedicate (a piena banda) ai dispositivi o ai segmenti di rete collegati allo switch
    Switch Hub un tipo di particolare di hub che inoltra i pacchetti alla porta appropriata in base all'indirizzo contenuto nel pacchetto. Dato che i pacchetti sono inviati solo alla porta di destinazione, le prestazioni sono molto migliori rispetto a un normale hub. Il costo è ormai alla portata di tutti.
    TCP (Transmission Control Protocol) Un componente della suite di protocolli TCP/IP che si trova al di sopra dell'IP e fornisce una consegna affidabile dei dati su collegamenti "connection oriented", vale a dire basati su una sessione di collegamento 
    TCP/IP Una serie di protocolli per la comunicazione attraverso vaste reti interconnesse come Internet.
    VPN (Virtual Private Network) Rete privata virtuale; è una rete che incapsula i dati in modo sicuro e li trasmette su una rete pubblica; in questo modo fornisce accesso a una rete privata remota e protetta senza esporre i dati trasmessi al rischio di intercettazione.
    WAN (Wide Area Network) Rete geografica. Una WAN è distribuita su diverse ubicazioni geografiche, che possono includere tutto il mondo.
    WiFi Nome popolare per indicare tecnologie di networking senza fili (radio) basate sugli standard IEEE
    ADSL (Asymmetric Subscriber Line) Tecnologia per la comunicazione digitale ad alta velocità che utilizza le linee telefoniche con cavo in rame a dpèèomp omcrpcoatp-
    Banda Larga Termine utilizzato per descrivere i collegamenti in grado di trasportare un'elevata quantità di informazioni digitali. In tal senso sono ritenute a "banda larga" le tecnologie di trasmissione che consentono collegamenti più veloci rispetto a quelli possibili con modem analogici e linee telefoniche su cavo di rame.
    Larghezza di banda La capacità di un mezzo di trasmissione espressa in bit o byte per secondo
    Bit La più piccola unità di informazioni di un computer. Un bit ha un valore binario singolo, ossia 0 o 1
    Byte  Gruppo di 8 bit, indica la memoria necessaria per memorizzare un carattere alfanumerico.
    Kilobit per secondo (Kbps) Equivale a 1024 bit al secondo.
    Browser Programma utilizzato per la consultazione delle informazioni contenute in Internet.
    Download Ricezione di informazioni digitali della Rete.
    DVB (Digital Video Broadcasting Standard per la trasmissione di segnali digitalli MPEG-2 via satellite, via cavo o tramite altri mezzi di connessione terrestri.
    Dual Feed Antenna parabolica per la ricezione di trasmissione via satellite dotata di due convertitori (LNB), che permettono di ricevere segnali di due differenti satelliti.
    ISP (Internet Service Provider) Società che fornisce agli utenti l'accesso alla rete Internet ed ai servizi ad esso collegati.
    LNB (Low Noise Block Converter) Dispositivo collocato al punto focale della parabola satellitare che amplifica il segnale in arrivo dal satellite che amplifica il segnale in arrivo dal satellite e lo converte in frequenza utilizzabili dal ricevitore satellitare.
    MPEG (Moving Picture Experts Group) Ha sviluppato lo standard per la compressione digitale di segnali audio e video.
    Transponder Apparato satellitare che riceve le trasmissioni in uplink da una stazione terrestre ritrasmettendole verso la terra.


    La velocità della rete

    Collegamento Computer collegati Magabit/s Megabyte/s
    Ethernet 10 indefinito 10 1,19
    USB 1.0 2 12 1,43
    Ethernet 100 Indefinito 100 11,92
    Firewire 1394a 2 400 47,68
    USB 2.0 2 480 57,22
    Firewire 1394b 2 800 95,36
    Ethernet 1G (GigaEthernet) Indefinito 1000 119,2
    BlueTooth 1,5

    Preparazione di Cavi LAN (Schema Vedi anche.... Vedi, Vedi anche.... http://assistenza.tiscali.it/networking/teoria/cavi_di_rete.html  )
    Cavo LAN (rete) - Dritto

    1. Bianco-arancione
    2. Arancione
    3. Bianco-verde
    4. Blu
    5. Bianco-blu
    6. Verde
    7. Bianco-Marrone
    8. Marrone

    Descrizione (10/100Base-T):
    1 - TX+ Transmit Data+
    2 - TX- Transmit Data-
    3 - RX+ Receive Data+
    4 - non usato
    5 - non usato
    6 - RX- Receive Data-
    7 - non usato
    8 - non usato

    Descrizione (1000Base-T):
    1 - BI+ Bi-directional Data A +
    2 - BI- Bi-directional Data A -
    3 - BI+ Bi-directional Data B +
    4 - BI+ Bi-directional Data C +
    5 - BI- Bi-directional Data C -
    6 - BI- Bi-directional Data B -
    7 - BI+ Bi-directional Data D +
    8 - BI- Bi-directional Data D -

    Descrizione (100Base-T4):
    1 - TX+ Transmit Data+
    2 - TX- Transmit Data-
    3 - RX+ Receive Data+
    4 - BI+ Bi-directional Data+
    5 - BI- Bi-directional Data-
    6 - RX- Receive Data-
    7 - BI+ Bi-directional Data+
    8 - BI- Bi-directional Data-

    Schema cavo dritto (Straight Thru):
    1 - 1
    2 - 2
    3 - 3
    4 - 4
    5 - 5
    6 - 6
    7 - 7
    8 - 8

    Schema cavo ritorto (Crossover):
    1 - 3
    2 - 6
    3 - 1
    4 - 7
    5 - 8
    6 - 2
    7 - 4
    8 - 5

    Nome/Colore:
    1 - Arancio/Bianco
    2 - Arancio
    3 - Verde/Bianco
    4 - Blu
    5 - Blu/Bianco
    6 - Verde
    7 - Marrone/Bianco
    8 - Marrone

    Gli schemi sopra descritti sono validi per ethernet 10Base-T, 100Base-T, 1000Base-T e 100Base-T4, ma occorre tenere conto di alcune avvertenze:
    - il cavo dritto deve essere utilizzato per collegare due o più computer tra loro mediante un HUB o Switch;
    - il cavo ritorto deve essere utilizzato per collegare due computer in assenza di HUB o Switch;
    - i cavi telefonici sono considerati categoria 2 e non possono essere utilizzati in alcuna rete ethernet;
    - per una rete ethernet 10Base-T occorre un cavo di categoria 3 o superiore;
    - per una rete ethernet 100Base-T occorre un cavo di categoria 5 o superiore;
    - per una rete ethernet 1000Base-T occorre un cavo di categoria 6 o superiore;
    - la lunghezza massima dei cavetti nn ritorti (untwisted) non deve superare i 13 millimetri;
    - la guaina non deve essere tagliata più di 25 millimetri dalla fine del cavo;
    - fare attenzione a non sbinare i cavi, cioè a non usare la coppia verde,bianco-verde per la coppia 1,2 e la coppia blu,bianco-blu per la coppia 3,6. Questo perchè le coppie utilizzano una intendità di corrente molto diversa e questo provocherebbe delle interferenze sul cavo adiacente con conseguente perdita di dati.

    Cavo LAN (rete) - Incrociato (cross)

    Cross Cable 10/100

    Cable 10/100
    Cross Gigabit Ethernet Cable

       

    Questo è il cavo tuttora più usato nelle reti locali vista la sua economicità e la sua elevata velocità di trasmissione (fino a qualche Km mantiene velocità di diversi Mb/s).
    Esistono due diversi tipi di doppini:
    -  Quello di Categoria 3,non schermato, usato nelle linee telefoniche tradizionali.
     -  Quello di Categoria 5, più stabile sulle lunghe distanze (perché più schermato) e più idoneo alla trasmissione di       dati ad alta velocità (compatibile con la Fast Ethernet a 100 Mb/s)
    - Esistono oggi, Categoria 5e, 6 e 7. Si arriva fino al Giga Ethernet (1000 Mbit/s)

    Cavo Coassiale

    Cavo in fibra ottica


     

    Questo cavo è molto simile a quella delle comuni antenne televisive, ed è costituito da un conduttore di rame avvolto in uno strato isolante. Offre  un   buon   isolamento   e   quindi   anche   la possibilità di poter trasmettere dati con buona velocità su lunghe distanze. Al giorno d’oggi questa soluzione è però in disuso sia nelle reti locali (dove si preferisce il doppino, più economico e veloce), sia sulle lunghe distanze dove sta prendendo piede la fibra ottica.

    Le fibre ottiche sono una nuova tecnologia che avrà notevoli sviluppi futuri. Oggi sono usate principalmente per i grandi server (Tin, Libero, Wind,etc…) visto la loro incredibile velocità di trasporto dati (arrivano a 1.5 Gb/s e oltre) ma il loro costo è ancora molto elevato.
    Spesso i canali sono 2: uno per la ricezione e uno per la trasmissione.

    Crimpaggio Cavi


     

    Pinza crimpatrice

    Tester per reti

    Inseritore di cavi di rete

    Hub
    Questi tipi di ricevitori agiscono in modo passivo sulla rete, in quanto si limitano solo a ricevere i pacchetti di dati ed a metterli in circolazione, senza analizzare il modo in cui lo stanno facendo.
    Il loro limite sta nel fatto che la larghezza di banda viene condivisa da tutte le utenze collegate in quel momento, quindi se una stazione sta sfruttando il 10% della banda, agli altri rimarrà da sfruttare solo il 90%.
    È quindi evidente che con questo sistema la banda tende ad esaurirsi molto velocemente, e, come se non bastasse, bisogna contare che le normali reti ethernet non riescono ad essere sfruttate oltre il 60% della larghezza di banda massima (6 Mb/s), per il moltiplicarsi delle collisioni.
    Inoltre i dati non vengono inviati solo al computer destinatario, ma a tutti i computer in rete che poi provvederanno ad accettarli o no, causando un traffico molto intenso. Per questo gli Hub sono usati solo in reti piccole, o comunque a basse prestazioni.

    Switch
    Gli Switch svolgono la stessa funzione degli hub ma in modo più sofisticato, visto che sono molto più potenti ed intelligenti.
    Per prima cosa offrono agli utenti una velocità di trasmissione molto maggiore, perché in questo caso la banda non è condivisa ma dedicata: ciò significa che se l’efficenza di trasmissione massima è di 10 Mb/s, ogni computer ha i propri 10 Mb da sfruttare e non deve condividerli con nessuno.
    Inoltre uno switch invia i pacchetti di dati solo alla porta specificata dal destinatario (questo avviene perché riesce a leggere le informazioni con l’indirizzo di ogni pacchetto di dati) in quanto riesce a stabilire una connessione temporanea tra la sorgente e la destinazione, chiudendola alla fine della connessione, lasciando sempre libera la linea per gli altri computer che possono sfruttare la loro linea dedicata senza intralciare le altre utenze.

    Cablaggio cavi di rete
    Guida al montaggio di un cavo di rete UTP RJ45 CAT5 Diretto o
    Incrociato (Crossover) secondo le specifiche EIA568A e B.
    Nota preliminare:
    I cavi usati nelle reti possono essere di vario tipo:
    Thinnet coassiale:
    diametro un quarto di pollice, massima lunghezza 182 metri,
    cavo standard RG58/U (anima rame pieno),
    RG58A/U(anima intrecciata), RG58C/U (specifiche militari).
    Thicknet coassiale:
    diametro mezzo pollice, massima lunghezza 500 metri.
    UTP (Unshielded Twisted Pair):
    cavo con coppie avvolte non schermato (non protetto da interferenze elettromagnetiche), massima lunghezza 100 metri.
    STP (Shilded Twisted Pair):
    simile ad UTP con schermatura in calza metallica.
    Fibra Ottica:
    coppia di fili di vetro che trasportano segnali luminosi, uno é il canale di trasmissione e l'altro quello di ricezione, lunghezza massima chilometri.
    I cavi UTP, STP, possono essere di diverse categorie:
    categoria 1 - due coppie per solo uso telefonico.
    categoria 2 - massima frequenza 4 Mbits/sec. (cavi telefonici)
    categoria 3 - max. freq. 16 Mbits/sec. (Ethernet 10baseT)
    categoria 4 - max. freq. 20 Mbits/sec. (Ethernet 10baseT, TokenRing)
    categoria 5 - max. freq. 100 Mbits/sec. (Ethernet 100baseT, 10baseT)
    Il connettore RJ45 (ISO 8877), si puó usare per connessioni di standard
    diversi, i piú noti sono:
    10Base-T (usa i pins 1-2-3-6 rispettivamente TD+ TD- RD+ RD-)
    100Base-T (usa tutti i pins ) simile al T568A
    T568A (pins 1..8: T3 R3 T2 R1 T1 R2 T4 R4 )
    T568B (pins 1..8: T2 R2 T3 R1 T1 R3 T4 R4 )
    AT&T258A simile al T568B
    Dovete sapere che quanto viene qui illustrato é solo uno dei modi utili per connettere tra loro due calcolatori con un cavo UTP categoria 5 e prese RJ45.
    Vi sono sufficienti due connettori RJ45, un cavo UTP cat.5 della lunghezza giusta ed una pinza a crimpare.
    Assemblare un cavo tipo Diretto secondo lo standard EIA568A.
    1. La maggior parte delle pinze a crimpare ha due coppie di lame, una coppia, da un lato, per spellare i fili e l'altra coppia, dall'altro lato, per tagliare i fili. Se la pinza non vi permette di tagliare la guaina del cavo dovete usare una lametta ed incidere con questa la guaina stessa, togliendone un pezzo della lunghezza di circa tre centimetri. Fate molta attenzione a non tagliare o incidere l'isolamento dei fili dentro la guaina, la maggior parte delle guaine appena incise si spezzano se piegate o tirate.
    2. Quando avete rimosso la guaina, avrete quattro coppie di file avvolti tra di loro a due a due e di colore diverso. Svolgete le coppie di fili in modo da avere otto fili separati, ma fate attenzione a distinguerli nel caso non avessero colori diversi (in alcuni cavi i fili bianco/colore sono tutti bianchi).
    3. Aprite a ventaglio i fili nell'ordine in cui dovrete crimparli da sinistra a destra. La configurazione del cavo la potete vedere in Tabella 1 e Figura A.
    Tabella 1: Come configurare un cavo tipo Diretto

    Tabella 1: Come configurare un cavo tipo Diretto
    Connettore 1
    Connettore 2
    bianco/verde
    bianco/verde
    verde
    verde
    bianco/arancio
    bianco/arancio
    blu
    blu
    bianco/blu
    bianco/blu
    arancio
    arancio
    bianco/marrone
    bianco/marrone
    marrone
    marrone
    Nota bene: se i colori del cavo sono diversi basta mantenere le corrispondenze giuste.

       
       

    Nelle figure a sinistra vedete come devono essere configurati entrambi i connettori del cavo diretto T568A. Tenendo il connettore nella posizione indicata e con i fili che entrano dal basso, l'aletta si trova dietro.

    5. Tenere i fili stretti tra due dita ed appiattirli in modo che stiano ben affiancati tra di loro, lisciateli bene, togliendo le leggere curvature dovute al precedente avvolgimento tra i fili, stirandoli con le dita. Attenzione che non si spostino dall'ordine in cui devono stare.
    6. Continuando a tenerli stretti tagliate con la pinza la parte eccedente i due centimetri in modo da averli tutti della stessa lunghezza.
    7. Inserire i fili nel connettore RJ45 tenendoli sempre allineati stretti tra le dita. Il connettore deve avere la linguetta in basso, non in vista. La guaina isolante deve arrivare giusto vicino al bordo del connettore.
    8. Guardando sul lato del connettore trasparente, verificate che i fili siano giunti sino in fondo. Quindi inserite il connettore nella pinza a crimpare e, stringendo la pinza con due mani, crimpate il connettore in modo da fermare i fili. La pinza non dovrebbe aprirsi se non si é giunti fino in fondo.
    9. Ora ripetete esattamente i vari passaggi visti sopra nei punti da 1 a 7 per crimpare il cavo dall'altro lato.


    Assemblare un cavo tipo incrociato (crossover) secondo lo standard EIA568B.
    Il cavo incrociato (crossover) si deve usare quando si devono connettere, direttamente tra loro, due macchine senza usare un hub, uno switch o un router. Su uno dei connettori del cavo si devono posizionare i fili nello stesso identico modo appena visto sopra nei punti da 1 a 7 (vedi Tabella 2 e Figura B).
    Nel secondo connettore i fili devono essere posizionati in modo diverso da quello visto sopra invertendo tra loro le coppie 2 e 3 (vedi Tabella 2). La procedura é la stessa e la cura nel posizionare i fili deve essere sempre attenta.

    Tabella 1: Come configurare un cavo tipo incrociato (crossover)
    Connettore 1
    Connettore 2
    bianco/verde
    bianco/arancio
    verde
    arancio
    bianco/arancio
    bianco/verde
    blu
    blu
    bianco/blu
    bianco/blu
    arancio
    verde
    bianco/marrone
    bianco/marrone
    marrone
    marrone
    Nota bene: se i colori del cavo sono diversi basta mantenere le corrispondenze giuste.

    Nelle figure vedete come devono essere configurati entrambi i connettori del cavo incrociato T568B (crossover). Tenendo il connettore nella posizione indicata e con i fili che entrano dal basso, l'aletta si trova dietro.
    Schema delle connessioni nella presa a muro per RJ45.


    Cavo Cross

    1. Bianco-arancione <=> 3. Bianco-verde
    2. Arancione <=> 6. Verde
    3. Bianco-verde <=> 1. Bianco-arancione
    4. Blu <=> 4. Blu         oppure        7. Bianco-Marrone
    5. Bianco-blu <=> 5. Bianco-blu       oppure      8. Marrone
    6. Verde <=> 2. Arancione
    7. Bianco-Marrone <=> 7. Bianco-Marrone     oppure     4. Blu
    8. Marrone <=> 8. Marrone      oppure      5. Bianco-blu

    Cavo Telefonico (doppino a 4 vie)

    1. <=> 1.       oppure       4.
    2. <=> 2.       oppure       3.
    3. <=> 3.       oppure       2.
    4. <=> 4.       oppure       1.

    Cavo Telefonico ISDN (doppino a 8 vie)
    Si può utilizzare lo stesso di un cavo LAN (rete) oppure si può fare un cavo nel seguente modo:

    1. <=> 8.
    2. <=> 7.
    3. <=> 6.
    4. <=> 5.
    5. <=> 4.
    6. <=> 3.
    7. <=> 2.
    8. <=> 1.

    Cavo di rete sulla presa femmina:
    Va collegato seguendo lo schema CAT. B della presa

    Realizzare cavi di rete dritti ed incrociati 10/100/1000baseT
    Il connettore
    Un cavo di rete Ethernet 10/100/100baseT utilizza un connettore (plug)denominato RJ45, rappresentato nelle figure sul lato della pagina.
    Il cavo
    Il cavo è composto da 8 fili, ovvero 4 coppie arrotolate (twisted), ed è denominato UTPcat5 (Unshielded Twisted Pair category 5).
    Un cavo di rete gigabit ethernet (1000baseT) richiede un cavo UTPcat5e (enhanced) oppure CAT6 oppure CAT7
    Per un cavo 10/100baseT solo 4 fili sono effettivamente utilizzati, mentre un cavo 1000baseT utilizza tutti e 8 i fili disponibili.
    Alcune considerazioni
    • la lunghezza di massima di un cavo è di 100m
    • non passare il cavo nel muro accanto ai fili della corrente
    • il cavo dritto viene detto anche "patch"
    • il cavo incrociato viene detto "cross" o "invertito"
    • gli schemi riportati sotto sono per 10/100/1000baseT

    Cavo dritto
    Nome Pin Colore Pin Nome
    TX+ 1 White/Orange 1 TX+
    TX– 2 Orange 2 TX–
    RX+ 3 White/Green 3 RX+
    BI 4 Blue 4 BI
    BI 5 White/Brown 5 BI
    RX– 6 Green 6 RX–
    BI 7 White/Blue 7 BI
    BI 8 Brown 8 BI


     

    Cavo incrociato (ordinati)
    Nome Pin Colore Pin Nome
    TX+ 1 White/Orange 3 RX+ 1 White/Green
    TX– 2 Orange 6 RX– 2 Green
    RX+ 3 White/Green 1 TX+ 3 White/Orange
    BI 4 Blue 7 BI 4 White/Blue
    BI 5 White/Brown 8 BI 5 Brown
    RX– 6 Green 2 TX– 6 Orange
    BI 7 White/Blue 4 BI 7 Blue
    BI 8 Brown 5 BI 8 White/Brown


    Links:
    http://www.helmig.com

    http://www.cablemodemhelp.com
    http://www.tuttoreti.com
    http://www.networkingitalia.it

    http://www.ge.infn.it/calcolo/faq/rete/
    oppure qui
    LAN: http://www.ge.infn.it/calcolo/faq/rete/cat5cable.htm
    http://assistenza.tiscali.it/networking/teoria/cavi_di_rete.html

    Collegare due PC in rete e navigare con un solo collegamento
    Oramai è frequente avere più di un PC (magari un desktop ed un portatile) ma un solo collegamento a internet. Per far si che i due PC, dotati di Windows XP, siano collegati in modo da trasferire i dati da uno all'altro e poter navigare con entrambi contemporaneamente su internet basta seguire questa semplice procedura:
    Collegare i PC con un cavo di rete "cross" (attenzione non è un semplice cavo di rete, ma un cavo con questo nome permette di collegare 2 PC senza bisogno di un HUB). 
    Andare sulla connessione di Accesso Remoto del PC che usa il collegamento a internet, cliccare col pulsante destro su "Proprietà", andare su "Avanzate" e spuntare la voce "Consenti ad altri utenti in rete di collegarsi tramite la connessione Internet di questo computer". 
    Controllare che il PC collegato a internet (che in questo caso funge da server) abbia come IP: 192.168.0.1 e Netmask 255.255.255.0 (click col destro su "Bridge di rete" --> doppio click su "Protocollo Internet TCP/IP"). 
    Controllare che il client abbia come IP: 192.168.0.X (per "X" s'intende un numero qualunque diverso da 1, perché questo numero corrisponde a quello del Server e andrebbero in conflitto) e Subnet Mask 255.255.255.0 (click col destro su "Bridge di rete" --> doppio click su "Protocollo Internet TCP/IP"). 
    Impostare il Gateway del Client: 192.168.0.1 e DNS: 192.168.0.1 
    Controllare che nel client non ci sia impostato nessun proxy nelle proprietà di Internet Explorer (Strumenti --> Opzioni Internet --> Connessioni --> Impostazioni LAN).

    Condivisione della connessione Internet e di un modem 
    La condivisione di un accesso Internet è da affidare a programmi di terze parti, se il sistema operativo è Windows 95.
    Tra questi programmi citiamo WinGate e Sygate (sono demo o limitati a poche operazioni). Per la condivisione di un accesso ad internet, bisogna sapere qualcosa di rete e indirizzi IP.
    Se si possiede un sistema come Windows ME, allora tutto diventa più semplice. Infatti, il sistema operativo prevede già questa funzione ed addirittura prepara il disco per la configurazione automatica degli altri pc!

    Il subnetting
    Numerazione IP

    Come abbiamo visto nelle sezioni dedicate all'IP, questo numero è specificato da 32 bit (4 Byte) es: 192.168.150.2:

    192 (8 bit)

    168 (8 bit)

    150 (8 bit)

    2 (8 bit)

    Network Host

    Ogni indirizzo IP si suddivide in due o tre parti:
    a) Divisione degli IP con maschere di sottorete convenzionali:

    Network

    Host

    0

    7

    8

    31

    0

    Network

    Host

    0

    1

    15

    16

    31

    1

    0

    Network

    Host

    0

    1

    2

    23

    24

    31

    1

    1

    0

    Network

    Host

    b) Divisione degli Ip con maschere di sottorete non convenzionali:
    Nel caso di maschere di sottorete non convenzionali, il campo Host viene ulteriormente suddiviso in due parti. Subnet e host.

    Network

    Subnet

    Host

    Questo caso si verifica quando è necessario dividere la rete in due segmenti separati, in modo che gli host appartengano a due reti diverse, separate da un router.

    La divisione in sottoreti
    La segmentazione di una rete IP in più sottoreti, può rendersi necessaria per una varietà di motivi, compreso l' organizzazione, l' uso di diversi accessi ai media fisici ( Ethernet, il FDDI, WAN, ecc.) e, sopprattutto,  per la razionalizzazione dell'indirizzamento IP. Non ultimo motivo, la sicurezza.
    Il motivo più comune è quello di gestione del traffico della rete. In una rete di tipo Ethernet, tutti gli host del segmento fisico vedono, e analizzano,  tutti i pacchetti trasmessi da tutti gli altri host di quel segmento. Le prestazioni della rete possono subire pesanti carichi e, quindi, rallentamenti e collassamenti, dovuti alle collisioni e alle ritrasmissioni. L'uso dei router è indicato per segmentare le reti (e segmentare, quindi, i domini di broadcast) per consentire un miglior rendimento generale. Le reti IP segmentate minimizzano la quantità di traffico che ogni segmento deve gestire.
    La RFC di riferimento è la n. 950.
    Applicando una maschera di sottorete (subnetmask) ad un indirizzo IP si permette l'identificazione della sottorete di appartenenza con la semplice comparazione dell' indirizzo e della maschera. L' operazione si dice di "AND LOGICO" fra il numero IP e la sua maschera. Risultato di questa operazione è l'individuazione della rete di appartenenza.
    L'operazione di  AND LOGICO compara 2 bit: se sono entrambi di valore "1", il risultato sarà "1", altrimenti sarà "0" (lettura incrociata della tabella seguente):

      0 1
    0 0 0
    1 0 1

    Lo stack TCP/IP di un host esegue, durante l'inizializzazione, un processo di AND fra il numero di IP e la sua maschera di sottorete. Quando un pacchetto viene inviato in rete, il suo destinatario IP viene sottoposto, anch'esso, ad un AND logico con la subnetmask. Se le risultanti dei due processi sono uguali significva che il destinatario appartiene alla rete locale. Diversamente verrà inviato ad un router che provvederà a smistarlo in una rete remota.
    Subnet mask di default (maschere di sottorete convenzionali)
    La mascheratura di sottorete è un indirizzo di 32 bit (simile al numero IP) che consente di "dividere" la parte host da quella di rete. Questa maschera è fondamentale perchè grazie ad essa si riesce a determinare se un IP fa parte della rete locale o va ricercato in una rete remota.
    In presenza di reti locali non segmentate si userà la maschera di default.
    Vediamone un esempio:
    Dichiariamo l'indirizzo IP 150.129.220.200 con maschera di sottorete 255.255.000.000 ed effettuiamo l'AND LOGICO:
    10010110.10000001.11011100.11001000  150.129.220.200  Indirizzo classe B
    11111111.11111111.00000000.00000000  255.255.000.000  Subnet Mask classe B
    -----------------------------------------------------------------------
    10010110.10000001.00000000.00000000  150.129.000.000  Indirizzo di rete
    Come si vede dalla tabella, la risultante dell'AND LOGICO ci restituirà l'indirizzo di rete.
    Possiamo dire che in una maschera di sottorete convenzionale tutti i bit dell' Net ID saranno settati a 1 e tutti i bit dell'host ID saranno settati a 0.

    TABELLA DELLE NETMASK DI DEFAULT

    Classe

    NetMask di default

    Significato dell'indirizzo IP

    Esempi di indirizzi host

    Rete di appartenenza

     

     

     

     

     

    A

    255.0.0.0

    N.H.H.H

    10.0.1.23

    10.0.0.0

    B

    255.255.0.0

    N.N.H.H

    146.87.12.250

    146.87.0.0

    C

    255.255.255.0

    N.N.N.H

    200.150.189.31

    200.150.189.0

    Mascherature non convenzionali
    Laddove intendiamo segmentare una rete locale in più sottoreti, abbiamo la necessità di utilizzare maschere personalizzate dette "non convenzionali". Per fare questo utilizziamo una modalità diversa che consiste nel'appropriarsi di bit dell' host ID (prendere in prestito dei bit dall'host) per definire la mascheratura "non convenzionale".
    Dobbiamo, quindi, prendere in prestito dei bit dalla porzione host e trasferirli in una porzione internedia del numero IP per determinare una mascheratura non convenzionale:

    Network

    Subnet

    Host

    In questo caso avremo tre campi distinti: Net ID, SubnetMask ID e Host ID.
    Attenzione:
    Il numero minimo di bit che dobbiamo rubare dalla porzione host è 2.
    Il numero massimo di bit che possiamo rubare dalla porzione host è 6.

    Tabella descrittiva del numero massimo di bit che si possono "rubare" all'host:

     Classe Dimensione del campo host Numero massimo di bit per le subnet
    A 24 22
    B 16 14
    C 8 6

    Con questa modalità la rete di appartenenza dei vari host sarà diversa a seconda delle maschere di sottorete che gli attribuiremo. Di fatto subnettare significa segmentare la rete..
    Alcune limitazioni sono però da specificare subito per non cadere in errore:
    Gli indirizzi host con tutti i bit a 0 o con tutti i bit a 1 sono riservati. Lo zero (00000000.00000000.00000000.00000000) è un indirizzo fittizzio che viene usato per richiedere un indirizzo reale ad un server. Di solito è il campo con tutti 0 che deve essere riempito da un DHCP o un BOOTP. Analogamente l'indirizzo con tutti 1 (11111111.11111111.11111111.11111111) chiamato indirizzo di broadcast, rappresenta tutta la rete

    Calcolo delle sottoreti disponibili
    Per calcolare il numero di sottoreti disponibili, useremo la formula (2^n - 2) dove n = numero dei bit di ogni campo. Moltiplicando il numero delle sottoreti per il numero di host disponibili per ogni sottorete otterremo il numero totale degli host disponibili per tutta la classe definita dalla maschera di sottorete.
    Le maschere di sottorete con bit non contigui non sono consigliate.
    Esempio:
    11001000.10110011.11011100.11001000   200.179.220.200   IP Address
    11111111.11111111.11111111.11100000   255.255.255.224   Subnet Mask
    ----------------------------------------------------------------------
    11001000.10110011.11011100.11000000   200.179.220.192   Subnet Address
    10001100.10110011.11011111.11111111   200.179.220.223   Broadcast Address
    In questo esempio sono stati "rubati" 3 bit alla porzione host. Operando con la formula (2^n - 2) dove n è il numero di bit "rubati", avremo (2 alla terza - 2) e cioè 6 sottoreti 2 al numero dei bit "rubati", e cioè 2 x 2 = 4 x 2 = 8 - 2 = 6. Non dimentichiamo che gli indirizzi con tutti 0 e tutti 1 non sono ammessi.
    Definizione degli ID di sottorete
    Per conoscere gli ID delle sottoreti disponibili abbiamo due metodologie. La prima prevede la comparazione di tutte le combinazioni possibili: In questa tabella compariamo tutte le combinazioni possibili con il numero 224 cioè 11100000 per l'esempio che abbiamo appena utilizzato:

    non valida 00000000 0  
    rete 1 00100000 32 da 200.179.220.33 a 200.179.220.62
    rete 2 01000000 64 da 200.179.220.65 a 200.179.220.94
    rete 3 01100000 96 da 200.179.220.97 a 200.179.220.126
    rete 4 10000000 128 da 200.179.220.129 a 200.179.220.158
    rete 5 10100000 160 da 200.179.220.161 a 200.179.220.190
    rete 6 11000000 192 da 200.179.220.193 a 200.179.220.222
    non valida 11100000 224  

    E' chiaro che se al posto di tre bit ne avessimo 5 le combinazioni sarebbero maggiori e questo tipo di calcolo sarebbe molto difficile da effettuare. Un altro metodo, più semplice, è quello di usare il valore decimale del bit più basso della subnet mask come operatore e sommarlo per il numero di subnet necessarie (2^n - 2) cioè 6.. Nel nostro caso il terzo bit di 11100000 ha un valore decimale 32. Questo numerò sarà dunque il valore di incremento. La semplice regola da applicare, è quella di sommare il valore di incremento (decimale dell'ultimo bit) per il numero di subnet (6).

    0 non valida
    0 + 32 = 32 da 200.179.220.33 a 200.179.220.62
    32 + 32 = 64 da 200.179.220.65 a 200.179.220.94
    64 + 32 = 96 da 200.179.220.97 a 200.179.220.126
    96 + 32 = 128 da 200.179.220.129 a 200.179.220.158
    128 + 32 = 160 da 200.179.220.161 a 200.179.220.190
    160 + 32 = 192 da 200.179.220.193 a 200.179.220.222
    192 + 32 = 224 non valida

    Calcolo degli host disponibili
    Se, come nel nostro caso, sono stati rubati 3 bit all'host, ne rimarranno disponibili 5: 00011111. Convertendo in decimale questo numero, otterremo il numero di host per sottorete: 31 - 1 = 30 host per ogni subnet.
    Lavorando con le potenze: Nel nostro esempio sono stati "rubati" 3 bit alla porzione host, per cui ne rimangono 5. Operando con la formula (2^n - 2) dove n è il numero di bit "rimasti all'host", avremo (2 alla quinta - 2) e cioè 30 host 2 al numero dei bit "rimasti all'host", e cioè 2 x 2 = 4 x 2 = 8 x 2 = 16 x 2 = 32 - 2 = 30. Non dimentichiamo che gli indirizzi con tutti 0 e tutti 1 non sono ammessi.
    Procedura di lavoro

    1) Determinare il numero di segmenti necessari. Convertire tale numero in binario.
    (es. 6 sottoreti = 110 ovvero 00000110)

    2) Contare il numero di bit necessari per rappresentare il numero di segmenti fisici in numero binario.
    (es 110 = 3 bit)
    3) Prendere in prestito i bit necessari  (3) dalla porzione host e convertire il numero di bit richiesti in numero decimale ordinandoli da sinistra a destra.
    (es. 11100000 = 224)
    Per segmentare 6 reti basterà quindi definire un maschera di sottorete con valore 224.

    Indirizzi IP

    Classi di indirizzi IP
    Classe A    10.0.0.0        10.255.255.255    (host disponibili: 16.777.214)    255.0.0.0
    Classe B    172.16.0.0     172.31.255.255    (host disponibili: 65.534)           255.255.0.0
    Classe C    192.168.0.0   192.168.255.255  (host disponibili: 254)                255.255.255.0

    Classe        Valore ottetto            Numero reti        Numero di host per rete
    Classe A    1-126 (127 è locale)   126                        16.777.214
    Classe B    128-191                        16.384                   65.534
    Classe C    192-223                        2.097.152              256
    Classe D    224-239                        N/A                      N/A
    Classe E    240-254                         N/A                      N/A

    LAN - Rete Locale:
    Lo sai che puoi usare solo il protocollo TCP/IP per gestire una rete locale, senza altri protocolli di rete (se si hanno sistemi operativi Win9x o sup.)?
    Basta impostare questi parametri, in Pannello di Controllo - Rete:
    Client per reti Microsoft (da Aggiungi - Client)
    Nome della scheda di rete (riconosciuta, in teoria, già dal sistema)
    TCP/IP (*)
    Condivisione cartelle e file 

    (*) Nel TCP/IP riguardante la scheda di rete impostare i seguenti parametri:
    Indirizzo IP: 192.168.1.n (n= numero da assegnare alla macchina) 
    NetMask: 255.255.255.0
    Configurazione WINS: disattivata
    Gateway: 198.168.1.1 (1 = numero di una macchina)
    Configurazione DNS: Attiva
                                     Host: <nome utente>
                                     Dominio: <vuoto>
                                    
    Ordine di ricerca DNS: 192.168.1.1 (oppure numero del provider)
                                     Dominio: <vuoto> o nome del provider
     
    Questa configurazione funziona anche in caso di un modem ADSL.

    Schede ISDN e ADSL
    I modem ISDN hanno la comodità di utilizzare il segnale digitale, perciò pulito e più "veloce". Però queste schede, vengono viste come schede di rete e non come periferiche modem, infatti non compariranno tra i modem installati.
    Anche i modem ADSL (esterni USB) vengono visti come schede di rete.

    A quanto va l'ISDN? 
    Un modem ISDN viaggia normalmente a 64 Kb/s, che vengono raddoppiati se vengono occupati entrambe i canali ISDN. Non tutti i provider, specialmente quelli gratuiti, danno la possibilità di navigare a 128 Kb/s. Teniamo conto che i modem normali (di tipo analogico e quindi su linea telefonica normale) viaggiano ad un massimo di 56 kb/s (teorici).

    A quanto va l'ADSL? 
    Sfruttando le normali linee telefoniche (RTC), il servizio ADSL, oltre a lasciare libero il telefono e quindi la linea telefonica, sfruttando una compressione molto alta, può raggiunge velocità teoriche in trasmissione fino a 1Mbit (circa 125 Kbyte), e in ricezione fino a 8Mbit (circa 1 mbyte al secondo).
    Questo servizio può funzionare con qualunque linea telefonica (se il servizio ha già raggiunto la zona), a patto che non ci siano servizi accessori, come filodiffusione, allarmi che si appoggiano alla linea telefonica, telesoccorso. Per chi ha l'ISDN, invece non vi sono problemi, poichè viene tirato un filo ex novo.

    Tutte le facce dell'ADSL

    Asymmetric Digital Subscriber Line (ADSL)
    L'asimmetria di questo tipo di DSL deriva dal fatto che la quantità di banda a disposizione è maggiore in fare di download (downstream) che in fase di trasmissione (upstream). Questa asimmetria, insieme alla caratteristica di essere sempre in linea, rende questa tecnologia particolarmente adatta per le connessioni Internet da casa o da piccoli uffici.
    High Bit-Rate Digital subscriber Line (HDSL)
    Si tratta di una tecnologia di tipo simmetrico, ovverossia capace di garantire la medesima ampiezza di banda sia in fase di downstream che di upstream. Grazie alla sua elevata velocità (compresa tra 1,544 e 2,048 Mbps), gli operatori delle telecomunicazioni europei preferiscono l'HDSL alle linee T1/E1
    ADSL Lite
    E' una versione a bassa velocità della normale ADSL, che elimina la necessità da parte degli operatori telefonici di installare e mantenere lo splitter (il dispositivo di sdoppiamento della linea), così da semplificare l'installazione e ridurre i costi
    Single-Line Digital Subscriber Line (SDSL)
    Anche la tecnologia SDSL supporta le trasmissioni simmetriche T1/E1, ma differisce dall'HDSL per due aspetti: usa un solo doppino e ha una portata massima che arriva fino a 3 km.
    Rete-Adaptive Digital Subscriber (R-ADSL)
    R-ADSL opera alle medesime velocità trasmissive della normale ADSL, ma è in grado di adattarsi in modo dinamico. In parole semplici con l'R-ADSL è possibile connettersi lungo linee diverse, a velocità differenti
    Very High Bit-Rate Digital Subscriber Line (VDSL)
    La tecnologia VDSL è la più veloce della famiglia, grazie a valori compresi tra 13 e 52 Mbps in download e tra 1,5 e 2,3 Mbps in trasmissione. Si tratta di una valida alternativa alla fibra ottica, ma la distanza massima consentita è 1 Km