Imola User Guide. ver

Transcript

1 Imola User Guide ver

2 Imola User Guide Pubblicazione a cura di: Tiesse S.p.A. Via Asti, IVREA (TO) Italy Copyright , by Tiesse S.p.A. Tutti i diritti riservati. Diritti di proprietà intellettuale Marchi registrati, marchi, diritti d'autore e ogni altra sigla contenuta in questo documento sono proprietà dei loro rispettivi possessori. Tiesse S.p.A. rispetta la proprietà intellettuale di altri, e chiede pertanto ai propri Clienti e Utenti un comportamento analogo. Ultimo aggiornamento: 27 aprile

3 Imola User Guide Avvertenze per la sicurezza dell utente Utilizzare il cavo di alimentazione fornito in dotazione. Inserire la spina del cavo di alimentazione direttamente in una presa correttamente collegata a terra. Nel caso di modello sprovvisto di interruttore ON/OFF, collocare il dispositivo il più vicino possibile alla presa di rete a 230V. La presa di rete deve essere facilmente accessibile. Non collocare il sistema in un punto in cui il cavo di alimentazione possa essere calpestato. Non appoggiare oggetti sul cavo di alimentazione. Se occorre scollegare l'alimentazione per eseguire interventi di manutenzione, ricordarsi di scollegare il cavo dalla parte della presa di corrente. Le antenne GSM e/o Wi-Fi, laddove il modello di router ne preveda l'utilizzo, non devono essere collocate in modo stabile a distanza inferiore a 20 cm dalle persone. Nel caso di modello provvisto di boccola posteriore per la messa a terra (vedi es. in figura): collegare l apparato alla presa di terra dell impianto tramite capocorda e cavo giallo-verde. Inserimento / estrazione SIM (solo per i modelli che lo prevedono): Si raccomanda di fare riferimento al manuale per l installazione della SIM, disponibile sul sito Tiesse ATTENZIONE: prima di rimuovere il coperchio: spegnere l apparato staccare i cavi di telecomunicazione (xdsl, ISDN) staccare il cavo di alimentazione dalla presa di corrente staccare le antenne GSM e/o Wi-Fi se presenti Dopo aver operato all interno del router, richiudere l apparato e fissare il coperchio con l'apposita vite collegare il cavo di alimentazione alla presa di corrente collegare i cavi di telecomunicazione (xdsl, ISDN) collegare le antenne GSM e/o Wi-Fi se presenti accendere l apparato In caso di guasto dell apparato non intervenire in alcun modo sull apparato contattare Tiesse all indirizzo support@tiesse.com per avviare la procedura di riparazione o sostituzione prevista dalla garanzia. 3

4 Imola User Guide Conformità EMC, R&TTE e RoHS Tiesse S.p.A garantisce che i prodotti Imola sono conformi ai requisiti essenziali delle Direttive europee; 2004/108/CE Direttiva EMC 99/5/CE - Apparati Radio e Terminali di Telecomunicazione (R&TTE) per gli apparati muniti di interfaccia radio 2011/65/EU - Direttive RoHS (Restriction of Hazardous Substances) che limitano l'uso di materiali pericolosi nella produzione di dispositivi elettrici ed elettronici. e alle pertinenti norme tecniche armonizzate. I dispositivi sono stati progettati in modo da soddisfare I requisiti per l esposizione alle onde radio, definiti secondo linee guida scientifiche e tenendo conto dei margini di sicurezza necessari per garantire la salvaguardia delle persone, indipendentemente dallo stato di salute e dall età. Le linee guida per l esposizione alle onde radio utilizzano un unità di misura conosciuta come Tasso di Assorbimento Specifico o SAR. Le dichiarazioni di conformità e la "User Guide" sono disponibili sul sito Tiesse ( Conformità RAEE INFORMAZIONE AGLI UTENTI Ai sensi dell'art. 26 del Decreto Legislativo 14 marzo 2014, n. 49: "Attuazione della direttiva 2012/19/UE sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE)". Il simbolo del cassonetto barrato riportato sull apparecchiatura o sulla sua confezione indica che il prodotto alla fine della propria vita utile deve essere raccolto separatamente dagli altri rifiuti. La raccolta differenziata della presente apparecchiatura giunta a fine vita è organizzata e gestita da Tiesse S.p.A.. L utente che vorrà disfarsi della presente apparecchiatura dovrà quindi contattare Tiesse SpA all indirizzo support@tiesse.com e seguire il sistema che essa ha adottato per consentire la raccolta separata dell apparecchiatura giunta a fine vita. L adeguata raccolta differenziata per l avvio successivo dell apparecchiatura dismessa al riciclaggio, al trattamento e allo smaltimento ambientalmente compatibile contribuisce ad evitare possibili effetti negativi sull ambiente e sulla salute e favorisce il reimpiego e/o riciclo dei materiali di cui è composta l apparecchiatura. Lo smaltimento abusivo del prodotto da parte del detentore comporta l applicazione delle sanzioni amministrative previste dalla normativa vigente. 4

5 Imola User Guide INDICE AVVERTENZE PER LA SICUREZZA DELL UTENTE... 3 INSERIMENTO / ESTRAZIONE SIM... 3 IN CASO DI GUASTO DELL APPARATO... 3 CONFORMITÀ EMC E R&TTE... 4 CONFORMITÀ ROHS RAEE... 4 INDICE... 5 INTRODUZIONE ACCEDERE AD IMOLA VERSIONE SOFTWARE E MODELLO ACCESSO MEDIANTE PORTA TTYS Impostazione della porta ttys0: ACCESSO MEDIANTE PORTA ETH0 O ETH Impostazioni di default eth0/eth1: ACCESSO MEDIANTE PORTA ISDN BRI Impostazioni ISDN USERNAME E PASSWORD CONCEDERE E REVOCARE PRIVILEGI LIVELLI DI PRIVILEGIO E COMANDO ENABLE ACCESSO TRAMITE SSH PROCEDURA DI PASSWORD RECOVERY REBOOT DEL ROUTER DEFAULT SETTINGS CONFIGURAZIONE DI IMOLA LA PROCEDURA DI CONFIGURAZIONE GUIDA AI COMANDI CLI GESTIONE DELLE PASSWORD CIFRATE Introduzione Comandi di configurazione Sintassi del comando PROCEDURA DI PASSWORD RECOVERY REBOOT DEL ROUTER INTERFACCIA ETHERNET CONFIGURAZIONE DELL INTERFACCIA COMANDO DETECT-LINK-STATE VISUALIZZAZIONE STATO INTERFACCIA SIGNIFICATO LED INTERFACCIA ETHERNET TRIGGER ETHERNET TRIGGER DHCP CLIENT GESTIONE PORTE ETHERNET: MII-TOOL INTERFACCIA ISDN COMANDI PER LA CONFIGURAZIONE DELL INTERFACCIA ISDN SIGNIFICATO LED ISDN TRIGGER ISDN

6 Imola User Guide VERIFICA SESSIONE ISDN CONTROLLO DI TRAFFICO INTERFACCIA ADSL CONFIGURAZIONE VISUALIZZAZIONE COMANDO OAMPING SIGNIFICATO DEI LED TRIGGER ADSL INTERFACCIA VDSL INTRODUZIONE CONFIGURAZIONE DELLA CONNESSIONE FISICA CONFIGURAZIONE ADSL CONFIGURAZIONE VDSL VISUALIZZAZIONE SIGNIFICATO DEI LED INTERFACCIA SHDSL CONFIGURAZIONE VISUALIZZAZIONE SIGNIFICATO DEI LED TRIGGER SHDSL INTERFACCIA FRAME RELAY CONFIGURAZIONE VISUALIZZAZIONE INTERFACCIA MOBILE CONFIGURAZIONE VISUALIZZAZIONE SIGNIFICATO DEI LED TRIGGER GPRS CONTROLLO DI TRAFFICO CONTROLLO SESSIONE GPRS VERIFICA SESSIONE GPRS RACCOLTA DATI DI TRAFFICO GESTIONE SMS NOTIFICA CONNESSIONE MOBILE: COMANDO HELLO INTERROGAZIONE DIRETTA DEL MODEM: COMANDO GPRSAT Comandi comuni DOPPIA SIM DATI SBLOCCO SIM LETTURA IMSI ED IMEI INTERFACCIA WI-FI CONFIGURAZIONE INTERFACCIA RS INTRODUZIONE CONFIGURAZIONE

7 Imola User Guide Salvataggio configurazione VISUALIZZAZIONE CONNETTORI SERIALI ROTTE STATICHE CONFIGURAZIONE ROTTE STATICHE BLOCCO DEL TRAFFICO MEDIANTE ROTTE STATICHE VISUALIZZAZIONE ROTTE STATICHE INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE INDIRIZZO LOOPBACK COMANDO IFCONFIG INDIRIZZI SECONDARI (ALIAS) COMANDO IP Generalità Visualizzare lo stato delle interfacce, le tabelle di ARP e di routing mediante comando IP Cancellare le tabelle di arp mediante comando IP Disabilitare un interfaccia di rete mediante comando IP Aggiungere un indirizzo di rete mediante comando IP Policy routing mediante comando IP PVC BUNDLING COMANDO PING COMANDO TRACEROUTE COMANDO TCPDUMP COMANDO LOAD-AVG COMANDO SET INTERFACE ACCESS LIST, SOURCE NAT E REDIRECT ACCESS LIST Configurazione Visualizzazione REDIRECT Configurazione Visualizzazione SOURCE-NAT Configurazione Visualizzazione FUNZIONI DI FIREWALL: IPTABLES GENERALITÀ TABELLE, CATENE, REGOLE E TARGET FIREWALL CON LA TABELLA FILTER NETWORK ADDRESS TRANSLATION CON LA TABELLA NAT PORT FORWARDING ALTERAZIONE APPLICAZIONE DELLE REGOLE SUI PACCHETTI CRITERI STANDARD DI MATCH TARGET CRITERI AVANZATI DI MATCH LOAD BALANCING

8 Imola User Guide LOGGING DEI PACCHETTI ACCOUNTING DEI PACCHETTI CONNECTION TRACKING Introduzione Connessioni TCP Connessioni UDP Connessioni ICMP Connessioni FTP Un esempio di firewall COMANDI DI GESTIONE E CONFIGURAZIONE PROTOCOLLO VRRP CONFIGURAZIONE VISUALIZZAZIONE TRIGGER VRRP CONFIGURAZIONE VRRP MEDIANTE COMANDO VRRPD PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP CONFIGURAZIONE PROTOCOLLO RIP CONFIGURAZIONE PROTOCOLLO OSPF CONFIGURAZIONE PROTOCOLLO BGP Esempi di configurazione PROTOCOLLO BGP CONFIGURAZIONE DEL ROUTER-ID BGP CON FILTRO DELLE ROTTE E ROUTE-MAP BGP CON ANNUNCIO DELLA ROTTA DI DEFAULT BGP CON REDISTRIBUZIONE DI NETWORK CONNESSE BGP CON REDISTRIBUZIONE DI ROTTE STATICHE BGP CON REDISTRIBUZIONE DI ROTTE OSPF BGP CHE REDISTRIBUISCE OSPF E OSPF CHE REDISTRIBUISCE BGP BGP CON DOPPIO NEIGHBOR COMANDO ROUTER PROTOCOLLO DI MULTICAST ROUTING PROTOCOL INDIPENDENT MULTICAST (PIM) Configurazione del protocollo PIM DENSE MODE Configurazione del protocollo PIM SPARSE MODE MULTICAT SOURCE DISCOVERY PROTOCOL PROTOCOLLO IGMP IGMP snooping IGMP proxy STATIC MULTICAST ROUTING COMANDI PER IL MULTICAST GENERICI TUNNEL GRE CONFIGURAZIONE DI UN TUNNEL GRE CONFIGURAZIONE DI PIÙ TUNNEL GRE TRIGGER GRE CONFIGURAZIONE GRE MEDIANTE COMANDO CREATE-TUNNEL CONFIGURAZIONE GRE MEDIANTE COMANDO IP DYNAMIC GRE MEDIANTE PROCOLLO NHRP

9 Imola User Guide IPSEC CONFIGURAZIONE DI UN TUNNEL IPSEC TRIGGER IPSEC RACOON IPSEC SECURITY INTRODUZIONE CONFIGURAZIONE DI UN TUNNEL IPSEC CON RACOON ANALISI E TROUBLESHOOTING DELLE CONNESSIONI TUNNEL L2TP CONFIGURAZIONE DI UN TUNNEL L2TP VISUALIZZAZIONE STATO DEL TUNNEL TRIGGER L2TP EASY VPN CONFIGURAZIONE DI UN TUNNEL EASY VPN TRIGGER EZVPN QUALITY OF SERVICE INTRODUZIONE CONFIGURAZIONE DI UNA POLITICA DI TRAFFICO CONFIGURAZIONE DI UNA CLASSE CLASSIFICAZIONE DEL TRAFFICO MARCATURA DEL TRAFFICO POLICING QUEUE DISCIPLINE PRIO ATTIVAZIONE DELLA QOS VISUALIZZAZIONE DELLA CONFIGURAZIONE E DELLE STATISTICHE LIMITAZIONE DELLA BANDA IN OUTPUT VLAN E SWITCH PROTOCOLLO TACACS CONFIGURAZIONE PROTOCOLLO TACACS ACCOUNTING E AUTORIZZAZIONE PROTOCOLLO RADIUS CONFIGURAZIONE PROTOCOLLO RADIUS PROTOCOLLO SNMP CONFIGURAZIONE PROTOCOLLO SNMP CONFIGURAZIONE SNMP V Controllo di Accesso (Utenti SNMPv3) Visualizzazione SNMP PROTOCOLLO NETFLOW FPROBE PROTOCOLLO NETFLOW Target Architettura CONFIGURAZIONE

10 Imola User Guide Parametri Filtri VERIFICA SYSLOG CONFIGURAZIONE DELLA FUNZIONALITÀ DI LOGGING PROTOCOLLO DLSW INTRODUZIONE CONFIGURAZIONE DLSW CONFIGURAZIONE IN AMBIENTE DLC IEEE CONFIGURAZIONE IN AMBIENTE SDLC VISUALIZZAZIONE CONFIGURAZIONE, STATO E STATISTICHE DSLW Configurazione ATTIVAZIONE E CONTROLLO DEI CIRCUITI PROTOCOLLO NTP CONFIGURAZIONE DEL PROTOCOLLO NTP TRIGGER NTP ESECUZIONE PIANIFICATA DI COMANDI COMANDI DI VISUALIZZAZIONE ESECUZIONE DI COMANDI IN BASE ALLA POSIZIONE GEOGRAFICA248 PROTOCOLLO DHCP CONFIGURAZIONE DEL SERVIZIO DHCP-SERVER ISTANZE MULTIPLE DEL SERVIZIO DHCP SERVIZIO DHCP-RELAY AGENT VISUALIZZAZIONE DEL SERVIZIO DHCP TIMEZONE TRIGGER: GESTIONE ED ATTIVAZIONE EVENTI TRIGGER O COMANDI DA ATTIVARE DOPO UN EVENTO NETWORK INTERFACES CONTROL CONTROLLO OCCUPAZIONE DELLA CPU MECCANISMI DI ATTIVAZIONE BACKUP COMANDO SET BACKUP COMANDO SET TRIGGER BACKUP COMANDO SET EXTBACKUP POLICY ROUTING SPLIT ACCESS LOAD BALANCING RESPONDER TIME REPORTER CONFIGURAZIONE DEL SERVIZIO VISUALIZZAZIONE DEL SERVIZIO IP SLA RESPONDER GESTIONE DELLE CONFIGURAZIONI AGGIORNAMENTO SOFTWARE272 10

11 Imola User Guide GESTIONE DELLE CONFIGURAZIONI INTERMEDIE DOWNLOAD E UPLOAD DELLE CONFIGURAZIONI AGGIORNAMENTO DEL SOFTWARE CAVEAT ESECUZIONE COMANDI CLI AL REBOOT DEL ROUTER ROUTING TABLES PROTOCOLLO GRE ESEMPI DI CONFIGURAZIONE DHCP server VLAN in modalità access VLAN in modalità trunk ADSL con NAT di un ip pubblico e LAN cliente con ip privati ADSL con un pool di ip pubblici e un pool di ip privati Connessione HDSL GPRS su APN pubblica (navigazione internet) GPRS su APN privata con tunnel GRE ISDN con indirizzo dinamico ricevuto dal POP E NAT sull interfaccia ISDN 286 ISDN senza NAT con indirizzo statico ADSL con backup su GPRS ADSL con backup su GPRS con invio segnalazione backup via SMS QoS Per connessione ADSL QoS PER CONNESSIONE HDSL Configurazione LOOPBACK Configurazione SNMP Configurazione TACACS Configurazione RADIUS Configurazione BANNER

12 Imola User Guide INTRODUZIONE IMOLA è una linea di dispositivi di rete che offrono funzioni di Router in configurazioni wired e wireless (in questo caso supportando connessioni GPRS/EDGE e UMTS/HSDPA/HSUPA/LTE). È progettato per connettere tra loro siti locali e remoti, in particolare in tutti i casi in cui siano esigenze primarie la sicurezza, la continuità del servizio e le prestazioni della rete. Figura 1: IMOLA Mod Imola si basa su tre moduli funzionali, non necessariamente fisicamente distinti: un modulo su cui sono implementate tutte le funzionalità principali; un modulo su cui risiedono i controllori di protocollo e i dispositivi di interfaccia delle linee per le estensioni WAN infine il modulo di alimentazione, che può equipaggiare sia un convertitore AC/DC (Internal Power Supply) oppure un convertitore DC/DC (External Power Supply). Per distinguere le varie caratteristiche e interfacce di comunicazione, ogni modello è identificato dalla sigla Imola XYZT, dove: X identifica il tipo di connessione geografica su rete mobile presente Y identifica il tipo di connessione locale Z identifica il tipo di connessione geografica su rete fissa. T identifica il tipo di porte LAN (FE oppure GBE) I valori definiti sono: 0 Nessuna connessione mobile presente X 1 GPRS 2 GPRS / EDGE 3 GPRS / EDGE / UMTS / HSDPA 4 GPRS / EDGE / UMTS / HSDPA / HSUPA 5 GPRS / EDGE / UMTS / HSDPA / HSUPA / LTE 0 1 porta Ethernet presente Y 1 2 porte Ethernet 2 Switch Ethernet 5 porte (4 porte nella versione LX) 3 1 porta WI-FI (oltre allo switch Ethernet) 8 8 porte Ethernet1 0 Nessuna connessione WAN presente Z 1 ADSL 2 ADSL2+ 3 HDSL 4 SHDSL 6 VDSL2 T 0 Le porte Ethernet sono FE 10/100 Mbps 2 Le porte Ethernet sono GBE 10/100/1000 Mbps 1 Nel modello con 8 porte Ethernet, le porte 6, 7 ed 8 sono sempre FE indipendentemente dalle altre 5, che possono essere FE o GBE. 12

13 Imola User Guide Le versioni Imola 0220, 0320, 0320, 4320, 4200, 4300 e 0800 sono disponibili anche con alimentatore esterno e denominate Imola LX, in questo caso la porta ISDN BRI non è presente e lo switch presenta 4 porte Fast Ethernet invece di 5. Negli altri casi per identificare un modello generico si adotta il termine Imola Full. Le caratteristiche principali sono: Network Processor Risc MB RAM di sistema, a seconda del modello 512KB Boot Flash MB Flash Memory per sistema operativo e applicazioni, a seconda del modello Dispone, inoltre, delle seguenti porte di comunicazione: 1 Ethernet FE o GBE (salvo i modelli LX, dove è prevista la sola porta FE) 1 porta console RS232 con connettore maschio DB9 1 ISDN S/T BRI con connettore RJ 45 (non sui modelli LX) 1 Switch LAN con 3 porte FE con supporto VLAN 802.1q (opzionale) 1 porta WI-FI b/g/n (opzionale) 1 ADSL/ADSL2+ con connettore RJ11 (opzionale) 1 porta GSM/GPRS/EDGE (opzionale) 1 porta GSM/GPRS/EDGE/UMTS/HSDPA/HSUPA (opzionale) 1 porta GMS/GPRS/EDGE/UMTS/HSDPA/HSUPA/LTE (opzionale) 1 porta seriale sincrona con connettore LFH 60 V.35(opzionale) 2 porte g.shdsl che possono essere usate in modalità 2-Wire o 4-Wire 1 switch LAN integrato con 5 (4 porte FE sul modello LX) porte FE o GBE con supporto VLAN 802.1q E disponibile inoltre il modello Lipari, funzionalmente equivalente al router Imola con la differenza che supporta solo connessioni mobili. Per verificare lo stato delle connessioni sono disponibili led luminosi2: TIPO LED ROUTER ACCESO/SPENTO INTERFACCE ETHERNET INTERFACCIA ADSL INTERFACCIA ISDN DESCRIZIONE Led verde On ACCESO: indica che il Router Imola è acceso Nei connettori RJ45 delle interfacce Ethernet sono incorporati due led: a sinistra di colore giallo, a destra di colore verde. Led giallo acceso: indica che l'interfaccia ethernet è connessa alla velocità di 100Mbps Led verde lampeggiante: indica attività di LAN. Lo stato dell'interfaccia ADSL viene indicato mediante 3 led di colore verde, etichettati con le seguenti denominazioni: Pw, Link e Data. Led Pw acceso: indica che il modem ADSL interno è alimentato in modo corretto Led Link lampeggiante: indica la fase di sincronizzazione con la centrale Led Link acceso fisso: indica che la fase di sincronizzazione è stata effettuata con successo Led Data lampeggiante: viene utilizzato per visualizzare il traffico dati. Lo stato dell interfaccia ISDN viene indicato mediante 2 led di colore giallo (sinistra) e verde (destra) incorporati nel connettore stesso. Led giallo acceso: indica che il livello fisico ISDN è attivo (chiamata in corso) 2 La disposizione dei led e la relativa etichetta possono variare in funzione del modello di router 13

14 Imola User Guide Led verde acceso: indica l'attività di almeno una sessione ISDN INTERFACCIA GPRS INTERFACCIA HDSL INTERFACCIA SHDSL Lo stato dell'interfaccia GPRS viene indicato mediante 3 led di colore verde. Sono etichettati con le seguenti denominazioni: On, Link e Data. I rimanenti due led non hanno un significato predefinito e sono dipendenti dall applicazione. Il significato è il seguente: Led On acceso: indica che il modem GPRS interno è operativo in modo corretto. All accensione del router il led normalmente è spento. Esso viene acceso dopo aver richiesto l attivazione dell interfaccia GPRS. Led Link lampeggiante ad intermittenza veloce (alcune accensioni al secondo): indica la fase di sincronizzazione con la centrale Led Link lampeggiante ad intermittenza lenta (un'accensione ogni 1-2 secondi): indica la corretta connessione alla rete Led Link acceso fisso: indica che la connessione attiva è di tipo GSM (solo se il router è stato espressamente configurato per questa funzione), altrimenti indica che la rete è UMTS Led Data acceso indica che la connessione GPRS è attiva: l interfaccia dispone di un indirizzo IP per trasmettere e ricevere tramite la rete GPRS. Led verde v35 acceso: indica che il Router ha rilevato la presenza della rete Led verde link accesso: indica che il router ha rilevato la presenza della rete Led verde data lampeggiante viene utilizzato per indicare attività di traferimento dati Ai servizi di comunicazione possono sono associate le seguenti funzionalità: Supporto ACLs Supporto Autentication e Accounting tramite RADIUS Supporto AAA tramite Tacacs+ Funzioni di NAT/PAT Funzioni Stateful Firewalling VPN con IP Sec 3DES Encryption Tunnel GRE Tunnel PPtP Tunnel Open VPN Tunnel Easy VPN Advanced Routing (Policy Routing) Routing RIP, OSPF, BGP e supporto BFD Muticast con IGMP Proxy Supporto PIM (Protocol IndIPendent Multicast - routing Multicast) Ottimizzazione di banda con QoS (Quality of Service) Supporto VRRP (Virtual Router Redundant Protocol) Funzioni di IP SLA con Responder Time Reporter Supporto SNMP v1/v2/v3 Supporto TR-069 Supporto DHCP server Funzioni di logging locale e remoto Accesso tramite Telnet ed SSH Comandi di amministrazione e controllo (ping, traceroute, ifconfig, ) L'ambiente di Command Line Interface (CLI), di proprietà unica di Tiesse S.p.A., permette la configurazione e la gestione del sistema in maniera guidata e facilitata. 14

15 Imola User Guide Il modello Lipari si presenta come nella seguente figura: E dotato di un modulo di alimentazione esterno AC/DC 5Vdc / 1A. Analogamente ad Imola, per distinguere le varie caratteristiche e interfacce di comunicazione, ogni modello è identificato dalla sigla Lipari XY00, dove: X identifica il tipo di connessione geografica su rete mobile presente. X 1 GPRS 2 GPRS / EDGE 3 GPRS / EDGE / UMTS / HSDPA 4 GPRS / EDGE / UMTS / HSDPA / HSUPA 5 GPRS / EDGE / UMTS / HSDPA / HSUPA / LTE Y identifica il numero di porte LAN Ethernet 10/100 presenti. Y 0 1 porta Ethernet FE 10/100 Mbps 1 2 porta Ethernet FE 10/100 Mbps 15

16 Imola User Guide ACCEDERE AD IMOLA L accesso al router può essere effettuato mediante la porta console con connettore DB9 maschio presente sul frontale dell'imola, tramite apposito cavo null modem, utilizzando un qualsiasi programma di emulazione di terminale (hyperterm, minicom, putty,...) oppure tramite connessione Telnet verso uno degli indirizzi IP presenti su Imola. I modelli Imola Full dispongono di una porta singola Fast Ethernet identificata con il termine eth0 e di uno switch integrato a 5 porte numerate da 1 a 5. Nella configurazione di fabbrica tutte le porte dello switch asseriscono ad un unico indirizzo IP e l interfaccia logica è chiamata eth1. I modelli Imola LX dispongono solamente dello switch integrato a 4 porte numerate da 1 a 4. Nella configurazione di fabbrica tutte le porte asseriscono ad un unico indirizzo IP associato all interfaccia logica eth0. In caso di connessione diretta alla singola porta Ethernet del modello Imola Full (porta eth0) è necessario usare un cavo LAN cross, mentre il tipo di cavo è ininfluente se ci si collega ad una delle porte dello switch integrato, essendo prevista la funzionalità di auto-mdx: Per i modelli con sole due porte Ethernet (senza lo switch), le porte sono associate a due interfacce logiche distinte chiamate rispettivamente eth0 ed eth1. Tiesse spa - IMOLA Interworking Unit No Radius configured. Using Local authentication login: root Password: local: Authentication OK Service Type is: Administrative-User Idle timeout is set to 3600 seconds Connected Users: ttyp1 root You are logged on ttyp1 root@imola> Una volta entrati nell ambiente di configurazione il prompt si presenta nella forma: username@hostname dove username è la login utilizzata per l accesso e hostname è il nome configurabile della macchina. Vengono visualizzati il tipo di servizio (Administrative-User o Login-User) che indica i privilegi dell utente utilizzato, il valore del timeout di inattività della sessione, gli utenti collegati e la virtual tty utilizzata. In qualsiasi istante digitando il comando who si può verificare tale lista3: root@imola> who Connected Users: ttyp1 root ttyp2 root You are logged on ttyp2 root@imola> 3 Benché più utenti possano essere collegati al router, è opportuno che solo uno di questi effettui le modifiche alla configurazione, per evitare effetti indesiderati. 16

17 Imola User Guide VERSIONE SOFTWARE E MODELLO Mediante il comando: show model si può leggere il modello di router: root@imola> show model Tiesse Imola 4220 Multiprotocol Router Mentre il comando show version mostra la versione di software presente: root@ IMOLA > show version Imola version: Il numero di versione segue la seguente convenzione: 4.x.y-N Oltre ai router con versione 4.x.y-N, sono stati prodotti router la cui versione è del tipo 1.x.y-N e router con versioni del tipo 2.x.y-N. Da un punto di vista funzionale non vi è alcuna differenza: La prima cifra identifica la piattaforma hardware utilizzata per la produzione. Il valore x indica il major number, il quale cambia in caso di funzionalità rilevanti, ad esempio con il supporto del protocollo IPv6 si passa dalla release alla release Il valore y indica il minor number, il quale incrementa quando si aggiungono funzionalità indipendenti che non impattano le altre funzioni software. Ad esempio con l aggiunta del supporto Tacacs si passa dalla release alla release Il suffisso N indica il numero di build. Esso si incrementa in caso di bug-fixing di minore entità che in generale non richiedono l esecuzione di test di non regressione. Ad esempio effettuando una correzione all interno del modulo che gestisce le funzioni di IP SLA si passa dalla release alla release ACCESSO MEDIANTE PORTA TTYS0 Cavo da utilizzare: Porta Imola: Applicazione da usare: cavo null-modem DB9 porta ttys0 Windows HyperTerminal (o simili) Impostazione della porta ttys0: Volendo utilizzare la porta ttys0 per l'accesso ad Imola, occorre essere sicuri che l'applicazione impiegata per connettersi all'imola sia configurata in accordo alle impostazioni riportate nella seguente tabella: Bits per second: 9600 Data bits: 8 Parity: none Stop bit(s): 1 Flow Control: N.A. (Not Applicable) Le operazioni sono riepilogate a scopo esemplificativo nella seguente figura: 17

18 Imola User Guide TieSse spa - IMOLA Interworking Unit login: root Password: ********* Imola# cli Service Type is: Administrative-User Idle timeout is set to 600 seconds Connected Users: ttys0 root You are logged on ttyp1 root@imola> ACCESSO MEDIANTE PORTA ETH0 O ETH1 Cavo da impiegare: Porta Imola: Applicazione da usare: cavo LAN (Ethernet type) porta eth0 o eth1 Telnet (o simili) Impostazioni di default eth0/eth1: eth0 port eth1 port IP Address Netmask Broadcast Network Address Nel caso di modello con switch LAN integrato (Imola X2X0), la connessione alla porta eth1 avviene mediante una qualsiasi delle porte dello switch stesso. ACCESSO MEDIANTE PORTA ISDN BRI Cavo da impiegare: Porta Imola: Applicazione da usare: cavo ISDN porta ISDN BRI Telnet (o simili) Impostazioni ISDN Nella configurazione di default, Imola accetta sulla porta ISDN BRI chiamate da qualsiasi numero. L utente da utilizzare per l attivazione della sessione PPP è PPPuser con password tiesse e la sessione IP viene attivata accettando l indirizzo IP assegnato dal chiamante. 18

19 Imola User Guide USERNAME E PASSWORD Per accedere ad Imola è necessario specificare login e password: La configurazione di fabbrica di Imola riconosce la seguente login e relativa password: LOGIN: PASSWORD: root tiesseadm É possibile cambiare la password dell utente root mediante il comando cli: change_password root che in modalità interattiva chiede di introdurre la nuova password. É possibile aggiungere ulteriori utenti mediante il comando: add_user <user_name> il quale richiede di specificare anche la password associata. Sono previsti due tipi di utenti: Administrative-User e Login-User. Gli utenti i possono eseguire qualsiasi comando previsto dalla CLI, mentre gli utenti Login possono eseguire un sottoinsieme ridotto di comandi, ad esempio non possono eseguire quei comandi che permettono di modificare la configurazione e si limitano a comandi di visualizzazione. Gli utenti aggiunti tramite il comando add_user sono di tipo Login. Il comando su permette di passare dalla modalità Login a quella Administrative. TieSse spa - IMOLA Interworking Unit No Radius configured. Using Local authentication login: mario Password: local: Authentication OK Service Type is: Login-User Idle timeout is set to 3600 seconds Connected Users: ttyp0 mario You are logged on ttyp0 mario@imola# set hostname MyRouter Command "set hostname MyRouter..." not allowed for this user mario@imola# su root Password: root@imola> set hostname MyRouter Setting hostname to MyRouter root@imola> quit mario@imola# mario@imola# set eth1 ipaddr Command "set eth1 ipaddr " not allowed for this user mario@imola# Se per esempio si accede al router usando l utente mario e si tenta di eseguire il comando set hostname per cambiare il nome del router, il comando fallisce a causa dei mancati privilegi di quell'utente specifico. Si esegue allora il comando su, che permette di utilizzare un utente con privilegi superiori, specificando correttamente la password si entra nella modalità Administrative, e si cambia 19

20 Imola User Guide l hostname. Con il comando quit si ritorna all utente precedente. Da notare l ultimo carattere del prompt: il carattere # in caso di Login-User ed il carattere > in caso di Administrative-User. É possibile configurare la modalità di autenticazione tramite protocollo RADIUS come descritto nel capitolo relativo. In tale caso è il server RADIUS che determina quale utente ha pieni diritti e quali utenti hanno diritti limitati. CONCEDERE E REVOCARE PRIVILEGI Un utente di tipo Administrative-User può concedere ad utente di tipo Login la possibilità di eseguire particolari comandi che altrimenti sarebbero negati e allo stesso modo può revocare ad un utente di tipo Administrative la possibilità di eseguire alcuni comandi che normalmente sarebbero concessi. grant-to <username> <command prefix> eseguito da un utente di tipo Administrative concede all utente <username> (di tipo Login) la possibilità di eseguire tutti i comandi che iniziano con il prefisso specificato. revoke-to <username> <command prefix> eseguito da un utente di tipo Administrative revoca all utente <username> (di tipo Administrative) la possibilità di eseguire i comandi che iniziano con il prefisso specificato. Supponiamo che siano stati definiti due utenti, da un server Radius collegato ad Imola, rispettivamente "operatore" di tipo Login-User e "tecnico" Administrative-User. Normalmente l utente operatore può solo controllare la configurazione, ma non può intervenire su di essa, mentre l utente tecnico può modificarla senza alcun vincolo. I comandi: grant-to operatore set eth1 revoke-to tecnico set isdn dialer ippp1 consentono all utente operatore la possibilità di configurare la porta ethernet e revocano all utente tecnico la possibilità di configurare la dialer ISDN. Per eliminare un privilegio concesso e togliere una revoca si usano rispettivamente i comandi: no-grant-to <username> <command prefix> no-revoke-to <username> <command prefix> La stringa <command prefix> è la parte iniziale di un qualsiasi comando di configurazione. Attenzione al caso in cui sia presente un solo utente Admnistrative, ad esempio root. I comandi: revoke-to root set revoke-to root no-revoke tolgono definitivamente la possibilità all utente root di eseguire un qualsiasi comando di configurazione. LIVELLI DI PRIVILEGIO E COMANDO ENABLE Oltre agli utenti di tipo Administrative-User e di tipo Login se l accesso al router Imola viene regolato da un server TACACS+ (o RADIUS) è possibile gestire dei livelli di privilegio per stabilire quali comandi possono essere eseguiti. E possibile definire fino a 15 livelli di privilegio, numerati da 0 a 14, dove maggiore è il livello e maggiore sono i comandi disponibili. Inoltre esiste il livello 15 che corrisponde a quello di utente 20

21 Imola User Guide superuser, cioè un utente che non ha alcuna restrizione sui comandi da eseguire (analogo all utente di tipo Administrative descritto nella sezione precedente). Il livello di privilegio viene stabilito dal server di Autenticazione utilizzato (RADIUS o Tacacs+). Nel primo caso è necessario configurare sul server un attributo di tipo Custom, descritto nella sezione RADIUS. Nella configurazione di default sono presenti 3 livelli predefiniti: Livello 0 dove i soli comandi disponibili sono: enable, exit e quit Livello 1 dove i comandi disponibili sono quelli associati ad un utente di tipo Login, ovvero solo i comandi di lettura, senza possibilità di modificare la configurazione Livello 15 dove i comandi disponibili sono quelli associato ad un utente di tipo Administrative, ovvero sono potenzialmente disponibili tutti comandi Un livello N eredita i privilegi dei livelli inferiori, per passare ad un livello superiore è necessario conoscere la password associata a quel livello. Il comando: set privilege level n <command prefix> eseguito da un utente abilitato stabilisce che a livello N possono essere eseguiti tutti i comandi che iniziano con il prefisso specificato. Ad esempio, utilizzando: set privilege level 3 set adsl si specifica che gli utenti che hanno ricevuto un livello di privilegio 3, potranno eseguire tutti i comandi di configurazione dell interfaccia ADSL. Per eliminare dei privilegi precedentemente impostati, si utilizza: set no-privilege level N <command prefix> Per visualizzare il livello di privilegio corrente si usa il comando: show privilege Per accedere da un livello inferione ad un livello superiore è necessario che al livello superiore sia associata una password. Il comando che permette di associare la password ad un determinato livello è: set enable password level N che in modalità interattiva chiede di introdurre la password. Per rimuovere la password si utilizza: set no-enable password level N rendendo quindi inaccessibile il livello N dai livelli inferiori. Per accedere ad un livello superiore si utilizza il comando: enable N il quale chiede di introdurre la password associata al livello N ed in caso di password impostata correttamente, l utente potrà eseguire tutti i comandi associati al livello N. Ad esempio, supponiamo che un utente superuser abbia impostato sul router i seguenti comandi: set privilege level 3 set eth1 set privilege level 3 set gprs set enable password level 3 tramite i quali si concede ad un utente con livello di privilegio 3 di configurare la porta ethernet e la porta mobile ed inoltre è stata associata una password a tale livello. 21

22 Imola User Guide Il comando per impostare la password è interattivo e il suo comportamento è il seguente: admin@imola> set enable password level 3 Changing password for $enable3$ New password: ******** Retype password: ******** Password for $enable3$ changed by root Su un server di Autenticazione, Tacacs o RADIUS, è stato configurato un utente, chiamato poor cui è associato il livello di privilegio 1. Si effettua una connessione verso il router e ci si autentica con l utente poor: telnet Trying Connected to Escape character is '^]' (IMOLA) (port 0) login: poor Password: TACACS+: Authentication OK Service Type is: Login-User Privilige Level is: 1 Idle timeout is set to 3600 seconds Connected Users: pts/0 poor@imola You are logged on pts/0 poor@imola# Si tenta di eseguire il comando per configurare l indirizzo IP dell interfaccia Ethernet: poor@imola# set eth1 ipaddr % Command "set eth1 ipaddr " not allowed for this user poor@imola# e il comando fallisce. Quindi si esegue il comando per accedere al livello superiore: poor@imola# enable 3 Password: ******** $enable3$@imola# $enable3$@imola# show privilege Current privilege level is 3 $enable3$@imola# A questo punto il comando: $enable3$@imola# set eth1 ipaddr viene correttamente eseguito. Infine, il comando disable ci riporta al nostro livello iniziale: 22

23 Imola User Guide disable show privilege Current privilege level is 1 Nel caso in cui l accesso al router sia regolato da un server Tacacs, anche il controllo della password di enable viene effettuato dal server. Tuttavia se vogliamo ottenere l accesso al router dal server Tacacs e controllare localmente le password di enable, bisogna impostare il comando: set enable local-authentication mentre con set enable no-local-authentication si rimanda nuovamente il controllo al server Tacacs. ACCESSO TRAMITE SSH Il comando: set ssh2-enabled abilita l accesso al router tramite protocollo SSHv2. Analogamente alle sessioni Telnet, anche in questo caso l accesso viene regolato dal server RADIUS o Tacacs+ se opportunamente configurato. Per disabilitare l accesso il comando è: set no-ssh2-enabled Quando si usa il protocollo sshv2 per effettuare la login al router Imola si verrà automaticamente indirizzati all'ambiente shell di Linux. Digitando il comando CLI ci si sposta nuovamente nell'ambiente di configurazione. PROCEDURA DI PASSWORD RECOVERY Se si utilizza il collegamento seriale è possibile utilizzare una login particolare che consente l accesso al router senza chiedere la password in modo da poter effettuare il ripristino della configurazione di fabbrica. Il valore della login può essere quello di default, oppure è possibile concordare con il cliente un valore riservato solo ad esso. Utilizzando tale login si accede direttamente all ambiente di configurazione, senza passare attraverso la shell di Linux. REBOOT DEL ROUTER Per effettuare il riavvio del router è disponibile il comando: reboot Al riavvio, tutte le modifiche non salvate, tramite il comando save, verranno perse. E possibile programmare un reboot a tempo, specificando dopo quanti secondi questo deve essere eseguito: schedule-reboot wait N 23

24 Imola User Guide Il controllo viene restituito all utente, in modo che possono essere eseguiti eventuali altri comandi. Per annullare l operazione di reboot programmata è disponibile il comando: no-schedule-reboot Si raccomanda di non effettuare salvataggi della configurazione quando è programmata l operazione di reboot. DEFAULT SETTINGS La configurazione di default di Imola prevede: Indirizzo eth0 (di servizio): /16 Indirizzo eth1 (e switch integrato): /16 SNMP v1 e v2 abilitati, con la community public per accessi read-only e tiesseadm per accessi read-write. syslog disabilitato ADSL disabilitata GPRS disabilitato Routing Dinamico e tunneling disabilitati Dialer ISDN abilitata per le chiamate entranti Dialer ISDN disabilitata per le chiamate uscenti 24

25 Imola User Guide CONFIGURAZIONE DI IMOLA Per effettuare la configurazione di Imola l'operatore ha a disposizione una interfaccia a caratteri denominata Command Line Interface (CLI). Mediante la CLI è possibile configurare, attivare e verificare interfacce e servizi disponibili su Imola. LA PROCEDURA DI CONFIGURAZIONE La procedura di configurazione di Imola prevede le fasi: di configurazione di verifica di attivazione dei parametri di salvataggio Per svolgere le fasi di configurazione e di attivazione sono utilizzati comandi che hanno prefisso: set Per la fase di verifica si hanno a disposizione lo stato dei led sulla scocca del router e tutti i comandi che iniziano con il prefisso: show Per salvare la configurazione completa e verificata si ha a disposizione il comando: save Si impiega inoltre il comando: restore al fine di ripristinare particolari configurazioni. Distinguiamo tre tipi differenti di configurazione: current saved started La configurazione current è quella contenente tutti i valori impostati nella fase di configurazione. La configurazione saved è quella salvata sulla flash di Imola con il comando save ed è quella con la quale l'apparato si attiverà al prossimo boot. La configurazione started è quella con la quale l'apparato si è attivato al boot. Al termine del boot e prima che cominci la fase di configurazione, le tre configurazioni sono uguali. Durante la fase di configurazione e verifica, le configurazioni saved e started sono uguali. Dopo aver eseguito il comando save, la configurazione current diventa anche saved e sarà quella con cui si attiverà l'apparato al prossimo boot. È possibile visualizzare il contenuto dei tre diversi profili di configurazione mediante il comando: show config current saved started oppure, nel caso si voglia visualizzare la configurazione di un singolo modulo: show config current saved started <module-name> 25

26 Imola User Guide Occorre completare sempre la fase di configurazione e di verifica con il comando save, così da rendere permanenti i valori assegnati ai vari parametri. Inoltre è possibile gestire fasi intermedie di configurazione. Il comando CLI set checkpoint permette di creare un salvataggio intermedio, denominato checkpoint, utile per salvare un profilo di configurazione relativo ad un certo istante. Tramite il comando restore checkpoint è possibile ripristinare la particolare configurazione salvata. Ad esempio: set checkpoint-1 crea un salvataggio intermedio che in qualsiasi momento può essere richiamato mediante il comando: restore checkpoint-1 Possono essere presenti 2 configurazioni intermedie: checkpoint-1 e checkpoint-2. Per rendere effettive le modifiche alla configurazione apportate dal comando restore, è necessario eseguire il comando save ed effettuare il reboot del router. Il comando: sync-config permette invece di allineare lo stato del router ad una specifica configurazione. Questa può essere una di quelle predefinite (checkpoint-1, checkpoint-2, saved, started) oppure può essere letta da un file di comandi opportunamente scaricato sul router. La sintassi è la seguente: sync-config <conf-file> immediately sync-confg <conf-file> in N seconds In quest'ultimo caso occorre indicare il path assoluto del file con la relativa estensione (*.txt, *.cli, ecc..). dove <conf-file> può essere una delle keyword: checkpoint-1, checkpoint-2, saved, started, oppure un file contenente i comandi di configurazione da applicare. In quest'ultimo caso occorre indicare il path assoluto del file con la relativa estensione (*.txt, *.cli, ecc..). La configurazione può essere applicata immediatamente dopo N secondi prossimo reboot del router. sync-config <conf-file> on-next-reboot [<watch-ip> <tmout> <rstr>] Nel caso di next-reboot, il router effettua il boot con quella che è la sua configurazione saved e subito dopo applica i comandi contenuti nel file <conf-file>. E possibile specificare alcuni parametri di controllo: <watch-ip> indica un indirizzo di cui inviare dei pacchetti di ping dopo aver applicatio la nuova configurazione. <tmout> indica n tempo di attesa prima di iniziare l invio dei ping. <rstr> 26

27 Imola User Guide Il parametro può essere assente oppure può assumere il valore 1. Nel secondo caso indica se deve essere effettuato un nuovo reboot del router dopo aver applicato la nuova configurazione. Il significato è il seguente: dopo aver applicato la configurazione, il router aspetta il tempo specificato dal parametro <tmout> e quindi invia dei pacchetti ICMP verso l indirizzo <whatch-ip>. Se non si ottiene risposta, allora viene ripristinata la configurazione precedente, viceversa, la nuova configurazione diventa la configurazione current, sovrascrivendo la precedente. Il parametro <rstr> indica se il router dovrà effetture un nuovo reboot dopo aver attualizzato la nuova configurazione. Distinguiamo cinque tipi differenti di configurazione a cui è possibile sincronizzare lo stato del router: dove: checkpoint-1 checkpoint-2 current saved started la configurazione checkpoint-1 è quella salvata con il comando: set checkpoint-1 la configurazione checkpoint-2 è quella salvata con il comando: set checkpoint-2 la configurazione current è quella contenente tutti i valori impostati nella fase di configurazione la configurazione saved è quella salvata sulla flash di Imola con il comando save ed è quella con la quale l'apparato si attiverà al prossimo boot. la configurazione started è quella con la quale l'apparato si è attivato al boot. Oltre alle configurazioini checkpoint predefinite, è possibile definire un numero arbitrario di configurazioni mediante il comando: set checkpoint <name> Per queste valgono le stesse regole per i checkpoint predefiniti 1 e 2, ad esempio, possono essere ripristinate mediante il commando: restore checkpoint <name> Per visualizzare il numero di checkpoint presenti, si usa il comando: show checkpoint-list e per rimuovere un checkpoint: set no-checkpoint <name> GUIDA AI COMANDI CLI La CLI di Imola è fornita di un help in linea che consente di guidare l'utente verso la corretta formulazione sintattica e semantica di tutti i comandi disponibili. Premendo due volte il pulsante <TAB> oppure il carattere? verranno mostrati tutti i comandi disponibili. Inoltre è possibile il completamento intelligente dei comandi o la visualizzazione delle alternative disponibili mediante l ausilio del tasto <TAB>. 27

28 Imola User Guide Infine, nel caso in cui il comando invocato fosse incompleto, verrà chiamata automaticamente una funzionalità di help che fornirà tutti i ragguagli necessari al corretto completamento dell'istruzione CLI. Tiesse spa - IMOLA Interworking Unit No Radius configured. Using Local authentication login: root Password: ********* local: Authentication OK Service Type is: Administrative-User Idle timeout is set to 600 seconds Connected Users: ttyp0 recovery_user root@imola> # download record show add_user exit restore su append help router traceroute no-record run upload change_password ping save version clear_counter quit set who del_user reboot shell root@imola> Figura 2: alcuni comandi disponibili con la doppia pressione del tasto <TAB> root@imola> set access-list no-access-list no-radius adsl no-adsl no-redirect alias no-alias no-rip autocmd no-autocmd no-route backup no-backup no-snmp banner no-banner no-source-nat bgp no-bgp no-trigger checkpoint-1 no-default-gateway no-vrrp checkpoint-2 no-dns ntp comment no-eth0 ospf default-gateway no-eth1 pos dns no-gprs ppp eth0 no-gre proxy eth1 no-host qos gprs no-ipsec radius gre no-iptables redirect host no-isdn rip hostname no-log route ipsec no-loopback snmp iptables no-ntp source-nat isdn no-ospf timezone log no-ppp trigger loopback no-qos vrrp root@imola> Figura 3: autocompletamento del comando ed elencazione parametri accettati alla pressione del tasto <TAB> root@imola> set eth1 Usage: set eth1 keyword <value> set eth1 ipaddr <value> [netmask <value>] [broadcast <value>] [mtu <value>] set eth1 broadcast <value> 28

29 Imola User Guide set eth1 dhcp-client set eth1 dhcp-server... set eth1 netmask <value> set eth1 no-dhcp-client set eth1 no-dhcp-server set eth1 description set eth1 no-description set eth1 speed <value> set eth1 on set eth1 off Figura 4: help in linea automatico per comandi inseriti in modo non corretto Le regole base per il setup di una interfaccia o di un servizio sono sostanzialmente di configurazione e di successiva attivazione dei parametri configurati. I comandi si suddividono in 3 categorie: il comando per la configurazione è set <opzioni> il comando per la visualizzazione è show <opzioni> i comandi di gestione e amministrazione. Il comando: show version visualizza la versione del firmware installata sul router, mentre il comando: show system visualizza i dettagli hardware e software del router e la lista completa dei servizi disponibili con la data e il numero di versione. GESTIONE DELLE PASSWORD CIFRATE Introduzione Grazie a questa funzionalità è possibile visualizzare le password in modalità cifrata. Le password originali vengono nascoste all'utente che non è autorizzato a conoscerle, in questo modo possono essere utilizzate per impostare configurazioni analoghe su router differenti. E una funzionalità utile soprattutto in quei casi in cui si ha la necessità di delegare a soggetti terzi la configurazione di apparati e contemporaneamente non si vuole che questi soggetti vengano a conoscenza di eventuali password o chiavi di accesso per specifici servizi. La cifratura delle password è applicata a tutte le password di sistema, incluso password di autenticazione, secret key e Border Gateway Protocol neighbor password. Comandi di configurazione La sequenza dei comandi per ottenere una configurazione con password cifrate è la seguente: Applicare la configurazione desiderata utilizzando le password in chiaro Abilitare la cifratura delle password Visualizzare la configurazione 29

30 Imola User Guide Sintassi del comando set crypted-passwords (on off) permette di abilitare (on) o disabilitare (off) la visualizzazione cifrata delle password. Quando disabilitato, la visualizzazione delle password potrà essere in chiaro o utilizzando la notazione con * in base ai privilegi dell utente. N.B.: La visualizzazione in chiaro della password avviene solo se la stessa è stata precedentemente impostata in modalità in chiaro, altrimenti, se si è utilizzata la modalità cifrata, verrà visualizzata sempre e solo cifrata indipendentemente dall abilitazione o meno della funzionalità crypted-passwords. I comandi che utilizzano le password cifrate hanno sempre il prefisso crypted- (vedi esempio). E possibile ripristinare una configurazione con le password in chiaro digitando il comando con la password in chiaro oppure riportando la configurazione relativa a questo modulo ai parametri di fabbrica. Configurazione login/password PPP: set ppp login pppuser password tiesse set crypted-passwords on show config current... set PPP login PPPuser crypted-password 6XY4+Gzy Esempio di configurazione di un server RADIUS: set radius authhost set radius secret mypassword set radius on Eseguendo set crypted-passwords on show config current radius avremo la seguente visualizzazione: set radius authhost set radius crypted-secret V6Povfs4/Q= set radius on utilizzando il comando set radius crypted-secret V6Povfs4/Q= su un qualsiasi router Tiesse, esso sarà in grado di riconoscere e cifrare automaticamente il secret "mypassword" perper il server RADIUS Per ripristinare la modalità di visualizzazione delle password in chiaro occorre resettare la configurazione del modulo: restore factory radius PROCEDURA DI PASSWORD RECOVERY Se si utilizza il collegamento seriale è possibile utilizzare una login particolare che consente l accesso al router senza chiedere la password in modo da poter effettuare il ripristino della configurazione di fabbrica. 30

31 Imola User Guide Nel router Imola è presente una login di default impostata direttamente dalla fabbrica che non è possibile modificare. Qualora necessiti, sarà possibile concordare con il cliente una password di recovery personalizzata. REBOOT DEL ROUTER Per effettuare il riavvio del router è disponibile il comando: reboot Al riavvio, tutte le modifiche non salvate, tramite il comando save, verranno perse. E' possibile programmare un reboot a tempo, specificando dopo quanti secondi questo deve essere eseguito: schedule-reboot wait N Il controllo viene restituito all'utente, in modo che possono essere eseguiti eventuali altri comandi, oppure per terminare la sessione corrente. Per annullare l operazione di reboot programmata è disponibile il comando: no-schedule-reboot Si raccomanda di non effettuare salvataggi della configurazione quando è programmata l operazione di reboot. 31

32 Imola User Guide INTERFACCIA ETHERNET CONFIGURAZIONE DELL INTERFACCIA Le interfacce Ethernet di Imola sono denominate eth0ed eth1. L interfaccia eth0 è quella più a sinistra, normalmente viene utilizzata come porta di servizio, delegando le attività di rete all'interfaccia eth1. Se presente, lo switch LAN è collegato alla porta eth1. Sui modelli LX, l eventuale switch LAN con 4 porte è collegato invece alla porta eth0. Per impostare l'indirizzo IP di un'interfaccia ethernet si utilizza il seguente comando CLI: set eth0 eth1 ipaddr <ip_address> [netmask <netmask> broadcast <broadcast>] Ad esempio, per configurare un'interfaccia eth0 con indirizzo IP /16, specificandone il broadcast, si procede come nel seguente modo: set eth0 ipaddr netmask broadcast E possibile impostare un indirizzo di tipo IPv6 mediante il comando: set eth0 ipv6addr X:X::X:X/M Per attualizzare i parametri impostati è necessario eseguire il comando: set eth0 eth1 on Per disattivare un'interfaccia ethernet si usa il comando: set eth0 eth1 off Per configurare il default gateway il comando è: set last-resort-gateway <gw_ip_address> mentre per rimuoverlo: set no-last-resort-gateway Ad esempio, per impostare l'indirizzo come gateway di default può essere impiegata la seguente linea di comando: set last-resort-gateway mentre per rimuovere lo stesso default gateway: set no-last-resort-gateway È possibile, per ciascuna interfaccia ethernet, impostare o rimuovere il servizio DHCP Client mediante i comandi: set eth0 eth1 dhcp-client set eth0 eth1 no-dhcp-client È inoltre possibile configurare le due interfacce ethernet in modalità Transparent Bridge IEEE 802.1d mediante il comando: set eth0 bridge In questo modo il router viene visto con lo stesso indirizzo IP sia attraverso la porta eth0 che attraverso la eth1. Per ripristinare invece la configurazione con due porte si usa: set eth0 no-bridge Per aggiungere una voce alla lista degli host si utilizza il seguente comando CLI: 32

33 Imola User Guide set host <ip_address> <HOSTNAME> mentre per effettuarne la rimozione: set no-host <ip_address> Ad esempio, per aggiungere l'host con hostname MyHost: set host MyHost e per cancellarlo dalla lista: set no-host Inoltre è possibile attivare, su ciascuna interfaccia ethernet, uno o più indirizzi secondari, denominati alias. Per impostare o rimuovere una alias interface si utilizza il seguente comando CLI: set alias no-alias <interface> ipaddr <alias_ip_addr> netmask <netmask> Ad esempio, per impostare e rimuovere l'alias per l'interfaccia eth0 con indirizzo IP /24 si procede come nel seguente esempio: set alias eth0 ipaddr netmask set no-alias eth0 ipaddr netmask Se l indirizzo da aggiungere è di tipo IPv6 il comando diventa: set no-alias eth0 ipv6addr X:X::X:X/M È possibile attivare la funzione di ip-redirect mediante il comando: set eth0 ip-redirect oppure disabilitarla mediante set eth0 no-ip-rediect È possibile attivare (o disattivare) una descrizione dell'interfaccia ethernet, restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifdescr, con i seguenti comandi: set eth0 eth1 description no-description <my description> È possibile impostare il tipo di connessione ethernet, disattivando la procedura di autonegoziazione: set eth0 eth1 speed <value> dove value può assumere uno dei seguenti valori: 100BaseT4 100BaseTx-FD 10BaseT 10BaseT-HD 100BaseTx 100BaseTx-HD 10BaseT-FD Nel caso in cui sia presente lo switch i parametri della connessione dovranno essere impostati mediante appositi comandi descritti nella sezione relativa alle funzioni di Switch. Sui modelli di router Imola-LX oppure Lipari è presente solamente la porta eth0. COMANDO DETECT-LINK-STATE E da tenere presente che una volta configurata, l interfaccia Ethernet è sempre disponibile indipendentemente dal suo stato operativo: il router risponde sempre ad eventuali richieste che arrivano sull indirizzo IP associato all interfaccia. Se tali richieste vogliono essere inibite, occorre utilizzare il comando: 33

34 Imola User Guide detect-link-state <interface-name>4 grazie al quale il router abilita l interfaccia specificata solamente se lo stato operativo di essa è attivo (i.e., è presente il cavo di collegamento). Oltre alle interfacce LAN, tale comando vale per tutte le interfacce configurate, in particolare vale anche per le VLAN. VISUALIZZAZIONE STATO INTERFACCIA Per visualizzare la configurazione di un'interfaccia ethernet viene impiegato il seguente comando CLI: show interface ethernet eth0 eth1 config statistics status In particolare con l'argomento config vengono visualizzati i seguenti dati dell'interfaccia in oggetto: Indirizzo IP Netmask Broadcast MAC_Address Specificando l'argomento statistics vengono visualizzate le statistiche relative all'interfaccia in oggetto. Infine, mediante l'argomento status viene visualizzato lo stato dell'interfaccia ethernet specificata. Per visualizzare la tabella di routing è possibile impiegare il comando CLI: show route Per visualizzare l ARP table si usa il comando: show arp Per visualizzare i sistemi adiacenti di tipo IPv6 si usa il comando: show ipv6 neighbor Infine è possibile visualizzare gli alias impostati su un router Imola mediante il comando CLI show alias mentre per visualizzare l'elenco degli hosts aggiunti su un router Imola viene impiegato il comando show hosts Seguono alcuni esempi significativi degli output a video dei comandi descritti nel presente paragrafo. root@imola> show interface ethernet eth0 config IP Address: Netmask: Broadcast: MAC Address: 00:0D:5A:04:6F:F6 DHCP-Client: no 4 Affinchè il comando venga eseguito anche al reboot del router occorre impostare il comando set autocmd detect-linkstate <ifname> 34

35 Imola User Guide show interface ethernet eth0 statistics 6: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0D:5A:04:6F:F6 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet /16 brd scope global eth0 root@imola> show interface ethernet eth0 status eth0: negotiated 100baseT4 flow-control, link ok root@imola> show route Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface UG eth U eth U eth UG eth1 root@imola> show alias eth0 ipaddr netmask eth0 ipaddr netmask SIGNIFICATO LED INTERFACCIA ETHERNET Sul connettore RJ45 dell'interfaccia Ethernet sono presenti due led: a sinistra di colore giallo, a destra di colore verde. L'accensione del led di colore giallo indica che l'interfaccia ethernet è connessa alla velocità di 100Mbps. L'accensione a intermittenza del led verde, invece, indica attività di LAN. TRIGGER ETHERNET E possibile definire delle azioni da eseguire al variare dello stato dell interfaccia operativa delle porte ethernet mediante i comandi: set trigger eth0 up <action> set trigger eth0 down <action> set trigger eth1 up <action> set trigger eth1 down <action> dove <action> può essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni viene configurata mediante una sequenza di comandi: set trigger eth0 up <action1> 35

36 Imola User Guide set trigger eth0 up <action2> set trigger eth0 up <actionn> L esecuzione delle azioni avviene secondo l ordine con cui sono state impostate. Ad esempio mediante i comandi: set trigger eth0 up logger Ethernet0 is up set trigger eth0 down logger Ethernet0 is down viene effettuato il log di un messaggio che indica la variazione dell interfaccia operativa della porta Ethernet eth0. Per cancellare un trigger si utilizzano i comandi: set no-trigger eth0 up <action> set no-trigger eth0 down <action> TRIGGER DHCP CLIENT Nel caso sia configurato il DHCP Client, è possibile definire delle azioni da eseguire quando viene ottenuto un indirizzo IP e delle azioni da eseguire quando questo viene rilasciato mediante i comandi: set trigger dhcp up <action> set trigger dhcp down <action> dove <action> può essere un qualsiasi comando CLI supportato da Imola. L esecuzione delle azioni avviene secondo l ordine con cui sono state impostate. Ad esempio mediante i comandi: set trigger dhcp up logger We got an address set trigger dhcp up ip route add via set trigger dhcp down logger ethernet is not ready si effettua il logging di un messaggio che indica che è stato ottenuto un indirizzo IP e si aggiunge una rotta statica verso un host. Quando l indirizzo viene rilasciato si logga un messaggio. Per cancellare il trigger si utilizzano i comandi: set no-trigger dhcp up <action> set no-trigger dhcp down <action> GESTIONE PORTE ETHERNET: MII-TOOL Il comando mii-tool verifica o imposta lo stato delle interfacce Fast Ethernet eth0 e eth1 e delle 5 interfacce dello switch integrato (denominate rispettivamente eth1, eth2, eth3, eth4 ed eth5). Il comando viene usato prevalentemente per scopi diagnostici. Attivato con le apposite opzioni, le funzionalità offerte dal comando sono sostanzialmente le seguenti: effettuare il reset della porta, forzando la velocità di negoziazione a 10Mbps forzare il restart della autonegoziazione fissare la velocità della porta ad uno specifico valore effettuare il restart della negoziazione, specificando però le velocità accettate dalla porta modificare la funzionalità di crossover delle porte switch 36

37 Imola User Guide effettuare il monitor dello stato delle porte La modalità operativa del comando è la seguente: mii-tool [<opzione>] [<parametro>] <interfaccia> Di seguito sono descritte le opzioni ed i parametri accettati: Opz. parametri uso -r - restart autonegoziazione -R - resetta l interfaccia alla configurazione di default e fissa la velocità di negoziazione a 10Mbps -F -A 100baseTx-FD, 100baseTx-HD, 10baseT-FD, 10baseT-HD 100baseTx-FD, 100baseTx-HD, 10baseT-FD, 10baseT-HD disabilita l'autonegoziazione e forza la velocità della porta al valore indicato abilita e fa ripartire la procedura di autonegoziazione, specificando però le sole velocità accettate -C permette di modificare le caratteristiche relative alla funzionalità di crossover delle porte switch; il valore dei parametri indica: 0 crossover disabilitato (tx: TXP/TXN, rx: RXP/RXN) 1 crossover forzato (tx: RXP/RXN, rx: TXP/TXN) 2 automatic crossover -v -- visualizza lo stato e la configurazione della porta specificata Nell esempio di seguito si verifica lo stato della porta eth2 disabilitando la modalità di crossover : root@imola> mii-tool -v eth2 eth2: no link bmcr=1000, bmsr=7849, advert=5e1 lkpar=0 registers for MII PHY 17: cc 42bf product info: vendor 00:50:43, model 8 rev 7 basic mode: autonegotiation enabled basic status: no link capabilities: 100baseTx-FD 100baseTx-HD 10baseT-FD 10baseT-HD advertising: 100baseTx-FD 100baseTx-HD 10baseT-FD 10baseT-HD flow-control root@imola> root@imola> mii-tool -C 0 eth2 Crossover Register before change = 0x4130 Crossover Register after change = 0x4100 restarted auto negotiation... root@imola> set autocmd mii-tool -C 0 eth2 cmd "mii-tool -C 0 eth2" stored. A seconda del valore assunto dal campo 17 del registro MII possiamo capire la configurazione della funzionalità di crossover: 4130 automatic crossover abilitato 4110 crossover forzato manualmente 4100 crossover disabilitato manualmente 37

38 Imola User Guide INTERFACCIA ISDN COMANDI PER LA CONFIGURAZIONE DELL INTERFACCIA ISDN L'interfaccia ISDN di Imola può essere utilizzata per attivare dei circuiti di comunicazione di tipo temporaneo tra due punti terminali (per esempio tra due Imola). La sua configurazione è basata sulle dialer map. Una dialer map è una interfaccia logica che consente una connessione (in uscita o in ingresso) verso un utente remoto. La configurazione di fabbrica di Imola prevede 2 dialer map: ippp0 accetta chiamate in ingresso ippp1 consente di effettuare chiamate in uscita Le chiamate in uscita possono essere attivate automaticamente o manualmente. L'attivazione automatica delle chiamate in uscita consente ad Imola di agire in modalità di dial on demand router. I parametri fondamentali per la configurazione delle dialer map sono sostanzialmente: la modalità di gestione delle chiamate, che può essere incoming (in questo caso la dialer accetterà solo chiamate in ingresso) o outgoing (che consente la sola esecuzione di chiamate in uscita) la modalità di esecuzione delle chiamate in uscita, che può essere automatica o manuale il numero di telefono cui connettersi (per le chiamate in uscita) login e password per l'autenticazione delle chiamate in uscita login e password per l'autenticazione delle chiamate in ingresso Per l'attivazione automatica delle chiamate in uscita dovrà essere necessario configurare una interfaccia IP associata alla outgoing dialer map. Le chiamate in uscita verranno attivate solo nel momento in cui il processo di routing avrà stabilito che un pacchetto necessita di essere trasmesso sull interfaccia ISDN. La configurazione di una dialer map (per esempio la dialer ippp0) che accetti esclusivamente chiamate in ingresso viene effettuata con l'utilizzo dei seguenti comandi: set isdn dialer ippp0 eaz all set isdn dialer ippp0 in-number <value> [<value>] set isdn dialer ippp0 accept-remote-ip set isdn dialer ippp0 dialmode manual set ppp login <user> password <password> set isdn dialer ippp0 on Il comando set isdn dialer IPPP0 eaz <all number> viene utilizzato per configurare il numero di telefono che accetterà le connessioni in ingresso: solo le chiamate entranti destinate a quel numero saranno accettate. La chiave all consente di accettare le chiamate a prescindere dal numero chiamato. 38

39 Imola User Guide Se viene configurato un numero di telefono non esistente, per esempio il numero , la dialer map rifiuterà qualsiasi chiamata che non sia destinata a quel numero ed essendo il numero non esistente, di conseguenza sarà rifiutata qualsiasi chiamata. set isdn dialer ippp0 in-number <numero numero> permette di specificare una lista di numeri chiamante dai quali accettare le chiamate ISDN (Calling Line Identification). set isdn dialer ippp0 no-in-number consente di accettare le chiamate a prescindere dal numero chiamante. set ppp login <user> password <password> viene utilizzato per popolare il database di autenticazione degli utenti. Il database sarà utilizzato durante la fase di autenticazione delle chiamate in uscita ed in ingresso. Per verificare la configurazione della dialer appena attivata può essere utilizzato il comando show interface ISDN dialer ippp0, il cui output viene mostrato nella seguente figura: root@imola> show interface isdn dialer ippp0 Current setup of interface 'ippp0': EAZ/MSN: * Phone number(s): Outgoing: Incoming: Dial mode: manual Secure: off Callback: off Reject before Callback: off Callback-delay: 5 Dialmax: 1 Hangup-Timeout: 60 Incoming-Hangup: on ChargeHangup: off Charge-Units: 0 Charge-Interval: 0 Layer-2-Protocol: hdlc Layer-3-Protocol: trans Encapsulation: syncppp Login: pppuser Accept Remote IP: yes Set Local IP: no Default Route: no Masquerade: no ippp0 is not connected 8: ippp0: <POINTOPOINT,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 30 link/ppp RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns La configurazione di una dialer map che consenta di effettuare le sole chiamate in uscita viene effettuata con l'utilizzo dei seguenti comandi: set isdn dialer ippp1 eaz

40 Imola User Guide set isdn dialer ippp1 out-number <number> set isdn dialer ippp1 login <user> password <passwrd> set isdn dialer ippp1 huptimeout 120 set isdn dialer ippp1 ipaddr nexthop set isdn dialer ippp1 masquerade set isdn dialer ippp1 accept-remote-ip set isdn dialer ippp1 no-accept-local-ip set isdn dialer ippp1 dialmode manual set isdn dialer ippp1 default-route set isdn dialer ippp1 on Il comando set isdn dialer ippp1 eaz <all number> viene utilizzato per configurare il numero di telefono che accetterà le connessioni in ingresso: solo le chiamate entranti destinate a quel numero saranno accettate. La chiave all consente di accettare le chiamate provenienti da qualsiasi numero. Se viene configurato un numero di telefono non esistente, per esempio il numero , la dialer map rifiuterà qualsiasi chiamata che non sia destinata a quel numero ed essendo il numero non esistente, di conseguenza sarà rifiutata qualsiasi chiamata, stabilendo in questo modo che la dialer ippp1 è usata solo per chiamate uscenti. set isdn dialer ippp1 out-number <number> viene utilizzato per configurare il numero di telefono verso il quale la dialer map si dovrà connettere. set isdn dialer ippp1 login <user> viene utilizzato per configurare l'utente che sarà utilizzato per l'autenticazione al momento della connessione al numero di telefono chiamato. set isdn dialer ippp1 ipaddr nexthop consente la configurazione di una interfaccia IP associata alla outgoing dialer map. Nel caso in cui gli indirizzi saranno assegnati dal sistema remoto, può essere usata la forma: set isdn dialer IPPP1 IPaddr set isdn dialer ippp1 masquerade viene utilizzato per consentire l invio dei pacchetti IP utilizzando come indirizzo IP sorgente l indirizzo locale associato alla dialer, ovvero sull interfaccia dialer verranno effettuate operazioni di NATP. set isdn dialer ippp1 accept-remote-ip e set isdn dialer ippp1 accept-local-ip definiscono la modalità in base alla quale verrano assegnati gli indirizzi sull interfaccia ippp1. Il funzionamento è descritto in seguito. set isdn dialer ippp1 dialmode manual viene utilizzato per stabilire la modalità di attivazione della chiamata: la modalità manual consente la attivazione della chiamata solo in modo manuale, mediante il comando isdnctrl dial IPPP1; invece la modalità auto consente di attivare la chiamata ISDN in maniera automatica sulla prima richiesta di trasmissione sull interfaccia ippp1. 40

41 Imola User Guide Si può stabilire quali pacchetti potranno attivare in maniera automatica la connessione ISDN mediante il comando: set access-list dial-isdn prot <prot> port <value> from <src> to <src> descritto nel capitolo relativo alle access list. set isdn dialer ippp1 default-route viene utilizzato per configurare una rotta di instradamento di default sulla dialer ippp1. La rotta sarà attivata solo se la modalità di dial è auto (set isdn dialer IPPP1 dialmode auto) oppure nel momento in cui la chiamata viene instaurata. Per verificare la configurazione della dialer attivata: show interface isdn dialer ippp1 Current setup of interface 'ippp1': EAZ/MSN: 999 Phone number(s): Outgoing: Incoming: Dial mode: manual Secure: off Callback: off Reject before Callback: off Callback-delay: 5 Dialmax: 1 Hangup-Timeout: 60 Incoming-Hangup: on ChargeHangup: off Charge-Units: 0 Charge-Interval: 0 Layer-2-Protocol: hdlc Layer-3-Protocol: trans Encapsulation: syncppp Login: pppuser Accept Remote IP: yes Set Local IP: no Default Route: no Masquerade: no ippp1 is not connected 9: ippp1: <POINTOPOINT,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 30 link/ppp RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns È inoltre possibile utilizzare entrambi i canali ISDN sulla singola connessione logica (connessione multilink). Per abilitare la connessione multilink possono essere utilizzati i comandi: set isdn dialer ippp1 multi-link Il secondo canale, denominato slave, deve essere attivato al momento della connessione del canale master. Per questa operazione può essere utilizzato il comando: set trigger isdn up isdnctrl addlink ippp1 Il canale slave verrà disconnesso automaticamente al momento dell abbattimento del canale master. 41

42 Imola User Guide Al momento della attivazione del canale master è possibile verificare l attivazione dei due canali: root@imola> isdnctrl list ippp1 Current setup of interface 'ippp1': EAZ/MSN: 999 Phone number(s): Outgoing: Incoming: Dial mode: manual Secure: off Callback: off Reject before Callback: off Callback-delay: 5 Dialmax: 1 Hangup-Timeout: 60 Incoming-Hangup: on ChargeHangup: off Charge-Units: 0 Charge-Interval: 0 Layer-2-Protocol: hdlc Layer-3-Protocol: trans Encapsulation: syncppp Slave Interface: ippp62 Slave delay: 10 Slave trigger: 6000 cps Master Interface: None Pre-Bound to: Nothing PPP-Bound to: 1 root@imola> show interface isdn status isdn Status and Statistics: irq=28 io= led= link status = up, chan B1 status = active, chan B2 status = active link up = , link down = chan B1 activations = , chan B1 deactivations = chan B2 activations = , chan B2 deactivations = D-frames rcvd = , D-frames sent = , D-rxowf = B1-frames rcvd = , B1-frames sent = , B1-rxowf = B2-frames rcvd = , B2-frames sent = , B2-rxowf = E` possibile configurare, sia per le chiamate in ingresso che per le chiamate in uscita, la modalità di subaddressing. Per accettare le chiamate in ingresso solo se corredate dal subaddress 400: set isdn dialer ippp0 eaz *.400 Per effettuare le chiamate in uscita verso un determinato numero ( ) associando il subaddress 500: set isdn dialer ippp1 out-number Nel caso di utilizzo del router collegato a linee ISDN di tipo punto-punto, invece che punto-multipunto, occorre impostare il comando: set isdn mode point-to-point Invece il comando: set isdn mode multi-point passa alla modalità multi-point. 42

43 Imola User Guide Vengono di seguito riportati alcuni esempi di configurazione in base alla modalità con cui devono essere assegnati gli indirizzi dell interfaccia ippp1. I casi sono: indirizzo locale e indirizzo nexthop entrambi assegnati da Imola stesso indirizzo locale ed indirizzo nexthop entrambi assegnati dal sistema remoto (RAS) Imola stabilisce il suo indirizzo mentre il nexthop viene assegnato dal RAS. I seguenti comandi sono comuni a tutti e tre gli esempi: set isdn dialer ippp1 eaz set isdn dialer ippp1 out-number set isdn dialer ippp1 login isdnuser password isdnpasswd set isdn dialer ippp1 huptimeout 120 set isdn dialer ippp1 masquerade set isdn dialer ippp1 dialmode auto set isdn dialer ippp1 default-route Indirizzo locale e indirizzo nexthop entrambi assegnati da Imola stesso set isdn dialer ippp1 ipaddr nexthop set isdn dialer ippp1 no-accept-remote-ip set isdn dialer ippp1 accept-local-ip set isdn dialer ippp1 on Sia prima che dopo la chiamata ISDN l interfaccia si presenta nel modo seguente: root@imola> show interface isdn dialer ippp1 statistics 19: ippp1: <POINTOPOINT,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 30 link/ppp RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet peer /32 scope global ippp1 Indirizzo locale ed indirizzo nexthop entrambi assegnati dal sistema remoto set isdn dialer ippp1 ipaddr set isdn dialer ippp1 accept-remote-ip set isdn dialer ippp1 no-accept-local-ip set isdn dialer ippp1 on Dopo l attivazione della sessione ISDN l interfaccia IPPP1 si presenta nel modo seguente: root@imola> show interface isdn dialer ippp1 statistics 19: ippp1: <POINTOPOINT,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 30 link/ppp RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet peer /32 scope global ippp1 43

44 Imola User Guide Indirizzo locale assegnato da Imola ed indirizzo nexthop assegnato dal sistema remoto set isdn dialer ippp1 ipaddr set isdn dialer ippp1 accept-remote-ip set isdn dialer ippp1 accept-local-ip set isdn dialer ippp1 on È disponibile inoltre un comando che consente di verificare lo storico delle chiamate effettuate e ricevute: root@imola> show interface isdn history Call Calling Called Sec. Setup Term. Txed Rxed Type Number Number Used Time Cause Bytes Bytes In , Out , Out , Out , Out , Out , Out N/A Out N/A Vengono indicati: Call Type tipo chiamata (incoming/outgoing) Calling Number numero di telefono chiamante Called Number numero di telefono chiamato Sec. Used tempo di occupazione della linea Setup Time durata setup ISDN Term. Cause codice della causa della disconnessione Txed Bytes/Rxed Bytes byte trasmessi e ricevuti Per quanto riguarda il codice riportato nella colonna Term. Cause, il valore identifica la modalità di chiusura della chiamata: se la disconnect viene effettuata a seguito di un evento remoto, il codice di chiusura sarà maggiore di 128. show interface isdn active-calls vengono visualizzate le chiamate attive al momento dell esecuzione del comando. È possibile attivare una descrizione dell'interfaccia ISDN, restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifdescr, con il comando: set isdn description <value> È anche possibile configurare messaggi differenti per ciascuna dialer: set isdn dialer ippp0 description <value> Infine il comando nativo isdnctrl, descritto nel seguito del manuale, può essere utilizzato per gestire direttamente le dialer ISDN. Per stabilire invece quale traffico deve innescare la chiamata ISDN, si usa il comando set accesslist dial-isdn, in una delle seguente forme: set access-list dial isdn prot <prot> port <value> from <sorgente> to <destinazione> 44

45 Imola User Guide set access-list dial isdn prot <prot> sport <value> from <sorgente> to <destinazione> Di seguito alcuni esempi di utilizzo: set access-list dial-isdn prot icmp from this to Un comando di ping emesso localmente (in uscita dal router: sorgente uguale alla keyword this) verso attiva la chiamata ISDN. set access-list dial-isdn prot icmp from this to /16 per indicare la sottorete /16. set access-list dial-isdn prot icmp from any to set access-list dial-isdn prot icmp from any to /24 Tutti i pacchetti ICMP in transito (sorgente uguale alla keyword any) verso oppure /24 attivano la chiamata ISDN. set access-list dial-isdn prot udp port all from any to any Tutti i pacchetti UDP in transito dal router, provenienti da qualsiasi sorgente verso qualsiasi destinazione attivano la chiamata ISDN. set access-list dial-isdn prot udp port 2000:4000 from any to any per indicare tutti i pacchetti UDP con porta destinataria compresa tra 2000 e set access-list dial-isdn prot udp sport 1010 from this to per indicare tutti i pacchetti originati localmente (keyword this) con porta sorgente 1010 verso Tale comando può essere utilizzato anche per il protocollo TCP-IP. SIGNIFICATO LED ISDN Lo stato dell interfaccia ISDN viene indicato mediante 2 led di colore giallo (sinistra) e verde (destra) posti ai lati del connettore. L accensione del led giallo indica che il livello fisico ISDN è attivo. L accensione del led verde indica invece l'attività di almeno una sessione ISDN. TRIGGER ISDN E possibile definire delle azioni da eseguire quando viene attivata e deattivata una chiamata ISDN, rispettivamente mediante i comandi5: set trigger isdn up <action> set trigger isdn down <action> dove <action> può essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni viene configurata mediante una sequenza di comandi: set trigger isdn up <action1> set trigger isdn up <action2> 5 I comandi di trigger hanno significato ed effetto solamente sulla dialer map ippp1. Sono ininfluenti se la dialer attiva è invece ippp0 45

46 Imola User Guide set trigger isdn up <actionn> L esecuzione delle azioni avviene secondo l ordine con cui sono stati impostati. Ad esempio mediante la sequenza di comandi: set trigger isdn up ip route add dev ippp1 set trigger isdn up logger r isdn is up set trigger isdn down ip route del dev ippp1 set trigger isdn down logger r isdn is down si imposta una rotta statica verso l host e si invia il messaggio di log isdn is up quando la connessione ISDN viene attivata, mentre si elimina la rotta e si invia il messaggio di log isdn is down quando la sessione ISDN viene terminata. Per cancellare un trigger si utilizzano i comandi: set no-trigger isdn up <action> set no-trigger isdn down <action> VERIFICA SESSIONE ISDN isdnchat <numero-di-telefono> attiva una sessione Q.931 senza innescare la fase di autenticazione PPP. Esso è utile per verificare il funzionamento della sola linea telefonica. isdnping <ip-address> Permette di attivare una chiamata sulla dialer ippp1 senza innescare gli effetti collaterali dei trigger. Esso attiva una connessione ISDN utilizzando i parametri della dialer ippp1 ed esegue una serie di ping verso l'ip specificato senza l'intervento dei trigger isdn up e isdn down. Un esempio di utilizzo ed output del comando, in caso di esito positivo, sono visibili nella seguente figura: root@imola> isdnping Dialing of ippp2 triggered PING ( ) from ippp2: 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=56 time= msec ping statistics packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max/mdev = / / /0.000 ms PING ( ) from ippp2: 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=56 time= msec 64 bytes from : icmp_seq=1 ttl=56 time= msec 64 bytes from : icmp_seq=2 ttl=56 time= msec 64 bytes from : icmp_seq=3 ttl=56 time= msec 64 bytes from : icmp_seq=4 ttl=56 time= msec 64 bytes from : icmp_seq=5 ttl=56 time= msec 64 bytes from : icmp_seq=6 ttl=56 time= msec 64 bytes from : icmp_seq=7 ttl=56 time= msec 64 bytes from : icmp_seq=8 ttl=56 time= msec 64 bytes from : icmp_seq=9 ttl=56 time= msec ping statistics packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/mdev = / / / ms ippp2 hung up 46

47 Imola User Guide Nel caso di esito negativo: isdnping Dialing of ippp2 triggered PING ( ) from ippp2: 56(84) bytes of data ping statistics packets transmitted, 0 packets received, 100% packet loss PING ( ) from ippp2: 56(84) bytes of data ping statistics packets transmitted, 0 packets received, 100% packet loss PING ( ) from ippp2: 56(84) bytes of data ping statistics packets transmitted, 0 packets received, 100% packet loss ippp2 hung up CONTROLLO DI TRAFFICO È possibile configurare il router in modo da effettuare il controllo del traffico in ingresso ed in uscita sull'interfaccia ISDN. In particolare si può configurare un valore di soglia ed innescare degli eventi quando il traffico in una data unità di tempo è superiore od inferiore a tale soglia6. set isdn traffic-control input-threshold <N> Il valore N è espresso in byte e rappresenta il valore di soglia per il traffico in ingresso. set isdn traffic-control output-threshold <N> Il valore N è espresso in byte e rappresenta il valore di soglia per il traffico in uscita. set isdn traffic-control timer-unit <N> Il valore N è espresso in secondi e rappresenta la frequenza con cui viene effettuato il controllo. set isdn traffic-control mode or and Definisce se il controllo del traffico è relativo alla soglia di ingresso e a quella di uscita, oppure alla soglia di ingresso o a quella di uscita. set isdn traffic-control prewait <N> Rappresenta un valore in secondi di attesa prima di iniziare il controllo del traffico. set isdn traffic-control on off Attiva/disattiva il controllo del traffico. Tipicamente i comandi si usano in concomitanza del comando set trigger isdn-tc per attivare il secondo canale ISDN. Il seguente esempio ne chiarisce l'utilizzo. set isdn traffic-control input-threshold set isdn traffic-control output-threshold set isdn traffic-control mode or set isdn traffic-control timer-unit 10 set trigger isdn-tc up isdnctrl addlink ippp1 set trigger isdn-tc down isdnctrl removelink ippp1 6 I comandi di traffic control hanno significato ed effetto solamente sulla dialer map ippp1. Sono ininfluenti se la dialer attiva è invece ippp0. 47

48 Imola User Guide set trigger isdn up set isdn traffic-control on set trigger isdn down set gprs traffic-control off Il controllo del traffico viene attivato contestualmente all'attivazione della sessione ISDN e disattivato quando termina la sessione. Si imposta un valore di soglia di 30Kbyte per il traffico in ingresso ed un valore di 20Kbyte per il traffico in uscita. Il controllo si effettua ogni 10 secondi. Se in 10 secondi il traffico in ingresso oppure quello in uscita supera il valore di soglia impostato viene eseguito il comando specificato dal trigger set isdn-tc up, che richiede l attivazione del secondo canale ISDN. Viceversa, se in 10 secondi il traffico è inferiore ai valori di soglia viene eseguito il comando specificato dal trigger set trigger gprs-tc down. 48

49 Imola User Guide INTERFACCIA ADSL CONFIGURAZIONE I modelli Imola XX10 supportano solo connessioni ADSL, mentre i modelli XX20 supportano sia connessioni ADSL che connessioni ADSL2+. Per i modelli XX6X far riferimento al capitolo Interfaccia VDSL. In caso di ADSL la massima banda sostenuta è: downstream fino a 8 Mbps upstream fino a 1 Mbps. Mentre per ADSL2+ la banda sostenuta è: downstream fino a 24 Mbps upstream fino a 3.5 Mbps. Sono supportati fino a 8 PVC (Permanent Virtual Circuit) È conforme ai seguenti standard: ADSL: G (G.dmt) - Annex A (ADSL over POTS), G992.2 (G.lite), ANSI T1.413 issue 2 ATM: ITU T-I.361, ITU T.I.363.5, ITU T-I.432, ITU T.I.610, ITU T-I.731 RFC 2684 (former RFC 1483 MultIProtocol over ATM) RFC 2364 (PPP over ATM) RFC 2516 (PPP over Ethernet) Nei modelli Imola XX20 sono supportati inoltre i seguenti standard: G annexa, B, I, J, L (extended reach), M (double upstream) G g.lite.bis G annexa, B, C, I, J, M Il link ADSL è configurabile ed attivabile mediante comandi CLI e la configurazione è trasparente rispetto al tipo di ADSL presente. Per attivare l'interfaccia ADSL è disponibile il comando: set adsl on Per disattivare l'interfaccia ADSL è disponibile il comando: set adsl off Per disattivare l'interfaccia ADSL e disabilitarne la configurazione è disponibile il comando: set no-adsl Prima di attivare l'interfaccia ADSL è necessario eseguire alcune operazioni di configurazione, secondo le indicazioni e i valori forniti dal Provider con cui si è stipulato il contratto. Per configurare il tipo di incapsulamento : set adsl encap rfc1483-llc rfc1483-bridged ppoa-vcmux PPPoe-llc Per configurare il numero ed il tipo di PVC: set adsl pvc_number <value> 49

50 Imola User Guide set adsl pvc atmx vpi <value> vci <value> dove pvc_number può essere al massimo 87 e di conseguenza atmx dovrà essere atm0, atm1, atm7. Il valore di default di pvc_number è 1. Occorre quindi completare la configurazione di ogni PVC definito. Per configurare l incapsulamento del pvc : set adsl pvc atm0 atm7 encap rfc1483-llc rfc1483-bridged pppoa-vcmux pppoe-llc Per configurare vpi (valore tipico 8) e vci (valore tipico 35): set adsl pvc atm0 atm7 vpi <value> vci <value> Nel caso in cui il tipo di incapsulamento sia rfc1483-vcmux oppure rfc1483-llc (protocolli descritti nella RFC 1483, Multipotocol Encapsulation over ATM Adaptation Layer 5) è necessario definire un indirizzo IP, mediante il comando: set adsl pvc atm0 atm7 ipaddr <value> Per rimuovere l indirizzo IP: set adsl pvc atm0 atm7 no-ipaddr oppure a seconda delle informazioni ricevute dal Provider, potrebbero essere usati i comandi: set adsl pvc atm0 atm7 ipaddr <value> set adsl pvc atm0 atm7 nexthop set adsl pvc atm0 atm7 netmask <value> set adsl pvc atm0 atm7 mtu <value> Per assegnare un indirizzo di tipo IPv6 il comando è: set adsl pvc atm0 atm7 ipv6addr X:X::X:X/M Opzionalmente può essere richiesto di abilitare la rotta di default: set adsl pvc atm0 atm7 default-route Per abilitare le funzioni di NAT (Network Address Translation): set adsl pvc atm0 atm7 masquerade Per rimuovere le opzioni impostate: set adsl pvc atm0 atm7 no-ipaddr set adsl pvc atm0 atm7 no-nexthop set adsl pvc atm0 atm7 no-mtu set adsl pvc atm0 atm7 no-default-route set adsl pvc atm0 atm7 no-masquerade Quando si utilizza invece il tipo di incapsulamento PPPoa (PPP over ATM) oppure PPPoe (PPP over Ethernet), occorre definire login e password che saranno usate per l'autenticazione: set adsl login <value> password <value> Nei modelli Imola XX20 è possibile configurare la tipologia di traffico ATM per PVC nel seguente modo set adsl pvc atm0 atm7 service <service-type> 7 Per connessioni di tipo PPPoA e PPPoE è ammesso un solo PVC. 50

51 Imola User Guide dove service-type può assumere i valori UBR, CBR, VBR e RTVBR. Per il traffico UBR e CBR è possibile specificare un valore di PCR (Peak Cell Rate), mentre per VBR e RTVBR è possibile specificare, oltre al PCR, i valori per SCR (Sustainable Cell Rate) e per MBS (Maximum Burst Size), nel seguente modo: set adsl pvc atm0 atm7 pcr <value> set adsl pvc atm0 atm7 scr <value> set adsl pvc atm0 atm7 mbs <value> Il valore indicato per PCR e SCR si esprime in celle/sec, mentre il valore per MBS si esprime in bytes. Per rimuovere le opzioni impostate: set adsl pvc atm0 atm7 no-service set adsl pvc atm0 atm7 no-pcr set adsl pvc atm0 atm7 no-scr set adsl pvc atm0 atm7 no-mbs E possibile variare la lunghezza della coda di trasmissione sull interfaccia associata al pvc, nel seguente modo: set adsl pvc atm0 atm7 qlen <value> Per rimuovere l opzione: set adsl pvc atm0 atm7 no-qlen Per impostare la modalità di linea dello standard ADSL è possibile impiegare il comando set ADSL line-mode, che assume opzioni diverse a seconda del modello di Imola. Su Imola XX10, le opzioni possono essere: ITU (Europa), ANSI e AUTO (Multimode): set adsl line-mode itu ansi auto Su Imola XX20, le opzioni possono essere una scelta tra combinazioni dei possibili standard ADSL, nel seguente modo: set adsl line-mode adsl2 adsl2+/adsl2/g.dmt/t1.413 adsl2 AnnexM adsl2/g.dmt adsl2+/adsl2 G.DMT adsl2+/adsl2/g.dmt T1.413 Per rimuovere l opzione: set adsl no-line-mode Infine è possibile attivare (o disattivare) una descrizione dell'interfaccia ADSL, che sarà restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifdescr, con i seguenti comandi: set adsl description no-description <value> Per rimuovere l opzione: set adsl no-description Un esempio di sequenza di comandi di configurazione dell'interfaccia ADSL può essere la seguente: set adsl encap rfc1483-vcmux set adsl pvc-number 1 set adsl description muxadsl set adsl pvc atm0 vpi 8 vci 35 set adsl pvc atm0 pcr 0 set adsl pvc atm0 default-route set adsl pvc atm0 Ipaddr nexthop set adsl on 51

52 Imola User Guide VISUALIZZAZIONE È possibile visualizzare informazioni riguardanti la configurazione, i pvc, le statistiche e lo stato dell'interfaccia ADSL. Il comando CLI è il seguente: show interface adsl config pvc statistics status Ad esempio, il comando: show interface adsl config produce un output a video simile al seguente: root@imola> show interface adsl config Encapsulation: 1483 Routed IP VC_Mux Number of PVC Configured: 1 Configured Backup isdn Extended Backup no L output del comando: show interface adsl pvc atm0 è invece: root@imola> show interface adsl pvc Configuration for PVC atm0: VPI/VCI: 8/35 Peak Cell Rate: 0 Local IP Address: Nexthop IP Address: Default Route on here: yes Masquerade: yes 26: atm0: <BROADCAST,MULTICAST,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0d:5a:05:02:85 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet /30 brd scope global atm0 root@imola> Nel caso di incapsulamento PPP over ATM oppure PPP over Ethernet l output del comando è il seguente: root@imola> show interface adsl pvc atm0 Configuration for PVC atm0: VPI/VCI: 8/35 Service category: UBR Peak Cell Rate: no Local IP Address: Nexthop IP Address: no Default Route on here: yes Masquerade: no 11: atm0: <BROADCAST,MULTICAST,NOARP,UP,10000> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0d:5a:00:00:00 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast 52

53 Imola User Guide TX: bytes packets errors dropped carrier collsns inet /30 brd scope global atm0 Il comando: show interface adsl status produce la seguente visualizzazione sui router Imola XX20: root@imola> show interface adsl status General Information FW Revision: 0x061d 0x1235 0x0009 Near End Data Far End Data Vendor country: 0xb5 0xb5 Vendor code: AWRE BDCM Vendor product code: 0x5052 0xf2a1 Line Operational Data adsl Standard: ITU-T G annex A Near End Data Far End Data Attenuation (db): Noise Margin (db): Output Power (dbm): Relative Capacity Occupancy (%): Channel Operational Data Near End Data Far End Data Datarate (Interl/Latency-0) (kb/s): Datarate (Fast/Latency-1) (kb/s): 0 0 Errors Data Near End Data Far End Data CRC (Interl/Latency-0): CRC (Fast/Latency-1): 0 0 FEC (Interl/Latency-0): FEC (Fast/Latency-1): 0 0 HEC (Interl/Latency-0): HEC (Fast/Latency-1): 0 0 No cell delineation (Bearer-1): yes none Atm Cell Counter Statistics Rx Tx Total Cell Count (Bearer-0): Total Cell Count (Bearer-1): 0 0 User Total Cell Count (Bearer-0): User Total Cell Count (Bearer-1): Current modem state: SHOWTIME (for 1 day, 8 hr, 32 min, 57 sec) 53

54 Imola User Guide COMANDO OAMPING Il comando oamping permette di verificare lo stato del collegamento inviando una cella OAM di tipo F5. Un esempio di utilizzo è il seguente: oamping flow 5 vpi 8 vci 35 seq 0 response from vpi-vci 8-35 time=28.0 ms seq 1 response from vpi-vci 8-35 time=27.6 ms seq 2 response from vpi-vci 8-35 time=28.8 ms E possible specificare il numero di cella da inviare: root@tlc-gtw> oamping flow 5 vpi 8 vci 35 count 10 seq 0 response from vpi-vci 8-35 time=27.2 ms seq 1 response from vpi-vci 8-35 time=27.6 ms seq 2 response from vpi-vci 8-35 time=27.7 ms seq 3 response from vpi-vci 8-35 time=29.3 ms seq 4 response from vpi-vci 8-35 time=27.7 ms seq 5 response from vpi-vci 8-35 time=28.5 ms seq 6 response from vpi-vci 8-35 time=27.6 ms seq 7 response from vpi-vci 8-35 time=28.2 ms seq 8 response from vpi-vci 8-35 time=29.0 ms seq 9 response from vpi-vci 8-35 time=27.9 ms SIGNIFICATO DEI LED Nei router Imola XX10 lo stato dell'interfaccia ADSL viene indicato mediante 3 led di colore verde, etichettati con le seguenti denominazioni: Pw, Link e Data. L accensione del led Pw indica che il modem ADSL interno è alimentato in modo corretto. Il led Link lampeggiante indica la fase di sincronizzazione con la centrale. Il led Link acceso fisso indica che la fase di sincronizzazione è stata effettuata con successo. Il led Data viene utilizzato per visualizzare il traffico dati. Nei router Imola XX20 lo stato dell'interfaccia ADSL viene indicato mediante 2 led di colore verde, etichettati con le seguenti denominazioni: Link e Data. Il led Link acceso indica che il modem è stato inizializzato con successo. Il led Data acceso indica che la fase di sincronizzazione con la centrale è stata effettuata con successo e che il modem è in stato operativo. TRIGGER ADSL E possibile definire delle azioni da eseguire quando viene attivata e deattivata l interfaccia ADSL, rispettivamente mediante i comandi: set trigger adsl up <action> set trigger adsl down <action> 54

55 Imola User Guide dove <action> può essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni viene configurata mediante una sequenza di comandi: set trigger adsl up <action1> set trigger adsl up <action2> set trigger adsl up <actionn> L esecuzione delle azioni avviene secondo l ordine con cui sono stati impostati. Ad esempio mediante la sequenza di comandi: set trigger adsl up ip route add dev atm0 set trigger adsl up logger r adsl is up set trigger adsl down ip route del dev atm0 set trigger adsl down logger r adsl is down si imposta una rotta statica verso l host e si invia il messaggio di log ADSL is up quando l interfaccia ADSL viene attivata, mentre si elimina la rotta e si invia il messaggio di log ADSL is down quando l interfaccia ADSL non è operativa. Per cancellare un trigger si utilizzano i comandi: set no-trigger adsl up <action> set no-trigger adsl down <action> 55

56 Imola User Guide INTERFACCIA VDSL INTRODUZIONE I modelli Imola XX6X supportano connessioni ADSL, ADSL2+ e VDSL2. Sono conformi a: tutti gli standard ADSL e annessi: ADSL 1/2/2+, Annexes A, B, I, J, M e L tutti i profili VDSL2 da 8 Mhz a 30 Mhz standard G (G.Vector) I modelli Imola XX6X presentano una sola porta RJ11. L interfaccia ADSL/VDSL consente la sincronizzazione in ADSL o VDSL mode, a seconda dell esito di quanto negoziato con la centrale nella fase di handshaking. La configurazione dei livelli 2 e 3 della connessione differisce in funzione dello standard di riferimento. CONFIGURAZIONE DELLA CONNESSIONE FISICA E possibile configurare il tipo di connettività fisica, ADSL, VDSL o multimode mediante il comando: set dsl line-mode multimode VDSL adsl In modalità multimode il router è in grado di riconoscere, in fase di allineamento, lo standard di riferimento e di conseguenza connettersi in modalità ADSL o VDSL. In alternativa è possibile specificare una delle due modalità. In tal caso se le modalità prescelta non corrisponde al servizio fornito, la connessione non sarà instaurata. Se non specificato, il line mode è multimode. E possibile configurare un scelta di uno o più standard ADSL e/o di uno o più profili VDSL mediante il comando: set dsl advanced line-types <value> Dove <value> può assumere uno dei seguenti valori: adsl-t1e1-issue-2 adsl1-dmt-annex-a adsl1-dmt-annex-b adsl1-dmt-annex-c adsl2-annex-l adsl2-dmt-annex-a adsl2-dmt-annex-b adsl2-plus-annex-a adsl2-plus-annex-b adsl2-plus-annex-m vdsl1 vdsl2-prof-12a vdsl2-prof-12b vdsl2-prof-17a 56

57 Imola User Guide vdsl2-prof-30a vdsl2-prof-8a vdsl2-prof-8b vdsl2-prof-8c vdsl2-prof-8d Il comando deve essere ripetuto per ogni modalità che si desidera abilitare. Per tornare alla configurazione di default è disponibile il comando: set dsl advanced no-line-types N.B.: il comando advanced non è visibile né come opzione né in auto-completamento. Per attivare la connessione è disponibile il comando: set dsl on Per abbattere la connessione è disponibile il comando: set dsl off Per cancellare la configurazione è disponibile il comando: set no-dsl CONFIGURAZIONE ADSL Per la configurazione dell ADSL è disponibile lo stesso insieme di comandi utilizzati sui modelli Imola XX20. In modalità ADSL sono supportati fino a 8 PVC (Permanent Virtual Circuit). Per configurare il numero di PVC: set adsl pvc_number <value> Per configurare il tipo di incapsulamento : set adsl encap rfc1483-llc rfc1483-bridged ppoa-vcmux pppoe-llc Per configurare vpi e vci: set adsl pvc atm0 atm7 vpi <value> vci <value> Per configurare l incapsulamento del PVC: set adsl pvc atm0 atm7 encap rfc1483-llc rfc1483-bridged ppoa-vcmux pppoe-llc Per configurare l indirizzo IP: set adsl pvc atm0 atm7 ipaddr <value> Per rimuovere l indirizzo IP: set adsl pvc atm0 atm7 no-ipaddr Per configurare la netmask: set adsl pvc atm0 atm7 netmask <value> Per ripristinare la netmask di default: set adsl pvc atm0 atm7 no-netmask 57

58 Imola User Guide Per configurare la mtu: set adsl pvc atm0 atm7 mtu <value> Per ripristinare la mtu di default: set adsl pvc atm0 atm7 no-mtu Per configurare il next hop: set adsl pvc atm0 atm7 nexthop <value> Per rimuovere il next hop: set adsl pvc atm0 atm7 no-nexthop Per assegnare un indirizzo di tipo IPv6: set adsl pvc atm0 atm7 ipv6addr X:X::X:X/M Per abilitare la rotta di default: set adsl pvc atm0 atm7 default-route Per rimuovere la rotta di default: set adsl pvc atm0 atm7 no-default-route Per abilitare le funzioni di NAT (Network Address Translation): set adsl pvc atm0 atm7 masquerade Per rimuovere le funzioni di NAT: set adsl pvc atm0 atm7 no-masquerade Quando si utilizza invece il tipo di incapsulamento PPPoa (PPP over ATM) oppure PPPoe (PPP over Ethernet), occorre definire login e password che saranno usate per l'autenticazione: set adsl login <value> password <value> Per configurare la tipologia di traffico ATM: set adsl pvc atm0 atm7 service <service-type> dove service-type può assumere i valori UBR, CBR, VBR e RTVBR. Per il traffico UBR e CBR è possibile specificare un valore di PCR (Peak Cell Rate), mentre per VBR e RTVBR è possibile specificare, oltre al PCR, i valori per SCR (Sustainable Cell Rate) e per MBS (Maximum Burst Size), nel seguente modo: set adsl pvc atm0 atm7 pcr <value> set adsl pvc atm0 atm7 scr <value> set adsl pvc atm0 atm7 mbs <value> Il valore indicato per PCR e SCR si esprime in celle/sec, mentre il valore per MBS si esprime in bytes. Per rimuovere le opzioni impostate: set adsl pvc atm0 atm7 no-service set adsl pvc atm0 atm7 no-pcr set adsl pvc atm0 atm7 no-scr set adsl pvc atm0 atm7 no-mbs E possibile variare la lunghezza della coda di trasmissione sull interfaccia associata al pvc, nel seguente modo: set adsl pvc atm0 atm7 qlen <value> 58

59 Imola User Guide Per rimuovere l opzione: set adsl pvc atm0 atm7 no-qlen Infine è possibile attivare (o disattivare) una descrizione dell'interfaccia ADSL, che sarà restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifdescr, con i seguenti comandi: set adsl description no-description <value> Per rimuovere l opzione: set adsl no-description CONFIGURAZIONE VDSL La connessione VDSL2 viene presentata a livello 2 tramite l interfaccia ethernet vdsl0. Per impostare l'indirizzo IP: set vdsl0 ipaddr <ip_address> [netmask <netmask> broadcast <broadcast>] E possibile impostare un indirizzo di tipo IPv6 mediante il comando: set vdsl0 ipv6addr X:X::X:X/M È possibile impostare o rimuovere il servizio DHCP Client mediante i comandi: set vdsl0 dhcp-client set vdsl0 no-dhcp-client E possibile effettuare il bridge diretto dei pacchetti VDSL mediante il comando: set vdsl0 bridge-with <interface> Per disabilitare le funzioni di bridge: set vdsl0 no-bridge Per attivare una rotta di default sulla interfaccia vdsl0: set vdsl0 default-route Per rimuovere la rotta di default: set vdsl0 no-default-route Per impostare un valore di mtu: set vdsl0 mtu <value> Per tornare al valore di default: set vdsl0 no-mtu E possibile variare la lunghezza della coda di trasmissione sull interfaccia vdsl0, nel seguente modo: set vdsl0 qlen <value> Per rimuovere l opzione: set vdsl0 no-qlen È possibile attivare (o disattivare) una descrizione dell'interfaccia VDSL, restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifdescr, con i seguenti comandi: 59

60 Imola User Guide set vdsl0 description no-description <value> VISUALIZZAZIONE È possibile visualizzare informazioni sullo stato operativo della connessione ADSL/VDSL mediante il comando CLI: show interface dsl status il quale produce la seguente visualizzazione show interface dsl status General Information Firmware-VTU-R: IKF7185 Time Aug , 08:30:23 RTOS Copyright MGC Nucleus PLUS - v. 1.15, Source Tag:10087 BME R:112 AFE<num, ver> <0:f2> IFE<num:Dev.Rev> <0:242.0> Near End Data Far End Data Vendor country: 0xb5 0xff Vendor code: IKNS GSPN Product code: 0x0200 0x020b Bandplan type: 0 Line Operational Data Trained Mode: adsl2 PLUS ANNEX M Near End Data Far End Data Line rate 2616 kbps kbps Bearer 0 Payload rate 0 kbps 0 kbps Bearer 1 Payload rate 2290 kbps kbps Tx Power 14.4 dbm 0.5 dbm Delay 5.9 ms 6.2 ms Channel Operational Data Signal Attenuation: 13.3 db Noise Margin: 7.8 db Average SNR: 47.8 db Average Noise Margin: 8.6 db Number of bands: 1 1 Per Band Status: D0 Line Attenuation (db): 13.3 Signal Attenuation (db): 8.7 Noise Margin (db): 8.6 Retransmission status: Disabled Disabled Errors Data Near End Data Far End Data HEC Fast count 0 0 HEC Slow count 0 0 CRC Fast count 0 0 CRC Slow count

61 Imola User Guide Performance Counters Rx Tx Block Count Bearer Block Count Bearer numreinit 0 numinitfailure 0 PowerOnNumReInit 0 FastLosShutDownCnt 0 NeLpr 0 Modem Status: SHOWTIME ( 2m 50s ) SIGNIFICATO DEI LED Lo stato dell'interfaccia ADSL/VDSL viene indicato mediante 1 led di colore verde, etichettato con la denominazione: Link Il led lampeggia a lenta intermittenza quando l interfaccia è pronta per stabilire una connessione. Il led lampeggia con intermittenza più elevata quando è stato instaurato il colloquio con la centrale ed è in corso la connessione. Il led rimane acceso fisso quando la connessione è stata instaurata. 61

62 Imola User Guide INTERFACCIA SHDSL CONFIGURAZIONE L interfaccia SHDSL è disponibile tramite due connettori RJ11 indicati rispettivamente come Line0 e Line1. Ognuno fornisce una banda di 2 Mbps, possono essere utilzzati contemporaneamente (4- Wire) per sostenere quindi la banda di: downstream fino a 4 Mbps upstream fino a 4 Mbps. Sono supportati fino a 4 PVC (Permanent Virtual Circuit), ed è conforme ai seguenti standard: ETSI TS (SDSL ETSI) ITU-T G.991.2, inclusi Annex A, B, F, G (G.SHDSL) ITU-T G (G.hs) IEEE 802.3ah-2004 (IEEE EFM) ANSI T1E1.4/ R6 (ATM bonding) ITU G (ATM bonding) ITU G (EFM bonding) Per attivare l'interfaccia SHDSL è disponibile il comando: set shdsl on Per disattivare l'interfaccia SHDSL è disponibile il comando: set shdsl off Per disattivare l'interfaccia SHDSL e disabilitarne la configurazione è disponibile il comando: set no-shdsl Prima di attivare l'interfaccia SHDSL è necessario eseguire alcune operazioni di configurazione, secondo le indicazioni e i valori forniti dal Provider con cui si è stipulato il contratto. Al fine di configurare il chip SHDSL in modalità ATM oppure EFM si può asserire il seguente comando: set shdsl chipmode atm efm Per configurare il tipo di Annex è disponibile il seguente comando: set shdsl annex A B B-ANFP Per configurare la modalità di funzionamento 2-Wire è disponibile il seguente comando: set shdsl line-mode 2-wire Il comando attiva la modalità 2-Wire sulla linea 0. Per configurare la modalità di funzionamento 4-Wire è disponibile il seguente comando: set shdsl line-mode 4-wire standard Per configurare il chip SHDSL come CPE oppure CO si può asserire il seguente comando: set shdsl line-term cpe co Per configurare la modalità di selezione del data rate durante la fase di sincronizzazione sono disponibili i comandi: 62

63 Imola User Guide set shdsl line-rate-type adaptive e set shdsl line-rate-type fixed Se si configura il line rate in modalità adaptive è possibile specificare un valore di margine minimo desiderato, nel seguente modo: set shdsl line-rate-type margin <value> dove <value> può essere un valore compreso tra 0db e +10b. Se non specificato, il valore di default è 0db. Se si configura il line rate in modalità fixed, è possibile specificare i valori di rate minimo e massimo, nel seguente modo: set shdsl line-rate min <value> set shdsl line-rate max <value> dove i valori di default sono rispettivamente 192 (kbit/sec) e 2034 (kbit/sec) Se non viene configurato il line-rate-type, la modalità di default è fixed. Per configurare il tipo di incapsulamento: set shdsl pvc atmx encap rfc1483-bridged rfc1483-llc Per configurare il numero ed il tipo di PVC: set shdsl pvc_number <value> set shdsl pvc atmx vpi <value> set shdsl pvc atmx vci <value> dove pvc_number può essere al massimo 4 e di conseguenza atmx dovrà essere atm0, atm1, atm2, atm3. Il valore di default di pvc_number è 1. Occorre quindi completare la configurazione di ogni PVC definito. Per abilitare le funzioni di NAT (Network Address Translation) : set shdsl pvc atm0 atm3 masquerade Per assegnare un indirizzo IP all interfaccia SHDSL: set shdsl pvc atm0 atm3 Ipaddr <value> Per assegnare un indirizzo di tipo IPv6: set shdsl pvc atm0 atm3 ipv6addr X:X::X:X/M Opzionalmente può essere richiesto di abilitare la rotta di default: set shdsl pvc atm0 atm3 default-route Un esempio di sequenza di comandi di configurazione dell'interfaccia SHDSL può essere la seguente: CPE 4-Wire standard set shdsl chipmode atm set shdsl line-mode 4-wire standard set shdsl line-term cpe set shdsl pvc atm0 encap rfc1483-llc set shdsl pvc atm0 vpi 8 set shdsl pvc atm0 vci 35 set shdsl pvc atm0 default-route set shdsl on 63

64 Imola User Guide CPE 2-Wire set shdsl chipmode atm set shdsl line-mode 2-wire set shdsl line-term cpe set shdsl pvc atm0 encap rfc1483-bridged set shdsl pvc atm0 vpi 8 set shdsl pvc atm0 vci 35 set shdsl pvc atm0 default-route set shdsl on Una volta attivata, il nome dell interfaccia logica SHDSL che identifica il PVC è: shdsl.835. VISUALIZZAZIONE È possibile visualizzare informazioni riguardanti la configurazione, i PVC, le statistiche e lo stato dell'interfaccia SHDSL. show interface shdsl statistics produce un output a video del seguente tipo: root@imola> show interface shdsl statistics 8: shdsl: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns Il comando: show interface shdsl status produce la seguente visualizzazione: root@imola> show interface shdsl status General Information Controller Chipset: Ikanos CX98102 DSL Mode: SHDSL Annex B Line Mode: Two Wire Framer Mode: ATM Line Termination: CPE Firmware Version: G119 Remote Country Code 0x00B5 (181) Remote Provider Code PNGS Remote FW Version 0x0042 (66) Line 0 Status Actual rate: Transmit Power: Receiver Gain: Loop Attenuation SNR (SQ Mean): 2312 kbps 9.5 dbm db 0.0 db db 64

65 Imola User Guide DSL Framer Status Last 1 Sec. Errors CRC Errors: 0 SEGment Anomaly Errors: 0 LOSs of Signal Errors: 0 ATM Framer Status Received Cells: 4160 Transmitted Cells: Dropped Cells: 0 HEC on Received Cells: 0 Modem Status: DATA Mode (for 10 hr, 1 min, 54 sec) E inoltre possibile visualizzare le celle oam scambiate mediante il comando show interface shdsl oam SIGNIFICATO DEI LED Nei router Imola4 lo stato dell'interfaccia viene indicato mediante 2 led di colore verde, etichettati con le seguenti denominazioni: Link, Data. L accensione del led Link indica che il modem SHDSL interno è alimentato in modo corretto e che il chip è stato correttamente inizializzato. Il led Data lampeggiante indica la fase di sincronizzazione con la centrale. Il led Data acceso fisso indica che la fase di sincronizzazione è stata effettuata con successo e che dunque il chip è pronto a gestire la trasmissione dei dati. TRIGGER SHDSL E possibile definire delle azioni da eseguire quando viene attivata e deattivata l interfaccia SHDSL, rispettivamente mediante i comandi: set trigger shdsl up <action> set trigger shdsl down <action> dove <action> può essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni viene configurata mediante una sequenza di comandi: set trigger shdsl up <action1> set trigger shdsl up <action2> set trigger shdsl up <actionn> L esecuzione delle azioni avviene secondo l ordine con cui sono stati impostati. Ad esempio mediante la sequenza di comandi: set trigger shdsl up ip route add dev atm0 set trigger shdsl up logger r SHDSL is up set trigger shdsl down ip route del dev atm0 set trigger shdsl down logger r SHDSL is down 65

66 Imola User Guide si imposta una rotta statica verso l host e si invia il messaggio di log SHDSL is up quando l interfaccia SHDSL viene attivata, mentre si elimina la rotta e si invia il messaggio di log SHDSL is down quando l interfaccia SHDSL non è operativa. Per cancellare un trigger si utilizzano i comandi: set no-trigger shdsl up <action> set no-trigger shdsl down <action> 66

67 Imola User Guide INTERFACCIA FRAME RELAY CONFIGURAZIONE Le funzioni Frame Relay di Imola sono supportate dal chipset Serocco di Infineon. Esternamente l interfaccia si presenta con una porta seriale V.35 su connettore ISO DIN Supporta fino a 8 PVC (Permanent Virtual Circuit). È conforme ai seguenti standard: Frame-Relay: ITU-T X.36 Protocolli PVC: ANSI T1 617 Annex D, ITU-T Q.933 Annex A (CCITT) Il link Frame Relay è configurabile ed attivabile mediante comandi CLI. Per attivare l'interfaccia Frame Relay è disponibile il comando: set frame-relay on Per disattivare l'interfaccia Frame Relay è disponibile il comando: set frame-relay off Per disattivare l'interfaccia Frame Relay e disabilitarne la configurazione è disponibile il comando: set no-frame-relay Prima di attivare l'interfaccia Frame Relay è necessario eseguire alcune configurazione. operazioni di Per configurare la tipologia della station: set frame-relay station dte dce il valore di default è dte. Per configurare la velocità: set frame-relay baud-rate <val> external il valore di default è external. Per configurare il tipo di Protocollo di PVC management (LMI): set frame-relay lmi-type ansi ccitt cisco none Il valore di default è ansi. Per configurare il singolo PVC: set frame-relay pvc pvcx Ipaddr <ip-value> nexthop <ip-value> set frame-relay pvc pvcx netmask <value> set frame-relay pvc pvcx dlci <value> dove pvcx dovrà essere pvc0, pvc1, pvc7. Per assegnare un indirizzo di tipo IPv6: set frame-relay pvc pvcx ipv6addr X:X::X:X/M Occorre quindi completare la configurazione di ogni PVC definito. 67

68 Imola User Guide Per abilitare le funzioni di NAT (Network Address Translation) : set frame-relay pvc pvc0 pvc7 masquerade e opzionalmente può essere richiesto di abilitare la rotta di default: set frame-relay pvc pvc0 pvc7 default-route E possibile configurare un interfacce di tipo Frame Relay in bridge con un interfaccia di LAN mediante il comando: set frame-relay pvc pvc0 bridge-with <Ethernet-ifname> È possibile attivare (o disattivare) una connessione ISDN da utilizzarsi come link di backup qualora l'interfaccia Frame Relay non sia disponibile, con il seguente comando: set backup checking-interface pvcx set trigger backup up <cmdup> set trigger backup down <cmddown> set backup on off Dove il comando <cmdup> verrà eseguito nel momento in cui il backup è attivato, e il comando <cmddown> quando il backup viene disattivato. Inoltre è possibile stabilire che la linea di backup venga attivata qualora un determinato indirizzo IP non sia raggiungibile. La verifica di raggiungibilità è effettuata mediante invio di messaggi ICMP request (ping). set backup checking-ipaddr <ipaddr> via icmp bfd through-interface pvcx set trigger backup up <cmd> set trigger backup down <cmd> Per attivare (o disattivare) il criterio configurato è disponibile il comando: set backup on off Per disabilitare una configurazione di backup dell'interfaccia Frame Relay è disponibile il comando CLI: set no-backup Un esempio di sequenza di comandi di configurazione dell'interfaccia Frame Relay può essere la seguente: set frame-relay pvc pvc0 dlci 21 set frame-relay pvc pvc0 default-route set frame-relay pvc pvc0 ipaddr nexthop set frame-relay pvc pvc0 netmask set frame-relay on VISUALIZZAZIONE È possibile visualizzare informazioni riguardanti la configurazione, i PVC, le statistiche e lo stato dell'interfaccia Frame Relay. Il comando CLI è il seguente: show interface frame-relay config pvc statistics status Ad esempio, il comando: show interface frame-relay config 68

69 Imola User Guide produce un output a video simile al seguente: root@imola> show interface frame-relay config Frame-Relay Protocol configuration: Internal clock, baud-rate: external Frame-relay station: dte Configured frame-relay Backup: no L output del comando: show interface frame-relay pvc è invece simile a: root@imola> show interface frame-relay pvc Configuration for PVC pvc0: Local IP Address: Nexthop IP Address: Default Route on here: yes Masquerade: no DLCI 16 [pvc0] Status: active,last time pvc status changed: 0:47:11 15: pvc0: <POINTOPOINT,UP> mtu 1500 qdisc noqueue link/dlci 00:10 peer 04:01 RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet peer /30 scope global pvc0 pvc1 is not defined pvc2 is not defined Configuration for PVC pvc3: Local IP Address: Nexthop IP Address: Default Route on here: no Masquerade: yes DLCI 17 [pvc3] Status: active,last time pvc status changed: 0:40:10 35: pvc3: <POINTOPOINT,UP> mtu 1500 qdisc noqueue link/dlci 00:11 peer 04:01 RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet peer /30 scope global pvc3 pvc4 is not defined pvc5 is not defined pvc6 is not defined pvc7 is not defined Il comando: show interface frame-relay statistics produce un output a video del seguente tipo: root@imola> show interface frame-relay statistics 13: hdlc0: <POINTOPOINT,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/frad RX: bytes packets errors dropped overrun mcast 69

70 Imola User Guide TX: bytes packets errors dropped carrier collsns Infine il comando: show interface frame-relay status produce la seguente visualizzazione dei parametri relativi al modem, come lo stato dei segnali, il tipo di modulazione, il baud-rate, etc. root@imola> show interface frame-relay status Mode: V.35 Clock: EXTERNAL Encoding: NRZ Parity: CRC16_PR1_CCITT Modem Status DTR: active DSR: active CTS: active Data Reception Packets: Bytes: Dropped: 8 Errors: Frame: 4 CRC: 0 Len: 0 Overflow: 4 No Space: 0 Data Transmission Packets: Bytes: Dropped: 5 Errors: XFIFO Disabled: 1 XFIFO Error: 1 PVC status for Frame Relay interface DLCI 454 [pvc0] Status: active, Last time pvc status changed: 6:54:44 70

71 Imola User Guide INTERFACCIA MOBILE CONFIGURAZIONE Imola può essere impiegato come Router tra la rete Ethernet e una rete mobile. I modelli Imola 1XX0 supportano solo connessioni GPRS, i modelli 2XX0 supportano sia connessioni EDGE, che GPRS, i modelli 3XX0 supportano sia connessioni UMTS/HSDPA che GPRS/EDGE, i modelli 4XX0 supportano connessione GPRS/EDGE/UMTS/HSDPA ed HSUPA, infine i modelli 5XX0 supportano qualsiasi tipo di connessione mobile fino ad LTE. La scelta del tipo di rete è trasparente. La configurazione viene effettuata con gli stessi comandi della sessione GPRS della CLI. Per attivare l'interfaccia mobile di Imola è disponibile il comando CLI: set gprs on Mentre per disattivare l'interfaccia GPRS può essere impiegato il comando: set gprs off Se invece si vuole disattivare l'interfaccia GPRS e disabilitarne la configurazione è disponibile il comando CLI: set no-gprs Prima di attivare l'interfaccia GPRS è necessario eseguire alcune operazioni di configurazione, secondo le indicazioni e i valori forniti dal Provider con cui si è stipulato il contratto, utilizzando i comandi CLI indicati di seguito. Configurazione dell APN: set gprs apn <value> Su modelli di router 5xxx è supportato il protocollo IPv6 su rete mobile ed è disponibile il comando: set gprs apn-type <value> dove <value> può assumere i valori: IPv4 per attivare una sessione di tipo IPv4, oppure IPv6 per attivare una sessione di tipo IPv6 oppure IPv4v6 per attivare una sessione Dual Stack IPv4-IPv6. Configurazione login e password per l'autenticazione PPP: set gprs login <value> password <value> Per attivare o disattivare una rotta di default sulla connessione GPRS: set gprs default-route set gprs no-default-route Per abilitare o disabilitare il Port Address Translation (PAT) sulla connessione GPRS: set gprs masquerade set gprs no-masquerade Nella configurazione di default la connessione GPRS rimane sempre attiva. È possibile però configurare l'interfaccia in modo da terminare la connessione dopo un certo numero di secondi di inattività, ristabilendola alla prima richiesta di trasmissione: set gprs on-demand yes no set gprs idle <value> 71

72 Imola User Guide Il parametro idle permette di definire un intervallo di tempo di inattività della sessione GPRS: se all interno di tale intervallo non viene ricevuto o trasmesso alcun pacchetto la sessione GPRS viene abbattuta e nel caso in cui non sia stata configurata in modalità on-demand, essa viene automaticamente riattivata. E possibile conteggiare l inattività della sessione della sessione solamente in base ai caratteri ricevuti, ignorando quelli trasmessi, utilizzando i comandi: set gprs idle 0 set gprs rx-idle <value> Per configurare la velocità del modem viene impiegato il comando CLI: set gprs speed <value> La velocità da selezionare nel caso di modem EDGE è , per connessioni GPRS deve essere un valore inferiore, ad esempio , mentre risulta invece ininfluente nel caso di modem UMTS/HSDPA/HSUPA. Il comando: set gprs mtu 1500 imposta il Max Transfer Unit ( i) relativo all'interfaccia GPRS. A volte alcune configurazioni di APN limitano a 1476 la dimensione dei pacchetti trasmessi, per cui in questi casi conviene utilizzare il comando: set gprs mtu 1476 Mediante i seguenti comandi: set gprs lcp-echo-interval set gprs lcp-echo-failure possiamo impostare rispettivamente la frequenza con cui vengono inviati i pacchetti lcp echo request ed il numero di tentativi da effettuare prima di abbattere l'interfaccia GPRS. L'interfaccia verrà ripristinata automaticamente, subito dopo l'abbattimento della stessa. È possibile invece negoziare i parametri DNS direttamente dal peer con il comando: set gprs usepeerdns Per impostare la modalità di autenticazione su linee GPRS (il default è l autenticazione CHAP), viene impiegato il comando: set gprs sgauth <auth_type_code> Le varie modalità di autenticazione possono essere specificate impiegando i seguenti codici: 0: nessun tipo di autenticazione 1: autenticazione PAP 2: autenticazione CHAP 3: autenticazione PAP e CHAP In caso di modello con modem UMTS/HSDPA/HSUPA per stabilire il tipo di autenticazione PAP bisogna usare il comando: set gprs directive refuse-chap Sono disponbili dei comandi che permettono di selezione il tipo di rete mobile (3G o 2G) cui collegarsi: set gprs auto-network 72

73 Imola User Guide La scelta viene affidata al modulo radio, il quale seleziona la rete migliore disponibile in quel momento, al variare della disponibilità il modem passa in maniera automatica da una rete all altra, effettuando l operazione di roaming. set gprs umts Il modem tenta di registrarsi alla rete 3G, se non riesce passa alla rete 2G. Rispetto al comando precedente, una volta selezionato un tipo di rete, il modem resta collegato ad essa fino alla disconnessione. set gprs no-umts Configura il modem per lavorare solamente sulla rete 2G. set gprs umts-only Configura il modem per lavorare solamente sulla rete 3G. set gprs lte Configura il modem per lavorare sulla rete LTE, se disponibile, altrimenti viene utilizzata la tecnologia HSPA disponibile in quella cella.. Se viene impostato tale comando è possibile specificare altre opzioni per selezionare le frequenze di lavoro o la tecnologia di accesso radio, in particolare, il comando: set gprs lte-band <value> dove i valori ammessi sono: b1, b3, b7, b8, b20, b8-900, b permette di selezionare la frequenza di lavoro sulla rete LTE, mentre il comando: set gprs selrat <value> dove <value> può essere uno dei seguenti: 2G-Only 3G-Only 2G-3G-Only LTE-Only 3G-LTE 2G-3G-LTE auto permette di specificare la tecnologia radio di accesso. È possibile attivare (o disattivare) una descrizione dell'interfaccia GPRS, che sarà restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifdescr, con i seguenti comandi: set gprs description <value> set gprs no-description Una sequenza significativa di comandi di configurazione dell'interfaccia GPRS può essere la seguente: set gprs apn ibox.tim.it set gprs login mylogin password mypasswd set gprs default-route set gprs masquerade set gprs on È possibile attivare sull'interfaccia una connessione GSM V110, anzichè GPRS, con i seguenti comandi: set gprs v110 set gprs apn <value> in questo caso l argomento <value> rappresenta il numero di telefono da chiamare. 73

74 Imola User Guide Se si configura la connessione di tipo on demand, si può stabilire quali sono i pacchetti che contribuiscono a mantenere attiva la connessione PPP (GPRS o v110) mediante il comando: set access-list dial-ppp prot <prot> port <value> from <src> to <src> descritto nel capitolo relativo alle access list. L interfaccia di rete per la sessione GPRS è di tipo PPP ed il nome ad essa assegnata è PPPX, dove X è un indice che di solito assume il valore 0 (PPP0). Allo stesso modo anche una connessione ADSL con incapsulamento di tipo PPP over ATM (PPPoA) viene indicata con PPPX. Il criterio di scelta dell indice X è funzione dell ordine di attivazione delle connessione: la prima attivata sarà PPP0 e la seconda PPP1. Nel caso in cui sullo stesso router debbano essere attive sia una connessione ADSL di tipo PPPoA che una connessione mobile (GPRS/EDGE/UMTS/HSDPA/HSUPA), per evitare indeterminazione nella scelta del nome è previsto il comando: set gprs directive unit N mediante il quale il nome dell interfaccia associata alla sessione mobile sarà sempre PPPN, riservando alla connessione ADSL il nome PPP0. Il valore di N deve essere scelto tra 1 e 9. Sui modelli 5XX0 è inoltre disponibile il comando: set gprs direct-ip il quale permette di utilizzare nativamente la connessione mobile, senza ricorrere all utilizzo del protocollo PPP. In tal caso l interfaccia mobile viene chiamata: wwan0. Su tali modelli è possibile configurare una seconda APN utilizzata contemporanemente a quella principale mediante i comandi: set gprs apn2 <apn-name> set gprs apn2-login <login-second-apn> password <password> set gprs apn2type IPv4 IPv4v6 IPv6 Nel caso si utilizzi tale comando, diventa obbligatorio impostare anche il comando: set gprs direct-ip in modo tale che il nome dell interfaccia di rete che corrisponde alla APN principale sia wwan0, mentre quello per la seconda APN sia wwan1. VISUALIZZAZIONE È possibile visualizzare informazioni riguardanti la configurazione, le statistiche e lo stato dell'interfaccia GPRS. Il comando CLI è il seguente: show interface gprs config statistics status Ad esempio, il comando show interface gprs config produce un output a video simile a: show interface gprs config statistics status root@imola> show interface gprs config Start gprs: yes APN: ibox.tim.it PPP Login: mylogin PPP Passwd: mypasswd MTU: 576 Idle Timeout:

75 Imola User Guide Masquerade: Deflt-Route: yes yes Il comando show interface gprs statistics produce un output a video simile al seguente: root@imola> show interface gprs statistics Number of gprs Connection: 1 Total Bytes Transmitted: 40 Total Bytes Received: 1517 Total Duration: 3 Il comando show interface gprs status visualizza lo stato della sessione. L outut prodotto potrebbe cambiare in funzione della tecnologia di accesso: root@imola> show interface gprs status Signal Quality: +CSQ: 17,99 Network: HSDPA/UMTS IMSI: IMEI: There is an active gprs Connection: 31: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 3 link/ppp RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet peer /32 scope global ppp0 root@imola> show interface gprs status Signal Power: CSQ = 23 => -67 dbm Network: HSDPA/UMTS vodafone IT HSDPA Category: 24 HSUPA Category: 6 Current Time: Temperature: 38 Bootup Time: 1 Mode: ONLINE System mode: WCDMA PS state: Attached WCDMA band: WCDMA 2100 WCDMA channel: GMM (PS) state: REGISTERED NORMAL SERVICE MM (CS) state: IDLE NORMAL SERVICE WCDMA L1 State:L1M_PCH_SLEEP RRC State: DISCONNECTED RX level C0: -68 LAC: 3ABB (15035) RX level C1: -106 Cell ID: 003A5837 ( ) Current Network Technology: 0,UMTS Available Network Technology: 1,UMTS Supported Network Technology: 2,GSM,GPRS,EDGE,UMTS,HSDPA/HSUPA,HSPA+,LTE IMSI: IMEI:

76 Imola User Guide Nel caso in cui venga usato il meccanismo del Dual Carrier HSPA, la riga Current Network Technology mostra: DC-HSPA+. show interface gprs status Signal Power: CSQ = 30 => -53 dbm Network: LTE I TIM HSDPA Category: 24 HSUPA Category: 6 Current Time: 2932 Temperature: 40 Bootup Time: 1 Mode: ONLINE System mode: LTE PS state: Attached LTE band: B7 LTE bw: 15 MHz LTE Rx chan: 3175 LTE Tx chan: EMM state: EMM connection: Registered Normal Service RRC Connected RSSI (dbm): -53 Tx Power: -26 RSRP (dbm): -77 TAC: 0BDF (3039) RSRQ (db): -7 Cell ID: 0493ED01 ( ) SINR (db): 30.0 Current Network Technology: 0,LTE Available Network Technology: 1,GSM,GRS,EDGE,UMTS,HSDPA,HSUPA,HSPA+,LTE Supported Network Technology: 2,GSM,GPRS,EDGE,UMTS,HSDPA/HSUPA,HSPA+,LTE IMSI: IMEI: Il livello di campo o dbm segnalato dal modem GPRS (le classiche tacche visualizzate dal telefono GSM) è visualizzato tra le informazioni riportate dal comando ed è identificabile, nell esempio sopra, dal Signal Quality: +CSQ: 17,99. Il valore del livello di campo è anche ottenibile partendo dal valore CSQ. Riferendosi all esempio precedente, il livello di campo (dbm) si ottiene mediante una semplice operazione aritmetica: CSQ*2-113 = dbm 17 * = -79 Il valore ottenuto ci servirà per capire il livello di segnale disponibile (le classiche tacche visibili sul display del cellulare): dbm # tacche -105 to to to to > Il valore CSQ 99,0 indica un livello di segnale non disponibile (il modem non è connesso alla rete. 76

77 Imola User Guide Mediante l attivazione del meccanismo di log di sistema è possibile verificare eventuali problemi di attivazione del link. Per attivare i log di sistema utilizzare i comandi descritti nell apposito capitolo. Di seguito sono riportate 2 sezioni di messaggi di log relativi ad una sessione attivata in modo corretto e ad una sessione non attivata (APN errato): root@imola> set gprs on root@imola> show log Jan 1 04:47:25 localhost GPRS[13375]: Trying Speed Jan 1 04:47:25 localhost GPRS[13375]: Modem OK Jan 1 04:47:31 localhost pppd[13380]: pppd started by root, uid 0 Jan 1 04:47:38 localhost pppd[13380]: Serial connection established. Jan 1 04:47:38 localhost pppd[13380]: Using interface ppp0 Jan 1 04:47:38 localhost pppd[13380]: Connect: ppp0 <--> /dev/ttys1 Jan 1 04:47:38 localhost pppd[13380]: Remote message: TTP Com PPP - Password Verified OK Jan 1 04:47:39 localhost pppd[13380]: local IP address Jan 1 04:47:39 localhost pppd[13380]: remote IP address root@imola> set gprs on root@imola> set log Jan 1 04:47:25 localhost GPRS[13375]: Trying Speed Jan 1 04:47:25 localhost GPRS[13375]: Modem OK Jan 1 04:47:31 localhost pppd[13380]: pppd started by root, uid 0 Jan 1 04:47:38 localhost pppd[13380]: Serial connection established.jan 1 05:03:07 localhost pppd[14236]: Using interface ppp0 Jan 1 05:03:07 localhost pppd[14236]: Connect: ppp0 <--> /dev/ttys1 Jan 1 05:03:08 localhost pppd[14236]: Remote message: TTP Com PPP - Password Verified OK Jan 1 05:03:17 localhost pppd[14236]: Terminating on signal 15. Jan 1 05:03:17 localhost pppd[14236]: Connection terminated. Jan 1 05:03:18 localhost pppd[14236]: Exit. E possibile tracciare tutta la sequenza di attivazione del protocollo PPP specificando l opzione: set gprs debug In questo caso la sequenza di messaggi di log contiene maggiori dettagli relativamente alla fase di negoziazione dei parametri: root@imola> set gprs on root@imola> show log Dec 2 07:17:11 MR-Coach287-8 root: GPRS - Power On Modem.. Dec 2 07:17:21 MR-Coach287-8 GPRS[22884]: Trying Port /dev/ttyusb0 Dec 2 07:17:22 MR-Coach287-8 GPRS[22884]: Modem OK Dec 2 07:17:31 MR-Coach287-8 root: GPRS - Trying Auto Network Dec 2 07:17:31 MR-Coach287-8 root: GPRS - Verify Network Registration Dec 2 07:17:32 MR-Coach287-8 root: AT+CREG? Dec 2 07:17:32 MR-Coach287-8 root: +CREG: 0,1 Dec 2 07:17:32 MR-Coach287-8 root: OK Dec 2 07:17:32 MR-Coach287-8 root: AT+CSQ Dec 2 07:17:32 MR-Coach287-8 root: +CSQ: 6,0 Dec 2 07:17:32 MR-Coach287-8 root: OK Dec 2 07:17:32 MR-Coach287-8 root: GPRS - Network Registered Dec 2 07:17:33 MR-Coach287-8 pppd[23130]: pppd started by Tiesse Dec 2 07:17:34 MR-Coach287-8 chat[23132]: send (AT+CGDCONT=1,"IP","ibox.tim.it Dec 2 07:17:34 MR-Coach287-8 chat[23132]: AT+CGDCONT=1,"IP","intrainwifi.tim.it Dec 2 07:17:34 MR-Coach287-8 chat[23132]: send (AT+CGATT=1^M) 77

78 Imola User Guide Dec 2 07:17:34 MR-Coach287-8 chat[23132]: send (ATD*99***1#^M) Dec 2 07:17:34 MR-Coach287-8 chat[23132]: CONNECT sent [LCP ConfReq id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4>.. rcvd [LCP ConfReq id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910>.. sent [LCP ConfAck id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910>.. rcvd [LCP ConfAck id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4> <pcomp>.. sent [LCP EchoReq id=0x0 magic=0xe2270bc4] rcvd [LCP DiscReq id=0x1 magic=0x6d503910] rcvd [CHAP Challenge id=0x1 <e4c6aed f211d325443a3f44>, name =.. sent [CHAP Response id=0x1 <9fabe2d692114fc609f6d c16>, name = ".. rcvd [LCP EchoRep id=0x0 magic=0x6d f2 11 d3] rcvd [CHAP Success id=0x1 ""] CHAP authentication succeeded sent [IPCP ConfReq id=0x4 <compress VJ 0f 01> <addr >] rcvd [IPCP ConfReq id=0x0] sent [IPCP ConfNak id=0x0 <addr >] rcvd [IPCP ConfRej id=0x4 <compress VJ 0f 01>] sent [IPCP ConfReq id=0x5 <addr >] rcvd [IPCP ConfReq id=0x1] sent [IPCP ConfAck id=0x1] rcvd [IPCP ConfNak id=0x5 <addr >] sent [IPCP ConfReq id=0x6 <addr >] rcvd [IPCP ConfAck id=0x6 <addr >] Could not determine remote IP address: defaulting to local IP address remote IP address SIGNIFICATO DEI LED Per indicare lo stato dell'interfaccia GPRS sono stati impiegati tre led verdi. La loro denominazione è la seguente: Pw, Link e Data. L accensione del led Pw indica che il modem interno è alimentato in modo corretto. Nel caso di modem GPRS oppure Edge (modelli 1xx0 e 2xx0), il led Link indica lo stato della connessione alla rete: il lampeggio ad intermittenza lenta (un'accensione ogni 1-2 secondi) indica la corretta connessione alla rete un lampeggio ad intermittenza più veloce indica la fase di connessione alla rete l accensione permanente serve ad a indicare che la connessione attiva è di tipo GSM Il led Data viene impiegato per indicare che è attiva una sessione PPP. Nel caso di modem HSDPA/UMTS (modelli 3xx0) il led Link è acceso fisso in caso di corretta connessione alla rete. TRIGGER GPRS E possibile definire delle azioni da eseguire quando viene attivata e deattivata l interfaccia GPRS, rispettivamente mediante i comandi: set trigger gprs up <action> 78

79 Imola User Guide set trigger gprs down <action> dove <action> può essere un qualsiasi comando CLI supportato da Imola. Una sequenza di azioni viene configurata mediante una sequenza di comandi: set trigger gprs up <action1> set trigger gprs up <action2> set trigger gprs up <actionn> L esecuzione delle azioni avviene secondo l ordine con cui sono stati impostate. Ad esempio mediante la sequenza di comandi: set trigger gprs up ip route add dev ppp0 set trigger gprs up logger r adsl is up set trigger gprs up hello set trigger gprs down ip route del dev ppp0 set trigger gprs down logger r adsl is down si imposta una rotta statica verso l host e si invia il messaggio di log GPRS is up. Inoltre viene eseguito il comando hello con argomenti un indirizzo IP ed una porta. Il comando hello manda verso l indirizzo e la porta specificati un messaggio contenente l indirizzo IP dell interfaccia GPRS, l hostname ed il serial number. Si elimina la rotta e si invia il messaggio di log GPRS is down quando la sessione GPRS viene terminata. Per cancellare un trigger si utilizzano i comandi: set no-trigger gprs up <action> set no-trigger gprs down <action> CONTROLLO DI TRAFFICO È possibile configurare il router in modo da effettuare il controllo del traffico in ingresso ed in uscita sull'interfaccia GPRS. In particolare si può configurare un valore di soglia ed innescare degli eventi quando il traffico in una data unità di tempo è superiore od inferiore a tale soglia. set gprs traffic-control input-threshold <N> Il valore N è espresso in byte e rappresenta il valore di soglia per il traffico in ingresso. set gprs traffic-control output-threshold <N> Il valore N è espresso in byte e rappresenta il valore di soglia per il traffico in uscita. set gprs traffic-control timer-unit <N> Il valore N è espresso in secondi e rappresenta la frequenza con cui viene effettuato il controllo. set gprs traffic-control mode or and Definisce se il controllo del traffico è relativo alla soglia di ingresso e a quella di uscita, oppure alla soglia di ingresso o a quella di uscita. set gprs traffic-control prewait <N> Rappresenta un valore in secondi di attesa prima di iniziare il controllo del traffico. set gprs traffic-control on off Attiva/disattiva il controllo del traffico. 79

80 Imola User Guide Tipicamente i comandi si usano in concomitanza con set trigger GPRS -tc. Il seguente esempio ne chiarisce l'utilizzo. set gprs traffic-control input-threshold set gprs traffic-control output-threshold set gprs traffic-control mode or set gprs traffic-control timer-unit 60 set trigger gprs-tc up logger -h GPRS Traffic is too High set trigger gprs-tc down logger -h GPRS Traffic is at normal rate set trigger gprs up set gprs traffic-control on set trigger gprs down set gprs traffic-control off Il controllo del traffico viene attivato contestualmente all'attivazione della sessione GPRS e disattivato quando termina la sessione. Si imposta un valore di soglia di 10K per il traffico in ingresso ed un valore di 20K per il traffico in uscita. Il controllo di effettua ogni 60 secondi. Se in 60 secondi il traffico in ingresso oppure quello in uscita supera il valore di soglia impostato viene eseguito il comando specificato dal trigger set gprs-tc up, che invia un messaggio di log verso un determinato Host. Viceversa, se in 60 secondi il traffico è inferiore ai valori di soglia viene eseguito il comando specificato dal trigger set trigger gprs-tc down. CONTROLLO SESSIONE GPRS E possibile applicare una serie di comandi su Imola per effettuare il controllo sulla sessione GPRS. Tramite le funzioni di rtr si invia un ping periodico (15 secondi) verso un IP specifico; impostando il valore rx-idle a 120 secondi, la sessione GPRS si riattiva in caso di mancata risposta dall indirizzo IP. Di seguito un esempio: set gprs idle 0 set gprs rx-idle 120 set rtr type ipicmpecho dst-addr <ip_addr> set rtr frequency 15 set rtr timeout 2000 set rtr lifetime 0 set rtr start-time immediately set trigger gprs up set rtr on set trigger gprs down set rtr off Un altro metodo possibile è l utilizzo del comando bfdping, utile qualora non si ha a disposizione alcun indirizzo IP cui mandare i pacchetti di tipo ICMP: set gprs idle 0 set gprs rx-idle 120 set trigger timer-tick bfdping i ppp0 set trigger gprs up set timer-tick 15 set trigger gprs down set no-timer-tick Ogni qualvolta che si attiva la sessione GPRS, viene fatto partire un timer periodico di 15 secondi, allo scadere del quale si esegue il comando bfdping. Questo comando forza la 80

81 Imola User Guide trasmissione sulla rete GPRS di un pacchetto UDP avente come indirizzo destinatario l indirizzo associato all interfaccia GPRS, quindi il primo router della rete (il primo hop) è obbligato a rimandarlo indietro. La mancata ricezione di tale pacchetto causa il timeout della sessione GPRS (rxidle 120), e la conseguente riattivazione. Infine il comando gprs-keep-alive consente di effettuare dei ping verso l'indirizzo associato all'interfaccia GPRS ad intervalli regolari e configurabili, per controllare il collegamento. set trigger gprs up gprs-keep-alive [-k <Freq_sec>] Il parametro -k <freq_sec> è opzionale; se omesso, si assume il valore di default è 60 secondi. Ogni qualvolta si attiva la sessione GPRS questo comando forza la trasmissione di un pacchetto UDP avente come destinazione l indirizzo associato all interfaccia GPRS. La mancata risposta causa il timeout della sessione GPRS e la conseguente riattivazione. VERIFICA SESSIONE GPRS La verifica della sessione GPRS ci permette di attivare una connessione, utilizzando i parametri impostati mediante i comandi set gprs 8, senza innescare gli effetti collaterali dei trigger. gprs ping <ip-address> attiva una connessione GPRS ed esegue una serie di ping verso l'ip specificato senza l'intervento dei trigger GPRS up e GPRS down. Un esempio di utilizzo ed output del comando, in caso di esito positivo, sono visibili nella seguente figura: root@imola> gprsping Starting GPRS Ping... This will take some time, please wait... PING ( ) from ppp9: 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=249 time=1.224 sec 64 bytes from : icmp_seq=1 ttl=249 time= msec 64 bytes from : icmp_seq=2 ttl=249 time= msec 64 bytes from : icmp_seq=3 ttl=249 time= msec 64 bytes from : icmp_seq=4 ttl=249 time= msec 64 bytes from : icmp_seq=5 ttl=249 time= msec 64 bytes from : icmp_seq=6 ttl=249 time= msec 64 bytes from : icmp_seq=7 ttl=249 time= msec 64 bytes from : icmp_seq=8 ttl=249 time= msec 64 bytes from : icmp_seq=9 ttl=249 time= msec ping statistics packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/mdev = / / / ms GPRS Test Successfully Completed Nel caso di esito negativo: root@imola> gprsping Starting GPRS Ping... This will take some time, please wait... 8 Tranne che per i modelli 2xxx è consigliato l'inserimento del comando set gprs pwroff-modem nell'impostazione dei parametri del GPRS per una corretta esecuzione del comando gprsping. 81

82 Imola User Guide PING ( ) from ppp9: 56(84) bytes of data ping statistics packets transmitted, 0 packets received, 100% packet loss GPRS Test Successfully Completed RACCOLTA DATI DI TRAFFICO E possibile conteggiare i dati di traffico della sessione GPRS ed inviarli periodicamente verso un server remoto affinché questi vengano memorizzati. Il comando da utilizzare è: dove: gather_stats i <ifname> -h <rem-host> -p <rem-port> -n <interval> -i specifica l interfaccia della sessione GPRS. Il valore di default è Ppp0. -h specifica l indirizzo IP del server cui mandare i messaggi. -p specifica il valore della porta sull host remoto -n specifica l intervallo in secondi di invio dei contatori di traffico. Il valore di default è 900 secondi. Se vengono omessi sia l host remoto che il valore della porta allora i dati vengono inviati come un messaggio di syslog, quindi possono essere letti o localmente sul router stesso oppure sul server remoto di syslog, in base alla configurazione del servizio di log sul router. Il messaggio inviato ha il seguente formato: TS800,00:0d:5a:07:01:13,IMOLA@ ,449598,63720,449598,63720 Dove sono contenuti i seguenti campi separati dal carattere virgola: testata fissa del messaggio (TS800) MAC Address del router Hostname@Indirizzo IP Numero di caratteri ricevuti nell ultimo intervallo Numero di caratteri trasmessi nell ultimo intervallo Numero di caratteri ricevuti da quando il router è stato acceso Numero di caratteri trasmessi da quando il router è stato acceso E possibile consultare gli ultimi dati raccolti mediante il comando: show gathered-stats Ad esempio: root@imola> show gathered-stats Traffic in the last interval (900 sec): bytes tx=38469, bytes rx=37800 Traffic since startup (77400 sec ago): bytes tx= , bytes rx= La prima riga contiene i dati trasmessi e ricevuti nell ultimo intervallo di rilevazione e la seconda contiene i dati trasmessi e ricevuti dall accensione del router. 82

83 Imola User Guide GESTIONE SMS Il pacchetto Tiesse SMS gestisce tutte le operazioni legate all'invio ed alla ricezione di Short Text Messages da parte di un router Tiesse dotato di interfaccia di connessione Mobile. Mediante tale software è, in sintesi, possibile compiere le seguenti operazioni: Inviare dal router messaggi di testo ad un destinatario o a più destinatari contemporaneamente Ricevere semplici messaggi di testo e visualizzarne il contenuto Gestire i messaggi ricevuti contenenti comandi di sistema ed effettuare l'esecuzione delle istruzioni in esso contenuta, fornendo eventualmente in risposta anche l'output dei comandi eseguiti Il software di gestione SMS si avvale in sintesi dei seguenti comandi: set sms delay-time {seconds} set sms no-delay-time set sms password {password} set sms no-password set sms reply set sms no-reply set sms pin {PIN} set sms no-pin set sms helper-number {NUMBER1[,NUMBER2[,NUMBER3[,...]]]} set sms no-helper-number set sms [on off] Con il parametro set sms delay-time si imposta il periodo di controllo (in secondi), con cui il modem esegue il controllo dei messaggi in arrivo ed effettua l'invio di quelli ancora presenti nella coda di uscita. Con il comando set sms password {password} si stabilisce che i comandi inviati via SMS ad Imola, vengano autenticati con la password fornita come argomento, al fine di autorizzarne l'esecuzione. Ad esempio, supponendo di aver configurato la messaggistica SMS prevedendo la password esemplificativa "TIESSE" per autenticare i comandi: set sms password TIESSE e volendo avviare il modem da remoto mediante il comando CLI: set gprs on si dovrà inviare al numero telefonico della SIM presente a bordo del router un SMS contenente il testo: TIESSE set gprs on Tutti i comandi preceduti da prefisso diverso dalla password considerata (o non preceduti da alcun prefisso) verranno scartati, in quanto l'autenticazione fallisce. Con il comando set sms reply 83

84 Imola User Guide si configura il router affinchè, alla ricezione di un SMS di comandi Tiesse CLI, esso fornisca anche risposta dell'eventuale output dello stesso al mittente. Come esempio, supponiamo di aver configurato la messaggistica SMS con password "TIESSE" e supponiamo di aver configurato il router col comando in analisi set sms reply. Se si vuole ricevere da remoto informazioni riguardo allo stato dell'interfaccia Mobile, è sufficiente inviare al router un SMS contenente il comando CLI: TIESSE show interface gprs status Dopo il tempo necessario al router per ricevere il messaggio ed elaborarne il contenuto, verrà inviato al mittente un SMS contenente un output del seguente tipo: root@lte> show interface gprs status Signal Power: CSQ = 13 => -87 dbm Network: HSDPA/UMTS I TIM HSDPA Category: 24 HSUPA Category: 6 Current Time: Temperature: 33 Bootup Time: 1 Mode: ONLINE System mode: WCDMA PS state: Attached WCDMA band: WCDMA 2100 WCDMA channel: GMM (PS) state:registered NORMAL SERVICE MM (CS) state: IDLE NORMAL SERVICE WCDMA L1 State:L1M_PCH_SLEEP LAC: EEB5 (61109) RRC State: DISCONNECTED Cell ID: A ( ) RxM RSSI C0: -89 RxD RSSI C0: -106 RxM RSSI C1: -106 RxD RSSI C1: -106 Current Netwrk Technology: 0,HSDPA/HSUPA Available Netwrk Technology: 1,UMTS,HSDPA/HSUPA Supported Netwrk Technology: 2,GSM,GPRS,EDGE,UMTS,HSDPA/HSUPA,HSPA+,LTE HSDPA/UMTS I TIM GPRS subsystem is not active on this system. set sms pin {PIN} Permette di inviare e/o riceve SMS dal router anche quando la scheda SIM inserita è ancora dotata di codice PIN a bordo. Grazie a questo comando infatti, il tool di messaggistica è in grado di inserire il PIN ad ogni richiesta proveniente dal modem, all'apertura di ogni connessione ad esso allo scopo della lettura o dell'invio di messaggi. set sms helper-number {NUMBER1[,NUMBER2[,NUMBER3[,...]]]} Permette girare in forward ogni messaggio ricevuto dal router ad uno o più numeri telefonici destinatari specificati nell'argomento. In caso di inserimento di numeri telefonici multipli, questi devono essere specificati separati da virgola e senza spazi tra loro. Inoltre un numero telefonico deve essere rigorosamente specificato con il prefisso Country Code (con o senza il carattere + iniziale). Ad esempio, per l'invio dell'sms in forward a due numeri telefonici di rete mobile e , il comando di helper da inserire è: set sms helper-number , oppure: 84

85 Imola User Guide set sms helper-number , Infine, per attivare il servizio di messaggistica con la parametrizzazione appena introdotta, è opportuno lanciare il comando CLI: set sms on Una volta correttamente impostato ed attivato il servizio, possono essere inviati messaggi dal router, con il comando: sens-sms -d {NUMBER1[,NUMBER2[,NUMBER3[,...]]]} {TEXT_MESSAGE} E' possibile l'invio di un messaggio di test a numeri telefonici multipli, purchè questi vengano specificati separati da virgola e senza spazi tra loro. Inoltre un numero telefonico deve essere rigorosamente specificato con il prefisso Country Code (con o senza il carattere + iniziale). Ad esempio, per l'invio dell'sms forward a due numeri telefonici di rete mobile e , il comando di helper da inserire è: send-sms -d , ESEMPIO DI MESSAGGIO DI TESTO Per inviare messaggi in determinate fasi del funzionamento del router o per sollevare l'invio di SMS al verificarsi di determinati eventi (si vedano le sezioni relative alla programmazione dei triggers legati alle varie interfacce e/o servizi del router), è possibile eseguire il lancio di comandi di invio SMS, associando gli stessi ai trigger più opportuni in relazione alle circostanze di esecuzione. Esempio 1: Si è attivato il modem Mobile e voglio ricevere informazioni via SMS relativamente al momento in cui il modem va in connessione, oppure va in stand-by; si possono in questo caso utilizzare comandi simili ai seguenti: set trigger gprs up send-sms -d Customer Alfa Romeo Arese Viale Alfa Romeo TGU Mobile Interface just connected set trigger gprs down send-sms -d Customer Alfa Romeo Arese Viale Alfa Romeo TGU Mobile Interface in stand-by now Esempio 2: Il router e' configurato come Backup di un primario ed esegue un protocollo VRRP per assistere la rete cliente. Nel caso in cui il VRRP elegge il router al ruolo di master, può essere inviata segnalazione SMS per avvertire della circostanza: set trigger vrrp up send-sms -d Customer Olivetti Via Jervis TGU Site Running with BACKUP ROUTER set trigger vrrp down send-sms -d Customer Olivetti Via Jervis TGU Site came back to PRIMARY ROUTER Esempio 3: Si vuole avvertire che il router ha appena terminato il boot a seguito di un riavvio: set autocmd send-sms -d Customer Innocenti Lambrate MI TGU ROUTER JUST REBOOTED Il servizio di messagistica offre infine anche un'interfaccia per la lettura di SMS di testo convenzionale, con cui viene inteso tutto l'insieme di quei messaggi non contenenti comandi eseguibili da parte del router. E' possibile infatti leggere messaggi ricevuti dal modem mediante i seguenti comandi: Visualizzare gli SMS ancora non letti: show sms new Visualizzare gli SMS già letti: show sms read Visualizzare tutti gli SMS: show sms all Ad esempio, con show sms all visualizziamo tutti gli sms ricevuti dal router ed avremo un output simile al seguente: 85

86 Imola User Guide From: From_SMSC: Sent: :48:59 Received: :07:23 IMSI: Length: 57 Text Message: Comunicazione Servizio Dirigersi Settore A Appena Possibile Press Enter to continue From: From_SMSC: Sent: :48:59 Received: :07:23 IMSI: Length: 36 Text Message: Inviare SMS di conferma appena fatto Press Enter to continue... NOTIFICA CONNESSIONE MOBILE: COMANDO HELLO E possibile inviare un messaggio contentente alcune informazioni utili relative alla sessione mobile verso un server remoto affinchè questi vengano memorizzati. Il comando da utilizzare è: dove: hello <rem-host> <rem-port> <rem-host> specifica l indirizzo ip del server cui mandare i messaggi. <rem-port> specifica il valore della porta sull host remoto Il messaggio inviato ha il seguente formato: 00:0d:5a:07:01:13, , ,6 CSQ (-101 dbm), HSDPA I TIM, IMOLA@ Dove sono contenuti i seguenti campi separati dal carattere virgola: MAC Address del router IMSI della SIM Card usata dal Router IMEI del Router Valore CSQ (6) e traduzione in dbm (-101) Tipo di rete (HSDPA) ed operatore cui il router è collegato (TIM) Hostname@Indirizzo IP del router E possibile inviare periodicamente tale messaggio specificando la sequenza di comandi: 86

87 Imola User Guide set timer-tick 600 set trigger timer-tick hello Il messaggio viene inviato mediante un pacchetto UDP. Se come porta di destinazione si specifa il valore 514 (syslog ) e sul sistema specificato è attivo il servizio di syslog server, allora i dati inviati saranno raccolti direttamente da questo. INTERROGAZIONE DIRETTA DEL MODEM: COMANDO GPRSAT E possibile utilizzare un comando che interroga direttamente il modem mobile e restituisce informazioni di stato utili alla diagnosi. Il comando da utilizzare è: gprs at <comando AT>, il quale invia al modem delle direttive secondo il formalismo AT e ne visualizza il risultato. La lista dei comandi disponibili è contenuta in un manuale separato. Normalmente tutti i comandi visualizzano la stringa OK se il modem funziona correttamente ed ERROR in caso di guasto. Comandi comuni Verifica che il modem sia operativo: root@imola> gprsat at at OK Qualora non si ottenga la stringa OK come risposta, provare ad effettuare un reset del modem utilizzando i comandi9: gprs --poweroff gprs --poweron e quindi riprovare il comando gprsat at. Informazioni sul modem: root@imola> gprsat ati Manufacturer: SIMCOM INCORPORATED Model: SIMCOM_SIM5218A Revision: SIM5218A_240065_090911_V1.16 QCN: IMEI: GCAP: +CGSM,+DS,+ES OK 9 Il comando gprs --poweroff deve essere eseguito con la sessione mobile non attiva (set gprs off) 87

88 Imola User Guide Visualizza il segnale disponibile: gprsat AT+CSQ AT+CSQ +CSQ: 6,0 OK Il valore in dbm del segnale si ottiene ricorrendo alla formula 2 * CSQ 113. Ricerca operatori disponibili: root@imola> gprsat at+cops? 10 AT+COPS? +COPS: 0,0,"I TIM",2 OK Verifica se il modem è registrato sulla rete mobile: root@imola> gprsat AT+CREG? AT+CREG? +CREG: 0,1 OK Il valore +CREG:0,1 indica che il modem è correttamente registrato sulla rete. Verifica che il modem sia collegato alla APN mobile: root@imola> gprsat AT+CGATT? AT+CGATT? +CGATT: 1 OK Il valore +CGATT: 1 indica che il modem è collegato alla APN. Lettura dell IMSI: root@imola> gprsat AT+CIMI AT+CIMI OK Lettura delle Informazioni sulla Location: root@imiola> gprsat AT+CPSI? AT+CPSI? +CPSI: WCDMA,Online,222-01,0xEEB2, ,WCDMA IMT 2000,334,10638,0,16,103,16,12 OK 10 Su alcune release di software per utilizzare il carattere? (punto interrogativo) bisogna digitare prima la sequenza CTRL+V 88

89 Imola User Guide DOPPIA SIM DATI Alcuni modelli di router potrebbero essere equipaggiati con una doppia SIM dati: oltre alla SIM interna al router, è disponibile un alloggiamento per una seconda SIM accessibile dall esterno. La SIM interna è detta Primary-SIM, mentre quella esterna è detta Secondary-SIM. Il loro utilizzo è mutuamente esclusivo ed è regolato dalle seguenti regole: di default viene sempre utilizzata la SIM all interno del router (Primary-SIM) specificando i comandi: set gprs secondary-sim set gprs secondary-apn <myapn2> viene usata sempre la SIM esterna collegandosi all APN myapn2. specificando i comandi: set gprs primary-sim set gprs-primary-apn <myapn1> set gprs secondary-sim set gprs secondary-apn <myapn2> Il comando: viene usata la prima SIM come collegamento primario all APN myapn1. Tuttavia se per 3 volte consecute fallisca la registrazione su tale APN, allora si passa ad utilizzare la seconda SIM sull APN myapn2. set gprs no-secondary-sim disabilita l uso della seconda SIM. Analogamente il comando: set gprs no-primary-sim disabilita il meccanismo di selezione tra le due SIM utilizzando quella di default. SBLOCCO SIM Le funzioni di attivazione della sessione mobile richiedono che la SIM inserita sia senza il codice PIN. Qualora tale codice sia impostato, è possibile disattivarlo mediante il comando: unlock-sim Tale comando eseguito senza argomenti verifica la presenza o meno del codice PIN. Ad esempio, se il PIN non è presente, il risultato del comando è: root@imola> unlock-sim AT+CPIN? +CPIN: READY OK per cui il modulo GPRS può essere tranquillamento attivato. Se invece esso visualizza: root@imola> unlock-sim 89

90 Imola User Guide AT+CPIN? +CPIN: PIN OK Allora occorre inserire eseguire il comando specificando il PIN come argomento: unlock-sim 1234 Affinché il comando abbia effetto è necessario che il modem sia operativo, in caso contrario il comando non darà alcun output. Per portare il modem nella sua condizione di operatività si deve utilizzare i comando gprs poweroff descritto nella sezione "Verifica che il modem sia operativo" contenuta nel paragrafo "Interrogazione diretta tramite comandi AT". LETTURA IMSI ED IMEI Il comando show interface gprs status oltre ai dati di funzionamento della sessione mobile, visualizza anche il codice IMEI associato al modem e il codice IMSI associato alla SIM presente. In alternativa, queste informazioni possono essere recuperate rispettivamente mediante i comandi: root@imola> gprsat at+cgsn AT+CGSN root@ipv6-dte> gprsat AT+CIMI AT+CIMI

91 Imola User Guide INTERFACCIA WI-FI CONFIGURAZIONE La connessione WI-FI è disponibile tramite un modulo che supporta gli standard a/b/g che permette al router di svolgere le funzioni di Access Point. E possibile configurare al massimo 8 Access Point (wlan0.. wlan7) sulla stessa interfaccia radio. Per attivare l interfaccia radio e tutte le wlan abilitate è disponibile il comando: set wifi on Per attivare la singola interfaccia wlanx possiamo usare il comando: set wifi wlanx on Analogamente per la disattivazione: set wifi off o, nel caso di singola wlanx set wifi wlanx off. Per disattivare ed eliminare la configurazione di tutte le interfacce wlan e dell interfaccia radio set no-wifi Per agire sulle singole interfacce wlan: set wifi no-wlanx La configurazione del servizio può essere divisa in due sezioni: Interfaccia radio, impostazione del canale e della modalità di trasmissione: set wifi channel [1,,13] set wifi hw_mode [a,b,g] Interfaccia Logica, denominata wlanx - setup di tutti i parametri relativi agli SSID: o ruolo: set wifi wlanx mode ap o stringa identificativa (ESSID) : o o o set wifi wlanx essid <stringa> mascheramento dell ESSID (il valore di default è no ): set wifi wlanx hide_ssid [yes no] indirizzo IP: IPv4 - set wifi wlanx ipaddr A.B.C.D netmask M.N.F.G IPv6 - set wifi wlanx ipv6addr IPV6ADDRESS crittografia: set wifi wlanx encryp [open wpa-psk] In funzione della crittografia scelta possiamo inserire altri parametri. Se la crittografia è: open: la rete WI-FI è aperta cioè non richiede di autorizzazione: set wifi wlanx encryp open wpa-psk: la rete è chiusa cioè richiede Autorizzazione tramite Pre-Shared-Key. set wifi wlanx encryp wpa-psk version [1 2] [crypted-password password] <STRINGA> 91

92 Imola User Guide wep: la rete è chiusa cioè ha bisogno di Autorizzazione tramite Pre-Shared-Key. set wifi wlanx encryp wep [crypted-password password] <STRINGA> Tutti i parametri valorizzati sono utilizzabili se la wlan d'interesse è abilitata tramite il comando: set wifi wlanx enable [ yes no] il valore di default è no. Altro meccanismo utile al controllo degli accessi è l identificazione tramite MAC address. Per abilitare il funzionamento usiamo il comando: set wifi wlanx mac-filter enable yes mentre per disabilitarlo: set wifi wlanx mac-filter enable no Dopo aver abilitato il Mac Filter, possiamo inserire o togliere i MAC address con la seguente sintassi: set wifi wlanx mac-filter add <MACADDRESS> set wifi wlanx mac-filter del <MACADDRESS> E possibile configurare il Bridge diretto dei pacchetti WI-FI su un altra interfaccia usando il comando: set wifi wlanx bridge-with <IFName> Per ripristinare il funzionamento classico: set wifi wlanx no-bridge-with [<IFName>] Sull'interfaccia wlanx possiamo configurare il DHCP server mediante i comandi 11 : set dhcp-server Il funzionamento dell interfaccia è controllato tramite i comandi di debug. set wifi wlanx debug-level [ ] I possibili livelli sono: 0 warning ; 1 notification ; 2 messages ; 3 debugging ; 4 verbose. Per completare la gestione dell interfaccia WI-FI abbiamo due comandi dinamici per: de-autenticare e disassociare un client. wifi wlanx deauthenticate <MAC-ADDRESS> wifi wlanx disassociate <MAC-ADDRESS> L'ispezione dell'interfaccia WI-FI è eseguita digitando: Dove: show interface wifi ([all] [wlanx]) ([statistics] [status]) all - fornisce le informazioni di tutte le wlan abilitate statistics - visualizza lo stato delle interfacce status - visualizza lo stato delle interfacce e delle station connesse 11 Per maggiori dettagli si consulti la sezione DHCP, tenendo presente che il nome dell interfaccia WI-FI considerata è wlanx 92

93 Imola User Guide INTERFACCIA RS232 INTRODUZIONE In alternativa allo switch LAN di 5 porte, Imola può essere equipaggiato con 4 oppure 8 porte seriali con connettore RJ45. Ad esempio la versione LX (Imola 0800 LX) con 8 porte: In tal caso viene anche chiamato Imola TSE ed offre le funzioni di Terminal server: uno o più dispositivi collegati alle porte seriali di Imola possono accedere alla rete IP e viceversa è possibile scambiare dati con terminali seriali semplicemente inviando dati sulla rete IP. Le principali applicazioni di Imola TSE sono: Concentrazione di POS seriali con relativa conversione dei dati per trasportali su rete TCP/IP Funzioni di Reverse Telnet Concentrazioni di terminali X.28 e relativa conversione dei dati per trasportarli su rete TCP/IP Funzioni di Modbus Gateway per consentire la gestione di dispositivi PLC attraverso la rete TCP/IP Nel caso specifico di terminali POS, è possibile attivare delle funzioni utili per ottimizzare le risorse di rete, come ad esempio l impiego del protocollo X.28 oppure la possibilità di inviare i dati verso un gruppo di Host. CONFIGURAZIONE Nella sua configurazione di fabbrica Imola TSE è configurato in modo tale che ad ogni porta seriale sia associato un socket TCP/IP, secondo il seguente schema: Porta Seriale Socket TCP I dati ricevuti sul socket vengono inviati quindi sulla porta seriale corrispondente e viceversa, secondo la modalità di Reverse Telnet. Qualora dalle porte seriali vengano ricevuti dei dati, ma nessun applicativo ha effettuato la connessione alla porta socket corrispondente, questi sono inviati ad un indirizzo IP e porta configurabile. Con l obiettivo di ottimizzare la comunicazione, è possibile abilitare l utilizzo di protocolli di comunicazione specifici dei terminali collegati. In questa sezione vengono descritti i comandi di 93

94 Imola User Guide utilizzo generale, indipendenti dal tipo di protocollo utilizzato. Documenti specifici trattano le applicazioni specifiche. Quelle fondamentali supportate sono: Gestione di terminali POS rs232 nativi Gestione di terminali che utilizzano il protocollo X.28 Protocollo modbus per dispositivi PLC Protocollo AWP per dispositivi Comma6 Transparent: i dati vengono inviati senza alcuna elaborazione. Nella configurazione di fabbrica, Imola supporta la modalità transparent (utile per le applicazioni di Reverse Telnet) e il protocollo X.28. I parametri di configurazione principali sono: set rs232-protocol modbus/transparent/pos/awp Specifica il tipo di protocollo utilizzato sulla porta seriale. Di default è transparent, utile per le applicazioni di tipo Reverse Telnet. Nel caso in cui viene specificato il valore POS, sono riconosciuti i protocolli HGEPOS per i pos in banda magnetica e ISO 8583 per i POS a micro circuito. set rs232 tty-server-port <port> Configura la porta socket su cui ricevere i dati da Host. In particolare i dati ricevuti sul socket <port> vengono inviatui sulla porta seriale #1, i dati ricevuti sul socket <port>+1 vengono inviati sulla porta seriale #2, e così via, i dati ricevuti sulla porta socket <port>+7 vengono inviati sulla porta seriale #8. set rs232 pos-server-port <port> set rs232 hge-server-port <port> Configura la porta socket su cui ricevere i dati da eventuali terminali POS collegati in rete locale ad Imola. set rs232 primary-host <ipaddr> set rs232 primary-port <port> Configura l indirizzo IP e la porta cui tentare l invio dei dati ricevuti da una porta seriale quando ancora nessuna applicazione ha effettuato la connessione alla porta socket associata. Nel caso di protocollo POS indica l indirizzo IP del centro di autorizzazione delle transazioni. set rs232 primary-host-timeout <msec> Configura timeout d attesa per connessione ad host primario; espresso in millisecondi. set rs232 primary-type <adsl gprs isdn lan> Configura il tipo di connessione necessario per raggiungere l host specificato. E obbligatorio configurarlo quando l host primario è raggiungibile attraverso la rete ISDN. set rs232 secondary-host <ipaddr> set rs232 secondary-port <port> Configura l indirizzo IP e la porta dell'host secondario a cui mandare i dati ricevuti da una porta seriale quando ancora nessuna applicazione ha effettuato la connessione alla porta socket associata e l host primario non è disponibile. set rs232 secondary-host-timeout <msec> Configura il timeout d attesa connessione con l'host secondario; espresso in millisecondi. set rs232 secondary-type <adsl gprs isdn lan> Configura il tipo di connessione necessario per raggiungere l host specificato. E obbligatorio configurarlo quando l host secondario è raggiungibile attraverso la rete ISDN. 94

95 Imola User Guide set rs232 no-secondary-host Elimina l host secondario dalla configurazione. set rs232 backup-host <ipaddr> set rs232 backup-port <port> Configura l indirizzo IP e la porta dell'host di backup a cui mandare i dati ricevuti da una porta seriale quando nessuna applicazione ha effettuato la connessione alla porta socket corrispondente e nè l host primario e nè quello secondario sono disponibili. set rs232 no-backup-host Elimina l host di backup dalla configurazione. set rs232 backup-timeout <msec> Indica il valore del timer attivato nel caso in cui l host primario non soddisfi le richieste prodotte dai POS. Le richieste successive, ricevute entro tale timer, verranno re-indirizzate direttamente all'host secondario. Allo scadere del timer di backup sarà verificata di nuovo la disponibilità del collegamento principale. set rs232 sdn-hold-time <msec> Indica il valore del timeout dopo il quale abbattere la sessione ISDN in caso di inattività. set rs232 enq-timeout <msec> Significativo solo se il tipo di protocollo è POS. Configura il tempo d attesa del carattere di ENQ inviato dall host. Se l ENQ non arriva entro tale periodo, le richieste prodotte dai POS vengono inoltrate all'host secondario. set rs232 pos-helper Significativo solo se il tipo di protocollo è POS. A fronte della richiesta di connessione dal POS, il router invia il pacchetto di ENQuire al POS, attiva la connessione verso l host e scarta l'eventuale ENQuire ricevuto da quest ultimo. Eventuali pacchetti ricevuti dal POS sono accodati dal router in attesa della ricezione dell'enquire da Host. set rs232 no-pos-helper Significativo solo se il tipo di protocollo è POS. Disabilita il meccanismo precedente. A fronte della richiesta di connessione dal POS, il router prova ad attivare una sessione verso host. Il carattere di ENQuire ricevuto da Host, viene inoltrato al POS. set rs232 tty-speed <value> Imposta la velocità di connessione sulle porte seriali. Valori validi sono 2400, 4800, 9600, set rs232 tty-flow-control set rs232 no-tty-flow-control abilita (disabilita) il controllo di flusso hardware sulla porta seriale. set rs232 tty-check-dsr il riconoscimento dell inizio transazione avviene quando il segnale DSR diventa attivo: ovvero quando Imola rileva il segnale DSR effettua una chiamata TCP verso l indirizzo IP configurato. Quando invece il segnale si disattiva, Imola abbatte la connessione TCP. set rs232 no-tty-check-dsr il segnale DSR viene ignorato da Imola. set rs232 tty-check-dcd 95

96 Imola User Guide il riconoscimento dell inizio transazione avviene quando il segnale DCD diventa attivo: ovvero quando Imola rileva il segnale DCD effettua una chiamata TCP verso l indirizzo IP configurato. Quando invece il segnale si disattiva, Imola abbatte la connessione TCP. set rs232 no-tty-check-dcd il segnale DCD viene ignorato da Imola. set rs232 tty-check-cts il riconoscimento dell inzio transazione avviene quando il segnale CTS diventa attivo: ovvero quando Imola rileva il segnale CTS effettua una chiamata TCP verso l indirizzo IP configurato. Quando invece il segnale si disattiva, Imola abbatte la connessione TCP. set rs232 no-tty-check-cts il segnale CTS viene ignorato da Imola. set rs232 use-x28 set rs232 explicit-nua Abilita il protocollo X.28 sulle porte seriali. E necessario in questo caso configurare il NUA e l indirizzo IP e socket ad esso associati. set rs232 nua <value> <ipaddr> <port> Configura l associazione NUA-Indirizzo IP, Porta socket. I dati ricevuti per quel NUA sono inviati da Imola all indirizzo IP e porta associati. set rs232 no-nua <value> Elimina l associazione con il NUA specificato. set rs232 no-use-x28 set rs232 implicit-nua Disabilita il protocollo X.28 sulle porte seriali passando alla modalità trasparente. I parametri relativi al NUA sono ignorati. Salvataggio configurazione Per rendere permanente la configurazione dell'interfaccia rs232 occorre eseguire, oltre al comando "save" già descritto, il seguente comando: shell saveconf rs232 VISUALIZZAZIONE È possibile visualizzare informazioni riguardanti lo stato delle porte seriali mediante il comando: show interface rs232 root@imola-ta-tse> show interface rs232 serinfo:1.0 driver:5.05c revision: : uart:16550a port:ef irq:1 baud:9645 tx:51 rx:0 RTS DTR 1: uart:16550a port:ef irq:0 tx:0 rx:0 DSR CD EXAR serial multiport driver version 2.0 EXAR ST16C554 card #0 0: /dev/ttym0 tx:93688 rx: oe:0 pe:0 fe:0 RTS DTR 96

97 Imola User Guide 1: /dev/ttym1 tx:0 rx:0 oe:0 pe:0 fe:0 RTS DTR 2: /dev/ttym2 tx:0 rx:0 oe:0 pe:0 fe:0 RTS DTR 3: /dev/ttym3 tx:0 rx:0 oe:0 pe:0 fe:0 RTS DTR EXAR XR16L2550 card #1 4: /dev/ttym4 tx:0 rx:0 oe:0 pe:0 fe:0 RTS DTR 5: /dev/ttym5 tx:0 rx:0 oe:0 pe:0 fe:0 RTS DTR EXAR XR16L2550 card #2 8: /dev/ttym8 tx:0 rx:0 oe:0 pe:0 fe:0 RTS DTR 9: /dev/ttym9 tx:0 rx:0 oe:0 pe:0 fe:0 RTS DTR CONNETTORI SERIALI Le porte RS232 di Imola sono di tipo RJ45 il cui schema dei PIN è il seguente: DCD RTS RJ45 TOP DSR TX RX GND CTS DTR 97

98 Imola User Guide ROTTE STATICHE CONFIGURAZIONE ROTTE STATICHE Le tabelle di routing statico possono essere configurate mediante il comando: set route net <dest> netmask <netmask> gw <gw_ipaddr> [metric N] set route net <dest> netmask <netmask> dev <interface> [metric N] set route host <dest> gw <gw_ip_addr> [metric N] set route host <dest> dev <interface> [metric N] mentre per rimuovere una rotta il comando è: set no-route net <dest> netmask <netmask> gw <gw_ip_addr> set no-route net <dest> netmask <netmask> dev <interface> set no-route host <dest> gw <gw_ip_addr> set no-route host <dest> dev <interface> Ad esempio, per impostare una rotta verso la rete /24, tramite il gateway : set route net netmask gw mentre per rimuovere la rotta: set no-route net netmask gw Per aggiungere una rotta verso una destinazione di tipo IPv6: set route ipv6 X:X::X:X/N Le rotte aggiunte con il comando set route senza specificare alcun valore per il campo metric sono rotte statiche che prevalgono su tutte le altre verso la stessa destinazione, in particolare anche su quelle acquisite mediante l utilizzo di protocolli di routing dinamico (rip, bgp, ospf). Queste rimangono attive anche nel caso in cui lo stato dell'interfaccia non sia operativo. Nel caso in cui sia attivo un qualsiasi protocollo di routing dinamico, l opzione metric viene interpretata come valore della distanza amministrativa della rotta. In questo caso può anche essere usata la forma: set route net <dest> netmask <netmask> gw <gw_ipaddr> [distance N] set route net <dest> netmask <netmask> dev <interface> [distance N] E possibile specificare un tag da applicare alle rotte, utile nel caso in cui si vogliano attivare meccanismi di redistribuzione di rotte mediante protocolli di routing dinamico. In questo caso la sintassi del comando è: set route net <dest> netmask <netmask> gw <gw_ipaddr> tag N set route net <dest> netmask <netmask> dev <interface> tag N E possibile impostare le rotte utilizzando il comando ip12 in una delle seguenti forme: 12 Le rotte impostate mediante il comando ip vengono attualizzate sul router ma non vengono salvate nella configurazione. Affinché queste vengano salvate nella configurazione ed attivate anche al prossimo reboot del router e' necessario che venga eseguito il comando: set autocmd ip route add... 98

99 Imola User Guide ip route add <dst> dev <ifname> proto kernel [metric N] ip route add <dst> via <nexthop> proto kernel [metric N] ip route add <dst> via <nexthop> dev <ifname> proto kernel [metric N] Nel caso che la destinazione sia di tipo IPv6, occorre specificare: ip 6 route add <dst> dev <ifname> proto kernel [metric N] ip 6 route add <dst> via <nexthop> proto kernel [metric N] In questo caso tuttavia non è possibile specificare la distanza amministrativa. Nel caso in cui siano presenti rotte alternative verso la stessa destinazione, viene selezionata quella con metrica minore. Il comando: ip route get <dst> visualizza quale rotta sarà selezionata per raggiungere la destinazione <dst>. Analogamente per le destinazioni di tipo IPv6: ip 6 route get <ipv6-dst> visualizza quale rotta sarà selezionata per raggiungere la destinazione <IPv6-dst>. Le rotte aggiunte direttamente mediante il comando IP hanno precedente su tutte le altre rotte. BLOCCO DEL TRAFFICO MEDIANTE ROTTE STATICHE Mediante il comando set route è possibile bloccare il traffico verso determinate destinazioni configurando il device null0 come interfaccia di uscita dei pacchetti, ad esempio: set route net netmask dev null0 blocca il traffico verso la sottorete /29. Analogamente set route host dev null0 blocca tutto il traffico verso l host Un'altra possibilità è l'utilizzo del comando nativo ip, che permette di specificare delle rotte di tipo: blackhole, prohibit e unreachable. Ad esempio: ip route add blackhole ip route add prohibit ip route add unreachable Nel caso blackhole l'effetto è lo stesso della rotta su null0, cioè i pacchetti vengono semplicemente scartati. Nel caso prohibit, i pacchetti vengono scartati ma viene generato un ICMP di tipo Proihitb verso il sorgente. Nel caso unreachable i pacchetti vengono scartati ma generato un ICMP di tipo Unreachable verso il sorgente. VISUALIZZAZIONE ROTTE STATICHE Le rotte statiche possono essere visualizzate mediante il comando: show route 99

100 Imola User Guide Ad esempio: > show route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UGH eth U atm UG eth U eth U eth UG atm0 dove il flag U (UP) indica che la rotta è attiva, il flag H indica che la destinazione è un Host, il flag G indica che la destinazione è raggiungibile attraverso un Gateway. Nel caso in cui siano attivi dei protocolli di routing dinamico, è conveniente utilizzare il comando: show ip route Ad esempio: root@imola> show ip route Router# show ip route Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, B - BGP, > - selected route, * - FIB route K * /0 via , ppp0 inactive C>* /16 is directly connected, eth0 B>* /16 [20/0] via , eth1, 09:39:06 R /16 [120/2] via , eth1, 09:39:30 C>* /32 is directly connected, ippp1 K * /32 is directly connected, unknown inactive C>* /30 is directly connected, tun0 R>* /32 [120/2] via , eth1, 09:39:30 C>* /8 is directly connected, lo C>* /16 is directly connected, eth1 C>* /32 is directly connected, dummy0 Router# root@imola> dove si può notare il protocollo con cui le rotte sono state acquisite. Per le rotte di tipo IPv6 si utilizza invece il comando: show ip v6 route. 100

101 Imola User Guide INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE INDIRIZZO LOOPBACK Imola prevede la possibilità di definire e configurare un indirizzo loopback, cioè un indirizzo che identifica intrinsecamente il router e non è associato ad alcuna interfaccia fisica. Tale indirizzo deve essere sempre attivo e disponibile a prescindere dallo stato delle interfacce fisiche. Per configurare l indirizzo loopback i comandi sono: set loopback ipaddr <value> set loopback on Per assegnare un indirizzo di tipo IPv6: set loopback ipv6addr X:X::X:X/128 Per visualizzarne lo stato si usa il comando: show interface loopback Ad esempio: root@imola > show interface loopback 3: dummy0: <BROADCAST,NOARP,UP> mtu 1500 qdisc noqueue link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff inet /32 scope global dummy0 Il nome associato all interfaccia loopback è dummy0. Per eliminare l indirizzo di loopback si usa il comando: set no-loopback COMANDO IFCONFIG Il comando ifconfig permette di visualizzare informazioni sullo stato e sul funzionamento delle varie interfacce di rete presenti su Imola. ifconfig <ifname> dove if è il nome (ifname) dell interfaccia desiderata. Ad esempio: root@imola > ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:0D:5A:04:6B:3E inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4059 errors:0 dropped:0 overruns:0 frame:0 TX packets:3064 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes: (261.6 KiB) TX bytes: (588.5 KiB) Interrupt:15 101

102 Imola User Guide In questo esempio il comando visualizza informazioni relative all interfaccia di rete corrispondente alla porta eth0. Tra le altre: il valore del MAC Address assegnato (HWaddr) l indirizzo IP (inet addr) la netmask (Mask) l indirizzo di broadcast (Bcast) il valore di Maximum Transfer Unit (MTU) Visualizza inoltre alcuni flags di stato dell interfaccia: up indica che l interfaccia è amministrativamente attiva (ifadminstatus) running indica che è operativamente attiva (ifoperstatus) multicast e broadcast indicano che sono supportate trasmissione e ricezione di pacchetti multicast e broadcast. Infine visualizza i contatori statistici, tra cui il numero di pacchetti trasmessi e ricevuti ed eventuali errori. Nell esempio seguente il comando visualizza lo stato dell interfaccia eth3 associata alla terza porta dello switch integrato: root@imola > ifconfig eth3 eth3 Link encap:ethernet HWaddr 00:00:00:00:00:00 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Notiamo che manca il flag running,poiché a questa porta non è collegato alcun device. Applicando il comando all interfaccia di loopback, dummy0, si ottiene il seguente output: root@imola > ifconfig dummy0 dummy0 Link encap:ethernet HWaddr 00:00:00:00:00:00 inet addr: Bcast: Mask: UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Invece eseguendo lo stesso comando in caso di loopback non definita, si ottiene: root@imola > ifconfig dummy0 dummy0 Link encap:ethernet HWaddr 00:00:00:00:00:00 BROADCAST NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) dove si può notare sia l assenza del flag up che del flag running. 102

103 Imola User Guide Lo stato dell interfaccia ADSL in caso di incapsulamento PPP over ATM risulta essere: > ifconfig ppp0 ppp0 Link encap:point-point Protocol inet addr: P-t-P: Mask: UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:5553 errors:0 dropped:0 overruns:0 frame:0 TX packets:5124 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes: (1.1 MiB) TX bytes: (809.8 KiB) Lo stato della dialer ISDN ippp1 sarà: > ifconfig ippp1 ippp1 Link encap:point-point Protocol UP POINTOPOINT RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:30 INDIRIZZI SECONDARI (ALIAS) Imola prevede la possibilità di definire e configurare degli indirizzi secondari associati ad un determinata interfaccia. Tali indirizzi sono chiamati alias e possono essere impostati mediante il comando: set alias <ifname> ipaddr <ip_secondary> netmask <value> Ad esempio per impostare sull interfaccia eth0 l indirizzo secondario : set alias eth0 ipaddr netmask Per aggiungere un indirizzo secondario di tipo IPv6: set alias eth0 ipv6addr X:X::X:X/N Per visualizzare gli indirizzi secondari configurati si può usare il comando: root@imola > show alias ALIAS="eth0 ipaddr netmask " e per verificare se effettivamente sono attivi: root@imola > ip addr list dev eth0 5: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0d:5a:04:6b:3e brd ff:ff:ff:ff:ff:ff inet /16 brd scope global eth0 inet /16 brd scope global secondary eth0:0 e analogamente mediante il comando ifconfig: root@imola > ifconfig eth0:0 103

104 Imola User Guide eth0:0 Link encap:ethernet HWaddr 00:0D:5A:04:6B:3E inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:15 COMANDO IP Generalità Il comando ip consente di gestire, in modalità estremamente avanzata, l attivazione e la verifica delle interfacce IP e il relativo routing di Imola. Esso risulta essere uno strumento molto flessibile e completo che consente, per esempio, di definire più tabelle di routing da consultare a seconda della provenienza del pacchetto, della destinazione o semplicemente dell'utente che richiede l'utilizzazione della risorsa. Le opzioni più comuni del comando sono le seguenti: ip link ip route ip rule ip addr ip neigh consente di visualizzare e modificare le caratteristiche dei dispositivi di uscita aggiunge o cancella una riga della routing table in cui sono contenute le informazioni sui percorsi per raggiungere gli altri nodi di rete definisce delle regole di instradamento non dipendenti solo dalla destinazione del pacchetto ma anche da altri campi dell'header. A tale scopo vengono definite più tabelle di routing, a seconda del particolare tipo di pacchetto da gestire associa indirizzi IP ai dispositivi di rete manipola le tabelle ARP di corrispondenza tra indirizzi IP e indirizzo fisici Per operare su oggetti di tipo IPv6 (indirizzi, rotte, neighbor) occorre specificare l opzione 6. Ad esempio: ip 6 addr <options> ip 6 route <options> Il comando ip non ha effetti sulla configurazione di Imola, ovvero le modifiche alla tabella di routing effettuate tramite di esso verranno perse al prossimo reboot del router. Tipicamente esso si utilizza congiuntamente ai comandi di trigger per esprimere delle condizioni temporanee. Ad esempio per attivare una rotta allo start-up del router: set autocmd ip route add via oppure per attivare una rotta quando si stabilisce una connessione ISDN: set trigger isdn up ip route add /24 dev ippp1 oppure quando si attiva la connessione GPRS: set trigger gprs up ip route add /24 dev ppp0 oppure per modificare una rotta quando si entra nello stato di backup: set trigger backup up ip route del via set trigger backup up ip route add via

105 Imola User Guide Visualizzare lo stato delle interfacce, le tabelle di ARP e di routing mediante comando IP Il comando ip consente la visualizzazione di link e rotte di instradamento presenti ed attivi sul router Imola. Per esempio, il comando ip link list: root@imola> ip link list 1: lo: <LOOPBACK,UP> mtu qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 3: dummy0: <BROADCAST,NOARP,UP> mtu 1500 qdisc noqueue link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff 5: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0D:5A:04:6F:F6 brd ff:ff:ff:ff:ff:ff 6: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0D:5A:84:6F:F6 brd ff:ff:ff:ff:ff:ff 7: ippp0: <POINTOPOINT,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 30 link/ppp Mentre il comando ip address show consente di visualizzare le interfacce con relativi indirizzi IP associati: root@imola> ip address show 1: lo: <LOOPBACK,UP> mtu qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet /8 scope host lo 5: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0D:5A:04:6F:F6 brd ff:ff:ff:ff:ff:ff inet /16 brd scope global eth0 8: ippp1: <POINTOPOINT,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 30 link/ppp inet peer /32 scope global ippp1 Il comando ip route show consente di visualizzare le tabelle di routing : root@imola> ip route show dev ippp1 proto kernel scope link src dev ippp0 proto kernel scope link src dev tun0 proto kernel scope link src /30 dev atm0 proto kernel scope link src /29 dev eth1 proto kernel scope link src /24 via dev eth /24 via dev tun /16 dev eth0 proto kernel scope link src default dev atm0 scope link Il comando ip neigh show consente di visualizzare le tabelle ARP presenti sul router: root@imola> ip neigh show dev eth0 lladdr 00:c0:26:a3:58:52 STALE dev eth0 lladdr 00:40:33:a7:f1:70 STALE dev eth0 lladdr 00:c0:26:a3:58:7c REACHABLE dev eth0 lladdr 00:e0:4c:00:00:cd STALE 105

106 Imola User Guide Dove per ogni indirizzo IP viene visualizzato il corrispondente Ethernet Address e lo stato del protocollo ARP in cui questo si trova (reachable, stale, delay, probe, failed, etc.). Cancellare le tabelle di arp mediante comando IP La sintassi del comando ip per effettuare il flush della tabella di ARP è: ip neigh flush dev <ifname> Ad esempio, ip neigh flush dev eth0 azzera le tabelle di ARP associata all interfaccia eth0. Disabilitare un interfaccia di rete mediante comando IP La sintassi del comando ip per mettere in shut un interfaccia di rete è: ip link set <ifname> down mentre per riabilitarla: ip link set <ifname> up Aggiungere un indirizzo di rete mediante comando IP La sintassi del comando ip per aggiungere un indirizzo ad un interfaccia di rete è: ip addr add <ip-address>/n dev <ifname> mentre per eliminarlo: ip addr del <ip-address>/n dev <ifname> Ad esempio: ip addr add /24 de eth1 Policy routing mediante comando IP A differenza del routing classico, che permette di effettuare delle decisioni in base all'indirizzo IP destinazione, il Policy Routing permette di selezionare la rotta di instradamento oltre che in base alla destinazione anche su altri parametri, quali ad esempio l'indirizzo IP sorgente, il tipo di protocollo, la porta sorgente o destinazione, il campo TOS o una qualsiasi combinazione dei campi del pacchetto IP. Ogni criterio di routing viene quindi descritto all'interno di una tabella di routing distinta. Il concetto risulta più chiaro ricorrendo ad alcuni esempi: Supponiamo di avere due interfacce di rete, chiamate rispettivamente atm0 ed atm1: sulla prima si vogliono inviare i pacchetti TCP provenienti dalla sottorete /16 e diretti verso il servizio 80, sulla seconda si vogliono inviare tutti i pacchetti UDP provenienti dalla sottorete /16. Mediante i comandi: ip route add table 10 default via dev atm0 106

107 Imola User Guide ip route add table 20 default via dev atm1 vengono definite due tabelle di routing, chiamate rispettivamente 10 e 20, dove la tabella 10 invia tutto il traffico verso il nexthop attraverso l'interfaccia atm0, mentre la tabella 20 invia tutto il traffico sull'interfaccia atm1. Una volta definite le tabelle, è necessario caratterizzare il tipo di traffico che deve utilizzare la tabella 10 ed il tipo di traffico che deve utilizzare la tabella 20. Per fare questo si usa il comando iptables che grazie all opzione mangle permette di classificare il traffico in base ad una qualsiasi combinazione del pacchetto IP (il comando iptables viene trattato in dettaglio in una sezione dedicata). Ad esempio il comando: set iptables -t mangle -A PREROUTING -p tcp --dport 80 -s /16 -j MARK --set-mark 0x04 marchia con il valore 0x04, tutti i pacchetti di tipo TCP, provenienti dalla subnet /16 e diretti verso la porta 80, mentre il comando: set iptables -t mangle -A PREROUTING -p udp -s /16 -j MARK --set-mark 0x08 marchia tutti i pacchetti di tipo UDP con il valore 0x08. (Da tenere presente che la marchiatura non viene effettuata sul pacchetto trasmesso in rete, ma su un descrittore di esso). Infine i comandi: set ip rule add fwmark 0x04 table 10 set ip rule add fwmark 0x08 table 20 stabiliscono che i pacchetti marchiati con 0x04 devono consultare la tabella 10, mentre i pacchetti marchiati con 0x08 seguiranno la tabella 20. Pertanto i pacchetti provenienti dalla subnet /16 di tipo TCP ed inviati verso il servizio 80 verrano instradati attraverso l'interfaccia atm0, mentre i pacchetti di tipo UDP verranno inviati sull'interfaccia atm1. La decisione di routing per il traffico non classificato viene presa consultando la tabella di routing di default (se presente). Il comando ip rule può essere specificato mediante l opzione: set ip rule <options> oppure impostato come un autocmd: set autocmd ip rule <options> I comandi per aggiungere le tabelle di routing richiedono che l interfaccia sia attiva, per cui è opportuno che essi siano configurati come trigger dell interfaccia: set trigger adsl up ip route add table 10 dev atm0 set trigger adsl up ip route add table 20 dev atm1 PVC BUNDLING La tecnica di PVC Bundling permette di creare un interfaccia virtuale che aggrega due interfacce fisiche, ovvero due circuiti differenti. Essa si applica a circuiti di tipo ADSL, SHDSL e Frame Relay. Inoltre è possibile classificare il traffico in modo tale che questo venga trasmesso solo sul circuito desiderato. Ad esempio, nel caso di una rete SHDSL sono definiti due distinti circuiti: set shdsl line-mode 4-wire standard set shdsl line-term cpe 107

108 Imola User Guide set shdsl line-rate-type fixed set shdsl pvc atm0 encap rfc1483-bridged set shdsl pvc atm0 vpi 8 set shdsl pvc atm0 vci 35 set shdsl pvc atm0 no-default-route set shdsl pvc atm0 no-masquerade set shdsl pvc atm0 ipaddr set shdsl pvc atm1 encap rfc1483-bridged set shdsl pvc atm1 vpi 8 set shdsl pvc atm1 vci 36 set shdsl pvc atm1 no-default-route set shdsl pvc atm1 no-masquerade set shdsl pvc atm1 ipaddr set shdsl on I due circuiti corrispondono alle interfacce di rete chiamate shdsl.835 e shdsl.836. Impostando i comandi: set pvc-bundle pvc0 shdsl.835 set pvc-bundle pvc1 shdsl.836 set pvc-bundle ipaddr set pvc-bundle netmask set pvc-bundle on oltre ai due circuiti SHDSL, verrà creata l interfaccia virtuale pbond0 cui verrà assegnato l indirizzo : root@imola> ifconfig pbond0 pbond0 Link encap:ethernet HWaddr 00:0D:5A:9E:7B:B8 inet addr: Bcast: Mask: UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:512 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) I pacchetti trasmessi su tale interfaccia verranno distribuiti in maniera round-robin su entrambe le interfacce shdsl.835 ed shdsl.836, cioè su entrambi i circuiti SHDSL. Nell esempio è stato scelto di non assegnare alcun indirizzo alle interfacce fisiche shdsl.835 e shdsl.836, di conseguenza l unico modo per utilizzare la rete SHDSL è quello di attivare l interfaccia logica pbond0. Nella sezione precedente è stato descritto come grazie al comando iptables è possibile classificare i pacchetti ed assegnare loro un marchio. Nella configurazione del bundling ad ognuno dei due circuiti può essere associato un marchio in modo tale che tutti i pacchetti contenenti tale valore verranno trasmessi sul circuito virtuale corrispondente. Ad esempio, una variante dei comandi precedenti è la seguente: set pvc-bundle pvc0 shdsl.835 mark 0x04 set pvc-bundle pvc1 shdsl

109 Imola User Guide set pvc-bundle ipaddr set pvc-bundle netmask Se impostiamo il comando: set iptables -t mangle -A PREROUTING -p tcp --dport 80 -s /16 -j MARK --set-mark 0x04 che marchia con il valore 0x04, tutti i pacchetti di tipo TCP, provenienti dalla subnet /16 e diretti verso la porta 80, allora tali pacchetti verrano trasmessi solamente sul circuito shdsl.835, mentre tutti gli altri pacchetti verranno ripartiti in modo round-robin tra il circuito shdsl.835 ed shdsl.836. Inoltre se impostiamo i comandi: set pvc-bundle pvc0 shdsl.835 mark 0x04 set pvc-bundle pvc1 shdsl.836 mark 0x08 set pvc-bundle ipaddr set pvc-bundle netmask set iptables -t mangle -A PREROUTING -p tcp --dport 80 -s /16 -j MARK --set-mark 0x04 set iptables -t mangle -A PREROUTING -p tcp --dport 110 -s /16 -j MARK --set-mark 0x08 l effetto è: i pacchetti diretti verso la porta 80 verranno inviati solo su shdsl.835 i pacchetti diretti verso la porta 110 verranno inviati solo su shdsl.836 tutti gli altri verranno ridistribuiti sulle due interfacce Per disattivare le funzioni di bundling è disponibile il comando: set pvc-bundle off Questo comando distrugge l interfaccia virtuale pbond0 per cui se non è stato assegnato alcun indirizzo alle interfacce fisiche shdsl.835 ed shdsl.836, queste difficilmente potranno essere utilizzate. Sono disponibili anche i comandi: set pvc-bundle masquerade set pvc-bundle no-maquerade Per abilitare o disabilitare le funzioni di PAT per i pacchetti in uscita sull interfaccia pbond0. set pvc-bundle default-route set pvc-bundle no-default-route Per attivare o disattivare una rotta statica di default sull interfaccia bundling. L interfaccia pbond0 eredita i valori di MTU e dimensione della coda di trasmissione dalla seconda interfaccia che viene messa nella lista di bundling. E tuttavia possibile variarli mediante i comandi: set pvc-bundle mtu <valore> set pvc-bundle qlen <valore> set pvc-bundle no-mtu set pvc-bundle no-qlen Il valore di MTU non deve essere superiore al valore delle interfacce fisiche, mentre i valori di MTU delle due interfacce fisiche deve essere uguali tra loro. Infine per cancellare la configurazione del bundling è disponibile il comando: set no-pvc-bundle 109

110 Imola User Guide Le funzioni di PVC Bundling sono trasparenti alla modalità di incapsulamento del PVC (routed o bridged) e possono essere definiti anche su ADSL e su Frame Relay. Un esempio ADSL: set adsl pvc-number 2 set adsl pvc atm0 encap rfc1483-llc set adsl pvc atm0 vpi 8 vci 35 set adsl pvc atm0 service UBR set adsl pvc atm0 no-default-route set adsl pvc atm0 no-masquerade set adsl pvc atm0 ipaddr set adsl pvc atm1 encap rfc1483-llc set adsl pvc atm1 vpi 8 vci 36 set adsl pvc atm1 service UB set adsl pvc atm1 no-default-route set adsl pvc atm1 no-masquerade set adsl pvc atm1 ipaddr set adsl on set pvc-bundle pvc0 atm0 set pvc-bundle pvc1 atm1 set pvc-bundle ipaddr set pvc-bundle netmask set pvc-bundle default-route set pvc-bundle on mentre su Frame Relay: set wan protocol frame-relay set wan mode v35 set frame-relay baud-rate external set frame-relay station dte set frame-relay lmi-type ansi set frame-relay pvc pvc0 dlci 384 set frame-relay pvc pvc set frame-relay pvc pvc0 no-default-route set frame-relay pvc pvc0 no-masquerade set frame-relay pvc pvc1 mtu 1500 set frame-relay pvc pvc1 dlci 231 set frame-relay pvc pvc set frame-relay pvc pvc1 no-default-route set frame-relay pvc pvc1 no-masquerade set frame-relay pvc pvc1 mtu 1500 set frame-relay on set pvc-bundle pvc0 pvc0 set pvc-bundle pvc1 pvc0 set pvc-bundle ipaddr set pvc-bundle netmask set pvc-bundle default-route set pvc-bundle on 110

111 Imola User Guide Per aggiungere le rotte sull interfaccia di bundling, in alternativa al comando set pvc-bundle default-route, si può usare il comando: set route net <destination> netmask <netmask> dev pbond0 COMANDO PING Il comando ping permette di inviare pacchetti ICMP di tipo request verso un indirizzo IP remoto: PING ( ) from : 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=55 time= msec 64 bytes from : icmp_seq=1 ttl=55 time= msec 64 bytes from : icmp_seq=2 ttl=55 time= msec 64 bytes from : icmp_seq=3 ttl=55 time= msec 64 bytes from : icmp_seq=4 ttl=55 time= msec 64 bytes from : icmp_seq=5 ttl=55 time= msec ping statistics packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/mdev = /40.123/40.606/0.424 ms I pacchetti vengono inviati ogni secondo. Per interromperne l esecuzione occorre digitare <CTRL>- C. Le statistiche riportano il tempo di Round Trip minimo, medio, massimo e lo scarto quadratico medio misurato. Accetta numerose opzioni. Ad esempio: Per specificare l intervallo tra un pacchetto e l altro: ping -i N <ip-destinatario> dove N è espresso in secondi e può assumere anche valori decimali. Per specificare la dimensione del pacchetto da trasmettere: ping s <size> <ip-destinatario> Per specificare l indirizzo IP sorgente (ping esteso): ping I <ip-source> <ip-destinatario> Per inviare un numero predefinito di pacchetti: ping c N <ip-destinatario> Per specificare specificare il valore del TOS da inserire nel pacchetto IP: ping Q <tos-value> <ip-destinatario> Per inviare pacchetti con il bit DF settato ad 1: ping M do <ip-destinatario> Per inviare pacchetti con il bit DF settato ad 0: ping M dont <ip-destinatario> Le varie opzioni del comando possono essere combinate tra di loro, ad sempio: ping s 1472 M do Q 192 i 0.2 c 5 PING ( ) from : 1472(1500) bytes of data bytes from : icmp_seq=0 ttl=55 time= msec 111

112 Imola User Guide 1480 bytes from : icmp_seq=1 ttl=55 time= msec 1480 bytes from : icmp_seq=2 ttl=55 time= msec 1480 bytes from : icmp_seq=3 ttl=55 time= msec 1480 bytes from : icmp_seq=4 ttl=55 time= msec ping statistics packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/mdev = /58.684/59.150/0.405 ms Per inviare dei pacchetti ICMP verso un host di tipo IPv6 si usa invece la viariante: ping6 X:X::X:X. COMANDO TRACEROUTE Il comando traceroute permette di tracciare il percorso necessario per raggiungere un host remoto: root@imola> traceroute traceroute to ( ), 30 hops max, 40 byte packets ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms E possibile spcificare l indirizzo IP sorgente: traceroute s <ip-sorgente> <ip-destinazione> Inoltre è possibile inviare pacchetti ICMP invece che pacchetti UDP mediante l opzione: traceroute i <ip-destinazione> COMANDO TCPDUMP Il comando tcpdump visualizza tutti i pacchetti trasmessi e ricevuti su un interfaccia di rete specificata: tcpdump i <ifname> Per interrompere l esecuzione del programma bisogna digitare <CTRL>-C. E possibile applicare dei filtri ai pacchetti ricevuti. Per filtrare: solo i pacchetti diretti o ricevuti dall host : tcpdump i atm0 host tutti i pacchetti tranni quelli diretti e ricevuti dall host tcpdump i eth0 host not es solo i pacchetti ricevuti con indirizzo sorgente : tcpdump -i atm0 src host solo i pacchetti del protocollo tcpdump i atm0 port

113 Imola User Guide tutti i pacchetti tranne quelli verso la porta Telnet: tcpdump i atm0 port not telnet solo i pacchetti di tipo ICMP: tcpdump i atm0 icmp solo i pacchetti ICMP diretti all host : tcpdump i atm0 icmp and dst host tutti i pacchetti UDP: tcpdump i atm0 udp solo i pacchetti ICMP e i pacchetti verso l host : tcpdump i atm0 icmp or host solo i pacchetti HTTP ed SSH: tcpdump i atm0 port 23 or port 22 tutti i pacchetti tranne quelli VRRP: tcpdump i eth1 not vrrp solo i pacchetti GRE: tcpdump i atm0 proto 47 solo i pacchetti OSPF: tcpdump i eth1 proto ospf COMANDO LOAD-AVG Il comando load-avg misura il carico di un interfaccia di rete in termini di traffico trasmesso e ricevuto in un determinato intervallo. Per attivare il comando: load-avg interface <ifname> interval <seconds> mentre per visualizzare il carico: show interface load-avg <ifname> Ad esempio: load-avg interface eth0 period 30 e dopo aver atteso almeno 30 secondi: show interface load-avg eth0 30 second input rate 2.71 Kbit/sec, 1 packets/sec 30 second output rate 3.44 Kbit/sec, 2 packets/sec 53 packets input, bytes 0 multicast, 0 input errors, 0 dropped 0 frame error, 0 overruns 62 packets output, bytes 0 output errors, 0 dropped, 0 carrier lost 0 frame error, 0 overruns, 0 collisions 113

114 Imola User Guide Per interrompere la misura si usa il comando: no-load-avg COMANDO SET INTERFACE Il comando set interface permette di definire dei parametri di funzionamento per un determinata interfaccia di rete. Le opzioni principali sono: set interface <ifname> bandwidth < > per impostare la banda associata all interfaccia. Tale valore verrà eventualmente utilizzato dal protocollo OSPF. set interface <ifname> unnumbered Per mettere l interfaccia in modalità unnumbered. Tale comando si utilizza insieme al protocollo OSPF soprattutto per configurazioni su linee ISDN. set interface <ifname> ipv6 nd <opzioni> Per configurare il protocollo di Network Discovery di IPv6. Le opzioni permettono di specificare i vari parametri di protocollo, come Router Advertisment lifetime, interval, etc. 114

115 ACCESS LIST, SOURCE NAT E REDIRECT Imola User Guide La gestione delle tabelle di filtraggio dei pacchetti è presente su Imola in tre modalità semplificate ed una avanzata13. Le tre modalità semplificate sono: access-list redirect source-nat (Access Control List) consente di mettere dei filtri per accettare o scartare pacchetti IP in transito consente di effettuare operazioni di reindirizzamento dei pacchetti da/verso indirizzi IP e/o porte diverse consente di effettuare operazioni di mascheramento o di cambiare l'indirizzo sorgente e/o destinatario dei pacchetti IP La modalità avanzata è la modalità: iptables che consente di applicare in modo esplicito le direttive di filtraggio dei pacchetti mediante attivazione diretta del comando iptables È importante considerare l ordine mediante il quale vengono attivate le regole appartenenti alle liste. L ordine è il seguente: iptables acccess-list redirect source-nat Il comando iptables verrà ampiamente trattato nel capitolo seguente. ACCESS LIST Configurazione La lista di regole per accettare o scartare pacchetti del protocollo IP (denominata Access List), ed eventualmente effettuarne il logging può essere attivata mediante il comando set access-list. Di default, sul router Imola, non viene definita alcuna Access List, per cui tutti i pacchetti vengono accettati. Sono presenti sei diverse regole di impostazione delle Access List, come descritto nel seguito del paragrafo. Per accettare i pacchetti: set access-list permit set access-list permit-log Mentre, per scartare i pacchetti: set access-list deny set access-list deny-log Il suffisso log indica che, in relazione alla gestione dei pacchetti, verranno effettuate anche operazioni di logging. 13 E consigliato l utilizzo della modalità avanzata, mediante il comando iptables invece che i comandi set redirect, set source-nat set access-list. 115

116 Imola User Guide Per stabilire quali pacchetti possono attivare le chiamate ISDN: set access-list dial-sdn Per stabilire quali pacchetti possono attivare le chiamate PPP in caso di connessione GPRS: set access-list dial-ppp Dopo aver definito la regola occorre specificare il tipo di pacchetto su cui applicarla, descrivendone il tipo di protocollo (prot), l'eventuale porta di destinazione (port) o sorgente (sport), l'indirizzo sorgente (from), l'indirizzo destinatario (to) e, eventualmente, l'interfaccia d'ingresso (ininterface) o d'uscita (out-interface). I protocolli che si possono specificare sono tcp, udp, icmp, ah, gre, ospf, esp e all. Viene accettato anche il valore numerico del protocollo. La configurazione della porta sorgente o destinataria (port/sport) può essere effettuata specificando il servizio tramite nome (ad esempio: Telnet) o numero (23). È inoltre possibile utilizzare la keyword all per indicare che la regola sarà applicata sui pacchetti destinati a qualsiasi porta. È anche possibile configurare un range di porte (come ad esempio: 17:23). Per configurare l'indirizzo IP sorgente e/o destinatario è possibile invece impostare direttamente l'indirizzo IP (anche specificandone la Netmask), la chiave any (per indicare qualsiasi indirizzo IP) o this (per indicare un indirizzo IP residente su Imola). Di seguito troviamo un esempio relativo alle regole per pacchetti indirizzati al servizio echo da qualsiasi indirizzo IP esterno, verso Imola. Per accettare i pacchetti con protocollo TCP verso il servizio di echo destinati ad Imola: set access-list permit prot tcp port echo from any to this oppure per scartarli: set access-list deny prot tcp port echo from any to this per scartare i pacchetti in transito: set access-list deny prot tcp port echo from any to any Nel caso si voglia mantenere traccia dei pacchetti nel file di log, è possibile specificare anche una label della linea di log (log-prefix) ed il numero di pacchetti al minuto da visualizzare nel log (limit). Se questi due parametri non vengono impostati si assume come limit 10 (10 pacchetti tracciati al minuto) e come log-prefix il nome della regola più il tipo di servizio (esempio permitlogicmp o deny-logecho). Nel seguente esempio vengono trattate le regole per pacchetti indirizzati al servizio echo da qualsiasi indirizzo IP ad Imola con opzioni di log. Per accettarli ed effettuarne il logging: set access-list permit-log prot tcp port echo from any to this log-prefix YESecho per scartarli ed effettuarne il logging: set access-list deny-log prot tcp port echo from any to this log-prefix NOecho Durante il logging la visualizzazione del pacchetto avrà la seguente forma: Mar 1 02:54:03 Imola kernel: YESechoIN=eth0 OUT=MAC=00:50:c2:1e:af:fe:00:c0:26:a 3:58:aa:08:00 SRC= DST= LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=11851 DF PROTO=TCP SPT=1600 DPT=7 WINDOW=17520 RES=0x00 ACK URGP=0 116

117 Imola User Guide Per eliminare un access-list è sufficiente negare la regola inserita con il comando CLI set noaccess-list Esempio: set access-list deny prot tcp port echo from any to this set no-access-list deny prot tcp port echo from any to this Nelle impostazioni delle Access List è necessario tener conto dell'importanza della sequenza delle regole; occorre infatti considerare il fatto che, appena una regola viene soddisfatta, il pacchetto viene accettato o scartato immediatamente, senza passare alle regole successive. Le Access List possono essere utilizzate, per esempio, nei seguenti casi: quando si ha la necessità di negare l'accesso solo ad alcuni pacchetti, ad esempio negare l'accesso al servizio icmp ed accettare quelli per tutti gli altri servizi: set access-list deny prot icmp from any to this quando si ha la necessità di accettare solo alcuni pacchetti, ad esempio accettare solo i pacchetti indirizzati verso una certa rete, negando l'accesso a qualsiasi altro servizio: set access-list permit prot all port all from any to / set access-list deny prot all port all from any to this Le regole implementate in questo esempio consentono di accettare il traffico SNMP solo se proveniente da un indirizzo IP noto: set access-list permit prot udp port SNMP from to this set access-list deny prot udp port SNMP from any to this E` fondamentale l ordine con il quale le regole vengono inserite: vengono accettati i pacchetti in arrivo se provenienti dall indirizzo IP in quanto ricadono nella prima regola. I pacchetti provenienti da altri indirizzi invece vengono rifiutati, poichè ricadono nella seconda regola, utilizzata appunto per vietare il traffico non desiderato. Visualizzazione È possibile visualizzare le informazioni riguardanti le Access List con il seguente comando: show access-list questo comando ha l'effetto di elencare tutte le Access List impostate. Per esempio: root@imola> show access-list ACCESSLIST="permit prot tcp port echo from any to this" ACCESSLIST="permit-log prot icmp from any to this log-prefix YESicmp limit 20" Per verificare quali sono effettivamente attualizzate si usa direttamente il comando iptables: root@imola> set access-list deny prot tcp port echo from any to this iptables -A INPUT -p tcp --destination-port echo -j DROP root@imola> set access-list deny prot tcp port echo from any to any iptables -A FORWARD -p tcp --destination-port echo -j DROP root@imola> iptables -L Chain INPUT (policy ACCEPT) 117

118 Imola User Guide target prot opt source destination DROP tcp -- anywhere anywhere tcp dpt:echo Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp -- anywhere anywhere tcp dpt:echo Chain OUTPUT (policy ACCEPT) target prot opt source destination e per esaminare i contatori statistici dei pacchetti che attraversano l access list: root@imola> iptables L -v Chain INPUT (policy ACCEPT 943K packets, 77M bytes) pkts bytes target prot opt in out source destination DROP tcp -- any any anywhere anywhere tcp dpt:echo Chain FORWARD (policy ACCEPT 4053K packets, 2778M bytes) pkts bytes target prot opt in out source destination DROP tcp -- any any anywhere anywhere tcp dpt:echo Chain OUTPUT (policy ACCEPT 957K packets, 81M bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- anywhere anywhere tcp dpt:echo REDIRECT Configurazione La lista di regole di reindirizzamento dei pacchetti su indirizzi IP e/o porte diverse (denominate redirect) può essere attivata mediante il set di comandi redirect. Per impostare una regola di redirect occorre specificare alcuni parametri relativi al tipo di pacchetto da reindirizzare, descrivendone il tipo di protocollo (prot), l'eventuale porta (port), l'indirizzo sorgente (from), l'indirizzo destinatario (to) e impostando l'indirizzo IP (to-ip) o la porta (to-port) a cui inviare il pacchetto. I protocolli che si possono specificare sono ah, esp, gre, icmp, ospf, tcp, udp. E ammesso anche il valore numerico del protocollo. La configurazione della porta può essere effettuata specificando il servizio tramite nome (ad esempio: Telnet) o numero (23). Inoltre è possibile utilizzare la keyword all per indicare che la regola sarà applicata sui pacchetti destinati a qualsiasi porta. È anche possibile configurare un range di porte (ad esempio: 17:23). Per quanto riguarda la configurazione dell'indirizzo IP sorgente e/o destinatario è possibile invece impostare direttamente l'indirizzo (anche specificando la netmask), utilizzare la chiave any (per indicare qualsiasi indirizzo IP) o this (per indicare pacchetti destinati ad Imola). Per esempio: 118

119 Imola User Guide il traffico destinato alla porta 7 (servizio echo), proveniente da qualsiasi indirizzo IP e diretto ad Imola, redirezionato all'indirizzo IP : set redirect prot tcp port 7 from any to this to-ip il traffico destinato alla porta 7 (servizio echo), proveniente da qualsiasi indirizzo IP e diretto ad Imola, redirezionato alla porta 13 (servizio daytime): set redirect prot tcp port 7 from any to this to-port 13 È possibile anche reindirizzare un pacchetto ad un diverso indirizzo IP e ad una diversa porta contemporaneamente. il traffico destinato alla porta 7 (servizio echo), proveniente da qualsiasi indirizzo IP e diretto ad Imola, redirezionato all'indirizzo IP ed alla porta 34; per completare la redirezione del traffico viene utilizzata una regola di source-nat (descritta nel paragrafo seguente): set redirect prot tcp port 7 from any to this to-ip :34 set source-nat prot tcp port 7 from any to dev eth0 Per eliminare una regola di redirect è sufficiente rilanciare la regola con set no-redirect: set no-redirect prot tcp port 7 from any to this to-ip Visualizzazione Le informazioni riguardanti le regole di redirect possono essere mostrate mediante il comando show redirect, il quale ha l'effetto di elencare tutte le regole redirect impostate. Per esempio: root@imola> show redirect REDIR= prot tcp port echo from any to this to-ip Per verificare quali sono effettivamente attualizzate si usa direttamente il comando: iptables t nat L -v: SOURCE-NAT Configurazione La lista di regole che consentono di mascherare o cambiare l'indirizzo sorgente e/o destinatario dei pacchetti IP (denominata Source-NAT) può essere attivata mediante il set di comandi source-nat. Per impostare una regola di source-nat bisogna specificare il tipo di pacchetto a cui applicarla, descrivendone il tipo di protocollo (prot), l'eventuale porta (port), l'indirizzo sorgente (from), l'indirizzo destinatario (to) e il nuovo indirizzo sorgente con cui mascherare il pacchetto (dev o IP). I protocolli che si possono specificare sono TCP, UDP, ICMP e ALL. Per la porta (port) è possibile specificare sia il servizio sia il numero; per quanto riguarda l'indirizzo IP sorgente e/o destinatario è possibile invece impostare direttamente l'indirizzo IP (anche specificando la netmask) o utilizzare la parola chiave any (per indicare qualsiasi IP). È possibile effettuare due tipi di source-nat: mascheramento o cambio dell'indirizzo IP sorgente del pacchetto. 119

120 Imola User Guide Per effettuare operazioni di mascheramento è necessario specificare il parametro dev; questo parametro indica l'interfaccia d'uscita su cui effettuare il mascheramento. I pacchetti che soddisferanno la regola impostata e che saranno spediti dall'interfaccia specificata avranno come nuovo indirizzo sorgente l'indirizzo IP dell'interfaccia d'uscita. Per assegnare invece un indirizzo IP arbitrario come sorgente ai pacchetti è necessario specificare il parametro IP. Ecco un esempio di mascheramento di tutti i pacchetti in uscita dalla interfaccia eth1: set source-nat prot all from any to any dev eth1 Il comando CLI da utilizzare per effettuare la sostituzione dell'indirizzo IP sorgente di tutti i pacchetti indirizzati alla rete / con l'indirizzo è il seguente: set source-nat prot all from any to / ip Per eliminare una regola di source-nat è sufficiente rilanciare la regola con set no-source-nat, come nel seguente esempio: set no-source-nat prot all from any to any dev eth1 Il source-nat può essere utilizzato, per esempio, nei seguenti casi: quando si ha la necessità di mascherare l'indirizzo IP di una rete privata per connettersi alla rete pubblica: set source-nat prot all from any to any dev ippp0 quando si ha la necessità di accedere alla rete esterna con particolari indirizzi pubblici: set source-nat prot all from any to any ip xxx.yyy.jjj.kkk In questo esempio si vogliono mascherare i pacchetti in uscita e destinati ai servizi SNMP e RADIUS. I pacchetti dovranno essere spediti sostituendo l indirizzo IP sorgente con l indirizzo IP della interfaccia di loopback. Per configurare l interfaccia di loopback si utilizzeranno i comandi: set loopback ipaddr set loopback on Mentre per configurare le regole di source-nat: set source-nat prot udp port snmp-trap from any to any ip set source-nat prot udp port radius from any to any ip set source-nat prot udp port radacct from any to any ip oppure: set source-nat prot udp port snmp-trap from any to any dev dummy0 set source-nat prot udp port radius from any to any ip dev dummy0 set source-nat prot udp port radacct from any to any ip dev dummy0 Visualizzazione È possibile visualizzare le informazioni riguardanti le regole di source-nat con il seguente comando: show source-nat questo comando ha l'effetto di elencare tutte le regole di source-nat impostate. Esempio: 120

121 Imola User Guide show snmp SNAT="prot all from any to any dev eth1" SNAT="prot all from any to / ip " 121

122 Imola User Guide FUNZIONI DI FIREWALL: IPTABLES GENERALITÀ Su Imola è presente il comando iptables che è un tool avanzato per il filtraggio dei pacchetti della rete, ovvero controlla i pacchetti che cercano di accedere, transitare e uscire dal router stesso. Esso consente di realizzare: Funzionalità di firewall sia stateless che stateful Operazioni di Network Address Translation (NAT), sia statico che dinamico Alterazione e marcatura dei pacchetti (mangle) Accounting e logging dei pacchetti Port forwarding Load balancing TABELLE, CATENE, REGOLE E TARGET iptables raggruppa le regole di elaborazione dei pacchetti in tabelle. Sono definite tre tabelle di default: filter nat mangle Regola le funzioni di firewall: quali pacchetti accettare, quali bloccare Regola le attività di natting (source-nat, destination-nat, pat) Regola i meccanismi per alteare i pacchetti Ogni tabella è costituita da un gruppo di catene predefinite (INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING) cui possono eventualmente essere aggiunte catene personalizzate. Ogni catena è composta da un insieme di regole che, in base ad un criterio di match, identificano i pacchetti di rete: protocollo, indirizzo IP, servizio, etc. (ad esempio: -p tcp --dport 80 -d ). Ogni regola termina con un indicazione (target) su cosa fare dei pacchetti identificati dalla regola stessa (ad esempio, -j ACCEPT, -j DROP, -j LOG,...). Le catene indicano dei punti prestabiliti (detti anche hook points) nel corso dell elaborazione del pacchetto di rete nei quali il pacchetto viene esaminato per applicare la regola stabilita ed eseguire il target nel caso in cui il match associato alla regola sia stato soddisfatto. In base alla tabella (filter, NAT o mangle) vengono usate le catene associate. In particolare, per le funzioni di filter si utilizzano le catene di INPUT, FORWARD ed OUTPUT, per le funzioni di NAT quelle di PREROUTING e POSTROUTING, mentre le funzioni di mangle possono avvenire all interno di una qualsiasi catena. Il significato di ogni catena è spiegato nei paragrafi seguenti. La sintassi generica del comando iptables è la seguente: iptables t table -[AD] chain rule-specification [options] iptables t table -[I] chain [rulenum] rule-specification [options] iptables t table -D chain rulenum [options] iptables t table -[L] [chain] [options] dove si specificano: la tabella di riferimento (-t NAT table), se aggiungere o togliere la regola all interno della catena (-A chain, -D chain, -I chain), la regola per il match dei pacchetti e l azione (target) da eseguire. Il comando: 122

123 Imola User Guide iptables -t table L v mostra informazioni e contatori statistici relativamente al regole che sono state soddisfatte (vedi paragrafo sull accounting). Successivamente saranno mostrati degli esempi esplicativi. FIREWALL CON LA TABELLA FILTER La tabella filter (-t filter) riguarda le attività di filtraggio del traffico. E la tabella di default: viene usata qualora non venga specificata alcuna tabella dal comando iptables. Ha 3 catene di default: INPUT OUTPUT FORWARD si applica ai pacchetti ricevuti dal router e diretti ad esso si applica ai pacchetti inviati dal router, cioè generati localmente si applica ai pacchetti in transito dal router Per permettere l accesso al servizio di Telnet del router: iptables t filter -I INPUT p tcp --dport 23 j ACCEPT analoga a: iptables I INPUT p tcp --dport 23 j ACCEPT Per permettere che l host con IP possa accedere al server con IP : iptables I FORWARD s d j ACCEPT mentre per negare l accesso alla porta 80 all host con IP : iptables I FORWARD -p tcp --dport 80 s d j DROP Le regole vengono analizzate in base all ordine con cui sono state aggiunte. Una regola può essere inserita in testa alla lista mediante l opzione I oppure in fondo (e quindi valutata per ultima) mediante l opzione A. E possibile inserire una regola in una determinata posizione mediante l opzione: -I chain num. Ad esempio: iptables A FORWARD -p udp --dport 37 s d j DROP iptables I FORWARD 2 -p tcp s d j DROP Per visulizzare le regole presenti nella tabella di filter: mentre iptables t filter L v iptables L v --line-numbers mostra anche il numero d ordine della regola. Ad ogni catena è definita una azione di default da applicare qualora un pacchetto non abbia verificato il criterio di nessuna delle regole presenti. L azione di default è quella di accettare il pacchetto e passare alla tabella successiva. Mediante l opzione P è possibile modificare l azione di default. Ad esempio: iptables -P FORWARD DROP iptables P OUTPUT ACCEPT 123

124 Imola User Guide NETWORK ADDRESS TRANSLATION CON LA TABELLA NAT La tabella NAT (-t NAT) si usa per modificare indirizzi e porte sorgenti e destinazione dei pacchetti di rete. Ha 3 catene di default: PREROUTING OUTPUT POSTROUTING Usata per alterare i pacchetti ricevuti attraverso un'interfaccia di rete, al momento del loro arrivo. Viene usata per effettuare Destination NAT. Il target è j DNAT Usata per alterare i pacchetti in uscita dal router stesso, cioè quelli generati localmente. Si usa per Source NAT. Il target è j SNAT. catena altera i pacchetti prima che vengano instradati attraverso un'interfaccia di rete. Si usa per Source NAT. Il target è j SNAT oppure j MASQUERADE per interfacce con IP dinamici. Ad esempio: I pacchetti provenienti dalla sottorete /16 e diretti alla sottorete /24 vengono trasmessi con l IP sorgente : iptables t nat A POSTROUTING s /16 d /24 j SNAT --to-source Il parametro --to-source può essere espresso solamente come --to. I pacchetti in uscita sull interfaccia ppp0 vengono trasmessi con l IP associato a tale interfaccia: iptables -t nat A POSTROUTING o ppp0 -j MASQUERADE I pacchetti diretti alla sottorete /24 si presentano con l IP , mentre quelli diretti alla sottorete /24 si presentano con l IP : iptables t nat A POSTROUTING d /24 j SNAT --to iptables t nat A POSTROUTING d /24 j SNAT --to I pacchetti ricevuti e indirizzati all indirizzo pubblico sono rediretti all indirizzo privato : iptables t nat A PREROUTING d j DNAT --to-destination Il parametro --to-destination può essere espresso solamente come -to. PORT FORWARDING Il target j DNAT della tabella NAT viene spesso utilizzato per effettuare funzioni di Port Forwarding e Load balancing, ad esempio, i pacchetti TCP diretti alla porta 80 dell indirizzo pubblico sono rediretti alla porta 8080 dell indirizzo privato : iptables t nat A PREROUTING p tcp d dport 80 j DNAT --to :8080 e per distribuire le connessioni HTTP verso un gruppo di server interni: iptables t nat A PREROUTING p tcp d dport 80 j DNAT --to Con tale comando le connessioni vengo reindirizzate in modalità round robin verso i server , , e E da notare che nel caso in cui uno dei server non sia disponibile, il tentativo di connessione fallisce. 124

125 Imola User Guide ALTERAZIONE MANGLE DEI PACCHETTI CON LA TABELLA Le tabella mangle (-t mangle) permette la modifica di vari header IP o TCP di un pacchetto. Viene tipicamente usata per alterare il valore del campo TOS dell header IP oppure il valore del camp MSS di TCP. Prevede le seguenti catene: INPUT OUTPUT FORWARD PREROUTING POSTROUTING altera i pacchetti di rete in ingresso altera i pacchetti di rete prima che vengano inviati all'esterno altera i pacchetti di rete in transito dal router altera i pacchetti ricevuti attraverso un'interfaccia di rete prima che vengano instradati altera i pacchetti prima che vengano inviati attraverso un'interfaccia di rete Impostazione del massimo throughput per il protocollo SSH: iptables -t mangle -A FORWARD -p tcp --dport 22 -j TOS --set-tos Maximize-Throughput Modifica del TOS per ridurre la latenza dei pacchetti DNS: iptables -t mangle -A FORWARD -p udp --dport 53 -j TOS --set-tos Minimize-Delay Impostazione di MSS al valore di 1400: iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400 oppure per adattare il valore del MSS a quello della MTU: iptables -A FORWARD -p TCP --TCP-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Impostazione del valore del DSCP a 32 per i pacchetti che attraversano un tunnel GRE: iptables t mangle -A POSTROUTING p 47 -j DSCP --set-dscp 32 APPLICAZIONE DELLE REGOLE SUI PACCHETTI Il percorso tipico di un pacchetto IP è rappresentato dal seguente diagramma: Il pacchetto entra dall interfaccia di rete (eth0 nell esempio) e prima del processo di routing viene sottoposto all applicazione delle regole presenti nella catena di PREROUTING. In questo passaggio vengono applicate le regole di Destination NAT (DNAT) se i match presenti nella catena trovano corrispondenza nel pacchetto in arrivo. Se il pacchetto, in base alla tabella di routing, è destinato all interfaccia di rete in uscita (eth1 nel diagramma) vengono applicate le regole descritte nella catena di FORWARD. Se il pacchetto è destinato al router stesso vengono applicate le regole descritte nella catena di INPUT. 125

126 Imola User Guide Se il pacchetto è stato generato da un processo locale al router vengono applicate le regole contenute nella catena di OUTPUT. Sia nel caso di FORWARD che di OUTPUT, prima di uscire dalla scheda di rete eth1, il pacchetto subisce l applicazione delle regole descritte nella catena di POSTROUTING. In tale fase vengono applicate le regole per il Source-nat (SNAT) o Masquerade. In ogni catena vengono applicate le regole di alterazione dei pacchetti. CRITERI STANDARD DI MATCH Le possibilità di matching di pacchetti sono diversi e possono essere combinate all interno della stessa regola: -p proto Protocollo IP (TCP, UDP, ICMP, GRE, AH,...) -s address[/mask] Indirizzo IP sorgente (o network sorgente con maschera) -d address[/mask] Indirizzo IP destinazione (o network con maschera) -i interface Interfaccia di ingresso -o interface Interfaccia di uscita I criteri possono essere negati usando il carattere!. Ad esempio tutti i protocolli tranne ICMP: -p! icmp. Nel caso di protocollo TCP (-p tcp) valgono le seguenti estensioni: --sport port[:port] La porta o un range di porte sorgente. Ad esempio 1:1024 = > tutte le porte tra 1 e dport port[:port] --tcp-flags flag --syn La porta o un range di porte di destinazione. Ad esempio 1:1024 = > tutte le porte tra 1 e Per specificare la presenza di flag nel pacchetto TCP (SYN,ACK,FIN,RST,URG). Viene indicata la lista dei bit da trattare ed il valore che devono assumere. I pacchetti con solo SYN attivo (nuove connessioni) Esempio per scartare tutte le richieste di connessioni TCP in ingresso verso porte privilegiate: iptables -I INPUT -p tcp --syn --dport 0:1024 -j DROP Per verificare tutte le possibili estensioni TCP: iptables p udp --help Nel caso di protocollo UDP (-p udp) valgono le seguenti estensioni: --sport port[:port] --dport port[:port] La porta o un range di porte sorgente. Ad esempio 1:1024 = > tutte le porte tra 1 e 1024 La porta o un range di porte di destinazione. Ad esempio 1:1024 = > tutte le porte tra 1 e 1024 Esempio per permettere pacchetti UDP per traceroute: iptables -I INPUT p udp --sport 32769: dport 33434: j ACCEPT Per verificare tutte le possibili estensioni UDP: iptables p udp --help Nel caso di protocollo ICMP (-p ICMP) valgono le seguenti estensioni: 126

127 Imola User Guide --icmp-type type Dove type indica il tipo del pacchetto icmp da trattare. Può essere il valore numerico oppure il valore simbolico Per verificare tutte le possibili estesioni di ICMP: iptables p icmp --help TARGET Ogni regola termina con la definizione di un target che indica cosa viene fatto del pacchetto che ha soddisfatto il match. Il target determina l interruzione della catena: il pacchetto che ha soddisfatto il match segue le indicazioni del Target e non vengono considerate le catene successive. I target principali sono i seguenti: -j ACCEPT -j DROP -j REJECT -j LOG -j DNAT -j SNAT -j MASQUERADE -j REDIRECT -j TOS Il pacchetto che soddisfa il criterio di match viene accettato e procede verso la sua destinazione. Usato per definire il traffico permesso. Il pacchetto viene rifiutato e scartato senza alcuna notifica al mittente. Si usa in alternativa a REJECT per bloccare il traffico Il pacchetto viene rifiutato. Al mittente viene inviato un pacchetto (configurabile) di notifica, tipo ICMP port-unreachable: --reject-with icmp-port-unreachable. L elenco delle possibili notifiche viene visualizzato mediante il comando iptables j REJECT - help Il pacchetto viene loggato mediante syslog e procede l attraversamento delle catene. Possibili opzioni sono: --log-level e --log-prefix Viene modificato l IP destinazione del pacchetto. Il target è disponibile solo nelle catene di PREROUTING e OUTPUT della tabella nat. L opzione to-destination IP:porta definisce il nuovo IP (e la nuova porta) di destinazione. Si usa per effettuare il NAT di un indirizzo pubblico verso un server della DMZ. Viene modificato l IP sorgente. Si usa solo nella catena di POSTROUTING della tabella NAT. Prevede l opzione -to-source IP:porta. Il parametro porta è opzionale. Si usa per permettere l accesso ad Internet ad una rete locale con IP privati. Simile a SNAT, si usa quando i pacchetti escono da un interfaccia con indirizzo dinamico. Valido nella catena di POSTROUTING della tabella NAT. Ridirige il pacchetto verso una porta locale al router. Si usa nelle catene PREROUTING ed OUTPUT della tabella NAT. Si usa nella tabella mangle, permette di cambiare il valore del TOS (Type Of Service) del pacchetto. -j DSCP Si usa nella tabella mangle, permette di modificare il valore del DSCP dell header di IP. -j ECN -j IPV4OPTSSTRIP -j NETMAP -j TCPMSS Si usa nella tabella mangle per rimuovere il campo ECN (Explicit Congestion Notification) dall header TCP. Ad esempio: iptables -t mangle -A FORWARD -p tcp -j ECN --ecn-tcp-remove Si usa nella tabella mangle per eliminare le opzioni presenti all interno dell header IPv4: iptables t mangle A FORWARD j IPV4OPTSSTRIP Permette di sostituire gli host di una rete con quelli di un altra. Ad esempio il comando: iptables t nat A PREROUTING d /24 j NETMAP to /24 sostituisce l indirizzo di destinazione x con l indirizzo x Usata per modificare il valore del Maximum Segment Size del TCP. Ad esempio: iptables... j TCPMSS --clamp-mss-to-pmtu E prevista l opzione --set-mss value. 127

128 Imola User Guide -j MARK Permette di marcare i pacchetti in modo da analizzarli in altri punti. Ad esempio per aggiungere una rotta in base all indirizzo sorgente: iptables t mangle A PREROUTING s j MARK --set-mark 0x04 ip rule add fwmark 0x04 table 40 ip route add default table 40 dev atm0 Per consultare l elenco dei parametri disponibili si usa il comando: iptables j <TARGET> --help Ad esempio: iptables j REJECT --help iptables j TOS --help iptables j DSCP --help CRITERI AVANZATI DI MATCH Oltre ai criteri elencati esistono delle estensioni particolarmente versatili e potenti. La tabella ne illustra quelli più significativi. -m connlimit -m limit -m mac -m random -m pkt-type Permette di stabilire il numero di connessioni contemporanee. Ad esempio: iptables A INPUT p tcp --dport 23 s m connlimit --connlimit-above 4 j REJECT ammette massimo 4 connessioni telnet contemporaneamente attive telnet verso il router dall indirizzo Le altre vengono rifiutate. La regola viene soddisfatta se il tasso di arrivo dei pacchetti è conforme ai parametri specificati. Le possibili opzioni sono: --limit rate/unit --limit-burst value/unit Ad esempio mediante le regole: iptables A FORWARD -p icmp m limit -limit 10/s j ACCEPT iptables A FORWARD p icmp j DROP vengono accettati solo i pacchetti di ping al ritmo di 10 al secondo. Viene controllato il MAC sorgente del pacchetto. Ad esempio: iptables A FORWARD -m mac --mac-source 00:0d:5a:04:01:02 j DROP Usato per effettuare un match su base statistica, utile per simulare dei link difettosi. Ad esempio: iptables A FORWARD d m random --average 10 j DROP scarta in maniera random il 10 per cento dei ping verso Verifica il tipo di pacchetto in base all indirizzo di destinazione di livello 2. E prevista l opzione -pkt-type type dove type può assumere i valori: broadcast multicast unicast Ad esempio per scartare tutti i multicast in arrivo sulla interfaccia eth0: iptables A INPUT i eth0 m pkttype --pkt-type multicast j DROP 128

129 Imola User Guide -m addrtype Verifica il tipo di pacchetto in base all indirizzo di destinazione di livello 3. Sono previste le opzioni: --src-type type[,...] --dst-type type[,...] dove type può assumere i valori: UNICAST LOCAL BROADCAST MULTICAST ANYCAST Ad esempio, per scartare i pacchetti di multicast ricevuti: iptables A INPUT m addrtype --dst-type MULTICAST j DROP Imposta un filtro sulla lunghezza del pacchetto. E prevista l opzione: -m length --length len1:len2 Ad esempio, per scartare i pacchetti di icmp con lunghezza maggiore di 700 byte: iptables A INPUT p icmp m length -length 700:1500 j DROP Protocollo AH (Authentication Header) di IPSec. E prevista l opzione: -m ah --ahspi min[:max] Esempio: iptables A INPUT p ah m ah -ahspi 500 j LOG -m dscp Usata per identificare il pacchetto in base al valore del campo DSCP all interno dell header IP. Sono previste le opzioni: --dscp value Esempio: --dscp-class name. iptables A FORWARD p icmp m dscp --dscp 32 j LOG -m ecn Identificazione in base al valore del campo ECN (Explicit Congestion Notification) dell header IP. Sono previste le opzioni: --ecn-ip-ect [0..3] --ecn-tcp-cwr --ecb-tcp-ece Protocollo ESP (Encapsulating Security Payload) di IPSec. E prevista l opzione: -m esp --espspi min[:max] Esempio: iptables A INPUT p esp m esp --espspi 500 j DROP Ha lo stesso effetto del match p icmp. Sono previste le opzioni: -m icmp -m ipv4options --icmp-type typename Il comando iptables m icmp --help mostra tutti i possibili codici utilizzabili come icmptype. Indentificazione in base alle opzioni presenti nell header IPv4. Sono riconosciute le seguenti estensioni: --ssrr per Strict Source and Record Route --lsrr per Loose Source and Record Route --rr per Record Route --ts per TimeStamp --ra per Router Alert Esempio per scartare quei pacchetti che contengono l opzione RR: iptables A FORWARD m ipv4options -rr j DROP 129

130 Imola User Guide -m multiport -m nth -m psd Pemette di specificare una lista (fino a 15) porte con lo stesso comando. Ad esempio, per accettare i pacchetti diretti alle porte 22, 80 e 443: iptables A FORWARD p tcp m multiport --dports 22,80,443 j ACCEPT Sono previste le opzioni: --dports per indicare le porte di destinazione --sports per indicare le porte sorgenti --ports per indicare sia quelle di destinazione che quelle sorgenti. Verifica il match ogni N pacchetti. Ad esempio: iptables A FORWARD p icmp d m nth -every 3 j LOG ogni 3 match consecutvi, viene effettato un log. Controlla i tentativi di Port Scanning. Sono ammesse le opzioni: --psd-delay-threshold delay in milliseconds --psd-hi-ports-weight weight --psd-lo-ports-weight weight Identifica il pacchetto in base al valore del TOS. L elenco dei possibili possibili valori dell opzione -- tos viene visualizzato mediante il comando: -m tos iptables -m tos -help Ad esempio: iptables A FORWARD m tos --tos Minimize-Delay conteggia tutti i pacchetti il cui tos è impostato a Minimize-Delay (16). -m ttl -m iprange Identifica il pacchetto in base al valore del campo TTL: iptables A INPUT m ttl --ttl 5 Permette di impostare una regola usando un range di indirizzi IP. Ad esempio per bloccare l accesso TCP ad un range di IP: iptables A INPUT p tcp m iprange --src-range j DROP oppure per bloccare l invio di ping ad un blocco di IP : iptables A OUTPUT p icmp m iprange --dst-range j DROP LOAD BALANCING L esempio di Load Balancing del paragrafo precedente: iptables t nat A PREROUTING p tcp d dport 80 j DNAT --to prevede che i server verso cui distribuire le connessioni abbiano indirizzi IP contigui. Utilizzando il match m nth è possibile superare tale limite come descritto nel seguente esempio: iptables t nat A PREROUTING p tcp d dport 80 -m nth -every 2 -packet 0 j DNAT --to iptables t nat A PREROUTING p tcp d dport 80 -m nth -every 2 -packet 1 j DNAT --to dove le connessioni vengono distribuite in maniera alternata al server e al server

131 Imola User Guide LOGGING DEI PACCHETTI Tramite il target j LOG è possibile loggare i pacchetti che soddisfano determinate condizioni mediante syslog. Di solito si utilizza tale target per loggare i pacchetti droppati, in tal caso è necessario che la regola di LOG sia inserita prima della corrispondente regola di DROP. Ad esempio: iptables A INPUT p tcp dport 23 s j LOG --log-level notice iptables A INPUT p tcp dport 23 s j DROP La prima regola effettua il log con facility notice dei pacchetti provenienti dall indirizzo verso la porta Telnet. La seconda li scarta. Le opzioni utilizzabili con il target LOG sono: --log-level --log-prefix per definire la facility per i messaggi di log per definire un prefisso dei messaggi di log Tale regola deve essere usata congiuntamente al comando set log del router che permette di definire il syslog server: set log remote set log level 2 set log on Un tipico messaggio di log per tenere traccia di tutti i pacchetti ICMP ricevuti dall indirizzo , derivato dalla regola: iptables A INPUT p icmp s j LOG --log-prefix permit-logicmp --log-level notice è il seguente: Feb 10 18:25:26 im1 kernel: permit-logicmp:in=eth0 OUT= MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00 SRC= DST= LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=8725 SEQ=1 Feb 10 18:25:27 im1 kernel: permit-logicmp:in=eth0 OUT= MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00 SRC= DST= LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=8725 SEQ=2 Feb 10 18:25:29 im1 kernel: permit-logicmp:in=eth0 OUT= MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00 SRC= DST= LEN=84 TOS=0x00 PREC=0xC0 TTL=64 ID=61743 PROTO=ICMP TYPE=0 CODE=0 ID=5735 SEQ=0 Feb 10 18:25:50 im1 kernel: permit-logicmp:in=eth0 OUT= MAC=00:0d:5a:04:6b:3e:00:16:d4:4d:65:a7:08:00 SRC= DST= LEN=84 TOS=0x00 PREC=0xC0 TTL=64 ID=61744 PROTO=ICMP TYPE=0 CODE=0 ID=5743 SEQ=0 ACCOUNTING DEI PACCHETTI Nel caso in cui non venga specificato alcun target vengono solamente conteggiati i pacchetti che hanno soddisfatto la regola configurata, fornendo di fatto uno strumento per effettuare l accounting dei pacchetti. Ad esempio per conteggiare tutti i pacchetti ricevuti sull interfaccia eth0 e diretti al router stesso: iptables A INPUT i eth0 131

132 Imola User Guide e per verificare tale numero: iptables -L -v che produce il seguente output: Chain INPUT (policy ACCEPT 1185 packets, bytes) pkts bytes target prot opt in out source destination all -- eth0 any anywhere anywhere Per azzerare i contatori: iptables Z. Per conteggiare tutti i pacchetti destinati dal router stesso all indirizzo IP : iptables A OUTPUT d e per visualizzarne il valore: IPtables L v che produce: Chain INPUT (policy ACCEPT 182 packets, bytes) pkts bytes target prot opt in out source destination all -- eth0 any anywhere anywhere Chain OUTPUT (policy ACCEPT 154 packets, bytes) pkts bytes target prot opt in out source destination all -- any any anywhere Per conteggiare i pacchetti in transito provenienti dall indirizzo e diretti verso la porta 80 dell indirizzo : iptables A FORWARD p tcp -dport 80 s d Per conteggiare i pacchetti in transito di tipo UDP proveniente dalla sottorete /24: iptables A FORWARD p udp s /24 Esempi di utilizzo Per bloccare tutti gli accessi TCP verso l host : iptables -A FORWARD -p tcp d j DROP Per prevenire un eventuale attacco di ICMP flooding: iptables -A INPUT -p icmp -m limit --limit 10/s -j ACCEPT iptables -A INPUT -p icmp -j DROP Per scartare i pacchetti di ICMP di lunghezza superiore a 500 byte e diretti verso : iptables A FORWARD p icmp d m length --length 500:1500 Per limitare a 2 il numero di connessioni Telnet contemporanee verso l host : iptables A FORWARD p tcp --dport 23 d m connlimit --connlimit-above 2 j REJECT Per simulare nei confronti dell host un link con un tasso di errore del 2%: iptables A FORWARD d m random -average 2 j DROP Riprendendo gli esempi riportati nelle sezioni precedenti (access-list, redirect e source-nat), di seguito vengono riportate le corrispondenze con il comando iptables. 132

133 Imola User Guide Per accettare solo i pacchetti indirizzati verso una certa rete, negando l'accesso a qualsiasi altro servizio: Mediante access-list: set access-list permit prot all port all from any to / set access-list deny prot all port all from any to any Comandi iptables equivalenti: iptables -A FORWARD -d / j ACCEPT iptables -A FORWARD -j DROP Il traffico destinato alla porta 7 (servizio echo), provenienti da qualsiasi indirizzo IP e diretti ad Imola, redirezionati all'indirizzo IP : Mediante redirect: set redirect prot tcp port 7 from any to this to-ip Comandi iptables equivalenti: iptables -t nat -A PREROUTING -p tcp --dport 7 -j DNAT --to Il traffico destinato alla porta 7 (servizio echo), provenienti da qualsiasi indirizzo IP e diretti ad Imola, redirezionati alla porta 13 (servizio daytime): Mediante redirect: set redirect prot tcp port 7 from any to this to-port 13 Comandi iptables equivalenti: iptables -t nat -A PREROUTING -p tcp --dport 7 -j REDIRECT --to-ports 13 Il traffico destinato alla porta 7 (servizio echo), provenienti da qualsiasi indirizzo IP e diretti ad Imola, redirezionati all'indirizzo IP alla porta 34 Mediante redirect: set redirect prot tcp port 7 from any to this to-ip :34 Comandi iptables equivalenti: iptables -t nat -A PREROUTING -p tcp --dport 7 -j DNAT --to-destination :34 Il traffico destinato alla porta 23 (servizio Telnet), provenienti da qualsiasi indirizzo IP e diretti all indirizzo IP , redirezionati all'indirizzo IP porta 7 (servizio echo); di questi pacchetti inoltre sarà effettuato il log con prefisso REDIR : Mediante redirect: set redirect prot tcp port 23 from any to to-ip to-port 7 log-prefix REDIR Comandi iptables equivalenti: iptables -t nat -A PREROUTING -p tcp -d dport 23 -j LOG --log-prefix REDIR --log-level notice iptables -t nat -A PREROUTING -p tcp -d dport 23 -j DNAT --to-destination :7 Sostituire l'indirizzo IP sorgente di tutti i pacchetti indirizzati alla rete / con l'indirizzo mediante source-nat: set source-nat prot all from any to / ip Comandi iptables equivalenti: 133

134 Imola User Guide iptables -t nat -A POSTROUTING -d / j SNAT to Mascheramento di tutti i pacchetti in uscita dalla interfaccia eth1 mediante source-nat: set source-nat prot all from any to any dev eth1 Comandi iptables equivalenti: iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE CONNECTION TRACKING Introduzione Il tracciamento delle connessioni mantiene in memoria delle tabelle dei pacchetti entranti e uscenti dalla macchina in modo da poter avere un controllo non solo in base alle caratteristiche del pacchetto analizzato, ma anche e soprattutto in base alla sua relazione con i pacchetti precedenti, cioè allo stato della connessione (connection-tracking). L'opzione di iptables che permette di utilizzare questa funzionaltà è l'estensione m state, con l opzione --state che permette di specificare una lista di stati della sessione separati da virgola. Sono definiti 4 tipi diversi di stato: NEW per un pacchetto che crea una nuova connessione (cioè un pacchetto TCP col flag SYN impostato oppure pacchetti UDP ICMP non dovuti a connessioni già validate) ESTABLISHED per un pacchetto che fa parte di una connessione già stabilita, cioè che ha già avuto dei pacchetti in risposta. RELATED INVALID Esempio: per un pacchetto relativo a connessioni esistenti ma che non fa parte di una connessione esistente (come ad esempio un pacchetto ICMP di errore o una connessione FTP-data [porta 20] relativa ad una connessione FTP) per pacchetti che per alcune ragioni non possono essere classificati in altro modo. iptables A FORWARD d /24 m state --state ESTABLISHED,RELATED j ACCEPT consente il traffico verso la rete /24 di pacchetti appartenenti a connessioni già realizzati oppure a connessioni correlate a quelle già attive. iptables A FORWARD d /24 m state -state INVALID j DROP E possibile esaminare le entries presenti nel conntrack database mediante il comando: iptables-conntrack Un esempio di output è il seguente: tcp SYN_SENT src= dst= sport=32775 dport=22 [UNREPLIED] src= dst= sport=22 dport=32775 [ASSURED] use=2 nel quale si evidenziano: protocollo protocollo espresso con il valore numerico Time-to-live della entry. Questo valore viene decrementato finchè non compare altro traffico relativo a questa connessione. Quando la entry cambia stato viene impostato al valore di default per lo stato in esame 134

135 Imola User Guide stato attuale dell entry. Gli stati interni sono leggermente diversi da quelli usati esternamente da iptables. SYN_SENT riguarda una connessione che ha visto soltanto il SYN in una direzione indirizzo IP sorgente indirizzo IP destinazione porta sorgente porta destinazione keyword (UNREPLIED) che indica che non è stato visto traffico di ritorno per questa connessione pacchetto atteso al ritorno Quando una connessione ha visto traffico in entrambe le direzione, viene cancellato il flag UNREPLIED, poi la entry viene rimpiazzata con un altra che ha il flag ASSURED che indica che la entry non verrà cancellata quando il numero massimo di connessioni tracciate è raggiunto. La dimensione massima della cache è funzione della memoria disponibile. Su Imola il valore di default è La potenza di questo sistema consiste nel fatto che non è necessario aprire tutte le porte sopra 1024 per lasciare entrare il traffico di risposta, ma è sufficiente aprire il firewall per il traffico di risposta operando sullo stato delle connessioni. Connessioni TCP Una connessione TCP ha inizio sempre con un handshaking a tre tempi: SYN packet da client verso server SYN/ACK packet da server verso client ACK packet da client verso server A questo punto la connessione è stabilita e in grado di inviare dati: In questo modo se si permette ai pacchetti NEW e ESTABLISHED di uscire e soltanto ai pacchetti ESTABLISHED di entrare si taglieranno fuori tutti i tentativi di connessione verso la nostra rete interna. Eseguendo il comando iptables-conntrack, lo stato riportato al ricevimento del primo pacchetto SYN è il seguente: tcp SYN_SENT src= dst= sport=1031 dport=23 [UNREPLIED] src= dst= sport=23 dport=1031 use=1 Il successivo stato interno è raggiunto quando si riceve il pacchetto nella direzione opposta: tcp 6 57 SYN_RECV src= dst= sport=1031 dport=23 src= dst= sport=23 dport=1031 use=1 135

136 Imola User Guide Lo stato established si raggiunge quando si vede l ACK finale: tcp ESTABLISHED src= dst= sport=1031 dport=23 src= dst= sport=23 dport=1031 [ASSURED] use=1 Il seguente diagramma mostra il flusso dei pacchetti in chiusura (chiusura in condizioni normali): Come si vede la connessione non è realmente chiusa finchè non arriva l ultimo ACK. Si deve considerare che il meccanismo di connection tracking non considera i flags TCP all interno dei pacchetti; anche un pacchetto senza SYN o ACK sarà contato come NEW. Se si desidera che lo stato NEW sia associato alla presenza del SYN bisogna aggiungere la seguente regola: iptables -A INPUT -p tcp! --syn -m state --state NEW -j DROP iptables -A FORWARD -p tcp! --syn -m state --state NEW -j DROP Connessioni UDP Le connessioni UDP sono tipicamente state-less. Ci sono diverse ragioni, principalmente per il fatto che esse non stabiliscono una connessione e perché mancano di sequenzializzazione. Ricevere due datagram UDP in un certo ordine, non significa che essi sono stati inviati in quello stesso ordine. Dal punto di vista del connection tracking, la connessione è stabilita nello stesso modo che per il TCP; tuttavia la sequenza interna è diversa. Quando viene inviato il primo pacchetto UDP, l entry nella tabella di conntrack diventa: udp src= dst= sport=137 dport=1025 [UNREPLIED] src= dst= sport=1025 dport=137 use=1 Quando il server vede una risposta al pacchetto la connessione è considerata ESTABLISHED. Tuttavia, affinché il flag di ASSURED venga impostato, è necessario che il pacchetto di risposta sia una legittima risposta al pacchetto inviato udp src= dst= sport=137 dport=1025 src= dst= sport=1025 dport=137 [ASSURED] use=1 136

137 Imola User Guide Se la connessione non viene usata per 180 secondi, viene invalidata l entry nella tabella. Ogni volta che un pacchetto attraversa il firewall e viene accettato, il timer di timeout viene reinizializzato con il suo valore di default. Connessioni ICMP I pacchetti ICMP non costituiscono uno stream stateful dal momento che non stabiliscono mai delle connessioni. Tuttavia ci sono fondamentalmente alcuni tipi di pacchetti che generano pacchetti di ritorno e di conseguenza possono prendere gli stati NEW e ESTABLISHED. Ad esempio i pacchetti Echo request e reply usati dal comando ping: La richiesta di icmp echo request è considerata NEW dal firewall, mentre la risposta echo reply causa la transizione allo stato di ESTABLISHED. icmp 1 25 src= dst= type=8 code=0 id=33029 [UNREPLIED] src= dst= type=0 code=0 id=33029 use=1 Il formato della entry è diverso rispetto a TCP e UDP. Compaiono infatti tre campi nuovi: type: ICMP type code: ICMP code id: ICMP id Ogni pacchetto ICMP ha un ID che gli viene imposto quando è inviato, quando il ricevente riceve il messaggio imposta lo stesso ID nel messaggio di risposta. Così il mittente riesce ad associare la risposta al messaggio inviato. Come si vede, nella sezione della risposta attesa compaiono il type e code attesi e l id dell invio. La connesione è considerata established non appena viene intercettato il messaggio di risposta. Tuttavia è certo che dopo la risposta non ci saranno più messaggi legali associati a questa connessione. Perciò la entry viene distrutta. La richiesta ICMP ha una tempo di permanenza di 30 secondi. Un messaggio ICMP viene utilizzato anche per informare l host che ha iniziato una connessione TCP o UDP circa la raggiungibilità del partner in questione. Si pensi ad un ICMP HOST unreacheable. Per questa ragione, le risposte ICMP sono riconosciute come RELATED. 137

138 Imola User Guide In questo caso il client invia una pacchetto di SYN ad un indirizzo specifico; questa viene catalogata come una connessione NEW. Tuttavia il server non è raggiungibile, così un router invia un messaggio di ICMP unreacheable. Il connection tracking riconosce il pacchetto come RELATED grazie alla entry presente in tabella così la risposta può essere indirizzata al client. Subito dopo il client distrugge la entry in tabella. Connessioni FTP Il protocollo FTP apre in prima istanza una sola connessione, chiamata sessione di controllo. Quando invochiamo un comando attraverso questa connessione vengono aperte altre porte per trasportare il resto dei dati relativi al comando specifico. Queste connessioni possono essere fatte in modo attivo o passivo. Quando la connessione è fatta in modo attivo, il client FTP invia al server una porta ed un indirizzo IP cui connettersi. In seguito, il client FTP apre la la porta e il server vi si connette da una porta non privilegiata, scelta in modalità random, poi ha inizio lo scambio dei dati. l firewall non può essere a conoscenza di queste connessioni aggiuntive dal momento che esse sono negoziate all interno del payload dei pacchetti scambiati. Per questo motivo, il firewall non è a conoscenza che deve lasciare connettere il server su queste porte. Sono perciò necessarie delle estensioni ai filtri del firewall in modo che questi sia in grado di recuperare le informazioni tra i dati scambiati e classificare queste connessioni aggiuntive come RELATED. Un FTP passivo opera nella direzione opposta. Il client FTP dice al server che vuole dei dati specifici; in seguito a questa richiesta il server risponde con un indirizzo IP cui connettersi e una porta. Il client si connette alla porta specificata dalla sua porta 20 (porta dei dati FTP) e prende i dati in questione. Anche in questo caso è necessario un modulo aggiuntivo del firewall in grado di intercettare queste informazioni nel payload del pacchetto e classificare questa seconda connessione come RELATED. 138

139 Imola User Guide Un esempio di firewall Consideriamo il seguente scenario: dove il router, cui sono assegnati gli indirizzi pubblici e , è collegato: alla rete pubblica attraverso l interfaccia atm0 alla LAN interna con indirizzo /24 attraverso l interfaccia eth1 alla LAN DMZ con indirizzo /24 attraverso l interfaccia eth0 All interno della DMZ esiste un server HTTP con indirizzo Gli utenti accedono al server HTTP mediante l indirizzo pubblico # La politica di default è quella di scartare i pacchetti iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP # Non accetta pacchetti relativi a nuove sessione senza il SYN iptables -A FORWARD -p tcp! --syn -m state --state NEW -j DROP iptables -A INPUT -p tcp! --syn -m state --state NEW -j DROP # Dalla LAN verso l esterno consenti tutto iptables -A FORWARD -i eth1 -o atm0 -j ACCEPT 139

140 Imola User Guide # Dalla DMZ verso l esterno consenti tutto iptables -A FORWARD -i eth0 -o atm0 -j ACCEPT # Da router verso l esterno consenti tutto iptables -A OUTPUT -o atm0 -j ACCEPT # Tra la DMZ e la LAN consenti tutto iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT # In ingresso al router ed in transito dal router # accetta solo pacchetti appartenenti a # sessione già realizzate iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Accetta pacchetti in transito verso il Server iptables -A FORWARD -p tcp -d dport 80 j ACCEPT # D-NAT dall indirizzo pubblico al server iptables -t nat -A PREROUTING -p tcp -i atm0 -d dport 80 -j DNAT --to # S-NAT verso l esterno iptables t nat A POSTROUTING o atm0 s /24 j SNAT --to-source iptables -t nat -A POSTROUTING -o atm0 -s j SNAT --to # Vieta l accesso verso l host iptables A FORWARD o atm0 s /24 d j LOG iptables A FORWARD o atm0 s /24 d j DROP COMANDI DI GESTIONE E CONFIGURAZIONE Il comando iptables ha effetto immediato, tuttavia affinchè le regole impostate siano memorizzate nella configurazione e attualizzate al prossimo reboot del router sono disponibilie due possibilità. La prima richiede che tutti i comandi abbiano la sintassi: set iptables <options> La seconda prevede l utilizzo del comando: iptables-save In genere se le regole impostate sono in numero limitato, allora conviene l utilizzo della sintassi: set iptables, altrimenti si ricorre al comando iptables-save. Tale comando appartiene ad un gruppo di comandi che permettono esclusiovamente la manipolazione delle regole di iptables. Il comando: iptables-stat visualizza le regole presenti e i relativi contatori associati ad ognuna. 140

141 Imola User Guide Per annullare tutte le regole presenti è disponibile il comando: iptables-flush Affinchè nessuna regola venga impostata al prossimo reboot occorre eseguire i comandi: iptables-flush iptables-save Il comando: iptables-conntrack visualizza lo stato di tutte le connessioni attive. Il comando: iptables-run permette di eseguire un insieme di regole da un file. Si usa congiuntamente al comando download command-file. Ad esempio, supponiamo di avere creato su un server TFTP, il file ipt.txt, contenente la lista di comandi iptables che vogliamo eseguire. Sul router si eseguono i comandi: # Transfer command file to router download command-file ipt.txt from <tftp-server> # Execute the command file iptables-run from ipt.txt # Display the rules present iptables-stat # Save the rules iptables-save reboot Il comando: iptables-sysctl permette di configurare e visualizzare il valore di vari parametri di sistema, ad esempio il numero massimo di connessioni oppure i timer associati allo stato delle connessioni: ip_conntrack_max ip_conntrack_tcp_timeout_syn_sent ip_conntrack_tcp_timeout_syn_recv ip_conntrack_tcp_timeout_established ip_conntrack_tcp_timeout_fin_wait ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_last_ack ip_conntrack_tcp_timeout_time_wait ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_max_retrans ip_conntrack_tcp_log_invalid_scale ip_conntrack_tcp_log_out_of_window ip_conntrack_tcp_loose ip_conntrack_tcp_be_liberal ip_conntrack_tcp_max_retrans ip_conntrack_udp_timeout ip_conntrack_udp_timeout_stream ip_conntrack_icmp_timeout ip_conntrack_generic_timeout Ad esempio per configurare a 600 secondi il valore del timeout delle sessioni: iptables-sysctl ip_conntrack_tcp_timeout_established 600 mentre per visualizzare il valore corrente: iptables-sysctl ip_conntrack_tcp_timeout_established 141

142 Imola User Guide Il comando: iptables-restore Permette di ripristinare particolari configurazioni. Distinguiamo almeno tre tipi differenti di configurazione: La configurazione current è quella contenente tutti i valori impostati nella fase di configurazione utilizzando il comando iptables. La configurazione saved è quella salvata sulla flash di Imola con il comando iptables-save ed è quella con la quale l'apparato si attiverà al prossimo boot. La configurazione started è quella con la quale l'apparato si è attivato al boot. Al termine del boot e prima che cominci la fase di configurazione, le tre configurazioni sono uguali. Durante la fase di configurazione e verifica, le configurazioni saved e started sono uguali. Dopo aver eseguito dei comandi di configurazione ed aver eseguito il comando iptables-save, la configurazione current diventa anche saved e sarà quella con cui si attiverà l'apparato al prossimo boot. È possibile visualizzare il contenuto dei tre diversi profili di configurazione mediante il comando: iptables-show-config current saved started Inoltre è possibile gestire fasi intermedie di configurazione. Il comando CLI iptables-set-checkpoint permette di creare un salvataggio intermedio, denominato checkpoint, utile per salvare un profilo di configurazione relativo ad un certo istante. Tramite il comando iptables-restore checkpoint è possibile ripristinare la particolare configurazione salvata. Ad esempio: iptables-set-checkpoint-1 crea un salvataggio intermedio che in qualsiasi momento può essere richiamato mediante il comando: iptables-restore checkpoint-1 Possono essere presenti 2 configurazioni intermedie usando i comandi: iptables-set-checkpoint-1 and iptables-set-checkpoint-2. Dopo aver effettuato il comando di iptables-restore, è necessario eseguire il comando iptables-save. Per fare in modo che la configurazione ripristinata diventi quella corrente al prossimo reboot del router è necessario eseguire il comando: iptables-save 142

143 PROTOCOLLO VRRP PROTOCOLLO VRRP Imola User Guide CONFIGURAZIONE Imola supporta il protocollo VRRP (Virtual Router Redundancy Protocol, RFC 2338), un protocollo standard tramite il quale più router di una LAN possono dinamicamente assegnarsi il compito di rispondere a determinati indirizzi IP. In una configurazione ridondante distinguiamo un nodo Master ed uno o più nodi di Backup. Al momento dell attivazione del protocollo VRRP (stato iniziale) tutti i nodi coinvolti inviano dei pacchetti verso un indirizzo di gruppo specificando un valore di priorità necessario per decidere quale nodo deve assumere il ruolo di Master: il nodo il cui valore di priorità è maggiore diventa il Master. Questo attiva un indirizzo IP virtuale sulla interfaccia configurata e tramite questa continua ad inviare i pacchetti (pacchetti di advertisement) verso l indirizzo di gruppo (multicast), mentre i nodi di backup rimangono in ascolto. Se il nodo di backup non riceve più i pacchetti di advertisement oppure li riceve ma il valore per la priorità è inferiore al suo, esso assume il ruolo di Master. Analogamente, se il nodo Master riceve degli advertisement con un valore di priorità maggiore del suo, esso diventa backup. Per configurare l interfaccia su cui attivare il protocollo il comando è: set vrrp interface <ifname> dove ifname può essere eth0 oppure eth1, oppure il nome di una interfaccia VLAN del tipo eth1.n. Per stabilire l intervallo tra l invio di un pacchetto di advertisement ed il successivo il comando è: set vrrp delay N Il backup si accorgerà della non-disponibilità del master dopo 3*delay. Il default è 1s Per impostare la priorità: set vrrp priority N Il valore N può variare da 1 a 254. Maggiore è il valore e maggiore è la priorità. Il comando: set vrrp vipaddr configura l indirizzo IP virtuale che sarà attivato sulla interfaccia configurata nel caso in cui si assuma il ruolo di Master. Infine per attivare il protocollo si usa il comando: set vrrp on Un esempio di configurazione tipica del protocollo VRRP è la seguente: set vrrp interface eth0 set vrrp delay 1 set vrrp priority 50 set vrrp vipaddr set vrrp on 143

144 PROTOCOLLO VRRP Imola User Guide Per disabilitare il protocollo VRRP è sufficiente digitare il comando: set no-vrrp VISUALIZZAZIONE Per visualizzare lo stato e la configurazione del protocollo VRRP si usa il comando: show vrrp che mostra le seguenti informazioni: root@imola> show vrrp set vrrp vmac set vrrp interface eth1 set vrrp vrid 11 set vrrp priority 100 set vrrp delay 1 set vrrp vipaddr set vrrp on VRRP ID 11 on eth1: we are now the master router. VRRP ID 11, Priority: 100, Virtual IP(s): Virtual MAC: 00:00:5e:00:01:0b VRRP ID 11 Changed state 2 times. Last time change was 25 sec ago TRIGGER VRRP E possibile programmare dei trigger eseguiti nel momento in cui si ha un cambio di stato legato al protocollo VRRP. Ad esempio, nel momento in cui il router diventa Master VRRP attiva un tunnel GRE e il protocollo RIP ed esegue le operazioni inverse quando diventa Backup VRRP: set trigger vrrp up set gre generic on set trigger vrrp up set rip on set trigger vrrp down set rip off set trigger vrrp down set gre generic off dove sia il tunnel che il RIP sono stati precedentemente configurati, ma mai attivati. CONFIGURAZIONE VRRP MEDIANTE COMANDO VRRPD In alternativa al comando set vrrp può essere usato direttamente il comando vrrpd, utile soprattutto per creare un numero di gruppi VRRP a piacere. Ad esempio i comandi: vrrpd i eth1 n v 12 p vrrpd i eth1 n v 13 p attivano sull interfaccia eth1 rispettivamente due servizi VRRP rispettivamente con 144

145 PROTOCOLLO VRRP Imola User Guide gruppo 12, priorità 120 ed indirizzo virtuale gruppo 13, priorità 130 ed indirizzo virtuale Il parametro -n è obbligatorio in caso di più gruppi VRRP. I servizi attivati con il comando vrrpd convivono con l istanza configurata mediante il comando set vrrp. Per fermare un determinato servizio si usa il comando no-vrrpd. Ad esempio: no-vrrpd i eth1 v 12 no-vrrpd i eth1 v 13 Il comando vrrpd non ha effetti sulla configurazione di Imola, ovvero il gruppo VRRP non verrà attivato automaticamente al prossimo reboot. Tipicamente il comando si utilizza congiuntamente ai comandi di trigger. Ad esempio per attivare i due gruppi allo start-up del router è necessario impostare i comandi: set autocmd vrrpd i eth1 n v 12 p set autocmd vrrpd i eth1 n v 13 p oppure il servizio può essere attivato quanto si attiva la sessione GPRS e disattivato quando questa viene terminata: set trigger gprs up vrrpd i eth1 n v 12 p set trigger gprs down no-vrrpd i eth1 v 12 ooppure al momento della attivazione della funzionalità di backup: set trigger backup up set vrrpd i eth1 n v 13 p Utilizzando direttamente il comando vrrpd non è possibile specificare dei trigger associati al cambiamento di stato del gruppo attivato. Le azioni impostate mediante i comandi set trigger vrrp up e set trigger vrrp down sono relativi solamente al gruppo VRRP configurato mediante il comando set vrrp. Il comando show vrrp visualizza lo stato di tutte le istanze attive. 145

146 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP In uno scenario di rete complesso, nel quale sia necessario collegare host appartenenti a reti differenti, può diventare fondamentale l utilizzo di protocolli di routing dinamico. Questo tipo di routing permette ai vari router di scambiarsi le informazioni necessarie per determinare i possibili percorsi per raggiungere destinazioni remote. Tra i tipi di protocolli di routing Imola supporta i protocolli utilizzati per: l instradamento all interno dello stesso dominio amministrativo (Intradomain routing o Interior Gateway Protocols) RIP (Distance vector) OSPF (Link state) l instradamento tra differenti domini amministrativi (Interdomain routing o Exterior Gateway Protocols) BGP (Border Router Protocol) l instradamento Multicast PIM (Protocol Independent Multicast) in entrambe le modalità (PIM-DM, PIM-SM) CONFIGURAZIONE PROTOCOLLO RIP Il protocollo RIP prevede l annuncio periodico delle reti direttamente connesse al router. Per configurare l interfaccia su cui trasmettere gli annunci RIP si usa il comando: set rip network <network/n> eventualmente ripetuto per tutte le interfacce su cui si vogliono inviare gli annunci. Per impostare la metrica delle rotte distribuite il comando è: set rip default-metric <1-16> mentre per definire la distanza amministrativa: set rip distance N Per configurare il valore dei timer del protocollo RIP: set rip timers-basic t1 t2 t3 dove t1 rappresenta il valore per il Routing Table Update Timer (default 30s), t2 rappresenta il valore per il Routing Information Timeout Timer (default 180s) e t3 rappresenta il valore per il Garbage Collection Timer (default 120s). Per stabilire che un interfaccia deve essere passiva, ovvero può solo ricevere annunci, senza inviarli, si usa il comando: set rip passive-interface <ifname> ripetuto per tutte le interfacce che devono restare passive. Il comando: 146

147 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide set rip version 1 2 definisce la versione di RIP (RIPv1 o RIPv2) Il comando: set rip neighbor a.b.c.d Permette di inviare gli annunci RIP direttamente all host a.b.c.d, invece che all indirizzo di gruppo. Il comando set rip directive <router command> permette di specificare parametri avanzati del protocollo. Ad esempio i comandi: set rip directive route /24 set rip directive route /16 stabiliscono che le network /24 e /16 devono essere incluse negli annunci RIP. Il comando set rip directive redistribute static stabilisce che devoo essere annunciate tutte le rotte statiche presemti. Il comando: set rip no-directive <router command> elimina dalla configurazione la direttiva RIP introdotta. I principali comandi che possono essere specificati con tale opzione sono: network network network ifname neighbor a.b.c.d timers-basic update timeout garbage passive-interface (IFNAME default) ip split-horizon version version redistribute kernel redistribute kernel metric <0-16> redistribute kernel route-map <rm-name> redistribute static redistribute static metric <0-16> redistribute static route-map <rm-name> redistribute connected redistribute connected metric <0-16> redistribute connected route-map <rm-name> redistribute ospf redistribute ospf metric <0-16> redistribute ospf route-map <rm-name> redistribute bgp redistribute bgp metric <0-16> redistribute bgp route-map <rm-name> 147

148 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide default-information originate route a.b.c.d/m distribute-list access_list direct ifname distribute-list prefix prefix_list (in out) ifname distribute-list prefix prefix_list (in out) ifname distance <1-255> distance <1-255> A.B.C.D/M distance <1-255> A.B.C.D/M access-list route-map <rm-name> permit match interface word route-map <rm-name> permit match ip address word route-map <rm-name> permit match ip address prefix-list word route-map <rm-name> permit match ip next-hop A.B.C.D route-map <rm-name> permit match metric < > route-map <rm-name> permit match tag < > route-map <rm-name> deny match interface word route-map <rm-name> deny match ip address word route-map <rm-name> deny match ip address prefix-list word route-map <rm-name> deny match ip next-hop A.B.C.D route-map <rm-name> deny match metric < > route-map <rm-name> deny match tag < > route-map <rm-name> permit set ip next-hop A.B.C.D route-map <rm-name> permit set metric < > route-map <rm-name> permit set tag < > route-map <rm-name> deny set ip next-hop A.B.C.D route-map <rm-name> deny set metric < > route-map <rm-name> deny set tag < > ip prefix-list <prf-name> description <description> ip prefix-list <prf-name> permit <prefix-list-rule> ip prefix-list <prf-name> permit <prefix-list-rule> ip prefix-list <prf-name> deny <prefix-list-rule> ip prefix-list <prf-name> deny <prefix-list-rule> Per disabilitare il protocollo RIP utilizzare il comando: set no-rip CONFIGURAZIONE PROTOCOLLO OSPF Per configurare il protocollo OSPF si usa il comando: set ospf directive <ospf command> mentre per eliminarlo dalla configurazione: set ospf no-directive <ospf command> 148

149 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide Ad esempio per attivare il protocollo OSPF sulle interfacce di rete con indirizzi e : set ospf directive network /16 area set ospf directive network /16 area set ospf on Per configurare i parametri relativi ad una specifica interfaccia si usa il comado: set ospf directive interface <ifname> <parametro> <valore> Ad esempio per impostare un costo e una priorità sull interfaccia pvc0: set ospf directive interface pvc0 ospf cost 1000 set ospf directive interface pvc0 ospf priority 50 Per arrestare e per disabilitare il protocollo ospf utilizzare rispettivamente i seguenti comandi: set ospf off set no-ospf La propagazione delle rotte tra i due sistemi può essere verificata mediante il comando: show ip route ospf Sono disponibili vari comandi per la verifica del funzionamento. Ad esempio: show ip ospf neighbor show ip ospf border-routers show ip ospf database show ip ospf route E possibile abilitare il debugging del funzionamento mediante il comando: debug ospf <options> I principali comandi di OSPF sono: ospf router-id a.b.c.d ospf abr-type cisco standard ospf rfc1583compatibility log-adjacency-changes [detail] passive-interface interface timers throttle spf delay initial-holdtime max-holdtime network a.b.c.d/m area a.b.c.d network a.b.c.d/m area < > neighbor A.B.C.D neighbor A.B.C.D poll-interval < > neighbor A.B.C.D poll-interval < > priority <0-255> neighbor A.B.C.D priority <0-255> neighbor A.B.C.D priority <0-255> poll-interval < > area a.b.c.d stub 149

150 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide area a.b.c.d stub no-summary area < > stub no-summary area a.b.c.d default-cost < > area a.b.c.d filter-list prefix NAME in area a.b.c.d filter-list prefix NAME out area < > filter-list prefix NAME in area < > filter-list prefix NAME out ip ospf cost < > ip ospf dead-interval < > ip ospf dead-interval minimal hello-multiplier <2-20> ip ospf hello-interval < > ip ospf network (broadcast non-broadcast point-to-multipoint point-to-point) ip ospf priority <0-255> ip ospf retransmit-interval < > ip ospf transmit-delay redistribute (kernel connected static rip bgp) redistribute (kernel connected static rip bgp) route-map redistribute (kernel connected static rip bgp) metric-type (1 2) redistribute (kernel connected static rip bgp) metric-type (1 2) route-map word redistribute (kernel connected static rip bgp) metric < > redistribute (kernel connected static rip bgp) metric < > route-map word redistribute (kernel connected static rip bgp) metric-type (1 2) metric < > redistribute (kernel connected static rip bgp) metric-type (1 2) metric < > route-map word default-information originate default-information originate metric < > default-information originate metric < > metric-type (1 2) default-information originate metric < > metric-type (1 2) route-map word distribute-list NAME out (kernel connected static rip ospf default-metric < > distance <1-255> route-map <name> permit <seq> set metric < > route-map <name> permit <seq> set metric-type type-2 route-map <name> permit <seq> set metric-type type-1 route-map <name> permit <seq> set tag < > route-map <name> deny <seq> set metric < > route-map <name> deny <seq> set metric-type type-2 route-map <name> deny <seq> set metric-type type-1 route-map <name> deny <seq> set tag < > 150

151 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide route-map <name> permit <seq> match tag < > route-map <name> deny <seq> match tag < > access-list (<1-99> < >) (deny permit) A.B.C.D access-list (<1-99> < >) (deny permit) A.B.C.D A.B.C.D access-list (<1-99> < >) (deny permit) any access-list (<1-99> < >) (deny permit) host A.B.C.D access-list (< > < >) (deny permit) ip A.B.C.D A.B.C.D A.B.C.D A.B access-list (< > < >) (deny permit) ip A.B.C.D A.B.C.D any access-list (< > < >) (deny permit) ip A.B.C.D A.B.C.D host A.B.C. access-list (< > < >) (deny permit) ip any A.B.C.D A.B.C.D access-list (< > < >) (deny permit) ip any any access-list (< > < >) (deny permit) ip any host A.B.C.D access-list (< > < >) (deny permit) ip host A.B.C.D A.B.C.D A.B.C. access-list (< > < >) (deny permit) ip host A.B.C.D any access-list (< > < >) (deny permit) ip host A.B.C.D host A.B.C.D access-list WORD (deny permit) A.B.C.D/M access-list WORD (deny permit) A.B.C.D/M exact-match access-list WORD (deny permit) any ip prefix-list WORD (deny permit) (A.B.C.D/M any) ip prefix-list WORD (deny permit) A.B.C.D/M ge <0-32> ip prefix-list WORD (deny permit) A.B.C.D/M ge <0-32> le <0-32> ip prefix-list WORD (deny permit) A.B.C.D/M le <0-32> ip prefix-list WORD (deny permit) A.B.C.D/M le <0-32> ge <0-32> ip prefix-list WORD description.line ip prefix-list WORD seq < > (deny permit) (A.B.C.D/M any) ip prefix-list WORD seq < > (deny permit) A.B.C.D/M ge <0-32> ip prefix-list WORD seq < > (deny permit) A.B.C.D/M ge <0-32> le <0-32> ip prefix-list WORD seq < > (deny permit) A.B.C.D/M le <0-32> ip prefix-list WORD seq < > (deny permit) A.B.C.D/M le <0-32> ge <0-32> ip prefix-list sequence-number CONFIGURAZIONE PROTOCOLLO BGP Il protocollo BGP prevede una sessione TCP tra una coppia di router, ognuno dei quali appartiene ad un determinato Autonomous System (AS). Per configurare l AS locale si usa il comando: set bgp local-as <value> Per configurare il router remoto ed il relativo AS si usa la coppia di comandi: set bgp remote-as <value> set bgp neighbor <ip address> 151

152 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide mentre per specificare una rete che deve essere annunciata al router remoto si usa il comando: set bgp network <value> che può essere ripetuto per ogni rete da annunciare. I comandi: set bgp keepalive-interval N set bgp holdtime N set bgp route-advt-interval N set bgp connect-timer N permettono rispettivamente di configurare i valore dei timer di Keepalive, Hold-Time, Route Advertisement Interval e Connect Timer. Il comando: set bgp multihop permette di attivate la sessione BGP anche se per raggiungere il router neighbor è necessario attraversare più router intermedi (hops). Per abilitare il protocollo BGP utilizzare il comando: set bgp on Per arrestare o per disabilitare il protocollo BGP utilizzare rispettivamente i comandi: set bgp off set no-bgp La propagazione delle rotte tra i due sistemi può essere verificata mediante il comando: show ip route bgp Sono disponibili vari comandi per la verifica del funzionamento. Ad esempio: show ip bgp neighbor show ip bgp summary show ip bgp neighbor X.Y.Z.T advertised-routes show ip bgp neighbor X.Y.Z.T received-routes Possono essere impostate opzioni avanzate del protocollo bgp mediante il comando: set bgp directive <option> Ad esempio: set bgp directive neighbor override-capability I principali comandi che possono essere specificati con l opzione directive sono: bgp router-id A.B.C.D distance bgp <1-255> <1-255> <1-255> distance <1-255> A.B.C.D/M network A.B.C.D/M redistribute kernel redistribute static redistribute connected 152

153 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide redistribute rip redistribute ospf neighbor peer remote-as asn neighbor peer ebgp-multihop neighbor peer description... neighbor peer version version neighbor peer next-hop-self neighbor peer update-source <ifname address> neighbor peer default-originate neighbor peer port port neighbor peer send-community neighbor peer send-community neighbor peer weight weight neighbor peer distribute-list name [in out] neighbor peer prefix-list name [in out] neighbor peer filter-list name [in out] neighbor peer route-map name [in out neighbor peer strict-capability-match neighbor peer dont-capability-negotiate neighbor peer override-capability access-list (<1-99> < >) (deny permit) A.B.C.D access-list (<1-99> < >) (deny permit) A.B.C.D A.B.C.D access-list (<1-99> < >) (deny permit) any ip prefix-list WORD (deny permit) (A.B.C.D/M any) ip prefix-list WORD (deny permit) A.B.C.D/M ge <0-32> ip prefix-list WORD (deny permit) A.B.C.D/M ge <0-32> le <0-32> ip prefix-list WORD (deny permit) A.B.C.D/M le <0-32> ip prefix-list WORD (deny permit) A.B.C.D/M le <0-32> ge <0-32> ip prefix-list WORD seq < > (deny permit) (A.B.C.D/M any) ip prefix-list WORD seq < > (deny permit) A.B.C.D/M ge <0-32> ip prefix-list WORD seq < > (deny permit) A.B.C.D/M ge <0-32> le <0-32> ip prefix-list WORD seq < > (deny permit) A.B.C.D/M le <0-32> ip prefix-list WORD seq < > (deny permit) A.B.C.D/M ip prefix-list sequence-number route-map <name> permit deny <seq> set aggregator as < > A.B.C.D route-map <name> permit deny <seq> set as-path exclude.< > route-map <name> permit deny <seq> set as-path prepend.< > route-map <name> permit deny <seq> set atomic-aggregate route-map <name> permit deny <seq> set community.aa:nn route-map <name> permit deny <seq> set community none route-map <name> permit deny <seq> set extcommunity rt.asn:nn_or_ip-address:nn 153

154 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide route-map <name> permit deny <seq> set extcommunity soo.asn:nn_or_ip-address:nn route-map <name> permit deny <seq> set ip next-hop A.B.C.D route-map <name> permit deny <seq> set ip next-hop peer-address route-map <name> permit deny <seq> set local-preference < > route-map <name> permit deny <seq> set metric <+/-metric> route-map <name> permit deny <seq> set metric < > route-map <name> permit deny <seq> set origin (egp igp incomplete) route-map <name> permit deny <seq> set originator-id A.B.C.D route-map <name> permit deny <seq> set pathlimit ttl <1-255> route-map <name> permit deny <seq> set weight < > route-map <name> permit deny <seq> match as-path WORD route-map <name> permit deny <seq> match community (<1-99> < > WORD) route-map <name> permit deny <seq> match community (<1-99> < > WORD) exact-match route-map <name> permit deny <seq> match extcommunity (<1-99> < > WORD) route-map <name> permit deny <seq> match ip address (<1-199> < > WORD) route-map <name> permit deny <seq> match ip address prefix-list WORD route-map <name> permit deny <seq> match ip next-hop (<1-199> < > WORD) route-map <name> permit deny <seq> match ip next-hop prefix-list WORD route-map <name> permit deny <seq> match ip route-source (<1-199> < > WORD) route-map <name> permit deny <seq> match ip route-source prefix-list WORD route-map <name> permit deny <seq> match metric < > route-map <name> permit deny <seq> match origin (egp igp incomplete) route-map <name> permit deny <seq> match pathlimit as < > route-map <name> permit deny <seq> match peer (A.B.C.D X:X::X:X) route-map <name> permit deny <seq> match peer local Il comando: set bgp no-directive <option> elimina dalla configurazione il parametro introdotto. E possibile abilitare il debugging del funzionamento mediante il comando: debug bgp <option> Esempi di configurazione Senza perdere in generalità, si consideri il seguente scenario: 154

155 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide dove i due router, chiamati A e PE sono connessi attraverso un collegamento geografico. Il router A ha un indirizzo di loopback e una LAN /27. Gli esempi che seguono riportano alcune configurazioni tipiche del protocollo BGP e mostrano anche interazioni con il protocollo OSPF. PROTOCOLLO BGP Il router A annuncia tramite protocolo BGP la propria LAN e il suo indirizzo di loopback: set bgp local-as set bgp remote-as 3269 set bgp network /32 set bgp network /27 set bgp neighbor set bgp on Il comando show ip bgp neighbor mostra lo stato della connessione con il router neighbor. Nel caso in cui non vi sia alcuna sessione attiva il risultato è: root@imola> show ip bgp neighbor BGP neighbor is , remote AS 3269, local AS 65201, external link BGP version 4, remote router ID BGP state = Active Last read 00:00:52, hold time is 180, keepalive interval is 60 seconds Message statistics: Inq depth is 0 Outq depth is 0 Sent Rcvd Opens: 0 0 Notifications: 0 0 Updates: 0 0 Keepalives: 0 0 Route Refresh: 0 0 Capability: 0 0 Total: 0 0 Minimum time between advertisement runs is 30 seconds For address family: IPv4 Unicast Community attribute sent to this neighbor(both) 0 accepted prefixes Connections established 0; dropped 0 Last reset never Next connect timer due in 74 seconds Read thread: off Write thread: off Mentre nel caso in cui la sessione sia stata stabilita: BGP neighbor is , remote AS 3269, local AS 65201, external link BGP version 4, remote router ID BGP state = Established, up for 00:00:16 155

156 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide Last read 00:00:15, hold time is 180, keepalive interval is 60 seconds Neighbor capabilities: 4 Byte AS: advertised and received Route refresh: advertised and received(old & new) Address family IPv4 Unicast: advertised and received Message statistics: Inq depth is 0 Outq depth is 0 Sent Rcvd Opens: 1 1 Notifications: 0 0 Updates: 1 6 Keepalives: 2 1 Route Refresh: 0 0 Capability: 0 0 Total: 4 8 Minimum time between advertisement runs is 30 seconds For address family: IPv4 Unicast Community attribute sent to this neighbor(both) 6 accepted prefixes Connections established 1; dropped 0 Last reset never Local host: , Local port: 1035 Foreign host: , Foreign port: 179 Nexthop: Per ottenere informazioni sulla sessione BGP: show ip bgp BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> i *> / i *> / i *> / i *> / i *> / i *> / i *> / i Total number of prefixes 8 Dove vengono visualizzate le rotte annunciate e quelle ricevute dal neighbor. Per visualizzare la tabella di routing BGP, si usa il comando: show ip route bgp 156

157 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - ISIS, B - BGP, > - selected route, * - FIB route B>* /0 [20/0] via , tun0, 00:05:12 B>* /32 [20/0] via , tun0, 00:05:11 B>* /32 [20/0] via , tun0, 00:05:11 B>* /24 [20/0] via , tun0, 00:05:11 B>* /24 [20/0] via , tun0, 00:05:11 B>* /16 [20/0] via , tun0, 00:05:11 Per visualizzare le rotte annunciate verso il proprio neighbor: show ip bgp neighbor advertised-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIBfailure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> / i *> / i Total number of prefixes 2 Per visualizzare le rotte ricevute è disponibile il comando: show ip bgp neighbor received-routes % Inbound soft reconfiguration not enabled Affinché abbia effetto occorre però aggiungere alla configurazione il comando: set bgp directive neighbor soft-reconfiguration inbound Il risultato quindi sarà: show ip bgp neighbor received-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIBfailure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> i *> / i *> / i *> / i *> / i *> / i *> / i Total number of prefixes 7 E possibile impostare i comandi bgp usando esclusivamente l opzione directive, ad esempio: 157

158 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide set bgp local-as set bgp directive neighbor remote-as 3269 set bgp directive neighbor description BGP router sample set bgp directive neighbor soft-reconfiguration inbound set bgp directive neighbor timers set bgp directive neighbor version 4 set bgp directive neighbor activate set bgp directive neighbor advertisement-interval 5 set bgp directive network /32 set bgp directive network /27 set bgp on aggiungendo alcuni parametri avanzati, tipo la description ed alcuni timer. CONFIGURAZIONE DEL ROUTER-ID E possibile specificare il valore del router-id mediante il seguente comando: set bgp directive bgp router-id In assenza di tale comando come router-id viene utilizzato l indirizzo IP di valore più alto presente sul router. BGP CON FILTRO DELLE ROTTE E ROUTE-MAP E possibile aggiungere dei filtri alle rotte ricevute utilizzando la sequenza di comandi: set bgp directive neighbor prefix-list FilterInBGP in set bgp directive ip prefix-list FilterInBGP description Block some net set bgp directive ip prefix-list FilterInBGP seq 10 deny /16 set bgp directive ip prefix-list FilterInBGP seq 20 deny /8 ge 32 set bgp directive ip prefix-list FilterInBGP seq 30 permit /0 le 32 Nonostante dal neighbor vengano ricevute tutte le network: root@imola> show ip bgp neighbor received-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIBfailure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> i *> / i *> / i *> / i *> / i *> / i *> / ? *> / i Total number of prefixes 8 158

159 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide nella tabella di routing vengono installate soltanto quelle definite dal filtro: root@imola> show ip route bgp Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - ISIS, B - BGP, > - selected route, * - FIB route B>* /0 [20/0] via , tun0, 00:02:16 B>* /24 [20/0] via , tun0, 00:02:15 B>* /24 [20/0] via , tun0, 00:02:15 E possibile utilizzare delle route-map per filtrare sia in ingresso che in uscita. Ad esempio: set bgp directive neighbor route-map ToPeerBGP out set bgp directive neighbor route-map FromPeerBGP in set bgp directive route-map ToPeerBGP permit 10 match ip address prefix-list ToPeerBGP set bgp directive route-map ToPeerBGP permit 10 set as-path prepend <ASN> set bgp directive ip prefix-list ToPeerBGP description Announced routes to Neighbor set bgp directive ip prefix-list ToPeerBGP seq 10 permit /32 set bgp directive ip prefix-list ToPeerBGP seq 20 permit /27 Definisce una route map per gli annunci verso il neighbor che stabilisce di annunciare gli indirizzi definiti dal costrutto ip prefix-list ToPeerBGP e di aggiungere ad ogni annuncio il valore di AS definito dalla regola set as-path prepend <ASN>. Mentre la route-map set bgp directive neighbor route-map FromPeerBGP in set bgp directive route-map FromPeerBGP permit 10 match as-path 10 set bgp directive route-map FromPeerBGP permit 10 set local-preference 140 set bgp directive ip as-path access-list 10 permit _65210_ assegna un valore di local-preference di 140 agli annunci definiti dal costrutto ip as-path. Questa funzione risulta particolarmente utile nel caso di sessioni BGP verso neighbor differenti. BGP CON ANNUNCIO DELLA ROTTA DI DEFAULT E possibile annunciare la rotta di default mediante l opzione set bgp directive neighbor default-originate BGP CON REDISTRIBUZIONE DI NETWORK CONNESSE L utilizzo del comando set bgp network A.B.C.D/N (o equivalentemente set bgp directive network A.B.C.D/N) fa in modo che la network A.B.C.D/N venga annunciata in maniera indiscriminata, qualsiasi sia il suo stato. 159

160 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide E possibile configurare il BGP in modo da annunciare le reti direttamente connesse soltanto se queste sono effettivamente disponibili: set bgp local-as set bgp directive neighbor remote-as 3269 set bgp directive neighbor description ebgp set bgp directive redistribute connected route-map ConnBGP set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocNet set bgp directive ip prefix-list LocNet seq 10 permit /27 set bgp directive ip prefix-list LocNet seq 10 permit /32 Poichè sia la LAN che l interfaccia di loopback sono attive, le rotte annunciate sono: root@imola> show ip bgp neighbor advertised-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIBfailure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> / ? *> / ? Total number of prefixes 2 Scollegando invece il cavo di LAN, si ottiene: root@imola> show ip bgp neighbor advertised-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> / ? Total number of prefixes 1 Dove si nota che la rete locale è scomparsa dagli annunci, per ricomparire non appena il collegamento verrà ripristinato. Tuttavia affinchè il meccanismo funzioni è necessario che venga specificato il comando: detect-link-state <ifname>14 dove <ifname> è il nome dell interfaccia di LAN. 14 In order to execute the command after router reboot, the following command must be used: set autocmd detect-linkstate <ifname> 160

161 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide E possibile specificare una lista di nomi di interfacce: detect-link-state eth1.10 eth1.10 eth1.20 eth1.30 BGP CON REDISTRIBUZIONE DI ROTTE STATICHE Con lo stesso criterio è possibile configurare il BGP in modo da annunciare le reti verso le quali è presente una rotta statica: set bgp local-as set bgp directive neighbor remote-as 3269 set bgp directive neighbor description ebgp set bgp directive redistribute connected route-map ConnBGP set bgp directive redistribute static route-map StatBGP set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocNetworks set bgp directive ip prefix-list LocalNetwork seq 10 permit /27 set bgp directive route-map StatBGP permit 10 match ip address prefix-list StatRoute set bgp directive ip prefix-list StatRoute seq 10 permit /16 set bgp directive ip prefix-list StatRoute seq 20 permit /16 Le rotte annunciate sono: root@imola> show ip bgp neighbor advertised-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> / ? *> / ? *> / ? *> / ? Eliminando invece le rotte statiche precedentemente configurate, si ottiene: set no-route net netmask gw set no-route net netmask gw root@imola> show ip bgp neighbor advertised-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete 161

162 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide Network Next Hop Metric LocPrf Weight Path *> / ? *> / ? Total number of prefixes 2 BGP CON REDISTRIBUZIONE DI ROTTE OSPF Aggiungiamo un ulteriore router, chiamato O, collegato alla rete locale del router A, che scambia le rotte tramite protocollo OSPF: Il router A annuncia verso il router O una rotta di default, mentre il router O annuncia le sue LAN connesse e il router A le redistribuisce tramite BGP: Una configurazione tipica del protocollo OSPF sul router O è la seguente: set ospf directive router ospf router-id set ospf directive network /27 area 0 set ospf directive network /32 area 0 set ospf directive network /24 area 0 set ospf on Lo stato della tabella di routing è: root@imola> show ip route ospf Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - ISIS, B - BGP, > - selected route, * - FIB route O>* /0 [110/20] via , eth0, 00:01:54 O /27 [110/10] is directly connected, eth0, 00:01:55 O /32 [110/10] is directly connected, dummy0, 00:02:09 O /24 [110/10] is directly connected, eth1, 00:02:04 Sul router A abbiamo: set ospf directive router ospf router-id

163 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide set ospf directive network /27 area 0 set ospf directive default-information originate metric 20 set ospf on con le rotte OSPF: root@imola> show ip route ospf Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - ISIS, B - BGP, > - selected route, * - FIB route O /27 [110/10] is directly connected, eth1, 00:10:10 O>* /32 [110/20] via , eth1, 00:03:32 O>* /24 [110/20] via , eth1, 00:03:32 Alla configurazione BGP aggiungiamo il comando che indica di annunciare verso il neighbor le rotte acquisite tramite OSPF: set bgp local-as set bgp directive neighbor remote-as 3269 set bgp directive neighbor description EBGP router master set bgp directive redistribute ospf route-map RedOSPF set bgp directive redistribute connected route-map ConnBGP set bgp directive redistribute static route-map StatBGP set bgp directive route-map ConnBGP permit 10 match ip address prefix-list LocalNet set bgp directive route-map StatBGP permit 10 match ip address prefix-list StatRoute set bgp directive route-map RedOSPF permit 10 match ip address prefix-list RedOSPF set bgp directive ip prefix-list LocalNet seq 20 permit /32 set bgp directive ip prefix-list LocalNet seq 10 permit /27 set bgp directive ip prefix-list StatRoute seq 10 permit /16 set bgp directive ip prefix-list StatRoute seq 20 permit /16 set bgp directive ip prefix-list RedOSPF seq 10 permit /16 le 32 set bgp directive ip prefix-list RedOSPF seq 20 permit /8 le 32 set bgp directive ip prefix-list RedOSPF seq 30 permit /8 le 32 set bgp on Le rotte annunciate sono: root@imola> show ip bgp neighbor advertised-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIBfailure, S Stale, R Removed 163

164 PROTOCOLLI DI ROUTING DINAMICO: BGP, OSPF E RIP Imola User Guide Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> / ? *> / ? *> / ? *> / ? *> / ? *> ? Total number of prefixes 6 Qualora venga interrotto il collegamento con il router O, lo stato delle rotte diventa: root@imola> show ip bgp neighbor advertised-routes BGP table version is 0, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> / ? *> / ? *> / ? *> / ? Total number of prefixes 4 Le rotte appariranno nuovamente non appena verrà ripristinato il collegamento interrotto. E possibile gestire uno scenario di backup, aggiungendo un ulteriore router, chiamato B, che annuncia le stesse LAN del router A verso il PE, mentre annuncia la rotta di default tramite OSPF con una metrica maggiore rispetto a quella del router A: La configurzione BGP del router B è simile a quella del router A, mentre la configurazione OSPF è la seguente: set ospf directive router ospf router-id set ospf directive network /27 area 0 set ospf directive default-information originate metric 40 set ospf on 164