A proposito dell'autore

Da aggiornare.

Come molto altro materiale presente liberamente su Internet, anche questo è fornito nella speranza che sia utile alla comunità Internet italiana, raccogliendo materiale da varie fonti e facendo ricorso alle conoscenze specifiche dei partecipanti al newsgroup, senza la pretesa di fornire soluzioni complete e funzionanti, ma dando i necessari concetti, o gli spunti da cui partire, per realizzare una topologia e delle configurazioni ottimizzati e sicuri; è comunque lasciato al lettore il compito di valutare l’utilità e l’opportunità di utilizzo delle informazioni qui raccolte. Inutile dire che ogni modifica alla configurazione dei vostri apparati è sotto la vostra responsabilità e di nessuno altro.

Generali

Cos’è questo?

Queste sono le F.A.Q. del newsgroup Cisco della gerarchia it.*, it.comp.reti.cisco (icrc); sono alla versione 0.1.0 ed hanno la loro homepage all’URL . Sono realizzate e mantenute da mayhem; sono e saranno volutamente in italiano e vivono della collaborazione di tutti, sia direttamente sul news-group, sia per contributi personali inviatimi per e-mail, o dalle conversazioni su irc, sul canale #cisco .

Vorrei segnalare , poichè contiene a sua volta un discreto di informazioni in italiano che a molti potrebbero interessare. Inutile dire che a quasi qualsiasi domanda esiste una risposta su http://www.cisco.com (e se qualcuno si ha fatto la fatica di scrivere, qualcun altro può fare la fatica di leggere…).

Si ringraziano tutti i partecipanti al newsgroup per il loro apporto e per il tempo, nonchè la pazienza, dedicati. Doveroso inoltre un grazie alla rivista Linux & CO che gentilmente ci sta offrendo questo spazio. Un enorme ringraziamento a Maurizio Cimaschi <mauri at unixrulez.org> per i preziosi consigli, l’impaginazione ed i contributi. Un grazie particolare a Roberto Sforza <roberto.sforza at altavista.net> per la versione in pdf per Palm Pilot.

Come ottenere certificazioni Cisco

Il panorama della certificazione Cisco è molto ampio, e si perde in mille rivoli considerando anche le specializzazioni; alla base di tutte c’è la CCNA (Cisco Certified Network Associate) che è propedeutica per quasi ogni altra (per ragioni storiche il massimo livello di certificazione CCIE non ha propeduticità). La si può ottenere rivolgendosi ad un centro autorizzato e sostenendo l’esame; alcuni di questi centri effettuano anche corsi propedeutici di preparazione. (Maurizio Cimaschi)

Dove trovo materiale di studio per l’esame CCNA?

Poichè mi hanno scritto in tanti, e non posso rispondere a tutti personalmente, per l’utilità di tutto il NG, vi do qui un paio di link che mi sono stati davvero molto utili per la preparazione all’esame:

http://www.mcsefreak.com/
http://www.thetestpage.net/free_tests.htm
Inoltre un consiglio, inserite in Google i seguenti criteri di ricerca:

ccna 2.0 summary note
ccna braindump
ccna summary

(Claudio Alla < claudio.alla at inwind dot it >)

E’ necessario l’acquisto dell’IOS assieme al router?

Su tutti i listini Cisco del mondo appare:

Router X + IOS IP Base

Quel “+ IOS IP Base” significa che sei licenziato ad usare l’IOS precaricato sul router, che, in quanto precaricato, non viene fornito su CD-Rom.
Le scatole nuove dell'”IOS IP Base”, prima che venga chiesto, servono se tu hai un 11.3 senza manutenzione e vuoi passare ad un 12.2.5 IP Base, sempre senza manutenzione (Smartnet). (mayhem)

Dove posso scaricare un nuovo IOS per il mio router?

L’IOS, il sistema operativo dei router Cisco, è in costante evoluzione ed in costante (si spera ;P) miglioramento. Spesso le nuove release introducono migliorie o nuove funzioni, quindi a volte è necessario aggiornare tale software, per poter completare il proprio lavoro. Le immagini, tutte, sono disponibili per il download dal sito Cisco; poichè l’utilizzo di tale software è subordinato al pagamento di una licenza, è necessario avere delle credenziali (login e password) autorizzate a tale download. Per poter quindi ottenere tale aggiornamento è d’obbligo l’acquisto di uno Smartnet, un contratto di assistenza, che preveda questa possibilità. L’unica altra alternativa è rivolgersi al proprio rivenditore, che, dietro il pagamento della relativa licenza d’uso, provvederà a fornirvi il CD-Rom contenente l’ IOS richiesto. Per poi procedere all’aggiornamento vi rimando alla F.A.Q. relativa.
Vorrei far notare, per completezza, che è relativamente semplice trovare delle immagini su Internet, cercando su siti warez ed affini. Vi fidereste ad utilizzare un server, il cui CD di installazione vi è stato fornito da un russo di cui non conoscete il nome e del quale ignorate le capacità di reverse engineering/modifica del software? Io personalmente lo eviterei. (mayhem)

Quale IOS supporta questa funzionalità? Quali funzionalità supporta il mio IOS?

Dopo essersi registrati sul CCO ( http://www.cisco.com/register) è possibile accedere al Function Navigator presso l’URL http://www.cisco.com/go/fn. Questo utilissimo tool ci permette di risalire alle funzionalità di un IOS dato il suo nome (es. c2500-jos56i-l.121-7.bin) oppure, data una feature che ci è necessaria, ricavare quali IOS in quali versioni e per quali piattaforme la supportano. (mayhem)

Come ottenere assistenza da Cisco (Smartnet)?

Cisco, come ogni vendor, vende anche dei pacchetti di assistenza per il proprio hardware. E’ possibile acquistare il mero diritto agli aggiornamenti software, le riparazioni in garanzia anche dopo la sua scadenza, la sostituzione degli apparecchi guasti on-site, anche entro 4 ore dal guasto. Chiaramente il prezzo varia molto a seconda dell’hardware che si vuole coprire e dalla modalità. Alla pagina “SMARTnet Onsite” potete ottenere tutte le informazioni necessarie. L’alternativa, come sempre, rivolgervi al vostro rivenditore di fiducia. (mayhem)

Come recuperare le password del router

Alla pagina “Password Recovery Procedures” è possibile trovare la corretta procedura per poter tornare in enable mode nel vostro router, senza conoscerne le password. Chiaramente questa procedura è possibile solo da locale, via consolle. Una volta avuto di nuovo accesso alla configurazione è possibile modificare le varie password, oppure decriptarle utilizzando questo programma, ciscocrack, per Linux, oppure GetPass per Windows.
Fanno eccezione le password “enable secret”, criptate in md5, quindi irreversibili; possono essere ottenute solo procedendo per successivi tentativi, cosa che non consiglio. (mayhem)

Dove trovo quelle icone così carine che rappresentano gli apparati Cisco?

Una grande quantità di icone che rappresentano apparati Cisco si può trovare all’url . Risultano particolarmente gradite quelle per Microsoft Visio e per le presentazioni di Microsoft Power Point. (mayhem)

Come sapere quanto traffico attraversa il mio router?

Vi consiglio l’utilizzo della accoppiata MRTG e IOG; entrambi i programmi sono scritti in perl, quindi sono disponibili sia per *nix sia per win32. Molto valido anche mrtg_total, un semplice script in perl che calcola i totali basandosi sui dati raccolti da MRTG. Per poter funzionare necessitano d un accesso via SNMP, anche in sola lettura, al router. Inutile dire che è necessario configurare SNMP in modo da non rendersi vulnerabili ad attacchi. Rimando al sito di MRTG per una più completa e dettagliata documentazione sul suo utilizzo, dove è possibile inoltre trovare anche diversi esempi di configurazione. (mayhem)

Generali Tecniche

Cosa è una interfaccia di loopback?

Una interfaccia di loopback è una interfaccia che fisicamente non esiste, creata nel router, se necessario, a livello software per svolgere alcune funzioni particolari, a discrezione del configuratore. La sua peculiarità è che il suo stato è sempre up-up. Un esempio? Pensa ad un router che sta su piu’ reti ed è raggiungibile da piu’ punti: avere una loopback ti permette di raggiungere il router via telnet (ssh sarebbe cmq meglio, sempre!) sempre sullo stesso IP, senza doverti preoccupare dello stato dei diversi link.
Se il “logging source-interface” di un router che manda tutti i suoi log ad un server syslogd è settato per esempio su loopback0, i log verranno sempre spediti, indipendentemente dallo stato dei diversi link, perchè l’interfaccia è sempre up-up.
Su router che svolgono particolari funzioni ti permettono di fare giochini sporchi, ma indispensabili. Ho un cliente che ha un tunnel GRE attraverso Internet, dentro al quale passano DLSW, IP ed EIGRP crittati con IPSec (pensate di non poter usare gli IP delle seriali). Se la HDSL va giu’, o quella della sede, o quella di una delle filiali, allora si genera una chiamata in ISDN che provvede la continuità di servizio (la macchina Linux che raccoglie i log via syslogd mi avvisa via SMS dell’accaduto). Se io non avessi avuto delle loopback su cui appoggiare IPSec e delle altre su cui appoggiare DLSW credo che la chiamata in ISDN non avrebbe mai funzionato, in quanto se il peer DLSW è la serial, se va giu’ il PVC il servizio si interrompe. Un’interfaccia di loopback la hanno tutti i PC per esempio, l’ip 127.0.0.1 (localhost). (mayhem)

Come aggiornare il sistema operativo del mio router?

Per aggiornare l’IOS di un router normalmente, nonostante esistano altri metodi, si utilizza un server TFTP, dal quale, tramite LAN, è possibile copiare il file fisicamente all’interno del router. Una volta scelto ed installato su una macchina tale servizio, sarà necessario definire la cartella che contiene l’immagine che vogliamo caricare come directory predefinita del server TFTP. A questo punto dal router sarà necessario impartire i seguenti comandi:

copy tftp://ip_del_tfp_server/nome_del_file_immagine flash://nome_del_file_immagine

Ci verrà chiesto, prima di iniziare la copia, se è nostra intenzione cancellare l’attuale contenuto della FLASH: dopo avere risposto inizierà l’operazione di copia vera e propria, al termine della quale, nella maggior parte dei casi, basterà un reboot per partire con il nuovo IOS.
Fin qui tutto bene, nulla di più semplice; ma sono molte le cose che dobbiamo tenere presenti quando effettuiamo questa operazione: dal verificare cosa sia presente sulla flash, prima di cancellarla, al sapere quale IOS stiamo caricando, fino al capire quale immagine cercherà il router alla sua partenza. Partiamo dal fondo: il router alla sua partenza cerca sempre, di default, di caricare la prima immagine che trova sulla flash; questo significa che se avevamo una flash abbastanza grande da poter contenere due immagini, e non abbiamo cancellato il file precedente, o l’intera flash, sarà sempre il vecchio IOS a partire. In questo caso sarà necessario impartire nella global configuration il seguente comando:

boot system flash nome_del_file_immagine

Ricordiamoci poi che tale comando potrebbe essere già presente nella nostra running-config, e quindi dopo l’upgrade via TFTP, prima del reload, è bene verificare che sia corretto: avere il nome di un immagine non piu’ presente non consente spesso al router di partire correttamente e dovremo quindi lavorare in rommon. Prima di iniziare l’upgrade è sempre bene verificare quali novità presenta l’IOS che stiamo per caricare, quali modifiche sarà necessario apportare alla nostra configurazione, affinchè tutto continui a funzionare correttamente (particolarmente vero per il PIX, che non mantiene mai la compatibilità con le release precedenti). Sul sito Cisco sono presenti le release note di ogni versione, cosi’ da poterci correttamente informare su quel che stiamo per fare. è inoltre sempre bene controllare cosa sia presente sulla flash del nostro router con il comando:

show flash

mentre per cancellare i files che non ci servono piu’ basta digitare

delete flash:/nome_del_file_immagine
sqeeze flash:

A questo punto resta un solo dubbio … dove posso scaricare un nuovo IOS per il mio router?

NB: io uso e consiglio questo programma freeware, distribuito da … sigh … 3Com: fa sia da server TFP, sia FTP ed inoltre Syslogd, di cui parleremo in seguito. (mayhem)

Come posso conservare i log del mio router?

Per poter tenere su una macchina remota i log del proprio router, magari per poterli anche elaborare, è necessario appoggiarsi al servizio syslogd; tale servizio è nativo sulle macchine con sistemi operativi unix-like, da cercarsi tra prodotti di terze parti per quel che riguarda sistemi operativi Microsoft. All’interno della configurazione del router è necessario inserire le seguenti righe di configurazione:

logging [hostname|ip_address_del_server_syslogd]
logging source-interface interfaccia_con_ip_che_si_vuole_appaia_nei_log
logging trap livello_di_gravità_minimo_che_vogliamo_loggare_in_remoto
logging facility localX ! X è il numero corrispondente al valore dato nell'istruzione precedente
loggin on

Si consiglia comunque anche l’inserimento del comando logging rate-limit, con i valori che si ritengo appropriati per il proprio ambiente di produzione, al fine di evitare di subire attacchi di tipo DoS (denial of service), nella fattispecie produzione di una quantità smisurata di log, con tutte le conseguenze. Se siete sotto windows e volete fare delle prove potete usare questo programma freeware. (mayhem)

Come configurare un Tunnel GRE tra due router?

A:

interface tunnel 0
descriprion Tunnel verso B
ip address ip_privato_A 255.255.255.252
tunnel source ip pubblico statico A
tunnel destination ip pubblico statico B
ip route network_address_B subnet_mask ip_privato_B

B:

interface tunnel 0
descriprion Tunnel verso A
ip address ip_privato_B 255.255.255.252
tunnel source ip pubblico statico B
tunnel destination ip pubblico statico A
ip route network_address_A subnet_mask ip_privato_A

Dove ip_privato A e B sono adiacenti (es. 192.168.252.1 e 192.168.252.2) e non sono utilizzati in nessuna delle reti privati della azienda. (mayhem)

Come pubblicare su Internet il mio Web/Mail/Etc Server interno, usando tramite NAT l’IP del router?

Presumendo un NAT già propriamente configurato, sarà sufficiente aggiungere la seguente riga:

ip nat inside source static tcp ip_host_interno port ip_pubblico_router port

o in alternativa, nel caso ad esempio di IP Pubblico Dinamico:

ip nat inside source static tcp ip_host_interno port interface port

dove chiaramente port corrisponde al servizio che vogliamo pubblicare (es. 80 http, 25 smtp e via dicendo). (mayhem)

Come fare bridging tra la mia rete Ethernet e la mia rete Token Ring?

Come realizzare source-route bridging tra una rete Ethernet ed una rete Token Ring? Ecco una breve configurazione di esempio:

source-bridge ring-group 2000
dlsw local-peer peer-id ip_address_ethernet 0/0
dlsw remote-peer 0 tcp ip_address lsap-output-list 200
dlsw bridge-group 1
!
interface Ethernet0/0
ip address ip_address subnet_mask
!
interface TokenRing0/0
ip address ip_address subnet_mask
ring-speed 16
multiring ip
source-bridge 11 11 2000
!
no ip forward-protocol udp tftp
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
!
access-list 200 deny 0xF0F0 0x0101
access-list 200 permit 0x0000 0xFF01
access-list 200 permit 0x0004 0xFF01
access-list 200 permit 0x0008 0xFF01
queue-list 1 protocol dlsw 1
queue-list 1 protocol ip 2 tcp 1352
queue-list 1 default 3
queue-list 1 queue 1 byte-count 1200 limit 30
queue-list 1 queue 2 byte-count 1600
queue-list 1 queue 3 byte-count 2800
bridge 1 protocol ieee

(Ermanno Boldi <ermanno.boldi at tin dot it>)

Quali access-lists mettere sul mio router?

In questa sezione utilizzerò le named access-list disponibili solo dall’IOS IP Plus in su. Chi avesse un IOS IP base dovrà solo premettere “access-list XXX” davanti ad ogni riga per poterla utilizzare come semplice access-list estesa. è impossibile suggerire una access-list perfetta per ogni situazione; questo vuole essere solo un esempio da cui prendere spunto. Inutile dire che avere una classe di IP Pubblici o un IP solo varia di poco le cose: andrà sostituito il network_address/wildcard_mask con un “host ip_pubblico_del router”; molto dipende se il nat lo fa il router o un firewall alle sue spalle, e cosi’ vià. Quindi cercate di capire bene che tipo di traffico attraversa, deve o non deve attraversare il vostro gateway; il debug IP packet detailed da molte informazioni a chi lo sa leggere.

Iniziamo con il decidere a quale tipo di traffico permettiamo di entrare attraverso la seriale (o altra interfaccia) che ci collega ad Internet.

ip access-list extended outside
remark Regole Anti-spoofing
deny ip 10.0.0.0 0.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any ! nessuna classe privata dovrebbe poter mandare pacchetti attraverso Internet
deny ip 224.0.0.0 0.255.255.255 any ! e la maggioranza di noi dei multicast non sa che farsene
deny ip network_address wildcard_mask any ! nessuno si puo' presentare a noi con i nostri indirizzi
remark Risposte che mi aspetto dalle comunicazioni iniziate dall'interno
permit tcp any network_address wildcard_mask gt 1023 established
permit udp any network_address wildcard_mask gt 1023
permit tcp any eq ftp-data network_address wildcard_mask gt 1023 ! per poter utilizzare ftp attivo
permit icmp any network_address wildcard_mask echo-reply ! non rispondo ai ping, ma accetto le risposte ai miei
remark Servizi
permit tcp any host ip_pubblico_del_servizio eq port ! es. server web interno
permit udp host ntp_server eq ntp host ip_pubblico_del_router eq ntp
deny ip any any log

Ricordiamo inoltre che dalla nostra rete esce solo il traffico che noi vogliamo fare uscire; filtrare di modo che solo i nostri IP siano instradati è sempre una buona idea.

ip access-list extended inside
remark Traffico LAN
deny udp any range 135 netbios-ss any
permit ip network_address wildcard_mask any
permit icmp network_address wildcard_mask any
deny ip any any log

Vogliamo inoltre limitare alla work-station di management gli accessi ai tty e probabilmente anche alle community snmp

access-list 10 remark WS autorizzate al accedere ai tty
access-list 10 permit host ip_host_autorizzato
access-list 10 deny any log
access-list 20 remark WS autorizzate all'accesso via SNMP
access-list 20 permit host ip_host_autorizzato
access-list 20 deny any log

Per applicare le access-list alle relative intefaccie seguiranno dei banali:

interface ethernet 0/0
ip access-group inside in
interface serial 0/0.1
ip access-group outside in
line vty 0 4
access-group 10 in

Per SNMP invece basta specificare il numero della access-list alla fine della riga di dichiarazione della community. (mayhem)

Perchè non riesco a collegarmi con il portatile alla mia VPN dalla rete di un cliente?

Una delle principali funzionalità di una VPN, oltre al criptare i pacchetti, consiste nel firmarli, nel permettere cioè al server con cui parliamo di essere certo che nessuno abbia modificato il pacchetto che il nostro client ha inviato. Quando ci si connette ad Internet, attraverso un router, quasi sicuramente abbiamo un indirizzo IP privato che viaggerà poi su Internet con l’IP pubblico del router: questa operazione si chiama NAT. Poichè questo meccanismo modifica il pacchetto, ciò che arriva al nostro server VPN viene percepito come un pacchetto modificato lungo il tragitto, quindi non affidabile, e verrà scartato. Esistono diverse soluzioni a questo problema, a seconda del metodo e degli apparati utilizzati, quindi ogni caso andrà valutato al momento. (mayhem)

Differenza tra RIP ed OSPF?

Come al solito si confondono/confrontano i protocolli Distance Vector con i Link State come se fossero oggetti misteriosi dell’ambiente IP.

1. RIP essendo povero processo di routing si basa sugli HOPS count (max 15) ed utilizza i così chiamati “hello packets” che spedisce ogni 30 sec in broadcast L3 o multicast 224.0.0.9 (rip v2) Funziona solo su reti CDMA … (ethernet)

2. OSPF essendo protocollo anche detto di “PATH Selection” non ha un solo annuncio dello stato della tabella ma ce ne sono diversi in funzione del tipo di rete sulla quale il processo OSPF “gira” … ed è anche detto “differenziale” perchè le info di change non vengono spedite in forma di tutta la tabella di routing ma solo la differenza. Ricordati che OSPF parla con i vicini in IP protocollo 83. (alessio rivoltella <rivo at axia dot it>)

Netmeeting non funziona!

Ancora da compilare.

Differenza tra password 7 e password 5

La enable password 7 utilizza un algoritmo proprietario cisco per criptare, in realtà molto debole, fatto giusto per evitare che uno dietro di te mentre fai un sho conf possa vedere le pass belle in chiaro. avuta la stringa di una pass 7 si decripta in pochi secondi.

La enable secret 5, invece, utilizza il ben piu’ complesso, ed anche one-way, algoritmo md5 per criptare. Tu immetti la pass, essa viene criptata, e salvata nella conf. da quel momento è indecifrabile poichè con md5 è impossibile risalire alla stringa in chiaro a partire da quella criptata. quando tu immetti da (ad es) telnet la pass al router esso la cripta con md5 e verifica se quella criptata salvata e quella criptata ora coincidono. se cosi’ fosse significa che hai immesso la pass corretta.

L’unico modo per ricavare una pass in md5 è per tentativi, brute force, cioè prendo un vocabolario, e cripto in md5 a una a una tutte le parole, fino a che non trovo quella che criptata produce la stessa stringa. un procedimento lungo e fastidioso.

Ci sono programmi, come john the ripper (www.openwall.org) che fanno questa operazione di brute forcing di password in md5. questo programma è nato per forzare le password dei sistemi unix, che venivano criptate con tale metodo. motivo per cui essi vogliono un file di password di un sistema unix (/etc/passwd) da forzare. a te basta fare un file con ad esempio scritto:

mayhem:_pass_in_md5:0:0:i’m green:/home/sweet:/bin/laden

e poi dire a john di trovare quella password per te. ci potrebbe mettere da diverse ore ad alcuni giorni. La domanda che vorrai fare subito dopo è “ma john vuole la wordlist, dove ne trovo una?”. www.google.com, cerchi italian wordlist per averla in italiano, o turkish wordlist per averla in turco.

(mayhem)

Traffic Shaping …

Si tratta in pratica di definire una o piu’ access list che definiscano su quali indirizzi e/o per quali protocolli voglio definire politiche di utilizzo di banda. Non è pero’ necessario (nel mio caso si’) perchè posso definire l’utilizzo di banda anche per una singola Interfaccia quindi genericamente per tutta la rete ad essa collegata.

Nel primo caso, avendo un router 2500 con la ethernet collegata alla rete interna e la seriale collegata verso internet, ho dovuto creare una access list per il traffico generato dall’esterno verso l’interno, quindi in uscita dall’ethernet (vista la mia necessità di limitare l’utilizzo di banda per chi scarica).

Creo l’access list che permette qualsiasi protocollo da Internet (any) ad un gruppo di 32 IP dal 160 al 191

access-list 141 permit ip any network_address wildcard_mask

poi entro in configurazione ethernet e definisco il traffic-shape per 128kbit

interface ethernet 0/0
traffic-shape group 141 128000 16000 16000 1000

(Stebo <stebo at hotmail dot com>)

… e CAR

Traffic-shape è una buona scelta, ma se l’argomenta ti interessa, ti consiglio questo link

Dove ti dice che c’è anche un altro strumento valido per limitare il traffico, il CAR (Committed Access Rate). La differenza fondamentale tra i due metodi è che il Traffic-shape limita il traffico ritardando quello in eccesso, facendo uso del buffering, e utilizzando quindi pesantemente le risorse del router. Il CAR invece puo’ “tagliare”, droppando, i pacchetti in eccesso. Se il tuo scopo era quello brutale di limitare i navigatori piu’ incalliti, con il CAR probabilmente ottieni in modo piu’ incisivo l’obiettivo senza sprecare RAM per il buffering. (Roberto Piersante <rp67 at libero dot it>

7xx

Il mio Cisco 761 alza spesso la linea senza motivo

Non hai filtrato le porte netbios.Se hai il software versione 4.4.5 (con SH VER lo vedi):

CD profilo
SET NETBIOS FILTER ON
REBOOT

e sei a posto. Altrimenti:

CD profilo
SET NETBIOS FILTER OFF
SET IP FILTER UDP IN SOURCE 0.0.0.0/0:137-138 BLOCK
SET IP FILTER TCP IN SOURCE 0.0.0.0/0:139 BLOCK
REBOOT

La ragione di questa differenza è che nelle versioni precedenti la 4.4.5 il filtro è bacato, e ti filtra anche la porta 53, per cui ti capiterebbe che il dns non funzioni. (Jake <ciccio at ciccio dot it>)

Cosa è il profilo internal sui router della serie 7xx?

Il profilo internal è assimilabile ad una interfaccia di loopback.

4. ISDN

Che tipo di linea ISDN serve ad un router?

Un cisco 801 richiede una linea ISDN punto-punto o punto-multipunto? Come cambio eventualmente la configurazione del cisco?

Ci vorrebbe una punto-multipunto per comodità. Se hai una punto punto o la fai cambiare da telecomics in punto multipunto, oppure nel setup della porta ISDN:

isdn static-tei 0

(Jake <ciccio at ciccio.it>)

Alimentare o non alimentare la borchia ISDN?

Per quanto ne so io, e da specifiche telecom, la borchia funziona così:

nt1 base: in mancanza di corrente la borchia prende alimantazione da rete telecom e permette il funzionamento di un solo canale B a 64K e di un solo apparato non auto-alimentato (es.telefono ISDN).

Con la corrente ovviamente funzionano entrambi i canali e fino ad unmassimo di 8 apparati non alimentati (apparecchi che prendono la corrente dalla linea)

nt1 plus: in mancanza di corrente puಠfunzionare in uno dei seguenti modi a seconda di come ਠstata configurata: 1) come sopra 2) alimentare una delle due uscite analogiche

(Claudio Martin < claudio.martin at abilene dot it >

Il mio router ISDN continua ad alzare la linea senza motivo.

Tutte le macchine windows, di default, cercano di risolvere i nomi, anche quelli della LAN, appoggiandosi anche al DNS. se il dns configurato su ogni PC è il DNS del provider, sfogliare la rete, accendere un PC, mappare un disco, equivale al fare attivare una chiamata. Ci sono due soluzioni a questo problema: utilizzare un server DNS interno, correttamente configurato, oppure nel filtrare questo tipo di pacchetti di risoluzione, poichè diversi dai pacchetti per la risoluzione “standard” (quella che avviene quando navighiamo per esempio). Le access-list da inserire nel router sono le seguenti:

access-list 110 remark Filtro i broadcast Netbios ! non supportato su tutti gli IOS
access-list 110 deny udp any range 135 139 any
access-list 110 permit network_address wildcard_mask any ! solo gli ip della vostra LAN
access-list 110 deny ip any any log
interface ethernet 0/0
ip access-group 110 in

(mayhem)

Come configuro una chiamata ISDN di Backup?

Ancora da compilare.

ADSL

Configurare il mio router Cisco 827

Nella domanda successiva vengono meglio affrontate le problematiche relative al numero di indirizzi che abbiamo a disposizione ed all’eventuale NAT. Per ora qui indico solo una configurazione “esempio” per fare funzionare una ADSL PPPoE come quella NetWay di Telecom. Sicuramente, con l’aiuto di tutti, cerchero’ di ampliare questa FAQ e renderla un po’ piu’ completa.

interface ATM0
description Connesso a RETE DSL
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache
no ip mroute-cache
no cdp enable
atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
description Connesso ad ISP
ip address ip_address subnet_mask
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache
no ip mroute-cache
no cdp enable
pvc 8/35
encapsulation aal5snap

Nel caso di connessioni PPPoA la configurazione da adottare è la seguente:

interface ATM0
description Connesso a RETE DSL
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache
no ip mroute-cache
no cdp enable
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
hold-queue 224 in
!
interface Dialer1
description Connesso ad ISP
ip address ip_address subnet_mask
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation ppp
no ip route-cache
no ip mroute-cache
dialer pool 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username username password password

ip_address è sempre l’indirizzo seguente a quello indicato come “POP Nazionale”. Sull’interfaccia ethernet avremo il primo IP della subnet di IP pubblici assegnatici o degli IP privati, con conseguente NAT, nel caso sia previsto un solo IP. Inutile dire che in caso di IP Pubblico dinamico dovremo scrivere “ip address negotiated”. Il default gateway è chiaramente l’interfaccia atm0.1 o dialer1. Ho volutamente tralasciato access-list e nat che potete trovare in altre parti di questo documento.

(mayhem e tutte le persone che hanno postato configurazioni di esempio)

Quale cavo per il Cisco 1417?

Ho dovuto fare una modifica al cavo, quello in dotazione non funzionava. Lo schema che ho utilizzato consiste nell’invertire la coppia interna con quella esterna. Se da una parte hai 1 2 3 4 dall’altra devi fare 2 1 4 3. Purtroppo in commercio non esistono soluzioni già pronte (almeno io non ne ho trovate), ma devi fartele. (Massimo Zunino <maxzunino at tin.it>)

Quali tipi di ADSL supporta il Cisco 1417?

Il 1417 gestisce solo la modalità PPPoA (PPP over ATM) spesso indicata come “modalità USB”…se la tua linea è configurata come PPPoE (PPP over Ethernet) non funzionerà mai. (Busmaster <busmaster at tis


Close
Entra in contatto con altri professionisti ICT, seguici su Facebook e Twitter: