In questo documento descriveremo i meccanismi di CBAC, una soluzione per il firewalling disponibile con Cisco IOS Firewall. I router che eseguono l'IOS Firewall possono svolgere il compito sia di router che di firewall di livello enterprise.
Le ACL, Access Control Lists, nel loro uso avanzatopermettono di sfruttare un router con le funzionalità tipiche di un Firewall, inteso come elemento di separazione tra rete interna (sicura) e reti esterne (non sicure). In quest'articolo vedremo come utilizzare le ACL established, reflexive, dinamiche e a tempo (Time-Based).
Sui router Cisco, l’implementazione delle tecnologie di firewalling, almeno per una configurazione base, si ottiene tramite le Access Control Lists (ACL), funzionalità che permette un filtraggio del traffico basato principalmente sull’indirizzamento IP e sulle porte TCP e UDP. Ad esempio, un’ACL può permettere agli utenti con uno specifico indirizzo di rete di scaricare files da Internet tramite una connessione FTP, bloccando altri tipi di connessioni dalla stessa rete e bloccando inoltre qualsiasi altro traffico da indirizzi IP sorgenti diversi da quelli specificati.
Gli switch Cisco eseguono diverse implementazioni del protocollo Spanning Tree. A partire dagli standard originali IEEE, esattamente 802.1d per lo Spanning Tree classico e 802.1w per il Rapid Spanning Tree, sono state introdotte delle varianti proprietarie, elencate di seguito:
PortFast: è una funzione che permette ad una porta di passare immediatamente allo stato di forwarding, saltando gli stati intermedi di listening e learning. L'uso di PortFast è utile nel collegamento diretto tra una porta ed una workstation o un server, permettendo a tali macchine un accesso immediato alla rete, senza le lunghe attese dovute ai tempi di convergenza di STP.
UplinkFast: è la versione "globale" del PortFast, ossia fa passare immediatamente qualsiasi porta dello switch allo stato di forwarding, saltando gli stati intermedi di listening e learning. Utile quando lo switch ha un solo collegamento di trunk.
Tecnologie dedicate al supporto di reti Ethernet con più VLAN:
PVST, Per-Vlan Spanning Tree: viene supportata un’istanza dello Spanning Tree Protocol per ogni VLAN, con un root bridge e una topologia STP differente per ogni VLAN. Utilizza il protocollo di trunking Cisco ISL (Inter Switch Link).
PVST+, variante del Per-Vlan Spanning Tree. Si tratta della modalità predefinita sugli switch Cisco. Mantiene tutte le caratteristiche del PVST, con un’istanza STP per ogni VLAN, e aggiunge il supporto allo standard 802.1Q per i trunk. Poiché di default esiste la VLAN1 su ogni switch, esisterà su ogni switch l’istanza STP predefinita per la VLAN1.
Rapid PVST+: si basa sul protocollo standard IEEE 802.1w (Rapid STP). Supporta tutte le estensioni di PVST e PVSTP+, ma rispetto a questi è più veloce a convergere, essendo "Rapid".
Poiché gli switch Cisco eseguono un’istanza dello Spanning Tree Protocol per ogni VLAN, visualizzando le relative informazioni su uno switch appena collegato in rete, si osserva che queste riguardano la VLAN predefinita 1:
Switch#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0000.0CBB.7E1E Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 00D0.BC04.E963 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20
Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/1 Root LRN 19 128.1 P2p
I comandi
Disabilitare il protocollo Spanning-Tree
Switch(config)#no spanning-tree vlan numero_VLAN
Se non sono state create VLAN oltre quella di default, il valore del numero_VLAN è 1.
Modificare il Bridge ID per uno switch – metodo priority
Il root bridge viene eletto in base al valore del Bridge ID: “vince” lo switch con il valore minore. Il BID è composto da 2 byte di Bridge Priority, che di default vale 32768, più 6 byte costituiti dal MAC-address. Ad esempio, se uno switch ha come MAC address AA-11-BB-22-CC-33, il BID sarà 32768:AA-11-BB-22-CC-33. Se si vuol forzare l'elezione del root bridge in favore di uno switch specifico, è sufficiente variare al ribasso la sua priorità con il comando appena indicato. Sono consentite variazioni a intervalli di 4096.
Modificare il Bridge ID per uno switch – metodo root
L’opzione primary assegna un Bridge ID di 24576, ossia 8192 punti sotto il valore di default, mentre l’opzione secondary assegna un Bridge ID di 28672, ossia 4096 punti sotto il valore di default.
Il PPP, Point-to-Point Protocol, è uno dei più comuni standard di incapsulamento a livello 2, utilizzato per collegamenti WAN. Trattandosi di uno standard aperto, consente la comunicazione tra apparecchiature di produttori diversi.