La sezione “Networking” del forum si è ultimamente popolata di richieste inerenti ai parametri delle linee ADSL che Telecom riserva ai suoi clienti business, e la configurazione di router serie 800 Cisco ad esse abbinati; spero che quindi che questa “mini-guida” possa tornare utile a tutti coloro che, per motivi di lavoro o semplice passione, dovranno misurarsi con un apparato privo d’interfaccia grafica e nella cui confezione non troverete alcun manuale d’istruzioni. Appena tolto dalla scatola un router Cisco è totalmente privo di qualsiasi parametro, la configurazione di default è l’assenza di configurazione; inizialmente l’unico modo che si ha per “comunicare” con il router ed indicargli i parametri di funzionamento è l’utilizzo del CAVO CONSOLE (RJ45 TO DB9) del quale
- il capo DB9 (Seriale 9 PIN) va inserito nella porta COM del pc - il capo RJ45 va inserito nell’apposita porta posta sulla parte posteriore del router stesso (5)
Controlliamo quindi di aver inserito l’alimentazione (7) e che l’interruttore sia posizionato su OFF (8); apriamo infine Hyper Terminal selezionando la connessione tramite la porta COM utilizzata ed impostiamo i seguenti parametri :
Bits Per Second : 9600 Data Bits : 8 Parity : None Stop Bits : 1 Flow Control : None
Se i passaggi sopra descritti saranno stati completati correttamente, la schermata di Hyper Terminal verrà allora popolata con i messaggi del router indicanti la progressione della sequenza di bootstrap. Terminata la fase di caricamento, il router chiederà la conferma per l’esecuzione di un semplice wizard per una configurazione essenziale; non interessati alla cosa risponderemo “N” ad ognuna delle domande che ci verranno poste. Ci verrà quindi proposta una cli (Command Line Interface) molto simile a quella dei sistemi *nix in cui il “prompt” indica l’attuale privilegio d’accesso dell’utente; nello specifico vedremo Router>_ dove “Router” indica l’host name, “>” indica la modalità non privilegiata e “_” indica l’attesa di comando. Digitando “enable” il prompt passerà a “Router#_” (modalità privilegiata) e tramite comando “conf t” (abbreviazione di configure terminal), che fa cambiare il prompt a “Router(config)#_ “ ci sarà quindi possibile inserire i comandi di configurazione.
CONFIGURAZIONE HOST Questa serie di comandi è relativa alla configurazione “base” del router, definisce lo stato di attivazione/disattivazione di alcuni servizi e delle funzionalità di criptazione delle password di sistema
Ip subnet zero : se un network viene diviso in subnet (e Telecom lo fa sistematicamente, specialmente per tutti quei contratti in cui è prevista l’assegnazione di “n” indirizzi IP pubblici) la prima sottorete ottenuta con il subnetting dell’indirizzo di network generale è detta subnet zero. Per tradizione si sconsigliava l’utilizzo della subnet zero (rif. RFC 950), tuttavia con i moderni apparati, per Cisco dalla release 12.0 di IOS, la tendenza si è invertita.
No ip finger : disabilita il servizio finger che potrebbe fornire informazioni riguardo gli utenti collegati al router.
No ip domain-lookup : questo comando serve solo ad evitare l’inizio del tentativo di risoluzione del nome in caso abbiate inserito una sintassi di comando errata; utile durante la digitazione della configurazione.
No service tcp-small-servers & No service udp-small-servers : gli “small server” sono demoni in esecuzione su IOS; per utilizzarli è sufficiente eseguire una sessione telnet con la seguente sintassi “telnet xxx.xxx.xxx.xxx. [Echo]/[ Chargen]/ [Discard] /[Daytime]”. Dalla versione 11.3 di IOS questi servizi sono di default disattivati, tuttavia, dato il rischio sicurezza rappresentato dalla loro attivazione (sono a fortissimo rischio exploit) si consiglia di controllare sempre il loro stato d’attivazione.
No service pad : PAD (Packet Asembler Disassembler) è un applicazione utile per creare connessioni con nodi remoti utilizzando il protocollo X.25. Non essendoci necessità d’utilizzo è opportuna la disabilitazione.
Service password-encryption : abilita la criptazione non reversibile delle password utilizzando hash md5
Hostname “nome”: attribuisce un nome al dispositivo; dopo la conferma di questo comando il prompt cambia da “Router(config)#” a “Nome(config)#”.
Enable secret “password” : con questo comando si definisce la password che è necessario inserire per accedere alla modalità privilegiata dalla quale è possibile modificare la configurazione del router.
No ftp-server write-enable : il router Cisco può essere utilizzato come server FTP, il comando serve a disattivare questa funzionalità.
Con la combinazione di tasti “Ctrl Z” usciamo dalla modalità configurazione hostname(config)#_ passando alla modalità privilegiata hostname#_ inserendo il comando sh run (abbreviazione di show running-config) analizziamo le prime righe del testo che appare sullo schermo verificando che siano presenti le configurazioni appena inserite tramite i comandi sopra indicati. N.B : la visualizzazione della configurazione s’interrompe al riempimento della videata, l’ultima riga visibile presente la dicitura - More - (come nei listati frazionati del prompt DOS); premendo ENTER l’avanzamento procede di una riga ad ogni pressione del tasto; premendo SPACE BAR l’avanzamento procede di una videata alla volta; premendo il tasto ESCAPE s’interrompe la visualizzazione in qualsiasi punto tornando quindi al prompt.
CONFIGURAZIONE INTERFACCE Il compito principale di un router consiste nell’instradamento dei pacchetti dalla sorgente (interfaccia interna) alla destinazione (interfaccia esterna), è necessario quindi definire i parametri operativi (indirizzo IP, subnet mask ecc. ecc.) per tutte le interfacce utilizzate. Innanzi tutto portiamoci in modalità configurazione con il comando conf t; indichiamo la prima interfaccia oggetto della configurazione con il comando interface ethernet0 e notiamo che il prompt cambia da Hostname(config)# a Hostname(config-if)#
Ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy : impostiamo indirizzo IP e subnet mask, i valori devono essere inseriti sequenzialmente e separati da spazio.
Ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy secondary : nel caso in cui la linea sia dotata di un pool d’indirizzi pubblici statici, inseriamo qui il SECONDO indirizzo IP del pool seguito dalla relativa subnet mask (come indicato dal provider).
Ip nat inside : informiamo il router che l’interfaccia Ethernet0 è connessa alla rete interna.
No ip directed-broadcast : comando utilizzato per prevenire l’utilizzo della propria rete/connessione come amplificatore di una attacco smurf. Il broadcast IP è disabilitato di default dalla release 12.0 di IOS; inserirlo comunque per maggiore sicurezza.
Description : possiamo inserire un testo descrittivo della lunghezza massima di 240 caratteri.
No shutdwon : attiviamo l’interfaccia.
Exit : terminiamo la configurazione dell’interfaccia Ethernet0 rimanendo però in modalità configurazione Hostname(config)#
Passiamo quindi alla seconda interfaccia
Interface ATM0
No shutdown : di default sono presenti i parametri “no ip address” “no atm ilmi-keepalive” e “dsl operating-mode auto”; tali valori risultano in effetti corretti, non resta che attivare l’interfaccia.
Terminiamo quindi con la terza interfaccia in cui andremo a definire i parametri di connessione
Interface ATM0.1 point-to-point : il prompt cambierà a Hostname(config-subif)#
Ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy : X ed Y vanno sostituite con l’indirizzo punto-punto e la relativa subnet mask. Se non dovesse essere accettata la subnet 255.255.255.255 la si sostituisca con 255.255.255.0, in linea di principio comunque vanno mantenuti tutti i parametri indicati dall’ISP.
Ip nat outside : informiamo il router che l’interfaccia ATM0.1 è connessa alla rete esterna
PVC 8/35 : inseriamo così i valori Virtual Path Identifier “8” e Virtual Channel Identifier “35” che congiunti identificano il Private Virtual Circuit ATM. Questi valori sono nazionali e quindi identici per tutta Italia. Il prompt a questo punto cambierà in Hostname(config-if-atm-vc)#
Encapsulation aal5snap : la quasi totalità delle linee che supportano l’assegnazione di più indirizzi IP utilizza l’incapsulamento definito nella RFC 1483 “Bridged IP”
Utilizzando nuovamente la combinazione di tasti “Ctrl Z” usciamo dalla modalità configurazione, il prompt tornerà ad essere Hostname# e con il comando show running-config andiamo a controllare che la configurazione rispecchi i comandi ed i parametri indicati.
COMANDI IP Andiamo ora a definire la modalità in cui il router dovrà “trattare” i pacchetti IP in transito da un’interfaccia all’altra, definendo regole di NAT statico per consentire la navigazione della LAN dietro un unico indirizzo, ed altre regole di NAT /PAT (statico o dinamico, a seconda delle esigenze) per la pubblicazione di host o servizi in esecuzione. Portiamoci, come sempre, in modalità configurazione con il comando conf t ed iniziamo a digitare i seguenti comandi :
Ip nat pool “nome” indirizzo-pubblico-iniziale indirizzo-pubblico-finale netmask yyy.yyy.yyy.yyy : definiamo un range d’indirizzi pubblici selezionando indirizzo IP iniziale e finale da quelli assegnati dal provider, volendone utilizzare uno soltanto, IP INIZIALE = IP FINALE; il “nome” è arbitrario, serve ad identificare e differenziare il pool creato da eventuali altri.
Ip nat inside source list 101pool “nome” overload : con questo commando indichiamo al router di eseguire un NAT statico di tutto il traffico proveniente dall’interfaccia “inside” (ossia la Ethernet0) utilizzando l’indirizzo IP (o gli indirizzi IP) pubblico/i facenti parte del NAT. L’opzione “overload” (letteralmente : sovraccarica) impone il riutilizzo dell’indirizzo per tutti i pacchetti in uscita indipendentemente dall’indirizzo IP privato sorgente.
Ip classless : “classless” e “classful” sono due tipologie d’indirizzamento; dato chela quantità di nozioni ed informazioni necessaria a trattare l’argomento contrasta nettamente con gli scopi di questo documento, mi limito ad indicare uno dei tanti siti da consultare per documentarsi in merito. Invito quindi coloro i quali fossero interessari a seguire questo collegamento.
Ip route 0.0.0.0 0.0.0.0 ATM0.1 : indichiamo una voce di routing statico per cui i pacchetti che originano da qualsiasi rete (0.0.0.0) con qualsiasi subnetmask (0.0.0.0) devono essere inviati all’interfaccia ATM0.1 (ossia quella connessa alla rete esterna).
No ip http server : disattiviamo, per ragioni di sicurezza, il web server integrato nel router.
No ip http secure-server : vedi sopra.
Come in precedenza, con la combinazione di tasti “Ctrl+Z” usciamo dalla modalità configurazione, e con il comando sh run verifichiamo la corretta impostazione dei comandi e dei parametri appena inseriti.
ACCESS LIST Le Access Control List IP consentono ad un router di scartare alcuni pacchetti in base a criteri prestabilit. L’obiettivo di questi filtri è impedire l’accesso alla rete da parte di traffico indesiderato; per completezza d’informazione va precisato che le ACL per filtrare aggiornamenti di routing, per attribuire priorità a determinati pacchetti, per definire quali pacchetti attivino il tunneling VPN e per l’implementazione di QoS. Non essendo interessati a funzioni “avanzate”, ci limitiamo ad osservare e descrivere brevemte le ACL che fungono da necessario compendio alla nostra configurazione.
Access-list 101 permit xxx.xxx.xxx.0 0.0.0.255 any : supposto che per indirizzare gli host della LAN si utilizzino indirizzi di classe C (con subnet mask a 24 bit, 255.255.255.0), il presente commando autorizza tutti I pacchetti provenienti dalla LAN (identificata dal suo indirizzo di network) ossia da tutti i suoi host (identificati dall’utilizzo degli ultimi 8 bit della subnet mask). Si noti come indirizzo di network (in cui si utilizzano 24 bit) e subnet mask (in cui si utilizzano i restanti 8 bit) si completino sino ad utilizzare tutti i 32 bit disponibili.
Access-list 102 permit “pirmo indirizzo ip del pool” “yyy.yyy.yyy.248” : supposto che la linea sia dotata di 8 indirizzi IP pubblici con subnet mask 255.255.255.248, questo comando permette il transito dei pacchetti appartenenti alla LAN pubblica (identificata dal primo indirizzo del pool, ossia l’indirizzo di network della LAN pubblica a noi riservata dal provider) ossia da tutti i suoi host (identificati dall’utilizzo degli ultimi 3 bit della subnet mask). Si noti che questi valori ricalcano appieno le informazioni fornite dal provider e non possono essere in alcun modo alterate.
Access.list 103 deny any : quest’ultima ACL ha lo scopo di vietare il transito a tutti quei pacchetti che non incontrano uno dei due criteri specificati in precedenza.
E’ importante notare che con la prima ACL (numero 101) abbiamo definito un parametro di funzionamento indicato in precedenza nei “COMANDI IP”; scrivendo “ip nat inside source list 101” abbiamo indicato al router come effettuare il NAT statico, con l’ACL 101 definiamo per quali pacchetti, potendo entrare a far parte della “source list”, è autorizzata l’uscita tramite NAT.
CONFIGURAZIONE PASSWORD “LINE” L’ultimo passaggio della configurazione riguarda le impostazioni di sicurezza atte ad evitare accessi non autorizzati sia all’interfaccia di configurazione del router sia alla modalità privilegiata (EXEC) per l’immissione di comandi di configurazione. Si è detto al principio che l’accesso ad un router non configurato è possibile solo attraverso il cavo console; alla luce di questo enunciato l’utente più accorto si sarà domandato cosa accada quando la configurazione del router è ultimata. E’ infatti possibile accedere al router tramite programma di emulazione di terminale sulla porta 23 (telnet), l’obiettivo dei prossimi comandi è regolare tale accesso vincolandolo alla presentazione di password; entriamo quindi in modalità enable :
Line con 0
Password “inserire-password”
Line vty 0 4
Login local
End
Concludiamo uscendo dalla modalità enable con la combinazione di tasti “CTRL+Z”, ricontrolliamo l’intera configurazione corrente con il comando show running-config, se non sono stati commessi errori l’ultimo passaggio consiste nel copiare la running-config (ossia la serie di comandi eseguiti in tempo reale) sulla startup-config (vale a dire quella serie di comandi memorizzata nella memoria non volatile NVRAM che viene eseguita ad ogni avvio/riavvio del router copiandola nella running-config). L’operazione si esegue mediante il comando copy run start; qualora si voglia resettare completamente il router e riportarlo allo stato factory default (NB : questa operazione non vale qualora si siano perse o la password di login, o quella di enable o entrambe) si utilizzi il comando erase nvram confermato, quando richiesto, con la pressione di ENTER.
