Efficienza e sicurezza nelle reti locali

STP, VLAN, Firewall/ACL, Proxy, NAT/PAT e DMZ

Ridondanza senza loop, segmentazione del broadcast e protezione perimetrale
1) STP: il protocollo di comunicazione tra gli switch

Lo Spanning Tree Protocol (STP) impedisce la formazione di loop nelle LAN progettate con percorsi fisici ridondanti. Senza STP, i loop causano broadcast storm che possono bloccare la rete. STP garantisce un solo percorso attivo alla volta tra due dispositivi, mantenendo i collegamenti ridondanti in standby come alternative in caso di guasto (fault tolerance).

Convergenza: tempi e RSTP

L’algoritmo STP richiede un tempo affinché la topologia logica converga: tipicamente 30–50 secondi.

RSTP (Rapid Spanning Tree Protocol) riduce notevolmente i tempi di convergenza.
Obiettivo pratico
  • Ridondanza fisica
  • Loop logici no
  • Link ridondanti pronti in standby per continuità di servizio
Elementi della gerarchia STP
Root Bridge

Un solo switch eletto come root per l’intera LAN.

Root Port

Su ogni switch non-root: la porta con il percorso più breve verso il Root Bridge.

Designated Port

Su ogni segmento: la porta “più vicina” alla root che inoltra. Le altre vengono bloccate.

Stati delle porte (STP)
Stato Significato (in sintesi) Cosa fa la porta
Blocking (BLK) Previene loop (porte non designate) Riceve solo BPDU, scarta frame, non apprende MAC
Listening Costruzione topologia “attiva” Ascolta e partecipa a STP, non inoltra dati
Learning Popola tabella di bridging Apprende MAC, ma non inoltra traffico dati
Forwarding (FWD) Porta operativa Inoltra e riceve dati, apprende MAC
Disabled Disabilitata da amministratore Nessuna attività
2) Le Reti Locali Virtuali (VLAN)

Le VLAN (Virtual LAN) sono gruppi di dispositivi che si comportano come se fossero nello stesso dominio di broadcast, indipendentemente dalla posizione fisica. Segmentano una LAN switched in domini di broadcast più piccoli, migliorando prestazioni e sicurezza.

Creazione VLAN (modi)
  • Per porte (più comune): assegnazione statica delle porte
  • Per utenti: basata su indirizzo fisico (MAC)
  • Per protocolli: basata su indirizzi logici (es. IP)
VLAN ID e domini
  • VLAN ID nel tag: campo da 12 bit
  • Ogni VLAN = dominio di broadcast separato
  • Tra VLAN diverse serve routing inter-VLAN
Routing Inter-VLAN

Per far comunicare host in VLAN diverse è necessario un router o uno switch Layer-3.

Trunk link

Un trunk è un collegamento punto-punto (spesso la porta più veloce) che trasporta traffico di VLAN diverse (fino a 4096).

Il trunk mantiene l’informazione della VLAN tramite tagging.
Standard IEEE 802.1Q (VLAN Tagging)

IEEE 802.1Q definisce l’inserimento di un campo di 4 byte nel frame Ethernet per gestire il tag VLAN.

Campo Descrizione
TPID Tag Protocol ID
User Priority 3 bit per la priorità (QoS)
CFI / DEI Canonical Format Indicator (oggi DEI)
VLAN ID 12 bit: identificativo VLAN
VTP (VLAN Trunking Protocol – Cisco)

VTP è un protocollo proprietario Cisco che consente la propagazione automatica delle configurazioni VLAN tra switch.

VTP server

Dove si effettuano le modifiche (origine delle VLAN).

VTP client

Riceve e applica i cambiamenti propagati.

VTP transparent

Inoltra gli aggiornamenti senza applicarli.

Laboratorio Packet Tracer: tipicamente si configura assegnazione statica VLAN alle porte e trunk 802.1Q tra switch (e routing inter-VLAN dove richiesto).
3) Firewall e Access Control List (ACL)

Il firewall è una linea di difesa tra la LAN aziendale e la WAN (Internet): filtra i pacchetti in entrata e in uscita secondo regole prestabilite (policy).

Classificazione dei firewall
Packet Filter

Filtra a livelli bassi (Network/Transport) usando IP, porte e protocolli.

Application Level (Proxy)

Opera a livello Application: molta protezione, ma meno velocità.

Stateful Inspection

Controlla lo stato delle connessioni e consente solo traffico parte di sessioni legittime.

Access Control List (ACL)

Le ACL sono elenchi di istruzioni applicate sui router per filtrare traffico in entrata e in uscita.

Regola fondamentale: le ACL vengono valutate in ordine (sequenziale). Le condizioni più restrittive vanno in alto. Se un pacchetto non matcha nessuna riga, viene scartato per la regola implicita deny any.
Standard ACL
  • Filtra solo in base all’IP sorgente
  • Da posizionare il più vicino possibile alla destinazione
Cisco: numeri 1–99 (Standard IP)
Extended ACL
  • Filtra per protocollo, IP sorgente, IP destinazione, porte, ecc.
  • Da applicare il più vicino possibile alla sorgente
Cisco: numeri 100–199 (Extended IP)
Comandi tipici (Packet Tracer / Cisco)
  • access-list … → definizione regole
  • ip access-group {in|out} → applicazione all’interfaccia
4) Proxy Server

Un Proxy Server è un programma che si interpone tra client e server, fungendo da tramite. Nella maggior parte dei casi opera a livello Application.

Compiti principali
  • Connettività: rete privata → Internet con un unico indirizzo
  • Caching: memorizza risposte, migliora prestazioni e riduce banda
  • Privacy: maschera l’IP interno del client
  • Filtraggio: regole di accesso (simile a firewall L7)
Topologie
  • Single Proxy: proxy prima del router verso WAN
  • Multiple Proxy Vertical: proxy primario + secondari (client)
  • Multiple Proxy Horizontal: bilanciamento del carico tra pari livello (serve sincronizzazione repository)
5) Tecniche NAT e PAT
NAT (Network Address Translation)

Il NAT è una tecnica attuata dal router che sostituisce l’indirizzo IP (sorgente o destinazione) nell’header IP. È usata per consentire a una LAN con indirizzi privati di accedere a Internet usando indirizzi pubblici, mascherando gli host interni (anche per ragioni di sicurezza/praticità).

NAT statico

Traduce un IP privato in un IP pubblico prestabilito.

NAT dinamico

Usa un pool di IP pubblici assegnati dinamicamente alle uscite.

PAT

Un singolo IP pubblico gestisce molte connessioni traducendo anche le porte.

PAT (Port Address Translation)

Il PAT è un’evoluzione del NAT: permette di usare un singolo indirizzo pubblico per gestire oltre 64.000 connessioni private contemporaneamente, traducendo anche il numero di porta.

Nella pratica “NAT” in casa/ufficio spesso significa proprio PAT (molti host → 1 IP pubblico).
NAT e IPv6

IPv6 nasce per risolvere la scarsità di indirizzi (quindi NAT non è necessario per “risparmio IP”), ma esistono tecniche come NAT-PT per la comunicazione tra reti IPv6 e reti IPv4.

6) DMZ (DeMilitarized Zone)

La DMZ è una “terza zona” separata sia dalla LAN aziendale sia dalla WAN. Il traffico in entrambe le direzioni è fortemente limitato e controllato. Serve per ospitare servizi accessibili dall’esterno (es. web/mail server) senza compromettere la sicurezza interna.

DMZ a vicolo cieco (1 firewall)

Una singola appliance firewall separa WAN e DMZ: tutto il traffico in ingresso/uscita dalla DMZ passa dal firewall.

DMZ a zona cuscinetto (2 firewall)

Due firewall: external (WAN↔DMZ) e internal (DMZ↔LAN). È considerata una configurazione più sicura.

Obiettivo: rendere pubblici alcuni servizi, ma impedire che un’eventuale compromissione in DMZ apra la strada alla LAN interna.
Riepilogo rapido (da ripetere a voce in verifica)
  • STP evita loop e broadcast storm, mantiene ridondanza in standby; RSTP accelera la convergenza.
  • VLAN = segmentazione del broadcast; per comunicare tra VLAN serve routing inter-VLAN; trunk con 802.1Q.
  • Firewall filtra secondo policy; ACL su router: ordine conta, c’è un deny implicito.
  • Proxy = intermediario L7: caching, privacy, filtraggio.
  • NAT traduce IP; PAT traduce anche porte (molti host → 1 IP pubblico).
  • DMZ ospita servizi esposti senza mettere a rischio la LAN (1 firewall o 2 firewall “zona cuscinetto”).