#355 – Le reti grandi – Livello logico

La puntata scorsa abbiamo parlato di come dovrebbe essere fatta una rete aziendale seria, in modo che possa resistere ai problemi di tipo fisico, come un taglio di una fibra, una canalina piena di fibre o la morte di uno switch.
Non pensate che siano tutte fisime, eh? Sono cose che capitano anche abbastanza spesso.
Si aggiorna il software di uno switch e questo cade: già visto.
Qualcuno entra dove non dovrebbe, tocca dove non dovrebbe uno switch si spegne in orario di ufficio: già visto.
Qualcuno, durante dei lavori passa, vede una canalina e la taglia via, senza neanche guardare cosa c’è dentro, poi un’intera ala dell’azienda chiama perché non funziona più niente: già visto.
Durante una manutenzione, mille cavi non etichettati, segui quello che ti sembra quello giusto, lo stacchi e inizia a squillare il telefono: questo l’ho fatto.
Se vi trovate a pianificare una rete, fatelo bene, se non ne avete mai vista una o fate un lavoro diverso, queste sono due puntate per conoscenza personale, per scoprire cose nuove.
Una cosa che potete fare a casa, sicuramente, è etichettare ogni cavo, ambo i lati, dove va e dove arriva.

Questa puntata è stata realizzata grazie alle indispensabili donazioni di generosi ascoltatori
Gli abbonati
Andrea

E le donazioni spot
Paolo
Vittorio
Per sapere come far parte di questo elenco vi rimando al capitolo un po’ più in là nella puntata.

[preregistrato] Io sono Francesco Tucci, mi occupo di tecnologia da prima del millennium bug, dell’euro e del grande blackout del 2003, sono sopravvissuto e sono qui per raccontarvelo, in puntate brevi e facili, alla portata di tutti, con questo podcast, Pillole di bit, da novembre del 2015.

Prima di iniziare, vi ricordo che potete contattarmi in mille modi, su Bluesky sono francesco.iltucci.com, su Mastodon sono cesco_78 su mastodon.social o pillole dibit su hackyderm.io o via mail a [email protected], trovate tutti i link comodi comodi sull’app dalla quale state ascoltando la puntata o sul sito, rispondo sempre. Il metodo migliore però è il gruppo telegram attivo durante tutta la settimana, dove si parla delle puntate e di tecnologia in generale, siamo davvero tanti, lo trovate a pilloledib.it/telegram

Oggi parliamo di configurazioni delle reti grandi, quelle che se non siete addetti alla gestione raramente vedrete, ve le racconto perché, da quando ho iniziato a metterci le mani dentro, le ho sempre trovate molto interessanti. E so che mi manca ancora molto da imparare, senza dubbio.
Abbiamo strutturato una rete in modo che sia ben fatta e che limiti al massimo i problemi di tipo fisico. Adesso va configurata.
Come vi dicevo la settimana scorsa ogni switch gestito, che sia L2 o L3 ha un suo IP di gestione, chi ci mette le mani dentro li tiene sotto controllo in modo che sa subito quando uno switch ha qualcosa che non va.
Una delle prime cose che viene fatta è sezionare la rete in VLAN che sta per Virtual LAN, reti virtuali.
Ne abbiamo già parlato, ma va bene fare un ripasso.
Immaginiamo di avere una situazione facile con i computer, le stampanti, i server.
Non va bene che i PC vedano le stampanti, devono passare dal print server, che gestisce gli spool di stampa e le autorizzazioni.
Non va bene neanche il contrario, perché in effetti che ne sai di cosa c’è nel firmware delle stampanti per farlo andare a spasso per la rete?
La stessa cosa vale per ogni dispositivo esterno che viene messo in rete a richiesta di ogni ufficio per qualsiasi tipo di servizio, va isolato.
Nello stesso modo non è corretto che i PC vedano tutti i server su tutte le porte, devono vedere solo quelli ai quali devono legittimamente accedere e solo sulle porte giuste. Ho parlato delle porte nella puntata 350.
Perché queste limitazioni?
Immaginiamo che un computer prenda un malware, questo va a cercare vulnerabilità in giro e trova un server nella rete interna con un problema su un protocollo che gli utenti non devono usare, come ad esempio RDP, lo sfrutta e infetta quel server.
Se la porta è chiusa questo tipo di attacco fallisce.
Per fare tutto questo si creano le VLAN, si divide la rete in sottoreti configurate via software, ognuna con un suo indirizzamento, eventualmente con un suo DHCP server, con reservations o meno e poi, nel centro stella si mette un firewall con delle regole che dicono come deve essere gestito il traffico che deve passare tra le varie VLAN.
Per fare questo sugli switch vengono configurate le VLAN e viene definito che queste devono passare su tutte le dorsali tra uno switch e l’altro, ovviamente tutte quelle che serve che vadano in giro per la rete.
Possono passare più VLAN sullo stesso cavo se sono taggate, a livello di pacchetto viene assegnato un segnalino, passatemi il termine, che le identifica, poi lo switch di destinazione le divide.
Sullo switch si decide poi quale porta viene assegnata a quale VLAN.
Per questo quando attacco il computer devo sapere a che porta attaccarlo, perché quella porta deve essere configurata in modo che sia assegnata alla VLAN dei PC e non quella delle stampanti ad esempio. Le porte che non si usano si lasciano su nessuna VLAN, così se qualcuno attacca qualcosa non c’è traffico su quella porta e non funziona. Ovviamente si possono anche banalmente disattivare, restano spente e basta.
In questo caso, con più VLAN, ci possono essere più DHCP server che assegnano gli indirizzi, uno per ogni sottorete, l’importante è che non ce ne siano due che assegnano gli stessi indirizzi nella stessa sottorete, come già ampiamente detto.
L’assegnazione degli indirizzi può essere completamente dinamica, ogni volta ogni dispositivo prende un indirizzo diverso dal DHCP server, può essere completamente statica, configurata a bordo del dispositivo, ma si deve fare grande attenzione a non configurare IP doppi, oppure può essere statica, ma gestita dal DHCP server, ogni indirizzo viene assegnato in base ad un indirizzo MAC fisico della scheda di rete.
Con determinati protocolli, inoltre è possibile limitare l’accesso alla rete a dispositivi che non hanno determinati certificati.
Esistono anche protocolli che criptano il traffico a livello di mac address tra uno switch e l’altro, così da non potersi mettere in mezzo e fare analisi dei dati che passano.
Tutto questo vale anche per le reti WiFi, esistono gli access point che gestiscono le VLAN e all’atto di propagare il segnale sulle antenne ogni VLAN si traduce in un nome di una rete diversa.
Un esempio classico è la propagazione della rete wifi per gli ospiti, che viaggia completamente separata dalla rete di produzione aziendale, anche se viene diffusa dagli stessi access point.
Se volete impazzire con le reti complesse a casa potete farlo, ma dovete avere tutti i dispositivi, router, switch, access point, che le possano gestire e dovete studiare e impegnarvi non poco per tutta la configurazione e gestione. La base di partenza è una rete per tutti i vostri dispositivi, una per le cose domotiche e una per gli ospiti.

Questo podcast vive perché io lo produco, lo registro e lo pubblico settimana dopo settimana o quasi. Ma continua ad andare avanti perché la soddisfazione di vedere le notifiche delle donazioni mi spinge a fare sempre nuove puntate, come ringraziamento e impegno nei vostri confronti. Se esce ogni settimana è grazie a voi.
E se donate, compilate il form, vi spedisco anche i gadget, così siamo tutti contenti.
Potete farlo con Satispay, SumUp o Paypal.
Potete partecipare anche usando i link sponsorizzati di Amazon o acquistare la connettività o uno degli altri servizi di Ehiweb, che sponsorizzo con molto piacere da tempo, un gestore di connettività come loro non lo trovate in giro.
Oltre alla connettività per casa FTTH o FTTC, hanno le SIM, posano fibra dedicata per le aziende, fanno servizio VoIP, hanno un supporto spaziale e tutti i loro dipendenti sono assunti a tempo indeterminato.
Provateli, non tornerete più indietro.
E se avete bisogno di un servizio di Hosting, andate da ThridEye, che ospita da anni il sito del podcast, ho fatto la mia scelta e anche qui il livello è altissimo, i contatti sono sul sito.

Non so quanti siano i clienti LEGO tra gli ascoltatori, ultimamente, prendendo una lunga serie di esclusive, sono uscite confezioni davvero interessanti, anche se spesso non a prezzi popolari.
La plastica con cui sono fatti i mattoncini LEGO, forte di decenni di studio, è pazzesca, dura il giusto, si incastra bene, non cede, non si scolora, non è tossica se un bambino la mette in bocca.
Ma non è indistruttibile.
L’ho sperimentato perché credevo di aver messo un modello al sicuro dai gatti e invece una mattina la gatta è riuscita a prenderlo e farlo cadere da uno scaffale da circa due metri fino a terra.
Non solo, come si possa pensare, si è mezzo smontato, ma alcuni pezzi si sono proprio rotti. A questo punto come si fa?
Esiste un servizio sul sito LEGO che è fenomenale.
Si accede alla sezione Pick a Brick, vi lascio ovviamente il link, si mette il codice della scatola e vi si para davanti tutta la distinta base di tutti i pezzi che compongono quel modello. Scegliete i pezzi che si sono rotti, fate il carrello, pagate e in un tempo che oscilla tra le 2 e le 12 settimane vi arriva a casa un pacchetto con i pezzi richiesti.
Non costa poco, ma funziona alla grande.

Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo telegram e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.
Se volete partecipare alla realizzazione della puntata speciale di Pillole di Bit Stories, andate su pilloledib.it/sostienimi e fate la vostra parte, se a fine mese il cerchio delle donazioni di riempie, realizzerò la puntata speciale.

Grazie per avermi ascoltato

Ciao!