(Classe 5a) - Sistemi e Reti

Introduciamo allora due subnet, indicate sulla destra nel Packet Tracer: la 10.0.11.0/24 per gli studenti, e la 10.0.12.0/24 per il professori.

Che cosa implica questo passo? Certamente la riallocazione degli indirizzi agli host (Client e Server, vedi sotto), ma anche e soprattutto la creazione di nuovi Default Gateway sul Router DG, uno per ciascuna subnet, assegnati a due interfacce fisiche diverse.

Tirare quindi un nuovo cavo tra la Gi0/2 dello Switch principale S1, e la Gi0/1 del Router DG. Configurare gli IP 10.0.11.254/24 sulla Gi0/0, e 10.0.12.254/24 sulla Gi0/1 del Router.

Avendo ora due reti /24, se ne possono assegnare tre quarti ai Client (1-191), un ottavo ai Server (192-223) e l’ultimo ottavo (224-254) agli apparati di rete, con il Default Gateway alla fine (254).

Assegnare quindi agli host, modificando le preassegnazioni già presenti nel PT:

- PC0 studente:          10.0.11.1/24,              D.G. = 10.0.11.254   
- PC1 studente:          10.0.11.2/24,              D.G. = 10.0.11.254   
- Server0 studenti:      10.0.11.192/24,          D.G. = 10.0.11.254   

- Laptop0 prof:           10.0.12.1/24,              D.G. = 10.0.12.254   
- Server1 prof:                        10.0.12.192/24,          D.G. = 10.0.12.254   
Ancora una volta, il ping deve funzionare, sia verso gli apparati della propria subnet, sia verso quelli dell’altra, avendo un Router che fa instradamento tra le due reti direttamente connesse.

N.B. – non occorre definire alcuna rotta statica nè dinamica, per far funzionare questa topologia!

Siamo allora a posto?

Potendo mettere sul Router DG dei filtri che controllano il traffico della rete 11 (studenti) verso la 12 (prof) potremmo pensare di sì. Ma è fin troppo evidente che lo studente può cambiare il proprio IP (magari non con un PC della scuola, di cui non sarà amministratore, ma con il proprio tablet) ed ottenere così di essere visto dalla rete come un membro della subnet 12 dei prof.

Guardiamo come sono assegnate per default le porte dello Switch principale alle VLAN, con:

Come si vede, tutte le porte appartengono alla VLAN 1, che si chiama default. Gli Switch, che non conoscono gli indirizzi IP, sanno solo far comunicare tra loro le porte della stessa VLAN, e quindi se un host si sposta di subnet, lo Switch non se ne rende conto (non conosce gli IP e non opera a L3) e fa il suo lavoro di inoltro delle trame, facendolo comunicare normalmente nella nuova subnet.

Per essere più precisi, un PC che passa dalla subnet 10.0.11.0 alle subnet 10.0.12.0 dovrà avere anche un Default Gateway appartenente alla sua rete. Quindi, se lo studente si mette a livello IP nella subnet dei prof, comunica direttamente con i loro host 10.0.12.x, e indirettamente, tramite il Router, verso la sua ex subnet di provenienza. Per questo traffico “a ritroso” portà godere, se definiti, dei maggiori diritti che i prof avranno per accedere alle risorse degli studenti, rispetto a quelli definiti nella direzione opposta.

Il vero rimedio per impedire questo trucco, è di ri-spiegare i gruppi creati allo Switch, non in termini di subnet, che lui non può capire, ma con nuovi gruppi di “livello 2”: le VLAN, appunto.

La normale configurazione delle VLAN e delle subnet prevede quindi che i gruppi creati siano identici: si dice che le subnet e le VLAN devono essere “coestensive”. Come si fa? Vediamo...