Reti Informatiche: Protocolli e Comunicazione
Descrizione della mappa mentale
Questa mappa mentale esplora l'ecosistema complesso delle reti informatiche, focalizzandosi sui protocolli che governano la comunicazione digitale e sugli standard che garantiscono l'interoperabilità globale. Analizza la stratificazione dei livelli, dal fisico all'applicativo, evidenziando come i dati viaggiano attraverso infrastrutture eterogenee. Include approfondimenti su sicurezza, indirizzamento, modelli di riferimento come OSI e TCP/IP, e le tecnologie emergenti. Ogni nodo fornisce una comprensione densa e tecnica, ideale per lo studio approfondito di ingegneria di rete, amministrazione di sistema e cybersecurity, collegando teoria e pratica operativa.
Cosa contiene questa mappa
Reti Informatiche: Protocolli e Comunicazione
Questa mappa mentale esplora l'ecosistema complesso delle reti informatiche, focalizzandosi sui protocolli che governano la comunicazione digitale e sugli standard che garantiscono l'interoperabilità globale. Analizza la stratificazione dei livelli, dal fisico all'applicativo, evidenziando come i dati viaggiano attraverso infrastrutture eterogenee. Include approfondimenti su sicurezza, indirizzamento, modelli di riferimento come OSI e TCP/IP, e le tecnologie emergenti. Ogni nodo fornisce una comprensione densa e tecnica, ideale per lo studio approfondito di ingegneria di rete, amministrazione di sistema e cybersecurity, collegando teoria e pratica operativa.
Modelli di Riferimento e Standard
I modelli di riferimento forniscono un framework concettuale per standardizzare le funzioni di rete, suddividendo la complessità della comunicazione in livelli gestibili. Il modello OSI a 7 livelli e lo stack TCP/IP a 4 livelli sono i pilastri teorici e pratici su cui si basa Internet. Questi modelli definiscono interfacce chiare tra livelli, permettendo a hardware e software di vendor diversi di interoperare senza conflitti. La comprensione di queste architetture è cruciale per il troubleshooting, poiché permette di isolare i guasti a uno specifico strato protocollare, facilitando la diagnosi di problemi di connettività, prestazioni o sicurezza nell'infrastruttura di rete aziendale o domestica.
Architettura OSI
Il modello Open Systems Interconnection (OSI) è uno standard ISO che divide le comunicazioni di rete in sette livelli astratti: Fisico, Data Link, Rete, Trasporto, Sessione, Presentazione e Applicazione. Ogni livello svolge funzioni specifiche e comunica solo con i livelli adiacenti, utilizzando incapsulamento per passare i dati verso il basso e decapsulamento verso l'alto. Sebbene raramente implementato nella sua interezza pura, il modello OSI rimane il linguaggio universale per descrivere le operazioni di rete. È fondamentale per gli amministratori di sistema per identificare dove avviene un errore, ad esempio distinguendo un problema fisico (Livello 1) da un errore di routing (Livello 3).
I 7 Livelli Funzionali
Ogni livello OSI ha responsabilità distinte: il Livello 1 gestisce i segnali elettrici, il 2 gli indirizzi MAC e le frame, il 3 l'indirizzamento logico IP, il 4 la connessione end-to-end, il 5 gestisce le sessioni, il 6 la formattazione e crittografia dati, e il 7 le applicazioni utente. Questa separazione garantisce che un cambiamento in uno strato, come l'aggiornamento di un cavo in fibra, non richieda la riscrittura del software applicativo. La modularità permette l'innovazione tecnologica indipendente per ogni livello, favorendo l'evoluzione rapida delle reti senza obsolescenza completa dell'infrastruttura esistente.
Utilità nel Troubleshooting
Il modello OSI è lo strumento primario per la diagnosi dei guasti di rete, permettendo un approccio metodico dal basso verso l'alto o viceversa. Un tecnico può verificare prima la connettività fisica (LED delle schede di rete), poi la configurazione IP (Livello 3) e infine la raggiungibilità del servizio (Livello 7). Questo metodo riduce i tempi di inattività isolando rapidamente la componente fallita. Inoltre, facilita la comunicazione tra team diversi, poiché un ingegnere di rete può riferire un errore di 'Livello 2' indicando chiaramente un problema di switch o VLAN, senza ambiguità per il team di sviluppo software.
Stack TCP/IP
Lo stack TCP/IP è il modello pratico su cui è costruita Internet, composto da quattro livelli: Accesso alla Rete, Internet, Trasporto e Applicazione. A differenza dell'OSI, è più flessibile e raggruppa le funzioni di sessione e presentazione nel livello applicativo. I protocolli fondamentali come IP, TCP e UDP risiedono qui e gestiscono effettivamente il traffico dati globale. La sua adozione universale ha permesso la crescita esponenziale del Web, garantendo che qualsiasi dispositivo connesso possa comunicare indipendentemente dal sistema operativo sottostante. Comprenderne le specifiche è essenziale per configurare router, firewall e servizi di rete moderni.
Livello Internet (IP)
Il livello Internet è responsabile dell'indirizzamento logico e del routing dei pacchetti attraverso reti interconnesse. Il protocollo IP (Internet Protocol) non garantisce la consegna, rendendolo connectionless, ma offre la scalabilità necessaria per reti globali. Gestisce la frammentazione dei pacchetti se questi superano l'MTU del link fisico e si occupa dell'indirizzamento source e destination. È il collante che unisce reti eterogenee (Ethernet, Wi-Fi, satellitari) in un'unica rete logica coerente, permettendo ai dati di trovare la strada migliore attraverso molteplici hop verso la destinazione finale.
Livello Applicazione
Nel modello TCP/IP, il livello applicazione include i protocolli di alto livello che interagiscono direttamente con il software utente, come HTTP, SMTP, DNS e SSH. Questo livello assorbe le funzioni dei livelli 5, 6 e 7 del modello OSI, gestendo la sintassi dei dati, la crittografia e il controllo della sessione. È qui che avviene l'interfaccia utente della rete, trasformando i dati binari in informazioni leggibili o azioni eseguibili. La sicurezza a questo livello è critica, poiché è il punto di ingresso principale per le applicazioni web e i servizi remoti, spesso bersaglio di attacchi informatici mirati.
Incapsulamento Dati
L'incapsulamento è il processo mediante il quale ogni livello aggiunge le proprie informazioni di controllo (header e talvolta trailer) ai dati provenienti dal livello superiore prima di trasmetterli. Questo crea una struttura a 'busta nella busta', dove i dati applicativi diventano payload per il livello di trasporto, che a sua volta diventa payload per il livello di rete, e così via. Questo meccanismo permette a ogni livello di operare indipendentemente, leggendo solo le informazioni pertinenti al proprio header. Al ricevente, avviene il decapsulamento inverso, essenziale per ricostruire il messaggio originale e garantire l'integrità della comunicazione end-to-end.
Header e Payload
Ogni header contiene metadati cruciali come indirizzi di source e destination, numeri di sequenza, porte e checksum. Il payload è il dato effettivo trasportato, invisibile ai livelli inferiori che lo trattano come flusso binario opaco. Questa separazione garantisce la trasparenza del trasporto: il livello di rete non deve conoscere il formato del file HTTP che sta trasportando. La dimensione dell'header varia per protocollo (es. 20 byte per IPv4 minimo), influenzando l'overhead di rete. Un eccessivo incapsulamento, come nei tunnel VPN multipli, può ridurre l'efficienza della banda disponibile per i dati utente reali.
PDU e Segmentazione
L'unità di dati protocollare (PDU) cambia nome a ogni livello: Dati (Applicazione), Segmenti (Trasporto), Pacchetti (Rete), Frame (Link), Bit (Fisico). La segmentazione avviene quando i dati sono troppo grandi per essere trasmessi in un'unica unità, venendo divisi in chunk gestibili. Questo migliora l'efficienza della rete permettendo il multiplexing e riducendo l'impatto degli errori: se un pacchetto viene perso, solo quel segmento deve essere ritrasmesso, non l'intero file. La corretta riassemblaggio dei segmenti all'arrivo è compito del livello di trasporto, che usa i numeri di sequenza per ordinare i dati.
Organismi Standardizzazione
La interoperabilità globale è garantita da organismi come IETF, ISO, IEEE e ITU-T che pubblicano specifiche tecniche aperte. Le RFC (Request for Comments) dell'IETF definiscono i protocolli Internet come TCP e IP, mentre l'IEEE standardizza il livello fisico e data link (es. Ethernet 802.3, Wi-Fi 802.11). Questi enti operano tramite consenso della comunità tecnica, assicurando che gli standard siano robusti e privi di brevetti restrittivi. Senza questa standardizzazione, ogni vendor creerebbe protocolli proprietari incompatibili, frammentando Internet in isole isolate. Il rispetto di questi standard è obbligatorio per qualsiasi dispositivo certificato per l'uso in reti pubbliche o aziendali.
RFC e IETF
Le Request for Comments sono documenti tecnici che descrivono metodi, comportamenti e innovazioni applicabili a Internet. Gestite dall'Internet Engineering Task Force (IETF), evolvono da bozze a standard ufficiali dopo rigorosa revisione e implementazione pratica. Protocolli vitali come HTTP/2 o IPv6 sono definiti da RFC specifiche. Questo processo aperto permette alla comunità globale di identificare vulnerabilità e proporre miglioramenti, mantenendo Internet adattabile. Per un ingegnere di rete, consultare le RFC è spesso necessario per comprendere comportamenti specifici di protocollo o configurare dispositivi in modo conforme alle best practice internazionali.
Standard IEEE 802
La famiglia di standard IEEE 802 copre le reti locali (LAN) e metropolitane (MAN), definendo il livello fisico e data link. Include 802.3 per Ethernet cablata, 802.11 per Wi-Fi wireless e 802.1Q per il tagging VLAN. Questi standard garantiscono che una scheda di rete Intel funzioni con uno switch Cisco o un access point Ubiquiti. Specificano parametri elettrici, formati dei frame e meccanismi di accesso al mezzo (CSMA/CD o CSMA/CA). L'aggiornamento continuo di questi standard (es. Wi-Fi 6) permette di aumentare velocità e sicurezza senza cambiare l'infrastruttura di livello superiore, proteggendo gli investimenti hardware.
Livello Applicativo e Servizi Web
Il livello applicativo ospita i protocolli che gli utenti finali percepiscono direttamente, abilitando servizi come navigazione web, posta elettronica e trasferimento file. Questi protocolli definiscono il formato e lo scambio di messaggi tra applicazioni client e server. La sicurezza a questo livello è primaria, poiché espone la logica di business e i dati sensibili. L'evoluzione verso servizi cloud e API REST ha reso questi protocolli ancora più critici per l'integrazione dei sistemi aziendali. Comprendere il funzionamento di HTTP, DNS e SMTP è essenziale per sviluppare applicazioni robuste, ottimizzare le prestazioni web e proteggere i dati dagli attacchi più comuni come il phishing o l'injection.
HTTP e HTTPS
HTTP (HyperText Transfer Protocol) è il protocollo fondamentale per il Web, basato su un modello request-response stateless. HTTPS aggiunge un livello di crittografia TLS/SSL, garantendo riservatezza, integrità e autenticazione del server. I metodi HTTP (GET, POST, PUT, DELETE) definiscono l'azione sulla risorsa identificata dall'URI. I codici di stato (200, 404, 500) informano il client sull'esito della richiesta. La migrazione a HTTPS è ormai obbligatoria per la SEO e la sicurezza browser, proteggendo i cookie di sessione e i dati di login da intercettazioni man-in-the-middle su reti non fidate.
Metodi e Stati
I metodi HTTP indicano l'intenzione dell'azione: GET richiede dati senza effetti collaterali, POST invia dati per creare risorse, PUT aggiorna, DELETE rimuove. I codici di stato sono categorizzati in 1xx (Informazionale), 2xx (Successo), 3xx (Redirezione), 4xx (Errore Client), 5xx (Errore Server). Questa standardizzazione permette ai client di gestire automaticamente errori o redirect. Un uso improprio, come inviare dati sensibili via GET, espone le informazioni nei log del server e nella cronologia del browser. La corretta implementazione semantica migliora la cacheabilità e l'efficienza delle reti di distribuzione contenuti (CDN).
Sicurezza TLS
TLS (Transport Layer Security) cripta il canale HTTP, prevenendo l'eavesdropping e la manipolazione dei dati in transito. Utilizza un handshake asimmetrico per scambiare chiavi di sessione simmetriche, combinando sicurezza e prestazioni. I certificati digitali X.509, emessi da Certificate Authority (CA), validano l'identità del server, proteggendo gli utenti da siti falsi. Le versioni obsolete (SSLv3, TLS 1.0) sono vulnerabili e devono essere disabilitate. L'implementazione corretta richiede cipher suite moderni e rinnovo regolare delle chiavi, essenziale per conformarsi a normative come GDPR e proteggere la reputazione del dominio.
DNS
Il Domain Name System (DNS) traduce nomi di dominio leggibili (es. www.example.com) in indirizzi IP numerici necessari per il routing. Funziona come un database distribuito gerarchico, con root server, TLD e server autoritativi. Senza DNS, gli utenti dovrebbero memorizzare indirizzi IP complessi. Il DNS supporta anche record per la posta (MX), l'autorità (NS) e la verifica (TXT). È un bersaglio critico per attacchi DDoS e avvelenamento della cache (DNS Spoofing). L'uso di DNS over HTTPS (DoH) o DNS over TLS (DoT) sta crescendo per privacy, impedendo agli ISP di monitorare le richieste di risoluzione nomi degli utenti.
Risoluzione Nomi
La risoluzione può essere iterativa o ricorsiva. Un resolver ricorsivo (spesso del ISP) interroga vari server per conto del client fino a trovare la risposta, cachando il risultato per ridurre la latenza futura. La risoluzione iterativa richiede al client di contattare ogni server nella catena. I record A (IPv4) e AAAA (IPv6) mappano i nomi agli indirizzi. Il TTL (Time To Live) nei record determina quanto a lungo una risposta può essere cachata, bilanciando freschezza dei dati e carico sui server. Una configurazione errata del TTL può causare lunghi tempi di propagazione durante le migrazioni di server.
Record e Struttura
Oltre ad A e AAAA, i record MX indirizzano la posta elettronica, CNAME creano alias, NS delegano l'autorità di zona e TXT ospitano verifiche SPF/DKIM per anti-spam. La struttura gerarchica (Root -> TLD -> Dominio) distribuisce il carico e la gestione. Zone file contengono queste informazioni sui server autoritativi. La sicurezza DNSSEC aggiunge firme crittografiche ai record per prevenire la manipolazione. La comprensione della struttura DNS è vitale per configurare correttamente domini, email e servizi cloud, assicurando che il traffico sia indirizzato alle risorse corrette senza interruzioni di servizio.
Posta Elettronica
I protocolli di posta elettronica gestiscono l'invio, il routing e la ricezione di messaggi. SMTP (Simple Mail Transfer Protocol) gestisce l'invio tra server e dal client al server. POP3 (Post Office Protocol) e IMAP (Internet Message Access Protocol) gestiscono il recupero della posta dal server al client. SMTP usa la porta 25/587, POP3 la 110/995, IMAP la 143/993. IMAP è preferito per l'accesso multi-dispositivo poiché mantiene i messaggi sul server, mentre POP3 li scarica localmente. La sicurezza richiede STARTTLS per criptare le connessioni e autenticazione forte per prevenire relay aperti usati per spam.
SMTP e Invio
SMTP è un protocollo push che trasferisce messaggi tra Mail Transfer Agents (MTA). Utilizza comandi testuali (HELO, MAIL FROM, RCPT TO, DATA) per negoziare la trasmissione. Non autentica di default l'utente finale, richiedendo estensioni come SMTP AUTH. I server verificano i record DNS del mittente per ridurre lo spam. La coda di posta gestisce i tentativi di consegna in caso di server destinatario irraggiungibile. La configurazione corretta dei record SPF e DKIM è essenziale per garantire che le email non finiscano in spam, proteggendo la deliverability delle comunicazioni aziendali critiche.
POP3 e IMAP
POP3 scarica la posta sul client e spesso la cancella dal server, ideale per archiviazione locale ma scarsa per multi-device. IMAP sincronizza lo stato della posta (letto, cancellato, cartelle) tra client e server, mantenendo una copia centrale. IMAP supporta ricerca lato server e accesso offline parziale. La scelta del protocollo impatta l'esperienza utente e la strategia di backup. IMAP richiede più spazio su server e banda, ma offre flessibilità moderna. La configurazione SSL/TLS è mandatoria per proteggere le credenziali di accesso e il contenuto delle email durante il recupero da reti pubbliche.
DHCP
Il Dynamic Host Configuration Protocol (DHCP) assegna automaticamente indirizzi IP e parametri di configurazione (subnet mask, gateway, DNS) ai dispositivi di rete. Elimina la necessità di configurazione manuale statica, riducendo errori e overhead amministrativo. Funziona con un processo DORA (Discover, Offer, Request, Acknowledge). I lease hanno una scadenza, richiedendo il rinnovo periodico per mantenere l'indirizzo. In reti grandi, i relay DHCP forwarding le richieste attraverso i router. La sicurezza è debole di default, vulnerabile a rogue DHCP server che possono reindirizzare il traffico verso host malevoli per intercettazione dati.
Processo DORA
Il client broadcasta un DHCP Discover per trovare server disponibili. I server rispondono con un DHCP Offer contenendo un IP proposto. Il client richiede l'IP con DHCP Request. Il server conferma con DHCP Acknowledge, finalizzando il lease. Questo scambio avviene a livello UDP (porte 67/68). Se il client si sposta di rete, deve richiedere un nuovo lease. Il processo garantisce che gli indirizzi non siano duplicati nella stessa subnet. In caso di conflitto, il client segnala l'errore e il server marca quell'IP come non disponibile, prevenendo interruzioni di connettività per entrambi i dispositivi coinvolti.
Gestione Lease
Il lease time determina la durata dell'assegnazione IP. Tempi brevi sono utili per reti guest con alto turnover, tempi lunghi per reti stabili per ridurre traffico broadcast. Il client tenta di rinnovare il lease al 50% del tempo scaduto inviando un request unicast al server. Se fallisce, ritenta al 87.5%. Alla scadenza, l'IP viene rilasciato e il client deve ricominciare il processo DORA. I server DHCP mantengono un database degli assegnamenti per troubleshooting e audit. La reservation statica basata su MAC address permette di assegnare IP fissi a server o stampanti pur usando DHCP.
Livello di Trasporto Dati
Il livello di trasporto gestisce la comunicazione end-to-end tra applicazioni host, garantendo affidabilità o velocità a seconda delle necessità. I protocolli principali sono TCP (connection-oriented, affidabile) e UDP (connectionless, veloce). Questo livello gestisce il multiplexing tramite le porte, permettendo a più applicazioni di condividere la stessa connessione di rete. Implementa meccanismi di controllo del flusso e della congestione per ottimizzare l'uso della banda e prevenire il collasso della rete. La scelta tra TCP e UDP dipende dal tipo di traffico: file e web richiedono affidabilità, streaming e VoIP richiedono bassa latenza. Una configurazione errata può causare packet loss o latenza eccessiva.
TCP Affidabile
Transmission Control Protocol (TCP) garantisce la consegna ordinata e senza errori dei dati. Utilizza un three-way handshake per stabilire la connessione e sequenze di acknowledge per confermare la ricezione. Se un pacchetto viene perso, viene ritrasmesso. Implementa controllo di congestione per adattarsi alla capacità della rete. È ideale per trasferimenti file, email e web browsing dove l'integrità dei dati è prioritaria rispetto alla velocità immediata. L'overhead degli header e dei meccanismi di controllo introduce latenza, rendendolo meno suitable per applicazioni real-time sensibili al ritardo come i videogiochi competitivi online.
Three-Way Handshake
La connessione TCP si stabilisce con tre passaggi: SYN (client richiede connessione), SYN-ACK (server accetta e sincronizza), ACK (client conferma). Questo processo sincronizza i numeri di sequenza iniziali per entrambi i lati, essenziali per ordinare i pacchetti e rilevare duplicati. Previene connessioni obsolete di essere accettate erroneamente. Durante la chiusura, avviene un four-way handshake (FIN/ACK) per terminare gracefully. Attacchi SYN Flood sfruttano questo meccanismo inviando molti SYN senza completare l'handshake, esaurendo le risorse del server. I firewall moderni mitigano questo con cookie SYN o proxy.
Controllo Congestione
TCP regola la velocità di invio dati per evitare di saturare la rete. Usa algoritmi come Slow Start, Congestion Avoidance, Fast Retransmit e Fast Recovery. La finestra di congestione (cwnd) determina quanti dati possono essere inviati senza ACK. Se si verifica packet loss, TCP assume congestione e riduce la finestra drasticamente. Questo comportamento 'gentile' stabilizza Internet ma può penalizzare le prestazioni su link ad alta latenza o con perdita di pacchetti non dovuta a congestione (es. Wi-Fi). Le varianti moderne (BBR) cercano di ottimizzare questo comportamento per reti contemporanee.
UDP Veloce
User Datagram Protocol (UDP) invia datagrammi senza stabilire connessione né garantire consegna o ordine. Non ha handshake, ritrasmissioni o controllo di flusso. Questo riduce drasticamente l'overhead e la latenza, rendendolo ideale per streaming video, VoIP, DNS e giochi online. L'applicazione deve gestire eventuali errori o perdite. È vulnerabile a spoofing e flood attacks poiché non verifica lo stato. La sua semplicità permette throughput elevato. In reti congestionate, il traffico UDP può dominare e affamare il traffico TCP, poiché TCP riduce la velocità in risposta alla perdita di pacchetti mentre UDP continua a inviare invariato.
Bassa Latenza
L'assenza di handshake e acknowledge rende UDP estremamente veloce nell'inizio della trasmissione. I pacchetti vengono inviati appena pronti dall'applicazione. Questo è cruciale per applicazioni real-time dove un pacchetto vecchio è inutile (es. un frame video perso non vale la pena ritrasmetterlo se il successivo è già arrivato). La riduzione dell'header (8 byte vs 20+ di TCP) risparmia banda. Tuttavia, richiede che l'applicazione implementi meccanismi di affidabilità se necessari (es. QUIC su UDP). La mancanza di controllo di congestione nativo richiede cura nell'implementazione per non danneggiare la rete condivisa.
Streaming Real-time
Protocolli come RTP (Real-time Transport Protocol) girano su UDP per trasportare audio e video. La tolleranza alla perdita di pacchetti è preferita al ritardo di ritrasmissione. Jitter buffer lato client compensano le variazioni di arrivo dei pacchetti. DNS usa UDP per query rapide, passando a TCP solo per risposte grandi o zone transfer. VoIP usa UDP per mantenere la conversazione naturale senza pause. La qualità del servizio (QoS) di rete è essenziale per prioritizzare questo traffico UDP sensibile al tempo rispetto a traffico bulk TCP meno critico, garantendo esperienze utente fluide.
Gestione Porte
Le porte sono indirizzi logici a 16 bit che identificano processi specifici su un host, permettendo il multiplexing. Le porte 0-1023 sono 'well-known' e riservate a servizi standard (80 HTTP, 443 HTTPS). Le porte 1024-49151 sono registrate, le restanti dinamiche/ephemeral. I firewall filtrano il traffico basandosi su porte di destinazione. Il NAT mappa porte interne a porte esterne per permettere a più dispositivi di condividere un IP pubblico. La scansione delle porte è una tecnica di ricognizione comune negli attacchi informatici per identificare servizi vulnerabili esposti su un host.
Well-Known Ports
Queste porte sono assegnate dall'IANA per servizi standardizzati, facilitando la configurazione client senza specificare la porta (es. browser usa 80 di default). Esempi includono 22 (SSH), 25 (SMTP), 53 (DNS). Cambiare queste porte (security by obscurity) offre protezione minima contro scanner automatizzati. I servizi in ascolto su queste porte richiedono privilegi di root/admin sui sistemi operativi. La conoscenza di queste associazioni è fondamentale per configurare regole firewall corrette e diagnosticare problemi di connettività ai servizi di rete essenziali.
Socket e Multiplexing
Un socket è definito dall'indirizzo IP e dal numero di porta (es. 192.168.1.1:80). Una coppia di socket (client e server) identifica univocamente una connessione. Questo permette a un server web di gestire migliaia di connessioni simultanee sulla stessa porta IP, distinguendole per IP/porta del client. Il sistema operativo gestisce la tabella dei socket per instradare i pacchetti in arrivo al processo corretto. Il multiplexing statistico permette di condividere la banda fisica tra molte connessioni logiche, ottimizzando l'utilizzo delle risorse di rete e permettendo la multitasking delle applicazioni di rete.
Controllo Flusso
Il controllo di flusso previene un mittente veloce dal sovraccaricare un ricevente lento. TCP usa una finestra scorrevole (sliding window) annunciata dal ricevente nell'header ACK. Indica quanti byte il ricevente può bufferizzare. Se il buffer si riempie, la finestra si riduce a zero, fermando la trasmissione finché non si libera spazio. Questo meccanismo opera end-to-end, indipendentemente dalla congestione di rete. È distintivo dal controllo di congestione. Senza controllo di flusso, i pacchetti verrebbero scartati dal ricevente, causando ritrasmissioni inutili e spreco di banda, riducendo drasticamente il throughput effettivo della connessione.
Sliding Window
La finestra scorrevole permette di inviare multipli pacchetti prima di ricevere un ACK, aumentando l'efficienza su link ad alta latenza (High BDP). La dimensione della finestra si adatta dinamicamente in base alla capacità del ricevente. Gli ACK cumulativi confermano la ricezione di tutti i byte fino a un certo numero di sequenza. Selective Acknowledgment (SACK) permette di confermare blocchi specifici ricevuti, migliorando la recovery in caso di perdite multiple. L'ottimizzazione della dimensione della finestra è critica per sfruttare fully link veloci come la fibra ottica su lunghe distanze.
Prevenzione Overflow
Se il ricevente non gestisce il flusso, il buffer di rete si riempie e i pacchetti in eccesso vengono dropati. Questo triggera ritrasmissioni TCP, aumentando la congestione. Il controllo di flusso protegge le risorse di memoria del ricevente. Nei sistemi embedded con risorse limitate, questo è cruciale per evitare crash. I firewall stateful tracciano lo stato del flusso per permettere solo traffico legittimo correlato a connessioni stabilite. La mancata implementazione o configurazione errata può portare a denial of service locali o instabilità delle applicazioni di rete sotto carico pesante.
Livello di Rete e Indirizzamento
Il livello di rete gestisce il percorso dei dati attraverso la rete (routing) e l'indirizzamento logico (IP). Determina la strada migliore per i pacchetti da source a destination attraverso multiple reti intermedie. IPv4 e IPv6 sono i protocolli dominanti. Il subnetting permette di dividere reti grandi in sottoreti più piccole per efficienza e sicurezza. I protocolli di routing (OSPF, BGP) scambiano informazioni di raggiungibilità tra router. ICMP fornisce feedback su errori e stato della rete. Una progettazione accurata del piano di indirizzamento è fondamentale per la scalabilità, la sicurezza e la facilità di gestione dell'infrastruttura di rete aziendale.
IPv4 vs IPv6
IPv4 usa indirizzi a 32 bit (4 miliardi di indirizzi), ormai esauriti, richiedendo NAT. IPv6 usa 128 bit, offrendo spazio illimitato e semplificando l'header per prestazioni migliori. IPv6 include sicurezza IPSec nativa e autoconfigurazione stateless. La transizione è lenta a causa della compatibilità legacy. I dual-stack host supportano entrambi. IPv6 elimina la necessità di NAT, ripristinando la connettività end-to-end originale di Internet. La comprensione delle differenze è vitale per la future-proofing delle reti, poiché l'adozione IPv6 cresce con l'espansione dell'IoT e dei dispositivi mobili.
Spazio Indirizzi
IPv4 permette circa 4.3 miliardi di indirizzi, insufficienti per la popolazione globale di dispositivi. IPv6 offre 3.4x10^38 indirizzi, assegnabili gerarchicamente per ottimizzare il routing. Questo elimina la scarsità e permette a ogni dispositivo di avere un IP pubblico unico. La notazione esadecimale di IPv6 (es. 2001:db8::1) è più complessa ma gestibile. La vastità dello spazio rende le scansioni di rete brute-force impossibili, aumentando la sicurezza per oscuramento, sebbene non sia una misura di sicurezza reale. La pianificazione degli indirizzi IPv6 richiede strategia per aggregazione efficiente nelle tabelle di routing globali.
Header Semplificato
L'header IPv6 è fisso a 40 byte, rispetto ai 20+ variabili di IPv4. Rimuove il checksum dell'header (affidandosi ai livelli superiori e inferiori) e i campi di frammentazione (gestiti solo dagli host). Questo riduce il carico di elaborazione sui router, aumentando il forwarding rate. Supporta extension headers per opzioni flessibili senza appesantire l'header base. La semplificazione migliora le prestazioni hardware nei router moderni. Tuttavia, richiede aggiornamenti dell'infrastruttura di rete e software per supportare il nuovo protocollo, rappresentando un costo di migrazione per le organizzazioni.
Subnetting
Il subnetting divide una rete IP in sottoreti logiche più piccole usando una subnet mask o notazione CIDR. Migliora la sicurezza isolando dipartimenti, riduce il dominio di broadcast e ottimizza l'uso degli indirizzi. Permette di strutturare la rete geograficamente o funzionalmente. Il calcolo delle subnet richiede competenza binaria per determinare network address, broadcast address e host range. Un errore nel subnetting può isolare segmenti di rete o causare conflitti IP. È una skill fondamentale per network engineer per progettare infrastrutture scalabili e sicure, limitando l'impatto di eventuali breach di sicurezza a singole subnet.
Maschera di Rete
La subnet mask (es. 255.255.255.0 o /24) separa la parte network dalla parte host dell'indirizzo IP. I bit a 1 indicano la rete, i bit a 0 gli host. L'operazione AND logico tra IP e mask rivela l'indirizzo di rete. Maschere variabili (VLSM) permettono di adattare la dimensione della subnet al numero effettivo di host richiesti, riducendo lo spreco. La configurazione errata della mask su un host può impedire la comunicazione con gateway o server locali. La documentazione accurata delle mask è essenziale per il troubleshooting e l'espansione futura della rete.
Ottimizzazione Spazio
Usare subnet troppo grandi spreca indirizzi IP preziosi, specialmente in IPv4. Subnet troppo piccole limitano la crescita. Il CIDR (Classless Inter-Domain Routing) permette aggregazione flessibile delle rotte, riducendo la dimensione delle tabelle di routing globali. Pianificare lo schema di indirizzamento con spazio per crescita evita re-indirizzamenti dolorosi in futuro. L'uso di subnet private (RFC 1918) per reti interne conserva indirizzi pubblici. Una buona ottimizzazione facilita anche l'implementazione di regole firewall specifiche per subnet, migliorando la postura di sicurezza complessiva dell'organizzazione.
Routing Dinamico
I protocolli di routing dinamico scambiano informazioni tra router per costruire tabelle di routing automaticamente, adattandosi a cambiamenti di topologia o guasti. OSPF (Link-State) e EIGRP (Hybrid) sono usati nelle enterprise, BGP (Path-Vector) su Internet. Contrastano con il routing statico, manuale e non adattivo. Il routing dinamico introduce overhead di CPU e banda per gli aggiornamenti, ma garantisce resilienza. La scelta del protocollo dipende dalla dimensione della rete e dai requisiti di convergenza. Una configurazione errata può causare loop di routing o blackhole, interrompendo la connettività critica per l'azienda.
Link-State vs Distance-Vector
I protocolli Link-State (es. OSPF) costruiscono una mappa completa della topologia e calcolano il percorso migliore (Dijkstra). Convergono velocemente ma richiedono più memoria. I Distance-Vector (es. RIP) condividono solo la distanza e la direzione con i vicini, meno risorse ma convergenza lenta e prone a loop. La scelta impatta la scalabilità: OSPF è preferibile per reti grandi e complesse. La comprensione delle metriche (costo, hop count, bandwidth) è essenziale per influenzare il percorso del traffico. La segmentazione in aree (OSPF Areas) limita la propagazione degli aggiornamenti, stabilizzando la rete.
Tabelle Routing
La tabella di routing memorizza le rotte verso le destinazioni di rete, indicando il next-hop e l'interfaccia di uscita. I router consultano questa tabella per ogni pacchetto in ingresso. Le rotte possono essere direttamente connesse, statiche o apprese dinamicamente. La longest prefix match determina la rotta specifica quando più voci corrispondono. La manutenzione di queste tabelle è critica per le prestazioni del router. In caso di guasto link, il protocollo di routing aggiorna la tabella per usare percorsi alternativi. Il debugging delle tabelle è il primo passo per risolvere problemi di raggiungibilità tra subnet.
ICMP
Internet Control Message Protocol (ICMP) è usato per inviare messaggi di errore e operativi, come destinazione irraggiungibile o tempo scaduto. Non trasporta dati applicativi. Strumenti come Ping e Traceroute si basano su ICMP per diagnosticare la connettività e la latenza di rete. I firewall spesso bloccano ICMP per sicurezza (ping sweep), rendendo il troubleshooting più difficile. ICMPv6 è essenziale per il funzionamento di IPv6 (Neighbor Discovery). Ignorare ICMP può rompere Path MTU Discovery, causando problemi di connessione per pacchetti grandi. Un bilanciamento tra sicurezza e funzionalità è necessario nelle policy firewall.
Ping e Traceroute
Ping invia Echo Request e attende Echo Reply per verificare la raggiungibilità e misurare il Round Trip Time (RTT). Traceroute incrementa il TTL (Time To Live) per forzare i router intermedi a inviare messaggi 'Time Exceeded', rivelando il percorso hop-by-hop. Questi strumenti sono fondamentali per isolare dove si interrompe la connettività. La perdita di pacchetti rilevata da Ping indica congestione o problemi fisici. Traceroute identifica router lenti o guasti lungo il percorso. L'uso di queste utility è la prima azione di troubleshooting per qualsiasi amministratore di rete di fronte a report di utenti su lentezza o disconnessione.
Messaggi Controllo
ICMP include messaggi come Destination Unreachable, Source Quench (obsoleto), Redirect e Time Exceeded. Questi messaggi aiutano gli host a correggere il comportamento di invio. Ad esempio, un messaggio Redirect informa un host di un gateway migliore sulla stessa subnet. I messaggi di errore contengono parte del pacchetto originale per identificare la connessione interessata. La generazione di questi messaggi deve essere rate-limited sui router per prevenire attacchi di amplificazione. La corretta interpretazione dei codici ICMP è vitale per diagnosticare problemi complessi di routing o firewalling che bloccano specifici tipi di traffico.
Sicurezza delle Comunicazioni
La sicurezza di rete protegge l'integrità, la riservatezza e la disponibilità dei dati e delle infrastrutture. Comprende crittografia, autenticazione, firewall e sistemi di rilevamento intrusioni. Le minacce evolvono costantemente, richiedendo un approccio a più livelli (defense in depth). La crittografia protegge i dati in transito e a riposo. I firewall filtrano il traffico in base a regole di sicurezza. Le VPN creano tunnel sicuri su reti pubbliche. La gestione delle identità e degli accessi (IAM) controlla chi può accedere alle risorse. Una violazione può costare milioni in danni e reputazione, rendendo la sicurezza una priorità strategica e non solo tecnica.
Crittografia
La crittografia trasforma dati leggibili in testo cifrato usando algoritmi e chiavi. Simmetrica (AES) usa una chiave condivisa, veloce per grandi volumi di dati. Asimmetrica (RSA, ECC) usa coppie pubblico/privato, sicura per scambio chiavi e firme digitali. La forza crittografica dipende dalla lunghezza della chiave e dall'algoritmo. Chiavi deboli o algoritmi obsoleti (DES, MD5) sono vulnerabili a brute-force. L'implementazione corretta richiede gestione sicura delle chiavi (HSM). La crittografia end-to-end garantisce che solo mittente e destinatario possano leggere i dati, proteggendo anche da provider di servizi compromessi o intercettazioni governative.
Chiavi Pubbliche/Private
Nella crittografia asimmetrica, la chiave pubblica cripta i dati o verifica firme, la privata decripta o firma. La privata deve rimanere segreta. Questo risolve il problema dello scambio chiavi della crittografia simmetrica. Usata in SSL/TLS, SSH e PGP. La lunghezza della chiave (es. 2048 bit RSA) determina la sicurezza computazionale. Le Certificate Authority firmano le chiavi pubbliche per validarne la proprietà. La compromissione della chiave privata richiede la revoca immediata del certificato. La rotazione regolare delle chiavi è una best practice per limitare i danni in caso di breach non rilevato.
Algoritmi AES/RSA
AES (Advanced Encryption Standard) è lo standard simmetrico governativo, veloce e sicuro (128/256 bit). RSA è ampiamente usato per l'asimmetrica, basato sulla fattorizzazione di numeri primi. ECC (Elliptic Curve) offre sicurezza simile a RSA con chiavi più corte, ideale per mobile/IoT. La scelta dipende dal caso d'uso: AES per dati, RSA/ECC per handshake. Algoritmi obsoleti devono essere disabilitati nei server. Le librerie crittografiche devono essere aggiornate per patchare vulnerabilità teoriche. L'uso di modalità operative sicure (es. GCM per AES) previene attacchi di manipolazione del ciphertext.
SSL/TLS
Secure Sockets Layer (SSL) e Transport Layer Security (TLS) forniscono sicurezza communications su Internet. TLS è l'evoluzione sicura di SSL. Gestiscono handshake, autenticazione server (e opzionalmente client) e crittografia del sessione. Proteggono web, email, VPN e VoIP. L'handshake negozia cipher suite e scambia chiavi. I certificati digitali validano l'identità. Vulnerabilità come Heartbleed o POODLE hanno mostrato l'importanza di aggiornare le implementazioni. TLS 1.3 è l'attuale standard, più veloce e sicuro. La configurazione corretta dei server è critica per evitare downgrade attacks e garantire privacy utente.
Handshake Sicuro
L'handshake TLS stabilisce i parametri di sicurezza prima dello scambio dati. Client e server concordano versione TLS, cipher suite e autenticano il server via certificato. Scambiano chiavi premaster per generare chiavi di sessione simmetriche. Questo processo garantisce forward secrecy: se la chiave privata del server è compromessa in futuro, le sessioni passate non possono essere decriptate. L'handshake aggiunge latenza iniziale (RTT), mitigata da TLS 1.3 e session resumption. Il fallimento dell'handshake blocca la connessione, proteggendo da comunicazioni non sicure. Il debugging richiede analisi dei packet capture per identificare mismatch di cipher o certificati scaduti.
Certificati Digitali
I certificati X.509 legano una chiave pubblica a un'identità (dominio, organizzazione), firmati da una CA fidata. I browser trustano CA root preinstallate. Certificati self-signed generano warning ma sono utili per test interni. La scadenza dei certificati causa interruzioni di servizio se non rinnovati. Certificate Transparency logga tutti i certificati emessi per rilevare issuance malevola. EV (Extended Validation) certificati offrono maggiore assurance visiva. La gestione del ciclo di vita dei certificati (ACME protocol) automatizza il rinnovo, prevenendo outage dovuti a dimenticanze amministrative.
Firewall
I firewall controllano il traffico di rete in entrata e in uscita basandosi su regole di sicurezza definite. Possono essere hardware, software o cloud. Filtrano per IP, porta, protocollo o stato della connessione. I Next-Generation Firewall (NGFW) ispezionano il payload (DPI) per bloccare malware e applicazioni specifiche. Sono la prima linea di difesa perimetrale. Una regola troppo permissiva espone la rete, una troppo restrittiva blocca servizi legittimi. La logica 'deny all' di default è essenziale. I firewall richiedono manutenzione continua delle regole per adattarsi a nuove minacce e cambiamenti infrastrutturali.
Packet Filtering
Il filtering base esamina header di pacchetti (source/dest IP, porte). È veloce ma non conosce lo stato della connessione. Può essere bypassato da spoofing. Usato in router base o firewall semplici. Le regole sono valutate in ordine, la prima match vince. Performance elevate ma sicurezza limitata. Non può ispezionare contenuti applicativi. Adeguato per segmentazione di rete base o protezione perimetrale iniziale. La complessità delle regole aumenta il rischio di errori di configurazione. L'audit periodico delle regole è necessario per rimuovere eccezioni obsolete che indeboliscono la postura di sicurezza.
Stateful Inspection
I firewall stateful tracciano lo stato delle connessioni attive (tabella di stato). Permettono traffico di ritorno correlato a richieste uscenti senza regole esplicite. Offrono maggiore sicurezza bloccando pacchetti non richiesti. Riconoscono handshake TCP invalidi. Consumano più risorse memoria/CPU rispetto al packet filtering. Sono lo standard moderno per firewall aziendali. Possono rilevare anomalie nel flusso di protocollo. Integrano spesso funzionalità NAT. La capacità della tabella di stato limita il numero di connessioni simultanee gestibili. Il timeout delle voci di stato deve essere configurato per bilanciare sicurezza e utilizzo risorse.
VPN
Virtual Private Network (VPN) estende una rete privata su una pubblica, criptando il traffico. Permette accesso remoto sicuro per utenti mobili o collegamento di sedi (Site-to-Site). Protocolli comuni: IPsec, OpenVPN, WireGuard. Maschera l'IP reale dell'utente. Essenziale per lavoro remoto e privacy. Introduce overhead di latenza e riduzione banda dovuto a crittografia. La scelta del protocollo impatta sicurezza e velocità. VPN commerciali proteggono da ISP ma richiedono trust nel provider. VPN aziendali autenticano utenti contro directory interne. La configurazione errata può creare leak DNS o esporre la rete interna.
Tunneling Criptato
Il tunneling incapsula pacchetti privati dentro pacchetti pubblici, criptando il payload. Crea un virtual link point-to-point attraverso Internet. IPsec opera a livello di rete, trasparente alle applicazioni. SSL VPN opera a livello applicativo, accessibile via browser. WireGuard è moderno, leggero e veloce. Il tunnel protegge da sniffing su reti Wi-Fi pubbliche. La stabilità del tunnel dipende dalla connettività sottostante. Keepalive mantengono il tunnel attivo. La frammentazione dei pacchetti nel tunnel può causare problemi MTU. La crittografia deve essere forte per resistere a decrittazione da parte di attori statali o criminali organizzati.
Accesso Remoto Sicuro
Permette ai dipendenti di accedere alle risorse aziendali come se fossero in ufficio. Richiede autenticazione forte (MFA) prima di stabilire il tunnel. Segmenta l'accesso per principio del minimo privilegio. Monitora le sessioni per attività sospette. Integra con sistemi di logging centralizzati. Riduce il rischio di esposizione diretta di servizi (RDP, SSH) su Internet. Il split-tunneling invia solo traffico aziendale via VPN, lasciando il resto su Internet locale per prestazioni. La gestione dei client VPN su dispositivi personali (BYOD) richiede policy di sicurezza specifiche per proteggere i dati aziendali su endpoint non controllati.
Infrastruttura Fisica e Link
Il livello fisico e data link gestiscono la trasmissione effettiva dei bit sul mezzo e l'accesso alla rete locale. Include cavi, fibre, segnali radio e dispositivi come switch e access point. Ethernet è lo standard dominante per le LAN cablate, Wi-Fi per le wireless. Gli indirizzi MAC identificano univocamente le interfacce di rete. Le VLAN segmentano logicamente la rete fisica. La qualità del cablaggio influenza velocità e affidabilità. Le interferenze radio impattano il Wi-Fi. La progettazione fisica deve considerare ridondanza e scalabilità. Un guasto fisico interrompe tutti i livelli superiori, rendendo la robustezza dell'infrastruttura fondamentale per la continuità operativa.
Mezzi Trasmissivi
I dati viaggiano su rame (doppino intrecciato), fibra ottica o onde radio. Il rame (Cat5e/6/7) è economico ma limitato in distanza e banda. La fibra (monomodale/multimodale) offre alta velocità e lunga distanza, immune a EMI. Il wireless offre mobilità ma è soggetto a interferenze e sicurezza fisica. La scelta del mezzo dipende da budget, distanza e requisiti di banda. La fibra è essenziale per backbone e data center. Il rame rimane standard per il last-meter agli utenti. La degradazione fisica del cavo causa errori di trasmissione e packet loss intermittenti difficili da diagnosticare.
Fibra Ottica
Trasmette luce attraverso nuclei di vetro/plastica. Monomodale per lunghe distanze (km), multimodale per corte (m). Immune a interferenze elettromagnetiche, sicura (difficile da tapare). Supporta velocità 1Gbps fino a 400Gbps+. Richiede attrezzature di terminazione specializzate e costose. Usata per collegamenti tra edifici e ISP. La pulizia dei connettori è critica per prevenire perdita di segnale. La rottura della fibra richiede riparazione specialistica. La latenza è minima (velocità della luce). È lo standard per infrastrutture critiche ad alta disponibilità e data center moderni.
Doppino Intrecciato
Cavi in rame con coppie intrecciate per ridurre crosstalk. Categorie (Cat5e, Cat6, Cat6a) definiscono banda e frequenza supportate. Limitato a 100m per Ethernet. Economico e facile da installare. PoE (Power over Ethernet) permette di alimentare dispositivi (telefoni, AP) via cavo. Suscettibile a interferenze elettriche se non schermato (STP vs UTP). I connettori RJ45 sono standard. Test di certificazione del cablaggio assicurano conformità agli standard. Il degrado nel tempo o danni fisici (piegature) riducono le prestazioni. Rimane la soluzione più diffusa per la connettività desktop e workstation.
Ethernet
Ethernet (IEEE 802.3) è la famiglia di tecnologie per LAN cablate. Definisce formati frame, indirizzi MAC e accesso al mezzo. Evoluta da 10Mbps a 400Gbps. Usa CSMA/CD storicamente, ora full-duplex switchato. Indirizzi MAC a 48 bit identificano hardware. Dominante nelle enterprise e data center. La frammentazione dei frame è gestita dal livello superiore. Jumbo frame aumentano efficienza su reti controllate. La compatibilità backward permette coesistenza di velocità diverse. Ethernet è la base su cui girano IP e TCP. La stabilità e prevedibilità la rendono preferita al wireless per servizi critici.
Standard IEEE 802.3
Definisce specifiche fisiche e data link per Ethernet. Include 100BASE-TX (Fast), 1000BASE-T (Gigabit), 10GBASE-T. Ogni standard specifica tipo cavo, distanza e codifica. L'evoluzione mantiene il formato frame base, facilitando upgrade. Auto-negotiation permette a dispositivi di accordarsi sulla velocità massima comune. Power over Ethernet (802.3af/at/bt) standardizza l'alimentazione via cavo. La conformità agli standard garantisce interoperabilità tra vendor. Le violazioni delle specifiche (cavi lunghi, qualità scarsa) causano errori di collisione o CRC. La documentazione degli standard è riferimento per ingegneri di rete.
Indirizzi MAC
Media Access Control address sono identificatori unici a 48 bit assegnati dal produttore (OUI). Usati per delivery locale nel segmento di rete. I switch usano tabelle MAC per forwardare frame alla porta corretta. Il broadcasting (FF:FF:FF:FF:FF:FF) raggiunge tutti i dispositivi. Lo spoofing MAC permette di impersonare altri dispositivi, rischio di sicurezza. La privacy MAC randomization nei device moderni protegge il tracking. I MAC address sono immutabili hardware ma software-overridable. La gestione delle tabelle MAC negli switch (aging time) impatta le prestazioni. Essenziali per filtraggio porte e sicurezza livello 2.
Wi-Fi
Wi-Fi (IEEE 802.11) fornisce connettività wireless locale. Standard evoluti: a/b/g/n/ac/ax (Wi-Fi 6). Usa frequenze 2.4GHz (portata, congestione) e 5/6GHz (velocità, portata corta). Soggetto a interferenze, attenuazione e sicurezza fisica. Crittografia WPA3 è lo standard attuale. Roaming permette movimento tra AP. La pianificazione del sito (site survey) è cruciale per copertura e canali. La densità di client impatta prestazioni più della velocità raw. Il wireless è complementare al cablato, non sostitutivo per carichi pesanti. La sicurezza richiede autenticazione robusta (802.1X) per enterprise.
Standard 802.11ac/ax
802.11ac (Wi-Fi 5) opera su 5GHz, offre larghezze canale fino a 160MHz e MU-MIMO downlink. 802.11ax (Wi-Fi 6) introduce OFDMA per efficienza multiutente, target wake time per battery life e sicurezza WPA3 obbligatorio. Migliora prestazioni in ambienti densi (stadi, aeroporti). Backward compatible con standard precedenti. Richiede client e AP supportati per beneficiare. La velocità teorica è raramente raggiunta per overhead e ambiente. L'upgrade a Wi-Fi 6 richiede infrastruttura di backbone adeguata (multigigabit). È essenziale per supportare la crescita di dispositivi IoT e mobili nelle moderne organizzazioni.
Interferenze
Segnali non Wi-Fi (microonde, bluetooth) e Wi-Fi adiacenti causano interferenze. 2.4GHz è molto congestionato. Attenuazione da muri, metallo, acqua riduce segnale. Channel overlap peggiora prestazioni. Analisi spettro aiuta a identificare fonti di rumore. La potenza di trasmissione va bilanciata per evitare cell overlap eccessivo. DFS (Dynamic Frequency Selection) evita radar su 5GHz. La progettazione deve considerare densità utenti, non solo copertura. Interferenze causano ritrasmissioni, latenza alta e throughput basso. Mitigazione richiede cambio canali, aumento AP o shielding fisico.
Switching VLAN
Gli switch collegano dispositivi nella LAN, forwardando frame basandosi su MAC. Le VLAN (Virtual LAN) segmentano logicamente la rete switchata in broadcast domain separati. Migliora sicurezza e prestazioni riducendo traffico broadcast. Tagging 802.1Q identifica appartenenza VLAN nei trunk. Inter-VLAN routing richiede router o switch L3. Port security limita dispositivi per porta. Loop prevention (STP) evita broadcast storm. La configurazione VLAN è fondamentale per isolare reparti (HR, Guest, Server). Errori di configurazione VLAN possono causare leakage di traffico tra segmenti sicuri e non sicuri.
Forwarding Table
Gli switch mantengono una Content Addressable Memory (CAM) table mappando MAC address a porte. Imparano indirizzi source dai frame in ingresso. Forwardano frame unknown unicast a tutte le porte (flood). Filtrano frame se destination MAC è sulla stessa porta source. Le tabelle hanno limiti di dimensione. Aging time rimuove voci inactive. I switch managed permettono configurazione statica. La saturazione della tabella causa flooding eccessivo, riducendo sicurezza e prestazioni. Il troubleshooting di switching spesso involves ispezione di queste tabelle per verificare apprendimento corretto dei dispositivi connessi.
VLAN Segmentation
Le VLAN creano reti logiche indipendenti sulla stessa fisica. ID VLAN (1-4094) tagga i frame. Trunk portano traffico multi-VLAN tra switch. Access port assegnano dispositivi a una VLAN. Native VLAN gestisce traffico untagged. VTP propaga config VLAN (rischio sicurezza). Private VLAN isolano host nella stessa subnet. La segmentazione limita il raggio d'azione di attacchi layer 2. Facilita gestione policy QoS e ACL per gruppo logico. La documentazione delle VLAN è critica per evitare conflitti ID. È una best practice di sicurezza fondamentale separare traffico utente, server e gestione.
