[7]In ambito LAN si ha a che fare quasi esclusivamente con reti ethernet e a queste si farà riferimento dopo una succinta descrizione del suo funzionamento, indispensabile per comprenderne gli aspetti fondamentali, che inevitabilmente si riflettono sugli apparati attivi.

La rete ethernet nasce intorno al 1973, a  partire da lavori della Xerox PARC [8]. Ha una architettura a bus su cavo coassiale e una velocità iniziale di 3 Mb/S.

Il flusso dati di una rete ethernet è a pacchetti (packet switching [9]), degli opportuni blocchi di dati che la rete gestisce per mettere in comunicazione due macchine (nodi). Parte importante di questi pacchetti sono gli indirizzi MAC (Media Access Control) che individuano la macchina destinataria del pacchetto e quella del mittente.

Un pacchetto inviato da un elaboratore interessa tutto il bus (la rete) e tutti i nodi ad esso connesse. Il protocollo di gestione è denominato CSMA/CD (Carrier Sense Muliple Access – Collision Detect) e si occupa di governare il traffico sul bus cercando di evitare trasmissioni contemporanee  di più nodi (multiple access) con il meccanismo di carrier sense e amministrare le eventuali,  indesiderate contemporaneità di trasmissioni che danno luogo a collisioni (collision detect).

Questa gestione richiede la definizione di una lunghezza minima del pacchetto (64 bit), la limitazione delle distanza massima fra due nodi e il corrispondente tempo necessario al pacchetto per percorrete tale distanza  (round trip delay).

Una collisione in una qualunque parte della rete interessa i nodi della rete e l’ambito coinvolto dalla collisione e denominato dominio di collisione. Esistono meccanismi per ampliare la rete suddividendola in più domini di collisione.

L’effetto della collisione è la distruzione del segnale elettrico sul cavo ethernet. Il protocollo CSMA/CD cerca mitigare e risolvere questa problematica. La soluzione è la ritrasmissione del pacchetto, cercando di evitare la contemporanea trasmissione con altri nodi. La collisione e la relativa ritrasmissione porta ad una bassa efficienza  in quanto all’aumentare del traffico aumenta la provabilità di collisioni riducendo il traffico effettivo. L’efficienza è dell’ordine del 30 – 35%. Una rete a 10 Mb/S ha una velocità effettiva di 3 – 3,5 Mb/S.

La implementazione e la gestione di questi meccanismi è compito degli apparati attivi e delle schede dei nodi.

I cavi coassiali, da tempo, sono stati sostituiti dal doppino (cavo UTP, STP, …) più economico,  più semplice da connettorizzare eliminando attacchi a vampiro, cavi e dispositivi AUI, connettori N, BNC, ‘T’ ed affini.

L’uso del doppino ha trasformato la topologia fisica della rete ethernet da bus a stella, pur mantenendo quella logica a bus.

L’elemento centrale della stella è diventato l’hub (un apparato obsoleto) al quale si connettono tutti i rami della stella.

Anche con il doppino restano, di base, le limitazioni di massima distanza, eventualmente riviste nella parte numerica per rispecchiare le diverse caratteristiche come attenuazione e velocità di propagazione del segnale nel cavo.

Il doppino è composto [11]da 4 coppie di cavi. Ogni coppia, composta da due fili opportunamente attorcigliati (twisted), si comporta come linea bilanciata [12] per minimizzare i disturbi elettrici esterni e massimizzare la velocità di trasmissione. Il numero di coppie consente di avere un canale di trasmissione ed uno di ricezione separati, permettendo la trasmissione full duplex, ovvero la trasmissione e ricezione contemporanea, cosa certamente non possibile su un cavo coassiale, se non con tecniche di modulazione complesse e non previste dal cavo ethernet (un esempio è la PC nework Lan di IBM [13]).

[15]Il MAC (Media Access Control) address è un numero di 32 bit che identifica i nodi di rete a livello 2 (struttura ISO/OSI RM - (Datalink Layer). Non c’è intenzione, in questo documento di descrivere il modello ISO/OSI e i vari meccanismi di indirizzamento.

Per  questa trattazione basta avere alcuni dettagli relativi al MAC address, indispensabile per muoversi su una rete ethernet. Il MAC address è composto da 6 byte (32 bit). Ogni nodo di rete, la scheda del PC, la porta del router, la porta di un access point, è identificato da questo indirizzo. Ogni nodo ha un indirizzo diverso da qualunque altro nodo. Quindi, su una rete non possono esistere due nodi con lo stesso MAC address. Per garantire l’univocità il MAC address è composto da due parti di 3 byte ognuna. La prima detta OUI (Organization Unique Identifaier) è rilasciata da un organismo internazionale ad ogni produttore di dispositivi di rete. Ogni produttore ha il proprio OUI (o più di uno). La seconda parte è un numero di 3 byte gestito dal costruttore che si impegna ad abbinare ogni dispositivo di rete un numero unico.

Il MAC address di una scheda può essere variato durante la configurazione di una rete. Lo si faceva con una certa regolarità su reti Token Ring, ma difficilmente può capitare di modificarlo su reti ethernet. Non c’è motivo. Alcune tecniche dette di spoofing, manipolano il MAC address dei pacchetti per realizzare attacchi informatici. Lo spoofing permette un dispositivo malevolo di impersonare l’identità di nodo di rete.

Ci sono diversi ‘tipi’ di MAC address, definiti tramite i primi due bit dell’indirizzo. Per gli scopi di questo documento se ne identificano due: multicast e unicast.

In alcune situazioni un nodo di rete ha necessità di ‘rivolgersi’ a tutti i nodi della rete (ad esempio il multicast è usato dai protocolli ARP e DHCP per scoprire informazioni sulla rete). Per fare questo il nodo trasmette un pacchetto con MAC address destinatario multicast, di fatto FF-FF-FF-FF-FF-FF (tutti i bit hanno valore 1), e indirizzo mittente il proprio MAC address.

Un pacchetto con destinatario unicast interessa solo il nodo destinatario, i nodi che ricevono il pacchetto sono in grado di scartarlo immediatamente qualora il loro indirizzo MAC non corrisponda con il MAC destinatario. Un pacchetto con destinatario di broadcast interessa una ampia area di rete. Tutta la parte di rete interessata ad un pacchetto di broadcasting definisce un area chiamata dominio di brodcasting. Tale dominio è importante perché tutti i nodi di tale dominio devono ‘dare attenzione’ al pacchetto analizzandone il contenuto per capire se ne sono gli effettivi destinatari. Ad esempio il protocollo DHCP (Dynamic Host Configuration Protocol), che viene usato per assegnare automaticamente un indirizzi IP, utilizza un pacchetto ethernet di broadcasting per individuare il DHCP server. Tutti i nodi analizzano il pacchetto per capirne la richiesta, con il risultato di impegnare  risorse di calcolo.

L’hub ha il compito di propagare il segnale ricevuto, da un ramo, su tutti gli altri rami. Il segnale ricevuto non viene, di norma, manipolato dall’hub (hub passivo), nemmeno amplificato.

Per fare fronte all’attenuazione dei media, sono  disponibili repeater (obsoleti), che ricostruiscono e amplificano il segnale. Anche la collisione viene propagata dal repeater. Più comuni cono gli  hub attivi, che per semplicità possono essere paragonati a repeater multi porta. L'hub può essere definito come uno switch layer 1, perchè si occupa di gestire il livello fisico della rete (come definito dal modello di riferimento ISO/OSI [16]).

Un hub attivo è anche in grado di isolare nodi che presentano malfunzionamenti attraverso una segnalazione opportuna (Link Integrity Test -LIT-). Nel caso del cavo coassiale, un nodo con problemi porta effetti negativi e a malfunzionamenti a tutta la rete.
L'Hub prevede, per ogni porta, un canale di ricezione ed un canale di trasmissione separati. Evidentemente il canale di ricezione dell'hub ha come contoparte una porta di trasmissione sul nodo (scheda di rete sul PC) e viceversa. Per collegare più Hub in cascata, ed aumentare il numero delle porte occorre, in questi casi un cavo incrociato [17] (o crossover cable) che inverte il canale di trasmissione con il canale di ricezzione per connettere due porte dell'hub. Alcuni hub hanno porte dedicate al collegamento con altri hub (uplink) che consentono l'uso di un cavo diritto, altri ancora sono in grado di individuare il tipo di porta al quale sono collegati ed invertire, automaticamente, il canale di trasmissione con quello di ricezione, si parla in questo caso di autonegoziazione [18], non solo del tipo di connessione, ma anche di altri parametri.
Per aumentare il numero di porte, i costruttori propongono modelli impilabili (stackable), dispositivi che possono essere connessi fra di loro con una porta dedicata, non il classico link ethernet. Diversi dispositivi così collegati si comportano conme un unico dispositivo.

Il repeater, come l’hub attivo, propagano la collisione. Quando un ramo di rete è interessato da una collisione, questa viene segnalata a tutti i rami connessi al repeater o all’hub.

Il gateway è un dispositivo simile al repeater, ma non propaga la collisione. Una collisione su un ramo non ha effetti su gli altri rami. Il gateway interviene sul pacchetto ethernet ricevuto, ne legge parte del contenuto (indirizzi) per decidere se il pacchetto deve essere propagato sugli altri rami. Un dettaglio migliore viene illustrato nella descrizione dello switch, in quanto il bridge può essere pensato come ad uno switch a due porte. Manipolando il pacchetto, il bridge è in grado di gestire situazioni varie come, ad esempio, connettere reti diverse, ad esempio una token ring con l’ethernet.

Alcune regole, anche queste obsolete, relativamente semplici permettono di definire il massimo diametro di una rete ethernet (2500 m) e il massimo numero di nodi: famosa è la regola del 5-4-3, che prevede il limite di 5 segmenti, connessi con 4 repeater  e 3 segmenti popolati (sui quali sono connessi i nodi di rete) e quindi due segmenti di interconnessione senza nessun nodo. Ogni segmento può essere 500 m (per il cavo coassiale grosso) da qui il limite massimo di 2500 m.

Quanto fin qui descritto è ancora valido, ma delinea una architettura obsoleta, accennata per “dovere di cronaca”, per introdurre brevemente la rete ethernet con i relativi meccanismi e per completare la panoramica degli apparati.

Come accennato l'hub semplicemente ripete, eventualmente amplificandolo, il segnale ricevuto da un ramo, su tutti gli altri rami, anche su quello che ha iniziato il traffico. Questo comporta un unico e ampio dominio di collisione, con i relativi problemi di prestazioni.
[20]Lo switch quando  riceve un pacchetto su una porta, ritrasmette il pacchetto solo sulla porta dove è collegato il destinatario. Questo è possibile perché lo switch è in grado di 'leggere' il traffico sulle proprie porte, elaborare quanto letto e decidere in 'comportamento'. Lo switch, per ogni porta, legge i MAC address mittente di ogni pacchetto e lo memorizza in una tabella di corrispondenza porta <-> MAC Address. In breve lo switch acquisisce i MAC address dei  nodi di rete e li abbina alla relativa porta. Questo permette di inoltrare il pacchetto ricevuto solo sulla porta alla quale è collegato il destinatario. Tutte le altre porte non sono interessate dal traffico. In molte situazioni si realizza qualcosa di simile ad una trasmissione punto-punto fra il nodo mittente e il nodo destinatario.

Contemporaneamente le altre porte possono essere interessate da altro traffico. Il rischio di collisioni è fortemente ridotto, se non eliminato, e lo switch può gestire più pacchetti contemporaneamente, cosa non possibile con un hub.
[21]In uno switch ogni porta diventa, di fatto, un dominio di collisione, con la conseguenza di eliminare i limiti di distanza dei nodi necessari alla gestione della collissioni.

Un conflitto si presenta quando più nodi, connessi a più porte vogliono comunicare con un unico nodo. E’ il caso, ad esempio, che si presenta quando più PC si connettono ad un server. Lo switch è in grado di gestire la situazione memorizzando in un buffer le richieste e soddisfarle appena disponibile la porta destinataria, o con altre strategie di gestione il superamento della capacità del buffer (overflow).

Questo documento non entra nel dettaglio di come i meccanismi sono implementati, ne esistono diversi con relativi pregi e difetti.

La capacità di analizzare e memorizzare i pacchetti consente nuove funzionalità. La più comune è la possibilità di gestire diverse velocità: 10, 100, 1000 Mb/S, 10 Gb/S e oltre. Un hub può solo gestire una sola velocità.

Ogni porta è autonoma, ed è in grado di negoziare con il dispositivo collegato (un nodo o un altro switch), la velocità del collegamento (link). Questo è possibile grazie una opportuna segnalazione (che nulla ha a che fare con il protocollo ethernet) sul link: opportuni impulsi (Link Integrity Test –LIT-, Fast Link Pulse –FLP-) inviati sul cavo quando non c’è traffico dati.

Un pacchetto broadcast non può essere trattato come un qualsiasi altro pacchetto, perché deve raggiungere tutti i nodi, anche se, normalmente, solo uno  ne sarà effettivamente interessato. Lo switch, per garantire il funzionamento della rete, deve propagare il pacchetto broadcast a tutte le porte e, di conseguenza, il domino di broacasting, non viene ridotto come succede con il dominio di collisione.

Nella valutazione dello switch un parametro importante è il massimo numero totale (di tutto lo switch) di pacchetti che possono essere gestiti in un secondo (pacchetti per secondo) oltre alla massima velocità espressa in bit/S sulla singola porta o meglio il massimo numero di bit/Sec che lo switch è in grado di gestire nel suo totale, nel caso limite la somma della massima velocità di tutte le porte (condizione difficilmente richiesta, visto che la probabilità di trasmissione contemporanea su tutte le porte è bassa).
Un altro parametro è il numero di MAC address memorizzabili da uno switch. Questo parametro è in relazione alla quantità di memoria disponibile nello switch e ha perso di importanza visto il diminuire dei prezzi della memoria e l’aumentare della sua capacità.

Lo switch fin qui descritto è detto anche switch layer 2, perchè nella gestione del traffico viene interessato il livello 2 (data link) della struttura ISO/OSI_rn.

Come accennato lo switch ha una propria capacità di elaborazione che ne consente il funzionamento. Eapandendo la parte 'intelligente' è possibile implementare importanti funzinalità e di realizzare due categorie di switch: lo switch non gestito e lo switch gestito.
Uno switch non gestito (not managed switch) presenta le funzionalità di base, come descritto.
Uno switch gestito (managed switch), la capacità di elaborazione è estesa consentendo nuove funzionalità e prestazioni.

Il router è un dispositivo in grado di inoltrare pacchetti dati su reti ed è collegato ad almeno due reti distinte, tipicamente una LAN e una WAN.
Le interfacce fisiche delle reti possono essere differenti (ad esempio ethernet, ADSL, seriale, ISDN).

[33]Il router opera a livello 3 della struttura ISO/OSI (livello di rete o internet layer riferito al protocollo TCP/IP), pertanto analizza l'indirizzamento di tale livello (indirizzo IP) per trasmettere il pacchetto dati sulla porta opportuna.

Il router non inoltra i pacchetti di broadcast dei livelli inferiori ed è uno strumento utile per suddividere il dominio di broadcast di una rete

Per l'inoltro il router utilizza informazione dette tabelle di routing, queste tabelle vengono aggiornate costantemente, attraverso protocolli di routing, per garantire di raggiungere la destinazione con un percorso ottimale.

Il router può essere implementato su hardware dedicato (che generalmente fornisce le migliori prestazioni)  o con un computer che utilizza un apposito software già presente sulla maggior parte dei sistemi operativi server.

I router con hardware dedicato hanno un proprio sistema operativo ottimizzato per i compiti richiesti, la configurazione avviene attraverso interfaccia a caratteri (CLI - Command Line Interface) o con interfaccia grafica utilizzando un browser e il protocollo http.

[34]La connessione di reti domestiche o piccole resti aziendali ADSL verso un ISP (Internet Service Provider) usa router relativamente semplici ed economici che fungono da default gateway. Reti aziendali presentano, in genere, maggiori esigenze, in termini di traffico, di linee si backup (a sostituzione di linee che subiscono guasti), incapsulamento di protocolli e reti (es. VPN) e interconnessione di uffici periferici ed esigenze varie.

Il router è in grado di fare fronte ad alcune esigenze di sicurezza attraverso meccanismi di filtro che consentono di scartare o accettare determinati pacchetti dati. Il router non è da considerarsi un dispositivo dedicato alla sicurezza della rete informatica, le problematiche da affrontare sono complesse ed è conveniente utilizzare strumenti dedicati come firewall.
Diversi modelli di router integrano firewall e altri strumenti dedicati alla sicurezza, consentendo di ridurre i costi dell'hardware e il numero di apparati.