POLO TECNOLOGICO IMPERIESE

ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 1 di 22

ANNO
MATERIA INSEGNANTI
SCOLASTICO

TPSIT 2023/2024 PROF.ZANELLA E PROF.DEROSSI

LUOGO E DATA CLASSE ALUNNO/ALUNNI

Imperia 29/5/2024 5B INF Baiardo Lorenzo

TITOLO DELLA PROVA

Progetto Rete su Packet Tracer.

OBIETTIVI DELLA PROVA

Realizzazione di una rete su packet tracer che includa l’uso delle VLAN, abbia e
possieda almeno 2 servizi di Rete, sia integrato un servizio radius per l’accesso wireless
e la realizzazione di un Firewall ( ACL ).

FORMULAZIONE DI EVENTUALI IPOTESI AGGIUNTIVE

Ora la spiegazione di cosa contiene la rete e di cosa si è puntato a realizzare : ( cosa ci
metti e perché, motivato )

L’intento è realizzare una rete su packet tracer,che abbia come requisiti principali :

- L’uso delle VLAN.

- L’uso nella rete di due servizi a scelta ( ftp;http;dns;dhcp;ecc…).
- Wi-fi ( punto d'accesso ) wireless con Server Radius.
- Firewall con ACL.

La rete è strutturata su più switch, che lavorano con le tecniche di switching, tramite il
VLAN Database, alla creazione delle VLAN anche su differenti switch, infatti grazie al
collegamento in trunk due switch sono in grado di comunicare ed eventualmente di
gestire gli switch per la realizzazione delle VLAN

Al livello personale ho deciso di implementare l’uso di 2 VLAN :

VLAN100 :

Composizione :
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 2 di 22

- 3 PC-PT.
- 1 Server-PT

In questa sottorete, gli indirizzi dei PC e del Server sono assegnati in maniera statica,
(quindi sono stati assegnati a mano ad uno ad uno), in questa rete ho deciso di inserire
all’interno del server, il servizio HTTP e DNS, che hanno l'obiettivo di mostrare alla
richiesta una pagina di prova in .html ( HTTP ) e grazie al ( DNS ) di poter assegnare un
nome di dominio a questa pagina, in modo da non dover inserire manualmente l’indirizzo
IP del server HTTP, che in questo caso è “www.prova.it”.

In un certo senso penso che server HTTP e DNS abbiano un pò un ruolo

complementare tra loro, infatti sarebbe scomodo usare solo uno di loro senza l’altro, più
che altro il risultato sarebbe incompleto o senza senso.

Il server in questione sempre in questa VLAN ha il compito di FireWall, per tenere al

sicuro infatti i servizi, ho valutato di inserire questo componente, il FireWall in questione
è facilmente personalizzabile e in questo momento è impostato per bloccare il traffico
ICMP che sta muovendo verso di lui ( infatti esso non risulta pingabile da nessun client
sulla rete ), esso in oltre, per vie ancora in fase di accertamento, sta bloccando persino il
servizio DNS, nonostante non sia stato impostato alcun blocco al DNS, risulta che la
pagina non è ricercabile dai PC sulla rete come “www.prova.it” come impostato appunto
da DNS, ma in questo momento con il firewall attivo, l’unica maniera per ricercare la
pagina è tramite l’indirizzo del server HTTP.

Questo è molto strano in quanto ho anche provato a impostare in ordine top-down,

quindi impostando prima, una regola nell’ACL che consenta il traffico su porta UDP 53,
quella usata appunto dal DNS, ma sembrerebbe ancora non andare, pertanto se anche
non voluto vi è un livello di sicurezza in più che quindi non permette con il firewall attivo,
l’usufruire del servizio DNS.

VLAN200:

Composizione :

- 2 PC-PT.
- 2 Server-PT.
- 1 WRT300N ( Wireless Router ).
- 1 Laptop-PT ( Wireless Laptop ).
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 3 di 22

In questa sottorete, uno dei server, si occupa di gestire il servizio DHCP, che assegna
quindi dinamicamente l’IP a tutti i client, per i server gli indirizzi sono stati assegnati
staticamente, per evitare cambi improvvisi dal DHCP che sballino magari il
funzionamento dei servizi offerti, se dovesse cambiare l’IP del server, tutti i PC che fanno
riferimento a quel dato Server, perderebbero l’abilità di usufruire di quei dati servizi.

Un altro Server invece si occupa di gestire il servizio Radius, per gestire l’autenticazione
dal Laptop, al Wireless Router, che in questo caso si comporta come AP, non opera
infatti azioni di routing, o indirizzamento. In questo caso il funzionamento in pratica è
dato nella registrazione nel server delle credenziali con Username e Password ( Inseriti
3 utenti ), una di queste coppie credenziali è stata poi inserita nel Wireless Laptop, per
permettergli di accedere senza richiedere ogni volta l'accesso. Il sistema in pratica ogni
tentata connessione,che arriva al WireLess router ,si occupa di interrogare il Radius per
verificare che le credenziali siano giuste e dopodichè permette l’accesso alla rete.

METODI
Come metodo principale in prima analisi, mi son dedicato allo studio delle esercitazioni
guidate che a pezzi offrono un tutorial solido da cui partire per la realizzazione della rete.

Il problema è che le cose spiegate da ogni esercitazione guidata, sono implementate in

maniera unica nei progetti proposti, e pertanto la complicazione è essenzialmente
combinare tutti i sistemi in un unica rete che non dia problemi.

Mi sono affidato anche a qualche tutorial su internet, che mi ha dato una panoramica di
come lavorare su alcuni aspetti della rete o almeno mi ha dato una mano nel capire
almeno dove mettermi a lavorare.

Dunque ho cominciato con la realizzazione delle VLAN, ho deciso di implementarne 2

come visto prima, per separare i servizi che uso e realizzare una rete assegnata
staticamente e una invece che è stata realizzata in maniera dinamica tramite DHCP.

Come secondo step mi son dedicato all’implementazione di diversi servizi di rete, quindi
come visto prima ho inserito per la VLAN100, il servizio HTTP e DNS, che funzionano
mostrando una pagina di prova dal web browser di un PC della VLAN100, e poi nella
VLAN200 ho inserito invece il servizio DHCP, per l'assegnazione dinamica degli indirizzi
oltre al Server Radius per l’autenticazione dei dispositivi wireless.
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 4 di 22

Come altro passo son riuscito ad implementare appunto l’autenticazione della parte
wireless della rete tramite servizio radius, e sono riuscito quindi a definire fino a 3 utenti
che possono accedere con le opportune credenziali, che in questo particolare caso
usando un portatile wireless, permettono l'accesso ricordando direttamente SSID e
PASSWORD senza dover così chiederle ogni volta.

Come ultima cosa ho implementato il firewall che ho inserito sulla VLAN100, che blocca
il traffico IP, ICMP ( non permette quindi dagli altri utenti nella rete di pingare il server ), e
persino il servizio DNS viene bloccato, infatti per ricercare le pagine HTTP è ora
necessario inserire l’indirizzo del server, e non è più sufficiente usare la dicitura salvata
con il DNS.

DESCRIZIONE DELLE FASI DELLA PROVA

Ecco invece la presentazione passo per passo specifica di come è stato svolto il lavoro :

(fasi di realizzazione )

1) Brainstorming :

Inizialmente il consiglio è quello di cominciare col pensare bene a come si vuole

realizzare la rete, idealmente sarebbe opportuno tirare su carta un progetto solo per dare
un idea di come si potrebbe realizzare.

Infatti partendo di lì pensare a quante VLAN ideare, come disporle, poi si potrebbe
pensare a come implementare i servizi di rete, quindi quanti server utilizzare e come
distribuirli tra le VLAN, che servizi implementare in una data VLAN piuttosto che in
un’altra.

Una volta chiare le idee, si può procedere con la disposizione punto per punto della rete.

2) Messa a Punto delle VLAN :

Come prima cosa il lavoro dovrebbe concentrarsi sulla definizione delle VLAN, ad
esempio ne sono state create 2 come visto prima.

Per realizzarle una volta disposti i PC e attaccati ad uno switch, bisogna aprire
l’interfaccia dello switch, muoversi su “Config” e dopodichè su “VLAN Database”, in
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 5 di 22

questa sezione sarà permessa la visualizzazione delle VLAN già esistenti e verrà inoltre
data la possibilità di crearne delle nuove, verrà infatti richiesto un VLAN Number, e un
VLAN name, in questo caso vengono realizzate due VLAN : La prima number “100” e
name “Static”, la seconda “200” name “Dynamic”.

Premendo “ADD” verranno aggiunte e così saranno state create, notare bene che se le
VLAN sono spalmate su più switch, è fondamentale andare a ripetere l’operazione per
gli altri switch, in modo che la VLAN diventi intercomunicabile con gli altri host, altrimenti
una volta assegnato agli host di un singolo switch, non sarebbe possibile agli host di un
altro switch vedere le stesse VLAN.

Comunque dopo averle create, muoversi sempre dallo switch, sfogliando le interfacce
con ogni host, bisogna andare a selezionare la modalità “access” e poi con il menù a
tendina VLAN selezionare la VLAN giusta per ogni interfaccia, così verranno assegnate
e faranno parte di quella data sottorete.

Sulle porte in comunicazione con un altro switch invece inserire come modalità non
“access” ma “trunk”, che permette appunto l’intercomunicazione tra switch.

3) Definizione Servizi di rete :

Per la VLAN1 come detto prima sono stati inseriti i servizi HTTP e DNS, e perciò :

Per quanto riguarda il servizio HTTP, aprire la configurazione del Server, andare su
“Services” dove sono mostrati tutti i servizi che possono essere configurati e premere su
“HTTP”, entrati abilitare sia HTTP che HTTPS, in quanto altrementi sulle pagine con
livello di crittatura, non sarebbe permessa la visualizzazione, a questo punto dal file
manager, è sufficiente inserire un file .html, che sarà la pagina web che verrà
visualizzata. In questo modo digitando su un qualunque pc di una data rete, dal web
browser, digitando l’ip del server “192.168.1.254”, sarà possibile la visualizzazione della
pagina web che è stata precedentemente inserita.

Ricordarsi però ogni volta l’indirizzo IP è un pò scomodo oltre che sconveniente, perciò è
fondamentale inserire un servizio DNS, e quindi tornare su “Services” nella
configurazione del server e muoversi su DNS, per prima cosa attivarlo, dopodichè
scegliere il nome di dominio da dare alla pagina tipo “www.prova.it” e assegnare ad
“Address” l’IP del server HTTP, in questo caso “192.168.1.254”, in fine premere su
“ADD”. In questo momento è possibile usufruire della pagina .html creata, tramite il nome
assegnato, e pertanto andando su un qualsiasi PC della rete, e usando il Web Browser,
ora sarà possibile accedere alla pagina digitando semplicemente “www.prova.it”.
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 6 di 22

Mentre invece per la VLAN 200 il servizio scelto è il DHCP, e quindi per configurarlo,
sempre da “Services”, scegliere “DHCP” e attivare il servizio. Come prima cosa bisogna
scegliere l’interfaccia da cui il Server predisporrà il servizio, dopodichè bisogna nominare
la serverPool che si sta creando, bisogna poi regolare il default gateway e il DNS server
( sono opzionali in caso non si predisponesse di un router come gateway o di un server
DNS ).

Dopodichè si può scegliere l’IP da cui partire l’assegnazione dinamica, in questo caso si
è deciso di partire dal “192.168.0.10”, in modo da tenersi 10 indirizzi da poter
eventualmente assegnare in maniera statica, inserire la subnet mask in questo
“255.255.255.0” e decretare il numero massimo di utenti a cui assegnare dinamicamente
un IP, lasciare come TFTP Server e WLC Address : 0.0.0.0, che sono già inseriti di
default con queste impostazioni. A questo punto “ADD” e così partirà l’assegnazione
dinamica in maniera automatica degli IP.

4) Configurazione del Wireless con Radius :

Nella rete infatti è stato richiesto un servizio Radius che permetta un'autenticazione
sicura ai dispositivi mobili che vogliono connettersi alla rete e pertanto :

Per configurare un servizio Radius è necessario prendere un server e accedere come

fatto fin’ora a “Services” e muoversi su “AAA”, in questa sezione viene richiesta una
porta radius (normalmente 1645), e dopodichè nella Network configuration, avviene
l’identificazione del richiedente per l’accesso con radius, mettere quindi il nome del
Client ( AP ), l’IP del richiedente, ( 192.168.0.1 ), scegliere come ServerType “Radius” e
come Secret inserire una password qualsiasi “password” e premere ADD.

Nella seconda sezione viene richiesto la stipulazione delle credenziali per l’accesso di un
utente e quindi inserire a piacere uno Username e una Password, per regolare
l’accesso, una volta terminato premere ADD.

A questo punto bisogna creare la rete che permetterà la connessione al cablato, e perciò
grazie a un Wireless Router, nella sua “Config”, è possibile creare la rete inserendo
l’SSID “MiaRete”, inserendo il canale su cui opererà e la distanza di copertura in metri,
dopodichè in Authentication vengono regolati i servizi di crittatura, in questo caso sarà
necessaria una WPA2 e sotto in Radius Server Settings sarà opportuno inserire l’IP del
Server Radius (192.168.0.252) e la password usata per accedervi “password”. Come
encryption Type inserire TKIP.

A questo punto la rete è creata e quindi basta inserire le credenziali di accesso,

all’interno del Laptop Wireless perchè questo sia in grado di connettersi alla rete, e
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 7 di 22

quindi in config, wireless0, andare a inserire le informazioni della rete a cui si vuole
accedere come SSID “MiaRete”, WPA2 come Authentication, come UserID e password,
quelle inserite prima nella configurazione del radius “utente1” “password” e Encryption
Type TKIP. A questo punto la rete è accessibile dal Laptop-Wireless. Questo è
dimostrato dalla connessione wireless che si crea tra il Laptop e il Wireless Router, se
questa non si dovesse creare infatti significherebbe che le credenziali sono sbagliate.

5) Definizione Firewall con ACL:

Questo servizio è applicato nella VLAN100, e quindi, rientrando nell’interfaccia del

Server, accedere a desktop e muoversi in Firewall, qui sarà possibile personalizzare il
filtraggio tramite ACL. Nel caso specifico si vuole impedire la possibilità di pingare il
server e pertanto l’operazione da fare è : in Inbound Rules, come ACTION porre DENY,
come protocollo inserire l’ICMP che è il responsabile dell’azione di ping e poi porre come
Remote IP “0.0.0.0” e come sua subnet “255.255.255.255”, premere ADD e in questa
maniera tutti i dispositivi non saranno in grado di operare il ping al router.

RISULTATI DELLA PROVA

Testing per ogni componente e server, con foto e prove :

In questa fase si va a snocciolare il funzionamento effettivo di ogni parte della rete, e

quindi l’effettivo funzionamento di ogni sistema integrato :

Le VLAN :

Per verificare il funzionamento delle VLAN ,che sono spalmate su più switch, e quindi
deve essere resa disponibile intercomunicabilità tra dispositivi sulla stessa VLAN, si può
testare la loro effettiva appartenenza tramite l’uso del pacchetto di prova, si prova infatti
da due dispositivi sulla stessa VLAN se riescono nello scambio del pacchetto, tramite la
tabella dello stato è possibile decretare correttamente una volta inserite sorgente e
destinazione se questo è possibile in quanto lo stato della simulazione va in "Successful"
se invece la comunicazione non è possibile verrà mostrato “Failed” :
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 8 di 22

Come è possibile vedere il funzionamento per la VLAN100 c’è il pacchetto va e torna

senza problemi, allego qui il video che mostra la simulazione :

https://youtu.be/iiURlJa-2Hs ( Fatto da me ovviamente ).

Per la VLAN 200 il funzionamento è il medesimo :

 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 9 di 22

Allego foto anche dello switch in cui si vedono le VLAN assegnate :

 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 10 di 22

 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 11 di 22

Qui si può apprezzare l’assegnazione del VLAN.

I servizi di rete :

“Anticipo che per non staccare ogni volta il Firewall dalla 100 ho fatto il server HTTP e
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 12 di 22

DNS anche per la 200 in modo da farlo vedere e per dimostrarlo”

Per quanto riguarda i servizi di rete ; verificarli è molto semplice, sarà sufficiente infatti
mostrare il caricamento di una pagina .html, con nome di dominio dato apposito dal
DNS.

La verifica viene proposta sia senza il DNS quindi con con la sola funzionalità del server
HTTP e poi con il DNS, la differenza sarà che nel primo caso per trovare la pagina
bisognerà digitare nel browser di un pc della rete l’effettivo IP del server HTTP mentre
nel secondo caso sarà sufficiente usare il nome di dominio assegnato, ovvero
“www.prova.it” .

Mentre con il DNS :

 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 13 di 22

E qualche foto dei settaggi usati che son stati descritti prima :
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 14 di 22

Wireless con accesso Radius:

Per quanto riguarda l’accesso tramite Radius, si verifica semplicemente provando a

inserire delle credenziali non registrate dal Radius sul Laptop per far vedere che esso
non effettua il collegamento se le credenziali sono errate, infatti ecco come è configurato
il radius :
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 15 di 22

Come si evince si possono usare fino 3 username (utente1-2-3) e la stessa password

per tutti, infatti una di queste tre credenziali è usata per il laptop, mentre la rete che
permette la connessione wireless è così strutturata :
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 16 di 22

Quindi il Laptop usa queste informazioni e le credenziali viste prima per accedere e
infatti stabilisce la connessione wireless visibile con le ondine nella rete :
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 17 di 22

Ma se si prova a cambiare le credenziali e a metterne una sbagliata, si potrà notare che

il radius interrogato non riconosce le credenziali e interrompe la connessione :

E quindi si può affermare che se non vengono rispettate le credenziali il Radius stacca la
connessione.

Firewall con ACL :

Per quanto riguarda il Firewall con ACL il metodo più efficace che si ha per verificarne il
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 18 di 22

funzionamento è tentare di pingarlo con un PC della stessa rete e verificare che

effettivamente questo vada a bloccare questa operazione, che è lo scopo con cui si è
realizzato il firewall appunto :

Prendendo ad esmpio un PC, aprendo quindi il prompt, si lancia un comando di ping sul
server :

Mentre invece si può pingare tutto il resto sulla stessa VLAN, ad esempio un altro PC :
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 19 di 22

Disabilitando il firewall è ovviamente possibile permettere nuovamente al server di esser

pingato.

La configurazione dell’ACL del firewall :

 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 20 di 22

Problematiche e troubleshooting :

Sebbene sono molto contento del lavoro svolto non sono mancati problemi, in questo
paragrafo riassumo qualche incidente di percorso, per evitare che qualcuno possa
ripeterli sulla scia del troubleshooting :

In generale i problemi non sono stati molti ma :

Anzitutto tengo a precisare che Packet Tracer non è affidabile in quanto, ogni tanto
perde qualche modifica o salvataggio, o resetta le impostazioni di qualche macchinario,
più volte mi son ritrovato con le mani nei capelli cercando un problema, quando invece
magari ad esempio il server si era perso un assegnazione del DHCP ( ad esempio ),
questo ha fatto perdere infatti un sacco di tempo ogni volta.

Un altro problema, che definirei più malfunzionamento, è quello legato al firewall, questo
infatti è vero che blocca il ping del server, ma non è stata impostata una regola che
agisse per bloccare il funzionamento del DNS, e nonostante ciò non è possibile ricercare
la pagina con “www.prova.it” quando il firewall è attivo, anche se questo è vuoto, solo
l’attivazione impedisce il funzionamento di questo sistema, senza alcun significato
 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 21 di 22

valido, pertanto ho addirittura provato ad abilitare il passaggio su porta 53 UDP utilizzata

dal DNS per le sue comunicazioni, ma questo comunque non ha permesso l’usufruizione
del DNS, e ancora non ne capisco i motivi.

Un altro problema di carattere più generico è legato alle versioni di packet tracer, infatti
avendo lavorato un pò a casa un pò a scuola da laboratorio a laboratorio, spesso mi son
ritrovato impossibilitato a lavorare sul file perchè veniva da una versione più vecchia i più
nuova, così ho dovuto chiedere anche a scuola di portarlo all’ultima versione per poterci
lavorare.

CONCLUSIONI
Qualche commento e revisione ai problemi riscontrati :

Le soluzioni ad ogni problema di percorso riscontrato hanno trovato sempre soluzione in

qualche guida, tutorial o ricerca reperibile su internet.

Per molti aspetti spesso se la soluzione non è reperibile su internet è sufficiente

impiegare un pò di impegno nella revisione della rete, e avendo pazienza nel ripetere il
ragionamento con cui si costruisce la rete, a volte i problemi sono cose banali tipo la
mancata apertura della porta di un dispositivo, o un indirizzo di classe sbagliato se
magari si è stati disattenti nel momento dell’assegnazione o si è fatto di corsa.

Sono molto contento di esser riuscito a portare a termine il funzionamento della rete e
penso proprio che questo lavoro mi abbia insegnato molto più su packet tracer di quanto
non lo avessero fatto le esercitazioni precedenti.

ALLEGATI
Allego materiale utile, guide e tutorial :

ACL standard: a quale interfaccia associare una regola

 POLO TECNOLOGICO IMPERIESE
ITI “G. Galilei” Informatica e Telecomunicazioni

RELAZIONE TECNICA Pagina 22 di 22

Firewall: Listas de controle de acesso (ACL) no Cisco Packet Tracer

How to Configure Cisco WiFi Router in Cisco Packet Tracer