Linee Guida piano di indirizzamento IP e gestione
Linee Guida piano di indirizzamento IP e gestione
Documento Tecnico Operativo Gruppo di lavoro di redazione del documento
IU6DGD - Marco
Revisioni Revisione 0 - Prima stesura in bozza. 18.01.2010
Revisione 1 - Modifica per nuova architettura rete 44.3.0.0/17. 01.10.2024
1. Introduzione
Scopo del presente documento è quello di definire le norme di utilizzo e gestione dei sistemi che costituiscono ill progetto CISAR denominato "Link Nazionale Digitale" (per brevità "Link"), finalizzato all'installazione su tutto il territorio nazionale di una rete di comunicazione a banda larga in tecnologia wireless IP. Oltre alle classiche interpretazioni di attività radioamatoriale, si associerebbe al Link Nazionale Fonia CISAR come naturale strumento di ausilio nelle attività di utilità sociale, tra le quali per esempio a supporto delle iniziative del gruppo CISAR di Protezione Civile.
2. Ambito di applicazione
L'ambito di applicabilità di tale documento è pertanto esteso sia agli apparati che costituiscono il backbone del Link Nazionale Digitale CISAR, e sia agli apparati dei singoli radioamatori che vorranno utilizzare il collegamento a tale sistema per le finalità radiantistiche delle proprie attività radioamatoriali.
3. Premesse
Le considerazioni di seguite indicate sono da intendersi mandatorie per l'adesione al progetto; per chiarezza di esposizione si specificano di seguito le entità coinvolte con i rispettivi ruoli, oltre chiaramente al Coordinatore Nazionale, ai Coordinatori di Area ed al relativo Comitato (costituito dai Coordinatori più il Presidente Nazionale CISAR), che detiene potere decisionale in merito alle questioni sollevate inerenti il "Link". I Coordinatori vengono individuati dal Consiglio Direttivo del CISAR Nazionale. Ad ogni ruolo sono associate almeno due o più persone, in maniera da garantire comunque un'operatività continuativa ed il più possibile rispondente alle necessità dell'attività stessa, in linea con quanto specificato nel presente documento. Ogni funzione segnalerà eventuali necessità al Comitato, al fine di rendere coerente e stabile nel tempo quanto indirizzato dal presente documento. Network Manager
Ha il compito di attribuire gli indirizzi IP e di mantenere aggiornato il relativo piano di indirizzamento, nel rispetto di tali linee guida. Si avvale dei manutentori di sito per far rispettare le caratteristiche di qualità ed affidabilità di tutti i nodi del "Link", secondo quanto specificato al capitolo 7.2. Installazione di un nodo di backbone del Link Nazionale Digitale CISAR. Si interessa delle eventuali problematiche di interfacciamento e gateway verso altre reti (Internet, rete 44.3.0.0/17, ecc.). Si confronta con il Coordinatore di Area per porre all'attenzione del Comitato le eventuali necessità di adeguamento del presente documento. System Manager (servizi di base)
Ha il compito di gestire e mantenere in buon funzionamento i sistemi che erogano i servizi di base del "Link" (server DNS, NTP, etc.).Si confronta con il Coordinatore di Area per porre all'attenzione del Comitato le eventuali necessità di adeguamento del presente documento. System Manager (servizi utente)
Come sopra, relativamente ai servizi utente erogati sul "Link" (server WEB, MAIL, etc).
Delle premesse complessive fanno parte le seguenti assunzioni: 1. Tutti i dispositivi collegati al "Link" fanno parte di una unica rete AMPR IP di classe A (44.3.0.0/17), gestita dal Comitato Link Nazionale Digitale CISAR; 2. Viene garantito a livello di ""Link" il trasporto di tutto il traffico IPv4, nel rispetto di tali linee guida e della normativa vigente, che prevede tra l'altro la non possibilità di crittografia o comunicazioni in codice, e di tutto quanto meglio specificato nel relativo capitolo 7.1. Accesso al Link Nazionale Digitale CISAR da singolo radioamatore; 3. La trasportabilità della rete 44.3.0.0/17 viene garantita da una specifica soluzione di gateway, che permette il tunneling di tale piano di indirizzamento all'interno di una soluzione VPN (tipo Wireguard o similare); 4. Si escludono all'interno del "Link" funzionalità di NATting e/o PPPoE, se non quelle previste dai sistemi predisposti per l'utilizzo di servizi evoluti (tipo quello indicato al precedente punto 3.) 5. La fruibilità del sistema è garantita a tutti i radioamatori, nel rispetto della normativa e vigente e che aderiscano a quanto specificato nelle indicazioni di utilizzo indirizzate al capitolo 7.1. Accesso al Link Nazionale Digitale CISAR da singolo radioamatore ed in generale nelle presenti linee guida.
4. Piano di indirizzamento classe A 44.3.0.0/17 IPv4
Nella valutazione complessiva relativa al piano di indirizzamento da utilizzare sul "Link", si indicano che l’ ente AMPR.net ha assegnato a Cisar la subnet di indirizzamento pubblico 44.3.0.0/17.
Si è esclusa la possibilità di supporto del protocollo IPv6, che sarà eventualmente assoggettato ad una specifica attività di porting di tale tecnologia sul "Link" tramite la costituzione di uno specifico gruppo di lavoro. La scelta è derivata da una valutazione di privilegiare le attività radiantistiche rispetto a quelle di carattere prettamente tecnico/informatico; pertanto, nello spirito di facilitare le le sperimentazioni radioamatoriali, si è indirizzata la scelta sull'IPv4 (standard), visto anche che l'IPv6 non ha tutt'ora una applicazione diffusa e di facile implementazione.
4.1. Assegnazione dei singoli byte di indirizzamento
Nella mappatura del piano di indirizzamento IP, partendo dalla sottorete di classe A 44.0.0.0/8
Primo Byte indirizzo IPv4:
44 Costante
Secondo byte
Viene assegnato da Ampr pertanto si ottiene, per il secondo byte dell'indirizzo IPv4:
3 Cisar Italia
Terzo byte e Quarto byte:
- 0.0/22 Servizi di Core
- 4.0/22 Piemonte
- 8.0/22 Valle D’ Aosta
- 12.0/22 Lombardia
- 16.0/22 Trentino Alto Adige
- 20.0/22 Veneto
- 24.0/22 Friuli Venezia Giulia
- 28.0/22 Liguria
- 32.0/22 Emilia Romagna
- 36.0/22 Toscana
- 40.0/22 Umbria
- 44.0/22 Marche
- 48.0/22 Lazio
- 52.0/22 Abruzzo
- 56.0/22 Molise
- 60.0/22 Campania
- 64.0/22 Puglia
- 68.0/22 Basilicata
- 72.0/22 Calabria
- 76.0/22 Sicilia
- 80.0/22 Sardegna
- 84.0/23 Interregionali
- 86.0/23 Emergenze
- 88.0/21 Utenti via VPN
- 96.0/20 Utenti via Radio
- 112.0/24 Servizi
- 113.0/24 SvxLink
- 114.0/24 VOIP
- 116.0/23 Sezioni Nord
- 118.0/23 Sezioni Centro
- 120.0/23 Sezioni Sud
Per ogni Regione si consiglia di dividere a sua volta la Subnet /22 in due network /23:
- Postazioni: ogni sito avrà a diposizione a sua volta una Subnet /28 o /27 a seconda dei dispositivi presenti con primo IP della subnet assegnato al Router
- Link : ogni link sarà composto da una /29 che sarà strutturata secondo questa logica
Router A – Radio A ----------------------------- Radio B – Router B
Questa logica di router in Bridge permette di utilizzare prodotti multimarca per il lato radio.
4.4. Gestione del piano di indirizzamento (IPPLAN)
Per la gestione del piano di indirizzamento ed assegnazione delle risorse IP, si è optato per l'utilizzo della piattaforma IPPLAN, raggiungibile al link https://ipam.cisarnet.it/phpipam/index.php .
Si consiglia di effettuare la registrazione richiedendo poi la possibilità di editing della parte di rete di propria competenza alla mail support.cisarnet@cisar.it
Per sola visualizzazione usare credenziali:
- username : cisar
- password : forzacisar
5. Routing e Servizi
5.1. Routing
Si è optato per il protocollo di routing Open Shortest Path First (OSPF), risultato il miglior compromesso tra standard, velocità di convergenza, efficienza di gestione e non per ultimo la presenza su molti apparati di diversi fornitori. Non si esclude chiaramente il routing statico, purchè redistribuito anche su OSPF.
5.1.1. OSPF
Ogni regione avrà la sua area OSPF che si calcolerà con la seguente metodologia:
OSPF Area = Network /22 della propria Regione “ vedi lista 3 byte paragrafo 4.1”
es Area Ospf Piemonte = 44.3.4.0
In seguito nelle interconnessioni delle varie Regioni avremmo dei Router che si occupano di connettere le Aree Regionali.
5.2. Gestione del network (Servizi di base)
Per servizi di base si intendono tutti quegli strumenti atti a garantire una gestione efficiente ed affidabile del "Link", tendenti inoltre a facilitare al massimo la fruibilità delle connessioni con un concetto di prevalenza delle sperimentazioni radiantistiche.
5.2.1. DNS e regole di naming
Per la risoluzione dei nomi e le relative regole di naming sono stati configurati il server DNS (Dynamic DNS): 44.3.0.1 dns1
5.2.1.a. Risoluzione diretta
All'interno del "Link" si utilizza pertanto il dominio di III livello cisar.ampr.org Non sono previsti al momento gestioni di sottodomini oltre al III livello.
5.2.1.b. Risoluzione inversa
Nella risoluzione inversa, i dispositivi che costituiscono il backbone (escludendo i servizi base ed i servizi utente) sono mappati all'interno della zona 10.in-addr.arpa.dns comprendendo anche la sigla della provincia di installazione, in maniera da riflettere la reale ubicazione geografica degli apparati e quindi agevolando eventuali operazioni di test tramite tracing.
5.2.2. NTP
Il server NTP, risolto dal nominativo 44.3.0.1, garantisce la corretta sincronizzazione orari di tutti gli apparati e dei relativi sistemi di logging. La configurazione di tale indirizzo nei dispositivi che si collegano al link (se possibile) è da ritenere mandatoria. Non si è ritenuto al momento necessario definire più di un NTP server.
5.2.3. SYSLOG
Il server SYSLOG, risolto dal nominativo syslog.wifi.cisar.it, costituisce il repository di tutte le informazioni di log dei dispositivi del backbone. La configurazione dell'indirizzo in tali dispositivi è da ritenere mandatoria. La visibilità del log è resa disponibile sul portale di accesso al "Link". Non si è ritenuto al momento necessario definire più di un SYSLOG server.
5.2.4. DHCP
Ogni Sito ha la possibilità di riservarsi un pool di Ip che a sua volta assegna al servizio DHCP gestito a livello di postazione dal Router di Sito
5.2.5. SNMP
L'attivazione del protocollo SNMP per le funzionalità di "read" sugli apparati che costituiscono il backbone è mandatorio; sui dispositivi di accesso è opzionale. La community read deve essere impostata come "public"; la community write dovrà essere disabilita. Nel caso di apparati sui quali non sia possibile discriminare le due attivazioni, il valore della community write, che comunque non deve essere utilizzata per la gestione degli apparati, deve essere impostato con la stessa stringa che costituisce la password di accesso alla manutenzione del dispositivo. Deve essere impostato filtro di accesso sulla possibilità di interrogare i parametri del dispositivo via protocollo SNMP solo dalla subnet 44.3.0.0/17 . L'attivazione di tale protocollo permette il corretto funzionamento del tool di monitoring della rete, disponibile a tutti in visualizzazione, direttamente dal portale di accesso al "Link".
5.2.6. LDAP/RADIUS
Il sistema di authentication, authorization ed accounting, per quei servizi che intrinsecamente la prevedono e per gli altri per cui si ritiene opportuno attivarli, viene gestito da un unico server comunque ad alta affidabilità che supporta sia il protocolli Lightweight Directory Access Protocol che il protocollo Remote Access Dial-In User Service. La gestione delle configurazione di tale server è affidata alla figura del System Manager (Servizi utente). Il nominativo di tale server viene risolto da aaa.wifi.cisar.it. Tale impostazione permette di provilegiare soluzione di accesso in modalità Single-Sign-On, con un unica coppia di utente/password per qualsiasi servizio che richiede funzionalità di autenticazione ed autorizzazione. Si precisa che la modalità di richiesta è esplicitata nel relativo capitolo 7.4 Modalità di attivazione dei servizi autenticati.
5.3. WEB, VOIP ed altro (Servizi utente)
Tutti i servizi rivolti ai fruitori del "Link" sono da intendersi con possibilità di utilizzo immediato da parte di tutti i radioamatori. Per i particolari servizi che richiedono necessariamente una particolare forma di autenticazione per l'attribuzione di riferimenti e quant'altro, deve essere chiara la forma di richiesta di attivazione, che non può essere negata a nessun radioamatore, nel rispetto di quanto meglio specificato al capitolo 7.4 Modalità di attivazione dei servizi autenticati.
5.3.1. WWW
Nella rete 44.3.0.0/17 tutti gli Ip sono effettivamente Pubblici ma il Router di Core si occupa di gestire un accurato Firewall che rende isolata la subnet verso l’ Internet, ad eccezione di particolari richiesta che effettuano i singolo manutentori/referenti degli IP.
Regole di firewall possono essere fatte in entrambe le direzioni
Attualmente la logica non è ancora automatizzata da Ipam e bisogna procedere inviando una mail a support.cisarnet@cisar.it
5.3.2. SIP
E' il protocollo standard per il funzionamento di base di strumenti Voice over IP (VoIP). E' stato configurato un server unico per tutto il "Link", interfacciato anche alla rete pubblica Internet. Il piano di numerazione prevede un numero interno di 8 cifre assegnato ad ogni radioamatore italiano che ne faccia richiesta, con la logica:
- 2 Prefisso servizio voce;
- 000-999 Identificativ provincia di appartenenza radioamatore (codice ISTAT provincia);
- 0000-9999 Progressivo assegnazione.
L'interconnessione verso la PSTN (rete pubblica telefonica) non è ammessa, come non è consentito l'eventuale interfacciamento ad evetuali carrier telefonici indipendentemente dal tipo di tecnologia utilizzata.
5.3.3. VPN
Si specificano in tale capitolo le modalità di trasporto di altre reti IP all'interno del "Link"; sono previste due modalità principali:
a) modalità statica: e' la modalità standard, effettuata tramite tunnel GRE (Generic Routing Encapsulation); viene effettuata a livello centrale facendo seguito ad una richiesta inviata tramite le modalità esposte nel capitolo 7.1. Accesso al Link Nazionale Digitale CISAR da singolo radioamatore, nella quale viene assegnato un indirizzo IP statico all'interno del "Link" ed una impostazione di tunnel tra quell'indirizzo IP ed il gateway risolto dal nome 5.144.187.70. Tale modalità è la soluzione standard al trasporto della rete 44.3.0.0/17 all'interno del "Link", e l'autenticazione in questo caso risulta solo procedurale.
b) modalità dinamica: è la modalità evoluta, effettuata tramite il client Wireguard e si distingue in due tipologie: 1) VPN per Rete : Permette di interconnettere un Router facente parte di una rete isolata alla Cisarnet , questo avviene direttamente verso Router di Core 2) VPN per utenti : Permette di interconnettere un utente esterno alla rete Cisarnet. Quest ultima metodologia è tratta in questo documento
6. Frequenze, apparati e modalità di configurazione
In tale sezione si ritiene utile approfondire l'argomento in merito alla tipologia di apparati e logiche di programmazione ed utilizzo degli stessi; si precisa comunque che l'indicazione di eventuali marche e modelli di apparati sono puramente indicative, mentre sono da ritenersi mandatorie le indicazioni di configurazione per il collegamento al "Link".
6.1. Naming SSID
Nell'indicazione del SSID (Service Set IDentifier) è da tenere in considerazione la tipologia del collegamento per la quale la tratta viene utilizzata:
a) Collegamento punto-punto (PtP: Point to Point): il SSID assume il valore maiuscolo <nominativo_stazione_lancio>-<nominativo_stazione_ricezione>; a titolo esemplificativo, la tratta Poti (IR5UH) - Gubbio M.Ingino (IR0AW), ha un identificativo SSID (non broadcastato):IR5UH-IR0AW; per primo viene indicato il nominativo che "porta" il "Link".
b) Collegamento punto di accesso (POP: Point of Presence): il SSID è brodcastato e' : wificisar_nomenodo
6.2. 2.4 GHz
Per i collegamenti punto-punto, si utilizza preferibilmente un canale libero sulla base
del Band Plan radioamatoriale. Le caratteristiche per dichiarare la tratta facente parte del link devono essere possibilmente le seguenti:
- Potenza segnale ricevuto: > -72 dBm
- Troughput reale minimo: > 1024 Kbit/s
- Affidabilità: > 98%
Per i collegamenti dei punti di accesso, si utilizzarà preferibilmente un'antenna con diffusione tale da coprire le zone interessate.
6.3. 5.7 Ghz
Per i collegamenti punto-punto, si utilizza preferibilmente il canale 153 (5.765 Ghz), . Le caratteristiche per dichiarare la tratta facente parte del link devono essere le seguenti:
- Potenza segnale ricevuto: > -72 dBm
- Troughput reale minimo: > 1024 Kbit/s
- Affidabilità: > 98%
Per i collegamentisi dei punti di accesso si utilizzarà preferibilmente un'antenna con diffusione tale da coprire le zone interessate.
7. How-to
Questa parte del documento è intesa come chiarificatrice di quanto sopra esposto, non tanto per quanto riguarda il dettaglio delle modalità per esempio di uno specifico dispositivo, ma soprattutto per le definizioni e le procedure da seguire al fine di perseguire un livello di standardizzazione tale da garantire una corretta gestione ed un conseguente buon funzionamento del "Link"
7.1. Accesso al Link Nazionale Digitale CISAR da singolo radioamatore
Il singolo radioamatore può accedere al "Link" senza nessun tipo di richiesta, accedendo ad uno dei nodi definiti come punti di accesso e facilmente individuabili visto che broadcastano tutti lo stesso SSID wificisar_nomenodo. L'indirizzo IP deve essere configurato come assegnato dinamicamente (DHCP), il nome della scheda radio utilizzata dal radioamatore deve evidenziare il nominativo assegnato allo stesso. Il sistema DHCP assegna il dominio DNS, e quindi registra il nominativo nel server DDNS come <nominativo>.wifi.cisar.it. Nei parametri DHCP assegnati al client, vengono anche settati i server DNS. Nel caso che il radioamatore utilizzi per l'accesso un router, tale dispositivo dovrà funzionare in modalità bridging e DHCP proxy, permettendo in questa maniera la possibilità di veicolare il traffico di qualsiasi altro dispositivo solo "trasportandolo" in modalità trasparente (appunto bridging). Devono pertanto essere evitate, anche se possibili, le configurazioni di Network Address Transaltion (NAT), in maniera da poter contestualizzare ogni singolo nodo che accede al "Link".
Si ribadisce che per un corretto utilizzo si dovrà aderire in maniera completa a tutto quanto specificato dalle presenti linee guida e soprattutto non utilizzare metodi di crittografia. Nel caso esista la possibilità di rilanciare via wireless il collegamento al "Link", si dovrebbe iniziare la procedura meglio specificata al successivo capitolo Eventuali malfunzionamenti o chiarimenti vanno indirizzati per e-mail all'indirizzo support.cisarnet@cisar.it, Distribution List letta da tutti i Network Manager ed in copia al Comitato. La responsabilità di risposta è affidata al Network Manager territoriale di competenza.
7.2. Installazione di un nodo di backbone del Link Nazionale Digitale CISAR
Nella possibilità di poter effettuare una installazione permanente al fine di permettere l'estensione del "Link", viene inviata la richiesta via e-mail all'indirizzo support.cisarnet@cisar.it , che provvederà a ricontattare l'interessato e fornire tutte le informazioni tecniche di dettaglio e il supporto necessario all'attivazione.
7.3. Regolamentazione gateway verso la rete Internet
Con il decreto Pisanu in vigore, ad oggi non si ritiene possibile l'utilizzo del "Link" per la classica navigazione Internet; sono pertanto resi fruibili solo i servizi DualHomed dei server del "Link", più l'accesso al portale Cisar http://www.cisar.it/.
7.4. Modalità di attivazione dei servizi autenticati
Per l'attivazione dei servizi autenticati, il radioamatore interessato deve inviare una specifica richiesta a support.cisarnet@cisar.it , specificando il proprio nominativo. L'utente generato avrà un USERID pari al nominativo dell'interessato, più una password generica che è gestibile direttamente dal portale del "Link" e che dovrà essere cambiata al primo accesso. Le credenziali di accesso sono univoche per ogni radioamatore, ed ogni radioamatore può averne solo una coppia.
7.5. Distribution List attivate per la gestione del "Link"
Si riassumono di seguito le Distribution List attivate al quale inviare le eventuali segnalazioni e richieste: Indirizzo Destinatari Utilizzo support.cisarnet@cisar.it
7.6. LogBook sistemi del backbone del "Link"
Viene gestito direttamente sul portale di accesso al "Link", da parte di tutti i manutentori coinvolti, il relativo registro delle attività di manutenzione straordinaria che hanno interessato gli apparati facenti parte del backbone. Tale LogBook è liberamente fruibile da tutti.
8. Riferimenti
- Decreto legge 1 agosto 2003, n.259 “Codice delle comunicazioni elettroniche” ed in particolare Allegato 26, Art.10 par.7 ed Art.12 par.4 e 5, ovvero:
Art. 10
Autorizzazione generale per stazioni ripetitrici automatiche non presidiate
..... omissis .....
7. L.utilizzo della stazione automatica deve essere consentito a tutti i radioamatori.
..... omissis .....
Art. 12
Norme d'esercizio
..... omissis .....
4. E' consentita l.interconnessione delle stazioni di radioamatore con le reti pubbliche di
comunicazione elettronica per motivi esclusivi di emergenza o di conseguimento delle
finalità proprie dell.attività di radioamatore.
5. Le radiocomunicazioni fra stazioni di radioamatore devono essere effettuate in linguaggio
chiaro; le radiocomunicazioni telegrafiche o di trasmissione dati devono essere effettuate
esclusivamente con l.impiego di codici internazionalmente riconosciuti; è ammesso
l'impiego del codice "Q" e delle abbreviazioni internazionali in uso.
..... omissis .....
- Piano Nazionale di Ripartizione delle Frequenze (marzo 2009)
- Decreto legge 27 luglio 2005 n.144 convertito con la legge 31 luglio 2005 n.155: (Decreto Pisanu, prorogato fino al 31.12.2010)
Per qualsiasi informazione riguardante la parte tecnica di questo documento o chiarimenti in generale potete contattare Marco Falcioni IU6DGD
IU6DGD