ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO SPERIMENTALE - PROGETTO "ABACUS" Indirizzo: INFORMATICA Tema di: SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI Sessione ordinaria 2004 Soluzione n.1 curata da Alberto Hénin e Guido Vinciguerra Soluzione n.2 curata da Nicola Motroni Aze , e ale£ Mere@, a4e@- Zna@@ Pag. 2/3 Sessione ordinaria 2004 No 115652/04 Seconda prova scritta 19624.2.1/1 Ministero dell’Istruzione dell’Università e della Ricerca YABC - ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO SPERIMENTALE - PROGETTO "ABACUS" Indirizzo: INFORMATICA Tema di: SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI Un istituto scolastico deve partecipare ad un progetto transnazionale che prevede lo scambio di informazioni (materiali didattici, materiali amministrativi, ecc.) via internet e via posta elettronica tra scuole di diversi paesi europei. Prendendo spunto da questa iniziativa, viene pianificata la realizzazione di una rete scolastica che consenta di: a) collegare ad internet: • i due laboratori a cui accedono le classi coinvolte nel progetto transnazionale; • i computer degli uffici, per lo scambio di materiali amministrativi nell'ambito del progetto; • i computer della presidenza, della vicepresidenza e della biblioteca; b) creare un archivio centralizzato dei materiali didattici e amministrativi prodotti nell'ambito del _progetto europeo, rendendolo disponibile in rete locale. Si dovrà consentire a tutto il personale della scuola ed a tutti gli studenti la consultazione dei materiali dai computer della rete locale; c) condividere, solo tra il personale degli uffici e la presidenza, gli archivi amministrativi poiché tali archivi contengono dati riservati. La dislocazione dei computer è la seguente: a) due in ciascun ufficio (segreteria didattica, segreteria amministrativa, ufficio personale, ufficio magazzino, ufficio tecnico); b) quattro nella biblioteca; c) cinque in ciascuno dei due laboratori; d) uno sia in presidenza che in vicepresidenza. Il candidato, dopo aver formulato le necessarie ipotesi aggiuntive, in particolare in merito: • alla topologia della scuola, • • alla presenza di eventuali reti preesistenti, al tipo di accesso alla rete, • • alla tipologia dei computer presenti nella scuola, al numero di stampanti da installare, • alla sicurezza dei dati sensibili, I. fornisca una soluzione di massima per il progetto della rete scolastica; 2. illustri, in dettaglio, tipologia, struttura e architettura della rete con riferimento ai livelli del modello ISO/OSI. ----------------------------------------------------Durata massima della prova: 6 ore. E’ consentito soltanto l'uso di manuali tecnici e di calcolatrici tascabili non programmabili- Non è consentito lasciare l'Istituto prima che siano trascorse 3 ore dalla dettatura del tema. ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO SPERIMENTALE – PROGETTO ABACUS INDIRIZZO INFORMATICA TEMA DI SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI PREMESSA GENERALE Abbiamo deciso di svolgere, per sommi capi, tutti gli argomenti che si potevano affrontare rispondendo alla traccia proposta. In base alle esperienze delle scuole e degli alunni, era possibile procedere in modi diversi: articolando in maniera più approfondita i database e le pagine Web ad essi collegate; approfondendo il dettaglio del cablaggio di rete o dell’amministrazione di rete. Alberto Hénin Guido Vinciguerra IPOTESI AGGIUNTIVE Qui ci si può sbizzarrire, ma ci sembra ragionevole proporre queste limitazioni: i locali interessati al cablaggio sono disposti su almeno due piani (uffici e biblioteca al piano terra e laboratori al 1° piano); reti preesistenti nelle scuole sarebbero vecchie LAN su cavo coassiale in singoli laboratori, inadeguate per qualsiasi upgrade; il tipo di accesso alla rete deve tener conto della necessità di controllo su chi utilizza le risorse condivise ed è quindi da realizzarsi con soluzione client-server; prevediamo nel parco macchine sia workstation (nei laboratori e negli uffici) che server (le richieste del problema portano ad individuare almeno: un file server per la didattica, un altro per l’amministrazione, un web server per la visibilità esterna; infine la rete ha bisogno di un server firewall-proxy); oltre alle stampanti locali, sarà il caso di prevedere printer server nei due laboratori, negli uffici e in biblioteca (totale 8); per adeguarsi alla normativa più recente sulla sicurezza informatica occorre prevedere un controllo degli accessi e il backup dei dati; un ulteriore sistema di protezione dei dati sensibili potrebbe essere la soluzione di separare la LAN che serve gli uffici dal resto della rete, come suggerito indirettamente al punto (c); Inoltre si ipotizzano due tipologie di documenti amministrativi: quelli inerenti il progetto (come verbali e testi degli accordi di partenariato) disponibili per tutti e quelli inerenti l’amministrazione del personale, degli alunni, dell’inventario e del bilancio dell’istituto condivisi solo dagli uffici. E’ necessario individuare un locale tecnico al piano terra al fine di ospitare gli elementi che compongono il centrostella della rete i server. Per primo piano se possibile verrà utilizzato un ulteriore locale tecnico, in alternativa un armadio di rete. SOLUZIONE DI MASSIMA Trattandosi di una nuova installazione e per una porzione limitata dell’istituto, occorre avere un’attenzione particolare alle possibilità di sviluppo futuro dell’impianto; un cablaggio strutturato, per una rete a stella, secondo lo standard TIA-EIA 568 è la soluzione più scalabile. Il numero di accessi è gestibile per ora con un hub per piano e due separati domini di collisione. Con i prezzi attuali è però preferibile una soluzione tutta basata su switch in grado di espandersi in futuro mantenendo un alto throughput. Per l’indirizzamento di host e server della rete è sufficiente una classe C di indirizzi IP scelta tra quelle riservate per uso privato (ad esempio 192.168.1.x). Per il controllo degli accessi sarà necessario prevedere due server di account e la definizione di due gruppi d’utenti con distinti diritti sulle risorse condivise. I due server di account possono coincidere con i due file server individuati nelle ipotesi aggiuntive. L’accesso degli host alla rete Internet richiede il mascheramento degli IP con una funzione di NAT individuabile sul server che funge da firewall e la necessità di avere un server web pubblico consiglia il suo collocamento in una DMZ separata dalla LAN. I servizi informativi da realizzare riguardano la pubblicazione su server web di materiali e comunicati disponibili per le altre scuole della rete e la gestione interna del file server per la didattica che potrebbe offrire l’accesso ai documenti tramite un database di indicizzazione degli stessi e una comoda interfaccia web. Per la gestione di dati e documenti pubblicati sul sito si potrebbe accennare all’utilizzo di software per il content-management, o sviluppare in proprio un database ad hoc individuando entità ed attributi da memorizzare e prevedendo a grandi linee pagine html con opportuni form per la ricerca dei documenti, nonché script lato server per le interrogazioni. Per l’amministrazione si può prevedere il disegno di un database con tutte le tabelle necessarie per le quattro gestioni già individuate sopra. Materiali didattici Titolo doc. Data abcd 18/10/2002 efgh 11/2/2003 ilmn 10/5/2004 Materia Informatica Sistemi Elettronica Livello 4 5 3 DETTAGLIO LAYOUT (con riferimento al livello 1 ISO/OSI) Tipo Approfondimento Recupero Approfondimento Link al file http://xxxxx http://xxxxy http://xxxxz SCHEMA LOGICO Per le dimensioni ridotte della rete MC e TC0 saranno collegati allo stesso switch Gli switch e le NIC dei componenti attivi della rete costituiscono il livello 2 ISO/OSI CABLAGGIO Verrà previsto un collegamento in fibra ottica tra MC e TC1, tutti i restanti collegamenti verranno realizzati in rame con cavi UTP COMPOSIZIONE ARMADI (dal livello 1 al livello 3 ISO/OSI) PARAMETRI DI RETE Classe IP: Indirizzo di rete: Netmask: Broadcast: N° host: C 192.168.1.0 255.255.255.0 192.168.1.255 254 SERVIZI INTRANET (dal livello 3 al 7 ISO/OSI1) Utile per gli sviluppi futuri della rete che richiederà frequenti rassegnazioni di blocchi in indirizzi IP è l’utilizzo di un server DHCP. Come prerequisito per l’accesso alla maggior parte dei servizi disponibili è necessario poter disporre di un server DNS che effettui la risoluzione diretta e inversa degli indirizzi IP. Il testo faceva riferimento alla disponibilità di un servizio di posta elettronica che in genere può essere fornito dall’ISP ma è facilmente implementabile su un server della rete (area DMZ) evitando limitazioni di spazio disco e numero account imposti dai fornitori. Aspetto fondamentale nella gestione dell’intranet è la gestione degli account che devono essere personali aggiornati ogni sei mesi e suddivisi in due gruppi (didattica e amministrazione) per distinguere i diversi diritti d’accesso alle risorse. 1 In questa LAN sono presenti solo il livello 4 (TCP/UDP) e il livello applicativo (WEB – DATABASE…) Al fine di limitare gli accessi dalla rete LAN ad Internet è necessario l’utilizzo di un server firewall che filtri le comunicazioni non necessarie. Il firewall è utile inoltre a separare il server web pubblico dalla rete LAN creando una DMZ che limita i danni in caso di intrusione nel server pubblico. Il firewall utilizza delle Access Control List e permette di gestire i flussi di dati tra le tre schede di rete (LAN-INTERNET-DMZ) permettendo solo il traffico necessario al corretto funzionamento delle applicazioni di rete. Nello schema riportato alla pagina successiva si ipotizza di sfruttare le potenzialità offerte dagli switch programmabili le cui porte sono raggruppabili in Virtual LAN indipendenti. L’utilizzo di un server proxy (è possibile far convivere proxy e firewall sulla stessa macchina) offre la possibilità di attivare un ulteriore filtro sugli accessi alla rete pubblica dalla LAN. ESAME DI STATO 2004 TEMA DI SISTEMI DI ELABORAZIONE E TRASMISSIONE DATI. Soluzione di Nicola Motroni Specifiche Integrative: La scuola è un istituto tecnico Industriale, l’edificio è costruito su più piani ma gli uffici ed i laboratori che partecipano al progetto sono posti sullo stesso piano, la cui dimensione è inferiore a 1000m2. Non è presente un’unica tipologia di LAN per l’intera scuola, si ha una rete ETHERNET 10 BASE-T cablata a stella, mediante HUB, per gli uffici e 2 reti separate per i 2 laboratori di tipo 100 BASE-TX sempre cablata a stella tramite HUB. Tutte le schede di rete funzionano a 10/100 Mbps, sarà quindi sufficiente sostituire gli HUB con degli SWITCH funzionanti a 100 Mbps. La nuova tipologia di rete sarà un ETHERNET 100 BASE-TX switchata e cablata a stella estesa, con modalità di accesso CSMA/CD e modalità trasmissione FULL DUPLEX. L’accesso ad Internet sarà reso possibile tramite linea ADSL, tecnologia che permette un’ampiezza di banda in Download di 640 Kbps e in Upload di 128 Kbps, prestazioni nettamente superiori ad una linea di tipo ISDN BRI. La sicurezza della connessione con il server centrale è garantita tramite la realizzazione di una VPN: i pacchetti vengono criptati ed instradati su un particolare percorso, sulla rete pubblica, che durante la comunicazione con il server viene utilizzato solo per i nostri dati. Il funzionamento è gestito dal protocollo PPTP (Point to Point Tunneling Protocol). La VPN utilizza la rete telefonica pubblica come una rete privata, con costi notevolmente inferiori rispetto ad una linea affittata. La scuola ha in dotazione PC equipaggiati con processori AMD K7 DURON a 1400 MHz, con 256 MB di RAM e Hard Disk da 30 GB, sono tutti dotati di scheda di rete a 10/100 Mbps ed hanno installato il sistema operativo Windows 2000 Professional, in grado di gestire le reti informatiche. Tutti i PC hanno istallata la suite OFFICE 2000 Professional. I PC del laboratorio hanno installati il programma di progettazione AUTOCAD 2004 e l’ambiente di sviluppo VISUAL STUDIO.NET. Sono presenti inoltre 4 computer adibiti a SERVER con prestazioni superiori rispetto agli altri: sono dotati di processori INTEL XEON, 1024MB di RAM e adottano il sistema operativo WINDOWS 2000 SERVER per gestire gli accessi alla rete. Ogni ufficio ha in dotazione una stampante di rete, così come i laboratori e la biblioteca, presidenza e vicepresidenza sono dotati di una stampante locale ciascuno. La sicurezza dei dati sensibili è garantita tramite la restrizione degli accessi mediante l’utilizzo di USERNAME e PASSWORD per ogni utente, e l’assegnazione di differenti livelli di privilegio, WINDOWS 2000 SERVER permette infatti di definire esattamente le operazioni che un’utente può eseguire e a quali cartelle o dati può accedere. Risoluzione: Per l’upgrade della rete esistente è possibile sfruttare le reti parziali già esistenti per la creazione di una rete unica, riducendo così i costi. Si è scelto la rete ETHERNET 100 BASE –TX cablata a stella estesa. La scelta è dovuta alla diffusione, alla relativa semplicità di installazione e manutenzione e alla scalabilità della rete ETHERNET. Il cablaggio viene effettuato seguendo lo standard EIA/TIA 568-A, che prevede per il tipo di rete scelta cavi UTP CAT5 con velocità di trasmissione 200MHz. Questi cavi hanno un costo contenuto e permettono velocità di trasmissione sufficienti alla nostra rete. Si sostituiscono gli HUB con SWITCH poiché questi ultimi permettono il completo sfruttamento dell’ampiezza di banda, gli HUB al contrario suddividono la banda tra le loro porte. La rete si appoggia sul protocollo TCP/IP ai livelli 3/4, del modello OSI, mentre a livello Data Link utilizza i protocolli LLC (standard 802.2) e MAC (standard 802.3). La rete viene suddivisa in 2 sottoreti, una per gli uffici (sottorete AMMINISTRAZIONE) ed una per il laboratori e la biblioteca (sottorete LABORATORI). La divisione in sottoreti permette di separare il traffico e di impedire l’accesso ai dati dell’amministrazione, inoltre limita il dominio di broadcast. La parte amministrativa contiene oltre ai PC degli uffici, 4 macchine server: una per lo scambio di file e documentazione tramite FTP, una per l’autenticazione dell’utente, una per la gestione degli archivi, ed una per il server di posta elettronica. Schema della Rete: La rete si appoggia sul protocollo TCP/IP, a livello di rete funziona il protocollo IP, pertanto gli indirizzi logici saranno indirizzi IP di classe C secondo lo standard IPv4. Tale classe di Indirizzi è sufficiente per il ridotto numero di PC. Piano di indirizzamento: Indirizzo di rete: 192.168.3.0 Sunbnet Mask: 255.255.255.192 Sottorete LABORATORI: Indirizzo di sottorete: Broadcast: Range di indirizzi: 192.168.3.64 192.168.3.127 da 192.168.3.65 a 192.168.3.126 Nome sulla rete E1 S0 S2 S3 S4 PRINT_LAB1 PRINT_LAB2 PRINT_BIBLIO PC1_LAB1 Indirizzo IP 192.168.3.65 192.168.3.66 192.168.3.67 192.168.3.68 192.168.3.69 192.168.3.70 192.168.3.71 192.168.3.72 192.168.3.73 Funzione Porta Ethernet1 Router Main Switch Laboratori Switch LAB 1 Switch LAB 2 Switch BIBLIOTECA Stampante di rete LAB 1 Stampante di rete LAB 2 Stampante di rete BIBLIO Primo PC LAB 1 PC5_LAB1 PC1_LAB2 192.168.3.77 192.168.3.78 Quinto PC LAB 1 Primo PC LAB 2 PC5_LAB2 PC1_BIBLIO 192.168.3.82 192.168.3.83 Quinto PC LAB 2 Primo PC BIBLIOTECA PC5_BIBLIO 192.168.3.86 Quinto PC BIBLIOTECA Sottorete AMMINISTARZIONE: Indirizzo di sottorete: Broadcast: Range di indirizzi: 192.168.3.128 192.168.3.191 da 1982.168.3.129 a 192.168.3.190 Nome sulla rete E0 E2 S1 SERVER_MAIL SERVER_FTP SERVER_ARCHIVI SERVER_AUTENTICAZIONI PRINT_AMM1 Indirizzo IP 192.168.3.129 192.168.3.130 192.168.3.131 192.168.3.132 192.168.3.133 192.168.3.134 192.168.3.135 192.168.3.136 Funzione Uscita Internet Principale Porta Ethernet 2 del Router Main Switch Amministrazione Server di Posta Elettronica Server del servizio FTP Server dei Database Server di controllo accessi Stampante di rete 1 PRINT_AMM5 PC_AMM1 192.168.3.140 192.168.3.141 Stampante di rete 5 PC AMMINISTRAZIONE 1 PC_AMM12 192.168.3.152 PC AMMINISTRAZIONE 12 Descrizione dell’Hardware: Lo Switch principale dei laboratori ha 8 porte, quello dell’amministrazione 24, gli switch dei laboratori e della biblioteca a 12 porte. Gli switch principali sono posti nell’MDF assieme al ROUTER, l’MDF è posto nella segreteria amministrativa dove sono posti anche i server. I laboratori e la biblioteca hanno un armadietto di cablaggio contenente il patch panel e lo switch locale. Ogni locale informatizzato è dotato di prese informatiche in numero doppio rispetto a quelle necessarie, rendendo così possibile l’ampliamento del numero dei computer senza dover ricablare. A livello 2 il protocollo MAC ha funzioni di controllo di flusso e gestisce la comunicazione con i livelli superiori. Il livello 3 è affidato al protocollo IP: è un protocollo instradabile (routed protocol) che offre servizi di tipo non connesso e non confermato, la modalità di trasmissione è di tipo best effort delivery, i pacchetti possono giungere a destinazione seguendo percorsi e ordini diversi. Non vengono effettuati controlli su eventuali errori o pacchetti persi, tutto questo è affidato al protocollo TCP a livello di trasporto. Il Datagram IP ha il seguente formato: Version Head Len. Type of Service Identification Time to Live Total Lenght Df Mf Protocol Fragment Offset Header Checksum Source Address Destination Address Options • • • • • • • • • • • • • • • 4 bit per indicare la versione di IP (IPv4) 4 bit per la lunghezza totale dell’intestazione 8 bit per il tipo di servizio 16 bit per la lunghezza totale del pacchetto 16 bit per l’identificatore del pacchetto 1 bit non utilizzato 1 bit flag DF (Don’t fragment): Indica di non frammentare il pacchetto, se il pacchetto è troppo grande per attraversare una rete e non può essere frammentato, viene scartato 1 bit flag MF (More fragments): Indica l’esistenza di altri frammenti del pacchetto 13 bit per indicare il numero del frammento (Massimo 8192) 8 bit per un campo contatore che indica il numero di HOP compiuti da un pacchetto, ad ogni salto viene decrementato, quando giunge a 0 il pacchetto viene scartato 8 bit che indicano il tipo di protocollo trasportato nel campo dati 16 bit per la checksum del dell’intestazione, serve per verificare che non vi siano stati errori nell’indirizzo di destinazione durante la trasmissione 32 bit per l’indirizzo sorgente 32 bit per l’indirizzo di destinazione Un campo opzionale fino a 40 bit per le opzioni come il timestamp il loose source routing o il security Del 4° livello OSI si occupa il protocollo TCP. A differenza di IP può offrire servizi di tipo connesso e confermato. TCP si occupa della gestione degli errori a livello di rete, in sostanza la funzione del livello di trasporto è di garantire l’affidabilità del trasporto dei dati ai livelli superiori. Nel modello TCP gli strati di sessione e presentazione sono integrati nel livello di trasporto. Al livello di applicazione la nostra rete supporta diversi servizi: Servizio di posta elettronica, grazie alla presenza di un apposito server. Il servizio supporta i protocolli POP3 e SMTP che permettono di scaricare la posta dal server o di leggerla direttamente dal server. Il front-end utilizzato è OUTLOOK, programma presente nella suite OFFICE installata in tutte le macchine. Si fornisce inoltre un servizio FTP. Il materiale del progetto è archiviato e scaricabile da questo server, a cui si accede tramite autenticazione. Il server di autenticazione serve a riconoscere gli utenti e a fornire loro il grado di accesso assegnato. Il server degli archivi contiene i database del progetto e quelli dell’amministrazione, ogni database ha accesso controllato mediante password così che gli utenti esterni o non autorizzati non possano visualizzare informazioni non consentite. Gli archivi sono una copia di quelli presenti nel database centrale, con il quale vengono sincronizzati periodicamente. Agli utenti del progetto è possibile visualizzare solo informazioni relative ai partecipanti, con la loro qualifica (docente, studente), la loro mansione, l’elenco delle attività e del materiale disponibile. La connessione al database è effettuata tramite il driver OLEDB che permette di conferire differenti livelli di accesso ad un database. I database contenenti dati sensibili sono quindi visualizzabili solo dagli utenti dell’amministrazione. La connessione ad Internet viene effettuata tramite linea ADSL che usa una tecnologia asimmetrica che permette di avere una banda in download di 640 Kbps e in upload di 128 Kbps; mediante tecniche di modulazione di frequenza e di ampiezza la banda viene suddivisa in 255 sottobande. La connessione al provider è permanente però il transito dei dati deve essere abilitato dal processo di autenticazione. La tecnica utilizzata in Italia per il processo di autenticazione è il PPoA (Point to Point Protocol Over ATM), simile al classico PPP ma utilizza le celle ATM. Si appoggia su 2 protocolli NCP e LCP. Una volta richiesta la connessione al provider si ottiene un indirizzo IP che verrà rilasciato solo al momento della disconnessione. La sicurezza della comunicazione è garantita dalla VPN che permette di utilizzare la rete pubblica come un circuito virtuale. Il Point to Point Tunneling Protocol forza i pacchetti a seguire un percorso predefinito e controllato, in maniera che nessun altro utilizzi quella linea o possa intercettare i pacchetti, che, comunque sono criptati in maniera da rendere comprensibile il contenuto solo al destinatario.