Seconda Prova Maturità Sistemi e Reti 2026: ripasso e guida

01

Strategia

Come spezzare le 6 ore

Sei ore sembrano tantissime alle 8:30 del mattino. Non lo sono. Il rischio numero uno non è "non sapere", è finire il tempo mentre stai ancora ricopiando in bella. La regola d'oro: prima ragiona, poi scrivi. Non buttarti subito sulla bella copia.

00:00 → 00:30 · mezz'ora

Leggi la traccia (due volte) e fai l'analisi della realtà

Sottolinea ogni requisito: numero di sedi, numero di host, servizi richiesti, vincoli. Riscrivi la traccia con parole tue sul foglio 1. Qui capisci davvero cosa ti stanno chiedendo.

00:30 → 01:15 · 45 min

Schema logico della rete + scelta dei quesiti

Disegna la topologia come se fossi in Packet Tracer (foglio 3). Decidi quali 2 quesiti su 4 affrontare: scegli quelli su cui hai più carne al fuoco, non i più "facili".

01:15 → 03:30 · 2h 15min

Prima parte — il progetto di rete

Sviluppa la soluzione: topologia, DMZ, server, indirizzamento, sicurezza. È il cuore del voto. Scrivi in brutta ma ordinato, a elenchi puntati.

03:30 → 04:00 · pausa mentale

Stacca 5–10 minuti, poi rileggi la traccia

Controlla di non aver dimenticato un requisito. Le ipotesi nuove che ti vengono ora le scrivi sul foglio 2.

04:00 → 05:00 · 1 ora

I due quesiti scelti

Subnetting, configurazioni CLI, VLAN, VPN, ACL… qui mostri la tecnica. Una pagina ben fatta per quesito vale più di tre confuse.

05:00 → 06:00 · ultima ora

Bella copia + rilettura finale

Ricopia ordinato, numera le pagine, ricontrolla calcoli di subnetting e porte. Non consegnare prima: usa tutto il tempo per rifinire.

Attenzione: non iniziare la bella copia prima di metà mattinata. Chi ricopia troppo presto poi non ha più spazio per le idee nuove che arrivano sempre durante la prova.

02

Metodo

Organizza i fogli protocollo

Un foglio protocollo ben impostato è metà del lavoro. Dai un ruolo fisso a ogni pagina: così non ti perdi e il commissario capisce subito che hai un metodo.

PAG 1

Analisi della realtà

Riassunto della traccia con parole tue
Requisiti elencati uno per uno
Numeri chiave: sedi, host, servizi

PAG 2

Ipotesi aggiuntive

Lasciala quasi in bianco: la riempi man mano.

PAG 3

Schema logico rete

Topologia in stile Packet Tracer
Router, firewall, switch, DMZ, LAN
Etichette IP / VLAN / subnet

PAG 4+

Risposte ai quesiti

Elenchi puntati, non muri di testo
Spazio tra un paragrafo e l'altro
Un concetto = una riga

Pagina 1 — Analisi della realtà: è il riassunto della prova. Scrivi con parole tue cosa chiede la traccia, così ti chiarisci le idee e dimostri di aver capito il problema.
Pagina 2 — Ipotesi aggiuntive: lasciala volutamente in bianco. Mentre svolgi la prova ti verranno in mente nuove assunzioni ragionevoli (es. "ipotizzo connettività in fibra", "ipotizzo 50 host per sede"): le aggiungi qui senza stravolgere il resto.
Pagina 3 — Schema logico: il disegno della rete come se fossi davanti a Cisco Packet Tracer. Posiziona cloud Internet, router, firewall, DMZ, switch e LAN. Questo schema ti guida in tutto il resto della prova.
Dalla pagina 4 in poi — Sviluppo: rispondi ai quesiti in modo schematico, con elenchi puntati e spazio tra i paragrafi. Chi corregge legge meglio e tu eviti di "dimenticare" pezzi.

03

Topologia tipica

La sede centrale è (quasi) una DMZ

Se nella traccia compare una sede centrale che eroga servizi alle altre sedi e/o a Internet, la sua struttura sarà più o meno quella di una DMZ con doppio firewall. È lo schema "jolly" che puoi riproporre in quasi tutte le prove.

Schema DMZ con firewall a doppio cuscinetto: cloud Internet, router, external firewall, DMZ con stanza server, internal firewall, switch e uffici della LAN — DMZ con firewall a doppio cuscinetto (screened subnet): Internet → router → firewall esterno → DMZ/stanza server → firewall interno → LAN (uffici).

Leggendo lo schema dall'alto: Internet arriva al router, passa il firewall esterno, entra nella DMZ (dove vive la stanza server raggiungibile dall'esterno), poi un firewall interno protegge la LAN degli uffici. È esattamente la topologia che riproporrai sul foglio 3.

04

Sicurezza perimetrale

DMZ, i 2 firewall e le ACL

La DMZ (DeMilitarized Zone) è una rete cuscinetto tra Internet e la LAN interna. Ci metti i server che devono essere raggiungibili dall'esterno: se un attaccante li compromette, resta comunque "bloccato" nella DMZ e non arriva direttamente ai dati interni.

Firewall esterno (external): sta tra Internet e la DMZ. Lascia passare verso la DMZ solo il traffico dei servizi pubblici (es. 80/443 verso il web server, 53 verso il DNS) e blocca tutto il resto.
Firewall interno (internal): sta tra la DMZ e la LAN. È più severo: impedisce che, partendo dalla DMZ, si raggiunga la rete interna. La LAN può uscire, ma la DMZ non può "entrare".
Doppio firewall = "screened subnet": per bucare la rete interna un attaccante dovrebbe superarli entrambi, idealmente di vendor diversi. Da qui il nome "doppio cuscinetto".

Entrambi i firewall filtrano il traffico con le regole ACL (Access Control List): elenchi ordinati di regole permit / deny valutate dall'alto in basso, in base a IP sorgente, IP destinazione, protocollo e porta. La prima regola che combacia decide; in fondo c'è sempre un deny implicito (tutto ciò che non è esplicitamente permesso è negato).

Esempio ACL — firewall esterno

! Permetti dall'esterno solo HTTP/HTTPS verso il web server in DMZ
FW(config)# access-list 110 permit tcp any host 192.168.10.2 eq 80
FW(config)# access-list 110 permit tcp any host 192.168.10.2 eq 443
FW(config)# access-list 110 permit udp any host 192.168.10.3 eq 53
FW(config)# access-list 110 deny   ip any any        ! deny implicito esplicitato
FW(config)# interface g0/0
FW(config-if)# ip access-group 110 in

05

Servizi · porte · protocolli

Quali server in DMZ e quali in LAN

Regola pratica: nella DMZ ci va ciò che il mondo esterno deve raggiungere (web, DNS pubblico, mail in ingresso). Nella LAN ci va ciò che resta interno e custodisce i dati (database, file, autenticazione, DHCP). Per ogni server scrivi sempre: a cosa serve, protocollo e porta.

Web Server

▸ DMZ

Pubblica il sito / portale dell'azienda, raggiungibile da Internet. Serve pagine ai client.

HTTP80HTTPS443

DNS Server

▸ DMZ (parte pubblica)

Traduce i nomi (es. azienda.it) in indirizzi IP. La zona pubblica sta in DMZ; il DNS interno resta in LAN.

DNS53 UDP/TCP

DB Server

▸ LAN

Custodisce i dati (clienti, ordini…). Mai esposto a Internet: lo interroga solo il web server tramite il firewall interno.

MySQL3306PostgreSQL5432

RADIUS Server

▸ LAN

Autenticazione centralizzata (AAA): chi accede al Wi-Fi/VPN inserisce le credenziali, il RADIUS le verifica. Usato con WPA3-Enterprise e 802.1X.

RADIUS auth1812acct1813

DHCP Server

▸ LAN

Assegna automaticamente IP, subnet mask, gateway e DNS ai client. Senza di lui dovresti configurare ogni host a mano.

DHCP server67 UDPclient68 UDP

NAS Server

▸ LAN

Archiviazione di rete condivisa: file, backup, cartelle dei reparti. Accessibile dagli host interni tramite condivisioni.

SMB445NFS2049FTP21

Server	Dove	A cosa serve	Protocollo · porta
Web	DMZ	Eroga il sito ai client esterni	HTTP 80 · HTTPS 443
DNS	DMZ / LAN	Risoluzione nomi ↔ IP	53 UDP (TCP per zone)
DB	LAN	Conserva i dati applicativi	MySQL 3306 · PgSQL 5432 · MSSQL 1433
DHCP	LAN	Assegna IP automatici	67/68 UDP
RADIUS	LAN	Autenticazione AAA (Wi-Fi/VPN)	1812 auth · 1813 acct
NAS	LAN	Storage / file condivisi	SMB 445 · NFS 2049 · FTP 21

Trucco da esame: se ti chiedono "dove metti il server X?", rispondi sempre con la logica "raggiungibile da fuori → DMZ; dati sensibili e servizi interni → LAN", poi giustifica con il firewall. Vale punti anche se la traccia non lo chiede esplicitamente.

06

Wireless

Access Point, WPA3 e AES

Usa un Access Point (AP) ogni volta che la traccia parla di dispositivi mobili, portatili, BYOD, tablet, IoT o aree senza cavo (sale riunioni, magazzini, aule, aree clienti). L'AP collega i dispositivi wireless alla LAN cablata: di solito lo attacchi a una porta dello switch e gli associ la VLAN giusta.

Quando metterlo: copertura Wi-Fi per uffici/sale, ospiti su una VLAN separata, terminali mobili in magazzino, postazioni temporanee. Per aree ampie usi più AP gestiti da un WLAN Controller.
WPA3: è il protocollo di sicurezza Wi-Fi più recente. Sostituisce la vecchia 4-way handshake con SAE (Simultaneous Authentication of Equals), che protegge dagli attacchi a dizionario sulla password e garantisce forward secrecy (se rubano una password, le sessioni passate restano cifrate).
WPA3-Personal: password condivisa (SAE), ideale per piccole reti. WPA3-Enterprise: ogni utente ha credenziali proprie verificate dal RADIUS via 802.1X — è la scelta giusta in azienda.
AES: è l'algoritmo di cifratura simmetrica che protegge i dati in volo (in Wi-Fi tramite la modalità CCMP). Stessa chiave per cifrare e decifrare, robusto e veloce. WPA3 usa AES; il vecchio TKIP/WEP non si usa più.

Collegamento utile: WPA3-Enterprise + RADIUS + 802.1X è la combo che fa fare bella figura: "ogni dipendente si autentica con le proprie credenziali, validate dal server RADIUS in LAN, e il traffico è cifrato con AES".

07

Collegamenti sicuri

VPN site-to-site vs accesso remoto

Una VPN crea un "tunnel" cifrato dentro Internet, così è come se due reti (o un utente e una rete) fossero collegati da un cavo privato. Ne esistono due tipi: scegli in base a chi deve collegarsi.

Site-to-Site

Sede ↔ Sede · sempre attiva

Collega due reti intere (es. sede centrale e filiale) tramite i rispettivi gateway/router.
Il tunnel è permanente e trasparente: gli utenti non fanno nulla, è già lì.
Protocollo tipico: IPsec (IKE per lo scambio chiavi, ESP per cifrare i dati).
Quando: la traccia ha più sedi fisse che devono condividere risorse.

Accesso remoto

Utente → Rete · on demand

Collega un singolo dispositivo (PC/smartphone del dipendente) alla rete aziendale.
Si attiva quando serve: l'utente apre il client VPN e si autentica.
Protocollo tipico: SSL/TLS (OpenVPN, WireGuard) oppure IPsec; spesso con RADIUS.
Quando: smart working, tecnici in trasferta, accesso da casa.

Differenza chiave: la site-to-site unisce reti (gateway-to-gateway, sempre su); l'accesso remoto collega persone (client-to-gateway, all'occorrenza).
A cosa servono: garantire riservatezza (cifratura), integrità (i dati non vengono alterati) e autenticazione passando su Internet pubblico senza affittare linee dedicate.

08

IoT & Edge

Quando ipotizzare Arduino o Raspberry

Tira fuori Arduino o Raspberry Pi quando la traccia parla di sensori, oggetti connessi, monitoraggio sul campo, veicoli, macchinari: sono i "mattoncini" dell'IoT che raccolgono dati dove un PC non ha senso.

Arduino

Microcontrollore · semplice

Legge/comanda sensori e attuatori in tempo reale, consuma pochissimo.
Niente sistema operativo: fa un compito ben preciso.
Ideale come nodo sensore a bordo del dispositivo.

Raspberry Pi

Mini-computer Linux · potente

Ha un OS (Linux), rete, può girare server leggeri e fare da gateway.
Elabora i dati, li cifra e li manda al cloud/sede centrale.
Ideale quando serve logica, connettività e un po' di calcolo sul campo.

Esempio classico — flotta di car-sharing: su ogni veicolo monti una scheda che si collega in mobilità con una SIM su rete 5G, si geolocalizza con un'antenna GPS e legge i parametri dell'auto dalla porta OBD-II (la presa diagnostica standard delle automobili) per monitorare batteria e velocità. I dati vengono inviati alla piattaforma centrale, che mostra in tempo reale posizione e stato di salute di ogni mezzo.

Sul veicolo: Raspberry (o Arduino + modulo) → modulo GPS → modulo 5G/LTE con SIM → lettore OBD-II per batteria e velocità.
Trasmissione: i dati viaggiano cifrati (HTTPS/MQTT su TLS) verso il server della sede centrale.
In sede: un server raccoglie i dati, li salva nel DB e li mostra su una dashboard (mappa + allarmi batteria scarica / velocità anomala).

09

Instradamento

Routing statico e dinamico

Il routing serve solo quando ci sono più router che devono comunicare tra loro (più sedi, più reti). Se hai un solo router o reti già direttamente connesse, non ti serve configurare rotte.

Statico

Rotte scritte a mano

Definisci tu ogni percorso con il comando ip route.
Pro: semplice, prevedibile, nessun traffico extra, sicuro.
Contro: se cambia la rete devi aggiornare tutto a mano.
Quando: poche reti, topologia stabile, o la rotta di default verso Internet.

Dinamico

I router si parlano da soli

I router si scambiano le rotte con un protocollo (RIP, OSPF, EIGRP, BGP).
Pro: si adatta da solo ai guasti e ai cambiamenti.
Contro: più complesso, consuma risorse, va protetto.
Quando: molte reti/sedi o topologia che cambia spesso.

Router CLI — statico vs dinamico (OSPF)

! --- Routing STATICO: raggiungo la rete 192.168.2.0/24 via 10.0.0.2 ---
R1(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.2
! Rotta di default verso Internet
R1(config)# ip route 0.0.0.0 0.0.0.0 200.0.0.1

! --- Routing DINAMICO con OSPF ---
R1(config)# router ospf 1
R1(config-router)# network 10.0.0.0 0.0.0.3 area 0
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0

10

Segmentazione L2

VLAN: porte access e trunk

Una VLAN (Virtual LAN) divide logicamente un unico switch fisico in più reti separate. Così metti, per esempio, "Amministrazione", "Produzione" e "Ospiti" su VLAN diverse: non si vedono tra loro anche se attaccati allo stesso switch, e per farle comunicare serve un router (router-on-a-stick o switch L3).

Porta in modalità ACCESS: appartiene a una sola VLAN. La usi per collegare i dispositivi finali (PC, stampante, telefono IP, AP).
Porta in modalità TRUNK: trasporta più VLAN insieme usando il tag 802.1Q. La usi tra switch e switch, o tra switch e router.

Switch CLI — creazione VLAN, access e trunk

! 1) Creo le VLAN
SW(config)# vlan 10
SW(config-vlan)# name AMMINISTRAZIONE
SW(config)# vlan 20
SW(config-vlan)# name PRODUZIONE

! 2) Porta ACCESS verso un PC (VLAN 10)
SW(config)# interface fa0/1
SW(config-if)# switchport mode access
SW(config-if)# switchport access vlan 10

! 3) Porta TRUNK verso un altro switch / router (tutte le VLAN)
SW(config)# interface g0/1
SW(config-if)# switchport mode trunk
SW(config-if)# switchport trunk allowed vlan 10,20

Da ricordare: verso i dispositivi → access; tra gli apparati (switch–switch, switch–router) → trunk. Il tag 802.1Q viaggia solo sui trunk.

11

Indirizzamento

Subnetting FLSM

Il subnetting FLSM (Fixed Length Subnet Mask) divide una rete in sottoreti tutte della stessa dimensione. È il metodo più semplice e quello che quasi sempre basta all'esame: scegli la subnet abbastanza grande da contenere la sede con più host, e la usi uguale per tutte.

Conta quante subnet ti servono

Una per ogni rete/sede/VLAN richiesta. Es. servono 4 subnet.

Calcola i bit da "prendere in prestito"

Trova n tale che 2ⁿ ≥ numero subnet. Per 4 subnet → 2² = 4, quindi n = 2 bit.

Scrivi la nuova subnet mask

Parti dalla mask di partenza e aggiungi gli n bit. Es. da /24 → /26 = 255.255.255.192.

Calcola gli host per subnet

Con h bit host: 2ʰ − 2 (si tolgono indirizzo di rete e broadcast). Con /26 → 2⁶ − 2 = 62 host.

Trova il "salto" (block size) e scrivi le subnet

Block size = 256 − valore mask = 256 − 192 = 64. Le subnet partono ogni 64.

Esempio completo: rete di partenza 192.168.1.0/24, servono 4 sottoreti uguali → maschera /26, 62 host ciascuna, salto 64.

Subnet	Indirizzo di rete	Primo host	Ultimo host	Broadcast
A	192.168.1.0/26	.1	.62	.63
B	192.168.1.64/26	.65	.126	.127
C	192.168.1.128/26	.129	.190	.191
D	192.168.1.192/26	.193	.254	.255

Check veloce: il primo host è rete +1, il broadcast è la subnet successiva −1, l'ultimo host è broadcast −1. Se questi tre tornano, il subnetting è corretto.

FLSM vs VLSM: se le sedi hanno numeri di host molto diversi e la traccia chiede di "non sprecare indirizzi", allora ti serve il VLSM (maschere di lunghezza variabile): stessa logica, ma assegni a ogni rete la subnet su misura partendo dalla più grande.