1 Uvod i osnovni pojmovi

U dananjem vremenu raunala su postala neophodno sredstvo potrebno za rad u skoro svim granama
ljudskog djelovanja. Raunala nisu vana samo na radnom mjestu, u slobodno vrijeme ljudi se zabavljaju na
razliite naine, a mnogi naini zabave takoer ovise o nekoj vrsti raunala ili su povezani s nekim granama
raunarstva. Dok sluate pjesmu ili gledate fotografije na svom digitalnom fotoaparatu vjerojatno ne
razmiljate koji algoritmi su vam to omoguili.
Nekada je bilo dovoljno sjesti za raunalo, pokrenuti svoju omiljenu igru i zabavljati se satima. Ako ste
imali igrau palicu mogli ste odigrati koarkaku utakmicu protiv prijatelja koji sjedi do vas. Danas se trai
da igra podrava igranje preko raunalne mree, moete igrati s nekim s drugog kontinenta i sve to u
realnom vremenu.
Jedna od osnovnih zadaa raunala je postala komunikacija. Ljudi ele brzo pronai informaciju i poslati je
drugoj osobi. ele pristupati razliitim uslugama sa raznih mjesta, biti u kontaktu s obitelji, prijateljima i
kolegama bez obzira gdje se nalaze. To im omoguavaju lokalne raunalne mree i internet kao najrairenija
svjetska raunalna mrea. Moemo slobodno rei da je raunalo bez veze na internet kao kua bez prozora.
Na ovim stranicama dan je pregled vanijih tehnologija koje se koriste na raznim razinama arhitekture
raunalne mree ime e itatelj stei uvid u nain rada lokalne raunalne mree, ali i interneta.
U poglavljima koji slijede kratko su objanjeni modeli koji se koriste za opisivanje raunalnih mrea te su
daljnja razmatranja dana u odnosu na razine TCP/IP modela koji je veinom u uporabi na internetu. Takoer
su objanjeni postupci konfiguriranja aktivne mrene opreme. Poet emo osnovnim pojmovima.
Mrea raunala je skupina dva ili vie meusobno povezanih raunala koji dijele neke resurse (podatke,
sklopovlje, programe,...). Raunala se smatraju povezanima ako mogu razmjenjivati informacije. Raunalna
mrea u irem smislu sadri i ostale vorove kao to su prospojnik ili usmjernik. vorovi raunalne mree u
meusobnoj komunikaciji koriste komunikacijske protokole.
Komunikacijski protokol je skup jednoznano odreenih pravila za razmjenu informacija izmeu dva
entiteta na mrei koji ukljuuje sintaksu informacije, semantiku informacije te pravila za razmjenu
informacije. Entitet moe biti raunalo, program, sigurnosna kamera, senzor i sl.
Komunikacijska arhitektura je skup komunikacijskih protokola koji omoguavaju komunikaciju izmeu
dva entiteta raunalne mree.

1.1 ISO/OSI referentni model

Model je apstraktni opis veza i relacija koje postoje meu entitetima u nekom sustavu. To je osnova za
dizajn i implementaciju stvarnog sustava. Kada kaemo da je neki model "referentni" to znai da ostale,
konkretne modele tj. njihove implementacije usporeujemo i usklaujemo s njim. U raunalnim mreama
koristi se ISO/OSI referentni model prikazan na slici 1-1.

Slika 1-1: ISO/OSI referentni model

OSI referentni model ima sedam razina. Razina (engl. layer) je skup funkcija koje pruaju usluge razini
iznad, a koriste usluge razine ispod. Razine su dizajnirane tako da promjene na jednoj razini ne zahtjevaju
promjene na ostalim razinama. Razine ISO/OSI referentnog modela i njihove funkcije su:

Fizika razina (engl. physical layer) - Definira elektrine, funkcionalne i mehanike karakteristike kabela,
konektora i signala kako bismo ureaj mogli standardno prikljuiti na komunikacijski kanal. Jedinice
informacije koje se prenose na fizikoj razini su bit i oktet.
Razina podatkovne veze (engl. data-link layer) - Osigurava pristup fizikom mediju, s mogudnodu kontrole
toka i kontrole pogreki. Jedinica informacije na ovoj razini je okvir. Za adresiranje se koristi MAC adresa, o
emu de biti govora u poglavlju 2.3.2.
Mrena razina (engl. network layer) - Ostvaruje vezu izmeu razliitih mrea, pronalazedi najbolji put do
odredita. Jedinica informacije na ovoj razini je paket.
Prijenosna razina (engl. transport layer) - Osigurava pouzdan prijenos s kraja na kraj mree s mogudnodu
kontrole toka i oporavka od pogreke.
Sjednika razina (engl. session layer) - Osigurava mehanizme za komunikaciju izmeu aplikacija.
Prezentacijska razina (engl. presentation layer) - Prikazuje podatke korisniku na ispravan nain, u ispravnom
formatu
Aplikacijska razina (engl. application layer) - Prua usluge korisniku, npr. HTTP, FTP, TELNET itd.

Razliiti mreni ureaji obavljaju funkcije na razliitim razinama OSI referentnog modela, kao to je
prikazano na slici 1-2.

Slika 1-2: Mreni ureaji u odnosu na OSI model

1.2 TCP/IP arhitektura

Poeci TCP/IP arhitekture seu u 1969. godinu kada je istraivaki odjel Ministarstva obrane SAD (DARPA
- Defense Advanced Research Projects Agency) pokrenuo projekt uspostave eksperimentalne mree s
prospajanjem paketa nazvane ARPANET, ija je namjena bila znanstvenicima koji su radili za ministarstvo
obrane, omoguiti komunikaciju s kolegama u drugim amerikim gradovima.
1975. ARPANET je prestao biti eksperimentalna mrea. TCP/IP arhitektura usvojena je kao vojni standard
1983. Koritenje tog standarda bio je preduvjet za spajanje na ARPANET mreu. ARPANET je pretea
dananjeg interneta.
Internet je je svjetski javno dostupan sustav meusobno povezanih raunalnih mrea za prijenos podataka
baziran na prospajanju paketa i standardiziranom internet protokolu (IP). Sastavljen je od manjih
komercijalnih, akademskih i dravnih mrea. Prenosi razliite informacije i prua razliite usluge kao to su
elektronika pota, pristup web stranicama i drugim dokumentima na world wide web-u. Internet ini
sveukupna svjetska mrena infrastruktura tj. sklopovlje, programi i usluge.
TCP/IP arhitektura je najraireniji standard na internetu zbog pogodnosti koje je jedini u danom trenutku
nudio, neke od njih su:

Neovisnost o tipu sklopovlja i operacijskih sustava koje korisnici koriste, te o pojedinom proizvoau
Neovisnost o tipu mrene opreme, to omogudava integraciju razliitih tipova mrea
Jedinstveni nain adresiranja koji omogudava povezivanje i komunikaciju svih ureaja koji podravaju TCP/IP
Standardizirani protokoli viih razina, to omogudava iroku primjenu mrenih usluga

Razine TCP/IP arhitekture prikazane su na slici 1-3.

Slika 1-3: Razine TCP/IP arhitekture

Funkcije razina TCP/IP arhitekture su:

Razina pristupa mrei osigurava ureaju pristup zajednikom mediju. Obuhvaa funkcije fizike razine i
razine podatkovne veze OSI referentnog modela.
Internet razina obuhvaa funkcije mrene razine OSI referentnog modela. Primarni protokol internet razine
je IP protokol. O njemu e biti rijei u poglavlju 3.1.
Prijenosna razina je ekvivalentna prijenosnoj razini OSI referentnog modela. Vaniji protokoli prijenosne
razine su TCP (Transmission Control Protocol) i UDP (User Datagram Protocol) o njima e biti govora u
poglavlju 4.
Aplikacijska razina obuhvaa sjedniku, prezentacijsku i aplikacijsku razinu OSI referentnog modela.
Aplikacija je bilo koji proces koji se dogaa iznad prijenosne razine TCP/IP komunikacijske arhitekture.
Neki od aplikacijskih protokola su: SMTP, HTTP, FTP, DNS itd. Poglavlje 5 govori o aplikacijskoj razini.
Slika 1-4 prikazuje odnos OSI referentnog modela i TCP/IP arhitekture.

Slika 1-4: Odnos OSI modela i TCP/IP arhitekture

1.3 Klasifikacija raunalnih mrea po dosegu

Mree po dosegu moemo podijeliti na:

Personal Area Network (PAN)

Local Area Network (LAN)
Metropolitan Area Network (MAN)
Wide Area Networks (WAN)

Personal Area Network (PAN) Mrea u krugu 10 m oko osobe. Npr. beina mrea koja povezuje
tipkovnicu, mi ili pisa s raunalom. Drugi primjer ovakve mree su bluetooth ureaji.
Local Area Network (LAN) Mrea u privatnom vlasnitvu koja pokriva relativno mali prostor, ured,
zgradu ili kampus. Lokalne raunalne mree rade na brzinama od 10 Mb/s, 100 Mb/s, imaju malo kanjenje
(mikrosekunde ili nanosekunde). Novije mree rade na brzinama do 10 Gb/s.
Metropolitan Area Network (MAN) Mrea koja pokriva vea podruja od LAN mree (nekoliko
kvartova, grad ili nekoliko gradova), povezuje razliite LAN mree. Veinom je odravana od strane neke
tvrtke, a koristi ju mnogo korisnika. Doseg MAN mree je obino do 50 km.
Wide Area Networks (WAN) Mrea koja pokriva velika zemljopisna podruja, dravu ili kontinent. To
je mrea ija komunikacijska infrastruktura prelazi granice grada, regije ili drave.

1.4 Mrena oprema

Osnovna podjela opreme koja se koristi u raunalnim mreama je podjela na pasivnu i aktivnu mrenu
opremu.
Aktivna oprema su svi elektroniki ureaji koji prihvaaju i distribuiraju promet unutar raunalnih mrea
tj. imaju memoriju i procesor (mrena kartica, prospojnik, usmjernik,...), a pasivna oprema je sustav
vodova (optika i bakar) koji slui za povezivanje aktivne mrene opreme.
1.4.1 Mrena kartica

Mrena kartica (engl. Network Interface Card - NIC) je ureaj kojim se raunalo spaja na mreu. Radi na
razini pristupa mrei, dakle fizikoj razini i razini podatkovne veze OSI referentnog modela. Najee se
ugrauje u PCI utore (Peripheral Component Interconnect) ili PCMCIA (Personal Computer Memory Card
International Association) utore koji su najee koriteni na prijenosnim raunalima. Svaka mrena kartica
ima svoju jedinstvenu MAC adresu. O MAC adresama e biti rijei u poglavlju 2.3.2. Kartica ima prikljuak
za UTP konektor mrenog kabela.
Arhitektura mrene kartice prikazana je na slici 1-5.

Slika 1-5: Arhitektura mrene kartice

1.4.2 Prospojnik

Prospojnik (engl. switch) je aktivni mreni ureaj koji radi na razini podatkovne veze OSI referentnog
modela. Njegova osnovna funkcija je prospajati okvire primljene na jednom prikljuku (engl. port) samo na
onaj prikljuak gdje se nalazi odredite okvira. Ovakvo filtriranje prometa prospojnik radi po MAC adresi
odredita iz zaglavlja okvira.
Da bi prospojnik mogao prospajati okvire mora izgraditi tablicu prospajanja. Tablica prospajanja (engl.
switching table) sadri parove (MAC adresa, broj prikljuka). Postupak izgradnje tablice prospajanja je
sljedei: Kada prospojnik primi okvir koji treba proslijediti, pogleda izvorinu MAC adresu okvira, ako u
tablici prospajanja do tada nije postojala ta adresa napravi par (Izvorini prikljuak, MAC adresa). Nakon
toga provjeri postoji li odredina MAC adresa u tablici prospajanja te ako postoji, proslijedi okvir na
odgovarajui prikljuak. Ako MAC adresa odredita ne postoji u tablici, okvir proslijedi na sve prikljuke
osim na onaj s kojeg je doao (radi se razailjanje okvira). Prospojnik razailja okvire na sve svoje prikljuke
dok ne popuni tablicu prospajanja.
Postoje tri naina prospajanja okvira:

Pohrani i proslijedi (engl. store-and-forward) Najprije se svaki okvir uita u meuspremnik, a nakon toga
ga se alje na odredite. Prednost ovog naina je u ogranienju prijenosa neispravnih okvira. Nedostatak je
veliko kanjenje koje ovisi o duljini okvira
Rei i proslijedi (engl. cut-and-through) Prospojnik poinje prosljeivati okvir im utvrdi izlazni prikljuak.
Ovakav nain prospajanja je mogud samo za okvire koji idu prema prikljuku koji djeluje na istoj ili manjoj
brzini od izvorinog prikljuka. Prednost ovakvog naina prospajanja je manje kanjenje. Nedostatak je to se
moe proslijediti paket s grekom jer se bitovi za provjeru greke nalaze tek na kraju okvira
Slobodni fragment (engl. fragment-free) Pohranjuje okvir do prvih 64 okteta i izbjegava prenoenje okvira
manje duljine od doputene.

S obzirom na injenicu da prospojnik razdvaja domene kolizije, imamo situaciju da je svaki korisnik jedna
domena kolizije, to u praksi znai da kolizija nema. Time nismo utjecali na domene prostiranja. Domene
prostiranja razdvajamo koristei virtualne lokalne mree. O domenama kolizije i prostiranja e biti rijei u
poglavlju 2.3.1, a o virtualnim lokalnim mreama u poglavlju 2.4.
Arhitektura prospojnika prikazana je na slici 1-6.

Slika 1-6: Arhitektura prospojnika

1.4.2 Prospojnik

Prospojnik (engl. switch) je aktivni mreni ureaj koji radi na razini podatkovne veze OSI referentnog
modela. Njegova osnovna funkcija je prospajati okvire primljene na jednom prikljuku (engl. port) samo na
onaj prikljuak gdje se nalazi odredite okvira. Ovakvo filtriranje prometa prospojnik radi po MAC adresi
odredita iz zaglavlja okvira.
Da bi prospojnik mogao prospajati okvire mora izgraditi tablicu prospajanja. Tablica prospajanja (engl.
switching table) sadri parove (MAC adresa, broj prikljuka). Postupak izgradnje tablice prospajanja je
sljedei: Kada prospojnik primi okvir koji treba proslijediti, pogleda izvorinu MAC adresu okvira, ako u
tablici prospajanja do tada nije postojala ta adresa napravi par (Izvorini prikljuak, MAC adresa). Nakon
toga provjeri postoji li odredina MAC adresa u tablici prospajanja te ako postoji, proslijedi okvir na
odgovarajui prikljuak. Ako MAC adresa odredita ne postoji u tablici, okvir proslijedi na sve prikljuke
osim na onaj s kojeg je doao (radi se razailjanje okvira). Prospojnik razailja okvire na sve svoje prikljuke
dok ne popuni tablicu prospajanja.
Postoje tri naina prospajanja okvira:

Pohrani i proslijedi (engl. store-and-forward) Najprije se svaki okvir uita u meuspremnik, a nakon toga
ga se alje na odredite. Prednost ovog naina je u ogranienju prijenosa neispravnih okvira. Nedostatak je
veliko kanjenje koje ovisi o duljini okvira
Rei i proslijedi (engl. cut-and-through) Prospojnik poinje prosljeivati okvir im utvrdi izlazni prikljuak.
Ovakav nain prospajanja je mogud samo za okvire koji idu prema prikljuku koji djeluje na istoj ili manjoj
brzini od izvorinog prikljuka. Prednost ovakvog naina prospajanja je manje kanjenje. Nedostatak je to se
moe proslijediti paket s grekom jer se bitovi za provjeru greke nalaze tek na kraju okvira
Slobodni fragment (engl. fragment-free) Pohranjuje okvir do prvih 64 okteta i izbjegava prenoenje okvira
manje duljine od doputene.

S obzirom na injenicu da prospojnik razdvaja domene kolizije, imamo situaciju da je svaki korisnik jedna
domena kolizije, to u praksi znai da kolizija nema. Time nismo utjecali na domene prostiranja. Domene
prostiranja razdvajamo koristei virtualne lokalne mree. O domenama kolizije i prostiranja e biti rijei u
poglavlju 2.3.1, a o virtualnim lokalnim mreama u poglavlju 2.4.
Arhitektura prospojnika prikazana je na slici 1-6.

Slika 1-6: Arhitektura prospojnika

2 Razina pristupa mrei

Razina pristupa mrei obuhvaa funkcije fizike razine i razine podatkovne veze OSI referentnog modela.
Na ovoj razini od aktivne mrene opreme, prema slici 1-2, koristimo prospojnike. Za adresiranje na razini
pristupa mrei koristimo MAC adresu.
Bit e objanjeni prijenosni mediji, hijerarhijski model organizacije prospajanja i potrebni komunikacijski
protokoli.

2.1 Topologija mree

Mrena topologija je shematski prikaz vorova mree i veza meu njima. Postoje dvije vrste topologije
mree, to su:

Fizika topologija Pokazuje na koji su nain fiziki povezani vorovi mree (slika 2-1)
Logika topologija Govori o nainu na koji se prostire signal izmeu vorova mree (ova topologija se
nekada naziva i signalna topologija)

U dananjim LAN mreama koristi se fizika topologija stabla, a logika topologija sabirnice.

Slika 2-1: Fizike topologije mrea

Kod projektiranja raunalnih mrea moramo predvidjeti mogua proirenja mree, dizajnirati mreu tako da
manja promjena ili rjeavanje problema jednog korisnika ne utjee na cijeli sustav. Zbog toga se koristi
hijerarhijski model koji ima tri razine prospajanja prometa:

Razina jezgre mree

Distribucijska razina
Razina pristupa

Hijerarhijski model prospajanja ima strukturu prikazanu na slici 2-2.

Slika 2-2: Hijerarhijski model prospajanja

2.2 Prijenosni mediji

Postoje tri tipa prijenosnog medija koji se koriste u raunalnim mreama:

Vodii (iani medij)

Optika vlakna (niti)
Elektromagnetski spektar

Bit e govora o neoklopljenoj upredenoj parici (engl. Unshielded Twisted Pair UTP) kao ianom mediju,
jednomodnom i viemodnom optikom vlaknu te radio valovima, koji su dio elektromagnetskog spektra, a
koriste se kod beinih mrea.
2.2.1 Neoklopljena upredena parica (UTP)

Parice su poetno dizajnirane za prijenos govora, a preplitanjem vodia i koritenjem balansiranih

predajnika i prijemnika postignuta je znatna otpornost na smetnje. Zbog niske cijene, malog volumena i
visoke fleksibilnosti postale su zanimljive za prijenos podataka. Koriste se kod vertikalnog kabliranja. Za
projektiranje dananjih raunalnih mrea koriste se UTP kategorije 5e i kategorije 6.
CAT-5e (ISO Class D extended) je proirenje specifikacije CAT-5 parametrima potrebnim za prijenos
podataka po vie parica odjednom. Koristi se za prijenos podataka do 100 Mb/s. Karakteristike su
specificirane prema potrebama Ethernet 100Base-TX i 1000Base-T mrea.
CAT-6 (ISO Class E) Minimalna pojasna irina je 250 MHz. Teoretska brzina je 10Gb/s na kraim
udaljenostima. Maksimalna duljina segmenta kabliranja je 100m. Za povezivanje UTP kabela s utinicom i
aktivnom mrenom opremom koristi se 8-kontaktni modularni RJ-45 konektor. Specificiran je standardom
EIA/TIA 568. Raspored parica i vodia po kontaktima nije potpuno jednoznano odreen pa imamo dvije
varijante T568A i T568B. U oba sluaja potrebno je spojiti svih osam vodia. Raspored vodia prikazan je
na slici 2-3.

Slika 2-3: 568A i 568B standardi

Razlika izmeu T568A i T568B je u zamjeni parice 2 paricom 3. Prednost T568A specifikacije je to je
kompatibilna s ISDN standardom, a T568B to je kompatibilna s Ethernet 10Base-T standardom. U praksi
je, meutim, jedino vano svu instalaciju izvesti po jednom od ovih rasporeda.
2.2.1.1 Mjerenja na UTP vodovima

Mjerenja na UTP vodovima obavljaju se kod primopredaje instalacije i za vrijeme koritenja mree. Ova
mjerenja obuhvaaju kontrolu rasporeda, identifikaciju kabela, otkrivanje poloaja voda, otkrivanje duljine i
mjesta kvara te mjerenja elektrinih svojstava.
Kontrola rasporeda vodia je osnovno mjerenje koje otkriva greke nastale u tijeku povezivanja kabelskih
zavretaka na prespojne naprave ili prikljune umetke. Karakteristine greke su:

Otvoreni krug je situacija kod koje nema provodnog puta od kontakta konektora prespojne naprave do
kontakta konektora prikljunog umetka. Moe nastati zbog prekinutog vodia ili zbog loeg spoja kabelskog
zavretka.
Kratki spoj je situacija kod koje postoji vodljivost izmeu bilo koja dva vodia u kabelu. Nastaje zbog
otedenja izolacije na kabelskom zavretku ili zbog proboja u samom kabelu.
Ukrtene parice je situacija kod koje je neka parica umjesto na jedan par kontakata konektora spojena na
drugi par kontakata. Posljedino, neka druga parica je spojena na promatrani par kontakata konektora.
Nastaje pogrenim povezivanjem vodia.
Obrnuta parica je situacija kada su vodii jedne parice meusobno zamijenjeni na jednom kraju, ime se
naruava polaritet veze. Nastaje pogrenim povezivanjem vodia.
Okrenuta parica je situacija kada su vodii neke parice meusobno zamijenjeni na oba kraja. Ovim se ne
naruava funkcionalnost parice, a najede niti elektrine karakteristike. Nastaje pogrenim povezivanjem
vodia. Otkriva se samo vizualnim pregledom.
Razdvojene parice je situacija kod koje je jedan vodi neke parice povezan na kontakte konektora neke
druge parice. Posljedino, jedan vodi druge parice je povezan na kontakte prve parice. Ovim nije narueno
povezivanje s kraja na kraj voda, ali su poremedene elektrine karakteristike, prvenstveno presluavanje
(NEXT). Nastaje pogrenim povezivanjem vodia. Otkriva se mjerenjem elektrinih karakteristika.

Identifikacija kabela je osnovno mjerenje kojim se provjerava oznaka na oba kraja kabela. Potrebna je jer
se nekad privremene naljepnice, postavljene prije povlaenja kabela gube. Obavlja se koritenjem ureaja za
ispitivanje rasporeda, koji moe raspolagati s vie identifikacijskih modula (obino do 8). Identifikacijski

moduli postave se na prikljune kutije, a mjerenje se obavlja u razdjelniku kata istovremeno s kontrolom
rasporeda vodia.
Otkrivanje poloaja voda je pomono mjerenje, koje se obavlja za vrijeme koritenja mree. Ukoliko je
dolo do kvara na vodu, potrebno je otkriti kuda vod prolazi kroz zgradu. Na vod se prikljui generator
elektrinog signala frekvencije oko 2kHz, te se posebnim prijemnikom prati staza kojom prolazi kabel.
Mjerenje duljine voda je osnovno mjerenje kojim se provjerava duljina voda. Obavlja se vremenskim
reflektometrom (TDR, Time Domain Reflektometer). Ureaj koji alje kratki impuls na poetku voda i mjeri
sve refleksije tog impulsa. Otkrivaju se diskontinuiteti na vodu (diskontinuiteti na vodu su kabelski zavreci,
konektori, mjesta oteenja, nezakljueni kraj voda). Mjerenjem vremena do najkasnijeg reflektiranog
impulsa, uz poznatu brzinu prostiranja u kabelu, precizno se odreuje duljina kabela.
Otkrivanje mjesta kvara obavlja se takoer vremenskim reflektometrom (TDR). Mjerenjem vremena do
refleksije odreuje se udaljenost do svakog diskontinuiteta, pa je mogue otkriti mjesto kvara (npr. prekida
ili kratkog spoja uzdu voda). Nakon toga se, otkrivanjem poloaja voda, odredi poloaj kvara u zgradi.
Mjerenje elektrinih svojstava obavlja se na fiksnom dijelu instalacije i na itavom kanalu.
Fiksni dio instalacije (engl. basic link) protee se kod horizontalne mree od prespojne naprave razdjelnika
kata do prikljune kutije. Kod vertikalne mree fiksni dio se protee od prespojne naprave razdjelnika
zgrade do prespojne naprave razdjelnika kata. Standardima su definirane karakteristike koje mora zadovoljiti
fiksni dio.
Cjeloviti kanal (engl. channel) protee se od vornog aktivnog ureaja do korisnikovog raunala, ili od
jednog do drugog vornog aktivnog ureaja. Sastoji se od fiksnog dijela i prespojnih kabela, ukljuujui i
gubitke na kontaktima konektora. Za razliku od fiksnog dijela, cjeloviti kanal sadri i pokretne prespojne
kablove koji se uvijek mogu mijenjati duima, iskljuivati ili otetiti u korisnikovom radnom prostoru.
Nezahvalno je mjeriti karakteristike cjelovitog kanala, jer one kasnije mogu varirati. Sa druge strane, upravo
je mjerenje karakteristika cjelovitog kanala jedino mogue. Ovo mjerenje je jedino zanimljivo za korisnika,
kojega u krajnjem sluaju zanima funkcionalnost povezanih ureaja na mreu, a ne karakteristike
nepovezanih vodova u zidu. Standardima su specificirane karakteristike koje mora zadovoljiti cjeloviti
kanal.
2.2.2 Optika vlakna

Optiko vlakno ili svjetlovod (engl. optical fiber) je tanka staklena ili plastina nit sa svojstvom voenja
svjetla. Propusnost optikog vlakna je do 50 000 Gb/s. Vrlo mala je mogunost pogreke, na prijenos
optikim vlaknom ne djeluju smetnje elektrinih ureaja, optiko vlakno ne emitira smetnje u okolinu, tanko
je i lagano. Kod uporabe optikog vlakna potrebno je elektrini signal pretvoriti u svjetlosni, pustiti svjetlost
u vlakno paralelno s uzdunom osi, na suprotnoj strani potrebno je svjetlosni signal opet pretvoriti u
elektrini.
Pojasna irina optikih vlakana je otprilike 180 THz do 330 THz. Postoje dvije vrste optikih vlakana:
Jednomodno i viemodno optiko vlakno. (Slika 2-4)
Jednomodno optiko vlakno kroz jezgru proputa samo jednu zraku svjetlosti. Kao izvor svjetla koristi se
infracrveni laser, to znaajno poveava brzinu prijenosa podataka te udaljenost na koju se mogu prenijeti.
Viemodno optiko vlakno kao izvor svjetlosti koristi LED diodu, jeftinije je od jednomodnog vlakna. U
takvo vlakno ulazi vie zraka koji totalnom refleksijom putuju kroz vlakno. Postoji ogranieni broj optikih
puteva kojima zrake svjetlosti mogu putovati kroz vlakno. Ti optiki putovi se zovu "modovi" vlakna.
Po jedno vlakno se koristi za svaki smjer komunikacije. Jedan optiki kabel u sebi obino sadrava vie
optikih vlakana, obino 2 do 48.

Jedna od najveih prednosti optikog vlakna osim brzine prijenosa je i to da se radi o prijenosu signala kroz
nemetal. Time se otklanjaju problemi razlike potencijala izmeu predajnog i prijemnog kraja, struja
izjednaenja, napona induciranih atmosferskim elektricitetom itd.
Optika vlakna se obvezno koriste kod vertikalnog kabliranja, a u sluajevima kada je to opravdano koriste
se i pri izvoenju horizontalnih instalacija.

Slika 2-4: Jednomodno i viemodno optiko vlakno

2.2.3 Radio valovi

Danas kada je rairena uporaba prijenosnih raunala i drugih mobilnih ureaja koji podravaju TCP/IP skup
protokola od velike su vanosti i beine lokalne mree. Te mree za prijenos podataka koriste radio valove.
Uloga radio valova je prijenos energije do udaljenog primatelja. Koliina informacija koju elektromagnetski
val moe nositi ovisi o rasponu frekvencije (engl. frequency band). Trenutnom tehnologijom moe se
kodirati nekoliko bitova po Hz, za nie frekvencije, te uz neke uvjete ak 40 bitova za visoke frekvencije.
Moraju se potovati dravni i meunarodni dogovori o doputenim frekvencijama. Prednosti radio valova
su:

Lako se generiraju
Mogu prelaziti velike udaljenosti
Prodiru kroz zgrade
ire se u svim smjerovima od izvora

Svojstva radio valova ovise o njihovoj frekvenciji:

Niske frekvencije: Prolaze dobro kroz prepreke, ali slabe sa udaljenodu od izvora; koriste se za udaljenosti
od oko 1 000 km i imaju malu pojasnu irinu.
Visoke frekvencije: ire se u ravnim linijama i odbijaju se od prepreka; dostiu ionosferu i odbijaju se natrag
na Zemlju; koriste se za dulje udaljenosti.

Nedostatak radio valova je um i interferencija s ureajima u okolini.

2.3 Ethernet tehnologije (802.3)

Ethernet predstavlja skup tehnologija primjenjenih unutar lokalnih mrea. Na fizikoj razini ethernet
definira raspored oienja (poglavlje 2.2.1), te vrste i razine signala za prijenos podataka. Na razini
podatkovne veze ethernet definira nain pristupa mediju za prijenos podataka (MAC Media Access
Control) i definira zajedniki adresni format. Standardiziran je kroz IEEE 802.3 standard.
Ethernet je razvijen sredinom 70-tih od strane tvrtke Xerox. U poetku je imao brzinu prijenosa 3Mb/s i
koristio je 8-bitno adresiranje. Dananji standardi propisuju brzine od 1Gb/s i 48 bitno adresiranje (MAC
adresa). U poetku je kao standardni medij za prijenos podataka koriten koaksijalni kabel, koji se danas ne
koristi. Danas se standardno koristi UTP kabel. Pored UTP kabela kao medij u ethernetu se koristi jo i
optiko vlakno. Tablica 2-1 prikazuje svojstva ethernet tehnologija.
Tablica 2-1: Svojstva nekih ethernet tehnologija
Naziv

Najveda duljina segmenta

Najveda brzina
izmeu dva vora

Parica
10BaseT

100 m

10 Mb/s

100BaseT

100 m

100 Mb/s

1000BaseT

100 m

1 Gb/s

10GBaseT

55 m (Cat 6)

10 Gb/s

2 km

10 Mb/s

Optiko vlakno
10BaseF

100BaseFX multimode 2 km

100 Mb/s

100BaseFX single-mode 10 km

100 Mb/s

10GBaseLR single-mode 10 km

10 Gb/s

10GBaseER single-mode40 km

10 Gb/s

U poetku razvoja, ethernet je koristio CSMA/CD (Carrier Sense Multiple Access With Collision
Detection) protokol za utvrivanje redoslijeda pristupa dijeljenom mediju. Taj protokol omoguuje pristup
mediju za slanje podataka ako je medij slobodan (nitko drugi ne alje okvir). Ako dvije stanice alju
istovremeno, dogodi se kolizija i nakon nekog vremena ekanja podaci se ponovo alju (kad nitko drugi ne
alje).
Slanje podataka se odvija kroz slijedei algoritam (glavna procedura):
1. Okvir je spreman za slanje
2. Povjerava se je li medij slobodan; ako nije, eka se dok ne bude slobodan. Na vrijeme ekanja se jo doda
vrijeme koliko traje razmak izmeu dva ethernet okvira (960ns za 100 Mbit/s ethernet)
3. Okvir se alje
4. Provjera je li se dogodila kolizija; ako jest, ide se na proceduru detektirane kolizije
5. Ponitavaju se brojai retransmisije i zavrava se prijenos okvira.

Procedura detektirane kolizije:

1. Oba ureaja koji alju istovremeno nastavljaju slanje okvira dok se ne dostigne minimalno vrijeme okvira.
("jam signal" koji omoguduje da svi ureaji na tom mediju detektiraju koliziju)
2. Poveda se broja retransmisije
3. Provjerava se je li dosegnut maksimalan broj pokuaja slanja okvira; ako jest, prekida se pokuaj slanja
4. Na osnovu broja kolizija i nekog sluajnog broja rauna se interval ekanja
5. Ulazi se u glavnu proceduru, korak 1.

Kroz CSMA/CD protokol bila je mogua samo jednosmjerna (engl. half-duplex) komunikacija, to znai da
je samo jedna stanica mogla slati u jedinici vremena. Takve mrene topologije su bile izgraene oko
centralnog voda (engl. bus) ili oko centralnog ureaja zvjezdita (engl. hub) na kojeg su bili spojeni ostali
mreni ureaji tvorei fiziki oblik zvijezde.
Zvjezdite je ureaj koji pojaava signal i poveava domet, ali ujedno je jedna domena kolizije. Veliki broj
ureaja na jednom mrenom segmentu je dovodio do velikog broja kolizija i time smanjivao pozitivne
karakteristike mree.
Daljnjim razvojem tehnologije, pojavili su se, prvo premosnik, a kasnije i prospojnik. To su ureaji koji
odvajaju domene kolizije. Prospojnik je u osnovi premosnik s vie prikljuaka. U dananjim mreama svaki
korisnik je jedna domena kolizije s mogunou dvosmjerne komunikacije (engl. full-duplex).
Podaci koji alju ethernetom su pakirani u okvire. Format okvira je za veinu ethernet tehnologija isti pa je
mogua komunikacija izmeu etherneta razliitih brzina i tehnologija. Format ethernet okvira prikazan je na
slici 2-5.

Slika 2-5: Format ethernet okvira

Znaenja polja okvira su:

Pre (Preamble) Niz 7 okteta koji se sastoje od naizmjeninog ponavljanja 1 i 0 (101010...), to slui za
sinkronizaciju kod prijenosa okvira.
SFD (Start of Frame Delimetar) - Oznaava poetak okvira. Sastoji se od jednog okteta, koji je slian
prethodnim, ali zavrava sa dvije jedinice (10101011).
DA (Destination address) - MAC adresa prijemnika. Polje je dugo 6 okteta
SA (Source address) - MAC adresa predajnika. Polje je dugo 6 okteta
Length/Type - Polje koje sadri informacije o tipu okvira koji se alje ili podatke o duini polja podataka
(data) unutar okvira.
FCS (Frame Check Sequence) slui za provjeru ispravnosti primljenog okvira. Sastoji se od 4 okteta i nalazi se
na kraju okvira.

2.3.1 Domena kolizije i domena prostiranja

Spomenuto je da je zvjezdite jedna domena kolizije, a da prospojnik razdvaja domene kolizije. Sada e se
formalno definirati dva pojma vana u raunalnim mreama:

Domena kolizije (engl. collision domain)

Domena prostiranja (engl. broadcast domain)

Domena kolizije se definira kao CSMA/CD segment mree u kojem e se dogoditi kolizija ako dva vora
istovremeno alju okvir.
Domena prostiranja se definira kao logiki segment mree u kojem vorovi mogu komunicirati
razailjanjem. Usmjernici razdvajaju domene prostiranja. Navedeno je prikazano na slici 2-6.

Slika 2-6: Domena kolizije i prostiranja

2.3.2 MAC adresa

MAC adresa je adresa kodirana u ROM (Read Only Memory) svakog mrenog ureaja. Sastoji se od 48
bita i jedinstvena je za svaki ureaj. Sa 48 bita moemo adresirati 248 ureaja. IEEE predvia da se taj
adresni prostor nee potroiti do 2100. godine. Prva 24 najznaajnija bita se dodjeljuju proizvoau, tzv.
OUI (Organizationally Unique Identifier), a 24 najmanje znaajna bita su rezervirana za pojedinu mrenu
karticu proizvoaa. Za zapisivanje MAC adresa koristi se heksadecimalni brojevni sustav npr. 00-1A-4D5B-05-91. FF-FF-FF-FF-FF-FF je MAC adresa razailjanja, okvire koji imaju ovu adresu kao adresu
odredita primaju svi vorovi u toj domeni kolizije.
2.3.3 ARP protokol

ARP protokol (Address Resolution Protocol) prevodi IP adresu u MAC adresu. O IP adresama e biti rijei
u poglavlju 3.1.1. ARP tablica se koristi za spremanje parova MAC adresa i IP adresa i ona se periodiki
brie.
vor u mrei koji eli dobiti neku MAC adresu razailje (engl. broadcast) ARP zahtjev (engl. ARP request)
na mreu. vor u mrei koji ima adresu iz zahtjeva, u odgovoru alje svoju MAC adresu. Opisani proces je
prikazan na slici 2-7.

Slika 2-7: Rad ARP protokola

ARP protokol definira etiri tipa poruka, poruke se identificira uz pomo etiri vrijednosti koje moe imati
"Operation" polje ARP zaglavlja. Tipovi poruka su:
1.
2.
3.
4.

ARP request
ARP reply
RARP request
RARP reply

Vano je napomenuti da se i ARP odgovor razailje na mreu da bi i ostali vorovi u mrei "nauili" MAC
adresu iz odgovora, to je i prikazano na slici 2.7.

Format ARP poruke prikazan je na slici 2-8.

Slika 2-8: Format ARP poruke

2.4 Virtualna lokalna mrea (VLAN)

Virtualna lokalna mrea (engl. Virtual Local Area Network VLAN) je nain logike segmentacije
mree koja se moe dinamiki mijenjati i nije ovisna o fizikoj topologiji mree. VLAN predstavlja skupinu
raunala koji mogu biti u jednoj ili vie odvojenih mrea, a koje su konfigurirane na nain da im je
omoguena meusobna komunikacija kao da se nalaze u istoj fizikoj mrei. Povezivanje tih raunala
obavlja konfiguracijom prospojnika. Prikljuci na prospojniku se u odgovarajui VLAN smjetaju statiki.
Administrator mree mora za svaki prikljuak odrediti pripadnost odreenom VLAN-u. Time je omoguena
brza i jednostavna dodjela VLAN-a raunalu. Ako se korisnik preseli na drugi prikljuak, a eli imati isti
VLAN kao prije, tada se mora obaviti pridjeljivanje prikljuka u odgovarajui VLAN, tzv. "Port-to-VLAN"
dodjeljivanje. Ako postoji vie meusobno povezanih prospojnika i na njima je definirano nekoliko istih
VLAN-ova potrebno je omoguiti promet izmeu dva raunala koja se nalaze u istom VLAN-u, ali su
spojena na razliite prospojnike. Za to je potrebno koristiti VLAN Trunking Protocol (VTP). Ovaj
protokol omoguava prenoenje prometa svih VLAN-ova preko jednog suelja.
Vano je napomenuti da prikljuci prospojnika koji se nalaze u razliitim VLAN-ovima ne mogu
komunicirati izravno, ve im je za to potreban usmjernik. Suelje usmjernika (engl. interface) treba podijeliti
na onoliko podsuelja koliko postoji VLAN-ova. Svakom od tih virtualnih suelja se dodjeljuje IP adresa iz
raspona pojedinog VLAN-a, a to je ujedno adresa predefiniranog izlaza (engl. default gateway) za taj
VLAN. Osim adrese na podsuelju je potrebno definirati kojem VLAN-u pripada te koji "trunking" protokol
koristi.
Slika 2-9 prikazuje koncept virtualnih lokalnih mrea.

Slika 2-9: Dvije VLAN mree na prospojniku

2.5 Beina lokalna mrea (WLAN)

WLAN (Wireless Local Area Network) su definirane IEEE 802.11 skupom standarda. Neki od standarda su:
802.11, 802.11a, 802.11b, i 802.11g. Svi oni koriste ethernet protokol i CSMA/CA (Carrier Sense Multiple
Access with Collision Avoidance) umjesto CSMA/CD.

802.11 postie brzinu prijenosa od 1 ili 2 Mb/s u pojasnoj irini od 2.4 GHz koristedi FHSS (Frequency
Hopping Spread Spectrum) ili DSSS (Direct Sequence Spread Spectrum).
802.11a je proirenje 802.11 standarda, postie brzinu prijenosa do 54 Mb/s u pojasu od 5GHz. Koristi OFDM
(Orthogonal Frequency Division Multiplexing) kodiranje.
802.11b, brzina do 11 Mb/s u pojasu od 2.4 GHz. Koristi DSSS.
802.11g relativno kratke udaljenosti, brzine od 20 do 54 Mb/s u pojasu od 2.4 GHz, koristi OFDM kodiranje.

Slika 2-10 prikazuje format 802.11 MAC okvira:

Slika 2-10: Format 802.11 MAC okvira

Standard 802.11 definira dva naina djelovanja WLAN mrea:

Ad-hoc
Infrastrukturni

Ad hoc: Poznat i kao P2P (peer to peer), vie beinih stanica meusobno izravno komunicira bez koritenja
AP-a. (Domet stanica je ogranien do 100m)

Infrastrukturni: Sastoji se od barem jedne pristupne toke povezane s ianom mrenom infrastrukturom i
nizom beinih krajnjih stanica. Ovakva konfiguracija mrenih elemenata naziva se osnovna skupina (BSS)
i predstavlja osnovni element WLAN mrea. Dvije ili vie BSS grupa ine podmreu ili proirenu uslunu
grupu (ESS). Krajnje stanice u infrastrukturnom nainu rada ne komuniciraju izravno jedna s drugom, nego
preko jedne ili vie pristupnih toaka.

2.6 PPP protokol

PPP (Point-to-Point Protocol) protokol je definiran RFC-om 1661, a dopunjen RFC-om 1662 i RFC-om
1663. Ovaj protokol osigurava formiranje okvira i detekciju pogreki. PPP koristi LCP (Link Control
Protocol) koji osigurava uspostavu, testiranje i prekid veze, kao i "pregovaranje" sa suprotnom stranom. Za
svaku razliitu mrenu razinu koristi odgovarajui NCP (Network Control Protocol). Na taj nain je
podrano "pregovaranje" s mrenom razinom neovisno o protokolima koji se koriste. PPP je dizajniran da
omogui simultanu uporabu "multiple network layer protocols".
Da bi se mogla uspostaviti komunikacija PPP protokolom svaki kraj PPP veze prvo mora poslati LCP pakete
da bi se uspostavila i provjerila veza. Nakon toga PPP mora poslati NCP pakete da bi izabrao jedan ili vie
mrenih protokola.
Tek kada se uspostavi komunikacija sa svim izabranim mrenim protokolima moe se iz svakog protokola
mrene razine poslati datagram na vezu. Veza e ostati uspostavljena sve dok ju ne prekinu LCP ili NCP
paketi ili dok se ne pojavi neki vanjski utjecaj. PPP je znakovno orijentiran protokol.
Slika 2-11 prikazuje rad PPP protokola.

Slika 2-11: Rad PPP protokola

Format PPP okvira prikazan je na slici 2-12.

Slika 2-12: Format PPP okvira

Zastavica (engl. flag) je sekvenca 01111110. Adresno polje postavljeno je na 11111111, to znai da sve
stanice mogu primiti okvir. Kontrolno polje postavljeno je na 00000011 i u tom sluaju se radi o
nenumeriranom okviru. PPP u pravilu ne koristi pouzdani prijenos sa potvrdom. U polje Protocol oznaava
se vrsta paketa u polju sa podacima. Definirani su kodovi za LCP, NCP, IP, IPX i ostale protokole. Polje sa
podacima moe biti proizvoljne duljine, maksimalna duljina se dogovara LCP protokolom tijekom
uspostavljanja veze. Ako duljina nije dogovorena pri uspostavljanju veze koristi se 1500 okteta. FCS je polje
za provjeru.

3 Internet razina
Internet razina TCP/IP komunikacijske arhitekture je odgovorna za komunikaciju izmeu razliitih mrea i u
odnosu na OSI referentni model obuhvaa funkcije mrene razine. PDU internet razine je paket, a
adresiranje se vri IP adresom.

3.1 Internet protokol (verzija 4)

IP (Internet Protocol - RFC 791) je temeljni protokol internet razine TCP/IP arhitekture, a koriste ga
protokoli svih viih razina. To je bespojni protokol, to znai da se predajnik i prijemnik ne dogovaraju o
poetku ili zavretku prijenosa podataka, nego predajnik poalje paket i nema potvrde primitka paketa.
Protokoli viih razina provjeravaju konzistentnost podataka. Ti protokoli obavljaju detekciju i korekciju
pogreki. Zbog toga se IP protokol esto naziva "nepouzdani protokol".
Osnovne funkcije IP protokola su:

Definiranje sheme adresiranja na internetu

Definiranje IP paketa
Prosljeivanje podataka izmeu razine pristupa mrei i prijenosne razine
Fragmentacija i sastavljanje paketa

Temeljna funkcija internet razine je usmjeravanje paketa do odredita na osnovu IP adrese prijemnika
paketa. Paketi ne moraju istim putem doi do odredita. Format IP paketa prikazan je na slici 3-1.

Slika 3-1: Format IP paketa

Znaenja polja IP paketa su:

Version - Verzija IP protokola, odreuje format zaglavlja.

Internet Header Length (IHL) - Duljina IP zaglavlja u 32-bitnim rijeima, omogudava odreivanje poetka
podataka; minimalna duljina ispravnog zaglavlja je 5.
Type of Service - Tip usluge, omogudava usmjernicima razliit tretman pojedinih paketa u cilju postizanja
zadovoljavajude kvalitete usluge (QoS), a s obzirom na doputeno kanjenje, koliinu prometa i zahtijevanu
pouzdanost.
Total Length - Ukupna duljina IP paketa u oktetima, ukljuujudi IP zaglavlje i podatke; najveda duljina paketa
je 65 535 okteta (s obzirom na 16-bitno polje TL)
Identification - Identifikator paketa, vaan je pri povezivanju svih fragmenata u paket.
Flags - Kontrolne zastavice, definiraju je li fragmentacija doputena i ako jest, ima li jo fragmenata istog
paketa.
Fragment Offset - Definira mjesto fragmenta u originalnom paketu, mjereno u jedinicama od 8 okteta (64
bita); odstupanje prvog fragmenta je nula.

Time to Live (TTL) - Maksimalno vrijeme ivota paketa u mrei, nakon ega se neisporueni paket odbacuje;
mjeri se u sekundama, vor koji obrauje paket umanjuje vrijednost za najmanje 1, a ako je vrijednost nula
paket se odbacuje.
Protocol - Oznaava protokol vie razine kojem se podaci prosljeuju.
Header Checksum - Kontrolni zbroj zaglavlja; ponovno se obraunava i provjerava pri svakoj promjeni
podataka u zaglavlju.
Source Address - IP adresa predajnika paketa.
Destination Address - IP adresa prijemnika paketa.
Options - Varijabilne duljine, opcionalno; sadri kontrolne informacije o usmjeravanju, sigurnosne parametre
itd.
Padding - Varijabilne duljine, dopuna polja opcija do 32 bita; popunjava se nulama.

3.1.1 IP adresa

IP adresa se koristi za adresiranje na internet razini TCP/IP arhitekture, To je jedinstvena adresa svakog
ureaja spojenog na mreu, preciznije reeno svakog mrenog suelja na mrei. Treba napomenuti da e
ureaji koji imaju vie suelja prema mrei, tj. vie mrenih kartica, imati jednu IP adresu za svako suelje.
IP adresa, kod IPv4 protokola je veliine 32 bita tj. etiri okteta i sastoji se od dva dijela:

Adrese mree (engl. network adress) - Identificira podmreu

Adrese raunala (engl. host address) - Identificira raunalo unutar podmree.

Zapisuje se kao etiri broja u decimalnom obliku meusobno odvojena tokama:

N.N.N.N
gdje je svaki broj N decimalni broj veliine jednog okteta kada se zapie binarno i moe imati decimalnu
vrijednosti u granicama od 0 do 255. Znaenje svakog broja i svakog bita unutar binarnog broja ovisi o klasi
mree. Prvi broj uvijek pripada adresi mree. Najznaajniji bitovi prvog broja odreuju mrenu klasu IP
adrese, a time je odreeno i koji dio cijele IP adrese ini adresu mree, a koji adresu raunala. Adrese
raunala dodjeljuju se lokalno, a dodjeljuje ih administrator mree.
Primjer IP adrese u decimalnom obliku:
192.168.1.30
u binarnom obliku adresa izgleda ovako:
11000000 10101000 00000001 00011110
Ovo je privatna IP adresa klase C, njena adresa mree je 192.168.1, a adresa raunala je .30, uz mrenu
masku 255.255.255.0.
IP adrese su grupirane u pet mrenih klasa A, B, C, D i E kao to je prikazano na slici 3-2.

Slika 3-2: Klase IP adresa

Vano je rei da adrese svih mrenih klasa sa svim bitovima adrese raunala u nuli oznaavaju samu mreu;
npr. adresa 161.53.0.0 je adresa mree 161.53 klase B, a adrese sa svim bitovima adrese raunala u jedinici
su adrese razailjanja (engl. broadcast) za pojedinu mreu. Paket upuen na adresu razailjanja isporuuje se
svim raunalima na toj mrei. Npr. paket poslan na 161.53.255.255 bit e dostavljen svim raunalima u
mrei 161.53.0.0. Zbog toga se broj raspoloivih adresa za raunala u pojedinoj mrei rauna po formuli:
R = 2n - 2
gdje je:
R
Broj
raunala
n - Broj bitova koji se koristi za adresu raunala.

koje

moemo

adresirati,

Da bi smanjili domene prostiranja segmentiramo mreu na internet razini tako da radimo podmreavanje
koje e biti razmatrano u poglavlju 3.1.2.

Osim javnih adresa koje su vidljive na internetu postoje i privatne IP adrese koje se koriste za
komunikaciju unutar jednog autonomnog sustava i nisu vidljive na internetu. Primjenom privatnih IP adresa
unutarnja mrea moe biti vidljiva na internetu samo preko jedne javne IP adrese, ime se poveava
sigurnost mree i smanjuje potronja javnih IP adresa. Takoer, organizacija moe platiti ISP-u samo jednu
javnu adresu, a unutar svog autonomnog sustava imati proizvoljno veliku mreu. Usmjernici na internetu
odbacuju sve pakete s privatnim IP adresama.
Opseg privatnih IP adresa prema RFC 1918 je:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

3.1.2 Podmreavanje

Svaka IP adresa pripada jednoj od klasa adresa. Meutim, primjenom mrenih maski (engl. network mask ili
netmask) omogueno je formiranje podklasa i podmrea unutar jedne dodijeljene mrene klase. Time se
poveava broj mrea na raun broja raunala u svakoj pojedinoj mrei. Taj postupak se naziva
podmreavanje (engl. subnetting). Obratni postupak kada se na raun broja mrea poveava broj raunala
naziva se nadmreavanje (engl. supernetting).
Kod podmreavanja "posuujemo" bitove adrese raunala za adrese mree, a kod nadmreavanja
"posuujemo" bitove adrese mree za adrese raunala.
Mrena maska je 32-bitni binarni broj koji kae koje bitove IP adrese treba promatrati kao bitove adrese
mree. Ako je bit mrene maske u stanju logike jedinice smatra se da taj bit IP adrese pripada adresi mree,
svi ostali bitovi koji su u stanju logike nule definiraju adresu raunala.
Svaka klasa adresa ima pripadnu mrenu masku:

Klasa A: 255.0.0.0
Klasa B: 255.255.0.0
Klasa C: 255.255.255.0

injenica da adresa iz ve spomenutog primjera 192.168.1.30 ima mrenu masku 255.255.255.0 moe se
zapisati i kao 192.168.1.30 / 24, to znai da prvih 24 bita te adrese pripada adresi mree. Dakle granice
klasa su /8, /16 i /24, no da bi se mrea optimalno adresirala koristi se adresiranje s varijabilnom mrenom
maskom (engl. Variable Length Subnet Mask), to znai da ne moramo koristiti mrene maske na granici
klase. Takva adresna shema smanjuje nepotrebnu potronju adresa, olakava odravanje mree, poveava
sigurnost i smanjuje veliinu tablica usmjeravanja usmjernika. Nadalje e biti razmatrano podmreavanje
koje koristi VLSM.
Primjer 3.1: Od strane davatelja internet usluga dobivena je IP adresa klase C 181.60.30.0. eli se napraviti
podmreavanje tako da se dobije est podmrea. U binarnom brojevnom sustavu broj est zapisujemo s tri
bita, to znai da e tri najznaajnija bita adrese raunala biti uporabljena za adrese podmrea, to je
prikazano na slici 3-3. Zajedniki dio adresa podmrea je radi jednostavnosti zapisan dekadski, a zadnji
oktet adresa je zapisan binarno, radi boljeg razumijevanja problema.

Slika 3-3: Podmreavanje

Tablica 3-1 prikazuje adrese svih podmrea, raspoloive adrese za vorove mree te adrese razailjanja svih
podmrea.

Tablica 3-1: Rezultati podmreavanja iz primjera

PodmreaAdresa podmreeRaspon korisnih adresa

Adresa razailjanja

181.60.30.0

181.60.30.1 - 181.60.30.30

181.60.30.31

181.60.30.32

181.60.30.33 - 181.60.30.62

181.60.30.63

181.60.30.64

181.60.30.65 - 181.60.30.94

181.60.30.95

181.60.30.96

181.60.30.97 - 181.60.30.126 181.60.30.127

181.60.30.128

181.60.30.129 - 181.60.30.158181.60.30.159

181.60.30.160

181.60.30.161 - 181.60.30.190181.60.30.191

181.60.30.192

181.60.30.193 - 181.60.30.222181.60.30.223

181.60.30.224

181.60.30.225 - 181.60.30.254181.60.30.255

Mrena maska svih podmrea: 255.255.255.224

U primjeru je traeno est podmrea, ali s obzirom da je posueno tri bita imamo ih osam. Dvije posljednje
podmree su poeljna redundancija zbog mogueg proirenja mree.
Mrena maska 255.255.255.224(10) zapisana u binarnom obliku je:
11111111 11111111 11111111 11100000 (2)
Kada primijenimo logiku "I" operaciju izmeu, adrese nekog raunala i njegove mrene maske dobijemo
adresu podmree kojoj pripada to raunalo.
Uzmimo raunalo iz este podmree ija adresa je 181.60.30.175 (10), ova adresa zapisana binarno je:
10110101 00111100 00011110 10101111 (2)
Ovo raunalo ima ve spomenutu mrenu masku 255.255.255.224 (10), kada napravimo:
10110101001111000001111010101111
&
11111111111111111111111111100000
------------------------------------------------------10110101001111000001111010100000

to je upravo adresa este podmree 181.60.30.160 (10)

3.2 Usmjeravanje
Cilj usmjeravanja (engl. routing) prometa u mrei je osigurati dostupnost toka podataka od izvorita do
odredita i pri tome optimalno iskoristiti mreu te osigurati zadovoljavajuu kvalitetu usluge. Tu funkciju
ostvaruju usmjernici (engl. router). Usmjernici za usmjeravanje koriste usmjerivake protokole.
Usmjerivaki protokoli omoguuju mrei dinamiko prilagoavanje uvjetima. Odluke o usmjeravanju ne
moraju biti unaprijed odreene i nepromjenjive.
Postoje dvije osnovne vrste usmjerivakih protokola, a dijele se prema nainu izraunavanja optimalnog
puta na:

Protokole vektora udaljenosti (engl. distance-vector)

Protokole stanja veze (engl. link-state)

Protokoli vektora udaljenosti odreuju najbolji put na osnovu informacije koliko je udaljeno odredite
paketa. Udaljenost moe biti broj usmjernika do odredita, a moe biti i kombinacija nekih vrijednosti koje
e definirati tu udaljenost. Susjednim usmjernicima se alje cijela tablica usmjeravanja. Ovi protokoli su
jednostavni i uinkoviti u malim mreama te su laki za konfiguriranje. Najpoznatiji protokol vektora
udaljenosti je RIP (Routing Information Protocol) i bit e razmatran u poglavlju 3.2.1. Za velike mree
protokoli vektora udaljenosti imaju loa konvergencijska svojstva pa su zato razvijeni usmjerivaki protokoli
s boljim svojstvima, a to su protokoli stanja veze.
Protokoli stanja veze rade na nain da svaki usmjernik zna topologiju mree i ne alje se cijela tablica
usmjeravanja, nego se svim usmjernicima u mrei alje samo informacija o stanju veze u obliku malih LSA
(Link State Advertisement) paketa. Na osnovu dobivenih informacija usmjernici ponovo izraunaju puteve.
Ova metoda je pouzdanija, troi manje pojasne irine mree i jednostavnije je otkloniti nastalu pogreku,
nego u sluaju protokola vektora udaljenosti. Negativne strane ovakvog pristupa su to se koristi
kompleksniji algoritam to znai vee optereenje procesora usmjernika i vea potronja memorije. U
poglavlju 3.2.2 e biti razmatran OSPF kao predstavnik protokola stanja veze.
Usmjerivaki protokoli se takoer dijele na:

Unutarnje
Vanjske

Unutarnji se koriste za usmjeravanje prometa unutar autonomnog sustava, a vanjski se koriste za

usmjeravanje prometa izmeu autonomnih sustava. Autonomni sustav (AS) se najee poklapa s
administrativnim granicama mree.
Primjeri unutarnjih usmjerivakih protokola su ve spomenuti RIP i OSPF, a moemo spomenuti i IS-IS.
Primjer vanjskog protokola usmjeravanja je BGP.
3.2.1 RIP protokol

RIP (Routing Information Protocol) je najstariji usmjerivaki protokol koji se primjenjuje na internetu.
Formalno je definiran RFC-om 1058 i RFC-om 2453 (RIP verzija 2). Razvijen je za lokalne mree, poeo se
isporuivati s BSD inaicom UNIX operacijskog sustava, 80-ih godina i zasniva se na razailjanju (engl.
broadcast).
RIP alje nove usmjerivake poruke u pravilnim intervalima ili kada se promjeni topologija mree. Kada
usmjernik dobije usmjerivaku poruku koja ukljuuje promjene, nadograuje tablicu usmjeravanja da bi
prikazao novi put. Vrijednost metrike za put se uveava za 1 i poiljatelj se smatra sljedeim korakom.

Kod RIP protokola usmjernici uvaju samo najbolji put, tj. put sa najmanjom vrijednou metrike, prema
odreditu, tj. ako nova informacija nudi bolji put ona zamjenjuje staru. Nakon nadogradnje tablice
usmjeravanja, usmjernik informira susjedne usmjernike o promjeni.
RIP kao metriku koristi broj skokova tj. odabire smjer s najmanjim brojem skokova kao najbolji. Broj
skokova je broj usmjernika koji paket treba proi na putu do odredita. Svaki skok na putu od izvorita do
odredita vrijedi 1, ako nije drugaije definirano. Kada usmjernik dobije usmjerivaku poruku koja sadri
novo ili promijenjeno odredino mreno suelje dodaje 1 vrijednosti metrike naznaenoj u usmjerivakoj
poruci i unosi mreu u tablicu usmjeravanja. Unutar RIP tablice usmjeravanja najdulji put moe biti 15
skokova. Ako je broj skokova vei od 15 smatra se da je odredite nedohvatljivo.
Kada usmjernik detektira prekid jedne od svojih veza korigira svoju tablicu usmjeravanja tako da postavi
broj koraka za taj smjer na 16 i susjednim usmjernicima alje svoju tablicu usmjeravanja. Svaki usmjernik
koji primi ovu poruku korigira vlastitu tablicu usmjeravanja i alje ju dalje. Promjena se tako propagira
mreom.
RIP ima i mnogo drugih stabilnosnih dodataka koji su zajedniki za mnoge usmjerivake protokole. Ove
mogunosti osiguravaju stabilnost zbog potencijalno brzih promjena u topologiji mree. Neke od tih
mogunosti su:

Podjela obzorja (engl. Split Horizons) - Proizlazi iz injenice da nije korisno slati informaciju o smjerovima u
onom smjeru iz koje smo ju primili. Ovim se sprjeava stvaranje usmjerivakih petlji izmeu dva usmjernika.
Zadravanje promjene izbrisanih smjerova (engl. Hold-Downs) - Auriranje smjerova koji su prekinuti ne
dolazi istovremeno na svaki usmjernik pa se moe dogoditi da usmjernik koji jo nije obavijeten o prekidu
veze alje redovite poruke u kojima navodi da je smjer jo ispravan. Usmjernik koji je ved obavijeten o
prekidu smjera i koji primi takvu poruku, nede odmah takav smjer staviti u svoju tablicu usmjeravanja, ved de
odreeno vrijeme zadravati promjenu.
Auriranje prekinutih smjerova (engl. Poison Reverse Updates) - Namijenjeno je nalaenju i sprjeavanju
usmjerivakih petlji izmeu tri ili vie usmjernika, a temelji se na tome da povedanje broja koraka za pojedini
smjer obino ukazuje na pojavu usmjerivake petlje. Stoga se pri uoavanju ovakvih smjerova alju "poison
reverse update" poruke koje briu takve smjerove iz tablica usmjeravanja.

Routing-Update Timer broji interval izmeu periodikih nadopuna. Ako nije drugaije definirano
postavljen je na 30s. RIP svakih 30 sekundi alje tablicu usmjeravanja svojim susjedima. Ukoliko nakon 180
sekundi nije dobio potvrdu smjera u tablici, smjer se proglaava neispravnim tj. postavlja se broj skokova na
vee od 15, a ukoliko u daljnjih 120 sekundi ne dobije potvrdu smjera smjer se brie iz tablice usmjeravanja.
Ako usmjernik detektira prekid veze, on nakon to aurira vlastitu tablicu, odmah alje svoju tablicu
susjednim usmjernicima ne ekajui istek 30 sekundi.
Format RIP verzije 2 paketa prikazan je na slici 3-4.

Slika 3-4: Format paketa RIPv2

RIPv2 paket se sastoji od sljedeih polja:

Command - Moe biti zahtjev (engl. request) usmjerniku da poalje cijelu ili dio tablice usmjeravanja ili moe
biti odgovor (engl. response). Odgovor se alje ili na eksplicitni zahtjev ili kao usmjerivaka poruka nadopune.
Version - Specificira verziju RIP-a koja se koristi.
Unused Neiskoriteno polje, ima vrijednost 0.
Address family identifier Specificira koji tip adrese se koristi zbog toga to RIPv2 moe prenositi
usmjerivake informacije za nekoliko protokola. Vrijednost za IP protokol je 2.
Route tag - Osigurava metodu za prepoznavanje meu internim putevima (informacija RIP-a) i eksternim
putevima (informacija drugih protokola usmjeravanja).
IP address Specificira IP adresu odredita.
Subnet mask - Sadri mrenu masku IP adrese. Ako je polje nula, nije odreena mrena maska.
Next hop - Sadri IP adresu sljededeg skoka (usmjernika).
Metric - Pokazuje koliko skokova (usmjernika) je prijeeno na putu prema odreditu. Vrijednost je izmeu 1 i
15 za valjan put, a veda je od 15 za nedohvatljiv put.

3.2.2 OSPF protokol

OSPF (Open Shortest Path First) usmjerivaki protokol je otvoren, to znai da su njegove specifikacije
javne. Definiran je RFC-om 2328 (OSPFv2). Koristi Dijkstra SPF algoritam za pronalaenje najkraeg puta.
OSPF je protokol stanja veze koji zahtjeva slanje obavijesti o stanju veze (LSA-s) ostalim usmjernicima
unutar istog hijerarhijskog prostora. Metrika OSPF-a rauna se po formuli:

Iz formule je razvidno da je cijena puta obrnuto proporcionalna pojasnoj irini neke veze. Dakle, veza 56
kb/s ima veu cijenu, nego veza 100 Mb/s, a paket e biti usmjeren na put s manjom cijenom.
OSPF radi hijerarhijski. Najvea jedinica hijerarhije je autonomni sustav. Iako je OSPF unutarnji
usmjerivaki protokol, sposoban je komunicirati s drugim autonomnim sustavima. Autonomni sustavi su
podijeljeni u podruja (engl. area), a usmjernici mogu biti lanovi vie podruja.
Granini usmjernici (engl. Area Border Routers) odravaju topoloku bazu za svako podruje. Topoloka
baza sadri skup LSA-ova svih usmjernika u istom podruju. Ako su usmjernici unutar istog podruja onda
imaju jednake topoloke baze. Topologija podruja je nevidljiva entitetima izvan tog podruja. Razdvajanje
podruja stvara dva razliita tipa OSPF usmjeravanja, ovisno o tome jesu li izvorite i odredite u istim ili
razliitim podrujima. Intraprostorno usmjeravanje se javlja kada su izvorite i odredite u istom
podruju, a interprostorno usmjeravanje kada su u razliitim podrujima. Podruje okosnice (engl.
Backbone Area) OSPF-a je odgovorno za distribuiranje usmjerivakih informacija izmeu podruja tj. sav
promet koji povezuje neka druga podruja prolazi preko njega. Sva podruja moraju biti povezana na
podruje okosnice i svaki usmjernik unutar podruja okosnice zna topologiju cijele mree.
Ako postoji vei broj usmjernika u nekom podruju mora se pronai nain kako optimalno razmijeniti
podatke izmeu njih. Kada bi svaki usmjernik slao podatke svim ostalima to bi stvorilo velik broj
meusobnih veza i velik, nepotreban, promet. To se rjeava proglaenjem glavnog usmjernika (engl.
Designated Router - DR) i pomonog glavnog usmjernika (engl. Backup Designated Router - BDR) za
svako OSPF podruje mree. Svaki usmjernik na tom podruju uspostavlja vezu samo prema DR-u i BDRu, a oni preplavljuju (engl. flooding) mreu podacima i alju informacije svim ostalim usmjernicima.
DR i BDR se tijekom razmjena "Hello" poruka automatski proglaavaju ovisno o prioritetu svih usmjernika
u mrei. Administrator moe mijenjati prioritet, a kao DR i BDR uzimaju se oni usmjernici s boljim
sklopovljem.

Format OSPF paketa je prikazan na slici 3-5.

Slika 3-5: Format OSPF paketa

Znaenja polja su:

Version number Verzija OSPF protokola koja se koristi.

Packet
type

Tip
OSPF
paketa.
Valjani
paketi
su:
1.
"Hello"
paketi
2.
Paketi
za
opis
baze
(engl.
Database
Description)
3.
Paketi
za
zahtjev
stanja
veze
(engl.
Link
State
Request)
4.
Paketi
za
osvjeavanje
stanja
veze
(engl.
Link
State
Update)
5. Paketi za potvrdu stanja veze (engl. Link State Acknowledgment)
Packet length Duljina paketa u oktetima.
Router ID Identifikator usmjernika koji je izvorite paketa.
Area ID Identifikator podruja kojemu paket pripada.
Checksum - Kontrolni zbroj zaglavlja, ne ukljuuje 64-bitno autentikacijsko polje.
AuType Autentikacijska shema koja se koristi.
Authentication - 64-bitno autentikacijsko polje.

OSPF je dobar za srednje i velike mree, minimalno optereuje mreu, omoguava praktiki neogranien
rast mree, ali ima i nedostataka, neki od njih su:

OSPF je sloeni protokol koji zahtjeva strukturiranu mrenu topologiju. Neorganiziranost mree, bez dobre IP
adresne sheme, agregacije puteva, veliine baze ili performansi usmjernika rezultirat de kaosom u mrei.
Potrebno je struno osoblje koje de brinuti o izgradnji i odravanju mree.
OSPF odrava bazu koja treba dosta prostora u memoriji usmjernika, a ni procesorski zahtjevi nisu
zanemarivi. Smanjivanje OSPF podruja kako bi se ti zahtjevi smanjili nije uvijek jednostavno.
Protokol zahtijeva hijerarhijsku organizaciju mree pa de migracija s nekog drugog usmjerivakog protokola
na OSPF traiti vrlo kvalitetno planiranje i reorganizaciju.

3.3 ICMP protokol

ICMP (Internet Control Message Protocol) je protokol internet razine i sastavni dio IP protokola. Definiran
je RFC-om 792. Osnovna namjena ICMP protokola je osigurati kontrolu prijenosa podataka do odredita.
Ovaj protokol ne osigurava pouzdani prijenos podataka, to treba osigurati protokol vie razine. Poruke se
alju samo kao odgovor na poslane IP pakete, na poslane ICMP pakete odgovor se ne alje. U sluaju
gubitka ICMP poruke, ne generira se nova ICMP poruka o nastaloj pogreci.
ICMP poruke se alju koristei osnovno IP zaglavlje. Prvi oktet polja podataka IP paketa definira tip ICMP
poruke, ime je odreen format ostatka paketa. Vrijednost polja "Protocol" za ICMP poruku je 1. Svaka
ICMP poruka sadri i IP zaglavlje poruke o ijem gubitku izvjeuje te prvih 64 bita podataka originalnog
paketa.
Format ICMP paketa je prikazan na slici 3-6.

Slika 3-6: Format ICMP paketa

Znaenja polja su:

Type Tip ICMP poruke (poruke i njihova znaenja su navedeni u nastavku).

Code Za svaki tip poruke definirani su odreeni kodovi
Checksum Kontrolni zbroj paketa
Identifier Identifikator paketa
Sequence number Broj sekvence
Address mask 32-bitna maska

ICMP generira osam razliitih tipova poruka, od kojih tri zahtijevaju odgovor. Te poruke su:

Odredite nedostupno (engl. Destination Unreachable) - alje se kad nije mogude uspostaviti vezu ili pronadi
put do odredinog raunala, kao i u sluaju kad odredino raunalo ne moe prepoznati koja se usluga od
njega potrauje, tj. ne prepoznaje prikljunu toku usluge (engl. port). Ako je nedostupna mrea ili raunalo,
poruku alje usmjernik, a ako nije prepoznata prikljuna toka onda ju alje odredino raunalo.
Istek vremena (engl. Time Exceeded) - alje se kad je paket odbaen jer je polje "TTL" postalo jednako nuli.
Koristi se za odreivanje puta kroz mreu.
Problem s parametrima (engl. Parametar Problem) - Poruku generiraju usmjernik ili odredino raunalo kad
paket treba biti odbaen jer zbog problema s parametrima u zaglavlju ne mogu zavriti obradu paketa.
Blokiranje izvorita (engl. Source Quench) - Generira se kad paketi stiu bre nego to ih odredite moe
obraditi pa usmjernik ili odredino raunalo alju izvoritu ICMP poruku za privremeni prekid slanja paketa.
Preusmjeravanje (engl. Redirection) - ICMP poruka koju alje usmjernik kad u svojoj tablici usmjeravanja
nae bolji put do odredita. Drugi usmjernik mora se nalaziti u istoj mrei.
Eho zahtjev / eho odgovor (engl. Echo Request / Echo Reply) - Par poruka kojima se saznaje je li odredite
aktivno. Adrese izvorita i odredita zahtjeva zamjene mjesta u odgovoru. Ove poruke koristi naredba ping.
Vrijeme / odgovor o vremenu (Timestamp / Timestamp Reply) - alju se kad je potrebno saznati za koje
vrijeme se poruka preko odredita vrati do izvorita (RTT - Round Trip Time).
Zahtjev za informacijom / odgovor na zahtjev za informacijom (engl. Information Request / Information
Reply) - Koriste se za doznavanje adrese vlastite mree.

3.4 DHCP protokol

DHCP (Dynamic Host Configuration Protocol) je protokol za dinamiku dodjelu IP adresa raunalima.
Definiran je RFC-om 2131. Radi na principu klijent-posluitelj (engl. client-server) sustava. Jednostavniji je
za odravanje ako mrea ima mnogo raunala ili ako se raunala povremeno spajaju na mreu. Veina
dananjih operacijskih sustava podrava DHCP posluitelj.
Klijenti alju upit posluitelju, koji im osim IP adrese moe dodijeliti mrenu masku, adresu predefiniranog
izlaza, adresu WINS posluitelja, domenu i adresu DNS posluitelja. Postoje tri naina dodjele IP adresa:

Automatska dodjela - DHCP posluitelj trajno dodjeljuje IP adresu klijentu

Runa dodjela - Adresa se dodjeljuje od strane administratora mree
Dinamika dodjela - DHCP dodjeljuje, odnosno iznajmljuje, IP adresu klijentu na odreeni vremenski period.

Adrese se dodjeljuju iz odreenog raspona adresa. Postupak dodjele adrese prolazi kroz nekoliko faza.
Klijent mora imati instaliranu DHCP podrku da bi pri spajanju na mreu mogao poslati zahtjev za dodjelu
IP adrese.

Zahtjev se alje razailjanjem kao DHCPDISCOVER paket. Kad posluitelj primi zahtjev pogleda u svoju
bazu moe li pruiti uslugu te ako moe alje "unicast" odgovor kao DHCPOFFER. Paket DHCPOFFER
moe sadravati i sve ostale postavke koje posluitelj moe dodijeliti. Ukoliko klijent ponudu smatra
prihvatljivom alje "broadcast" DHCPREQUEST traei da mu se dodijeli ba ta adresa. Ovaj zahtjev se
razailje jer na mrei moe postojati vie DHCP posluitelja pa tako svi ostali znaju ija je ponuda
prihvaena. Posluitelj odgovara "unicast" paketom DHCPACK. Ukoliko je klijent primijetio da je
ponuena adresa ve u uporabi, alje DHCPDECLINE poruku i postupak kree ispoetka. Postupak kree
ispoetka i u sluaju kada posluitelj poalje DHCPNACK. Ukoliko nakon nekog vremena klijent vie ne
treba dodijeljenu adresu alje poruku DHCPRELEASE. Proces je prikazan na slici 3-7.

Slika 3-7: Rad DHCP protokola

4 Prijenosna razina
Prijenosna razina osigurava prijenos paketa izmeu bilo koje dvije krajnje toke mree. Na ovoj razini radi
se kontrola toka i kontrola pogreki. Ona predstavlja vezu izmeu mrene razine i aplikacijske razine.
Mrena razina iz svog zaglavlja saznaje kojem protokolu prijenosne razine mora predati podatke, a
prijenosna razina na osnovu podataka u svom zaglavlju prosljeuje podatke tono odreenoj usluzi
aplikacijske razine. Adresiranje na prijenosnoj razini obavljeno je brojem prikljune toke (engl. port) za
svaku pojedinu uslugu. Dva osnovna naina prijenosa podataka ove razine su:

Uspostavom logikog kanala

Bez uspostave logikog kanala

Prijenos podataka uspostavom logikog kanala (tzv. spojevni) - Osigurava pouzdanu isporuku podataka
do odredita uz to manje gubitke i to manje pogreaka. Primjenjuje se kod prijenosa podataka kod kojih je
vano potvrditi da su pravilno isporueni odreditu.
Prijenos podataka bez uspostave logikog kanala (tzv. bespojni) - Primjenjuje se kod prijenosa podataka
koji mogu podnijeti odreene gubitke (npr. video ili VoIP).
Dva najznaajnija protokola prijenosne razine su:

TCP (Transmission Control Protocol), definiran RFC-om 793, spojevni protokol, ukljueni su
mehanizmi za detekciju i korekciju pogreaka
UDP (User Datagram Protocol), definiran RFC-om 768, bespojni protokol bez mehanizama za
detekciju i korekciju pogreaka.

Programeri odabiru protokol koji najbolje odgovara aplikaciji koju programiraju.

4.1 TCP protokol

TCP (Transmission Control Protocol) je dominantan, spojevni, prijenosni protokol interneta, garantira
pouzdanu isporuku podataka od izvorita do odredita u kontroliranom redoslijedu. PDU TCP protokola je
segment. Segmenti se pakiraju u IP pakete i alju preko mree. Osnovna svojstva usluge koju nudi TCP su:

Pouzdanost
Veza od toke to toke
Dvosmjerni prijenos podataka
Svi podaci tretiraju se kao niz okteta

Prilikom koritenja TCP usluge entiteti prolaze kroz tri faze:

1. Uspostava veze
2. Razmjena podataka
3. Prekid veze

Uspostava veze - Proces koji se izvodi na jednom raunalu eli uspostaviti vezu s procesom na nekom
drugom raunalu. Raunalo koje trai uspostavu veze naziva se klijent, a drugo raunalo se naziva
posluitelj. Klijentski proces informira klijentski TCP da eli uspostaviti vezu s posluiteljem. Klijentsko
raunalo tada alje posluitelju prvi specijalni segment. Posluitelj odgovara drugim specijalnim TCP
segmentom i konano klijent odgovara treim specijalnim segmentom. Ova procedura se naziva "three-way
handshake". U nastavku slijedi objanjenje spomenutih segmenata:

1. Klijent prvi alje specijalni TCP segment posluitelju. Taj specijalni segment ne sadri podatke aplikacijske
razine. Ima jedan od bitova zastavica u zaglavlju segmenta. To je tzv. SYN bit, postavljen na 1. Iz tog razloga,
taj specijalni segment zove se SYN segment. Nadalje, klijent odabire inicijalni redni broj (client_isn) i stavlja
ga u polje za redni broj inicijalnog TCP SYN segmenta. Taj segment je uhvaden u IP datagramu i poslan na
internet.
2. Pod pretpostavkom da IP datagram koji sadri TCP SYN segment stigne do posluitelja on izdvaja TCP SYN
segment iz datagrama, alocira TCP spremnik i varijable i alje segment kojim odobrava uspostavu veze
klijentu. Taj segment odobravanja veze takoer ne sadri podatke aplikacijske razine, ali sadri tri vane
informacije u zaglavlju segmenta. Prvo, SYN bit je postavljen na 1. Drugo, Acknowledgment polje zaglavlja
TCP segmenta se namjeta na isn+1. Na kraju, posluitelj odabire svoj inicijalni redni broj (server_isn) i stavlja
vrijednost u polje zaglavlja TCP segmenta.
3. Kada klijent primi segment odobravanja veze, takoer alocira spremnik i varijable u vezi. Klijent tada alje
posluitelju jo jedan segment koji potvruje da je dobio segment odobravanja veze. To radi tako da stavi
vrijednost server_isn+1 u acknowledgement polje zaglavlja. SYN bit postavlja se u 0 bududi da je veza
uspostavljena.

Kada se sva tri koraka obave, klijent i posluitelj jedan drugome mogu slati segmente koji sadre podatke. U
svakom buduem segmentu SYN e biti postavljen na 0. Slika 4-1 prikazuje "three-way handshake"
proceduru.

Slika 4-1: "Three-way handshake"

Razmjena podataka - TCP entiteti razmjenjuju podatke u obliku segmenata. Segment se sastoji od
zaglavlja koje ima 20 okteta (uz opcionalni dio) za kojim slijedi nula ili vie okteta podataka, a nastaje
skupljanjem podataka od nekoliko upisivanja ili razbijanjem podataka od jednog upisivanja. Veliina
segmenta je varijabilna uz dva ogranienja:

Svaki segment ukljuujudi i TCP zaglavlje mora stati u 65 535 okteta IP paketa
Svaka mrea ima svoj MTU (Maximum Transmission Unit), a to je najveda doputena jedinica za prijenos koja
definira gornju granicu veliine segmenta.

Ako je segment prevelik za mreu kroz koju mora proi, vor vri fragmentaciju u vie manjih segmenata od
kojih svaki dobiva svoje IP zaglavlje.
Osnovni protokol kojeg koriste TCP entiteti je protokol s klizajuim prozorom (engl. Sliding Window):

1. Nakon slanja segmenta predajnik pokrede broja (engl. timer)

2. Kad segment stigne na odredite, prijemnik alje u segmentu potvrdu s brojem jednakim slijededem broju
segmenta kojeg oekuje
3. Ako broja istekne prije nego to je primljena potvrda, segment se alje ponovno

Slika 4-2 prikazuje strukturu TCP segmenta:

Slika 4-2: TCP segment

Znaenja polja su:

Source Port - Broj prikljune toke usluge izvorita.

Destination Port - Broj prikljune toke usluge odredita.
Sequence Number - Redni broj prvog okteta podataka u tom segmentu; ako je postavljena zastavica S (SYN),
onda je to poetni redni broj (ISN - Initial Sequence Number), a prvi oktet podataka ima broj ISN+1.
Acknowledgment Number - Broj potvrde; ako je postavljen A (ACK) bit, polje sadri redni broj sljededeg
okteta kojeg primatelj oekuje.
Offset - Pomak podataka, pokazuje na poetak podataka u TCP segmentu, izraeno u 32-bitnim rijeima (TCP
zaglavlje je uvijek viekratnik 32-bitne rijei).
Reserved Polje je rezervirano za budude potrebe; popunjeno je nulama.
Kontrolni bitovi:
o URG - Indikator hitnih podataka
o ACK - Indikator paketa potvrde
o PSH - Inicira prosljeivanje svih do tada neproslijeenih podataka korisniku
o RST - Ponovna inicijalizacija veze
o SYN - Sinkronizacija rednih brojeva
o FIN - Izvorite vie nema podataka za slanje
Window Prozor, oznaava koliko je okteta prijemnik spreman primiti
Checksum - Kontrolni zbroj; rauna se kao 16-bitni komplement jedinice komplementa zbroja svih 16-bitnih
rijei u zaglavlju i podacima; pokriva i 96 bitova pseudozaglavlja koje sadri izvorinu i odredinu adresu,
protokol i duljinu TCP zaglavlja i podataka.
Urgent Pointer - Pokaziva na redni broj okteta gdje se nalaze hitni podaci; polje se gleda jedino ako je
postavljena zastavica URG.
Options + Padding - Options mogu, a ne moraju biti ukljuene; ako postoje, veliine su x8 bita, Padding je
dopuna nulama do 32 bita.
Data - Podaci aplikacijske razine.

Prekid veze - Kada klijentska aplikacija odlui prekinuti vezu s posluiteljem alje TCP segment sa FIN
bitom postavljenim u 1 i ue u FIN_WAIT_1 stanje. Dok je u FIN_WAIT stanju, klijentski TCP eka TCP
segment potvrde od strane posluitelja. Kada primi navedeni segment, klijentski TCP ulazi u FIN_WAIT_2
stanje. Dok je u FIN_WAIT_2 stanju, klijent eka sljedei segment od strane posluitelja s FIN bitom
postavljenim u 1. Nakon to primi taj segment klijentski TCP ulazi u TIME_WAIT stanje. TIME_WAIT
stanje doputa TCP klijentu da poalje finalnu potvrdu u sluaju da je ACK izgubljen. Vrijeme provedeno u

TIME-WAIT stanju ovisi o implementaciji, ali tipine vrijednosti su trideset sekundi, jedna minuta i dvije
minute. Nakon ekanja veza se formalno zatvori.
Proces prekida TCP veze prikazan je na slici 4-3.

Slika 4-3: Prekid TCP veze

4.2 UDP protokol

UDP (User Datagram Protocol) je jednostavan bespojni protokol prijenosne razine koji omoguava
aplikacijama direktno koritenje usluga internet razine, multipleksira promet razliitih aplikacija.
Demultipleksiranje na granici prijenosne i aplikacijske razine prikazano je na slici 4-4.

Slika 4-4: Demultipleksiranje UDP prometa pojedinih aplikacija

Demultipleksiranje se obavlja pomou sljedee etvorke:

(IPS, IPD, PS, PD)
gdje je:
IPS

IPD

PS

PD Prikljuna toka odredita.

IP
IP
Prikljuna

adresa
adresa
toka

izvorita,
odredita,
izvorita,

Pomou IP adrese izvorita i prikljune toke izvorita identificirana je jedna aplikacija (npr. APP2), dok je
pomou IP adrese odredita i prikljune toke odredita omogueno paralelno ostvarivanje vie UDP veza
na istu aplikaciju. Drugim rijeima, neka aplikacija, preko jedne prikljune toke moe istovremeno
komunicirati s vie aplikacija na udaljenim raunalima.
Nekada je bolje za prijenos poruka koristiti UDP protokol umjesto TCP protokola. Neki od tih sluajeva su:

Prijenos podataka aplikacija koje same osiguravaju pouzdani prijenos, ili kada aplikacija doputa manje
gubitke.
Slanje upita jednog raunala drugom raunalu, uz mogudnost ponavljanja upita ako odgovor ne stigne nakon
isteka odreenog vremenskog intervala.
Kada je potrebno poslati manji blok podataka, veliine jednog paketa pa je jednostavnije i bre prenositi
samo podatke, bez dodatnih kontrola, a u sluaju pogrenog prijema podatke poslati ponovno.

Slika 4-5 prikazuje format UDP datagrama:

Slika 4-5: Format UDP datagrama

Znaenja polja su:

Source port - Izvorina prikljuna toka usluge je opcionalno polje. Kada se koristi, oznaava prikljunu toku
procesa koji alje podatke. Na nju de dodi odgovor kada ne postoji druga informacija. Ako se polje ne koristi
popuni se nulama.
Destination port - Odredina prikljuna toka usluge.
Length - Duljina UDP datagrama u oktetima ukljuujudi zaglavlje i podatke. Minimalna duljina UDP
datagrama je 8 okteta.
Checksum - Kontrolni zbroj zaglavlja, rauna se na osnovu pseudo zaglavlja iz IP i UDP zaglavlja i podataka.
Ako je polje ispunjeno nulama znai da predajnik nije raunao zbroj; ako je zbroj jednak nuli, prenosi se kao
niz jedinica.
Data Podaci.

4.3 Prikljuna toka

Prikljuna toka (engl. port) je nain adresiranja koji koriste protokoli prijenosne razine. Broj prikljune
toke (engl. port number) identificira aplikaciju kojoj pripadaju podaci.

Prikljune toke izvorita i odredita definirane su u zaglavlju TCP ili UDP protokola. Broj prikljune toke
je 16-bitni pozitivni cijeli broj (engl. unsigned integer) u intervalu od 0 do 65 535.
Aplikacije koje nude standardne usluge koriste poznate prikljune toke od 0 do 1023 (engl. well-known
ports). Brojevi prikljunih toaka manji od 256 rezervirani su za najee koritene usluge kao to su HTTP,
FTP, SMTP; brojevi od 256 do 1024 koriste se za posebne UNIX usluge (npr. rlogin). Brojevi iznad
standardnih dodjeljuju se dinamiki aplikacijskim procesima, o emu se brine operacijski sustav. Brojevi
prikljunih toaka jedinstveni su samo unutar jednog protokola, vie protokola prijenosne razine mogu
dodjeljivati iste brojeve prikljunih toaka. TCP i UDP koriste iste brojeve prikljunih toaka za svoje
usluge.
Par (IP adresa, prikljuna toka) naziva se utinica (engl. socket). Utinica je struktura podataka koja se
koristi kao krajnja toka prijenosa, kreira ju program. Utinica se koristi prilikom komunikacije izmeu dva
raunala na mrei (po klijent-posluitelj principu), ali se koristi i kod komunikacije izmeu dva procesa na
istom raunalu. Tablica 4-1 prikazuje brojeve nekih prikljunih toaka, prijenosne protokole koje koriste i
uslugu koju pruaju.
Tablica 4-1: Brojevi nekih prikljunih toaka
Prikljuna tokaPrijenosni protokolUsluga
21

TCP

FTP

23

TCP

Telnet

53

TCP, UDP

DNS

80

TCP

HTTP

88

TCP

Kerberos

110

TCP

POP3

25

TCP

SMTP

161

TCP, UDP

SNMP

520

UDP

5 Aplikacijska razina
Aplikacijska razina TCP/IP arhitekture obuhvaa funkcije sjednike, prezentacijske i aplikacijske razine
OSI referentnog modela. Ovu razinu ine programi i procesi koji svoje zahtjeve ili podatke predaju izravno
protokolima prijenosne razine. Dijelimo ih na dvije osnovne skupine ovisno o tome koji protokol koriste na
prijenosnoj razini. Neki od protokola koji koriste TCP su:

Telnet Protokol koji omoguava prijavljivanje na udaljeno raunalo u mrei

FTP (File Transfer Protocol) - Protokol za prijenos datoteka izmeu raunala u mrei
SMTP (Simple Mail Transfer Protocol) - Protokol za prijenos elektronike pote. Definira slanje
pote s lokalnog raunala bilo kojem raunalu u mrei, te prijem pote upuene raunalu u lokalnoj
mrei i njeno prosljeivanje programima za obradu elektronike pote
HTTP (HyperText Transfer Protocol) Protokol koji upravlja komunikacijom izmeu web
posluitelja i web klijenta

Protokoli druge skupine koriste UDP. Oni najee obavljaju funkcije koje se izvravaju neovisno o
aplikacijama korisnika i za koje korisnik obino ne zna, a potrebne su za rad mree. Neki od tih protokola
su:

DNS (Domain Name System) - Preslikava IP adresu vora mree u njegovo ime (RFC 1035)
RIP (Routing Information Protocol) Protokol usmjeravanja opisan u poglavlju 3.2.1
NFS (Network File System) - Mreni datoteni sustav; protokol omoguava dostupnost direktorija i
datoteka razliitim raunalima na mrei (RFC 1094)

U nastavku e detaljnije biti opisani HTTP protokol i DNS sustav.

5.1 HTTP protokol

HTTP (Hypertext Transfer Protocol) je protokol aplikacijske razine koji omoguava prijenos datoteka koje
u sebi sadre veze na druge dokumente. Takvi dokumenti oznaavaju se kao hipertekst, a veze koje sadre
nazivaju se hipertekstualne veze (engl. hyperlinks). Primjenjuje se od 1990. godine pojavom usluge interneta
WWW - World Wide Web.
HTTP 1.0 verzija protokola definirana je u dokumentu RFC 1945, a HTTP 1.1 u RFC 2068. Temelji se na
modelu klijent - posluitelj, a za prijenos podataka zahtijeva pouzdanu vezu na prijenosnoj razini, ali se ne
vezuje uz odreeni protokol, ve doputa u buduim primjenama i neki drugi protokol osim TCP-a.
Standardno je prikljuna toka na kojoj slua web posluitelj 80, ali se moe definirati drugaije. HTTP 1.0
protokol definira otvaranje odvojenih TCP veza za prijenos svakog dokumenta. Na primjer, HTML
dokument koji poziva dvije slike unutar stranice izazvat e otvaranje dvije nove TCP veze od klijenta prema
posluitelju.
Prema HTTP 1.1 izmeu klijenta i posluitelja uspostavlja se stalna HTTP veza, koja se koristi za razmjenu
podataka vie zahtjeva izmeu klijenta i posluitelja. Na taj nain se tedi procesorsko vrijeme posluitelja,
smanjuje nepotreban promet i umanjuje mogunost pojave zaguenja. HTTP protokolom definira se, izmeu
ostalog:
1.
2.
3.
4.
5.
6.
7.

Forma komunikacije izmeu klijenta i posluitelja, tj. nain postavljanja upita i odgovora i njihov format
Kodiranje znakova karakteristinih za brojne jezike (engl. character set)
Kodiranje sadraja (engl. content coding)
Pristup dokumentima za razliite tipove protokola
Pristup dokumentima uz provjeru identiteta (autorizacija i autentikacija)
Pohrana dokumenata u privremenu memoriju (engl. caching)
Sigurnosne aspekte - osjetljive toke u komunikaciji izmeu klijenta i posluitelja, odnosno, u procesu
dostave podataka korisniku.

U nastavku su pojanjene prve etiri toke koje definira HTTP protokol.

Klijent-posluitelj model HTTP protokola - HTTP posluitelj (web posluitelj) prima zahtjeve klijenata
za dokumentima koje posjeduje. Svaki dokument kojim posluitelj raspolae opisan je s nekoliko
parametara: Identifikator (URI - Uniform Resource Identifier), adresa (URL - Uniform Resource Locator) i
naziv (URN - Uniform Resource Name). Na osnovu njih posluitelj odluuje na koji e nain odgovoriti na
postavljeni zahtjev. Zahtjev klijenta sadri naredbu koja definira eljenu akciju (GET, POST, DELETE,...),
adresu dokumenta, verziju HTTP protokola, te odgovarajua zaglavlja kroz koja su definirani parametri
klijenta. Odgovor posluitelja na zahtjev sastoji se najprije od odluke hoe li prihvatiti komunikaciju s
klijentom i uspostaviti vezu ili ne. U sluaju pozitivne odluke na zahtjev za podacima (GET), posluitelj
alje odgovor klijentu koji se sastoji od zaglavlja i podataka. Zaglavlje prethodi informaciji namijenjenoj
korisniku, a sadri parametre o samom posluitelju, o podacima i klijentu. Primljene podatke klijent
prihvaa, izdvaja informacije namijenjene korisniku i prezentira mu ih. Umjesto podataka, klijent moe
dobiti obavijest o pogreci, kojoj uzrok moe biti na strani klijenta ili na strani posluitelja. Najee poruke
o pogreci su "Datoteka nije pronaena" (404 - File not found) ili "Pristup dokumentu nije doputen" (403 Forbidden).
Kodiranje znakova (engl. character set) - HTTP koristi MIME definiciju skupa znakova i omoguava
razmjenu dokumenata koji sadre znakove razliitih svjetskih jezika definiranjem skupa znakova
primijenjenog u dokumentu. Kodiranje znakova se primjenjuje kako bi se slijed okteta mogao ispravno
protumaiti kao slijed znakova. Oznake skupova znakova definira IANA. Ako nije navedena oznaka za tip
znakova, podrazumijeva se ISO-8859-1. Znakovlje hrvatskog jezika definirano je kao ISO-8859-2. Danas se
najee koristi UTF-8.
Oznaavanje sadraja (engl. content codings) - Oznaavanjem sadraja HTTP protokol omoguava
ukazivanje na transformaciju primijenjenu nad podacima, kao to je komprimiranje (npr. zip, rar, ...), ili
kriptiranje. Time se postie opis sadraja koji nije isti ASCII tekst, kao to su datoteke generirane nekim od
programa (npr. doc, ppt, xls, pdf, ...).
Prijenos podataka razliitih protokola - HTTP protokol omoguava komunikaciju izmeu drugih
protokola, kao to su SMTP (za razmjenu elektronike pote), NNTP (Usenet), FTP (prijenos datoteka) i sl.
Ovim je omoguena dostupnost najee koritenih mrenih usluga uporabom samo web preglednika (npr.
Firefox) U sluaju kada se HTTP protokolom prenose informacije drugih protokola, primjenjuje se ili
postupak tuneliranja (gdje se informacije prosljeuju, bez analize o kojem se protokolu radi), ili postupak
prevoenja kojeg obavljaju poveznici (engl. gateway). U takvim sluajevima, veza izmeu klijenta i
posluitelja odvija se preko posrednika. Posrednik moe biti i proxy posluitelj, koji ima ulogu rastereenja
prometa od posluitelja na lokalnoj mrei prema ostatku interneta. Klijent postavlja zahtjev proxy
posluitelju koji provjerava sadri li traenu informaciju u svom meuspremniku (engl. cache) i ako je
pronae vraa je natrag klijentu. Ako nema traenu informaciju, proxy posluitelj umjesto klijenta postavlja
upit web posluitelju. Odgovor web posluitelja prosljeuje korisniku koji je postavio zahtjev, ali ga proxy
posluitelj pohranjuje i u svoj meuspremnik, kako bi pri sljedeem upitu postigao bri odziv. Protokol za
pristup dokumentu, posluitelj, kao i mjesto dokumenta na posluitelju definira jedinstvena adresa
dokumenta - URL.

5.2 DNS sustav

DNS (Domain Name System) je hijerarhijski distribuirani sustav u kojem se nalaze informacije o IP
adresama i imenima raunala, a mogu nalaziti i razliite druge informacije. Ime raunala (engl. hostname) je
jedinstveno simboliko ime unutar pojedine mree kojim se koriste neki protokoli (npr. SMTP, NNTP) da bi
identificirali raunalo. Imena raunala mogu biti samo jedna rije, ako se radi o lokalnoj mrei ili nekoliko
rijei odvojenih tokama. ako se radi o domenskom imenu (engl. domain name) o kojem e biti rijei u
poglavlju 5.2.1. Klijentima DNS informacije pruaju DNS posluitelji, koristei DNS protokol za
komunikaciju kako sa klijentima tako i meusobno.

Svrha DNS sustava je pojednostavljivanje komunikacije meu raunalima u smislu olakanog pamenja
imena kao i mogunosti tematskih i drugih grupiranja raunala koja nisu blizu u smislu slijednih IP adresa.
Jasno je, u svakodnevnom radu je daleko lake koristiti i pamtiti imena umjesto odgovarajuih IP adresa.
DNS sustav je, naravno, mnogo iri, te obuhvaa tri osnovne funkcije s razliitim segmentima koje emo
definirati u nastavku:
1. DNS imenski prostor, problematiku imenovanja i pravila: karakteristike su hijerarhijska struktura, imenika
struktura i pravila imenovanja te specifikacije domena
2. Registraciju domena i druge administrativne probleme: hijerarhijsku strukturu nadlenih tijela, hijerarhiju
vrnih nadlenih tijela (TLD), procedure registracije sekundarnih domena, administraciju DNS zona i
administraciju hijerarhije
3. Posluitelje i proces razrjeavanja: DNS zapisi i zone, tipovi DNS posluitelja sa razliitim ulogama, procesi
razrjeavanja, DNS poruke, formati i zapisi.
5.2.1 Domensko ime

Domensko ime je simboliko ime raunala na internetu koje ga najee jednoznano identificira (postoji
mogunost da vie raunala dijeli jedno domensko ime). DNS sustav vri preslikavanje domenskog imena u
jednu ili vie IP adresa i obratno, preslikavanje jedne ili vie IP adresa u jedno domensko ime. Veina
operacijskih sustava DNS koristi implicitno pa je mogue nekom raunalu na internetu pristupiti kako kroz
odgovarajuu IP adresu, tako i kroz domensko ime, ako je definirano.
Labela (engl. label) je, po definiciji, alfanumeriki niz znakova, uz napomenu da je doputen i znak ""
(ASCII znakovi od A do Z i znak ""), pri emu se labele ne razlikuju po velikim i malim slovima. Labela
moe biti duga maksimalno 63 znaka. Vie takvih labela se meusobno odvaja tokama, a one zajedno tvore
domensko ime, koje se u takvoj potpunoj formi kada su navedene sve labele zove i FQDN (Fully Qualified
Domain Name). Takvo ime je maksimalne duljine 255 znakova, a razliito od obinog domenskog imena
(koje moe biti i kratkog oblika, sadravajui samo dio labela) po tome to predstavlja apsolutnu stazu
unutar DNS hijerarhije. Da bi se FQDN dodatno razlikovao od labela odnosno standardnih, ne nuno
potpunih, domenskih imena esta je konvencija dodavanja dodatne toke (znaka ".") na kraj domenskog
imena.
Zakljuimo: Domensko ime se sastoji od dvije ili vie labela odvojenih tokama. Krajnje desna labela je
TLD, a svaka druga labela lijevo je poddomena. Poddomena je domena koja je hijerarhijski ispod
prethodne. Ukupno moe biti maksimalno 127 podjela, dok se drimo zadane granice od 255 znakova za
FQDN. Na kraju, labela koja je krajnje lijeva je kratko ime raunala.
5.2.2 Domene

Imena domena su obino grupirana tj. zavravaju odreenom skupinom labela za koje postoje tono
definirana pravila. Takve zavrne labele se nazivaju TLD (Top-Level Domain) imena. Postoje dva tipa TLD
imena:

Geografski bazirane domene, tzv. ccTLD (engl. country code TLD) domene koje predstavljaju dravni
dvoznakovni kod temeljen na ISO-3166 standardu, a danas ih je u uporabi preko 243. Primjeri takvih domena
su: .hr, .us, .de, .jp, .co.uk, ...
Generike domene, tzv. gTLD (engl. generic TLD) domene koje se obino sastoje od tri ili vie znakova.
Primjeri takvih domena su: .com, .net, .org, .info, .biz, .edu, .travel, ...

U pojedinoj domeni, odnosno domenskom prostoru ne mogu postojati dvije iste labele - to znai niti dvije
poddomene niti dva raunala s istim imenom.
Za dodjelu domena i upravljanje domenama zaduena je neprofitna organizacija ICANN (Internet
Corporation for Assigned Names and Numbers). Ova relativno mlada organizacija je preuzela poslove koje

je nekad obavljala IANA (Internet Assigned Numbers Authority). Rije je o upravljanju domenama i IP
adresama, pri emu se lokalna registracija IP adresa predaje pojedinanim RIR-ovima (Regional Internet
Registries). Svaki RIR alocira adrese za razliiti dio svijeta, a europski RIR je RIPE (Rseaux IP
Europens).
5.2.3 Domenski registri

Slino kao i za IP adrese, postoje domenski registri. To su baze podataka o domenama i odgovarajuim IP
adresama, po jedan za svaku TLD. Oni kao uslugu daju domenska imena za vlastitu TLD te omoguavaju
ostatku svijeta pregled informacija o registracijama pojedinih domena. Domenski registri se inae nazivaju
NIC (Network Information Center) te su najee neprofitne ili dravne organizacije. Informacije o
registracijama su dostupne kroz Whois sustav. Za Europu je nadlean whois.ripe.net posluitelj. Same
registracije se najee dogaaju po principu tko prvi registrira dobije domenu, iako se mogu formirati i
sloene politike zbog zatienih imena, itd. Svaki registar upravlja DNS posluiteljima za specifini TLD a
to je za hrvatsku vrnu .hr domenu dns.srce.hr kojim upravlja HR-DNS sluba za CARNet. Dakle, za
ccTLD-ove su obino nadlene vlade pojedinih drava, dok je za gTLD nadlean iskljuivo ICANN.
ICANN regulira upravljanjem 13 vrnih DNS posluitelja (engl. root servers).
Primjer DNS hijerarhije prikazan je na slici 5.1.

Slika 5-1: DNS hijerarhija

5.2.4 DNS razrjeenje

Funkcionalni DNS sustav nuno se sastoji od tri dijela:

DNS klijent (engl. resolver) - Program koji se izvrava na klijentskom raunalu i koji formira odreeni DNS
zahtjev
Rekurzivni (engl. recursive) DNS posluitelj - Posluitelj koji nakon dobivenih upita za klijenta obavlja
pretraivanje kroz DNS stablo i vrada odgovore natrag klijentima
Autoritativni (engl. authoritative) DNS posluitelj - Posluitelj koji odgovara na upite rekurzivnih posluitelja
te vrada ili zavrni odgovor ili zbog delegiranja vrada referencu na neki drugi autoritativni DNS posluitelj

Sam proces primanja zahtjeva i njihove obrade i vraanja odgovora naziva se DNS razrjeenje (engl. name
resolution). Osnovno razrjeenje jest proces pretvorbe domenskog imena u IP adresu: Prvo traimo
autoritativni DNS posluitelj, a zatim mu aljemo upit za adresom, na koji on odgovara traenom adresom.

Budui da je DNS strogo distribuirana baza, ona je raspodijeljena na mnogo razliitih posluitelja. Razvidno
je da zbog raspodijeljenosti razrjeenje najee ne moe biti obavljeno kroz samo jedan upit i odgovor, ve
zahtijeva dulju komunikaciju tj. niz upita i odgovora. Najea je situacija kada klijent alje zahtjeve
lokalnom DNS posluitelju (nadlean za klijentsko raunalo, obino dodijeljen od ISP-a ili ustanove u kojoj
se nalazi klijentsko raunalo), koji predstavlja rekurzivni posluitelj. Taj posluitelj obavlja upite za klijenta,
a zatim mu vraa odgovor. Dakle, najvei i najkompliciraniji dio procesa predstavlja traenje autoritativnog
posluitelja u sloenoj DNS hijerarhiji.
to se tie samih tipova DNS razrjeenja, postoje dva osnovna tipa prolaska kroz DNS hijerarhiju da bi se
otkrio toan zapis. Oni se razlikuju po tome tko obavlja veinu posla oko saznavanja podataka i njihove
obrade, a prvenstveno se pojavljuju kad lokalni DNS posluitelj nema sve informacije:

Iterativni - Klijent alje upite, a posluitelj mora odgovoriti jednim od dva moguda odgovora:
o Odgovorom na zahtjev
o Imenom drugog DNS posluitelja (vri se delegiranje) Ovaj posluitelj ima vie podataka o traenom
upitu.

U ovakvom tipu upita najvei dio posla obavlja klijent iterirajui akcije upit-odgovor i prolazei kroz
DNS hijerarhiju.

Rekurzivni - Klijent alje rekurzivni upit, posluitelj preuzima posao pronalaenja informacija o traenom
upitu. Dakle, ono to je u iterativnom obavljao klijent, kod rekurzivnih upita obavlja posluitelj - obrauje
informacije i alje nove upite drugim posluiteljima sve dok ne sazna informaciju koju trai. Dakle, klijent
alje svega jedan zahtjev te dobiva ili tonu informaciju koju je traio ili poruku o greci. Proces je prikazan na
slici 5-2.

Slika 5-2: DNS razrjeavanje

Zakljuujemo da je rekurzivni nain pretraivanja vrlo povoljan za klijente, ali moe znatno opteretiti DNS
posluitelje pa se takve forme upita obino eksplicitno doputaju samo raunalima iz lokalne mree, dakle
raunalima kojima je dotini DNS posluitelj autoritativan.
Praktiki svaka pretraga za nekom DNS informacijom poinje od vornog DNS posluitelja, tj. od vrha
DNS stabla. Prolazak kroz DNS stablo je silazak po granama stabla, gdje je svaki vor jedan DNS
posluitelj, nadlean za svoj dio DNS prostora. Osnovni preduvjet pronalaenja vora stabla je lokalna lista
13 vrnih DNS posluitelja, koji dalje delegiraju pretragu po zapisima. Dakle, DNS stablo je hijerarhijski
sloen skup DNS posluitelja, gdje svaka domena i poddomena ima jednog ili vie autoritativnih DNS
posluitelja. Dotini posluitelji (vorovi stabla) su nadleni za domene ispod njih, ili mogu delegirati dalje,
servirajui podatke drugima na upit.
U praksi se osim domena i labela pojavljuje i pojam zona. Zona predstavlja dio ukupnog domenskog
prostora, te se prostire od jedne toke, odnosno autoritativnog DNS posluitelja za tu zonu, dalje do krajnjih
vorova ili do poetaka neke druge zone. Zona je, dakle, dio domene, ali se moe prostirati i na cijelu
domenu.
5.2.5 DNS meuspremnik

Osnovni naini pretraivanja (iterativni i rekurzivni silazak kroz DNS stablo) vrlo su neuinkoviti jer svaki
upit implicitno znai novi prolazak kroz stablo, poevi od vrnih DNS posluitelja. Jasno, kada bi se u
stvarnom svijetu nuno svaki put prolazilo od poetka DNS stabla do traenog zapisa, proces DNS
razrjeavanja bi predugo trajao, a optereenje DNS posluitelja bi postalo preveliko. No, eskalaciju ovog
problema prilino je smanjio jednostavan princip spremanja kako pozitivnih (uspjenih) tako i negativnih
(neuspjenih) rezultata DNS upita na DNS posluiteljima.
Formiranje meuspremnika (engl. cache) DNS rezultata korisno je zbog dviju jednostavnih injenica:

Vede su anse da de se pristupati nekom resursu ako se nedavno pristupalo nekom drugom prostorno
bliskom resursu - to je tzv. prostorna lokalnost reference
Ako se nekom resursu nedavno pristupalo vede su anse da de mu se ponovno pristupati - to je tzv.
vremenska lokalnost reference.

U praksi je pokazano da se esto alju isti ili slini DNS upiti u vremenski bliskim periodima. Stoga svi
DNS posluitelji imaju interne meuspremnike o nedavnim DNS upitima koji im omoguavaju pribavljanje
odgovora ili dijela odgovora iz meuspremnika. DNS meuspremnici se nalaze i na veini DNS klijenata, a
obavljaju isti posao kao i na DNS posluiteljima. Na taj nain se spremaju rezultati ve obavljenih upita i na
klijentskim raunalima, to smanjuje promet prema posluiteljima i njihovo optereenje. Tako spremljeni
odgovori e biti dulje spremljeni kod klijenata, budui da je svaki meuspremnik ograniene veliine i novi
upiti briu stare ili nekoritene odgovore.
Meuspremnici vie poboljavaju performanse to su blie klijentu, ali daju bolju pokrivenost to su dalje od
klijenta. Podaci spremljeni u meuspremnicima imaju svoja vremena ivota, TTL pa se time osigurava da
zastarjeli podaci nuno nestaju iz spremnika. DNS posluitelji e pri prihvatu DNS upita obaviti
pretraivanje vlastitog meuspremnika kao i lokalne DNS baze, pokuavajui to vie skratiti vremenski
"skup" prolazak kroz DNS stablo. Negativni efekt postojanja TTL vremena za DNS zapise je to utjee i na
vrijeme propagacije podataka (engl. propagation time) po DNS stablu, budui da se promjene izmeu ne
vide sve do eksplicitnog nestajanja zapisa zbog TTL-a.
5.2.6 Reverzno razrjeenje

Do sada je razmatrano standardno razrjeenje unaprijed (engl. forward) kod kojeg se DNS imena pretvaraju
u IP adrese. U standardnoj komunikaciji na internetu nuno je moi vriti razrjeenje u oba smjera, a to znai
i unatrag (engl. reverse). Problem reverznog DNS razrjeenja je to se posluitelji razlikuju prvenstveno po
domenama za koje su nadleni, a ovdje imamo samo IP adresu kao poetnu informaciju. Kako bi se

omoguio ovaj proces, formirana je dodatna hijerarhija uvoenjem in-addr.arpa domene. Ova domena se
sastoji od etiri razine poddomena, a svaka razina odgovara jednom dijelu IP adrese. Reverznim DNS
razrjeenjem, odnosno prolaskom kroz te etiri razine, dolazi se do vora za traenu IP adresu koji pokazuje
na odgovarajue domensko ime. Svaka razina unutar in-addr.arpa domene sastoji se od 256 poddomena (od
0 do 255). Reverzna DNS adresa se formira od vorova unutar reverzne domene, a identina je obratno
zapisanoj IP adresi s in-addr.arpa sufiksom pa upiti nad takvom adresom kao povratnu informaciju daju
"standardnu" adresu.
Reverzno razrjeavanje za 161.53.166.3 prikazano je na slici 5-3.

Slika 5-3: Reverzno razrjeavanje

5.2.7 DNS protokol

DNS posluitelj koristi standardne prikljune toke TCP/53 i UDP /53. Na njima slua zahtjeve, a odgovore
alje koristei njih ili neku drugu prikljunu toku veu od 1024. Odgovor je traeni zapis, odnosno RR
(engl. resource record).
Standardno se koristi UDP. Komunikacija se svodi na jedan UDP upit i jedan UDP odgovor. TCP se koristi
jedino kad veliina odgovora prelazi 512 okteta ili za prijenos zone (engl. zone transfer). Standardni DNS
upit je obino vrlo jednostavan, sadri uglavnom samo adresu koja se eli razrijeiti, ali odgovori su vrlo
komplicirani budui da sadre sve adrese i zamjenske adrese koje su rezultat upita. Zbog toga se odgovori
obino saimaju posebnim algoritmima, eliminirajui nepotrebne podatke i smanjujui samu veliinu UDP
datagrama. Ako veliina paketa i dalje prelazi 512 okteta, alje se parcijalna poruka u obliku UDP paketa s
posebnim bitom postavljenim u 1 koji oznauje da se upit mora ponoviti koristei TCP.
Format DNS zaglavlja prikazan je na slici 5-4.

Slika 5-4: DNS zaglavlje

Znaenja polja su:

ID Koristi se za korelaciju upita i odgovora

Q Oznaava je li poruka upit ili odgovor
Query Opisuje tip poruke
A (Authoritative Answer) Ako je vrijednost polja postavljena u 1 onda je odgovor poslao autoritativni
posluitelj
T (Truncation) - Ako je vrijednost polja postavljena u 1 oznaava da je poruka nepotpuna
R - Ako je vrijednost polja postavljena u 1 oznaava da bi bilo poeljno obaviti rekurzivno razrjeenje, ako to
posluitelj podrava
V - Ako je vrijednost polja postavljena u 1 to znai da posluitelj koji alje odgovor podrava rekurzivne upite,
to klijenti najede zapamte za bududu komunikaciju sa tim posluiteljem
B Polje popunjeno nulama (rezervirano za bududu uporabu)
Rcode (Response Code) Polje koje je kod upita uvijek postavljeno u nulu, ali u odgovorima indicira tip
greke koji se dogodio, odnosno je li uspjeno dolo do odgovora
Question count - Broja upita u odjeljku pitanja poruke
Answer count - Broja RR-ova u odjeljku odgovora poruke
Authority count - Broja RR-ova u odjeljku autoriteta poruke
Additional count - Broja RR-ova u dodatnom odjeljku poruke

5.2.8 DNS klase i zapisi

Kao to je spomenuto, RR je jedan zapis tj. jedna jedinica u DNS sustavu. Svaki RR sadri odreene atribute
za vlastiti tip; to mogu biti IP adresa, adresa za isporuku elektronike pote, niz teksta, DNS labela ili neto
drugo. RR se sastoji od sljedeih komponenti, koje se pojavljuju ovim redom:

Ime domene - Uglavnom se koristi FQDN, a ako je zapisano kratko ime onda se automatski na kraj imena
dodaje ime zone
TTL u sekundama,
Klasa zapisa - Moe biti Internet, Hesiod i Chaos,
Tip zapisa: CNAME, PTR, A, MX, TXT, AAAA, A6, ...
Podaci za tip zapisa - Odgovaraju odreenom tipu, ako sadravaju ime domene koje nije FQDN, automatski
se dodaje ime zone na kraj imena
Komentar je opcionalan

Klase zapisa (engl. resource record classes) su bez stvarne koristi jer se danas u praksi koristi samo internet
klasa pa se ona implicitno podrazumijeva kad u lokalnoj zoni nije eksplicitno navedena IN klasa.
to se tie tipova zapisa, postoji ih nekoliko osnovnih:

A (engl. address) - Povezuje odgovarajude domensko ime (labelu ili niz labela) sa IPv4 adresom. U praksi je
mogude da vie A zapisa pokazuje na istu IP adresu.
CNAME (engl. canonical name) - Omogudava da jedno domensko ime bude zamjensko ime za drugo. Takvo
zamjensko ime dobiva sve osobine originala, ukljuujudi i IP adrese i poddomene. Ne smije u zoni postojati
zapis koji ima isto ime kao CNAME zapis. Takoer, niti jedan tip zapisa osim CNAME ne smije pokazivati na
zamjensku adresu (odnosno na CNAME), bududi da bi to omogudilo petlje i neispravne zapise u zoni.

MX (engl. mail exchange) - Oznaava koji su e-mail posluitelji nadleni za domenu. Ako ovaj zapis ne postoji,
e-mail se isporuuje koristedi A zapis dobiven razrjeavanjem iz odredine domene.
PTR (engl. pointer record) - Povezuje IPv4 adresu s odgovarajudim FQDN. Obino PTR zapisi trebaju
pokazivati na ime koje se moe unatrag razrijeiti u polaznu IPv4 adresu. Naravno, PTR zapis kao takav nije
IPv4 adresa, ved obratno zapisana 4 okteta adrese s dodatnom in-addr.arpa domenom.
NS (engl. name server record) - Oznaava da tu zonu treba posluivati upravo taj DNS posluitelj. Svaki NS
zapis je ili oznaka autoriteta ili oznaka za delegaciju
SOA (engl. start of authority) - Izmeu ostaloga oznaava koji je DNS posluitelj autoritativan za dotinu
domenu, kao i dodatne informacije o zoni. Svaka ispravna zona mora imati SOA zapis.
AAAA i A6 - Povezuju odgovarajude domensko ime s IPv6 adresom
TXT (engl. text string) - Omogudava proizvoljan tekstualan zapis do 255 okteta
DS (engl. delegation signer) - Dodaje se na mjestu prekida zone (mjesta gdje se vri delegacija) da bi se
pokazalo kako je delegirana zona digitalno potpisana i da dotina prepoznaje odreeni klju kao ispravni
vlastiti klju. Ovime se eksplicitno definira delegacija
KEY (engl. public key) - Javni klju koji je autoriziran od strane SIG zapisa
KX (engl. key exchanger) - Omogudava metodu za delegiranje autorizacije za neki vor u ime jednog ili vie
vorova, kako bi pruili usluge razmjene kljueva
LOC (engl. location information) - Zapis u koji je mogude spremiti GPS podatke o odreenom voru ili
domeni.
SIG (engl. cryptographic public key signature) - Predstavlja potpis radi autentikacije podataka u DNSSEC-u
TSIG (engl. transaction signature) - Omogudava jednostavnu autentikaciju koristedi dijeljene tajne kljueve i
hashiranje za DNS transakcije
RP (engl. responsible person) - Zapis o odgovornoj osobi za domenu

5.2.9 Primarni i sekundarni DNS, prijenos zone

Autoritativni DNS posluitelj za odreenu zonu je svaki posluitelj koji ima kompletnu kopiju zone bez
potrebe za procesom razrjeavanja. Dakle, rije je o posluitelju koji daje vlastite podatke klijentima.
Osnovni podatak koji informira posluitelj da je autoritativan za zonu je SOA zapis. Neispravno definiran
SOA zapis moe dovesti do situacije da niti jedan DNS posluitelj nije autoritativan, a time i do prestanka
normalnog rada DNS razrjeavanja za tu zonu.
Dobro je definirati vie DNS posluitelja za istu zonu koristei vie odgovarajuih NS zapisa. Svaka zona
trebala bi imati barem dva DNS posluitelja. Nakon isteka TTL vremena pojedinog RR-a (definirano u
svakom RR-u), podaci spremljeni po raznim klijentima i posluiteljima nestaju. U sluaju da je postojao
samo jedan autoritativni DNS, a da je on neaktivan ili neispravan, zona je nedostupna. Stoga je razvijen
princip primarnog (engl. primary, master) i sekundarnog (engl. secondary, slave) DNS posluitelja.
Primarni posluitelj je onaj autoritativni DNS posluitelj koji podatke o svojoj zoni ima lokalno
spremljene. Sekundarni posluitelj je onaj koji podatke dobiva od nekog vanjskog izvora, obino koristei
prijenos zone (engl. zone transfer) primarnog posluitelja. Primarni posluitelj za jednu zonu moe biti
sekundarni za drugu i sl. Sa strane klijenta, oba su posluitelja jednake vrijednosti i jednakog prioriteta
(sluajni izbor). Dobro je da sekundarni posluitelj bude fiziki udaljen od primarnog.
5.2.10 Dinamiki DNS

Dananji DNS i DHCP posluitelji omoguavaju meusobno povezivanje sustava dodjeljivanja IP adresa i
DNS sustava. Takav sustav naziva se dinamiki DNS (engl. dynamic DNS), a radi na nain da se svako
raunalo koje dobiva IP adresu od DHCP posluitelja registrira u DNS sustavu kroz automatizirani proces.
DHCP klijent alje DNS UPDATE poruku koja indicira DNS posluitelju to treba obaviti s odgovarajuim
RR-ovima. Naravno, dinamiki DNS kao takav nije ogranien nuno na DHCP, ve u praksi svaki
autorizirani DDNS klijent moe upravljati odgovarajuim zapisima u zoni.

6 Virtualna privatna mrea (VPN)

Virtualna privatna mrea VPN (Virtual Private Network) je tehnologija koja omoguava sigurno
povezivanje privatnih mrea u zajedniku virtualnu privatnu mreu kroz javnu mrenu infrastrukturu, to je
danas najee internet. Ostvaruje se siguran "tunel" izmeu dvije krajnje toke. Kod tuneliranja se provodi
kompresija i/ili kriptiranje podataka. VPN se moe koristiti i unutar vlastite lokalne mree, ali se to gotovo
ne koristi. Arhitektura tipine VPN mree prikazana je na slici 6-1.

Slika 6-1: Arhitektura VPN mree

Implementacija VPN-a moe biti sklopovska ili programska. U praksi se esto koristi kombinacija ove dvije
implementacije.
VPN tehnologija mora osigurati ove zahtjeve:

Upravljanje IP adresama VPN je zaduen za dodjeljivanje klijentskih adresa unutar privatne

mree
Mehanizmi upravljanja kljuevima VPN mora osigurati generiranje i osvjeavanje kljueva
izmeu klijenta i posluitelja
Podrku za razne protokole VPN mora podravati standardne protokole koji se koriste u javnim
mreama (IP, IPX,...)

Vrlo su vani i sigurnosni zahtjevi:

Pravo pristupa VPN osigurava provjeru identiteta korisnika i doputa VPN pristup samo
registriranim korisnicima. Takoer mora osigurati mogunost praenja dogaaja (engl. logging)
Autentikacija i autorizacija VPN mora osigurati provjeru da podaci koji dolaze stvarno dolaze s
izvorita s kojeg tvrde da dolaze i da osoba koja tvrdi da je poiljatelj podataka to stvarno i je.
Integritet podataka VPN mora osigurati provjeru jesu li podaci putem promijenjeni. Za to se
najee koristi MD5 algoritam.
Povjerljivost (tajnost, kriptiranje) VPN mora osigurati kriptiranje podataka tako da ih nitko,
osim klijenta odnosno posluitelja ne moe proitati. To se postie raznim algoritmima, a neki od
njih su DES, RSA i Diffie-Hellman.

Vrste VPN mrea su:

Intranet VPN - Koristi se za povezivanje vie lokacija unutar jedne organizacije. Za prijenos
podataka se koristi internet.

Ekstranet VPN - Koristi se za povezivanje razliitih organizacija (npr. tvrtke i poslovnih partnera).
Za prijenos podataka se koristi internet.
Udaljeni pristup - Povezuje udaljene korisnike s lokalnom mreom organizacije. Povezivanje se
obavlja putem modemske veze preko interneta.

6.1 Tuneliranje
Tuneliranje je tehnika prijenosa podataka jedne mree preko neke druge mree. Podaci koji se alju mogu
biti PDU nekog drugog protokola. Protokol kojim se implementira tuneliranje enkapsulira originalnom PDU
posebno oblikovano zaglavlje. Takvo zaglavlje sadri dodatne podatke za usmjeravanje kako bi
enkapsulirani paket stigao, kroz mreu koja slui za prijenos, do odredita. Enkapsulirani podaci se onda
alju izmeu krajnjih toaka tunela.
Tunel je logiki put kroz koji enkapsulirani podaci prolaze kroz javnu mreu. Kada takav PDU doe do
odredita podaci se ekstrahiraju i zatim se alju na ciljano odredite u privatnoj mrei. Tuneliranje ukljuuje
cijeli navedeni proces (enkapsulacija, prijenos i ekstrakcija).
VPN se moe podijeliti po tipu tuneliranja koji koristi:

Stalni Trae odreenu pojasnu irinu ak i kada se kanal ne koristi pa nisu financijski isplativi
Privremeni Uspostavljaju se kada klijent zatrai spajanje na VPN i nestaju kada se veza prekine

Mogua su dva naina uspostavljanja VPN mree preko ISP-a:

Dobrovoljno tuneliranje (engl. Voluntary Tunneling) - Sluaj kada raunalo ili usmjernik koristi klijentsku
programsku podrku za tuneliranje pri uspostavljanju VPN-a, npr. kada modemski korisnik prvo uspostavi
vezu sa svojim ISP-om da bi mogao uspostaviti tuneliranje kroz internet
Obvezno tuneliranje (engl. Compulsory Tunneling) - Vedina posluitelja s modemskim ulazima koje koriste
ISP-ovi imaju implementiranu mogudnost automatskog kreiranja tunela za modemskog korisnika

Postoje razne tehnologije koje omoguuju tuneliranje. Dvije koje e se razmatrati su:

IPSec (Internet Protocol Security, Tunnel Mode),

L2TP (Layer 2 Tunneling Protocol)

6.2 IPSec protokol

IPSec (Internet Protocol Security) je definiran RFC-ovima 4301 i 4309. Protokol radi na mrenoj razini i
implementiran je u IPv6. Podrava dva naina rada:

Prijenosni nain rada (engl. Transport Mode) - Kod prijenosnog naina rada kriptira se samo podatkovni dio
IP paketa, dok zaglavlja ostaju u originalnom obliku. Prednost ovog naina rada je to to se svakom paketu
dodaje samo nekoliko okteta. Ovaj nain rada koristi se u izravnoj komunikaciji izmeu dva raunala
Tuneliranje (engl. Tunnel Mode) Koristi se u komunikaciji izmeu klijenta i posluitelja, a oni se dogovore o
mehanizmima kriptiranja. Kod IPSec tuneliranja kriptira se cijeli IP paket. Na takav paket se nadodaje
nekriptirano zaglavlje s adresom IPSec posluitelja i IPSec klijenta. IPSec adrese posluitelja i klijenta su
adrese poetka i kraja tunela.

Navedeno je prikazano na slici 6-2.

Slika 6-2: Prijenosni i tunel nain rada IPSec protokola