MR - CISCO Tehnologije U Organizaciji Računarskih Mreža

UNIVERZITET SINGIDUNUM
Departman za poslediplomske studije

MASTER STUDIJSKI PROGRAM
SAVREMENE INFORMACIONE TEHNOLOGIJE
ZAVRNI MASTER RAD
CISCO TEHNOLOGIJE U ORGANIZACIJI

RAUNARSKIH MREA
Mentor Student:
Prof. dr Mladen Veinovi Slobodan Tihojevi

410222/2013
Beograd, januar 2016.

Slobodan Tihojevi Cisco tehnologije u organizaciji raunarskih mrea
SADRAJ
1. Uvod .................................................................................................................................... 4
2. Metodologija istraivanja ...................................................................................................... 6
2.1. Predmet istraivanja ....................................................................................................... 6

2.2. Cilj istraivanja .............................................................................................................. 6
2.3. Nauni cilj rada .............................................................................................................. 6
2.4. Struktura rada ................................................................................................................. 7
3 . Planiranje i projektovanje raunarskih mrea ........................................................................ 8
3.1. Izbor izmeu dvoslojne ili troslojne arhitekture mree ..................................................... 8

3.2. Pristupni sloj .................................................................................................................. 9
3.3. Distribucioni sloj .......................................................................................................... 10
3.4. Sloj jezgra .................................................................................................................... 11
4. Proizvodi i usluge Cisco kompanije ..................................................................................... 12
4.1. Svievi (komutatori)......................................................................................................... 13
4.2. Ruteri........................................................................................................................... 15
5. Virtuelne mree .................................................................................................................. 19
5.1. Kreiranje virtuelnih mrea ............................................................................................ 20

5.2. Trunk ........................................................................................................................... 21
6. Model savremene raunarske mree ..................................................................................... 22
7. Spanning tree protokol ........................................................................................................ 29
8. HRSP ................................................................................................................................. 36
8.1 Konfigurisanje HRSP .................................................................................................... 37
9. EtherChannel ...................................................................................................................... 40
9.1 Konfigurisanje EtherChannel-a ...................................................................................... 41
1
10 . Protokoli rutiranja ............................................................................................................ 44
10.1 OSPF .......................................................................................................................... 45

10.2 OPSF implementacija kompanije ................................................................................. 48
11. WAN .............................................................................................................................. 51
11.1 Privatne WAN infrastrukture ....................................................................................... 51

11.2 Javne WAN infrastrukture ........................................................................................... 51
11.3 Mree komutacije veze ................................................................................................ 52
11.4 Mree komutacije paketa ............................................................................................. 52
11.5 Razlike izmeu tehnologija komutacije paketa i komutacije veze .................................. 53
11.6 Frame Relay .......................................................................................................... 54
11.6.1 Topologija zvezde ................................................................................................. 55
11.6.2 Potpuno isprepletena topologija .......................................................................... 56
11.6.3 Frame Relay korporacijske mree ....................................................................... 56
11.7 Point-to-Point .............................................................................................................. 57
12. Pristupne liste.................................................................................................................. 61
12.1 Standardne pristupne liste ............................................................................................ 62

12.2 Proirene pristupne liste ............................................................................................... 63
12.3 Pristupne liste kompanije ............................................................................................. 64
13. VPN ............................................................................................................................... 66
13.1Site-to-Site ................................................................................................................... 66
13.1.1 GRE Site-to-Site ................................................................................................... 66
13.1.2 IPsec Site-to-Site .................................................................................................. 67
13.2 ifrovanje.................................................................................................................... 68
13.2.1 Simetrini ifarski sistemi ..................................................................................... 68
13.2.2 Asimetrini ifarski sistemi ................................................................................... 69
13.3 Hash algoritmi............................................................................................................. 69
13.4 IPsec authentication ..................................................................................................... 70
13.4.1 PSK...................................................................................................................... 70
13.4.2 RSA digitalni potpis .............................................................................................. 70
13.5 IPsec framework.......................................................................................................... 70
13.5.1 Authentication header ........................................................................................... 71
13.5.2 Encapsulation Security Payload ............................................................................. 71
13.6 Formiranje IPsec okvira ............................................................................................... 71
13.7 Remote access............................................................................................................. 73
13.8 SSL VPN .................................................................................................................... 73
13.9 Cisco VPN reenja....................................................................................................... 73
13.10 Realizacija VPN-a kompanije .................................................................................... 74
2
14. Bezbedosnosne pretnje .................................................................................................... 77
14.1 Osnovni nivoi zatite ................................................................................................... 78

14.2 VLAN zatita .............................................................................................................. 78
14.2.1 VLAN hooping ..................................................................................................... 78
14.3 Autentifikacija............................................................................................................. 79
14.4 Konfiguracija SSH ...................................................................................................... 80
14.5 Baner .......................................................................................................................... 80
14.6 Port security ................................................................................................................ 80
14.7 Trafic storm control ..................................................................................................... 81
4.8 STP manipulation attack ................................................................................................ 82
14.9 Reconnaissance attack ................................................................................................. 82
15. Zakljuak .......................................................................................................................... 83
16. Literatura .......................................................................................................................... 84
3
1. Uvod
Raunarske mree se razvrstavaju u tri osnovne grupe, zavisno od funkcije. Lokalna

mrea (engl. Local Area Network, LAN) jedna je od najvanijih kategorija raunarskih mrea.
Arhitektura lokalnih mrea obuhvata irok spektar realizacija, od jednostavnih (dva raunara
povezana kablom) do veoma sloenih (stotine povezanih raunara i periferniih ureaja u
korporacijskoj mrei). Istaknuta osobina lokalnih mrea je njihova prostorna ogranienost -
lokalnu mreu je mogue, klasinim nainom, ostvariti na ogranienoj geografskoj povrini, kao
to je zgrada ili podruje (misli se na povrinu prenika do 5 km). Mrea koju ine raunari iz
razliitih zgrada u velikoj gradskoj oblasti, naziva se mrea gradskog podruja (engl.
Metropolitan Area Network, MAN - prenika od 5 do 50 km). Za razliku od pomenutih vrsta
mrea, regionalna raunarska mrea (engl. Wide Area Network, WAN) nema geografskih
ogranienja. Ovakva mrea moe povezivati raunare i periferne ureaje sa suprotnih strana
sveta. WAN mrea je sastavljena od nekoliko LAN mrea koje se nalaze na velikim
udaljenostima. Moe se rei da je i sam Internet WAN mrea.
Umreavanjem se mogu koristiti svi resursi koje kompanija poseduje, bez obzira da li se
ureaji nalaze na istoj lokaciji ili ne. Raunari koji su lanovi nekog od delova kompanije mogu
upotrebaljavati iz ostalih mreza :
tampae
podatke
softver za komunikaciju
baze podataka
itae kartica
kopir maine
Medijume za skalditenje podataka
4
Cisco je amerika multionacionalna kompanija koja je vodea u oblasti raunarskih mrea.

Sedite kompanije je u San Hozeu, u Kaliforniji. Ideja o osnivanju kompanije se rodila iz elje za
komunikacijom izmeu Len Bozaka i Sandi Lernera, koji su bili zaposleni na Univezitetu
Stenford, a koji usled tehnoloke nemogunosti da iz svojih kancelarija u razliitim zgradama
univerziteta nisu mogli da razmene elektronsku potu. Bili su odluni u svojoj nameri da pronau
reenje za ovaj problem i kao rezultat ovoga napravljen je prvi multiprotokolarni ruter koji je
omoguio njihovu komunikaciju. Sve ovo prethodilo je samom osnivanju kompanije u decembru
1984. godine.
Slika 1.1 - Stari i novi logo kompanije CISCO1
Naziv kompanije potie od poslednjih slova amerikog grada San Faranciska, gde je
kompanija i osnovana. Logo kompanije je objavljen 2006. godine i predstavlja most Golden Gejt
u San Francisku, a ujedno podsea i na digitalni signal. Cisco Systems inc. je pun naziv
kompanije koja danas broji preko 72.000 zaposlenih iz celog sveta i iji je prihod za 2014. godinu
iznosio preko 47 milijardi amerikih dolara.
5
2. Metodologija istraivanja
Uzimajui u obzir specifinosti prouavanog predmeta istraivanja koriene su razliite

metode kako bi zadovoljili osnovne metodoloke zahteve, a to su objektivnost, pouzdanost,
optost i sistematinost. Istraivana su nauno-teorijska saznanja, relevantna literatura i
savremena poslovna praksa korienjem pomenute metodologije.
2.1. Predmet istraivanja
Predmet istraivanja ovog pristupnog rada je analiza uloge i znaaja Cisco tehnologija u
origanizaciji raunarskih mrea. U radu se razmatra specifinost raunarskih mrea, pri emu se
razmatra nain na koji cisco tehnologija menja svet oko nas, nain na koji radimo, na koji se
zabavljamo i na koji meusobno komuniciramo
2.2. Cilj istraivanja
Cilj istraivanja sprovedenog u ovom radu je da se utvrde pogodnosti korienja Cisco

tehnologija u savremenim raunarskim mreama, koje se usred sve veih zahteva korisnika
neprestano proiruju i postaju sve kompleksnije i komplikovanije za odravanje. Bilo da su to
male mree koje broje nekoliko korisnika ili su to ogromne mree koje povezuju citave sisteme
sve njih moraju karakterisati robusnost, neprekidna dostupnost i modularnost, a sve ovo se moe
postii Cisco tehnologijama. Da bi celokupna mrea funkcionisala besprekorno svi ureaji se
moraju pravilno instalirati i konfigurisati.
2.3. Nauni cilj rada
Nauni cilj rada je da se strunoj javnosti ukae na znaaj koju Cisco tehnologije kao
vodea tehnologija dananjice ima na savremeni nain poslovanja, komuniciranja i uenja. Cisco
tehnologije zauzimaju znaajan udeo na globalnom telekomunikacionom tritu. U ovom
momentu, to je jedan opte prihvaen standard, koji je poseduje mnoge napredne tehnoloke
karakteristike.
6
2.4. Struktura rada
Nakon uvoda, u poglavlju pod nazivom Planiranje i projektovanje raunarskih mrea su

razmotreni planiranje i projektovanje raunarskih mrea i izbor izmeu dvoslojne ili troslojne
arhitekture mree. Takoe, u ovom delu rada su analizirani pristupni sloj, distribucioni sloj i sloj
jezgra. U sledeem poglavlju e biti rei o proizvodima i uslugama kompanije Cisco, gde e
panja biti posveena njihovim svievima (komutatori) i ruterima. Peto poglavlje je posveeno
analizi virtuelnih mrea, i tu e biti rei o kreiranju virtuelnih mrea i trankova (engl. trunk) koji
su veza izmeu dva svia koji nosi podatke o svim mreama, sem ako se neka od mrea nalazi na
listi nedozvoljenih. U sledeem, estom poglavlju e biti razmotrena realizacija modela
savremenih raunarkih mrea. U cilju da mree prue maksimalnu moguu dostupnost,
redudantnost je neto na ta se mora obratiti veoma dosta panje, to je obuhvaeno STP, HRSP i
EtherChannel tehnologijama u poglavljima estom, sedmom i osmom poglavlju. Razmena
podataka izmeu mrea nije mogue bez konfigurisanja nekog od protokola rutiranja, u desetom
poglavlju se govori o protokolima rutiranja i OSPF implementaciji za potrebe kompanije. Nakon
podeavanja protokola rutiranja u sledeem koraku je neophodno da se odabere WAN tehnologija
kojom e se povezati svi centri kompanije i obrazovati jednu celinu. U Dvanaestom poglavlju se
pristupnim listama odreuje ko u mrei sme sa kim da komunicira i koja ovlaenja ima. Za
kompaniju je veoma vano da svojim zaposlenima koji svojoj posao obavljaju iz kunih
kancelarija ili razliitih lokacija omogue bezbedan i jednostavan pristup resursima kompanije,
to je obuhvaeno trinaestim poglavljem. Celokupna mrea mora biti obuhvaena i osigurana
kako osnovnim, tako i naprednijim bezbednonosnim nivoima zatite o emu se govori u
etrnaestom poglavlju. Sva prethodna poglavlja i opaanja se nalaze na kraju rada kao zakljuak
7
3 . Planiranje i projektovanje raunarskih mrea
Pri planiranju i projektovanju raunarskih mrea mora se voditi rauna i o modularnosti,

kako bi se u budunosti ako se javi potreba za proirivanjem mree ili dodavanjem novih ureaja
i servisa to moe uraditi bez ometanja u radu ostatka mree i svih ureaja u mrei. Projektovanje
slojevite mree kako bi se znala uloga svakog ureaja na svakom sloju, jednostavniji rad i
upravljanje. Fleksibilnost je takoe neto emu treba posvetiti dosta panje jer je veoma bitna
stavka za nesmetano funkcionisanje mrea. Fleksibilnost omoguuje ravnomerno balansiranje
saobraaja. Balansiranje ima za cilj smanjenje vreme odaziva, korienje maksimalne propusne
moi i izbegavanje preoptereenja ureaja u mrei. Ovo je vrlo znaajno za mree za koje nije
mogue pretpostaviti broj zahteva koje e server morati da obradi. Korienjem vie ureaja za
balansiranje moe doi i poveanja pouzdanosti kroz redudantnost. I na kraju, mree moraju biti
dovoljno robusne kako bi i usled nepredvienih problem ostale uvek dostupne.
3.1. Izbor izmeu dvoslojne ili troslojne arhitekture mree
Dokazano je da hijerarhijski modeli dvoslojnih i troslojnih mrea pruaju maksimalnu

dostupnost, upravljivost, fleksibilnost i bezbednost. Tri osnovna sloja hijerarhijskog modela
mree su sloj jezgra, sloj distribucije i pristupni sloj gde svaki sloj ima svoju ulogu i funkciju.
8
Slika 3.1 - Grafiki prikaz dvoslojne i troslojne aritekture 2
Odabir izmeu dvoslojne ili troslojne arhitekture moe zavisiti od vie faktora, a
najvaniji su koliina novca koja se moe upotrebiti i koliko se optereenje oekuje. Troslojne
arihtekture svakako pruaju vii nivo bezbednosti, bolje performanse i robusnost, dok su sa druge
strane dvoslojne arhitekture isplativije u ekonomskom pogledu, jednostavnije za projektovanje i
za nijansu manje zahtevnije za odravanje. Na slici broj 2 je dat grafiki prikaz dvoslojne i
troslojne aritekture.
3.2. Pristupni sloj
Pristupni sloj predstavlja deo mree iz koje saobraaj izlazi iz mree ili ulazi u nju. Primarna
funkcija pristupnog sloja je da omoguavanje krajnjim korisnicima pristup mrei. Rutiranje i
ostale naprednije opcije se obezbeuju povezivanjem svieva koji se nalaze na pristupnim
9
slojevima sa svievima na sloju distribucije. Svievi na pristupnom sloju su uglavnom svievi

koji funkcionisu na 2. sloju OSI modela i kao dodatni vid zatite mogu koristiti i filtriranje MAC
adresa. Filtriranjem MAC adresana odreenim portovima za koje smo definisali moemo
dozvoliti pristup samo ureajima kojima verujemo. U nastavku je prikazana lista svieva i serija
koje su namenjene za upotrebu nasloju pristupa:
"Cisco Catalyst 4500E Series Switches,
Cisco Catalyst 3850 Series Switches,
Cisco Catalyst 3750-X Series Switches,
Cisco Catalyst 2960-Plus Series Switches,
Cisco Catalyst 2960-S Series Switches,
Cisco Catalyst 2960-SF Series Switches,
Cisco Redundant Power Systems."3
3.3. Distribucioni sloj
"Glavna odgovornost sloja distribucije da prikuplja i organizuje prenos podataka izmeu

pristupnog sloja i sloja jezgra. "4 Distribucioni sloj ima jako vane funkcije u ovakvoj mrenoj
arhitekturi. Svievi koji se nalaze na ovom sloju su zadueni za usmeravanje saobraaja onim
ureajima kojima je to namenjeno, bez nepotrebnog optereenja svieva na sloju jezgra ili
drugim ureajima u mrei. Radi poveanja bezbednosti na ovom sloju se mogu primeniti
pristupne liste (engl. access list) koje mogu da dozvole ili zabrane komunikaciju sa drugim
ureajima, da zabrane pristup internetu i itd. Takoe, paketi se mogu filtrirati i kroz zatitne
zidove (engl. firewall) kao dodatni vid zatite. Na slojevima distribucije i jezgra se najee
nalaze svievi koji funkcionisu na mrenom sloju OSI modela. Pored mogunosti rutiranja njih
odlikuje i opcija koja dodatno poveava kvalitet usluga (Quality of service) kojom moemo
dodeliti prioritete saobraaju koji je od veoma velike vaznosti za pravinlo funkcionisanje. Ovo se
10
na primer moe primeniti kada se kroz mreu prenose zvuni paketi tokom veoma vanog
telefonskog razgovara kada ne sme biti velikih kanjenja izmeu paketa. Mree se mogu podeliti
i logickim putem kreiranjem virtuelnih LAN mrea.
3.4. Sloj jezgra
Sloj jezgra (engl .core) predstavlja okosnicu mree i koja je odgovorna za pouzdan i brz
prenos podataka kroz mreu. Na ovom sloju se nalaze najmoderniji svievi koji podravaju
najbre mogue brzine za prenos podataka, i u najveem broju sluajeva su povezani optikim
kablovima. Zadatak ovog sloja nije rutiranje saobraaja, ve brza i sigurna isporuka. Saobraaj
koji se odvija preko sloja jezgra i kada to nije neophodno moe da utie da performanse, zbog
ovoga se rutiranje odvija na niim slojevima. Na sloju jezgra se nalazi relativno mali broj
svieva, ali ipak dovoljan broj da prue najbolje performanse i obezbede redudantnost kroz vie
putanja. Okosnica mree mora posedovati najmanje jednu alternativnu putanju kojom e
saobraaj putovati ukoliko doe do otkazivanja glavne putanje. U nekim sluajevima gde dolazi
do fizikih, mrenih i novanih ogranienja ili gde su potrebe umanjene zbog malog broja
korisnika, nije neophodno da se sva tri sloja nalaze na zasebnom nivou, ve se slojevi jezgra i
distribucije mogu nalaziti na istom nivou. Lista svieva i serija koje su namenjene za upotrebu na
slojevima jezgra i distribucije su:
"Cisco Nexus 7000 Series Switches,
Cisco Catalyst 4500E Series Switches,
Cisco Catalyst 4900M Switch,
Cisco Catalyst 3850 Series Switches."5
11
4. Proizvodi i usluge Cisco kompanije
Cisco kreira niz mrenih reenja za prenos podataka, glasa i video zapisa, ije se osnovne
karakteristike performanse, sigurnost i fleksibilnost. Sadanja ponuda proizvoda i usluga
kompanije podeljenja je na tri dela:
Korporativno trite i internet provajderi:
Mree bez granica (Borderless networks): ruteri, svievi, beicni sistemi, zatitni sistemi,
medijske mree, sistemi za upravljanje energijom i prostornim objektima,
Saradnja (Colaboration): IP video i telefoni, sistemi pozivnih centara, poslovne mree
preduzea i mobilne aplikacije, video konfernecije, inteligentni medicinski sistemi
(HealthPresence),
Sistemi baza podataka i virtualizacija: Bezbednost sistema baza podataka;
Srednja preduzea:
Ruteri i svievi: Ureaji koji su zadueni za prenos podataka kroz mreu,
Bezbednost i nadzor: IP kamere, bezbednost podataka i mree,
Konferencije i telefonija: VoIP telefonija, video konferencije,
Wireless: Beine mree,
Sistemi za mreno skladitenje: rezervno skladitenje i arhiviranje podataka;
Mali poslovi i kuna upotreba:
Kablovski modemi,
Flip - Depne kamere.
Lista proizvoda koja se nalazi u Cisco-voj ponudi je zaista impoznantna, ali da bi

razumeli kako mrea zaista funkcionie neophodno je da se zna rutiranje i komutiranje. Mrea
radi povezivanjem raunara i perifernih ureaja pomou dva dela opreme : rutera i svia. Svievi
i ruteri su od esencijalnog znaenja za umreavanje, omoguavaju da ureaji u okviru jedne
mree komuniciraju jedni sa drugima, kao i sa drugim mreama.
12
4.1. Svievi (komutatori)
Svievi su kljuni ureaji u organizaciji raunarskih mrea jer povezuju sve ureaje u
jednu mreu i omoguavaju da se paketi koji putuju kroz mreu u veini sluajeva prenesu do
ureaja kome su i namenjeni. Podaci se kroz mreu prenose na osnovu odredine MAC adrese
(jedinstvena adresa koju ima svaki ureaj koji poseduje mrenu karticu). MAC adrese koje se
nalaze u tabeli svia povezane su svaka za odreeni port.
Kada se paket prosledi do svia iz okvira paketa se izvlai MAC adresa ureaja kome je
namenjena i uporeuje se MAC adresama u tabeli. Ukoliko se adresa nalazi u tabeli, svi e paket
proslediti do porta kome ova adresa pripada, u protivnom okvir se alje ka svim portovima izuzev
porta sa kojeg je paket poslat. Ureaj koji poseduje ovu MAC adresu alje odgovor sviu koji
unosi adresu u svoju CAM (engl. content addressable memory) tabelu, i nakon toga je mogua
komunikacija izmeu ova dva ureaja bez slanja okvira drugim lanovima u mrezi. Svievi koji
prenose pakete na osnovu odredine MAC adrese funkcioniu na 2. sloju OSI referentnog
modela, tj. na sloju veze podataka. Postoje i svievi koji za prenos podataka kroz mreu koriste
odredinu IP adresu i ovi ureaji funkcionisu na 3. sloju OSI modela, na mrenom sloju.
Pored toga svievi se dele na upravljive (eng. managed) i neupravljive (eng. unmanaged).
Neupravljivi svievi su vrlo jednostavni i ne mogu se dodatno konfigurisati. Uglavnom se mogu
nai u kunoj upotrebi ili u mrei sa vrlo malo uesnika gde dodatna podeavanja nisu
neophodna. Sa druge strane, upravljivi svievi nude sposobnost upravljanja, podeavanja i
kontrolu nad nainom na koji podaci putuju i ko moe da im pristupi. Takoe, upravljivi svievi
podravaju SNMP protokol (engl. Simple Network Management Protocol), koji omoguava laku
razmenu informacija izmeu ureaja u okviru mree. Pomou ovog protokola mreni
administratori sa udaljene lokacije mogu nadgledati rad svih ureaja na mrei i da ukoliko doe
do neprevienih problema vrlo lako detektuju i otklone problem bez svog fizikog pristupa.
Postoji vie vrsta svieva, a pri projektovanju moraju se odabrati oni koji najvie odgovaraju
potrebama mree. Izbor se ogleda izmeu fiksne ili modularne i sloive ili nesloive
13
konfiguracije. Fiksne konfiguracije ne podraju dodatne opcije sem onih koje dolaze uz svieve,
takoe se ne mogu dodavati novi portovi.
Slika 4.1 - Svi kompanije Cisco - Catalyst 49486
Svievi sa modularnim konfiguracijama nude znatno vie fleksibilnosti, mogu se

prilagoditi potrebama mrea. Broj portova na ureaju se mogu nahnadno poveavati ili
smanjivati. Mogue je i dodavanje firewall i wireless modula kao i veliki broj kartica.
Slika 4.2 - Svievi sa modularnim konfiguracijama kompanije Cisco 7
Sloivi svievi su obini mreni svievi koji se mogu koristiti i kao samostalni i koji su
potpuno funkcionalni kao takvi. Oni mogu funkcionisati i kao povezni sa ostalim svievima,
najvei broj svieva koji se mogu povezati na ovaj nain je devet. Svievi povezani na ovaj nain
funkcioniu kao jedan koji prua znatno vee prefromanse. Sloivim konfiguracija se postie
znatno vea dostupnost jer pri otkazivanju nekog od svieva ostali mogu preuzeti ulogu koja je
pripadala tom sviu.
14
Slika 4.3 - Pravilno povezivanje Cisco svia8
Pored osnovnih povezivanja i prenoenja podataka kroz mreu, svievi poseduju i niz
naprednijih opcija kojima mogu da obezbede da se komunikacija odvija efikasnije i bezbednije
dodatnim konfigurisanjem ureaja. Svievi za povezivanje sa ostalim ureajima u mrei,
konfiguraciju i udaljeni pristup koriste tri tipa kabla, i to su:
LAN - Za povezivanje sa ostalim ureajima u mrei
Konzolni - Za konfiguraciju sa lokalnog raunara
Aux Za udaljeni pristup preko dial-up konekcije
Kao to je ve reeno, svievi se biraju na osnovu potreba mrea. Pored razliitih tipova
konfiguracija, vrlo znaajni faktori pri odabiru svieva su i cene ureaja, broj portova, brzina
portova, mogunost proirenja, snaga, pouzdanost i memorija.
4.2. Ruteri
Proseni korisnici interneta oekuju da mogu vrlo lako pristupe web stranicama, razmenjuju
elektronsku potu, gledaju filmove ili pak preuzmu neki dokment bez obzira na to da li se server
pristupa nalazi u sopstvenoj mrei ili u mrei na sasvim drugom kraju sveta sa kojom nisu
direktno povezani. Sa druge strane porfesionalci koji se bave informacionim tehnologijama znaju
da komunikacija izmeu mrea ne bi bila mogua bez rutera koji su zadueni za prenos podataka
od originalnog izvorita do kranjeg odredita. Prilikom prenosa sa jedne mree na drugu ruteri
utvruju najbolju moguu putanju za prenos podataka i prosleuju je do narednog rutera. Ruteri
funkcioniu na treem nivou OSI refertnog modela odnosno na mrenom sloju pa je zbog toga
osnovna informacija koja se koristi za ovu finkciju je odredina IP adresa.
15
Ruteri se mogu posmatrati kao namenski projektovani raunari. Da bi ruter pravilno

funkcionisao i nesmetano obavljao svoju ulogu kao i svi raunari mora posedovati sopstvene
procesore i memoriju za trajno i privremeno uvanje podataka koji su neophodni za izvravanje
instrukcija operativnog sistema i uvanje konfiguracija. Ruteri za skladitenje podataka koriste :
"Fle memorija sadri kompletnu sliku IOS operativnog sistema, tokom procesa
pokretanja IOS se iz fle memorije kopira u RAM memoriju. Sadraj fle memorije se ne
gubi kada je napajanje iskljueno.
NVRAM memorija sadri inicijalnu konfiguraciju rutera i moe se koristiti za
bekapovanje. NVRAM takoe kao i fle memorija ne gubi podatke kada je napajanje
iskljueno.
ROM memorija uva dijagnostike podprograme i ogranieni IOS u sluaju da ruter ne
moe da uita pun IOS. Sadraj se ne gubi kada je napajanje iskljueno.
RAM ili radna memorija (engl. Random Access Memory) omoguava privremeno
smetanje aplikacija i procesa koji se odvijaju, pokrenuti operativni sistem i ARP i IP
tabele. Protokol za razreavanje adresa (engl. Address Resolution Protocol, ARP) je
protokol zaduen za pronalaenje hardverske adrese odredita putem njegove ip adrese. U
IP tabelama se nalaze podaci kojima se navode rute ka odreenim mreama. RAM
memorija ne prua mogunost trajnog skladitenja jer se podaci gube kada je napanje
iskljueno."4
Dve osnovne funkcije rutera su :

Prenos paketa do odredita - Proces usmeravanja paketa se odvija nakon prispea
paketa na ruter posle ega se iz okvira paketa izvlai odredina adresa koja se zatim
uporeuje sa zapisima koji se nalaze u tabeli rutiranja i odreuje se putanja koja je
najbolja za prenos paketa do odredita.
Odreivanje najbolje putanje za prenos paketa - Primarna funkcija svakog rutera je da
utvrdi najbolju putanju kojom e se paketi preneti do odredita. Da bi ruter utvrdio
najbolju putanju, predhodno je neophodno da u svojoj tabeli rutiranja pronae IP adresu
16
koja je odgovara IP adresi odredita. Ako odredina IP adresa paketa pripada ureaju koji
je direktno povezan sa jednim od interfejsa na ruteru paketi se direktno prosleuju na
odredini ureaj. Nasuprot direktno povezanih mrea postoje je i udaljene mree kojima
se paketi do odredita prenose posredstvom drugog rutera. esto se moe dogoditi da
rutera stigne i odredina IP adresa koja ne pripada ni udaljenoj ni direktnoj povezanoj
mrei. U tim sluajevima ruter utvruje da li postoji podrazumevani put za IP adrese koje
se ne nalaze u tabeli rutiranja. Ako postoji paketi ce biti preusmereni na podrzumevani
izlaz, u suprotnom paketi e biti odbaeni.
Slika 4.4. - Proces odluivanja o odreivanju najbolje putanje za prenos paketa 9
Odabir najbolje putanje za prenos paketa je mogu samo u sluaju kada do odredita
postoji vie putanja. Protokoli rutiranja su zadueni za odabir najbolje putanje na osnovu metrike
koja se koristi da se odredi udaljenost do mree. Putanja sa najmanjom metrikom ima najveu
teinu i ona e biti odreena kao najbolja putanja. Metrika moe da se zasniva na jednu ili vie
karakteristika putanje. Svaki protokol za rutiranje ima sopstvena pravila za odreivanje metrike,
tako se npr. RIP (engl. Routing Information Proticol) protokol zasniva na broju posrednika do
odredita, OSPF (engl. Open Shortest Path First) protokol se znasniva protoku, dok se EIGRP
(engl. Enhanced Interior Gateway Routing Protocol) protokol pri odabiru putanje oslanja na vie
17
parametara, a to su : protok, kanjenje, optereenje i pouzdanost. Moe doi i do sluaja kada dve
ili vie putanje imaju istu metriku pa se u tom sluaju paketi ravnomerno rasporeuju kroz sve
putanje. Ruteri mogu biti podeeni da koriste i vie protokola za rutiranje istovremeno, i da
ukoliko doe do nepredvienih problema jedan protokol preuzme ulogu drugog protokola.
Cisco IOS koristi ono to je poznato kao administativno rastojanje da odredi put koji e
uneti u tabelu rutiranja. Administrativno rastojanje predstavlja poverenje putanje, to je rastojanje
manje poverenje u putanju je vee.
Tabela 4.1. - Prikaz vrednosti administrativnih rastojanja10
18
5. Virtuelne mree
Besprekorno funkconisanje mree i njena bezbednost su veoma vani faktori za rast i

uspeh organizacije kao i za odravanje produktivnosti zaposlenih. Jedan od naina koji se koristi
za poboljanje performansi je odvajanje velikih domena emitovanja (Broadcast Domain) u manje,
odvajanje domena smanjuje nepotreban saobraaj jer se saobraaj odvija samo izmeu lanova
jednog domena. Na taj nain se i mrenim administratorima omoguava efikasniji i jednostavniji
rad jer se mrea pojednostavljuje i samo se lanovima u okviru jednog mrenog segmenta
dozvoljava meusobna komunikacija. Tako se pojedine grupe koje sadre poverljive podatke
mogu potpuno izolovati od ostatka mree i ostati vidljive samo ovlaenim licima koji za to
imaju dozvolu , to je veoma bitno u odravanju bezbednosti i uvanju osetljivih podataka.
Smanjenje trokova je jo jedna od bitnijih stavki, implementacijom virtualnih mrea se smanjuje
potreba za nadogradnjom i kupovinom novih mrenih ureaja koji bi se koristili za odvajnje
mree u segmente, takoe pojednostavljenjem mrea one postaju lake za odravanje ime se
moe smanjiti broj zaposlenih koji obavljaju posao administracije mree dugorono gledano na
ovaj nain moe doi do velike utede.
Postoji vie tipova virtualnih mrea koje se koriste u savremenim raunarskim mreama,
a one se razlikuju u zavisnosti od tipova podataka koje opsluuju ili njihovih funkcija. Data
VLAN je virtuelna mrea kroz koja prenosi podatke gnereisane od strane korisnika.
Podrazumevani (Default ) VLAN za sve Cisco svieve je vlan 1 i po inicijalnoj konfiguraciji svi
portovi pripadaju tom vlan-u. Ovo omoguava ureajima povezanim na bilo koji port jednog
svia da komunicira sa drugim ureajem koji je povezan na neki od interfejsa drugog svia.
Podrazumevani vlan se ne moe obrisati ili promeniti njegov naziv, ali se portovi mogu dodeliti
drugom vlan-u. Trunk portovi su veze izmeu koji podravaju prenos saobraaja vie od jednog
vlan-a. Upravljivi (Managment ) VLAN se uglavnom kreira kako bi se dobila mogunost da se
sviu pristupi, omogui njegova konfiguracija i upravljanje sa udeljene lokacije putem Http-
a,Telenet-a, SSH ili SNMP-a. Da bi se napravio upravljivi vlan, neophodno je da virtuelni
interfejs na vlan-u dobije svoju Ip adresu, mrenu masku i podrazumevani mreni izlaz.
19
Saobraaj za koji je neophodno da kanjenje bude manje od 150 ms, koji ima prioritet u
odnosu na druge vidove saobraaja i koji mora imati osiguran ujednaeni propusni opseg da
obezbedi visok kvalitet prenosa VoIP saobraaja mora pripadati zasebnoj virtuelnoj mrei.
Broj virtuelnih mrea koje podravaju svievi zavisi i od samih modela, ali broj podranih
virtuelnih mrea je dovoljno veliki da podmiri potrebe veine organizacija. "Na primer, svi
Catalyst 2960 i svievi iz serije 3560 imaju podrku za vie od 4000 virtuelnih mrea. Normalan
broj virtuelnih mrea za dodelu se kree od 1 do 1005. Raspon od 1002 do 1005 za rezervisani
za potrebe svia i oni se ne mogu brisati niti se mogu menjati njihova imena. A raspon dodatnih
virtuelnnih mrea za svieve koji podravaju vei broj je od 1006 do 4094. Ovi svievi mogu
imati primenu na javnim mestima aerodromima, parkovima i drugim mestima sa velikim brojem
korisnika mree, gde se zbog bezbednosti svaki korisnik smesta u zasebnu virtuelnu mreu."11
5.1. Kreiranje virtuelnih mrea
U sledeem primeru bie prikazana sintaksa koja se koristi za dodavanje vlanova i njeno
imenovanje. Smatra se da je najbolja praksa da se svakoj virtuelnoj mrei doda smisleni naziv.
Student(config)# vlan 10 Kreiranje vlan-a 10

Student(config-vlan)# name Student Dodeljivanje naziva Student za vlan 10
Student(config-vlan)# end Povratak u privilegovani reim
Nakon kreiranja virtuelnih mrea, sledei korak je dodeljivanje portova mrei. U datom
trenutku port moe pripadati samo jednom vlanu, jedini izuzetak moe biti ako je na portu
povezan IP telefon koji moe biti deo dva vlana.
Student(config)# interface fa0/1
Odabir porta koji e biti dodeljen
Student(config-if)# Switchport mode access
Stavljanje porta u reim pristupa
Student(config-if)# Switchport access vlan 10
Dodeljivanje porta vlan-u 10
Student(config-vlan)# end
Povratak u privilegovani reim
20
5.2. Trunk
Trankovi (engl. trunk) su veza izmeu dva svia koji nosi podatke o mreama, sem ako se
neka od mrea nalazi listi nedozvoljenih. Da bi trank funkcionisao oba kraja moraju biti
podeena. U prilogu ispod je dat primer podeavanja trank ureaja.
Student(config)# interface fa0/2

Odabir porta koji e biti dodeljen
Student(config)# switchport mode trunk
Stavljanje porta u reim trunk
Student(config)# switchport trunk native vlan 10
Postavljanje vlan-a 10 kao podrazumevanog
Student(config)# switchport trunk allowed vlan 10,20
Unos liste dozvoljenih vlan-ova
21
6. Model savremene raunarske mree
Savremene raunarske mree koje su danas u upotrebi se umnogome razlikuju od mrea

koje su bile aktuelne pre samo desetak godina. Ove mree su bile izolovane i uglavnom su se
koristile za prenos pojedinih podataka i za tampanje. Kako su se organizacije irile i povezivale
sa svojim filijalama tako su i mree pored prenosa podataka i tampanja dobijale nove uloge, a
samim tim su i mree bivale kompleksnije i tee za upravljanje. A kao reenje za jednostavnije
upravljanje i administraciju se pojavilo u hijerhijskom modelu mree sa dvoslojnom i troslojnom
arhitekturom. Meutim ovo reenje poseduje i odreene slabosti koje su najuoljivije pri
implementaciji i odravanju velikih mrea. Ovi problemi se mogu prevazii na vrlo efikasan
nain upotrebom modularnog dizajna mree. Modularni dizajn mree ima za cilj da izvri podelu
i da mreu odvoji na nekoliko manjih funkcionalnih grupa od kojih svaka ima odreenu ulogu i
funkciju. Mree se na ovaj nain fiziki i logiki umanjuju i postaju jednostavnije za odravanje i
rukovoenje. Problemi koji se pojave unutar jednog modula se mogu izolovati od ostatka mree,
bez ometanja u radu drugih modula i da se kao takvi jednostavnije otklone. Ovakav dizajn prua
veliku fleksiblnost i dozvoljava nadogradnju ili uvoenje novih usluga ukoliko je to potrebno.
Ukoliko je mrea dovoljno velika i zahteva operativno odvajanje onda moduli mogu koristiti
hijerahijski model sa slojevima jezgra,distribucije i pristupa. Mree sa kombinovanim
modularnim i hijerahijskim modelima daju Enterprise arhitekturu koja se danas najee koristi
pri projektovanju mrea velikih kompanija. Cisco Enterprise arhitektura prepoznaje est glavnih
funkcionalnih oblasti, a to su :
22
Slika 6.1 - Model Cisco enterprise arhitekture 12

Sedite organizacije - Oslonac ovog funkcionalnog modula se ogleda u inteligentnom
rutiranju i komutiranju paketa i naprednim sistemima bezbednosti na sloju jezgra. Ova
arhitektura obezbeuje visoku dostupnost kroz elastian vieslojni dizajn, viak
hardverskih i softverskih komponenti i procedure za rekonfiguraciju putanja ukoliko
primarna putanja nije dostupna. Takoe se moe i izvriti optimizacija protoka i QoS
(Quality of Service) koji obezbeuju da se zvuni, video i drugi bitni fajlovi do svog
odredita prenesu sigurno i bez kanjenja. 13
Ekstranet - Veza izmeu sedita organizacije i drugih modula se ostvaruje kroz ovu
funkcionalnu oblast koja omoguava organizaciji da koristi internet i partnerske resurse,
kao i da obezbedi sredstva za svoje klijente.
Servis provajder - Filijale organizacije koje se nalaze na udaljenim lokacijama moraju

biti u stanju da komuniciraju i razmenjuju podatke sa seditem organizacije , upravo je
ova funkcionalna oblast zaduena za povezivanje i umreavanje na internetu. Lokalne
mree spojene na ovaj nain obrazuju WAN mreu koja je u vlasnitvu servis
provajdera. Podaci organizacija se prenose posredstvom javnih telefonskih mrea
(PSTN), kablovske televizije, Frame Relay-a i ATM-a koji se koriste za udaljene
lokacije i drugim tehnologijama. Operateri uspostavljaju vezu do udaljenih lokacija za
23
potrebe prenosa podataka kroz njihovu infrastrukturu, zbog ega je organizacija u

obavezi da plati naknadu za korienje usluga servis provajdera.
Centri baza podataka - Podaci su jedni od kljunih aspekata za poslovanje na koje se

veina organizacija u svetu oslanja. Ako sistem postane nedostupan, moe dovesti do
smanjenog obima poslovanja ili ak do potpunog prestanka rada. Zato je od veoma
velike vanosti za organizaciju da poseduje spostveni informacioni sistem koji e
zaposlenima, dobavljaima i klijentima garantovati pristup aplikacijama i resursima i na
taj nain odri visok kontinuitet poslovanja. Takoe je poeljno da pored centralnih
sistema baza podataka organizacija poseduje i redudatne centre za smetanje podataka
koji mogu preuzeti ulogu primarnih ukoliko doe do nepredvienih problema.
Filijale Ove lokacije su obino odgovorne za pruanje bezbednosti. U vremenima

globalne ekonomske krize organizacije se fokusiraju na poveanje profitabilnosti kroz
poboljanje efikasnosti svojih postojeih poslova, poveanje produktivnosti zaposlenih i
smanjivanje trokova. Organizacije moraju smanjiti trokove poslovanja kako bi
poveale produktivnost. Izmetanje centara baza podataka na udaljene lokacije koje su
ekonomskom smislu isplativije za poslovanje moe doneti znaajne utede organizaciji,
a samim tim se i mrea sedita organizacije dodatno rastereuje. Ove funkcionalne
oblasti uglavnom imaju specijalizovane zadatke a to mogu biti komunikacioni centri,
centri za prodaju, pruanje bezbednosti i itd. Usled poveanja obima posla organizacije
se otvaranjem novih filijala mogu vrlo lako proiriti bez ometanja ve postojee mree.
Ove funkcionalne oblasti ukljuuju filijale koje se nalaze na udaljenim lokacijama, i koje
uglavnom imaju manje specijalizovane zadatke kao npr. backup centri, telefonija, centri
prodaje i tako dalje. Usled poveanja obima posla raunarska mrea organizacije se
otvranjem novih filijala moe vrlo lako proiriti bez ikakvih problema.
24
Rad na daljinu U savremenom poslovanju je sasvim normalna pojava da zaposlenima

omogui da obavljaju svoj posao izvan svojih kancelarija. Bilo da su to video
konferencije iz hotela posle vanih sastanaka ili administracija mree iz kunih
kancelarija usled pojave odreenih problema na mrei. Zaposleni koji obavljaju svoj
posao na terenu takoe mogu kao i svi ostali zaposleni da punopravno koriste resurse koji
se nalaze u seditu kompanije posredstvom VPN mrea na vrlo jednostavan i bezbedan
nain. Kompanije esto ohrabruju zaposlene i podstiu ih na rad od kue, a postoji vie
razloga za to krenuvi od poveanja produktivnosti, smanjenje putnih trokova i vremena
utroenog na putu do posla to na kraju rezultira velikom novanom utedom i
smanjenom emisijom tetnih gasova u atmosferu. Na internetu se mogu pronai brojni
podaci o tome koliko se moe utedeti na ovaj nain, to e u narednom periodu samo
poveati broj zaposlenih koji e svoj posao obavljati iz kunih kancelarija.
Slika 6.2 ema mree kompanije po Cisco ente rprise arhitekturi
Cisco Packet Tracer je mreni simulator koji omoguava studentima da projektuju mree
sa gotovo neogranienim brojem ureaja i da iskuse reavanje problema bez potrebe da kupe
25
Cisco ureaje. Upravo je ovaj moni mreni alat iskorien za projektovanje raunrske mree po
Cisco Enterprise aritekturi, o kojoj e se u daljem radu govoriti kao o mrei TheTihoj kompanije.
Kompanija koja se koristi kao primer je izmiljena.
TheTihoj kompanija je svoj posao zapoela kao izuzetno mala kompanija sa svega
nekoliko zaposlenih radnika i jednom LAN mreom za deljenje informacija izmeu svih raunara
. Kompanija je u svom poslovanju bila izuzetno uspena to je rezultiralo dobijanjem velikog
broja poslova na novim projektima. Da bi uspela da odgovori na sve poslovne obaveze
kompanija je morala da zaposli vei broj radnika i da povea svoj poslovni prostor. Sa
poveanjem obima poslovanja i brojem zaposlenih bilo je potrebno i da se mrea kompanije
pored centralne lokacije proiri i na druge lokacije. Da bi poveala profitabilnost kompanija mora
da smanji svoje operativne trokove i da povea produktivnost. U cilju smanjenja trokova
kompanija je zaposlila nekoliko radnika koji svoj posao obavljaju od kue, otvorila je svoje dve
filijale u podruja gde je cena radne snage daleko nia i redudantni centar za skladitenje
podataka je premeten u mesto koje je manje podlonije vremenskim neprilikama i sa znatno
jeftinijom elektrinom energijom.
Umesto nekada jedne male LAN mree, sedite kompanije danas poseduje sedam
podmrea, svaka posveena drugom odeljenju i namenske servere za skladitenje i prenos
podataka, kao i servera za razmenu elektronske pote. Zaposleni su svrstani u razliite podmree,
zavisno od posla kojim se bave. Za pravilno funkcionisanje mree i njeno odravanje su zadueni
administratori za koje je predvien VLAN 16 koji se naziva Admin. Opseg predvien za
administratore je 192.168.16.0/24, dozvoljene su sve adrese izuzev prvih 50 koje su rezervisane
za rutere i svieve u mrei. Dodeljivanje adresa ruterima i svievima iz podmree Admin
olakava administratorima nadgledanje i administraciju. Svi lanovi podmree Admin imaju sve
privilegije i mogu pristupiti svim delovima mree, jedina ogranienja se nalaze u vidu zabrane
pojedenih servisa na internetu i web stranica. Naredna podmrea sa najveim privilegijama je
VLAN 10 sa nazivom Chief. Jedini deo mree kome je dozvoljena bezina mrea (wireless). Za
razliku od korisnika koji se nalaze u VLAN-u 16 korisnici u VLAN-u 10 nemaju mogunost
administracije ureaja u mrei. Menadzment kompanije takoe poseduje poseban deo mree za
26
svoje potrebe, i ovaj deo mree ima neto vee privilegije od preostalih podmrea. lanovi ove
mree su smeteni u VLAN 20 sa opsegom 192.168.20.0/27. Mnogi poslovi se obavljaju
istovremeno pa tako postoje razliita funkcionalna odeljenja koja obavljaju razliite poslove i
imaju posebne namene, ta odeljenja su Vlan-ovi sa brojevima 30, 40 i 50. Najvea ogranienja su
primenjena na ova odeljenja, dozvoljena im je komunikacija sa ureajima i filijalama koje su im
neophodne za obavljanje poslova, kao i sa serverima baza podataka. Dok je sva ostala
komunikacija zabranjena bilo iz bezbedonosnih razloga ili zbog onemoguavanja zaposlenih da
koriste resurse kompanije za sopstvene potrebe i troenja radnog vremena za zabavu i slino.
Jedna od najbitinijih funkcionalnih oblasti u mrei je svakako oblast u kojoj se nalaze serveri za
smetanje podataka i pruanje velikog broja servisa i procesa. Svi ureaji koji ine kompletnu
mreu kompanije imaju mogunost upisivanja i itanja podataka iz baza, korienja servisa i
resursa dok se samo povlaenim ureajima prua i mogunost izmene i brisanja. Sinhronizacija
izmeu centra za smetanje podataka u seditu kompanije i redudantnog centra koji se nalazi na
udaljenoj lokaciji prua visoku dostupnost podataka i sigurnost od gubitka ukoliko doe do
nepredvienih problema na nekoj od lokacija. Detaljan prikaz adresa svih mrea, ureaja,
rezervisanih adresa , nazivi i brojevi VLAN-ova u seditu kompanije su dati u sledeoj tabeli.
Tabela 6.1 Tabelarni prikaz IP adresa i VLAN-ova u seditu kompanije

Ruteri Edge 1 i Edge2 su deo kompleksa mree u seditu kompanije i nalaze se izmeu mrea
internet servis provajdera sa jedne strane i svieva Core1 i Core2 na drugoj strani koji zajedno sa
svievima na sloju distribucije i pristupnom sloju daju hijerarhijski model troslojne arihtekture.
Svievi Core1 i Core2 funkcioniu na mrenom sloju, pa se zbog toga u ovakvoj arhitekturi
ponasaju kao ruteri i uestvuju u prenoenju paketa izmeu mrea. Kvalitet prenosa i sigurna
isporuka paketa koji se prenose kroz mreu postie se postavljanjem redudatnih ureaja na istom
nivou koji svojim sinhronizovanim radom mogu ravnomerno rasporediti saobraaj ili preuzeti
27
ulogu ureaja sa kojim obavljaju zajedniku ulogu. Takoe reduntnost se moe poveati i ukoliko
se ureaji koji se nalaze na jednom nivou meusobno poveu jednom vezom ili obrazovanjem
kanala koji funkcioniu kao jedan ( EtherChannel ), kao i viestrukim povezivanjem sa
ureajima koji se nalaze u njihovom susedstvu. Tako se
izmeu rutera koji se nalaze na ivinom delu mree i svieva sa ulogom rutera koji se nalaze na
sloju jezgra obrazuje 5 mrea, a svi ureaji su meusobno povezani. Adrese mrea se prostiru od
192.168.100.0 pa sve do 192.168.100.16 , mrena maska kod svih mrea je 255.255.255.252.
Slika 6.3 - Veza izmeu ivinih rutera i rutera na sloju jezgra

Filijale su ve funkcionalno izdvojene iz sedita kompanije i specijalizovane za
obavljanje tano odreenih delova zadataka, zbog toga nije potrebna dalja logika podela na
manje podmree. Pa se tako podaci koji se razmenjuju izmeu ureaja koji se nalaze u jednoj
lokaciji odvijaju kroz jednu mreu. Prikaz adresa mrea filijala, ureaja i rezerivsanih adresa je
dat u narednoj tabeli.
Tabela 6.2 - Adresa i mrea filijala

Zaposleni koji obavljaju svoj posao udaljenih lokacija i kunih kancelarija se sa
centralnom lokacijom povezuju putem VPN konekcije koja se odvija izmeu VPN rutera u
centralnoj lokaciji i ureaja putem kojeg zaposleni pristupaju mrei. Opseg adresa koji je
dodeljen za zaposlene koji pristupaju sa udaljenih lokacija dolazi iz podmree Admin i za njih su
rezervisane adrese od 192.168.16.100 do 192.168.16.110
28
7. Spanning tree protokol
Kao to je do sada vie puta naglaavano redudantnost je klju za odravanje pouzdanosti

mree. Viestruke fizike veze izmeu ureaja daju alternativne putanje, pa ukoliko doe do
otkazivanja nekih od veza ili pojedinih portova mrea e nastaviti sa prenosom paketa kroz
alternativne putanje i portove. I na taj nain korisnicima omoguava pristup mrenim resursima
uprkos prekidu glavne putanje. Meutim viestruke veze mogu izazvati problem u mrei ukoliko
ne potoje mehanizmi koji e spreiti pojavu petlji koje se mogu javiti kada postoji vie puteva
izmeu dva ureaja. Ova pojava je naruito izraena pri prosleivanju saobraaju i uenju novih
putanja. Ukoliko raunar PC0 zeli da razrei adrese svih ureaja u mrei, on poalje okvir za
razreenje adresa do svia S1 koji zatim aurira svoju tabelu i belei port f0/2 na kojem je ureaj
PC0 dostupan. Nakon toga S1 prosleuje okvir ka svim portovima izuzuzevi port sa kojeg je taj
zahtev pristigao. Paket sa okvirom pristie i do svieva S2 i S3 koji takoe auriraju svoje tabele
i belee portove f0/1 i f0/24. Zbog toga to je ovo zahtev za razreenje, svievi S2 i S3 dalje
prosleuju okvir na sve portove izuzev porta sa kojeg je ovaj zahtev doao, pa tako svi S2
prosleuje okvir do svia S3, koji okvir sa porta f0/24 prosleuje na port f0/2 do svia S2. Oba
svia auriraju svoje tabele sa netanim portom za raunar PC0, okvir se dalje prosleuje na
istovetan nain, te na taj nain okvir ponovo dolazi do svia S1 koji poslednje pristiglim okvirom
aurira tabelu takoe netanim portom za PC0.
Slika 7.1 ema primera u Cisco Packet tracer
29
Ovaj proces se ponavlja iznova i iznova sve dok petlja ne prekine odstranivanjem veza
koje su uzrok petlje ili dok se ne iskljui neki od ureaja koji se nalazi u petlji. Petlje mogu da
imaju ozbiljan uticaj na pravilno funkcionisanje mree, esto mogu dovesti i do potpunog kolapsa
i prestanka rada mree. Jer se isti okviri prosleuju iznova, a sve to dodatno optereuje procesor
koji umesto obrade ligitimnog saobraaja mora da obradi veliku koliinu podataka koja se nalazi
u petlji. Zbog stalnih promena u tabeli svi ne zna na kom portu treba da prosledi pakete te ih
odbacuje. Sve vei broj okvira stvara elektronsku oluju, koja nastaje kad je sam propusni opseg u
upotrebi. Posledice elektronskih oluja mogu biti i kvarovi na ureajima koji ne mogu da izdre
prevelika optereenja. Kako bi se spreila pojava petlji osmiljen je Spanning tree protokol koji
redudantne putanje namerno blokira i obezbeuje samo jednu putanju izmeu dva ureaja.
Blokirana putanja i dalje postoji, ali je postala sekundarna i moe se aktivirati i preuzeti ulogu
primarne putanje onog trenutka kada je to potrebno. Na ovaj nain se spreava pojava petlji u
mrei. Mehanizam koji se koristi za odreivanje putanje koja e biti blokirana je Spanning tree
algoritam koji najpogodnijem sviu dodeljuje ulogu korena mosta i koristi ga kao glavnu taku
za proraune. Trokovi puta se koriste za proraune, a glavna vrednost na osnovu koje se
odreuje troak je brzina svih portova du njihove putanje. Konaan zbir trokova odreuje
ukupan troak do korena mosta, ukoliko postoji vie putanja spanning tree algoritam bira putanja
sa najniim Trokovima. Trokovi za podrazumevani port su definisani brzinama kao to je
prikazano na slici.
Slika 7.2 - Vrednosti trokova na osnovu brzina portova 14
30
Slika 7.3 - Konfigurisanje cene kotanja 15

Trokovi se po potrebi mogu konfigurisati unosom vrednosti od 1 do 200,000,000.
Kako bi se osiguralo da jedan od mostova dobije ulogu korenog mosta na sviu se mogu menjati
vrednosti koje e jednom od mostova dodeliti vei prioritet u odnosu na druge. Svi sa najniom
vrednou za prioritet ima prednost nad ostalima. Uobiajena vrednost za sve Cisco svieve je
32768, prioritetne vrednosti se mogu nalaziti u rasponu izmeu 0 i 61440, s tim to se vrednosti
mogu poveavati za 4096.
Nakon odreivanja kotanja svih putanja, koren most dodeljuje uloge svim portovima koji
se nalaze u domenu emitovanja. Uloge opisuju njihov zadatak u mrei.Koreni port je port koji je
direktno povezan sa korenim mostom i vodi do njega. Svi ostali portovi kojima je dozvoljen
prenos saobraaja se nazivaju obeleenim portovima. Portovi koji se nalaze na koren mostu su
oznaeni portovi. Alternativni portovi su oni koji su blokirani i koji slue za preuzimanje uloge
portova koji se nalaze na glavnoj putanji. Kod portova koji se nalaze na alternativnim putanjama
se uglavnom blokira samo jedan kraj kako bi se to brze prelo u reim prenosa kada je to
neophodno.
Postoji nekoliko tipova Spanning tree protokola, vei deo njih je standaridzovao isntitut
IEEE a to su STP, RSTP i MSTP. Dok je ostala reenja standardizovala Cisco kompanija i ona se
oslanja na PVST+ i Rapid PVST+.
Raunarska mrea TheTihoj kompanije kao mehanizam za spreavanje pojave petlji

koristi Rapid PVST+ protokol koji je unapreenje RSTP protokola. Ovaj protokol funkcionie na
osnovu VLAN-a spanning tree instanca se kreira kada interfejs dobija svoja VLAN, a uklonjena
je kada se poslednji interfejs pree u drugi VLAN. Kod Rapid PVST+ protokola postoji i ivini
31
port, ovaj port je direktno vezan za raunare ili druge krajnje ureaje. Poseduje i mogunost
podesavanja porta u reim prenosa to je i preporuljivo jer se time skrauje vreme koje je
potrebno za sluanje i uenje statusa tog porta. Komanda koja se koristi je spanning-tree portfast.
Tip veze koji daje kategorizaciju za svaki port koji uestvuje u RSTP. U zavnisnosti od toga sta
je vezano za taj interfejs postoje dva tipa veza,a to su od take do take i deljena. Veze od take
do take funkcionie u dupleks reimu i povezuje dva svia, dok deljena funkcionie u polu
dupleks reimu i povezuje svi sa habom koji je dalje vezan sa vie ureaja.
Spanning tree algoritam je u seditu kompanije TheTihoj primenjen na svim svievima

koji se nalaze na slojevima jezgra, distribucije i pristupa. Meutim da bi spanning tree algoritam
pravilno funkcionisao neophodno je da se primene pravila koja e svievima dodeliti uloge i
prioritete.Svievi Core1 i Core2 koji se nalaze na sloju jezgra ine oslonac mree tako da se
celokupna komunikacija odvija kroz ova dva ureaja,zato je neophodno da imaju prvenstvo u
odnosu na ureaje koji se nalaze na niim nivoima. To se moe postici davanjem niih vrednosti
za prioritete od svieva na nivoima distribucije i pristupa. U ovom sluaju nie vrednosti imaju
vei prioritet.
Slika 7.4 Konfigurisanje STP na ureaju Core1
Slika 7.5 Konfigurisanje STP na ureaju Core2
Kako bi se osiguralo da svi svievi koji funkcioniu na jednom nivou ravnomerno

uestvuju u prenosu saobraaja neophodno je da svaki od njih dobije svoj deo zadatka.
Ravnomerno balansiranje saobraaja moe spreiti da usled preoptereenja jednog od ureaja
doe i do njegovog otkaza to bi moglo da dovede do velikih problema u radu celokupne mree.
Tako je svi Core1 primarno zaduen za prenos saobraaja VLAN-ova 10, 16 i 20, dok Core2
32
zaduen za prenos saobraaja VLAN-ova 30, 40, 50 i 60. Prioriteti na ruterima za ije su mree
primarni nosioci su 0 dok su za sekundarne 4096 .U sluaju da se javi potreba svievi mogu
obavljati funkciju koja je provobitno dodeljena sviu sa kojim deli ulogu.
Slika 7.6 Konfigurisanje STP na ureajima Distribution1 i Distribution3
Slika 7.7 Konfigurisanje STP na ureajima Distribution2 i Distribution4
Konfiguracija STP protokola na svievima Distribution1 i Distribution2 je slina

konfiguraciji rutera Core1 i Core2. Jedina razlika se u ogleda u prioritetima koji se uveavaju
kako se prelazi sa sloja jegra ka sloju distribucije. Na ovom sloju su prioriteti 8192 za primarne
nosioce i 12288 za sekundarne.
Na sloju distribucije sve podmree poseduju istovetan prioritet koji iznosi 16384.
Slika 7.8 Konfigurisanje STP na svim ureajima na sloju pristupa
Slika 7.9 Pregled STP za VLAN 10 na ureaju Core1
33
34
Detaljan prikaz STP protokola za VLAN-ove 10 i 30 na ureajima Core1 i Core2. Na

kojima se mogu nai informacije o interfejsu koji je primarni most, o onima koji su alternativni,
o prioritetima i vremenskim intervalima. Konfiguracije dokazuju da ruter Core1 koreni most za
VLAN 10 sa prioritetom 10 i alternativni nosilac za VLAN 30 sa cenom kotanja 38 i prioritetom
4126. Ruter Core2 je za razliku od rutera Core1 koreni most za VLAN 30 sa prioritetom 30 i
alternativni nosilac za VLAN 10 sa cenom kotanja 38 i prioritetom 4106.
Slika 7.13 Statistika za VLAN 10 na ureaju Access1
Prioriteti na svievima sa sloja pristupa sa za sve podmree su isti, razlikuju se samo

interfejsi.
35
8. HRSP
Primenom hijerarhijske arhitekture, dodavanjem redudantnih ureaja na jednom sloju,

korienjem viestrukih veza i spanning tree protokola se dobija fizika redudantnost. ak se i
primenom svih navednih reenja ne otklanjaju sve potencijalne slabe take u mrei na kojima
moe doi do otkazivanja. Radne stanice za izlaz iz mree i komunikaciju sa ureajima koji se
nalaze u drugim mreama koriste podrazumevani mreni izlaz. Svaka radna stanica u datom
trenutku moe koristiti samo jedan podrazumevani mreni izlaz. Upravo jedna od najveih
mogui slabosti se moe pojaviti ukoliko podrazumevani mreni izlaz otkae. U tom sluaju
raunari i ostali kranji ureaji nee znati kome treba da proslede pakete, pa e oni biti odbaeni.
Otkazivanjem rutera ili interfejsa koji je koji se koristi kao mreni izlaz, ureaje kojima je to
podrazumevani mreni izlaz izoluje od ostalih mrea. Na taj nain ureaji mogu komunicirati
samo sa ureajima koji se nalaze u lokalnoj mrei. Zbog toga je neophodno da se obezbedi
alternativni mreni izlaz u mreama u kojima se koriste dva ili vie rutera.Cisco tehnologije kao
reenje za ovaj problem nude korienje protokola koji e
omoguiti da dva ili vie rutera zajedno obave zadatak predstavljajui se kao jedan virtuelni
ruter. Protokoli koji se koriste za konfigurisanje alternativnih mrenih izlaza su HSRP, IRDP,
VRRP i GLBP. TheTihoj kompanija se oslanja na protokol HSRP.
HSRP (engl. Hot Stand Routing Protocol ) je protokol koji se nalazi u vlasnitvu Cisco
kompanije, i koji obezbeuje veliku mreznu dostupnost kroz vie rutera koji deluju kao jedan
virtuelni ruter. Ovo je omogueno korienjem istih IP i MAC adresa za podrazumevani mreni
izlaz na svim ruterima. Radne stanice zatim prosleuju saobraaj na adresu virtuelnog rutera, koji
poseduje mehanizme za odreivanje rutera koji e preuzeti ulogu prosleivanja saobraaja, rutera
koji e biti u stanju pripravanosti i rutera koji su u stanju oslukivanja. Ruter koji je u
pripravnosti moe preuzeti ulogu prosleivanja jedino ako mu se dodeli vei prioritet u odnosu na
ruter koji se nalazi u stanju prenosa ili ukoliko ruter koji je u reimu prenosa prestane sa svojim
radom. Uobiajena vrednost za prioritet je 100, ukoliko je dva ili vie rutera poseduju istu
vrednost aktivan ruter postaje onaj koji je prvi konfigurisan .
36
8.1 Konfigurisanje HRSP
Prvi korak koji prethodi samoj konfiguraciji je da se odredi mreni segment , a posebno
interfejs na ruteru gde je neophodno primeniti HSRP protokol. Nephodno je zatim odabrati IP
adresu koja e se koristiti kao HRSP adresa. Ova adresa se mora nalaziti u istom adresnom
prostoru u kom se nalaze i adrese LAN-a za koje je kofigurisan HRSP protokol. HRSP takoe
prua mogunost konfigurisanje vie grupa na jednom interfejsu. Postoji vie razloga zbog kojih
je mogue konfigurisati vie grupa, a glavni razlozi su pruanje redudantnosti i balansiranje
saobraaja. Korienje samo jedne grupe moe predstavljati veliku manu, jer jedan ureaj u
stanju pripravnosti ostaje besposlen sve dok primarni ruter ne prestane sa funkcionisanjem. Na taj
nain potencijal koji poseduje ureaj u pripravnosti ostaje neiskorien, ovaj problem se moe
reiti korienjem viestrukih grupa na jednom interfejsu. Vrednosti za grupe se mogu kretati u
rasponu od 0 pa sve do 4095. Ukoliko se grupa ne odabere pri implementaciji, podrazumevana
vrednost koja e se uzeti za grupu je 0. Konfiguracija HRSP-a se zapoinje unosom komande
standby, zatim odabirom vrednosti za grupu i unosom IP adrese koju e koristiti virtuelni ruter .
Ukoliko jedan od rutera mora imati prednost u odnosu na drugi u stanju prenosa, neophodno je da
prioritetna vrednost bude vea od vrednosti koja se nalazi na ruteru u stanju pripravnosti. Kada se
na ve postojecoj HRSP mrei pojavi ureaj koji ima vei prioritet od trenutno aktivnog rutera,on
nee preuzeti ulogu ativnog rutera sve dok on ne prestane sa radom. Da bi ruter koji se pojavi sa
najveim prioritetom postao aktivan ruter neophodno je da se omogui opcija preemt koja
podrazumevano nije ukljuena. Postoje i druge mogunosti koje HRSP podrava i koje
omoguavaju promenu funckionisanja kao to su praenje interfejsa, provera identiteta i
promena vremenskih intervala za razmenu pozdravnih poruka.Aktivan ruter je zaduen za
razreenje ARP zahteva i prosleivanje paketa. Takoe aktivni ruter prosleuje HSRP poruke ka
ruteru koji u stanju pripravnosti. Podrazumevana vrednost za slanje pozdravnih poruka je 3
sekunde, ona se moe promeniti u zavisnosti od potreba.Ruter u stanju pripravnosti ne preduzima
nikakve radnje, sve dok aktivni ruter ne prstane sa prosleivanjem poruka. Uobiajeno vreme
koje e ruter u pripravnosti ekati nakon to je propustio pozdravni paket je 10 sekundi. Dakle
ukoliko propusti 3 pozdravna intervala on e preuzeti ulugu aktivnog rutera. Proces promene
rutera koji je zaduen za prosleivanje se za krajnje korisnike odvija neprimetno, dok se mreni
admnistratori mogu fokusirati na reavanje problema bez ikakvog uticaja na ostatak mree.
37
Tabela 8.1 - IP adrese i prioriteti za grupe I i II na ruteru Core1
Tabela 8.2 - IP adrese i prioriteti za grupe I i II na ruteru Core2
U kompaniji TheTihoj se vodi rauna o redudantnosti pa je HRSP naiao na primenu u

svim mreama koje se nalaze u okviru kompanije. Svi VLAN-ovi na ureajima Core1 i Core2
konfigurisani su tako da prue vei stepen redudantnosti i ravnomerno balansiranje saobraaja
korienjem grupa 1 i 2. Na ovaj nain se redudatnim ureajima daje mogunost da budu
aktivniji i uestvuju prenosu saobraaja i dok je primarni i dalje u funkciji. Ruter Core1 je
podrazumevani aktivni ruter za grupu 1 sa prioritetom 110, dok se grupa 2 nalazi u pripravnosti.
S druge strane kod ureaja Core2 grupa 2 ima svojstvo aktivnog rutera, a grupa 1 je u stanju
pripravnosti.
38
Slika 8.1 Pregled HRSP za VLAN 10 na ruteru Core1
Slika 8.2 Pregled HRSP za VLAN 10 na ruteru Core2

Pregledom konfiguracije HRSP protokola za VLAN 10 se moe uoiti da su ruteri Core1 i Core 2
u razliitim stanjima za grupe 1 i 2, i da se prioriteti razlikuju.
39
9. EtherChannel
Korienjem EtherChannel tehnologije se stvara mogunost obrazovanja jedne logicke veze

korienjem vie fizikih veza izmeu dva ureaja zbog smanjenja mogunosti otkaza i
poveanja brzina prenosa. Ovakve logike veze se mogu obrazovati korienjem najmanje 2 i
najvie 8 fizikih veza. Upotrebom svih 8 maksimalno dozovljenih portova propusni opseg moe
dosei do 800 mb/s, 8 gb/s ili 80 gb/s zavisno od brzina koje podravaju ureaji koji uestvuju u
ovakvoj vezi i brzine linkova kojim su povezani. Kada je EtherChannel konfigurisan svi portovi
koji su deo ovog kanala dele istu MAC adresu to korisnicima i ureajima osigurava
jednostavniji rad. Razlozi zbog kojih je EtherChannel tehnologija nala primenu u savremenim
raunarskim mreama je viestruka, a neke od predenosti su :
Fleksibilnost - Cisco EtherChannel tehnologija je vrlo felksibilna i moe se koristiti u

svim delovima mree da moe doi do uskih grla i zaguenja saobraaja, moe se koristi i
za poveanje protoka izmeu svieva i rutera.
Balansiranje - Viestruke veze izmeu ureaja koje obrazuju EtherChannel daju
mogunost ravnomernog rasporeivanja saobraaja kroz sve veze koje su aktivne.
Otpornost - Korienjem EtherChannel tehnologije u velikoj meri je poveana i otpornost
jer se usred otkazivanja neke od veza paketi prenose kroz ostale koji su aktivni, bez
ikakve intervencije i sa minimalnim gubitkom paketa.
Kompatibilnost EtherChannel je mogue kombinovati i sta ostalim Cisco tehnologijama
kao to su VLAN, VTP i HRSP.
Jednostavnost Implementacija i korienje EtherCannel-a je vrlo jednostavno, ne
iziskuje velike napore pri implementaciji i dodatna objanjenja za krajnje korisnike.
Redudantnost Obrazovanje viestrukih veza dobija se i na redudantosti jer se na ovaj
nain moe dobiti i do 8 putanja kroz koje se paketi mogu prenositi. Gubitak jedne od
veze ne stvara promenu u topologiji.
40
9.1 Konfigurisanje EtherChannel-a
Formiranje EtherChannel kanala je omogueno posredstvom dva protokola PAgP i LACP

koji imaju sline karakteristike. LACP protokol je razvijen od strane organizacije IEEE po
standardu 802.ad, dok je PAgP protokol u vlasnitvu Cisco komapnije pa je zbog toga odabrana
za konfiguraciju EtherChanel-a. Pri konfigurisanju PAgP ( engl. Port Agregation Protocol )
protokol alje PAgP pakete ka portovima koji su sposobni za pregovaranje o formiranju kanala.
Kada PAgP identifikuje uparene veze povezuje ih u zajedniki kanal. Nakon uspostavljanja
zajednikog kanala izmeu njih se na svakih 30 sekundi razmenjuju PAgP paketi kojima se
proverava konfiguracija i upravlja njima ukoliko doe do greaka u radu. Takoe PAgP je
zadueni za detekciju konfiguracije svake strane i da obezbedi njihovu kompatibilnost. Postoje 3
reima kojima je mogue konfigurisati PAgP, a to su :
On Portovi koji su konfigurisani ovim reimom ne razmenjuju PAgP pakete.

Desirable PAgP je aktivan u ovom reimu i stavlja interfejs u preogovaracki polozaj
slanjem PAgP paketa ka interfejsu koji se nalazi na drugoj strani
Auto U ovom reimu intefejs je pasivan pregovara, odgovara na PAgP pakete, ali ih ne
inicira.
Da bi EtherChannel funkcionisao bar jedan od interfejsa mora biti aktivan koji e incirati
preogovore, dok drugi interfejs moe biti u pasivnom stanju. EtherChannel e funkcionisati i u
sluaju i da su obe strane interfejsa u reimu on.
Slika 9.1 Prikaz reima koji omoguavaju obrazovanje EtherChannel-a 16
41
Slika 9.2 Konfiguracija EtherChannel-a na Sviu Core1
Slika 9.3 Konfiguracija EtherChannel-a na Sviu Core2
Iz konfiguracija se moe videti da je EtherChannel formiran spajanjem dva interfejsa na

reterima Core1 i Core2 . Poto pojedinani interfejsi podravaju brzine do 100 mb/s, maksimalni
propusni opseg ovog kanala moe iznositi do 200 mb/s. Interfejsi na ruteru Core1 su aktivni
pregovarai iniciraju pregovore, dok su intefejsi na ruteru Core2 pasivni pregovarai i
odgovaraju na pakete koje je poslao pregovara. Na ovaj nain dolazi do obrazovanja kanala.
Kanal je podeen tako da dozvoljava prenos paketa svih podmrea.
Pri konfigurisanju EtherChannel kanala mora se voditi rauna o brzinama koje podravaju
porotovi i obezbediti da funkcioniu na istom dupleks reimu. Svi portovi koji obrazuju logiku
vezu moraju biti dodeljeni istom VLAN-u, ili ukoliko je konfigurisano vie VLAN-ova svi
portovi moraju biti konfigurisani da podravaju iste opsege. Ukoliko se ove procedure ne
ispotuju EtherChannel nee funkcionisati.
42
Slika 9.4 Prikaz EtherChannel kanala
43
10 . Protokoli rutiranja
Svrha protokola rutiranja je uenje putanja do udaljenih mrea, obrazovanje tabela

rutiranja i donoenje odluka koje e biti primenjene pri prenoenju podataka izmeu mrea.
Protokoli rutiranja koji se mogu koristiti na Cisco ureajima su RIPv1, RIPv2, IGRP, EIGRP,
OSPF, IS-IS i BGP. Svi nabrojani protokoli rutiranja su deo IGP ( engl. Interior Gateway
Protocol) grupe koja je namenjena za rutiranje izmeu mrea koje se nalaze u okviru
organizacije. Dok je jedini izuzetak BGP (engl. Border Gateway Protocol) koji je deo EGP
(Exterior Gateway Protocol ) grupe.Ovaj protokol se uglavnom koristi kod davalaca internet
servisa koji spajaju veliki broj mrea i kod kompanija sa ogromnim mreama. IGP protokoli se
dele na protokole vektora udaljenosti u koje spadaju ( RIPv1,RIPv2,IGRP i EIGRP) i na
protokole stanja veze (OSPF i IS-IS).
Slika 10.1 - Lista protokola rutiranja i njihova podela 17
Kod protokola vektora udaljenosti putanje kroz koje se odvija razmena podataka zavisi od :
44
Udaljenosti Identifikuje se udaljenost mree i odreuje se metrika kroz broj skokova (

broj posrednika izmeu izvorita i odredita), kotanje , propusni ospeg, kanjenje.
Vektor Upuuje na narednog posrednika ili do izlaznog porta koji vodi do odredita.
Protokoli koji se zasnivaju na vektoru udaljenosti u svojoj tabeli ne poseduju kompletnu
informaciju o putanji do odredine mree, ve samo rastojanje i informaciju o interfejsu na koji
treba da proslede paketi kako bi stigli do odredita. Vektori udaljenosti svoje tabele propagiraju
do svih direktno povezanih suseda odreenim vremenskim intervalima. Ovakav vid propagiranja
moe usporiti propusni opseg i dodatno opteretiti resurse ureaja.
Za razliku od protokola vektora udaljenosti, ruteri koji su konfigurisani stanjem veze

mogu stvoriti kompletnu sliku i topologiju celokupne mree. Protokol stanja veze ima manju
mogunosti za donosenje lose odluke pri prenoenju jer za razliku od protokola vektora
udaljenosti koji se oslanja na informacije koje dobija od susednog rutera poseduje celokupnu
topologiju mree u svojoj tabeli. Svaki ruter poseduje informaciju o sebi, direktnim vezama i
njihovim stanjima. Ove informacije se prenose od rutera do rutera sve dok svi ruteri ne dobiju
kompletnu sliku celokupne mree, a zatim svaki od tih rutera rauna svoje najbolje putanje.
Ruteri koji su konfigurisani protokolom stanja veze imaju znatno nii nivo nepotrebnog
korienja resursa jer informacije o stanju rutera prosleuju samo kada doe do odreenih
promena. Protokoli stanja veze najvie pogoduju u mreama koje su projektovane hijerarhijskom
arihtekturom i gde je potrebna brza prilagodljivost promenama.
10.1 OSPF
OSPF (engl. Open Shortest Path First ) je najrasprostranjeniji IGP protokol, i pripada
grupi protokola stanja veze. Protokol je nastao 1991. godine usled potrebe za protokolom koji se
nee nalaziti u vlasnitvu pojedinih organizacija ve e biti slobodan za korienje za potrebe
svih proizvoaa mrenih oprema. Trenutno su aktuelne 3 verzije OSPF protokola, nakon
pojavljivanja prve verzije organizacija IEEE je poboljanu verziju predstavila 1998. godine, dok
je 2008. godine predstavljena i poslednja verzija koja za razliku od predhodnih verzija podrava
ipv6 protokol. Ovaj besklasni protokol uglavnom funcionie u okviru jednog autonomnog
sistema. Ogromne mree preduzea koje se nalaze na raliitim lokacijama i koje su podeljene na
45
razliita odeljenja zajedno ine celinu koja se naziva autonomni sistem. OSPF u tako velikim
sistemima mogu zahtevati znaajane hardverske resurse.
Meutim OSPF podrava koncept kojim je mogue da u cilju smanjivanja resursa
neophodnih za funkcionisanje protokola i pojednostavljenja implementacije autnomni sistem
podeli na manje oblasti. Podelom na manje funkcionalne oblasti mrea usled promene u jednoj
od oblasti ne mora vriti proraune za celokupnu mreu, ve se taj proraun odvija samo u oblasti
u kojoj je dolo do promene. Sve oblasti u okviru autonomnog sistema moraju biti u direktnoj
vezi sa oblau koja je okosnica mree. Okosnica oblast se u odnosu na ostale oblasti razlikuje i
po rednom broju koji je uvek 0, dok ostale oblasti dobijaju redne brojeve od 1 pa nadalje.
Prilikom pojavljivanja na mrei novi ruter nema informacije o susednim OSPF ruterima i
topologiji mree. Pa je prvo to ruter u tom sluaju uradi je slanje hello paketa ka susednim
ruterima. Hello paket ukljuuje informacije o ruterima koji se nalaze na mrei, Ip adrese,
informacije o tipu mree kao i mnoge druge. Skup svih ovih informacija koje se dobijaju na
ovakav nain daju bazu podataka na osnovu koje e ruter imati kompletne informacije o
ureajima koji se nalaze u mrei i na osnovu koje e moi da izgradi sliku kompletne topologije.
Ruteri meusobno u oreenim vremenskim intervalima razmenjuju hello poruke kojima
potvruju da su i dalje aktivni . A potom se za izraunavanje najkraih putanja do svih mrea za
koje poseduje informacije u svojoj bazi podataka se odvija posredstvom SPF (engl. Shortest Path
First ) algoritma koji je predstavio poznati holandski informatiar Edsger Dijkstra . Informacije
koje OSPF poseduje smetene su u tri razliite tabele, tabelu susedstva, tabela topologije i tabelu
rutiranja. Tabela susedstva (adjency database) sadri informacije kao to su IP adrese rutera sa
kojima je ostvareno susedstvo, interfejsi koji vode do njih, status veze, prioritet i redni broj
rutera. Informacije o svim ostalim ruterima koji se nalaze u mrei su smetene u tabeli topologije
(link-state database). Sve proraunate rute i cene kotanja se nalaze u tabeli rutiranja (forwading
database ).
46
Slika 10.2 - Tabela susedstva na ruteru Edge2

Veoma vaan deo za funkcionisanje OSPF protokola rutiranja je dodela rednih brojeva
svim ruterima koji uestvuju u ovom procesu. Ruteri koriste redne brojeve da identifikuju ostale
rutere koji se nalaze u mrei, zbog toga je veoma bitno da svaki ruter poseduje jedinstveni redni
broj. Redni brojevi se mogu dodati od strane administratora unosom komande router-id 32 bitne
adrese na primer 1.1.1.1 . Ukoliko redni broj nije dodat od strane administratora ruter e odabrati
najveu IPv4 adresu od svih aktivnih loopback interfejsa. A ako ruter nema aktivan loopback
interfejs redni broj e biti najvea IPv4 adresa koja je konfigurisana na ruteru. Redni broj rutera
se nee menjati ni u sluaju da doe i do promene IP adresa, da bi nove izmene postale aktivne
ruter se mora rekonfigurisati brisanjem prethodnih procesa komandom clear ip ospf process.
Da bi tabela topologije bila potpuna i da bi svi OSPF ruteri uestvovali u komunikaciji

neophodno je da se na svakom ruteru dodaju mree sa kojima ruter ima direktne veze. Nakon
toga e svaki ruter sa svojim susedima razmeniti informacije o mreama na koje su povezani, pa
e tako svaki ruter na osnovu tih informacija kompletnu topologiju mree. Pri dodavanju mrea
kod OSPF procesa se umesto mrene maske koristi dzoker masku (engl. Wildcard mask).
Wildcard maska je uglavnom uglavnom inversna u odnosu na mrenu masku, ukoliko je mrena
maska 255.255.255.0 wildcard maska e biti 0.0.0.255. A koristi se uglavnom pri konfigucraciji
OSPF-a, EIGRP-a i pristupnih lista jer omoguava da se pojedini delovi mree ili adrese
zanemare.
Slika 5.3 - Dodavanje OSPF mree oblast 16
47
Protokoli rutiranja za utvrivanje najbolje putanje kojom e se vriti prenos podataka

koriste metriku. Svaki protkol drugu metriku, a OSPF se oslanja trokove. Putanje sa niim
trokovima pruaju bolje putanje. Trokovi interfejsa su obrnuto proprocionalni protoku, to
znai da vei propusni opseg ukazuje na manje trokove.
Slika 10.4 - Formula za proraun trokova na osnovu protoka 18
10.2 OPSF implementacija kompanije
Rutiranje paketa kroz korporacijsku mreu se odvija sinhronizovanim radom rutera koji se
nalaze na razliitim mestima, kako u seditu kompanije tako i u flijilama na udaljenim
lokacijama. U centralnoj lokaciji ivini ruteri Edge1 i Edge2 su zadueni za rutiranje saobraaja
imeu mrea koje se nalaze na udaljenim lokacijama i mrea koje su deo sedita kompanije. Dok
su za sav preostali saobraaj koji se odvija izmeu ureaja u seditu kompanije zadueni ruteri
Core1 i Core2.
48
Veza sa zaposlenima koji svoji posao obavljaju iz kunih kancelarija se odvija se kroz
ruter VPNrouter koji sa zaposlenima ostvaruje sigurnu konekciju obrazovanjem VPN tunela . A
prenos paketa se odvija kroz infrastrukturu internet servis provajdera.
Poslovne aktivnosti u preostalim poslovnim jedinicama odnosno filijalama uporeujui ih

sa centralnom lokacijom nisu toliko velike. Pa zbog toga nije neophodna upotreba tolikog broja
ureaja kao to je to sluaj sa centralnom lokacijom. Stoga je sasvim dovoljno da ove jedinice
poseduju samo po jedan ruter unutar lokacije, i svi koji funkcionie na mrenom sloju koji e po
potrebi preuzeti njegovu ulogu.
OSPF u centralnoj lokaciji funkcionie u oblasti 16, centar prodaje u 70, centru telefonije
je dodeljena oblast 90 i redudantni centar baze podataka pripada u oblasti 80. Sve ove oblasti su u
direktnoj vezi sa okosnicom koja se nalazi u njihovom sreditu.
Slika 10.5 - OSPF tabela rutiranja na ruteru Sales
49
Mree ispred kojih se u tabeli nalazi prefiks C oznaava mree na koje je ruter direktno
povezan putem nekog od svojih interfejsa. Prefiks O ukazuje na mree koje se nalaze u istoj
oblasti,a nauene su posredstvom OSPF-a. Dok prefiks O IA ukazuje na mree koje se nalaze u
drugim oblastima i koje se nauene kroz OSPF procese. Pored toga u tabeli se nalaze i
informacije o ceni kotanja, IP adresa posrednika i interfejsima koji do njih doseu.
Tabele rutiranja velikih kompanija mogu biti izuzetno obimne to moe imati velikog
uticaja na protok i poveanu upotrebu resursa ureaja. OSPF protokol rutiranja poseduje
mehanizam koji omoguava agregaciju ruta, tako da se sve mree koje se nalaze u istoj oblasti
predstave kao jedna. Svaki put kad neka putnja u jednoj od oblasti nestane, SPF algoritam se
pokree na svim ruterima i u ostalim oblastima. Agregacijom se spreavaju ruteri u pokretanju
SPF algoritama i LSA paketa u okosnicu i ostale oblasti u mrei. Na taj nain se peveava
stabilnost mree jer se samo umanjene baze prosleuju do okosnice. Ovo sve ima direktan uticaj
na propusni opseg i utroak memorije i procesorske snage.
Slika 10.6 - OSPF tabela rutiranja nakon agregacije ruta na ureaju Sales
Mrea 192.168.0.0. koja se nalazi u tabeli rutiranja predstavlja sve mree u seditu kompanije.
50
11. WAN
Kompanije moraju obezbediti da svi lokalni centri i filijale imaju mogunost komunikacije i
razmene podataka sa centralnom lokacijom bez obzira na njihovu udaljenost. Lokalne mree
mogu pruiti sigurnu komunikaciju i velike brzine prenosa kroz relativno male geografske
oblasti . to u najveem broju sluajeva nije dovoljno za komunikaciju izmeu mrea u sedita
kompanije i filijala. Za povezvanje sedita kompanije i udaljenih lokacija se mogu iskoristiti dve
opcije,a to su korienje privatnih WAN infrastruktura i javnih WAN infrastruktura. Privatne
WAN tehnologije se dele na infrastrukture iznajmljenih linija, mree komutacije veze i
komutacije paketa.
11.1 Privatne WAN infrastrukture
Privatne WAN infrastrukture mogu koristiti iznajmljene linije koje se uspostavljaju

izmeu dve krajnje take. Karakterie ih jednostavnost u odravanju i instalaciji, velika brzina
prenosa, visok stepen dostupnosti i kvalitet prenosa. Dok je visoka novana naknada koja se mora
izdvojiti, i koja se moe dodatno uveati ukoliko se na ovaj nain povezuje vie filijala velika
mana. Takoe jo jedna od mana je i smanjena fleksibilnost jer su ovakve instalacije fiksne i teze
se menjaju. Predstavnici ove tehnologije su T1/E1 i T3/E3 linije point-to-point linije kako se
esto nazivaju.
11.2 Javne WAN infrastrukture
Javna WAN infrastruktura se uglavnom koristi za povezivanje malih kancelarija i

zaposlnih koji svoji posao obavaljaju sa udaljenih lokacija. Za ovakav vid komunikacije se odvija
korienjem internet usluga DSL (engl. Digital subsriber line ), kablovskog i satelitskog
interneta.
51
11.3 Mree komutacije veze
Mree komutacije veze funkcionisu na principu slinom javnim telefonskim mree. Gde
se dobija fiziki put izmeu dve krajnje take u mrei, prenoenjem paketa kroz mrene vorove .
Za vreme trajanja komunikacije izmeu dve krajnje take, putanja koja se koristi za prenos
podataka je u tom trenutku nedostupna za komunikaciju izmeu ostalih ureaja. Najei tipovi
komunikacije komutacijom veze su putem javne telefonske telefonske mree (PSTN) i ISDN
(engl. Integrated Services Digital Network). Ovaj nain komunikacije je i dalje aktivan, meutim
u procesu prenoenja podataka u mreama novije generacije nailazi na znatno manje primene u
odnosu na vreme kada su nastale. Ove tehnologije karakteriu niske brzine prenosa, i predviene
su za konekciju izmeu taaka za koje nije neophodna razmena velikih koliina podataka.
Uglavnom se koriste u sluajevima kada nije mogue koristiti druge vidove konekcija. Glavna
prednost u odnosu na druge tehnologije je niska cena, velika mana je mala brzina prenosa koja za
potrebe dananjih mrea nije dovoljna.
11.4 Mree komutacije paketa
Za razliku od tehnologija komutacije veze kod kojih se komunikacija odvija samo izmeu
dve kranje take, u komunikaciji koja se odvija posredstvom tehhnologije komutacije paketa
mogu uestvovati i ureaji iz drugih taaka. Odnosno umesto jednog komunikacionog kanala koji
e se koristiti za prenos saobraaja izmeu dve lokacije , komutacijom paketa se omoguava da
vie lokacija istovremeno uestvuje u komunikaciji. Podaci koji se prenose se dele u manje
jedinice koje se nazivaju paketi. Paketi se kroz mreu prenose na osnovu odredine adrese koja
se nalazi u zaglavlju svakog paketa. Frame relay, ATM (Asynhronous transfer mode) i Ethernet
WAN predstavljaju tehnologije veze komutacijom paketa. Sve tehnologije karakteriu velike
brzine i dobar kvalitet prenosa, pa imaju veliku primenu mreama u kojima neophodno da se
paketi poalju bez kanjenja kao to su slanje audio i video paketa.
52
11.5 Razlike izmeu tehnologija komutacije paketa i komutacije veze
Ukoliko se uporede ove dve tehnolgije, tehnologija komutiranja paketa ima prednost u
odnosu na tehnologiju komutacije mree kada se u obzir uzme cena jedne i druge tehnologije.
Tehnologija komutiranja paketa omoguava deljenu vezu izmeu vie lokacija, dok bi se
korienjem tehnologije komutacije mree moralo obezbediti vie komunikacionih kanala to
dodatno utie na cenu. S druge strane je tehnologija komutacije mree u prednosti kada se obrati
panja na kanjenje. Jer se u komunkaciji sa vie uesnika paketi moraju proslediti do jednog
mrenog segmenta, a tek nakon zavretka paketi se mogu preneti i do sledeeg. Dok u
komunikaciji izmeu dve kranje take to nije sluaj. Meutim sa sadanjom tehnologijom ove
pojave su svedene na minimum.
Javna WAN infrastruktura se uglavnom koristi za povezivanje malih kancelarija i

zaposlnih koji svoji posao obavaljaju sa udaljenih lokacija. Za ovakav vid komunikacije se odvija
korienjem internet usluga DSL (engl. Digital subsriber line ), kablovskog i satelitskog
interneta.
53
Slika 11.2 - Prikaz WAN opcija 19
Svaka od ovih opcija se moe razlikovati u tehnologiji, brzini i ceni. Meutim pri odabiru
tehnologije koja e se iskoristiti za povezivanje izmeu poslovnica moraju se uzeti u obzir mnogi
faktori kako bi se odabrala tehnologija koja e moi da najbolje ispuni zahteve sve kompanije.
11.6 Frame Relay
Frame Relay je jedna od najpopularnijih WAN tehnologija za prenos podatka i zasniva se na

principu komutacije paketa. Pored toga to omoguava povezivanje vie krajnjih taaka preko
jednog linka Frame Relay prua i mogunost promene brzine protoka izmeu pojedinih taaka do
brzina koje su neophodne za njihovu komunikaciju.
54
Primera radi ukoliko kompanija ima 10 lokacija koje treba meusobno povezati,
korienjem point-to-point veza bili bi potrebno instalirati 45 linkova (10*9/2=45). Frame Relay
omoguava da se ova potreba rei samo jednim linkom. Znaajno je jeftiniji od iznajmljenih
linija.20 Komunikacija izmeu ureaja na suprotnim stranama se odvija kroz virtuelna kola koja
obrazuje servis provajder. Kod Frame Relay se mogu obrazovati dve vrste virtuelnih kola, i to
stalnih PVCs (engl. Permanent Virtual Circuits) virtuelnih kola koji su slini iznajmljenim
linijama i koje ostaju aktivni sve dok postoji puta izmeu lokacija. I SVC (engl. Switched Virtual
Circuits ) kola koja se obrazuju u trenutku kada se javi potreba za prenosom podataka, ostaje
aktivna dok se prenos ne zavri.
Svaki uesnik u vezi ima svoj identifikacioni broj DLCI (engl. Data Link Connection Identifier)
koji se koristi pri povezivanju sa drugim krajevima i odreivanju puta kojim e paketi putovati.
Ovaj broj se dodeljuje od strane administratora. Brojevi koji se uglavnom koriste kao vrednosti
za DLCI su od 16 do 1007. U velikom broju sluajeva DLCI brojevi na suprotnim krajevima su
inverzni u odnosu jedni na druge. Ukoliko je na jednom kraju DLCI 103 na drugom kraju e biti
301.
Frame Relay mrea koja povezuje vie od dve lokacije mora biti isplanirana i projektovana da
podri i odgovori na sve zahteve koje se mogu pojaviti u toku poslovanja kompanije. Prepoznaju
se tri osnovne mrene topologije su topologija zvezde , delimino isprepletena i potpuno
isprepletena.
11.6.1 Topologija zvezde
Topologija zvezde je najjednostvanija WAN topologija i sastoji se od centralne lokacije na

koju su povezane sve ostale i preko koje sve meusobno komuniciraju. Prednost ove topologije
jednostvana primena dok je sa druge strane nedostatak se ogleda u zavisnosti ostalih lokacija od
centralne lokacije.
55
11.6.2 Potpuno isprepletena topologija
Potpuno isprepletena mrena topologija meusobno povezuje sve lokacije. Ovakva topologija
prua visoku redudantnost jer u sluaju otakaza jedne od veza, komunikacija se moe odvijati i
kroz ostale mree. Meutim implementacija ovakve topologije moe biti veoma komplikovana i
moe zahtevati znaajna novana sredstva. A u velikom broju sluaja nee biti neophodno da sve
lokacije imaju meusobnu vezu, ve samo sa centralnom lokacijom i lokacijom sa kojom obavlja
zajedniki posao.
Za ogromne mree sa velikim brojem lokacija gotovo da je nemogue povezati sve lokacije
meusobno zbog kompleksne implementacije i velikog broja linkova. Zato su delimino
isprepletene mree topologije dobar izbor za velike mree kompanija.
11.6.3 Frame Relay korporacijske mree
U korporacijskoj mrei TheTihoj kompanije Frame Relay je korien za povezivanje

centralne lokacije sa filijalama koje se nalaze na razliitim lokacijama i velikim udaljenostima od
centralne lokacije. Za potrebe poslovanja kompanije nije neophodno da sve lokacije budu
meusobno povezane, jer su meusobno nezavisne jedna od druge. Dovoljno je samo da budu
povezane sa seditem kompanije. Veze formirane na ovakvim povezivanjem daju topologiju
zvezde. Topologija zvezde se u mrei kompanije obrazuje izmeu rutera Edge1 i Edge2 koji se
nalaze u seditu kompanije i preko kojih se obavlja celokupna komunikacija, i sa druge strane
rutertima filijala koje obavljaju razliite namenske zadatke. Korienjem oba ivina rutera iz
sedita kompanije za Frame Relay veze sa filijalama se dobija na redudantosti jer se usled
problema i nemogunosti jednog od rutera da obavlja svoj deo posla komunikacija moe odvijati
i posredstvom drugog rutera. Kako je svaki od rutera koji uestvuje u Frame Relay komunikaciji
povezan sa najmanje dva rutera neophodno je da svaki od njih ima konfigurisane podinterfejse.
Korienje podinterfejsa omoguava upotrebu jednog fizikog interfejsa za dve ili vie Frame
Relay veze.
56
Tabela 11.1 Prikaz konfiguracije Frame Relay na ruterima Edge1 i Edge2
Tabela 11.2 Prikaz konfiguracije Frame Relay na ruterima Sales, CallCentar i

BackupDisaster
11.7 Point-to-Point
Point-to-Point konekcije se odnose na veze izmeu dve krajnje take koje se bukvalno
mogu nalaziti i na najudaljenijim moguim mestima. Celokupna razmena saobraaja izmeu ove
dve take se prenosi posredstom servis provajdera. Cene Point-to-Point konekcija mogu biti i do
nekoliko puta vee u odnosu na ostale WAN tehnologije, ukoliko postoji vie Point-to-Point
konekcija koje moraju povezati lokacije koje se nalaze na velikim udaljenostima. Kompanijama
kojima je neophodna sigurna i konstantna razmena podataka kao to su prenosi zvunih i
konferencijskih video podataka Point-to-Point tehnologija veoma dobra opcija. Pre prolaska kroz
WAN linkove svi podaci se prethodno enkapsuliraju u okvire, nakon ega se kao takvi prenose
dalje.
Point-to-Point je dizajniran za komunikacije izmeu dva rutera ili radne stanice i mrenog
ureaja kroz sinhrona i asinhorna kola. Podravajui i veze izmeu ureaja razliitih mrenih
proizvoaa i protokola. Koji pritom pruaju zavidne nivoe bezbednosti kroz PAP (engl.
57
Password Authentication Protocol) i CHAP (engl. Challenge Handshake Authentication Protocol)

autentifikacije.
Da bi se obrazovala veza izmeu dve strane neophodno je da jedna od njih inicira. Ova
faza se zavrava onog trenutka kad ruter koji je inicirao konekciju dobije potvdu da je konekcija
uspeno uspostavljena. Nakon toga se vrsi provera i otkrivanje linkova kojima su povezani, tako
da obe strane uvide kojim e se brzinama i na koji nain odvijati prenos podataka. Poslednji
preostali korak karakterie odabir i podeavanje protokola koji e se koristiti, nakon ega je veza
uspostavljena.
Slika 11.2 CHAP autentifikacija 21
Konfiguracija Point-to-Point enkapsulacije je vrlo jednostavna, potrebno je da se iz

konfiguracionog modula odabere serijski interfejs koji e se koristiti i unese komanda
encapsultion ppp. Nakon toga je mogue podesiti i niz drugih funkcionalnosti koje
omoguavaju i obezbeuju jednostavniju komunikaciju i prenos podataka. Na poboljanje
efikasnosti prenosa se moe uticati opcijom koja podrava kompresiju podataka, kojima se pre
slanja smanjuju veliine radi efikasnijeg prenosa. Dok se na prijemnoj strani nakon dospea
pokree protokol koji e izvriti dekompresiju i proslediti do ureaja kome je namenjeno.
Kvalitet veze izmeu dve strane se takoe ima i mogunost praenja, nakon ega se moe
podesiti eljeni kvalitet veze, ije se vrednosti mogu nalaziti izmeu 0 i 100 procenata. Procesom
praenja je zahvaen svaki poslati i primljeni bajt na jednoj i drugoj strani. Onoga trenutka kada
veza prestane sa ispunjavanjem zeljenog kvaliteta, veza e biti zatvorena. Kada je Point-to-Point
58
jedina konekcija izmeu dve strateki vazne take, pozeljno je da se ona na neki nain dodatno
osigura i da im se prui neka vrsta redudantnosti. Point-to-Point linkovi dozvoljavaju i formiranje
grupa odnosno korienje vie veza izmeu dve krajnje take. Koje mogu istovremeno biti u
procesu prenosa i podeene da ravnomerno rasporeuju saobraaj. Prednosti ove implementacije
se mogu ogledati kroz mogue poveanje propusnog opsega i poveanja redudantnosti.
Komunikacija izmeu dve strane mora biti sigurna, odnosno obe strane moraju biti
sigurne da je komunikacija bezbedna i da se sa druge strane nalazi autorizovani ureaj. Za
autentfikaciju i osiguravanje veze se mogu koristiti dva protokola, a to su PAP i CHAP. PAP
(engl. Password Authentication Protocol) u odnosu na drugi protokol autentifikacije prua
znatano manje sigurnosti. Autentifkacija putem PAP protokola se odvija proverom korisnikog
imena i lozinke koje udaljena strana alje u otvorenom obliku bez ifrovanja, pa se na taj nain
mogu lako razotkriti. Ukoliko su lozinka i korisniko ime tani konekcija izmeu njih e biti
uspostavljena, a u suprotnom ona nee biti uspostavljena. PAP prtokol nailazi na primenu u
sluajevima kada ureaji razliitih proizvoaa ne podrvaju CHAP protokol. Sa druge strane
CHAP protokol se zasniva na drugaijem konceptu. Strana koja inicira komunikaciju alje upit ka
drugoj strani, koja odgovara hash porukom generisanom md5 algoritmom od podataka koji su
poslati uz upit i lozinke primalaca upita. Nakon ega inicijator izraunava svoju vrednost za hash
i uporeuje je sa primeljnom. Kao i u veini sluajeva, ukoliko se obe vrednosti poklapaju veza
e biti uspostavljena u protivnom e ona biti okonana. Vrednosti koje se od strane inicijatora
generiu kao upit su jedinstvene i nepredvidive, to umanjuje mogunosti za napad.
Slika 11.3 - Konfiguracija CHAP protokla na ruteru BackupDisaster
Slika 11.4 - Konfiguracija CHAP protokla na ruteru Edge2
59
Jedna od strateki najbitnijih taaka za poslovanje kompanije je redudantni centar baza

podataka. U kojem se smestaju vazni podaci koji su neophodni za rad kompanije, i bez kojih se
nikako ne sme ostati. Pa tako pored Frame Relay konekcije, centralna lokacija ima i Point-to-
Point vezu sa redudantim centrom preko koje se takoe razmenjuju podaci. Veza se formira
izmeu rutera Edge2 u seditu kompanije i rutera BackupDisaster na udaljenoj lokaciji. Ruteri
imaju dodeljene IP adrese iz zasebnog opsega, koji je umanjen i koji se koristi samo za
dodeljivanje 2 adrese, za svaku stranu po jedna.
60
12.Pristupne liste
Jo jedan od najboljih naina za zatitu mrea od neutorizovanih lica je kontrola i zabrana

pristupa pojedinim mrenim resursima ili ureajima pristupnih lista (engl. Access List) .
Pristupne liste su skupovi komanda kojima se odreuje koji e paketi biti prosleeni,a koji e se
odbaciti. Na mree sa implementiranim pristupnim listama se moe gledati i kao na zgrade sa
zakljuanim vratima koja omoguavaju da samo korisnici sa kljuevima pristupe zgradi.
Primarni zadatak pristupnih lista je obezbeivanje osnovnog nivoa zatite i pruanje

sigurnosti. Pristupne liste mogu dozvoliti da jedan ureaj moe da pristupi jednom delu mree,
dok mu za ostale delove mree za koje nije autorizovan moe biti zabranjen pristup.
Na poveanje perfomansi i smanjenje optereenja mree se takoe moe uticati primenom

pristupnih lista kroz filtriranje saobraaja. Filtriranjem se mogu zabraniti odreeni tipovi
saobraaja koji nisu neophodni za poslovanje pojedinih delova mree, i koje mogu imati ogroman
uticaj na performanse mree. Na ovaj nain se i zaposleni mogu spreiti u zloupotrebljavanju
mrenih resura. Pored zabrane odreenih tipova saobraaja, saobraaj se moe zabraniti i na
osnovu dolaznih ili odlaznih IP adresa i brojeva portova.
Nain na koji funkcionie filtriranje paketa se moe gledati kao na bioskop, gde e moi da
prisustvuju samo oni koji su kupili kartu i koja vai samo za odreeno sediste.
Saobraaj koji se odvija kroz mreu se moe kontrolisati na dva naina. Pri ulasku paketa na
interfejs rutera (Inbound Access List), ovaj vid kontrole moe biti efikasan jer se paketi koji nisu
dozvoljni odbacuju, pa se samim tim i smanjuje upotreba resursa. Ulazne pristupne liste su
najpogodnije za korienje na najbliem intefejsu rutera sa izvorine strane. S druge strane
kontrola paketa se moe obavljati i na najbliem interfejsu odredita (Outband Access List). Ovaj
metod daje najbolje rezultate kada se filtriraju paketi koji dolaze sa vie razliitih izvorita.
61
Cisco sistemom su definisana dva tipa pristupnih lista, a to su standardne pristupne liste i
proirene pristupne liste. U datom trenutku na jednom interfejsu moe biti aktivna samo jedna
pristupna lista, to znai da ne mogu biti aktivne odlazea standardna i odlazea proirenaa
pristupna lista istovremeno. Isti princip vai i za dolazee pristupne liste.
12.1 Standardne pristupne liste
Standardne pristupne liste filtriraju pakete uzimajuci u obzir iskljuivo samo IP adresu
izvorita, dok se ne mogu filtrirati paketi na osnovu destinacionih IP adresa, odreenog protokola
ili porta. Opseg standardnih pristupnih lista se kree od 1 do 99, pored standardnih lista postoje i
produene standardne liste koje za koje se uzimaju vrednosti od 1300 do 1999. Nakon ulaska
paketa u ruter, iz zaglavlja paketa se izvlaci IP adresa izvorita, i ukoliko ruter u svojoj tabeli
pronae istovetnu adresu paketi e biti dalje isporueni. U sluaju da ruter ne pronae IP adresu
iz paketa u svojoj tabeli sav saobraaj e biti odbaen.
Konfiguracija standardnih pristupnih lista nije komplikovana, i odvija se kroz nekoliko

kratkih koraka. Na samom poetku je potrebno da se odabere vrednost izmeu 1 i 99 koja e
predstavljati broj pristupne liste. U sledeem koraku se mora odabrati jedna od opcija kojom e
se dozvoliti ili zabraniti saobraaj, a zatim uneti IP adresa jednog ureaja ili celokupne mree.
Pristupne liste kao i OSPF i EIGRP protokoli rutiranja umesto mrene maske takoe koriste
wildcard maske. poslednje preostali korak je unos validne wildcard maske za prethodno unetu IP
adresu.
Slika 12.1 - Primer standardne pristupne liste
Kreiranjem pristupnih lista preostalo je jo da se odabere interfejs koji e biti zaduen za

isporuku paketa, i da mu se dodeli funkcija.
Slika 12.2 - Odabir interfejsa i funckije
62
12.2 Proirene pristupne liste
Proirene pristupne liste funkcionisu na slinom principu kao i standardne pristupne liste,
i koriste se u iste svrhe. Meutim produene pristupne liste daju mnogo ve mo u odnosu na
standardne pristupne liste, a kljuna razlika izmeu ova dva tipa je raznovrsnost polja koja se
mogu uporeivati za filtriranje paketa. Za razliku od standardnih pristupnih lista koje filtriraju
pakete sa samo odlazeeg saobraaja, kod proirenih pristupnih lista se filtriraju paketi i
dolazeeg saobraaja, omoguuje kontrola odreenih protokola, obezbeuje zatita po brojevima
portova i drugih parametara. Zbog svih prednosti koje proirene pristupne liste imaju Zbog svoje
fleksibilnosti koje administratorima pruaju znatno veu kontrolu nad pristupima, proirene
pristupne liste se znatno zastupljenije od standarnih pristupnih lista. Proirene pristupne liste za
svoje vrednosti koriste brojeve od 100 do 199, produene proirene pristupne liste se takoe
koriste i za njih su rezervisani brojevi od 2000 do 2699.
Konfiguracija proirenih pristupnih lista se razlikuje kroz nekoliko dodatnih koraka, koji
nisu dostupni za implementaciju kod strandardnih pristupnih lista, to iziskuje vii nivo znanja
administratora, ali ujedno prua vii nivo kontrole. Inicijalni korak je odabir broja izmeu 100 i
199 koji e biti korien kao broj pristupne liste. Zatim se treba dozvoliti ili zabraniti kriterijum
koji e se uneti u nastavku. Odabir tipa protokola izmeu TCP, UDP, IP ili drugih IP pod-
protokola je sledeci korak,koji je novina u odnosu na standardne liste. Sledeci korak je unos
izvorine IP adrese i njene wildcard maske, a nakon toga i odredine IP adrese i njene wildcard
maske. Konfiguracija proirene pristupne liste se zavrava unosom broj porta za koji se
primenjuje pravilo ili njegovog tanog naziva.
Slika 12.3 Proirena pristupna lista
63
12.3 Pristupne liste kompanije
Informacioni sistem TheTihoj kompanije za obezbeivanje i kontrolu pristupa sistemu

upotrebljava zajedno oba tipa pristupnih lista, a to znai i standardne i proirene pristupne liste.
Polise pristupnih lista se razlikuju od lokacije do lokacije zavisno od potreba i mogui rizika.
Redudantni sistem baza podataka je vazan deo za funkcionisanje celokupnog sistema,

zbog toga je neophodno da se posebno zatiti i da mu se dozvoli komunikacija sa malom grupom
ureaja. Direktnu komunikaciju sa ovim sistemom mogu uspostaviti samo ureaji iz podmrea
administratora, direktora i primarnog sistema za skladistenje podataka. Podaci svih ostalih
mrea se do redudatnog centra prenose posredstvom primarnog centra. Za kontrolu i filtriranje
podataka u ovoj lokaciji je zaduena standardna pristupna lista sa brojem 1, koja omoguuje
saradnju samo sa autorizovanim mreama,dok je za ostale komunikacija zabranjena.
Slika 12.4 - Standardne pristupne liste na ureaju BackupDisaster
Za centar telefonije i obavljanje svakodnevnog posla je neophodno da svi zaposleni mogu

meusobno da komuniciraju, pa se zbog toga na ovu lokaciju ne primenjuju striktna pravila i
ogranienja. Zbog toga je konfigurisana proirena pristupna lista koja omoguava maksimalnu
komunikaciju.
Slika 12.5 - Proirena pristupna lista
Za razliku od centra telefonije iz kojeg svi ureaji mogu da komuniciraju sa ureajima u

ostalim mreama, centru prodaje mogu pristupiti samo ureaji iz mrea ije poslovne aktivnosti
zavise od podataka koji se nalaze u ovom centru. Podaci koji se razmenjuju sa ovom oblau
64
mogu biti poverljivi, pa je neophodno da oni budu dostupni top menadzmentu i administratorima
koji su zadueni za odravanje mree. Na centar prodaje je primenjena produena pristupna lista,
koja samo ovlasenim mreama dozvoljava komunikaciju dok je za ostale mree komunikacija
zabranjena.
Slika 12.6 Pristupna lista na lokaciji centra prodaje
Zbog implementacije pristupnih lista na svim ostalim lokacijama sa kojima je povezana, i

podele u virtuelne mree na centralnoj lokaciji nije neophodno koristiti pristupne liste.
65
13.VPN
Mree kompanije se putem javnih i privatnih mrea povezuju sa svojim filijalama koje se
nalaze na velikim udaljenostima. Pored toga kompanija ima potrebe da se na brz, siguran i
jednostavan nain povee i sa zaposlenima koji svoj posao obavljaju sa udaljenih lokacija ili
kunih kancelarija. Za ovaj vid komunikacije izmeu udaljenih mrea se koriste VPN (engl.
Virtual Private Network) mree, koje uspostavljaju konekciju izmeu udaljenih taaka, koristei
usluge intrenet servis provajdera. Za razliku od iznajmljenih linija i drugih tehnologija koje
koriste fizike veze , VPN tehnologija se oslanja na obrazovanje virtuelnih veza izmeu sedita
kompanije i udaljenih lokacija, kao i zaposlenih iz kunih kancelarija. Komunikacija se odvija
kroz kontrolu IP protokola koji omoguavaju sigurnu konekciju strogo kontrolisanim pristupom.
Postoje dva tipa VPN mrea, a to su Site-to-Site i Remote Access
13.1Site-to-Site
Site-to-Site konekcija se odvija izmeu ureaja koji se nalaze u seditu kompanije i

ureaja mrea koje se nalaze na udaljenim lokacijama. Gde konekcija i veza ostaju statine, na
ovaj nain se centralna lokacija moe povezati sa svim udaljenim lokacijama. Ovaj nain
povezivanja je najslinijji iznajmljenim linijama.
13.1.1 GRE Site -to-Site
Jedan od tipova Site-to-Site VPN-a je obrazovanje GRE tunela (engl.Generic Routing

Encapsulation). Ovaj protokol vai za jednostavan i manje siguran. Dizajniran je tako da moe da
prenese saobraaj vie protokola izmeu dve ili vie take posredstvom samo IP veze.
Obrazovanje tunela se odvija na vrlo jednostavan nain, na samom poetku je neophodno da se
napravi interfejs, zatim da mu se dodeli IP adresa, a nakon toga i da se dodaju izvorina i
odredina IP adresa tunela. GRE tuneli ne pruaju mogunost ifrovanja ili upotrebu drugih
bezbedonosnih mehanizama, pa su zbog toga nesigurni za prenos poverljivih podataka. Za
saobraaj koji sadri poverljive informacije se preporuuje prenos putem IPsec-a ili SSL VPN-a.
66
13.1.2 IPsec Site -to-Site
IPsec (engl. Internet Protocol Security) je protokol koji je namenjen za brzu i sigurnu
isporuku IP saobraaja izmeu dve udaljene take. U okviru IPsec protokola su ukljueni i
algoritmi koji imaju za cilj da obezbede uzajamnu autentifikaciju obe komunikacione strane, i da
iniciraju razmenu kriptolokih kljueva koji e se koristiti tokom komunikacije. IPsec protokol
prua veoma visok nivo sigurnosti, najvee prednosti ovog protokola po pitanju bezbednosti i
sigurnosti su :
Autentifikacija Pre razmene poverljivih informacija izmeu udaljenih lokacija, i jedna i

druga strana moraju biti sigurne da je ostvarena komunikacija sa autorizovanom
stranom. Na ovaj nain se komunikacija titi od neeljenih strana ili napadaa. Postoji
vie naina za identifikaciju, najpoznatiji naini za identifikaciju su korienjem
korsinikih imena i lozinki, upotrebom biometrijskih podataka i digitalnim sertifikatima.
Tajnost podataka Podaci izmeu udaljenih lokacije moraju da putuju preko javnih
infrastruktura kao to je internet, a da istovremeno ostanu sigurni i nevidljivi za
neutorizovana lica. Odabirom i razmenom kriptolokih kljueva podaci se pre razmene
sifruju na predajnoj strani, a nakon dospea desifruju na prijemnoj strani. Na taj nain
podatke mogu videti samo ugovorene strane.
Integritet podataka Pored tajnosti podataka veoma je bitno i da se osigura da podaci,

koji se razmenjuju ni na jedan nain ne promene svoj sadraj u toku prenosa ili slanja.
IPsec protokole koji mogu da osiguraju da paketi nisu menjani u toku prenosa. Provera
integriteta primeljenih paketa se proveruje kontrolna suma i da li postoji redudansa.
Spreavanje duplikata Jo jedno od reenja koje sigurnost i brzinu u radu IPsec

protokola je i mehanizam za detekciju i odbacivanje paketa koji se ponavljaju. Svaki
paket ima svoj redni broj, na osnovu kojeg se svi paketi mogu detektovati. Ukoliko se
pojave paketi sa rednim brojem koji je ve ranije dospeo, pristigli paketi se odbacuju.
Spreavanjem prenosa duplikata se smanjuje mogunost napada na dostupnost sistema i
odrava se efikasnost i brzina rada sistema.
67
13.2 ifrovanje
Saobraaj koji se odvija izmeu udaljenih lokacija bi ostao vidljiv za sve, ukoliko se ne bi
ifrovanjem transformisao u oblik nepoznat za sve one koji ne poseduju odgovarajuci klju.
ifrovanje je matematiki redosled koji transformie originalnu poruku u ifrat, kombinujui
originalnu poruku, slova, brojeve i ostale karaktere. Jaina samog ifrata zavisi od duine kljua
kojim se ifruje i odabira algoritma za ifrovanje. Brzina probijanja ifrata potencijalnih
napadaa metodom kojom e se isprobati sve mogunosti (Brute force) zavisi i od mogunosti
raunara napadaa. Realativno sofisticiran raunar moe da probije 64 bit-ni klju godinu dana,
dok bi za 128 bit-ni klju istom raunaru trebalo izmeu 10 i 19 godina.22
ifrovanje i deifrovanje podataka se moe obavljati simetrinim i asimetrinim ifarskim

algoritmima.
13.2.1 Simetrini ifarski sistemi
Kod simetrinih ifarskih kljueva obe strane koje uestvuju u komunikaciji moraju da
poseduju istovetan tajni klju. Koji e se koristiti za ifrovanje infromacija na jednoj strani, a
zatim i za deifrovanje na drugoj strani. Tajni klju se moe razmeniti potom, slanjem mejl
poruka, linom razmenom i slino. Primeri simetrinog ifarskog sistema su DES, 3DES i AES.
Najsigurniji metod navedena 3 je AES. AES je otporan na poznate napade,veoma je brz,mogu
je paralelni dizajn, kao i implementacija na mnogim procesorima i pametnim karticama.23 Radi
optimalne sigurnosti se preporuuje upotreba kljua duine 256 bit-a.
68
13.2.2 Asimetrini ifarski sistemi
Asimetrini ifarski sistem se za prua znatno vii nivo sigurnosti od simetrinih sistema,
gde dolazi do velikog rizika pri razmeni kljueva. Jer se moe desiti da klju dospe do
neautorizovanih lica, pomou kojeg e moi da deifruje i razume poruku. Zbog toga se kod
asimetrinih ifarskih sistema koriste dva para kljueva, od kojih se jedan koristi za ifrovanje, a
drugi za deifrovanje. Na samom poetku svaka strana dobija javni klju koji mogu videti svi, i
privatni koji se uva u tajnosti. Kada neka od strana hoe da poalje sifrovanu poruku, ona
koristi javni klju primaoca kojim ifruje poruku, a zatim je prosleuje do druge strane koja je
deifruje svojim privatnim kljuem. Jedini nedostak u odnosu na simetrine ifarske sisteme je taj
to je potrebno mnogo vie vremena i procesorske snage za ifrovanje i deifrovanje podataka,
to u nekim sluajevima moe biti problem za pojedine raunare. Predstavnik asimetrinih
ifarskih sistema je RSA algoritam, a duina kljua koja je preporuena od strane Cisco
kompanije je 2048 bit-a.
13.3 Hash algoritmi
Hash algoritmi se koriste za proveru integriteta prenesenih poruka i njihovu identifikaciju.

Hash vrednost je broj koji se generie od niza teksta. A generie se na osnovu formulu koja daje
malu verovatnou da e jo neki tekst imati istu hash vrednost. Strana koja alje poruku generie
hash vrednost zajedno sa porukom, koju dalje prosleuje. Pri pristizanju poruke na stranu
primaoca, podaci se prihvataju, pa zatim na prijemnoj strani generie hash vrednost koja se
uporeuje sa pristiglom vrednou. Ukoliko se obe vrednosti poklapaju prijemna strana moe biti
sigurna u integritet poruke, dok se u suprotnom smatra da je poruka izmenjena, samim tim je i
integritet naruen. Vazno je napomenuti i da obe strane moraju koristiti isti hash algoritam.
Mehanizam koji se koristi za proveru autentinosti poruke na osnovu hash vrednosti se naziva
HMAC (engl. Hash-based Message Authentication Code). Dva glavna algoritma za generisanje
hash funkcije su MD5 koji generie 128 bit-nu vrednost i SHA koja na Cisco ureajima ima
podrku za 160, 256, 384 i 512 bit-ne vrednosti .
69
13.4 IPsec authentication
IPsec authentication protokol spreava neovlaen pristup pri povezivanju celokupnih

mrea ili zaposlenih koji se prijavljuju na sistem sa razliitih lokacija. Autentifikacija je od
esencijalnog znaaja za odravanje visokog nivoa bezbednosti, jer se time napadai spreavaju da
se predstave kao ravnopravni lanovi. Identifikacija pristupa se moe izvriti proverom prethodno
podeljenim kljuem ili RSA digitalnim potpisom.
13.4.1 PSK
PSK (engl. Pre-shared key) deljeni klju se pre autentifikacije razmenjuje sigurnim
kanalom. Ovaj vid autentifikacije je zastupljen kod simetrinih ifarskih sistema. PSK se runo
unosi i mora biti isti na jednoj i na drugoj strani.
13.4.2 RSA digitalni potpis
Da bi mogli da se koriste digtalni potpisi oni prethodno moraju biti izdati od

sertfikacionih tela. Svaki ureaj nalazi svoju hash vrednost i ifruje je svojim privatnim kljuem,
a zatim se on na drugoj strani deifruje javnim kljuem na strani prijema. Ukoliko deifrovana
vrednost odgovara hash vrednosti na prijemnoj strani, onda je potvreno da je digitalni potpis
validan.
13.5 IPsec framework
IPsec okvir (engl. Framework) je standard razvijen od strane IETF za prenos poverljivih
informacija koristei kombinaciju standarda i tehnologija. Postoje dva osnovna bezbedonosna
protokola zasnovana na ovom standardu, a to su AH (engl. Authentication Header) i ESP (engl.
Encapsulation Security Payload ).
70
13.5.1 Authentication header
AH protokol se koristi kad nije neophodno da podaci budu tajni, protokol ne prua
mogunost ifrovanja, pa se podaci razmenjuju u otvorenom obliku. Meutim prua
autentifikaciju i proveru kontrolne sume kojom se moe proveriti da li je poruka modifikovana i
naruen njen integritet. AH se moe koristiti kao samostalno reenje ili zajedno sa ESP.
Uporeujui sa ESP protokolom AH protokol prua znatno nii nivo sigurnosti.
13.5.2 Encapsulation Security Payload
ESP bezbedosnosni protokol koji za razliku od AH protokola pored provere integriteta

poruke prua i mogunost ifrovanja podataka, ime podaci postaju neitljivi za one koje ne
poseduju klju. ifrovanje i uvanje integriteta se moe obezbediti korienjem samo ESP
protkola koji podrava obe funkcije ili kombinovanjem sa AH protokolom. ESP protkol uzima
IP pakete iz zaglavlja koje nakon toga ifruje. Na taj nain se ESP tunelovanjem izvorine i
odredine IP adrese mogu sakriti na javnoj mrei, a samim tim i smanjiti mogunost napada.
13.6 Formiranje IPsec okvira
Odabirom ESP, AH ili kombinovanjem oba protokola se ulazi u fazu formiranja IPsec okvira,
koji e upotpunjen sa dodatnim standardima obezbediti sigurnu isporuku, tajnovitost podataka,
integritet, sigurnu razmenu kljueva i bezbednu autentifikaciju. Osnovni blokovi koji zajedno sa
ESP i AH protokolom upotpunjuju IPsec okvir, i daju sigurnu celinu su :
Blok tajnosti podatka U ovom odeljku se bira jedan od postojecih simetrikih ifarskih
kljueva, medju koje spadaju DES, 3DES i AES. Od kojih AES daje najveu sigurnost, pa
se zbog toga preporuuje ispred DES i 3DES algoritama.
Blok integriteta Obezbeuje proveru integriteta i autentinosti pristiglih paketa
posredstvom hash MD5 i SHA algoritama.
Blok autentifikacije Autentifikacijom se odreuje da li ureaj koji pristupa sistemu ima
dozvolu ili ne. Ureaji se mogu autentifikovati unosom tajnog kljua koji je prethodno
razmenjen ili prikazom digitalnog potpisa.
71
Diffie-Hellman blok Poslednji blok u ovom okviru podjednako vazan za bezbednost je

Diffie-Hellman algoritam, koji je omoguava da dve strane razmene tajne kljueve preko
nesigurnog kanala, bez obzira na to da li imaju prethodna saznanja o ureaju sa kojim
komuniciraju.
Slika 13.1 IPsec okvir 24
72
13.7 Remote access
Remote access konekcija je za razliku od Site-to-Site konekcija, koje se odvijaju izmeu

dve stalne take, koncipirana na drugaciji nain. I odvija se izmeu jedne od mrea kompanije i
zaposlenih koji se povezuju na mreu sa razliitih lokacija. Da bi se obezbedila sigurna veza
izmeu kompanije i zaposlenih na udaljenim lokacijama, neophodna je i upotreba softverskih i
hardverskih reenja koji e sav saobraaj koji se odvija ifrovati na predajnoj strani i deifrovati
na prijemnoj strani. Dva naina za povezivanje na Remote access su mogua posredstvom IPsec-
a i SSL VPN tehnologije.
13.8 SSL VPN
SSL VPN tehnologija prua mogunost daljinskog pristupa resursima kompanije

zaposlenima sa udeljenih lokacija kroz korienje web brauzera. U savremenom elektronskom
poslovanju SSL protokol se koristi za veinu bezbednih transakcija preko interneta. SSL protokol
se nalazi izmeu aplikativnog i transportnog sloja.25 Ovakva reenja ne zahtevaju nikakvu
dodatnu instalaciju ostalih softvera, to na kraju moe dovesti do znaajnih usteda za kompaniju,
ukoliko veliki broj zaposlenih obavljao svoj posao sa udeljenih lokacija. Pored znaajnih
prednosti sa finansijske strane VPN SSL odlikuje i velika jednostavnost u implementaciji , to
dozvoljava i manje iskusnim administratorima da nadgledaju i prate rad sistema.
13.9 Cisco VPN reenja
Iz kompanije Cisco dolazi veliki broj hardverskih i softverskih reenja preko kojih kompanije
mogu da ostvare Remote acces i Site-to-Site komunikaciju. Jedno od reenja je i Cisco Easy
VPN. Koje se sastoji od tri komponente Cisco Easy VPN Server, Cisco Easy VPN Client i Cisco
Easy VPN Remote.
Cisco Easy VPN Server Omoguava da zaposleni pristupe mrei kompanije sa udaljenih
lokacija korienjem IPsec tunela. Zaposleni se na VPN server mogu prijaviti svojim
raunarima ili mobilnim ureajima.
73
Cisco Easy VPN Remote Funkcionie kao klijent i predstavlja idealno reenje za
zaposlene koji se prijavljaju sa udaljenih lokacija.
Cissco Easy VPN Client Zaposleni sa udaljenih lokacija za komunikaciju sa serverom
moraju koristiti Cisco softver koji se moe instalirati na operativni sistem.
Implementacija ove komponente je pogodnija za Site-to-Site komunikaciju, gde je
praktino nemogue da se pojedinano podesi bezbedonosna politika za sve raunare
pojedinano.
13.10 Realizacija VPN-a kompanije
Informacioni sistem kompanije poseduje veliki broj zaposlenih koji svoji posao obavljaju
sa udaljenih lokacija, kako zbog smanjenja operativnih trokova tako i zbog razliitih potreba
kompanije. Kompanija u svakom trenutku ima jednu aktivnu Site-to-Site poslovnu jedinicu sa
koje zaposleni obavljaju svoje poslovne aktivnosti. Zaposleni sa ove lokacije pristupaju
centralnoj lokaciji preko javne internet mree servis provajdera i ureaja VPNrouter koji se nalazi
na centralnoj lokaciji. Veza izmeu ove dve take je planirana i predviena je tako da prui
maksimalnu moguu sigurnost i da bude to jednostvanija za komunikaciju. Implementacija je
realizovana u skladu sa IPsec VPN okvirom, korienjem ESP bezbedonosnog protkola koji kroz
tunel prenosi ifrovane adrese koje ostaju nevidljive za neautorizovane ureaje na javnoj mrei.
Tajnost podataka koji se prenose je obezbeena ifrovanjem 256 bit-nim AES algoritmom
kombinovanim sa ESP bezbednosnim protokolom. Autentinost i integritet poslatih poruka se
odreuje MD5 hash algoritmom potpomognutim ESP bezbedonosnim algoritmom. Provera
pristupa i identifikacija ureaja koji ele da ostvare komunikaciju sa centranom lokacijom se
odvija unosom PSK kljua. Pristup e biti dozvoljen samo ureajima koji poseduju pravi klju
koji je prethodno dogovoren i validno korisniko ime. Unosom svih odreenih i dogovorenih
parametara ureaji e moi da ostvaruju komunikaciju i da razmene podatke.
74
Slika 13.2 Unos parametara potrebnih za pristup sa udaljene lokacije na centralnu

lokaciju
U prvom odeljku je predvien unos naziva grupe za koju vai odreena polisa, a zatim i
oznaka te grupe. Svaki ureaj koji se prijavljuje na sistem to radi preko rutera VPN router ija je
IP adresa 192.168.220.1, i koji je zaduen za sve provere. Poslednje preostala dva odeljka su
namenjena za unos korisnikog imena koje je u ovom sluaju VPN i unos lozinke koja je
prekrivena iz bezbedonosnih razloga, dok se u konfiguraciji rutera ne moe nai u otvorenom
obliku, ve je sakrivena ifrovanjem MD5 hash algoritmom. Nakon uspene prijave ureaji sa
udaljenih lokacija dobijaju neku od slobodnih IP adresa koje su dodeljene opsegu MYPOOL iz
VLAN-a 16. Predviene adrese namenjene MYPOOL ospegu su od 192.168.16.100 do
192.168.16.110.
75
Slika 13.3 Pregled konfiguracije VPN rutera
76
14.Bezbedosnosne pretnje
U savremenom poslovanju velikih kompanija koje posluju na razliitim krajevima sveta je od

esencijalnog znaaja da budu u stalnoj vezi sa svim svojim filjalama , zaposlenima koji svoji
posao obavljaju sa razliitih lokacija kao i sa svojim partnerima. Svaki prekid u komunikaciji ili
potpuni prestanak rada nekog od delova mree ili celokupne mree moe dovesti do ogromne
materijalne tete. Pored potrebe za stalno dostupnom komunikacijom, veoma je bitno i da se
podaci koji putuju izmeu mrea budu zastieni i dostupni samo dozvoljenim ureajima i licima.
Ukoliko se neki od poverljivih podataka nau u posed konkurentskih kompanija, oni se mogu
iskoristiti u svrhe analiziranja trenutnih i buduih poslovnih aktivnosti. to mozda moe i dovesti
u pitanje dalje funcionisanje kompanije iji su podaci dospeli u ruke konkurenciji. Za kompanije
koje saradjuju sa velikim brojem klijenata je bitno da line podatke svojih klijenata uvaju na
bezbedan nain, kako ne bi dosle u posed treih lica koja bi mogla da te podatke iskoriste za
svoje potrebe. Ugroavanjem bezbednosti podataka kompanije se mogu susreti sa ozbiljnim
naruavanjem ugleda, to e dalje imati uticaja na buduu saradnju sa nekim od potencijalnih
klijenata. Napadi od stranih lica mogu biti izvedeni iskoriavanjem slabih taaka u mrei, kao
to su ranjivost u softveru, slaba fizika obezbeenost ureaja, nagaanjem korisnikih imena i
lozinke, kao i propustima nekih od zaposlenih. Takoe pored pretnje od neutorizovanih ureaja i
lica mora se voditi rauna i o uslovima u kojima se ureaji nalaze i odravaju. Zbog svega
navedenog je potrebno da se svi ureaji zatite na svaki moguci nain, krenuvi od fizikog pa
sve do aplikacionog sloja. Najvei problemi koji mogu nastati ukoliko se neka od ranjivih taaka
iskoristi su kraa informacija, kraa identiteta, kraa ureaja , gubitak podataka, prekid usluga.
77
14.1 Osnovni nivoi zatite
Redovno pravljenje rezervnih kopija podataka i korienje redudatnih centara za

smetanje podataka na razliitim lokacija se moe obezbediti da ne doe do gubitaka podataka ili
da to manje podataka bude izgubljeno. Korienjem anti malicioznih softvera i redovnim
auriranjem sistemskog softvera ureaji mogu pruati zavidan nivo bezbednosti , i otkriti veinu
malicioznih pretnji. Meutim primarni nivo zatite se moe ogledati kroz podeavanje kontrole
pristupa ureajima.
14.2 VLAN zatita
Osnovnom konfiguracijom svieva svi portovi su podrazumevano lanovi VLAN-a 1

koji ima sve privilegije pri konfiguraciji. Zbog toga je neophodno da se portovi koji ne pripadaju
ureajima administratora dodele nekom drugom VLAN-u. Na taj nain se spreava da neko od
napadaa pristupi delu za konfigurisanje.
14.2.1 VLAN hooping
Predstavlja bezbednosni problem koji se moe dogoditi untar mree kada napada koji se
nalazi u okviru jedne VLAN mree pokuava da pristupi saobraaju drugih VLAN mrea.
Postoje dve vrste napada na VLAN saobraaj,a to su dvostruko oznaavanje i prislukivanje. Oba
napada se mogu otkloniti jednostavanom konfiguracijom na sviu. Potrebno je iskljuiti DTP
protokol koji se koristi kod Cisco svieva radi lakeg dogovaranja oko reima koji e biti
korien izmeu dva svia.
Switch (config-if) # switchport nonegotiate

Iskljuivanje DTP protokola
78
14.3 Autentifikacija
Ovlasena lica koja su zaduena za odravanje i konfiguraciju ureaja na mrei prethodno

moraju dokazati da su ovlaseni za pristup ureajima . Administratori mrenim ureajima mogu
pristupiti lokalno preko konzolnog interfejsa ili sa udaljenih lokacija preko telnet i SSH konekcije
i virtuelnih interfejsa. Zbog zatite i zabrane pristupa ureajima preko konzolnog ili virtuelnih
interfejsa neovlaenim licima neophodna je upotreba korisnikih imena i lozinki. Ukoliko doe
do nekih zloupotreba od strane zaposlenih, upotrebom razliitih korisnikih imena i lozinki, i
pregledom log fajlova se moe odrediti ko je odgovoran za zloupotrebu. Kroz nekoliko koraka se
iz konfiguracionog modula se mogu dodati korisnika imena i lozinke i aktivirati prijavljivanje
na konzolni interfejs ureaja.
Router(config)# line console 0

Ulazak u konzolni interfejs
Router(config-line)# login local
Aktiviranje logovanja
Router(config-line)# end
Izlazak iz konzolnog intefejsa
Router(config)# username slobodan secret cisco123456
Dodavanje korisnikog imena slobodan i lozinke cisco123456 koja e biti prikazana u MD5 hash
formatu
Router(config)# security password min-length 10
Podeavanje minimalne duine lozinke
Router(config)# login block-for 120 attempts 3 within 60
Implementacija polise kojom se zabranjuje prijavljivanje na 120 sekundi ukoliko je dolo
do 3 neuspesna pokusaja prijavljivanja u roku od 60 sekundi.
Router(config)# login on-failure
Unos komande kojom se prikazuje obavetenje sa informacijama nakon neuspenog
prijavljivanja
Slika 14.1 Prikazano obavetenje nakon neuspenog prijavljivanja
79
14.4 Konfiguracija SSH

Router(config)# line vty 0 4
Ulazak u virtuelni interfejs
Router(config-line)# password cisco
Dodavanje lozinke cisco
Router(config-line)# login
Komanda kojom se zahteva lozinka pri prijavljivanju
Router(config-line)# transport input ssh
Odabir SSH protokola umesto podrazumevanog telnet protokola
Router(config-line)# end
Izlazak iz virtuelnog interfejsa
Router(config)# ip domain-name thetihoj.com
Dodavanje domena
Router(config)# crypto key generate rsa 1024
Generisanje kljueva RSA 1024 bit-nim algoritmom
Router(config)# ip ssh version 2
Odabir verzije 2 SSH sigurnosnog protokola
14.5 Baner
Lica koja nemaju dozvolu za pristupanje mrenim ureajima se moraju unapred obavestiti
da im je zabranjen pristup. Pa je zbog toga potrebno da im se ostavi poruka.
Router(config)# banner motd #Zabranjen pristup neovlas e nim licima#
Kreiranje poruke upozorenja
Slika14.2 Poruka na ureaju
14.6 Port security
Port security mehanizam koji spreava nekoliko vrsta napada, kao to su napad na
dostupnost i DHCP server i spreava preplavljivanje CAM tabele nelegitimnim MAC adresama.
Mehanizam funkcionie na osnovu dozvoljenih MAC adresa, on prosleuje samo saobraaj
njemu pozntih MAC adresa, dok e se saobraaj svih ostalih adresa odbaciti. Adrese mogu biti
80
runo uneene, dinamiki nauene od trenutno povezanih ureaja ili uneeno nekoliko adresa, a
da ostale preostale adrese do maksimalnog dozvoljenog broja adresa za odreeni port budu
dinamicki naueni.
Switch(config)# interface fastethernet 0/1

Odabir interfejsa
Switch(config-if)# switchport mode access
Prenos interfejsa u reim pristupa
Switch(config-if)# switchport port-security
Aktiviranje port security mehanizma
Switch(config-if)# switchport port-security maximum 5
Definisanje maksimalnog broja dozvoljenih adresa
Switch(config-if)# switchport port-security mac-address 0000.0000.0016 (Static
secure MAC)
Rucni unos adrese
Switch(config-if)# switchport port-security mac-address sticky
Aktiviranje reima za dinamiko uenje adresa
14.7 Trafic storm control
Prua mogunost praenja i kontrole broadcast, multicast i unicast saobraaja, koji usred
napada mogu dovesti do prekomernog saobraaja, to moe da umanji performanse mree ili da
dovede do potpunog funckonisanja. Kontrola saobraaja se proverava na osnovu propusnog
opsega saobraaja. Trafic storm mehanizam daje mogunost dodeljivanja procenta propusnog
opsega koji se moe iskoristiti za saobraaj. Dozvoljeni procenat se moe kretati od 0 do 100, to
je procenat vei to je nivo kontrole manji, dok se smanjivanjem procenta poveava nivo kontrole.
Maksimalni procenat znai da ne postoji nikakva kontrola, a za 0 procenta je sav saobraaj
zabranjen. Trafic storm control funkcionie na taj nain da ukoliko saobraaj prevazie
dozvoljeni procenat saobraaja u roku od 10 milisekundi, sav nahnadno pristigli saobraaj se
odbacuje.
81
switch(config)# interface ethernet 0/1

Odabir interfejsa
switch(config-if)# storm-control broadcast level 40
Podeavanje dozvoljenog procenta za broadcast saobraaj
switch(config-if)# storm-control multicast level 40
Podeavanje dozvoljenog procenta za multicast saobraaj
switch(config-if)# storm-control unicast level 40
Podeavanje dozvoljenog procenta za unicast saobraaj
4.8 STP manipulation attack
STP protokol se koristi za spreavanje obrazovanja petlji u delovima mree gde postoje
redudantne veze izmeu dva ureaja. Svievi biraju jednu vezu kao primarnu, dok su ostale veze
blokirane sve dok je primarna aktivna. Potencijalni napadai pokuavaju da svoju vezu postave
za primarnu. Da bi to uradili napadai emituju STP konfiguraciju, pokuavajuci da na taj nain
prisile STP na ponovnu rekalkulaciju. Ukoliko napada uspe u svojoj nameri on moe videti sve
skrivene okvire, koje zatim moe prosleivati i naterati sve portove na rekalkulaciju, to e na
kraju dovesti do toga svi budu u reimu prenosa i da tako stvore petlju. Najbolja praksa za
reavanje ovog problema je konfigurisanje mehanizma koji e onemoguiti da ureaji krajnjih
korisnika ne utiu na STP topologiju.
Switch (config)# spanning-tree portfast bpguard
Konfigurisanje bpguard mehanizma
14.9 Reconnaissance attack
Cisco kompanija je za svoje potrebe razvila CDP (engl. Cisco Discovery Protocol)
protokol koji je zaduen za nagledanje i prikupljanje informacija o direktno povezanim Cisco
ureajima. CDP protokol prenosi informacije o operativnom sistemu, konfigurisanim IP
dadresama, modelu susednog ureaja. Na osnovu ovih informacija se moe izgraditi celokupna
topologija mree. U velikom broj sluajeva nije neophodno slanje ovih informacija, a sa druge
strane mogu predstavljati veoma veliki rizik ukoliko ovi podaci dou do potencijalnih napadaa.
Zbog toga je preporuljivo da ovaj protokol bude iskljuen. Reconnaissance attack je
neovlaeno otkrivanje informacija i ranjivosti mrea.
Switch (config-if )# no cdp enable
Iskljuivanje protokla razmene informacije
82
15. Zakljuak
Dananji svet ne trpi odlaganje i eli sve oblike informacija i zakljuaka na jednom mestu,
pristupane u vrlo kratkom vremenskom periodu. Internet je najbolji primer za pruanje sadraja
koji je u skladu sa oekivanjima i zahtevima mladih korisnika. Internet moe da istovremeno daje
prostor komercijalnim online sadrajima koji su isti ili slini sa onim to nude potojei masovni
mediji, ali i personalnim internet stranicama koje kreiraju pojedinani korisnici.
Globalizacija interneta je nastupila mnogo bre nego to se to oekivalo, a jedan od

najveih uticaja na to je imala upravo Cisco korporacija kao lider u mrenoj komunikaciji i
raunarskim mreama. Cisco inovacije su u potpunosti promenile nain na koji uimo, obavljamo
svakodnevne aktivnosti, poslujemo i zabavljamo se. Kao mree bez granica omoguavaju nam da
saraujemo i da pristupimo naim resursima sa bilo kog mesta u bilo koje vreme vrlo jednostavno
i na najbezbedniji mogui nain, to je osnovni konept Cisco tehnologija.
Savremene raunarske mree su postale uobiajena stvar u svakoj lokalnoj mrei: u

domainstvima, preduzeima, globalnim kompanijama, edukativnim, univerzitetskim i raznim
drugim institucijama. Uveanje broja korisnika raunarske mrea i razvoj novih aplikacija u
njima uslovljavaju potrebu za uveavanjem kapaciteta i dometa koji bi mogli da zadovolje sve
vee zahteve brojnih korisnika.
Savremene kompanije umreavanje svog poslovanja smatraju primarnom metodom i

zahtevaju da njihove mree budu efikasne. Uvidevi da e se u budunosti javiti ovakva potreba,
kompanija Cisco je tritu ponudila brojna reenja i inovativne tehnologije koja privatnim i
poslovnim korisnicima omoguiti brzine od nekoliko stotina Gbit/s.
83
16. Literatura
23
[1] Veinovi, M., Adamovi, S., Kriptologija 1 , Univerzitet Singidunum, Beograd, 2013.,
str. 99.
[2] 4Tety, E , Cisco networking all-in-one for dummies,Indianapolis, Indiana ,2011. , str. 40
20
[3] Veinovi, M., Jevremovi, A., Uvod u raunarske mree, Univerzitet Singidunum,
Beograd, 2008., str. 92.
25
[4] Milosavljevi, M., Adamovi, S., Kriptologija 2 , Univerzitet Singidunum, Beograd,
2014., str. 95.
[5] Pleskonji, D. i sar. Sigurnost raunarskih sistema i mrea, Mikro knjiga, Beograd,
2007.,
[6] Bigelou, S., Raunarske mree, Mikro knjiga, Beograd, 2002.,.
[7] Milosavljevi, M.,Veinovi, M., Grubor, G., Informatika, Univerzitet Singidunum,

Beograd, 2013.
[8] Veinovi, M., Jevremovi, A., arac, M., ami, G., Zatita u raunarskim mreama,
Univerzitet Singidunum, Beograd 2014
[9] Vilijam ej, Savremene komunikacione tehnologije i mree, Kompjuter biblioteka,

aak, 2004.
[10] Adam Engst., Beino umreavanje., Kompjuter biblioteka., aak., 2004.
[11] Endru Tanenbaum., Raunarske mree., Mikro knjiga., Beograd., 2005.
[12] Osnove raunarskih mrea., Microsoft Software d.o.o.., Beograd., 2007
84
Internet izvori pristupljeno decembar 2015.
1
[1] http://designrevivercom.c.presscdn.com/wp-content/uploads/2009/04/cisco-systems.png
2
[2] http://ptgmedia.pearsoncmg.com/images/chap1_9781587133183/elementLinks/01fig05_alt.jpg
3
[3] http://www.cisco.com/c/en/us/products/switches/catalyst-3750-x-series-switches/bulletin-listing.html
5
[4] http://www.cisco.com/c/en/us/products/switches/campus-lan-switches-core-distribution/index.html
[5] 6http://www.cisco.com/c/en/us/products/switches/catalyst-4948-switch/index.html
[6] 7http://www.cisco.com/c/dam/en/us/products/switches/ps5718/ps708/prod_large_photo0900aecd80311bdd.j
pg
8
9
10
[9] http://www.ciscopress.com/articles/article.asp?p=2180208&seqNum=9
[10] 11 http://www.ciscopress.com/articles/article.asp?p=2181837&seqNum=6
[11] 12 http://ptgmedia.pearsoncmg.com/images/chap3_9781587052729/elementLinks/de550309.gif
[12] 13 http://www.cs.rpi.edu/~kotfid/switching/ch1/1_1_2/index.html
14
[13] http://cisco.edu.mn/CCNA_R&S_3_(Scaling%20Networks)/course/module2/index.html#2.1.2.4
15
[14] http://cisco.edu.mn/CCNA_R&S_3_(Scaling%20Networks)/course/module2/index.html#2.1.2.4
[15] 16 http://cisco.edu.mn/CCNA_R&S_3_(Scaling%20Networks)/course/module3/3.1.2.2/3.1.2.2.html
[16] 17 http://ptgmedia.pearsoncmg.com/images/chap3_9781587133237/elementLinks/03fig09_alt.jpg
[17] 18http://cisco.edu.mn/CCNA_R&S_2_(Routing%20and%20Switching%20Essentials)/course/module8/8.2.3
.3/8.2.3.3.html
[18] 19 http://ptgmedia.pearsoncmg.com/images/chap2_9781587133329/elementLinks/02fig10.jpg
[19] 21http://ptgmedia.pearsoncmg.com/images/chap3_9781587133329/elementLinks/03fig24_alt.jpg
[20] 22 http://124.160.43.232/R&S_4.CN-EN/course/module7/7.3.2.1/7.3.2.1.html
[21] 24 http://cna.upc.edu.cn/rs/04/course/module7/7.3.2.6/7.3.2.6.html
85
86

MR - CISCO Tehnologije U Organizaciji Računarskih Mreža

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MR - CISCO Tehnologije U Organizaciji Računarskih Mreža

Uploaded by

Copyright:

Available Formats

UNIVERZITET SINGIDUNUM

Departman za poslediplomske studije

ZAVRNI MASTER RAD

CISCO TEHNOLOGIJE U ORGANIZACIJI

Prof. dr Mladen Veinovi Slobodan Tihojevi

Beograd, januar 2016.

2. Metodologija istraivanja ...................................................................................................... 6

2.1. Predmet istraivanja ....................................................................................................... 6

3 . Planiranje i projektovanje raunarskih mrea ........................................................................ 8

3.1. Izbor izmeu dvoslojne ili troslojne arhitekture mree ..................................................... 8

4. Proizvodi i usluge Cisco kompanije ..................................................................................... 12

4.1. Svievi (komutatori)......................................................................................................... 13

5. Virtuelne mree .................................................................................................................. 19

5.1. Kreiranje virtuelnih mrea ............................................................................................ 20

6. Model savremene raunarske mree ..................................................................................... 22

7. Spanning tree protokol ........................................................................................................ 29

8.1 Konfigurisanje HRSP .................................................................................................... 37

9.1 Konfigurisanje EtherChannel-a ...................................................................................... 41

10 . Protokoli rutiranja ............................................................................................................ 44

10.1 OSPF .......................................................................................................................... 45

11. WAN .............................................................................................................................. 51

11.1 Privatne WAN infrastrukture ....................................................................................... 51

12. Pristupne liste.................................................................................................................. 61

12.1 Standardne pristupne liste ............................................................................................ 62

13. VPN ............................................................................................................................... 66

14. Bezbedosnosne pretnje .................................................................................................... 77

14.1 Osnovni nivoi zatite ................................................................................................... 78

15. Zakljuak .......................................................................................................................... 83

16. Literatura .......................................................................................................................... 84

Raunarske mree se razvrstavaju u tri osnovne grupe, zavisno od funkcije. Lokalna

Cisco je amerika multionacionalna kompanija koja je vodea u oblasti raunarskih mrea.

Slika 1.1 - Stari i novi logo kompanije CISCO1

Uzimajui u obzir specifinosti prouavanog predmeta istraivanja koriene su razliite

2.1. Predmet istraivanja

2.2. Cilj istraivanja

Cilj istraivanja sprovedenog u ovom radu je da se utvrde pogodnosti korienja Cisco

2.3. Nauni cilj rada

2.4. Struktura rada

Nakon uvoda, u poglavlju pod nazivom Planiranje i projektovanje raunarskih mrea su

3 . Planiranje i projektovanje raunarskih mrea

Pri planiranju i projektovanju raunarskih mrea mora se voditi rauna i o modularnosti,

3.1. Izbor izmeu dvoslojne ili troslojne arhitekture mree

Dokazano je da hijerarhijski modeli dvoslojnih i troslojnih mrea pruaju maksimalnu

Slika 3.1 - Grafiki prikaz dvoslojne i troslojne aritekture 2

3.2. Pristupni sloj

slojevima sa svievima na sloju distribucije. Svievi na pristupnom sloju su uglavnom svievi

3.3. Distribucioni sloj

"Glavna odgovornost sloja distribucije da prikuplja i organizuje prenos podataka izmeu

3.4. Sloj jezgra

4. Proizvodi i usluge Cisco kompanije

Lista proizvoda koja se nalazi u Cisco-voj ponudi je zaista impoznantna, ali da bi

4.1. Svievi (komutatori)

Slika 4.1 - Svi kompanije Cisco - Catalyst 49486

Svievi sa modularnim konfiguracijama nude znatno vie fleksibilnosti, mogu se

Slika 4.2 - Svievi sa modularnim konfiguracijama kompanije Cisco 7

Slika 4.3 - Pravilno povezivanje Cisco svia8

Ruteri se mogu posmatrati kao namenski projektovani raunari. Da bi ruter pravilno

Dve osnovne funkcije rutera su :

Slika 4.4. - Proces odluivanja o odreivanju najbolje putanje za prenos paketa 9

Tabela 4.1. - Prikaz vrednosti administrativnih rastojanja10

Besprekorno funkconisanje mree i njena bezbednost su veoma vani faktori za rast i

5.1. Kreiranje virtuelnih mrea

Student(config)# vlan 10 Kreiranje vlan-a 10