УНИВЕРЗИТЕТ СИНГИДУНУМ

Факултет за информатику и рачунарство

Проф. др Младен Веиновић

др Александар Јевремовић

РАЧУНАРСКЕ МРЕЖЕ
Прво издање

Београд, 2011.
Ауtори:
Проф. др Младен Веиновић
др Александар Јевремовић

Рецензенtи:
Проф. др Милан Милосављевић
Проф. др Бранко Ковачевић

Издавач:
УНИВЕРЗИТЕТ СИНГИДУНУМ
Београд, Данијелова 32
www.singidunum.ac.rs

За издавача:
Проф. др Милован Станишић

Лектор:
Данило Јевремовић

Техничка обрада:
Александар Јевремовић

Дизајн корица:
Александар Михајловић

Година издања:
2011.

Тираж:
300 примерака

Шtамpа:
Младост Груп
Лозница

ISBN: 978-86-7912-368-8
Copyright:
© 2011. Univerzitet Singidunum
Izdavač zadržava sva prava.
Reprodukcija pojedinih delova ili celine ove publikacije nije dozvoljena.

 
   
   

 


 

  

  


 
 !
" 
#$%
 
#$%
&
#$'( )
*'( )
$'( 

 
+


 

*
#$'( 
,'  -
 ./0' !
 12 ' !
 3 ' 4
!50 %
!678 )
!9:;<8; 
4
 
(-

- 
,""$ 
,"'$
," !
,"

 4

" 
.  "$
="$!
 - %
5
 )
>  ")

III
 

 +  
 #$" 
!>$" 
1- 2 )
5
?@ABACDAEF )
="?GHIF )
1-?JEKLMAF 
.?7NKDOPFQ / 
& ?@RHDAEF
 1-
?MCDANCSF 
!T""?UKEANCVVF
*0  4
1-  4
1 4
87WX9AEYKZCV[LCBDAE%
[W7\<W7\ %
@7] )
 &' 
!^KEA_KEA 
48EW[ 
&
#$

  
,

 
`]6X<`]6^^
  
$ 
2$- 

 -
 a 

   !
&
#$ %
,  $$ %
b
!)
c0
 !
 c !
 
 
c!
 , c!!
 [@;]
($!!
!' -4)
!>5' 4)
!^KIAEWKdDEKIHDALWCDC8ZDAEUCOA4)
4_[X' 4

IV
 4;;;
 4
4e0- 4
487WX?8ZDAMECDAL7AEfKOAdWKMKDCVXADNREgF4
4+'

4!
4*# %)
4 ` %)
4!h %
44a>1 %
%T-' %
%JVHADRRDPQ8iii4)%!
%_K^KQ8iii4)))
%_Kj[` )
1- )!
*
 )4
.  
*
)
a$-
T"/'
  
1--
,-%
T$
-$

-$-:
e
/
 

2$-?X[9F%
2$
 
h'$

5 $
 $4
 $
@8;]
0  $
'2$
 
'4
$ %
@8;ZM]
0  $b
'  

-'
8:j;]

 *
a
 8:j;
k
"8:j;
%
8lj;]

#$'
*  
>
  
  
&  

V
 9:;]
 
 !
&
#$  !
.' 
  4
 
0!)
'!
.
  !
.0 -!
,] !4
* "4)
a 
4
" 4
a$/
$
4
&0 " 4
G99;]


4
 / 4!
&
#$%)
T"

%
G9j\]$
%
`j\]
($%
$
   #  %!
76[;]


"%!
 _WW`]

"%%
!m76X]"
mCfC7OEKBD))
."))
&
#$
b$)
,")
"
 
 )
.
( )%
a 
()%
 /$

7j9;]


(
 
;6;]
 
( 
.
0
^9;]

0!
.' ^9; !
X^7]-0]4
:8^7]
(*0]4
.$ )
WG:;]

($b)

VI
 WX7]
*
"($
>
,($
 .  -4
 X9;]
-'4
 7Xj;]

#$-)
!. #  
!> 
!77G]""#  
!+" 
2$:
''
41  
4*0 
40  
""  -
3

!
,
 !
5"$(0
4
3

$   
3
 b$  '

(   
k( 
'

k(
(
k( 
'
)
9ECZdBRED\CSAE7AOHEKDS

9\7] 
#$
&
#$# 
,
'0 $
*
 9\7

k( -'
%
8ZDAEZAD;ERDRORV7AOHEKDS( )
5- 
[HDPAZDKOCDKRZGACLAE 
iZOCBdHVCDKZM7AOHEKDS;CSVRCL
*
 8;dAO
 4
8ZDAEZADoASipOPCZMA
!
h !
.$
$
!
.(0'!
[LfCZOALiZOESBDKRZ7DCZLCEL/[i7!!

VII
 WCDCiZOESBDKRZ7DCZLCEL?Wi7/Wi7F!4
@7[ !%
> 4)
!+8]1-"q .4
!,0'  04
!a
($-
4
!a
 -($
"4
!aWKCV]rB-4
!1-4
! ($-'0?KUORZUKMF4!
4+88]-4%
4k  4%
42$"4%
42$-4%
4* $-4%
42$"  -%)
42$
%)
4 2$
' -%)
4!-$ -%
45($ %
42$"%
42$-%
4* $-%
42$"  -%
42$
%
4 2$
' -%
4!-$ -%

VIII
  



         
          

  !          

       " #  $ %
  &&     !  
" ! '  &     
  % (        
       )  !
! '    # %
*' )    )  '   '  !  
 #  ' #    # !  
+  # "   $    
% ( )     +   #
#   #  '       
     &    
   %
            
 ' '    # !   #
 %     #   '   
 '              
  %    '    
             
,#    !    + & # 
-% .  +  '   
'   %
(  #    &  &  !     
     ' !  !   
'    %     /01  234514 
6    !         '% 7
           '!    
  #   '    # 
 +   %     +  
#    1489  148:!     
  ; 13<4  1=<4% > '  #      
14  , ! !  !  -      
& + # 14    , -

IX
   % ( +     14
           
      %     !
           !   
  ? 234  @A4% B       
!   #   ! !  &  
 %
  '  + 6% (       
  &   &! "   %  
+ & ' AC0  $    &
#)#   "% >)   # 
 #        $ ! #
    "  ) % D
#           
)#  !            % 7
     &  E   %
 '      )'     
    6 # % .    
    % (  +        
&     '      &
'   '% B   ) '  
  #   #      ) 
   %   '+     # 
!  6   #  +  %
>      #!  
   
% 7  # '  &   ! #
 ' &    !   '  
#        
)       #    #
'!   &        & +
% .      % 7   +!
      +!      % . 
     ' ) &% F ) 
   '  '    + 
   +      !    '+ &
       &   
 %

G! HIJJ%  F

X
1. Принципи рачунарских телекомуникација
Рачунарске телекомуникације представљају један од облика комуникација,
односно комуникацију на даљину остварену путем коришћења рачунара. Иако
се често узимају за један од најсавременијих резултата развоја цивилизације,
оне не решавају ни један од суштинских проблема везаних за комуникацију већ
представљају строго технолошки напредак. Ипак, такав напредак је посредно
довео до многих напредака у областима невезаним за рачунарске технологије,
као и до одређених социолишких, културолошких и других феномена.
Основни принципи рачунарских телекомуникација условљени су принципима
везаним за комуникацију уопште и принципима везаним за рачунарство уопште.
У овом поглављу су представљени основни принципи рачунарских
телекомуникација, првенствено са аспекта принципа рачунарских система и
технологија за комуникацију на даљину.

1.1. Основни елементи рачунарских комуникација

Као основни елементи рачунарске мрежне комуникације могу се издвојити:
1. комуникациони канал (вод),
2. хардвер рачунара,
3. оперативни систем и
4. корисничке апликације.

Слика 1.1-1. Елементи рачунарских мрежа

Код директне комуникације два рачунара оба учесника поседују све наведене

РАЧУНАРСКЕ МРЕЖЕ 1
елементе, осим у случајевима када се комуникација иницира или завршава на
нивоу оперативног система или када је у питању контролна комуникација на
нивоу мрежног хардвера. Међутим, код комплекснијих мрежа комуникација
крајњих чворова може бити посредна и одвијати се преко једноставних
мрежних уређаја, који се састоје од хардвера са уграђеним функцијама и
интерфејсима или преко комплексних мрежних уређаја који у себи садрже
специјализовани мрежни оперативни систем. Комуникациони канали и
елементи који их повезују са мрежним интерфејсима рачунара или уређаја
називају се пасивном мрежном опремом. Мрежни уређаји који у себи, поред
хардвера, садрже и фирмвер или софтвер способан за анализу и модификацију
носећих сигнала, називају се активном мрежном опремом. Правила по којима
се комуникација врши на свим поменутим нивоима јесу протоколи.
За успешну комуникацију између крајњих чланова мреже потребно је
обезбедити функционалност на свим комуникационим нивоима. У случају да
рачунари немају адекватну подршку за хардверске или софтверске елементе на
којима се базира рачунарска мрежа, комуникација неће бити могућа.
Пасивна мрежна опрема представља најједноставнију компоненту рачунарских
мрежа. Атрибут “пасивна” потиче од циљне карактеристике компоненти ове
категорије да над мрежним саобраћајем не изврше никакву измену. Пасивне
компоненте мреже чине:
• утичнице,
• каблови,
• панели за преспајање и за завршавање каблова ( patch panel),
• каблови за преспајање (patch cabel),
• рек ормани,
• каналице за вођење кабла и друго.

1.2. Пренос података

Рачунарска мрежа се може посматрати као комуникациони систем, где се
информација генерисана на предајној страни (извориште поруке) доставља
жељеном одредишту. Основни елементи комуникационог система су:
• Извор (source) – генерише податаке за пренос.
• Предајник (transmitter) – трансформише генерисане податке у облик
погодан за пренос (нпр. модем дигиталне податке из рачунара

2 РАЧУНАРСКЕ МРЕЖЕ
 трансформише у аналогни сигнал који се може пренети преко јавне
телефонске мреже ).
• Преносни систем (tramission sistem) – може бити једноставна линија или
комплексна мрежа која спаја извор и одредиште.
• Пријемник (receiver) – прихвата сигнал из преносног система и
трансформише га у облик погодан за одредиште.
• Одредиште (destination) – прихвата пренете податке.

Слика 1.2-1 Модел комуникационог система

Кључни послови у комуникационом систему су:
• Повезивање (interfacing) уређаја на комуникациони систем;
• Генерисање сигнала (signal generation) – пропагација, регенерација,
домет итд.;
• Синхронизација (synchronization) предајника и пријемника;
• Размена података (exchange management) према одговарајућем
протоколу;
• Откривање и исправљање грешака ( error detection and correction) нпр.
код слања датотека;
• Контрола тока (flow control) - усаглашавање брзине слања и брзине
пријема података;
• Адресовање и усмеравање ( addressing and routing) – чим постоји више
од два учесника;
• Опоравак (recovery) – могућност да се трансфер података настави од
места прекида;
• Форматирање података (message formatting) - договор учесника о
дужини и структури података који се преносе;
• Заштита (security) на преносном путу, аутентичност података;
• Управљање мрежом (network management) – мрежа је комплексан
систем, који не ради сам по себи. Неопходно је мрежу конфигурисати,
надгледати, интервенисати и интелигентно планирати за будућу намену.

РАЧУНАРСКЕ МРЕЖЕ 3
1.2.1. Врсте преноса података
У рачунарским мрежама постоје два основна начина преноса података. Код
првог начина, који је старији, веза између изворишта поруке и одредишта
успоставља се кроз чворове мреже, на начин да се заузима комплетан спојни
пут. Карактеристичан пример је јавна телефонска комутирана мрежа. Други тип
јепакетски начин преноса, где се порука дели у мање целине – пакете (оквире),
а кроз мрежу се пакети могу преусмеравати по различитим спојним путевима.
Овакав начин преноса је карактеристичан код Интернета. Постоји и трећи начин
преноса података, а односи се на пакетски пренос података где сви пакети
пролазе исти спојни пут.
1.2.1.1. Пренос података са комутацијом веза
Код преноса података са комутацијом веза (енгл. circuit switched) између два
учесника у комуникацији успоставља се чврста директна веза, а укупна
информација се преноси путањом која је утврђена у току успоставе везе. На
пример, ако рачунар PC1 жели да комуницира са рачунаром PC2 прво се
успоставља веза између ова два рачунара и та веза постоји само за дати пренос
података.

Слика 1.2.1.1-1. Пренос података са комутацијом пакета

Ако неки трећи рачунар пожели да комуницира са рачунаром PC2 у том
тренутку, то неће бити могуће по истом спојном путу. Такође, комуникација
било која друга два учесника не може да се одвија заузетим спојним путем.

4 РАЧУНАРСКЕ МРЕЖЕ
Основна карактеристика оваквог начина преноса података је да се подаци могу
преносити успостављеном везом максималном брзином која је могућа, тј. у
потпуности се може користити комплетан фреквенцијски опсег успостављеног
спојног пута (комуникационог канала) за пренос података.
1.2.1.2. Пренос података са комутацијом пакета
Код преноса података са комутацијом пакета (енгл. packet switched) између два
учесника, прво се информација која се размењује дели у пакете чија структура
(дужина пакета, редни број, адреса одредишта, приоритет и сл.) одговара
носећим протоколима. Пакети се упућују до првог чвора у мрежи (рутера), а у
сваком рутеру се врши независно усмеравање пакета. Избор путање у рутерима
се врши на основу више критеријума који важе у датом тренутку. Пакети
пролазе различите путање од изворишта до одредишта. На одредишту се врши
слагање пакета у првобитан редослед да би се добила потпуна информација.
Овакав начин преноса података је карактеристичан за рачунарске мреже где
већину мрежног саобраћаја чине кратки налети података са празним простором
између и који су обично временски дужи од “попуњених”. Суштина оваквог
начина преноса података је да се у празним просторима могу слати пакети које
шаље неки трећи учесник. Дакле, подаци од различитих изворишта могу
пролазити истим спојним путем.

Слика 1.2.1.2-1. Пренос података са комутацијом пакета

Ово је далеко „жилавији“ начин преноса, зато што пакети најчешће могу да нађу
бар један слободан спојни пут. Мана је што је ефективна брзина слања података
на овај начин мања од максималне коју дозвољава пропусни опсег канала, зато
што га користе више учесника у комуникацији.

РАЧУНАРСКЕ МРЕЖЕ 5
1.2.1.3. Пренос података виртуалном везом
Пренос података виртуалном везом (енгл. virtual circuit) такође се односи на
пакетски пренос. Међутим, пакети се усмеравају на исти спојни пут између два
рачунара. Виртуелна кола су перманентног типа што значи да када се једном
дефинишу путање, ретко или никада се не мењају. Ово је заправо софтверска
замена за хардверска решења овог типа. Подаци и даље путују кроз мрежу
(повезани чворови) али тачно одређеном путањом. Сваки пакет, поред
карактеристичних поља које носи, има и обележје које указује на дату виртуелну
везу. Скоро све мреже које имају интензиван саобраћај на мрежи користе ову
методу дефинисања путање.

Слика 1.2.1.3-1. Пренос података виртуалном везом

Предност оваквог начина преноса пакета је да се крајњим апликацијама може
обезбедити одговарајући квалитет услуге. На пример, код интерактивног
преноса говора кроз мрежу, важно је обезбедити да пакети података, којима је
кодован говор, до пријемника стижу истом брзином, тј. да не постоји варијација
у кашњењу. У мрежама са комутацијом пакета, поједини пакети могу да
проналазе драстично различите путање (различито време преноса), што може
довести до проблема на пријему – неразумљив говор. Само виртуелним колима
се може обезбедити захтевани квалитет услуге. Због преноса кроз мрежу
постоји кашњење, али је оно идентично за све пакете и за дати сигнал није од
интереса.

6 РАЧУНАРСКЕ МРЕЖЕ
1.3. Протоколи
Пренос података кроз мрежу обавља се по протоколима – утврђеним
правилима која су позната свим учесницима у комуницирању. Протокол
представља стандард (конвенцију) за остваривање и контролу везе и пренос
података између две крајње тачке. Комуникациони протокол је скуп
стандардизованих правила за представљање података, сигнализацију, проверу
аутентичности и контролу грешака, неопходних за пренос информација
комуникационим каналом. Кључни елементи протокола којим се договара
спремност за слање, спремност за пријем, формат података и сл. су:
1. синтакса - формат података и нивои сигнала,
2. семантика – контролне информације у преносу и контрола грешака,
3. тајминг – брзина преноса.
Размена података у рачунарској мрежи је изузетно сложена. Са повећањем
броја умрежених рачунара који комуницирају и са повећањем захтева за све
савршенијим услугама (сервисима) неопходно је и усавршавање протокола.
Посао комуницирања је толико сложен да је било неопходно развити протоколе
у више слојева. Сваки слој је намењен за један одговарајући посао. Код
првобитних рачунарских мрежа умрежавање се вршило зависно од
произвођача рачунарске опреме. Сав хардвер и софтвер су били везани за
једног произвођача тако да је било веома тешко вршити измене, унапређивања
мреже, и све је било изузетно скупо. Увођењем стандарда за комуницирање по
логички јасно дефинисаним слојевима, појавило се више произвођача
софтверске опреме. Стандардима се омогућило комбиновање хардвера и
софтвера од различитих произвођача, што је све заједно довело до пада цена
опреме и софтвера за умрежавање и до повећања квалитета услуга у мрежама.
Једна од најбитнијих ствари код умрежавања је адресовање. Ако се посматрају
само два рачунара, нема потребе за адресовањем, јер све што се пошаље са
једног рачунара намењено је другом. Већ када мрежу чине три рачунара,
појављује се потреба за адресовањем. Послати подаци са једног рачунара могу
бити намењени једном од преостала два рачунара. Додатно усложњавање
настаје ако се посматра више апликација на једном рачунару, које могу да
комуницирају са више апликација на другом рачунару. Овде није довољно само
адресовати рачунар, већ и апликацију са којом се комуницира.
Кораци протокола морају да се спроведу у складу са редоследом који је исти за
сваки рачунар у мрежи. У предајном рачунару ови кораци се извршавају од врха

РАЧУНАРСКЕ МРЕЖЕ 7
ка дну. У пријемном рачунару ови кораци морају да се спроведу у обрнутом
редоследу.
На предајном рачунару протокол:
• дели податке у мање целине, назване пакети, које може да обрађује,
• пакетима додаје адресне информације тако да одредишни рачунар на
мрежи може да одлучи да ли они припадају њему, и
• припрема податке за пренос кроз мрежну картицу и даље кроз мрежни
кабл.
На пријемном рачунару протоколи спроводе исти низ корака, али обрнутим
редоследом:
• преузимају се подаци са кабла,
• кроз мрежну картицу уносе се пакети података у рачунар,
• из пакета података уклањају се све информације о преносу које је додао
предајни рачунар,
• копирају се подаци из пакета у прихватну меморију (бафер) која служи
за поновно склапање и
• поновно склопљени подаци прослеђују се апликацији у облику који она
може да користи.
Основни принципи у дизајну протокола су ефикасност, поузданост (робустност)
и прилагодљивост. Потребно је да оба рачунара, предајни и пријемни, сваки
корак изведу на исти начин како би примљени подаци имали исту структуру
какву су имали пре слања. У мрежи, више протокола мора да ради заједно.
Њихов заједнички рад обезбеђује исправну припрему података, пренос до
жељеног одредишта, пријем и извршавање. Рад више протокола мора да буде
усаглашен како се не би догађали конфликти или некомплетне операције,
односно некомплетан пренос информација. Резултат тог усаглашавање назива
се слојевитост (layering).
Успостављање везе, пренос података и раскид везе одређени су сетом
протокола од којих је сваки надлежан за један од следећих послова:
• Handshaking - успостављање везе;
• Преговарање о различитим карактеристикама везе;
• Дефинисање почетка и краја поруке;

8 РАЧУНАРСКЕ МРЕЖЕ
 • Дефинисање формата поруке.
• Дефинисање правила за обраду оштећених или неправилно
форматираних порука (исправка грешака);
• Утврђивање неочекиваног прекида везе и дефинисање даљих корака у
том случају;
• Прекид везе.
1.3.1. Протоколи без успостављања везе
При коришћењу протокола без успостављања везе иницијални корак при
преносу података јесте само слање података. Овом кораку не претходи
процедура везана за успостављање везе као што је то случај код протокола са
успостављањем везе. Иако је успостављање везе најчешће особина протокола
са поузданим преносом, постоје протоколи који омогућавају поуздан пренос без
успостављања везе као и протоколи који не гарантују безбедан пренос иако
користе успостављање везе.
1.3.2. Протоколи са успостављањем везе
При коришћењу протокола са успостављањем везе две стране морају да
успоставе везу између себе као предуслов за размену података. Процес
успостављања везе може се поредити са позивањем телефонског броја:
1. Страна која позива иницијализује линију (подизањем слушалице) и
уноси одредишни број.
2. Након позива броја успоставља се веза која још увек није адекватна за
пренос података и чека се на примаоца позива да подигне слушалицу.
3. Након подизања слушалице прималац позива обавештава позиваоца да
је спреман за размену података сигналом “хало”.
4. Након примања сигнала “хало” веза адекватна за пренос података је
успостављена и размена може да почне.
Јасно је да процедура потребна за успостављање везе захтева одређено време и
ангажовање обе стране. Међутим, она обезбеђује поузданији (али не и потпуно
поздан) пренос података и умањује могућност грешке. Успостављање везе се
практикује код протокола који имају за циљ да осигурају поуздан пренос
података. Пример протокола који ради са успостављањем везе је TCP
(Transmission Control Protocol). Протоколи сервиса код којих су перформансе
битније од поузданог преноса података најчешће не укључују успостављање
везе.

РАЧУНАРСКЕ МРЕЖЕ 9
1.4. Управљање грешкама
Управљање грешкама односи се на механизме који откривају и исправљају
грешке које се јављају током преноса података. Постоји могућност појављивања
два типа грешака и то: промењен податак и изгубљен податак. Грешке на
комуникационом каналу су су неминовне код реалних комуникација и настају
због различитих врста шумова или проблема у преносу. Ниједна мрежа не може
да одстрани грешке, али већина грешака може бити спречена, откривена и
евентуално исправљена. Ниво грешке представља један погрешан бит на n
послатих битова (нпр 1 на 500.000). Грешке се обично појављују у групама. У
групним грешкама, више бита је нарушено у исто време, и грешке нису
униформно распоређене. Основне функције контроле грешака су спречавање и
откривање њиховог настајања, као и њихово исправљање.
1.4.1. Извори грешака
Основни узроци грешака су шум на линији и деградација сигнала. Код жичних
мрежа шум је непожељан електрични сигнал који се јавља на комуникационом
каналу. Може се очекивати на електричним медијима где се појављује као
неочекиван електрични сигнал. Манифестује се на два начина и то: додатни
битови – уметање или недостајући битови – брисање.
Постоји више врста извора грешака:
• Прекид линије; катастрофалан узрок грешке који онемогућава пренос.
Често се прекиди дешавају на кратко време. Овај тип грешке могу да
узрокују грешке уређаја, спољног прекида, губитак носећег сигнала,
проблем са конекторима и сл.
• Бели Гаусов шум; настаје код свих електричних сигнала. Он не
представља проблем све док не постане толико јак да надвлада процес
преноса података. Као превенција повећава се снага сигнала којим се
преносе подаци.
• Импулсни шум; основни узрок грешака приликом преноса података.
Обично кратко траје, али је великог интензитета. Узрокују га нагле
промене струје, а као превенција се врши оклопљивање каблова и
евентуално њихово измештање.
• Преслушавање; узрокују га блиски каблови и недовољно размакнути
опсези фреквенција. Као превенција, повећава се фреквенцијски опсег
сигнала и врши се измештање каблова.

10 РАЧУНАРСКЕ МРЕЖЕ
 • Ехо; узрокују га лоше везе где се сигнал рефлектује (враћа) до
изворишта. Као превенција проверавају се конектори или подешавају
уређаји.
• Слабљење; губитак јачине сигнала док се преноси од пријемника до
предајника. Слабљење се повећава са растојањем, а као превенција се
употребљавају рипитери или појачивачи.
• Интермодулациони шум; у њему се сигнали из два независна тока
података комбинују и стварају нов сигнал који упада у фреквенцију која
је резервисана за други сигнал. Узрокује га сигнал настао комбинацијом
из више преносних система, а као превенција употребљавају се
оклопљени каблови и врши се њихово измештање.
• Џитер; узрокује промена аналогних сигнала (амплитуда, фреквенција,
фаза) а као превенција се врши подешавање уређаја.
• Хармонијска изобличења; узрок су појачивачи који мењају фазу
(некоректно појачање улазног сигнала), а као превенција се такође врши
подешавање уређаја.
1.4.2. Откривање грешака
За потребе откривања грешака пошиљалац израчунава додатне битове и шаље
их заједно са корисним подацима. Што се више бита користи као додатак
корисним подацима, боља је детекција грешке али је мања ефикасност преноса.
Прималац из добијених корисних података израчунава додатак и пореди га са
добијеним. Ако је додатак исти као што га је пошаљилац израчунао, нема
грешке у преносу, а ако је различит, постоји грешка у преносу.

Слика 1.4.2-1. Техника откривања грешке

РАЧУНАРСКЕ МРЕЖЕ 11
У технике за откривање грешака спадају провера парности, лонгитудинална
редудантна провера (Longitudinal Redundancy Checking, LRC ), и полиномијална
провера (Checksum, Cyclic Redundancy Check , CRC ).
1.4.2.1. Провера парности
Провера парности представља најстарији и најједноставнији метод детекције
грешке где се један бит додаје сваком карактеру. Ако у карактеру који се
преноси постоји паран број јединица и бит који је додат има вредност 0 то се
назива парна парност (even parity). Ако у карактеру постоји паран број јединица
и додаје се 1 то се назива непарна парност ( odd parity).Пријемник прима
карактер, поново рачуна бит и пореди га са добијеним битом парности. На овај
начин се може уочити непаран број погрешних битова.

Слика 1.4.2.1-1. Пример провере парности

Овај једноставни метод детектује 50% грешака. Примена провере парности није
једноставна у присуству јаког шума.
1.4.2.2. Дводимензионална провера парности
Код дводимензиналне провере парности додаје се бит парности на сваки
карактер, а на крају блока података додаје се нови карактер, који се рачуна
уздужно. Уколико се на преносном путу деси грешка, тј. промена неког бита у
поруци, та се грешка манифестује на једну врсту и на једну колону. Ово
омогућава прецизно детектовање погрешног бита, а затим и његову корекцију.
На овај начин је могуће открити и исправитии вишеструке грешке, али се оне не
смеју јављати у истим врстама и колонама. Као и код сваке провере парности,
могуће је открити само непаран број промењених битова у једној колони или
врсти. Наведена дводимензиона шема има слабе карактеристике ако се ради о
импулсним сметњама и грешкама које су сконцентрисане на једном интервалу.

12 РАЧУНАРСКЕ МРЕЖЕ
 Слика 1.4.2.2-1. Принцип дводимензионалне провере парности: а) нема
грешака, б) постоји грешка на једном биту и она се може исправити
1.4.2.3. Полиномијална редудантна провера
Код полиномијалне редундантне провере на крај поруке се додаје један или
више карактера одређених математичким алгоритмом. У основне типове овакве
провере спадају контролна сума (Checksum) и циклична редундантна провера
(Cyclic Redundancy Check, CRC).
Контролна сума представља кôд детекције грешке заснован на операцији
сабирања која се врши над карактерима који требају да се провере. Блок
података над којим се рачуна контролна сума може да буде различите дужине,
а сама контролна сума је увек исте дужине. Добар алгоритам за израчунавање
контролне суме за мале промене у блоку података даје потпуно различите
вредности контролне суме. Код најједноставнијег алгоритма контролна сума се
израчунава сабирањем децималних вредности сваког карактера у поруци,
укупна вредност се затим дели са 255 а остатак дељења (1 бајт) је контролна
сума. Ефикасност контролне суме је 95%. Код TCP/IP модела контролна сума се
примењује у протоколима TCP и UDP и дужине је 16 битова.
Циклична провера редундансе - (Cyclic Redundancy Check, CRC) резултат је
математичког израчунавања. Она додаје поруци 8, 16, 24 или 32 бита. Порука се
третира као један дуг бинаран број P. Пре преноса, слој везе података дели P
фиксним бинарним бројем G и као резултат даје цео број Q и остатак R/G.
Израчунава се и на полазном и на одредишном рачунару. Дакле, циклична
провера редундансе се одређује израчунавањем следећег остатка:
P/G=Q+R/G
Остатак R додаје се поруци као карактер за проверу грешке при преносу.
Пријемник дели примљену поруку са истим G, што за резултат даје R. Пријемник
проверава да ли се примљено R слаже са стварним R. Ако се не слажу, сматра се
да је дошло до грешке. CRC представља најјачу и највише употребљавану

РАЧУНАРСКЕ МРЕЖЕ 13
проверу и са њом се детектује 100% грешака ако је број грешака мањи или
једнак од величине R. Наведена техника за детекцију грешке користи се на слоју
везе података.
1.4.3. Исправљање грешака
Када се у примљеним оквирима детектује грешка она мора да се исправи или се
такав оквир одбацује. Једноставан, ефикасан, јефтин и најчешће коришћени
метод за корекцију грешке је ретрансмисија. Код овог поступка пријемник, када
детектује грешку, тражи од предајника да поново пошаље поруку све док се
порука не прими без грешке. Чест назив је аутоматски захтев за понављање
(Automatic Repeat Request, ARQ). Постоје два типа ARQ а то су: стани и чекај и
континуални ARQ.
Корекција грешке унапред ( Forward Error Correction) користи кодове који
садрже довољно редудансе да се грешке на комуникационом каналу могу на
пријему детектовати и исправити, без поновног слања. Додатни битови варирају
од малог процента екстра битова до 100% редудансе. Кодови за корекцију
грешке унапред, због додатних битова, смањују ефикасност преноса. Са друге
стране, избегава се потреба за ретрансмисијом података. Обично се користи за
сателитске комуникације. Пример за корекцију грешке унапред је Хамингов код.
Кодови који се користе су ефикасни уколико грешка на комуникационом каналу
не прелази услове под којима су дати кодови конструисани.
Постоје примери где се не врши корекција грешке иако се грешка детектује.
Такав случај је код већине локалних рачунарских мрежа, где се исправљање
евентуалних грешака препушта вишим слојевима OSI или TCP/IP модела.
Захтеви за ретрансмисојом погрешно примљених података би захтевали
увођење протокола који на сваки примљени оквир одговарају ACK или NACK
поруком. Овакви компликовани протоколи би били веома неефикасни у жичним
локалним рачунарским мрежама, где се претпоставља да су услови преноса
добри и да је низак ниво евентуалног шума на комуникационим каналима, тј.
мали је ниво очекиване грешке. Исти случај је код преноса података оптичким
кабловима, где грешке практично и не постоје. Насупрот томе, у бежичним
системима је неопходно да се користе ACK или NACK потврде на сваки оквир,
зато што су услови преноса података такви да је висок ниво грешке на
комуникационом каналу (пренос електромагнетних таласа кроз ваздух). Ниво
грешке у бежичним системима је такав да се унапред зна да је 10 до 20% оквира
сигурно погрешно. Кад би се исправљање грешака препуштало нпр.
транспортном слоју, вероватно да се пренос података никада не би завршио.

14 РАЧУНАРСКЕ МРЕЖЕ
1.5. Категоризације рачунарских мрежа
Данашње рачунарске мреже су у стадијуму развоја у коме не постоји само један
тип мрежа или само једно правило по коме се оне реализују и користе.
Препознавање рачунарских мрежа као комуникационе инфраструктуре
јединствених могућности условило је различита техничка решења да би се оне
омогућиле и у најразличитијим условима. Такође, еволуцијом потреба
човечанства које се базирају на рачунарским мрежама њихова сврха и примена
су почеле да обухватају различите домене људског интересовања. Поделу
рачунарских мрежа је могуће вршити по више критеријума. У складу са
медијумом који се користи за пренос података рачунарске мреже могу бити:
1. каблиране мреже и
2. бежичне мреже.
По топологије рачунарске мреже могу бити:
1. мреже са топологијом магистрале,
2. мреже са топологијом звезде,
3. мреже са топологијом прстена,
4. мреже са mesh топологијом и
5. мреже са комбинованом топологијом.
По временској постојаности рачунарске мреже могу бити:
1. фиксне и
2. привремене.
По простору на коме се простиру рачунарске мреже могу бити:
1. Personal Area Network (PAN),
2. Local Area Network (LAN),
3. Metropolitan Area Network (MAN),
4. Wide Area Network (WAN) и
5. Global Network (Internet).
По архитектури (функционалном односу чланова) рачунарске мреже могу бити:
1. Host-based,

РАЧУНАРСКЕ МРЕЖЕ 15
 2. Клијент-сервер и
3. Peer-to-peer.
По специфичној функцији коју обављају рачунарске мреже могу бити:
1. Storage area network,
2. Server farm network,
3. Process control network,
4. Value added network,
5. SOHO network,
6. Wireless community network и
7. XML appliance network.
Треба имати у виду да су рачунарске мреже једна динамична област у којој су
честе промене тако да је сваки покушај стриктне категоризације осуђен на
краткотрајну исправност.

16 РАЧУНАРСКЕ МРЕЖЕ
1.6. Стандарди, референтна тела и организације
Данас, доминантну улогу на пољу рачунарске безбедности и њене
стандардизације имају САД. Водеће организације на пољу стандардизације
безбедносних система функционишу као агенције владе САД. Такође, и значајне
организације које имају утицаја на глобалне трендове у развоју информационих
технологија лоциране су на северноамеричком континенту.
1.6.1. Међународне организације
Интернет корпорација за додељивање назива и бројева (енгл. Internet
Corporation for Assigned Names and Numbers, ICANN ) задужена је за управљање
адресама на Интернету, одређивање аутономних система, администрацију
кореног система доменских имена, одређивање бројева за протоколе и сл. Пре
формирања ове корпорације при америчком министарству трговине, њене
функције су вршене на Институту за информатичке науке при Универзитету
Јужна Калифорнија, на основу уговора са америчким министарством одбране.
При овој корпорацији функционише и IANA (Internet Assigned Numbers
Authority).
Специјална комисија за развој интернета (енгл. Internet Engineering Task Force,
IETF) задужена је за развој и промовисање Интернет стандарда. Учесници ове
организације су волонтери, с тим да је њихов рад плаћен од стране њихових
послодаваца или спонзора (тренутног председавајућег ове организације
спонзоришу компанија VeriSign и америчка Национална безбедносна агенција).
Међународна телекомуникациона унија (енгл. International Telecommunication
Union ITU) је агенција при Уједињеним нацијама, са седиштем у Женеви.
Основни циљ ове агенције је развој телекомуникационе инфраструктуре и
успостављање међународних стандарда.
Европски институт за телекомуникационе стандарде (енгл. European
Telecommunications Standards Institute, ETSI ) је независна, непрофитна
организација, призната од стране европске комисије, а основана 1988. године
од стране европске конференције за поштанску и телекомуникациону
администрацију. Основни допринос ове организације је у развоју стандарда за
мобилну комуникацију.
Фондација за слободан софтвер (енгл. Free Software Foundation, FSF) непрофитна
је организација основана са циљем да промовише слободу у коришћењу
рачунарског софтвера, као и да заштити права корисника тог софтвера. Један од
главних доприноса ове фондације је развој GNU оперативног система и

РАЧУНАРСКЕ МРЕЖЕ 17
допринос развоју софтвера са отвореним изворним кодом, првенствено Линукс
оперативног система.
1.6.2. Националне организације
Једна од најзначајнијих организација за стандардизацију на пољу рачунарске
безбедности је америчка Национална безбедносна агенција (енгл. National
Security Agency, NSA). Ова агенција је основана 1952. године са циљем да пружи
услуге надгледања комуникација страних обавештајних служби и заштиту
комуникација владе САД. Од 2008. године ова агенција је задужена и за заштиту
владиних рачунарских система и мрежа. Ова агенција је чланица обавештајне
заједнице САД (енгл. U.S. Intelligence Community). Координацију између
Националне безбедносне агенције и војске САД обавља Централна безбедносна
служба (енгл. Central security service). Национална безбедносна агенција је
имала значајан утицај на развој актуелних шифарских алгоритама AES и DES,
Клипер криптографског чипа и сл. Ова агенција је инвестирала милионе долара
у академски развој на пољу безбедности, али су познати и примери у којима је
она утицала и на забрану објављивања одређених резултата (нпр. шифарски
алгоритми Khufu и Khafre).
Амерички Национални институт за стандардизацију и технологију (енгл. National
Institute of Standards and Technology, NIST ), раније познат под именом
Национални биро за стандардизацију (енгл. National Bureau of Standards, NBS ),
основан је 1901. године као агенција департмана за трговину владе САД. Као
званична мисија института наведена је промоција иновативности и индустријске
компетитивности САД путем унапређивања науке, стандарда и технологије. Овај
институт је учествовао у стандардизацији популарних шифарских алгоритама
AES и DES.

18 РАЧУНАРСКЕ МРЕЖЕ
1.7. Референтни модели
У раним фазама развоја рачунарских мрежа већину рачунарских система су
чинили UNIX mainframe рачунари са прикљученим корисничким терминалима.
Иако су кориснички терминали били повезани комуникационим каналима са
mainframe-ом таква мрежа се не може сматрати у пуном смислу речи,
рачунарском пре свега, због недостатка рачунске моћи терминала - веза између
терминала и mainframe-а имала је за задатак пренос корисничких инструкција
до mainframe-а и резултата њиховог извршавања до терминала.

Слика 1.7-1. OSI и TCP/IP модели

У таквој ситуацији је ексклузивно право на развој хардвера, софтвера и
комуникационих канала углавном имао само један произвођач који је своја
решења држао затвореним за остале произвођаче. Комуникација између
решења различитих произвођача је најчешће била немогућа услед
некомпатибилности између хардверских интерфејсова и формата података.

РАЧУНАРСКЕ МРЕЖЕ 19
Пад цене рачунске моћи, преко све јефтинијих технологија за развој
микропроцесора и рачунарске опреме, довео је до појављивања већег броја
произвођача рачунарских система. Такав развој омогућио је децентрализацију
рачунарске моћи која је указала на потребу за комплекснијом комуникацијом
између радних станица. Такође, постојање већег броја произвођача ублажило је
различитост и некомпатибилност њихових решења а убрзо се увидела и потреба
за универзалним комуникационим стандардима.
На ову тему се крајем седамдесетих година проњлога века огласила и
Интернационална Организација за Стандардизацију (енгл. International
Organization for Standardization, ISO ) развијањем модела за комуникацију
између разнородних система. Модел је објављен 1984. године и назван је Open
System Interconnection Basic Reference Model или, скраћено, OSI модел. Овај
модел је понудио фазно превођење формата података кроз седам слојева па се
стога назива и OSI седмослојни модел. Прихватањем овог ISO стандарда
произвођачи су били у могућности да остваре потпуну комуникацију са
системима без увида у њихову интерну спецификацију и формат података.
Једна од главних мана OSI модела јесте непотребно залажење у интерне делове
рачунарских система тј. дефинисање компоненти које нису директно задужене
за међусистемску комуникацију. Као последица тога јавио се већи број
корисничких апликација које нису у потпуности поштовале OSI стандард а ипак
су биле у могућности да несметано комуницирају коришћењем нижих слојева
модела. Оваква тенденција је резултовала појављивањем једноставнијег
Интернет модела (TCP/IP) који даје већу слободу при избору архитектуре
апликативног софтвера. Такође, овај модел апстрактно гледа и на најниже
слојеве OSI модела с обзиром на то да се компоненте тих слојева најспорије
развијају и то углавном од стране великих организација.
1.7.1. OSI модел
Open Systems Interconnection Reference Model (OSI model) је развијен 1984.
године од стране ISO организације. Иако је OSI модел формални стандард,
данас се у пракси чешће користи једоставнији de facto стандард - Интернет
модел (TCP/IP). OSI модел дефинише седам слојева:
1. Физички слој
Физички слој ОСИ модела је задужен за пренос битова (нула и јединица)
путем комуникационог канала. Овај слој дефинише правила по којима се
битови преносе, који електрични напон је потребан, колико битова се
шаље по секунди и физички формат коришћених каблова и конектора.

20 РАЧУНАРСКЕ МРЕЖЕ
2. Слој везе података
Слој везе података управља преносом путем физичког слоја и омогућава
пренос ослобођен грешака на овом и физичком слоју. Задатак слоја везе
јесте да заштити слојеве вишег нивоа од грешака насталих при преносу
података. Такође, с обзиром на то да је јединица преноса физичког слоја
бит, слој везе управља и форматом порука (дефинише почетак и крај
поруке).
3. Мрежни слој
Задатак мрежног слоја јесте одређивање једне или више путања којима
ће порука бити прослеђена од изворишта до одредишта. Мрежни слој је
задужен да у сваком чвору мреже (станици до одредишта) одреди који
је следећи рачунар коме порука треба бити прослеђена.
4. Транспортни слој
Задатак транспортног слоја јесте обрада порука на крајњим тачкама -
изворишту и одредишту. Овај слој успоставља, одржава и прекида
виртуелне везе за пренос података између изворишта и одредишта.
Транспорни слој је задужен за набавку мрежне адресе одредишта,
поделу података у сегменте погодне за слање, прилагођавање брзине
преноса могућностима стране са слабијим перформансама, осигуравање
преноса свих сегмената, елиминисање дуплираних сегмената и сл.
Такође, овај слој може извршити и додатну контролу грешака при
преносу (додатну у смислу да је она већ извршена на слоју везе).
5. Слој сесије
Слој сесије је задужен за успостављање, одржавање и прекид логичких
сесија између крајњих тачака. Сврха сесија јесте дефинисање стања (или
фаза) сваког дијалога ради дефинисања валидних акција у сваком од
стања. На основу тога се врши управљање транспортним слојем и
провера података добијених од њега. Додатна улога сесија јесте и
обрачунавање сесија (енгл. session accounting).
6. Слој презентације
Слој презентације форматира податке за презентацију кориснику.
Задатак овог слоја јесте да усклади формат података између учесника у
комуникацији и слоју апликације достави ове податке у формату који он
захтева. На пример, слој презентације може оригиналне податке
добијене од слоја апликације компресовати ради ефикаснијег преноса.
Овакве податке слоје презентације на страни другог учесника не може
директно проследити слоју апликације већ је пре тога неопходно
извршити декомпресију.

РАЧУНАРСКЕ МРЕЖЕ 21
 7. Слој апликације
Слој апликације представља интерфејс мреже ка кориснику. Основна
улога овог слоја је да омогући приступ мрежи корисничким програмима.
1.7.2. TCP/IP модел
Насупрот OSI моделу који је формално стандардизован, Интернет модел ( TCP/IP)
је de facto стандард. Овај модел је развијан за потребе Интернета и
једноставнији је од OSI модела. Једноставност овог модела се огледа у
апстрактном гледању на највиша три слоја OSI модела, тако да Интернет модел
прописује само слој апликације наспрам слојева апликације, презентације и
сесије код OSI модела. Такође, физички слој и слој везе података су код овог
модела обједињени у слој приступа мрежи. Функције слојева су идентичне као и
код OSI модела. Данашње имплементације мрежног софтвера углавном користе
Интернет модел као референтни.

22 РАЧУНАРСКЕ МРЕЖЕ
1.8. Оперативни системи рачунара и подршка за мреже
Оперативни систем представља системски софтвер, тј. софтвер који је у
директној комуникацији са хардвером рачунарског система. Основне функције
оперативног система су:
1. управљање централним процесором рачунара
2. управљање меморијом рачунара
3. управљање периферијским уређајима
Под оперативним системом у ужем смислу се подразумева језгро (енг. kernel)
али се оперативни системи најчешће дистрибуирају са:
1. омотачем (енгл. shell) који може бити графички ( GUI - Graphical User
Interface) или везан за командну линију (CLI - Command Line Interface)
2. алатима за конфигурацију језгра
3. алатима за руковање (инсталацију, надоградњу и уклањање)
корисничким софтвером тако да се у ширем смислу и ове компоненте
најшеће подразумавају као делови оперативног система.
Оперативни систем такође представља подлогу на којој се могу извршавати
кориснички програми. У зависности од броја корисника који истовремено могу
радити на истом оперативном систему они се деле на једнокорисничке (енгл.
single-user) и вишекорисничке (енгл. multi-user).
У зависности од броја корисничких програма који се могу у истом тренутку
извршавати на истом оперативном систему, они се деле на оперативне системе
који подржавају рад са више задатака и оперативне системе који не подржавају
рад са више задатака.
Рад са више задатака (енгл. multitasking) је могућност оперативног система да на
једном процесору извршава више процеса (енгл. task) „истовремено“. Пошто се
на једном процесору у једном тренутку може извршавати само један процес,
наизменичним додељивањем процесора сваком од процеса оперативни систем
може симулирати кориснику да се процеси извршавају истовремено. Овакав
начин рада се назива квази-паралелним.
Иако се под основне функције оперативног система убрајају управљање
централним процесором, меморијом и периферијским уређајима, савремени
оперативни системи поседују и комплетан подсистем за рад у мрежном
окружењу. Мрежни подсистем (мрежна подршка) у оперативним системима се

РАЧУНАРСКЕ МРЕЖЕ 23
најчешће реализује кроз подршку за мрежни хардвер (1. и 2. слој OSI и TCP/IP
модела) и подршку за мрежне протоколе (3. и 4. слој OSI и TCP/IP модела).
док се подршка вишим слојевима OSI модела углавном препушта корисничком
софтверу који се извршава на оперативном систему. Постоје и ситуације у
којима се подршка за транспортни па чак и мрежни слој препушта корисничком
софтверу као и ситуације у којима оперативни систем има уграђену подршку за
протоколе апликативног слоја.
Основни ниво мрежне подршке јесте подршка за хардвер који служи за физички
приступ мрежи (мрежна картица, модем и сл.). Подршка за хардвер рачунара се
код оперативних система реализује у виду модула језгра оперативног система.
Ови модули се називају драјверима (енгл. driver) и оперативни системи се
најчешће испоручују са већ садржаним драјверима за популарни мрежни
хардвер. У случајевима када подршка за хардвер није већ укључена у
оперативни систем од стране произвођача оперативног система, драјвери се
преузимају од произвођача хардвера.
Осим подршке за мрежни хардвер (физички слој) оперативни систем мора
имати подршку за протоколе слоја везе, мрежног и транспортног слоја који се
користе у мрежи на коју је рачунар прикључен.
Уколико оперативни систем не поседује подршку за било који од ових слојева,
вертикална комуникација (комуникација између слојева унутар рачунара) ће
бити прекинута и приступ мрежи онемогућен. На пример, уколико рачунар
поседује одговарајући мрежни хардвер, подршку за IP протокол мрежног слоја
и подршку за TCP протокол транспортног слоја иприкључен на Етернет мрежу
која ради под TCP и IP протоколима, али не поседује подршку за сам Етернет
протокол, приступ мрежи ће бити онемогућен услед прекида вертикалне
комуникације на слоју везе.

24 РАЧУНАРСКЕ МРЕЖЕ
2. Приступ мрежи
Област у рачунарским мрежама која покрива приступ мрежи дефинисана је кроз
два најнижа слоја OSI модела - физички слој и слој везе података. Код TCP/IP
модела ова два слоја су, ради једноставније организације, обједињена у слој
приступа мрежи. Иако постоје општи принципи везани за управљање везом и
преносом података, у пракси већина технологија за физичко умрежавање
рачунара уједно прописује и протоколе за оптимално коришћење те физичке
инфраструктуре.

2.1. Каблови и каблирање

За пренос сигнала између рачунара већина данашњих мрежа користи каблове
који се понашају као мрежни преносни медијуми. Постоји много различитих
типова каблова који могу да се примене у различитим ситуацијама. Њихов број
је изузетно велики и обухвата више од 2.000 различитих типова. Већина
данашњих мрежа користи три основне врсте каблова:
• коаксијалне каблове,
• каблове са упреденим парицама (енгл. twisted pair) и
• оптичке каблове.
Кроз коаксијални кабл и упредене парице преносе се електрични сигнали, док
се кроз оптичка влакна преносе сигнали у виду светлосних импулса. За исправан
рад мреже потребно је да се кабловски систем (каблови и прикључни елементи)
формира од компоненти које задовољавају одређене техничке стандарде.
Избор кабла за конкретну мрежу зависи од више параметара:
• бинарног протока,
• поузданости кабла,
• максималног растојања између чворова,
• количине електричних сметњи,
• подужног слабљења,
• толеранције у отежаним условима рада,
• цене и опште доступности кабла,
• лакоће повезивања и трошкова одржавања и друго.
До средине деведесетих година двадесетог века није се обраћала велика пажња
на рачунарске кабловске инсталације. Разлог томе су биле релативно

РАЧУНАРСКЕ МРЕЖЕ 25
једноставне рачунарске мреже и мрежне апликације које нису захтевале велике
брзине преноса података. Тадашњи системи каблирања су најчешће зависили
од произвођача мрежне опреме која је била у употреби. Пошто нису постојали
стандарди каблирања, морало се водити рачуна о препорукама произвођача
мрежне опреме. У случају да је мрежна опрема била од више произвођача, што
је најчешће и био случај, постављале су се различите врсте каблова. Проблеми
су настајали сваки пут код реконфигурације рачунарске мреже. Променом места
терминала или додавањем нових, каблови су се изнова морали инсталирати.
Наглим развојом рачунарских мрежа у деведесетим годинама указала се
потреба за системом структурног каблирања које је требало да на најбољи
начин реши пренос различитих рачунарских података који су укључивали и
аудио и видео сигнале, алармне сигнале, серијску комуникацију, итд. Такође,
инсталација је требалo да се лако мења, проширује и надограђује. Због свих тих
захтева уведени су стандарди система структурног каблирања. Са развојем
технологије и нових медијума за пренос сигнала ти стандарди су проширивани.
Стандарда су потребни у циљу поузданог каблирања. Познато је да је радни век
постављених каблова око 20 година, као и да се 70% свих кварова у рачунарским
мрежама односи на кабловске инсталације.
2.1.1. Каблови и електромагнетно зрачење
Електромагнетно зрачење се налази свуда око нас и практично је немогуће наћи
средину у којој га нема пошто изворе представљају радио и ТВ предајници,
мобилни телефони, рачунари, расхладни уређаји, мотори, релеји,
трансформатори, енергетска инсталација и сл. До недавно је само упредање
парица (UTP) представљало довољну заштиту од електромагнетног зрачења.
Наиме, пропусни опсези које су захтевале апликације у прошлости су били
далеко испод 30MHz, што је горња граница заштите упредањем.
Данашње апликације користе пропусне опсеге реда величине 100MHz, што, ако
се у обзир узме и чињеница да дифузне радио станице емитују у опсегу од 88 до
108MHz, повлачи закључак да је поред упредања потребан још један ниво
заштите. Овај ниво заштите пружају FTP и STP каблови. Код FTP каблова се
користи алуминијумска фолија дебљине 25 микрона која је обмотана око
упоредних парица и која услед површинског ефекта одводи индуковано
електромагнетно зрачење на масу. На овај начин, данашњи каблови су
заштићени до 6.00MHz. STP каблови су још отпорнији на електромагнетно
зрачење, али су знатно скупљи. За потпуну заштиту од електромагнетног
зрачења, најпоузданије али и најскупље решење представљају оптички каблови.

26 РАЧУНАРСКЕ МРЕЖЕ
2.1.2. Коаксијални кабл
Коаксијални каблови су у једном периоду били најраспрострањенији мрежни
медијум за пренос података. У свом најједноставнијем облику, коаксијални кабл
се састоји од бакарне жице у средини, око које се налази најпре изолација, а
затим слој од уплетеног метала (ширм) и, на крају, спољашњи заштитни омотач.
Сврха овог оклопа је да апсорбује електромагнетне сметње или шум, и тиме
спречи мешање истих са подацима који се преносе. Каблови који имају један
слој изолације и један слој од уплетеног метала зову се и каблови са двоструком
заштитом. Постоје, такође, и каблови са четвороструком заштитом (два слоја
изолације и два слоја ширма), који се примењују у срединама са јаким
електромагнетним сметњама. Конструкција и заштита коаксијалног кабла
омогућава велики пропусни опсег и отпорна је на сметње.

Слика 2.1.2-1. Слојеви коаксијалног кабла

Бакарни проводник (жица) у средини кабла преноси електромагнетне сигнале
који представљају кодиране рачунарске податке. Овај проводник може бити од
пуног метала, или у облику више уплетених жица. Уколико је од пуног метала,
онда је то обично бакар. Проводник је обложен диелектричним изолационим
слојем који га одваја од ширма. Ширм има улогу уземљења и штити проводник
од електричног шума и преслушавања.
Најчешће се користе две врсте коаксијалних каблова:
1. 50 Ω, за пренос дигиталних података, категорије РГ-58 – дебели (енг.
thick) Етернет и категорије RG-11 – танки (енг. thin) Етернет и
2. 75 Ω, за аналогни пренос података (кабловска телевизија, Интернет),
категорије RG-59.
Оригинална Етернет спецификација, под називом 10Base5, за брзине преноса од
10Mb/s, користила је дебели Етернет кабл RG-58, максимална дужина сегмента
износила је 500m, а за приступ медијуму коришћени су посебни уређаји.
Инсталација ових каблова је била компликована због крутости кабла и због

РАЧУНАРСКЕ МРЕЖЕ 27
примене наменских уређаја за спајање. Технологија под називом 10Base2
користила је танке коаксијалне каблове са ознаком RG-11, максимална дужина
сегмента је износила 185m, за спајање су се користили BNC T конектори, а крај
сегмента је завршаван одговарајућим 50 Ω BNC конектором. Класични проблеми
код овог стандарда су се односили на грешке код спајања Т конектора што је
проузроковало нефункционалност остатка мреже.

Слика 2.1.2-2. BNC Т конектор и BNC завршетак

2.1.3. Кабл са упреденим парицама

Кабл са упреденим парицама (енгл. twisted pair cable) састоји се од парова
изолованих бакарних жица које су обмотане (упредене) једна око друге.
Упредање се врши у циљу отклањања електромагнетних сметњи и ефекта
преслушавања који потиче од суседних парица. Број увртаја по метру чини део
спецификације кабла (корак упредања). Што је број увртаја по метру већи, већа
је отпорност кабла на електромагнетне сметње. На слици 2. приказана су два
типа овог кабла: кабл са неоклопљеним (Unshielded Twisted-Pair, UTP ) и
оклопљеним (Shielded Twisted-Pair, STP) парицама.
UTP кабл се користи у телефонским системима као и у Етернет мрежама.
Најчешће се састоји од четири пара упредених парица у изолационом омотачу.
Групе парица се обично налазе у заштитном PVC омотачу и заједно са њим чине
кабл. Оклопљене парице пружају знатно бољу заштиту од електромагнетних
сметњи. Скупљи су од обичних каблова и мање су флексибилни тако да их је
теже монтирати. Такође, оклопљени каблови имају већи попречни пресек од
обичних каблова, што значи да треба рачунати на веће канале за уградњу
оваквих каблова. У пракси постоје три типа оклопљених каблова: FTP, S-FTP и
STP.
FTP кабл је направљен тако да су четири парице потпуно обавијене танком
металном фолијом. Ова фолија своју заштитну функцију обавља тако што,

28 РАЧУНАРСКЕ МРЕЖЕ
захваљујући високој импеданси, рефлектује спољне електромагнетне сигнале
(шум) на учестаностима већим од 5MHz и тако им онемогућава продор до самих
парица.

Слика 2.1.3-1. Каблови са неоклопљеним и оклопљеним парицама

По односу цена/перформансе у пракси су се најбоље показали FTP каблови, тако
да се они најчешће и користе. STP каблови имају заштиту за сваку парицу, а S-
FTP каблови поред заштите појединачних парица имају још једну заједничку
заштиту.

Слика 2.1.3-2. Пресек: каблови са неоклопљеним и оклопљеним парицама

Бакарне жице каблова са уврнутим парицама повезују се са хардверским
мрежним интерфејсом рачунара (нпр. мрежном Етернет картицом) путем
одговарајућих конектора. Најчешће коришћени тип конектора је RJ (Registered
Jack) и он се, у више варијанти, користи код телефонских ( RJ11) и рачунарских
мрежа (RJ45).
Упредене парице могу бити пуног попречног пресека и лицнасте без обзира да
ли је кабл оклопљен или не. Кабл пуног пресека се користи за повезивање
разводних панела са утичницама на радним местима. Може се срести и под
називом wall (зидни) зато што се користи за инсталације у зидовима. Код
оваквих каблова треба избегавати увртање, велика савијања и упредања.

РАЧУНАРСКЕ МРЕЖЕ 29
Каблови са пуним пресеком проузрокују мање слабљење него лицнасти
каблови. Лицнасти кабл се користи за повезивање разводних панела, као и за
повезивање радних станица са утичницама. Знатно су флексибилнији од
каблова са пуним попречним пресеком. Ипак, слабљење који овакви каблови
уносе веће је, тако да укупна дужина лицнастих каблова у једном сегмену
мреже не би требало да прелази 10 метара.

Слика 2.1.3-3. Конектор RJ45 и утичница

PVC - поливинил-хлорид се користи као изолациони омотач каблова свих врста.
Каблови су савитљивији, лако се постављају али су и лако запаљиви и
ослобађају отрован гас када горе. Plenum (зидни) каблови се постављају у
међупросторе, чвршћи су од каблова са PVC изолацијом али не испуштају
отрован гас у случају да се запале.
Каблови са упреденим парицама за повезивање са рачунарима користе RJ-45
конекторе. За повезивање бакарних жица са конекторима користи се посебан
тип алата - тзв. клешта за кримповање. Распоред жица при повезивању је
одређен стандардима 568A и 568B.
Како је потреба за повећањем пропусног опсега стално расла, због употребе све
захтевнијих мрежних апликација, квалитет каблова са упреденим парицама је
такође морао да се повећава. TIA/EIA-568B стандард специфицира категорије
каблова са упреденим парицама. ISO/IEC специфицира категорије мрежних
компонената, док каблове специфицира по класама ( class).
Категорија 3 (CAT3/Class C) кабла са упреденим парицама се користила у
мрежема са брзинама до 10Mb/s, са максималним пропусним опсегом од
16MHz. Ова категорија кабла је била у употреби почетком деведесетих година
прошлог века.
Категорија 4 је коришћена у мрежама за жетоном и омогућавала је брзине до
16Mb/s.

30 РАЧУНАРСКЕ МРЕЖЕ
Категорија 5 (CAT5) каблова се користи у локалним рачунарским мрежама са
брзинама до 100Mb/s и са максималним сегментом мреже од 100 метара.
Побољшана категорија 5 (CAT5e/Class D) каблова је дизајнирана да омогући
пропусни опсег од 100MHz и потпуни дуплекс. Са овом категоријом каблова се
уводе додатни параметри перформанси Power-Sum Near-End Crosstalk (PS-NEXT),
Equal-Level Far-End Crosstalk (EL-FEXT), и Power-Sum Equal-Level Far-End Crosstalk
(PS-ELFEXT). И поред стриктних спецификација које кабл категорије 5е мора да
задовољи он ипак не омогућава дуже мрежне сегменте од 100 метара.
Категорија 6 (CAT6/Class E) представља категорију каблова који имају пропусни
опсег од 250MHz и подржавају гигабитни пренос података. Ова категорија
каблова има још строжије параметре перформанси од каблова категорије
CAT5e. CAT6 компоненте морају бити компатибилне са компонентама нижих
категорија.
Категорија 6а (CAT6a/Class EA) је дизајниран да подржи захтеве за 10-
гигабитним Етернетом преко упредених парица до 100 метара дужине.
Пропусни опсег је проширен са 250MHz на 500MHz. Такође, уводи се и нови
параметар Alien Crosstalk (ANEXT) и представља мерење преслушавања које
долази са околних-суседних каблова. За категорију CAT6a се могу
употребљавати UTP и FTP врсте каблова.
Категорија 7 (CAT7/Class F) дизајниран је да подржи захтеве 10-гигабитног
Етернета. Стандард специфицира фреквенције од 1-600MHz преко потпуно
оклопљених упредених парица дужине до 100 метара. Са оваквим
карактеристикама каблови категорије 7 су идеални у просторијама где постоји
висок степен електромагнетних сметњи. Завршавају се GG45 конекторима
(GigaGate) или модулима. GG45 конектор има 4 додатна пина у односу на RJ45
конектор. Ови додатни пинови ће се користити у будућности за још 2 парице за
пренос података при брзинама од 10Gb/s.
2.1.4. Оптички каблови
Код ове врсте каблова оптичка влакна преносе дигиталне сигнале у облику
модулисаних светлосних импулса. Каблови од оптичких влакана не подлежу
електричним сметњама, имају најмање слабљење сигнала дуж кабла и
подржавају изузетно велике брзине преноса података на великим
удаљеностима. Користе се и у случајевима када LAN мрежа треба да повеже
више објеката, где се са бакарним кабловима могу очекивати проблеми са
уземљењем и атмосферским пражњењима. Оптичке везе осим велике брзине
преноса обезбеђују и потребно галванско раздвајање инсталација. Често се

РАЧУНАРСКЕ МРЕЖЕ 31
постављају у објектима у случајевима у којима се предвиђа велики мрежни
саобраћај између спратних развода у односу на центар мреже.

Слика 2.1.4-1. Тотална рефлексија код преноса кроз оптичко влакно

Системи преноса са оптичким кабловима састоје се из три основна
функционална дела, а то су предајник (извор светлости – LED или ласерска
диода), оптичко влакно и пријемник (фото сензор). Стандардни електрични
сигнал се доводи на LED или ласерску диоду које врше конверзију у светлост,
затим се светлост “убацује“ у оптичко влакно на чијем другом крају је пријемник
који врши опто-електричну конверзију после које се добија стандардни
електрични сигнал. Принцип по коме се информација преноси по оптичком
влакну базира се на физичком феномену под називом тотална рефлексија.
Свако оптичко влакно се састоји из језгра које чини стакло одређеног индекса
преламања и омотача пресвученог преко језгра. Овај омотач је такође од стакла,
али оно има другу вредност индекса преламања.

Слика 2.1.4-2. Кабл са оптичким влакном

Постоје и пластична оптичка влакна, која су најнижа по цени и могу се користити
за краћа растојања и примене у којима су губици средњег нивоа прихватљиви.
Светлост се убацује у језгро под одређеним углом потребним да дође до
тоталне рефлексије, због које се светлосни зрак непрестано одбија од граничне
површине језгро/омотач путујући тако кроз влакно до пријемника.
Оптичка влакна се могу поделити на мономодна ( singlemode) која су тања и

32 РАЧУНАРСКЕ МРЕЖЕ
омогућавају простирање само једног светлосног зрака и мултимодна
(multimode) која су дебља и омогућавају истовремено простирање више зракова
из више различитих извора.
У технолошком процесу је много једноставније (а тиме и јефтиније) произвести
влакно већег пречника језгра. То је разлог због кога се мултимодна влакна
чешће користе. Поред тога, у веће језгро је много лакше “убацити“ светлост из
извора, па су и предајници јефтинији јер светлосни сноп извора не мора бити
толико фокусиран као у случају коришћења мономодног влакна. Дакле,
целокупни систем базиран на мултимодном влакну је јефтинији и такви системи
су данас доминантни код локалних рачунарских мрежа. Са друге стране, због
већих растојања која је потребно премостити, у телекомуникацијама су
доминантна мономодна влакна. Код рачунарских мрежа сваки линк (веза)
захтева два влакна – једано за предају а друго за пријем.
Оптички каблови се завршавају оптичким конекторима који омогућавају брзо
спајање и раздвајање каблова. Оптички конектори омогућавају да се језгра
каблова “поравнају” тако да светлосни зрак може да пролази кроз спој. Постоје
разне врсте оптичких конектора, али свакако најпопуларнији су SC и ST
конектори.

Слика 2.1.4-3. Оптички конектори

Оптички каблови имају низ предности над стандардним бакарним кабловима:
• Већи пропусни опсег - Оптички каблови имају доста већи пропусни опсег
од каблова са упреденим парицама и могу преносити податке значајно
већом брзином.
• Мало слабљење - Пошто је сигнал који се користи код оптичких каблова
светлост, веома мала количина сигнала се изгуби током преноса.
Раздаљине преко којих се могу преносити подаци путем оптичких
каблова се протежу од 300m па до неколико десетина километара.
• Безбедност - Пренос података је безбеднији путем оптичких каблова.
Оптички каблови не зраче и веома је тешко издвојити сигнал из оптичког
кабла.

РАЧУНАРСКЕ МРЕЖЕ 33
 • Имуност на сметње - Отпорнији су у на EMS и остале спољашње факторе,
као што су температурне варијације, који утичу на бакарне каблове.
Имају значајну примену у индустријским окружењима.
2.1.5. Структурно каблирање
За формирање LAN мреже потребно је обезбедити низ техничких предуслова.
Сваки пројекат LAN мреже започиње детаљним снимањем локације са циљем
да се прикупе потребни подаци као што су: постојеће стање инсталација,
грађевинске основе објекта, као и детаљи енергетског уземљења. Даљи
поступци се састоје од прелиминарног одређивања хоризонталних и
вертикалних кабловских траса и размештаја разводних ормана.
Савремене рачунарске мреже се у највећем броју случајева реализују по
принципу структурираног каблирања, којим треба да се обезбеди и обједини
пренос свих информација у једном пословном систему. Осим квалитетног
преноса података, овим системом се може обављати и пренос телефонских,
видео, управљачких и алармних сигнала. Данас се рализација система
структурног каблирања одвија према стандардима ISO/IEC 11801 (јул 1995.),
EN50173 (август 1995.), EIA/TIA 568A (октобар 1995.).
Суштинску предност структурног каблирања представља коришћење
јединственог кабловског система за све инсталације којима се преносе било
какве информације у пропусном опсегу до 600MHz. Једини интерфејс ка
кориснику је зидна утичница са RJ45 конекторима на коју се може прикључити
било рачунар, било телефон (или оба) и која даље кабловским системом води
до одговарајућих разделника и активних уређаја (телефонских централа или
свичева). Структура мреже је таква да се после инсталирања, без икакве
интервенције на самим кабловима, цела мрежа може преконфигурисати на
потпуно другачији начин, у зависности од потребе корисника. То се постиже на
самим разделницима, који су посебно конструисани за лако и једноставно
преспајање и конфигурисање мреже по жељи. Ова опција нарочито долази до
изражаја у ситуацијама када се врши мењање физичког распореда радних места
по згради. Одговорни администратор врши преспајање на одговарајућим
разделницима и све што корисник на новом радном месту треба да уради јесте
да прикључи свој телефон и рачунар у зидну утичницу и да ради. Његов рачунар
је повезан на исти начин у рачунарску мрежу, његов телефон је на истом локалу
као и раније. Осим велике флексибилности коју пружа, структурно каблирање,
захваљујући својој систематичности, омогућава једноставно и ефикасно
администрирање мрежом, лако проширивање инсталације и, што је можда и
најважније, потпуно је независно од типа активних уређаја који се користе како

34 РАЧУНАРСКЕ МРЕЖЕ
за телефонску, тако и за рачунарску мрежу. Чак се и уређаји који не одговарају
стандардима структурног каблирања и немају адекватне конекторе могу уз
помоћ одговарајућих једноставних адаптера прикључити на систем.
Систем структурираног каблирања састоји се од хоризонталних и вертикалних
кабловских траса. Разводни орман покрива део хоризонталне површине,
поштујући техничко ограничење трасе од највише 90 метара дужине, тако да се,
зависно од архитектуре објекта, поставља један или више разводних ормана по
спратној основи, у којима се концентришу кабловске трасе и смешта
одговарајућа активна мрежна опрема. Вертикалне трасе повезују спратне
разводне ормане. И хоризонталне и вертикалне кабловске трасе се изводе у
форми звезде, да би се обезбедило да у случају прекида поједине трасе остатак
система ради.
Системи структурног каблирања се реализују на три хијерархијска нивоа:
1. Каблирање кампуса (каблирање између више блиских пословних
зграда).
2. Каблирање кичме (вертикално каблирање).
3. Хоризонтално каблирање (каблирање спратова).
Каблирање кампуса се односи на каблирање између разделника појединих
зграда и главног разделника кампуса. За пренос говора, алармних и
управљачких сигнала користе се бакарни парични каблови. За пренос видео
сигнала и података користе се оптички каблови. Максимална дужина каблова у
том случају износи 1.500m.
Вертикално каблирање (окосница, кичма зграде) врши повезивање спратних
разделника и разделника зграде. У вертикалном разводу у зависности од
апликације раздвојени су кабловски системи.
Хоризонтално каблирање се односи на део кабловског система између
спратног разделника и зидне утичнице. Између разделника и зидне утичнице
развлачи се или бакарни парични кабл или оптички кабл. Каблови се најчешће
постављају кроз хоризонталне вођице у плафонима или хоризонтално
постављеним каналицама, које воде до телекомуникационе собе која се
најчешће налази на истом спрату. За бакарне каблове, и разделник и зидна
утичница користе RJ45 конекторе, док се за оптичке каблове користе ST
конектори. Максимална дужина каблова између спратног разделника и зидних
утичница не сме да пређе 90m. Хоризонтално каблирање обухвата највећи број
каблова у целом кабловском систему за све применљив. Хоризонтални

РАЧУНАРСКЕ МРЕЖЕ 35
кабловски систем, уколико је добро димензионисан, може се, за све примене,
користити у дужем временском периоду.

Слика 1. Пример система структурног каблирања

Поред хоризонталних и вертикалних развода битни елементи у систему
структурног каблирања су:
• Телекомуникациона соба - садржи сву неопходну пасивну и активну
мрежну опрему која омогућава спајање хоризонталног система
каблирања са окосницом мреже. Зграда мора имати минимум једну
телекомуникациону собу.
• Радни простор - садржи све компоненте између рачунарске утичнице и
радне станице.
• Просторија са опремом - садржи сервере, уређаје који су задужени да
обезбеде сигурност у рачунарској мрежи, итд. Ова соба се разликује од

36 РАЧУНАРСКЕ МРЕЖЕ
 телекомуникационе собе по комплексности опреме коју садржи.
Просторија са опремом и телекомуникациона соба могу бити једна
просторија.
• Демаркациона тачка - представља место где се окосница мреже повезује
са линком који је обезбеђен од стране телеком посредника.
2.1.5.1. Хоризонтално каблирање
Већина каблова који се користе у рачунарској мрежи у једној згради
представљају део система хоризонталног каблирања. Планира се са циљем
постизања максимума ефикасности целокупног система структурног каблирања.
Систем хоризонталног каблирања је специфициран у TIA/EIA-568-B.1 стандарду
и обухвата:
• хоризонтално каблирање,
• мрежне утичнице,
• мрежне конекторе,
• patch1 каблове.
Код планирања система хоризонталног каблирања посебну пажњу треба
обратити на следеће ставке:
• Промене у мрежи. Током рада сигурно ће постојати ситуација када ће
морати да дође до одређених премештања мрежне опреме као и самих
радних места корисника.
• Одржавање. Систем треба поставити на тај начин да буде што
једноставнији и приступачнији за одржавање.
• Опрема. Код избора мрежне опреме треба обратити пажњу да она може
да задовољи промене и проширења у будућности.
• Апликације. Треба испитати које се апликације користе у мрежи и које ће
се коритити у будућнисти како би обезбедили довољан пропусни опсег.
• Путање каблова. Путање каблова се тачно морају утврдити и испитати да
ли постоји довољно простора за постављање одређеног броја каблова.
• Документација. Јако важан део самог система каблирања је
документација. Сваки кабл и утучница требају бити означени.
• ЕМС. Треба обратити пажњу да ли постоје електромагнетне сметње у

РАЧУНАРСКЕ МРЕЖЕ 37
 близини путања каблова, као што су лифтови, електромотори и други
уређаји.
TIA/EIA-568-B.1 наглашава и следеће спецификације:
• Систем хоризонталног каблирања треба да има топологију звезде.
• Свака рачунарска утичница треба бити повезана са разводним панелом у
телекомуникационој соби.
• Телекомуникациона соба треба да се налази на истом спрату као и
радни простор.
• Бакарни каблови не смеју бити настављани.
• Минимум две утичнице требају бити обезбеђене по радном месту. За
пренос говора минимум је кабл категорије 3, а за пренос података
минимум CAT5e представља минимум.
• Кабл којим је повезана утичница на радном месту са разводним
панелом у телекомуникационој соби не би требало да буде дужи од 90
метара;
• Кабл који повезује радну станицу са утичницом је дужине до 5 метара;
• Кабл који повезује разводни панел са мрежним уређајима ( patch кабл)
такође не би требало бити дужи од 5 метара.

Слика 2.1.4-1. Хоризонтално каблирање

Каблови који су препоручени за инсталацију:
• UTP или STP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2).
• Оптички кабл са 2 или више влакна, и попречног пресека језгра 50 или
62,5µм.
Каблове са пуним попречним пресеком треба користити за инсталације од
разводног панела до утичнице на радном месту. Лицнасте каблове треба
користити за патцх каблове. Конектори који се користе су RJ-45 са T568A или
T568B распоредом парица SC или ST конектори за оптичке каблове.

38 РАЧУНАРСКЕ МРЕЖЕ
2.1.5.2. Окосница мреже
Окосница мреже повезује све системе хоризонталног каблирања у једној згради
или више зграда. Окосница такође повезује телекомуникационе собе са собом
са опремом и са главним спољашњим линком који обезбеђује телеком
посредник. У стандарду TIA/EIA-568-B.1 је спецификована окосница мреже и она
обухвата:
• каблирање,
• главна чворишта и међучворишта и
• конекторе.
Код планирања окоснице мреже посебну пажњу треба обратити на следеће
ставке:
• Перформансе. Окосница мора да задовољава захтеве тренутне
рачунарске мреже али исто тако требало би да без већих промена
задовољава и потребе у будућности. Некада се инсталирају додатни
каблови који се тренутно неће користити а који ће омогућити добре
перформансе у будућности.
• Врста кабла. Треба прорачунати коликог ће интезитета бити саобраћај у
мрежи као и максималне раздаљине у мрежи које треба повезати
окосницом. И ови подаци ће највероватније одредити која ће се врста
кабла користити.
• Редудантност. Ако у мрежи постоје важни системи треба обезбедити
редудантне линкове, а каблови тих линкова ће се разводити различитим
каналима.
• Услови средине. Треба испитати да ли постоје ЕМС у близини
инсталационих путева. Такође треба испитати могућност појаве пожара.
Треба обезбедити да каблови окоснице као и сама опрема не буду
доступни неауторизованом особљу.
Препоручена топологија за окосницу мреже је хијерархијска звезда. Сви
каблови су концентрисани у централну тачку која се зове главно чвориште.
Свака телекомуникациона соба и просторија са опремом су повезане са главним
чвориштем директно или преко додатног међучворишта. Оваква топологија
обезбеђује контролу штете, тј. у случају да дође до оштећења на неком од
каблова остали сегменти ће моћи да функционишу нормално. Препоручени
каблови за окосницу мреже су:

РАЧУНАРСКЕ МРЕЖЕ 39
 • UTP или STP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2).
• Оптички кабл попречног пресека језгра 50 или 62,5 µm ( TIA/EIA-568-B.3).
• Сингле-моде оптички кабл (TIA/EIA-568-B.3)
Могу се користити каблови различитог типа. На пример, зграде се могу повезати
са једномодним оптичким каблом, спратови са мултимодним оптичким каблом
а са каблом са упреденим парицама могу се повезати међучвориста на истом
спрату.
2.1.5.3. Радни простор
Радни простор обухвата све компоненте између мрежне утичнице и радне
станице:
• Мрежне утичнице (укључујући и кућишта и маске за утичнице),
• Модуле који се уграђују у утичнице,
• Патцх каблове који повезују радну станицу са мрежном утичницом,
• Радне станице, телефони, штампачи, итд. иако они нису обухваћени
стандардом.
Неколико најважнијих препорука из TIA/EIA-568-B.1 стандарда:
• На сваком радном месту треба инсталирати минимум две утичнице.
• Повезивање конектора и модула треба да задовољи T568A или T568B
инсталациону шему.
• Патцх кабл који повезује радну станицу са мрежном утичницом не треба
бити дужи од 5 метара.
• Модули, конектори и патцх каблови треба да задовоље категорију кабла
који се користи за хоризонтално каблирање (нпр. ако се за хоризонтално
каблирање користи кабл категорије 6, а радна станица се повеже patch
каблом CAT5e, неће се добити очекиване перформансе).
2.1.5.4. Телекомуникациона соба
Телекомуникациона соба у зависности од количине опреме некада може да
буде само телекомуникациони орман. Ту је сконцентрисана опрема са којом се
хоризонтални систем каблова повезује са окосницом мреже, и то укључује;
• главно чвориште,

40 РАЧУНАРСКЕ МРЕЖЕ
 • међучворишта,
• patch каблове и
• сву опрему која је непходна за повезивање.
Комплетан дизајн и препоруке димензија собе може се пронаћи у TIA/EIA-569-B
стандарду. Неке од препорука:
• Телекомуникациона соба би требало да буде што ближе центру самог
спрата зграде.
• Телекомуникациону собу не треба делити са опремом за електричну
енергију.
• Ако је површина спрата већа од 1000m2 треба додати још једну
телекомуникациону собу.
2.1.5.5. Просторија са опремом
Просторија са опремом се разликује од телекомуникационе собе по
комплексности опреме коју садржи. У соби са опремом се налазе уређаји за
заштиту података у мрежи, рутери, сервери, комутатори, итд. Просторија са
опремом може бити део телекомуникационе собе. Такође у овој соби се може
налазити и приступни линк од телеком посредника. Неке од препорука дизајна
собе са опремом из TIA/EIA-569-B стандарда:
• Свака зграда треба да садржи макар једну собу са опремом.
• Треба водити рачуна о димензијама просторије због додавања опреме у
будућности.
• Врата просторије требају бити довољно велика да би кроз њих могли да
прођу велики делови телекомуникационе опреме.
• Минимална висина плафона би требало да износи 2,4 метра.
• Минимална површина просторије би требало да буде 14m2 .
• Соба треба да има и стално и резервно напајање.
• Климатски услови морају бити контролисани.
2.1.5.6. Демаркациона тачка
Демаркациона тачка је место где се завршава одговорност телеком посредника
и каблови спајају са окосницом мреже зграде. Просторија са приступним

РАЧУНАРСКЕ МРЕЖЕ 41
линком може да буде део просторије са опремом. Ова просторија треба да буде
позиционирана што ближе вертикалним вођицама за каблове који чине
окосницу система. Такође, ова просторија, у случају да је засебна, треба да
садржи и резервно напајање електричном енергијом и све услове које морају да
задовоље телекомуникациона соба и просторија са опремом.
2.1.6. Постављање каблова
Путање каблова представљају простор у који се смештају мрежни каблови.
TIA/EIA-569-B стандард дефинише неколико различитих типова путања каблова
као што су хоризонталне путање каблова и путање каблова за окосницу мреже.
Окосница мреже се простире вертикално и хоризонтално између просторије са
приступним линком, просторије са опремом и телекомуникационих соба.
Вођице које садрже каблове окоснице мреже могу бити у облику каналица,
пластичних црева, носача, итд. Када се дизајнира зграда, телекомуникационе
собе би требало распоредити једну изнад друге на свим спратовима. На тај
начин се најједноставније и најефикасније постављају каблови који чине
окосницу мреже. У случају да телекомуникационе собе нису у једној
вертикалној линији, потребно је користити и хоризонталне канале при
повезивању. Када се поставља кабл не би требало имати више од два угла од
90° међу тачакама између којих се поставља кабл. Такође се мора водити рачуна
о попуни канала за каблове. Попуна простора канала не би требало да пређе
40%.

Слика 2.1.6-1. Каналице

Каналице се најчешће користе за инсталацију каблова. Постоји читав спектар
типова и димензија, као и материјала од којег се каналице израђују. Оне се
најчешће монтирају на зид и у случају потребе омогуђавају лак приступ

42 РАЧУНАРСКЕ МРЕЖЕ
кабловима. Постоје каналице на које се директно могу уграђивати мрежне,
телефонске и друге утичнице. Металне каналице са више раздвојених канала
омогућавају да се паралелно инсталирају мрежни и енергетски каблови. Ово се
примењује у ситуацијама када не постоји могућност и простор да се ови каблови
одвојено инсталирају. Треба водити рачуна о попуњености каналица, како због
проширења у будућности тако и због инсталације самих каблова. Ако је
каналица потпуно попуњена каблови у њој једноставно неће моћи да се савију
под углом од 90°.

Слика 2.1.6-2. Пластично црево

За инсталацију каблова користе се и црева, најачешће пластична (тзв. „бужир“).
Она се постављају у зид, и због тога су каблови недоступни након инсталације.
Овде се исто мора водити рачуна о густини каблова у пластичном цреву да би
савијање било могуће. Каблови се провлаче уз помоћ металних сајли, а
додавање каблова у већ и делимично попуњене пластичне цеви је практично
немогуће. И поред отежаног приступа кабловима, овакав начин инсталације је
дискретнији, јер се каблови и каналице не виде и не нарушавају изглед
пословног простора.

Слика 2.1.6-3. Плафонске вођице каблова

РАЧУНАРСКЕ МРЕЖЕ 43
Такође, постоје и разне вођице каблова које се постављају у спуштене плафоне
или издигнуте подове. И за њих постоје велики спектар утичница које се могу
дирекно монирати на под и бити практично неприметне.
Инсталација саме опреме је једна од најбитнијих ставки система структурног
каблирања. Могу се потрошити значајна финансијска средства на најбољу
мрежну опрему, али ако се не инсталира исправно, систем који је пројектован
неће добро функционисати. У TIA/EIA-568-B.1 стандарду постоје препоруке за
инсталацију мрежне опреме, а у наставку су наведене најважније од њих.

Слика 2.1.6-4. Распредање парица

Упредање парица. Корак упредања парица код бакарних каблова представља
једну од карактеристика које знатно утичу на перформансе самог кабла. Ако се
којим случајем распреду парице, пеформансе кабла ће се смањити. Ово је јако
битно код постављања конектора или модула на каблове. При монтирању
конектора или модула треба уклонити што мање изолационог омотача, док
парице не би требало распредати више од 13mm.

Слика 2.1.6-5. Радијус савијања кабла

44 РАЧУНАРСКЕ МРЕЖЕ
Радијус савијања каблова; ако се каблови са упреденим парицама сувише савију
приликом инсталације може се нарушити корак упредања и на тај начин
аутоматски смањити перформансе кабла. Радијус савијања UTP кабла мора бити
бар 4 пута већи од пречника самог кабла. Код оклопљених каблова радијус
савијања мора бити 8 пута већи од њиховог пречника. Код оптичких каблова
треба пратити инсалациона упутства произвођача, али у сваком случају радијус
савијања не треба бити мањи од 25mm.
Истезање каблова; каблови се приликом инсталације понекада морају
провлачити кроз већ постојеће канале који су делимично и попуњени. Ако се
употреби сувише јака сила за провлачење каблова они се могу оштетити. Код
UTP каблова вучна сила не би требало да прелази 110N. Претерано повлачење
може нарушити корак упредања кабла. Код оптичких каблова вучна сила не би
требало да прелази 222N, али ипак треба проверити у спецификацијама
произвођача.
Стезање каблова; каблове треба груписати одговарајућим тракама. Не треба их
сувише јако притезати јер може доћи до оштећења каблова. Траке требају бити
благо затегнуте.

Слика 2.1.6-6. Груписање каблова

Инсталација конектора; Код упредених парица конектори морају бити исте или
боље категорије од кабла. RJ45 конектори се монтирају на кабл уз помоћ кримп
клешта. Треба водити рачуна о распореду парица у конектору. Такође треба
проверити да ли су све парице оствариле са иглицама конектора. Изолациони
омотач кабла се уклања помоћу стрипер алата. Изолациони омотач не треба
бити сувише уклоњен, иначе може доћи до нарушавања перформанси самог
кабла.
Тамо где је то могуће препоручује се употреба фабрички произведених и
тестираних каблова са конекторима, као што је случај са patch кабловима са
слике.

РАЧУНАРСКЕ МРЕЖЕ 45
 Слика 2.1.6-7. Алат за инсталацију конектора
Постављање конектора код оптичких каблова је знатно сложеније, и потребно је
добро исполирати оптичко влакно и поравнати језгро влакна са конектором.

Слика 2.1.6-8. Фабрички patch кабл

Ако се конектор лоше инсталира на кабл долази до непотребног преламања и
слабљења светлосног сигнала.
2.1.7. Тестирање каблова
Након инсталације каблова и конектора потребно је извршити проверу
исправности веза како би се уочиле потенцијалне неисправности које су настале
услед монтирања каблова или конектора. За тестирање каблова постоје две
уобичајене тест конфигурације: линк тест (углавном се користи у објектима који
су још увек у фази изградње и не укључује patch везе ни на једном крају кабла) и
тест канала (обезбеђује верификацију перформанси са краја на крај, тј.
исправност кабла и проверу patch веза на крајевима).

46 РАЧУНАРСКЕ МРЕЖЕ
 Слика 2.1.7-1. Тест конфигурације
Мерења инструментима у структурним кабловским системима могу се сврстати
у четири категорије. Прву чине „зујалице“ или „тонери“ и дигитални мултиметри
(слика 2.а). Друга категорија су тестери каблова), а у трећу категорију спадају
специјализовани уређаји за мерења и атестирање, који се још називају и
инструментима за сертификацију. Најзад, четврту групу чине анализатори мреже
(Network Analyzers) (слика 2.д). Сваки од инструмената из ове четири групе има
своју намену, а примена неодговарајућих инструмената за тестирање може
проузроковати више штете него користи. Није добро тестирати UTP кабл високе
категорије обичним омометром или „зујалицом“. Исто тако, није добро тражити
грешке у ожичењу мрежним анализатором због утрошка времена и због цене
самог инструмента.
Тестери континуалности су инструменти који се најчешће користе за
проналажење и откривање прекида и кратких спојева у каблу. Производе се у
најразличитијим облицима прилагођеним различитим типовима каблова, мада
се у суштини своде на обичне зујалице или модификоване омометре. У исту
сврху може се користити и обични дигитални мултиметар са адаптером и
неколико краткоспојника. Ови тестери се много чешће користе у телефонији
него у структурном каблирању. Главна предност им је ниска цена, а мана је
ограничен опсег мерења и свођење грешака на прекид или кратак спој.
За проверу каблова користе се усавршени тестери континуалности који
проверавају и да ли су каблови правилно повезани, проналазе раздвојене или
укрштене парице и откривају остале грешке у повезивању према задатом
стандарду. Најскупљи модели могу да измере чак и дужину кабла. Једноставни
су за употребу, резултати мерења се добијају одмах и једнозначни су. Мана им
је што не могу да открију фреквентно зависне грешке.

РАЧУНАРСКЕ МРЕЖЕ 47
 Слика 2.1.7-2. Уређаји за тестирање каблова
За функционалне тестове потребни су специјални тест уређаји, односно
инструменти за сертификацију, који испитују кабл по тачно дефинисаним
критеријумима стандарда TIA/EIA 568A и ISO класе D и E, односно TSB67
(Transmition Performance Specification) и TSB95 за категорију 5E.
Критеријуми за тестирање упредених парица су:
• дужина кабла,
• исправност ожичења (wire map) – провера да ли је распоред парица
исправан,
• време кашњења (propagation delay) - брзина простирања сигнала кроз
парицу. Изражава се у односу на брзину простирања светлости у
вакууму,
• разлика у кашњењу (propagation delay skew) - или попречно кашњење је
разлика између најбржег и најспоријег сигнала у различитим парицама
језгра кабла,
• слабљење (attenuation),
• преслушавање на ближем крају (Near End Crosstalk – NEXT)
• ехо (return loss) - повратни губици представљају однос улазне и
рефлектоване снаге сигнала у dB. Настаје на местима дуж кабловске

48 РАЧУНАРСКЕ МРЕЖЕ
 линије где је присутна нехомогеност карактеристичне импедансе
парице.
• PSNEXT (Power Sum Near End Cross Talk) - представља укупан утицај снаге
преслушавања на ближем крају свих ометајућих парица на мерену
ометану парицу,
• PSFEXT (Power Sum Equal Level Far End Cross Talk ) - представља укупан
утицај преслушавања на даљем крају свих парица на мерену парицу,
• ELFEXT (equalized level far end crosstalk ), односно изједначена вредност
преслушавања на даљем крају
За корисника је најважнији податак однос слабљења и преслушавања ACR
(attenuation to crosstalk ratio ). За категорију 5E се још мере PSFEXT и ELFEXT.
Инструменти за сертификацију су малих димензија (величине стандардног
дигиталног мултиметра), аутономног напајања, мале масе и једноставни су за
употребу.
Већина модела има већ припремљене групе тестова за одговарајуће категорије
кабла, али може се направити и сопствени скуп мерења. Резултати тестирања се
добијају у временском распону од неколико секунди до неколико минута и дају
потпуни увид у стање линије. Овим уређајима могућа је дијагностика свих врста
грешака које се могу јавити у структурним кабловским системима. Главна мана
оваквих уређаја је цена. Водећи произвођачи ове опреме су Microtest, Fluke,
Hewlett-Packard, Datacom и Agilent.
Анализатор мреже углавном се користи у лабораторијским условима, када
треба упоредити каблове исте категорије и дати њихову фреквенцијску
карактеристику. Састоји се од врло прецизног предајника и пријемника и њим је
могуће утврдити слабљење по линији у распону од 0,1 до 500MHz и у
динамичком опсегу који је већи од 110dB. Квалитет овог уређаја је у великој
тачности мерења.

РАЧУНАРСКЕ МРЕЖЕ 49
2.2. Мрежни уређаји
За основну комуникацију између два удаљена рачунара довољан је
комуникациони канал и интерфејси између њега и рачунара. Међутим, у
сложенијим рачунарским мрежама у комуникацији обично посредује мањи или
већи број мрежних уређаја. Мрежни уређаји чине активне компоненте
рачунарских мрежа а у наставку су дати описи функција најпопуларнијих од њих.
2.2.1. Рипитер (Repeater)
Рипитери су једноставни уређаји који раде на физичком нивоу и повећавају
растојање (дужине медијума) за пренос дигиталних сигнала. Врше регенерацију
сигнала без појачавања шума. Поседују два порта. Поједностављено речено, на
једном порту (прикључку) рипитер прима сигнал и преноси на други порт.
Притом рипитери имају тзв. 3R функционалност:
• обнављају амплитуду (Reamply),
• обнављају облик (Reshape),
• обнављају временске референце примљеног сигнала ( Retime)
пре него што сигнал проследе на излазни порт. Рипитер нема информација о
сигналу који појачава, што значи да се подједнако односи и према исправном и
према неисправном сигналу. Ради на првом слоју OSI модела. Добра страна
рипитера је у томе што представља јефтин начин за повећање максималних
растојања у мрежи. Међутим, мана му је што може да почне емитовање док је
емитивање пакета са неке станице у току, што доводи до судара (колизије). Због
тога је добро да оба порта рипитера имају (по једну) диоду за индикацију
емитовања и диоду за индикацију проблема.
2.2.2. Хаб (Hub)
Хаб је мрежни уређај који такође функционише на првом OSI слоју (физичком
слоју). На хабу постоји више конектора (обично су то RJ-45 конектори). На сваки
конектор се прикључује по један кабл, преко којег се повезује по једна радна
станица, сервер или уређај. Омогућава повезивање више сегмената мреже у
један сегмент. Хаб функционише слично као рипитер: оно што прими на једном
свом порту хаб емитује на свим осталим портовима. Може се посматрати као
вишепортни рипитер.
У Етернет мрежама са UTP и оптичким кабловима хаб је чвор који повезује
станице и сервере. Сваки уређај повезан на хаб дели исти Broadcast2 домен и

50 РАЧУНАРСКЕ МРЕЖЕ
Collision3 домен. Због тога, само један од рачунара повезаних на Хаб може у
једном тренутку да врши предају (трансмисију) података. У супротном, долази
до колизија – нарушавања података. Може се користити као централна тачка у
топологији звезде.

Слика 2.2.2-1. Принципска шема хаб уређаја

Хабови углавном садрже између 6 и 24 порта и могу се постављати и уклањати у
зависности од потреба и у складу са развојем мреже. Хабови често имају још
један додатни порт који се назива uplink порт. Он служи за међусобно
повезивање два хаба. Повезивање се врши тако што се спаја uplink порт једног
хаба са обичним портом другог хаба. Хаб као уређај полако нестаје из
рачунарских мрежа због све ниже цене свич уређаја који нуде знатно боље
перформансе.
2.2.3. Мрежни мост (Bridge)
То је уређај који повезује удаљене мрежне сегменте. Ради у другом слоју OSI
модела, тј. у слоју везе података. До сада смо видели да у датом тренутку на
мрежи може да емитује само једна станица. Остале станице ослушкују саобраћај
и када закључе да је медијум слободан шаљу своје пакете. Може се закључити
да би било веома згодно логички поделити мрежу на сегменте који се састоје из
станица које међусобно највише комуницирају. То би значило да по две станице
у различитим сегментима могу да комуницирају истовремено. Ако станица из
једног сегмента шаље податке станици у другом сегменту, тада осталим
станицама није дозвољено да комуницирају.
Сегментација мреже се може извршити уређајем који се зове мрежни мост.

РАЧУНАРСКЕ МРЕЖЕ 51
Споља је сличан рипитеру, а функционално има све његове особине уз додатак
неколико нових које су веома значајне. Мост проверава садржај заглавља
примљеног оквира података да би сазнао MAC (физичку) адресу извора и
одредишта. На основу тога, он формира табелу MAC адреса за сваки порт.
Поједини сегменти мреже се називају колизиони домени. Када добије broadcast
пакет (пакет за све рачунаре у мрежи), мрежни мост га само прослеђује и не
памти MAC адресу из његовог заглавља.

Слика 2.2.3-1. Принципска шема примене мрежног моста

Постоји правило у сегментирању мреже по коме 80% саобраћаја треба да се
одвија у оквиру колизионих домена, а 20% да иде преко моста. То значи да
уколико неке две станице често међусобно комуницирају (нпр. нека радна
станица и одређени сервер), не треба стављати мост између њих. Мрежни мост
уноси одређено кашњење као последицу обраде оквира, али се оно углавном
не осећа у раду корисника.
2.2.4. Свич (Switch) – комутатор, скретница
Свич је за мрежни мост исто што је и хаб за рипитер. Дакле, на себи има већи
број портова. Ради у другом слоју OSI модела. То је уређај који прослеђује
податке од једног мрежног сегмента до другог на основу одредишне MAC
адресе сваког оквира. Сваки порт, као и код моста, има известан степен
интелигенције, односно, не врши само ретрансмисију оквира већ уписује MAC
адресе у одговарајућу табелу. За разлику од хаб уређаја, свич податке не шаље
свим сегментима мреже већ само сегменту коме су они упућени. Ово се
постиже тако што свич прави наменске везе између сегмената. Веома значајна

52 РАЧУНАРСКЕ МРЕЖЕ
могућност коју свич поседује јесте да се на сваки порт свича може прикључити
станица, а не само сегмент мреже. Колизиони домен у овом случају чини
станица са одговарајућим портом. Собраћај који види станица је само онај који
је директно упућен њој или је послат свима у виду broadcast поруке.

Слика 2.2.4-1. Свич омогућава поделу LAN-а на више колизионих домена

Проблем који се јавља код употребе свича је преоптерећење. Брзина којом
оквири пристижу на свич регулисана је употребом неке од ARQ (Automatic
Repeat Request) техника између долазног порта и уређаја који на свич шаље
пакете. Међутим, може се десити да је већина долазног саобраћаја упућена на
неки од портова који треба да их проследи даље, а који то није у стању да уради
јер капацитет одлазне везе то не подржава. Оквири који пристижу могу да се
баферују до извесне границе, после које се одбацују. Свичеви се боље или
лошије носе са овим проблемом у зависности од њиховог квалитета (величине
бафера - меморија и брзина обраде).
Из досадашњих разматрања се види да мрежа не мора садржати само свичеве
или само хабове, већ је треба балансирати у зависности од потреба и буџета. На
пример, веома је чест случај у пракси да се на један порт свича повеже хаб, а на
тај хаб више станица.
2.2.5. Усмеривач или рутер (Router)
За разлику од мрежних уређаја које смо до сада видели и који раде на првом и
другом OSI нивоу, рутери раде на трећем нивоу, односно мрежном слоју. Главна
улога рутера у мрежи је да рутирају (усмеравају) пакете како би они стигли до
свог одредишта. Информација која се користи за ову функцију је одредишна
логичка IP адреса смештена у пакету. Рутер обавља ову функцију тако што по
приспећу пакета извуче одредишну адресу, затим нађе одговарајући запис у
табели рутирања где су смештени подаци на који порт треба пакет да се
проследи и одреди адресу следећег рутера на путу ка којем се пакет усмерава.

РАЧУНАРСКЕ МРЕЖЕ 53
Овај процес се назива „address lookup“. Када се добије ова информација врши се
процес комутације (switching) где се пакет комутира са улазног порта на
одговарајући излазни порт одакле се шаље даље.
Поред ових основних функција рутери врше и друге функције као нпр. провера
исправности пакета, обрада контролних пакета итд. Најновији трендови су да
рутери треба да обављају и додатне функције као нпр. security протоколи,
квалитет сервиса и сл. Такође, број корисника рачунарских мрежа је у сталном
порасту тако да је саобраћај који генеришу корисници све већи. Саобраћај се
увећава и услед нових апликација које захтевају веома велике пропусне опсеге
(нпр. пренос видео материјала у реалном времену). Да би се задовољили
захтеви за повећаним саобраћајем користе се линкови све већег капацитета (до
неколико десетина гигабита по секунди) са тенденцијом да се ти протоци
подигну на терабитске брзине. То значи да обрада пакета мора бити веома брза
и ефикасна јер рутер при таквим капацитетима линкова мора да процесира
милионе пакета у секунди и да их прослеђује на одговарајуће излазне портове.
Постоји више алгоритама (алгоритми рутирања) који треба овај процес да
начине што ефикаснијим.

Слика 2.2.5-1. Рутери усмеравају пакете на основу табеле рутирања

Рутер се конфигурише и одржава своје табеле рутирања на основу мрежних
адреса. Када прими пакет, рутер прво провери да ли је адреса одредишта на
истој мрежи као и адреса извора. Ако јесте, пакет се одбацује јер је у питању
грешка тј. нема потребе за рутирањем. У супротном, рутер прослеђује пакет
одредишном уређају (уколико је његова мрежа директно повезана са рутером)
или следећем рутеру на путањи до жељеног уређаја. Рута се састоји од три
елемента: дестинација, следећи уређај на путањи и растојање. Растојање
представља цену укупне руте до одредишта а назива се још и метрика. У неким
протоколима метрика представља само број линкова на путањи до одредишта,
у неким време у секундама и сл.
Сваки протокол рутирања користи различити алгоритам за утврђивање када су

54 РАЧУНАРСКЕ МРЕЖЕ
доступне нове руте и која је рута најбоља на основу метрике. Прослеђивање
пакета до мрежа са којима рутер није у директној вези може да се врши на два
начина:
1. Статичким путањама - Реч је о путањама које администратор одређује
статички. У случају да се топологија мреже измени (услед кварова, нових
захтева и сл.) администратор мора да измени путање у складу са новом
ситуацијом.
2. Динамичким путањама - Ове путање рутер аутоматски сазнаје након што
администратор конфигурише протокол рутирања. За разлику од
статичких путања, чим мрежни администратор укључи динамичко
рутирање, информације о рутирању се самим процесом рутирања
аутоматски ажурирају сваки пут када се од неког рутера у оквиру мреже
прими информација о новој топологији мреже.
2.2.6. Мрежни пролаз (gateway)
Мрежни пролаз је хардверски уређај и/или софтвер који повезује два различита
мрежна окружења. Омогућава комуникацију између различитих архитектура и
окружења. Врши препакивање и претварање података који се размењују између
потпуно другачијих мрежа, тако да свака од њих може разумети податке из оне
друге. Мрежни пролаз је обично наменски рачунар који мора бити способан да
подржи оба окружења која повезује као и процес превођења података из једног
окружења у формат другог. Сваком од повезаних мрежних окружења мрежни
пролаз изгледа као чвор у том окружењу. Захтева значајне количина РАМ
меморије за чување и обраду података. Ради у слоју сесије и апликативном
слоју. Како повезује различите мреже, мрежни пролаз мења формат порука да
би их прилагодио крајњим апликацијама којима су намењене, врши превођење
података (из ASCII у EBCDIC код, на пример) компресију или експанзију,
шифровање или дешифровање, и друго.
Дакле, основна намена мрежних пролаза је конверзија протокола. Ради између
транспортног и апликативног слоја OSI модела. Данас у свету постоји велики
број аутономних мрежа, свака са својим различитим хардвером и софтвером.
Аутономне мреже међусобно се могу разликовати по више карактеристика: по
алгоритмима за рутирање, имплементираним протоколима, процедурама за
администрирање и вођење политике мреже и др. Но независно од набројаних
разлика, корисници једне мреже имају потребу да комуницирају са
корисницима повезаним на другу мрежу.

РАЧУНАРСКЕ МРЕЖЕ 55
2.2.7. Безбедносна баријера (firewall)
Firewall је безбедносни хардверски или софтверски уређај, најчешће смештен
између локалне мреже и јавне мреже (Интернета), чија је намена да штити
податке у мрежи од неауторизованих корисника (блокирањем и забраном
приступа по правилима које дефинише усвојена безбедносна политика). Служи
за спречавање комуникације забрањене одређеном мрежном полисом. Врло
често не морају сви корисници у LAN-у да имају једнака права приступа мрежи.
Постављањем firewall уређаја између два или више мрежних сегмената могу се
контролисати и права приступа појединих корисника појединим деловима
мреже.

Слика 2.2.7-1. Принцип рада firewall-а

Firewall може бити софтверски или хардверски. Основна предност хардверских
firewall-ова је брзина рада и реализација на специјализованом наменском
оперативном систему што га чини нерањивијим на том нивоу. Основна предност
софтверског firewall-а је проширивост. Проширивост у овом случају представља
могућност проширења скупа параметара пакетâ који се могу узети у обзир пре
доношења одлуке шта ће се са њим урадити. Основа рада firewall-а је у
испитивању IP пакета који путују између клијента и сервера, чиме се остварује
контрола тока информација за сваки сервис по IP адреси и порту у оба смера.
Firewall је одговоран за више важних ствари у оквиру једног информационог
система:
• имплементира безбедносну политику
• бележи сумњиве догађаје
• упозорава администратора на покушаје напада и покушаје

56 РАЧУНАРСКЕ МРЕЖЕ
 компромитовања безбедносне политике
• у неким случајевима обезбеђује статистику коришћења
Само поседовање firewall-а (хардверског или софтверског) не значи да је
рачунар, односно мрежа коју он штити безбедна. Напротив, firewall представља
само алат који је могуће искористити за заштиту уколико је добро подешен
(уколико су добро дефинисана безбедносна правила). Најбољи начин да се
firewall подеси (уколико администратор нема искуства у тој области) јесте да се
блокира сав саобраћај а да затим за сваку конекцију посебно донесе одлуку да
ли је треба допустити, трајно или привремено, и којим клијентима.

РАЧУНАРСКЕ МРЕЖЕ 57
2.3. Интерфејси рачунара
Између рачунара и комуникационих канала морају да постоје адекватни
интерфејси - уређаји задужени за превођење података у облик погодан за
слање одговарајућом мрежном инфраструктуром, односно уређаји који
добијене сигнале преводе у податке. У наставку су дати интерфејси рачунара ка
најпопуларнијим комуникационим инфраструктурама данас.
2.3.1. Мрежна картица
Мрежна картица је уређај који повезује рачунар са
рачунарском мрежом. Често се назива: мрежни адаптер,
мрежни интерфејс, NIC... Један од важнијих елемената
сваке мрежне картице је MAC адреса која чини да овај
уређај ради на 2. слоју OSI модела. MAC адреса
представља 48-битни серијски број из опсега који IEEE
(Institute of Electrical and Electronics Engineers ) додељује
произвођачу.
Мрежне картице су се раније у рачунарима могле наћи најчешће у виду
засебних картица док се данас углавном интегришу у матичне плоче рачунара. У
једном рачунару се може наћи и више мрежних картица, било на матичној
плочи, било у виду засебних картица. У том случају картице могу функционисати
засебно или удружено.
Мрежне картице углавном имају RJ-45 (за UTP каблове), BNC и/или AUI
(Attachment Unit Interface) конекторе. Такође, на мрежним картицама се
углавном налазе и LED диоде које служе за праћење активности картице.
Најчешће брзине на којима раде мрежне картице су 10, 100 или 1.000Mb/s.
Главни произвођачи мрежних картица су 3Com, Intel, Realtek, Marvell, VIA...
2.3.2. Модем
Модем је уређај који омогућава пренос дигиталних
података аналогним линијама. На предаји се врши
модулација носећег сигнала да би се кодирала дигитална
информација, а на пријему се врши демодулација
модемског сигнала да би се издвојили пренети подаци.
Најчешће се користи за приступ Интернету путем
телефонских линија - POTS (Post Office Telephone Service).
Код PC рачунара се могу наћи као интерни (повезују се на

58 РАЧУНАРСКЕ МРЕЖЕ
ISA или PCI слот) или екстерни уређаји (повезују се на серијски или USB порт).
Winmodemi или Софтмодеми су врста модема са осиромашеним хардвером чију
улогу замењује централни процесор путем драјвера за одређени OS (најчешће
MS Windows). Максимална брзина преноса је 56.000b/s (7KB/s).
2.3.3. ISDN Terminal Adapter
ISDN Terminal Adapter је уређај који повезује терминал (нпр.
рачунар) са ISDN мрежом. Пошто обавља исту функцију као
модем код POTS мрежа, често се назива и ISDN модем. Овај
назив је погрешан јер код ISDN (Integrated Services Digital
Network) мреже није потребна модулација/демодулација.
ISDN је стандард за дигитални пренос говора и података преко стандардне
телфонске линије. Омогућава бољи квалитет и веће брзине преноса у односу на
аналогне системе. Према стандарду један дигитални канал омогућава пренос
података брзином од 64Kb/s. Ова карактеристика одговара преносу дигиталног
PCM говорног сигнала (8KHz одмеравање и 8 бита по одмерку сигнала).
Постоје уређаји који комбинују функционалност ISDN TA и функционалност
класичних модема са интерфејсом ка ISDN линији. Такође, постоје и уређаји који
имају могућност повезивања и са ISDN мрежом и са Етернет мрежом. Овакви
уређаји најчешће поседују и могућност рутирања.
2.3.4. ADSL/DSL модем
ADSL/DSL модем је уређај који повезује један или више
рачунара на телефонску линију у циљу коришћења ADSL (DSL)
услуге. ADSL модеми који омогућавају ADSL услугу за више од
једног рачунара називају се и ADSL рутери.
ADSL/DSL модеми раде на ADSL/DSL комуникационој технологији која омогућује
далеко бржи пренос података путем телефонске линије него што је то случај са
стандардним модемима. Брзина преноса података код ADSL технологије је
асиметрична тј. ADSL омогућава већу брзину пријема од предаје података.
Долазна брзина преноса се креће од 256Kb/s до 8Mb/s у оквиру од 1.500
метара. Одлазна брзина преноса се креће од 64Kb/s до 1.024Kb/s. ADSL користи
два опсега фреквенција: опсег од 25,875kHz до 138kHz се користи за слање
података док се опсег од 138kHz до 1.104kHz користи за пријем података. С
обзиром да PSTN (Public Switched Telephone Network ) ради на опсегу од 0 до
4kHz, коришћењем ADSL технологије је путем једне телефонске линије могуће у
исто време слати и примати податке и обављати телефонске разговоре.

РАЧУНАРСКЕ МРЕЖЕ 59
2.3.5. RS-232
RS-232 (Recommended Standard 232) је скуп стандарда4
за серијску дигиталну комуникацију између DTE
уређаја (Data Communication Equipment ) као што је
нпр. рачунар и DCE уређаја (Data Circuit Equipment ) као
што је нпр. модем. Уобичајено се користио као
серијски порт рачунара. Стандардом се дефинишу
електричне и временске карактеристике сигнала,
значење сигнала, физички облик конектора и распоред пинова на конектору.
Код персоналних рачунара овај стандардни интерфејс је данас замењен бољим
стандардима, као што је USB. Још увек се користи за повезивање старијих
периферија

Слика 2.3.5-1. RS-232 сигнал ASCII карактера “К”, асинхрони пренос, 1 старт бит,
8 дата и 1 стоп бит
Стандардом RS-232 дефинисани су сигнали којима се врши пренос података,
контрола преноса и сигнали који дефинишу сигналну масу (уземљење) и масу
уређаја. Валидни сигнали су у опсегу ±3 до ±15 волти. Користи се негативна
логика за сигнализацију. То значи да напонски нивои у опсегу +3V до +15V
представљају логичку нулу, а сигнали у опсегу -3V до -15V представљају логичку
јединицу. Напонски нивои у опсегу ±3V око нуле представљају недефинисане
сигнале за RS-232 logiku. За пренос података користе се сигнали RxD (пријем
података) и TxD (предаја података). Контрола се врши RTS (Request To Send) и
CTS (Clear To Send) и другим сигналима. Основа логике повезивања и преноса
података је у следећем: Када рачунар жели да предаје податке неком уређају
прво поставља сигнал RTS - захтев за слање, а подаци ће бити пренесени само

60 РАЧУНАРСКЕ МРЕЖЕ
када уређај одговори са CTS сигналом – спреман за пријем. Ово су елементи
једноставног handshaking протокола за размену података. Разликују се 25-
пински и 9-пински конектори под ознаком DB. Стандардно, на рачунарима као
DTE уређајима су мушки конектори, а на DCE уређајима су женски конектори.
DTE се повезује са DCE уређајем продужним RS-232 каблом. За повезивање два
DTE уређаја користи се укрштени RS-232 кабл (укрштени су пријем и предаја и
одговарајући контролни сигнали).
2.3.6. Универзална серијска магистрала
USB (Universal Serial Bus) је универзални интерфејс за комуникацију између
рачунара и периферијских уређаја (миш, тастатура, дигитална камера, принтер,
медиа плејер, flash драјв, мрежни адаптер, екстерни хард драјв). Представља
замену за различите врсте серијских и паралелних портова. За многе уређаје
обезбеђује и електрично напајање. USB систем је асиметричне природе. Састоји
се од хоста-рачунара који може да подржава више USB портова и више
различитих периферних уређаја. Организација подсећа на звездасту топлогију
повезивања. На савки USB порт може се прикључити додатни USB хаб. На овај
начин је могуће остварити 5 нивоа повезивања. Један USB контролер подржава
до 127 уређаја.

Слика 2.3.6-1. Мушки и женски конектори универзалне серијске магистрале

Када се USB уређај повеже на USB порт рачунара започиње процесс
идентификације. USB уређај добија RESET сигнал након чега се одређује брзина
комуницирања са USB уређајем. Контролер на рачунару чита основне
информације о USB уређају и затим му додељује јединствену 7-битну адресу.
Уколико је уређај препознат од стране рачунара учитава се одговарајући драјвер
након чега је могућа комуникација. Уређаји су груписани према сличним
функцијама у класе што омогућава коришћење истог драјвера за више уређаја
из класе. Користи се техника полирања прикључених уређаја. За USB стандарде
1.x и 2.0 комуникација је полудуплексна и увек по принципу master-slave, тј.
пренос података се одвија искључиво на захтев рачунара. Стандард 3.0
подржава и full-dupleks комуникацију.

РАЧУНАРСКЕ МРЕЖЕ 61
 Слика 2.3.6-2. Распоред пинова на USB конектору за стандраде A и B
Максимална дужина USB кабла за стандард 2.0 и 1.x је 5 метара. Ова
карактеристика је диктирана максимално дозвољеним кашњењем на команде
са USB порта рачунара. На конектору је обезбеђено напајање од 5V које се може
користити за напајање прикључених уређаја који троше мање од 100mA.
Максималан број уређаја који се могу напајати на овај начин је 5. За стандард
3.0 ови подаци су нешто већи. USB уређаји се могу прикључивати на “вруће”.
Постоји више варијанти: стандарди А, Б, мини и микро. Максималне брзине
преноса података су 12Mb/s ( USB 1.0), 480Mb/s (USB 2.0) и 4,8Gb/s (USB 3.0) по
једном контролеру што се дели на све прикључене уређаје.
2.3.7. FireWire
FireWire је популаран назив за стандард IEEE
1394 којим се дефинише брзи серијски
интерфејс за пренос података. Мање је
популаран од USB-а али постоји приличан број
уређаја који га користи за повезивање са
рачунаром. Омогућава повезивање до 63 различита уређаја који се повезују у
топлогију стабла. Дозвољава peer-to-peer комуникацију, на пример између
скенера и штампача, без коришћења RAM меморије рачунара. По једном порту
дозвољава напајање до 45W, а напон напајања је 30V. Разликујемо 6-пински и 9-
пински стандард са брзинама преноса од 400 и 800Mb/s респективно. Новије
варијанте овог стандарда подржавају и гигабитске брзине за пренос по
оптичким кабловима. Иако има боље карактеристике од USB стандарда, USB је
далеко распрострањенији, а основни разлози су једноставност реализације и
значајно нижа цена.

62 РАЧУНАРСКЕ МРЕЖЕ
2.3.8. IrDA
IrDA (Infrared Data Association) стандард дефинише комуникациони протокол за
пренос података на кратка растојања применом инфрацрвене светлости.
Подразумева се оптичка видљивост предајника и пријемника, усмерена
светлост и мала брзина преноса података. Оваквим адаптерима су опремљени
углавном мобилни телефони, PDA уређаји, лап-топ рачунари, медицински
инструменти, тест и мерна опрема. Стандардно растојање за пренос података је
до 1m. Брзине преноса података су од 2,4 до 16Kb/s. Пренос података се врши у
baseband5-у, уз полудуплексни начин рада ( full dupleks није могућ). IrDA
интерфејс се данас замењује бољим технологијама, као што су WiFi и Bluetooth,
које не захтевају оптичку видљивост и подржавају знатно већа растојања за
пренос уз веће брзине преноса података.

РАЧУНАРСКЕ МРЕЖЕ 63
2.4. Управљање приступом медију
Управљање приступом медију (Media Access Control, MAC ) представља подслој у
саставу слоја везе података референтног модела OSI. MAC подслој одређује ко
има право приступа физичком слоју у било ком тренутку времена. Понаша се
као интерфејс између подслоја логичке контроле повезивања и физичког слоја.
Обезбеђује приступ мрежним медијима и систем адресовања, који се користи
за пренос оквира података кроз мрежу. Обезбеђује да два рачунара не покушају
да преносе податке истовремено, а ако се то и деси, проналази начин да се
проблем реши. Постоји неколико дијаметрално супротних приступа који
решавају овај проблем а то су:
1. контролисани приступ (резервација, полирање, прослеђивање жетона),
2. приступ на основу садржаја - случајни приступ ( MA, CSMA, CSMA/CD,
CSMA/CA) и
3. мултиплексирање канала (FDMA, TDMA, CDMA).
2.4.1. Контролисани приступ
Контрола приступа се уобичајено користи на великим рачунарима –
(mainframes) где велики рачунари контролишу и одређују која веза има приступ
главном рачунару у датом времену. Користи се у неким LAN протоколима као
што је Token ring. Главни методи за контролу приступа су X-ON/X-OFF и
Полирање (Polling).
2.4.2. X-ON / X-OFF протокол резервације
X-ON/X-OFF представља један од најстаријих протокола за контролу приступа.
Користи се за пренос само текстуалних података. Био је типичан за
комуникацију између рачунара и штампача, а среће се и у појединим
полудуплексним режимима рада.
Његов принцип је једноставан. Рачунар А шаље захтев за пренос података
рачунару Б, а рачунар Б потврђује да је спреман да прима податке слањем X-ON
сигнала, који рачунару А говори да започне пренос. Рачунар А шаље податке
рачунару Б све док Б страна не пошаље X-OFF поруку. Пренос података се
зауставља док страна Б не пошаље нови X-ON сигнал. Због лаког губитка X-ON и
X-OFF сигнала током преноса све је ређа примена овог протокола, а постоје
много савршенији концепти.

64 РАЧУНАРСКЕ МРЕЖЕ
2.4.3. Прозивање
Прозивање (roll call polling) је процес омогућавања слања података клијентима
путем обраћања њима питањем да ли желе да пошаљу податке. Ако клијент
има податке шаље их након прозивања. Ако нема податке за слање клијент
одговара негативно, а сервер прозива следећег клијента. Сервер тестира сваког
клијента (редом и периодично по списку) да види да ли имају нешто за пренос:
А, Б, Ц, Д, Е, А, Б… Клијенти могу имати приоритете па могу бити чешће
прозивани нпр. А, Б, А, Ц, А, Д, А, Е, А, Б, .. Ова врста прозивања често садржи
чекање зато што сервер мора да прозове клијенте а затим да чека одговор.
Одговор може да буде долазна порука која чека да буде послата или негативан
одговор који обавештава сервер да нема шта да се пошаље. Обично је
неопходан тајмер да би се спречило закључавање када клијент не одговара
после неколико секунди.
2.4.4. Прослеђивање жетона
Прослеђивање жетона (token-passing) је детерминистички метод за приступ
медијуму којим се токен преноси са чвора на чвор, према раније утврђеном
редоследу. Токен је специјални оквир тачно дефинисане структуре. Један
рачунар стартује полирање и токен се шаље до другог рачунара. У било ком
тренутку токен може бити доступан или у употреби.

Слика 2.4.4-1. Контрола приступа прослеђивањем жетона

Када доступан токен стигне на чвор, тај чвор може да приступи мрежи, мења
вредност токена на начин да у оквир података поставља своје податке и
адресује примаоца оквира. Овакав оквир се предаје следећем чвору. Уколико
тај чвор није дефинисан као одредиште он добијени оквир прослеђује следећем
чвору и тако све до одредишног рачунара. Одредишни рачунар чита податке,

РАЧУНАРСКЕ МРЕЖЕ 65
ослобађа токен за предају, након чега се токен шаље до следећег рачунара.
Када је токен доступан следећи рачунар може започети предају по пријему
доступног токена. Мрежне архитектуре које подржавају преношење токена као
метод за приступ мрежи су ARCnet, FDDI, као и IBM-ова архитектура Token Ring.
2.4.5. Приступ на основу садржаја
Приступ на основу садржаја је супротан од контроле приступа и користи се у
распрострањеним рачунарским мрежама. Рачунар чека да се ослободи
комуникациони дељени медијум (ни један рачунар у том тренутку не шаље
податке) и тада започиње пренос. Обично се користи код Етернет LAN-а. У њему
се могу јавити колизије када више рачунара истовремено шаљу податке. Основа
за савремене протоколе овог типа је Алоха протокол. Прва верзија је била
једноставна и састојала се у следећим корацима:
1. ако има података за пренос они се одмах шаљу и
2. ако је дошло до судара са другим преносом, покушава се касније.
Разликују се два принципа за приступ медијуму: чиста и временски
расподељена Алоха. Код чисте Алоха предаја се врши у било ком тренутку када
се закључи да је дељени медијум слободан. Број могућих колизија, тј. судара, у
овом случају је значајан, тако да се на овај начин остварује мала пропусност, око
18.4%. Ово значи да је 81.6% од укупне пропусне моћи мреже практично
неискоришћено.

Слика 2.4.5-1. Чиста Алоха – сиво су обележени оквири који пропадају

Побољшање оригиналног алоха протокола је временски расподељена алоха,
која је уводи поделу времена и повећану пропусност од 36.8%. Станица не може
слати било кад, већ само на почетку дељења времена и стога је број колизија
смањен. Овај протокол уопштено побољшава коришћење канала, тако што

66 РАЧУНАРСКЕ МРЕЖЕ
смањује вероватноћу колизије за пола. Овде је проблем што се подразумева да
постоји централни часовник времена који дефинише када се може приступати
дељеном медијуму за слање података, а то је веома често компликована
процедура.

Слика 2.4.5-2. Временски расподељена Алоха – сиво су обележени оквири који

пропадају
Треба приметити да се карактеристике Алоха не разликују пуно од Етернета, Wi-
Fi-а и слично заснованих система. Постоји извесна количина присутне
неефикасности код тих система. На пример 802.11b достиже стварну пропусну
моћ од 2-4 Mbit/s са неколико станица, док је теоретска моћ од 11 Mbit/s. Често
се може видети да ови типови мрежне пропусности падају када се број
корисника и порука повећава.
Релативно ниска искоришћеност код чисте Алохa је у ствари мала цена у односу
на предности. Мала модификација овог система за жичне мреже побољшава
избегавање колизије на заузетим мрежама и ово је постао стандард за Етернет.
Данас је ова тенхика позната као CSMA/CD (Carrier sense multiple access with
collision detection). Механизми за откривање колизије су много тежи за
имплементирање код бежичних мрежа упоређујући их са жичним (каблираним)
системима. Због тога се у бежичним мрежама примењује посебна техника
позната под називом CSMA/CA (Carrier sense multiple access with collision
avoidance)
2.4.6. Адреса за контролу приступа медијуму
Адреса за контролу приступа медијуму (енгл. Media Access Control address, MAC
address) је јединствен идентификатор физичке мрежне опреме. Већина
протокола другог слоја корисити једну од шема дефинисаних од стране IEEE које
су дизајниране да буду глобално јединствене:

РАЧУНАРСКЕ МРЕЖЕ 67
 1. MAC-498,
2. EUI-48 (Extended Unique Identifier-48) или
3. EUI-64.
На мрежама као што су Етернет, MAC адресе дозвољавају сваком рачунару да
буде јединствено идентификован и дозвољава оквирима да буду обележени за
специфичне рачунаре. Оригинална IEEE 802 MAC адреса, сада званично названа
MAC-48, присутна је у Етернет спецификацији. Откад су оригинални дизајнери
Етернета предвидели коришћење простора адресе од 48 бита, постоји
приближно 248 или 281.474.976.710.656 могућих MAC адреса.
Сва три бројевна система користе исти формат, а разлика је само у дужини
идентификатора. Адресе могу бити универзално или локално администриране.
Универзалне и локално администриране адресе се разликују по подешавању
бита испод најважнијег бита адресе. Ако је тај бит бинарно 0 адреса је
универзално администрирана, ако је 1 онда је локално администрирана. MAC-
48 и EUI-64 адресе се обично приказују у хексадецималном облику. Пример
MAC адресе би био 00-78-74-4c-7f-1d. Ако се занемаре прве три октаве са IEEE
OUI доделама, види се да је ова MAC адреса дошла од Dell Computer Corp.
Последње три октаве представљају серијски број додељен адаптеру од стране
произвођача. Следеће технологије користе MAC-48 формат:
• Ethernet
• IEEE 802.11 бежична мрежа
• већина других IEEE 802 мрежа
• Bluetooth
• IEEE 802.5 Token ring
• FDDI
• ATM (само виртуалне конекције)
• SCSI и Fiber channel

68 РАЧУНАРСКЕ МРЕЖЕ
2.5. Управљање током
Управљање током је механизам којим се обезбеђује да предајник не “претрпа”
пријемник подацима. На пријему обично се додељује међумеморија
максималне дужине за пренос. Када се подаци примају, прималац мора да
обради одређен део података пре него што дођу до софтвера.
На слици се види механизам контроле приступа. На слици лево, види се
исправан однос слања и примања. Свака стрелица представља један оквир
података који пролази кроз комуникациони канал између две станице. Оквири
података се шаљу по одређеном редоследу, где сваки оквир података садржи
део податка и контроле. Време које је потребно да се пошаљу сви битови на
медијум за комуникацију назива се време слања. Време које је потребно да
битови стигну од предајника до пријемника кроз комуникациони медијум
назива се време пропагације. За сада, прихвата се тачним да су сви оквири
података, који су се преносили, успешно примљени; ниједан се није изгубио и
ниједан није стигао са грешкама. Осим тога, стизали су по истом редоследу као
што су послати. Ипак сваки оквир података произвољно касни пре пријема.

Слика 2.5-1. Пренос оквира од изворишта до одредишта

2.5.1. Контрола у виду стајања и чекања
У стани и чекај (Stop-and-Wait Flow Control) аутоматском захтеву за понављање
предајник стаје и чека на одговор од пријемника за сваки послати оквир
података. После пријема оквира, пријемник шаље потврду ако је оквир

РАЧУНАРСКЕ МРЕЖЕ 69
примљен без грешке (ACK), или негативну потврду (NACK) ако оквир садржи
грешку. Ако прими негативну потврду, предајник поново шаље претходни
оквир. Ако прими ACK потврду, предајник наставља да шаље следећу поруку. По
дефиницији, ово је полудуплексна техника преношења. Ефикасност преноса је
мала. На овом месту се могу уочити две врсте кашњења у преносу. Пошто је
сваки оквир одређене дужине, постоји тзв. кашњење у преносу (трансмиссион
делаy) које зависи од дужине оквира. Друго кашњење се јавља због удаљености
предајника и пријемника, као и због физичких карактеристика у преносу, битске
брзине у каналу и сл. У овом случају говоримо о кашњену због пропагације
оквира (пропагатион делаy) кроз комуникациони канал. Стандардно је време
прогације оквира доминантно у односу на време потребно за слање једног
оквира, што проузрокује малу ефикаснот у преносу код примене ове технике.

Слика 2.5.1-1. Контрола тока типа Стани и чекај

2.5.2. Протокол са клизећим прозором
У овом процесу предајник и пријемник се договарају о броју послатих оквира
који су на комуникационом каналу, а још увек нису потврђени. Број послатих и
још увек не потврђених оквира дефинише дужину еквивалентног клизећег
прозора. Када се неки од оквира потврди са пријемне стране, предајник може
да шаље следећи оквир. У зависности од начина потврђивања оквира могуће је
утицати на дужину клизећег прозора. Краћи клизећи прозор указује на проблем
у комуникационом каналу или на проблем код пријемника. На овај начин се
адаптивно (аутоматски) договара максимално могућа дужина клизећег прозора,
која варира у времену.

70 РАЧУНАРСКЕ МРЕЖЕ
 Слика 2.5.2-1. Контрола тока применом клизног прозора
2.5.3. Ефикасност преноса
Циљ код рачунарских мрежа је да пренесу максималан број тачних података са
минималном грешком. Што је већи број пренетих података у јединици времена,
већа је ефикасност мреже. Сваки протокол за пренос података на слоју везе има
информационе битове (подаци који представљају поруку) и додатне битове (за
контролу грешке, формирању оквира, адресовање и сл.). Ефикасност преноса се
дефинише као количник укупног броја информационих бита за пренос и укупног
броја пренетих бита. Претпоставимо да користимо 7-битни ASCII код, да имамо
један бит за парност и један почетни као и један крајњи бит. Ефикасност преноса
је 70%. Јасно је да је ефикасност преноса већа ако оквир података садржи што
више корисних биова поруке у односу на додатне битове. Међутим, велики
оквири могу да имају знатно више грешака у условима високог нивоа шума на
комуникационом каналу, што доводи до већег броја ретрансмисија. Тиме се
слаби укупна пропусна моћ.
Пропусна моћ је укупан број примљених инфомационих битова у једној секунди
на страни пријемника, који се без грешке могу испоручивати вишим слојевима
према OSI моделу. Мањи оквири обезбеђују већу пропусну моћ за преносе са
више грешака, а дужи оквири обезбеђују већу пропусну моћ за преносе са мање
грешака на мрежи.

РАЧУНАРСКЕ МРЕЖЕ 71
 Слика 2.5.3-1. Пропусна моћ и ефикасност преноса
Израчунавање пропусне моћи зависи од ефикасности преноса, дужине оквира,
нивоа грешке на комуникационом каналу и броја ретрансмисија. Из наведених
разлога, на слоју везе података постоји више различитих протокола који су
конструисани тако да обезбеде највећу пропусну моћ у односу на физичке
карактеристике комуникационог канала, као и у односу на протоколе виших
слојева OSI или TCP/IP модела

72 РАЧУНАРСКЕ МРЕЖЕ
2.6. Етернет
Етернет (IEEE 802.3 или ISO 80802-2) представља најчешће коришћени протокол
за локалне рачунарске мреже. То је стандард којим се дефинише физички слој и
MAC подслој везе података. Развијен је од стране компанија DEC, Xerox и Intel а
касније је формализован од стране IEEE као IEEE 802.3. То је протокол који је
оријентисан на бројање бајтова (садржи поље које одређује дужину поруке
оквира). Приступ медијуму се врши на основу садржаја.
Етернет оквир на почетку има преамбулу дужине 7 бајтова и обично је облика
„10101010...“. Овакав почетак помаже пријемнику да се боље припреми за
долазак самог оквира, омогућава бољи рад екстрактора такта у пријемнику и
смањење евентуалних грешака због непрецизног очитавања бита. Поред тога,
пријемник се обавештава да иза тога следи карактеристичан бајт који означава
почетак оквира. Одредишна адреса одређује адресу примаоца, а изворишна
адреса означава адресу пошаљиоца. VLAN се користи за виртуалне LAN-ове; ако
нема VLAN-а, поље се изоставља, а ако се користи прва 2 бајта имају вредност
24,832 (8100Х). Дужина, која се одређује са два бајта, означава број бајтова у
оквиру или се се ово поље користи за размену контролних информација, нпр.
тип протокола на мрежном нивоу (TCP/IP, IPX/SPX). Максимална дужина поља за
податке је 1.500 бајтова. Да би се лакше разликовао Етернет оквир од случајних
података који могу да лутају рачунарском мрежом, минимална дужина података
у оквиру је 64 бајтова. Ако су подаци из горњих слојева, који се енкапсулирају у
оквир, краћи од ове дужине, врши се допуна до минималних 64. Оквир се
завршава CRC-32 кодом за детекцију евентуалних грешака на комуникационом
каналу

Слика 2.6-1. Формат Етернет оквира

Етернет је најпопуларнији стандард за умрежавање рачунара у локалне мреже.
Широко је прихваћен од стране произвођача рачунарске мрежне опреме.
Етернет стандард је први пут објављен 1985. формалним називом IEEE 802.3 -
Carrier Sense Mutiple Access with Collision Detection (CSMA/CD) Access Method and
Physical Layer Specifications. Овим стандардом се дефинише вишеструки приступ
преносном медијуму провером носиоца сигнала методом детекције судара.
Хронолошки се стандард прво односио на употребу коаксијалних каблова
(дебели и танки) и за брзине преноса од 10Mb/s, а затим је прошириван да би

РАЧУНАРСКЕ МРЕЖЕ 73
подржао нове медије за пренос података (UTP и оптички каблови), као и нови
скуп спецификација које подржавају 100Mb/s брзи Етернет ( Fast Ethernet), а
затим и гигабитни Етернет. Данас се стандард 802.3 односи искључиво на
физички слој и слој везе података OSI модела.
Етернет мрежа је локална рачунарска мрежа која преноси податке између
Етернет станица. Адаптер (интерфејс) који омогућава повезивање рачунара или
неког другог уређаја на мрежу је мрежна картица. За мрежну картицу постоји
више назива који се у пракси равноправно користе - Етернет адаптер, мрежни
адаптер, LAN адаптер, LAN контролер, комуникациона картица, Network
Interface Card - NIC. Рад мрежне картице контролише управљачки софтвер –
драјвер (driver) који се извршава у рачунару. Сваки уређај са уграђеним Етернет
адаптером који учествује у мрежном саобраћају зове се Етернет станица.
Етернет станице су повезане на заједнички (дељени) комуникациони медијум.
Етернет сигнали се кроз медијум шаљу серијски, бит по бит. Свака Етернет
станица учествује у мрежном саобраћају самостално - независно од осталих
станица на мрежи.
На слоју везе података OSI модела Етернет користи метод CSMA/CD. Multiple
Access значи да су сви рачунари повезани на један заједнички медијум коме
приступа више рачунара. Carrier Sense означава да пре емитовања података
рачунар проверава - ослушкује медијум да би утврдио да ли неки други рачунар
већ емитује податке. Ако у медијуму влада тишина (не емитује нека друга
станица) тек тада рачунар почиње да шаље податке. Collision Detection значи да
у случајевима када две станице почну истовремено да емитују податке и дође
до судара (колизије) постоје механизми за отпочињање поновног слања истих
података.
Сваки Етернет оквир мора да садржи заглавље, податке које преноси и
контролне податке. Етернет оквир је максималне дужине 1518 бајтова.
Преамбула је карактеристичан низ 101010101010. који означава почетак оквира.
Етернет оквир садржи физичке адресе изворишта и одредишта. Свака Етернет
мрежна картица има фабрички одређену Етернет ( MAC) адресу која се никада
не може поновити, тј. не постоје две различите мрежне картице са истом MAC
адресом. Поље резервисано за адресу одредишта садржи адресу примаоца;
која може бити и такозвана multicast адреса када се подаци шаљу за групу
рачунара или broadcast адреса која се користи када је потребно да се оквир
пренесе свим осталим Етернет станицама у локалној мрежи. У нормалном раду
Етернет адаптер прима само оквире који у пољу адресе примаоца имају његову
властиту адресу или адресу која представља broadcast или multicast адресу. Све

74 РАЧУНАРСКЕ МРЕЖЕ
остале Етернет оквире картица ослушкује али их не прима јер су намењени
неком другом рачунару који се налази у истој локалној мрежи. Етернет адаптер
може бити сетован да прима све оквире који се појављују у медијуму. Могуће је
снимати саобраћај у мрежи и касније анализирати догађаје са циљем да се
утврди неправилност у раду неке картице или рачунара. Ова особина може да
се користи и за прислушкивање саобраћаја на мрежи што треба узети у обзир
када је важна сигурност података који се преносе кроз мрежу.
Два бајта након MAC адресе одређују дужину података који се преносе у
Етернет оквиру или то може бити тип протокола на вишим слојевима.
Максимална дужина података који се преносе у Етернет оквиру је 1500 бајтова а
сам садржај је препуштен мрежном слоју. На крају Етернет оквира су контролни
подаци - CRC (Cyclical Redundancy Check). Контролни подаци служе за детекцију
грешке која може да се јави у току преноса Етернет оквира преко физичког
слоја. Принцип детекције грешке заснован је на математичком алгоритму која се
изводи над целим Етернет оквиром, и на страни предајника и на страни
пријемника. Резултат математичке операције представља контролни податак
(CRC). Етернет станица која прими оквир и детектује грешку у преносу, одбацује
дати оквир, тј. нема поступка ретрансмисије погрешно пренетих оквира.
Проблем изгубљених података у мрежном саобраћају решава транспортни слој
(четврти слој по ОСИ моделу) или сама апликација.

Слика 2.6-2. Мрежна картица садржи јединствену MAC адресу

Оригинални Етернет систем ради на 10Mb/s и постоје четири врсте медијума за
пренос сигнала дефинисаних Етернет стандардом:
1. 10Base5 - дебели коаксијални кабал,
2. 10Base2 - танки коаксијалини кабал,
3. 10Base-T - упредене парице и
4. 10Base-F – оптички кабл.

РАЧУНАРСКЕ МРЕЖЕ 75
Скраћенице представљају троделну информацију. Први део - 10 - означава да
систем ради брзином од 10Mb/s. Реч Base значи baseband – тј. да се пренос
података врши у основном фреквенцијском опсегу (а не у неком
трансформисаном). Трећи део ознаке упућује на врсту сегмената или њихову
максималну дозвољену дужину. Број 5 означава, максималну дозвољену
дужину сегмента од 500m. Ознаке T и F означавају врсту медијума – twisted-pair
односно fiber optic.
Допуна постојећег стандарда, где је брзина преноса повећана са 10 на 100Mb/s,
представља брзи Етернет са ознаком 802.3u, а његово оригинално каблирање је:
1. 100Base-T4 – UTP кабл 3. категорије за растојања до 100m,
2. 100Base-TX – UTP кабл 5. категорије за растојања до 100m,
3. 100Base-FX – Оптички кабл за растојања до 2000m.
Стандард за гигабитни Етернет потиче из 1998. године са ознаком 802.3з. По
овом стандарду гигабитни Етернет се састоји само од два међусобно повезана
рачунара. Ако се повезивање врши преко switch-а, један рачунар представља
један домен колизије, тако да није могуће сударање података. IEEE је 2002.
године стандардизовао Етернет за брзину од 10Gb/s – 802.3ae. Каблирање
гигабитног Етернета:
1. 1000Base-SX – Оптички кабл, мултимодно влакно, маx 550m,
2. 1000Base-LX – Оптички кабл, мономодно влакно, маx 5.000m,
3. 1000Base-CX – STP кабл, две парице, маx 25m,
4. 1000Base-T – UTP кабл 5. категорије, четири парице, 100m.
2.6.1.1. Основни принципи Етернеа
Основна логичка топологија Етернет мреже јесте топологија магистрале (иако је
физичка топологија најшеће у облику звезде) што значи да су сви чворови
мреже повезани путем half-duplex везе и да подаци упућени од једног чвора
стижу до свих осталих чворова. Мрежни уређај који омогућава овакву логичку
топологију јесте hub.
Сви чворови прихватају све податке са мреже и утврђују да ли су подаци њима
намењени. Уколико јесу наставља се са њиховим процесирањем, а уколико
нису, подаци се одбацују. Осим што овакав начин прослеђивања података
непотребно оптерећује чланове којима подаци нису упућени, он представља и
безбедносну претњу с обзиром на то да омогућава једноставно снимање
укупног саобраћаја у мрежи.

76 РАЧУНАРСКЕ МРЕЖЕ
2.6.1.2. Комутирани Етернет
Етернет мреже са топологијом магистрале могу имати лоше перформансе услед
ограничења броја конекција у једном тренутку, великог броја колизија и
оптерећивања свих чланова мреже подацима упућеним само једном од њих. Из
тог разлога стандардизована је нова варијанта Етернета - комутирани Етернет
(Switched Eternet). Комутирани етернет користи исте принципе основне
спецификације са том разликом што се уместо хуб уређаја користе сwитцх
уређаји. Разлика између ова два уређаја је у томе што hub примљени оквир
прослеђује свим члановима мреже док switch прави логичку везу само између
пошиљаоца и примаоца. На тај начин је могуће истовремено комуницирање
више парова, смањује се колизија и повећава безбедност.
2.6.2. ARP - протокол за разрешавање адресе
Један од главних задатака мрежног слоја јесте логичко адресовање рачунара
док је слој везе задужен за пренос података. Међутим, адресовање мрежног
слоја путем IP адреса није могуће употребити на нивоу слоја везе. Поред тога, и
на овом слоју је у неким ситуацијама неопходно обезбедити систем адресовања
да би се остварила веза са одређеним чланом мреже. На пример, при
коришћењу Етернет технологије за директно повезивање два рачунара или за
повезивање више рачунара путем хаб уређаја адресовање на слоју везе није
неопходно јер у првом случају не постоје опције, а у другом сви чланови мреже
добијају све поруке а затим их прихватају или одбацују у зависности од адресе
мрежног слоја. Са друге стране, у већим рачунарским мрежама, које се нпр.
базирају на свич уређајима, потребно је одредити и адресовање на слоју везе да
би се утврдило са којим уређајем у мрежи треба успоставити везу и доставити
му податке. Одређивање уређаја се, наравно, врши у складу са адресом
мрежног слоја. За адресовање на слоју везе задужен је Address Resolution
Protocol (ARP) који је описан у документу RFC 826.
Протокол за разрешавање адресе (енгл. Address Resolution Protocol, ARP) је
протокол задужен за проналажење хардверске адресе одредишта путем његове
IP адресе. Резултат се записује у привремену меморију која се назива ARP кеш
табела. У случају Етернет мрежа, ARP прокол се користи за утврђивање MAC
адресе путем IP адресе. ARP протокол обезбеђује динамичко превођење у
смислу да се превођење одвија аутоматски без потребе за доделом
хардверских адреса од стране корисника.
Када се у оквир података на слоју везе података енкапсулира IP пакет, у њему је
дефинисана IP одредишна адреса. На слоју везе података неопходно је да се у

РАЧУНАРСКЕ МРЕЖЕ 77
односу на одредишну IP адресу дефинише одредишна MAC адреса следећег
чвора у мрежи. Да би се ово разрешило, у првом кораку гледа се ARP кеш табела
изворишног рачунара и тражи се одговарајућа MAC адреса одредишта
(мапирана преко IP адресе одредишног рачунара). Ако не постоји тражени запис
у ARP табели, шаље се дифузни ARP пакет (датаграм), који у суштини представља
питање “да ли постоји рачунар са датом одредишном IP адресом?” Ако постоји,
дати рачунар шаље одговор са својом MAC адресом, ова адреса се записује на
изворишном рачунару у ARP кеш табелу и после овог је могуће фомирати на
слоју везе података оквир са прецизном MAC адресом следећег чвора у мрежи.
Због ефикасности, и рачунар који је формирао одговор, такође врши мапирање
IP адресе и MAC адресе изворишног рачунара. Ово је из разлога, што најчешће
рачунар који је примао податке после тога треба да формира свој одговор.

Слика 2.6.2-1. Конвертовање адреса путем ARP и RARP протокола

Разматрани случај се односи на ситуацију када је рачунар са одредишном IP
адресом био члан мреже, тј. прецизније, налазио се у сегменту пре рутера. Ако
је тај рачунар (са жељеном одредишном IP адресом) удаљени рачунар, иза
првог рутера, он није могао да одговори на постављени броадцаст упит за
разрешавање IP И MAC адресе (рутери не пропуштају броадцаст адресена слоју
везе података). У таквом случају изворишни рачунар енкапулира свој пакет са
жељеном IP адресом у оквир у коме је дестинациона MAC адреса у ствари
адреса гејтвеја који ће у следећем кораку спровести сличан протокол. До
дестинационе MAC адресе гејтвеја се такође долази преко ARP протокола.
Дакле, када се подаци преносе од једног до другог рачунара, а рачунари су
удаљени, IP адресе се никада не мењају од изворишта до одредишта, а мењају
се MAC адресе од чвора до чвора мреже. ARP табела садржи три параметра: IP
адресу, MAC адресу и TTL (Time-to-Live), који се стандардно поставља на
вредност од 20 минута.
Reverse Address Resolution Protocol (RARP) представља инверзан протокол у
односу на ARP. Овај протокол служи за одређивање адресе мрежног слоја
(логичке IP адресе) путем хардверске адресе уређаја. На пример, у радним

78 РАЧУНАРСКЕ МРЕЖЕ
станицама које немају хард диск ( diskless workstation) не постоји начин да се
логичка IP адреса негде сачува, тако да се сваки пут она разрешава протоколом.
За функционисање RARP протокола неопходно је да у локалној рачунарској
мрежи постоји RARP сервер у коме су мапиране физичке и IP адресе рачунара.
Наведено мапирање се врши мануелним активностима администратор мреже.
RARP протокол започиње броадцаст захтевом (на слоју везе података) за
откривање РАРП сервера. Након добијања MAC адресе RARP сервера следи
RARP захтев са питањем „која је моја IP адреса?“). RARP сервер формира
одговор и упућује га на MAC адресу рачунара који је започео комуникацију.

РАЧУНАРСКЕ МРЕЖЕ 79
2.7. Остале технологије локалних рачунарских мрежа
2.7.1. Токен Ринг
Токен Ринг је тип локалне рачунарске мреже који који је карактеристичан за
IBM. Настао је на идеји да парира Етернет. Токен ринг мрежа има логичку
топологију прстена, а физичку топологију звезде. Брзине преноса могу бити
4Mbps или 16Mbps. Основна идеја је следећа: рачунари су прстенасто повезани.
Од једног до другог рачунара се кроз мрежу креће један скуп битова који се
зове токен (жетон). Рачунар који жели да шаље своју поруку неком другом у
мрежи прво сачека да токен стигне до њега, а затим га уклони из мреже и почне
да шаље своју поруку. Остали рачунари не могу у то време да шаљу своје
податке пошто то може само рачунар који држи токен и који на тај начин само
за себе резервише мрежу. Порука иде по прстену, рачунар коме је упућена
пресними је и на крају је поново врати рачунару који ју је послао. Тај рачунар
затим уклони поруку из мреже, а токен пусти даље, тако да сад други рачунари,
када код њих дође токен, могу да шаљу своје поруке. Сваки рачунар у токен
ринг мрежи мора да има одговарајућу токен ринг адаптерску картицу.
У почетку је IBM заједно са токен рингом лансирао и посебан кабловски систем
за овај тип мреже. Међутим, током времена, такав концепт је постепено уступио
место системима структурног каблирања. Уколико у мрежи постоје адаптерске
картице које су прилагођене старом систему каблирања, свакој картици се мора
додати одговарајући адаптер.
2.7.2. Fiber Distributed Data Interface
FDDI (Fiber Distributed Data Interface) је тип рачунарске мреже који се углавном
користи у кичмама рачунарских мрежа. Разлог за то је велика брзина преноса
(100Mbps) и велика укупна дужина каблова (до 100km) што је врло згодно за
повезивање више зграда. Медији преноса су углавном оптички каблови, али се
унутар зграда често користе бакарни парични каблови, тако да то онда постаје
CDDI.
Принцип рада је веома сличан токен рингу, једино што је код FDDI и логичка и
физичка топологија прстен, односно двоструки прстен. Прстени проводе сигнале
у супротним смеровима и у случају да било где дође до прекида кабла, прстени
се аутоматски преспајају и формирају један велики логички прстен. Преспајање
се врши у одговарајућим активним уређајима (хабовима, концентраторима
итд.). При формирању FDDI мреже важно је водити рачуна да се очува логичка
топологија двоструког прстена.

80 РАЧУНАРСКЕ МРЕЖЕ
2.8. WAN технологије
За разлику од LAN мреже, WAN (Wide Area Netowork) представља рачунарску
мрежу која није просторно ограничена, тј. обухвата ширу регију (регионална
мрежа). Под широм регијом се подразумевају мреже чији комуникациони
канали (линкови) прелазе градске, регионалне или националне границе. WAN
мреже се могу дефинисати и административним ограничењима. Мрежа чији сви
линкови и уређаји не припадају истом административном домену (компанији,
на пример), може се сматрати WAN мрежом.

Слика 2.8-1. Регионална рачунарска мрежа (WAN)

Линкове, технологије и протоколе којима се успоставља WAN веза често
омогућавају Интернет сервис провајдери. WAN мреже успостављају везе између
удаљених LAN мрежа или других типова мрежа, како би корисници једне мреже
могли да комуницирају са корисницима друге мреже или да користе ресурсе на
удаљеној локацији. Многе WAN мреже су дизајниране и конструисане за једну
организацију, како би се повезале географски удаљене локације. За повезивање
се користе услуге телекомуникационих оператера. Неке од технологија за
повезивање LAN-ова су: E1(T1), E3(T3), ATM, ISDN, ADSL, преспајање оквира
(Frame Relay), радио везе и слично. Ове мреже се називају и окоснице или
кичма-мреже (backbone).
2.8.1. PPP протокол
PPP (Point-to-Point Protocol) је WAN протокол другог слоја који се користи за
пренос података између два директно повезана мрежна чвора. Примењује се за
пренос података типа од тачке до тачке. Разликује се од дифузног преноса
података. Не користи физичке адресе предајника и пријемника зато што је то у
овом случају непотребно. Примењује се за повезивање нпр. два рутера или
кућног рачунара са даваоцем Интернет услуга. Оквир PPP протокола је приказан
у табели 1. Једна од најбитнијих функција PPP протокола је поље “type” које

РАЧУНАРСКЕ МРЕЖЕ 81
идентификује тип пакета који се преноси оквиром. На основу овог поља
омогућава се пренос више различитих L3 (Layer 3 – мрежни слој) протокола
преко PPP везе. На исти начин, а у складу са OSI стандардом повезивања, PPP
може да ради за различите физичке везе (серијски кабл, телефонска парица,
радио пренос, сателитски линк, оптичка веза) и за различите врсте преноса
података (синхрони, асинхрони, серијски, паралелни пренос података).

Слика 2.8.1-1. Структура оквира PPP протокола

Индикатор почетка и краја оквира ( Flag), дужине је једног бајта и ма фиксну
вредност 01111110. Уколико се у подацима који се преносе PPP оквиром појави
управо ова вредност, она се на страни предајника мора обележити додатним
бајтом (ESC flag са вредношћу 01111101). Ова техника је позната под називом
уметање бајтова (byte staffing). Када се на пријемној страни уочи комбинација
ова два флега, уметнути бајт се одбацује и не преноси вишим слојевима при
декапсулацији. У пољу адресе увек је уписана вредност 11111111.
Контролно поље (Control) је постављено на вредност 00000011. RFC стандардом
1662 предвиђено је да се у будућности могу дефинисати и друге вредности.
Поље Type може да буде величине један или два бајта. Њиме се дефинише
протокол L3 слоја. Ако се PPP оквиром преноси IP датаграм у овом пољу је
уписана хексадецимална вредност 21. У пољу за податке ( Data) преноси се
енкапсулрани пакет са L3 слоја. Максимална дужина овог поља је 1.500 бајтова.
Поље за проверу грешака у пренесеном оквиру ( FCS) је величине 2 или 4 бајта.
За контролу грешке примењује се циклични редудантни код ( CRC-16 или CRC-
32).
Архитектура PPP протокола омогућава више додатних функционалности.
Посебан део овог протокола је нпр LCP (Link Control Protcol) који обезбеђује
конфигурацију интерфејса на два краја везе (подешавање величине поља за
податке, вредност ESC flega и сл). Додатне функционалности PPP протокола
односе се на одржавање и затварање везе, аутентикацију везе, пренос
заштићених података (data encryption) и компресију података.
У употреби су два протокола са енкапсулацијом PPP оквира. Односе се на
Етернет везе и на ATM пренос података. Point-to-Point Protocol over Ethernet
(PPPoE) и Point-to-Point Protocol over ATM (PPPoA), најчешће се користе од
стране провајдера Интернет услуга за пренос података по DSL-у (дигиталној
претплатничкој петљи).

82 РАЧУНАРСКЕ МРЕЖЕ
2.8.2. Јавна телефонска мрежа
Јавна телефонска мрежа једна је од још увек најмасовније коришћених
инфраструктура за комуникацију. Ова инфраструктура је реализована углавном
жичним комуникационим каналима, увезаним преко локалних, регионалних,
националних и интернационалних централа. Такође, пословни системи могу
имати интерну телефонску мрежу која је повезана са јавном телефонском
мрежом. Основни уређај за коришћење јавне телефонске мреже јесте телефон,
уређај за основну двосмерну аудио-комуникацију, али се она може користити и
код (разних) других уређаја - факс уређај, модем, и сл.
Јавна телефонска мрежа је, поред своје основне намене, у великом проценту
служила и за повезивање корисника са Интернет мрежом, односно, за њихово
повезивање са Интернет провајдерима путем модема. Ова мрежа се, због своје
распрострањености, и данас користи за приступ корисника Интернету,
првенствено путем xDSL технологија.
За стандардизацију јавне телефонске мреже задужена је организација под
називом Међународна Телекомуникациона Унија (енгл. International
Telecommunication Union, ITU). Ова организација има седиште у Женеви и
представља агенцију Уједињених нација а чини је 191 земља чланица. Циљ
организације је развој и имплементација јавне телефонске мреже и пратећих
технологија. Последња препорука E.164 ове организације, објављена 1997.
године под називом „Јавни међународни план за нумерисање
телекомуникација“, дефинисала је следећа правила за одређивање
телефонских бројева:
1. телефонски број може имати највише 15 цифара;
2. прве цифре (једна до три) телефонског броја одређују земљу којој он
припада;
3. средишње цифре телефонског броја чине национални одредишни код
(енгл. national destination code, NDC);
4. остале цифре телефонског броја представљају број претплатника (енгл.
subscriber number, SN);
5. национални одредишни код и број претплатника представљају део
телефонског броја са националним значајем.
Интеграција сопственог система заштите комуникације у јавну телефонску
мрежу првенствено се може извести на нивоу комуникационих уређаја,
првенствено телефонских апарата. Међутим, тренд преласка са класичне на

РАЧУНАРСКЕ МРЕЖЕ 83
Интернет телефонију указује на то да је оптималнији избор вршити интеграцију
сопственог система заштите кроз технологије које се у њој користе. Када је у
питању модемско коришћење јавне телефонске мреже, оно подлеже истим
правилима и структури комуникације као и када су у питању рачунарске
комуникације путем Интернет мреже. Из наведених разлога сматрамо
оптималнијим решењем фокусирање интеграције система заштите кроз
Интернет технологије.
Телефонија се често назива и јавна телефонска комутирана мрежа ( Public
Switched Telephone Network, PSTN ). Ова мрежа је пројектована давно са
основним циљем да се успешно пренесе говорни сигнал. Карактеристика
комутационе мреже је да се у фази успоставе везе бира један од могућих путева
преноса, а за време одржавања везе информација се преноси успостављеним
физичким путем. Сасвим је могуће да се за две узастопне успоставе везе са
истих локација изабере потпуно различит физички пут преноса информације.
Често се каже да су ово примери чврсте директне везе. Телефонија је од
изузетног интереса за WAN мреже зато што је широко распрострањена. Што се
тиче преноса података, систем телефоније нуди више начина преноса. То су
комутиране везе, закупљене линије и разне технологије са пакетском
комутацијом.
Да би се овом мрежом могли преносити подаци потребно је да се на оба краја
везе поставе модеми, уређаје који врше модулацију и демодулацију дигиталног
сигнала из рачунара. Сигнали у рачунару су дигитални, а телефонске линије су
аналогне тако да модем на излазу врши конверзију дигиталног сигнала у
аналогни, а на улазу у рачунар преводи аналогни сигнал у дигитални. Пошто је
телефонска мрежа пројектована за пренос говора, њен пропусни опсег је мали -
до 3,4kHz – из чега следи да су брзине преноса података килобитског, а не
мегабитског реда величине. Аналогни пренос података и примена модемске
технологије достиже максималну брзину од 56Kb/s применом савремених
модулационих техника (TCM - Trellis Coded Modulatiori), као и техника
компресије. Што је проток већи, већи је и утицај шума. Осим тога, шум се јавља
и при Д/А и А/Д конверзији. Такође, брзине преноса чак и при условима
блиским идеалним не постижу максималне номиноване вредности. На пример,
модем од 56Kb/s при најбољим условима може постићи брзину између 45 и
50Kb/s (и то ако је централа дигитална). Имајући у виду ове предности и
недостатке, dial-up аналогна веза налази примену у повезивању кућног рачунара
са Интернетом, кућног рачунара са LAN мрежом на послу, као и backup веза у
WAN мрежи када сервис преко којег је WAN мрежа примарно реализована
откаже.

84 РАЧУНАРСКЕ МРЕЖЕ
Ова технологија омогућава пренос дигиталних података преко постојећих
телефонских линија и због тога је врло брзо постала прихватљиво решење за
кућне кориснике и мала предузећа која су желела релативно брзу везу са
Интернетом, а нису имали довољно средстава за неку другу технологију. Да би
се извршило повезивање на одређену мрежу, корисник је одговоран за део
опреме и инсталације које се налазе у његовим просторијама, док је за
инсталације ван корисникових просторија одговорна телефонска компанија.
Рачунарски модеми могу бити интерни и екстерни:
• Интерни модем се поставља у слот на матичној плочи рачунара. На
полеђини постоји утичница RJ-11 (четворожични телефонски прикључак)
помоћу које се модем, односно рачунар, прикључује на стандардну
телефонску утичницу на зиду.
• Екстерни модем је засебан уређај са засебним напајањем. Са рачунаром
је повезан серијским каблом (RS-232) или путем USB магистрале.
Екстерни модеми имају утичницу RJ-11 за повезивање на линију и
сигналне диоде које означавају разне режиме рада и стања модема.
Екстерни модеми имају једну предност над интерним - могу се
ресетовати независно од рачунара, могу се искључити и поново
укључити, а да се при томе не мора искључивати или ресетовати
рачунар.
2.8.3. ISDN (Integrated Services Digital Network)
ISDN (Integrated Services Digital Network ) је, према ITU-T, сет комуникационих
стандарда за дигитални пренос говора, видеа и података преко јавне
телефонске комутиране мреже (PSTN). Представља дигитални еквивалент
аналогне телефонске мреже, а у односу на њу обезбеђује бољи квалитет и већу
брзину преноса. Почетком 70-их година XX века први пут се јавила идеја о
интегрисаним сервисима тј. идеја да се преко једне јединствене мреже
корисницима понуде различити сервиси. Први пакет препорука за реализацију и
примену ISDN-а донет је 1984. године. ISDN се може посматрати и као сет
протокола за успостављање и раскидање дигиталне везе. Пример је мреже са
комутацијом веза (circuit switched connections).
Термин „мрежа интегрисаних сервиса која обезбеђује дигиталну везу“ односи
се на три битне ствари:
1. Интегрисани сервиси. ISDN омогућава најмање две истовремене везе
(било која комбинација преноса података, говора, видеа или факса)
преко само једне физичке линије. На ISDN се могу повезати различити

РАЧУНАРСКЕ МРЕЖЕ 85
 уређаји, како би се задовољиле различите човекове потребе за
комуникацијом. Није потребно обезбеђивати вишетруке аналогне
телефонске линије, а омогућена је далеко већа брзина преноса.
2. Дигитална веза. Мисли се на дигитални пренос насупрот аналогном
преносу код стандардних телефонских линија. Ако се на Интернет
повезује стандардном аналогном телефонском линијом, модем код
Интернет провајдера врши Д/А конверзију посећеног сајта пре слања
података. Локални модем врши А/Д конверзију. Овакве конверзије се
дешавају за потребе сваког преноса података. Ако се повезивање врши
преко ISDN-а не постоје Д/А и А/Д конверзије. Подаци се преносе
дигитално а добро су познате предности дигиталног преноса.
3. Мрежа. ISDN није једноставна дигитална веза од тачке до тачке, као што
је нпр. изнајмљена линија. ISDN мрежа се протеже од локалне
телефонске централе све до удаљеног корисника укључујући све
телекомуникационе уређаје и централе на преносном путу.
ISDN представља надградњу, односно виши степен постојеће јавне комутиране
телефонске мреже. Већи део комутационих система (телефонских централа) и
преносних система између централа дигитализован је, како у свету тако и код
нас. Међутим, претплатнички део мреже је остао аналоган. Увођењем ISDN-а и
претплатнички део мреже постаје дигиталан, и то коришћењем постојећих
бакарних парица. Ово је свакако најбитнија чињеница - дигитална веза од краја
до краја преко постојеће телефонске мреже без додатних улагања у
инфраструктуру.

Слика 2.8.3-1. ISDN обезбеђује комплетан дигитални пренос од краја до краја

Постоје два типа ISDN приступа: базни (BRI – Basic Rate Interface) и примарни
(PRI – Primary Rate Interface). Базни приступ подразумева два Б канала (канали
по којима се преноси информација) од по 64Kb/s и један Д канал (канал по коме
се преносе информације неопходне за синхронизацију и корисничку
сигнализацију) од 16Kb/s, што је укупно 144Kb/s. Често се означава са 2Б+Д.
Намењен је кућним корисницима. Примарни приступ PRI (30Б+Д) садржи

86 РАЧУНАРСКЕ МРЕЖЕ
тридесет Б канала протока 64Kb/s за говор и пренос података и један Д канал
протока 64Kb/s за синхронизацију, сигнализацију и пренос података (укупно
2Mb/s), и углавном је намењен за пословне кориснике. По истој бакарној
парици по којој је реализован аналогни телефонски прикључак реализује се и
базни прикључак BRI (2Б+Д), док је за примарни прикључак PRI (30Б+Д)
потребно две бакарне парице. Једна од главних примена ISDN-а је приступ
Интернету, где ISDN омогућава 128Mb/s пренос података за upsteram и
downstream смер.
На ISDN линију се могу прикључити различити терминални уређаји:
1. ISDN телефон
2. Терминални адаптер (ТА) за прикључење постојећих аналогних уређаја
3. ISDN картице (за пренос података потребна је ISDN картица у рачунару
или екстерни ISDN адаптер)
4. ISDN LAN router или bridge
5. ISDN мултиплексери
6. FAX групе 4
7. ISDN PABX – претплатничке (кућне) централе ISDN типа.
2.8.4. Дигитална претплатничка линија
Дигитална претплатничка линија ( Digital Subscriber Line DSL) представља начин
преноса дигиталних података по бакарним парицама већим брзинама (у
распону од 144Kb/s па све до 50Mb/s). DSL омогућава пружаоцима услуга
(service providers), као што су нпр. локалне телефонске компаније, да обезбеде
брзу Интернет везу корисницима. Често се каже да је ово технологија која се
користи за потребе “задње миље“ (растојање од телефонске централе до куће).
То је широкопојасна технологија где се поступцима мултиплексирања и
модулације омогућава дигитални пренос података високим брзинама по
постојећим бакарним парицама, које су у својој основи намењене класичној
телефонији. У класичној телефонији преноси се говорни сигнал који у
фреквенцијском спектру доминантно заузима опсег фреквенција од 300 до
4.000Hz. Сама бакарна парица својим физичким карактеристикама омогућава
боље искоришћење фреквенција, тј. омогућава пренос података далеко већим
брзинама.
Постоји више DSL технологија које раде на сличном принципу и заједнички се

РАЧУНАРСКЕ МРЕЖЕ 87
називају xDSL. Иницијално DSL је настао кроз коришћење већ усвојене
предности начина преноса из ISDN-а. DSL подржава и симетричне и
асиметричне сервисе, што зависи од пропусности података у једном и другом
смеру. Асиметрични сервиси имају већу пропусност у једном смеру преноса у
односу на други. Конкретније, већа брзина преноса је по downstream каналу (од
централе ка кориснику), а мања по upstream каналу (од претплатника ка
централи). Асиметрични сервиси су погодни за Интернет из разлога што се
фајлови већег обима download-ују, а фајлови мањег обима, какви су e-mail-ови,
upload-ују.

Слика 2.8.4-1. Принцип ADSL-а – подела фреквенцијског опсега

Постоје различите варијанте DSL-а: Асиметрични (ADSL), High-bit rate (HDSL),
Single Line (SDSL), Very-High-Data-Rate (VDSL) и сл. Свака од њих захтева
идентичне уређаје (технологије) на страни корисника и на страни провајдера и
карактерише је максимална физичка удаљеност између корисника и
провајдера, као и одговарајуће брзине преноса података у оба смера.
У технологији DSL-а постоји неколико подврста. Међутим, она која се данас
најчешће користи је такозвана асиметрична дигитална претплатничка линија
(ADSL-Asymetric Digital Subscriber Line ). Као што јој и само име каже, основна
карактеристика ове врсте DSL реализације је асиметричност. Управо она је и
чини најзанимљивијом DSL реализацијом за приватне и пословне кориснике.
Већина најзанимљивијих апликација за кориснике на мрежи су асиметичне
(видео на захтев, приступ удаљеним локалним мрежама, приступ Интернету,
мултимедијални приступ, home shopping, итд.), где значајно више информација
корисник узима са мреже него што их у њу шаље. Та асиметричност чини ADSL
идеалним за ове апликације. ADSL дели укупан расположиви фреквенцијски
опсег на три дела поступцима фреквенцијске модулације. У најнижем делу
спектра се задржава опсег фреквенција за пренос говорног сигнала и тиме се
ништа не ремети у односу на стандардан рад телефоније ( PSTN Public Switch
Telephone Network).

88 РАЧУНАРСКЕ МРЕЖЕ
ADSL услуга је базирана на сталном и брзом приступу Интернету по већ
постојећој телефонској линији (парици) без њеног заузећа или промене
телефонског броја. Може се реализовати преко обичне телефонске линије или
базног ISDN прикључка. Приликом пуштања ADSL сервиса на постојећу обичну
или ISDN линију на располагању су истовремено обе везе тј. обична или ISDN и
ADSL веза. Захтевани технички услови су да постоји слободна парица и да има
слободних ресурса на уређају у реонској телефонској централи. Проток се
дефинише посебно за долазни а посебно за одлазни саобраћај с тим да се већи
проток одређује за долазни саобраћај.

Слика 2.8.4-2. Блок шема повезивања ADSL-а

Код ADSL-а претплатничка опрема се повезује на телефонску компанију преко
стандардног прикључка. Основна компонента уређаја код корисника је splitter,
кога чине два филтра који фреквенцијски раздвајају говорни сигнал од
модемског сигнала ADSL-а. Један излаз из сплитера се повезује на телефон тако
да се овом везом задржава сервис говорне комуникације (стандардни телефон),
а други се повезује на ADSL модем и задужен је да обезбеди подршку ADSL
услугама. На телефонској парици (Local Loop) преносе се мултиплексирани
говорни и модемски сигнали. Пошто су фреквенцијски одвојени нема

РАЧУНАРСКЕ МРЕЖЕ 89
међусобних сметњи, тако да се ADSL-ом могу истовремено преносити и говор и
подаци.
Сплитери постоје и на страни корисника и на страни телефонске централе
непосредно на претплатничким линијама. На страни телефонске централе
постоји банка сплитера. Један сплитер има два излаза. Први излаз се води
према јавној телефонској мрежи (PSTN), а други се повезује на DSL модем. Из
разлога ефикасности, а због подршке за више корисника, на страни телефонске
централе постоји јединствен уређај DSL access multiplexers (DSLAM) који се
повезује на даваоца Интернет услуга.
2.8.5. Изнајмљена линија
Изнајмљене линије су телекомуникационе (аналогне или дигиталне) везе које
међусобно спајају две удаљене локације. Често се назива и стална веза.
Насупрот традиционалним телефонским везама, непотребан је телефонски број
учесника, зато што је свака страна у комуникацији у сталној вези са другом
страном. Користе се за телефонију, пренос података и Интернет сервисе. Преко
изнајмљених линија остварују се брзине од 56Kb/s, 64Kb/s, 128Kb/s, 256Kb/s,
512Kb/s или 2Mb/s. Плаћају се паушално - на одређени временски период, без
обзира на степен коришћења. Одговара организацијама које имају потребу за
преносом велике количине података. Највећи недостатак овакве везе је
изузетно висока цена која расте са захтевом за већом брзином преноса
података. То су везе типа тачка-тачка где се не може мењати дестинација као
код диал-уп везе. Најчешће служе за повезивање удаљених географских
локација, и то на два начина:
1. изнајмљена линија се простире целом дужином између две локације и
2. изнајмљена линија иде до локалног телеком оператера, а веза од њега
је реализована неком другом технологијом, као што је на пример frame
relay. Крајњем кориснику се гарантује квалитет услуге.
2.8.6. X.25
X.25 је ITU-T стандард, протокол за WAN мреже који користи јавну телефонску
мрежу или ISDN као хардверску основу. Њиме се дефинише стандардни
физички слој, слој везе података и мрежни слој (слојеви 1 до 3) OSI модела.
Протоколи X.25 мреже су развијани у време доста непоузданијих преносних
линкова него што је то случај данас. Развојем комуникационе технике
вишеструки механизми за детекцију и корекцију грешака који су
имплементирани на другом и трећем нивоу протокол стека X.25 мреже постали

90 РАЧУНАРСКЕ МРЕЖЕ
су непотребан терет обраде пакета у чворовима мреже. Новије технологије, као
што је брза пакетска комутација позната под називом Frame Relay, искористиле
су мање вероватноће појаве грешака модерних WAN линкова за бржи и
једноставнији пренос података. Такве технологије се ослањају на способности
виших нивоа протокола (обично транспортних протокола) да врше детекцију и
корекцију евентуално насталих грешака.
Поред својих добрих карактеристика X.25 је ипак застарела технологија.
Кашњења, која су узрокована непотребно великим процесирањем у сваком
чвору мреже, приметна су, нарочито у случају вишеструке размене кратких
порука са краја на крај мреже. Међутим, и даље постоје бројне апликације, пре
свега пренос података везан за финансијске трансакције, којима одговарају,
како релативно мали протоци, тако и висока поузданост и велико искуство које
се годинама формирало у одржавању и управљању X.25 мрежа широм света.
Данас се X.25 мреже користе у великом броју примена углавном од стране
компанија и институција и то најчешће за:
1. преузимање података из националних и међународних база података,
2. саобраћај од терминалâ ка серверима ( Transactions Processing),
3. пренос фајлова,
4. електронску пошту,
5. банкомате (ATM - Automatic Teller Machines), итд.
Примењивост X.25 мреже је ограничена протоком корисничког приступа, који је
традиционално за X.25 протокол ограничен на максималних 64Kb/s, до
евентуално 2Mb/s код неких новијих варијанти X.25 мрежа. Протоци овог реда
величине данас су недовољни нпр. за повезивање LAN мрежа. Frame relay и
ATM представљају у овом смислу адекватне наследнике X.25 протокола.
2.8.7. Фрејм релеј
Застарела X.25 мрежа је средином осамдесетих година у потпуности замењена
Frame Relay мрежама. Основна карактеристика оваквих мрежа је да раде са
успостављањем директне везе, а у њима не постоји контрола грешака нити
управљање током података. Пакети се на страни предајника испоручују у
строгом редоследу. Најважнија примена Frame Relay-а је у повезивању LAN
мрежа које су локацијски удаљене.
Претходно описани PPP протокол користи се за везе између два директно
повезана чвора у WAN мрежи. У случају проширења мреже, увођења нових

РАЧУНАРСКЕ МРЕЖЕ 91
локација и уређаја, долази до потребе инсталирања нових веза преко којих би
се могао користити PPP протокол. Ова опција је економски неисплатива. Може
се рећи да је ретка ситуација да се мрежа гради тако што ће сви уређаји у
рачунарској мрежи бити директно повезани појединачним везама. Због тога
постоје технологије која на јединствен начин спајају више локација и уређаја, а
при томе захтевају мањи број линкова на самим уређајима. Управо такве
потребе испуњава Frame Relay технологија. Frame Relay је скуп WAN стандарда
који креирају ефикаснији приступ успостављању WAN веза између више
локација. Омогућава пренос података за више различитих учесника у
комуникацији преко само једног линка учесника. Примера ради, уколико
компанија има 10 локација које треба међусобно повезати, коришћењем point-
to-point веза било би потребно инсталирати 45 линкова (10×9/2=45). Frame Relay
омогућава да се оваква потреба реши само једним линком. Значајно је
јефтинији за употребу у односу на изнајмљене линије.
Frame Relay протокол располаже са много више опција у односу на point-to-
point техноглогије. То је вишеприступна технологија, што значи да више од два
уређаја могу бити повезана на један мрежни сегмент, слично LAN протоколима.
Супротно од LAN протокола као што је Етернет, Frame Relay нема могућност да
шаље broadcast саобраћај, односно саобраћај адресован на све учеснике мреже.
Због тога се Frame Relay карактерише као NBMA (Non Broadcast Multi Access)
протокол.

Слика 2.8.7-1. Основне компоненте Frame Relay мреже

Слика 1. приказује основне компоненте једне Frame Relay мреже. Изнајмљена
линија је инсталирана између DTE (Data Terminal Equipment) уређаја (рутер на

92 РАЧУНАРСКЕ МРЕЖЕ
клијентској страни) и Frame Relay свича (DCE уређај - Data Communication
Equipment). Да би осигурали рад приступног линка, DTE уређаји размењују LMI
(Local Management Interface) поруке са Frame Relay свичом. Frame Relay свич је
уређај инсталиран на страни провајдера који служи да би се обезбедила
размена података између уређаја у Frame Relay мрежи. Примењује се пренос
података са комутацијом Frame Relay оквира.

Слика 2.8.7-2. Комуникација између DTE уређаја

Слика 2. показује логички пут комуникације између два DTE уређаја.
Испрекидана линија представља виртуелно коло. Провајдер је задужен за
успостављање виртуелних кола између DTE уређаја. У Frame Relay протоколу
ово коло се зове PVC (Permanent Virtual Circuit). Рутери користе DLCI (Data Link
Connection Identifer) адресе које идентификују пут којима ће Frame Relay пакет
проћи између два рутера. PVC је логички пут саобраћаја између два DTE уређаја.
Сваки PVC користи заједничку инфраструктуру телекомуникационог оператера и
понаша се као виртуелна point-to-point веза. Пошто се користи заједничка
инфаструктура провајдера, поставља се питање загарантованог пропусног
опсега саобраћаја за кориснике Frame Relay мреже. Због уклањања овог
проблема, Frame Relay уводи концепт CIR (Committed Information Rate). Сваки
PVC има свој CIR, који представља одређени загарантовани пропусни опсег на
том вирутелном колу.
Веома битан концепт Frame Relay протокола су LMI поруке и сама Frame Relay
енкапсулација. LMI дефинише скуп порука између DTE уређаја и Frame Relay
свича. Енкапсулација дефинише Frame Relay оквир у који се енкапсулирају
протоколи вишег нивоа OSI модела. Енкаспулирани Frame Relay пакет путује
између два DTE уређаја, док LMI поруке постоје само на сегменту између Frame
Relay свича и DCE уређаја. LMI поруке које се размењују показују статус линка на
коме се одвија комуникација али и статус линка другог DTE уређаја у Frame
Relay мрежи. Такође, из ових порука се може закључити статус самог PVC-а.
Постоје три врсте LMI порука и то су: Cisco, ITU и ANSI. Све три врсте се веома
мало разликују и зато нису компатибилне једна са другом.

РАЧУНАРСКЕ МРЕЖЕ 93
Због размене података у Frame Relay мрежи, потребно је дефинисати начин
адресовања уређаја. Адресе које користи Frame Relay називају се DLCI адресе.
Ове адресе имају другачији концепт него остали L2 протоколи. У Frame Relay
заглављу постоји само дестинациона DLCI адреса, која не адресује DTE уређај,
већ дефинише логичку путању од једног DTE уређаја ка другом, како би телеком
могао на прави начин да проследи пакет кроз своју инфаструктуру. Стога се за
DLCI адресу може рећи да је од локалног значаја. DLCI адреса мора бити
уникатна само на нивоу PVC-а, а не у ширем домену мреже. Због оваквог
приступа адресовању, неопходно је дефинисати мапирање између Frame Relay
нивоа комуникације и L3 (IP) нивоа. Овакво мапирање може бити статичко или
динамично.
Статичко мапирање захтева од дизајнера мреже да ручно унесе мапирање
између Frame Relay адресе и IP адресе. Динамично мапирање се одвија преко
механизама који се зове Инверзни ARP. Инверзни ARP је протокол веома сличан
ARP (Address Resolution Protocol) протоколу у Етернет технологији. Користећи
Инверзни ARP, DTE уређај шаље упит по активном PVC-у (који је дефинисан DLCI
адресом) и очекује одговор из кога ће сазнати која IP адреса се налази на
другом крају PVC-а. На овај начин се у Frame Relay табели прави релација DLCI –
IP, која говори DTE уређајима како да енкапсулирају и адресују пакете приликом
слања.
Frame Relay је NBMA метод протокола. Поред тога што то говори да је мрежа
више приступна, то значи да овакав метод нема адресу за слање broadcast или
multicast саобраћаја. Да би се ова функционалност постигла, овакав саобраћај на
IP нивоу се мапира за DLCI адресу одређеног PVC-а. На овај начин се добија
симулација слања multicast и broadcast саобраћаја. Када IP саобраћај чија је
дестинациона адреса једнака некој multicast или broadcast адреси дође на линк
на коме је активирана Frame Relay енкапцулација, IP пакет остаје непромењен, а
у Frame Relay заглављу, DLCI адреса се сетује на DLCI адресу одређеног PVC-а.
2.8.8. АТМ
ATM (Asynchronous Transfer Mode) је техника комутирања пакета у
телекомуникационим WAN мрежама. ATM користи асинхрони TDM (Time
Division Multipelxing). TDM је техника мултиплексирања у коме се сваком
кориснику мреже даје временски слот (период) у коме је он у могућности да
шаље податке. На овај начин ATM енкапсулира податке у кратке пакете фиксне
дужине који се називају ћелије. Ово се доста разликује од осталих L2 протокола
који енкаспулацију врше у оквире променљиве дужине (као што је Етернет).
ATM је веома сличан протоколима који користе методу комутирања пакета али

94 РАЧУНАРСКЕ МРЕЖЕ
и методу комутирања виртуелних кола. Представља одличан избор за мреже у
којима се јавља захтев за прослеђивање података великим брзинама, али и за
прослеђивање података који морају бити достављени у фиксном временском
интервалу, са веома малим кашњењима као што су видео и VoIP (Voice over IP)
саобраћај. ATM користи модел успостављања везе, што значи да виртуелно коло
мора бити унапред успостављено између два DTE уређаја како би се омогућио
пренос података. ATM је основни протокол који се користи преко SONET/SDH
инфраструкутуре (оптичке мреже) и користи се као окосница ( backbone) код
јавне телфонске мреже (PSTN) и ISDN-а, а често за пренос IP пакета.

РАЧУНАРСКЕ МРЕЖЕ 95
2.9. Бежичне технологије
Потребе за комуникацијом и мобилношћу заузимају високо место на листи
људских потреба. Број корисника услуга преко бежичних мрежа стално је у
порасту. Све већи број мобилних уређаја, пораст њихове процесорске снаге,
меморије и могућности, уз пад цена, подстиче и корисничке захтеве. Основна
карактеристика бежичних мрежа јесте рад без коришћења физичких
комуникационих канала у виду каблова. Бежичне мреже за пренос података
користе радио таласе или светлосне сигнале, с тим да су радио таласи далеко
чешће у употреби јер за њихово коришћење није потребна оптичка видљивост.
Примењује се на местима где жичану инфраструктуру није могуће поставити или
је цена увођења такве структуре превисока. Осим тога, поседује неке особине
које представљају велику предност у односу на жичано умрежавање, као што су:
• Мобилност клијената, а огледа се у томе да клијент може наставити
коришћење започетог мрежног сервиса током и након премештања
изван свог радног окружења. Типичан мобилни клијент је корисник који
ради за лаптоп рачунаром. Такав корисник, на пример, може без
прекида да настави Интернет сесију коју је започео у конференцијској
сали и након одласка у другу просторију која се налази у истој згради.
• Лака проширивост, а представља способност мреже да подржи
повећање броја клијената до одређене границе без икаквих улагања у
додатну опрему.
• Брзо и јефтино успостављање мреже привременог трајања. Бежичне
мреже могу се брзо и лако успоставити на привременим локацијама за
време трајања одређених догађаја као што су научни скупови, спортски
догађаји, нежељене ванредне ситуације (елементарне непогоде,
оружани сукоби и слично) и разни други скупови и догађаји. Пошто
такви догађаји намећу потребу за мрежом веома брзе реализације и
ограниченог трајања, инсталирање класичне жичане инфраструктуре
било би сувише споро и прескупо.
Један од главних критеријума за категоризацију бежичних мрежа јесте
раздаљина на којој је размена података путем њих могућа. У складу са тим,
бежичне мреже се могу поделити на:
• Бежичне мреже кратког домета:
◦ Bluetooth

96 РАЧУНАРСКЕ МРЕЖЕ
 • Бежичне мреже средњег домета:
◦ IEEE 802.11
• Бежичне мреже великог домета:
◦ Сателитске мреже
◦ Мобилна телефонија
◦ Paging мреже
Код рачунарских мрежа је најчешће коришћена IEEE 802.11 технологија (која је и
иначе наменски развијана за рачунарске мреже) али се за већа растојања
користе и мреже мобилне телефоније као и сателитске мреже.
2.9.1. Bluetooth – стандард IEEE 802.15.1
Bluetooth бежична технологија омогућава непосредну комуникацијом на
блиским растојањима (око 10 метара) између електронских уређаја.
Непосредна комуникација укључује међусобно откривање, препознавање и
договарање комуникационих параметара а затим и комуникацију у реалном
времену. Ова технологија је иницијално развијена за бежично повезивање
мобилних апарата и њихових додатака.
Данас се преко blutooth-а врши повезивање и размена информација између
уређаја као што су лаптопови, PC рачунари, штампачи, тастатуре, слушалице,
дигиталне камере, мобилни телефони и сл. преко глобално доступног кратког
подручја радио фреквенција. Основне предности Bluetooth технологије су ниска
цена, робусност, интероперабилност и економичност у потрошњи енергије.

Класа Максимална предајна снага Домет

1 100mW ~100m
2 2,5mW ~10m
2 1mW ~1m
Максимална предајна снага и домет према класама bluetooth уређаја
Настанак Bluetooth технологије започиње 1994. године у истраживачким
постројењима компаније Ериксон (Шведска). Године 1998. формирана је
Bluetooth SIG (Сpecial Interest Group) која се бави развојем и стандардизацијом
Bluetooth-а. Данас, ова група броји преко 2000 чланова, а предводе је

РАЧУНАРСКЕ МРЕЖЕ 97
стручњаци компанија Ериксон, Нокиа, Тошиба, Интел и ИБМ. Спецификација ове
технологије је објављена 1999. године, а 2002. године IEEE радна група 802.15.1
за стандардизацију PAN6 је усвојила Bluetooth бежични стандард.
Верзије bluetooth-а:
Верзија 1.0 - Почетна верзија која је захтевала обавезан пренос Bluetooth
хардверске адресе уређаја (BD_ADDR) у процесу повезивања.
Верзија 1.1 - Усвојен је 2002. године као IEEE Стандард 802.15.1. Исправљене су
грешке из претходне верзије. Додата је подршка за заштиту bluetooth канала.
Верзија 1.2 – Омогућено је брже повезивање и откривање. Примењена је
техника фреквенцијског скакања за рад у проширеном спектру, чиме је
постигнута отпорност на сметње при раду у истом фреквенцијском опегу. Брзина
преноса је повећана на 721Kb/s. Побољшан је квалитет у преносу говора тако
што је уведена ретрансмисија лоших пакета.
Верзија 2.0 0+EDR - Ова верзија је објављена 2004. године и уназад је
компатибилна са претходном верзијом. Главна карактеристика је увођење
опционе функције Enhanced Data Rate (EDR) за бржи пренос података.
Номинална брзина за EDR је око 3 Mb/s, а у пракси се постиже 2.1 Mb/s. EDR
користи комбинацију Gaussian Frequency-Shift Keying (GFSK) и Phase Shift Keying
(PSK) модулације. EDR омогућава мању потрошњу енергије кроз редуковани
радни циклус.
Верзија 2.1 +EDR – Верзија из 2007. године садржи безбедно упаривање уређаја
или secure simple pairing (SSP). Пре SSP-а било је лако пресрести процедуру
повезивања Bluetooth уређаја и уметнути се у комуникацију. Додатно уведен је
тзв. sniff subrating који смањује потрошњу енергије у low-power стању.
Верзија 3.0+ HS – Одобрена је 2009. године. Подржава теоријску брзину преноса
до 24 Mb/s, али не преко bluetooth везе. Bluetooth веза се у овом случају
користи за преговарање и успостављање везе, а пренос података се врши већом
брзина применом стандарда 802.11. Ово значи да се повезивање са малом
потрошњом енергије примењује када је систем неактиван, а за слање веће
количине података примењује се нови модел.
Верзија 4.0 – Настала је такође 2009. године. Основна карактеристика је
Bluetooth low energy технологија која се примењује код сензора, пре свега за
медицинске примене.
Bluetooth уређаји раде у фреквенцијском опсегу од 2,4GHz до 2,4835GHz тј. у тзв.

98 РАЧУНАРСКЕ МРЕЖЕ
ISM појасу7. Како је ISM опсег фреквенција јавно доступан, радио системи који
раде у овом фреквенцијском опсегу морају да буду пројектовани тако да могу
успешно да се носе са проблемима сметњи (интерфиренце) и фединга ( fading –
промена јачине сигнала). Ови проблеми су решени уз помоћ FHSS технологије
фреквенцијског скакања у проширеном спектру8. Расположиви спектар од
83,5MHz се дели у 79 комуникационих канала ширине 1MHz. Током
комуникације радио примопредајници скачу са канала на канал на
псеудослучајни начин. Канал је подељен у временске интервале у трајању од
625ms, а за сваки појединачни интервал одређује се другачија фреквенција
скакања. То резултује номиналном фреквенцијом од 1.600 скокова у секунди.
Две или више јединица које деле исти канал, праве мрежу која се зове пиконет
(piconet). У пиконету се једна јединица понаша као надређена ( master),
контролишући саобраћај у пиконет мрежи. Остале су јединице подређене
(slave). Сваки piconet може да садржи до 8 различитих уређаја (један master и
седам slave уређаја), а више piconet-а (највише 10, односно укупно 80 уређаја)
може бити спојено у scatternet. Примењује се пакетни пренос података који се
заснива на тзв. polling-у. Bluetooth подржава point-to-point и point-to-multipoint
пренос података. Да би уређаји могли да комуницирају, морају да раде
синхронизовано и да употребљавају исту секвенцу скакања. Bluetooth уређаји у
пиконету усклађују свој такт са генератором такта надређене јединице.
Секвенцу скакања одређује надређена јединица. Није могућа директна
комуникација између подређених јединица.
У сваком временском интервалу је могућа размена пакета између надређене и
подређених јединица. Формат пакета је одређен стандардом према коме се
сваки пакет састоји од приступног кода, заглавља и информације за корисника.
Приступни код служи за идентификацију и синхронизацију уређаја, а заглавље
садржи управљачке информације. Дужина корисничког дела је променљива.
Приступни код Заглавље Кориснички део
72b 54b 0-2.745b
Стандардан формат bluetooth пакета
Сви корисници унутар једне пиконет мреже деле исти канал, па са порастом
броја уређаја у тој мрежи пропусност по кориснику брзо пада. Веза између
пиконет мрежа остварује се употребом једног од bluetooth уређаја који је
укључен у две или више пиконет мрежа. Како би се осигурала заштита употребе
и тајност пренетих информација Bluetooth технологија имплементира
сигурносне стандарде. Примена фреквенцијског скакања и мала снага

РАЧУНАРСКЕ МРЕЖЕ 99
емитовања представљају први ниво заштите података. Заштита се остварује
употребом криптографских алгоритама и одговарајућих кључева уз следеће
елементе:
• јавне адресе bluetooth уређаја (BD ADDR) су јединствене за сваког
корисника, односно, за сваку Bluetooth јединицу,
• 128 - битни тајни кључ за поуздану аутентикацију уређаја,
• 8 - 128 битни тајни кључ за шифровање података,
• сесијски кључ се мења за сваку нову трансакцију.
2.9.2. WiFi – стандард IEEE 802.11
Wi-Fi - Wireless-Fidelity је популарни назив за бежичне технологије средњег
домета где се пренос података имеђу два или више рачунара врши путем радио
таласа уз примену одговарајућих антена. Wi-Fi технологија се користи у
бежичним LAN мрежама (WLAN), али и за бежични приступ Интернету. Основни
стандарди којима се дефинише ова технологија су IEEE 802.11a, 802.11b, 80.11g
и 802.11н. Први стандарди су дефинисани половином деведесетих година XX
века и подржавали су ниске брзине преноса података (1-2 Mb/s).
Стандарди Wi-Fi су:
• 802.11а стандард из 2002. године подржава максималну теоријску
брзину преноса података од 54Mb/s, али она најчешће износи око
30Mb/s. Ради на 5GHz.
• 802.11б стандард представљен је 1999. Брзина протока података је до
11Mb/s, али уз велике препреке и сметње брзина може спасти на
минималних 1 до 2 Mb/s. Ово је уједно и најјефтинија варијанта WiFi
мреже.
• 802.11г је представљен 2003. године и објединио је претходна два
стандарда. Ради на 2,4GHz, али има скоро исту брзину као и 802.11а
стандард.
• 802.11н ради на 2,4GHz или на 5GHz, са максималном брзином преноса
података до 150Mb/s.
Радио комуникација код WLAN-ова се обавља у тзв. ISM (Industrial, Scientific &
Medical) опсегу фреквенција који је свуда у свету прихваћен као опсег за чије
коришћење није потребна лиценца тзв. FTA (free to air spektar).

100 РАЧУНАРСКЕ МРЕЖЕ

 Слиka 2.9.2-1. ISM опсези фреквенција
ISM чине три опсега фреквенција: 902 - 928MHz, 2.400 - 2483,5MHz и 5.728 –
5.750MHz. У овом тренутку најчешће се користи опсег око 2,4GHz. WLAN-ови
користе технику рада у проширеном спектру (Spread Spectrum). Добро познате
технике су фреквенцијско скакање ( FHSS – Frequency-Hopping Spread Spectrum),
рад са директним секвенцама (DSSS – Direct-Sequence Spread Spectrum) и
коришћење тзв. Ортогоналних фреквенција (О FDM – Orthogonal Frequency
Division Multiplexing). Наиме, више корисника истовремено деле исти
фреквенцијски опсег без међусобне интерференције и пружају много већу
отпорност на сметње и прислушкивање у односу на рад са фиксним
фреквенцијама. Ова технологија је развијена још пре око 50 година и то за војне
примене са циљем да буде максимално отпорна на ометања, интерференцију и
прислушкивање.
IEEE 802.11 спецификација обухвата начин рада протокола физичког слоја и
слоја везе података. У односу на кабловске системе овде се издваја MAC (Media
Access Control) подслој који дефинише карактеристике и услуге за бежичне
технологије. Физичким слојем (Phisycal Layer) утврђују се електричне и физичке
карактеристике уређаја. MAC је нижи подслој слоја веза података (Data Link
Layer) којим се утврђује почетак и крај емитованих пакета приликом примања и
слања, додељује се MAC адреса, врши се провера грешака у преносу оквира и
дефинишу се права приступа физичком слоју.

Слика 2.9.2-2. Приказ физичких слојева 802.11 стандарда

РАЧУНАРСКЕ МРЕЖЕ 101

Три физичка слоја унутар IEEE 802.11 стандарда укључују рад са инфрацрвеним
таласима, фреквенцијско скакање или рад са директном секвенцом
Бежично умрежавање је вероватно најједноставнији начин умрежавања који
нуди средњу брзину и не захтева додатне каблове. WiFi технологија обухвата
WiFi картице (интерне или екстерне) уз које се обично испоручују и одговарајуће
антене. На овај начин могуће је формирати мање мреже (мреже до 30 m). За
већа растојања користе се екстерне антене које врше додатно појачање сигнала.
Бежичне локалне рачунарске мреже по стандард IEEE 802.11 су по дизајну
флексибилне. Постоје три типа WLAN топологија које се могу имплементирати.
Независан начин повезивања, често се назива и AD-HOC (IBSS – Independed Basic
Service Set) а састоји се од групе 802.11 станица које комуницирају директно
једна са другом. Може се посматрати и као peer-to-peer WLAN мрежа. За
функционисање се не користи приступна тачка ( AP- Acces Point). Обично су мале
и трају све док постоји потреба за комуницирањем. Пошто је сваки уређај
клијент, у комуникацији могу настати проблеми због тзв. скривеног чвора
(hidden node).

Слика 2.9.2-3. Ad-hoc режим рада (IBSS WLAN)

Инфраструктурни режим повезивања ( BSS – Basic Service Set) захтева
специјализовану станицу тј. тачку приступа ( AP – Access Point). AP нуди
покривеност од око 30 метара, док је уз разне појачиваче могуће битно
проширити домет. Клијентске станице не комуницирају директно једна са
другом, као у предходном случају, већ са тачком приступа. Тачка приступа
прослеђује оквире одредишним станицама. Она може имати и uplink порт за
повезивање на жичну мрежу.

102 РАЧУНАРСКЕ МРЕЖЕ

 Слика 2.9.2-4. Инфраструктурни режим рада (BSS WLAN)
Повезивање BSS мрежа преко жичних дистрибутивних система често носи
ознаку ESS (Extended Service Set).

Слика 2.9.2-5. Проширени начин повезивања (ESS WLAN)

802.11 бежичне мреже користе CSMA/CA (Carrier Sense Multiple Access With
Collision Avoidance) у чијој основи је принцип „слушај пре него што почнеш да
говориш“ (LBT– listen before talk). Станица која жели да емитује прво проверава
да ли постоји сигнал нoсиоца и чека док се канал не ослободи. CSMA/CA садржи
правила ради спречавања колизије. Кључне компоненте CSMA/CA су:
1. Детекција носиоца (carrier sense) - Станица која жели да емитује мора да
провери да ли је медијум у употеби. Уколико јесте станица ће одложити
слање оквира све док медијум не постане слободан.

РАЧУНАРСКЕ МРЕЖЕ 103

 2. DCF (distributed coordination function ) - Станица која жели да пошаље
оквир мора да сачека одређени период времена након ослобађања
медијума. Постоји велика вероватноћа да ће две станице покушати да
шаљу када медијум постане слободан, и да ће доћи до колизије. Да би
се ово избегло користи се тајмер са случајно генерисаном вредношћу
(random backoff timer).
Да би се спречила колизија која настаје истовременим емитовањем два уређаја,
према стандарду IEEE 802.11 примењује се RTS/CTS9 механизам.

Слика 2.9.2-6. Пример RTS/CTS комуникације

Уколико је на неки AP стигао податак који је адресован на неког бежичног
клијента, AP ће послати RTS оквир том клијенту, тражећи време за предају
података. Клијент одговара са дифузним CTS оквиром, чиме саопштава AP-у да
је спреман да прими његове податке и да у том временском периоду неће
одржавати комуникацију са другим станицама све док AP не заврши пренос.
Други бежични клијенти “чују” овај договор па се суздржавају од комуникације.
На овај начин подаци се преносе са минималном могућношћу доласка до
колизије. Истовремено, овако се решава проблем тзв. “скривеног чвора”.
Пријемници потврђују пријем оквира без грешака слањем ACK оквира (потврда
пријема). Уколико предајник не прими очекивани ACK, знаће да оквир није
испоручен и извршиће ретрансмисију. Све се ово одвија у MAC подслоју чиме
предајник, након што установи да није примио ACK, може заузети радио канал
пре свих осталих и поновити слање. Овакав начин пружа транспарентан начин
корекције преноса, односно крајњи корисник и не зна да је дошло до било
каквих проблема приликом слања података.

104 РАЧУНАРСКЕ МРЕЖЕ

Неопходан предуслов за функционисање бежичних мрежа је мала потрошња
електричне енергије бежичних клијената, тј. одговарајући капацитет њихових
батерија. IEEE 802.11 је у стандард уградио начине управљања потрошњом
електричне енергије на начин да бежични клијент одлази у начин рада са
ниском потрошњом енергије, а без губитака везе са бежичном
инфраструктуром. Како би клијент најавио одлазак у штедљиви мод рада, он AP-
у шаље 20-битни PS-Poll (Power Save) оквир. AP све податке који су намењени
том клијенту чува у својој меморији све време док је клијент у штедљивом
режиму рада. Бежични клијент се периодично пребацује из штедљивог начина
рада у нормални, како би проверио да ли постоје подаци за њега. Након
провере и евентуалног пријема истих, клијент поново шаље PS-Poll оквир и
враћа се у штедљиви начин рада. Предности овог приступа су у томе што је
време трајања батеријских извора енергије клијента продужено, а самим тим
продужена је и аутономија рада.
Још једна од могућности код бежичног LAN-а (WLAN) је да се бежични клијент
може кретати без потребе да мења своје мрежне параметре. Ово је важна
карактеристика зато што се тиме повећава физички домет бежичних мрежа.
Бежични уређаји имају могућност да одреде квалитет сигнала према било ком
AP-у у чијем се подручју покривености налазе, те на основу тога одлучују да се
пребаце са једног на други. Ова могућност се заснива на односу сигнал-шум
примљеног сигнала. Како би бежични уређај могао одредити однос сигнал-шум
за сваки AP у мрежи, AP-ови шаљу тзв. beacon поруку у којој се садрже
информације о AP-у, као и подаци о квалитету везе. Бежични уређај ослушкује
те поруке и одређује који AP има најбољи сигнал. Након што одреди
најоптималнији сигнал, клијент шаље информацију о аутентификацији и шаље
захтев за повезивањем. Током овог процеса, нови AP одређује са ког AP-а
клијент долази те проверава евентуалне заостале пакете на старом АП-у који
клијенту морају бити пренесени. Након тога нови AP шаље поруку старом да
више не треба сакупљати податке за тог одређеног клијента.
Процедура преласка на други AP је најједноставнија ако су два посматрана AP-а
повезана хаб уређајем, а сложенија је ако се за повезивање користи свич (због
упарености интерфејса на свичу и MAC адресе клијента). Посебан протокол за
комуникацију између AP-ова се користи када су они повезани преко рутера. Ако
су AP-ови у истој подмрежи задржава се текућа IP адреса, а ако нису или долази
до промене адресе или се примењује посебан протокол.

РАЧУНАРСКЕ МРЕЖЕ 105

2.9.3. WiMAX
WiMAX (Worldwide Interoperability for Microwave Access ) је бежична технологија
за високе брзина преноса података према стандарду IEEE 802.16. Користи се
техника рада у проширеном спектру. Омогућава фиксним и мобилним
корисницима приступ Интернету. Може се посматрати као алтернатива DSL
кабловским технологијама. Стандардом је обезбеђена интероперабилност
између опреме различитих произвођача. Иако може да служи као подршка за
WiFi 802.11, корисници путем наменских уређаја могу директно да приступају
WiMAX-у. Омогућава брзи бежични приступ на раздаљинама од 50Km за фиксне
станице и 5-15Km за покретне станице, за разлику од WiFi 802.11 чији је домет
ограничен на 30-100 метара. Текући стандард омогућава брзине преноса
података до 40Mb/s, а очекује се да ће развојем стандарда IEEE 802.16м бити
омогућена брзина преноса података од 1Gb/s.
Овом технологијом могуће је поставити мрежу на подручјима којима недостаје
традиционални приступ Интернету путем каблова. Поред тога може се
користити када је потребно поставити мрежу у ванредним околностима.
Користи се често као подршка кабловским мрежама када дође до хаварије или
једноставно као појачање постојећој жичаној инфраструктури. WiMAX
омогућава квалитет сервиса који пружају VoIP, streaming, пренос података итд.
Постоје два типа WiMAX-а: фиксни (802.16д) и мобилни (802.16е). Фиксни је
point-to-multipoint технологија док је мобилни multipoint-to-multipoint
технологија, слично инфраструктури за мобилну телефонију.

106 РАЧУНАРСКЕ МРЕЖЕ

3. Мрежни слој
Основни задатак мрежног слоја OSI и TCP/IP мрежних модела јесте адресовање
рачунарских мрежа и њихових чланова на такав начин да се недвосмислено
могу одредити учесници и путање мрежних комуникација. Без обзира на то што
се адресе мрежног слоја често користе и унутар једне, изоловане, рачунарске
мреже, улога мрежног слоја није локално адресовање већ, првенствено,
утврђивање удаљене мреже којој одредишна адреса припада и проналажење
оптималне путање до ње. За испоруку података члану локалне мреже задужена
је технологија на слоју везе података и физички слој. За комуникацију између
мрежног и нижих слојева користе се посебни протоколи чија је улога превођење
адреса мрежног слоја у физичке адресе.

Слика 3-1. Пример комуникације протокола мрежног и суседних слојева

Основна јединица података протокола мрежног слоја јесте пакет података, а
подразумевани мрежни уређај који функционише на мрежном слоју је рутер.
Улога рутера је одређивање путања (рута) пакета података до одредишних
мрежа и њихово усмеравање у складу са утврђеном путањом.

РАЧУНАРСКЕ МРЕЖЕ 107

Постоји више различитих протокола мрежног слоја. Данас, међутим, највећи
део рачунарских мрежних комуникација адресован је Интернет протоколом
четврте или шесте верзије (генерације). Додатно, шеста верзија Интернет
протокола представља и основу адресних функција четврте генерације мобилне
телефоније, као и других специјализованих мрежних комуникација. У складу са
тим, за тежишни протокол овог поглавља одабран је управо Интернет протокол,
погодан како за теоријски приказ функција мрежног слоја, тако и за реалну
примену у пракси.

3.1. Интернет протокол

И након сто година, ова прича је још увек застрашујућа.

Не због убице у локалној мрежи, већ зато што се користи IPv4.
Рендал Монро, www.xkcd.com
Тренутно, највећи број чланова Интернет мреже, као и већина локалних
рачунарских мрежа, адресован је Интернет протоколом четврте верзије (енгл.
Internet Protocol version 4, IPv4, IP ). Управо једна од најзначајнијих
карактеристика овог протокола је та да се њиме могу адресовати мреже
величине од два члана до више милијарди чланова – Интернет. Овај протокол је
и основа одређених софтверских система који се извршавају у оквиру једног
рачунара (на пример, X Window System графички интерфејс на UNIX
оперативном систему).
Две основне функције Интернет протокола јесу адресовање рачунарских мрежа
и њихових чланова и фрагментовање података. Процес адресовања, као

108 РАЧУНАРСКЕ МРЕЖЕ

примарна функција Интернет протокола, започиње већ при системском позиву
модула оперативног система у коме је имплементиран Интернет протокол. У
оквиру тог позива, модулу Интернет протокола прослеђује се одредишна
адреса, односно коме треба доставити податке. На основу одредишне адресе
модул Интернет протокола израчунава да ли је у питању адреса у локалној или
удаљеној мрежи, као и мрежни интерфејс путем кога ће слање бити извршено. У
зависности од одредишне адресе Интернет протокол одређује и да ли ће се
слање извршити директно или путем одговарајућег мрежног пролаза.
Подаци се смештају у пакете који се у називају датаграмима. У заглавља пакета
уписују се изворишна и одредишна адреса, односно адреса мрежног интерфејса
путем кога је извршено слање и адреса мрежног интерфејса на коме одредиште
треба да прихвати податке. На пријемној страни улога Интернет протокола је да
анализира податке заглавља примљених пакета и донесе одлуку о томе да ли
примљене пакете треба проследити следећем мрежном чвору, локалном
протоколу вишег нивоа, или их треба одбацити.
Фрагментовање података следећа је битна функција Интернет протокола јер
омогућава да се пакети Интернет протокола преносе посредством мрежа које
имају различита ограничења у погледу највеће могуће дужине јединице
података. У току овог процеса датаграми се деле на фрагменте који поседују
исту структуру као и оригинални датаграми али су мање величине. На пријемној
страни Интернет протокол од добијених фрагмената поново формира
оригинални датаграм и наставља са његовим прослеђивањем ка коначном
одредишту.
Значајна карактеристика Интернет протокола је та да он функционише без
успостављања везе. То значи да се сваки од пакета које треба пренети
прослеђује засебно, односно независно од осталих пакета и ван контекста у
виду успостављене везе. Такође, Интернет протокол не поседује механизме као
што су поновно слање изгубљених пакета и контрола тока података, а који
обезбеђују поуздан пренос између крајњих или посредних тачака комуникације.
У случајевима када има потребе да се извор обавести о немогућности испоруке
пакета, то се врши путем Интернет протокола за контролне поруке (енгл.
Internet Control Message Protocol, ICMP ) као проширења самог Интернет
протокола.
За разумевање и рад са Интернет протоколом четврте верзије, неопходно је
познавање бинарног бројног система јер он представља основу свих
израчунавања везаних за овај протокол. Знања везана за четврту верзију
Интернет протокола од великог су значаја и за разумевање и рад са шестом

РАЧУНАРСКЕ МРЕЖЕ 109

верзијом овог протокола, посебно што ове две верзије у пракси често
коегзистирају. Додатно, функционалности и карактеристике шесте верзије
Интернет протокола често се представљају у виду разлика у односу на
функционалности и карактеристике четврте верзије.
Последњих пет блокова слободних адреса Интернет протокола четврте верзије
расподељено је регионалним регистрима Интернета трећег фебруара 2011.
године. Иако је исцрпљивање слободних адреса овог протокола у прошлости
више пута наговештавано а превентиван прелазак на шесту верзију Интернет
протокола био могућ више година уназад, након наведеног датума се очекује
интензивнија миграција на коришћење нове верзије.
3.1.1. Структура пакета Интернет протокола
Пакети Интернет протокола – датаграми – састоје се од два основна дела:
заглавља пакета и података који се њиме преносе. Битска дужина пакета није
фиксна а у њу улазе битови заглавља и битови података.

Слика 3.1.1-1. Структура датаграма Интернет протокола

Заглавље пакета омогућава функционисање Интернет протокола. Његова
минимална битска дужина је 160 битова у које улази 96 битова основних
параметра (тип сервиса, преостало време постојања, опције, контролна сума
заглавља, итд) и 64 бита изворишне и одредишне адресе. Додатно, заглавље
може садржати и допунске параметре (опције) који повећавају битску дужину
заглавља у јединицама од 32 бита. Основна поља заглавља чине:
• Верзија (енгл. Version) – вредност овог поља означава верзију Интернет
протокола на који се пакет односи. За пакете Интернет протокола
четврте генерације децимална вредност овог поља је 4.

110 РАЧУНАРСКЕ МРЕЖЕ

• Дужина Интернет заглавља (енгл. Internet Header Length, IHL ) –
битска дужина заглавља у јединицама од по тридесет два бита. Користи
се за утврђивање битске позиције на којој се заглавље завршава,
односно на којој почињу подаци. Најмања исправна вредност је пет, а
највећа могућа шеснаест.
• Тип услуге (енгл. Type of Service, ToS ) – садржи параметре на основу
којих се одређује жељени квалитет услуге, односно, приоритет под
којим ће се пакет обрађивати и представља однос између минималног
кашњења, високе поузданости и високе пропусне моћи. Прва три бита
овог параметра одређују редослед приоритета (који се у посредним
мрежама може разликовати од жељене конфигурације), четврти бит се
односи на кашњење, пети на потребну пропусну моћ, шести на
поузданост, а последња два бита су резервисана за будућу употребу. С
обзиром на то да се у већини мрежа једна карактеристика остварује на
рачун осталих, препоручено је укључивање највише две опције.
• Укупна дужина (енгл. Тotal Length) – садржи податак о укупној дужини
пакета (укључујући и заглавље и податке), израженој у октетима
(бајтовима). Највећа могућа дужина пакета Интернет протокола је 65.536
бајтова, мада се у пракси пакети дужине веће од 576 бајтова (64 бајтова
за заглавље и 512 бајтова за податке) користе само уколико се са
сигурношћу зна да је одредиште способно да прихвати такве пакете.
• Идентификација (енгл. Identification), назнаке (енгл. Flags), и
одступање фрагмента (енгл. Fragment Offset) – ова три параметра,
укупне дужине 32 бита, користе се за потребе фрагментовања
датаграма. Први параметар, идентификација, има за задатак да одреди
текући датаграм, односно, датаграм коме фрагмент припада. За назнаке
су резервисана три бита од којих је први резервисан за будућу употребу,
други означава да ли се забрањује фрагментовање датаграма, док трећи
бит означава да ли је он последњи у низу фрагмената одређеног
датаграма, односно, да ли након њега следи још фрагмената. Због
могућности да редослед пријема датаграма буде различит од редоследа
слања, заједно са фрагментом се прослеђује и његово одступање од
почетка (у јединицама од по 64 бита), односно, позиција на којој он чини
садржај фрагментованог датаграма.
• Преостало време постојања (енгл. Time to Live) – ова опција
ограничава време које пакет може да проведе у путовању кроз мреже.
Иако је основна замисао да се овај параметар односи баш на време, он у

РАЧУНАРСКЕ МРЕЖЕ 111

 пракси означава број скокова, односно број посредних уређаја (који
раде на мрежном нивоу, нпр. рутера) кроз које пакет може да прође.
Сваки посредни уређај пре прослеђивања смањује вредност овог поља
пакета за један. У случају да се вредност поља смањи на нулу, уређај на
коме се то догоди неће даље прослеђивати пакет већ ће га одбацити.
Пошиљаоцу се у том случају може послати ICMP пакет са назнаком да је
путовање пакета прекорачило дозвољени број скокова. Ограничавање
броја скокова пакета веома је значајно јер постоје ситуације у којима би
пакет могао бесконачно да оптерећује одређене комуникационе канале
и уређаје, а да никада не стигне на одредиште. У шестој верзији
Интернет протокола назив овог поља промењен је у ограничење броја
скокова (енгл. Hop Limit).
• Протокол (енгл. Protocol) – садржај овог поља одређује који је
протокол транспортног слоја иницирао слање података, односно ком
протоколу транспортног слоја ће подаци на одредишту бити испоручени.
На пример, уколико је децимална вредност овог поља 1, подаци ће бити
испоручени ICMP протоколу, вредност 6 указује на TCP протокол, итд.
Везе између вредности овог поља и протокола транспортног слоја
одређене су у RFC 790 документу.
• Контролна сума заглавља (енгл. Header Checksum) – ово поље
омогућава да се на пријемној страни одреди да ли је током преноса
дошло до оштећења заглавља, односно до измене битова који њему
припадају. Ова провера се врши не само на коначном одредишту већ на
сваком уређају који посредује у преносу пакета. Уколико се утврди да је
дошло до оштећења заглавља, престаје прослеђивање пакета и он се
одбацује. С обзиром на то да је ово поље такође саставни део заглавља,
за вредности његових битова се код израчунавања контролне суме
узимају нуле.
• Адреса извора (енгл. Source Address) – у ово поље се уписује адреса
мрежног интерфејса изворишта са кога је пакет послат. У случају да на
неком од посредника у комуникацији дође до превођења мрежне
адресе извора, вредност овог поља се мења, као и контролна сума
заглавља.
• Адреса одредишта (енгл. Destination Address) – у ово поље се уписује
мрежна адреса одредишта са кога је пакет послат. У случају да на неком
од посредника у комуникацији дође до превођења мрежне адресе
одредишта вредност овог поља се мења, као и контролна сума заглавља.

112 РАЧУНАРСКЕ МРЕЖЕ

Осим наведених основних параметара заглавља у њему се могу појавити и
додатни, опциони параметри. Атрибут »опциони« односи се на то да ли ће
параметри бити постављени или не. Уколико су додатни параметри постављени,
они морају, осим од стране пошиљаоца, бити подржани и од стране примаоца,
као и од стране свих посредника у комуникацији.

Слика 3.1.1-2. Пакет Интернет протокола, забележен Wireshark алатом

Опциони параметри се најчешће односе на захтеване руте којима пакет треба да
стигне до одредишта, безбедност током преноса и слично.
3.1.2. Адресовање чланова мреже
Једна од основних функција Интернет протокола јесте адресовање мрежа и
њихових чланова. Под овим адресовањем подразумева се логичко
адресовање , док су физичко и симболичко адресовање (слика 1.) задаци
протокола других комуникационих слојева и системских модула.

Слика 3.1.2-1. Адресе по слојевима

Симболичка адреса члана мреже (мрежни назив) углавном се користи на слоју
апликације. Ова адреса, иако најчешће хијерархијски структуирана, пре
употребе мора се превести у логичку адресу, односно у адресу Интернет
протокола. Превођење симболичких адреса у логичке није задатак Интернет
протокола већ системске компоненте resolver и Domain Name System сервиса.

РАЧУНАРСКЕ МРЕЖЕ 113

Физичка адреса, са друге стране, локално одређује примаоца података који се
преносе мрежом. Локални карактер овог типа адреса ограничава њихову
употребу на оквире једне рачунарске мреже. У комуникацији два рачунара из
две удаљене мреже, локалне адресе пакета ће се више пута мењати, односно,
прилагођавати посредничким рачунарским мрежама. Превођење логичких
адреса у физичке такође није задатак Интернет протокола већ одвојених
наменских протокола слоја везе (нпр. Address Resolution Protocol-а).
Која је онда улога Интернет протокола и логичких адреса? Интернет протокол,
као и остали протоколи мрежног слоја, има задатак да обезбеди систем
логичког адресовања на основу кога се могу одредити мрежне руте – путање
комуникације било која два члана мрежа који су посредно или непосредно
повезани. У том циљу, четврта верзија Интернет протокола користи логичке
мрежне адресе, мрежне маске, класе мрежних адреса, приватне, јавне и
специјалне опсеге мрежних адреса, превођење мрежних адреса, статички
задате руте и протоколе за рутирање.
У складу са битском дужином адреса, Интернет протокол нуди укупно 2 32
(односно 4.294.967.296) јединствених мрежних адреса. Овај број адреса се
ауторима четврте верзије Интернет протокола, у тренутку пројектовања - 1974.
године - чинио сасвим довољним за све будуће потребе. Данас, међутим, број
расположивих адреса представља главно уско грло овог протокола.
3.1.2.1. Бинарни бројни систем, логичке операције и рачун
За потребе коришћења бинарног бројног система у рачунарским мрежама
потребно је познавање његовог превођења у децимални бројни систем, и
познавање логичке операције под називом искључива дијсункција (енгл.
exclusive dijsunction, exclusive OR, XOR ). С обзиром на то да се IP адресе најчешће
представљају у децималном облику, а да се све мрежне операције врше над
њиховим бинарним обликом, познавање превођења ова два бројна система је
неопходно. Са друге стране, већина мрежних операција захтева бинарно
упоређивање одређених делова IP адреса, тако да је познавање искључиве
дисјункције такође неопходно.
Превођење података из бинарног бројног система у децимални врши се
одговарајућим сумирањем основа (број два) степенованим на позиције. Као бит
најмање тежине узима се крајњи десни бит а његова позиција се означава
нултом. Позиције осталих битова се, затим, увећавају за један, са десна на лево.
Децимална вредност сваког бита јесте број два степенован на позицију бита.
Уколико је бит укључен – има вредност један – његова децимална вредност се

114 РАЧУНАРСКЕ МРЕЖЕ

укључује у коначну суму. У противном, уколико је његова бинарна вредност
нула, његова децимална вредност се не укључује у коначну суму. Коначна сума
представља децималну вредност бинарног низа.

Слика 3.1.2.1-1. Превођење бинарног у децимални запис

Са друге стране, превођење децималног бројног система у бинарни врши се
дељењем децималног броја са два. Дељење целобројног дела резултата
итеративно се понавља све док се као целобројни део резултата не добије нула.
При свакој итерацији дељења, као резултат може се јавити целобројна вредност
или остатак од једне половине. У случају целобројне вредности као међу-
резултата, бинарна вредност актуелне позиције је нула. У противном, уколико се
при дељењу јави остатак, бинарна вредност актуелне позиције је један. Прва
добијена битска вредност представља бит најмање тежине (крајњи десни).
Накнадно добијени битови додају се у смеру с десна на лево.

Слика 3.1.2.1-2. Превођење децималног у бинарни запис

Коришћењем искључиве дисјункције може се утврдити да ли су два низа битова
идентична, односно на којим позицијама се битови разликују. Ова логичка

РАЧУНАРСКЕ МРЕЖЕ 115

операција као улаз подразумева два бита. Уколико се вредности улазних битова
разилкују – вредност првог бита је јединица а вредност другог нула, или
обрунуто – резултат операције је бит са вредношћу један. У противном, уколико
су вредности улазних битова једнаке – обе нуле или обе јединице – резултат је
бит са вредношћу нула.

Слика 3.1.2.1-3. Поређење низова битова искључивом дисјункцијом

Када је у питању поређење низова битова овом логичком операцијом, оно се
врши са по једним паром битова – узима се по један бит са исте позиције из
првог и другог низа. Подразумева се поређење низова исте битске дужине, која
је уједно и дужина резултујућег низа. Уколико су низови који се пореде
идентични добијени низ је сачињен искључиво од нула. У противном, уколико
на одређеним позицијама постоје разлике, резултујући низ ће на тим
позицијама садржати јединице. Смер поређења битова не утиче на резултат, а
зависи од конкретне потребе.
3.1.2.2. Мрежна адреса и мрежна маска
Интернет протокол четврте генерације користи адресе фиксне дужине од 32
бита (четири октета). Ове адресе садрже почетни део - део који одређује мрежу
којој адреса припада - и остатак - део који одређује конкретног члана те мреже.
Адресе могу бити специјалне адресе или адресе намењене адресовању чланова
мреже. На основу мрежне адресе чланови мреже израчунавају да ли се
одредиште налази у истој мрежи, или не.

Слика 3.1.2.2-1. Записи и структура адресе Интернет протокола

За потребе обављања основних мрежних операција, сваки адресовани члан
мреже мора имати дефинисану и мрежну маску. Мрежна маска дефинише

116 РАЧУНАРСКЕ МРЕЖЕ

границе одређене мреже, односно опсег мрежних адреса које припадају тој
мрежи. На основу мрежне маске утврђује се који битови мрежне адресе
одређују мрежу, а који конкретног члана те мреже.

Слика 3.1.2.2-2. Однос мрежне маске и мрежне адресе

Две специјалне адресе у мрежама адресованим Интернет протоколом јесу
адреса саме мреже (енгл. network address) и емисиона адреса (енгл. broadcast
address). Адреса мреже представља прву адресу из додељеног опсега мрежних
адреса. Код ове адресе сви битови који одређују мрежног члана су нуле.
Емисиона адреса је последња адреса у опсегу мрежних адреса. Код ове адресе
сви битови који одређују мрежног члана су јединице. Подаци упућени на
емисиону адресу прослеђују се свим члановима мреже. Адреса мреже и
емисиона адреса не могу се користити за адресовање чланова.

Слика 3.1.2.2-3. Мрежна маска, адреса мреже и емисиона адреса

На основу мрежне адресе и мрежне маске, сваки члан мреже, пре слања
података, израчунава да ли се одредишна мрежна адреса налази у локалној
мрежи или не. Ово израчунавање врши се коришћењем искључиве дисјункције
над првих n битова локалне и одредишне адресе. Број првих битова који ће
бити упоређени одређује мрежна маска. Уколико резултат упоређивања покаже
да су поменути низови битова идентични, закључује се да је одредишна адреса

РАЧУНАРСКЕ МРЕЖЕ 117

у локалној мрежи и, у складу са тим, слање се врши директно. У противном,
уколико поменути низови нису идентични, закључује се да се одредишна адреса
налази у удаљеној мрежи и подаци се ка њој упућују путем специфичног или
подразумеваног мрежног пролаза.

Слика 3.1.2.2-4. Примена искључиве дисјункције за проверу одредишне адресе

Подразумевани мрежни пролаз (енгл. default gateway) мрежни је уређај или
рачунар који је члан две или више рачунарских мрежа, а оспособљен је да врши
функцију рутирања или превођења мрежних адреса. Једна рачунарска мрежа
може имати више мрежних пролаза а њени чланови могу их користити за
различите дестинације, давати им различите приоритете, а један од њих
прогласити подразумеваним.

Слика 3.1.2.2-5. Мрежни пролази омогућавају комуникацију између мрежа

Могућност припадања једног рачунара, или мрежног уређаја, вишеструким
рачунарским мрежама назива се вишеструко удомљавање (енгл. multihoming).
Ова могућност, међутим, отвара ново питање: уколико је рачунар Р члан мрежа
А и Б, да ли је његова мрежна адреса А/Р или Б/Р? Одговор на ово питање лежи
у чињеници да се не адресује сам мрежни члан већ његов одређени мрежни
интерфејс (физички или логички). У складу са тим, рачунар Р из претходног
примера, са мрежом А био би повезан путем мрежног интерфејса ИФ1, а са
мрежом Б путем мрежног интерфејса ИФ2. Дакле, рачунар Р имао би адресу А/Р
на мрежном интерфејсу ИФ1, а адресу Б/Р на мрежном интерфејсу ИФ2.

118 РАЧУНАРСКЕ МРЕЖЕ

 Слика 3.1.2.2-6. Пример вишеструког удомљавања рутера
Мрежна адреса и мрежна маска параметри су који се односе на појединачни
мрежни интерфејс, а подразумевани мрежни пролаз, руте и адресе DNS сервера
општи су мрежни параметри. Вишеструко удомљени мрежни члан може
обављати функцију рутирања или превођења мрежних адреса, али то није
подразумевана функционалност.
3.1.2.3. Класе мрежних адреса
У основној спецификацији четврте верзије Интернет протокола адресни простор
био је подељен у 254 мреже (2 8 – 2) које су могле садржати по 16.777.214
чланова (224 – 2). Ова подела одређена је правилом да првих осам битова,
односно осам најзначајнијих битова, представља адресу мреже, док преостала
двадесет четири бита чине адресу члана мреже. Оваква подела је
функционисала у раним фазама Интернета када је њега чинио релативно мали
број рачунара. Са порастом броја рачунара на Интернету, као и броја локалних
рачунарских мрежа, увидело се да оваква подела није оптимална. Нови модел
поделе адресног простора на мреже представљен је 1981. године у RFC 791
документу у коме су дефинисане мреже различитих величина – класе мрежа.

Слика 3.1.2.3-1. Подела адресног простора у опсеге за различите класе

У самом RFC 791 документу дефинисане су три основне класе мрежних адреса –
A, B и C – као и две додатне класе – D и E – за специјалне намене. За потребе

РАЧУНАРСКЕ МРЕЖЕ 119

увођења класа мрежних адреса комплетан адресни простор подељен је у више
опсега различитих величина, у складу са величином предвиђених мрежа.
Први бит мрежних адреса класе A фиксиран је на вредност један. На основу тога,
A класи мрежних адреса додељена је половина укупног адресног простора
Интернет протокола четврте генерације. У рачунарским мрежама класе A првих
осам битова одређује мрежу а преостала двадесет четири одређују члана те
мреже. Постоји укупно 127 рачунарских мрежа класе А од којих свака поседује
16.777.216 адреса.

Слика 3.1.2.3-2. A класа и опсег мрежних адреса

Прва два бита мрежних адреса класе B фиксирана су на вредност „10“. На
основу тога, за рачунарске мреже класе B резервисана је четвртина укупног
адресног простора Интернет протокола четврте генерације. У рачунарским
мрежама класе B првих шеснаест битова одређује мрежу а преосталих шеснаест
одређује члана те мреже. Постоје укупно 16.384 рачунарске мреже класе B од
којих свака поседује 65.536 адреса.

Слика 3.1.2.3-3. B класа и опсег мрежних адреса

Прва три бита мрежних адреса класе C фиксирана су на вредност „110“. На
основу тога, за рачунарске мреже класе C резервисана је једна осмина укупног
адресног простора Интернет протокола четврте генерације. У рачунарским
мрежама класе C прва двадесет четири бита одређују мрежу а преосталих осам
битова одређује члана те мреже. Постоје укупно 2.097.152 рачунарске мрежа
класе C од којих свака поседује 256 адреса.

120 РАЧУНАРСКЕ МРЕЖЕ

 Слика 3.1.2.3-4. C класа и опсег мрежних адреса
Прва четири бита мрежних адреса класе D фиксирана су на вредност „1110“. На
основу тога, за адресе класе D резервисана је једна шеснаестина укупног
адресног простора Интернет протокола четврте генерације. Рачунарске адресе
из овог опсега не служе за адресовања конкретних рачунарских мрежа, већ се
користе за подребе адресовања вишеструких примаоца послатих података (енгл
multicast). D класа мрежних адреса дефинисана је у RFC 1112 документу.

Слика 3.1.2.3-5. D класа и опсег мрежних адреса

Прва четири бита мрежних адреса класе E фиксирана су на вредност „1111“. На
основу тога, за адресе класе E резервисана је последња шеснаестина укупног
адресног простора Интернет протокола четврте генерације. Рачунарске адресе
из овог опсега не служе за адресовања конкретних рачунарских мрежа, већ се
користе у експерименталне сврхе.

Слика 3.1.2.3-6. E класа и опсег мрежних адреса

Увођење класа мрежних адреса још увек није захтевало експлицитно навођење
мрежне маске јер се она могла утврдити на основу прва четири бита адресе.
Резултат увођења класа мрежних адреса био је прецизније одређивање
величине рачунарских мрежа, што је омогућило економичније коришћење
адресног опсега четврте верзије Интернет протокола у периоду од 1981. до
1993. године. Међутим, пораст броја рачунара на Интернету довео је до
превазилажења могућности које је донело класно одређивање мрежних адреса.
Класе мрежних адреса су 1993. године замењене бескласним одређивањем
величине мрежа Интернет протокола четврте верзије. Данас се углавном

РАЧУНАРСКЕ МРЕЖЕ 121

користи бескласно одређивање величине мреже, а класа мрежа се подразумева
само у теоријским случајевима када је мрежна маска изостављена.
3.1.2.4. Бескласно адресовање и подмрежавање
Нагли пораст броја корисника Интернет прокола четврте генерације, у последње
две деценије, указао је на то да класе IP адреса представљају превише грубу
поделу адресног простора. Најмања класа адреса – класа C – показала се
неоптималном за адресовање (у пракси све чешћих) мрежа од свега неколико
чланова, јер се на тај начин непотребно заузимало и до 252 од 256 мрежних
адреса. Такође, овом класом нису могле да се адресују ни мреже које су бројале
нешто преко 254 члана. У тим случајевима морала се користити класа Б са којом
се јављало непотребно заузимање и до 65.279 од 65.536 мрежних адреса. Због
оваквог, неоптималног трошења адреса Интернет протокола, 1993. године, у
РФЦ 1519 документу, представљен је модел бескласног међудоменског
рутирања, односно бескласног одређивања величине мреже – Classless Inter-
Domain Routing, CIDR.

Слика 3.1.2.4-1. Подела мреже класе C на две подмреже

Бескласно одређивање величине мреже пружа прецизност одређивања
величине мреже на нивоу бита, за разлику од прецизности на нивоу октета што
је био случај код класног одређивања величине. За разлику од класног
одређивања величине мреже, где су се величина мреже и мрежна маска
подразумевале на основу класног опсега у коме се адреса налази, код
бескласног одређивања величине мреже мрежну маску је потребно

122 РАЧУНАРСКЕ МРЕЖЕ

експлицитно дефинисати. Децималне вредности октета маски подељених
мрежних опсега могу имати вредности 0, 128, 192, 224, 240, 248, 252, 254 и 255.
Подмрежавање рачунарских мрежа врши се у оквиру одређеног мрежног
опсега, који може, али и не мора бити класно одређен. На пример, као основа за
подмрежавање може се узети мрежа класе C – 192.168.1.0 – са мрежном
маском од 24 бита – 255.255.255.0. Уколико ову мрежу желимо да поделимо на
две мање подмреже, за део мрежне адресе који одређује мрежу заузећемо још
један бит. У складу са тим, прва половина адреса из мрежног опсега мреже
192.168.1.0-255 припашће првој новодобијеној подмрежи, док ће друга
половина опсега припасти другој мрежи. Мрежна маска ове две новодобијене
подмреже имаће 25 битова који одређују мрежу и 7 битова који одређују члана.
Децимални приказ овакве мрежне маске је 255.255.255.128 али се у пракси
често користи и децимални запис броја битова који одређују мрежу. У
поменутом случају би се адреса прве подмреже записала као 192.168.1.0/25 а
адреса друге подмреже као 192.168.1.128/25. Сваку од новодобијених
подмрежа из претходног примера можемо даље делити на мање подмреже.
3.1.2.4.1. Пример подмрежавања мреже C класе
Узмимо за пример дељење мрежног опсега класе C, 192.168.1.0/24, за потребе
организације која има 140 рачунара подељених у четири одељења:
1. оператери: 80 рачунара
2. рачуноводство: 35 рачунара
3. развој: 15 рачунара
4. руководство: 10 рачунара
Уколико желимо да рачунаре сваког од одељења изолујемо у засебну мрежу,
биће нам потребне четири мреже одговарајуће величине. Могуће величине
рачунарских мрежа јесу n-ти степени броја 2 адреса - од чега за два мањи број
њихових чланова, због изузимање прве и последње адресе из опсега, односно
адресе мреже и емисионе адресе. У циљу економичног коришћења ограниченог
расположивог опсега адреса (256 мрежних адреса), за свако одељење биће узет
најмањи могући одговарајући опсег: за 80 оператерских рачунара то је опсег од
128 адреса (27), за 35 рачуноводствених рачунара то је опсег од 64 адресе (2 6), за
15 рачунара развојног одељење то је опсег од 32 адресе (2 5), док је за 10
рачунара руководства то опсег од 16 адреса (2 4).
На слици 2. приказан је резултат правилне поделе расположивог опсега адреса
на мање мреже, у складу са датом спецификацијом потреба. За потребе

РАЧУНАРСКЕ МРЕЖЕ 123

оператерског одељења одређена је мрежа од 128 адресних места. Адреса ове
мреже је 192.168.1.0/25, емисиона адреса 192.168.1.127, опсег за адресовање
чланова од 192.168.1.1 до 192.168.1.126, а децимални запис мрежне маске
255.255.255.128.

Слика 3.1.2.4.1-2. Пример поделе мреже класе C на више подмрежа

За потребе рачуноводственог одељења одређена је мрежа од 64 адресе. Адреса
ове мреже је 192.168.1.128/26, емисиона адреса 192.168.1.191, опсег за
адресовање чланова од 192.168.1.129 до 192.168.1.190, а децимални запис
мрежне маске 255.255.255.192.
За потребе развојног одељења одређена је мрежа од 32 адресе. Адреса ове
мреже је 192.168.1.192/27, емисиона адреса 192.168.1.223, опсег за адресовање
чланова од 192.168.1.193 до 192.168.1.222, а децимални запис мрежне маске
255.255.255.224.
За потребе руководственог одељења одређена је мрежа од 16 адреса. Адреса
ове мреже је 192.168.1.224/28, емисиона адреса 192.168.1.239, опсег за
адресовање чланова од 192.168.1.225 до 192.168.1.239, а децимални запис
мрежне маске 255.255.255.240.
Након описане поделе мреже C класе може се уочити да је последњи
четворобитни опсег адреса – 192.168.1.240/28 – остао неискоришћен. Овај
опсег, у описаној ситуацији, може се разматрати за коришћење на два начина.
Прва ствар коју би требало размотрити јесте да ли постоји потреба за
постојањем једне или више међумрежа, односно, мрежа које би чинили рутери
задужени за омогућавање комуникације између дефинисаних мрежа наведених
одељења. Овакав сценарио је реалан, пре свега у ситуацијама када се одељења
налазе на већим географским удаљеностима. На пример, овај опсег било би
могуће поделити на четири подмреже од по четири адресе, односно, са по две
адресе којима се могу адресовати чланови. Такви опсези су погодни за
повезивање рутера у посредне мреже.

124 РАЧУНАРСКЕ МРЕЖЕ

Друга могућност искоришћавања преосталих адреса јесте њихово придодавање
неком од опсега у коме се планира повећавање броја чланова (водећи при томе
рачуна о правилима условљеним бинарном структуром адреса). У ситуацијама
где постоји потреба за крајње економичном поделом опсега, увек треба имати у
виду могућа будућа повећања броја чланова у неком од подопсега. У
противном, лако се може десити да додавање једног прекобројног члана
захтева реорганизацију већег броја, или чак свих дефинисаних подопсега.
Важна напомена при подели одређеног опсега мрежних адреса на мање
подопсеге је да та се она мора извршити у складу са бинарном структуром
мрежних адреса Интернет протокола четврте генерације. На пример, уколико
бисмо заменили редослед мрежа за оператере и рачуноводство добили бисмо
одређене грешке у међусобној комуникацији између чланова оператерске
мреже, као и у комуникацији чланова те мреже са члановима осталих мрежа.

Слика 3.1.2.4.1-3. Пример неправилне поделе мреже класе C на више подмрежа

У таквој ситуацији (приказаној на слици 3.) покушај да дефинишемо опсег
мрежних адреса од 192.168.1.64 до 192.168.1.192 не би био у складу са њиховом
бинарном основом. Као последица јавила би се ситуација у којој би рачунари
адресовани адресама мањим од 192.168.1.127 сматрали да се налазе у мрежи
192.168.1.0/25, а рачунари адресовани адресама већим од 192.168.1.128
сматрали да се налазе у мрежи 192.168.1.128/25. Покушаји да се рачунарима
доделе адресе 192.168.1.127/25 и 192.168.1.128/25 резултовали би системском
грешком њихових оперативних система јер би те адресе биле сматране
емисионом адресом и адресом мреже. Додатно, рачунари из ова два опсега
покушавали би да међусобно комуницирају путем подразумеваног мрежног
пролаза, док би чланове осталих мрежа погрешно сматрали локалним.
3.1.2.5. Јавне и приватне адресе, специјални опсези
За располагање адресама Интернет протокола одговорност је дата организацији
Internet Assigned Numbers Authority, IANA . Ова организација је задужена за

РАЧУНАРСКЕ МРЕЖЕ 125

поделу адреса Интернет протокола у опсеге за одређене намене (јавну,
приватну или специјалну употребу) и делегирање надлежности над опсезима
јавних адреса регионалним регистрима. Регионални регистри су задужени за
расподелу добијених опсега јавних адреса оператерима у свом региону.
Поред опсега за јавну употребу на Интернету постоје и посебни опсези адреса
Интернет протокола који су резервисани за употребу у приватним мрежама и за
специјалну употребу. Опсези адреса за приватну употребу намењени су
адресовању приватних рачунарских мрежа и за коришћење адреса из тих опсега
није потребно одобрење локалног Интернет провајдера или регионалног
регистра. Док свака адреса из јавних опсега мора бити јединствена на
Интернету, адресе намењене за приватну употребу морају бити јединствене
само унутар саме приватне мреже, али се могу понављати у различитим
приватним мрежама. Адресе из опсега резервисаних за употребу у приватним
мрежама не могу се појављивати нити користити на Интернет мрежи. Из тог
разлога рачунари адресовани адресама из ових опсега не могу директно
комуницирати са рачунарима на Интернету већ за то морају користити
посреднике – мрежне пролазе адресоване јединственом јавном Интернет
адресом.
У наставку текста дати су параметри и намена специјалних опсега адреса
Интернет протокола четврте генерације:
• Опсег 0.0.0.0/8 има специјалну намену да означи део локалне
мрежне адресе. На пример, адреса 0.0.0.0/32 представља везу ка
потпуној реалној локалној адреси. Безбедносно правило „0.0.0.0/24 TCP
22 ALLOW“ дозвољава комуникацију TCP протокола по порту 22 само
члановима локалне мреже C класе, док правило „0.0.0.0/32 TCP 110
ALLOW“ омогућава употребу POP3 протокола само на рачунару на коме
је примењено. Дакле, адреса 0.0.0.0 је симболичка веза са локалном
адресом мрежног интерфејса док је /XX број почетних битова који се од
ње узима. Коришћењем ове адресе могу се направити правила која се
могу преносити на различите мрежне уређаје, без потребе да се за сваки
од њих ажурирају адресе.
• Опсег 10.0.0.0/8 је намењен за приватну употребу. Он уједно
представља и највећи блок адреса Интернет протокола четврте
генерације резервисан за приватну употребу (класа А). С обзиром на то
да би из одређених разлога било неефикасно стављање 16.777.216
чланова у исту мрежу, овај опсег се најчешће дели на више мањих
опсега у складу са структуром и потребама организације која га користи.

126 РАЧУНАРСКЕ МРЕЖЕ

• Опсег 127.0.0.0/8 назива се и опсегом повратних адреса (енгл.
loopback address) а намењен је за локалну употребу, унутар једног
рачунара. Адресе из овог опсега не користе се ни на Интернету, нити у
локалним мрежама, јер оне нису намењене адресовању физичких већ
логичких мрежних интерфејса. За потребе локалних мрежних
комуникација, односно комуникација унутар једног рачунара, најчешће
се користи адреса 127.0.0.1/32 с тим да су све адресе из овог опсега
резервисане за исту намену.
• Опсег 169.254.0.0/16 назива се и блоком адреса за локалне везе
(енгл. link local addresses). Адресе из овог опсега нису намењене за јавно
коришћење на Интернету, нити за регуларно коришћење у локалним
мрежама, већ се користе као специјалне адресе за рачунаре у локалној
мрежи. У случају да активном мрежном интерфејсу рачунара није
статички додељена адреса, нити ју је добио путем DHCP протокола,
оперативни систем може за адресовање тог интерфејса случајним
избором одабрати једну од адреса из овог опсега. На тај начин два
рачунара чији су мрежни интерфејси адресовани на описани начин имају
велике шансе да остваре комуникацију. Рачунари адресовани на овај
начин имају само могућност локалне комуникације.
• Опсег 172.16.0.0/12 је, као и блокови 10.0.0.0/8 и 192.168.0.0/16,
резервисан за употребу у приватним мрежама. Овај опсег дефинише
1.048.576 адреса за локалну употребу. Међутим, због своје бескласне
структуре ређе се среће у пракси од остала два опсега локалних адреса.
• Опсег 192.0.0.0/24 представља прву мрежу из опсега резервисаног за
мреже C класе. Овај опсег је резервисан за експерименталне потребе
IANA и IETF организација. Адресе из овог опсега нису намењене
коришћењу у јавној и приватним мрежама.
• Опсег 192.0.2.0/24 носи назив TEST-NET-1 и његове адресе су
намењене за коришћење у документацији и литератури. Адресе из овог
опсега најчешће се користе у пару са example.com Интернет доменом и
нису намењене коришћењу у јавној и приватним мрежама. Аутори
различите документације (књига, упутстава и сл.) могу користити ове
адресе за одређене демонстрације, без бојазни да ће случајно указати
на већ резервисану адресу неке организације и тиме јој, евентуално,
нанети штету.
• Опсег 192.88.99.0/24 намењен је за превођење адреса Интернет

РАЧУНАРСКЕ МРЕЖЕ 127

 протокола шесте генерације у адресе Интернет протокола четврте
генерације. Адресе из овог опсега сматрају се јавним адресама, односно
адресама којима се адресују регуларни чланови Интернета (најчешће
рутери са подршком за обе генерације Интернет протокола).
• Опсег 192.168.0.0/16 је последњи опсег адреса Интернет протокола
четврте генерације, резервисаних за употребу у приватним мрежама.
Овај опсег садржи 65.536 адреса, односно, 256 мрежа класе C. У пракси,
употреба овог мрежног опсега за адресовање приватних мрежа веома је
честа.
• Опсег 198.18.0.0/15 садржи адресе резервисане за коришћење код
мерења перформанси – брзине комуникације – између одређених
уређаја на Интернету. За те потребе изабран је посебан опсег да би се
избегла евентуална загушења канала резервисаних за регуларне
комуникације. Из тог разлога рутери не врше прослеђивање пакета код
којих изворна адреса припада овом опсегу.
• Опсег 198.51.100.0/24 носи назив TEST-NET-2 и његове адресе су, као
и адресе опсега 192.0.2.0/24 намењене за коришћење у документацији и
литератури. Адресе из овог опсега нису намењене коришћењу у јавној и
приватним мрежама.
• Опсег 203.0.113.0/24 носи назив TEST-NET-3 и његове адресе су, као и
адресе опсега 192.0.2.0/24 и 198.51.100.0/24, намењене за коришћење у
документацији и литератури. Адресе из овог опсега нису намењене
коришћењу у јавној и приватним мрежама.
• Опсег 224.0.0.0/4 раније је представљао опсег адреса резервисан за
мреже D класе. Користи се за адресовање вишеструких одредишта (енгл.
multicast).
• Опсег 240.0.0.0/4 раније је представљао опсег адреса резервисан за
мреже Е класе а данас је резервисан за будућу употребу.
Наведени опсези адреса Интернет протокола четврте генерације у прошлости су
више пута реорганизовани у складу са уочаваним потребама и проблемима.
Историјат ових измена може се наћи у RFC документима. Са друге стране, може
се очекивати још измена с обзиром на то да су неки опсези резервисани за
потребе које ће накнадно бити уочене, као и да ће се у блиској будућности
јавити изражен дефицит адреса Интернет протокола четврте генерације, чиме
ће се убрзати прелазак на шесту генерацију тог протокола.

128 РАЧУНАРСКЕ МРЕЖЕ

3.1.3. Превођење мрежних адреса (NAT)
Превођење мрежних адреса (енгл. Network Address Translation, NAT ) неопходан
је процес за омогућавање комуникације рачунара из приватних мрежа,
адресованих адресама резервисаним за коришћење у приватним мрежама, са
рачунарима на Интернету. Овај процес подразумева постојање преводиоца
мрежних адреса - посредника између приватне рачунарске мреже и Интернета.
Иако поседују неке заједничке елементе, улогу преводиоца мрежних адреса не
треба поистовећивати са улогом рутера јер је превођење мрежних адреса
знатно сложенији процес.
Потреба за превођењем мрежних адреса јавила се услед недостатка слободних
IP адреса, односно услед потребе да се већем броју рачунара из приватне
мреже омогући приступ Интернет мрежи путем једне јавне адресе Интернет
протокола. Из тог разлога се рачунари у приватним мрежама адресују за њих
резервисаним адресама које нису јединствене на глобалном нивоу већ се могу
понављати у различитим приватним мрежама. Преводилац мрежних адреса је
уређај који је најчешће подразумевани мрежни пролаз рачунара у приватној
мрежи, а поседује и једну или више јавних адреса путем којих се врши размена
података са рачунарима на Интернету.

Слика 3.1.3-1. Архитектура превођења мрежних адреса

Код превођења мрежних адреса преводилац замењује своју јавну адресу

РАЧУНАРСКЕ МРЕЖЕ 129

адресом члана у приватној мрежи или обрнуто. Уколико члан из приватне
мреже шаље пакет члану јавне мреже преводилац ће изворишну адресу пакета
заменити одговарајућом јавном локалном адресом. Након добијања одговора
на послати пакет преводилац одредишну адресу пакета замењује адресом
члана приватне мреже који је послао захтев. У случају да комуникацију иницира
члан јавне мреже извршава се исти процес али обрнутим редоследом. У
одређеним случајевима се поред адреса замењују и изворишни, односно
одредишни портови пакета.
Основа рада преводиоца мрежних адреса јесте поседовање по најмање једног
мрежног интерфејса у две или више рачунарских мрежа. Ове мреже се називају
унутрашњом и спољашњом, а најчешће подразумевају приватну и Интернет
мрежу. Преводиоци располажу једном или више адреса спољашње мреже које
користе за потребе комуникације чланова локалне мреже са члановима
спољашње мреже.
Код директног превођења мрежних адреса, при слању података од стране
рачунара из приватне мреже, мрежни преводилац, пре прослеђивања пакета у
јавну мрежу, замењује приватну адресу пошиљаоца одговарајућом јавном
адресом. Након замене (превођења, пресликавања) изворне адресе
преводилац шаље пакет кроз одговарајући интерфејс на јавној мрежи. Са друге
стране, при пријему пакета адресованих на јавну адресу (за коју је дефинисано
превођење у одређену адресу приватне мреже), преводилац ту адресу
замењује одговарајућом приватном адресом. Након замене, преводилац
прослеђује пакет у приватну мрежу којом се он прослеђује до примаоца. Код
директног превођења мрежних адреса није значајно ко је иницијатор
комуникације, односно веза се може успоставити и од стране члана приватне
мреже, и од члана јавне мреже.
Један од главних недостатака директног превођења јавних у приватне мрежне
адресе јесте потреба за истим бројем јавних адреса у односу на број рачунара у
приватној мрежи који ће приступати јавној мрежи. Из тог разлога се, у
ситуацијама када је број доступних јавних адреса мањи од броја рачунара из
приватне мреже, користи превођење адреса путем портова (енгл. Network
Address Port Translation, NAPT ).
Превођење адреса путем портова (енгл. Port Address Translation) подразумева
поседовање једне или неколико јавних мрежних адреса од стране преводиоца.
Пошто се на овај начин не може извршити директно мапирање (број јавних
адреса је мањи од броја чланова у приватној мрежи) преводиоци захтеве
добијене од чланова приватне мреже везују за један од слободних портова

130 РАЧУНАРСКЕ МРЕЖЕ

јавне адресе. На тај начин се приватна адреса и изворишни порт замењују
јавном адресом и неким од на њој слободних портова. С обзиром на то да се
мапирање код оваквог превођења врши динамички, код њега није могуће
иницирати комуникацију од стране рачунара који се налазе у јавној мрежи. Због
тога се овим приступом уједно подиже ниво безбедности рачунара у приватној
мрежи, али се њиме и онемогућава нормално функционисање сервиса који
подразумевају захтевање успостављања везе са спољне мреже.

Слика 3.1.3-2. Архитектура превођења мрежних адреса путем портова

На слици 3. дат је пример мрежне топологије која за приступ чланова приватне
мреже јавној мрежи користи превођење мрежних адреса путем портова.
Чланови приватне мреже адресовани су приватним опсегом мрежних адреса,
као и унутрашњи интерфејс рутера који чини пролаз између приватне и
Интернет мреже. На слици је дата и табела тренутно активних PAT асоцијација
које чине адреса и порт члана локалне мреже, као и адреса и порт рачунара на
Интернету са којим он комуницира. Ова табела се формира и ажурира
динамички, у складу са успостављањем нових и затварањем постојећих веза. У
зависности од потреба и могућности уређаја који врши превођење мрежних
адреса, табела активних PAT веза може садржати и додатне параметре
(сопствена адреса и интерфејс у приватној мрежи, адреса удаљеног рачунара и
сл.).
У сваком пакету који напушта приватну мрежу рутер замењује изворну адресу и
порт одговарајућим вредностима из десне колоне. Такође, у сваком пакету који

РАЧУНАРСКЕ МРЕЖЕ 131

долази са Интернет мреже, а који долази на неки од портова из десне колоне,
одредишна адреса и порт се замењују одговарајућом вредношћу из леве колоне
и он се прослеђује одговарајућем члану приватне мреже.

Слика 3.1.3-3. Пример топологије са NAPT/PAT превођењем адреса

Превођење мрежних адреса је специфична функционалност која омогућава
далеко ефикасније повезивање великог броја рачунара из приватне рачунарске
мреже са Интернетом када је у питању број употребљених јавних адреса.
Његовим коришћењем штеде се јавне адресе Интернет протокола, а уједно се
код превођења путем портова повећава и ниво безбедности приватне мреже
јер се онемогућава захтевање успостављања везе од стране рачунара који се не
налазе у приватној мрежи. Са друге стране, превођење мрежних адреса, у
случајевима ограничене процесорске снаге преводиоца, може негативно
утицати на перформансе преноса података, првенствено у виду повећања
кашњења испоруке. Додатно, одређени мрежни протоколи (нпр. IPsec)
забрањују било какву измену података током преноса тако да се код њих морају
користити додатни механизми тунеловања или је њихов рад у потпуности
онемогућен.
3.1.4. Прослеђивање портова
Код директног превођења мрежних адреса сви захтеви упућени на јавну адресу
прослеђују се одговарајућој приватној адреси, односно, рачунару или уређају
који је користи. На тај начин је могуће омогућити успостављање везе са чланом

132 РАЧУНАРСКЕ МРЕЖЕ

приватне рачунарске мреже на захтев чланова јавне рачунарске мреже. То је
посебно значајно у случајевима када члановима јавне мреже треба омогућити
приступ мрежним сервисима које обезбеђују чланови приватне рачунарске
мреже. На пример, организација може имати Веб сервер у оквиру своје
локалне, приватне рачунарске мреже, а да се тај сервер користи за испоруку Веб
презентације клијентима који приступају са Интернет мреже.

Слика 3.1.4-1. Прослеђивање портова код NAPT превођења мрежних адреса

Са друге стране, у ситуацијама када се не користи директно превођење
мрежних адреса, већ је у питању превођење адреса путем портова,
преусмеравање саобраћаја се не може извршити директно. На самим
преводиоцима мрежних адреса морају се дефинисати правила на основу којих
се одређује ком члану приватне мреже треба доставити одређени захтев који
потиче са јавне мреже. Сам процес прослеђивања захтева назива се
прослеђивањем портова (енгл. port forwarding).
На слици 2. дат је пример приватне мреже која садржи сервере чијим је
услугама могуће приступити са спољне, Интернет мреже. Сервери у приватној
мрежи користе адресе из приватног опсега 10.10.10.0/24 а на њима су доступни
SSH, DNS, HTTP и HTTPS сервиси. Ови сервиси су мапирани у виду асоцијација
приказаних у табели прослеђивања портова. Ова табела се налази на рутеру R1

РАЧУНАРСКЕ МРЕЖЕ 133

чија је улога омогућавање комуникације између чланова приватне и Интернет
мреже.

Слика 3.1.4-2. Пример топологије са функцијом прослеђивања портова

Клијенти на Интернету сервисима у приватној мрежи приступају коришћењем
јавне адресе преводиоца (рутера) - 203.0.113.123. Након добијања захтева за
сервисом од стране клијента из Интернет мреже рутер проверава да ли је у
табели дефинисано прослеђивање за захтевани порт. Уколико јесте, рутер
замењује одредишну адресу пакета одговарајућим адресом приватне мреже и
прослеђује захтев члану локалне мреже. Сервер у локалној мрежи резултат
обраде захтева упућује на изворишну адресу - адресу члана јавне мреже који је
захтевао услугу. Рутер, као посредник у овој комуникацији, замењује изворишну
адресу (адреса сервера у приватној мрежи) својом јавном адресом и прослеђује
одговор на јавну адресу са које је клијент упутио захтев.
Приликом описаног процеса комуникације клијент из јавне мреже сматра да је
непосредан испоручилац сервиса заправо уређај који се налази на јавној
Интернет адреси приватне мреже. У неким случајевима се приликом
прослеђивања захтева серверу у локалној мрежи не врши замена одредишне
адресе, а у неким случајевима се поред замене одредишне врши и замена
изворишне адресе. Ове варијације су првенствено везане за коришћење
безбедносних протокола и топологија које омогућавају анонимност.
У зависности од карактеристика преводиоца мрежних адреса могуће је

134 РАЧУНАРСКЕ МРЕЖЕ

дефинисати више критеријума на основу којих ће се одредити прималац
прослеђеног саобраћаја. Основни критеријуми за прослеђивање захтева су
његови следећи атрибути:
1. одредишна јавна адреса
2. одредишни порт на јавној адреси
У случајевима када преводилац поседује одговарајуће могућности, као додатни
параметри за прослеђивање могу се користити и изворишна јавна адреса,
временски период, оптерећење комуникационог канала, оптерећење
примаоца, и сл. Такође, у правилима за прослеђивање за једну јавну или
приватну адресу може се везати више портова а пријемни порт на јавној адреси
не мора бити идентичан пријемном порту на приватној адреси.
3.1.5. Фрагментовање података
Током свог пута од извора ка одредишту пакети Интернет протокола често путују
кроз више посредних рачунарских мрежа. Ове мреже се могу знатно
разликовати по пропусној моћи комуникационих канала и њиховој поузданости.
У складу са тим, у неким мрежама може бити ограничена величина јединице
података која се преноси (енгл. Maximum Transmission Unit, MTU). Ово
ограничење може дефинисати мању дозвољену величину датаграма од
величине актуелног датаграма који том мрежом треба да се пренесе. За
решавање овог проблема развијена је функција Интернет протокола која се
назива фрагментовањем података.

Слика 3.1.5-1. Пренос датаграма мрежама са различитим MTU параметром

Фрагментовање података је процес којим се датаграми деле на фрагменте да би
се задовољило MTU ограничење мреже којим датаграм треба да се пренесе. На
пример, на слици 1 приказана је ситуација у којој пошиљалац шаље датаграм
чија је величина већа од највеће дозвољене величине датаграма у мрежи 2.
Функцијом фрагментовања датаграм ће на рутеру који повезује мреже 1 и 2
бити подељен у одговарајући број фрагмената чија величина не прелази задато
MTU ограничење мреже 2. Са друге стране, рутер који повезује мреже 2 и 3
извршиће реверзну функцију, односно, на основу добијених фрагмената

РАЧУНАРСКЕ МРЕЖЕ 135

реконструисаће оригинални датаграм и проследиће га ка одредишту кроз
мрежу 3 (за коју величина датаграма не прелази постављено MTU ограничење).
За функцију фрагментовања датаграма значајни су битови од тридесет трећег до
шездесет четвртог, односно поља са идентификацијом, назнакама и
одступањем фрагмента (Identification, Flags, и Fragment Offset) у заглављу
датаграма Интернет протокола. На основу поља за идентификацију датаграма
спречава се мешање фрагмената различитих датаграма на пријемном рутеру.
Друга назнака има задатак да забрани фрагментовање специфичних датаграма
док трећа назнака указује да ли је у питању последњи фрагмент датаграма. На
основу одступања датаграма одређује се позиција на којој ће садржај фрагмента
бити укључен у садржај реконструисаног датаграма. Током преноса сваки од
фрагмената третира се као засебан датаграм.
У одређеним ситуацијама потребно је забранити фрагментовање датаграма
током његовог пута ка одредишту. За те потребе се користи раније поменути
други индикатор у заглављу датаграма. У случају да је тај индикатор постављен,
а да датаграм у току пута наиђе на мрежу чију највећу дозвољену величину
јединице преноса његова величина прелази, рутер неће извршити
фрагментовање већ ће датаграм одбацити а пошиљаоцу путем ICMP протокола
послати поруку да је фрагментовање неопходно. Овакво понашање може се
искористити за утврђивање „најужег грла“ на путу до одредишта путем
итеративног повећавања величине датаграма ICMP протокола и његовог слања
са укљученом назнаком да је забрањено фрагментовање. У итерацији у којој
величина датаграма пређе најмању дозвољену величину на свим сегментима
пута, пошиљалац ће добити ICMP поруку о немогућности даљег прослеђивања
датаграма.
Иако фрагментовање датаграма представља неопходну функционалност
Интернет протокола за пренос података посредством мрежа са ограниченом
величином јединице преноса, коришћење фрагментовања може створити
одређене безбедносне проблеме, односно, простор за онемогућавање
нормалног рада рутера који врше фрагментовање. У најчешће нападе на
мрежне уређаје, базиране на фрагментовању датаграма, спадају:
• Слање фрагмената уз изостављање иницијалног фрагмента. На тај начин
се рутер који прима фрагменте доводи у ситуацију да заузима ресурсе у
ишчекивању иницијалног фрагмента.
• Слање фрагмената са истим параметром одступања и довођење рутера у
ситуацију да троши ресурсе на преписивање садржаја.

136 РАЧУНАРСКЕ МРЕЖЕ

 • Слање фрагмената са одступањима мањим од дужине већ послатог
садржаја. Овај напад се назива и Teardrop а код ранијих верзија UNIX,
Windows и Линукс оперативних система могао је да доведе до њиховог
обарања.
• Слање фрагмената датаграма ICMP протокола са последњим
фрагментом чије је одступање повећано тако да укупна величина
прелази 65.536 бајтова. Овај напад се назива и Ping of Death а код
ранијих верзија UNIX, Windows и Линукс оперативних система могао је
да доведе до њиховог обарања.
• Константно слање фрагмената без назнаке да је у питању последњи
фрагмент. На тај начин се заузима радна меморија рутера и угрожава
његов нормалан и ефикасан рад.
Ефекат већине наведених напада, базираних на фрагментовању датаграма
Интернет протокола, на савременим мрежним уређајима и оперативним
системима је неутралисан или у великој мери умањен развојем одговарајућих
процедура за препознавање и обраду.

РАЧУНАРСКЕ МРЕЖЕ 137

3.2. Рутирање и протоколи рутирања
Једно од основних задужења мрежног слоја, односно уређаја и протокола који
на њему функционишу, јесте одређивање руте којом ће подаци путовати до
коначног одредишта. Унутар једне мреже за испоруку пакета података
одредишној адреси задужени су протоколи слоја везе. Пакете из једне мреже у
другу преусмеравају рутери - уређаји који имају улогу мрежних пролаза.
Подразумевана улога рутера јесте повезивање две или више рачунарских мрежа
кроз преусмеравање пакета података. Процес у коме рутери преусмеравају
пакете ка посредним мрежама или коначном одредишту назива се рутирање.

Слика 3.2-1. Рутери прослеђују податке између различитих мрежа

Након пријема пакета на одређеном мрежном интерфејсу, рутер врши
распакивање до слоја мреже и узима параметре из заглавља пакета. За
одређивање руте пакета најважнији параметар заглавља је одредишна адреса
која се упоређује са записима из табеле рутирања.
Табела рутирања чини основу рада рутера и самог процеса рутирања. У
табели рутирања налазе се информације на основу којих рутер одређује куда
треба послати одређени пакет. Основна информација коју носи сваки од записа
у табели рутирања јесте до које се одредишне мреже може доћи
прослеђивањем пакета одређеном мрежном пролазу.

Слика 3.2-2. Једноставна табела рутирања на Линукс оперативном систему

За сваки од примљених пакета рутер његову одредишну адресу упоређује са

138 РАЧУНАРСКЕ МРЕЖЕ

свим записима табеле рутирања тражећи мрежу којој одредишна адреса пакета
припада. У случају да не постоји посебно дефинисана одредишна мрежа пакет
се прослеђује подразумеваном мрежном пролазу (уколико је дефинисан). У
случају да је у табели рутирања дефинисано више мрежа којима одредишна
адреса припада (на пример, одредишна адреса је 192.168.12.34 а постоје записи
за мреже 192.168.0.0/16 и 192.168.12.0/24) искористиће се мрежни пролаз оне
мреже код које је веће поклапање почетних битова адресе. Са друге стране,
уколико се код вишеструких рута јави идентично поклапање почетних битова,
односно, за једну одредишну мрежу постоји више мрежних пролаза, избор се
врши у зависности од метрике, односно приоритета путање. Постојање
вишеструких мрежних пролаза ка истој одредишној мрежи и са истом метриком
најчешће указује на балансирање оптерећења наизменичним коришћењем
доступних рута.
Метрика руте одређује приоритет руте у односу на остале дефинисане руте
којима се може доћи до одредишта. Њена вредност се може задати статички од
стране администратора, а може се и динамички израчунати коришћењем
различитих параметара комуникационих канала: број скокова - број рутера који
посредују у комуникацији, пропусна моћ, оптерећеност, кашњење, и сл.
Динамичко одређивање метрике руте врше протоколи за динамичко рутирање
а администратор може да зада формуле у које ће се укључити поменути
параметри, у зависности од конкретне ситуације.
Формирање исправне табеле рутирања један је од главних задатака код
успостављања рутирања у рачунарским мрежама. Записи табеле рутирања се
додају на три основна начина:
1. директним повезивањем рутера са одређеном рачунарском мрежом,
2. статичким додавањем рута од стране администратора и
3. динамичким утврђивањем могућих рута коришћењем протокола за
динамичко рутирање.
Директно повезивање рутера са одређеном рачунарском мрежом подразумева
физичко повезивање мрежног интерфејса и његово адресовање на мрежном
слоју. Већина савремених рутера и мрежних оперативних система након
описаних корака аутоматски додаје одговарајући запис у табелу рутирања а
испорука пакета адресованих на чланове тих мрежа врши се директно -
коришћењем адресовања протокола слоја везе и без посредовања мрежних
пролаза.

РАЧУНАРСКЕ МРЕЖЕ 139

Статичко рутирање подразумева ручни унос записа табеле рутирања од
стране администратора мреже. Овакав приступ је ефикасан код мањих и
једноставнијих рачунарских мрежа где нема потребе за великим бројем рута и
њиховим честим изменама. Такође, статички унете руте је тешко заобићи што их
чини погодним и са безбедносног аспекта. Са друге стране, статичко
дефинисање табеле рутирања је неефикасно код сложених рачунарских мрежа
које имају велики број могућих рута и код којих се руте (или њихова метрика)
често мењају.
Динамичко рутирање подразумева коришћење одговарајућих протокола.
Постоји више различитих протокола за динамичко рутирање али је њихова
основна улога заједничка: размена информација између рутера у циљу
формирања табела рутирања на основу којих ће се подаци између различитих
мрежа прослеђивати коришћењем оптималних рута. За коришћење динамичког
рутирања од администратора се очекује да на рутерима укључи одређени
протокол за динамичко рутирање и зада параметре његовог коришћења. У
складу са тим, време потребно за подешавање рутирања у сложенијим
мрежама, коришћењем динамичких протокола, може бити далеко краће у
односу на статички унос рута али се од администратора захтева виши ниво
знања.
Не треба мешати протоколе за рутирање (енгл. routing protocol) и
протоколе који се рутирају (енгл. routed protocol). Протоколи за рутирање
обезбеђују рутерима информације потребне да би се успешно извршило
рутирање пакета протокола који се рутирају. Такође, протоколи за рутирање
најчешће раде на апликативном а протоколи који се рутирају на мрежном слоју.

Слика 3.2-3. Рутер R1 нема директну везу са Интернет мрежом

На слици 3. приказана је реална ситуација у којој не постоји само један рутер
који повезује различите мреже, односно, у којој немају сви рутери директну
везу са свим рачунарским мрежама. У приказаној ситуацији рутер R1 би у своју

140 РАЧУНАРСКЕ МРЕЖЕ

табелу рутирања додао записе о мрежама А, B и C самим прикључивањем на
њих. Са друге стране, рутер R1 иницијално нема информацију о могућности
изласка на удаљене мреже, у овом случају на Интернет мрежу, већ би такав
запис морао да се у његову табелу дода као статичан унос или путем протокола
за рутирање. Најпогоднији облик за додавање овог записа јесте
подразумевана рута (енгл. default route) која ће се користити уколико
одредишна адреса пакета не припада ни једној од осталих мрежа дефинисаних
у табели рутирања.
Рутер R2 из приказане ситуације нема информацију о мрежама А и Б јер са
њима није директно повезан. Подразумевана рута на рутеру R2 би требало да
пакете адресоване на мреже којих нема у табели рутирања усмери ка
Интернету. Очигледно је да је таква одлука погрешна, односно да она неће
довести до испоруке пакета жељеним примаоцима. Из тог разлога у табелу
рутирања рутера R2 морају се додати одговарајући записи о мрежама А и Б, да
се до њих стиже посредством рутера R1 (његовог интерфејса у мрежи Ц). Такви
записи се могу додати статички, или их могу формирати протоколи за
динамичко рутирање на основу информација добијених од рутера R1.
Постоје четири основна случаја у којима рутер доноси различите одлуке о томе
шта ће урадити са примљеним пакетом. У првом случају је одредишна адреса
пакета придружена једном од локалних мрежних интерфејса. Тада се даље
прослеђивање пакета прекида а његов садржај се прослеђује одговарајућем
протоколу вишег (најчешће транспортног) нивоа.
У другом случају одредишна адреса примљеног пакета припада једној од мрежа
на које је рутер директно повезан. У том случају се прекида даље рутирање
пакета и он се испоручује одредишту коришћењем физичке инфраструктуре и
протокола на слоју везе.
Трећи случај подразумева да се одредишна адреса налази у удаљеној мрежи
којој рутер има приступ путем суседног рутера. У том случају се пакет мрежног
слоја у добијеном облику прослеђује суседном рутеру коришћењем посредне
физичке инфраструктуре и протокола на слоју везе.
Четврти случај подразумева да се одредишна адреса пакета налази у мрежи за
коју рутер нема податке у својој табели рутирања. У том случају се пакет
одбацује а изворишту се слање порука о томе да није могуће доћи до
одредишта.

РАЧУНАРСКЕ МРЕЖЕ 141

3.2.1. Протоколи за динамичко рутирање
Основни начин за дефинисање рута представља њихово ручно уношење у
табелу рутирања од стране администратора. У случајевима једноставних и
статичних рачунарских мрежа такав начин дефинисања правила рутирања може
се сматрати оптималним. Међутим, код сложених рачунарских мрежа - мрежа
које садрже велики број рутера и путања - ручно попуњавање табела рутирања
на рутерима може захтевати огромно време и ангажовање администратора.
Додатно, у динамичним мрежама - мрежама код којих су честе измене
комуникационих водова и њихових стања - ручно прилагођавање насталим
промена обично подразумева дуге периоде неоптималног или онемогућеног
коришћења комуникационе инфраструктуре. Из тог разлога су развијени и
користе се протоколи за динамичко рутирање.
Протоколи за динамичко рутирање омогућавају аутоматизовано
попуњавање табела рутирања на основу информација размењених између
рутера. Коришћењем ових протокола рутери размењују информације о томе
који од њих имају приступ којим мрежама. На основу размењених информација
се израчунавају могуће и оптималне руте. За одређивање приоритета рута,
односно оптималне и алтернативних путања, узимају се различити параметри
као што су број посредних рутера, капацитет и заузеће комуникационих канала,
кашњење и сл.
Данас у употреби постоји више протокола за динамичко рутирање. С обзиром на
њихову исту основну намену - израчунавање оптималних путања комуникације -
постојање вишеструких решења проузроковано је различитим приступима у
реализацији, потребом да се решења прилагоде специфичностима различитих
мрежа и жељом произвођача мрежних уређаја да своје производе пласирају на
тржиште у што већем броју. У складу са наведним, избор протокола за рутирање
у пракси најчешће зависи од следећих параметара:
• знања администратора рачунарске мреже,
• величине рачунарске мреже и специфичности реализације и
• скупа протокола које постојећа мрежна опрема подржава.
Постоји више критеријума за класификацију протокола за рутирање. Старији
протоколи за рутирање развијани су у периоду када су још увек биле у употреби
класе мрежних адреса. Са тог аспекта се протоколи за рутирање деле на оне
који су засновани на класама и оне који подржавају подмрежавање. Данас се у
пракси све ређе може срести примена протокола за рутирање који свој рад
заснивају на класама мрежних адреса, а као пример за њих могу се узети прва

142 РАЧУНАРСКЕ МРЕЖЕ

верзија RIP протокола, EGP протокол и старије верзије BGP протокола.
Протоколи засновани на класама у оквиру порука размењују само адресу
мреже, односно не размењују мрежну маску. Мрежну маску прималац
израчунава на основу класе у коју адреса мреже спада. Протоколи који
подржавају подмрежавање у порукама поред адресе мреже шаљу и мрежну
маску. У ту групу спадају друга верзија RIP протокола, OSPF, IS-IS и други.
Са аспекта величине и типа мреже за коју су намењени протоколи за рутирање
деле се на интерне - Interior Gateway Protocol - и екстерне - Exterior Gateway
Protocol. С обзиром на величину Интернет мреже утврђивање њене комплетне
топологије би било немогуће, чак и путем коришћења протокола за рутирање.
Из тог разлога је ова мрежа подељена на аутономне системе. Аутономни
систем (енгл. Autonomus System) представља скуп мрежа које користе јавне
адресе Интернет протокола, а чије је администрирање поверено једној
организацији. Сваки аутономни систем је од стране организације IANA означен
јединственим бројем. У интерне протоколе за рутирање спадају RIP, OSPF, IS-IS и
више других. За потребе рутирања између аутономних система раније је
коришћен EGP који је касније замењен тренутно актуелним BGP протоколом.
Једна од најважнијих категоризација протокола за рутирање односи се на тип
информација које они размењују, односно на који начин одређују могуће руте. У
оквиру ове категоризације протоколи за рутирање деле се на протоколе који
користе векторе удаљености (енгл. distance vector) и који користе стање веза
(енгл. link state). Протоколи базирани на векторима удаљености
комуницирају само са суседним рутерима, односно рутерима који се налазе у
истим мрежама. У складу са тим, ови протоколи обезбеђују информацију који
рутер је први следећи посредник у путањи до коначног одредишта, али не и
структуру целе мреже и руте. Метрику ових протокола најчешће чини број
скокова, односно број рутера који ће посредовати у испоруци пакета у
одредишну мрежу. Као представник ове групе протокола могу се узети
протоколи RIP и EIGRP. Протоколи који користе векторе удаљености обично
размењују мање количине података (за потребе конвергенције) од протокола
који користе стање веза.
Насупрот протоколима заснованим на векторима удаљености стоје протоколи
који користе стање веза . Они се још називају и протоколима базираним на
SPF алгоритму, као и протоколима са дистрибуираним базама. Карактеристика
ових протокола је да сваки рутер одржава базу података која описује целу
топологију аутономног система коме рутер припада. Ова база се назива базом
стања веза (енгл. link-state database) и идентична је код свих рутера у

РАЧУНАРСКЕ МРЕЖЕ 143

аутономном систему. На основу базе стања веза сваки рутер одређује
оптималне путање између себе и осталих делова аутономног система.
У пракси се често јавља разумевање да разлика између протокола за рутирање
који користе векторе удаљености и оних који користе стање веза лежи у врсти
података који се користе за одређивање метрике, односно да протоколи који
користе векторе удаљености за израчунавање метрике користе искључиво број
скокова док протоколи који користе стање веза користе пропусну моћ и заузеће
комуникационих канала. Такво разумевање је погрешно јер основну разлику
чини то да ли коришћењем одређеног протокола рутер формира комплетну
топологију мреже у којој се налази или само долази до информације до којих
све мрежа може доћи преко својих суседних рутера. На пример, EIGRP протокол
за рутирање заснован је на векторима удаљености а за израчунавање метрике
користи пропусну моћ комуникационих канала, њихово заузеће, кашњење и
поузданост.
Када су у питању протоколи за динамичко рутирање, конвергенција означава
усклађеност информација свих рутера у мрежи, односно поседовање свих
потребних информација на основу којих су формиране исправне табеле
рутирања на свим рутерима. У конвергентним мрежама нема грешака у
рутирању као што су бесконачне петље, губитак пакета и слично. Протокол за
динамичко рутирање може се сматрати исправним уколико се њиме у
разумном временском року (након укључивања свих рутера) може постићи
стање конвергенције. Након постизања, стање конвергенције остаје активно док
се год не деси нека измена у топологији. Настанак измене у топологији је окидач
за размену нових информација протоколима за динамичко рутирање и поновно
постизање стања конвергенције. Што је време за постизање конвергенције по
укључивању свих рутера, или настанку измене у топологији краће, то се
протокол за динамичко рутирање може сматрати оптималнијим по том питању.
3.2.1.1. RIP - протокол информација за рутирање
Један од најпопуларнијих протокола за рутирање који користе векторе
удаљености је протокол информација за рутирање (енгл. Routing Information
Protocol, RIP). Корени овог протокола налазе се у програму routed који се
користио на BSD UNIX оперативном систему, а чији је формат порука за размену
информација за рутирање био de facto стандард у том периоду. Спецификација
протокола иницијално је дата 1988. године а од тада се појавило неколико
проширења везаних за подршку бескласних мрежа и шесту верзију Интернет
Протокола. Основе алгоритма који користи RIP протокол датирају још из 1969.
године из ARPANET мреже.

144 РАЧУНАРСКЕ МРЕЖЕ

Протокол информација за рутирање намењен је за коришћење у мрежама које
користе Интернет протокол на мрежном слоју (протокол који се рутира) и које
користе једноставне (тачка-тачка) или сложене топологије ( Token-ring,
Ethternet). У погледу величине мрежа у којима се може користити, овај
протокол је ограничен на мреже чији је мрежни пречник - најкраћа путања по
броју коришћених рутера између две најудаљеније интерне мреже - мањи од
16. То значи да се коришћењем овог протокола не може достићи конвергентно
стање у мрежама где у најкраћој рути комуникације између две интерне мреже
посредује више од 15 рутера.
Основни принцип рада протокола информација за рутирање подразумева
оглашавање доступних мрежа, односно обавештавање суседних рутера о
записима у локалној табели рутирања. Након пријема обавештења рутери
ажурирају своје табеле рутирања новодобијеним информацијама. Процес
обавештавања суседних рутера се затим понавља, односно информације из
локалне табеле рутирања шаљу се суседним рутерима (који понављају процес
ажурирања локалних табела рутирања и обавештавања суседних рутера). На
овај начин се након одређеног броја итерација постиже стање конвергентне
мреже.

Слика 3.2.1.1-1. Топологија за илустрацију принципа рада RIP протокола

На слици 1. приказана је поједностављена топологија у којој рутер R1 има
ексклузиван приступ мрежама M1 и M2, рутер R2 има ексклузиван приступ
мрежи M3, а рутер R3 има ексклузиван приступ мрежи M4. Оваква мрежа ће

РАЧУНАРСКЕ МРЕЖЕ 145

постати конвергентна након две итерације обавештавања суседних протокола. У
првој итерацији ће рутер R1 рутере R2 и R3 обавестити о мрежама M1 и M2,
рутер R2 ће обавестити рутере R1 и R3 о мрежи M3 а рутер R3 обавестити рутере
R1 и R2 о мрежи M4. У овако једноставној топологији овом једном итерацијом је
размењено довољно информација да сви рутери могу доћи до свих мрежа које
у њој постоје. Међутим, добијање нових информација, односно измене у
табелама рутирања, окидач су за нову итерацију обавештавања.
У другој итерацији ће рутер R1 обавестити рутер R2 о доступности мреже M4 и
рутер R3 о доступности мреже M3, рутер R2 ће обавестити рутер R1 о
доступности мреже M4 и рутер R3 о доступности мрежа M1 и M2, а рутер R3 ће
обавестити рутер R1 о доступности мреже M3 и рутер R2 о доступности мрежа
M1 и M2. На овај начин су рутери, поред основних рута (успостављених у првој
итерацији), информисани и о алтернативним рутама које се могу користити у
случају прекида примарних рута. На пример, уколико дође до прекида везе
између рутера R1 и R2 рутер R1 ће мрежи M3 приступати посредством рутера R3
јер је од њега добио информацију о тој могућности на начин описан у другој
итерацији размене информација. Које ће се руте користити као примарне а које
чувати као алтернативне одређује њихова метрика.
Метрика се код протокола информација за рутирање изражава кроз удаљеност
одређене мреже, односно кроз број рутера који посредују у достављању
података. На слици 2. приказана је топологија у којој рутер R1 има могућност
приступа мрежи 10.10.2.0/24 коришћењем две различите руте - посредством
рутера R3 и посредством рутера R2 и R3. Примарна рута која ће се користити
јесте директно посредством рутера R3 јер је метрика те руте (број скокова) један
док је метрика руте у којој се користе рутери R2 и R3 два. У случају прекида везе
између рутера R1 и R3 алтернативна рута ће бити коришћена.

Слика 3.2.1.1-2. Топологија за илустрацију метрике код RIP протокола

Следећа ситуација која се може јавити је та да се за долазак до одређене мреже

146 РАЧУНАРСКЕ МРЕЖЕ

могу користити различите руте које имају исту метрику. Пример такве мреже дат
је на слици 3. где рутер R1 поседује информацију о две руте за доставу пакета у
мрежу М2 које имају исту метрику. Подразумевано понашање рутера у оваквој
ситуацији јесте балансирање оптерећења (енгл. load balancing), односно
наизменично слање пакета свим рутама које имају исту метрику.

Слика 3.2.1.1-3. Вишеструке руте са истом метриком омогућавају балансирање

оптерећења
Избор броја скокова за основу метрике код RIP протокола омогућава веома
једноставно формирање топологије и давање приоритета рутама. Међутим, сам
број скокова не мора увек да означава оптималну путању. Метрика која користи
само број скокова неће моћи да искористи путање са већим бројем скокова чији
комуникациони канали имају већи број скокова или су растерећенији.

Слика 3.2.1.1-4. Метрика RIP протокола не гарантује оптимално коришћење

веза
На слици 4. приказана је ситуација у којој рутер R1 као оптималну руту ка мрежи
М1 види кроз директно посредовање рутера R3, наспрам руте у којој постоји
један скок више (посредством рутера R2) али чији комуникациони канали имају

РАЧУНАРСКЕ МРЕЖЕ 147

готово двадесет пута већу пропусни моћ. У оваквим ситуацијама је неопходна
интервенција администратора мреже да би се постигло оптимално
искоришћавање доступних комуникационих канала.
Метрика RIP протокола се назива још и „фиксном метриком“ јер укључује само
број скокова. Метрике неких од савремених протокола за рутирање поред
фиксних параметара мрежа (број скокова, пропусна моћ комуникационих
канала и сл.) укључују и њихове динамичне параметре, односно параметре чија
се вредност мења током времена (заузеће комуникационих канала, њихова
поузданост, утврђено кашњење и сл.).
3.2.1.1.1. Прилагођавање променама у топологији
До сада разматране топологије нису подразумевале никакве накнадне измене.
Међутим, једна од главних предности протокола за рутирање (наспрам
коришћења статичних рута) огледа се баш у могућности аутоматског
прилагођавања променама у топологији. Промене у топологији могу имати
различите узроке - додавање нових рутера и канала, физичко отказивање или
искључивање канала, отказивање или намерно гашење рутера и слично. RIP
протокол поседује више механизама који омогућавају аутоматско
прилагођавање насталим изменама у топологији и спречавање постојања петљи
у коначном броју итеративних измена, односно у коначном и прихватљивом
временском периоду.
Основни начин прилагођавања насталим изменама у топологији подразумева
обавештавање суседних рутера о измени топологије од стране рутера на чијим
је комуникационим каналима дошло до измене. У овом случају измена у табели
рутирања представља окидач за размену података између рутера у циљу
синхронизације. Период од тренутка настанка измене до њеног подржавања у
свим табелама на које та измена има утицаја представља период у коме мрежа
рутера није конвергентна, односно могући су губици пакета података и јављање
петљи рутирања.

Слика 3.2.1.1.1-1. Проглашавање рута недоступним

148 РАЧУНАРСКЕ МРЕЖЕ

Поруке RIP протокола изазване настанком одређене измене шаљу се у кратком
периоду након настанка саме измене. Овај период представља случајно
одабрано време између једне и пет секунди. Уколико се у периоду чекања дође
до дотаних измена, све оне се шаљу у оквиру једне поруке. У оквиру ових
порука се шаљу само информације о рутама код којих је дошло до измене, а не
и целокупна табела рутирања.
Једна од ситуација у којима није могуће обавештавање суседних рутера о
новонасталој измени у топологији мреже јесте отказивање самог рутера -
његовог хардвера, софтвера, саме имплементације RIP или неког од носећих
протокола и слично - или комуникационог канала којим би се обавештавање
извршило. У таквој ситуацији задржавање постојећих записа у табелама
рутирања (о рутама које користе сада недоступни рутер) доводи до губитка
њему послатих пакета података. За потребе препознавања и прилагођавања
оваквим ситуацијама RIP протокол користи периодично слање контролних
порука између суседних рутера на сваких 30 секунди. У случају да рутер не
добије овакву контролну поруку од суседног рутера у току 180 секунди, односно
суседни рутер се не јави шест пута узастопно, он из своје табеле рутирања
уклања све записе који укључују тај рутер. Додатно, он о насталој измени
обавештава себи суседне рутере. Овакве измене имају посебан карактер јер се
њима не оглашавају доступне већ недоступне руте.
Насупрот логици да се недоступна рута једноставно изузме из даљег
оглашавања, RIP протокол такву руту оглашава својим суседима као недоступну.
Недоступна рута се оглашава у истом формату као и регуларне, али са том
разликом што је њен број скокова постављен на 16. На овај начин се суседни и
даљи рутери информишу да ту руту не треба користити.
3.2.1.1.2. Подела хоризонта и тровање рута
На слици 1. приказана је топологија у којој је рутер R1 директно или посредно
повезан са мрежом М1 (метрика 1 у случају директне везе). У првој итерацији ће
рутер R1 огласити рутеру R2 мрежу М1 тако да ће рутер R2 у своју табелу
рутирања додати мрежу М1 са вредношћу метрике 2. У другој итерацији ће
рутер R2 огласити мрежу М1 свим суседима, међу којима је и рутер R1. Након
пријема ове информације рутер R1 неће додати запис о доступности мреже М1
путем рутера R2 јер таква рута има метрику 3 а у табели рутирања тренутно
постоји рута са метриком 1.
Претпоставимо да након описане сихнронизације табела рутирања рутера R1 и
R2 дође до отказивања везе рутера R1 са мрежом М1. Рутер R1 ће у том случају

РАЧУНАРСКЕ МРЕЖЕ 149

уклонити запис о доступности мреже М1 из своје табеле рутирања. Међутим, у
наредној итерацији ће од рутера R2 добити информацију о доступности мреже
М1 са метриком 3 (што је застарела информација која подразумева
посредовање рутера R1 у достављању пакета података у мрежу М1). У овом
случају ће рутер R1 додати мрежу М1 у своју табелу рутирања јер у њој сада не
постоји рута са бољом метриком.

Слика 3.2.1.1.2-1. Подела хоризонта спречава стварање петљи у једноставним

топологијама
Резултат описане ситуације био би стварање петље рутирања у којој ће се
пакети података адресовани на чланове мреже М1 непрестано шетати између
рутера R1 и R2 - рутер R2 ће пакете слати рутеру R1 који ће их враћати назад
рутеру R2... Овакво кружење пакета би се бесконачно понављало (а њихов број
вероватно повећавао новим пакетима намењеним мрежи М1) да није TTL
механизма Интернет протокола. Овај механизам подразумева одбацивање
пакета у тренутку када он направи 255 скокова између рутера. Међутим, овај
механизам само ублажује проблем петљи рутирања а њиховим стварањем се
непотребно заузимају комуникациони канали преносом пакета података који
никада неће стићи до одредишта.
Један од механизама којим ће се горе наведени проблем разрешити јесте тзв.
бесконачно бројање . Последњи описани корак било је додавање мреже М1
у табелу рутера R1 путем рутера R2 са метриком 3. Овим се, међутим, процес
сихнронизације рутера неће завршити, већ ће рутер R1 о насталој измени
обавестити суседне рутере, међу којима и рутер R2. Рутер R2 ће на основу ове
измене повећати метрику ка мрежи М1 на вредност 4 и о томе обавестити рутер
R1. Овај процес ће се понављати док год се не достигне вредност метрике 16,
након чега ће се рута прогласити недоступном и избацити из табела рутирања
на оба рутера.
Основни механизам протокола информација за рутирање за спречавање
стварања петљи рутирања из описаног разлога јесте подела хоризонта (енгл.

150 РАЧУНАРСКЕ МРЕЖЕ

split horizon). Овај једноставни механизам подразумева да се руте научене од
једног суседа не оглашавају том истом суседу. У једноставним линеарним
топологијама, каква је и топологија представљена на слици 1, подела хоризонта
спречава стварања петљи рутирања. Међутим, код сложенијих топологија
овакав начин избегавања петљи рутирања није довољан. Из тог разлога се
користи нешто сложенији механизам поделе хоризонта са затрованим
повратним рутама (енгл. split horizon with poisoned reverse ). Код овог
механизма се руте добијене од једног суседа њему повратно оглашавају али са
метриком 16. Предност овог механизма је што се петље рутирања уклањају у
много краћем временском периоду.

Слика 3.2.1.1.2-2. Подела хоризонта није довољна у сложеним топологијама

Код топологије приказане на слици 2. сама подела хоризонта не би спречила
стварање петље, односно за њено разрешавање би било потребно много
времена. У случају коришћења подељеног хоризонта са затрованим повратним
рутама стање конвергенције постиже се у далеко мањем временском периоду.
Негативна страна коришћења затрованих повратних рута огледа се у повећању
количине саобраћаја самог RIP протокола.
3.2.1.1.3. RIPng - протокол информација за рутирање следеће
генерације
Протокол информација за рутирање следеће генерације ( Routing Information
Protocol next generation, RIPng ) представља варијанту оригиналног RIP протокола
намењену за коришћење у мрежама адресованим шестом верзијом Интернет
протокола. Као и претходне верзије, и RIPng је заснован на коришћењу вектора
удаљености. Записе у табели рутирања овог протокола чине следећи параметри:
• IPv6 префикс одредишта.
• Метрика која представља укупан трошак за достављање пакета од

РАЧУНАРСКЕ МРЕЖЕ 151

 рутера до одредишне мреже.
• IPv6 адреса суседног рутера као првог посредника у достављању
података на одредиште. Овај параметар може бити изостављен уколико
се запис односи на неку од мрежа на које је рутер директно повезан.
• Индикатор да ли је рута мењана у скоријем периоду.
• Различити временски параметри.
С обзиром на то да протокол информација за рутирање следеће генерације
ради на апликативном слоју, он користи услуге UDP транспортног протокола.

152 РАЧУНАРСКЕ МРЕЖЕ

3.3. Остали значајни протоколи мрежног слоја
Последњих пет блокова слободних адреса Интернет протокола четврте верзије
расподељено је регионалним регистрима Интернета трећег фебруара 2011.
године. То у пракси значи да ће крајњи корисници све теже моћи да добију
адресе тог протокола од стране Интернет провајдера, док ће сами Интернет
провајдери за даље ширење морати да пређу на шесту верзију Интернет
протокола. У складу са тим, Интернет протокол шесте верзије треба имати
у виду као будући носећи протокол Интернет мреже.
Један од основних недостатака Интернет протокола представља непостојање
механизама за контролу и потврду успешности достављања пакета одредишту,
односно утврђивања настанка и узрока проблема у комуникацији. За те потребе
је развијен посебан протокол контролних порука Интернета који
надомешћује поменути недостатак самог Интернет протокола, а за који је
подршка подразумевано укључена у свим популарним оперативним системима
и мрежним уређајима који функционишу на мрежном слоју.
Следећи значајан недостатак Интернет протокола јесте немогућност испоруке
једног датаграма на више различитих одредишних адреса. Ово ограничење
намеће оптерећивање комуникационих канала вишеструким слањем пакета са
идентичним садржајем на слоју апликације. Протокол који нуди решење за
наведени проблем јесте протокол за управљање групама на Интернету -
IGMP.
3.3.1. ICMP - протокол контролних порука Интернета
Сам Интернет протокол функционише без успостављања везе и не поседује
механизме за обавештавање извора о неуспешној достави послатих датаграма.
Из тог разлога, за потребе информисања пошиљаоца о проблемима при слању
датаграма развијено је проширење Интернет протокола у виду засебног
протокола. Овај протокол је познат под називом протокол контролних порука
Интернета (енгл. Internet Control Message Protocol).
Протокол контролних порука Интернета је веома једноставан протокол који
нуди свега неколико функционалности. Поруке овог протокола углавном се
односе на грешке у обради датаграма а инкапсулирају се датаграме Интернет
протокола.
У основне типове порука које користи овај протокол спадају поруке везане за
следеће грешке запажене у обради датаграма на одредишту или на посредним
уређајима. Ове поруке су описане у наставку текста.

РАЧУНАРСКЕ МРЕЖЕ 153

 Слика 3.3.1-1. Реални ICMP пакет, забележен помоћу Wireshark алата
Поруке везане за недоступност одредишта (енгл. Destination Unreachable
Messages) углавном указују на ситуацију у којој један од посредних рутера у
својој табели рутирања није успео да пронађе руту ка захтеваној мрежи или на
ситуацију у којој је датаграм стигао до одредишне мреже али није успело
његово достављање примаоцу. Додатно, поруке овог типа су могуће и у
ситуацијама када је фрагментовање датаграма неопходно али је у његовом
заглављу фрагментовање забрањено.

Слика 3.3.1-2. Посредник информише пошиљаоца да одредиште није доступно

Поруке везане за прекорачено време обраде (енгл. Time Exceeded
Messages) углавном се односе на прекорачен дозвољен број скокова током
преноса (поље Time to live у заглављу Интернет протокола, али могу указивати и
на прекорачење дозвољеног времена за склапање изворног датаграма у
ситуацијама када је коришћено фрагментовање.
Поруке везане за проблем са одређеним параметром (енгл. Parameter
Problem Messages) указују на то да неки од посредника није био у могућности да
обради неки од додатних параметара заглавља датаграма Интернет протокола.
Показивач унутар контролне поруке упућује на октет у заглављу изворног
датаграма који је изазвао грешку.

154 РАЧУНАРСКЕ МРЕЖЕ

Поруке везане за смањење брзине слања (енгл. Source Quench Messages)
указују на то да неки од посредника није у стању да обрађује датаграме
брзином којом они пристижу, односно да ју је потребно смањити. Ове поруке се
шаљу пре достизања загушења са циљем избегавања губљења датаграма услед
немогућности прихватања у долазни бафер.
Поруке везане за преусмеравање (енгл. Redirect Messages) се користе у
случајевима када постоји боља рута ка између посредника и извора поруке.

Слика 3.3.1-3. Преусмеравање пошиљаоца протоколом контролних порука

Ехо поруке са захтевом и одговором (енгл. Echo and Echo Reply Messages)
служе за проверу могућности комуникације са одредиштем. Прималац ехо
поруке дужан је да на њу одговори, осим уколико није другачије подешен из
безбедносних разлога. Осим за утврђивање могућности остваривања
комуникације са удаљеним рачунаром ове поруке се користе и за мерење
времена потребног да датаграм дође до одредишта и одговор се врати назад до
извора.
Поруке са временским ознакама (енгл. Timestamp Messages) се користе за
утврђивање одступања часовника страна које комуницирају. У оквиру ових
порука се преносе три типа временских ознака: време на часовнику пошиљаоца,
непосредно пре слања, време на часовнику примаоца непосредно након
пријема и време на часовнику примаоца непосредно пре слања одговора.
Поруке за добијање информација о мрежи (енгл. Information Request or
Information Reply Messages) се користе од стране чланова мреже за добијање
њене адресе. Поруке овог типа које представљају захтев садрже све нуле као
вредности битова у пољима за изворишну и одредишну адресу у заглављу
датаграма Интернет протокола.

РАЧУНАРСКЕ МРЕЖЕ 155

Протокол контролних порука Интернета омогућава обавештавање извора и
посредника о насталим проблемима у комуникацији, али не даје предлоге на
који начин се они могу превазићи. Након пријема информације да је дошло до
грешке у току преноса, пошиљалац сам доноси одлуку које ће измене
применити на процес слања.
Једно од правила везаних за протокол контролних порука Интернета је да се он
никада не примењује на себе самог, односно да се никада не шаљу контролне
поруке везане за контролне поруке. Разлог за то је избегавање бесконачних
петљи које би се у противном могле јавити. Додатно, у случају фрагментовања
датаграма Интернет протокола контролне поруке се шаљу само у вези са првим
фрагментом.
3.3.1.1. Апликације које користе ICMP
ICMP је у основи системски протокол и није намењен за употребу од стране
крајњих корисника. Међутим, коришћење овог протокола може
администраторима мрежа знатно олакшати администрирање рачунарских
мрежа, првенствено када је у питању дијагностиковање проблема. Два основна
корисничка алата за коришћење ICMP протокола су ping и traceroute.
Алат ping служи за утврђивање могућности и перформанси комуникације са
удаљеним рачунаром. Рад овог алата заснива се на слању IP/ICMP датаграма и
мерењу времена потребног да се он достави до одредишта, заједно са
временом потребним да одредиште пошаље назад одговарајући датаграм.
$ ping -c5 192.168.55.10
PING 192.168.55.10 (192.168.55.10) 56(84) bytes of data.
64 bytes from 192.168.55.10: icmp_req=1 ttl=128 time=0.302 ms
64 bytes from 192.168.55.10: icmp_req=2 ttl=128 time=0.366 ms
64 bytes from 192.168.55.10: icmp_req=3 ttl=128 time=0.295 ms
64 bytes from 192.168.55.10: icmp_req=4 ttl=128 time=0.313 ms
64 bytes from 192.168.55.10: icmp_req=5 ttl=128 time=0.487 ms

--- 192.168.55.10 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.295/0.352/0.487/0.074 ms
Листинг 3.3.1.1-1. Пример коришћења алата ping
Коришћењем ping алата могу се једноставно прикупити основни подаци везани
за проходност и перформансе комуникационих канала између локалног и
удаљеног рачунара. Уколико послати датаграм успе да стигне до одредишта, то

156 РАЧУНАРСКЕ МРЕЖЕ

углавном представља потврду да је могуће остварити комуникацију
протоколима до мрежног слоја а највероватније и протоколима транспортног и
апликативног слоја. Са друге стране, немогућност комуникације на овом нивоу
обично указује на то да неће бити могуће остварити везу коришћењем
протокола на апликативном слоју. Ипак, ово не мора да буде правило с обзиром
на то да поруке ICMP протокола често одбацују firewall посредници због
безбедносних разлога.
Осим за проверу везе са удаљеном адресом алат ping се може ефикасно
користити и за дијагностиковање осталих проблема у мрежи. На пример,
уколико се као удаљена адреса наведе симболичка адреса (листинг 2.)
аутоматски ће се извршити њено превођење у логичку адресу - адресу Интернет
протокола.
$ ping www.google.com
PING www.google.com (209.85.148.103) 56(84) bytes of data.
64 bytes from www.google.com (209.85.148.103): icmp_req=1 ttl=53 time=42.8 ms
$
Листинг 3.3.1.1-2. Коришћење ping алата за проверу разрешавања адреса
Следећи значајан случај представља немогућност превођења симболичке у
логичку адресу, задате као аргумент ping алата (листинг 3.). Најчешћи узрок томе
је погрешно унета симболичка адреса, односно непостојећа симболичка адреса,
или грешка у раду коришћених DNS сервера.
$ ping www.google.com
ping: unknown host www.google.com
$
Листинг 3.3.1.1-3. Коришћење ping алата за проверу разрешавања адреса
Алат traceroute користи се за утврђивање путање којом пакети путују од
изворишне до одредишне адресе, односно од локалног до удаљеног рачунара.
Овај алат је нешто сложенији од ping алата а њихова заједничка карактеристика
је да користе ICMP протокол као основу свог рада.
У оквиру листинга 4. дат је пример коришћења конзолног traceroute програма за
утврђивање руте и посредника између локалног рачунара и сервера на адреси
www.google.com. На основу резултата извршавања овог програма може се
закључити да између локалног и удаљеног рачунара постоји 6 посредника.

РАЧУНАРСКЕ МРЕЖЕ 157

$ traceroute www.google.com
traceroute to www.google.com (209.85.148.103), 30 hops max, 60 byte packets
1 192.168.60.12 (192.168.60.12) 0.419 ms 0.813 ms 0.972 ms
2 79-101-159-1.isp.telekom.rs (79.101.159.1) 7.641 ms 9.040 ms 9.957 ms
3 212.200.15.221 (212.200.15.221) 11.424 ms 12.343 ms 13.793 ms
4 212.200.6.238 (212.200.6.238) 14.789 ms 16.188 ms 17.430 ms
5 79.101.106.2 (79.101.106.2) 25.807 ms 26.674 ms 28.063 ms
6 209.85.242.228 (209.85.242.228) 29.042 ms 23.735 ms 13.664 ms
7 72.14.232.102 (72.14.232.102) 30.110 ms 31.517 ms 37.913 ms
8 www.google.com (209.85.148.103) 38.252 ms 39.190 ms 40.196 ms
Листинг 3.3.1.1-4. Пример коришћења traceroute алата
Поред основног, конзолног алата за утврђивање руте комуникације између
локалног и удаљеног рачунара постоје и графички алати ове намене. Ови алати
су допуњени функцијама за коришћење GeoIP сервиса и у њима се добијене
адресе посредника преводе у њихове приближне географске координате, тако
да се целокупна путања комуникације графички представља на карти света.

Слика 3.3.1.1-1. Пример коришћења traceroute алата са графичким интерфејсом

Још један значајан софтверски алат чији се велики број функција ослања на
коришћење ICMP протокола јесте мрежни мапер Nmap. Овај алат се користи за
откривање активних чланова мреже, утврђивање типа и верзије оперативног
система удаљеног рачунара, скенирање отворених портова, итд. Овај алат се у
пракси веома често користи од стране мрежних администратора.

158 РАЧУНАРСКЕ МРЕЖЕ

# nmap -O 192.168.1.1

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-25 09:20 CEST

Nmap scan report for 192.168.1.1
Host is up (0.0028s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
MAC Address: 00:1E:E3:7A:98:B7 (T&W Electronics (ShenZhen) Co.)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 - 2.6.31
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at

http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.81 seconds
Листинг 3.3.1.1-5. Пример коришћења nmap алата за утвђивање отворених
портова и оперативног система на удаљеном рачунару
Поред наведених постоји и велики број других софтверских алата чији се рад у
мањој или већој мери заснива на коришћењу ICMP протокола за потребе
утврђивања стања комуникационих канала и удаљених рачунара.
3.3.1.2. Злоупотреба ICMP протокола
ICMP протокол представља одличну основу за проверу рада рачунарске мреже,
доступности удаљених рачунара, актуелних рута, перформанси и т.д. Међутим,
веома често је у пракси скуп функционалности које овај протокол може да
понуди намерно ограничен из безбедносних разлога. Два основна типа
безбедносних проблема везаних за овај протокол су:
1. ICMP протокол се може злоупотребити за прикупљање података
неопходних за извршавање напада на удаљени рачунар или рачунарску
мрежу;
2. ICMP протокол се може злоупотребити за онемогућавање нормалног
рада удаљених рачунара и комуникационих канала;
Са тачке гледишта нападача ICMP протокол представља драгоцен алат за

РАЧУНАРСКЕ МРЕЖЕ 159

прикупљање података о удаљеном рачунару или рачунарској мрежи. У оквиру
листинга 1. дат је пример коришћења ICMP протокола за утврђивање које
адресе мреже 192.168.1.0/24 су заузете од стране чланова. За потребе овог
скенирања коришћен је алат nmap, скенирање 256 адреса је укупно трајало око
3 секунде, а њиме је утврђено да се на адресама 192.168.1.12, 192.168.1.15 и
192.168.1.20 налазе активни чланови. Информацију о заузетим адресама
нападач може искористити на различите начине - даља анализа њихових
карактеристика, заузимање неке од слободних адреса, преотимање неке од
заузетих адреса и т.д.
$ nmap -sP 192.168.1.*
Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-24 11:00 CEST
Nmap scan report for 192.168.1.12
Host is up (0.0020s latency).
Nmap scan report for 192.168.1.15
Host is up (0.00079s latency).
Nmap scan report for 192.168.1.20
Host is up (0.0018s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 3.07 seconds
Листинг 3.3.1.2-1. Пример коришћења nmap алата за проналажење активних
чланова мреже
У оквиру листинга 2. приказана је злоупотреба ICMP протокола у циљу
онемогућавања нормалног рада удаљеног рачунара. У односу на
подразумевано коришћење ping алата уведене су следеће измене: 1) укључен је
режим преплављивања (опција -f) у коме се је избегнута пауза од 1 секунде
између слања пакета; 2) подразумевана величина пакета од 64 бајта повећана је
на највећу могућу вредност од 65.535 бајтова; 3) захтевано је слање 10.000
пакета задате величине. Наведене измене су начињене у циљу онемогућавања
нормалног рада удаљеног рачунара путем оптерећивања његовог
комуникационог канала и централног процесора.
Статистика дата на крају листинга 2. показује да на послатих 10.000 захтева
одредишни рачунар није успео да одговори на њих 4.736, а да је цео процес
трајао 147,658 секунди. У том периоду слање података је вршено брзином од
33,5Mb/s, а пријем брзином од 17,8Mb/s. Губитак 47 процената пакета, односно
разлика од 15,7Mb/s између просечних брзина слања и пријема пакета,
последица је превеликог оптерећења неког сегмента комуникационог канала
између пошиљаоца и примаоца, или је у питању ограничење капацитетом
централног процесора примаоца.

160 РАЧУНАРСКЕ МРЕЖЕ

# ping -f -s 65507 -c 10000 192.168.1.12
PING 192.168.1.12 (192.168.1.12) 65507(65535) bytes of data.
..............................................................................
..........................................................
--- 192.168.1.12 ping statistics ---
10000 packets transmitted, 5264 received, 47% packet loss, time 147658ms
rtt min/avg/max/mdev = 36.779/578.688/882.137/124.448 ms, pipe 63, ipg/ewma
14.767/433.750 ms
Листинг 3.3.1.2-2. Коришћење ping алата за преплављивање одредишта
У сваком случају, очекивана последица овог напада на удаљени рачунар јесте
отежана или потпуно онемогућена његова комуникација са осталим рачунарима
у мрежи. Овај тип напада спада у категорију напада чији је циљ ускраћивање
услуге (енгл. denial of service) а често се извршава и у дистрибуираној варијанти
у којој се већи број рачунара користи на описани начин за напад на један
рачунар или комуникациони канал.
3.3.2. IGMP - протокол за управљање групама на Интернету
Два најједноставнија начина слања података у рачунарским мрежама јесу слање
појединачном примаоцу (енгл. unicast) и емисионо слање (енгл. broadcast). Ови
начини слања су подржани у самом Интернет протоколу, као и у популарним
технологијама на слоју везе података (Етернет технологија на пример). Сам
Интернет протокол не дозвољава постојање више од једне одредишне адресе у
заглављу пакета.
Постоје, међутим, ситуације у којима је потребно исту поруку доставити
вишеструким, али не и свим члановима локалне мреже као и ситуације у којима
се примаоци не налазе унутар једне исте мреже. У таквим ситуацијама потребно
је користити систем за слање једне поруке вишеструким примаоцима (енгл.
multicast), на нивоу мрежног протокола. Такав систем за потребе Интернет
протокола обезбеђује протокол за управљање групама на Интернету
(енгл. Internet Group Management Protocol, IGMP ).
Поједностављено гледано, функцију слања једне исте поруке вишеструким
примаоцима могуће је постићи и вишеструким слањем те поруке, у свакој
итерацији адресованом за наредног примаоца (слика 1.).
Наведени приступ, међутим, поседује значајна ограничења. Његов основни
недостатак односи се на вишеструко оптерећење пошиљаоца и посредујућих
комуникационих канала и уређаја. Довољно је за пример узети ситуацију у којој
сервер видео-стриминга опслужује неколико стотина клијената, па да се одмах

РАЧУНАРСКЕ МРЕЖЕ 161

увиди немогућност постизања жељеног резултата вишеструким слањем услед
ограничења пропусном моћи првих сегмената комуникационог канала.

Слика 3.3.2-1. Вишеструка испорука поновљеним слањем

Коришћењем Интернет протокола за управљање групама могуће је решавање
описаног проблема на такав начин да се један комуникациони канал никада не
оптерети више пута једном истом поруком. Кључну улогу у овом решењу играју
рутери са подршком за протокол за управљање групама на Интернету и D класа
адреса четврте верзије Интернет протокола.

Слика 3.3.2-2. Вишеструка испорука адресовањем на вишеструке примаоце

Две основне улоге код протокола за управљање групама на Интернету јесу улога
члана групе и улога рутера који подржава овај протокол. Обавезе члана укључују
управљање својим чланством у одређеној групи. Насупрот томе, задатак рутера

162 РАЧУНАРСКЕ МРЕЖЕ

са подршком за овај протокол је да ажурира информације о активним групама и
њиховим члановима у локалној мрежи и да посредује између њих и извора
саобраћаја.
Рад протокола за управљање групама на Интернету заснован је на коришћењу
три типа порука:
1. поруке са захтевом учлањивања у одређену групу,
2. поруке са потврђивањем чланства у одређеној групи и
3. поруке са информацијом о изласку из одређене групе (у претходним
верзијама).
Поруке протокола за управљање групама на Интернету се инкапсулирају у
поруке Интернет протокола. С обзиром на вредност параметра TTL један, ове
поруке служе за комуникацију унутар локалне мреже. Тренутно актуелна
верзија протокола за управљање групама на Интернету је три а она нуди
одређени ниво компатибилности и са претходним верзијама.

РАЧУНАРСКЕ МРЕЖЕ 163

4. Транспортни слој
Транспортни слој у референтним OSI и TCP/IP моделима рачунарских
комуникација задужен је за пренос података апликација између две
комуникационе стране. Он чини слој између слоја апликације и мрежног слоја.
Општа улога транспортног слоја иста је као и код осталих комуникационих
слојева - да омогући комуникацију слоја изнад и слоја испод (у овом случају
слоја апликације са слојем мреже). Конкретна улога транспортног слоја јесте да
прихвати податке од апликације на страни пошиљаоца и достави их апликацији
одредишта старајући се о преносу, контроли и исправљању грешака при
преносу и о гарантовању испоруке. Подршка за транспортни слој је углавном
реализована на нивоу оперативних система рачунара, с тим да сам транспортни
слој у њима није експлицитно дефинисан већ се реализје кроз подршку за
протоколе тог слоја.

Слика 4-1. Пример комуникације протокола мрежног и суседних слојева

Након прихватања података од слоја апликације транспортни слој има задатак
да их преведе у облик погодан за транспорт. Функционалности које се углавном

164 РАЧУНАРСКЕ МРЕЖЕ

очекују од транспортног слоја су:
1. Остваривање виртуелне везе за пренос података.
2. Превођење података у (углавном бинарни) формат погодан за пренос.
3. Сегментација података ради ефикаснијег искоришћења комуникационог
канала.
4. Испорука података апликацији на страни примаоца у идентичном
облику у ком су послати.
5. Омогућавање оптималне брзине преноса података у складу са
пропусном моћи и учесталошћу грешака на комуникационом каналу и
прихватној моћи примаоца.
Ентитете апликативног слоја је могуће адресовати путем портова по сопственом
избору с тим да је за стандардизацију у овој области задужена организација
IANA. Ово тело на захтев произвођача софтвера анализује оправданост за
званичним додељивањем слободних портова (у складу са распрострањеношћу
сервиса за који се порт захтева) и додељује захтевани порт уколико је доступан.
Пре званичног додељивања порта сервису потребно је остварити одређену
општост, односно популарност сервиса.

4.1. Портови
Иако је адресовање подразумевана улога мрежног слоја, транспортни слој
поседује интерни систем адресовања чија је адресна јединица порт. Порт је
одређен 16-битним нумеричким параметром и његова је улога да одреди
изворни/одредишни ентитет апликативног слоја (апликацију) од кога потичу
подаци, односно коме треба испоручити податке.
Портови се могу поделити на привилеговане, регистроване и динамичке (или
краткотрајне). Привилеговани портови се налазе у опсегу бројева од 0 до 1023 и
право на њихово отварање углавном има само оперативни систем или процеси
које је покренуо администратор система. На привилегованим портовима се
налазе најчешће коришћени сервиси ( FTP, SSH, Telnet, DNS и други).
Регистровани портови се крећу у опсегу од 1024 до 49151 и на њима се
подразумевано користе сервиси новијег датума. Динамички или краткотрајни
портови крећу се у опсегу од 49152 до 65535 и њих није могуће регистровати а
углавном служе за клијентске компоненте клијент/сервер софтвера.

РАЧУНАРСКЕ МРЕЖЕ 165

4.2. Утичнице
Појам и функционалност утичница (енгл. socket) први пут се појављују у верзији
4.2 BSD UNIX оперативног система, а данас су оне де факто стандард за све
популарне оперативне системе који подржавају мрежне функционалности.
Утичнице представљају композитне адресне јединице на нивоу транспортног и
мрежног слоја. Саставни делови утичница су:
1. IP адреса изворишта
2. Порт изворишта
3. Протокол транспортног слоја
4. Порт одредишта
5. IP адреса одредишта
Подршка за утичнице у оперативним системима најчешће се реализује помоћу
готових системских библиотека. Неке од најпопуларнијих библиотека овог типа
су Berkeley socket за UNIX оперативне системе и Winsock за оперативне системе
компаније Мајкрософт. Осим употребе у рачунарским мрежама утичнице се
могу користити и код апликација које се извршавају на локалном рачунару. На
пример, X Window System графички систем на UNIX платформи захтева
коришћење утичница да би функционисао.

166 РАЧУНАРСКЕ МРЕЖЕ

4.3. TCP - протокол за контролу преноса
Протокол за контролу преноса (енгл. Transmission Control Protocol, TCP) података
је протокол задужен за рад са подацима у транспортном слоју. У питању је
протокол са успоставом везе дизајниран да за податке користи низове бајтова и
да обезбеди поуздан пренос података у оба смера ( full-duplex). Овај протокол је
погодан за рад на комуникационим каналима високе поузданости а показује
слабије перформансе на комуникационим каналима са честим оштећењем
података током преноса.
Протокол за контролу преноса један је од најчешће коришћених протокола на
транспортном слоју када су у питању Интернет и класичне локалне мреже. Овај
протокол је већ годинама у употреби а разлог томе је пре свега оптималан рад
на Етернет технологији. Иницијално је дефинисан у документу RFC793 а касније
је његова спецификација неколико пута мењана у складу са новим потребама и
могућностима рачунарских мрежа. Неки параметри протокола за контролу
преноса одређени су у складу са ограничењима комуникационих канала (на
пример, MTU параметар је ограничен на 536 бајтова за везе са странама које
нису у локалној мрежи) али су се временом показали неадекватним услед
значајних унапређења брзина и поузданости комуникационих канала.
Савремена окружења за развој дистрибуираних апликација најчешће имају
развијену подршку за коришћење протокола за контролу преноса или
протокола вишег нивоа који користе његове услуге. То значи да овај протокол
представља de facto стандард за развој дистрибуираног софтвера који захтева
поуздан пренос података. Неки од најпопуларнијих сервиса интернета (Веб,
електронска пошта и други) подразумевају коришћење овог протокола.
4.3.1. Управљање везом
При коришћењу протокола за управљање преносом две стране морају да
успоставе везу између себе као предуслов за даљу размену података.
Успостављање везе се врши путем следећих корака:
1. Клијент серверу шаље сегмент са SYN индикатором који садржи број
порта сервера на који клијент жели да се повеже и са ISN-ом клијента.
2. Сервер одговара на SYN захтев клијента сегментом који садржи ACK
индикатор са ISN-ом клијента увећаним за један. Сегмент такође садржи
SYN индикатор сервера са његовим ISN.
3. Клијент одговара на SYN захтев сервера шаљући сегмент са ACK
индикатором који садржи ISN сервера увећан за један.

РАЧУНАРСКЕ МРЕЖЕ 167

Ова три корака се називају “руковање” (енгл. handshake) и уколико не дође до
грешке у њима, веза је успостављена. Страна која иницира успостављање везе
извршава активно успостављање везе (енгл. active open) док страна која
прихвата успостављање везе извршава пасивно успостављање везе (енгл.
passive open). Једном успостављена веза остаје активна док год се не захтева
њен прекид или док једна од страна не изгуби евиденцију о њој (нпр.
ресетовањем рачунара). То значи да су у периодима када се веза не користи за
пренос података могући прекиди на свим нижим слојевима (укључујући и
физички).
Код прекида успостављене везе потребно је да обе стране добију информацију
да је веза прекинута и да даљи пренос података није могућ. Прекид везе може
иницирати свака од страна, без обзира на то која страна је иницирала
успостављање везе. За прекид везе се користе FIN индикатори у TCP заглављу а
редослед сегмената је следећи:
1. Страна која иницира прекид шаље TCP сегмент са укљученим FIN
индикатором.
2. Прималац одговара сегментом са укљученим ACK индикатором.
3. За потпуни прекид везе прималац шаље сегмент са укљученим FIN
индикатором.
4. Иницијатор прекида шаље одговор у виду сегмента са укљученим ACK
индикатором.
Страна која иницира прекид везе извршава активан прекид везе (енгл. active
close) док страна која прихвата прекид везе извршава пасиван прекид везе
(енгл. passive close). Уколико једна страна иницира прекид везе (пошаље
сегмент са FIN индикатором и прими сегмент са ACK индикатором) а друга
задржи везу успостављеном таква веза се назива полу-затвореном (енгл. half-
close) и њоме се надаље могу слати само подаци у једном смеру.
4.3.2. Сегментација података
Протокол за контролу преноса на страни пошиљаоца од слоја апликације
преузима податке у виду низа битова условно неограничене дужине. Међутим,
за потребе преноса добијени низ података се дели у сегменте мање битске
дужине. Ови сегменти се преносе појединачно а на пријемној страни се спајају у
низ идентичан послатом. Добијени низ битова се испоручује слоју апликације.
Иако се протокол за контролу преноса може користити у спрези са различитим
протоколима осталих слојева, он све функције неопходне за поуздан пренос

168 РАЧУНАРСКЕ МРЕЖЕ

подака обезбеђује самостално. За сваки послати сегмент података захтева се
потврда примаоца о успешном пријему без грешке. Слање оштећених и
изгубљених сегмената се понавља све док се не обави успешан пренос.
Сегменти представљају основну јединицу података протокола за контролу
преноса. Они се састоје од заглавља (које генерише и интерпретира сам
протокол) и података који се преносе (које генерише/преузима слој апликације).
Апликативни подаци нису обавезан део сегмента и изостављени су код
контролних сегмената (на пример сегмената задужених за успостављање и
прекид везе).

Слика 4.3.2-1. Структура сегмента протокола за контролу преноса

Заглавље сегмента се састоји од поља фиксне дужине која садрже информације
везане за протокол. Битска дужина заглавља је пет пута по 32 бита, уколико нису
укључене опције. Битска дужина целокупног сегмента једнака је битској дужини
заглавља (уколико се сегментом не преносе подаци апликације) или збиру
битске дужине заглавља и битске дужине података добијених од слоја
апликације.

Слика 4.3.2-2. Сегменти TCP протокола се инкапсулирају у IP датаграме

Осим основног дела заглавље може садржати и додатне опције везане за

РАЧУНАРСКЕ МРЕЖЕ 169

протокол. Свака опција заглављу додаје реч од 32 бита. Уколико опција не
садржи довољно података да испуни 32 бита, преостали битови се допуњавају
нулама. Неке од најважнијих опција TCP протокола су MSS (Maximum Segment
Size), WSOPT (Window Scale Option), SACK (Selective ACK) и SACK Permitted.
Садржај опција такође улази у контролну суму сегмената ( TCP checksum).
4.3.2.1. Поузданост и перформансе
Перформансе протокола за контролу преноса углавном су знатно слабије у
поређењу са протоколима који раде без успостављања везе и не нуде поуздан
пренос. Такође, овај протокол не подржава broadcasting и multicasting већ
омогућава комуникацију између искључиво две стране. Међутим, главна
карактеристика TCP протокола је поузданост. С обзиром на то да IP протокол
(протокол мрежног слоја) не гарантује поздан пренос података, поузданост TCP
протокола се остварује путем следећих правила:
• Податке које апликација доставља транспортном слоју TCP дели у
сегменте које шаље појединачно. На тај начин се смањује јединица над
којом се врши контрола и на тај начин смањује могућност и цена
исправљања грешке.
• TCP захтева потврду да је сваки од послатих сегмената испоручен.
Подаци се након слања чувају у излазном баферу до добијања потврде о
пријему. Уколико потврда о испоручивању не стигне у одређеном
временском року, сегмент се шаље поново.
• TCP елиминише исте сегменте које је мрежни слој грешком доставио два
или више пута.
• TCP реорганизује примљене сегменте по изворном редоследу без
обзира на редослед којим их мрежни слој доставља.
• TCP приликом слања сегмената генерише контролне параметре везане
за заглавље и садржај. Уколико приликом преноса сегмента дође до
измена заглавља или садржаја, ове суме указују на њих и захтева се
поновно слање сегмента.
• TCP прилагођава фреквенцију слања сегмената прихватној моћи
примаоца чиме спречава одбацивање сегмената (и непотребно
оптерећење комуникационог канала) и смањује могућност грешке.
Добијене корисничке податке (тј. податке које доставља апликативни
слој) TCP протокол третира као низ бајтова. Уколико добијени низ
бајтова прелази највећу дозвољену величину сегмента ( MSS, Maximum
Segment Size), низ се дели и шаље са више прихватљивих сегмената.

170 РАЧУНАРСКЕ МРЕЖЕ

Параметар MSS свака страна доставља супротној у оквиру сегмента са SYN
индикатором (при упостављању везе) а, уколико та опција сегмента није дата
експлицитно, користи се подразумевана системска вредност од 536 бајтова.
Укупна величина TCP сегмента (укључујући заглавље и податке) са MSS-ом од
536 бајтова износи 556 бајтова. Величина IP датаграма оваквог пакета би
износила 576 бајтова (556 бајтова TCP сегмента + 20 бајтова IP заглавља). Дакле,
IP датаграм са оваквом величином MSS-а садржи 536 бајтова (93%) корисничких
података и 40 бајтова (7%) података везаних за TCP и IP протоколе. То значи да је
у оваквом случају комуникационим каналом пропусне моћи 100Mb/s у једној
секунди могуће пренети 93Mb корисничких података. Уколико вредност MSS-а
повећамо на 3.960 бајтова укупна величина IP датаграма би износила 4.000
бајтова (величине TCP и IP заглавља остају исте по сегметну и датаграму). У том
случају би однос корисничких података и података везаних за протоколе
износио 99:1. Таква вредност MSS-а би на комуникационом каналу пропусне
моћи 100Mb/s омогућила пренос 99Mb корисничких податак у секунди. Из овога
би се могло закључити да већа вредност MSS-а омогућава веће брзине преноса
тј. ефикасније коришћење комуникационог канала. Међутим, овакав закључак је
тачан само у случају када комуникациони канал и интерфејси ка њему
омогућавају пренос података без грешака. У случајевима када се јављају грешке
при преносу (што захтева поновно слање оштећених сегмената) високе
вредности MSS-а могу имати супротан ефекат или чак у потпуности онемогућити
комуникацију. Опција MSS стоји у блиској вези са перформансама TCP
протокола. Негативан утицај на перформансе овог протокола може имати и
потреба да се за сваки достављени сегмент засебно достави потврда о
испоруци.
Слање ACK сегмента за сваки успешно примљени сегмент у одређеним
случајевима може представљати непотребно оптерећење комуникационог
канала. Међутим, пошиљалац може слањем пакета са SACK permitted опцијом
овластити клијента за периодично слање сегмента са SACK опцијом - сегмента
који садржи обавештење о више успешно примљених сегмената. На тај начин се
растерећује комуникациони канал на рачун излазног бафера пошиљаоца.
Основна потврда о испоруци се шаље у виду сегмента са укљученим АЦК
индикатором. Помоћу опције SACK (Selective ACK) могуће је послати потврду за
више примљених пакета у оквиру једног сегмента. За ову опцију је потребно да
и друга страна дозволи њено коришћење слањем пакета са SACK Permitted
опцијом.

РАЧУНАРСКЕ МРЕЖЕ 171

4.4. Протокол корисничких датаграма
Протокол корисничких датаграма (енгл. User Datagram Protocol, UDP) поред
протокола за контролу преноса представља један од најчешће коришћених
транспортних протокола Интернета и локалних рачунарских мрежа. Насупрот
протоколу за контролу преноса, протокол корисничких датаграма не омогућава
поуздан пренос података путем остваривања виртуелне везе, контроле грешака,
контроле редоследа сегмената и не прилагођава брзину слања података
пријемној моћи одредишта. Недостатак ових функционалности чини протокол
корисничких датаграма једноставнијим протокола за контролу преноса, али и
протоколом који не гарантује поуздан пренос података.
Међутим, намена протокола корисничких датаграма није поуздан пренос
података, већ пренос са што мањим временским неслагањима између
генерисања података на страни изворишта и пријема података на одредишту.
Главне примене овог протокола су код проточног преноса гласа и видео
материјала (Интернет телефонија, видео конференције, рачунарске игрице и
слично). Предност протокола корисничких датаграма у односу на протокол за
контролу преноса је могућност емисионог слања података, односно
истовременог слања података свим члановима мреже. Јединица за пренос
података протокола корисничких датаграма је датаграм. Структура датаграма
овог протокола је знатно једноставнија од структуре сегмената протокола за
контролу преноса јер је у њима изостављена већина контролних информација.
Недостатак контролних информација чини UDP протокол знатно ефикаснијим у
смислу мањег оптерећења комуникационог канала контролним подацима и
мањег оптерећења примаоца датаграма у смислу његове једноставније обраде.

Слика 4.4-1. Структура датаграма протокола корисничких датаграма

Сва поља у заглављу датаграма UDP протокола имају дужину од 16 битова а у
њих спадају:

172 РАЧУНАРСКЕ МРЕЖЕ

 • Број порта на изворишту (енгл. Source port number) - одређује порт преко
кога се комуникација врши на страни пошиљаоца.
• Број порта на одредишту (енгл. Destination port number) - одређује порт
преко кога се комуникација врши на страни примаца.
• Дужина (енгл. Length) - битска дужина података које датаграм носи.
• Контролна сума (енгл. Checksum) - контролна сума заглавља и пакета.
Неотпорност UDP протокола на грешке при преносу, вишеструко достављање
истих датаграма или губитак података, достављање података у измењеном
редоследу и слично могуће је надоместити функционалностима у апликативном
слоју. Неке апликације које користе UDP протокол примењују овакав приступ (на
пример TFTP сервис). Међутим, коришћењем UDP протокола апликације
угавном очекују максималне перформансе преноса без обзира на грешке и
додатни системи за исправљање грешака би угрозили нормалан рад поменутих
апликација.

РАЧУНАРСКЕ МРЕЖЕ 173

5. Слој апликације
Са корисничке тачке гледишта рачунарске мреже представљају само
инфраструктуру којом путем одговарајућих апликација шаљу и примају податке.
Два основна типа софтвера на слоју апликације јесу корисничке апликације и
сервиси.

Слика 5-1. Слој апликације посредује између корисника и рачунарске мреже

Апликације представљају облик реализације софтвера намењен за непосредно
коришћење од стране корисника. У складу са тим апликације поседују
одговарајући (графички, алфа-нумерички или неки други) кориснички
интерфејс.

Слика 5-2. Апликације представљају интерфејс између корисника и мреже

174 РАЧУНАРСКЕ МРЕЖЕ

Сервиси, насупрот апликацијама, представљају реализацију код које се
софтверски процеси извршавају „у позадини“ рачунарског система, односно не
поседују кориснички интерфејс. Корисник се о овим процесима може
информисати само посредно (на пример, коришћењем наредбе top на Линукс
оперативном систему) а њихова улога јесте подршка осталим софтверским
процесима на локалном или удаљеним рачунарима. На пример, Веб сервис
подразумева постојање корисничке апликације (Веб браузер) и серверског
софтвера (Веб сервер).

Слика 5-3. Клијентске апликације често размењују податке са сервисима

Популарно име за сервисе на UNIX оперативним системима је демони (енгл.
daemon). Овај термин се у рачунарству први пут појавио 1963. године, а
употребили су га учесници на пројекту MAC компаније IBM. Као инспирацију за
увођење овог термина учесници пројекта наводе Максвелове демоне из
области физике и термодинамике. Називи сервисних процеса на UNIX
оперативним системима се најчешће завршавају словом d, на пример httpd,
mysqld...
$ ps -A
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME CMD
...
root 2146 0.0 0.0 6060 1484 ? Ss Jun19 0:11 cupsd
root 2151 0.0 0.0 2076 416 ? Ss Jun19 0:00 crond
root 2175 0.0 0.0 2840 184 ? S Jun19 0:00 mysqld
root 2325 0.0 0.0 64836 564 ? Ss Jun19 0:13 httpd
...
Листинг 5-1. Сервисни процеси као извод из листе активних процеса
У пракси се често инфицирајући део „тројанских коња“ (тип малициозног
софтвера) реализује у виду сервиса који од клијентске компоненте - апликације
коју користи нападач - добија инструкције. Rootkit алати на UNIX оперативном
систему пример су наведеног софтвера а тешко се откривају јер се на
специфичан начин скривају од системских алата за листање активних процеса.

РАЧУНАРСКЕ МРЕЖЕ 175

5.1. Софтверске архитектуре мрежних сервиса
Софтверске архитектуре дефинишу на који начин се организују
функционалности софтвера за дистрибуирану обраду података. За потребе
одговарања на различите потребе корисника рачунарских мрежа развијено је
више софтверских архитектура које пружају одговарајуће функционалности.
Прва мрежна сотфверско-хардверска архитектура јесте тзв. host-based
архитектура коју су чинили мејн-фрејм рачунари и на њих прикључени
терминали. Код ове архитектуре је целокупну обраду података извршавао мејн-
фрејм рачунар а терминали су чинили интерфејс између мејн-фрејм рачунара и
крајњих корисника. Данас одређени елементи ове архитектуре постају поново
актуелни кроз Веб апликације и оперативне системе, као и рачунарство у облаку
(енгл. cloud computing).

Слика 5.1-1. Топологија мејн-фрејм архитектуре

Вероватно најпопуларнија мрежна софтверска архитектура данас јесте клијент-
сервер архитектура. Ова архитектура представља корак од мејн-фрејм
архитектуре ка обради података на клијентима, али са одређеном
централизованом обрадом на серверу. Оваквим приступом је омогућено
растерећивање сервера кроз измештање одређених функција на клијенте, уз
задржавање могућности централизовања одређених функција за потребе
безбедности и стабилности система. Реализација ове архитектуре подразумева
постојање упарених софтверских компоненти - клијентске и серверске. Клијент-
сервер архитектура може бити реализована у два или више слојева.

176 РАЧУНАРСКЕ МРЕЖЕ

 Слика 5.1-2. Топологија клијент-сервер архитектуре
Архитектура равноправних чланова (енгл. peer-to-peer) је софтверска
архитектура са највишим нивоом аутономије у дистрибурираној обради
података. Код ове архитектуре нема хијерархијске поделе чланова, већ сви
чланови обављају локалну обраду података, уз могућност обраћања осталим
члановима за функције и ресурсе који нису локално доступни. Основни
недостатак архитектуре равноправних чланова односи се на отежану
администрацију и контролу чланова.

Слика 5.1-3. Топологија архитектуре равноправних чланова

Сервисно оријентисана архитектура један је од савремених приступа у
дистрибуираном рачунарству. Основна идеја код ове архитектуре јесте
омогућавање лакшег развоја и одржавања информационих система кроз
мрежно коришћење софтверских функција доступних на осталим рачунарима.

РАЧУНАРСКЕ МРЕЖЕ 177

Данас постоји велики број затворених и отверних технологија којим се реализују
системи засновани на овој архитектури.
5.1.1. Клијент-сервер архитектура
Клијент-сервер архитектура представља један од данас најчешће коришћених
приступа код дистрибуиране обраде података. Корени ове архитектуре налазе
се код мејнфрејм рачунара и на њих прикључених терминала. Сличност са овом
архитектуром јесте постојање једног члана способног за извршавање задатака
који су ван могућности осталих чланова мреже. Постоје, међутим, битне разлике
између ове две архитектуре. Код мејн-фрејм архитектуре терминали немају
никакву могућност обраде података, док код клијент-сервер архитектуре
клијенти од сервера добијају податке које, затим, користе у локалном процесу
обраде. Затим, мејн-фрејм рачунари представљају аутономне чланове мреже
који за процес обраде података користе локалне ресурсе. Насупрот томе, сервер
се у виду клијента може обратити другим серверима у мрежи за одређени
ресурс или дистрибуирану обраду.

Слика 5.1.1-1. Двослојна клијент-сервер архитектура

Основна клијент-сервер архитектура подразумева постојање два слоја - слоја
клијента и слоја сервера (слика 1.). Код двослојне клијент-сервер архитектуре
софтверско решење се разлаже на једну искључиво клијентску, и једну
искључиво серверску компоненту. Пример основне, двосјлојне клијент-сервер
архитектуре јесте мрежа у којој корисници путем апликација на својим
рачунарима приступају централној бази података.
У пракси су честе и клијент-сервер архитектуре са три слоја јер се њима лакше

178 РАЧУНАРСКЕ МРЕЖЕ

решавају питања заштите података и контроле приступа. На пример, Веб
апликације најчешће користе трослојну клијент-сервер архитектуру на такав
начин да основни клијентски део чини Веб браузер, средњи слој чини
апликативни Веб сервер, а сервер базе података чини трећи, серверски слој
(слика 2.). У таквој организацији средњи слој је реализован као серверска
компонента, гледано са аспекта Веб браузера, односно као клијентска
компонента, гледано са аспекта сервера базе података.

Слика 5.1.1-2. Трослојна клијент-сервер архитектура

На примеру трослојне архитектуре јасно се може стећи увид да се појмови
„клијент“ и „сервер“ не односе на хардверске карактеристике рачунара, већ на
типове процеса, или чак њихове процедуре, који се на тим рачунарима
извршавају. Уколико неки процес, или један његов део, захтева услугу од другог
процеса (било на локалном или на удаљеном рачунару) његово понашање се
спада у клијентски део клијент-сервер архитектуре. И обрнуто, уколико неки
процес чека на захтеве других процеса, његово понашање спада у серверски
део клијент-сервер архитектуре. Опште правило за одређивање улоге код
клијент-сервер архитектуре дефинише да је клијентска страна она која од друге
стране захтева услугу, а да је серверска страна она која чека на захтев од друге
стране и испоручује одговор на њега.

РАЧУНАРСКЕ МРЕЖЕ 179

5.1.1.1. Итеративна и конкурентна обрада захтева
Постоји велики број различитих стратегија за оптимално искоришћавање
процесорских, меморијских и комуникационих капацитета рачунарских система
и мрежа. Сервери се. у зависности од начина на који распоређују обраду
вишеструких захтева, деле на:
• сервере са итеративном обрадом захтева и
• сервере са конкурентном обрадом захтева.
Сервери са итеративном обрадом захтева ослушкују на додељеном порту
чекајући на захтев клијента. Након прихватања захтева клијента захтеви осталих
клијената се одбацују или чекају у улазном баферу све док се прихваћени захтев
не обради и резултати његове обраде пошаљу натраг клијенту.

Слика 5.1.1.1-1. Итеративна обрада захтева

Мана итеративне обраде захтева је у томе што такав приступ може знатно
утицати на перформансе у смислу броја обрађених захтева по јединици
времена. Уколико обрада једног захтева у току свог извршења заузме све
ресурсе сервера, перформансе се могу сматрати оптималним. Међутим,
уколико обрада захтева одузме додатно време услед чекања на ресурс (који
није потребан за обраду осталих захтева, одбачених или који чекају у улазном
баферу), итеративни приступ показује лошије перформансе од конкурентног.
Главна предност итеративног приступа јесте елиминисање проблема
конкурентног приступа интерним ресурсима сервера.
Конкурентна обрада захтева је приступ који нуди боље перформансе од

180 РАЧУНАРСКЕ МРЕЖЕ

итеративног приступа у ситуацијама у којим сервер обрађује велики број захтева
од стране више клијената. Побољшање пефроманси произилази из могућности
обраде више захтева паралелно. Паралелна обрада се постиже покретањем
новог процеса (или нити процеса, у зависности од самог софтвера и од
оперативног система) за обраду сваког клијентског захтева.

Слика 5.1.1.1-2. Конкурентна обрада захтева

За овакав приступ је потребан комплекснији серверски софтвер који се састоји
од диспечерског дела (дела који је задужен за прихватање захтева и покретање
процеса њихове обраде) и дела који је задужен за обраду захтева. Конкурентна
обрада захтева може у одређеним ситуацијама показати слабије перформансе
од итеративне обраде услед трошења процесорског времена на покретање
нових процеса за обраду захтева. Такође, софтвер који омогућава конкурентну
обраду је комплекснији јер интерно решава конкурентни приступ системским
ресурснима. Софтвер за конкурентну обраду најчешће унапред покреће
одређен број процеса за обраду захтева а по потреби тај број повећава до
конфигурационе вредности или ограничења системским ресурсима.
5.1.2. Архитектура равноправних чланова
Архитектура равноправних чланова (енгл. peer-to-peer, P2P) представља вид
диструбуираног рачунарства у коме сваки чвор (енгл. node) има двоструку улогу.
Сваки чвор мреже равноправних чланова комуникацију са осталим члановима
P2P мреже обавља путем софтвера који се може понашати и као клијент
(захтевајући податке или услуге од осталих чворова) и као сервер (одговарајући

РАЧУНАРСКЕ МРЕЖЕ 181

на захтеве осталих чворова). На овај начин архитектура равноправних чланова
омогућава већу аутономију чланова мреже. Архитектура равноправних чланова
се углавном примењује код потреба у којима постоји већа толеранција грешке
код дистрибуиране одбраде. Главне примене су размена фајлова, директна
комуникација, дистрибуирана обрада велике количине података, хеш табеле,
софтвер за забаву...
Главни недостатак архитектуре равноправних чланова односи се на адресовање
чланова мреже. Док је код клијент-сервер мрежа потребно само да клијенти
имају информацију о томе који сервери су доступни на мрежи (и која је њихова
адреса) код архитектуре равноправних чланова потребно је да сваки члан има
информације доступности осталих чланова. Из тог разлога постоји више
различитих варијација унутар архитектуре равноправних чланова:
1. децентрализована архитектура равноправних чланова
2. централизована архитектура равноправних чланова
3. хибридна архитектура равноправних чланова
Децентрализована архитектура равноправних чланова представља архитектуру
најближу основном моделу. Она је сачињена искључиво од peer чворова који
међусобно комуницирају директно.
Код децентрализоване архитектуре равноправних чланова не постоји централни
регистар чланова већ се откривање осталих чланова врши преко интерног
протокола (најчешће у виду broadcast захтева).
Централизована архитектура равноправних чланова представља мешавину
архитектуре равноправних чланова и клијент-сервер архитектуре. Као и код
децентрализоване архитектуре равноправних чланова мрежу чине чворови који
међусобно размењују податке директно, са том разликом да постоји централни
сервер чији је задатак евидентирање чланова мреже.
Хибридна архитектура равноправних чланова представља варијанту
централизоване архитектуре равноправних чланова која се користи у
случајевима када се мрежа састоји од великог броја чворова, а улога сервера
подразумева и додатне операције сем евидентирања чланова.
Код хибридне архитектуре равноправних чланова улогу сервера преузима већи
број тзв. „супер чворова“. Ове чворове најближи чворови користе као сервере
док адресне информације везане за остале чворове супер чворови међусобно
размењују.

182 РАЧУНАРСКЕ МРЕЖЕ

5.2. Веб сервис
Веб сервис (енгл. World Wide Web) представља најпопуларнији сервис
Интернета. Настао је 1991. године на основу идејног пројекта Тимоти Бернерс
Лија из Серна, лабораторије за атомску физику у Швајцарској. Тема пројекта је
била систем за хипертекст, односно метод проналажења докумената на
Интернету помоћу хипервеза (енгл. hyperlink) које упућују на места где се
документи налазе.

Слика 5.2-1. Веб - мрежа повезаних докумената и осталих садржаја

Веб уједно представља и сервис који је највише еволуирао од свог настанка.
Такође, без обзира на број уведених функционалности, технологије на којима се
Веб заснива још увек су у фокусу многобројних развојних тимова јер се сматра
да оне представљају примарну платформу за рад и развој апликативног
софтвера у будућности. Данас постоје значајне компаније које своје пословање
комплетно заснивају на Вебу, а умножавају се и професије и дисциплине које су
усмерене ка њему (Веб копирајтинг, Интернет маркетинг, оптимизација за
претраживаче...).
Иницијално, Веб је развијан као систем за повезивање различитих докумената.
Такав Веб је данас познат под називом „Веб прве генерације“ (Веб 1.0).
Међутим, потенцијали овог сервиса убрзо су омогућили његово коришћење у
виду потпуно функционалних корисничких апликација. Развојем придружених

РАЧУНАРСКЕ МРЕЖЕ 183

сервиса вишег нивоа, Веб се од своје пројектоване коначне функције све више
трансформисао у инфраструктурни сервис. Данас, се под називом „Веб друге
генерације“ подразумевају употреба и технологије Веба које омогућавају
размену информација, колаборацију и социјализацију корисника.
5.2.1. Адресовање, протоколи и кодовање података
За адресовање података на Вебу користе се униформни локатори ресурса са
наменским шемама. Основне шеме униформних локатора на Вебу јесу http и
https, с тим да се се у пракси често користе хипервезе са униформним
локаторима који користе и остале шеме - mailto, ftp, rtsp...
Основни протокол за дистрибурање садржаја на Вебу је протокол за пренос
хипертекста - HTTP. С обзиром на то да овај протокол не поседује функције за
заштиту података за пренос осетљивих садржаја користи се SSL проширење. Сам
протокол за пренос хипертекста чини основу за рад различитих сервисних
протокола као што су SOAP, XML-RPC, и други.
С обзиром на разноликост садржаја на Вебу, за потребе њиховог
дистрибуирања користи се више различитих језика и система кодовања.
Примарни тип докумената на Вебу јесте хипертекстуални, а за његово креирање
користи се језик за означавање хипертекста - HTML. У пракси је честа примена и
осталих језика и система кодовања за потребе кодовања докумената и са њима
повезаних ресурса, као и порука различитих сервисних протокола.
5.2.1.1. Униформни локатор ресурса на Вебу
Униформни локатор ресурса (енгл. Uniform Resource Locator, URL) дефинише
начин кодовања информација за лоцирање и приступ ресурсима на Интернету.
У питању је Интернет стандард који се због погодности које нуди, осим за
ресурсе на Интернету, често користи и у локалним мрежама, као и у
софтверским системима који не подразумевају дистрибуирану обраду података.
Типови ресурса који се овим начином адресовања лоцирају нису ограничени, а
могу бити електронски документи, њихове графичке и мултимедијалне
компоненте, софтверске компоненте и стања апликација, и т.д.
За потребе приступа различитим ресурсима дефинисано је више шема за
описивање локације. Сама шема представља први део локатора и најчешће се
односи на апликативни протокол којим се приступа ресурсу. Остали део
локатора чини адреса специфична за ту шему и од ње је одвојена са две тачке.
Спецификација шема које се користе на Интернету подразумева постојање две
косе црте након сепаратора између шеме и за њу специфичне адресе. Поред

184 РАЧУНАРСКЕ МРЕЖЕ

овог, локатор ресурса може поседовати и више сепаратора који одређују његове
различите делове.

Слика 5.2.1.1-1. Структура униформног локатора ресурса HTTP протокола

Када је у питању Веб, захтевани делови униформног локатора ресурса на њему
су шема (HTTP или HTTPS протокол) и адреса домаћина (симболичка или
логичка). Овако једноставни локатори се углавном користе за иницијални
приступ Веб сајтовима. Порт је такође неопходан део униформног локатора
ресурса али се он у савременим Веб браузерима не приказује уколико се
користе подразумеване вредности за протокол (порт 80 за HTTP протокол и порт
443 за HTTPS протокол).
Осим захтеваних делова у пракси се често користи и путања, упит и
идентификатор фрагмента. Под путањом се подразумева хијерархијска путања
до ресурса на самом домаћину а она може бити путања на фајл-систему или се
може динамички обрађивати од стране Веб сервера (пример: mod_rewrite
модул Apache Веб сервера). Упит, као део локатора, најчешће се користи код
Веб апликација за прослеђивање параметара серверу путем GET метода HTTP
протокола. Подразумевана улога идентификатора фрагмента је скакање на
одређени део документа након његовог учитавања, с тим да одређене Веб
технологије на страни клијента могу искористити овај параметар и за друге
функционалности. Иначе, сам идентификатор фрагмента се не шаље серверу
већ искључиво служи за локалну употребу унутар Веб браузера.
Неки ресурси на Интернету и у осталим рачунарским мрежама јавно су
доступни, док се за приступ некима захтева потврђивање идентитета корисника
коме је приступ одобрен. Различити протоколи нуде различите системе за
утврђивање идентитета корисника а сам HTTP протокол нуди једноставан
систем за ауторизацију коришћењем корисничког имена и лозинке (слика 2.).
Ови приступни параметри се такође могу укључити у униформни локатор
заштићеног ресурса, од домаћина одвојени знаком „@“, а међусобно одвојени
двема тачкама (корисник:лозинка@домаћин). При коришћењу система
аутентификацију HTTP протокола треба имати у виду да он самостално не нуди
озбиљан ниво заштите, а да укључивање корисничког имена и лозинке у
униформни локатор ресурса такође може довести до безбедносних проблема.

РАЧУНАРСКЕ МРЕЖЕ 185

 Слика 5.2.1.1-2. Дијалог за аутентификацију код HTTP протокола
Путање ресурса прате њихову хијерархијску организацију. У пракси, документи
на Вебу често садрже везе ка својим издвојеним садржајима и другим
документима у облику релативних путања које прате ову хијерархијску
организацију. При учитавању таквих веза Веб браузер израчунава њихове
комплетне униформне локаторе на основу њихових релативних путања и
униформног локатора документа у оквиру кога су оне дефинисане.
Униформни локатор ресурса дефинише локацију ресурса али не садржи
информацију о томе да ли је ресурс тренутно доступан, нити гарантује да му се
(у сваком или у било ком тренутку, као и са сваке или са било које локације)
може приступити. У пракси је очекивано повећање броја неуспешних покушаја
приступа ресурсу, као и потпуна недоступност, у складу са његовим
застаревањем.
Локација ресурса представља једну од његових могућих идентификација, док је
униформни локатор ресурса један од типова униформног идентификатора
ресурса (енгл. Uniform Resource Identified, URI). Други популарни тип
униформног идентификатора ресурса јесте униформни назив ресурса (енгл.
Uniform Resource Name, URN).
5.2.1.2. HTTP - протокол за пренос хипертекста
Протокол за пренос хипертекста (енгл. HyperText Transfer Protokol, HTTP) је
основни протокол за дистрибуцију садржаја на Вебу. Основне функционалности
овог протокола чине пренос захтева за хипертекстуалним документима - од
клијента ка серверу - и пренос садржаја хипертекстуалних докумената - од
сервера ка клијенту. Иако сам назив протокола указује да је његова намена
пренос хипертекста, њиме се могу преносити и остали текстуални и бинарни
садржаји.

186 РАЧУНАРСКЕ МРЕЖЕ

Протокол за пренос хипертекста је протокол апликативног нивоа. Као
подразумевани транспортни протокол он користи протокол за контролу преноса
(TCP) с тим да је у теорији могуће користити било који протокол који нуди
поуздан пренос података. Подразумевани порт протокола за пренос хипертекста
је 80, с тим да се могу користити и остали протоколи, док се за заштићену
варијанту (HTTPS) овог протокола користи порт 443.
5.2.1.2.1. Поруке, методи и кодови статуса
Поруке протокола за пренос хипер текста могу бити захтеви клијента ка серверу
и одговори сервера на њих. Оба типа порука имају исту структуру: заглавље -
које је обавезно, и тело - које је опционо. У поља заглавља спадају општа поља,
поља специфична за захтеве и поља специфична за одговоре.

Слика 5.2.1.2.1-1. Пример захтева протокола за пренос хипертекста

Тело порука протокола за пренос хипертекста је опционо, а на његово присуство
указује поље заглавља која се односе на дужину садржаја (енгл. Content-Length)
и начин кодовања садржаја (енгл. Transfer-Encoding). Неки методи овог
протокола подразумевају присуство тела у порукама, док је оно код неких
метода сувишно. Тело поруке се пре слања кодује на одговарајући начин, а
његова дужина се израчунава након кодовања.
У оквиру протокола за пренос хипертекста дефинисано је више метода. Метод
који се позива задаје се оквиру прве линије заглавља захтева. Два најчешће
коришћена метода овог протокола су методи GET и POST. У остале
предефинисане методе спадају OPTIONS, HEAD, PUT, DELETE, TRACE и CONNECT.
Параметар који следи након навођења метода јесте апсолутна путања ресурса
који се захтева. У оквиру заглавља се обавезно наводи и адреса (симболичка
или логичка) домаћина на коме се ресурс налази. Навођење адресе домаћина је
обавезно (без обзира на то што су логичка адреса и порт већ дефинисани у
оквиру адреса протокола мрежног и транспортног слоја) јер је могуће са једног

РАЧУНАРСКЕ МРЕЖЕ 187

сервера испоручивати садржај за више различитих симболичких (доменских)
имена.

Слика 5.2.1.2.1-2. Пример одговора протокола за пренос хипертекста

Метод GET протокола за пренос хипертекста представља један од његових
најједноставнијих и најчешће коришћених метода. Његова основна улога јесте
захтевање једноставног преузимања наведеног ресурса. Захтевани ресурс може
бити статичан документ или процедура за генерисање садржаја.
GET /Studije/Poslediplomske
HOST: www.singidunum.ac.rs

Следећи најчешће коришћени метод протокола за пренос хипертекста је метод

POST. Овај метод се, као и претходни метод GET, може користити за захтевање
ресурса али је његова основна намена слање садржаја (дужег или краћег текста,
фајлова и сл.) серверу. У принципу, слање текста је могуће и коришћењем
метода GET, коришћењем дела за упит у униформном локатору ресурса. На
пример, у следећем коду се параметри HTML формулара серверу шаљу у оквиру
захтева са GET методом:
<form method=“GET“ action=“prijava.php“>
Корисник: <input type=“text“ name=“korisnik“ />
Лозинка: <input type=“password“ name=“lozinka“ />
<button type=“submit“>Пријављивање</button>
</form>

188 РАЧУНАРСКЕ МРЕЖЕ

Постоји, међутим, више потенцијалних проблема код коришћења GET метода за
прослеђивање корисничког уноса у формуларе. Један од њих се односи основну
заштиту података које је корисник унео у формулар. У претходном формулару је
искоришћена контрола за унос лозинке (ознака input са типом password) са
циљем да евентуални посматрачи екрана који се користи за попуњавање
формулара немају могућност да виде коју је вредност лозинке корисник унео.

Слика 5.2.1.2.1-3. Лозинка је скривена коришћењем одговарајуће контроле

Коришћење POST метода елиминише део униформног локатора у коме се
налази упит. Међутим, због употребе GET метода, корисников Веб браузер ће
поља из формулара превести у упит униформног локатора ресурса. У складу са
тим, корисниковa лозинка ће на следећем екрану бити разоткривена кроз
приказ адресе:
http://adresa.servera/prijava.php?korisnik=petar&lozinka=abc123

Следећи проблем који се може јавити као последица коришћења GET метода за
слање формулара јесте одсецање краја униформног локатора ресурса услед
прекорачивања његове највеће дозвољене дужине. Највећа дозвољена дужина
униформног ресурса локатора се подешава на серверу, а подразумевано износи
8.192 бајта. Одсецање дела локатора који прелази дужину коју сервер
дозвољава (што је подразумевано понашање сервера у таквим ситуацијама)
доводи до губитка дела корисничког уноса.
Један од честих проблема код Веб апликација јесте вишеструко слање
корисничког уноса у формулар као поседица захтева за освежавањем странице
на којој је извршена обрада корисничког уноса у формулар од стране сервера.
Из тог разлога већина савремених Веб браузера захтева додатну потврду
корисника уколико је корисник задао захтев за освежавањем такве странице.

Слика 5.2.1.2.1-4. Освежавање странице добијене POST методом захтева одобрење

РАЧУНАРСКЕ МРЕЖЕ 189

Метод HEAD је идентичан методу GET с том разликом што у одговоре на захтеве
добијене путем њега није укључено тело поруке. Овај метод се првенствено
користи за добијање информација о ресурсу, потврђивање његовог постојања и
слично.
Насупрот методима у захтевима, у оквиру одговора користе се кодови статуса
као индикатори типа резултата добијеног извршавањем захтеваног метода.
Кодови статуса су троцифрени бројеви који се могу поделити у пет основних
група, у зависности од прве цифре:
• јединица - код статуса означава да је захтев примљен и да се наставља
његова даља обрада;
• двојка - код статуса означава да је захтев успешно примљен и да је
захтевана акција успешно извршена;
• тројка - код статуса означава да је захтевано преусмеравање клијента на
нову адресу у циљу успешне обраде захтева;
• четворка - код статуса означава да у захтеву клијента постоји
синтаксичка или нека друга грешка, те да на захтев није могуће
одговорити;
• петица - код статуса означава да сервер из интерних разлога није у
стању да одговори на захтев, иако се сам захтев сматра валидним.
Кодови статуса протокола за пренос хипертекста су прошириви, уз поштовање
наведеног формата у виду троцифрених бројева. Од клијентских и серверских
имплементација се не захтева подршка за све основне кодове статуса, али се
захтева способност категорисања одоговора на основу прве цифре.
5.2.1.2.2. Управљање везом
Протокол за пренос хипертекста не дефинише стање веза (енгл. stateless), нити
се то захтева од стране клијентске и серверске имплементације. То у пракси
значи да сервер на сваки захтев гледа ван контекста, односно да се за сваки
нови захтев (од стране истог клијента ка истом серверу, чак и ка истом или
директно референцираном ресурсу) остварује потпуно нова веза. Овакав
приступ се могао сматрати оптималним (по погледу једноставности протокола и
његове имплементације) у раним фазама развоја Веба када се он углавном
користио за пристум једноставним, статичним документима. Међутим, појавом
Веб апликација контекст сесије је постао захтевана функција протокола за
пренос хипертекста. Контекст сесије код Веб апликација је значајан јер самој

190 РАЧУНАРСКЕ МРЕЖЕ

апликацији пружа информације о томе да ли се корисник успешно ауторизовао,
да ли се налази у неком од корака сложене активности, и томе слично.
Подршка за сесију није уграђена директно у протокол за пренос хипертекста већ
је реализована у виду спецификације функција клијентске и серверске
имплементације. Серверска имплементација је проширена посебним
функцијама које омогућавају контекст сесије кроз резервисање наменског,
трајнијег меморијског простора за сваког појединачног клијента. Са друге
стране, задатак клијента јесте чување и достављање идентификатора сесије при
сваком захтеву ка серверу.
Идентификатор сесије генерише сервер поштујући одређена функционална и
безбедносна правила. Након генерисања идентификатора потребно га је
доставити клијенту, а затим наводити при сваком захтеву у току те сесије. У
пракси су популарна два начина чувања и прослеђивања идентификатора сесије
серверу. Први начин подразумева аутоматизовано додавање идентификатора
сесије делу резервисаном за упит свих униформних локатора ресурса у
документима који се шаљу клијенту. Лошу страну оваквог приступа чине
проблеми који произилазе из потребе за изменом свих хипертекстуалних
докумената који се шаљу клијенту. Други приступ, који се данас најчешће среће
у пракси, подразумева размену идентификатора сесије у виду колачића
протокола за пренос хипертекста.
Колачићи (енгл. cookies) протокола за пренос хипертекста представљају
механизам за дефинисање стања везе остварене протоколом за пренос
хипертекста. Они се размењују у оквиру заглавља порука протокола за пренос
хипертекста, а дефинисани су називом и вредношћу (садржајем). Колачићи се
иницијално креирају на страни сервера и шаљу се клијенту који их, затим, шаље
серверу у оквиру наредних захтева. За слање колачића од клијента ка серверу
додаје се Set-Cookie поље у заглавље поруке, а за слање од клијента ка серверу
поље Cookie. У оквиру једне поруке може се послати више колачића.
Поред назива и садржаја колачића, за сваки од њих се дефинише и његов домет
- који је период важења колачића и на које домене и шеме униформних
идентификатора ресурса се он примењује. Вредност колачића је могуће мењати
у току сесије једноставним поновним задавањем његове нове вредности. У
ситуацијама када је потребно укинути одређени колачић (на пример, у
ситуацији када је потребно прекинути сесију) то се чини тако да сервер поново
задаје колачић са истим параметрима (називом колачића, доменима и
шемама), али са временом истицања у прошлости. Колачићи сами по себи не
представљају безбедносну претњу за клијента и сервер, с тим да су се због

РАЧУНАРСКЕ МРЕЖЕ 191

одређених пропуста у имплементацијама за њих раније везивали безбедносни
и приватносни проблеми.

Слика 5.2.1.2.1-5. Пример чувања идентификатора сесије у виду колачића

Меморијски простор сесије омогућава формирање контекста између различитих
захтева корисника у току ње. Прекид сесије је могућ на два начина: иницирањем
прекида од стране корисника и неактивношћу корисника у току времена задатог
у подешавању сервера (на пример, подразумевана вредност од 1.440 секунди
на Apache серверима са PHP програмским језиком). Безбедносни проблем који
је везан за сесије код Веб апликација јесте њихова отмица (енгл. session
hijacking), односно преузимање тренутног стања корисничке апликације од
стране нападача.
У раним фазама Веба на њему су се углавном налазили једноставни
хипертекстуални документи, без укључених спољних садржаја (слика, додатних
технологија и томе слично), јер су и сами кориснички клијенти били једноставне
конзолне апликације. У складу са тим, раније верзије протокола за пренос
хипертекста подразумевале су упостављање и раскидање везе протокола
транспортног слоја за сваки захтев/одговор пар порука.
Данас, међутим, овакво понашање не представља оптимално коришћење
комуникационих канала јер хипертекстуални документи често укључују велики
број спољних садржаја (слике, дефиниције стилова, и сл. који се најчешће

192 РАЧУНАРСКЕ МРЕЖЕ

налазе на истом серверу), а сам протокол за контролу преноса подразумева
додатних пет порука за сваки захтев/одговор (три поруке за успостављање везе
и две поруке за њен раскид).

Слика 5.2.1.2.1-6. Пример конзолног Веб браузера

У верзији 1.1 протокола за пренос хипертекста представљена је могућност
успостављања трајних веза (енгл. persistent connection), односно веза којима се
након успостављања може послати више захтева и одговора. Коришћење
трајних веза нуди бројне погодности:
3. смањује се број успостављених веза протокола за контролу преноса, што
смањује заузеће централног процесора и меморије на клијенту и
серверу, као и заузеће комуникационих канала;
4. смањује се време потребно за учитавање докумената кроз уклањање
времена потребног за успостављање и раскид појединачних веза
протокола на транспортном слоју;
5. омогућава се слање вишеструких захтева истом везом, без потребе да се
пре слања наредног захтева чека на одговор на претходни, што умањује
време потребно за учитавање докумената са великим бројем спољних
садржаја;
6. олакшава се будући развој протокола и придружених технологија
елиминисањем пенала у виду затварања везе протокола за контролу
преноса због покушаја коришћења функционалности које друга страна
још увек не подржава.

РАЧУНАРСКЕ МРЕЖЕ 193

Коришћење трајних веза се у верзији 1.1 протокола подразумева, а у случају да
клијент или сервер не подржавају ову верзију и трајне везе, комуникација се
врши успостављањем појединачних веза за сваки пар порука. За иницирање
затварања трајне везе користи се параметар Connection у заглављу поруке.
Наравно, клијент и сервер се сматрају слободним да самоиницијативно затворе
везу после одређеног времена неактивности друге стране.
5.2.1.2.3. Безбедност и контрола приступа
Један од основних безбедносних проблема код протокола за пренос
хипертекста је недостатак система за заштиту података који се њиме преносе.
Овај проблем је решен применом SSL протокола, односно заштите на нивоу
протокола транспортног слоја (енгл. Transport Layer Security, TLS). Заштита
података овим протоколом постиже се коришћењем функције шифровања
садржаја пре слања, односно његовим дешифровањем након пријема. Осим
основних функција шифровања сам протокол поседује и додатне функције
потребне за успешну заштиту података (размену потребних кључева и
сертификата, провера аутентичности и слично). Заштићена варијанта протокола
за пренос хипертекста подразумевано користи порт 443.
Већина данас актуелних система за управљање садржајем (енгл. Content
Management System, CMS) поседује сопствене функције за контролу приступа
садржају, односно за његову заштиту од неовлашћеног преузимања. Међутим, и
сам протокол за пренос хипертекста поседује основне функције за контролу
приступа ресурсима. Ова контрола приступа подразумевано се заснива на
потврђивању аутентичности клијента путем достављања исправног корисничког
имена и лозинке. При коришћењу овог система заштите треба имати у виду да
уколико се не користи заштићена верзија протокола за пренос хипертекста
(HTTPS) ови параметри путују у отвореном облику, тако да се могу веома лако
компромитовати.
5.2.1.3. HTML - језик за означавање хипертекста
Језик за означавање хипертекста (енгл. Hyper Text Markup Languagem, HTML ) је
језик из породице језика за означавање (енгл. markup language). Језици за
означавање се понекад сврставају у програмске језике, што је погрешно. Улога
језика за означавање је да означе делове документа. На пример:
Ово је <u>језик за означавање</u>.

представља део хипертекстуалног документа у коме је означено да се речи

уоквирене <u> и </u> ознакама (енг. tag) прикажу подвучене. За сам приказ

194 РАЧУНАРСКЕ МРЕЖЕ

хипертекстуалних докумената користи се наменска апликација - Веб браузер.
Хипертекстуални документи нису предвиђени да садрже бинарне податке (мада
је могуће заобилажење овог ограничења) с тим да могу имати референце према
бинарним ресурсима (нпр. слици).
Класичан хипертекстуални документ састоји се од две целине: заглавља
документа и тела документа. Подаци у заглављу су намењени Веб браузеру и
садрже информације о наслову документа, кључним речима, датуму истицања,
начину кодовања и слично. Тело документа је део који је намењен за
представљање корисницима (које може бити приказ на екрану али и звучни
излаз).
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Наслов документа</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
Садржај документа.
</body>
</html>
Листинг 5.2.1.3-1. Основна структура хипертекстуалног документа
Садржај хипертекстуалних докумената се не приказује директно корисницима
већ се пре тога врши његово интерпретирање у оквиру одговарајућих
компонената Веб браузера.

Слика 5.2.1.3-1. Приказ интерпретираног хипертекстуалног документа

Сам језик за означавање хипертекста често се користи у комбинацији са другим
технологијама - бинарно кодованим записом слика, и аудио/видео записа,
каскадним стиловима, активним клијентским компонентама и слично.

РАЧУНАРСКЕ МРЕЖЕ 195

5.2.1.4. XML - прошириви језик за означавање
Прошириви језик за означавање (енгл. Extensible Markup Language, XML)
представља изузетно значајну технологију код савремених софтверских система
за дистрибуирану обраду података. Ово је језик за означавање опште намене,
изграђен са основном идејом да омогући размену података између
разнородних система а путем рачунарских мрежа. Коришћење XML-а је
слободно, а као стандард је препоручен од стране W3 конзорцијума.
Осим за његову основну намену - размену података - XML је могуће користити и
за многе друге примене - интерно складиштење података, дефинисање
структура, модела, графичких елемената и т.д. Једна од главних примена XML-а
данас јесте повезивање различитих информационих система путем рачунарских
мрежа. За основу се могу користити протоколи свих слојева OSI и TCP/IP модела,
али се најчешће користе протоколи апликативног нивоа, првенствено HTTP
протокол. Осим за пренос података путем мреже између различитих
софтверских система, коришћењем XML-а може се обухватити цео процес
дистрибуиране обраде података. Узмимо за пример следећу кориснички
дефинисану функцију у C програмском језику:
int sabiranje (int a, int b) { return a+b; }

Из декларације функције види се да је њен назив „сабирање“, да као аргументе

прихвата два цела броја и да враћа целобројну вредност. Ову функцију је
једноставно позвати из програма у коме се она налази:
c = sabiranje(2, 3);

XML омогућава дефинисање позива функције у облику погодном за пренос

путем мреже (наравно, уз постојање адекватних интерфејса на обе стране):
<naredba>
<pokrenuti>sabiranje</pokrenuti>
<argument tip='int'>2</argument>
<argument tip='int'>3</argument>
</naredba>

Дакле, уз постојање адекватног софтверског интерфејса (који се, иначе, са

данашњим технологијама релативно лако реализује) чија би улога била
парсирање XML поруке и прављење позива ка интерној, раније описаној C
функцији, систем (који врши позив, тј. шаље XML поруку) би могао да добије као
резултат такође XML поруку:

196 РАЧУНАРСКЕ МРЕЖЕ

<odgovor>
<rezultat tip='int'>5</rezultat>
</odgovor>

Иако једноставан, овај пример јасно показује како је путем порука у XML
формату могуће дистрибуирати позиве функција а самим тим и обраду
података. У наставку су анализиране три технологије (протокола) - XML-RPC,
SOAP и WDDX - које омогућавају повезивање софтверских система путем XML-а.
5.2.1.4.1. Позивање процедуре на удаљеном рачунару
XML-RPC протокол омогућава позивање процедуре на удаљеном рачунару (енгл.
Remote Procedure Call, RPC ) путем порука у XML формату које се дистрибуирају
HTTP протоколом. Овај протокол омогућава дефинисање наредби и подржани
су следећи типови података:
• array - низ вредности, не подржава кључеве
• base64 - кодирани бинарни подаци
• boolean - логичка вредност
• date/time - вредности везане за датум и време
• double - реални бројеви
• integer - целобројне вредности
• string - низ карактера у кодној страници XML поруке
• struct - низ вредности са подржаним кључевима
• nil null - вредност (XML-RPC екстензија)
Иако једноставан, XML-RPC протокол представља изузетно ефикасно решење
тако да је често у употреби и поред напреднијег SOAP протокола.
5.2.1.5. SOAP - протокол за једноставан приступ објектима
SOAP (Service Oriented Arhitecture Protocol или Simple Object Access Protocol)
протокол омогућава размену XML порука путем рачунарских мрежа (најчешће
HTTP протокола). Овај протокол представља основни слој групе протокола која
се користи за дефинисање, лоцирање и коришћење Веб сервиса (енгл. Web
services stack) и као такав чини основу фрејмворка за размену порука као
апстрактног слоја OSI и TCP/IP модела. Осим што омогућава позивање
процедура на удаљеним рачунарима (енгл. Remote Procedure Call, RPC ), SOAP

РАЧУНАРСКЕ МРЕЖЕ 197

протокол омогућава и друге типове порука. SOAP протокол је наследник XML-
RPC протокола и користи иста правила за транспорт али се разликује по начину
форматирања (структуирања) порука. Пример SOAP захтева би изгледао овако:
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<getStudentData xmlns="http://studenti.unis.local/ws">
<Student_ID>2704</Student_ID>
</getStudentData>
</soap:Body>
</soap:Envelope>

Овим захтевом се позива метода getStudentData са параметром Student_ID 2704.

На овакав захтев сервер student.unis.local обавља интерну обраду (нпр. приступа
бази података и ишчитава параметре слога са идентификационим бројем 4837).
Одговор сервера би изгледао:
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<getStudentDataResponse xmlns="http://studenti.unis.local/ws">
<getStudentDataResult>
<ID>2704</ID>
<Ime>Petar</Ime>
<Prezime>Petrović</Prezime>
<BrojIndeksa>III-8/2004</BrojIndeksa>
<Fakultet_ID>2</Fakultet_ID>
<Fakultet_Kod>FPI</Fakultet_Kod>
</getStudentDataResult>
</getStudentDataResponse>
</soap:Body>
</soap:Envelope>

SOAP протокол представља одличну основу за увођење сервисно оријентисане

архитектуре у Веб апликације али и начин да се приступ одређеним подацима и
процедурама омогући свим хардверским и софтверским уређајима који имају
подршку за њега.

198 РАЧУНАРСКЕ МРЕЖЕ

5.2.1.6. WDDX - размена података путем Веба
Размена података путем Веба (енгл. Web Distributed Data eXchange, WDDX )
технологија омогућава размену података између разнородних софтверских
окружења путем превођења основних типова података у XML формат. У
подржане типове података спадају бројеви, стрингови, структуре, низови, итд. С
обзиром да већина програмских језика користи исте или сличне типове
података, WDDX је подржан од стране више програмских језика међу којима су
и PHP, Ruby, Python, Java, C++, .Net, Flash, Lisp, Haskell ... Превођењем интерне
структуре у WDDX пакет добија се пакет којим може да изгледа овако:
<wddxPacket version='1.0'>
<header comment='UNIS'/>
<data>
<struct>
<var name='ID'>
<number>2704</number>
</var>
<var name='Ime'>
<string>Petar</string>
</var>
<var name='Fakultet'>
<array length='2'>
<number>2</number>
<string>FPI</string>
</array>
</var>
</struct>
</data>
</wddxPacket>

WDDX представља одлично решење за размену података између удаљених,

односно разнородних окружења. Главни разлог да SOAP постане популарније
решење јесте пре свега могућност позивања удаљених процедура (што није
основна функционалност WDDX-а), али и чињеница да је у првој фази свог
постојања WDDX био затворен за јавност што је ограничило ширење услед
немогућности програмера да приступе изворном коду решења. Иначе, WDDX је
први пут представљен 1998. године (исто као и XML-RPC) од стране аутора
Симеона Симеонова (Allaire корпорација).

РАЧУНАРСКЕ МРЕЖЕ 199

5.2.1.7. JSON - објектни запис JavaScript језика
Једна од главних замерки везаних за технологије базиране на XML-у јесте
„преопширност“ његових порука, односно велики проценат контролних бајтова
потребних за дефинисање поруке и укључених података. Такође, за коришћење
XML-а је потребан парсер који захтева додатне процесорске и меморијске
ресурсе. Ови недостаци се, међутим, у данашње време (с обзиром на
могућности савремених процесора рачунара) не могу сматрати озбиљним с
обзиром на додатне погодности и могућности које нуди кроз платформску
независност.
JSON (JavaScript Object Notation) формат подразумева текстуално представљање
објеката и осталих типова података у циљу размене података између удаљених,
односно разнородних система. Основни принцип на коме се базира JSON јесте
серијализација - превођење интерних структура података у формат који је
могуће снимити на спољну меморију или пренети путем мреже.
{
"ID": 2704,
"Ime": "Petar",
"Prezime": "Petrović",
"BrojIndeksa": "III-8/2004",
"Fakultet": {
"ID": 2,
"Kod": "FPI"
}
}
Листинг 1. Пример објекта који користи JSON формат
Без обзира на помињање JavaScript технологије у називу JSON-а, овај формат се
може користити и у већини актуелних програмских језика, као што су
ActionScript, C, C++, C#, Java, Perl, PHP, Python, Ruby , и други.
5.2.2. Серверска страна Веб сервиса
Основне функције серверске стране Веб сервиса чине ослушкивање на задатом
порту на захтев клијента, обрада захтева и слање резултата обраде. Захтеви и
одговори на њих се подразумевано размењују коришћењем протокола за
пренос текста и у њиме дефинисаном формату порука.
Сложеност реализације серверске стране Веб сервиса варира од једноставних
скриптова који користе библиотеке са имплементацијом протокола за пренос

200 РАЧУНАРСКЕ МРЕЖЕ

хипертекста, па све до сложених фарми сервера са огромним диверзитетом
примењених програмских језика, модела реализације, софтверских архитектура,
система за управљање базама података, интелигентним алгоритмима, и тако
даље. У пракси се најчешће среће двослојна клијент-сервер архитектура (за
потребе испоруке статичних Веб презентација) и трослојна клијент-сервер
архитектура (за потребе испоруке динамичних Веб презентација и апликација).

Слика 5.2.2-1. Структура Веб сервера и паралеле са комуникационим слојевима

Данас постоји више различитих серверских имплементација протокола за
пренос хипертекста. Неке од њих су комерцијалне, а неке слободне за
коришћење. Далеко најпопуларнија серверска имплементација данас, а почев
још од 1996. године, јесте Апач Веб сервер (енгл. Apache Web server) иза кога
стоји Апач софтверска фондација. Апач Веб сервер је настао 1995. године на
основу HTTP сервера америчког Националног центра за супер-рачунарске
апликације (енгл. National Center for Supercomputing Applications ) при
Универзитету Илионис. Изворни код овог софтвера јавно је доступан, а лиценца
дозвољава слободну употребу у приватне и комерцијалне сврхе. Апач Веб
сервер је реализован модуларно тако да се његове функције могу релативно

РАЧУНАРСКЕ МРЕЖЕ 201

лако проширивати. Поред основне варијанте у пракси се често користи и Апач
Томкет (енгл. Apache Tomcat), најпопуларнији сервер за Java Servlet и JavaServer
Pages (JSP) технолгије.
Поред Апач Веб сервера у остале популарне имплементације спадају IIS
компаније Мајкрософт, iPlanet компаније Оракл (раније познат под називом Sun
ONE компаније Сан Мајкросистемс), енџин-екс (енгл. engine x, nginx) руског
аутора Игора Сисојева, као и сопствени сервер компаније Гугл (о коме, иако
покреће преко четири процента сајтова на Интернету, компанија Гугл није
објавила никакве информације). Поред наведених имплементација постоји и
већи број имплементација које се примењују у мањем обиму - lighttpd,
Hiawatha, Jetty, tHTTPd, Zeus и други. Једна од специфичних имплементација је и
Тукс Веб сервер који је реализован у виду модула језгра Линукс оперативног
система. У питању је, међутим, првенствено истраживачки пројекат који никада
није доживео широку примену у продукционим окружењима.

Слика 5.2.2-2. Учешће Веб сервера у испоруци сајтова на Интернету (Неткрафт)

5.2.2.1. Управљање оптерећењем
У пракси се за испоруку мањих сајтова углавном користи један рачунар који има
инсталиране све потребне компоненте - Веб сервер, сервер базе података и
друго. Један такав рачунар може служити за испоруку чак и више стотина мање
оптерећених сајтова. У случају повећања оптерећености сајта први корак за
подизање перформанси јесте његово измештање на наменски рачунар, физички

202 РАЧУНАРСКЕ МРЕЖЕ

или виртуални, а затим на два рачунара од којих један обавља само функцију
Веб сервера а други сервера базе података.
У случају да ни наменски рачунари за појединачне функције не могу да одговоре
на оптерећење, први корак јесте унапређивање њихових носећих компонената,
првенствено кроз додавање више напреднијих централних процесора са више
језгара и веће количине радне меморије. Овакав начин подизања перформанси
серверских система назива се вертикално скалирање. У случају да се дође
до границе могућег вертикалног скалирања, а да још увек није постигнут
жељени ниво перформанси, прибегава се хоризонталном скалирању,
балансирању оптерећења и употреби фарми сервера.
Хоризонтално скалирање представља приступ подизања перформанси
серверских система кроз додавање већег броја рачунара који обављају исту
функцију, на пример испоруку Веб презентација и апликација, или сервирање
база података. Овакве групе сервера називају се кластерима сервера или
фармама сервера .

Слика 5.2.2-1. Фотографија из фарме сервера у дата-центру компаније Фејсбук

Сложеност код коришћења серверских кластера потиче од потребе да се
оптерећење расподели на доступне сервере, као и да се њихови подаци
синхронизују. За ову функцију се користи термин балансирање оптерећења
(енгл. load balancing) а њу обавља сервер који се понаша као диспечер захтева.
Одлуку о томе коме ће од сервера у кластеру проследити захтев диспечер може
доносити једноставно - на пример коришћењем раунд-робин алгоритма - или
засновано на актуелним информацијама о томе који је сервер најмање
оптерећен.

РАЧУНАРСКЕ МРЕЖЕ 203

 Слика 5.2.2-2. Архитектура Веб сервиса базираног на кластерима сервера
Један од битних утицаја на перформансе и доступност Веб сервиса долази и од
избора оперативног система, као основе за рад Веб сервера. Имплементације са
јавно доступним изворним кодом углавном имају подршку за све популарне
серверске оперативне системе. Међутим, затворене имплементације често су
ограничене на подршку за само оперативне системе истог или преферираног
произвођача (на пример, IIS се може користити само на оперативним системима
компаније Мајкрософт). Данас се, у ситуацијама где су високе перформансе и
доступност критични, углавном користе оперативни системи из UNIX породице.
На пример, десет најпоузданијих Веб хостинг провајдера у јуну 2011. године
користило је следеће оперативне системе и остварило дате резлтате:
Компанија Оперативни систем Недоступност Грешака
1 Datapipe FreeBSD 00:00:00 0,004%
2 INetU FreeBSD 00:00:00 0,004%
3 New York Internet FreeBSD 00:00:00 0,004%
4 Hosting 4 Less Linux 00:00:00 0,008%
5 www.logicworks.net Linux 00:00:00 0,012%
6 www.micfo.com Linux 00:00:00 0,019%
7 ReliableServers.com FreeBSD 00:00:00 0,023%
8 aruba.it Windows Server 2003 00:00:00 0,023%
9 Kattare Internet Services Linux 00:00:00 0,023%
10 www.qubenet.net Linux 00:00:00 0,031%
Табела 5.2.2-1. Најпоузданије Веб хостинг компаније у јуну 2011. године

204 РАЧУНАРСКЕ МРЕЖЕ

Осим подршке за оперативне системе, очекиване доступности и броја
неуспешних захтева, битан критеријум за његов Веб сервера чини и подршка за
технологије на страни сервера. На пример, технологија активних серверских
страница (енгл. Active Server Pages, ASP) компаније Мајкрософт доступна је
искључиво на IIS платформи.
5.2.3. Клијентска страна Веб сервиса
Улогу клијента код Веб сервиса могу преузимати различите софтверске
компоненте. Међутим, у пракси се као клијенти најчешће идентификују Веб
браузери (корисничке десктоп апликације) и роботи (аутоматизовани агенти Веб
претраживача).
Веб браузер представља сложену корисничку апликацију, састављену од више
различитих компонената. Примарну компоненту Веб браузера чини сама
имплементација протокола за пренос хипертекста. На основу подршке за овај
протокол врши се преузимање хипертекстуалних докумената. Међутим, садржај
хипертекстуалних докумената се након преузимања интерпретира, а затим
приказује кориснику.

Слика 5.2.3-1. Структура Веб клијента

Одређени елементи хипертекстуалних докумената могу иницирати нова
преузимања ресурса путем протокола за пренос хипертекста или неког другог

РАЧУНАРСКЕ МРЕЖЕ 205

протокола. У ове елементе спадају референциране слике, фајлови са каскадним
стиловима, библиотеке JavaScript и других програмских језика и друго.
Активиране хипервезе у документима иницирају преузимање нових докумената
на које се односе. Иницијално преузимање документа иницира се уносом
његовог униформног локатора у за то предвиђено поље у Веб браузеру.
У најпопуларније Веб браузере данас спадају Интернет Експлорер компаније
Мајкрософт, Фајерфокс фондације Мозила (софтверска основа некада
популаран Веб бруазер Навигатор компаније Нетскејп), Хром компаније Гугл и
Веб браузер Опера истоимене норвешке компаније. Тренутно актуелне разлике
између наведених браузера односе се на безбедност корисника, подршку за
трећу верзију технологије каскадних стилова и брзину интерпретирања
JavaScript програмског језика.
5.2.4. Веб презентације и апликације
У пракси се најчешће користе два термина који описују тип садржаја на неком
Веб сајту - Веб презентација и Веб апликација. У раним фазама развоја Веб
технологија разлика између Веб презентација и апликација одређивана је на
основу динамичности садржаја - да ли је садржај генерисан коришћењем
програмског језика на серверу или је захтевани ресурс једноставно учитан са
фајл-система. У складу са тим, у Веб презентације су спадали сајтови које су
чинили статични хипертекстуални документи, док су Веб апликацијама сматрани
сајтови чији је садржај динамички генерисан за сваки појединачни захтев.
Развојем и интензивнијом применом Веб технологија наведена терминолошка
разлика између Веб презентација и апликација почела је да се више односи на
тип информација којима се приступа и начин интеракције са Веб садржајем, а
мање на технолгије које су коришћене за његову испоруку. Омогућавање
коришћења програмских језика на страни сервера омогућило је и коришћење
садржаја из база података за генерисање хипертекстуалних докумената.
Данас веома популаран тип Веб апликација за динамички развој Веб
презентација јесу системи за управљање садржајем (енгл. Content Management
System, CMS). Под овим називом се подразумева комплетно решење, иако се он
односи само на администраторску компоненту, односно компоненту коју
користе уредници садржаја. Насупрот компоненте за уређивање садржаја стоји
компонента коју користе посетиоци, односно компонента која на основу
садржаја и параметара захтева генерише одговарајуће хипертекстуалне
документе.

206 РАЧУНАРСКЕ МРЕЖЕ

 Слика 5.2.4-1. Организација модуларног система за управљање садржајем
Осим улога уредника садржаја и посетилаца, системи за управљање садржајем
обично подразумевају и следеће улоге:
4. администраторска улога - не подразумева функцију управљања
садржајем већ првенствено управљање корисничким налозима,
прављење копија садржаја и слично;
5. улога развоја - односи се на чланове тима који развијају нове и
прилагођавају постојеће функционалности система актуелним
потребама организације;
6. улога Веб дизајнера - често веома сложена улога чији носиоци развијају
шаблоне приказа садржаја корисницима у циљу обезбеђивања што
квалитетнијег свеукупног искуства посетилаца у коришћењу сајта;
Данас постоји велики број већ развијених система за управљање садржаја од
којих је велики број слободно доступан, чак и за комерцијално коришћење.
Највећи број бесплатних система за управљање садржајима реализован је у PHP
програмском језику и подразумевано користи MySQL систем за управљање
базама података.
У најпопуларније бесплатне системе за управљање садржајем данас спадају
Џумла, Вордпрес и Друпал. Насупрот њима стоје комерцијална решења
компаније Мајкрософт, Оракл и других.

РАЧУНАРСКЕ МРЕЖЕ 207

 Слика 5.2.4-2. Улоге и интерфејси корисника система за управљање садржајем
Без обзира на постојање великог броја већ развијених решења многе
организације се одлучују на самосталан развој система за управљање
садржајем, првенствено због потребе за специфичним функционалностима и
вишим нивоом безбедности.

208 РАЧУНАРСКЕ МРЕЖЕ

5.3. Сервис електронске поште
Сервис електронске поште, поред Веб сервиса, представља најпопуларнији
сервис на Интернету. Корени овог сервиса налазе се још у шездесетим годинама
прошлога века (у host-based периоду рачунарства), у програмима који су
омогућавали размену порука између различитих терминалских корисника
једног мејн-фрејм рачунара. Касније су овакви изоловани системи умрежавани а
софтвер за електронску пошту прошириван функцијама за размену порука
између система различитих организација.
Процењује се1 да је у току 2010. године сервис електронске поште користило око
1,88 милијардe људи, да је свакога дана у просеку слато око 294 милијарди
електронских писама, односно да их је у току те године укупно послато око 107
хиљада милијарди. Такође се процењује да су три четвртине налога за
електронску пошту намењене за личну, а само једна четвртина за пословну
употребу. Данас сервис електронске поште представља моћан пословни и
маркетиншки алат који се, међутим, често ненаменски користи - 89,1 процената
електронских писама у 2010. години препознато је као спем (енгл. spam).
5.3.1. Архитектура сервиса електронске поште
Сервис електронске поште данас у потпуности је дефинисан одговарајућим
софтверским компонентама и протоколима. Сам сервис електронске поште је
организован по клијент-сервер архитектури унутар које постоје следећи типови
агената у виду софтверских компонената:
• кориснички агент,
• агент за подношење порука,
• агент за пренос порука и
• агент за испоруку порука.
Поред наведених помпонената значајну улогу код овог сервиса игра и
складиште порука (енгл. Message Store, MS) као компонента корисничког агента.
Задатак ове компоненте је да прави архивске копије порука која се шаљу или
преузимају у циљу омогућавања накнадног приступа корисника њима. Код
већине популарних клијената за електронску пошту поруке су организоване у
директоријуме.
Кориснички агент за електронску пошту (енгл. Message User Agent, MUA) је

1 Извор: www.pingdom.com, Internet 2010 in numbers

РАЧУНАРСКЕ МРЕЖЕ 209

интерфејс између корисника и осталог дела сервиса електронске поште.
Најчешће реализације овог софтвера су у виду десктоп или Веб апликације.
Задатак корисничког агента је да кориснику омогући слање електронских порука
другим корисницима, као и преглед електронских порука послатих од стране
њих.

Слика 5.3.1-1. Архитектура и компоненте сервиса електронске поште

Агент за подношење порука (енгл. Message Submission Agent, MSA ) прихвата
поруку од корисничког агента, ставља је у формат прописан одговарајућим
стандардима и прослеђује агенту за пренос порука. Овај процес обавља
клијентску улогу протокола за пренос порука електронске поште.
Агент за пренос порука (енгл. Message Transfer Agent) представља серверску
имплементацију протокола за пренос порука електронске поште. Овај процес
прихвата поруке од стране корисничких агената за подношење порука или од
других агената за пренос порука. У зависности од да ли представља коначно
одредиште примљене поруке овај агент поруке прослеђује локалном агенту за
испоруку порука или наредном агенту за пренос порука.
Агент за испоруку порука (енгл. Message Delivery Agent) задужен је за смештање
поруке, примљене од последњег агента за пренос порука, у електронско
поштанско сандуче примаоца (које може бити реализовано путем фајл-система,
СУБП-а или на неки други начин). Испорука поруке у сандуче корисника не значи
да је корисник њу истог тренутка прочитао, већ да је његовом корисничком
агенту омогућен приступ поруци.
Два основна типа протокола које користи сервис електронске поште јесу
протоколи за слање порука и протокол за приступ порукама у сандучету. Када су
у питању протоколи за слање електронске поште, у пракси се готово увек
користи једноставан протокол за пренос електронске поште (енгл. Simple Mail
Transfer Protocol, SMTP). Са друге стране, када је у питању приступ корисничког
агента сандучету са електронском поштом у пракси се користе релативно

210 РАЧУНАРСКЕ МРЕЖЕ

једноставан протокол за електронску пошту треће верзије (енгл. Post Office
Protocol version 3, POP3) и нешто сложенији Интернет протокол за приступ
порукама (енгл. Internet Message Access Protocol, IMAP).
Неке од основних функција сервиса електронске поште директно зависе од
система доменских имена. У ове функције спадају проналажење назива
домаћина задуженог за размену електронске поште са одређеном
организацијом и превођење тог назива у одговарајућу адресу Интернет
протокола. У случају да сервер доменских назива задужен за одређени
Интернет домен не поседује информацију о томе који сервер је задужен за
пријем и слање електронске поште, њена размена са адресама при том домену
неће бити могућа.

Слика 5.3.1-2. Коришћење Веб апликације као клијента електронске поште

У последњих неколико година знатно се популаризовало коришћење
електронске поште путем клијената у виду Веб апликација (енгл. Webmail).
Разлог томе је једноставније коришћење кроз елиминисање процеса
инсталације десктоп апликације за електронску пошту, као и могућност
коришћења апликације и порука са било ког рачунара који има приступ Вебу.
Углавном најквалитетнији клијенти за електронску пошту у виду Веб апликација
се корисницима нуде заједно са комплетном услугом електронске поште
(Google Mail, Hotmail, Yahoo), с тим да постоји и велики број бесплатних Веб
апликација ове намене (Roundcube, Horde/IMP, Squirrel Mail, AtMail и друге).
5.3.2. Поруке, адресовање и протоколи
Структуру порука сервиса електронске поште чини омотач (енгл. envelope) у
оквиру кога се налазе заглавње и садржај поруке. У заглављу поруке наслазе се
описни параметри као што су адреса примаоца, наслов и слично. У телу поруке
се налази њен садржај а оно може бити издељено у више делова. Тело поруке је
подељено у јединице типа линије чија највећа дозвољена дужина износи 1.000
бајтова, укључујући и два бајта за крај линије.

РАЧУНАРСКЕ МРЕЖЕ 211

Поруке сервиса електронске поште иницијало су могле бити састављене од
првих 127 ASCII карактера, што је било погодно једино за енглеско говорно
подручје. Додатно, није постојала ни могућност слања другачије кодованих
фајлова у оквиру њих. Ова ограничења су довела до развоја Интернет стандарда
под називом Вишенаменска проширења Интернет поште (енгл.
Multipurpose Internet Mail Extensions, MIME ). Основна побољшања која нуди овај
стандард односе се на коришћење симбола различитих језика у заглављу и телу
порука и могућност придруживања различито кодованих фајлова.
Адресе код сервиса за електрноску пошту састоје се из два дела који се називају
глобалним и локалним. Глобални део служи да одреди Интернет домен коме је
намењена порука. Локални део слући да одреди конкретног примаоца поруке
унутар задатог Интернет домена. Ова два дела одвојена су знаком „@“.
Постоји више ограничења везана за дужину и садржај наведених делова адресе.
Важећа ограничења подразумевају постојање до 64 симбола у локалном делу
адресе и до 255симбола у глобалном делу. Тренутно значајно за наше подручје
јесте увођење ћириличног домена највишег нивоа (срб) за Републику Србију што
ће омогућити употребу адреса на нашем писму. Већина актуелних система за
електронску пошту тренутно, међутим, не подржава коишћење других симбола
осим слова енглеског алфабета, бројева и знакова „.“, „_“ и „-“.
5.3.2.1. SMTP - једноставан протокол за пренос електронске
поште
Основни задатак једноставног протокола за пренос електронске поште (енгл.
Simple Mail Transfer Protocol, SMTP ) јесте да омогући поуздан и ефикасан пренос
порука овог сервиса. Иако овај протокол није директно везан за протоколе
нижег нивоа већ само захтева поуздан канал за пренос података, он се углавном
користи у комбинацији са протоколом за контролу преноса, TCP.
Пре самог слања електронске поште потребно је успоставити двосмерни
комуникациони канал између клијента и сервера. У случају да је порука
адресована на вишеструке примаоце који се налазе на различитим доменима,
задатак је клијента да успостави везе са серверима за електронску пошту сваког
од њих. У случају да је једна порука адресована на вишеструке примаоце за чије
је домене задужен исти сервер, клијент само један пут врши слање поруке.
Након успостављања везе са сервером клијент врши слање поруке путем низа
наредби. Након што је пренос поруке извршен клијент може захтевати раскид
успостављене везе или започети слање наредне поруке. Осим за слање поруке,
веза са сервером електронске може се успостављати и за друге потребе, као

212 РАЧУНАРСКЕ МРЕЖЕ

што су провера исправности адресе примаоца или преузимање адреса чланова
листе за електронску пошту.
MAIL FROM: "Adam Jones" <adam@jones.tld>
RCPT TO: "Danny Carrey" <danny@carrey.tld>
DATE: Fri 18 Feb 2005 16:27:01 GMT
SUBJECT: New song
Message-ID: 000a01c76701$b2a25600$f601f0d5@server
DATA
Danny, I believe that two notes would be enugh for entire song.

QUIT
Листинг 5.3.2-1. Наредбе SMTP протокола за пренос порука
Значајну карактеристику SMTP протокола представља и његова могућност да
преноси поруке кроз вишеструке мреже. То значи да сервер који прима поруку
може бити њено коначно одредиште или само посредник (релеј) у достављању
поруке до њега, односно да достављање поруке примаоцу може бити извршено
унутар једне директне везе или путем више веза између различитих сервера.
5.3.2.2. POP3 - протокол за електронску пошту
Протокол за електронску поршту (енгл. Post Office Protocol version 3, POP3 )
намењен је да корисничким апликацијама омогући преузимање и управљање
порукама у сандучету електронске поште на серверу. У питању је једноставан,
али и веома популаран протокол наведене намене.
Протокол за електронску пошту дефинише три стања везе: стање ауторизације,
стање трансакција и стање ажурирања. Стање ауторизације почиње одмах
након успостављања везе са сервером. У оквиру овог стања врши се утврђивање
идентитета корисника на основу корисничког имена и лозинке које он доставља.
Две основне наредбе у стању ауторизације су USER и PASS којима клијент задаје
своје корисничко име и лозинку.
Након успешног утврђивања идентитета корисника прелази се у стање
трансакција. Преласком у ово стање закључава се поштанско сандуче
идентификованог корисника, односно онемогућава му се приступ из паралелних
сесија. Унутар стања трансакције клијент може задавати следеће наредбе:
• STAT - захтева се исписивање тренутног статуса поштанског сандучета,
односно броја порука у њему и њихове величине у бајтовима;
• LIST - захтева се преузимање заглавља порука у поштанском сандучету;

РАЧУНАРСКЕ МРЕЖЕ 213

 • RETR - захтева се преузимање комплетне поруке чији је редни број
наведен након наредбе;
• DELE - захтева се означавање за уклањање поруке чији је редни број
наведен након наредбе; овако означене поруке се уклањају након
преласка везе у стање ажурирања;
• RSET - захтева се поништавање означавања порука за уклањање;
• NOOP - ова наредба нема никакву другу намену осим да се потврди веза
између клијента и сервера да не би дошло до њеног аутоматског
прекида након одређеног периода некативности;
• QUIT - захтева се прекид сесије, односно прелазак у стање ажурирања.
Веза прелази у стање ажурирања само уколико је у стању трансакција регуларно
захтеван прекид везе. У току овог стања се уклањају за то означене поруке,
откључава се поштанско сандуче и прекида се веза.

214 РАЧУНАРСКЕ МРЕЖЕ

5.4. Сервиси за пренос фајлова
Основна улога рачунарских мрежа јесте размена података између (корисника)
удаљених рачунарских система. Један од основних начина за складиштење
података на рачунарским системима јесте у виду фајлова, односно коришћењем
фајл-система. Фајл-системи се најчешће користе за складиштење података на
екстерној меморији, мада се због једноставне употребе понекад користе и за
рад са подацима у радној меморији, или као интерфејс за одређена стања и
функције оперативног система . Две основне компоненте фајл-система су формат
записа података на екстерној меморији и имплементација функција за рад са
фајловима унутар оперативног система.
Током историје развоја рачунара развијен је велики број различитих фајл-
система. Неки од њих су заштићени и комерцијално доступни, док су неки
отворени и јавно доступни. У пракси је могуће премештати податке са једног
фајл-система на други али се тиме губе сви атрибути фајлова које одредишни
фајл-систем не подржава. Најпопуларнији фајл-системи данас су Extented
filesysem (верзије 2, 3 и 4), Reiserfs, XFS, JFS, Btrfs, NTFS, VFAT, као и ISO 9660
фајл-систем за компакт и дигиталне видео дискове.

Слика 5.4-1. Пренос фајлова путем протокола у корисничком софтверу

За пренос фајлова путем рачунарских мрежа углавном се користе два приступа.

РАЧУНАРСКЕ МРЕЖЕ 215

Први подразумева коришћење клијент-сервер архитектуре, односно
софтверских компонената које на захтев корисника шаљу фајлове серверу,
преузимају их са њега или над њима извршавају неку другу операцију
(уклањање, премештање у други директоријум и слично).
Други приступ за пренос фајлова путем мреже подразумева реализацију једног
дела фајл-система у виду мрежног протокола. Код овог приступа се интерфејс
фајл-система ка остатку локалног рачунарског окружења реализује као и када су
у питању локални фајл-системи али се складиштење података са локалне
екстерне меморије измешта на удаљени рачунарски систем, доступан
коришћењем одговарајућих мержних протокола.

Слика 5.4-2. Пренос фајлова путем мрежног фајл-система

У овом поглављу обрађено је неколико типичних протокола за пренос фајлова
путем рачунарских мрежа. Као свакако најпопуларнији протокол те намене
обрађен је пороткол за пренос фајова ( FTP). Затим, обрађени су мрежни фајл-
системи који се користе на данас популарним оперативним системима - мрежни
фајл-систем (NFS) на UNIX оперативним системима и општи Интернет фајл-
систем на оперативним системима компаније Мајкрософт.

216 РАЧУНАРСКЕ МРЕЖЕ

5.4.1. FTP - протокол за пренос фајлова
Протокол за пренос фајлова (енгл. File Transfer Protokol, FTP) је протокол
намењен размени фајлова између рачунара који имају подршку за TCP/IP
протокол. FTP је клијент-сервер протокол што значи да се његова примена врши
путем серверског програма на серверу и клијентске апликације на клијенту.
Постоји велики број серверских и клијентских реализација за различите
оперативне системе и углавном су бесплатне.
Основни циљеви FTP протокола су:
• омогућавање размене фајлова између рачунара
• омогућавање индиректног коришћења удаљених рачунара
• заштита корисника од различитих варијација код складиштења фајлова
на различитим системима поуздан и ефикасан пренос фајлова
Основне мане FTP протокола су:
• Приступне лозинке и садржај фајлова се мрежом преноси у изворном
облику што га чини небезбедним.
• За сваку операцију (повезивање, преузимање фајлова, листање
садржаја, постављање фајлова) се користи засебна TCP/IP конекција што
може изазвати проблеме уколико се пренос обавља посредством
рачунара са firewall-ом.
• Постоји могућност "узнемиравања" 3. рачунара при одређеним
захтевима преко проxy сервера.
• FTP је веома латентан протокол услед великог броја команди потребних
за иницирање трансфера.
• Не постоји уграђена могућност провере интегритета пренешеног фајла
тако да се ово најчешће обавља засебно преко md5 фајла.
5.4.1.1. Сигурни FTP
Главни безбедносни недостаци FTP протокола су:
1. Корисничко име и лозинка се преко мреже преносе у изворном облику.
2. Подаци који се преносе протоколом преносе се у изворном облику.
Ови недостаци не представљају проблем код локалних мрежа чији се
комуникациони канали најчешће сматрају безбедним. Међутим, коришћење

РАЧУНАРСКЕ МРЕЖЕ 217

FTP протокола путем мреже чије је канале могуће прислушкивати (нпр.
Интернет) отвара следеће безбедносне ризике:
1. Нападач може утврдити које операције је корисник извео на серверу.
2. Нападач може утврдити садржај фајлова који су пренешени FTP
прокотоколом (у оба смера).
3. Нападач може утврдити корисничко име и лозинку корисника.
Услед поменутих безбедносних ризика при коришћењу FTP-а, појавиле су се две
различите имплементације сигурног FTP-а:
1. SFTP (SSH File Transfer Protocol) - FTP базиран на SSH (Secure SHell)
протоколу.
2. FTPS (File Transfer Protocol over SSL) - FTP са коришћењем SSL или TLS
енкрипције.
5.4.2. NFS - мрежни фајл-систем
Мрежни фајл-систем (енгл. Network File System, NFS) најчешће је коришћени
фајл-систем овог типа на UNIX оперативним системима. Развила га је компанија
Сан Мајкросистемс.
Мрежни фајл-систем је реализован на клијент-сервер архитектури. То значи да
рачунар на коме се налазе путем мреже доступни фајлови поседује серверску
софтверску компоненту, а рачунари који тим фајловима приступају путем мреже
клијентске софтверске компоненте.
5.4.3. CIFS - општи Интернет фајл-систем
SMB (Server Messages Block) је протокол апликативног слоја OSI модела и
најчешће се користи за размену фајлова, дељење штампача и серијских портова
између рачунара на мрежи. Углавном се користи на рачунарима под MS
Windows оперативним системима. SMB је оригинално представљен од стране
IBM-а са циљем да од DOS-овог "Interrupt 33" локалног приступа фајловима
направи мрежни фајл систем. Међутим, опште распрострањена варијанта SMB-а
је прилично измењена од стране компаније Мајкрософт. Ова компанија је 1998.
године лансирала иницијативу за промену имена SMB-а у CIFS (Common Internet
File System) јер је у SMB додато мноштво нових могућности: симболички и тврди
линкови, већа величина фајлова и покушај да се комуникација остварује
директно, без коришћења NetBios-а.

218 РАЧУНАРСКЕ МРЕЖЕ

SMB је оригинално дизајниран да ради на NetBios протоколу (који ради на
NetBEUI, IPX/SPX или NBT протоколу) а од MS Windows 2000 оперативног
система SMB може да ради и на TCP/IP протоколу. Услед неопходности за
комуникацијом са системима под MS Windows оперативним системима, SMB је
портован и на Unix оперативне системе у оквиру Samba пројекта. Такође, постоје
и друге, мање популарне имплементације SMB протокола намењене
различитим оперативним системима.
CIFS (Common Internet File System) представља новију верзију SMB-а која
подржава меко и тврдо линковање, нуди функционалности које нису доступне у
SMB-у и ради на TCP/IP уместо NetBios протоколу. Компанија Мајкрософт је
1996. године након увођења поменутих новина у SMB протокол покренула
иницијативу за преименовање SMB протокола у CIFS. Спецификација 1.0 верзије
CIFS протокола је достављена IETF групи за стандардизацију а Мајкрософт
такође сарађује на примени овог протокола и са осталим заинтересованим
странама. Превођење са NetBios на TCP/IP протокол омогућава CIFS протоколу
рад на Интернет мрежи уз коришћење DNS система за адресовање чланова. У
мрежама са више клијената проблем конкурентног приступа фајловима CIFS
решава интерним системима закључавања.

РАЧУНАРСКЕ МРЕЖЕ 219

5.5. Сервиси адресовања
Појављивањем великих локалних рачунарских мрежа - мрежа од више стотина,
па и хиљада чланова - као и глобалне Интернет мреже, ручно означавање
чланова постало је практично немогуће, посебно у условима динамичних
мрежа, односно мрежа код којих се стално појављују нови чланови. Из тог
разлога, развијено је више система за аутоматско адресовање чланова у
рачунарским мрежама.
У овом делу уџбеника обрађена су два основна сервиса за аутоматизовано
адресовање чланова рачунарских мрежа. Први сервис се односи на адресовање
на мрежном слоју у локалним мрежама. Овај сервис је заснован на протоколу
за динамичко подешавање домаћина (енгл. Dynamic Host Configuration
Protocol, DHCP). Други сервис има глобалну намену и односи се на превођење
симболичких адреса у логичке и обрнуто. Овај сервис је реализован системом
доменских имена (енгл. Domain Name System, DNS).
5.5.1. DHCP - протокол за динамичко подешавање домаћина
Протокол за динамичко подешавање домаћина (енгл. Dynamic Host
Configuration Protocol, DHCP ) користи се у локалним рачунарским мрежама за
аутоматизовано додељивање адреса Интернет протокола члановима. Принцип
рада овог протокола је једноставан:
• чланови рачунарске мреже подесе се за аутоматско добијање адресе
коришћењем овог протокола;
• при иницијализацији мрежних интерфејса рачунар шаље емисиони упит
(коришћењем технологије на слоју везе) да ли у мрежи постоји DHCP
сервер;
• сервери одговарају на захтев нудећи мрежну конфигурацију (која
обухвата мрежну адресу, мрежну маску и опционо адресу
подразумеваног мрежног пролаза, адресе DNS сервера и слично) на
одређени период;
• клијент се одлучује за једну од понуда и о својој одлуци обавештава све
сервере;
• сервер чија је понуда прихваћена потврђује „изнајмљивање“ понуђене
конфигурације на задати период;
• након истицања периода изнајмљивања конфигурације она се даје

220 РАЧУНАРСКЕ МРЕЖЕ

 другим клијентима или клијент описаним процесом обнавља уговор за
њено коришћење.
Осим у локалним рачунарским мрежама овај сервис се често користи и на
Интернету, од стране Интернет провајдера. Треба имати у виду да постоји и
неколико типова напада на рачунарске мреже који се базирају на злоупотреби
овог сервиса - заузимање свих мрежних адреса на серверу, уметање нападача
као подразумевани мрежни пролаз.
5.5.2. DNS - систем доменских имена
Систем доменских имена (енгл. Domain Name System, DNS) је систем који чува
информације везане за имена домена у виду дистрибуиране базе података, а
реализован је као клијент-сервер сервис. Најважнија функционалност DNS-а је
превођење доменских имена у адресе Интернет протокола и обрнуто.
Већина осталих мрежних сервиса (Веб, електронска пошта, пренос фајлова итд.)
користи или има могућност да користи DNS сервис. На пример, једна од
функционалности DNS-а је и обезбеђивање информације о томе који сервери су
задужени за размену електронске поште за одређени домен. Без ове
функционалности DNS-а сервис за размену електронске поште не би могао да
функционише.
5.5.2.1. Историјат проблема и решења
Систем доменских имена развијен је као одговор на пораст величине
рачунарских мрежа, пораст броја рачунарских мрежа (и појаве Интернета) и
потребу за једноставнијим адресовањем рачунара на мрежи. Под
једноставнијим адресовањем се мисли на прилагођавање мрежног адресовања
карактеристици људи да лакше памте симболичка имена од бројева (на пример,
лакше је запамтити www.dir.singidunum.ac.rs од 212.62.45.222). Проблем је у
почетку био решен путем hosts фајлова на сваком од рачунара на мрежи.
Међутим, порастом броја рачунара у рачунарским мрежама недостаци оваквог
решења су постали озбиљан проблем:
1. Узмимо за пример рачунарску мрежу од N чланова.
2. N рачунара чува информацију о N чланова те мреже у локалним hosts
фајловима:
1. 192.168.1.1 рачунар1.локална-мрежа
2. 192.168.1.2 рачунар2.локална-мрежа
3. 192.168.1.N рачунарN.локална-мрежа

РАЧУНАРСКЕ МРЕЖЕ 221

 3. Проблем 1: додавањем новог рачунара у мрежу потребно је на N
рачунара додати нови запис у hosts фајл и на новом рачунару унети
комплетан hosts фајл
4. Проблем 2: изменом постојећег рачунара у мрежи потребно је на N
рачунара изменити постојећи запис у hosts фајлу
5. Проблем 3: уклањањем постојећег рачунара из мреже потребно је на N -
1 рачунара додати или уклонити запис из hosts фајла
Из наведеног се јасно види да код малих мрежа hosts фајлови могу бити
једноставније решење од DNS-а јер нема потребе за постављањем DNS сервера.
Међутим, код великих мрежа администрација се знатно отежава јер се при
свакој измени мреже она односи на све рачунаре у мрежи. Први корак ка
решавању наведених проблема био је дистрибуирани hosts фајл (један hosts
фајл у мрежи коме могу да приступају сви чланови мреже) а проблем је у
потпуности решен 1983. године када је Пол Мокапетрис изумео систем
доменских имена.
#
# hosts This file describes a number of hostnametoaddress
# mappings for the TCP/IP subsystem. It is mostly
# used at boot time, when no name servers are running.
# On small systems, this file can be used instead of a
# "named" name server. Just add the names, addresses
# and any aliases to this file...
#
# By the way, Arnt Gulbrandsen <agulbra@nvg.unit.no> says that 127.0.0.1
# should NEVER be named with the name of the machine.
# It causes problems
# for some (stupid) programs, irc and reputedly talk. :^)
#
# For loopbacking.
127.0.0.1 localhost
192.168.1.1 tool.local tool
# End of hosts.
Листинг 5.5.2.1-1. Пример hosts фајла на Линукс оперативном систему
Hosts фајлови се могу користити у комбинацији са DNS-ом. У том случају они
имају приоритет над DNS-ом тј. при разрешавању неког имена прво се
проверава садржај hosts фајла а тек уколико он не садржи информацију о

222 РАЧУНАРСКЕ МРЕЖЕ

траженом имену упит се шаље DNS серверу. Овакав редослед у разрешавању
имена има своје добре стране. На пример, могуће је “заобићи” DNS тј. могуће је
заменити адресу неког рачунара при локалном разрешавању имена - уносом
записа “0.0.0.0 ad.doubleclick.net” у hosts фајл локалног рачунара он неће бити у
могућности да приступи стварној адреси “ ad.doubleclick.net”. Последица овога је
да при сурфовању Интернетом ниједан садржај са поменуте адресе неће бити
доступан. Међутим, како са поменуте адресе најчешће долазе само рекламе,
оне неће бити досупне тако да ће се то одразити већом брзином учитавања
осталих садржаја у којима се оне приказују. Са друге стране, заобилажење DNS-
а могуће је као последица инфицирања система малициозним софтвером. На
пример:
1. Нападач креира Веб страницу на сопственој адреси Интернет протокола -
X.X.X.X - која је различита од адресе на којој се налази домен
www.google.com - Y.Y.Y.Y.
2. Веб страница на адреси X.X.X.X је таква да визуелно у потпуности
одговара оригиналној страници на www.google.com али су логика и база
података претраживача који стоји иза те странице потпуно другачије од
оних на стварној адреси претраживача www.google.com.
3. Лажни www.google.com на адреси Y.Y.Y.Y намењен је за промоцију
клијената који нападачу за узврат дају новчану надокнаду.
4. Нападач затим креира малициозни софтвер који се шири путем
Интернета и у hosts фајл заражених рачунара уноси запис: X.X.X.X
www.google.com.
На овај начин, сваки од заражених рачунара при захтеву за страницом
www.google.com приступа лажној адреси X.X.X.X уместо Y.Y.Y.Y а корисници
добијају погрешне информације у корист нападача.
5.5.2.2. Теорија рада система доменских имена
Простор доменских имена је стабло за чији сваки чвор постоји запис у DNS-у
надлежном за ту зону. У надлежном DNS серверу (енгл. authoritative DNS
nameserver) могуће је за одређену зону декларисати подзоне путем
декларисања одговарајућих DNS под-сервера.
За разумевање система доменских имена и начина његовог функционисања
потребно је разумети саму структуру имена домена (енгл. domain name). Назив
домена се састоји од два или више делова раздвојених тачкама. Узмимо за
пример домен dir.singidunum.ac.rs:
• Прва ознака са десне стране представља домен највишег нивоа (енгл.

РАЧУНАРСКЕ МРЕЖЕ 223

 top level domain), у овом случају rs.
• Свака наредна ознака гледано са десне стране - ac, singidunum и dir -
представља поддомен. Максималан број поддомена је 127 а сваки од
чланова може имати максималну дужину од 63 карактера, с тим да
целокупна дужина назива (укључујући све поддомене и тачке којим су
раздвојени) не сме прећи 255 карактера.
Домен може имати дефинисаних један или више имена домаћина (енгл.
hostname) којима су придружене адресе Интернет протокола. У наведеном
случају, домен је dir.singidunum.ac.rs а име домаћина би могло да буде
www.dir.singidunum.ac.rs са одговајућом адресом Интернет протокола
212.62.45.222.

Слика 5.5.2.2-1. Хијерархијска организација система доменских имена

Сервис система доменских имена чине хијерархијски повезани сервери. За
сваки од домена мора да постоји декларисан један или више надлежних DNS
сервера који су задужени за чување и давање информација о њему. Један DNS
сервер може бити задужен и за већи број потпуно независних домена. У корену
стабла постоје специјални DNS сервери који се зову корени сервери (енгл. root
servers) и они су задужени за домене највишег нивоа - домене на самом корену
стабла. Без поменутих корених сервера рад Интернета не би био могућ јер они
чине основу сваког доменског именовања на њему. Тренутно постоји 13
корених сервера и њихова имена су [A-M]. root-servers.net.

224 РАЧУНАРСКЕ МРЕЖЕ

Домен највишег нивоа је прва с десна ознака у сваком имену домена - у домену
dir.singidunum.ac.rs домен највишег нивоа је rs. Постоје три категорије домена
највишег нивоа:
1. домени највишег нивоа везани за државе - домени дужине два
слова везани за земљу или одређени географски простор: rs - Република
Србија, ru - Руска Федерација, cn - Народна Република Кина и тако даље;
2. генерички домени највишег нивоа - домени који се користе за
одређену класу организација: com - комерцијални системи, org -
непрофитне организације, edu - образовне установе и тако даље;
3. инфраструктурни домени највишег нивоа - једини у овој групи је
arpa домен.
За нашу државу, као и за све државе чије писмо садржи и друге знакове сем
енглеског алфабета, значајна је од скора доступна могућност коришћења и
међународних знакова у називу домена. У складу са њом, дефинисано је и више
домена највишег домена за наведени тип држава. Када је су у питању
ћирилични домени највишег нивоа, Република Србија је, првенствено
захваљујући професионалном и ефикасном раду РНИДС-а, обезбедила срб
домен највишег нивоа, одмах након Руске федерације. Почетак јавне употребе
овог домена планиран је за крај 2011. године.
Клијентска компонента DNS система назива се разрешивач (енгл. resolver). Ова
компонента се обраћа DNS серверу да би од њега добила адресу Интернет
протокола за задато име домена. Разрешивач је системска компонента која се
користи посредно, односно путем програма којима је ова услуга потребна.
Разрешивачи доменских имена користе системске мрежне параметре који
најчешће садрже логичку адресу једног или два DNS сервера. Пример
коришћења DNS услуге:
1. Апликација (на пример, Веб браузер) добија униформни локатор ресурса
http://www.dir.singidunum.ac.rs/index.php од стране корисника и
рашчлањује га на протокол (http), име домаћина
(www.dir.singidunum.ac.rs) и локалну адресу ресурса (/index.php).
2. Апликација се обраћа разрешивачу доменских имена у циљу добијања
адреса Интерент протокола за тражено име домаћина.
3. Разрешивач доменских имена се обраћа DNS серверу из мрежне
конфигурације рачунара питањем: "Да ли знаш која је адреса Интернет
протокола доменског имена www.dir.singidunum.ac.rs?"

РАЧУНАРСКЕ МРЕЖЕ 225

 4. Уколико DNS коме се разрешивач обратио није надлежан за домен у
коме се тражени домаћин налази (dir.singidunum.ac.rs) он се обраћа
једном од корених DNS сервера питањем: "Који је DNS сервер надлежан
за rs домен?"
5. Корени сервер враћа одговор: "147.91.8.6".
6. DNS сервер се обраћа серверу 147.91.8.6 питањем: "Који је DNS сервер
надлежан за ac.rs домен?".
7. DNS сервер на адреси 147.91.8.6 враћа одговор: "147.91.8.21".
8. DNS сервер се обраћа серверу на адреси 147.91.8.21 питањем: "Који је
DNS сервер надлежан за домен singidunum.ac.rs?"
9. Сервер на адреси 147.91.8.21 враћа одговор: "212.62.48.42".
10. DNS сервер се обраћа серверу на адреси 212.62.48.42 са питањем: "Који
је DNS сервер надлежан за домен dir.singidunum.ac.rs?".
11. Сервер на адреси 212.62.48.42 враћа одговор: "212.62.45.222".
12. DNS сервер се обраћа серверу на адреси 212.62.45.222 питањем: "Која је
адреса домаћина www.dir.singidunum.ac.rs?".
13. Сервер на адреси 212.62.48.222 враћа одговор: "212.62.45.222"
14. DNS сервер враћа одговор клијенту чији му се разрешивач обратио:
"адреса Интернет протокола за домаћина www.dir.singidunum.ac.rs је
212.62.45.222".
На овај начин апликација на клијентском рачунару добија адресу Интернет
протокола Веб сервера и путем те адресе прослеђује захтев за Веб страницом
/index.php. Овај пример објашњава рекурзију у раду DNS-а. Треба имати у виду
да један DNS сервер може чувати информације о више различитих домена као и
да више DNS сервера могу пружати информацију о једном домену.
5.5.2.3. Кеширање код система доменских имена
У примеру рекурзивног DNS разрешавања датог у делу „Теорија рада DNS-а“
приказан је скуп корака који је теоретски неопходно проћи да би клијент добио
информацију од сервера. У пракси би, међутим, овакав начин рада код сваког
DNS упита за сваки Интернет домен створио огромно оптерећење свих DNS
сервера који учествују у разрешавању одређеног домена. Ово се пре свега
односи на корене DNS сервере и DNS сервере којима клијент директно приступа.
Да би се избегло поменуто оптерећење уведено је кеширање резултата.

226 РАЧУНАРСКЕ МРЕЖЕ

Кеширање код DNS-а има за циљ да омогући сваком од DNS сервера смањење
броја упита које он поставља осталим DNS серверима при разрешавању упита
везаног за домене из зоне за он није надлежан. Уколико је кеширање укључено
на DNS серверу, он у својој интерној бази чува резултате свих успешно
обављених разрешавања тако да, уколико се исти упит понови, сервер не мора
да тражи поново све информације од осталих DNS сервера већ користи потојећу
информацију из базе.
Овакав начин рада штеди процесорске ресурсе и комуникационе канале DNS
сервера али отвара и ново питање - уколико се информација о домену на за
њега надлежном DNS серверу измени, како ће се то одразити на клијенте који
врше упит за тај домен посредством других сервера који у својој бази имају
забележену претходну информацију? Одговор на ово питање лежи у
ограничењу периода важења (енгл. Time To Live, TTL) информација које је
надлежни сервер дао. Овај параметар одређује након ког времена ће
посреднички DNS сервери обновити информацију у својој бази везану за тај
домен. Период важења се изражава у секундама и најчешће је постављен на
86.400 секунди, односно један дан. То у пракси значи да је максимално време
(након измене домена на надлежном DNS серверу) током кога ће клијенти
добијати застарелу информацију од посредничких DNS сервера један дан.
Остали системски параметри сваке информације о имену домена су:
• Serial: серијски број зоне који се увећава при свакој измени података, а
служи осталим серверима за утврђивање да ли се информација
изменила на главном серверу.
• Refresh: број секунди након кога ће slave и secondary сервери освежити
своје податке за зону.
• Retry: број секунди након кога ће slave и secondary сервери поново
покушати освежавање података са master сервера уколико претходни
покушај не успе.
• Expire: број секунди након кога ће slave и и secondary сервери одустати
од покушаја да освеже своју базу са master сервера уколико претходни
покушаји не успеју.

РАЧУНАРСКЕ МРЕЖЕ 227

5.6. Сервиси за администрацију мреже
На исти начин као што се „бирократија шири да би одговорила на потребе
бирократије која се шири“ тако се и на пољу рачунарских мрежа појављују нови
сервиси који имају за циљ да олакшају одржавање и развој рачунарских мрежа.
Постоји велики број специјализованих административних сервиса произвођача
комерцијалних решења на пољу рачунарских система и мрежа. За такве сервисе
њихови произвођачи обично дају обимну документацију која покрива све
детаље који су значајни за њихово коришћење. У овом поглављу обрађена су
два честа и отворена инфраструктурна сервиса рачунарских мрежа: протокол
мрежног времена и протокол за једноставно управљање мрежом.
5.6.1. NTP - протокол мрежног времена
У рачунарским мрежама које чине сервери различитог типа (апликативни,
комуникациони, базе података) или кластери сервера, често је потребно
остварити прецизну временску синхронизацију између свих чланова мреже. На
пример, уколико у серверској мрежи једне банке постоје два сервера за базе
података од којих је један задужен за евидентирање уплата на рачуне клијената
а други за евидентирање исплата са истих рачуна, временска
несинхронизованост ова два сервера касније може условити нетачне
информације везане за редослед уплата и исплата. Иако на први поглед
временска синхронизација не представља велики проблем за њено
остваривање је потребно:
1. обезбедити систем за тачан пренос времена пакетским преносом, без
утицаја променљивог времена потребног за пренос пакета,
2. иницијално синхронизовати време на часовницима свих рачунара у
мрежи и
3. прериодично вршити синхронизацију да би се неутралисале разлике
настале у међувремену.
Задатак протокола мрежног времена (енгл. Network Time Protocol, NTP ) јесте да
омогући синхронизацију времена на часовницима рачунара у мрежи.
bash3.1# /usr/sbin/ntpdate ntp.nasa.gov
15 Mar 12:02:46 ntpdate[]: step time server 198.123.30.132 offset 1.914867 sec
bash3.1# /sbin/hwclock systohc
bash3.1#
Листинг 5.6.1-1. Пример синхронизације локалног часовника

228 РАЧУНАРСКЕ МРЕЖЕ

Протокол мрежног времена је протокол апликативног нивоа који за рад користи
услуге UDP протокола транспортног нивоа, подразумевано на порту 123. Један
од главних проблема везан за синхронизацију времена путем рачунарских
мрежа јесте варијабилност времена потребног да се подаци са NTP сервера
пренесу до клијента. За решавање овог проблема у NTP протоколу користи се
алгоритам који је Кејт Марцуло представио 1984. године у оквиру своје
докторске дисертације. Више информација о овом алгоритму се може наћи на
Веб сајту аутора2.
За коришћење NTP протокола је потребно имати NTP сервер у локалној мрежи
или користити неки од јавно доступних NTP сервера на Интернету (на пример,
ntp.nasa.gov). Такође, један од најбољих приступа јесте подешавање аутоматске
периодичне синхронизације часовника на свим клијентима. С обзиром на то да
процес синхронизације не захтева значајне мрежне, процесорске и меморијске
ресурсе период између синхронизација се може поставити и веома кратким,
посебно у ситуацијама код којих је веома прецизна синхронизација времена
неопходна, или код којих интерни часовници рачунара показују знатна
одступања у кратком временском периоду. Међутим, у случају таквих знатних
одступања потребно је проверити исправност самог хардвера, као и
подешавања оперативног система.
bash3.1# cat /sys/devices/system/clocksource/clocksource0/
available_clocksource current_clocksource
bash3.1# cat /sys/devices/system/clocksource/clocksource0/current_clocksource
hpet
bash3.1#
Листинг 5.6.1-2. Утврђивање хардверског извора времена на Линукс систему
Треба имати у виду и то да неки сложени софтверски сервиси свој рад заснивају
на вођењу дневника у којима се за сваку акцију евидентира време њеног
извршења у секундама или милисекундама. Проблем који се код таквих сервиса
може јавити потиче из ситуације у којој се синхронизацијом времена време на
интерном часовнику рачунара (на коме се поменути процес извршава) „враћа
уназад“. Таква синхронизација може резултовати тиме да накнадне акције имају
забележено раније време извршавања од претходно евидентираних акција, што
даље може довести до неисправног рада сервиса или његовог потпуног
отказивања.

2 http://www.cse.ucsd.edu/users/marzullo

РАЧУНАРСКЕ МРЕЖЕ 229

5.6.2. SNMP - протокол за једноставно управљање мрежом
Код једноставних рачунарских мрежа са малим бројем чланова углавном није
тешко утврдити да се јавио проблем и шта је узрок проблема. Међутим, код
комплексних рачунарских мрежа које чини велики број чланова често је
неопходно, а уз то и веома компликовано, предвидети могуће проблеме,
утврдити да је до проблема на мрежи дошло и утврдити његову локацију и
узрок. Улога протокола за једноставно управљање мрежом (енгл. Simple
Network Management Protocol) јесте да администраторима обезбеди
информације везане за рад рачунарске мреже, а које је могуће искористити за
спречавање и решавање проблема у њеном раду.
За коришћење SNMP протокола у мрежи потребно је обезбедити одговарајуће
карактеристике мреже. Протокол SNMP се у мрежама омогућава путем три типа
компонената: мрежних уређаја са подршком за управљање SNMP-ом (енгл.
managed device), SNMP агената и система за управљање мрежом (енгл. Network
Management System, NMS).
Мрежни уређаји са подршком за SNMP управљање су чланови мреже који
садрже SNMP агенте. Ови уређаји креирају базу података која садржи
информације о њиховом раду у протеклом периоду. Подаци из ове базе су
доступни систему за управљање мрежом ( NMS) путем SNMP протокола. Улога
SNMP агената је да податке из базе података мрежног уређаја преведе у облик
дефинисан SNMP протоколом као и да контролне податке добијене од NMS
система примени на локалном уређају. Задатак NMS система јесте да
информације добијене од SNMP агената анализирају као и да контролишу
мрежне уређаје. У једној SNMP мрежи се може налазити и више NMS система.
Такође, с обзиром на хијерархијску структуру SNMP мрежа, један мрежни уређај
може истовремено функционисати и као SNMP агент и као NMS.
Један од главних проблема везаних за SNMP протокол јесте недостадак провере
аутентичности у оба смера. Из тог разлога већина произвођача мрежне опреме
у уређаје уграђује само могућност давања SNMP информација без могућности
подешавања рада уређаја путем SNMP-а.

230 РАЧУНАРСКЕ МРЕЖЕ

5.7. Сервиси за рад на удаљеном рачунару
Једно од наслеђа од мејнфрејм периода рачунарских телекомуникација је и
потреба за коришћење услуга удаљених рачунарских система путем основног
корисничког интерфејса, алфанумеричког или графичког. Један од првих
сервиса ове намене био је Телнет, сервис који је омогућавао конзолни рад на
удаљеном рачунару, а који је касније унапређен у виду Secure Shell сервиса.
Један од првих сервиса који је омогућавао дистрибуирани графички кориснички
интерфејс јесте X Window System на UNIX оперативним системима. У овом
поглављу је поред наведених конзолних сервиса обрађен и сервис виртуалног
мрежног рачунарства (енгл. Virtual Network Computing, VNC).
5.7.1. Телнет
Основна улога телнет сервиса јесте да омогући рад корисника на удаљеним
рачунарима (најчешће под UNIX оперативним системом). Овај сервис је
изграђен на клијент-сервер архитектури што значи да захтева од корисника
поседовање клијентске апликације и да на рачунару на који корисник жели да
се повеже буде инсталирана серверска компонента сервиса. Након
успостављања иницијалне везе телнет протокола овај сервис поприма
карактеристике хост-басед архитектуре. То значи да свака операција од стране
клијента (нпр. притисак тастера на тастатури) се истовремено прослеђује
серверу. На тај начин корисник може обављати операције на удаљеном
рачунару на исти начин као да седи директно испред рачунара и користи
локалну тастатуру и монитор.
Један од главних разлога зашто се данас телнет ретко користи за удаљени
приступ рачунарима јесте појава графичког корисничког интерфејса за који овај
протокол није дизаниран. Додатни разлог пада популарности овог сервиса јесте
безбедност. Телнет протокол све акције корисника (укључујући и слање
корисничког имена и лозинке) и резултате инструкција шаље у изворном облику
што га чини небезбедним за коришћење на мрежама чије је канале могуће
прислушкивати.
Без обзира на све ређу употребу телнет сервиса за рад на удаљеним
рачунарима већина модерних оперативних система данас се испоручује са
укљученом клијентском компонентом. Разлог овоме јесте могућност
коришћења телнет клијента за приступ серверским компонентама осталих
сервиса.

РАЧУНАРСКЕ МРЕЖЕ 231

5.7.2. SSH - безбедна љуска
SSH (Secure Shell) протокол омогућава безбедан приступ и рад на удаљеним
рачунарским системима [RFC4251]. Првенствено се користи на UNIX базираним
оперативним системима. Три основне компоненте овог протокола чине
протокол транспортног слоја, протокол за проверу аутентичности и протокол
везе.
Протокол транспортног слоја који обезбеђује аутентичност, интегритет и
поверљивост најчешће користи услуге TCP/IP протокола али се могу искористити
и остали протоколи који омогућавају поуздан пренос података. Улога овог
протокола је да омогући безбедан канал користећи небезбедну инфраструктуру.
Овај протокол обезбеђује и јединствени идентификатор сесије који се може
користити од стране протокола вишег нивоа.
Протокол за проверу аутентичности корисника на клијентској страни такође
функционише на транспортном нивоу. Механизми овог протокола користе
поменути идентификатор сесије који обезбеђује протокол транспортног слоја.
Протокол везе који мултиплексује шифровани тунел у више логичких канала
лежи на протоколу за аутентичност.
Протокол везе који обезбеђује канале који се могу користити за различите
примене, најчешће за сесије алфануемеричког корисничког интерфејса и
тунеловање X11 протокола. У оквиру SSH протокола алгоритми и методи за
шифровање, проверу интегритета, израчунавање хеш вредности, компресију и
размену кључева дефинисани су по називу. Неки од алгоритама су обавезни за
све имплементације. У оквиру спецификације алгоритма подразумевана је
могућност проширивања скупа алгоритама одређене намене сопственим
алгоритмом.
Сесијски кључеви се код SSH протокола генеришу коришћењем
(псеудо)случајног генератора. Квалитет овог генератора један је од пресудних
фактора безбедности коју нуди SSH протокол.
SSH протокол може бити рањив нападима ускраћивања услуге. Релативно
захтевне процедуре на серверу нападач може искористити за заузимање
меморијских и процесорских ресурса сервера. Ово питање првенствено зависи
од конкретне имплементације проткола.

232 РАЧУНАРСКЕ МРЕЖЕ

5.7.3. Дистрибуирано превођење C програмског језика
Један од интересантних примера коришћења рачунарских мрежа за
дистрибуирану обраду података је и компајлер за дистрибуирано превођење C
програмског језика - DISTCC (Distributed C Compiler). Овај програм подразумева
инсталирање агената на свим или одабраним рачунарима у мрежи. Ти агенти
ослушкују на додељеном порту и, када добију захтев, започињу локално
превођење кода у C програмском језику на машински језик. Друга компонента
овог решења јесте локални диспечер, односно програм који на захтев за
превођењем дели изворни код, прослеђује га осталим рачунарима у мрежи и
склапа добијене резултате. У случајевима рачунарских мрежа са доста чланова
овакав приступ може убрзати превођење обимних програма и неколико стотина
пута.

РАЧУНАРСКЕ МРЕЖЕ 233

5.8. Мултимедијални сервиси
Убрзан развој рачунарских технологија довео је до могућности коришћења и
обраде мултимедијалних садржаја на рачунарима. Додатно, паралелан развој
рачунарских и телекомуникационих технологија омогућио је капацитете
комуникационих канала довољне за пренос мултимедијалних садржаја високе
резолуције, чак и у реалном времену. У овом поглављу су представљена два
основна сервиса за удаљену комуникацију коришћењем рачунарских мрежа -
Интернет телефонија и видео конференције.
5.8.1. Интернет телефонија
Интернет телефонија представља један од сервиса који се могу користити путем
Интернет мреже и мрежа заснованих на Интернет технологијама. Овај сервис се
често среће и под називом „глас преко Интернет протокола“ (енгл. Voice over IP,
VoIP). Основни задатак Интернет телефоније је да омогући миграцију
популарних сервиса са јавне телефонске мреже (пренос гласа и факсимила) на
Интернет технологије.
Интернет телефонија се реализује коришћењем више различитих затворених и
отворених протокола. Историјски најзначајнији сет протокола за реализацију
Интернет телефоније је H.323, као ITU-T препорука из 1996. године. Овај сет
протокола омогућују пренос гласа и видео сигнала а подржан је у већини
система за Интернет телефонију и видео-конференције. Поред H.323 протокола
у пракси се све чешће среће и Session Initiation Protocol (SIP) као протокол за
успостављање и контролу сесија Интернет телефоније.
Једна од за овај рад најзначајнијих карактеристика Интернет телефоније је
коришћење IP протокола од стране протокола који се користе за њену
реализацију. То значи да се реализацијом система заштите на нивоу IP
протокола могу штитити и подаци комуникационих сесија Интернет телефоније.
5.8.2. Видео конференција
Сервис видео-конференција омогућава пренос аудио и видео материјала у
реалном времену са циљем омогућавања одржавања састанака између особа
које се налазе на две или више удаљених локација. Сви учесници видео-
конференција су опремљени дисплејима са звучницима за репрезентовање
материјала који друга страна шаље као и камерама са микрофонима за слање
порука другој страни. Учесници видео конференција могу бити појединци са
личном опремом али и групе у специјално опремљеним салама. Опрема и
софтвер који се користе за видеоконференције крећу се у распону од испод сто

234 РАЧУНАРСКЕ МРЕЖЕ

па до неколико хиљада долара у зависности од квалитета и могућности које
нуде. Највећу корист од видео конференција имају пословне организације које
на овај начин могу остварити значајну уштеду штедећи новац и време потребно
за путовање на локацију на којој би се одржала стандардна конференција.
За коришћење услуге видео конференције је осим адекватног хадвера и
софтвера потребно имати и везу са другом страном (или другим странама) која
поседује капацитет потребан за пренос аудио и видео порука у реалном
времену. Софтвер и уређаји који се користе код видео конференција углавном
подржавају компресовање и декомпресовање аудио и видео материјала у циљу
што ефикаснијег искоришћења комуникационог канала. Код комуникационих
канала мале пропусне моћи углавном се прибегава компромису у погледу
квалитета аудио/видео порука.
Већина производа који се користе за одржавање видео конференција базира се
на интерним стандардима произвођача тако да комбиновање решења
различитих произвођача најчешће није могуће. Тренутно најчешће коришћени
јавни стандарди за кодирање аудио/видео порука су: H.320, Х.323 и MPEG-2.
Ови стандарди међусобно нису компатибилни али постоје апликације које
омогућавају коришћење више од једног стандарда.
Посебан вид видео конференција јесте Webcasting. Он омогућава једносмерни
пренос аудио/видео материјала, од сервера ка клијентима. Аудио/видео
материјал се креира и поставља на сервер а клијенти затим приступају
материјалу. За овај вид видео-конференција тренутно не постоје формални
стандарди али на тржишту постоји већи број решења базираних на де-факто
стандардима.

РАЧУНАРСКЕ МРЕЖЕ 235

6. Основе безбедности у рачунарским мрежама
У раним фазама развоја технологија на којима се базирају рачунарске мреже
фокус је био постављен на омогућавање што веће брзине преноса података са
што мањом вероватноћом грешке. Мала база корисника, састављена углавном
од технички образованих корисника, и ретке практичне примене омогућиле су
брз развој технологија и довеле рачунарске мреже до потенцијала којим прете
да у потпуности замене остале популарне системе комуникације као што су
телефонија и телевизија. Међутим, растом популарности рачунарске мреже су
изашле из чисто техничко-технолошког домена и све више на њихов развој и
примену имају економски и социјални фактори.
Интернет, као највећу рачунарску мрежу данас, користе милиони корисника
путем великог броја доступних сервиса. Путем ове мреже се преносе лични
подаци корисника, обављају поверљиве пословне видео-конференције и
разговори, обављају финансијске трансакције, преносе поверљиве војне и
државне информације, обављају удаљени хируршки захвати и још много тога.
Стога, на примеру Интернета можемо закључити да се путем рачунарских
мрежа све више преносе вредности реалног света, често далеко веће него што је
то случај код телефоније и телевизије. Међутим, свака вредност са собом носи
најчешће сразмеран ризик кога је, како у реалном тако и у виртуелном свету
рачунарских мрежа, циљ елиминисати или у што већој мери умањити.
Постизање овог циља пред инжињере итеративно поставља нове задатке који се
резултују новим решењима. Та решења могу бити једноставне техничке измене
носећих протокола или комплексни интелигенти софтверски системи који уче и
своје одлуке доносе путем хеуристичких метода.
Грешке које се јављају на рачунарским мрежама и код ресурса који су путем њих
доступни можемо поделити у четири категорије на основу узрока њиховог
појављивања:
1. Грешке које се појављују услед пропуста у дефиницији хардверских и
софтверских компоненти рачунарских мрежа.
2. Грешке које се јављају као последица неадекватног дизајнирања
рачунарских мрежа и ненаменске употребе коришћених компоненти.
3. Грешке које се јављају услед неадекватног коришћења рачунарских
мрежа од стране корисника недовољно обучених за рад.
4. Грешке које се јављају као последица искоришћења пропуста у

236 РАЧУНАРСКЕ МРЕЖЕ

 дефиницији хардверских/софтверских компоненти рачунарских мрежа,
њиховом дизајну и (не)пажњи корисника а од стране злонамерних
корисника и у циљу остваривање одређене користи од напада на
рачунарску мрежу или ресурс.
Иако грешке свих поменутих категорија могу имати катастрофалне последице,
ово поглавље се бави грешкама четвртог типа јер се оне могу класификовати као
напади и са собом најчешће носе највећи негативан утицај на поверљивост и
доступност ресурса и несметан рад мреже. Тема овог поглавља јесте безбедност
рачунарских мрежа или техничка решења за заштиту рачунарских мрежа и
путем њих доступних ресурса од нерегуларног корисничког понашања.

6.1. Неки типови и модели напада

Данас у пракси постоји велики број различитих типова напада на рачунарске
системе и комуникационе канале. Постоје различити типови напада а они се
(углавном) могу поделити у суштински различите групе у оквиру којих различити
напади користе исте принципе, а разликују се у практичној реализацији и мети
напада. У оквиру овог дела књиге биће представљена три суштински различита
типа напада - разбијање шифрата применом сирове силе, посредовање у
комуникацији и ускраћивање услуге.
6.1.1. Криптоанализа
Термин криптоанализа односи се на део криптологије везан за анализу и
декриптирање шифрата без познавања једног или више параметара (кључева,
трансформације и сл.) помоћу којих је он креиран. Иако је криптоанализа
супротстављена криптографији (која је усмерена на развој шифарских система)
она ипак чини и изузетно важан алат за проверу ефикасности шифарских
система. Криптоанализа представља најсложенију област криптологије.
Резултат успешне криптоанализе јесте добијање оригинала на основу шифрата.
Уколико процес криптоанализе да такав резултат, анализирани шифарски
систем се сматра „пробијеним“. Уколико се криптоанализа примењује на
дигиталне потписе, њени циљеви могу бити фалсификовање потписа или
проналажење тајног кључа.
Један од значајних примера криптоанализе јесте њена примена на RSA
алгоритам који данас представља de facto стандард у асиметричном
шифровању. Носеће функције овог алгоритма већ деценијама су предмет
анализе математичара и професионалаца на пољу безбедности. До сада нису
објављени резултати криптоанализе овог алгоритма, што није случај са многим
шифарским алгоритмима који су се раније користили, или се још увек користе.

РАЧУНАРСКЕ МРЕЖЕ 237

6.1.2. Разбијање шифрата применом сирове силе
Један од најелементарнијих начина за откривање заштићених приступних
параметара систему или оригиналу шифрата (корисничког имена и лозинке,
тајног кључа и сл.) јесте коришћењем тзв. „сирове силе“ (енгл. brute force
attack). Овај приступ у основној варијанти подразумева редно испробавање
различитих приступних параметара све до погађања одговарајућих.

Слика 6.1.2-1. Алгоритам метода „сирове силе“

Главни недостатак примене метода „сирове силе“ јесте време потребно за
разбијање лозинки и кључева веће битске дужине, јер сваки додатни бит
лозинке или кључа дуплира потребно време (експоненцијални раст). Из тог
разлога се у пракси (углавном код разбијања приступних лозинки) често користе
модификовани алгоритми и речници често коришћених израза.
Принципи и могућности одбране од овог типа напада знатно се разликују у
зависности од тога да ли се штити приступ систему или шифровани подаци који
се преносе путем мреже. За случај заштите систистема од неовлашћеног
приступа као пример се може узети UNIX оперативни систем, његови
безбедносни механизми и њихова еволуција.
У раним фазама развоја рачунара, њихова процесорска снага и број корисника
били су (са безбедносног аспекта) занемарљиви те су приступне лозинке
корисника чуване у шифрованом облику (хеш функције) у јавно доступном фајлу
/etc/passwd. Међутим, упоредо са развојем процесорске снаге рачунара и
растом броја корисника јавили су се први случајеви злоупотребе приступних
параметара осталих корисника система који су били откривени применом
метода „сирове силе“ на шифрате лозинки. Из овог разлога шифрати лозинки су
измештени у фајл /etc/shadow коме је приступ одобрен само администратору
система и процесу који врши пријављивање корисника на систем.

238 РАЧУНАРСКЕ МРЕЖЕ

Следећи безбедносни проблем који се јавио јесте појава алата који су за метод
примене „сирове силе“ искористили системску наредбу за промену идентитета
su и на тај начин искористили посредан приступ хеш вредности лозинке путем
процеса за пријављивање корисника на систем. Ови алати су омогућавали
максимално искоришћавање перформанси система за разбијање хеш вредности
лозинке тиме што се могло испитати више десетина, стотина или хиљада
вредности (у зависности од процесорске снаге рачунара) у току једне секунде.
Овај безбедносни проблем је решен изменом система за пријаву корисника на
систем тако да су додата чекања од по неколико секунди између два покушаја
пријављивања.
На MS Windows оперативним системима постоји и опција да се налози
аутоматски закључавају након неколико неуспешних покушаја пријављивања.
Исти принцип се користи и код тзв. „паметних“ картица и њима придруженим
приступним PIN кодовима. Овај метод заштите, иако ефикасан у заштити од
неовлашћеног приступа, често се може злоупотребити од стране нападача у
циљу онемогућавања нормалног функционисања система и рада легалних
корисника.
За разлику од заштите система од неовлашћеног приступа, код преноса
података рачунарским и телекомуникационим мрежама заштиту није могуће
засновати на недоступности шифрата нападачу. У таквој ситуацији се као
решење најчешће предлаже коришћење кључева веће битске дужине. Постоје
различите препоруке за избор дужине кључа у циљу одбране од напада
методом примене „сирове силе“ а у зависности од начина шифровања, области
примене, важности података и слично:
National Security Agency (NSA)
Ниво Симетрично ECC Хеш
Secret 128 256 256
Top Secret 256 384 384
Табела 6.1.2-1. NSA препоруке дужина кључева

ECRYPT
Дис.
Ниво Примена Сим. Асим. логаритми ECC Хеш
Кључ Група
1 Attacks in "real-time" by individuals 32 - - - - -
Only acceptable for authentication

РАЧУНАРСКЕ МРЕЖЕ 239

 tag size
Very short-term protection against
small organizations
2 64 816 128 816 128 128
Should not be used for confidentiality
in new systems
Short-term protection against
3 medium organizations, medium-term 72 1008 144 1008 144 144
protection against small organizations
Very short-term protection against
agencies, long-term protection
against small organizations
4 Smallest general-purpose level, 80 1248 160 1248 160 160
Use of 2-key 3DES restricted to 240
plaintext/ciphertexts,
protection from 2008 to 2011
Legacy standard level
Use of 2-key 3DES restricted to 106
5 96 1776 192 1776 192 192
plaintext/ciphertexts,
protection from 2008 to 2018
Medium-term protection
6 Use of 3-key 3DES, 112 2432 244 2432 244 244
protection from 2008 to 2028
Long-term protection
Generic application-independent
7 128 3248 256 3248 256 256
recommendation,
protection from 2008 to 2038
"Foreseeable future"
8 Good protection against quantum 256 15424 512 15424 512 512
computers
Табела 6.1.2-2. ECRYPT препоруке дужина кључева

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Годин Асиметрич Тајни Лог. ECC Хеш
а но кључ величина
SHA-1* SHA-256
2008 1280 160 1280 180 RIPEND-160 SHA-384
SHA-224 SHA-512
SHA-1* SHA-256
2009 1536 160 1536 180 RIPEND-160 SHA-384
SHA-224 SHA-512

240 РАЧУНАРСКЕ МРЕЖЕ

 SHA-1** SHA-256
2010 1728 224 2048 224 RIPEND-160 SHA-384
SHA-224 SHA-512
2011
SHA-224 SHA-384
... 1967 224 2048 224
SHA-256 SHA-512
2015
(*) Предложена употреба само за дигиталне сертификате.
(**) Предложена употреба само за дигиталне сертификате са минималном ентропијом
од 20 битова.
Табела 6.1.2-3. BSI препоруке дужина кључева
Време потребно за разбијање шифрата применом „сирове силе“ у општем
случају зависи од два параметра – дужине коришћеног кључа (величине скупа
из кога се бира кључ) и фреквенције којом се испробавају различити кључеви.
Очекивана вероватноћа да ће кључ бити погођен износи 2 N-1 проверених
комбинација где је N битска дужина кључа.

Слика 6.1.2-1. Изглед, структура и коришћење COPACOBANA уређаја

У циљу остваривања што краћег времена за разбијање шифрата најчешће се

РАЧУНАРСКЕ МРЕЖЕ 241

користе брзи рачунари са више процесора, кластери рачунара или наменски
уређаји. Пример наменског уређаја за разбијање шифрата применом „сирове
силе“ је уређај COPACOBANA развијен на немачким универзитетима Bochum и
Kiel.
Овај уређај је намењен разбијању свих симетричних система шифровања који
користе кључеве дужине до 64 бита. У систем је уграђена подршка за DES
алгоритам а систем се може проширити и сопственим модулима. Такође,
могуће је и серијско повезивање до 127 COPACOBANA уређаја који би паралелно
радили на истом задатку. Просечна брзина претраге система је око 43
милијарде кључева у секунди а снага система је 2006. године упоређена са
22.865 Pentium 4 рачунара. Цена једног уређаја је октобра 2006. године
износила 8.980 евра.
Као што је раније поменуто и приказано, у литератури и од стране различитих
организација које се баве безбедношћу комуникација, као подразумевани
метод заштите од разбијања шифрата применом сирове силе наводи се
коришћење кључева веће битске дужине, јер се полази од основне
претпоставке да је разбијање шифрата симетричних алгоритама могуће само
применом „сирове силе“. Међутим, једна од честих теза експерата на пољу
заштите у рачунарским мрежама јесте да веће битске дужине могу
представљати препреку за нападаче који за разбијање користе рачунарске
системе скромнијих процеских моћи али не и за нападаче који располажу
кластерима супер-рачунара или наменских уређаја.
6.1.3. Напад посредовањем у комуникацији
Један од најопаснијих напада у рачунарским и телекомуникационим мрежама
јесте напад путем посредовања између страна које комуницирају (енгл. Man in
the middle attack). С обзиром на то да данашње глобалне рачунарске и
телекомуникационе мреже најчешће подразумевају велики број
инфраструктурних посредника у комуникацији (рутери, репетитори и сл.),
могућности за извршавање оваквог типа напада су све веће.
Напад посредовања у комуникацији се, пре свега, односи на заштићене
(шифроване) и ауторизоване комуникације. Код незаштићених и
неауторизованих комуникација су подразумевано остварени сви предуслови за
успешан напад. Основни резултати посредовања у комуникацији јесу могућност
прислушкивања (односно снимања) комуникације и могућност измене њеног
садржаја. Предуслов за успешно извршавање напада јесте успешно лажно
представљање код обе стране, осносно, симулирање идентитета друге стране.

242 РАЧУНАРСКЕ МРЕЖЕ

 Слика 6.1.3-1. Структура напада са посредовањем у комуникацији
Процес извођења напада посредовања у комуникацији подразумева
прихватање, читање, евентуалну измену, и прослеђивање порука које стране
размењују. Код успешно изведеног напада регуларне комуникационе стране
имају илузију да комуницирају директно и немају никакву могућност да утврде
да је дошло до прислушкивања.
Постоји више механизама за одбрану од напада посредовања у комуникацији:
коришћење PKI инфраструктура, тајних кључева, посебних канала за размену,
итд. У овом делу су описана решења која се базирају на употреби симетричних
алгоритама са тајним кључевима који се размењују одвојеним комуникационим
каналима. Такав приступ се може сматрати безбедним од напада посредовања
у комуникацији.
6.1.4. Напад ускраћивањем услуге
Онемогућавање услуге (енгл. Denial of Service, DoS) је тип напада усмерен ка
комуникационој структури, односно, њеном капацитету (пропусној моћи). Циљ
напада овог типа није да нападачу омогући приступ или контролу над удаљеним
системом (или подацима) већ да заузимањем свих комуникационих капацитета
онемогуће приступ систему од стране регуларних корисника.
Постоји више типова напада са циљем онемогућавања услуге. Најједноставнији
типови напада овог типа се базирају слању што веће количине података жртви у
што мањем временском периоду. Нешто напреднији тип напада је напад са
модификованим пакетима мрежног нивоа. Пример оваквог типа напада је тзв.
рефлектовани напад. Код овог типа напада нападач посреднику (који није
компромитован – под нападачевом контролом) шаље пакете који захтевају
одговор а код којих је за изворишна адреса (адреса нападача) замењена
адресом жртве. Ово је уједно и најпримитивнији облик сакривања извора
напада.

Слика 6.1.4-1. Модел рефлектованог напада са циљем онемогућавања услуге

РАЧУНАРСКЕ МРЕЖЕ 243

Један од најопаснијих типова напада са циљем онемогућавања услуге је
дистрибуирани напад са циљем онемогућавања услуге (енгл. Distributed Denial
of Service, DDoS). Главна карактеристика оваквих напада је то што нападач не
зависи од капацитета сопствених комуникационих канала већ за напад може
истовремено користити капацитете хиљада компромитованих посредника.

Слика 6.1.4-2. Модел дистрибуираног напада са циљем онемогућавања услуге

Код овог типа напада самом нападу претходи процес компромитовања што
већег броја посредника (који се понекад називају и „зомбијима“). За
компромитовање посредника најчешће се користи малициозни софтвер. На
компромитоване посреднике се инсталира софтвер за удаљену контролу који,
када нападач добије адресу жртве, започиње слање података. Два значајна
проблема при одбрани од овог типа напада су та што се јавља велико
оптерећење комуникационих канала и што постоји велики број извора напада.
Средином 2008. године примећен је нови тип напада са циљем онемогућавања
услуге. Овај напад није усмерен на загушивање комуникационог канала жртве
већ на њен мрежни интерфејс. Редослед корака у извршавању овог типа напада
је следећи:
1. Кориснички програм на страни нападача са нивоа IP протокола шаље
жртви IP датаграм са садржајем који је идентичан садржају TCP пакета за
отварање сокета (иницирање везе).
2. Нападнути рачунар након пријема датаграма прослеђује садржај
транспортном нивоу - TCP протоколу – који отвара нови сокет сматрајући
да се ради о регуларном захтеву.
3. Процес се понавља док се комуникација са нападнутим рачунаром не
онемогући превеликим бројем отворених сокета.
Напади са циљем онемогућавања услуге не представљају реткост на Интернет

244 РАЧУНАРСКЕ МРЕЖЕ

мрежи а готово да их нема у локалним мрежама. Претпоставља се чак и да је
ово један од облика информационих ратова између земаља и великих
привредних субјеката. На пример, по речима Хозеа Назариа, мрежна компанија
Арбор Нетворкс из Лексингтона је 20. јула 2008. године приметила велику
количину саобраћаја из Русије усмерену ка сајтовима грузијског парламента
након чега су ти сервери искључени. Такође, оригиналан садржај сајта грузијског
парламента на адреси http://mfa.gov.ge замењен је садржајем који су поставили
руски хакери. Тачан идентитет нападача никада није утврђен.
Напади са циљем онемогућавања услуге могу проузроковати озбиљне
проблеме корисницима који зависе од комуникационих канала високе пропусне
моћи (Интернет провајдери, велики пословни субјекти, он-лајн пословања и сл.).
Постоје различити начини одбране од оваквих напада (конфигурација рутера,
алтернативни линкови итд.).

6.2. Популарни системи за заштиту комуникације

Данас се у пракси рекламира и среће велики број различитих система заштите.
Ови системи су пројектовани у складу са различитим наменама, окружењима и
начинима употребе. Неки од њих су пројектовани за крајње кориснике, а неки
пре представљају радне оквире за развој сопствених безбедносних
конфигурација. Категоризацију система заштите могуће је обавити по више
критеријума:
• системи за заштиту издвојених система и системи за заштиту мрежа,
• системи са доступним изворним кодом и затворени системи,
• системи који користе јавне алгоритме и системи са сопственим
алгоритмима и други.
Преглед постојећих система заштите комуникације за потребе овог дела
извршена је категоризација на основу слоја OSI и TCP/IP референтних модела на
коме ти системи функционишу. У складу са тим, дат је преглед система заштите
комуникације који функционишу на нивоу апликативног протокола, нивоу
транспортног протокола и нивоу мрежног протокола.
6.2.1. Заштита на нивоу апликативног протокола
Апликативни слој представља најфлексибилније подручје за развој сопствених
система за заштиту комуникације из тог разлога што се при развоју протокола на
овом нивоу не мора водити рачуна о компатибилности са протоколима виших
нивоа. Безбедност сопственог система заштите на апликативном слоју зависи

РАЧУНАРСКЕ МРЕЖЕ 245

првенствено од нивоа заштите који нуде коришћени алгоритми, процедуре и
окружење у коме се систем примењује.
Основни недостатак интеграције безбедносних система на нивоу апликативног
протокола јесте тај што се развојем/интеграцијом једног безбедносног система
покрива само један апликативни протокол.

Слика 6.2.1-1. Заштита на нивоу апликативног протокола

Уколико корисници комуникацију врше путем различитих протокола, тада се за
сваки од протокола мора извршити засебан развој/интеграција. Додатно, у
таквој ситуацији се сет софтвера који користе крајњи корисници мора
ограничити да не би дошло до размене важних података протоколима који нису
заштићени.
6.2.1.1. Заштита електронске поште
Електронска пошта представља један од најчешће коришћених сервиса на
Интернет мрежи. Једна од значајних карактеристика овог сервиса је та да се у
оквиру мрежног саобраћаја који се њиме остварује налази највећи проценат
података генерисаних од стране корисника. У складу са тим постоји више
система за заштиту података који се преносе путем сервиса електронске поште.
Ови системи се углавном базирају на шифровању података. Један од
најпопуларнијих система заштите електронске поште јесте OpenPGP.

246 РАЧУНАРСКЕ МРЕЖЕ

OpenPGP систем обезбеђује услуге заштите и интегритета података електронске
поште и фајлова коришћењем дигиталних потписа, шифровања, компресије и
Radix/64 конвертовања [RFC 4880]. Додатно, овај систем обезбеђује и сервисе за
управљање кључевима и сертификатима. OpenPGP комбинује симетрично и
асиметрично шифровање за обезбеђивање поверљивости. Код симетричног
шифровања један кључ се користи само једном, за шифровање једне поруке или
фајла. Нови сесијски кључ генерише се као (псеудо)случајан број и шаље се уз
поруку, шифрован јавним кључем примаоца. Кораци у коришћењу OpenPGP
система заштите су:
1. Пошиљалац креира поруку,
2. OpenPGP генерише (псеудо) случајан број као симетрични кључ за
шифровање поруке,
3. OpenPGP шифрује сесиони кључ јавним кључем примаоца и такав
шифрат ставља на почетак поруке,
4. OpenPGP шифрује садржај поруке и њиме наставља поруку започету
шифратом сесионог кључа,
5. прималац својим тајним кључем дешифрује сесијски кључ придружен
поруци,
6. прималац коришћењем дешифрованог сесијског кључа дешифрује
садржај поруке.
Уколико је у основној поруци дефинисано више прималаца, за сваког од њих се
на почетак поруке ставља сесијски кључ шифрован његовим јавним кључем.
Уколико се у систему користи и дигитално потписивање, дигитални потпис
поруке се израчунава пре шифровања, а затим се шифрује по истом принципу
као и садржај поруке. Процес дигиталног потписивања подразумева следеће
кораке:
1. Пошиљалац креира поруку,
2. систем израчунава хеш вредност поруке,
3. систем израчунава дигитални потпис коришћењем хеш вредности и
тајног кључа пошиљаоца,
4. дигитални потпис се придружује поруци,
5. прималац прихвата поруку и израчунава њену хеш вредност,
6. израчуната хеш вредност се упарује са јавним кључем пошиљаоца и
упоређује са добијеним дигиталним потписом.

РАЧУНАРСКЕ МРЕЖЕ 247

OpenPGP систем заштите нуди и могућност компресовања порука.
Компресовање се врши након израчунавања дигиталног потписа, а пре
шифровања садржаја. У заглавље поруке се поставља идентификациони број
алгоритма за компресовање:
ID Алгоритам
0 нема компресовања
1 ZIP [RFC 1951]
2 ZLIB [RFC 1950]
3 BZip2
100-110 приватни и експериментални алгоритми
Табела 6.2.1.1-1. Алгоритми за компресовање података у OpenPGP систему
Као алгоритми за израчунавање хеш вредности порука користе се следећи
алгоритми (идентификациони број алгоритма се поставља у заглавље поруке):
ID Алгоритам
1 MD5
2 SHA-1
3 RIPE-MD/160
4 резервисано
5 резервисано
6 резервисано
7 резервисано
8 SHA256
9 SHA384
10 SHA512
11 SHA224
100-110 приватни и експериментални алгоритми
Табела 6.2.1.1-2. Алгоритми за израчунавање хеш вредности у OpenPGP систему
Као симетрични шифарски алгоритми користе се:
ID Алгоритам
0 нема шифровања

248 РАЧУНАРСКЕ МРЕЖЕ

 1 IDEA
2 3DES (168bit)
3 CAST5 (128bit) [RFC 2144]
4 Blowfish (128bit)
5 резервисано
6 резервисано
7 AES (128bit)
8 AES (192bit)
9 AES (256bit)
10 Twofish (256bit)
100-110 приватни и експериментални алгоритми
Табела 6.2.1.1-3. Симетрични шифарски алгоритми у OpenPGP систему
Као асиметрични шифарски алгоритми користе се:
ID Алгоритам
1 RSA (шифровање и потписивање)
2 RSA (само шифровање)
3 RSA (само потписивање)
16 Elgamal (само шифровање)
17 DSA
18 резервисано
19 резервисано
20 резервисано
21 резервисано
100-110 приватни и експериментални алгоритми
Табела 6.2.1.1-4. Асиметрични шифарски алгоритми у OpenPGP систему
На основу саме спецификације OpenPGP види се да је могућност додавања
нових (сопствених) алгоритама за шифровање, потписивање и компресовање
пројектована карактеристика система. У самој спецификацији система као
пример се наводи додавање симетричног шифарског алгоритма. Процес
додавања сопственог симетричног шифарског алгоритма подразумева

РАЧУНАРСКЕ МРЕЖЕ 249

дефинисање константе за њега. Уколико алгоритам подразумева рад са
блоковима битске дужине различите од 64 и 128, доступна је документација у
којој је дефинисано подешавање OpenPGP-CFB режима рада. Као пример је
наведена и модификација DSA алгоритма у циљу коришћења кључева битске
дужине од 3072. Уколико се жели јавна употреба предложеног новог алгоритма
у OpenPGP систему потребно је обратити се IETF организацији и проћи кроз њен
процес концензуса.
6.2.2. Заштита на нивоу транспортног протокола
Реализација система заштите комуникације на нивоу транспортног протокола
OSI и TCP/IP референтних модела, уместо на нивоу апликативног протокола,
омогућава ширу примену јер се на тај начин једном реализацијом могу
обезбедити комуникације већег броја апликација.

Слика 6.2.2-1. Заштита на нивоу транспортног протокола

На пример, уградњом безбедносних функција у TCP протокол могао би се
заштитити огроман број апликативних протокола који користе поменути
транспортни протокол. Међутим, измена самог TCP протокола представља
веома сложен захват који би могао имати значајне последице везане за
употребљивост окружења у коме би се тако измењен протокол примењивао. На
пример, измењена варијанта TCP протокола, са циљем комуникације преко
небезбедне мреже (нпр. Интернета), могла би довести до престанка рада

250 РАЧУНАРСКЕ МРЕЖЕ

сервиса локалне мреже на којима је присутна оригинална верзија TCP протокола
(нпр. сервиса за мрежно штамање докумената).
Најраспрострањенији протокол за заштиту података на транспортном нивоу
јесте TLS (енгл. Transport Layer Security). Он је развијен на основу верзије 3.0
популарног SSL (енгл. Seсure Sockets Layer) протокола. Претходне верзије SSL
протокола (верзија 2.0 и раније) садрже озбиљне безбедносне пропусте везане
за интегритет порука, Man-in-the-middle напад и напад одсецањем података.
Додатно, извозне регулативе код ранијих верзија ограничавају коришћене
кључеве на дужину од 40 битова.
6.2.2.1. Transport Layer Security протокол
Основни задатак TLS протокола је обезбеђивање приватности и интегритета
података у оквиру комуникације између две апликације. За развој
спецификације протокола задужена је наменска радна група при IETF
организацији. Развој овог протокола започет је на основу верзије 3.0 SSL
протокола. До сада, група је објавила спецификацију верзија 1.0 [RFC2246], 1.1
[RFC4346] и 1.2 [RFC5246] протокола, спецификацију одређених проширења [RFC
2817, 2818, 3546, 3749, 4366, 5054, 5081, 5705, 5746], и спецификације
компатибилних шифарских алгоритама и њихових режима рада [RFC: 2712,
3268, 4132, 4279, 4492, 4785, 5288, 5289, 5469, 5487, 5489]. Сам TLS протокол
састоји се од два слоја:
5. TLS Record протокол
6. TLS Handshake протокол
TLS Record протокол се налази на нижем нивоу и ослања се на неки транспортни
протокол, најчешће на TCP протокол. Овај протокол је задужен за остваривање
две основне карактеристике безбедне комуникације:
• Приватност комуникације - заснована на симетричној криптографији.
Јединствени кључеви се генеришу код сваког остваривања нове везе а
успостављају се коришћењем TLS Handshake протокола. Сам TLS Record
протокол се може користити и без функције шифровања.
• Поузданост везе - заснована на провери интегритета порука базираној
на хеш алгоритму (нпр. SHA-1). Провера интегритета пренесених порука
није обавезна функционалност TLS Record протокола али се у пракси
готово увек користи.
TLS Handshake протокол за задатак има да провери аутентичност

РАЧУНАРСКЕ МРЕЖЕ 251

комуникационих страна, као и да утврди параметре (шифарски алгоритам и
кључеве) који ће бити коришћени за заштиту комуникације. Ови параметри се
утврђују пре саме комуникације, односно, пре преношења података добијених
од протокола апликативног нивоа. TLS Handshake протокол се енкапсулира у TLS
Record протокол. Три основне карактеристике безбедности коју остварује TLS
Handshake протокол су:
• Идентитет комуникационих страна утврђује се коришћењем
асиметричног шифарског алгоритма (нпр. RSA, DSA и сл.). Провера
аутентичности је неопходна, макар за једну комуникациону страну.
• Уговарање кључа се одвија у оквиру заштићене комуникације и он није
доступан посредним чворовима у комуникацији.
• Води се рачуна о интегритету уговореног кључа тако да се он не може
мењати од стране нападача.
TLS протоколом могу се штитити различити апликативни протоколи. Као
основни циљеви при дизајнирању овог протокола постављени су:
• Безбедност - заштићена комуникација две стране путем коришћења
алгоритама за шифровање.
• Интероперабилност - различити аутори протокола на апликативном
нивоу могу користити TLS протокол и размену безбедносних параметара
без увида у туђ изворни код.
• Проширивост - обезбеђивање оквира у који се могу уградити нови
системи за размену кључева и алгоритми за шифровање. На тај начин се
избегава потреба за развојем нових протокола исте намене и за
увођењем комплетно нових безбедносних библиотека.
• Релативна ефикасност - с обзиром на интензивно коришћење
централног процесора за извршавање криптографских операција у TLS
протокол је уграђена опциона шема за кеширање у оквиру сесије. Њоме
се смањује број веза које треба упоставити из почетка. Такође, при
дизајнирању овог протокола обраћена је пажња и на одржавање
мрежне активности на оптималном нивоу.
При дизајнирању протокола који би користио сам TLS систем мора се водити
рачуна о могућим нападима на њега. То у пракси значи да дизајнери протокола
морају имати у виду које безбедносне функције TLS протокол нуди, а које не. На
пример, сам запис и дужина записа нису подаци који се шифрују у оквиру

252 РАЧУНАРСКЕ МРЕЖЕ

пакета. Уколико ови подаци имају значај за безбедност у оквиру самог
апликативног протокола потребно је уградити додатне системе заштите.
6.2.2.1.1. Протоколи TLS-а за успостављање везе
TLS систем заштите садржи три протокола који служе за успостављање
безбедносних параметара везе (за потребе TLS Record протокола), за проверу
аутентичности страна, и за извештавање о евентуалним грешкама. TLS
Handshake протокол је задужен за успостављање сесије и успостављање њених
следећих параметара:
4. Идентификатор сесије - произвољна секвенца бајтова за једнозначно
одређивање комуникационе сесије,
5. сертификат учесника - X509v3 дигитални сертификат учесника у
комуникацији,
6. алгоритам за компресовање - који ће се алгоритам за компресовање
података користити пре функције шифровања,
7. параметри шифарског алгоритма - функција за одређивање кључева,
алгоритам за шифровање података, и алгоритам за израчунавање
контролних МАС кодова,
8. параметар master secret - низ бајтова дужине 48 бајтова, познат само
учесницима у комуникацији и
9. индикатор да ли се сесија може користити за успостављање више веза.
Наведени параметри сесије користе се за одређивање безбедносних
параметара који ће, у оквиру TLS Record протокола, бити коришћени за заптиту
података који се преносе. У оквиру једне сесије, уколико је тако назначено,
може се успоставити више веза.
Протокол Change Cipher Spec задужен је за измене процеса шифровања, у току
комуникције. Овај протокол подржава само један тип поруке која се преноси у
шифрованом облику (користећи тренутно актуелне параметре шифровања). Ову
поруку може послати било која од страна, сервер или клијент, а њоме се
прималац обавештава да ће наредни блокови бити шифровани по новим
параметрима и кључевима за шифровање. Пошиљалац, одмах након слања
поменуте поруке, мора захтеване параметре да примени у сопственом TLS
Record протоколу, док је то задатак примаоца одмах након пријема поруке. У
оквиру успостављања сесије поруке Change Cipher Spec протокола шаљу се
након успостављања основних безбедносних параметара, а пре слања поруке да
је сесија успостављена.

РАЧУНАРСКЕ МРЕЖЕ 253

Протокол Alert у оквиру TLS система заштите служи за обавештавање друге
комуникационе стране о упозорењима и фаталним грешкама до којих је дошло.
У случају да се овим протоколом пренесе порука о фаталној грешци, долази до
тренутног раскида везе а сесија у којој је до такве грешке дошло не може се
користити за успостављање нових веза. Поруке Alert протокола такође се
компресују и шифрују а могу бити један од два типа:
• Поруке о прекиду везе - обавештавају другу страну у комуникацији да је
веза прекинута. У случају да једна страна нема информацију да је веза
раскинута могу се јавити одређени безбедносни пропусти. Раскид везе је
симетричан, односно свака страна треба да пошаље другој страни
обавештење да раскида везу, тј. да више неће слати податке у оквиру
ње.
• Поруке о евидентираним грешкама - обавештавају другу страну да је
дошло до грешке и, уколико је у питању фатална грешка а не само
упозорење, да се веза раскида. Након раскида везе потребно је да обе
стране уклоне из меморије све безбедносне параметре везане за њу.
Типови порука о грешкама могу бити: bad_record_mac,
decryption_failed_RESERVED, record_overflow, decompression_failure,
handshake_failure, no_certificate_RESERVED, bad_certificate,
unsupported_certificate, certificate_revoked, certificate_expired,
certificate_unknown, illegal_parameter, unknown_ca, access_denied,
decode_error, decrypt_error, export_restriction_RESERVED,
protocol_version, insufficient_security, internal_error, user_canceled,
no_renegotiation, unsupported_extension . Детаљан опис сваког од
наведених типова порука може се наћи у званичном RFC документу TLS
протокола.
TLS Handshake прокол је задужен за успостављање безбедносних параметара
сесије, који ће бити коришћени у комуникацији - верзија протокола, шифарски
алгоритам, аутентичност друге стране, master secret параметар. Успостављање
наведених параметара обавља се у оквиру следећих корака:
1. Размена hello порука за одређивање алгоритама, (псеудо) случајних
вредности, и да ли сесија може бити настављена.
2. Размена криптографских параметара потребних за утврђивање
premaster secret параметра.
3. Размена сертификата и криптографских информација потребних за
проверу аутентичности комуникационих страна.

254 РАЧУНАРСКЕ МРЕЖЕ

 4. Генерисање master secret параметра на основу размењених premaster
secret параметра и (псеудо)случајних вредности.
5. Достављање упостављених безбедносних параметара TLS Record
протоколу.
6. Омогућавање потврђивања идентичности успостављених безбедносних
параметара (у циљу успешности комуникације и спречавања напада
путем посредовања нападача у успостављању сесије).
Значајна напомена везана за процес успостављања безбедне везе јесте та да
постоје одређени типови напада којима нападач може навести комуникационе
стране да не искористе алгоритме и параметре оптималне по питању нивоа
заштите који пружају. Из тог разлога је потребно да се на апликативном нивоу
одреди који је минимални ниво заштите потребан за успостављање
комуникације, односно који алгоритми смеју бити коришћени за потребе
безбедне размене података.
6.2.2.1.2. Управљање кључевима
TLS Record протокол захтева постојање алгоритма за генерисање кључева у
зависности од тренутног стања успостављене везе, и у зависности од
безбедносних параметара успостављених TLS Handshake протоколом.
Успостављени master secret параметар користи се за одређивање следећих
кључева:
• MAC кључа клијента
• МАС кључа сервера
• кључа шифарског алгоритма клијента
• кључа шифарског алгоритма сервера
Код неких алгоритама се на основу master secret параметра одређују и
иницијализациони вектори на страни клијента и сервера.
6.2.2.1.3. Криптографска израчунавања
За потребе остваривање безбедне везе TLS Record протокол захтева
утвриђивање сета алгоритам који ће се користити, master secret параметра, и
(псеудо)случајних вредности на страни сервера и клијента. У сет алгоритама
спадају алгоритам за проверу аутентичности страна, шифарски алгоритам,
алгоритам за компресовање података, и алгоритам за израчунавање контролних
МАС кодова. Све ове вредноси, осим master secret параметра, размењују се у
оквиру успостављања везе. Овај параметар се израчунава на обе стране.

РАЧУНАРСКЕ МРЕЖЕ 255

Код свих метода размене кључева користи се исти алгоритам за израчунавање
master secret параметра на основу pre master secret параметра. Безбедносна је
препорука уклањање pre master secret параметра из радне меморије одмах
након израчунавања master secret параметра. У израчунавању master secret
параметра учествују следеће вредности:
1. master secret параметар
2. (псеудо)случајна вредност сервера
3. (псеудо)случајна вредност клијента
Када се користи RSA алгоритам за проверу аутентичности и размену кључева,
процес израчунавања master secret параметра подразумева следеће кораке:
1. Клијент генерише pre master secret параметар дужине 48 бајтова.
2. Параметар pre master secret шифрује се јавним кључем сервера и шаље
му се.
3. Сервер дешифрује pre master secret параметар својим тајним кључем.
4. Обе стране израчунавају master secret параметар на основу pre master
secret параметра.
Када се користи Diffie-Hellman протокол за размену кључева, уговорени кључ се
користи као pre master secret параметар. Почетни бајтови уговореног кључа,
који садрже само нуле, одбацују се пре употребе. Параметре Diffie-Hellman
протокола одређује сервер. Превођење pre master secret параметра у master
secret параметар одвија се коришћењем стандардне процедуре.
6.2.2.1.4. Имплементације TLS протокола
Постоји велики број различитих имплементација TLS протокола. У оквиру овог
дела дат је опис три најпопуларније имплементације са јавно доступним
изворним кодом: GnuTLS , OpenSSL и NSS. У разматрање је још укључена и
библиотека yaSSL.
Једна од најзначајнијих карактеристика GnuTLS имплементације јесте њена
доступност под LGPLv2.1+ лиценцом. Имплементација се у виду библиотеке
развија под окриљем фондације за слободан софтвер ( Free Software Foundation).
У безбедносне протоколе подржане овом имплементацијом спадају: SSL 3.0, SSL
3.0, TLS 1.0, TLS 1.1, и TLS 1.2. Верзија 2.0 SSL протокола није подржана услед
идентификованих безбедносних пропуста. Ова имплементација се извршава на
већини оперативних система из UNIX породице, као и на MS Windows
оперативним системима.

256 РАЧУНАРСКЕ МРЕЖЕ

OpenSSL имплементација, развијена у оквиру OpenSSL пројекта, заснована је на
SSLeay библиотеци коју су развили Ерик Јанг и Тим Хадсон, експерти за
везбедност и оснивачи фирме Cryptosft. OpenSSL имплементација је јавно
доступна под сопственом лиценцом, базираној на Apache лиценци, с тим да
важе и сва ограничења из лиценце под којом је доступна SSLeay библиотека.
NSS (Network Security Services) сет библиотека дизајниран је са циљем да
омогући коришћење SSL и TLS протокола, PKCS#5, PKCS#7, PKCS#11, PKCS#12,
S/MIME, X.509v3 сертификата, и других безбедносних стандарда у развоју
мрежних апликација. Извори овог сета библиотека налазе се у библиотекама
које је компанија Netscape развила у току развоја самог SSL протокола.
Допринос у развоју овог сета библиотека дале су и компаније AOL, Red Hat, Sun
Microsystems, Google и друге, а тренутно се репозиторијум са изворним кодом
налази на серверима компаније Mozilla. Једна од значајних карактеристика овог
сета библиотека јесте и подршка хардверских шифарских компонената кроз
PKCS#11 интерфејс. На овај начин је омогућено значајно подизање перформанси
и употреба кључева који се налазе на Smart картицама и другим хардверским
компонентама. У софтверски подржане алгоритме овог сета библиотека спадају
RSA, DSA, ECDSA, Diffie-Hellman, EC Diffie-Hellman, AES, Triple DES, DES, RC2, RC4,
SHA-1, SHA-256, SHA-384, SHA-512, MD2, MD5, HMAC и други популарни
алгоритми.
Имплементација yaSSL развијена је у виду клијентских и серверских библиотека.
Имплементација је доступна под GPL лиценцом, као и под комерцијалном
лиценцом. Најпопуларнији пројекат који користи ову имплементацију SSL/TLS
протокола је MySQL систем за управљање базама података.
У наредним табелама приказане су подршке анализованих имплементација за
различите безбедносне системе, протоколе за размену кључева, шифарске
алгоритме, и алгоритме за компресовање података. Подршке се односе на
верзије имплементација актуелне у тренутку припреме овог материјала ( GnuTLS
2.8, OpenSSL 0.9.8, NSS 3.12.4, yaSSL 1.9.6). Подршка за верзију 2 SSL протокола се
не сматра предношћу, чак се у неким разматрањима узима и као мана, због
присутних идентификованих безбедносних пропуста у тој верзији.
SSL 2.0 SSL 3.0 TLS 1.0 TLS 1.1 TLS 1.2

GnuTLS не да да да да

OpenSSL да да да не не

РАЧУНАРСКЕ МРЕЖЕ 257

 NSS да да да не не

yaSSL не да да да да

Табела 6.2.2.1.4-1. Подршка за системе заштите у имплементацијама

RSA
Anon DHE DHE SRP SRP DHE
RSA expor SRP PSK ECC
RSA RSA DSS DSS RSA PSK
t
GnuTLS да да да да да да да да да да не

OpenS да да да да да не не не не не да
SL

NSS да да да да да не не не не не да

yaSSL да да да да да не не не да да не

Табела 6.2.2.1.4-2. Подршка за алгоритме за размену кључева

AES 256 AES 128 3DES DES CBC RC4 128 RC4 40 RC2 40 Cammeli
CBC CBC CBC CBC CBC CBC a
GnuTLS да да да да да да да да

OpenSSL да да да да да ? ? да

NSS да да да да да ? ? да

yaSSL да да да да да да да не

Табела 6.2.2.1.4-3. Подршка за шифарске алгоритме

ZLIB LZO

GnuTLS да да

OpenSSL да не

NSS не не

yaSSL да не

Табела 6.2.2.1.4-4. Подршка за алгоритме за компресовање података

258 РАЧУНАРСКЕ МРЕЖЕ

 OpenPGP SRP PSK TLS/IA Supp. RFC 5077 RFC 5705
data
GnuTLS да да да да да да да

OpenSSL не не не не не да да

NSS не не не не не да не

yaSSL не не да не не да не

Табела 6.2.2.1.4-5. Подршка за екстензије

6.2.3. Заштита на нивоу мрежног протокола

Мрежни слој OSI референтног модела представља најпогоднији слој за
реализацију безбедносних система. Разлози за то су вишеструки: мрежни слој
доноси одлуку о посредницима у комуникацији, популарни протоколи на
мрежном слоју имају јасну структуру и лако се могу проширивати и друго.

Слика 6.2.3-1. Заштита на нивоу мрежног протокола

Огромна предност у реализацији система заштите на нивоу мрежног протокола
је и чињеница да се реализацијом система на том нивоу штите и подаци

РАЧУНАРСКЕ МРЕЖЕ 259

протокола виших нивоа - транспортног и апликативног, односно да се на овај
начин могу заштитити комуникације свих корисничких апликација. Водећи
систем заштите на мрежном слоју је Internet Protocol Security.
6.2.3.1. Internet Protocol Security систем заштите
Internet Protocol Security (IPsec) протокол је решење за заштиту података који се
преносе коришћењем IP протокола. Овај систем је реализован сетом протокола
којима се остварује шифровање, провера аутентичности извора и интегритета
порука које се преносе. Додатно, IPsec систем користи и протокол за размену
кључева на почетку сесије.

Слика 6.2.3.1-1. Архитектура комуникације заштићене IPsec системом заштите

IPsec систем се може користити за заштиту комуникације између крајњих
учесника, између крајњег учесника, са једне стране, и подразумеваног мрежног
пролаза, са друге стране, или између подразумеваних мрежних пролаза са обе
стране. У складу са тим IPsec подржава два режима рада: транспортни и
тунелски.
За развој IPsec система заштите званично је задужена IETF група. Сам IPsec
систем заштите је наследник ISO стандардизованог NLSP (Network Layer Security
Protocol) протокола базираног на SP3 протоколу, којег је први објавио амерички
NIST а иницијално је дизајниран од стране америчке националне безбедносне
агенције (NSA). Постоји велики број докумената којим је IPsec систем заштите
документован и стандардизован.

260 РАЧУНАРСКЕ МРЕЖЕ

 Слика 6.2.3.1-2. Различити модели заштите коришћењем IPsec система
Једна од значајних предности IPsec система заштите у односу на друге
популарне системе заштите (SSL, TLS...) је рад на ниском нивоу у односу на OSI и
TCP/IP референтне моделе. Оваква позиција обезбеђује флексибилност у
погледу заштите великог броја протокола виших нивоа.
Основне компоненте IPsec система заштите су Internet Key Exchange (IKE, IKE2) –
систем за управљање кључевима и успостављање безбедносних асоцијација,
Authentication Header (AH) – протокол за обезбећивање аутентичности и
интегритета и Encapsulating Security Payload (ESP) – протокол за обезбеђивање
поверљивости, аутентичности и интегритета.
Још једна значајна карактеристика IPsec система заштите је и подршка за IPv6
протокол. У ствари, IPsec је подразумевани део овог протокола и иницијално је
и развијан на њему а накнадно је портован на верзију 4.
За успешно коришћење IPsec протокола неопходно је успостављање правилних
безбедносних асоцијација. Безбедносне асоцијације представљају правила по
којима ће се успоставити безбедна комуникација између учесника. У
безбедносним асоцијацијама могу бити директно постављени кључеви који ће
се користити за шифровање а у ту сврху се може искористити и протокол за
размену кључева путем Интернета.
IPsec систем заштите се може посматрати као једноставно и ефикасно решење
за заштиту комуникација базираних на IP протоколу. Важна карактеристика овог
система јесте отвореност и документованост кроз RFC и друге документе. Избор
IPsec система заштите као носиоца реализације сопственог решења базираног
на сопственом алгоритму, резултат је дугортајног и темељног испитивања
постојећих алтернатива.

РАЧУНАРСКЕ МРЕЖЕ 261

6.2.3.1.1. Режими рада
Једна од значајних карактеристика IPsec система заштите јесте подршка за два
основна режима рада: транспортни и тунелски. Основна разлика између ова два
режима рада лежи у томе да ли се шифрују само подаци протокола вишег нивоа
или комплетан IP датаграм.

Слика 6.2.3.1.1-1. Транспортни режим рада

У случају тунелског режима рада за сваки IP датаграм креира се нови IP
датаграм који је сачињен од новог заглавља и података у виду шифрата
оригиналног IP датаграма. Основна потреба за тунелским режимом рада
произилази из потребе за превођењем мрежних адреса (енгл. Network Address
Translation) и креирањем виртуалних приватних мрежа (енгл. Virtual Private
Network).

Слика 6.2.3.1.1-2. Тунелски режим рада

За потребе интеграције сопствених криптолошких система у IPsec, разлике
између описаних режима рада могу се занемарити, пре свега из разлога што,

262 РАЧУНАРСКЕ МРЕЖЕ

гледано са аспекта интеграције сопственог шифарског алгоритма, исти принципи
важе за оба режима рада а цео процес промене режима рада обавља се
аутоматски у оквиру имплементације.
6.2.3.1.2. Протокол Authentication Header
AH (Authentication Header) заглавље се у оквиру IPsec протокола користи за
обезбеђивање интегритета података и аутентичности извора IP датаграма [RFC
2402]. Додатно, овај протокол омогућава и заштиту од поновљених слања истих
датаграма. AH протоколом су покривени сви статични делови IP датаграма –
подаци протокола вишег нивоа и непроменљива поља заглавља.
AH протокол се може користити независно или у комбинацији са ESP
(Encapsulating Security Payload) протоколом. Такође, овај протокол се може
користити у комуникацији између крајњих учесника у комуникацији, између
мрежних пролаза или између крајњег учесника, са једне стране, и
подразумеваног пролаза, са друге стране.

Слика 6.2.3.1.2-1. Структура датаграма са AH протоколом

у транспортном режиму рада

РАЧУНАРСКЕ МРЕЖЕ 263

Разлика између AH и ESP протокола на пољу обезбеђивања интегритета
података и аутентичности извора огледа се у томе што ESP протокол подржава
само рад са подацима IP датаграма, односно не подржава рад са пољима
заглавља (осим у случају тунелског режима рада). Структура IP датаграма са
коришћеним AH протоколом разликује се у зависности од тога да ли се IPsec
протокол користи у транспортном или тунелском режиму рада.

Слика 6.2.3.1.2-2. Структура датаграма са AH протоколом

у тунелском режиму рада
Заглавље AH протокола има дужину од 24 бајта. Први бајт је поље Next Header.
Ово поље дефинише протокол наредног заглавља. С обзиром на то да се под
поља заглавља која AH протокол укључује подразумевају и изворишна и

264 РАЧУНАРСКЕ МРЕЖЕ

одредишна IP адреса, он се не може користити у основном режиму рада код IP
датаграма над којима се врши NAT трансформација. Код тунелског режима рада
комплетан IP датаграм се енкапсулира а вредност поља Next Header се поставља
на 4. Код транспортног режима рада вредност поља Next Header се поставља на
вредност 6. Осим тунелског режима рада IPsec протокол поседује и екстензију
NAT-Traversal која омогућава примену NAT трансформација у транспортном
режиму рада.
Поље SPI (Security Parameters Index) има дужину од 32 бита. У овом пољу се
налази безбедносна асоцијација која се користи за декапсулацију пакета. Поље
Sequence Number користи се за заштиту од тзв reply напада. Поље Authentication
Data садржи HMAC (hash message authentication data) дужине 96 бита.
Коришћењем садржаја овог поља пријемна страна може (уз познавање тајног
кључа) утврдити да ли је дошло до измена на IP датаграму у току преноса.

РАЧУНАРСКЕ МРЕЖЕ 265

6.2.3.1.3. Протокол Encapsulating Security Payload
ESP (Encapsulating Security Payload) је кључни протокол IPsec архитектуре и
дизајниран је да обезбеди више безбедносних сервиса [RFC 2406]. Овај
протокол се може користити независно или у комбинацији са AH (Authentication
Header) протоколом. Такође, овај протокол се може користити у комуникацији
између крајњих учесника, између мрежних пролаза или између крајњег
учесника, са једне стране, и подразумеваног пролаза, са друге стране.

Слика 6.2.3.1.3-1. Структура датаграма са ESP протоколом

у транспортном режиму рада
Сервиси које ће ESP протокол обезбедити одређују се код подешавања
безбедносне асоцијације за комуникацију. Основни задатак ESP протокола је да
обезбеди поверљивост података који се преносе коришћењем IP и IPsec
протокола. Додатно, ESP обезбеђује и проверу аутентичности извора, интегритет
порука (датаграма, не и целокупног садржаја комуникације) а нуди и заштиту од
reply напада.
ESP протокол се може користити и за обезбеђивање појединачних сервиса. На
пример, могуће је искористити само сервис поверљивости без коришћења
сервиса интегритета и провере аутентичности извора (било путем ESP или AH

266 РАЧУНАРСКЕ МРЕЖЕ

протокола). Међутим, оваква конфигурација коришћених сервиса може довести
до угрожавања сервиса поверљивости.

Слика 6.2.3.1.3-2. Структура датаграма са ESP протоколом

у тунелском режиму рада
Сервиси провере аутентичности и интегритета порука се често заједно стављају
под сервис аутентичности. Без укључивања ових сервиса није могуће
искористити ESP протокол за заштиту од reply напада.
ESP протокол се може користити и са IPv4, и са IPv6 протоколом. ESP заглавље се
умеће на крају заглавља IP датаграма у транспортном режиму рада, односно пре
енкапсулираног заглавља оригиналног IP датаграма у тунелском режиму рада.
SPI (Security Parameters Index) поље заглавља има дужину од 32 бита и користи
се у комбинацији са ESP протоколом и одредишном IP адресом за јединствено
одређивање безбедносне асоцијације датаграма. Вредности од 1 до 255 су

РАЧУНАРСКЕ МРЕЖЕ 267

резервисане за будућу употребу. SPI поље заглавља је обавезно код коришћења
ESP протокола. Вредност 0 је резервисана за локалну употребу и на мрежи се не
смеју појавити датаграми који је садрже.
Поље Sequence Number је, такође, дужине 32 бита и повећава се са сваким
послатим датаграмом. Ово поље је обавезно чак и у случајевима када се не
подразумева заштита од reply напада. Вредност овог поља се поставља на 0 на
почетку комуникације.
Најважније поље датаграма код коришћења ESP протокола је поље Payload,
односно сам садржај датаграма који се штити. Осим корисничких података у
овом пољу се могу наћи и подаци везани за коришћени алгоритам за
шифровање (нпр. иницијализациони вектор и сл.).
6.2.3.1.4. Имплементације IPsec протокола
С обзиром на то да IPsec представља de facto стандард за обезбеђивање
комуникација заснованих на IP протоколу, постоји велики број имплементација
за различите оперативне системе, уређаје, протоколе и сл.
Са аспекта оперативних система често се користи принцип интегрисања
имплементације у језгро оперативног система а коришћење конфигурационих
алата (ISAKMP/IKE) из корисничког простора. Осим овога приступа постоје и
примери коришћења IPsec имплементација независних од језгра оперативних
система.
Линукс оперативни систем поседује сопствену имплементацију IPsec протокола
у оквиру језгра почев од верзије 2.6. Пре ове имплементације на Линукс
оперативном систему су најчешће коришћене FreeS/WAN, Openswan и
strongSwan имплементације које су функционисале у виду процеса одвојених од
језгра оперативног система.
Компанија Мајкрософт је почела са интеграцијом сопствене IPsec
имплементације у оперативне системе почев од 2000. године. Данас,
интегрисану подршку за овај систем заштите имају оперативни системи
Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP, и
Windows 2000. Такође, поменута IPsec имплементација је интегрисана и у Active
Directory сервис.
На BSD групи оперативних система (FreeBSD, NetBSD, OpenBSD) углавном се
користи KAME имплементација. Иста имплементација се користи и на Mac OS X
оперативном систему. OpenBSD системи користе и NRL (United States Naval
Research Laboratory) имплементацију, односно, сопствену имплементацију
базирану на коду поменуте имплементације.

268 РАЧУНАРСКЕ МРЕЖЕ

Производи компаније Cisco користе сопствену имплементацију у IOS
оперативном систему. Оперативни системи компаније IBM (AIX, z/OS) користе
сопствене имплементације. Solaris, оперативни систем компаније Sun, користи
сопствену имплементацију.
Пројекат KAME
KAME пројекат је представљао заједнички напор шест јапанских организација
који је имао за циљ да обезбеди слободну имплементацију IPsec протокола за
различите ватријанте BSD Unix оперативног система. Пројекат је започет 1998.
године а 7. новембра 2005. године је званично објављено да ће пројекат бити
завршен марта 2006. године. Свој назив пројекат је добио по граду у коме су се
налазиле канцеларије пројекта, Karigome.
Следеће организације су учествовале у пројекту:
6. ALAXALA Networks Corporation
7. Fujitsu, Ltd.
8. Hitachi, Ltd.
9. Internet Initiative Japan Inc.
10. Keio University
11. NEC Corporation
12. University of Tokyo
13. Toshiba Corporation
14. Yokogawa Electric Corporation
DragonFly BSD, FreeBSD, и NetBSD оперативни системи интегрисали су код за
IPSec и IPv6 из KAME пројекта. OpenBSD оперативни систем садржи само код за
подршку IPv6 протокола.
Један од значајних резултата остварених овим пројектом је портовање
различитих корисничких алата на Линукс плаформу у оквиру IPsec-Tools
пројекта. У оквиру ових алата се налазе:
1. libipsec - Библиотека са PF_KEY имплементацијом.
2. setkey - Алат за управљање базом безбедносних полиса ( Security Policy
Database, SPD) и базом безбедносних асоцијација ( Security Association
Database, SAD).
3. racoon – програм за аутоматско размењивање кључева за везе.
4. racoonctl – програм за контролу racoon-а.

РАЧУНАРСКЕ МРЕЖЕ 269

Имплементација у језгру Линукс оперативног система
Почев од верзије 2.5.47 на Линуксу је могуће користити IPsec имплементацију
интегрисану у језгро оперативног система. Аутори ове имплементације, Алексеј
Кузнецов и Дејвид С. Милер, свој рад су започели из основа, а од краја 2002.
године се IPsec налази као саставни део кернела Линукс оперативног система
верзије 2.6.

Слика 6.2.3.1.4-1. Организација компонената значајних за IPsec

Неке од најзначајнијих карактеристика имплементације IPsec система заштите у
језгру Линукс оперативног система су:
1. доступност изворног кода имплементације,
2. перформансе (решење на нивоу језгра оперативног система) и
3. лиценца (GPL).
Додатно, ова имплементација користи хеш и шифарске алгоритме који су такође
интегрисани у језгро оперативног система и чији је изворни код такође доступан
(слика 1).
Сам Линукс оперативни систем је популаран као веома стабилан оперативни
систем (постоје примери сервера који су под пуним оптеређењем радили и по
више година без ресетовања) са добрим мрежним перформансама. Још једна
значајна карактеристика Линукс оперативног система, односно његовог језгра,
јесте и та да су изворни кодови свих компонената доступни јавности.
Језгро Линукс оперативног система садржи и друге значајне мрежне
компоненте које се могу користити у комбинацији са решењем везаним за
заштићену комуникацију. На пример, netfilter компонента језгра омогућава
филтрирање пакета уз коришћење iptables корисничког алата.
У поређењу са осталим, раније описаним, имплементацијама IPsec
безбедносног решења, имплементација у језгру Линукс оперативног система

270 РАЧУНАРСКЕ МРЕЖЕ

нуди могућност лакше интеграције шифарског алгоритма уз могућност
постизања максималних перформанси. Имлементација је, као и остатак језгра
оперативног система, реализована у програмском језику C. Програмски језик C,
поред добрих перформанси, нуди и могућност директног приступа хардверским
ресурсима. Ова карактеристика решења може бити од значаја проширивања
решења, пре свега повезивања са хардверским реализацијама шифарског
алгоритма.
6.2.3.1.5. Internet Key Exchange протокол
Протокол IKE (енгл. Internet Key Exchange) је компонента IPsec протокола која се
користи за међусобну проверу аутентичности учесника у комуникацији и за
успостављање и управљање заштићеним везама (безбедносним асоцијацијама,
енгл. Security Associations, SA). Тренутно актуелна верзија овог протокола је 2
(IKEv2).
Успостављање заштићених веза једна је од основних функција IKE протокола.
Кроз успостављање заштићене везе дефинишу се безбедносни параметри
неопходни за рад ESP и AH протокола, односно, шифарских алгоритама који
обезбеђују комуникацију.
Све комуникације IKE протокола подразумевају две поруке - захтев и одговор.
Овај пар порука назива се разменом (енгл. exchange). За обезбеђивање
поузданости комуникације задужена је страна која шаље захтев - уколико се
одговор не добије у одређеном временском периоду страна која шаље захтев
дужна је да захтев понови или прекине везу. Први пар порука IKE протокола при
успостављању везе (IKE_SA_INIT) служи за утврђивање параметара заштићене
везе, временску синхронизацију и размену Diffie-Hellman вредности. Други пар
порука (IKE_AUTH) размењује идентитете учесника, потврђује познавање
дељене тајне и успоставља заштићену везу.
IKE протокол подразмевано ради на порту 500 или 4500. За размену порука
користе се датаграми UDP протокола транспортног нивоа. С обзиром да овај
протокол не нуди поуздан пренос података сам IKE протокол садржи функције
за препознавање и решавање губитка пакета, вишеструку испоруку истог пакета
и фалсификовање пакета.
Поруке IKE протокола су пројектоване да буду кратке. Међутим, горња граница
порука није експлицитно ограничена (осим спецификацијом да имплементације
морају да подрже дужину од 1.280 бајтова а препоручено је да имају могућност
обраде порука дужине до 3.000 бајтова, или већих). Сам IKE протокол не
поседује могућност фрагментовања порука.

РАЧУНАРСКЕ МРЕЖЕ 271

При успостављању безбедне везе IKE протокол поред сета безбедносних
протокола који ће бити коришћени ( ESP, AH) утврђује и који ће шифарски
алгоритми бити коришћени за те протоколе. Иницијално се листа подржаних
шифарских алгоритама (трансформација) размењује у виду предлога. За сваки
од алгоритама могу се јавити атрибути уколико сам назив алгоритма није
довољан за једнозначно одређивање жељене трансформације (нпр. дужина
кључа код алгоритама који подржавају различите дужине).
Шифарски кључ који се уговори IKE протоколом може се користити ограничен
период времена, за шифровање ограничене количине података. Ова
ограничења уједно представљају и животни век заштићене везе за коју је кључ
искоришћен. Уколико се достигне било које од поменута два ограничења
заштићена веза се више не сме користити, а уколико постоји потреба за даљим
преносом података мора се успоставити нова заштићена веза. За успостављање
нове заштићене везе користи се термин rekeying. Нова заштићена веза се
успоставља нешто раније у односу на сам истек текуће заштићене везе, у циљу
елиминисања прекида у преносу података.
6.2.4. Фајервол
Један од најефикаснијих начина заштита рачунарских мрежа и њених чланова
јесте коришћење фајервол система за контролу приступа. Ови системи
функционишу по принципу прихватања или одбијања мрежних комуникација
одређених полисама фајервол система. Постоји више типова фајервол система у
зависности од тога у ком облику су реализовани, какве могућности нуде, на ком
нивоу се извршавају и која је њихова улога у мрежи у којој се налазе.
У зависности од тога у ком облику су реализовани фајервол системе можемо
поделити на наменске уређаје и рачунарски софтвер. Наменски фајервол
уређаји углавном су намењени заштити рачунарских мрежа, пре него заштити
појединачних рачуанра. Реализовани су у облику независних мрежних уређаја
са најчешће два мрежна интерфејса од која их један повезује са непоузданом
мрежом (на пример Интернетом) а други са мрежом коју треба заштитити (на
пример локална мрежа). Уређаји у себи садрже фирмвер који врши анализу
улазних и излазних података и на њих примењује постављења правила (полисе).
Ова правила се постављају најчешће путем рачунара који се са уређајем
повезује путем мрежног или серијског кабла.
Предност наменских фајервол уређаја над осталим решењима јесте
једноставност (нема додатног софтвера) и наменски дизајн (хардвер уређаја је
прилагођен сврси). Рачунарски софтвер такође може обављати улогу фајервола.

272 РАЧУНАРСКЕ МРЕЖЕ

Овакав софтвер се инсталира на рачунаре у виду корисничког софтвера или дела
оперативног система што уједно представља и поделу по томе на ком нивоу се
софтвер извршава.

Слика 6.2.4-1. Примена фајервола

Предност интеграције фајервола у језгро оперативног система јесу пре свега
перформансе, док основну ману у одређеним случајевима (када је направљен
пропуст у софтверу) чини могућност приступа функцијама оперативног система
при „пуцању“ софтвера. Предност реализације фајервол система у облику
додатног рачунарског софтвера јесте пре свега могућност инсталирања фајервол
система на обичне рачунаре и на сваки рачунар појединачно, једноставно
инсталирање нових верзија софтвера као и могућност избора софтверског
решења.
Главна мана реализације фајервол система у облику додатног рачунарског
софтвера наспрам наменских уређаја су, пре свега перформансе а затим и
потреба да се на рачунар инсталира ненаменски оперативни систем, односно
оперативни систем који осим функционалности везаних за фајервол поседује и
додатне функционалности које могу бити злоупотребљене и извор
нестабилности/несигурности система.
У зависности од тога какве могућности нуде фајервол системе можемо пре свега
поделити на основу тога које слојеве TCP/IP модела подржавају и које
информације о свакој комуникацији могу извући путем целокупне комуникације
а не само на основу тренутног саобраћаја. У складу са таквим критеријума
фајервол системе можемо поделити на:

РАЧУНАРСКЕ МРЕЖЕ 273

 1. Системе прве генерације
Ови системи имају могућност рада са прва четири слоја TCP/IP модела
тако да је највиша јединица из које могу добити информације порт
транспортног слоја. Додатно, ови системи немају могућност извлачења
закључака на основу претходно достављених јединица за пренос
података већ у анализу укључују само тренутно актуелну јединицу.
2. Системе друге генерације
Фајервол системи друге генерације се називају и statefull фајервол. Овај
атрибут указује на то да подручје рада ових система није ограничено
само на тренутно актуелну јединицу за пренос података већ јединице
анализирају у контексту везе. Ови системи најчешће могу да утврде да
ли је достављена јединица иницијатор нове везе (енг. нењ цоннецтион)
или је у питању јединица већ остварене везе (енг. естаблисхед
цоннецтион). Информације овог типа представљају додатни критеријум
који се може искористити за креирање полиса статефулл фајервол
система.
3. Системе треће генерације
Фајервол системи треће генерације осим раније описаних
функционалности имају и могућност коришћења параметара
апликативног слоја. Из тог разлога се понекад називају и проџy басед
фајервол системима. Овакви системи најчешће долазе са модуларном
подршком за различите протоколе апликативног слоја а скуп модула је
углавном могуће проширивати.
У зависности од улоге коју имају у мрежи у којој се налазе фајервол системи се
могу поделити на мрежне и личне. Мрежни фајервол системи најчешће се
налазе на тачкама мреже које је спајају са једном или више спољних мрежа.
Улога ових система јесте да заштите све чланове локалне мреже или да им
забране одређене мрежне акције усмерене ка спољним мрежама. Мрежни
фајервол системи се могу штитити локалну мрежу од спољних мрежа али се
такође могу наћи и на више тачака у локалној мрежи да би штитили сегменте
локалне мреже. За разлику од мрежних фајервол система лични фајервол
системи имају за задатак да штите локални рачунар.
6.2.5. Системи за откривање и спречавање напада
За разлику од фајервол система који своје одлуке о дозволи или забрани
одређене мрежне комуникације базирају на статичним полисама, системи за
спречавање напада (енгл. Intrusion Prevention System, IPS ) су софистициранији и

274 РАЧУНАРСКЕ МРЕЖЕ

за извршавање свога задатка – спречавање упада на систем(е) који штити –
користе детаљнију анализу (сличну фајервол системима треће генерације) а
понекад и „интелигентне“ алгоритме који имају могућност да развију модел
„нормалног“ понашања и да одбију све захтеве који не спадају под тај модел.
Као и фајервол системи, IPS системи могу бити дизајнирани за заштиту једног
рачунара (Host based IPS, HIPS) или целе мреже (Network based IPS, NIPS).
Осим потребе за одбраном од напада, у рачунарским мрежама постоји и
потреба за утврђивањем да ли је до напада дошло и да ли је напад успешно
обављен. Иакона први поглед ове потребе делују мање важно, треба узети у
обзир да циљ напада не мора бити коначна акција на нападнутом рачунару већ
и континуална измена података, саботирање обраде или коришћење ресурса.
Са друге стране, успешни напади који омогућавају потпуну контролу нападнутог
рачунара омогућавају такву измену лог фајлова и алата за увид у стање система
након које више није могуће утврдити не само да је рачунар био нападнут већ и
да је рачунар још увек под контролом нападача. На Униџ системима постоје тзв.
рооткит алати који из лог фајлова уклањају све записе о активностима нападача
а алате за увид у стање система (нпр. увид у листе процеса и фајлова на систему)
замењују измењеним алатима који из приказа такође изостављају процесе и
фајлове нападача. Рачунар на којем је инсталиран рооткит може годинама бити
под контролом нападача (што отвара могућности сталног преузимања, измене
или уклањања података и коришћења ресурса) а да надлежни администратор
не добије ни најмањи наговештај да је рачунар под туђом контролом. Улога
система за отркивање напада (енгл. Intrusion Detection System, IDS ) система је да
препозна успешно обављене нападе, о томе обавести администратора и
евенутално уклони заостале компоненте напада. IDS системи се веома разликују
и најчешће су строго везани за одређени оперативни систем или окружење.
Систем рада ових система се креће од једноставне провере адекварних
елемената система путем алата који се налазе ван домета нападача до
коришћења „интелигентних“ алгоритама способних да развију модел нормалног
понашања у систему и на основу њега препознају све акције корисника које
одступају од тог модела. Питање које се поставља код IDS система јесте зашто се
системи који имају могућност да утврде да је напад остварен не искористе
превентивно. Одговор на ово питање лежи у области рада IDS система јер IDS
системи најчешће не анализирају мрежни саобраћај већ интерне активности
система до којих долази, осим код регуларног коришћења, тек када је напад
остварен. Такође, IDS системи најчешће имају могућност да обуставе све
активности на систему и обавесте о томе администратора уколико утврде да је
напад остварен.

РАЧУНАРСКЕ МРЕЖЕ 275

6.3. Стандардни шифарски алгоритми
Основна подела шифарских алгоритама дефинише два типа: симетричне и
асиметричне шифарске алгоритме. Симетрични шифарски алгоритми
(шифровање тајним кључем) резултат су развоја класичне криптографије. За
успешно коришћење симетричног шифровања корисници пре тога морају
разменити кључ који ће бити коришћен за шифровање и дешифровање
садржаја. Основе безбедности коју нуде симетрични шифарски алгоритми леже
у тајности кључа и немогућности добијања оригинала без његовог познавања. У
најпопуларније симетричне шифарске алгоритме спадају AES, DES, RC4 и
Blowfish.
Основна предност симетричних шифарских алгоритама је њихова брзина. Са
друге стране, основни проблем код њиховог коришћења јесте успостављање
тајног кључа, односно неопходност да се тајни кључ безбедно достави до обе
стране. У ту сврху се најчешће користе одвојени комуникациони канали. То
може бити значајан проблем код већих комуникационих мрежа јер се за
потребе безбедне комуникације мора извршити n-1 размена кључева (n је број
чланова мреже). Једно од решења за овај проблем може бити централно тело
које издаје кључеве за комуникационе сесије.
Концепт асиметричног шифровања представљен је 1976. године од стране
Вајтфилда Дифија и Мартина Хелмана. У свом првом раду као основну
мотивацију ови аутори су навели „елиминисање потребе за одвојеним
комуникационим каналима за размену кључева и стварање еквивалента
писаном потпису“. Код асиметричног шифровања свака страна има пар кључева,
e (јавни кључ) и d (тајни кључ). Јавни кључ је јавно доступан док се тајни кључ
чува ван домета осталих корисника. Подаци шифровани јавним кључем могу се
дешифровати само упареним тајним кључем. Са друге стране, тајни кључ се
може искористити за потписивање дигиталног садржаја, а јавни кључ се у том
случају користи за проверу аутентичности потписа. Подразумева се немогућност
израчунавања тајног кључа на основу његовог јавног пара. Најпознатији
представници асиметричне криптографије јесу Дифи-Хелман систем размене
кључева и RSA алгоритам.
У поређењу са симетричним еквивалентима асиметрични системи за
шифровање су углавном спорији и нуде нижи ниво безбедности за исту дужину
кључева (односно, захтевају коришћење кључева веће дужине). Са друге стране,
они не захтевају одвојене канале за дистрибуцију кључева, а нуде и
специфичности у погледу електронског потписивања докумената. У пракси се

276 РАЧУНАРСКЕ МРЕЖЕ

често среће мешовита употреба симетричног и асиметричног шифровања -
асиметрично шифровање користи се за дистрибуцију кључева симетричних
алгоритама.
6.3.1. Advanced Encryption Standard, AES
Шифарски алгоритам Advanced Encryption Standard (AES) један је од
најпопуларнијих шифарских алгоритама данас. Овај алгоритам је одобрен од
стране NIST-а као федерални стандард за процесирање информација. У питању
је симетрични блоковски алгоритам за шифровање и дешифровање података. У
пракси постоје различите софтверске, фирмверске и хардверске реализације
овог алгоритма.
AES алгоритам може користити кључеве дужине 128, 196 и 256 битова.
Иницијална спецификација алгоритма омогућавала је и друге величине кључева
али оне нису ушле у стандард. Основна јединица за обраду података код AES
алгоритма је бајт, што значи да се улазни подаци, излазни подаци и кључ за
шифровање обрађују у јединицама од једног бајта. Код AES алгоритма дужина
улазног блока, излазног блока и стања је 128 битова. Интерно, операције AES
алгоритма извршавају се над дводимензионалним низовима бајтова који се
називају стања. Ови низови садрже по четири реда бајтова од којих сваки
садржи N бајтова (N је величина блока подељена са 32).
Извршавање код AES алгоритма, односно број рунди (енгл. number of rounds),
зависи од дужине кључа. За дужину кључа од 128 битова број рунди је 10, за
дужину од 196 битова је12, а за дужину кључа од 256 битова број рунди је 14. За
процесе шифровања и дешифровања података AES алгоритам користи следеће
трансформације:
1. замена бајтова на основу табеле,
2. смицање редова матрице стања по различитим величинама,
3. мешање података у оквиру колона матрица стања и
4. додавање Round Key вредности (вредност израчуната на основу кључа)
матрици стања.
На почетку процеса шифровања улазни низ се копира у матрицу стања. Након
додавања Round Key вредности матрица стања се трансформише коришћењем
функције заокруживања 10, 12 или 14 пута, у зависности од дужине кључа.
Након заокруживања, матрица стања се копира у излазни низ. Један од
параметара функције заокруживања је једнодимензионални низ речи од по

РАЧУНАРСКЕ МРЕЖЕ 277

четири бајта, добијен на основу Key Expansion рутине. Рутина Key Expansion на
основу главног кључа генерише тзв. распоред кључева (енгл. key schedule)
дужине Nr речи (Nr је број циклуса) од по четири бајта.
6.3.2. Data Encryption Standard (DES, 3DES)
Шифарски алгоритам Data Encryption Standard (DES) је симетрични блоковски
шифарски алгоритам, одобрен од стране NIST-а као један од федералних
стандарда за процесирање информација. Овај алгоритам је пројектован за
шифровање и дешифровање података у блоковима дужине 64 бита. Кључеви
који се користе за рад са DES алгоритмом такође имају дужину од 64 бита од
чега се 56 користе за шифровање и дешифровање док се преосталих 8 битова
користи за препознавање грешака.
Први корак у шифровању података код DES алгоритма подразумева иницијалну
пермутацију (Ip). Над резултатом иницијалне пермутације се, затим, врше
сложене рачунске операције (ознака f) у којима као параметар учествује и кључ
(над којим је извршена функција за израчунавање под-кључа, key scheduling, KS)
којим се врши шифровање. Над резултатом ових операција се извршава процес
реверзан иницијалној пермутацији (Ip-1). Резултатом ових операција добија се
шифрат, а реверзним операцијама врши се његово дешифровање, односно,
добија се оригинал.
Само увођење DES алгоритма као стандарда за шифровање пратили су
различити проблем и нејасноће. Развој овог алгоритма иницирао је NIST
(тадашњи NBS, National Bureau of Standards ) почетком седамдесетих година
прошлога века. Међутим, испоставило се да ни једна од предложених
реализација није испоштовала постављене високе стандарде. Након
консултација са NSA агенцијом прихваћено је решење које је понудила
компанија IBM а базирано је на претходно развијеном Lucifer алгоритму аутора
Хорса Фистела.
DES алгоритам је криткован и од стране Мартина Хелмана и Вајтфилда Дифија
који су указали на скаћивање кључева и мистериозне S боксове, као последице
утицаја NSA агенције на развој алгоритма. Претпоставља се да је било у питању
намено ослабљивање алгоритма у циљу омогућавања разбијања шифрата од
стране владиних агенција. И поред свих наведених проблема са овим
алгоритмом он се и данас у пракси често среће у својој 3DES варијанти.

278 РАЧУНАРСКЕ МРЕЖЕ

6.3.3. RSA
Шифарски алгоритам RSA добио је име по својим ауторима Рону Рајвесту, Адију
Шамиру и Леонарду Адлеману ( Rivest-Shamir-Adleman). У питању је асиметрични
шифарски алгоритам који се, осим за шифровање података, може користити и за
потписивање електронских докумената.
Асиметрични рад RSA алгоритма подразумева постојање два кључа - јавног и
тајног. Јавни кључ се састоји од два позитивна цела броја - модула и јавног
експонента. Приватни кључ RSA алгоритма може се представити на два начина:
преко модула и тајног експонента (позитивни цели бројеви), или преко седам
параметара - први фактор, други фактор, први фактор CRT (Chinese Remainder
Theorem) експонента, други фактор CRT експонента, први CRT коефицијент, i-ти
фактор, i-ти фактор CRT експонента, i-ти фактор CRT коефицијента.
Шифарски алгоритам RSA представља групу асиметричних алгоритама. Основна
предност ових алгоритама, у односу на симетричне шифарске алгоритме, јесте
могућност да се између две стране изврши размена шифрованих података а да
није неопходна претходна размена кључа заштићеним каналом. Са друге
стране, симетрични шифарски алгоритми обично нуде боље перформансе у
раду, а њихова безбедност не зависи од протокола за иницијалну размену
кључа.

РАЧУНАРСКЕ МРЕЖЕ 279

6.4. Трендови
Трендови везани за безбедност су у директној вези са општим трендовима на
пољу рачунарских и телекомуникационих мрежа, односно са вредностима
реалног света које се преносе њиховим каналима. На основу различитих
истраживања као најважније области за испитивање безбедносних трендова
издвајају се:
1. неовлашћени приступ,
2. проблем инсајдера и
3. крађа идентитета.
Још једна значајна карактеристика издвојених области јесте њихово често
преплитање, односно повезан утицај различитих фактора. На пример,
неовлашћени приступ ресурсима често се дешава као последица сарадње са
инсајдерима, или као последица крађе електронског идентитета особе која је
овлашћена за приступ електронским ресурсима.
Анкета коју је 2004. године водио CSO магазин у сарадњи са Америчком
безбедносном службом и координационим центром CERT-а, показује да бивше
или тренутно запослене или привремено ангажоване особе представљају другу
по реду најзначајнију претњу пословним системима. Један од значајних фактора
који утиче на овај проблем јесте све већа могућност остваривања материјалне
користи путем неовлашћеног присвајања електронских података уместо
материјалних добара. Починиоци криминалних радњи базираних на
инсајдерима у великој већини случајева подразумевају инсајдере – запослене –
као директне починиоце а у остатку случајева запослени најчешће омогућава
спољном нападачу приступ одређеним информацијама или функцијама.
По речима безбедносног експерта Гарија Барнета из фирме Овум једна од
карактеристика 2009. године ће бити и примена безбедносних лекција научених
ранијих година у пословним системима. Са следећим Барнетовим ставом слаже
се и Мајк Гилеспи, директор безбедности консултантске фирме Адвентим – у
2009. години ће се знатно порадити и на заштити података од случајног или
намерног уништавања или тзв. „цурења“ у јавност.
Оливер Фридрих, менаджер у компанији Симантек, указује и на безбедносне
проблеме који се могу јавити као последица убрзане примене концепта
виртуализације рачунара. „Брзина и лакоћа којом се могу уводити виртуални
рачунари може успавати људе по питању разматрања правилног обезбеђивања
виртуалних рачунара и окружења у коме се налазе“ наводи Фридрих.

280 РАЧУНАРСКЕ МРЕЖЕ

Безбедносни концепти који се представљају у овом раду подразумевају
укључивање малог броја људи у процес остваривања и одржавања
безбедности. Додатно, представљено решење се базира на нижим слојевима
OSI и TCP/IP модела и потпуно је ван видљивости и управљања од стране
крајњих корисника. Ове особине знатно смањују ризик који потиче од
инсајдера.

РАЧУНАРСКЕ МРЕЖЕ 281

Литература
• Andrews S. Tanenbaum, Рачунарске мреже, Микр Књига, 2005., Београд
• Davidson J., Peters J.: "Voice over IP Fundamentals", Cisco Press, 2000.
• Jerry Fitzgerald and Alan Dennis, Business Data Communications and
Networking - 8th Edition, John Wiley & Sons, Inc, 2005., New York
• Leiner B., Cerf V., Clark D., Kahn R., Kleinrock L., Lynch D., Postel J.,
• Roberts L., Wolff S.: "A Brief History of the Internet", Internet Society, 2002.
• Muller J. N., Bluetooth Demystified, McGraw-Hill, 2000, NY, USA.
• Stevens R.: "TCP/IP Illustrated, vol. 1", Addison-Wesley Longman, Inc., 1999.
• William Stallings, Data and Computer Communication, Pearson Prentice Hall,
2004, NJ, USA
• Robin Burk, David B Horvath, CCP i drugi, Unix do kraja, izdanje za sistem
administratora, Kompjuter biblioteka, 1999.
• Roberta Szyper, Caren Bachmann, Jonathan Decker: „Guide to structured
cabling“, Black Box, www.blackbox.com.
• David Barnett, David Groth, Jim McBee: „Cabling: The Complete Guide to
Network Wiring“, Sybex, 2004.
• A. Anthony Bruno, Jacqueline Kim: „CCDA Exam Certification Guide“, Cisco
Press, 2000.
• Lydia Parziale, David T. Britt, Chuck Davis, Jason Forrester, Wei Liu, Carolyn
Matthews, Nicolas Rosselot: „TCP/IP Tutorial and Technical Overview“, IBM
2006.

282 РАЧУНАРСКЕ МРЕЖЕ

7. Додатак I - Мрежне наредбе за Линукс ОС
UNIX оперативни системи годинама доминирају на серверском тржишту услед
своје стабилности, безбедноси и мрежних могућности. Као пример UNIX
оперативног система биће узет Линукс оперативни систем ( Slackware
дистрибуција). Основа мрежне подршке оперативних система данас се огледа у:
• подршци за хардвер путем кога се рачунар повезује на мрежу,
• подршци за мрежне протоколе који се користе у мрежи и
• подршци за сервисе на мрежи или подршци за апликације које
подржавају поменуте сервисе.
Подршка за мрежни хардвер се под Линуксом може сматрати веома добром јер
све већи број произвођача мрежног хардвера увиђа потенцијал овог
оперативног система и своју економску корист од подржавања истог. Линукс
кернел у основној варијанти подржава већину производа популарних
произвођача а подршка се може проширити и помоћу драјвера из других
извора. Ови драјвери се налазе у бинарном облику, односно са доступнум
изворним кодом.
Подршка за популарне мрежне протоколе у Линуксу постоји директно у кернелу
или корисничким програмима, у зависности на ком нивоу OSI модела протокол
функционише. Протоколи нижих нивоа ( PPP, TCP, IP...) се могу укључити као
опција при конфигурисању кернела. Протоколи виших нивоа (SMB, HTTP, FTP)
подржавају се путем корисничких апликација (серверског и клијентског дела).
Једна од главних одлика Линукс оперативног система јесте доступност изворног
кода његовог језгра. Захваљујући томе, велики број програмера широм света
учествује у развоју овог оперативног система кроз програмирање нових модула
и проналажење евентуалних грешака у модулима других аутора.
Данас се Линукс најчешће среће на рачунарима који раде као мрежни сервери.
Недостатак популарних апликација за Линукс радне станице чини овај
оперативни систем мање популарним у тој области од MS Windows оперативних
система.
7.1.1. Конфигурациони фајлови
/etc/HOSTNAME - Фајл у коме се чува мрежно име локалног рачунара.

РАЧУНАРСКЕ МРЕЖЕ 283

/etc/resolv.conf - Фајл у коме се чувају следећи параметри:
• подразумевани домен за имена рачунара код којих је домен изостављен
• листа доступних DNS сервера у редоследу по ком ће им се приступати
search singidunum.ac.yu singidunum.local
nameserver 212.62.48.42
nameserver 212.62.45.222

/etc/host.conf - Фајл који одређује редослед по коме ће се разрешавати имена.

order hosts, bind
multi on
nospoof on

/etc/hosts - Фајл у коме се налази листа (најчешће локалних) рачунара. Претеча

DNS сервиса.
127.0.0.1 localhost
192.168.1.1 lokalniracunar.lokalnamreza lokalniracunar

/etc/networks - Фајл у коме се налази листа мрежа (имена и адреса). Ретко се

користи и то најчешће при подизању система.
loopback 127.0.0.0
lokalnamreza 192.168.1.0
7.1.2. Алати за подешавање мрежних параметара
ifport - алат који се користи код мрежних адаптера који имају више различитих
типова примопредајника (интерфејса) за одређивање који ће бити активан.
ifconfig - један од главних мрежних конфигурационих алата. Овај алат се користи
за подешавање мрежних адаптера и за приказ њихових конфигурационих
параметара. Помоћу овог алата се може подесити мрежна адреса адаптера,
мрежна маска, broadcast, активност и слично.

284 РАЧУНАРСКЕ МРЕЖЕ

route - алат којим се подешава рутирање излазних пакета. Овим алатом се
креирају табеле на основу којих се за сваки пакет одређује следећа мрежна
тачка којој ће он бити прослеђен.
usernetctl - алат којим се омогуђава корисницима да без администраторских
привилегија активирају или деактивирају одређени мрежни адаптер.
arp - алат за листање и евентуалну измену ARP табела мреже.
7.1.3. Алати за проверу рада мреже и решавање проблема
ping - Један од типова ICMP пакета је „echo request“ који од примаоца захтева
одговор у виду пакета „ echo reply“. Алат ping служи за слање „ echo reply“ пакета
и користи се за одређивање:
• да ли је удаљени рачунар укључен и на мрежи
• времена потребног да се оствари комуникација у оба смера
• процената успешно остварених комуникација у оба смера
Ping алат је један од најчешће коришћених алата за решавање проблема на
мрежи.
traceroute - Док се алат ping користи за утврђивање перформанси одређене
мрежне путање, алат traceroute се користи за приказ путање којом се крећу
пакети до удаљеног рачунара. Помоћу овог алата је могуће открити тачну
локацију на путањи на којој се јавља велико успорење или број грешака.
host, nslookup, dig - Ова три алата служе за постављање DNS упита. Сва три алата
појединачно могу да изврше основне упите (име рачунара и адреса у оба смера)
и напредније операције (нпр. листање свих чланова домена). Команда dig се
сматра најнапреднијом док команда host нуди само најосновније информације.
nstat - Овај алат приказује вредности неколико статистика везаних за мрежну
активност која се одвија унутар кернела. Ове статистике се најчешће добијају од
SNMP daemon-а. Њима се такође може приступити путем /proc/net/snmp фајла.
netstat - Овај алат приказује садржај фајлова у /proc/net директоријуму а нуди
шире информације од nstat програма. Netstat има могућност приказивања
тренутно активних мрежних конекција, приказивања статистике везане за
мрежне адаптере, чишћења routing табеле и сл.
snmp - Група SNMP команди (snmpget, snmpnext...) омогућава упите ка
удаљеним уређајима који имају подршку за SNMP. Такође, пакет садржи и snmp
daemon који обезбеђује SNMP упите ка локалном рачунару.

РАЧУНАРСКЕ МРЕЖЕ 285

tcpdump - Овај програм спада у групу sniffer-а, програма који снимају
комуникацију која се одвија преко неког од локалних мрежних адаптера.
tcpdump разуме основне Интернет протоколе и има могућност чувања резултата
зарад накнадне обраде.
7.1.4. Алати везани за Dial-Up мреже
pppd - Овај daemon има могућност слања и примања пакета кроз серијски линк
између два рачунара. Најчешће се користи код рачунара који се на Интернет
повезују путем DialUp-а.
sliplogin - Овај програм је сличан pppd алату с том разликом што користи старији
SLIP протокол за енкапсулацију пакета уместо PPP протокола.
diald - Овај програм анализира захтеве за мрежним ресурсима и аутоматски
покреће Dial-Up конекцију уколико се појави захтев за удаљеним ресурсима.
7.1.5. Мрежни клијенти и сервиси
inetd и tcpd - inetd алат служи за надгледање одређених портова дефинисаних у
/etc/inetd.conf конфигурационом фајлу и покретање придружених програма за
обраду захтева. Уколико се појави захтев на назначеном порту, inetd
(подразумевано) покреће tcpd који проверава фајлове /etc/hosts.allow и
/etc/hosts.deny и на основу њих утврђује да ли је изворишна IP адреса захтева
овлашћена за захтев на поменутом порту. Уколико се утврди да изворишна
адреса има привилегију рада на поменутом порту, inetd покреће програм за
обраду захтева (ftpd, telnetd...). Програм tcpd све више излази из употребе услед
све напреднијих firewall алата
tcpdchk и tcpdmatch - Ови мини алати омогућују проверу / etc/hosts.allow и
/etc/hosts.deny фајлова. tcpdchk наредба проверава фајлове и пријављује
евентуалне грешке. tcpdmatch наредба омогућава постављање хипотетичких
daemon/клијент парова и, у зависности од конфигурационих фајлова, утврђује
да ли ће конекција бити прихваћена или не.
sendmail - Програм sendmail је један од најпопуларнијих MTA на UNIX
оперативним системима и Интернету уопште. Најпопуларнија алтернативна
решења су qmail и postfix.
ssh - Secure Shell (SSH) протокол омогућава рад на удаљеним UNIX рачунарима.
Ова услуга се реализује путем ssh клијентског алата и sshd серверског дела
сервиса.

286 РАЧУНАРСКЕ МРЕЖЕ

7.1.6. Подешавање мрежног интерфејса (ifconfig)
Већина савремених Линукс дистрибуција нуди сопствене алате (конзолне и
графичке) за једноставније подешавање мрежних адаптера (интерфејса).
Међутим, већина ових алата се ослања на основни алат за подешавање
мрежних адаптера, ifconfig. За коришћење овог алата су неопходне
администраторске привилегије.
Уколико желимо да први мрежни адаптер рачунара подесимо за рад на мрежи
класе C која има следеће параметре:
• Мрежа: 192.168.1.0
• Мрежна маска: 255.255.255.0
• Gateway: 192.168.1.1
• Адреса рачунара: 192.168.1.10
коришћењем ifconfig алата то можемо постићи помоћу следеће наредбе:
ifconfig eth0 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255

Уколико желимо само да извршимо преглед тренутних подешавања интерфејса

покренућемо алат ifconfig без параметара:
bash# ifconfig
eth0 Link encap:Ethernet HWaddr 00:11:25:AA:0E:59
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:132492645 errors:0 dropped:0 overruns:0 frame:0
TX packets:154256707 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:32797966 (31.2 Mb) TX bytes:1679866715 (1602.0 Mb)
Base address:0x2000 Memory:d0120000-d0140000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:3240825 errors:0 dropped:0 overruns:0 frame:0
TX packets:3240825 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2704771622 (2579.4 Mb) TX bytes:2704771622 (2579.4 Mb)

Пошто алат ifconfig нема могућност постављања gateway параметра, тај

РАЧУНАРСКЕ МРЕЖЕ 287

параметар можемо поставити помоћу алата route:
/sbin/route add default gw 192.168.1.1 metric 1

У случају да желимо у току рада да обуставимо рад одређеног интерфејса нпр.

на 10 минута искористићемо аргументе up и down :
ifconfig eth0 down && sleep 600 && ifconfig eth0 up

На овај начин се могу у току рада мењати параметри једног адаптера, може се
подесити већи број мрежних адаптера на једном систему водећи при томе
рачуна како се постављају руте, у случају да постоји више gateway-а на мрежи.

288 РАЧУНАРСКЕ МРЕЖЕ

8. Додатак II - Пример задатака за мрежни слој
У наставку су дати типски задаци којима се утврђује оспособљеност кандидата
да врши основне операције са четвртом верзијом Интернет протокола.

8.1. Задаци
8.1.1. Превођење бројних система
Бинарно задате мрежне адресе превести у децимални облик:
Бинарни облик Децимални облик
01000001001000000010111101000001
10101101001100110011001001111101
00101000001100001101010101001110
11000100110100110101000101000111
11011100111111001110001000111011

8.1.2. Одређивање класа мрежних адреса

Израчунати класе мрежних адреса:
Адреса Класа Адреса Класа
55.35.108.251 17.144.31.124
154.250.210.69 171.67.203.240
216.222.117.32 194.35.19.238
176.160.153.144 38.137.109.67
177.122.22.200 7.31.65.35

8.1.3. Израчунавање адресе мреже и емисионе адресе

За задате адресе израчунати адресу мреже и емисиону адресу:
Адреса Адреса мреже Емисиона адреса
158.58.66.195/16
211.83.131.189/10
234.182.152.159/20
156.20.9.106/17
80.192.90.239/22

РАЧУНАРСКЕ МРЕЖЕ 289

8.1.4. Одређивање броја рачунара у мрежама
Израчунати највећи могући број рачунара у мрежама са следећим мрежним
маскама:
Мрежна маска Број рачунара Мрежна маска Број рачунара
255.255.224.0 255.255.192.0
255.255.255.128 255.255.254.0
255.255.255.240 255.255.255.248
255.255.255.0 255.255.248.0
255.255.255.192 255.255.252.0

8.1.5. Одређивање типова адреса

Израчунати које се од следећих адреса могу користити за адресовање рачунара
на Интернету:
Адреса Да/Не Адреса Да/Не
242.151.184.226/30 204.14.100.245/30
95.247.184.153/30 88.164.168.73/30
125.71.7.118/30 15.226.239.51/30
167.163.146.163/30 233.86.212.60/30
151.218.200.101/30 135.187.4.129/30

8.1.6. Одређивање опсега адреса у мрежи

Израчунати да ли се следећи рачунари налазе у истој мрежи:
Адреса 1 Адреса 2 Маска Да/Не
135.113.217.108 135.113.216.84 255.255.255.0
100.40.128.21 100.40.128.24 255.255.255.192
218.134.163.120 218.134.165.16 255.255.248.0
171.139.237.44 171.139.239.158 255.255.240.0
165.225.14.143 165.224.202.143 255.255.0.0

290 РАЧУНАРСКЕ МРЕЖЕ

8.1.7. Подмрежавање рачунарске мреже
За потребе мреже организације додељен је опсег 206.227.220.0/24. Поделити
опсег у мање мреже које би садржале наведени број рачунара по одељењу.
Мреже морају бити најмање могуће величине а сортиране по датом редоследу.
Одељење Бр.рач. Адреса мреже Маска мреже Емисиона адреса
Развој 73
Сервис 22
Маркетинг 10
Рачуноводство 13
Оператери 6

8.2. Решења задатака

8.2.1. Превођење бројних система
Бинарно задате мрежне адресе превести у децимални облик:
Бинарни облик Децимални облик
01000001001000000010111101000001 65.32.47.65
10101101001100110011001001111101 173.51.50.125
00101000001100001101010101001110 40.48.213.78
11000100110100110101000101000111 196.211.81.71
11011100111111001110001000111011 220.252.226.59

8.2.2. Одређивање класа мрежних адреса

Израчунати класе мрежних адреса:
Адреса Класа Адреса Класа
55.35.108.251 A 17.144.31.124 A
154.250.210.69 B 171.67.203.240 B
216.222.117.32 C 194.35.19.238 C
176.160.153.144 B 38.137.109.67 A
177.122.22.200 B 7.31.65.35 A

РАЧУНАРСКЕ МРЕЖЕ 291

8.2.3. Израчунавање адресе мреже и емисионе адресе
За задате адресе израчунати адресу мреже и емисиону адресу:
Адреса Адреса мреже Емисиона адреса
158.58.66.195/16 158.58.0.0 158.58.255.255
211.83.131.189/10 211.64.0.0 211.127.255.255
234.182.152.159/20 234.182.144.0 234.182.159.255
156.20.9.106/17 156.20.0.0 156.20.127.255
80.192.90.239/22 80.192.88.0 80.192.91.255

8.2.4. Одређивање броја рачунара у мрежама

Израчунати највећи могући број рачунара у мрежама са следећим мрежним
маскама:
Мрежна маска Број рачунара Мрежна маска Број рачунара
255.255.224.0 8190 255.255.192.0 16382
255.255.255.128 126 255.255.254.0 510
255.255.255.240 14 255.255.255.248 6
255.255.255.0 254 255.255.248.0 2046
255.255.255.192 62 255.255.252.0 1022

8.2.5. Одређивање типова адреса

Израчунати које се од следећих адреса могу користити за адресовање рачунара
на Интернету:
Адреса Да/Не Адреса Да/Не
242.151.184.226/30 Не 204.14.100.245/30 Да
95.247.184.153/30 Да 88.164.168.73/30 Да
125.71.7.118/30 Да 15.226.239.51/30 Не
167.163.146.163/30 Не 233.86.212.60/30 Не
151.218.200.101/30 Да 135.187.4.129/30 Да

292 РАЧУНАРСКЕ МРЕЖЕ

8.2.6. Одређивање опсега адреса у мрежи
Израчунати да ли се следећи рачунари налазе у истој мрежи:
Адреса 1 Адреса 2 Маска Да/Не
135.113.217.108 135.113.216.84 255.255.255.0 Не
100.40.128.21 100.40.128.24 255.255.255.192 Да
218.134.163.120 218.134.165.16 255.255.248.0 Да
171.139.237.44 171.139.239.158 255.255.240.0 Да
165.225.14.143 165.224.202.143 255.255.0.0 Не

8.2.7. Подмрежавање рачунарске мреже

За потребе мреже организације додељен је опсег 206.227.220.0/24. Поделити
опсег у мање мреже које би садржале наведени број рачунара по одељењу.
Мреже морају бити најмање могуће величине а сортиране по датом редоследу.
Одељење Бр.рач. Адреса мреже Маска мреже Емисиона адреса
Развој 73 206.227.220.0 255.255.255.128 206.227.220.127
Сервис 22 206.227.220.128 255.255.255.224 206.227.220.159
Маркетинг 10 206.227.220.160 255.255.255.240 206.227.220.175
Рачуноводство 13 206.227.220.176 255.255.255.240 206.227.220.191
Оператери 6 206.227.220.192 255.255.255.248 206.227.220.199

РАЧУНАРСКЕ МРЕЖЕ 293