Rmreze Prirucnik PDF

Верица Васиљевић
Предраг Гавриловић
Борислав Крнета
Веселин Илић
Владимир Михајловић
Рачунарске мреже
Приручник за лабораторијске вежбе
Висока школа електротехнике и рачунарства струковних студија

Београд, 2012.
Аутори: др Верица Васиљевић
Предраг Гавриловић
Борислав Крнета
Веселин Илић
Владимир Михајловић
Рецензенти: др Борислав Ђорђевић, мр Драган Плескоњић
Издавач: Висока школа електротехнике и рачунарства струковних студија
За издавача: др Драгољуб Мартиновић
Лектор: Анђелка Ковачевић
Техничка обрада: Веселин Илић, Марко Караџић, Мирко Ступар
Дизајн: Мирко Ступар
Штампа: МТС Гајић
Тираж: 200
CIP - Каталогизација у публикацији

Народна библиотека Србије, Београд
004.7(075.8)(076)
РАЧУНАРСКЕ мреже : приручник за

лабораторијске вежбе / Верица Васиљевић . . .
[и др.] . - Београд : Висока школа
електротехнике и рачунарства струковних
студија, 2012 ( Београд : МСТ Гајић ) . - 214
стр. : илустр. ; 30 cm + 1 електронски
оптички диск (CD-ROM : звук ; 12 cm)
Тираж 200. - Библиографија: стр. 213.
ISBN 978-86-7982-120-1
1. Васиљевић, Верица, 1952- [аутор]
а ) Рачунарске мреже - Вежбе
COBISS.SR-ID 189632780
Предговор
Приручник Рачунарске мреже првенствено је намењен студентима Високе школе

електротехнике и рачунарства струковних студија у Београду. Настао је као резултат
дугогодишњег рада на настави из предмета Рачунарске мреже.
Приручник се састоји од десет вежби, методички обрађених.
Да би се студентима омогућило да што квалитетније и са више мотива самостално уче

припремљен је и мултимедијални приручник. Све вежбе су озвучене нарацијом.
Београд,
март, 2012. год. Аутори
Садржај
Садржај
1. ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ ..................................................... 1
1.1 ПРОЦЕС АУТЕНТИФИКАЦИЈЕ И АУТОРИЗАЦИЈЕ 1

1.2 МОДЕЛ РАДНЕ ГРУПЕ 1
1.3 МОДЕЛ ДОМЕНА 2
1.4 ДИРЕКТОРИЈУМСКИ СЕРВИС 3
1.5 ПРОТОКОЛ ЗА ПРИСТУП ДИРЕКТОРИЈУМУ LDAP 3
1.6 АКТИВНИ ДИРЕКТОРИЈУМ 3
ВЕЖБЕ ............................................................................................................................................................ 5
АКТИВНОСТ 1 : ИНСТАЛАЦИЈА АКТИВНОГ ДИРЕКТОРИЈУТА 5
ПОДЕШАВАЊЕ СТАТИЧКЕ IP АДРЕСЕ: 5
ПРОВЕРА СИСТЕМА ФАЈЛОВА 6
ПРОМЕНА ИМЕНА СЕРВЕРA 7
ПOЧЕТАК ИНСТАЛАЦИЈЕ АКТИВНОГ ДИРЕКТОРИЈУМА 8
АКТИВНОСТ 2 : ПОКРЕТАЊЕ АЛАТКЕ ЗА АДМИНИСТРАЦИЈУ АКТИВНОГ ДИРЕКТОРИЈУМА 15
АКТИВНОСТ 3 : КРЕИРАЊЕ ОБЈЕКАТА АКТИВНОГ ДИРЕКТОРИЈУМА; ОРГАНИЗАЦИОНА ЈЕДИНИЦА 17
АКТИВНОСТ 4 : КРЕИРАЊЕ КОРИСНИЧКИХ НАЛОГА 19
АКТИВНОСТ 5 : ИЗМЕНА АТРИБУТА КОРИСНИЧКИХ НАЛОГА 23
АКТИВНОСТ 6 : КОПИРАЊЕ И ПРЕМЕШТАЊЕ КОРИСНИЧКИХ НАЛОГА 24
АКТИВНОСТ 7 : УЧЛАЊИВАЊЕ РАДНЕ СТАНИЦЕ У ДОМЕН 25
2. ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА И АДМИНИСТРАЦИЈА ГРУПНИХ НАЛОГА ................ 29
2.1 ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА 29
2.2 ГРУПНИ НАЛОЗИ 29
2.2.1 РАЗЛИЧИТЕ ВРСТЕ ГРУПА 30
2.2.2 ДОМЕНСКЕ ЛОКАЛНЕ ГРУПЕ 31
2.2.3 ГЛОБАЛНЕ ГРУПЕ 32
2.2.4 КОМБИНОВАЊЕ ДОМЕНСКИХ ЛОКАЛНИХ И ГЛОБАЛНИХ ГРУПА 32
2.2.5 УПОТРЕБА ГЛОБАЛНИХ ГРУПА 33
2.2.6 УПОТРЕБА ДОМЕНСКИХ ЛОКАЛНИХ ГРУПА 33
2.2.7 УЧЛАЊИВАЊЕ ГЛОБАЛНИХ ГРУПА У ЛОКАЛНЕ 33
ВЕЖБА.......................................................................................................................................................... 35
АКТИВНОСТ 1 : ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА 35
АКТИВНОСТ 2 : КРЕИРАЊЕ ГРУПА 36
АКТИВНОСТ 3 : УЧЛАЊИВАЊЕ КОРИСНИКА У ГЛОБАЛНЕ ГРУПЕ 37
АКТИВНОСТ 4 : ПРЕГЛЕД ЧЛАНОВА ГРУПЕ 38
АКТИВНОСТ 5 : УЧЛАЊИВАЊЕ ГЛОБАЛНЕ ГРУПЕ У ЛОКАЛНУ ДОМЕНСКУ ГРУПУ 38
АКТИВНОСТ 6 : ОРГАНИЗОВАЊЕ КОРИСНИКА У ДОМЕНУ - ГЛОБАЛНЕ ГРУПЕ 39
АКТИВНОСТ 7 : ОРГАНИЗОВАЊЕ КОРИСНИКА У ДОМЕНУ - УЧЛАЊИВАЊЕ 40
АКТИВНОСТ 8 : ПРЕГЛЕД УГРАЂЕНИХ ГРУПА 40
3. ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА ........... 43
3.1 ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА (ЕНГ. SHARE PERMISSIONS) 43
3.2 ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА (ЕНГ. SECURITY OR NTFS PERMISSIONS) 43
ВЕЖБЕ .......................................................................................................................................................... 44
АКТИВНОСТ 1: ПОСТУПАК ДЕЉЕЊА ФОЛДЕРА 44
АКТИВНОСТ 2 : УПОТРЕБА ГРУПА ЗА КОНТРОЛУ ПРИСТУПА 46
АКТИВНОСТ 3 : ПОВЕЗИВАЊЕ СА ДЕЉЕНИМ ФОЛДЕРИМА 48
МАПИРАЊЕ МРЕЖНОГ ДИСКА 48
УПОТРЕБА UNC ПУТАЊЕ 48
АКТИВНОСТ 4 : ПРЕГЛЕД ДЕЉЕНИХ ФОЛДЕРА НА СЕРВЕРУ 49
НЕДОСТАЦИ ЗАШТИТЕ РЕСУРСА ДОЗВОЛАМА ЗА ДЕЉЕНЕ ФОЛДЕРЕ 49
АКТИВНОСТ 5 : УПОЗНАВАЊЕ СА NTFS ДОЗВОЛАМА 50
АКТИВНОСТ 6 : УПРАВЉАЊЕ НАСЛЕЂИВАЊЕМ ДОЗВОЛА 51
Садржај
АКТИВНОСТ 7: КОМБИНОВАЊЕ ДОЗВОЛА ЗА ДЕЉЕНЕ ФОЛДЕРЕ И NTFS ДОЗВОЛА 53

АКТИВНОСТ 8 : ПРЕГЛЕД ЕФЕКТИВНИХ ДОЗВОЛА 57
АКТИВНОСТ 9 : ВЛАСНИШТВО НАД ФАЈЛОВИМА 58
4. ЛИЧНИ ФОЛДЕРИ, ПРОФИЛИ КОРИСНИКА И ГРУПНЕ ПОЛИСЕ .................................................... 61
4.1 ЛИЧНЕ ФАСЦИКЛЕ (ЕНГ. HOME FOLDERS) 61
4.2 КОРИСНИЧКИ ПРОФИЛИ (ЕНГ. USER PROFILES) 61
4.3 ГРУПНЕ ПОЛИСЕ (ЕНГ. GROUP POLICY) 62
ВЕЖБЕ .......................................................................................................................................................... 65
АКТИВНОСТ 1 : КРЕИРАЊЕ ЛИЧНИХ ФОЛДЕРА 65
АКТИВНОСТ 2 : УПОЗНАВАЊЕ СА КОРИСНИЧКИМ ПРОФИЛИМА 68
АКТИВНОСТ 3 : УПОЗНАВАЊЕ СА ПОКРЕТНИМ (ЕНГ. ROAMING) ПРОФИЛИМА 68
АКТИВНОСТ 4 : ПРОВЕРА ФУНКЦИОНИСАЊА ПОКРЕТНИХ ПРОФИЛА 71
АКТИВНОСТ 5 : ПРЕГЛЕД ДОМЕНСКИХ ПОЛИСА 72
АКТИВНОСТ 6 : КРЕИРАЊЕ ЛОКАЛНЕ ПОЛИСЕ 74
АКТИВНОСТ 7 : ПРОВЕРА ФУНКЦИОНИСАЊА ГРУПНИХ ПОЛИСА 77
5. АНАЛИЗА МРЕЖНИХ РЕФЕРЕНТНИХ МОДЕЛА................................................................................. 79
5.1 УВОД 79
5.2 СЛОЈЕВИТА АРХИТЕКТУРА 79
5.3 OSI РЕФЕРЕНТНИ МОДЕЛ И TCP/IP РЕФЕРЕНТНИ МОДЕЛ 80
5.4 КОМУНИКАЦИЈА ИЗМЕЂУ СЛОЈЕВА НА РАЗЛИЧИТИМ РАЧУНАРИМА 82
5.5 ИНТЕРФЕЈС ИЗМЕЂУ СЛОЈЕВА НА ИСТОМ РАЧУНАРУ 82
ВЕЖБЕ .......................................................................................................................................................... 83
АКТИВНОСТ 1: АНАЛИЗА МРЕЖНОГ САОБРАЋАЈА 83
АКТИВНОСТ 2: ПОВЕЗИВАЊЕ РАЧУНАРА НА МРЕЖУ 86
АКТИВНОСТ 3: КОНФИГУРИСАЊЕ IP АДРЕСЕ 88
АКТИВНОСТ 4: ПРОВЕРА IP АДРЕСА 89
АКТИВНОСТ 5: ПРОВЕРА ФУНКЦИОНИСАЊА IP ПРОТОКОЛА 90
АКТИВНОСТ 6: ARP ТАБЕЛА 90
АКТИВНОСТ 7: СНИМАЊЕ ARP САОБРАЋАЈА 92
6. IP АДРЕСИРАЊЕ .................................................................................................................................... 95
6.1 УВОД 95
6.2 IP АДРЕСЕ 96
6.3 ПРЕТВАРАЊЕ БИНАРНОГ ОКТЕТА У ДЕЦИМАЛНИ ОБЛИК 97
6.4 ПРЕТВАРАЊЕ ИЗ ДЕЦИМАЛНОГ У БИНАРНИ ОБЛИК 98
6.5 МАСКА ПОДМРЕЖЕ 99
6.6 КЛАСЕ АДРЕСА 100
6.7 ПОСЕБНИ СЛУЧАЈЕВИ АДРЕСА 101
6.8 ПОДМРЕЖАВАЊЕ 101
6.9 ПОСТУПАК ПОДМРЕЖАВАЊА 102
ВЕЖБЕ ........................................................................................................................................................ 105
АКТИВНОСТ 1: ПРЕТВАРАЊЕ ИЗ БИНАРНОГ У ДЕЦИМАЛНИ ОБЛИК 105
АКТИВНОСТ 2: ПРЕТВАРАЊЕ ИЗ ДЕЦИМАЛНОГ У БИНАРНИ ОБЛИК 105
АКТИВНОСТ 3: МАСКА ПОДМРЕЖЕ 105
АКТИВНОСТ 4: ПОДМРЕЖАВАЊЕ 106
7. КОНФИГУРАЦИЈА ХОСТОВА IP ПАРАМЕТРИМА И УСМЕРАВАЊЕ ПАКЕТА НА МРЕЖНОМ
СЛОЈУ ......................................................................................................................................................... 109
7.1 УВОД 109
7.2 СТАТИЧКА КОНФИГУРАЦИЈА IP ПАРАМЕТАРА 109
7.3 ДИНАМИЧКА КОНФИГУРАЦИЈА IP ПАРАМЕТАРА 109
7.4 УСМЕРАВАЊЕ (РУТИРАЊЕ) ПОДАТАКА НА МРЕЖНОМ СЛОЈУ 111
ОДРЕЂИВАЊЕ НАЈБОЉЕ ПУТАЊЕ 111
ВЕЖБЕ ........................................................................................................................................................ 115
АКТИВНОСТ 1 : ИНСТАЛАЦИЈА DHCP СЕРВИСА 115
АКТИВНОСТ 2 : КОНФИГУРАЦИЈА DHCP СЕРВЕРА 117
АКТИВНОСТ 3 : ПРОВЕРА РАДА DHCP СЕРВЕРА (WINDOWS XP) 120
8. ТРАНСПОРТНИ СЛОЈ TCP/IP СКУПА ПРОТОКОЛА ......................................................................... 123

8.1 УВОД 123
TCP ПРОТОКОЛ 123
8.2 БРОЈЕВИ ПОРТОВА 124
8.3 БРОЈЕВИ ПОРТОВА ЗА СЕРВЕРСКЕ АПЛИКАЦИЈЕ 124
8.4 БРОЈЕВИ ПОРТОВА ЗА КЛИЈЕНТСКЕ АПЛИКАЦИЈЕ 125
ВЕЖБЕ ........................................................................................................................................................ 126
АКТИВНОСТ 1: ПРЕГЛЕД РЕГИСТРОВАНИХ ПОРТОВА 126
АЛТЕРНАТИВНИ НАЧИНИ ИЗБОРА ПОРТА 126
АКТИВНОСТ 2: ПРЕГЛЕД РЕГИСТРОВАНИХ RPC СЕРВИСА 127
SOCKETS-УТИЧНИЦЕ 127
АКТИВНОСТ 3: ПРЕГЛЕД УТИЧНИЦА НА ЛОКАЛНОМ РАЧУНАРУ 128
АКТИВНОСТ 4 : АНАЛИЗА СНИМЉЕНОГ САОБРАЋАЈА 128
9. РАЗРЕШАВАЊЕ ИМЕНА РАЧУНАРА ................................................................................................ 133
9.1 УВОД 133
9.2 ФАЈЛ „HOSTS“ 133
9.3 СИСТЕМ ЗА РАЗРЕШАВАЊЕ ИМЕНА ХОСТОВА DNS (ЕНГ. DOMAIN NAME SYSTEM) 134
9.3.1 ЛОГИЧКА СТРУКТУРА DNS СТАБЛА 134
9.3.2 ФИЗИЧКА ОРГАНИЗАЦИЈА СТАБЛА 135
9.3.3 DNS ЗОНА, DNS СЕРВЕРИ 136
9.3.4 ВРСТЕ УПИТА 136
9.3.5 КЕШИРАЊЕ ОДГОВОРА 138
9.3.6 ДИРЕКТНА И РЕВЕРЗНА ПРЕТРАГА 138
ВЕЖБЕ ........................................................................................................................................................ 139
АКТИВНОСТ 1: ПРЕГЛЕД HOSTS ФАЈЛА 139
АКТИВНОСТ 2: ПРЕТРАГА DNS СИСТЕМА 139
10. ЗАШТИТА РАЧУНАРСКИХ МРЕЖА ФИЛТРИРАЊЕМ ПАКЕТA И ПРЕВОЂЕЊЕ АДРЕСА ............... 143
10.1 РУТЕР КАО СИГУРНОСНИ УРЕЂАЈ 143
10.1.1 УВОД 143
10.1.2 ЛИСТЕ ЗА КОНТРОЛУ ПРИСТУПА 143
10.1.3 СМЕР САОБРАЋАЈА 143
10.1.4 ПРАЋЕЊЕ СТАЊА САОБРАЋАЈА 144
10.2 РУТЕР КАО УРЕЂАЈ ЗА ТРАНСЛИРАЊЕ МРЕЖНИХ АДРЕСА 145
10.2.1 УВОД 145
10.2.2 NAT РУТЕР – ТРАНСЛИРАЊЕ МРЕЖНИХ АДРЕСА 146
10.2.3 ПОСТУПАК ТРАНСЛИРАЊА 146
10.2.4 ТРАНСЛИРАЊЕ „1 НА 1“ И „ВИШЕ НА 1“ 147
10.2.5 ДОСТУПНОСТ СЕРВИСА У ЛОКАЛНОЈ МРЕЖИ 148
10.2.6 ПРОБЛЕМИ СА NAT-ОМ 149
ВЕЖБЕ ........................................................................................................................................................ 151
АКТИВНОСТ 1 : РЕАЛИЗАЦИЈА ПРЕВОЂЕЊА АДРЕСА И ФИЛТРИРАЊЕ ПАКЕТА 151
УВОД 151
ПОКРЕТАЊЕ PFSENSE РУТЕРА 152
ПОКРЕТАЊЕ КЛИЈЕНТСКЕ РАДНЕ СТАНИЦЕ, НАСТАВАК КОНФИГУРАЦИЈЕ РУТЕРА 152
ПРОВЕРА ФУНКЦИОНИСАЊА 153
СЛОЖЕНИЈА КОНФИГУРАЦИЈА 154
ДЕСТИНАЦИОНИ NAT 156
11. БЕЖИЧНЕ ЛОКАЛНЕ РАЧУНАРСКЕ МРЕЖЕ .................................................................................. 159
11.1 УВОД 159
11.2 ПОДЕЛА ОПСЕГА НА КАНАЛЕ 159
11.3 ПРЕГЛЕД БЕЖИЧНИХ МРЕЖНИХ ИНТЕРФЕЈСА ПОД ОПЕРАТИВНИМ СИСТЕМОМ LINUX 160
11.4 СЛОЈ ВЕЗЕ ПОДАТАКА 161
11.5 ВРСТЕ ПАКЕТА 161
11.5.1 КОНТРОЛНИ ПАКЕТИ 162
11.5.2 УПРАВЉАЧКИ ОКВИРИ ПОДАТАКА 162
Садржај
11.6 ПРЕГЛЕД СНИМКА САОБРАЋАЈА 162

11.7 УСПОСТАВА ВЕЗЕ СА БЕЖИЧНОМ МРЕЖОМ 166
11.8 ПРЕГЛЕД ЈАЧИНЕ СИГНАЛА 166
11.9 ПОДЕШАВАЊЕ БЕЖИЧНЕ ПРИСТУПНЕ ТАЧКЕ 169
12. СТРУКТУРНО КАБЛИРАЊЕ............................................................................................................... 173
12.1 СИСТЕМ СТРУКТУРНОГ КАБЛИРАЊА 173
12.2 ПОДСИСТЕМИ СТРУКТУРНОГ КАБЛИРАЊА 174
ХОРИЗОНТАЛНО КАБЛИРАЊЕ 175
ПЛАНИРАЊЕ СИСТЕМА ХОРИЗОНТАЛНОГ КАБЛИРАЊА 175
ТОПОЛОГИЈА ХОРИЗОНТАЛНОГ КАБЛИРАЊА 175
МАКСИМАЛНЕ ДУЖИНЕ ХОРИЗОНТАЛНОГ СЕГМЕНТА 176
ОКОСНИЦА МРЕЖЕ 177
ПЛАНИРАЊЕ ОКОСНИЦЕ МРЕЖЕ 177
ТОПОЛОГИЈА ОКОСНИЦЕ МРЕЖЕ 178
ТЕЛЕКОМУНИКАЦИОНА СОБА 179
ПРОСТОРИЈА СА ОПРЕМОМ 179
ДЕМАРКАЦИОНА ТАЧКА 180
12.3 КАБЛИРАЊЕ 180
ОДАБИР КАБЛА 180
БАКАРНИ КАБЛОВИ 181
НЕОКЛОПЉЕНЕ УПРЕДЕНЕ ПАРИЦЕ (UTP) 182
ОКЛОПЉЕНЕ УПРЕДЕНЕ ПАРИЦЕ (STP, F/UTP, S/FTP, SCTP, S/STP) 182
ЛИЦНАСТИ КАБЛОВИ И КАБЛОВИ СА ПУНИМ ПОПРЕЧНИМ ПРЕСЕКОМ 183
ИЗОЛАЦИОНИ ОМОТАЧ 184
КАТЕГОРИЈЕ БАКАРНИХ КАБЛОВА 184
ОПТИЧКИ КАБЛОВИ 186
ПРЕДНОСТИ ОПТИЧКИХ КАБЛОВА 187
ЈЕДНОУГАОНА И ВИШЕУГАОНА ОПТИЧКА ВЛАКНА 187
12.3 ИНСТАЛАЦИЈА МРЕЖНЕ ОПРЕМЕ 188
ПУТАЊЕ КАБЛОВА 188
ПУТАЊЕ КАБЛОВА ОКОСНИЦЕ МРЕЖЕ 189
ХОРИЗОНТАЛНЕ ПУТАЊЕ КАБЛОВА 190
ВРСТЕ ВОЂИЦА КАБЛОВА 190
САВЕТИ ЗА ИНСТАЛАЦИЈУ ПАСИВНЕ МРЕЖНЕ ОПРЕМЕ 191
ТЕСТИРАЊЕ КАБЛОВА 193
ТЕСТИРАЊЕ УПРЕДЕНИХ ПАРИЦА 194
ВЕЖБЕ ........................................................................................................................................................ 196
АКТИВНОСТ 1: ПРИМЕР ПРОРАЧУНА ПАСИВНЕ МРЕЖНЕ ОПРЕМЕ 196
ОДАБИР ТЕЛЕКОМУНИКАЦИОНИХ СОБА 197
ОДАБИР ВРСТЕ КАБЛОВА ЗА ХОРИЗОНТАЛНО И ВЕРТИКАЛНО КАБЛИРАЊЕ 199
ОДАБИР ВОЂИЦА КАБЛОВА 201
ОДАБИР ОРМАНА ЗА ОПРЕМУ 201
ОЗНАЧАВАЊЕ ПРИКЉУЧНИХ МЕСТА И КАБЛОВА 202
СПЕЦИФИКАЦИЈА ПОТЕБНЕ ПАСИВНЕ МРЕЖНЕ ОПРЕМЕ 202
13. АКТИВНА МРЕЖНА ОПРЕМА ............................................................................................................ 205
13. 1 ОБНАВЉИВАЧ СИГНАЛА (ЕНГ. REPEATER) 205
13.2 МЕДИЈА КОНВЕРТЕР 205
13.3 КОНЦЕНТРАТОР 206
13. 4 МРЕЖНИ АДАПТЕР 206
13.5 КОМУТАТОР 207
13.6 БЕЖИЧНЕ ПРИСТУПНЕ ТАЧКЕ 209
13.7 МРЕЖНЕ БАРИЈЕРЕ 210
13.8 РУТЕР 210
14. ЛИТЕРАТУРА ....................................................................................................................................... 213
I ВЕЖБА
ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ
Циљ вежбе је да се студенти упознају са софтвером за анализу мрежних протокола.

У вежби ће бити описане основне фукнције програма Wireshark, почев од процеса
хватања мрежног саобраћаја, до филтрирања и анализе истог.
I Вежба
1. Провера идентитета корисника у рачунарској мрежи
1.1 Процес аутентификације и ауторизације

Вишекориснички оперативни системи омогућавају да се подаци једног корисника заштите
од других корисника истог рачунара, као и да се глобална подешавања рачунара, која утичу
на све кориснике, заштите од неауторизованих измена. Овакви оперативни системи омогу-
ћавају контролу приступа ресурсима (подацима, сервисима, подешавањима) и могу разлико-
вати кориснике према нивоу приступа који имају.
Сви вишекориснички оперативни системи, међу које спада и Windows, захтевају да се ко-
рисник рачунара представи (потврди свој идентитет) уношењем корисничког имена и лозин-
ке, као и да корисник буде ауторизован ( са довољним нивоом приступа) како би могао да ко-
ристи ресурсе, податке и услуге које тај рачунар нуди.
Уколико је рачунар умрежен, аутентификација и ауторизација се захтевају не само од ко-
рисника који интерактивно користе рачунар, већ и од корисника који приступају сервисима и
подацима на рачунару преко мреже.
1.2 Модел радне групе

У мањим мрежама аутентификација и ауторизација одвијају се независно за сваки
рачунар. Не постоји централни ауторитет који проверава и ауторизује кориснике већ сваки
рачунар користи своју независну базу која служи за аутентификацију и ауторизацију
корисника. Сваки рачунар има свог администратора. Нека особа морала би да има онолико
корисничких имена и лозинки колико рачунара жели да користи, интерактивно или преко
мреже. Та корисничка имена и лозинке требало би да буду креирани од стране
администратора поменутих рачунара. На слици 1.1 приказан је изглед модела радне групе.
Слика 1.1 : Mодел радне групе
У Windows мрежама овакав модел назива се модел радне групе, и постиже се аутоматски
умрежавањем радних станица и сервера.
1
1.3 Модел домена

У већим мрежама пожељно је да постоји централизован систем за аутентификацију и
ауторизацију корисника читаве мреже, односно, да по питању администрације рачунари не
буду независни, већ део јединствене административне целине.
домен
контролер
Слика 1.2 : Модел домена
У Windows мрежама оваква административна целина корисника и рачунара назива се

Windows домен, а услугу централизоване аутентификације и ауторизације пружа посебно
конфигурисани сервер, који се назива домен контролер. На слици 1.2 приказан је изглед
рачунарске мреже где је употребљен модел домена.
Дакле, у моделу домена, један сервер се посебно конфигурише као домен контролер, ау-
торитет за аутентификацију и ауторизацију корисника у читавој мрежи, док се радне станице
и остали сервери конфигуришу као припадници административне целине – домена.
У оваквој мрежи администрација је централизована. Постоји један администраторски ко-
риснички налог који омогућава администрацију било ког рачунара који је део домена. Кори-
снику је довољно да поседује једно корисничко име са којим може да користи било који рачу-
нар и сервис у мрежи, интерактивно или преко мреже.
Домен контролер има важну улогу у оваквој мрежи, па је могуће конфигурисати неколико
сервера са оваквом улогом. Сви контролери домена међусобно синхронизују своју базу која
служи за аутентификацију и ауторизацију корисника, па је постојање више домен контолера
потпуно транспарентно за кориснике, и даље се ради о јединственој бази која је ради отпор-
ности на отказе копирана на неколико рачунара.
2
I Вежба
1.4 Директоријумски сервис

Директоријумски сервис је надградња идеје о централизованој администрацији. Идеја се
састоји у томе да се у централној бази не чувају само корисничка имена и лозинке, информа-
ције битне за сервис аутентификације, већ и све остале информације о кориснику, рачунару,
или неком другом сервису мреже. Ове остале информације могу бити битне другим сервиси-
ма у мрежи (нпр. сервис електронске поште, сервис за удаљени приступ, нека посебно на-
прављена апликација и сл.). На овај начин, централизована база служи као глобални име-
нички сервис за мрежу, у коме се налазе готово све информације потребне како би корисни-
ци могли да користе рачунаре, сервисе и апликације у мрежи.
Директоријумски сервис омогућава стандардан начин за претрагу похрањених информа-
ција, како корисницима тако и разнородним сервисима у мрежи. Корисници могу да пронађу
информације о ресурсима који их интересују (на пример, адресу електронске поште колеге,
доступан мрежни штампач и сл.), сервиси у мрежи могу пронаћи информације битне за соп-
ствено функционисање (удаљени приступ: да ли је корисник који покушава модемски приступ
ауторизован за тако нешто, сервер електронске поште: ко су чланови дописне групе, и сл.).
Администратор мреже има централно место за администрацију не само корисничких
имена и лозинки, већ и свих сервиса и апликација у мрежи који су интегрисани са директори-
јумским сервисом.
1.5 Протокол за приступ директоријуму LDAP

Уобичајени модел података за директоријумски сервис, као и протокол за приступ
директоријумском сервису назива се LDAP (енг. Lightweight Directory Access Protocol).
LDAP директоријумска база је хијерархијска база у облику стабла. Стабло се састоји од о-
бјеката (directory entries) који представљају објекте у мрежи (кориснике, рачунаре и сл.).
Објекти имају своје атрибуте-својства (име, адреса ел.поште, дозволе и сл.) који предста-
вљају важне информације.
Хијерархијска структура LDAP стабла подсећа на структуру система фајлова на диску:
уместо фолдера постоје „организационе јединице“, објекти који садрже друге објекте. Уместо
фајлова у директоријуму се налазе објекти који представљају кориснике, рачунаре и друге
објекте. Ови објекти имају своје атрибуте који их описују.
1.6 Активни директоријум

Активни директоријум је комерцијални назив за директоријумски сервис за Windows мре-
же. У великим Windows мрежама рачунари су део домена – административне целине. Поред
тога што омогућава централизовану аутентификацију корисника Windows домен представља
и директоријумски сервис, у коме су корисници, рачунари и други објекти логички организова-
ни у хијерархију организационих јединица („фолдера“). Ово омогућава централизовану адми-
нистрацију у Windows мрежи.
3
Слика 1.3 : Хијерархија организационих јединица
Корисник који жели да користи рачунаре и сервисе у оваквој мрежи мора да има корисни-
чки налог у активном директоријуму. Са само једним налогом овај корисник може да користи
све рачунаре у домену као и све сервисе који су интегрисани са активним директоријумом.
Дакле, унутар Windows домена, административне целине, постоји хијерархија објеката
(корисници, рачунари, и сл.) који имају своје атрибуте и представљају кориснике и ресурсе у
мрежи. Уколико је Windows мрежа веома велика, ради лакше администрације могуће је на-
правити и више домена, који се такође хијерархијски организују у стабло Активног
директоријума. Уколико је и оваква организација премала за потребе мреже, могуће је
направити шуму Активног директоријума, која се састоји од неколико стабала Активног
директоријума. На слици 1.3 приказан је пример организације једног Активног директоријума,
са истакнутом хијерархијом.
4
I Вежба
Вежбе
Активност 1 : Инсталација Активног директоријута
Активни директоријум се инсталира тако што један Windows сервер конфигуришемо као
домен контролер. Будући домен контролер мора да испуњава одговарајуће предуслове: сам
сервер мора да има статички конфигурисану IP адресу, сервер мора да има NTFS систем
фајлова на диску. Осим тога у мрежи мора да постоји DNS систем за разрешавање имена. У
Windows мрежама, потреба за DNS сервером најчешће се решава тако што се DNS сервис
инсталира на самом домен контролеру током инсталације Активног директоријума.
Подешавање статичке IP адресе:

Изабрати Start->Control Panel->Network and Sharing Connection, а затим са леве стране Manage
Network Connection (слика 1.4). У новом прозору биће приказани сви доступни интерфејси. Десним
тастером миша притиснути на Local Area Connection и изабрати опцију Properties (слика 1.5).
Слика 1.4: Параметри повезивања
Слика 1.5 : Својства мрежног адаптера
5
У својствима мрежног адаптера изабрати Internet protocol (TCP/IP) а затим тастер

Properties. Овај адаптер је до сада адресу добијао аутоматски. Пре инсталације Активног
директоријума подесићемо да сервер има статичка подешавања када је у питању мрежна
адреса (слика 1.6):
1. IP адреса: 192.168.1.10
2. маска подмреже: 255.255.255.0
3. подразумевани мрежни пролаз (default gateway): тренутно не попуњавамо
4. адреса DNS сервера: унећемо адресу сервера, 192.168.1.10, јер ћемо током
инсталације Активног директоријума инсталирати и DNS сервис на серверу
Слика 1.6: Подешавање статичке адресе
Провера система фајлова

Како би могли инсталирати активни директоријум неопходно је да системска партиција
поседује NTFS систем фајлова. Проверу да ли је услов испуњен можемо извршити кроз
анализу својстава партиције и то тако што ћемо отворити Computer из Start менија, уочити
диск C:, притиснути десним тастером миша и изабрати опцију Properties. Уочити тип система
фајлова на диску C:. За инсталацију Активног директоријума неопходно је да се користи
NTFS систем фајлова (слика 1.7), који је и подразумеван на Windows оперативном систему.
Притиснути на дугме ОК.
6
I Вежба
Слика 1.7 : Систем фајлова на диску C:
Промена имена серверa

Приликом инсталације сервера чаробњак инсистира на дефинисању имена сервера. Име
сервера је од велике важности јер се често у раду у мрежи референцирамо на то име (како
администратори тако и корисници). Проверу имена рачунара из фамилије Windows можемо
извршити на више начина од којих је један преко командне линије и то отварањем Start ->
Run -> cmd, а затим куцањем команде hostname (слика 1.8).
Слика 1.8 : Провера имена сервера
Име сервера променићемо у serverXY при чему XY треба заменити бројем радне станице
за којом студент седи (нпр. ако је радна станица РС79, онда ће име домена гласити
lab79.edu.rs). Како би променили име отворићемо Start мени, па затим десним кликом миша
изабрати Computer и у оквиру новог контекстног менија ставку Properties. У новоотвореном
прозору пронаћи ћемо одељак "Computer name, domain and workgroup settings" у оквиру кога
треба кликнути на линк Change Settings (слика 1.9). Појавиће се прозор у коме се врше
наведена подешавања. У оквиру картице Computer Name кликнути на дугме Change и у
новоотвореном прозору у делу Computer Name дефинисати наведено име.
7
Слика 1.9 : Промена имена сервера
Пoчетак инсталације Активног директоријума

1. Инсталацију Активног директоријума у Windows Server 2008 покрећемо командом
dcpromo (Start -> Run -> dcpromo) Овом командом се стартује чаробњак који ће нас
провести кроз подешавања параметара домена који креирамо и самог Активног
директоријума (слика 1.10).
8
I Вежба
Слика 1.10 : Покретање чаробњака за инсталацију Активног директоријума
2. Прва одлука коју морамо донети је та да ли је ово први домен који правимо или домен
који ће бити придружен постојећој шуми домена. Како не постоји шума нити иједан
домен, бирамо опцију "Create a new domain in a new forest" (слика 1.11).
Слика 1.11 : Избор између додавања новог домена постојећој шуми и

креирања нове шуме и новог домена
9
3. Следећи корак је избор потпуно квалификованог имена домена (FQDN). Овде је

неопходно обратити пажњу приликом избора. У случају да будући домен мора бити
доступан корисницима са Интернета, онда је неопходно прво регистровати име домена у
глобалном DNS систему (посредством даваоца интернет услуге). Ако правимо домен
искључиво за интерну употребу, онда се овде може ставити име по избору. У нашем
случају домен је за интерну употребу и имаће име labXY.edu.rs, где је XY потребно
заменити са бројем радне станице за којом студент седи (нпр. ако је радна станица
РС79, онда ће име домена гласити lab79.edu.rs) (слика 1.12). Кликом на дугме Next
чаробњак ће прво проверити да ли случајно постоји домен са изабраним именом, како
се не би десила колизија са именима.
Слика 1.12 : Избор потпуно квалификованог имена домена
4. Следећи корак је избор нивоа функционалности новокреиране шуме. Како постоје три
верзије Windows Servera, а самим тим и различите функције које они нуде (Windows
Server 2008 поседује функције које не поседују Windows Server 2000 и 2003), неопходно
је нагласити који ниво функционалности желимо да применимо. Ово подешавање је од
суштинског значаја у смислу компатибилности са ранијим верзијама Windows Servera.
Ако у мрежи постоји Windows Server 2000 или 2003 који имају улогу домен контролера,
онда је неопходно нагласити овом Windows Serveru да снизи ниво функционалности
како би се прилагодио постојећем окружењу. Пошто је ово први домен контролер кога
подижемо ставићемо ниво функционалности шуме на ниво Windows Server 2003 (Слика
1.13). Приликом овог избора неопходна је велика опрезност, јер се ниво
функционалности не може накнадно снизити.
10
I Вежба
Слика 1.13 : Избор нивоа функционалности шуме
5. У следећем кораку неопходно је навести који функционални ниво треба да има домен
који креирамо (слика 1.14).
Слика 1.14 : Избор функционалног нивоа домена
6. Како би могао да настави са креирањем домена чаробњак проверава да ли је наведени

DNS сервер оперативан, јер у њега мора да убаци записе који ће клијентима указати ко
пружа услугу аутентификације корисника. У подешавањима мрежних параметара навели
смо да је овај сервер сам себи DNS сервер. Чаробњак провером утврђује да DNS сервис
још није инсталиран и даје нам опцију да га сам аутоматски инсталира и конфигурише
што и прихватамо (слика 1.15). Кликом на дугме Next чаробњак ће нас упозорити да не
постоји креирана DNS зона labXY.edu.rs. Избором одговора "Yes" чаробњак ће сам
направити недостајућу зону и наставити са инсталацијом.
11
Слика 1.15 : Избор додатних улога које ће имати контролер домена
7. Администратор је у могућности да изабере где ће бити креирана база података коју

користи Активни директоријум, као и дељени директоријум који ће бити коришћен у
комуникацији са другим домен контролерима. У случају да је на располагању
складиштни простор високих перформанси, високе редундантности и безбедности, база
података се може сместити на исти. У нашем случају остављамо подразумевана
подешавања која се тичу системских фајлова Активног директоријума (слика 1.16).
12
I Вежба
Слика 1.16 : Избор локације где ће бити смештени системски фајлови

Активног директоријума
8. Како је домен контролер централизована тачка преко које се врши администрација

целог домена, он представља и критичну компоненту. Добра администрација
подразумева редовно прављење резервне копије Активног директоријума, која ће бити
искоришћена у случају отказивања рада домен контролера. У кратком временском року
можемо подићи нови домен контролер. Пошто је могућност враћања резервне копије у
функционално стање јако велики безбедносни ризик (нападач може доћи до копије,
изменити је и поставити на домен контролер), уводи се тзв. Restore Mode лозинка која
ће бити тражена да се унесе приликом рестаурације резервне копије Активног
директоријума. Ова лозинка мора припадати групи сигурних лозинки (мора да поседује
бар 3 групе карактера од укупно 4, и да буде дужине минимум 8 карактера) (слика 1.17).
Препорука је да ова лозинка нема сличности са администраторском лозинком, како се
не би десило да компромитацијом администраторског налога нападач има и шифру за
рестаурацију Активног директоријума. За потребе вежби ставићемо да је лозинка
"Password2". Неопходно је напоменути да се у реалном систему мора користити
сложенија и не тако очигледна лозинка.
13
Слика 1.17 : Дефинисање лозинке за рестаурацију резервне копије

Активног директоријума
9. По завршетку подешавања чаробњак даје преглед изабраних параметара, пре него што
започне са инсталацијом (слика 1.18). Инсталација Активног директоријума може да
траје у распону од пар минута до пар десетина минута, у зависности од перформанси
сервера (слика 1.19), након чега је неопходно рестартовати сервер.
Слика 1.18 : Преглед изабраних подешавања пре почетка

инсталације Активног директоријума
14
I Вежба
Слика 1.19 : Процес инсталације Активног директоријума
Активност 2 : Покретање алатке за администрацију Активног

директоријума
Покренути: Start->Administrative Tools->Active Directory Users and Computers (слика 1.20).
Ово је алатка за администрацију корисничких налога у домену.
Слика 1.20: Алатка за администрацију Активног директоријума
15
Слика 1.21 : Изглед инсталираног Активног директоријума
1. Уколико притиснемо на + поред иконице која представља наш домен, можемо видети хи-
јерархију организационих јединица („фолдера“) у којима се налазе објекти Активног
директоријума. Приказане организационе јединице су аутоматски креиране како би се ор-
ганизовали аутоматски креирани објекти. Од администратора домена се очекује да
креира сопствену хијерархију организационих јединица. У левом пољу треба одабрати
организациону јединицу Users, како би нам се у десном пољу приказао њен садржај. Ово
је подразумевана (не и обавезна) организациона јединица за корисничке налоге. У току
вежби кориснички налози биће креирани у неким другим организационим јединицама.
2. У десном пољу уочити корисника administrator. То је аутоматски креиран објекат који
представља администратора домена. Овај објекат, као и сви остали објекти Активног
директоријума има своје атрибуте. Можемо их видети двоструким кликом на иконицу
објекта „administrator“.
3. Погледати, без измена, атрибуте које има корисник администратор. Атрибуте истог име-
на може да има сваки објекат који представља корисника. Затворитити прозор са атри-
бутима корисника.
4. У левом пољу изабрати организациону јединицу „Domain Controlers“. У десном пољу дво-
струким кликом изабрати објекат који представља домен контролер. Погледати својства
овог објекта.
16
I Вежба
Активност 3 : Креирање објеката Активног директоријума;

организациона јединица
Активни директоријум је хијерархијска база, што значи да сваки објекат има своју локацију у
хијерархији, место где се налази. Пре него што креирамо неки објекат, најпре треба изабрати
локацију где објекат желимо да креирамо.
У овој активности креираћемо објекат организациона јединица. Креираћемо сопствену
хијерархију организационих јединица унутар које ћемо креирати кориснике Активног
директоријума.
Претпоставићемо да креирамо хијерархију организационих јединица за предузеће које има
две локације: Београд и Нови Сад. Даље, претпоставићемо да на свакој локацији постоје о-
дељења: „Развој“, „Маркетинг“ и „Администрација“ (слика 1.22).
Слика 1.22 : Хијерархијска организација предузећа
Направићемо хијерархију организационих јединица која одсликава овакво стање, како бисмо
кориснике које касније креирамо логички организовали:
1. У левом пољу алатке Active Directory Users and Computers изабрати иконицу која
представља домен, притиснути десни тастер миша и изабрати New->Organizational
Unit (слика 1.23):
17
Слика 1.23: Креирање организационе јединице
2. У прозор за креирање организационе једнице треба унети назив. У току вежби унети
„Београд“, а затим притиснути на OK. Оставити обележену опцију "Protect container
from accidental deleteion" (слика 1.24).
Слика 1.24: Задавање имена нове организационе јединице
18
I Вежба
3. У следећем кораку унутар организационе јединице „Београд“ креираћемо нову орга-

низациону јединицу под именом Развој. Најпре у левом пољу изабрати организацио-
ну јединицу „Београд“, притиснути десни тастер миша и изабрати New-> Organizatio-
nal Unit. Унети „Развој“ као име нове организационе јединице и притиснути ОК.
4. На исти начин унутар организационе јединице „Београд“ креирати још две организа-
ционе јединице: „Администрација“ и „Маркетинг“.
5. У левом пољу алатке Active Directory Users and Computers, изабрати иконицу која
представља домен, притиснути десни тастер миша и изабрати New->Organizational
Unit. Креирати организациону јединицу „Нови Сад“.
6. У левом пољу изабрати организациону јединицу „Нови Сад“, притиснути десни тастер
миша и изабрати New-> Organizational Unit. Унети „Развој“ као име нове организаци-
оне јединице и притиснути ОК.
7. На исти начин унутар организационе јединице „Нови Сад“ креирати још две организа-
ционе јединице: „Администрација“ и „Маркетинг“.
Активност 4 : Креирање корисничких налога

Да би неки корисник могао да се пријави на рачунар који је у домену, мора имати домен-
ски кориснички налог. Ови налози креирају се алатком.
Објекти који представљају кориснике креирају се унутар одговарајућих организационих је-
диница, али се касније, уколико је потребно, могу премештати у друге организационе једини-
це. Сваком корисничком налогу додељенa је вредност за сигурносни идентификатор Security
Identifier -SID. Оперативни систем кориснике разликује по овој вредности а не по корисничком
имену. То значи да кориснички налог можемо безбедно да преименујемо, јер се тиме не
мења SID, оперативни систем ће препознати да се ради о старом кориснику са новим име-
ном.
Кориснички налог може се и копирати. Тиме се креира нови налог, при чему се већина по-
дешавања ископира из подешавања старог налога.
1. У левом пољу алатке Active Directory Users and Computers отворити организациону је-
диницу „Београд“. Изабрати организациону јединицу „Развој“, притиснути десни тас-
тер миша и изабрати опцију New->User (слика 1.25):
Слика 1.25 : Креирање налога за корисника
19
2. У новом дијалог прозору треба унети име, презиме као и корисничко име за овог ко-
рисника. У овом примеру креираћемо налог за особу која се зове Весна Јанковић, са
корисничким именом „vjankovic“ (слика 1.26).
Слика 1.26 : Атрибути корисничког налога
Корисничко име (vjankovic@labXY.edu.rs) мора бити једиствено у домену и заједно са су-

фиксом (@labXY.edu.rs) може бити дугачко 254 карактера. За пријављивање са старијих опе-
ративних система, као и због навике корисника да користе таква имена, као атрибут корисни-
ка постоји и кратко (pre-Windows 2000) корисничко име које може бити дугачко до 20 каракте-
ра. Најбоље је када су оба имена иста. Након ових подешавања, притиснути на тастер Next.
3. У новом дијалог прозору треба унети лозинку за корисника. Због веће безбедности,
захтева се да лозинке буду сложене, односно да се састоје од најмање 8 карактера,
међу којима треба да се налазе бар 3 елемента из 4 скупа: мала слова, велика
слова, цифре и специјални знаци (нпр.*,?). У оквиру вежби унећемо као лозинку
Password2 , јер овај низ карактера има и мала и велика слова као и цифре. Исту
вредност треба и потврдити у пољу Confirm Password.
20
I Вежба
Слика 1.27 : Подешавање иницијалне лозинке
У подразумеваном стању изабрана је опција „User must change password at next

login“, што значи да ће корисник само за прво пријављивање користити задату
лозинку, а тада ће бити приморан да је промени у неку другу, само њему познату.
Ово је користан механизам, али у току вежби нећемо га користити, па стога ову
опцију треба искључити.
У подразумеваном стању лозинке корисника застаревају, и корисници су приморани
да их мењају свака 42 дана. Опција Password Never Expires овај налог изузима од
таквог понашања. Ово се користи за посебне налоге, као што су налози под којима
раде серверске апликације. Опција User Cannot Change Password користи се уколико
овај налог користи више особа, и забрањује кориснику да промени лозинку. Пошто
смо унели лозинку и искључили опцију „User must change password at nex login“, при-
тискамо на тастер Next а затим Finish и тиме креирамо нови налог.
4. У десном пољу уочити новокреирани налог и двоструким кликом по његовој иконици
погледати атрибуте корисничког налога. Неки атрибути се користе за посебне
сервисе који би могли да постоје у мрежи. Већина атрибута се користи за
документовање ресурса. На пример у картици „General“ постоји атрибут „Description“,
који ћемо попунити како бисмо олакшали претрагу Активног директоријума. За овај
кориснички налог атрибут „Description“ треба да буде „Програмер“.
21
Слика 1.28 : Атрибути корисника
5. На исти начин у организационој јединици Београд/Маркетинг креирати кориснички на-

лог за особу која се зове Јанко Петровић, са корисничким именом jpetrovic, лозинком
Password2, и описом (атрибут „Description“) „Дизајнер“.
6. На исти начин у организационој јединици Београд/Администрација креирати корисни-
чки налог за особу која се зове Марко Јанковић, са корисничким именом mjankovic,
лозинком Password2, и описом (атрибут „Description“) „Службеник“.
7. Креираћемо и два налога у организационим јединицама које представљају одељења
у Новом Саду. У организационој јединици Нови Сад/Развој креирати налог за особу
која се зове Звонко Петровић, са корисничким именом zpetrovic, лозинком Password2
и описом „Програмер“.
8. У организационој јединици Нови Сад/Маркетинг креирати налог за особу која се зове
Драгана Матић, са корисничким именом dmatic, лозинком Password2 и описом „Дизај-
нер“.
22
I Вежба
Активност 5 : Измена атрибута корисничких налога

Уочити корисника Марка Јанковића у организационој јединици Београд/Администрација, и
двоструким кликом погледати његове атрибуте. Затим треба изабрати картицу „Account“.
Уочити да се у овој картици налазе атрибути који се тичу лозинке. Ове атрибуте подешавали
смо током креирања налога.
У наставку вежбе подесићемо дозвољено време за пријављивање. Како би се смањила
могућност злоупотребе туђих налога (у време у коме дати корисник сигурно није присутан),
може се ограничити време у коме је дозвољено употребљавати налог овог корисника.
Треба притиснути на тастер „Logon Hours...“ (слике 1.29 и 1.30).
Слика 1.29 : Подешавање временског опсега када је пријављивање могуће
Слика 1.30 : Дозвољено време употребе налога
23
Нови дијалог прозор представља матрицу: врсте су дани у недељи, колоне су сати у дану.
Ћелија плаве боје означава да је пријављивање у том временском периоду дозвољено.
Најпре ћемо изабрати опцију „Logon Denied“ (са десне стране), а затим селектовати само
ћелије које представљају период од понедељка до петка, од 8:00 до 16:00, и затим изабрати
опцију „Logon Permited“. Затим притиснути на OK, па затим још једном на ОК.
Активност 6 : Копирање и премештање корисничких налога

Копирање корисничких налога користи се како би се креирао нови кориснички налог који
има иста подешавања као неки већ раније креиран налог. У овом примеру креираћемо налог
у организационој јединици Нови Сад/Администрација, који има иста подешавања за време
пријављивања као већ подешен налог за Марка Јанковића.
1. Уочити кориснички налог за Марка Јанковића, притиснути десним тастером миша по
његовој иконици и изабрати опцију „Copy“.
2. Отвара се дијалог прозор „Copy Object“, који изгледа исто као и дијалог прозор који се
користи за креирање корисничких налога. У овом примеру потребно је унети Петар
Марковић као име и презиме и pmarkovic као корисничко име. Притиснути на тастер
Next.
3. У новом дијалог прозору треба унети лозинку за нови налог који ће настати копира-
њем постојећег (лозинка се не копира). Као лозинку унети Password2, и ту вредност и
потврдити. Уочити да овај пут није изабрана опција „User must change password at
next login“. Вредност овог атрибута је ископирана из постојећег налога. Притиснути на
тастер Next, а затим на Finish.
4. Двоструким кликом по иконици налога за Петра Марковића како бисмо погледали ње-
гове атрибуте. Изабрати картицу „Account“, а затим „Logon Hours..“. Уочити да је
вредност овог атрибута ископирана из оригиналног објекта. Исто важи и за неке
друге важне атрибуте које до сада нисмо користили. Копирање постојећег
корисничког налога је брз начин за креирање прилагођеног корисничког налога.
5. Изабрати картицу „General“. Уочити да се атрибут „Description“ није ископирао. Нак-
надно ћемо унети опис „Службеник“. Притиснути на тастер ОК.
6. Сада је налог за корисника Петра Марковића креиран, али се не налази на правом
месту. Налог за овог корисника треба преместити у организациону јединицу Нови
Сад/Администрација. Притиснути десним тастером миша по иконици овог корисника
и изабрати опцију „Move“. У новом дијалог прозору изабрати долазну организациону
јединицу (Нови Сад, Администрација) и притиснути на тастер ОК. Уколико су и пола-
зна и долазна организациона јединица у видном пољу операција премештања може
се извршити и једноставним превлачењем објекта у нову организациону јединицу.
24
I Вежба
Активност 7 : Учлањивање радне станице у домен

У наставку вежбе потребно је клијентску радну станицу (Windows XP) учланити у
новокреирани домен. Претходно је неопходно подесити IP адресу и остале параметре како
би клијент и сервер могли несметано да комуницирају преко мреже. До подешавања на
радној станици долазимо на сличан начин као и на серверу (Start -> Control Panel -> Network
Connections-> Local Area Connection, Properties, Internet Protocol (TCP/IP), Properties).
Подешавања на клијенту треба да буду:
1. IP адреса: 192.168.1.100
2. Маска подмреже: 255.255.255.0
3. Default Gateway: остављамо непопуњено
4. Preferred DNS server: 192.168.1.10
5. Alternate DNS server: остављамо непопуњено.
6. Притиснемо на тастер ОК
Проверићемо доступност сервера са стране клијента. Отворићемо командни прозор: Start
-> Run, укуцати cmd а затим притиснути OK. У командном прозору унети (xy треба заменити
са бројем радне станице):
ping serverxy.labxy.edu.rs
Уколико добијемо одговор од сервера можемо сматрати да мрежа између сервера и
клијента функционише, и можемо прећи на следећи корак.
Неопходно је променити и име рачунара у klijentXY на следећи начин:
1. На клијентској радној станици отворити Start -> Control Panel -> System.
2. Изабрати картицу „Computer Name“, притиснути на тастер „Change“
3. У секцији „Computer name“ (горе), уписати klijentXY (xy треба заменити бројем
радне станице. Притиснути на тастер ОК.
4. Рестартовати рачунар.
Када се рачунар рестартује неопходно га је придружити у домен који смо претходно
креирали. Придруживањем станице домену успостављамо релацију поверења између радне
станице и домен контролера чиме постижемо да радна станица прихвата кориснике који
имају доменске корисничке налоге. Придруживање домену обавља се на следећи начин:
2. Изабрати картицу „Computer Name“, притиснути на тастер „Change“
3. У секцији „Member of“ (доле) изабрати „Domain“, и у одговарајућем пољу унети име
домена у који учлањујемо радну станицу (xy треба заменити бројем радне станице):
„labxy.edu.rs“. Притиснути на тастер ОК.
4. Учлањивањем станице у домен се у активном директоријуму креира налог за рачунар.
За ово је потребно имати одговарајуће привилегије, налог за администратора домена. У
новом дијалог прозору треба унети „Administrator“ као корисничко име, и „Password“ као
лозинку, јер је то налог за администратора домена. Притиснути на тастер OK.
5. После добијања поздравног дијалог прозора, притиснути на OK и прихватити поновно
покретање рачунара.
25
Када се клијентска станица покрене треба уочити да се у прозору за пријаву, у пољу

„Logon To“ може изабрати пријављивање на локални рачунар или домен. Потребно је
изабрати пријављивање на домен.
Проверићемо да ли је раније креирани доменски налог за Звонка Петровића
функционалан. У пољу „Username“ треба унети „zpetrovic“, у пољу „Password“ треба унети
„Password2“ и притиснути дугме OK.
У наставку вежбе треба проверити како се учлањивање радне станице одражава на
Активни директоријум. На серверу, у алатки Active Directory Users and Computer отворити
организациону јединицу „Computers“ и уочити иконицу која представља клијенску радну
станицу. Превлачењем преместити овај објекат у организациону јединицу Београд.
26
I Вежба
27
II ВЕЖБА
ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА И АДМИНИСТРАЦИЈА

ГРУПНИХ НАЛОГА
Циљ вежбе је да се студенти упознају са основним принципима администрације

Активног директоријума који укључују претрагу Активног директоријума, као и
администрацију корисничких и групних налога. У практичном делу вежбе биће
реализован један сценарио где треба организовати корисничке налоге у групе, а
групама доделити права у сврху дистрибуције права корисницима.
II Вежба
2. Претрага Активног директоријума и администрација групних

налога
2.1 Претрага Активног директоријума
Директоријумски сервиси садрже много више атрибута о корисницима и другим објектима
него што је минимално потребно за аутентикацију корисника. Неки од тих атрибута су нео-
пходни за специфичне сервисе у мрежи, док су други намењени за документовање објеката
који се чувају у директоријумској бази.
На пример, објекат корисник има атрибуте: опис, веб страница, поштанска адреса, канце-
ларија и слично. И ако ће аутентификација корисника функционисати чак и ако ови атрибути
нису попуњени, пожељно је неке од ових необавезних атрибута попуњавати, како би се обје-
кти могли пронаћи претрагом активног директоријума по неком атрибуту.
Када активни директоријум садржи десетак објеката претрага је обично излишна, али ка-
да се ради са активним директоријумом који садржи хиљаде објеката, претраживање (уместо
„тражења“ по организационим јединицама) обично је једини могући начин рада.
И обични корисници могу претраживати активни директоријум, али у овој вежби показа-
ћемо претрагу из алатке Active Directory Users and Computers. Познавање претраге Активног
директоријума биће од велике користи у процесу учлањавања корисничких налога у групе.
2.2 Групни налози

Поред налога за кориснике у току свакодневне администрације мреже веома много се ко-
ристе и групни налози. Групе представљају скуп корисничких налога и олакшавају админи-
страцију у ситуацијама када се право на употребу неког ресурса (дељеног фолдера, сервиса
и сл.) треба доделити већем броју корисника.
Слика 2.1 : Додељивање права приступа корисницима
Овакве задатке много је једноставније решити уколико су корисници органозовани у групе.

Тада се неко право додаје само једном, и то групи корисника. Тако додељено право могу да
користе сви корисници који су чланови групе.
29
Слика 2.7 : Додељивање права употребом група
У неком каснијем тренутку, уколико неки нови корисник треба да има исто право, довољно
га је учланити у групу која има потребна права.
2.2.1 Различите врсте група

Основна идеја употребе група даље је разрађена у оквиру администрације Активног дире-
кторијума. Активни директоријум познаје неколико врста група које се користе за различите
намене. Међу најважнијим типовима група поменућемо доменске локалне и глобалне групе.
Осим тога могуће је и тзв. угњежђавање група, односно, под одређеним условима група се
може учланити у другу групу. У Активном директоријуму постоје два типа група и то:
• сигурносне групе и
• дистрибуционе групе.
Дистрибуционе групе уско су повезане са системима за размену електронске поште и
сврха њиховог постојања је управо дистрибуција мејлова члановима групе.
Сигурносне групе чешће су коришћен тип у свакодневној администрацији јер се помоћу
њих организују корисници са циљем додељивања права корисницима. Сигурносне групе
даље се деле у зависности од области важења и могућим члановима. Дефинисана су три
различита типа сигурносних група и то :
• доменске локалне групе,
• глобалне групе и
• универзалне групе.
Да бисмо боље разумели разлике између различитих типова сигурносних група,
подсетимо се да Активни директоријум омогућава да се у великим мрежама креира читава
хијерархија домена – административних целина, у стабло активног директоријума. У таквим
мрежама могућа је ситуација у којој се кориснички налог налази у једном домену, група у
другом домену, а неки дељени ресурс у трећем домену.
Различити типови сигурносних група разликују се по области важења („да ли је групи из једног
домена могуће дати право над дељеним ресурсом у другом домену?“), као и по могућем чланству (
„да ли је у групу која се налази у једном домену могуће учланити корисника из другог домена?“).
Потпуни преглед области важења и могућег чланства за сва три типа сигурносних група дат је у
табели 2.1. Универзалне групе превазилазе оквир овог курса.
30
II Вежба
Област Могући чланови Могуће дозволе

важења групе односно
чланство
Универзална • Кориснички налози из било ког Било где у оквиру
група домена у оквиру шуме у шуме
оквиру које постоји дата
универзална група
• Глобалне групе из било ког

домена у оквиру шуме у
• Универзална група из било ког

домена у оквиру шуме у
Глобална • Кориснички налози из истог Било где у оквиру

група домена у коме се налази и шуме
дата глобална група
• Глобалне групе из истог

домена у коме се налази дата
глобална група
Доменска • Кориснички налози из било ког Само у оквиру

локална група домена домена у коме
постоји доменска
• Глобалне групе из било ког локална група
домена
• Универзалне групе из било ког

домена
• Доменске локалне групе из

домена у оквиру кога постоји
дата доменска локална група
Табела 2.1 : Преглед области важења и могућег чланства сигурносних група
2.2.2 Доменске локалне групе

Доменске локалне групе имају тај назив („локалне“) јер им је област важења локални до-
мен у коме су креиране. Дакле, није могуће доделити им право над ресурсом у другом доме-
ну. Иако су ограничене у овом погледу, нису ограничене у другом: могуће чланство. Ове гру-
пе могу имати чланове из другог домена:
31
Слика 2.3 : Важење и чланство локалних група
2.2.3 Глобалне групе

Други важан тип група јесу глобалне групе. Овај тип има тај назив („глобалне“) јер има так-
во важење. Могу им се доделити права („видљиве су“) и у другим доменима читавог Активног
директоријума („глобално су видљиве“). С друге стране овај тип група има ограничење по
питању чланства. У глобалне групе креиране у једном домену могуће је учланити само
кориснике који се налазе у истом домену.
Слика 2.4 : Важење и чланство глобалних група
2.2.4 Комбиновање доменских локалних и глобалних група

У свакодневној администрацији локалне и глобалне групе се комбинују, чиме се превази-
лазе ограничења која имају. За разумевање начина на који се ова два типа група могу комби-
новати, потребно је подсетити се да Активни директоријум омогућава угњежђавање група
(под одређеним условима). На пример, глобалне групе могу се учланити у локалне групе.
Ако се ради унутар само једног домена, могући су разни начини употребе група, али уре-
дан и препоручен начин употребе налаже да се глобалне и локалне групе користе за сасвим
различите намене.
32
II Вежба
2.2.5 Употреба глобалних група

Препоручује се да се глобалне групе користе искључиво за организовање корисника, пре-
ма функцији на послу, локацији или слично. На вежбама име глобалне групе увек ће асоци-
рати на тип корисника који су у њу учлањени, на пример: „Дизајнери“, „Програмери“, „Кори-
снициБеоград“ и слично. Препоручује се да се глобалним групама никада не додељују права
директно (него посредно, што ће касније бити показано).
Глобалне групе користе се за организовање корисника у домену и никада им се не
додељују права директно.
2.2.6 Употреба доменских локалних група

Препоручује се да се доменске локалне групе користе за додељивање права над неким
дељеним ресурсом. На вежбама, име локалне групе увек ће асоцирати на ресурс над којим
локална група има право. На пример: „ЛасерскиШтампач“, „ПројектнаДокументација“ и
слично. Препоручује се да се у доменске локалне групе никада не учлањују појединачни
корисници директно (већ посредно, што ће бити касније показано).
Доменске локалне групе користе се за додељивање права над неким ресурсом. У
доменске локалне групе никада се не учлањују појединачни корисници.
2.2.7 Учлањивање глобалних група у локалне

Комбиновање локалних и глобалних група постиже се учлањивањем глобалних група у
локалне.
Слика 2.5 : Комбиновање глобалних и локалних група
На пример, уколико сви корисници који раде као дизајнери треба да имају права да штам-
пају на дељеном мрежном штампачу, то се не ради тако што се корисници dmatic и кориснику
jpetrovic-у, сваком појединачно доделе права. Уместо тога, поступак би био следећи:
1. Сви корисници који раде као дизајнери треба да буду учлањени у глобалну групу „Ди-
зајнери“ („глобалне групе се користе да организују кориснике у домену према функци-
ји на послу“).
2. За потребе контроле приступа креира се локална група „Штампач“ и овој групи се до-
деле права над дељеним мрежним штампачем („локалне групе се користе за доде-
љивање права“).
3. Како би дизајнери могли да штампају, потребно је глобалну групу „Дизајнери“ учланити у
локалну групу „Штампач“.
33
Или на други начин објашњено:

Корисници се учлањују у глобалне групе; глобалне групе учлањују се у доменске
локалне групе; локалним групама додељују се права.
Примери предности оваквог начина рада били би:
1. Уколико се у неком каснијем тренутку појави нови корисник који ради као дизајнер
није потребно подсећати се која права над ресурсима би он требало да има. Довољ-
но је корисника учланити у одговарајућу групу, заједно са осталим корисницима тог
типа, па ће посредством чланства у групи и овај корисник имати сва права као и ње-
гове колеге.
2. Уколико се у неком каснијем тренутку појави потреба да нека додатна група корисни-
ка користи исти ресурс (на пример и програмери треба да штампају), није потребно
подсећати се која то права омогућавају корисницима да успешно користе ресурс. До-
вољно је и ту нову глобалну групу („Програмери“) учланити у локалну групу која има
довољна права.
3. На вежбама се ради у оквиру једног домена, али уколико би се радило у већој мрежи,
не би било проблема да „Дизајнери“ из једног домена користе штампач у другом до-
мену, јер локална група „Штампач“, у истом домену као и мрежни штампач, дозвоља-
ва чланове из других домена.
34
II Вежба
Вежба
Активност 1 : Претрага активног директоријума
Активни директоријум је хијерархијска база и претрага се врши од неког места у хијерар-
хији наниже. Корисник бира место почетка претраге тако што најпре селектује то место.
1. Покренути алатку Active Directory Users and Computers.
2. Притиснути десним кликом миша по иконици која представља домен (претрага
почиње с врха хијерархије) и изабрати опцију „Find“.
3. У новом дијалог-прозору, у пољу „Description“ унети реч „Programer“. Овим смо
навели да нас интересују корисници, контакти и групе које као атрибут опис
(„Description“) имају реч „Programer“.
4. Притиснути на дугме „Find“.
Слика 2.6 : Претрага по атрибуту
У пољу „Search Results“ могу се видети објекти који задовољавају критеријум.

Пронађене објекте можемо селектовати, притиснути десни клик миша и покренути
неку од акција које су доступне у менију.
5. Уочити које су акције са пронађеним објектима доступне. Уочити опцију „Add to
group...“. Приметити да се на овај начин пронађени корисници могу уврстити у групу.
У овом тренутку не треба покретати ниједну од понуђених акција.
Показаћемо претрагу на још једном примеру:
1. Покренути алатку Active Directory Users and Computers.
2. Притиснути десним кликом миша по иконици која представља организациону једини-
цу „Београд“ (претрага почиње од ове организационе јединице) и изабрати опцију
„Find“.
3. У новом дијалог-прозору оставити непопуњено поље „Description“ као и поље „Na-
35
me“. Овако можемо пронаћи све објекте у организационој јединици „Београд“, као и
организационим јединицама испод ње.
4. Кликнути на дугме „Find“.
5. Тако смо пронашли све кориснике у организационој јединици „Београд“ и ниже у хи-
јерархији. Уколико је то потребно могу се сви, или неки од њих, селектовати како би
се над њима извршила нека акција.
Активност 2 : Креирање група

У оквиру вежби креираћемо посебну организациону јединицу за смештај групних налога.
1. Отворити алатку „Active Directory Users and Computers“.
2. У левом пољу уочити иконицу која представља домен, притиснути десним кликом
миша и изабрати „New“ -> „Organizational Unit“.
3. Унети „Групе“ као назив нове организационе јединице и притиснути на „OK“.
У оквиру вежби претпоставићемо да негде у мрежи постоји дељени штампач, и да је по-
требно уредити права приступа над овим ресурсом. У овој активности самододељивање пра-
ва неће бити подешавано, већ самоорганизовање корисника у глобалне групе и учлањивање
глобалних група у одговарајуће локалне групе.
У циљу додељивања права креираћемо локалну групу „ColorLaser“, којој би биле додеље-
не дозволе (додела дозвола ради се касније).
1. У левом пољу уочити иконицу која представља организациону јединицу „Групе“, при-
тиснути десним кликом миша, и изабрати опцију „New“ -> „Group“.
2. У новом дијалог-прозору треба унети име групе: „ColorLaser“. Пошто креирамо локал-
ну групу, потребно је то и изабрати („Domain Local“) у секцији „Group Scope“. Све
групе које креирамо биће сигурносне групе ( „Security“), а не дистрибуционе групе.
Дијалог прозор се види на слици 2.7.
Слика 2.7 : Креирање локалне сигурносне групе
36
II Вежба
3. Притиснути на дугме „ОК“.

Креираћемо и једну глобалну групу како бисмо (касније) организовали све дизајнере у до-
мену.
4. У левом пољу уочити иконицу која представља организациону јединицу „Групе“,
десним кликом миша изабрати опцију „New“ -> „Group“.
5. У новом дијалог прозору треба унети име групе: „Дизајнери“. Пошто креирамо гло-
балну групу, потребно је то и изабрати („Global“) у секцији „Group Scope“.
Слика 2.8 : Креирање глобалне сигурносне групе

На овај начин креиране су једна локална и једна глобална група, које за сада нису повеза-
не. То ће бити учињено у следећим активностима.
Активност 3 : Учлањивање корисника у глобалне групе

Претрагом активног директоријума пронаћи ћемо све дизајнере и уврстити их у глобалну
групу „Дизајнери“. Претрагу почињемо од врха стабла.
1. У левом пољу уочити иконицу која представља домен, притиснути десним кликом ми-
ша и изабрати опцију „Find“.
2. У дијалогу за претрагу, у пољу „Description“, унети реч „Дизајнер“ (током креирања ко-
рисника, овако смо подесили овај атрибут).
3. Пронађене кориснике селектовати, притиснути десним кликом миша, и изабрати
опцију „Add to Group“.
4. У дијалогу „Select Group“ у пољу „Enter the Object Name to Select“ унети име групе у
коју учлањујемо кориснике. Унети „Дизајнери“.
37
Слика 2.9 : Учлањивање корисника у глобалну групу
5. Притиснути на дугме „ОК“, затворити дијалог за претрагу.
Активност 4 : Преглед чланова групе

1. Уочити у левом пољу организациону јединицу „Групе“, селектовати је левим кликом
миша тако да се у десном пољу прикаже њен садржај.
2. У десном пољу уочити глобалну групу „Дизајнери“, притиснути десним кликом миша,
а затим изабрати опцију „Properties“.
3. Изабрати картицу „Members“ (што значи чланови).
4. Уочити да су корисници чланови групе.
5. Уочити да постоји и дугме „Add“. Ово је још један начин за додавање корисника у гру-
пу.
6. Оставити отворен „Properties“ дијалог-прозор.
Активност 5 : Учлањивање глобалне групе у локалну доменску групу

Активност претпоставља да имате отворена својства („Properties“) за глобалну групу
„Дизајнери“.
Осим картице „Members“ (чланови ове групе), постоји и картица „Member Of“ ( сама
група је члан). Картица „Member Of“ приказује где је група учлањена и омогућава да ову гло-
балну групу учланимо у неку локалну.
1. Изабрати картицу „Member Of“.
2. Притиснути на дугме „Add“.
3. У „Select Groups“ дијалог прозору, у пољу „Enter the Object Name to Select“, унети име
локалне групе у коју учлањујемо ову глобалну групу. Унети „ColorLaser“.
38
II Вежба
Слика 2.10 : Учлањивање глобалне групе у локалну

На овај начин смо:
5. Кориснике који су дизајнери уврстили у глобалну групу „Дизајнери“;
6. Глобалну групу „Дизајнери“ уврстили у локалну групу „ColorLaser“;
7. Остаје још само да се локалној групи „ColorLaser“ доделе права (не ради се сада) па
би корисници Драгана Матић и Јанко Петровић могли да штампају.
Активност 6 : Организовање корисника у домену - глобалне групе

За потребе каснијих активности потребно је организовати кориснике у домену у одго-
варајуће глобалне групе. Најпре треба креирати глобалне групе. Глобалне групе треба
креирати у организационој јединици „Групе“.
• У организационој јединици „Групе“ креирати глобалну групу „Programeri“. Касније ће у
ову групу бити учлањени сви програмери.
• У организационој јединици „Групе“ креирати глобалну групу „Службеници“. Касније ће
у ову групу бити учлањени сви службеници.
• У организационој јединици „Групе“ креирати глобалну групу „БГКорисници“. Касније
ће у ову групу бити учлањени сви корисници из Београда.
• У организационој јединици „Групе“ креирати глобалну групу „НСКорисници“. Касније
ће у ову групу бити учлањени сви корисници из Новог Сада.
39
Активност 7 : Организовање корисника у домену - учлањивање

1. Претрагом активног директоријума пронаћи све програмере и учланити их у групу
„Програмери“ (помоћ: почети претрагу од врха стабла, тражити објекте са атрибутом
„Description“: „Програмер“).
2. Претрагом активног директоријума пронаћи све службенике и учланити их у групу
„Службеници“.
3. Претрагом активног директоријума пронаћи све кориснике у Београду и учланити их у
групу „БГКорисници“ (помоћ: почети претрагу од организационе јединице „Београд“,
без критерујума за опис или име).
4. Претрагом активног директоријума пронаћи све кориснике у Новом Саду и учланити
их у групу „НСКорисници“.
Активност 8 : Преглед уграђених група

Поред група које смо сада креирали, у активном директоријуму постоје и користе се
и уграђене глобалне и локалне групе, односно групе које су аутоматски креиране по ин-
сталацији активног директоријума. Уграђене локалне групе налазе се у организационој
јединици „Builtin“, док се уграђене глобалне групе налазе у организационој јединици
„Users“.
1. У левом пољу селектовати организациону јединицу „Users“, тако да у десном
пољу видимо њен садржај.
2. У десном пољу уочити глобалну групу „Domain Users“, притиснути је десним
кликом миша и изабрати опцију „Properties“.
3. Изабрати картицу „Members“, како бисмо видели чланове ове групе. Можемо
видети да су сви корисници у активном директоријуму чланови ове групе.
4. Изабрати картицу „Memeber Of“, како бисмо видели где је ова група учлањена.
Можемо видети да је група учлањена у локалну групу „Users“ на домен
контролеру.
Глобална група „Domain Users“ учлањена је у одговарајуће локалне групе „Users“ на
сваком рачунару који је члан домена. Дозволе се преносе на следећи начин:
 Сви корисници су чланови групе „Domain Users“.
 Глобална група „Domain Users“ учлањена је у локалне групе „Users“ на сваком
члану домена.
 Чланови локалне групе „Users“ на сваком рачунару имају привилегије да се
пријаве.
 На овај начин сви корисници у активном директоријуму имају права да користе
радне станице у домену.
1. Затворити својства групе „Domain Users“ и отворити својства групе „Domain
Admins“.
2. Изабрати картицу „Members“, како бисмо видели чланове ове групе. Можемо
видети да je корисник „Администратор“ члан ове групе.
3. Изабрати картицу „Memeber Of“, како бисмо видели где је ова група учлањена.
Можемо видети да је група учлањена у локалну групу „Administrators“ на домен
контролеру.
40
II Вежба
Глобална група „Domain Admins“ учлањена је у одговарајуће локалне групе „Administrators“

на сваком рачунару који је члан домена. Дозволе се преносе на следећи начин:
 Администратор домена је члан глобалне групе „Domain Admins“.
 Глобална група „Domain Admins“ учлањена је у локалне групе „Administrators“ на сва-
ком члану домена.
 Чланови локалне групе „Administrators“ на сваком рачунару имају администраторске
привилегије над рачунаром.
 На овај начин је администратор домена истовремено и администратор сваког
рачунара у домену.
Поменућемо још и уграђене системске групе, које се не могу видети у активном директо-
ријуму, и ако постоје и могу им се додељивати дозволе. Системске групе немају унапред де-
финисано чланство, већ корисници постају чланови тих група према некој својој активности,
или се унапред сматра да је корисник учлањен.
На пример једна таква (уграђена системска) група је „Everyone“, односно „Сви“. За све ко-
риснике се подразумева да су чланови групе „Сви“, иако се ова група не види у активном ди-
ректорујму нити се експлицитно може видети њено чланство. Ова група појављујује се током
додељивања дозвола (касније).
Такође постоји група „Authеnticated Users“, којој се могу доделити права, али се она сама
не види у активном директоријуму као ни њено чланство. Чланови ове групе су корисници
који су тренутно аутентиковани. И ова група се појављујује током додељивања дозвола.
41
III ВЕЖБА
ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА И ДОЗВОЛЕ НА НИВОУ

СИСТЕМА ФАЈЛОВА
Циљ вежбе је да се студенти упознају са дозволама које је могуће подесити над

фолдерима у циљу заштите од неауторизованог приступа. У практичном делу вежбе
биће извршена анализа два типа дозвола и то дозвола над дељеним фолдерима и
дозвола над објектима фајл система. Поред тога биће речи и о томе како се наведени
типови дозвола комбинују. На крају вежбе биће споменут појам власништва над
фајловима.
III Вежба
3. Дозволе над дељеним фолдерима и дозволе на нивоу система

фајлова
3.1 Дозволе над дељеним фолдерима (енг. Share Permissions)
Сервери у мрежи често имају улогу фајл сервера (послужитеља датотека). Фајл сервер о-
могућава да клијенти преко мреже приступају систему фајлова на серверу. На тај начин кли-
јенти могу да користе удаљени систем фајлова на серверу као да је реч о локалном.
На Windows оперативном систему за дељење фајлова задужена је компонента под
називом „File and Printer Sharing for Microsoft Network“, која постоји и на клијентским и на
серверским верзијама Windows-а. То значи да у мањим мрежама и клијентске радне станице
могу имати улогу фајл сервера (са највише 10 клијената). У већим мрежама улогу фајл сер-
вера обично има посебан, наменски рачунар са серверским оперативним системом.
Да би део фајл система са сервера (читав диск, или неки фолдер са подфолдерима) био
доступан клијентима преко мреже, мора се претходно прогласити дељеним („Shared“). Саста-
вни део дељења фолдера је и одређивање дозвола за дељене фолдере.
Дозволе за дељене фолдере описују ниво приступа који поједини корисници имају када
том ресурсу, дељеном фолдеру, приступају преко мреже. У оквиру вежби, за организовање
приступа дељеним фолдерима биће коришћене локалне групе, у које су учлањене глобалне
групе, у које су учлањени појединачни корисници.
3.2 Дозволе на нивоу система фајлова (енг. Security or NTFS Permissions)

Уколико је диск Windows рачунара форматиран са NTFS фајл системом, онда је могуће
контролисати приступ фајловима и фолдерима уз помоћ NTFS дозвола. Заштита на нивоу
система фајлова има предност у односу на заштиту приступа дозволама за дељене
фолдере. Дозволе, на нивоу система фајлова односе се и на кориснике који фајлу или
фолдеру приступају са локалног рачунара, као и на кориснике који приступају преко мреже
(уколико је фолдер дељен). Супротно томе, дозволе за дељене фолдере уопште се не
односе на кориснике који фолдеру приступају локално. Постоје и друге предности NTFS
дозвола: могућа је прецизнија контрола јер постоји више могућих нивоа приступа, могуће је
подесити NTFS дозволе за појединачне фајлове.
43
Вежбе
Активност 1: Поступак дељења фолдера
Фолдери се могу делити на неколико начина, а најједноставнији поступак је из прозора
„Windows Explorer“.
1. Отворити „Computer“ прозор („Start“ -> „Computer“), а затим, двоструким кликом отво-
рити диск C:
2. На диску C: направити фолдер „Проба“.
3. Уочити на диску C: фолдер „Проба“, притиснути десним кликом миша, и изабрати оп-
цију „Properties“.
4. Изабрати картицу „Sharing“.
5. Кликнути на дугме "Advanced Sharing".
6. У новоотвореном прозору селектовати опцију "Share this folder".
7. Име под којим се фолдер види на мрежи („Share name“) може бити различито од
имена које фолдер има на диску. Ову могућност нећемо користити.
8. Додатно, може се унети опис дељеног фолдера који корисници могу да виде када
претражују мрежу у пољу „Description“ (сада не уносимо ништа).
9. Кликнути на дугме „Permissions“ како бисмо одредили ко и на какав начин може да
приступа овом фолдеру преко мреже.
Слика 3.1 : Дељење фолдера
44
III Вежба
Слика 3.2 : Дозволе за дељене фолдере
У горњем пољу наведени су објекти, односно корисници и групе (тренутно само група
„Everyone“), а у доњем делу наведене су дозволе које су том објекту дате.
Постоје 3 дозволе које се могу дати некоме над дељеним фолдером:
• „Read“ могућност да се чита, односно отвори фолдер, подфолдер и фајлови у њима.
• „Change“ омогућава, поред дозвола читања, и могућност измена, додавање и
брисање фајлова и фолдера унутар подфолдера.
• „Full Control“ омогућава , поред дозвола за мењање садржаја фолдера, и могућност
да се мењају дозволе над фајловима и фолдерима (овде се мисли на NTFS дозволе
које се раде касније).
Група „Everyone“ је уграђена системска група која обухвата све кориснике. Видимо да је у
току дељења фолдера овој групи дата (колона „Allow“), дозвола „Read“, односно читање.
Дијалог за подешавање дозвола има колону „Allow“ за додељивање дозвола, и колону
„Deny“ за одузимање дозвола. Експлицитно одузимање дозвола обично није неопходно.
Групе које нису наведене у листи имплицитно немају никакве дозволе за приступ.
Пример за употребу „Deny“ колоне био би: „сви корисници у Београду треба да имају при-
ступ али не и корисници који раде као службеници“. Тада бисмо могли да групи која обухвата
све кориснике у Београду дамо („Allow“) дозволу за читање, а да корисницима који су слу-
жбеници у Београду одузмемо („Deny“) исту дозволу. Ако неки корисник има и дозволу и исту
такву забрану, забрана надјачава дозволу и корисник нема право приступа. Другачијом
употребом група могла би се избећи употреба „Deny“ колоне и остварити једноставнија и
прегледнија листа за контролу приступа. У оквиру вежби неће бити коришћена колона „Deny“.
10. Кликнути на дугме „ОК“.
11. Уочити да је иконица која представља фолдер измењена како би означила да је фол-
дер дељен.
45
Активност 2 : Употреба група за контролу приступа

За уредну контролу приступа на вежбама користићемо глобалне и локалне групе, на већ
наведен начин: корисници ће бити учлањени у глобалне групе, глобалне групе ће бити учла-
њене у локалне групе, локалним групама ће бити додељене дозволе за приступ дељеним
фолдерима.
Претпоставимо да је задатак следећи: на серверу је потребно направити дељени фолдер
„Извештаји“ који ће бити доступан преко мреже. Само корисници који раде у администрацији,
службеници, треба да могу да приступе том фолдеру. Требало би да службеници у том
фолдеру могу да читају, креирају и бришу своје фајлове и фолдере.
У ранијим активностима већ смо урадили први корак: сви корисници су организовани у
глобалне групе према функцији на послу. Тако већ имамо глобалну групу „Службеници“ која
обухвата све кориснике који нас интересују.
Следећи корак је да креирамо локалну групу за приступ дељеном ресурсу. Пошто се ре-
сурс – фолдер зове „Извештаји“, креираћемо и истоимену локалну групу:
2. У левом пољу уочити организациону јединицу „Групе“, притиснути десним кликом
миша, изабрати „New“, а затим „Group“.
3. Изабрати „Domain Local“ ( доменска локална) као тип групе, са називом „Извештаји“.
4. Притиснути на „ОК“.
5. У десном пољу уочити глобалну групу „Службеници“, притиснути је десним кликом
миша и изабрати опцију „Properties“.
6. Провере ради, изабрати картицу „Members“, овде се виде чланови ове групе, кори-
сници који су службеници.
7. Изабрати картицу „Member Of“. Овде се ова глобална група може учланити у неку ло-
калну.
8. Кликнути на дугме „Add“.
9. У дијалогу „Select Groups“, у пољу „Enter the Object Names to Select“ унети „Извешта-
ји“ (назив локалне групе у коју учлањујемо).
10. Притиснути на „OK“.
11. Притиснути на „OK“. За сада смо постигли следеће: службеници су учлањени у групу
„Службеници“, ова група је учлањена у групу „Извештаји“.
12. Отворити „Computer“, а затим и диск C:
13. На диску C: креирати фолдер „Извештаји“.
14. Притиснути десним кликом миша по фолдеру „Извештаји“ и изабрати опцију „Properti-
es“.
17. Изабрати „Share this folder“, а затим дугме „Permissions“.
18. Пошто не желимо да сви корисници имају приступ овом фолдеру, селектоваћемо гру-
пу „Everyone“, и притиснути дугме „Remove“ како бисмо је избацили из листе.
46
III Вежба

20. У дијалогу „Select Users,Computers, or Groups“ , у пољу „Enter the Object Names to Se-
lect“ унети „Извештаји“ (име локалне групе којој дајемо права).
22. Сада се група „Извештаји“ појавила у листи, при чему јој је додељена „Read“
дозвола.
23. У колони „Allow“, означити опцију „Change“.
24. Кликнути на дугме „OK“.
На овај начин смо комбиновањем глобалних и локалних група, додељивањем дозвола за
дељене фолдере локалним групама, обезбедили корисницима потребан ниво приступа.
На исти начин потребно је решити следеће потребе корисника:
1. Потребно је направити и делити фолдер „Пројекат“. Требало би да сви корисници
коју су програмери могу да читају, креирају и бришу фајлове и фолдере у том
фолдеру:
а) креирати локалну групу „Пројекат“,
б) глобалну групу „Програмери“ учланити у локалну групу „Пројекат“,
в) креирати фолдер „Пројекат“ и делити га,
г) из листе за контролу приступа избацити групу „Everyone“, убацити групу
„Пројекат“ и доделити „Change“ дозволу.
2. Потребно је направити и делити фолдер „Промо“. Требало би да сви корисници који
су дизајнери могу да читају, креирају и бришу фајлове и фолдере у том фолдеру:
а) креирати локалну групу „Промо“,
б) глобалну групу „Дизајнери“ учланити у локалну групу „Промо“,
в) креирати фолдер „Промо“ и делити га,
г) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Промо“
и доделити „Change“ дозволу.
3. Потребно је направити и делити фолдер „Информације“. Требало би да сви
корисници из Београда и сви корисници из Новог Сада могу да само читају фајлове и
фолдере у том фолдеру:
а) креирати локалну групу „Информације“,
б) глобалну групу „БГКорисници“ учланити у локалну групу „Информације“,
в) глобалну групу „НСКорисници“ учланити у локалну групу „Информације“,
г) креирати фолдер „Информације“ и делити га,
д) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Инфор-
мације“ и доделити „Read“ дозволу.
47
Активност 3 : Повезивање са дељеним фолдерима

Ова активност се ради на клијентској радној станици, а не на серверу. Показаћемо
неколико начина на које се клијент може повезати на дељени фолдер на серверу.
Мапирање мрежног диска

Један од начина да се користи дељени фолдер јесте да се мапира мрежни диск.
Мапирање значи да се дељеном фолдеру додели словна ознака (нпр. P:) као да се ради о
локалном диску.
1. Са клијентске станице (Windows XP) пријавити се на домен као корисник jpetrovic (ово
је корисник који је дизајнер) и лозником „Password2“.
2. Отворити „Computer“, „My Network Places“, „Entire Network“, „Microsoft Windows
Network“, иконицу која представља домен, иконицу која представља сервер. Сада се
виде сви дељени фолдери на серверу.
3. Уочити фолдер „Промо“, притиснути десним кликом миша и изабрати „Map Network
Drive“.
4. Из падајуће листе „Drive“ изабрати слово P:; тиме смо изабрали да ће дељени
фолдер „Промо“ на радној станици бити доступан као да се ради о локалном диску P:
5. Оставити укључену опцију „Reconnect at Logon“; тиме смо изабрали да се ово мапи-
рање диска P: на дељени фолдер „Промо“ на серверу запамти за овог корисника
када се поново пријави на радну станицу.
6. Кликнути на дугме „Finish“; од сада је кориснику jpetrovic дељени фолдер доступан
као диск P:
7. Како бисмо проверили дозволе, на диску P: креирати текстуални фајл „letak.txt“ („File“
-> „New“, „Text Document“; укуцати неколико слова). Овај корисник посредством
чланства у групи дизајнери требало би да има „Change“ дозволу.
8. Одјавити се као корисник jpetrovic.
Употреба UNC путање

У разним апликацијама, у дијалозима „Open“, „Save“ и сличним, као и у „Start“ -> „Run“ по-
љу, можемо се директно реферисати на дељени фолдер на мрежи, без претраживања мре-
же и мапирања мрежног диска. За ово се користи UNC (Universal Naming Convention) путања.
UNC путања до дељеног фолдера „Projekat“ на серверу „Serverxy“ изгледала би као:
\\Serverxy\Projekat
Односно, уместо да претражујемо „My Network Places“, до дељеног фолдера можемо доћи
на следећи начин: „Start“ -> „Run“, укуцамо „\\Serverxy\Projekat“ и притиснемо на „ОК“.
1. Пријавити се на радну станицу као корисница vjankovic (она је програмерка и требало
би да има дозволе за фолдер „Пројекат“).
2. Кликнути на дугме „Start“, изабрати опцију „Run“.
3. У „Run“ пољу унети специјалан случај UNC путање, без фолдера: „\\Serverxy“ (xy
треба заменити са бројем рачунара).
48
III Вежба
5. На овај начин видимо све дељене фолдере на серверу.

6. Како бисмо проверили функционисање дозвола, потребно је покушати да се отвори
фолдер „Промо“. Ова корисница не би требало да има довољна права.
7. Отворити фолдер „Пројекат“, креирати текстуални фајл „program.txt“ („File“ -> „New“,
„Text Document“; укуцати неколико слова). Ова корисница посредством чланства у
групи „Програмери“ требало би да има „Change“ дозволу.
8. Сачувати фајл и затворити прозор дељеног фолдера.
9. Кликнути на дугме „Start“, изабрати опцију „Run“.
10. У „Run“ пољу унети комплетну UNC путању, без фолдера: \\Serverxy\Projekat (xy
треба заменити бројем рачунара).
11. Кликнути на дугме „ОК“; овако смо директно отворили дељени фолдер који нас инте-
ресује.
12. Отворити претходно креирани фајл „program.txt“. Ово је потребно ради следеће акти-
вности.
Активност 4 : Преглед дељених фолдера на серверу

Ова активност ради се на серверу, док истовремено клијенти преко мреже приступају де-
љеним фолдерима и имају отворене фајлове.
На Windows оперативном систему постоји посебна алатка која омогућава напредније мо-
гућности за управљање дељеним фолдерима. То је алатка „Computer Management“.
1. На серверу покренути алатку „Computer Management“: „Start“ -> „Administrative Tools“ -
> „Computer Management“.
2. У левом пољу уочити „Shared Folders“ и притиснути на знак „+“ поред иконице.
3. У левом пољу изабрати „Shares“, како бисмо у десном пољу видели све фолдере са
сервера који су доступни корисницима; уочити фолдере C$ и Admin$; то су скривени
административни дељени фолдери које може да користи администратор навођењем
UNC путање. Односе се на диск C: и фолдер „Windows“.
4. У левом пољу изабрати „Sessions“ како бисмо у десном пољу видели корисничке се-
сије са сервером. Притиснути десним кликом на „Sessions“ и уочити доступне опције.
5. У левом пољу изабрати „Open Files“ како бисмо у десном пољу видели фајлове које
су корисници отворили на серверу. Притиснути десним кликом на „Open Files“ и уочи-
ти доступне опције
Недостаци заштите ресурса дозволама за дељене фолдере

Заштита ресурса помоћу дозвола за дељене фолдере има своје недостатке:
8. Пре свега ове дозволе утичу на корисника само ако он ресурсу приступа преко
мреже. Уколико корисник може да интерактивно ради на серверу, дозволе за дељене
фолдере се не односе на њега (подразумевано корисници не могу да се пријаве на
домен контролер, али могу на остале сервере);
9. Дозволе које се поставе за дељени фолдер важе за све фајлове у том фолдеру, и
све подфолдере. Није могуће над неким подфолдером или појединачним фајлом по-
ставити другачије дозволе.
49
Ситуација ипак није тако лоша јер Windows има још један, флексибилнији систем заштите
на нивоу система фајлова – NTFS дозволе. Комбиновањем дозвола за дељене фолдере и
NTFS дозвола могуће је постићи жељени ниво заштите.
Активност 5 : Упознавање са NTFS дозволама

1. Отворити „Computer“, а затим диск C: (овај диск је аутоматски, током инсталације
оперативног система, форматиран са NTFS системом фајлова)
2. На диску C: направити фолдер „Проба2“
3. Притиснути десним кликом миша по фолдеру „Проба2“ и изабрати опцију „Properties“
4. Изабрати картицу „Security“
Слика 3.3 : Картица "Security"
Овај фолдер као и сваки фајл или фолдер на дисковима са NTFS системом фајлова
има придружену листу за контролу приступа. У листи се налазе локалне и уграђене
групе (горњи део дијалог прозора). Ако селектујемо неку групу, нпр. „Administrators“, у
доњем делу дијалог прозора можемо видети NTFS дозволе над овим фолдером које
дата група има.
50
III Вежба
Дозволе које се овде виде називају се стандардне дозволе. У подразумеваном стању доз-
воле које се доделе некој групи над фолдером односе се и на фајлове и подфолдере овог
фолдера, односно дозволе за фолдере се, уколико другачије не одлучимо, преносе и на
фајлове унутар фолдера. И овде постоји разлика у односу на дозволе за дељене фолдере:
NTFS дозволе могу се подешавати и за појединачне фајлове унутар фолдера, док код
дозвола за дељење то није случај.
Додељене дозволе значе следеће:
1. Full Control: максималне дозволе. Корисници који имају ову дозволу могу не само да
мењају садржај фолдера, него и да сами мењају NTFS дозволе над овим фолдером,
чак и ако нису администратори, чак и ако сами нису креирали овај фолдер. Уколико
се пренесу на фајлове, означавају исту ствар за фајл.
2. Modify: могућност да се мења садржај овог фолдера или да се фолдер обрише. Ме-
њање садржаја фолдера значи креирање и брисање ставки, фајлова и фолдера,
унутар датог фолдера. Када се ова дозвола пренесе на фајлове у фолдеру даје
могућност измене садржаја фајла.
3. Read&Execute: Могућност да се чита садржај фолдера, покрећу програми у њему,
пређе у фолдер као текући. Уколико се дозвола пренесе на фајл унутар фолдера
даје могућност да се чита садржај фајла и покрећу извршни фајлови.
4. List Folder Content: Могућност да се излиста садржај фолдера. Ова дозвола се не
преноси на фајлове унутар фолдера, већ само на подфолдере унутар фолдера.
5. Read: Могућност да се чита садржај фолдера, али не и да се пређе у њега као
текући. Уколико се пренесе на фајлове даје могућност да се чита њихов садржај али
не и да се покрећу.
6. Write: Могућност да се „уписује“ у фолдер, односно да се креирају нови фајлови и фолдери
унутар фолдера. Уколико се пренесе на фајл даје могућност да се уписује у фајл.
Активност 6 : Управљање наслеђивањем дозвола

За ову активност потребно је имати отворен дијалог „Properties“ за фолдер „Proba2“, кар-
тица „Security“.
Као што је већ речено, у подразумеваном стању, дозволе које се подесе за дати фолдер важе и
за подфолдере и фајлове унутар њега. Ово правило важи и за управо креиран фолдер „Proba2“:
дозволе које смо управо погледали „аутоматски“ су се појавиле зато што су се наследиле са вишег
нивоа (корена диска C: у овом случају). Заправо, у овом тренутку, фолдер „Proba2“ и нема
сопствену листу за контролу приступа, већ само назнаку да се на њега односе дозволе са вишег
нивоа, какве год да су. У наставку активности променићемо ово стање, како бисмо могли да
подесимо дозволе за фолдер „Proba2“, независно од дозвола које важе за корен C: диска:
1. Кликнути на дугме „Advanced“.
2. Да бисмо били заштићени од случајне измене дозвола, оперативни систем приказује
следећи дијалог прозор у моду читања. Како бисмо могли да вршимо измене
неопходно је клкнути на дугме "Edit".
3. У новом дијалог прозору можемо извршити напредна подешавања. Међу њима је и
подешавање наслеђивања („Inherited From“) са вишег нивоа, како и наслеђивање
дозвола на нижим нивоима („Apply To“). Уочити да је подразумевано укључена опција
„Allow inheritable permissions...“, односно дозволе се подразумевано наслеђују са
вишег нивоа.
51
Слика 3.4 : Прелазак на напредна подешавања
Слика 3.5 : Преглед напредних подешавања
5. Уклонити ознаку „Allow inheritable permissions...“ (слика 3.5). Како фолдер не би слу-
чајно остао без икаквих дозвола (забрањен приступ свима), у новом дијалог прозору
(слика 3.6) треба одабрати да се до сада наслеђене дозволе ископирају на овај фол-
дер:
Слика 3.6 : Копирање наслеђених дозвола
6. Ниво приступа за фолдер „Проба2“ остао је исти, али се од сада дозволе за корен
диска C: и дозволе за фолдер „Проба2“ могу мењати независно.
7. Притиснути дугме „OK“ како бисмо се вратили у дијалог за измену стандардних дозвола.
52
III Вежба
8. Претпоставимо да желимо да изменимо стандардне дозволе за фолдер „Проба2“. У-

место подразумеваних дозвола желимо да омогућимо да само локалне уграђене
групе „Administrators“ и „Server Operators“ имају приступ фолдеру. Уклонићемо из
листе све групе сем групе „Administrators“. У горњем делу дијалога изабрати групу
„Users“ а затим пристиснути на дугме „Remove“ како бисмо ову групу избацили из
листе. Исту ствар урадити и за уграђене системске групе „SYSTEM“ и „CREATOR
OWNER“.
9. Кликнути на дугме „Add“ како бисмо унели нову групу у листу.
10. У дијалог прозору „Select Users, Computers and Groups“ унети „Server Operators“ и
кликнути на дугме „OK“.
11. Нова група која се појавила у листи је аутоматски добила „Read&Execute“ дозволу.
12. Претпоставимо да је групи Server Operators потребан виши ниво приступа, како би и
сами могли да мењају дозволе за фајлове у овом фолдеру. У колони „Allow“ изабрати
опцију „Full Controll“. Ова дозвола у себи садржи и све остале дозволе.
Активност 7: Комбиновање дозвола за дељене фолдере и NTFS дозвола

Раније креирани фолдер „Проба2“ није дељен и корисници му не могу приступати
преко мреже. Фолдер могу користити само корисници који имају права да се пријаве
локално на сервер који је истовремено и контролер домена. И уграђена локална група
„Administrators“ и „Server Operators“ имају ту привилегију.
На серверу се налазе и фолдери који су дељени и доступни корисницима преко
мреже. Када корисници преко мреже приступају тим фолдерима на њихов ниво
приступа утичу дозволе за дељене фолдере које смо подешавали у претходној вежби.
С друге стране, ти фолдери се налазе на диску који је форматиран са NTFS системом
фајлова, па ти фолдери и фајлови имају и сопствене NTFS дозволе, које такође утичу
на нечији ниво приступа, без обзира да ли корисник приступа преко мреже или локално.
То значи да када корисници приступају дељеном фолдеру преко мреже, на њих се
примењују два система дозвола: дозволе за дељене фолдере и NTFS дозволе.
Поставља се питање шта се дешава када дозволе за дељене фолдере и NTFS
дозволе нису усаглашене. На пример, уколико NTFS дозволе дају некој групи
„Read&Execute“, a дозволе за дељене фолдере „Full Controll“. У том случају на
корисника се примењују рестриктивније дозволе (које дају мање права). У овом
конкретном случају, без обзира што дозволе за дељене фолдере дају „Full Controll“,
NTFS дозволе су рестриктивније, и на крају ће одредити стваран ниво приступа.
Исто би се десило и у супротном случају: NTFS дозвола „Full Controll“, и „Read“
дозвола за дељене фолдере. И тада би корисници који приступају преко мреже могли
само да читају фајлове. Проблем у овом примеру је у томе што уколико корисници
приступају локално (интерактивно за сервером, а не преко мреже), дозволе за дељене
фолдере („Read“) на њих се не примењују, већ само NTFS дозволе које дају
максимална права.
Како би се избегле овакве недоумице („шта је рестриктивније?“ и „шта ако корисник
приступи локално?“), препоручује се да се потребан ниво приступа одређује искључиво
NTFS дозволама, при чему се дозволе за дељене фолдере могу максимално
разлабавити како би NTFS дозволе увек биле рестриктивније од њих.
53
Дакле препорука је следећа:

1. Жељени ниво приступа над фолдером подешавамо искључиво NTFS дозволама.
Оне су свакако прецизније, а осим тога важе за било какав приступ фолдеру (нема
недоумице „шта ако корисник приступа локално?“).
2. Како би корисници приступали фолдеру преко мреже, потребно га је делити. У току
тог поступка доделити уграђеној системској групи „Authenticated Users“ (сви аутенти-
ковани корисници) дозволу „Full Controll“ за дељени фолдер. Пошто смо на овај на-
чин дозволе за дељене фолдере максимално разлабавили, претходно подешене
NTFS дозволе увек ће бити рестриктивније, и биће сасвим јасно шта се на корисника
примењује: NTFS дозволе.
Прецизно подешавање дозвола за дељене фолдере неопходно је само уколико су
фајлови на FAT систему фајлова на коме не постоје NTFS дозволе.
Пошто се фолдери „Извештаји“, „Инфо“, „Промо“ и „Пројекат“ налазе на диску са NTFS си-
стемом фајлова, подесићемо NTFS дозволе за те фолдере како бисмо постигли жељени
ниво приступа за поједине локалне групе. Како не би било забуне око тога какав је ниво
приступа у зависности од начина приступа, постојеће дозволе за дељене фолдере ћемо
разлабавити на ниво „Full Control“ дозвола за групу „Authenticated Users“:
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Извештаји“.
2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим
картицу „Security“.
4. Кликнути на дугме "Edit".
5. Очистити ознаку „Allow inheritable permissions...“.
6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе.
7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе.
8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а за-
тим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“.
10. У дијалогу „Select Users, Computers and Groups“ унети „Izveštaji“.
12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај фол-
дера, потребно је (у колони „Allow“ ) означити опцију „Modify“. Не напушати „Proper-
ties“ дијалог. Пошто су NTFS дозволе подешене, подесићемо и дозволе за дељене
фолдере.
13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“.
14. Кликнути на дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check
Names“, како би група „Authenticated Users“ била пронађена на основу започетог уно-
са.
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је
доделити „Full Controll“ дозволу.
54
III Вежба
17. Сада можемо групу „Izveštaji“ уклонити из листе дозвола. Селектовати је и изабрати
опцију „Remove“.
18. Притиснути дугме „OK“.
Сличан поступак је и за фолдер „Info“, само су NTFS дозволе „Read&Execute“:
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Info“.
8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а
затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“.
10. У дијалогу „Select Users, Computers and Groups“ унети „Info“.
12. Група је аутоматски добила „Read&Execute“. Ове дозволе су и потребне.
Names“, како би група „Authenticated Users“ била пронађена на основу започетог
уноса.
17. Сада можемо групу „Info“ уклонити из листе дозвола. Селектовати је и изабрати
Слично је и за фолдер „Promo“. Истоимена локална група треба да може да мења садржај
фолдера („Modify“):
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Promo“.
5. Очистити ознаку „Allow inheritable permissions...“
55

10. У дијалогу „Select Users, Computers and Groups“ унети „Promo“.
12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај
фолдера потребно је (у колони „Allow“ ) означити опцију „Modify“.
уноса.
17. Сада можемо групу „Promo“ уклонити из листе дозвола. Селектовати је и изабрати о-
пцију „Remove“.
За фолдер „Projekat“ доделићемо истоименој групи „Full Controll“ NTFS дозволу.
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Projekat“.
10. У дијалогу „Select Users, Computers and Groups“ унети „Projekat“.
12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај
фолдера, као и дозволе за фајлове, потребно је (у колони „Allow“ ) означити опцију
„Full Controll“.
уноса.
56
III Вежба
17. Сада можемо групу „Projekat“ уклонити из листе дозвола. Селектовати је и изабрати
На овај начин смо контролу приступа у потпуности одредили NTFS дозволама.
Активност 8 : Преглед ефективних дозвола

Претходним активностима уредили смо приступ фолдерима путем NTFS дозвола. Те доз-
воле појединачни корисници могу да користе на основу тога што су чланови одговарајућих
глобалних група, које су са своје стране учлањене у одговарајуће локалне групе којима смо
давали NTFS дозволе.
Могуће је и прегледати ефективне дозволе које корисник има. Ово олакшава откривање е-
фективних дозвола које неки корисник има уколико је, на пример добио дозволе на основу
чланства у неколико група.
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Info“.
4. Изабрати картицу „Effective Permissions“.
5. Кликнути на дугме „Select“.
6. У новом дијалог прозору унети jpetrovic, а затим притиснути на дугме „OK“.
Слика 3.7 : Преглед ефективних дозвола
7. Можемо погледати ефективне дозволе које корисник jpetrovic има над фолдером.
57
Ове дозволе се на први поглед разликују од дозвола које смо доделили групи „Инфо“.
Ради се о следећем: групи је додељена стандардна дозвола „Read&Execute“. Контрола
приступа се у ствари не остварује стандардним дозволама (које смо доделили) него
појединачним дозволама. Ефективне дозволе су изражене тим појединачним дозволама.
Стандардне дозволе (као што је „Read&Execute“) само су предефинисани, лако
употребљиви скупови појединачних дозвола. На овом примеру можемо да видимо од чега се
заправо састоји стандардна дозвола „Read&Execute“.
8. Кликнути на дугме „OK“ и напустити преглед напредних подешавања.
9. Кликнути на дугме „OK“ и напустити преглед својстава фолдера „Info“.
Активност 9 : Власништво над фајловима

Ову активност треба радити на клијентској радној станици.
1. Пријавити се са станице на домен са корисничким именом vjankovic и лозинком
„Password2“.
2. Користећи UNC путању (\\Serverxy) повезати се на сервер, а затим отворити дељени
фолдер „Пројекат“.
3. Креирати текстуални фајл „program2.txt“ , унети у њега неколико слова, сачувати га и
затворити едитор текста.
4. Притиснути десним кликом миша по иконици фајла „program2.txt“ и изабрати опцију
„Properties“.
5. Изабрати картицу „Security“.
6. Изабрати дугме „Advanced“.
7. Изабрати картицу „Owner“.
Уочити да фајл има свог власника („Current owner of this item“). Корисник који је креирао
фајл постаје његов власник. Власништво над фајлом је важно, јер омогућава измену
дозвола: корисница vjankovic може да мења дозволе над својим фајловима и ако није
администратор.
Корисници могу преузети власништво над туђим фајловима само уколико им је први
власник дао то право („Full Control“ стандардна дозвола). Корисници који преузму
власништво над туђим фајловима могу касније аутономно да мењају дозволе над фајлом.
Као мера предострожности против погрешно постављених дозвола, чланови локалне групе
„Administrators“ увек, имплицитно, могу да преузму власништво над фајлом, чак и када немају
експлицитне дозволе за то.
8. Кликнути на дугме „ОК“ како бисмо напустили напредна подешавања. У наставку
ћемо симулирати погрешно постављене дозволе.
9. У дијалогу за подешавање стандардних дозвола притиснути на „Add“.
10. У новом дијалог прозору унети „Every“, a затим „Check Names“, како би била пронађе-
на системска група „Everyone“ на основу унетог текста.
11. Кликнути на дугме „OK“
12. У колони „Deny“ изабрати „Full Control“. Овиме смо свима забранили све дозволе.
13. Притиснути на „ОК“ а затим на „Yes“ када се појави упозорење.
14. Одјавити се са радне станице
58
III Вежба
Наставак активности се ради на серверу.

1. Отворити „Computer“ а затим диск C:.
2. Отворити фолдер „Projekat“.
3. Покушати отварање фајла „program2.txt“.
4. Покушати брисање фајла „program2.txt“.
5. Притиснути десним кликом миша по фајлу и изабрати опцију „Properties“.
6. Изабрати опцију „Security“.
7. Изабрати картицу „Owner“.
Тренутно чак ни администратор нема довољно дозвола да види тренутног власника, али
може да преузме власништво.
8. У пољу „Change owner to“ изабрати локалну групу „Administrators“ а затим кликнути на
дугме „OK“.
Слика 3.8 : Преузимање власништва
9. Кликнути на дугме „ОК“ како бисмо затворили својства фајла.

10. Притиснути десним кликом миша по фајлу и изабрати опцију „Properties“.
11. Изабрати опцију „Security“
12. Селектовати групу „Everyone“, а затим „Remove“.
13. Притиснути „ОК“.
14. Покушати отварање фајла.
15. Затворити фајл.
59
IV ВЕЖБА
ЛИЧНИ ФОЛДЕРИ, ПРОФИЛИ КОРИСНИКА И ГРУПНЕ ПОЛИСЕ
Циљ вежбе је да се студенти упознају са појмом корисничког профила и личног

фолдера. Посебна пажња биће посвећена типовима корисничких профила. Поред
тога биће анализиран и систем за управљање доменом који користи групне полисе
као скупове правила која се примењују на одређене ресурсе одређеним редоследом.
У практичном делу вежбе студенти ће администрирати корисничке профиле, личне
фолдере и групне полисе.
IV Вежба
4. Лични фолдери, профили корисника и групне полисе

4.1 Личне фасцикле (енг. Home Folders)
Један од атрибута корисничког налога је и лични фолдер. То је фолдер на серверу
фајлова, који је доступан кориснику без обзира коју радну станицу тренутно користи.
Обезбеђивање централног места за смештање корисничких података олакшава рад када
корисници мењају радне станице, и олакшава прављење резервних копија података свих
корисника у мрежи.
Како бисмо корисницима омогућили да имају личне фолдере потребно је да урадимо две
ствари. Прво, на серверу је потребно направити дељени фолдер унутар кога ће се налазити
кориснички лични фолдери. Друго, потребно је у својствима корисничког налога подесити
локацију личног фолдера.
Слика 4.1 : Лични фолдери
Подразумеване дозволе за новокреиране фолдере омогућавају свим корисницима

(локална група „USERS“) да креирају своје фајлове и читају туђе (не и да их мењају и бришу).
Такође због наслеђивања, овакве дозволе се преносе и на подфолдере. Због тога ћемо
приликом креирања дељеног фолдера за личне фолдере корисника извршити напредна
подешавања.
4.2 Кориснички профили (енг. User Profiles)

Као и сви вишекориснички оперативни системи, и Windows разликује појединачне кори-
снике рачунара, као и податке једног корисника од података других корисника. Не само да
сваки корисник има сопствене документе у личном фолдеру, већ је и комплетно корисничко
окружење једног корисника одвојено и различито од окружења других корисника.
Корисничко окружење обухвата сва подешавања која корисник изврши у току сесије за ра-
чунаром: подешавања изгледа радне површине, ставке у менијима, мапирани мрежни
дискови, листа скорије отвараних докумената, сва подешавања која корисник може да
изврши у контолном панелу. Осим тога и велика већина апликација је вишекорисничка, па
такође своја подешавања (нпр. посредник у веб претраживачу, адреса у клијенту
електронске поште, подешавања унутар канцеларијских алата и сл.) чува посебно за сваког
корисника рачунара.
61
4.3 Групне полисе (енг. Group Policy)

Групне полисе (полиса – начело рада) су механизам за управљање конфигурацијом рачу-
нара и корисничког окружења корисника. Сваки Windows рачунар (чак и у моделу радне гру-
пе) има додељену локалну полису – збир разноврсних подешавања како оних везаних за ра-
чунар (нпр. NTFS дозволе за специфичне фолдере), тако и оних које пре свега утичу на из-
глед и понашање корисничког радног окружења (нпр. разноврсне забране или специфична
подешавања апликација). Постоји и посебна алатка за рад са локалним полисама која се мо-
же покретати на клијентским радним станицама. На овај начин, чак и у моделу радне групе,
локални администратор могао би да кроз једноставан кориснички интерфејс измени базу ре-
гистара Windows радне станице како би прилагодио радну станицу одговарајућој полиси –
начелу рада које се захтева.
Локалну полису радне станице можемо погледати на следећи начин:
1. Пријавити се са клијентске радне станице као доменски админстратор са лозинком
„password“.
2. Притиснути на тасер „Start, Run“, и у „Run“ пољу унети „gpedit.msc“.
4. Овим смо покренули едитор локалне полисе за овај рачунар.
5. Уочити да полиса има два дела „Computer Configuration“ и „User Configuration“.
6. Притиснути на „+“ поред „Computer Configuration“ како бисмо у левом пољу отворили
ту грану.
7. На исти начин отворити „Windows Settings“, „Security Settings“, „Account Policies“, и се-
лектовати „Password Policy“. Уочити да је део локалне полисе и подешавање које се
тиче максималне дужине и комплексности лозинки.
8. Уочити у левом пољу „Administrative Templates“, отворити ту грану, затим „Windows
Components“ и изабрати „Internet Explorer“. Уочити и да су одређена подешавања за
компоненте Windows оперативног система део локалне полисе.
9. Уочити у левом пољу „User Configuration“ и притиском на „+“ отворити ту грану
10. Отворити „Administative templates“. Уочити да су и овде присутни административни
шаблони („Templates“) којима се може мењати понашање компоненти оперативног
система.
11. Отворити „System“ а затим изабрати „User Profiles“. Уочити и да су подешавања која
се тичу корисничких профила део полисе.
12. Затворити едитор локалне полисе.
13. Одјавити се са клијентске радне станице.
Иако локална полиса омогућава једноставан начин за измену многобројних и разноврсних

подешавања компоненти оперативног система, овакав начин има својих ограничења. Пре
свега корисничка подешавања примењивала би се на све кориснике радне станице без изу-
зетка и разлике. Осим тога, уколико је потребно подесити идентична подешавања на више
радних станица, администратор би морао да се локално пријави са сваке од њих и понови
подешавања. Када је радна станица део домена полисама се може управљати са
централног места – из Активног директоријума. Активни директоријум омогућава да се
полиса креира као објекат који се чува у Активном директоријуму. Тако креирана полиса
62
IV Вежба
може се везати ( „Link“) за неку организациону јединицу, чиме смо наредили да се

подешавања која смо одредили подесе за све кориснике и рачунаре у тој организационој
јединици.
На пример уколико би начело рада у некој мрежи захтевало специфична подешавања рачунара
(нпр. забрана да корисници самоиницијативно мењају сигурносне зоне у интернет експлореру) и
корисничког окружења (нпр. забрана да корисници приступају контролном панелу), и то за све
рачунаре и кориснике у Београду, администратор би могао (уместо да посећује сваки појединачни
рачунар у Београду) да у активном директоријуму креира објекат групну полису, изврши потребна
подешавања, и полису веже за организациону јединицу Београд.
Када се рачунари у Београду поново покрену, после примене локалне полисе, примениће и полису
коју је администратор везао за организациону јединицу у којој се налазе (Београд). Сва
подешавања локалне полисе која нису у складу са полисом из активног директоријума биће
измењена (полиса из активног директоријума је „јача“). Када се корисник чији се налог налази у
Београду пријави, на њега ће се применити локална полиса а затим и она из активног
директоријума, и опет ће полиса из активног директоријума коначно одредити изглед радног
окружења.
У овом примеру видели смо како се током покретања рачунара и пријављивања корисника приме-
њује више полиса (локална и она везана за организациону јединицу) и како локална полиса има
низак приоритет, јер се прва примени, и њена подешавања може да измени полиса која се
примени након ње.
Такође, могуће је да и у активном директоријуму постоји неколико групних полиса које могу да
утичу на подешавање корисничког налога датог корисника, или подешавања датог рачунара. На
пример могуће је везати једну полису за објекат који представља читав домен, и у оквиру ње
поставити подешавања која утичу на све кориснике и рачунаре у домену. Уколико постоји читава
хијерархија организационих јединица, (нпр. организациона јединица Београд, унутар које постоји
организациона јединица Маркетинг), могуће је креирати и везати групне полисе на различитим
местима у хијерархији (нпр. полиса која утиче на све у Београду, полиса која утиче на све у
Маркетингу (слика 4.2).
Слика 4.2 : Више групних полиса утиче на подешавања корисника
63
У оваквим ситуацијама све полисе се примењују, и то таквим редоследом да се последња

примени она полиса која је најспецифичнија за корисника/рачунар и та полиса увек измени
несагласна подешавања претходно примењених полиса.
На пример, приликом покретања рачунара који се налази у OU=Маркетинг:
1. прво се примени локална полиса за рачунар,
2. затим полиса везана за домен,
3. затим полиса везана за OU=Београд,
4. затим, најспецифичнија, полиса везана за OU=Маркетинг.
Приликом пријављивања на домен корисника који се налази у OU=Маркетинг (без
обзира где се налази рачунар, можда чак и у другој организационој јединици):
1. прво се примени локална полиса за рачунар на коме се пријављује (део полисе који
утиче на кориснике),
2. затим доменска полиса (део који утиче на кориснике),
3. затим полиса везана за OU=Београд (део који утиче на кориснике),
4. затим полиса везана за OU=Маркетинг (део који утиче на кориснике), као најспеци-
фичнија, која највише утиче на подешавања корисника, тиме што мења несагласна
подешавања раније примењених полиса.
На овај начин, глобална подешавања која су заједничка за све кориснике у домену могу
се подешавати у доменској полиси, специфична додатна подешавања могу се додати на
нивоу OU=Београд, и најспецифичнија подешавања за корисника или рачунар могу се
додати на нивоу који је најближи кориснику и рачунару.
Локална полиса која се увек прва примени, и која увек буде измењена применом осталих
полиса које се касније примене, ретко се користи уколико је рачунар део домена, јер сва по-
дешавања која има локална полиса, као и нека додатна која постоје само у активном дире-
кторијуму, могу се постићи креирањем и везивањем полисе за организациону јединицу у којој
се налази корисник или рачунар.
64
IV Вежба
ВЕЖБЕ
Активност 1 : Креирање личних фолдера
1. На диску C: креирати фолдер „Users“.
2. Притиснути десним дугметом миша по фолдеру и изабрати опцију „Properties“.
3. Изабрати картицу „Security“.
6. Очистити ознаку „Allow inheritable permissions...“
7. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе. Задржати се у
напредним подешавањима.
Слика 4.3 : Напредна подешавања
Уочимо које су дозволе аутоматски додељене:

• Локална група „Administrators“ има максималне дозволе. Исто се односи и на групу
„SYSTEM“ која представља оперативни систем сервера.
• Група „CREATOR OWNER“ има максималне дозволе за подфолдере и фајлове
(„Subfolders and files only“). Овиме је означено какве ће дозволе имати корисници над
фајловима које сами креирају.
• Група Users појављује се у листи два пута: једном са „Read&Execute“ за овај фолдер,
65
подфолдере и фајлове („This folder, subfolders and files“), као и за специјалну дозволу
која омогућава измене и односи се на овај фолдер и подфолдере (не и туђе
фајлове).
8. Како корисници не би могли да креирају фајлове у туђим личним фолдерима
изабрати последњу ставку „Users, Special, This folder and subfolders“, а затим
пристиснути на „Remove“.
9. Како корисници не би могли да читају туђе фајлове, изменићемо и преосталу ставку
за групу „Users“.
10. Селектовати ставку „Users, Read&Execute“, а затим притиснути на „Edit“.
Слика 4.4 : Специјалне дозволе
11. У падајућој листи „Apply onto“ изабрати опцију „This folder only“.
12. Притиснути на „ОК“, а затим још једном на „OK“.
14. Делити фолдер са дозволама „Аuthenticated Users“ „Full Control“.
66
IV Вежба
Преостаје да се у својствима корисничког налога подеси атрибут лични фолдер:

2. Користећи опцију „Find“ пронаћи све кориснике у Београду.
3. Изабрати првог у листи, притиснути десним дугметом миша и изабрати опцију
„Properties“.
4. Изабрати картицу „Profile“.
5. У секцији „Home Folder“ изабрати диск „Z:“ у пољу „Connect to“ унети UNC путању до
личног фолдера корисника у облику „\\Serverxy\Users\%username%“.
Слика 4.5 : Подешавање личног фолдера

2. Исти поступак поновити за преостала два корисника у Београду.
3. Проверити садржај фолдера „Users“ на диску C:
4. Проверити дозволе над креираним личним фолдерима.
67
Следећа активност ради се на клијентској радној станици.

1. Пријавити се са радне станице на домен као корисница vjankovic.
2. Отворити My Computer.
3. Уочити мапирани диск Z:
4. Одјавити се са станице.
Активност 2 : Упознавање са корисничким профилима

Под Windows оперативним системом скуп свих корисничких подешавања назива се кори-
снички профил. Кориснички профили корисника који су се пријављивали са неке радне ста-
нице чувају се на локалном диску рачунара у фолдеру „C:\Documents and Settings“.
1. Пријавити се на радну станицу као vjankovic.
2. Отворити „My Computer“, затим диск C:, а затим фолдер „C:\Documents and Settings“.
3. Уочити низ фолдера који се ту налазе.
У фолдеру „Documents and Settings“ налазе се фолдери у којима су сачувана лична поде-
шавања корисника који су се пријављивали са ове станице. Када се неки од тих корисника
пријави на његово окружење се примене сва подешавања из датог фолдера, и корисника по
пријављивању сачека исто онакво окружење какво је оставио на том рачунару када се
последњи пут пријавио.
У фолдеру „Documents and Settings“ налазе се још два специфична профила:
1. Default User: ово је почетни, подразумевани профил; ово је почетно подешавање ко-
рисника који се приви пут пријављује са ове радне станице.
2. All Users: ово је заједнички профил за све кориснике овог рачунара, као што су
ставке у менијима или на радној површини које су видљиве свим корисницима.
Како бисмо видели садржај профила треба отворити фолдер vjankovic. Уочити фолдере
који се ту налазе („Desktop“, „Start Menu“, „Documents“). Ово су фолдери који чине један део
корисничког радног окружења. Други део профила, део који чува подешавања корисника која
се иначе чувају у бази регистара, налази се у фајлу „ntuser.dat“. Када се корисник пријави на
мрежу садржај овог фајла учита се у базу регистара и утиче на подешавање окружења овог
корисника.
1. Вратити се један ниво више, у фолдер „C:\Documents and Settings“.
2. Покушати отварање фолдера других корисника.
Лични фолдери подразумевано су заштићени NTFS дозволама и дозвољавају приступ
само свом власнику, кориснику на кога се примењују.
Сви ови профили које смо видели називају се локални профили, у смислу да су локални
за конкретну радну станицу. Уколико корисник промени радну станицу, по пријављивању на
нову станицу сачекаће га копија „Default User“ профила.
Активност 3 : Упознавање са покретним (енг. Roaming) профилима

Подразумевано понашање, у коме су профили локални и везани за радну станицу, не од-
говара ситуацијама у којима корисници често мењају радне станице. Тада се уместо
локалних, за кориснике могу конфигурисати покретни (roaming) профили. Идеја је слична
идеји са централизованим смештањем корисничких личних фолдера: потребно је направити
68
IV Вежба
дељени фолдер на мрежи, и у својствима корисничког налога подесити да се по

одјављивању корисника са неке радне станице копија локалног профила сачува на
централном дељеном фолдеру. Када се корисник затим пријави са друге радне станице, због
одговарајућих атрибута корисничког налога, уместо подразумеваног „Default User“ профила,
кориснику ће се са мреже ископирати претходно сачувани, персонализовани профил.
1. На серверу отворити „Computer“ а затим диск C:.
2. На диску C: креирати фолдер „Profili“.
3. Фолдер „Profili“ делити са дозволама „Authenticated Users“ „Full Controll“.
4. NTFS дозволе оставити на подразумеваним вредностима.
Овиме смо креирали централни дељени фолдер на мрежи, унутар кога ће се налазити по-
кретни профили корисника. NTFS дозволе смо оставили на подразумеваним вредностима јер
се операција копирања профила са радне станице извршава са привилегијама корисника, а
не администратора. Подразумеване дозволе дозвољавају свим корисницима да унутар овог
фолдера креирају своје фолдере.
Над дељеним фолдером потребно је извршити још једну операцију. Наиме, ажурирање
копије профила на радној станици са копијом на серверу може да дође у колизију са још
једним процесом на Windows оперативном систему који се такође бави синхронизацијом
фајлова. Тај сервис се назива „Offline Files“ и омогућава да станица локално кешира фајлове
са мреже, како би фајлови који се користе били употребљиви кориснику чак и ако је сервер
са дељеним фолдером недоступан. Уколико се фолдер користи за смештање профила, ову
могућност треба искључити.
1. Притиснути десним дугметом миша по фолдеру „Profili“, и изабрати опцију
„Properties“.
4. Кликнути на дугме "Chaching".
5. Изабрати опцију „Files and Programs from this share will not be available offline“.
6. Кликнути на дугме „OK“ а затим још једном на дугме „OK“, па "Close".
Слика 4.6 : Подешавање кеширања фајлова
69
Даље је потребно у атрибутима корисничког налога подесити својство „Profile Path“, на о-

снову кога ће бити познато где се налази профил корисника:
2. Претрагом активног директоријума пронаћи све кориснике у Београду.
3. Селектовати првог корисника у листи, притиснути десним дугметом миша и изабрати
опцију „Properties“.
4. Изабрати картицу „Profiles“ .
5. У пољу „Profile Path“ унети UNC путању у облику „\\Serverxy\Profili\%username%“.
Слика 4.7 : Путања до фолдера са профилом
5. Кликнути на дугме „Apply“ а затим на дугме „ОК“.

6. Исти поступак поновити и за остале кориснике у Београду.
7. Отворити „My Computer“ а затим диск C:
8. Отворити фолдер „Profili“.
70
IV Вежба
Уочити да фолдери за профиле ових корисника нису аутоматски креирани. Они ће бити
креирани аутоматски када се корисник први пут одјави са неке радне станице. Тада ће се са
радне станице, под овлашћењима корисника, креирати фолдер за тог корисника, и локални
профил са те радне станице синхронизовати са централном копијом.
Активност 4 : Провера функционисања покретних профила

За ову активност потребно је користити додатну радну станицу коју је потребно претходно
уврстити у домен. Као и у првој вежби за овај корак је неопходно подесити адресне информа-
ције. До подешавања долазимо на следећи начин „Start -> Control Panel -> Network
Connections-> Local Area Connection, Properties, Internet Protocol (TCP/IP), Properties“.
Подешавања на клијенту треба да буду:
1. IP адреса: 192.168.1.101.
2. Маска подмреже: 255.255.255.0.
3. Default Gateway: остављамо непопуњено.
4. Preferred DNS server: 192.168.1.10.
5. Alternate DNS server: остављамо непопуњено.
6. Притиснемо на дугме ОК.
Проверићемо доступност сервера са стране клијента. Отворићемо командни прозор: Start ->
Run, укуцати cmd а затим притиснути OK. У командном прозору унети (xy треба заменити са бројем
радне станице): ping serverxy.labxy.edu.rs
Уколико добијемо одговор од сервера, можемо сматрати да мрежа између сервера и клијента
функционише, и можемо прећи на следећи корак.
2. Изабрати картицу „Computer Name“, Кликнути на дугме „Change“.
3. У секцији „Member of“ (доле), изабрати „Domain“, и у одговарајућем пољу унети име
домена у који учлањујемо радну станицу (xy треба заменити са бројем радне станице):
„labxy.edu.rs“. Кликнути на дугме ОК.
4. Учлањивањем станице у домен у активном директоријуму се креира налог за рачунар. За
ово је потребно имати одговарајуће привилегије, налог за администратора домена. У
новом дијалог прозору треба унети „Administrator“ као корисничко име, и „password“ као
лозинку, јер је то налог за администратора домена. Кликнути на дугме OK.
5. После добијања поздравног дијалог прозора, притиснути на OK и прихватити поновно
покретање рачунара.
6. Након покретања пријавити се са додатне радне станице на домен као корисница vjankovic
са лозинком „Password2“.
7. Како бисмо уочили измене у профилу потребно је изменити неколико ствари у оквиру
корисничког окружења:
• Изменити слику на радној површини: поставити слику „Ascent“.
• Покренути едитор текста „Notepad“ унети неколико слова и сачувати документ. Доку-
менти се подразумевано чувају у фолдеру „My Documents“. Затворити едитор текста.
Садржај фолдера „My Documents“ део је корисничког профила.
71
• Отворити фолдер „My Documents“, притиснути десним дугметом миша по фајлу

„pismo.txt“, изабрати опцију „Send To, Desktop (Create Shortcut)“. Тиме смо
направили пречицу на радној површини. Изглед и садржај радне површине део су
корисничког профила.
8. Одјавити се са додатне радне станице.
9. На серверу уочити да се унутар фолдера „Profili“ креирао фолдер за покретни
профил.
10. Пријавити се са друге клијентске радне станице као корисница vjankovic.
11. Уочити да је изглед радног окружења ове кориснице (између осталог изглед радне
површине, садржај фолдера „My Documents“) сачуван без обзира што је корисница
променила радну станицу.
12. Одјавити се са радне станице.
13. Пријавити се на додатну радну станицу као доменски администратор са лозинком
„password“ и радну станицу избацити из домена. Не рестартовати радну станицу већ
је угасити.
Активност 5 : Преглед доменских полиса

У току инсталације активног директоријума креирана је подразумевана доменска полиса
која утиче на глобална подешавања свих корисника рачунара у домену. Како се претпоста-
вља да ће администратор домена поставити на разним местима у хијерархији специфичне
групне полисе које су њему потребне, ова, подразумевано креирана полиса бави се само нај-
важнијим глобалним подешавањима, као што су подешавања која се тичу дужине и сложено-
сти корисничких лозинки.
1. Пријавити се на контролер домена као доменски администратор.
2. Покренути алатку „Group Policy Management“ која се налази у оквиру
административних алата.
3. Уочити стабло шуме под називом "Forest: labXY.edu.rs" са леве стране и кликнути на
знак + испред како бисмо разгранали исту.
4. Уочити ставку "Domains" и кликнути на + испред ње.
5. Уочити домен "labXY.edu.rs" и кликнути на + испред.
6. Уочити групну полису под називом "Default Domain Policy" која је везана за цео
домен, a затим десним кликом миша над истом изабрати опцију "Edit". Овим ће се у
новом прозору отворити едитор групних полиса у коме можемо редефинисати
подешавања полисе.
7. У левом пољу едитора групних полиса отворити грану „Computer Configuration/
Policies/ Windows Settings/ Security Settings / Account Policies / Password Policy“
(погледати слику 4.8).
8. Уочити подразумевана ограничења по питању лозинки.
9. Затворити едитор групних полиса.
72
IV Вежба
Слика 4.8 : Ограничења везана за лозинке
Осим ове, подразумевано је креирана и полиса која утиче на све домен контролере:
1. Уочити организациону јединицу „Domain Controllers“ и кликнути на + испред ове
организационе јединице. У оквиру ње појавиће се полиса под називом "Default
Domain Controllers Policy".
2. Кликнути десним кликом на ову полису и изабрати ставку "Edit".
3. Отворити грану „Computer Configuration / Policies / Windows Settings / Security Settings
/ Local Policies / User Rights Assigments“
Слика 4.9 : Корисничка права
4. Уочити ко има права да се локално пријави на домен контролере.

5. Затворити едитор полисе.
73
Активност 6 : Креирање локалне полисе

У овој активности креираћемо нову групну полису, и везати је за организациону јединицу.
Подешавања која ћемо вршити тичу се покретних профила. Покретни профили доносе поред
користи за кориснике и одређене проблеме. Наиме уколико је кориснички профил обиман,
тада свако пријављивање корисника на неку радну станицу захтева пренос са сервера
огромне количине података. Клијентски профил постаје обиман уколико корисници, на
пример чувају податке на радној површини уместо у личном фолдеру који није део профила.
Осим тога постоје и фолдери унутар корисничког профила који могу садржати велике
количине података (и тиме доприносити спором пријављивању) а да кориснику нису јасно
видљиви. То су фолдери у којима разне апликације (нпр. интернет експлорер) чувају
привремене документе (нпр. кеширане веб странице). Изузимање ових фолдера из профила
смањује величину профила без много утицаја на корисничко окружење.
1. У оквиру алатке „Group Policy Management“ уочити организациону јединицу Београд,
притиснути десним дугметом миша и изабрати опцију „Create a GPO in this domain
and link it here ...“. Овим покрећемо поступак прављења нове полисе која ће бити
везана за организациону јединицу "Београд" и која ће евентуално (зависи који део
полисе се подешава) утицати на налоге за рачунаре и налоге за кориснике који се
налазе у овој организационој јединици.
2. У дијалог прозору за име полисе дефинисати име "Београдска" и кликнути на "ОК"
(слика 4.10).
Слика 4.10 : Дефинисање нове групне полисе
3. Овим је направљена нова групна полиса без и једног подешавања, која је везана за
организациону јединицу "Београд". Како бисмо могли да је изменимо неопходно је
кликнути десним кликом на групну полису "Београдска" и изабрати опцију "Edit".
4. Отворити грану „User Configuration / Policies / Administrative Templates /System / User
Profiles“.
5. У десном пољу уочити „Limit Profile Size“ и двоструким кликом отворити подешавање
(слика 4.11).
74
IV Вежба
Слика 4.11 : Подешавање корисничких профила
6. Изабрати опцију „Enabled“ како бисмо укључили ово подешавање у полиси.

Уочити колико је ограничење за кориснички профил.
8. У десном пољу уочити „Exclude directories in roaming profile“ и двоструким
кликом миша отворити подешавање.
9. Изабрати опцију „Enabled“ како бисмо укључили ово подешавање.
10. Изабрати картицу „Explain“ како бисмо видели који су фолдери изузети из
профила.
Осим овога постоји још једно подешавање које се тиче покретних профила. И
фолдер „My Documents“ , подразумевани фолдер за смештање докумената, део је
покретног профила и у подразумеваном стању копира се са сервера на локалну
станицу сваки пут када се корисник пријави са радне станице. Групна полиса има
подешавање које омогућава да се овај фолдер, као и неки други фолдери, преусмери
на неко друго место. На пример, „My Documents“ може се преусмерити у лични фолдер
и тиме искључити из синхронизовања профила, при чему лични подаци корисника
остају лако доступни.
1. Отворити грану „User Configuration / Policies / Windows Settings / Folder
Redirection“.
75
Слика 4.12 : Преусмеравање фолдера
2. У десном пољу уочити „Documents“, притиснути десним дугметом миша и изабрати

опцију „Properties“.
Слика 4.13 : Подешавања за My Documents
76
IV Вежба
3. У пољу „Settings“ изабрати опцију „Basic-....“

4. У пољу „Target folder location“ изабрати опцију „Redirect to the user‘s home directory“.
6. Затворити едитор полиса.
Активност 7 : Провера функционисања групних полиса

18. Пријавити се са радне станице као корисник jpetrovic са лозинком „Password2“.
19. Кликнути на дугме „Start“, и уочити фолдер „My Documents“.
20. Притиснути десним дугметом миша по иконици „My Documents“.
21. Изабрати опцију „Properties“.
22. Уочити локацију овог фолдера.
23. Кликнути на дугме ОК.
24. Уочити у доњем десном дугмету екрана иконицу која приказује тренутну величину
профила.
77
V ВЕЖБА
АНАЛИЗА МРЕЖНИХ РЕФЕРЕНТНИХ МОДЕЛА
Циљ вежбе је да се студенти упознају са референтним комуникационим моделима.

Као два најважнија издвојени су OSI референтни модел и TCP/IP референтни модел.
У самој вежби биће извршена анализа поједниачних слојева ова два модела. У
практичном делу вежбе биће посвећена пажња конфигурацији IP адресе на хосту,
раду ARP протокола као и начину анализе мрежног саобраћаја.
V Вежба
5. Анализа мрежних референтних модела

5.1 Увод
Рачунарску мрежу можемо описати као скуп уређаја који су међусобно повезани
медијумом. Крајњи корисници, људи, користе мрежу за различите потребе: слање и примање
порука електронске поште, приступ информацијама које се налазе на удаљеним рачунарима,
преност звука, слике и сл. Са аспекта крајњег корисника ради се о одговарајућем сервису
мреже који постаје доступан употребом одговарајућег корисничког уређаја (рачунара,
мобилног телефона) и одговарајуће апликације.
Сервис мреже се обезбеђује усклађеним радом многобројних софтверских и хардверских
компоненти које генеришу податке, идентификују крајње тачке комуникације, управљају
преносом података од једне до друге крајње тачке, савладавају проблеме преноса података
по медијуму, повезивање група рачунара и корисника који користе различите медијуме и који
могу бити географски удаљени. Како би разнородни уређаји могли међусобно да
комуницирају, развијени су протоколи, скупови правила који управљају комуникацијом.
Сложен задатак комуникације, обезбеђивања сервиса крајњем кориснику, подељен је у
мање управљивије и лакше разумљивије задатке. Уочени су специфични аспекти
комуникације, на пример:
1. „корисников претраживач захтева веб страницу од сервера“
2. „два софтверска процеса на различитим уређајима преносе податке без губитака и
грешака“
3. „између два јасно идентификована рачунара који се налазе на различитим мрежама
на различитим крајевима света преносе се подаци“
4. „рачунар преноси податке преко медијума на који је повезан заједно са другим
рачунарима“
5. „бинарни подаци се кодирају и преносе по медијуму“
За сваки од подзадатака, сваки аспект међусобне комуникације, развијени су протоколи,
правила која решавају тај аспект комуникације. Различите софтверске и хардверске
компоненте на крајњим уређајима решавају само свој подзадатак. Усклађеност рада свих тих
компоненти се обезбеђује јасним интерфејсом – шта свака поједина компонента треба да
обезбеди како би остале компоненте могле да користе резултате њеног рада.
5.2 Слојевита архитектура

Слојевита архитектура, слојевит модел комуникације, као што су OSI модел или TCP/IP
модел, дефинише слојеве, аспекте комуникације, односно подзадатке који се решавају у
процесу комуникације. На сваком слоју постоје софтверске или хардверске компоненте које
решавају задатке на том нивоу. За сваки слој одређена су правила, протоколи које
компоненте које раде на том слоју морају да поштују.
У слојевитој архитектури се јасно уочава место сваког протокола у хијерархији протокола.
Сваки протокол има јасан интерфејс – које услуге обезбеђује протоколу који се налази на
слоју изнад. Са друге стране, дати протокол своје задатке решава користећи услуге слоја
испод. Два најпознатија слојевита модела комуникације су OSI модел и TCP/IP модел.
79
5.3 OSI референтни модел и TCP/IP референтни модел

OSI (енг. Open System Interconnected) модел је детаљнији, и задатак комуникације дели на
7 слојева, при чему је предвиђено да на сваком слоју постоје протоколи који имплеметирају
функционалност која се очекује на том нивоу. Због детаљнијег описа, и више слојева
односно протокола који су потребни, OSI модел је тежи за имплементацију и данас се
користи само као референтни модел, односно модел за дискутовање и анализу других
модела.
TCP/IP модел је једноставнији и данас је у широкој употреби. TCP/IP фамилија протокола
представља основ за изградњу глобалне рачунарске мреже – Интернета.
Слика 5.1 : OSI и TCP/IP референтни модели
Задаци слојева, према OSI моделу су:

1. Апликациони слој: протоколи овог слоја омогућавају апликацијама заједнички језик за
комуникацију. Комуникационе компоненте корисничких апликација (нпр. веб претраживача,
клијената електронске поште и сл.) имплементирају ову функционалност. Типично,
протоколи на овом нивоу идентификују учеснике у комуникацији (веб претраживач и веб
сервер), захтевају ресурс и идентификују да ли је ресурс доступан (захтев за веб
страницом и одговор), синхронизују пренос података. Примери протокола на овом нивоу су
HTTP (на коме је заснован веб сервис), FTP (енг. File Тransfer Protocol), SMTP, POP, IMAP
(сервис електронске поште) и други.
2. Слој презентације: на овом слоју решавају се проблеми различитог кодирања и
представљања података на различитим рачунарима. Протоколи на овом нивоу треба да
обаве договор са другом страном око тога како да се протумаче подаци који се преносе:
ASCII или UNICODE, да ли су компресовани, да ли су шифровани и сл.
3. Слој сесије: протоколи на овом слоју требало би да се договоре око почетка, завршетка и
евентуалног опоравка прекинуте сесије између две апликације на различитим рачунарима.
4. Транспортни слој: протоколи на овом слоју треба да омогуће апликацијама на
различитим рачунарима поуздан пренос података са краја на крај, уз опоравак од
грешака, контролу тока. Пошто су рачунарске мреже засноване на преносу са
комутацијом пакета, задатак протокола на овом слоју је и да податке које генеришу
апликације сегментирају на мање управљивије целине – сегменте како би се могле
пренети рачунарском мрежом. Пошто је сасвим вероватно да постоји више мрежних
апликација како на једном тако и на другом рачунару који комуницирају, задатак овог
80
V Вежба
слоја је да омогући мултиплексирање конверзација, како би подаци пристигли на

рачунар били испоручени правој апликацији на том рачунару. Софтверске
компоненте које су саставни део оперативног система рачунара имплементирају
функционалност овог слоја.
5. Мрежни слој: протоколи на овом слоју омогућавају пренос јединица података, пакета,
од изворишног до одредишног рачунара, при чему пакети могу пролазити кроз велики
број посредних мрежа. Посредни уређаји, рутери, повезују мреже и усмеравају
пакете који потичу из једне мреже до одредишне мреже или до другог рутера на
путањи ка одредишној мрежи. Протоколи на овом нивоу имају задатак да омогуће
једиствено идентификовање рачунара (логичке адресе), без обзира на то како је
имплементирано повезивање рачунара на мрежу, и то на такав начин да се може
идентификовати и мрежа на којој се рачунар налази као и сам рачунар. Софтверске
компоненте које су део оперативног система рачунара имплементирају
функционалност овог слоја. Посредни мрежни уређаји, рутери такође имплентирају
функционалност овог слоја.
6. Слој везе података: овај слој има задатак да савлада медијум, и да од медијума који
омогућава простирање електричних или оптичких сигнала направи везу која може да
преноси податке. Протоколи овог слоја уобличавају своје јединице података оквире
(frames), који омогућавају синхронизацију предајника и пријемника на медијуму,
означавање почетка и краја трансмисије, идентификовање пријемника, откривање, а
код неких имплементација и опоравак од грешке. Постоје различите имплементације
протокола на овом нивоу у зависности од потреба: различити протоколи се користе
на WAN везама преко бакарних парица закупљених од посредника
телекомуникационих услуга, од протокола у локалним рачунарским мрежама у оквиру
једне зграде преко UTP каблова. За разлику од мрежног слоја, који се бави преносом
пакета између рачунара који се налазе на међусобно удаљеним мрежама не водећи
рачуна о томе како су те мреже имплементиране, слој везе података омогућава
пренос податка међу чворовима једне мреже. Када се ради о локалној мрежи,
мрежни адаптер имплементира функционалност овог слоја.
7. Физички слој: овај слој описује физичке, електричне карактеристике конектора и
медијума.
TCP/IP модел је нешто једноставнији (види слику 5.2) :
1. Нису предвиђени посебни слојеви апликације, презентације и сесије, већ јединствени
апликативни слој. То значи да се протоколи на овом слоју (http, ftp, smtp, и други)
сваки на свој начин договарају око презентације података и сесије.
2. Транспортни слој TCP/IP модела одговара истоименом слоју у OSI моделу. На овом
слоју функционишу протоколи TCP и UDP.
3. Интернет слој одговара мрежном слоју OSI модела. На овом слоју функционише IP
протокол који обезбеђује слање, усмеравање и примање пакета од једног рачунара,
кроз скуп мрежа повезаних рутерима до одредишног рачунара на удаљеној мрежи.
4. Слој приступ мрежи треба да апстрахује разлике у хардверској имплементацији
повезивања сваког од рачунара на Интернету на мрежни медијум. На овом слоју
решавају се проблеми слоја везе података и физичког слоја OSI модела. У локалним
мрежама на овом слоју се користи eternet, a функционалност приступа медијуму,
кодирања и декорирања извршава мрежни адаптер уз одговарајући управљачки
програм.
81
5.4 Комуникација између слојева на различитим рачунарима

Протокол на сваком слоју остварује своју функционалност размењујући јединице података
протокола са истим таквом компонентом на другом рачунару. Јединице података које се
размењују садрже контролне информације које су потребне за решавање проблема на том
слоју (нпр. идентификација рачунара или контола тока, или захтев за ресурсом). Постоји
логичка, привидна комуникација између истоимених протокола на различитим рачунарима.
Једини стваран ток података је онај који се одвија трансмисијом по медијуму.
Слика 5.2 : Комуникација истоимених слојева
5.5 Интерфејс између слојева на истом рачунару

Како би остварили своју функционалност протоколи на датом слоју користе услуге слоја
испод. Сваки протокол прави своје јединице података уносећи контролне информације које
су неопходне. Затим се та јединица података протокола предаје слоју испод како би се
обавио следећи подзадатак укупног посла комуникације. На слоју испод прихватају се подаци
без измене и додају нове контролне информације које су битне за задатке које решава тај
слој. Процес се назива енкапсулација. Када сви слојеви додају своје контролне информације,
врши се трансмисија података по медијуму (слика 5.3). На долазном рачунару одвија се
супротан процес, декапсулација. Декодирани битови предају се слоју везе података који
провери своје контролне информације и остатак преда слоју изнад, где се ствар понавља.
Слика 5.3 : Енкапсулација
82
V Вежба
ВЕЖБЕ
Активност 1: Анализа мрежног саобраћаја
За анализу ће бити коришћен програм „Wireshark“. Овај програм може да сними саобраћај
који допире до мрежног адаптера станице, а затим и да га рашчлани на одговарајуће
протоколе у хијерархији. Ухваћен саобраћај може се снимити у фајл и касније прегледати. У
овој активности погледаћемо снимак саобраћаја који је сачуван у фајл cap1.cap.
1. На Убунту радној станици покренути програм „Wireshark“: Програми -> Интернет ->
Wirehark.
2. У оквиру програма Wireshark отворити мени „File“, затим „Open“.
3. У дијалог прозору за навигацију пронаћи лични фолдер и у њему фајл cap1.cap.
Слика 5.4 : Прозор програма Wireshark
4. Притиснути на дугме „Отвори“.

Прозор програма састоји се од три панела (слика4):
• У највишем панелу може се видети редослед примљених пакета. Сваки пакет
означен је редним бројем и ознаком на релативној временској скали од почетка
снимања.
• Средњи панел приказује детаље ухваћеног пакета. Пакет је рашчлањен по
слојевима. Притиском на троугао поред назива неког протокола (са леве стране) могу
се видети детаљи - контролне информације које је тај протокол унео. Сваки панел
има сопствену траку на покретање (scroll bar) са десне стране, па је неки пут
потребно искористи је како би се видели детаљи протокола.
Слика 5.5 : Преглед детаља пакета
• Најнижи панел приказује у хексадецималном формату сиров, нерашчлањен садржај

пакета.
83
5. У горњем панелу селектовати пакет број 1 како би се у средњем панелу приказао

његов садржај.
6. Прегледаћемо садржај пакета од највиших слојева ка нижим. У средњем панелу
притиснути на троугао поред „Domain Name System (Query)“ како бисмо видели
детаље апликационог протокола који се користио. Овај протокол је задужен за
разрешавање имена хоста у IP адресу хоста. Овај пакет упућен је са радне станице
ка DNS серверу. Притиснути на троугао поред „Queries“ како бисмо уочили које име
треба да се разреши.
7. Поменута порука апликационог протокола преноси се енкапсулирана у јединицу
података протокола транспортног нивоа. DNS протокол користи UDP као транспортни
протокол. Погледаћемо његове детаље: притиснути на троугао поред „User Datagram
Protocol“. Овај протокол транспортног нивоа има задатак да омогући
мултиплексирање конверзација на рачунарима. Различити софтверски процеси на
једном и другом рачунару идентификују се бројем порта. Уочити изворишни број
порта, који означава клијентски процес који шаље упит, и одредишни број порта који
означава серверски процес коме је намењен упит.
8. Да би горенаведени UDP датаграм био успешно пренесен од рачунара до рачунара,
кроз (могуће) већи број мрежа повезаних рутерима, мора бити енкапсулиран у IP
пакет, на Интернет слоју TCP/IP модела (3. слој OSI модела). Овај слој додаје
контролне информације које су битне за јединствено идентификовање рачунара на
Интернету: изворишну и одредишну IP адресу. На основу одредишне адресе рутери
могу да усмере пакет ка одредишту. Притиснути на троугао поред „Internet Protocol“.
Треба уочити поља која су садржана у контролним информацијама – заглављу IP
пакета. Поља имају значења:
8.1 „Version“: верзија протокола која се користи.
8.2 „Header Length“: дужина читавог заглавља у 32-битним речима.
8.3 „Differentiated Services Field“: поље од једног бајта које се може користити за
обезбеђивање квалитета сервиса: различито третирање пакета у погледу
кашњења, пропусног опсега, и сл. за овај пакет.
8.4 „Total Length“: укупна дужина пакета.
8.5 „Identification“, „Flags“, „Fragment Offset“: Овај пакет ће у току даље енкапсулације
бити запакован у оквир на слоју приступа мрежи. Тај слој са своје стране има
ограничење у максималној величини пакета. Чак и када се испоштује захтев за
овим ограничењем, није сасвим сигурно да на путу ка одредишту овај пакет неће
морати да прође кроз мрежу за коју превазилази ово ограничење. Посредни
уређаји тада фрагментују пакет, и сваки фрагмент наставља пут самостално. На
долазном рачунару сви се фрагменти једног пакета могу препознати по томе што
имају исти идентификатор (поље Identification). Где се фрагмент налази у
оригиналном пакету назначено је у пољу „Fragment Offset“. Притиснути на троугао
поред „Flags“. Уколико је постављена заставица „More Fragments“ онда се ради о
једном од низова фрагмената оригиналног пакета. Уколико ова заставица није
постављена онда се или ради о последњем фрагменту или о пакету који није
фрагментован (тада је и Fragment Offset 0). Заставицу „Don‘t fragment“ може
поставити изворишни хост како би забранио фрагментовање овог пакета.
Уколико фрагментовање буде ипак неопходно (а забрањено) овакав пакет биће
одбачен од стране рутера који добије овакав немогућ задатак. Рутер може да
обавести рачунар да је пакет одбачен у транзиту.
84
V Вежба
8.6 „TTL -Time to Live“: представља време живота овог пакета на Интернету. Пакет
на путу до одредишта пролази кроз већи број посредних уређаја – рутера који га
усмеравају ка одредишту. Сваки рутер који проследи овај пакет смањи TTL вред-
ност у пакету за 1. Када вредност постане 0, рутер мора да одбаци пакет. Рутер
може да обавести да је пакет одбачен у транзиту.
8.7 „Protocol“: наведено је шта се носи као терет, „payload“, овог пакета. У овом
пакету то је UDP датаграм.
8.8 „Header Checksum“: контолна сума која може да открије да је пакет оштећен.
Оштећени пакети тихо се одбаце без икаквог обавештења.
8.9 „Source“, „Destination“: ово су логичке IP адресе, које јединствено идентификују
рачунаре на Интернету, изворишни и одредишни рачунар за овај пакет. То су 32-
битне вредности.
9. Да би гореописани пакет био пренет путем етернет медијума, који има сопствена
правила за комуникацију, потребно га је енкапсулирати у оквир података који
одговара протоколу на нивоу везе података. Притиснути на троугао поред „Ethernet II“
како бисмо видели контролне информације које се носе у заглављу овог оквира.
Поља имају значење:
o „Destination“, „Source“: ово су одредишна и изворишна физичка адреса чворова
на истом медијуму. Медијум који се користи је етернет. Свака станица на етернет
мрежи има јединствен 48-битни идентификатор: физичку адресу. Ова адреса на-
зива се и хардверска или MAC (Media Access Control) адреса. Оваква адреса је
хардверски уграђена у мрежни адаптер сваке станице. Прва 24 бита јединствено
идентификује произвођача мрежног адаптера. Преостала 24 бита прозизвођач
додељује својим адаптерима. Ове адресе имају само локално значење,
омогућавају да чворови прикључени на исти или премошћени медијум могу да
размењују оквире података. Немају сви рачунари на Интернету етернет адаптере
и на основу оваквих адреса не могу се усмеравати подаци од једног до другог
рачунара на различитим мрежама.
o „Type“: информација у етернет оквиру носи информације о томе шта се носи као
терет, „payload“ овог етернет оквира. Хексадецимална вредост 0x0800 означава
да је унутар овог етернет оквира IP пакет.
o У горњем панелу изабрати пакет број 2. Ово је одговор сервера. Рашчланити и
овај пакет у средњем панелу по слојевима.
• Већи део преосталог саобраћаја користи други протокол апликационог нивоа (HTTP),
који са своје стране користи другачији протокол транспортног нивоа (TCP уместо до
сада виђеног UDP). TCP протокол успостави логичку везу пре слања података.
Пакети 3, 4 и 5 делови су успоставе везе.
• Пакет 6 представља HTTP захтев за послат од клијента ка удаљеном веб серверу.
Изабрати пакет у горњем панелу. У средњем панелу изабрати троугао поред
„Hypertext Transfer Protocol“. Уочити да захтев има и елементе договора око
презентације података.
• HTTP захтев преноси се путем TCP протокола. HTTP захтев је енкапсулиран у TCP
сегмент. Изабрати троугао поред „Transmission Control Protocol“. Уочити контролне
информације које додаје овај протокол како би обезбедио поузданост и контролу
тока.
85
• До удаљеног сервера TCP сегмент стиже енкапсулиран у IP пакет. Притиснути на

троугао поред „Internet Protocol“ како бисмо видели контролне информације овог
протокола. Уочити одредишну IP адресу удаљеног сервера.
• Пошто је одредиште пакета удаљени рачунар на удаљеној мрежи, пакет најпре мора
да буде испоручен до посредног уређаја, рутера. Да би савладао медијум између
радне станице и рутера, пакет мора бити енкапсулиран у одговарајући оквир
података. Притиснути на троугао поред „Ethernet II“. Уочити изворишну и одредишну
физичку, MAC адресу. Изворишна MAC адреса је идентификатор мрежног адаптера
радне станице. Одредишна MAC адреса не припада удаљеном серверу, већ рутеру
до кога треба да буде прослеђен оквир података.
• Овако креиран оквир података преноси се по медијуму уз одговарајуће кодирање.
1. Затворити програм „Wireshark“.
2. Покренути веб претраживач „Firefox“. У адресном пољу унети www.viser.edu.rs али не
притискати дугме <ENTER>.
3. Покренути програм „Wireshark“: Програми -> Интернет -> Wireshark.
4. Из менија „Capture“ изабрати опцију „Interfaces“. У првој врсти, која означава први етернет
адаптер „eth0“, притиснути на дугме „Start“. На овај начин се отпочиње снимање саобраћаја
у реалном времену.
5. Вратити се у прозор програма „Firefox“ и притиснути дугме <ENTER>. Када се појави
страница са веб сервера вратити се у прозор програма „Wireshark“.
6. У програму „Wireshark“ отворити мени „Capture“ и изабрати опцију „Stop“ како бисмо
зауставили снимање.
7. У програму „Wireshark“, у пољу „Filter“ (изнад горњег панела) унети http и притиснути дугме
<ENTER>. Овако ћемо филтрирати приказ пакета – приказаће се само пакети који носе
поруке http протокола.
8. Рашчланити прва три пакета по слојевима. Уочити изворишне и одредишне, физичке и
логичке адресе.
9. Затворити програм „Wireshark“.
Активност 2: Повезивање рачунара на мрежу

У наставку вежби потребно је виртуелну машину која представља радну станицу повезати
на мрежу. Мрежа виртуелне машине треба да буде подешена тако да је „Адаптер1“ повезан
на „Интерфејс хоста“, „eth1“. Овај интерфејс на хосту представља додатни етернет адаптер
на Убунту радној станици.
Стандард који описује физички слој и слој приступа вези, који се користи у локалним рачу-
нарским мрежама назива се етернет. Каблови који се користе називају се UTP каблови –
неоклопљене упредене парице. Етернет такође претпоставља CSMA/CD (Carrier Sense
Multiple Access/Collision Detection) као начин на који станице приступају заједничком
медијуму.
Физичко повезивање остварује се тако што се један крај „straight-trough“ прикључи на
додатни мрежни адаптер Убунту радне станице. Други крај кабла треба прикључити на
уређај који врши концентрацију конекција – комутатор на столу. Користити било који
слободан порт. Комутатор је са своје стране укрштеним каблом повезан на комутатор у
лабораторији. На овакав начин је остварена физичка топологија тзв. “проширене звезде“.
86
V Вежба
Слика 5.6 : физичка топологија
1. Повезати додатни адаптер Убунту радне станице на комутатор. Покренути клијентску

виртуелну машину.
Некада се за сврху концентрације конекција користио hub, уређај који функционише на
физичком слоју - вишепортни рипитер. Трансмисију битова коју емитује једна радна станица,
хаб појача а затим емитује на све остале портове. Иако се ради о различитим парчићима
каблова, хаб је омогућавао станицама да деле исти медијум као да су прикључене на исто
парче кабла. Радне станице су у истом колизионом домену. Када једна радна станица
емитује битове, сви физички парчићи кабла су заузети. Уколико нека друга станица покуша
да емитује доћи ће до колизије. Осим тога каже се да су и све радне станице у истом
бродкаст домену, јер се и бродкаст поруке, намењене свима, емитују преко свих портова.
Употребом хаба обезбеђена је повезаност станица, али се појавио проблем већег заузећа
медијума. Преко порта на који је прикључена радна станица емитују се битови чак и ако
подаци који су садржани у њима нису намењени за ту станицу. Велики број рачунара
повезаних хабовима смањује перформансе мреже.
или концентратор
Слика 5.7 : Повезивање рачунара концентратором
Иако у кабловима постоје парице за пријем и пренос, ако се користи хаб, комуникација је
полу-дуплекс, што је последица чињенице да само једна станица може да преноси податке у
датом тренутку у оквиру једног колизионог домена.
87
Данас се за ове намене користи комутатор, уређај који ради на слоју везе података. Овај уређај
функционише као вишепортни мрежни мост. Када радна станица А шаље оквир података за радну
станицу Б, комутатор транспарентно премости два порта на која су прикључени сегменти каблова
станица А и Б. На тај начин оквир података не заузима сегмент медијума који користи станица Б.
Станица Б је слободна да истовремено шаље податке на пример станици Г и да при томе не
долази до колизије. Када се користи комутатор иза сваког порта налази се нови колизиони домен.
Са друге стране, поруке намењене свима – бродкаст поруке комутатор прослеђује на све портове,
па су станице још увек у истом бродкаст домену.
Слика 5.8 : Повезивање рачунара комутатором
Иако су перформансе мреже на овај начин побољшане, радне станице су још увек у
истом бродкаст домену. И велики број рачунара у истом бродкаст домену такође смањује
перформансе мреже, јер све радне станице примају овакве поруке чак и ако нису за њих
намењене.
Коришћење комутатора уместо хаба потпуно је транспарентно за радне станице. Не
захтева се никаква конфигурација слоја везе података на рачунару због замене хаба
комутатором. Разлика је у бољим перформансама мреже, због изостанка колизија, као и у
томе што комутатор омогућава full-duplex комуникацију.
Активност 3: Конфигурисање IP адресе

Повезивањем рачунара на комутатор, решени су:
• Проблеми повезивања на физичком слоју, јер постоји физичка веза између радне
станице и посредног мрежног уређаја комутатора.
• Решен је и проблем повезивања на слоју везе података, јер сваки мрежни адаптер
има хардверски подешену јединствену физичку (MAC) адресу која га јединствено
идентификује, а сам мрежни адаптер имплементира неопходну функционалност
приступа медијуму (CSMA/CD).
Како би серверски процеси на рачунару могли да комуницирају са другим сервисима на другим
рачунарима потребно је извршити конфигурисање на 3. слоју. У оквиру конфигурисања 3. слоја OSI
модела потребно је рачунар конфигурисати са једиственом IP адресом.
1. Пријавити се на Windows виртуелну машину као корисник „administrator“ са лозинком
„password“.
2. Притиснути на дугме Start, затим „Control Panel“ -> „Network Connections“ -> „Local Area
Connection“. Приказаће се дијалог прозор у коме видимо статус ове мрежне конекције.
88
V Вежба
3. Притиснути на дугме „Properties“, како бисмо видели својства ове мрежне конекције.
Можемо видети софтверске компоненте које су „везане“ за овај адаптер. Неке од ових
компоненти имплементирају апликационе протоколе „File and Print sharing...“. Компонента
„Internet Protocol (TCP/IP)“ имплементира 3. и 4. слој OSI модела.
4. Изабрати „Internet Protocol (TCP/IP)“ a затим притиснути на дугме „Properties“.
За нормално функционисање рачунара на мрежи неопходно је да се конфигурише IP адреса
рачунара. Генерално адреса се може добити динамички, уз помоћ посебног сервиса који омогућава
DHCP (Dynamic Host Configuration Protocol) сервер који може да постоји у мрежи. Други начин је да
се адреса додели статички, ручно од стране администратора. Подразумевано је изабрана опција
„Obtain IP address Automatically“ што значи да адреса треба да се добије динамички од стране
DHCP сервера. У овој активности треба статички конфигурисати IP адресу.
Изабрати опцију „Use the following IP address“ и поља испод попунити на следећи начин:
1. „IP Address“: унети 172.17.32.x*2 где је x број станице, нпр. ако је број станице 55
треба унети 172.17.32.110. Ово треба да буде број који јединствено идентификује
рачунар на Интернету.
2. „Subnet Mask“: унети „255.255.255.0“. У претходно унетој IP адреси постоји
хијерархија два дела. Један део адресе представља адресу мреже а други део
адресу хоста на тој мрежи. Маска означава који битови адресе представљају мрежни
део.
3. „Default Gateway“: унети 172.17.32.1. Ово је адреса интерфејса рутера који ову
мрежу, овај бродкаст домен, повезује са другим мрежама.
4. „Prefered DNS server“: унети 172.16.1.1. Ово је адреса DNS сервера задуженог да име
рачунара, нпр. www.viser.edu.rs, разреши у IP адресу рачунара како би могла да се
одвија комуникација на 3. слоју OSI модела.
5. Притиснути на дугме OK, поново ОК, а затим Close.
Активност 4: Провера IP адреса

1. Притиснути на дугме „Start“, па затим на „Run“.
2. У „Run“ пољу унети: cmd.
3. Притиснути на OK, како бисмо покренули командни прозор.
4. Једноставна верификација унете IP адресе врши се командом ipconfig. Унети ipconfig
и притиснути дугме <ENTER>. Проверити да ли су унете информације одговарајуће
према вредностима из претходне активности.
5. У командној линији унети „ipconfig /all“ (без наводника) како бисмо добили више
информација.
Уочити:
• име рачунара („host name“).
• физичку адресу („Physical Address“) ово је физичка адреса етернет адаптера која је
неопходна за приступ медијуму на етернет мрежама. Зове се и MAC адреса.
• Да ли је IP адреса добијена од DHCP сервера или статички конфигурисана („DHCP
enabled“).
89
Активност 5: Провера функционисања IP протокола

Постоји уобичајена процедура за проверу функционисања IP протокола на рачунару и
откривање проблема. Процедура се ослања на једноставну команду – ping. Ова команда,
доступна на свим оперативним системима омогућава да се на произвољну адресу пошаљу
посебне поруке: ECHO. Рачунар који прими овакву поруку одговара са ECHO REPLY. Уколико
рачунар добије одговор на своју ECHO поруку може се закључи да између два рачунара
мрежа функционише на 1., 2. и 3. слоју OSI модела. За слање порука користи се протокол
под називом ICMP (Internet Control Message Protocol) који функционише на 3. слоју OSI
модела.
У командној линији унети: „ping 127.0.0.1“. Ово је адреса такозване локалне петље
(loopback), софтверски имплементираног интерфејса на сваком рачунару који има
имплементиран TCP/IP. Уколико се не добију никакви одговори то значи да IP протокол није
инсталиран на рачунару.
У командној линији унети: „ping 172.17.32.2*x“, односно ping на сопствену IP адресу.
Уколико се не добију одговори, могуће је да се сугерише да IP протокол није везан за мрежни
адаптер, због погрешне конфигурације или отказа адаптера.
У командној линији унети: „ping 172.17.32.1“. У нашем случају ово је адреса
подразумеваног мрежног пролаза. За овај корак могла би се користити било која адреса у
локалној мрежи (нпр. адреса суседног рачунара). Овај корак проверава повезаност рачунара
у локалној мрежи. Уколико се не добију одговори то би могло да значи да постоји проблем са
везом овог рачунара на мрежу.
У командној линији унети: „ping 172.16.1.11“. Ово је адреса неког рачунара на другој
мрежи. Уколико се добију одговори можемо знати да је конфигурисани подразумевани
пролаз исправан.
У командној линији унети: „ping www.viser.edu.rs“. Уколико се у ping команди реферишемо
на име рачунара и добијемо одговор, посредно знамо и да разрешавање имена уз
конфигурисани DNS сервер функционише.
Обратити пажњу и на одговоре на ping. Приказано је повратно време (Round Trip Time) и
TTL вредност која је послата у пакетима. После 4 одговора приказано је минимално,
максимално и просечно повратно време као и проценат изгубљених пакета.
Активност 6: ARP табела

У току претходне активности са рачунара смо слали пакете до других рачунара. У тим
пакетима је као изворишна IP адреса била наведена IP адреса нашег рачунара, а као
одредишна адреса адреса коју смо навели у ping команди. За пренос пакета преко етернета
потребно је на слоју везе података унети додатне контролне информације: изворишну и
одредишна физичку адресу. Сваки рачунар зна сопствену физичку адресу. Одредишна
адреса се динамички, по потреби открије уз помоћ ARP (Address Resolution Protocol)
протокола. ARP је неопходан на бродкаст мрежама са вишеструким приступом какав је
етернет. На серијским, тачка-тачка везама ARP се не користи.
ARP функционише на принципу захтев-одговор у 2 корака. На крају та два корака, стране
које комуницирају имају у меморији мапирање IP адресе у физичку адресу за рачунар са
којим размењују пакете.
У првом кораку станица која иницира слање пакета, бродкаст поруком објави своје
мапирање IP/физичка адреса, и наведе IP адресу станице којој жели да пошаље пакет.
90
V Вежба
У другом кораку станица која је била наведена у питању запамти мапирање IP/физичка
адреса станице која је послала упит, а затим на уникаст физичку адресу пошаље одговор.
Како би се смањила количина бродкаст порука једно одређено време се ова мапирања
кеширају у меморији рачунара, како слање новог пакета не би изазвало нову бродкаст
поруку.
1. У командној линији унети: „ping 172.17.32.1“, како бисмо послали пакет на адресу у
локалној мрежи.
2. У командној линији унети: „arp -a“. Приказује се arp кеш: мапирање IP/Физичка адреса
за рачунаре са којима су недавно размењени пакети.
3. Комплетан ARP кеш може се избрисати. Унети: „arp -d *“.
4. Проверити да ли је arp кеш празан,унети „arp -a“.
5. Поново послати неколико пакета: „ping 172.17.32.1“.
6. Слање пакета захтевало је нови arp захтев и одговор, који је кеширан. Проверити са:
„arp -a“.
7. Погледати остале опције arp команде са „arp /?“. Уочити и да се arp табела може
статички напунити.
На слици 5.9 приказан је пример ARP захтева. Поред поља у етернет оквиру у који је ARP
захтев енкапсулиран, као и поред поља у самом ARP захтеву јесу објашњења. Пошиљалац је
навео сопствену физичку адресу и IP адресу. АRP је послат као бродкаст порука, коју ће
примити сви рачунари у бродкаст домену. Потражује се физичка адреса рачунара са IP
адресом 89.216.220.1. По пријему ове бродкаст поруке тај рачунар ће мапирање изворишног
рачунара (00:15:f2:45:53:d4->89.216.221.122) ставити у своју arp табелу. Пошто му је позната
физичка адреса првог рачунара, нема потребе да се за одговор користи бродкаст.
Слика 5.9 : ARP захтев
91
На слици 5.10 приказан је одговор. Уочити да је одговор стигао на уникаст адресу.
Слика 5.10 : ARP одговор
Након пријема одговора оба рачунара имају мапирања у ARP табели.
Активност 7: Снимање ARP саобраћаја

1. На Windows виртуелној машини инсталирати програм Wireshark (из фолдера C:\alati).
2. Покренути програм Wireshark.
3. Отворити командну линију и обрисати arp кеш.
4. Покренути снимање саобраћаја.
5. У командној линији унети: „ping 172.17.32.1“. Када се приме сва четири одговора,
вратити се у програм Wireshark и зауставити снимање.
6. У пољу „Filter“ изнад горњег панела унети arp и притиснути дугме <ENTER> како
бисмо филтрирали само овај тип саобраћаја.
7. Уочити захтеве и одговоре. Рашчланити их на слојеве. Зашто је могуће да су
снимљени захтеви са других станица? Зашто нису снимљени одговори ка другим
станицама? Да ли би снимак био другачији да је уместо комутатора коришћен хаб?
8. Уочити ознаку за тип у Eternet оквирима.
9. У пољу „Filter“ изнад горњег панела унети icmp уместо arp и притиснути дугме
<ENTER> како бисмо филтрирали само овај тип саобраћаја.
10. Рашчланити их на слојеве. Да ли има саобраћаја који не потиче или није намењен
овој станици (проверити изворишну и одредишну IP адресу).
Уочити ознаку за тип у Eternet оквирима. Да ли се разликује од оне која је била коришћена
у ARP захтевима?
92
V Вежба
93
VI ВЕЖБА
IP АДРЕСИРАЊЕ
Циљ вежбе је да се студенти упознају са IP адресирањем, типовима адреса, како се

адресе представљају у бинарној и децималној форми. Поред тога биће речи и о
типовима адреса, класама адреса, као и о принципу поделе адресног простора
подмрежавањем. На крају вежбе студентима су на располагању задаци из поменутих
области.
VI Вежба
6. IP адресирање
6.1 Увод
Један од задатака мрежног слоја OSI модела (Интернет слој TCP/IP модела) јесте и да
обезбеди пренос јединица података између два рачунара који се (могуће) налазе на
различитим мрежама (различитим бродкаст доменима), и између којих се налази више
посредних мрежа. Како би се решио тај задатак на мрежном слоју мора да се:
1. Дефинише шема адресирања која јединствено идентификује рачунаре на Интернету
(скупу међусобно повезаних мрежа).
2. Дефинише шема адресирања која је независна од хардверске имплементације
приступа мрежи и протокола који се користе за приступ медијуму на тим мрежама.
Два удаљена рачунара морају да комуницирају без обзира што се у мрежи првог
рачунара, на пример, користи етернет, подаци пролазе кроз низ мрежа које користе
ppp, frame relay, бежични приступ и на крају стижу до хоста који је на мрежу повезан
ADSL-ом. Ове адресе, независне од хардверске имплементације, називају се логичке
адресе.
3. Дефинише механизам усмеравања саобраћаја – рутирање, како би јединице
података потекле са једног рачунара, биле успешно усмерене кроз сплет међусобно
повезаних мрежа до одредишне мреже и рачунара за који су намењене. Задатак да
имплементирају ову функцију имају пре свега рутери, уређаји који повезују различите
мреже (бродкаст домене) преко 3. слоја OSI модела.
4. Како би рутери могли реално да остварују свој задатак, шема адресирања треба да
садржи хијерарију (мрежа-рачунар), односно адресе морају да буду не само
јединствене него да у себи имају довољно информација да се идентификује не само
одредишни рачунар, него и мрежа у којој се он налази.
У TCP/IP фамилији протокола, функционалност мрежног слоја обавља Inernet Protocol - IP.
Његове јединице података које преноси између два рачунара на различитим мрежама
називају се IP пакети. Пакети имају своје заглавље, контролне информације, битне за
функционисање овог протокола.
Слика 6.1 : Заглавље IP пакета
Међу контролним информацијама налазе се и изворишна и одредишна IP адреса. Ово су

такозване логичке адресе, независне од хардверских, физичких адреса које рачунари имају
уколико су повезани на етернет мрежу. Поље за адресу дуго је 32 бита. Иако се то на први
поглед не види, адреса (на пример 85.10.194.212) има два дела, део који представља мрежу
95
рачунара, као и део који јединствено идентификује рачунар на тој мрежи. На основу
информације о дестинационој мрежи посредни мрежни уређаји – рутери, могу да усмере
пакет из мреже у мрежу, омогућавајући пренос података између два рачунара у различитим
бродкаст доменима, који самим тим нису један другом директно доступни и који без услуге
рутера не би могли да међусобно комуницирају.
6.2 IP адресе
IP адресе су 32-битни бројеви који јединствено идентификују рачунар на Интернету. На
пример: 11000000101010000001111000001010 могло би да представља адресу неког
рачунара на Интернету. Како би се олакшало конфигурисање адреса на рачунарима уведена
је конвенција да се адресе уносе и пишу у децималној нотацији са тачком. Односно 32 бита
се разбију у 4 октета (бајта), одвоје са „.“, а затим сваки бајт напише као децимални број.
Слика 6.2 : Децимална нотација са тачком
Део битова у адреси представља адресу мреже и заједнички је у свим адресама рачунара
у тој мрежи, док је део битова јединствен и означава рачунар на тој мрежи. Својевремено су
све адресе подељене у групе, класе, према томе како изгледа први октет (с лева надесно).
Према томе у коју класу спада адреса, одређиван је и број битова који у адреси представља
мрежни део. Иако се класе адреса још увек препознају, данас се мрежни део не
претпоставља већ мора бити експлицитно наведен. Један начин да се наведе мрежни део
адресе је мрежни префикс.
Слика 6.3 : Мрежни префикс
У ознаци 192.168.30.10/24, показује се да првих 24 бита (с лева надесно) представља

адресу мреже, док преосталих 8 (32-24=8) битова означава дати рачунар-хост на тој мрежи.
Ако издвојимо само битове који представљају мрежни део (остале битове поставимо на 0)
добијамо 192.168.30.0/24 што представља адресу читаве одредишне мреже. Адресе мрежа
корисе рутери како би усмеравали саобраћај.
96
VI Вежба
Сви рачунари у тој мрежи имају адресе које изгледају као 192.168.30.x, односно имају
идентични мрежни део адресе. У нашем случају само последњих 8 битова се користи да
јединствено идентификује рачунаре на тој мрежи. Број могућих идентификатора рачунара на
тој мрежи одређен је бројем битова који се користи за ту потребу (8 у нашем случају). Број
могућих комбинација битова унутар тих 8 је 28=256, што би значило 256 различитих
идентификатора рачунара. Стваран број је мањи за 2, јер две комбинације имају специјално
значење:
1. Сви битови у хост делу адресе постављени на 0 означавају адресу читаве мреже:
192.168.30.0.
2. Све јединице у хост делу адресе постављене на 1 означавају бродкаст адресу за ту
мрежу: 192.168.30.255.
односно број јединствених идентификатора за хостове је 28-2=254.
Адреса је 32-битни бинарни број који се представља у децималној нотацији са тачком. Један
начин да се представи који део адресе представља мрежни део јесте да се адреса напише
са мрежним префиксом (192.168.30.10/24). Префикс означава који број битова у адреси
представља мрежни део адресе. Преостали, не мрежни део адресе, назива се хост део и
јединствено означава рачунар на тој мрежи. Број битова у хост делу адресе ограничава број
хостова који се могу јединствено адресирати у тој мрежи. Уколико се у хост делу налази n
бита, број јединствених адреса је 2n-2. Број јединствених адреса је за 2 мањи од броја
комбинација: 2n, јер две комбинације битова у хост делу имају специјално значење. Све нуле
у хост делу означавају адресу саме мреже. Све јединице у хост делу означавају бродкаст
адресу за ту мрежу.
У овом примеру мрежни префикс завршавао се на граници октета (/24 су прва три октета),
па је и без конвертовања у бинарни облик могло да се уочи који је мрежни део, а који хост
део у адреси. Слично томе уколико је мрежни префикс /8 или /16, дакле на граници првог
односно другог октета, без конвертовања можемо уочити мрежни и хост део, а тиме и адресу
мреже, односно бродкаст адресу мреже. На пример:
1. 17.4.5.5/8: мрежа је 17.0.0.0
2. 157.23.3.6/16: мрежа је 157.23.0.0
У општем случају граница мрежа/хост не мора да буде на граници октета па је неопходно
конвертовање адресе у бинарни облик.
6.3 Претварање бинарног октета у децимални облик

Олакшавајућа околност при конвертовању адреса из бинарног у децимални облик је то
што се ради са фиксним величинама, октетима, при чему није тешко написати тежинске
ознаке које поједине позиције у октету имају:
97
Слика 6.4 : Тежинске ознаке позиција у бајту
Тежинске ознаке бита најмање вредности (крајње десно) је 20=1. Свака следећа позиција
(здесна налево) има два пута већу вредност.
На тај начин претходни пример био би:
Слика 6.5 : Конвертовање из бинарног у децимални облик
6.4 Претварање из децималног у бинарни облик

Олакшавајућу околност да се ради са октетима користићемо и у поступку за
конвертовање децималног у бинарни облик. Највећи број који се у бинарном облику може
сместити у октет је 255. Поново треба почети тако што се напишу тежинске ознаке позиција у
октету. Упоређујући децимални број који треба да се конвертује, са тежинском вредношћу
бита највише вредности (b7=128), одређујемо да ли бит на тој позицији треба да се постави
на 1.
Уколико је број који се конвертује већи или једнак, бит постављамо на 1, израчунавамо
разлику и са разликом понављамо алгоритам за тежинску вредност следећег бита (b6=64).
На слици је приказан део алгоритма.
98
VI Вежба
Слика 6.6 : Део алгоритма за конвертовање у бинарни облик
На пример, потребно је конвертовати број 215 у бинарни облик:

1. 215 је веће (или једнако) од 128, бит највише вредности је 1; за сада октет изгледа
као 10000000; разлика је 215-128=87.
2. Прелазимо на позицију са тежинском ознаком 64; 87 је веће од 64; бит b6
постављамо на 1; за сада октет изгледа као 11000000; разлика је 87-64=23.
3. Прелазимо на позицију са тежинском ознаком 32; 23 није веће од 32; бит b5
постављамо на 0; октет још увек изгледа као 11000000; не рачунамо разлику.
4. Прелазимо на позицију са тежинском ознаком 16; 23 је веће (или једнако) од 16; бит
b4 постављамо на 1; октет сада изгледа као 11010000; разлика је 23-16=7.
5. Прелазимо на позицију са тежинском ознаком 8; 7 није веће од 8; бит b3 постављамо
на 0; октет још увек изгледа као 11010000; не рачунамо разлику.
6. Прелазимо на позицију са тежинском ознаком 4; 7 је веће од 4; бит b2 је постављен
на 1; октет сада изгледа као 11010100; рачунамо разлику: 7-4=3.
7. Прелазимо на позицију са тежинском ознаком 2; 3 је веће од 2; бит b1 је постављен
на 1; октет сада изгледа 11010110; рачунамо разлику: 3-2=1.
8. Прелазимо на позицију са тежинском ознаком 1; 1 је веће или једнако од 1; бит b0 је
постављен на 1; октет сада изгледа 11010111 што је и коначно решење; разлика је 1-
1=0; ово је крај рада алгоритма.
6.5 Маска подмреже

Други начин представљања границе мрежа/хост је уз помоћ маске подмреже. Маска подмреже
је 32-битни бинарни број (као и адреса) који има 1 на свим позицијама које у адреси представљају
мрежни део, а 0 на свим позицијама које у адреси представљају хост део.
На пример у првом примеру, адреса је била записана као 192.168.30.10/24. Одговарајућа
маска била би: 11111111.11111111.11111111.00000000, односно 255.255.255.0. Као што је
раније наведено граница мрежа/хост не мора да се налази на граници октета. На пример
уколико је адреса дата као 155.34.130.44/18, маска подмреже била би:
11111111.11111111.11000000.00000000, односно 255.255.192.0
99
На основу адресе и маске, као и операције бинарно „И“, може се одредити мрежни део
неке адресе. Ово одређивање део је доношења одлуке о даљем усмеравању пакета. На овај
начин сваки хост одређује да ли је одредишна адреса на локалној или удаљеној мрежи, како
би одлучио да ли пакет може да се директно испоручи или је потребна услуга рутера. На
сличан начин и рутер упоређује одредишну адресу са улазима у сопственој табели рутирања
како би одредио најбољи пут.
Слика 6.7 : Бинарно "И"
На пример у горњем примеру: 155.34.130.44, са маском 255.255.192.0:
Слика 6.8 : Одређивање мрежног дела адресе
Овако је одређен мрежни део адресе 155.34.130.44: то је 155.34.128.0. Такође можемо да

видимо да се хост део адресе не састоји од свих нула или свих јединица, па је 155.34.130.44
валидна адреса хоста.
Адреса дате мреже је 155.34.128.0, док бродкаст адресу те мреже добијамо тако што све
битове у хост делу поставимо на 1: 10011011.00100010.10111111.11111111, односно
155.34.191.255.
6.6 Класе адреса

Првобитни начин поделе адресе на мрежни и хост део заснивао се на сврставању адресе
у једну од дефинисаних класа. Дефинисане су класе адреса:
• Класа „А“: у ову класу спадају адресе које у бинарном облику почињу са 0 (здесна
налево, бит највише вредности). Код ове класе подразумевани мрежни префикс је /8,
односно маска 255.0.0.0. У децималном облику овакве мреже изгледале би као:
1.0.0.0 до 126.0.0.0. Технички и мрежа 127.0.0.0 спада у класу А али ова мрежа има
специјално значење: адреса 127.0.0.1 је специјална адреса локалне петље,
софтверски имплементираног интерфејса који се користи за дијагностику TCP/IP
протокол стека.
• Класа „Б“: у ову класу спадају адресе које у бинарном облику почињу са 10. Код ових
адреса подразумева се да је префикс /16, односно маска 255.255.0.0. У децималном
облику ове мреже изгледају као 128.0.0.0/16 до 191.255.0.0/16.
• Класа „Ц“: у ову класу спадају адресе које у бинарном облику почињу са 110. Код
ових адреса подразумева се да је мрежни префикс /24, односно маска 255.255.255.0.
У децималном облику ове адресе изгледају као: 192.0.0.0/24 до 223.255.255.0/24.
100
VI Вежба
• Класа „Д“: у ову класу спадају адресе које у бинарном облику почињу са 1110. Ово су
адресе за мултикаст саобраћај код којих нема смисла говорити о мрежном и хост
делу. У децималном облику ове адресе изгледају као 224.0.0.1 до 239.255.255.255
• Класа „Е“: у ову класу спадају адресе које почињу са 1111. Ове адресе су за
експерименталну употребу.
Додељивање адреса на овај начин уз подразумевање мрежног дела на основу класе
довело је до непотребног расипања адресног простора, који се на почетку чинио неисцрпним.
Осим тога у појединим класама, број бита који остаје у хост делу није реалан. На пример,
уколико се ради о мрежи из класе А, са префиксом /8, можемо видети да у хост делу постоји
24 бита. Односно, у свакој мрежи постоји 224-2 хостова. Ово је нереално велики број за један
бродкаст домен. Слично важи и за мрежу из класе Б.
Данас се користи бескласно адресирање, које омогућава да се граница мрежа/хост прилагоди
стварним потребама, односно потребном броју хостова. Пошто се маска више не може
подразумевати, неопходно је увек наводити маску подмреже или мрежни префикс. Остаје још увек
подела на адресе за уникаст саобраћај, односно адресе које спадају у класе А, Б, и Ц и адресе за
мултикаст саобраћај, класа Д. Адресе које спадају у класу Е се не користе.
6.7 Посебни случајеви адреса

Већ су поменуте неке од адреса које се не сматрају валидним адресама за
конфигурисање хостова.
• Адреса у којој су сви битови за хост 0; као што је већ речено ово је адреса мреже.
• Адреса у којој су сви битови за хост 1; ово је бродкаст адреса за ову мрежу,
такозвани усмерени бродкаст. Назива се овако јер је технички могуће усмерити
саобраћај на ову адресу и послати пакет на адресе свих хостова на некој мрежи.
Иако рутери овако нешто технички могу да ураде, већина рутера подразумевано
не усмерава ка оваквим адресама.
• 127.0.0.1, као и комплетна мрежа 127.0.0.0/8, је адреса за локалну петљу.
• 0.0.0.0 ово такође није валидна адреса хоста. Појављује се у табелама рутирања
као подразумевана рута или на хостовима који нису конфигурисани са адресом.
• 255.255.255.255: сви битови су 1; ово је још једна бродкаст адреса, такозвани
ограничени бродкаст. Ни технички се не може усмеравати.
6.8 Подмрежавање
Подмрежавањем се од IP адресног простора задатом IP мрежом и префиксом прави више
мањих мрежа. Пошто једна IP мрежа одговара једном бродкаст домену, примена на овакав
начин добијене шеме адресирања повлачи за собом последицу да се хостови и физички
раздвоје у засебне бродкаст домене.
Подмрежавањем се омогућава да се адресни простор додељује у мањим деловима.
Уместо огромног адресног простора који представљају мреже из класе А или Б, Интернет
посредник или организација за додељивање и регистрацију адреса, може некоме доделити
само део неке мреже из класе А, Б, или Ц који одговара реалном броју хостова у мрежи. На
тај начин се расположиви адресни простор штити од исцрпљивања.
Постоје и други разлози због којих би се примењивало подмрежавање. Понекад није у
питању само рационална потрошња адресног простора, већ захтев да се хостови раздвоје у
засебне бродкаст домене.
101
Хостови који се налазе у истом бродкаст домену један другом су непосредно доступни, а
то понекад није пожељно. Уколико се хостови раздвоје у засебне бродкаст домене та
чињеница мора да се одрази и у IP адресама тих хостова. Тада се од једног адресног
простора, једне мреже, подмрежавањем прави више подмрежа за сваки појединачни
бродкаст домен. Разлози за подмрежавање били би:
2. Раздвајањем рачунара у различите, мање бродкаст домене смањује се количина
бродкаста у сваком од њих.
3. Уколико се жели контрола саобраћаја између хостова, морају се раздвојити у
различите бродкаст домене. Комуникација између рачунара је тада могућа само
преко рутера који може да филтрира саобраћај по неком критеријуму.
4. Уколико сви хостови нису под истом административном капом. На пример Интернет
посредник изнајми део адресног простора неком предузећу. Мрежа предузећа и
остатак мреже посредника су под различитом администрацијом. Посредник
подмрежавањем само део свог адресног простора додели предузећу.
5. Уколико постоји транзиција медијума таква да не постоји стандардан начин за
премошћавање. На пример уколико се на једном сегменту мреже користи етернет, а
на другом frame relay. Та два сегмента не могу се транспарентно премостити и морају
се налазити у различитим бродкаст доменима.
Када су хостови у различитим бродкаст доменима, било из административних или из
техничких разлога, онда рачунари нису један другом директно доступни. Комуникација
између различитих бродкаст домена могућа је само ако се мреже повежу рутером. Рутери
могу пакете из једне мреже да проследе у другу мрежу уколико су конфигурисани са рутама
до тих мрежа. Рутери не прослеђују бродкаст, и на овај начин (преко 3 слоја) повезана два
бродкаст домена остају и даље 2 раздвојена бродкаст домена.
Када се хостови налазе у различитим бродкаст доменима, различитим IP мрежама, то се
мора одразити и на њихове адресе, односно мрежни део адреса тих хостова.
6.9 Поступак подмрежавања

IP адреса састоји се од два дела: мрежни део и хост део. Додатни ниво хијерархије
можемо добити тако што за ознаку подмреже унутар мреже позајмимо одређен, континуиран
број битова који су у оригиналној шеми адресирања били део хост дела адресе. На пример,
мрежу 192.168.30.0/24 можемо поделити на две подмреже тако што ћемо позајмити један
бит, бит највише вредности који је до сада представљао хост део адресе.
До сада у тој једној мрежи били су сви хостови чијих првих 24 бита (с лева надесно), у
децималном облику изгледа као 192.168.30.0. У току подмрежавања позајмили смо и 25. бит
(с лева надесно) и придружили га мрежном делу адресе. Тај позајмљени бит може бити
постављен на 0 или на 1. У прву групу хостова од сада спадају сви хостови код којих је
позајмљени бит 0, у другу групу хостова спадају сви хостови код којих је позајмљени бит 1.
102
VI Вежба
Слика 6.9 : Подела мреже на 2 дела
Број битова који сада спада у мрежни (и подмрежни) део је 25 па је то нови мрежни
префикс за ове две подмреже. Одговарајућа маска подмреже сада је 255.255.255.128.
С друге стране, број битова у хост делу сада је мањи за један позајмљени бит, па је и број
хостова у свакој подмрежи сада 27-2=126.
Уколико позајмимо n битова можемо добити 2n подмрежа, с друге стране, уколико преостане
m битова за хостове добијамо 2m-2 адреса за хостове у тим мрежама. О овој чињеници мора
се водити рачуна када се прави нова адресна шема мреже: да ли након позајмљивања
одређеног броја битова који су потребни за захтеван број мрежа, остаје довољан број битова
за хостове.
На основу овог правила може се и закључити да се позајмљивање може наставити све
док у хост делу не остане само два бита (префикс /30). Са два преостала бита у хост делу
може се адресирати 22-2=2 хоста. Ово је најмања могућа мрежа, са два хоста, и често се
користи за тачка-тачка везе између рутера.
Остале карактеристике подмрежа добијају се на уобичајен начин:
• Мрежа 192.168.30.0/25, прва адреса је 192.168.30.1, последња адреса је
192.168.30.126, бродкаст адреса је 192.168.30.127.
• Мрежа 192.168.30.128/25, прва адреса је 192.168.30.129, последња адреса је
192.168.30.254, бродкаст адреса је 192.168.30.255.
Бродкаст адреса за сваку од мрежа добијена је тако што је хост део попуњен
јединицама. Може се уочити да је последња адреса у мрежи за један мања од бродкаст
адресе, а да је следећа мрежа за један већа од бродкаст адресе.
У следећем примеру почетни адресни простор подељен је на 8 делова. За то је било
потребно позајмити 3 бита из хост дела.
103
Слика 6.10 : Подела на осам подмрежа
Оригинални адресни простор сада је подељен на подмрежу 0, подмрежу 1, ... до

подмреже 7. Адресу подмреже x добијамо тако што у позајмљеном делу упишемо бинарно x.
Бродкаст адреса за сваку од подмрежа добија се постављањем свих битова у хост делу на 1.
104
VI Вежба
ВЕЖБЕ
Активност 1: Претварање из бинарног у децимални облик
Претворити у децимални облик следећа октете:
а) 10111100
б) 11101100
в) 10001100
Активност 2: Претварање из децималног у бинарни облик

Претворити у бинарни облик следеће бројеве:
а) 155
б) 218
в) 47
Активност 3: Маска подмреже

1. Дата је адреса са мрежним префиксом: 192.168.2.113/25. Одредити маску подмреже,
адресу мреже и да ли је дату адресу могуће доделити хосту. Записе представити и у
бинарној и у децималној форми.
а) Маска подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
б) Адреса подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
в) Адресу је могуће доделити хосту?
да / не
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
да / не
105

бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
да / не
Активност 4: Подмрежавање
1. Мрежу 192.168.1.0/24 треба поделити на 3 подмреже и одредити следеће :
а) Нова маска подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
б) Адреса нулте подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса нулте подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса нулте подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса нулте подмреже : _____ . _____ . _____ . _____
в) Адреса прве подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса прве подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса прве подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса прве подмреже : _____ . _____ . _____ . _____
г) Адреса друге подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса друге подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса друге подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса друге подмреже : _____ . _____ . _____ . _____
106
VI Вежба
д) Адреса треће подмреже је:

бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса треће подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса треће подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса треће подмреже : _____ . _____ . _____ . _____
2. Мрежу 139.140.0.0 са подразумеваном маском за класу којој припада, треба поделити на

100 подмрежа и одредити параметре 14. подмреже :
а) Нова маска подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
б) Адреса 14. подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса 14. подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса 14. подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса 14. подмреже : _____ . _____ . _____ . _____
107
VII ВЕЖБА
КОНФИГУРАЦИЈА ХОСТОВА IP ПАРАМЕТРИМА И УСМЕРАВАЊЕ

ПАКЕТА НА МРЕЖНОМ СЛОЈУ
Циљ вежбе је да се студенти упознају са различитим начинима (статички и

динамички) за додељивање IP параметара мрежним адаптерима хоста (IP адреса,
маска подмреже, адреса подразумеваног пролаза, адреса сервера за разрешавање
имена...). Студенти ће бити такође упознати са основним принципима на којима се
заснива прослеђивање пакета у рачунарским мрежама.
VII Вежба
7. Конфигурација хостова IP параметрима и усмеравање пакета

на мрежном слоју
7.1 Увод
Како би хост могао да комуницира са осталим хостовима на мрежи неопходно је да има
подешене параметре IP протокола као што су IP адреса, маска мреже, подразумевани излаз,
адреса сервера за разрешавање имена (DNS) ... Генерално, постоје два начина да хосту
обезбедимо ове информације, а то су :
• статичка конфигурација и
• динамичка конфигурација IP параметара.
7.2 Статичка конфигурација IP параметара

Када говоримо о статичкој конфигурацији мисли се на то да се одређеном хосту додели
уникатна IP адреса и да се та адреса ручно унесе у конфигурацију хоста. Поред саме адресе
неопходно је ручно унети и остале потребне параметре, као што су маска подмреже, адреса
подразумеваног излаза итд. Ако узмемо у обзир да рачунарска мрежа просечно има стотине
и више рачунара, очигледан је недостатак оваквог система администрације и конфигурације
IP параметара. Поред много административног напора, он са собом носи и ризик од
прављења ненамерних грешака приликом уноса IP адреса. Добра страна статичке
конфигурације IP параметара јесте та да једном дефинисани IP параметри остају
непроменљиви до реконфигурације. Ово је од велике важности када су нпр. сервери у
питању. Незамислив би био приступ неком веб серверу чија би се адреса из дана у дан
мењала. То би значило да пре сваког приступа морамо да потражимо нову адресу сервера.
7.3 Динамичка конфигурација IP параметара

Други начин конфигурације хостова IP параметрима јесте динамичка конфигурација која
се обавља путем протокола за динамичку конфигурацију хостова DHCP (енг. Dynamic Host
Configuration Protocol). Логика овог принципа врло је једноставна. У једној рачунарској мрежи
треба подићи сервер који ће имати улогу конфигуратора клијената, доделити му IP
параметре које треба да обезбеди клијентима, и на крају подесити хостове да приликом
подизања оперативног система, односно мрежног интерфејса потраже DHCP сервер. Од
велике важности приликом имплементације оваквог решења је позиција DHCP сервера јер
он мора да буде доступан клијенту који још увек нема IP адресу. То конкретно значи да хост
и DHCP сервер морају да буду у оквиру исте локалне мреже и да између њих не постоји
рутер. Процес прибављања IP параметара од DHCP сервера одвија се кроз четири поруке
које хост и DHCP сервер размене, а то су:
• DHCP Discover порука (хост шаље серверу),
• DHCP Offer (сервер шаље хосту),
• DHCP Request (хост шаље серверу),
• DHCP Acknowledge (сервер шаље хосту).
Временски редослед ових порука приказан је на слици 7.1. Како хост нема адресу пре
слања DHCP Discover поруке, као изворишну адресу у пакету који шаље уписаће адресу
0.0.0.0, док ће као одредишну адресу ставити бродкаст адресу 255.255.255.255 из разлога
што не зна на којој се адреси налази DHCP сервер (нити има потребе то да зна). У случају да
109
Слика 7.1 : Временски редослед догађаја код DHCP протокола
је DHCP сервер на истој локалној мрежи као и хост (рутер не прослеђује бродкаст
саобраћај), он ће чути послати бродкаст, утврдити да је у питању захтев за DHCP услугом и
одговорити понудом. Ако на локалном сегменту постоји више DHCP сервера може се десити
да сви одговоре својим понудама, и у том случају клијент мора да се определи за једну
(најчешће за ону која је прва стигла). По пријему DHCP Offer поруке, хост одговара DHCP
Request поруком, коју опет шаље као бродкаст, али у којој наводи, у DHCP заглављу, чију
понуду прихвата. Сервери чија понуда није прихваћена повлаче се, док сервер чија је понуда
прихваћена шаље остале IP параметре у виду DHCP Acknowledge поруке.
Овакав систем динамичке конфигурације заснован је на принципу изнајмљивања адреса,
који се огледа у томе да се клијенту изнајмљује једна конкретна адреса на унапред
дефинисани период времена, по истеку кога клијент или мора да обнови изнајмљивање или
да престане са употребом већ добијене IP адресе. На овај начин омогућено је да само
активни клијенти користе расположиве IP адресе чиме се остварује уштеда у броју
неопходних IP адреса.
Принцип динамичке конфигурације хостова у великој мери је олакшао администрацију
средњих и великих рачунарских мрежа, превасходно због смањења административног
напора неопходног да би клијент био способан да "разговара", али и због смањења могућих
грешака у конфигурацији које се могу јавити приликом статичке конфигурације.
110
VII Вежба
7.4 Усмеравање (рутирање) података на мрежном слоју
Задатак трећег слоја OSI модела, односно Интернет слоја TCP/IP модела, јесте да
омогући комуникацију, односно размену јединица протокола података између рачунара који
се (могуће) налазе на различитим мрежама и (могуће) користе различите имплементације
физичког слоја и слоја везе података.
У TCP/IP фамилији протокола на овом слоју се налази IP протокол. Сем шеме
адресирања независне од хардверске и софтверске имплементације приступа мрежи, веома
важна функционалност на овом слоју је и рутирање, односно усмеравање пакета ка
одредишту. Интернет представља сплет међусобно повезаних мрежа које повезују рутери.
Пакет на свом путу од изворишног до одредишног рачунара прелази велики број посредних
рутера и мрежа. IP омогућава услугу преноса без успоставе везе и поузданости, што значи
да се пре слања пакета не успостави комуникациони канал с краја на крај. Уместо тога,
полазни рачунар упути пакет до интерфејса рутера који је конфигурисан као подразумевани
мрежни пролаз, који са своје стране упути пакет до следећег рутера на путањи. Следећи
рутер такође усмери пакет све док пакет не пристигне до рутера који је директно прикључен
на мрежу на којој се налази одредишни рачунар.
Слика 7.2 : Сплет мрежа повезаних рутерима
Процес рутирања састоји се од одређивања најбоље путање (који је то рутер „следећи на

путу до дестинације“), и комутирања пакета – пакет који је примљен на једном интерфејсу
после одређивања најбоље путање поново се енкапсулира и проследи преко другог
интерфејса на путу ка следећем рутеру.
Одређивање најбоље путање

Најбоља путања за пакет одређује се на основу одредишне адресе пакета који се
усмерава, као и на основу табеле рутирања коју рутер има. Табела рутирања је неопходна за
усмеравање пакета. Ниједан пакет не може да се усмери уколико не постоји одговарајући
улаз у табели рутирања. Уколико рутер нема потребне информације за усмеравање пакета,
пакет се одбацује, при чему се изворишном рачунару може послати информација о томе –
одговарајућа ICMP порука.
Табела рутирирања садржи мапирања облика удаљена мрежа - следећи рутер. У
терминологији везаној за рутирање следећи рутер назива се „next-hop“ рутер.
111
Слика 7.3 : Табела рутирања
На слици 7.3 приказана је табела рутирања једног рутера. У њој се налазе информације о
топологији мреже које овај рутер поседује.
Прва четири улаза у табелу (са ознаком „C“) представљају мреже на које је рутер
директно прикључен. Види се да рутер има три мрежна интерфејса:
1. eth0, којим је рутер повезан на мрежу 155.45.0.0/16 (четврти улаз).
2. eth1, којим је рутер повезан на мрежу 134.22.0.0/16 (трећи улаз).
3. eth2, којим је рутер повезан на мрежу 10.0.0.0/8 (први улаз).
Четврти улаз (други улаз), за мрежу 127.0.0.0/8 односи се на софтверски интерфејс –
локалну петљу.
Све горенаведене улазе, за директно прикључене мреже као и за мрежу локалне петље,
рутер може аутоматски да унесе у табелу рутирања пошто му се конфигуришу интерфејси.
Последња три улаза у табели рутирања односе се на удаљене мреже. Ове улазе рутер не
може сам да унесе. Информације о удаљеним мрежама у табелу рутирања може ручно да
унесе администратор рутера, или се могу научити од других рутера уколико се на рутеру
конфигурише одговарајући протокол за рутирање. У горњем примеру руте је унео
администратор, то су такозване статичке руте (ознака „S“). Та последња три улаза рутеру
говоре:
1. До мреже 172.17.0.0/16 стиже се преко („via“) следећег, „next hop“, рутера са адресом
134.22.2.2 преко интерфејса eth1.
Наведени мрежни префикси (/16,/24,/24) не значе да се на удаљеним мрежама заиста
користи тај мрежни префикс. Ти префикси говоре рутеру који број бита у дестинационој
адреси пакета треба да се поклопи са тим улазом да би тај улаз, са наведеним следећим
рутером, био коришћен за усмеравање пакета.
Поступак одређивања најбоље путање на основу одредишне адресе врши се
упоређивањем одредишне адресе у пакету са појединим улазима у табели рутирања. На
пример, претпоставимо да је до рутера стигао пакет који као одредишну адресу наводи
193.22.1.115. Поступак одређивања најбоље путање могао би да буде:
1. Први улаз је 10.0.0.0/8; да ли првих 8 ( због /8) битова одредишне адресе
(193.22.1.115) одговара овом улазу. Рутер у ствари уради бинарно „И“ одредишне
112
VII Вежба
адресе (193.22.1.115) и маске 255.0.0.0 (због префикса /8). Резултат је 193.0.0.0, што
је различито од 10.0.0.0, односно мреже за коју важи овај улаз. На основу тога рутер
закључи да одредишна адреса није на директно прикљученој мрежи 10.0.0.0.
2. На исти начин рутер закључи да дестинација 193.22.2.115 није ни на директно
прикљученим мрежама 127.0.0.0/8, 134.22.0.0/16 као ни 155.45.0.0/16.
3. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16)
дестинационе адресе 193.22.1.115 поклапа са овим улазом. Рутер у ствари уради
бинарно „И“ одредишне адресе (193.22.1.115) и маске 255.255.0.0 (због префикса
/16). Резултат је 193.22.0.0, што је различито од 172.17.0.0, односно мреже за коју
важи овај улаз. На основу тога рутер закључи да се дестинациона адреса не налази
на путањи која води преко следећег рутера, који је у овом улазу наведен (134.22.2.2).
4. На исти начин се одбаци и следећи улаз, за мрежу 172.17.5.0/24.
5. Последњи улаз је 193.22.1.0/24; да ли се првих 24 бита (због префикса /24)
одредишне адресе (193.22.1.115) поклапа са овим улазом. Рутер у ствари уради
бинарно „И“ одредишне адресе 193.22.2.115 и маске 255.255.255.0 (због префикса
/24). Резултат је 193.22.1.0 што управо одговара овом улазу. На основу овог улаза
рутер закључи да пакет треба да усмери преко рутера са адресом 10.2.2.2 преко свог
интерфејса eth2.
Да одговарајући улаз није пронађен, пакет би био одбачен. Одговарајућа ICMP порука о
томе да је одредиште недоступно могла би да буде упућена изворишном рачунару.
Погледајмо још један пример, претпоставимо да је рутер примио пакет у коме је као
одредишна адреса наведена 172.17.5.12.
Први улаз је 10.0.0.0/8; да ли првих 8 ( због /8) битова одредишне адресе (172.17.5.12)
одговара овом улазу. На претходно описан начин рутер закључи да овај улаз не одговара.
На исти начин рутер закључи да ни други, трећи ни четврти улаз не одговарају.
1. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16)
дестинационе адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради
бинарно „И“ одредишне адресе (172.17.5.12) и маске 255.255.0.0 (због префикса /16).
Резултат је 172.17.0.0, што одговара овом улазу: 172.17.0.0/16. На основу тога рутер
закључи да се одредишна адреса налази на путањи која води преко следећег рутера
који је у овом улазу наведен (134.22.2.2), преко интерфејса eth1.
2. Шести улаз је за мрежу 172.17.5.0/24; да ли се првих 24 бита (због /24) одредишне
адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради бинарно „И“
одредишне адресе (172.17.5.12) и маске 255.255.255.0 (због префикса /24). Резултат
је 172.17.5.0, што одговара овом улазу: 172.17.5.0/24. На основу тога рутер закључи
да се одредишна адреса налази на путањи која води преко следећег рутера који је у
овом улазу наведен (155.45.2.2), преко интерфејса eth0.
На основу досадашње претраге табеле долази се до закључка да рутер има два могућа
улаза која би могао да користи. Рутер ће у ствари изабрати шести улаз, јер има дужи мрежни
префикс (/24, наспрам /16). Односно, ова рута је прецизнија. Могли бисмо да замислимо да
се, генерално, мрежа 172.17.0.0/16 налази иза једног од следећих рутера, док се
специфично, једна подмрежа те мреже, односно 172.17.5.0/24 налази иза неког другог
следећег рутера. Рутери увек бирају најспецифичнији улаз.
Рутер, чија је табела рутирања приказана на слици, пакете намењене за све остале
мреже одбацивао би, пошто нема информације о било којим другим мрежама сем о оним
113
које су наведене. И рутери могу да имају подразумевану руту, односно еквивалент

подразумеваног мрежног пролаза на радним станицама. Можемо да замислимо сценарио да
рутер у својој табели рутирања има специфичне информације о мрежама једног предузећа, а
да пакете намењене за сва остала одредишта треба да усмери ка рутеру интернет
посредника, под претпоставком да тај рутер има специфичне информације о тим, не
локалним мрежама.
Слика 7.4 : Табела рутирања са подразумеваном рутом
На слици 7.4 приказана је табела рутирања рутера у којој сада постоји и подразумевана
рута (наведена је као први улаз). Погледајмо шта би се десило када би рутер, као у
претходном случају, покушао да одреди најбољи пут за пакет са дестинационом адресом
172.17.5.12.
На основу сада првог улаза 0.0.0.0/0 проверио би да ли се 0 бита (због префикса /0)
одредишне адресе 172.17.5.12 поклапа са улазом. Рутер ће да уради бинарно „И“ одредишне
адресе и маске 0.0.0.0 (због префикса /0). Резултат је 0.0.0.0 што одговара адреси мреже
која је наведена у овом улазу. У ствари, овај улаз је „одговарајући“ за било коју дестинациону
адресу, јер бинарно „И“ било које адресе и 0.0.0.0 даје 0.0.0.0. Једини „проблем“ са овим
улазом јесте што је врло неспецифичан, дужина мрежног префикса је 0. Чак и са оваквим
улазом, пакет намењен за 172.17.5.12 биће испоручен преко интерфејса eth0, као у ранијем
примеру, јер је то најспецифичнији улаз. Улаз за мрежу 0.0.0.0/0 биће коришћен за
усмеравање само оних пакета за које не постоји специфичнији улаз у табели рутирања.
114
VII Вежба
ВЕЖБЕ
Активност 1 : Инсталација DHCP сервиса
1. Дата је мрежа 160.34.0.0 са подразумеваном маском подмреже. Подмрежити дату

адресу тако да се добије 400 подмрежа. Затим пронаћи број подмреже која је једнака
броју индекса студента (нпр. ако је број индекса 45/07, пронаћи 45. подмрежу).
Број битова које треба позајмити: __________ ____________________
Нова маска подмреже: ________________________________________
Адреса тражене подмреже: ____________________________________
Прва корисна адреса у траженој подмрежи: __ ____________________
Последња корисна адреса у траженој подмрежи: __________________
2. Покренути сервер и пријавити се као администратор.
3. Подесити IP адресу сервера при чему, као адресу треба ставити прву корисну адресу
из тражене подмреже, и нову маску подмреже. Ставити да је адреса подразумеваног
пролаза (Default Gateway), као и адреса примарног DNS сервера, такође прва
корисна адреса.
4. Инсталирати DHCP сервер на следећи начин – отворити "Server Manager" апликацију
из "Start" менија (слика 7.5).
Слика 7.5 : Server Manager
115
5. У оквиру апликације за управљање сервером пронаћи ставку "Roles" с леве стране и

кликнути на + испред како би је разгранали, а затим десним кликом на исту изабрати
опцију "Add Roles" (слика 7.6).
Слика 7.6 : Додавање улоге
6. Овим је покренут чаробњак који нас води кроз процес додавања улоге. Кликнути на
дугме "Next".
7. У следећем кораку потребно је означити улогу "DHCP Server" и кликнути на дугме
"Next" (слика 7.7).
Слика 7.7 : Додавање DHCP Server улоге
116
VII Вежба
8. Проћи кроз остале кораке остављајући подразумевана подешавања и на крају

завршити чаробњак избором опције "Install" (слика 7.8).
Слика 7.8 : Инсталација DHCP сервиса
Активност 2 : Конфигурација DHCP сервера
1. Покренути DHCP сервер на следећи начин : Start – Administrative Tools – DHCP,

при чему ћете добити прозор као на слици 7.9.
Слика 7.9 : Изглед DHCP конзоле
2. У случају да је DHCP инсталиран на серверу који је члан неког домена или је сам
домен контролер, неопходно га је ауторизовати као што је приказано на слици 7,
избором опције Authorize. У случају да је DHCP сервер инсталиран на Windows
117
серверу који није члан домена, није неопходно вршити икакву ауторизацију. Пошто
смо приликом доделе, улоге прихватили подразумевана подешавања, сервер је већ
ауторизован код домен контролера што можемо проверити ако десним кликом миша
изаберемо име сервера где би требало да видимо ставку "Unauthorize" (слика 7.10).
Слика 7.10 : Ауторизација сервера
Да бисмо конфигурисали сервер да изнајмљује одређени опсег адреса (адресе из

израчунате подмреже из Активности 1), неопходно је урадити следеће:
1. У оквиру DHCP-а отворити део IPv4 кликом на + испред, а затим десним кликом
на IPv4 изабрати опцију New Scope (слика 7.11), при чему се покреће чаробњак
за прављење опсега, a затим кликнути Next.
Слика 7.11 : Додавање новог опсега адреса за изнајмљивање
118
VII Вежба
2. За име и опис опсега уписати „Опсег за локалну мрежу“ и кликнути Next.

3. На следећем прозору IP Address Range, дефинисати опсег и то тако да опсег
садржи све адресе из нађене подмреже, почев од прве корисне и закључно са
последњом корисном адресом. Поред тога неопходно је дефинисати и
израчунату маску подмреже. Затим кликнути Next.
Слика 7.12 : Дефиниција новог опсега
4. У оквиру следећег прозора могуће је дефинисати одређени подопсег адреса који

је могуће искључити из опсега дефинисаног у претходној ставци. Овде ћемо
дефинисати да сервер не издаје првих 10 адреса из тражене подмреже. Потом
кликнути Next.
5. У оквиру следећег прозора могуће је дефинисати време на које клијент
изнајмљује адресу. Подразумевана вредност је 8 дана. Променити ово
подешавање на 4 дана и кликнути Next.
6. Затим, чаробњак вам нуди могућност да конфигуришете додатне DHCP опције
које ће клијенту бити достављене заједно са IP адресом. Изабрати Yes, I want to
configure these options now и кликнути Next.
7. Прва опција коју ћемо конфигурисати је подразумевани пролаз за клијента
(Default Gateway, односно Router). Уписати као подразумевани пролаз адресу
сервера (прва корисна адреса из тражене подмреже) и кликнути Add, а затим
Next.
8. Следећа опција је дефинисање Domain Name и DNS сервера, где у пољу Parent
domain треба уписати labXY.edu.rs, где XY представља број станице, а за IP
адресу треба унети адресу сервера (прва корисна адреса из тражене
подмреже). Кликнути Next.
9. Опцију WINS сервера прескочити кликом на дугме Next.
119
10. Последње питање које чаробњак за конфигурацију опсега поставља јесте да ли

хоћемо да активирамо новонаправљени опсег. Све док се опсег не активира
сервер неће издавати адресе из опсега. Овде треба изабрати опцију да желимо
активацију опсега и кликнути дугме Next, чиме завршавамо конфигурацију
опсега. Изглед подешеног опсега је као на слици 7.13.
:
Слика 7.13 : Изглед конзоле након завршене конфигурације опсега
Активност 3 : Провера рада DHCP сервера (Windows XP)
1. Паралелно са сервером, покренути и виртуелну машину са Windows XP оперативним

системом, претходно проверити да ли су сервер и клијент на истој интерној мрежи.
2. Када се клијент подигне, улоговати се као администратор и проверити да ли је
мрежни адаптер конфигурисан да динамички прибави IP адресу.
3. Покренути Wireshark и стартовати хватање пакета на интерфејсу.
4. Отворити командну линију на клијенту (Start – Run – cmd) и применити команду
ipconfig /all. У случају да је клијент добио већ IP адресу од сервера, она ће бити и
приказана са свим опцијама које смо дефинисали. Како бисмо у Wireshark-у ухватили
пакете који се тичу DHCP протокола, неопходно је да одбацимо добијену адресу
командом ipconfig /release, а затим затражимо нову командом ipconfig /renew.
5. По добијању IP адресе на клијенту, у Wireshark-у би требало да имамо ухваћене
следеће пакете, које уједно треба и анализирати :
• DHCP Discover
• DHCP Offer
• DHCP Request
• DHCP Acknowledge
6. На серверу, у оквиру DHCP сервера уочити ставку Address Leases у оквиру
дефинисаног опсега, где треба уочити да је клијенту додељена прва доступна
адреса.
120
VII Вежба
121
VIII ВЕЖБА
ТРАНСПОРТНИ СЛОЈ TCP/IP ФАМИЛИЈЕ ПРОТОКОЛА
Циљ вежбе је да се студенти упознају са сервисима које обезбеђује транспортни слој

TCP/IP скупа протокола. Студенти ће бити упознати и са механизмима које користи
TCP протокол да би обезбедио поменуте сервисе.
VIII Вежба
8. Транспортни слој TCP/IP скупа протокола

8.1 Увод
На транспортном слоју TCP/IP модела можемо уочити два протокола, TCP (Transmission
Control Protocol) као и UDP (User Datagram Protocol). Ова два протокола налазе се испод
апликационог слоја, што значи да ови протоколи обезбеђују услуге апликационим
протоколима изнад, односно омогућавају да се поруке и подаци апликација пренесу преко
мреже.
С друге стране, ови протоколи користе услуге Интернет слоја испод себе, односно IP
протокола, који омогућава да се исправно адресирани пакети усмере од једног до другог
хоста на Интернету.
TCP и UDP се међусобно разликују по питању сервиса који могу да понуде апликацијама,
али постоје и функционалности које су исте за оба протокола:
4. сегментирање; протоколи апликационог слоја, као што су http, smtp и други
генеришу податке, поруке протокола, које су независне од мрежне инфраструктуре
која се користи за пренос тих порука. Интернет је заснован на комуникацији са
комутацијом пакета. Задатак транспортног слоја је да податке апликације, низ
бајтова, подели у управљивије јединице података – сегменте који се могу пренети
мрежом са комуникацијом пакета. Транспортни слој сегментима додаје и своје
заглавље, односно контролне информације које су неопходне за исправно
функционисање транспортног слоја. Тако креирани сегменти даље се предају
Интернет слоју, где се пакују у IP пакете, адресирају и усмеравају ка одредишном
хосту.
5. мултиплексирање, конверзација, идентификација софтверског процеса; сама IP
адреса (са мрежног слоја) довољна је да јединствено идентификује хост на
Интернету, али не и извор или одредиште података на самом хосту - софтверски
процес, тј. клијентску или серверску апликацију која је извор података на самом
хосту. Оперативни системи, генерално омогућавају истовремено извршавање више
апликација. На клијентској радној станици могуће је истовремено покренути, на
пример: веб претраживач, клијента електронске поште и клијента за размену инстант
порука. На серверу је могуће истовремено покренути, на пример: веб сервер, ftp
сервер и ssh сервер. У оба случаја имамо ситуацију да хост (сервер или клијент) има
вишеструке конверзације са другим хостовима. Када сегменти енкапсулирани у
пакете пристигну на хост, потребно их је разврстати према томе за који софтверски
процес су намењени: да ли је пристигао захтев за веб страницом или захтев за
удаљеном пријавом за ssh сервер, да ли је стигао одговор од сервера електронске
поште, или нова инстант порука. Како би се идентификовали извори и одредишта
порука са самих хостова, односно софтверски процеси који иницирају или одговарају
на захтеве, транспортни слој уводи ознаке, бројеве портова, које се наводе у
заглављима сегмената. Када сегмент пристигне на одредишни хост, на основу броја
порта идентификује се софтверски процес коме су намењени приспели подаци.
TCP протокол
Оба транспортна протокола баве се сегментацијом и у заглављима својих сегмената
уносе изворишни и одредишни број порта који идентификују крајње тачке комуникације на
транспортном нивоу. Сем ове сличности, UDP и TCP веома се разликују по сервисима које нуде.
123
TCP протокол има задатак да обезбеди поуздану комуникацију са краја на крај са

успоставом везе, контролом тока, откривањем грешака и дупликата и опоравком од грешака.
Поуздан пренос (преко мрежне инфраструктуре која користи непоуздану комуникацију са
комутацијом пакета) постиже се додавањем секвенцних бројева сегментима који се шаљу.
Услуга коју TCP нуди апликационим протоколима јесте пренос низа бајтова (byte stream) и
секвенцни бројеви у сегментима наводе где се бајтови из сегмента налазе у оригиналном
низу бајтова. Страна која шаље сегменте очекује потврду за послате сегменте, која обично и
стигне с друге стране уколико су бајтови успешно примљени. Уколико потврда не стигне, по
истеку часовника, врши се ретрансмисија.
Као што је наведено поузданост се између осталог постиже слањем индикације да су
подаци приспели. Ово се постиже постављањем посебне заставице у сегменту - ACK
заставица. Боља ефикасност постиже се уколико је предајнику дозвољено да пошаље више
сегмената пре пријема потврде. TCP користи механизам клизећих прозора, пријемник
сигнализира предајној страни колико октета може да пошаље пре него што мора да сачека
на потврду пријема. На овај начин може се вршити и контрола тока саобраћаја: оптерећени
пријемник може сигнализирати предајнику мању величину прозора како би га успорио.
8.2 Бројеви портова

Као што је већ наведено постоје два протокола, TCP и UDP, који нуде различите сервисе
апликацијама. Неке апликације користе TCP док другима одговара сервис који нуди UDP. У
оба случаја на транспортном нивоу уводи се број порта као ознака софтверског процеса,
клијентске или серверске апликације, која је извор или одредиште за сегменте транспортног
слоја.
На пример, када се на клијентској радној станици покрене веб претраживач, и захтева
страница од веб сервера, поруке апликационог протокола ( у овом случају GET порука http
протокола) биће енкапсулиране у TCP сегменте, у којима ће бити наведене ознаке
софтверских процеса који су укључени у конверзацију: број порта који идентификује
клијентски претраживач као изворишни порт, и број порта који идентификује веб сервер, као
одредишни порт. Портове можемо да посматрамо као „адресе“ на транспортном слоју,
односно као TSAP – Transport Service Access Point, приступна тачка сервиса транспортног
нивоа.
Како би сегменти били успешно испоручени број порта који идентификује жељени
серверски процес мора бити унапред познат пре слања сегмената. У зависности од
програмског интерфејса који је коришћен за апликациони протокол могућа су два начина
додељивања броја порта серверском процесу и информисања клијената о порту који се
користи.
8.3 Бројеви портова за серверске апликације

Код већине апликационих протокола који се данас користе на Интернету користи се
sockets (утичнице), програмски интерфејс и број порта које користи дата серверска
апликација (на пример, http или smtp сервер) увек је исти, и унапред познат клијентској
апликацији. За уобичајене апликационе протоколе TCP/IP фамилије регистровани су „добро
познати“ (well known) бројеви портова, који су унапред познати клијентима. Евиденцију о
регистрованим портовима за апликације врши организација IANA (Intеrnet Assigned Numbers
Authority). Списак регистрованих портова доступан је на сваком оперативном систему.
За број порта остављено је 16-битно поље у заглављима сегмената, па број порта може
да узме вредност од 1-65535. Сви могући портови подељени су у опсеге:
124
VIII Вежба
• 1-1023: добро познати портови (well known ports). Ови бројеви портова
регистровани су за уобичајене апликационе протоколе TCP/IP фамилије. На
пример за веб сервис, односно http протокол је резервисан TCP порт 80; На
основу ове чињенице, захтеви ка веб серверу увек ће бити енкапсулирани у
TCP сегмент у коме је као одредишни порт наведен порт 80. Због тога
корисник који користи претраживач не мора да наведе број порта сервера.
Технички је изводљиво конфигурисати сервер да ради са неподразумеваним
портом, али у том случају корисник би морао унапред да зна о ком порту се
ради и да тај порт наведе у свом претраживачу. На већини оперативних
система само администратор рачунара може да покреће апликације које
користе ове портове. Клијентске апликације никада не користе ове портове.
• 1024-41951: регистровани портови. Ови протоколи регистровани су за
серверске апликације које нису сасвим уобичајене, или нису отворени
стандард него апликације у власништву појединих организација. Примери би
били MS SQL сервер или PostgreSQL сервер, Lotus Notes или слични. Додела
ових портова није под контролом IANA, али их ова организација ипак
региструје за потребе информисања. Генерално, сем наведених серверских
апликација и клијентске апликације могу да користе ове портове. На једном
хосту само једна апликација може да користи дати порт, али на пример,
уколико на хосту није инсталиран MS SQL сервер, нема никакве препреке да
веб претраживач користи порт који је регистрован за MS SQL.
• 41952-65535: динамички портови; генерално само клијентске апликације
користе ове портове.
Дакле, код већине апликационих протокола, серверска апликација увек користи један
исти, за дати протокол регистровани порт, у опсегу од 1 до 1023.
8.4 Бројеви портова за клијентске апликације

Док је сталност и непроменљивост портова на серверској страни важна, на
клијентској није. Клијентске апликације бирају насумичан порт преко 1023. Конкретно, на
Линукс оперативном систему клијенски серверски процеси бирају насумичан порт између
32768 и 61000. То значи да када се на Линуксу два пута узастопно покрене веб претраживач,
или истовремено покрену два прозора претраживача, вероватно ће у та два случаја бити
коришћена два различита порта између 32768 и 61000.
125
ВЕЖБЕ
Активност 1: Преглед регистрованих портова
Списак портова које је регистровала организација IANA доступан је на рачунару. На
линукс оперативном систему списак се налази у фајлу /etc/services. На Windows оперативним
системима фајл се налази као C:\windows\system32\drivers\etc\services, у питању је обичан
текстуални фајл и може се погледати програмом „Notepad“.
1. На Убунту радној станици отворити терминалски програм: Програми -> Алатке ->
Терминал.
2. Користићемо програм „pager“ под називом „less“. Ово су програми који могу да
приказују садржај текстуалног фајла страну по страну.
3. У терминалском прозору откуцати: less /etc/services.
4. less програм омогућава претрагу фајла. Претражићемо фајл како бисмо нашли
порт који је регистрован за www сервис. Укуцати „/“ (без наводника), а затим
www, и притиснути дугме <ENTER>. Следеће појављивање узорка добијамо
притиском на „n“. Притиском на „n“ наћи ред у тексту који изгледа као „www
80/TCP“. Можемо видети који је порт и протокол регистрован за www сервис,
односно за http протокол. Може се видети да је и UDP порт 80 регистрован за
http протокол. IANA има праксу да се за дати апликациони протокол региструју и
одговарајући TCP и UDP порт, чак и ако апликациони протокол не користи оба
транспортна протокола. На пример http протокол не користи UDP иако је порт 80
регистрован.
5. Потражићемо портове које користе протоколи за сервис електронске поште: smtp,
pop3 и imap. Укуцати „/“ (без наводника), а затим назив протокола (smtp, pop3 или
imap) и притиснути дугме <ENTER>. Уколико се тражени узорак не пронађе у смеру
претраге, притиском на „N“ (велико слово N, односно Shift+n), врши се претрага у
супротном смеру.
6. Потражити портове који су резервисани за FTP протокол. Укуцати „/“ (без наводника),
а затим назив протокола (ftp) и притиснути дугме <ENTER>. Уколико се тражени
узорак не пронађе у смеру претраге, притиском на „N“ (велико слово N, односно
Shift+n), врши се претрага у супротном смеру.
7. Потражити портове који су резервисани за DHCP и BOOTSTRAP протоколе. Укуцати
„/“ (без наводника), затим назив протокола (boops) и притиснути на дугме <ENTER>.
Уколико се тражени узорак не пронађе у смеру претраге, притиском на „N“ (велико
слово N, односно Shift+n), врши се претрага у супротном смеру.
8. На исти начин претражити портове за протоколе који нису део TCP/IP фамилије али
су регистровани (портови преко 1023). Потражити портове за сервисе ms-sql и
mysql.
9. Притиском на дугме „q“ напустити програм less.
Алтернативни начини избора порта

Наведени начин одређивања портова које користе серверске апликације, односно
употреба увек истог порта, који је регистрован и добро познат клијенту, веома је чест међу
апликационим протоколима.
126
VIII Вежба
Постоји и алтернативни начин, који се користи код апликација које користе RPC (Remote
Procedure Call) програмски интерфејс. Код RPC серверских апликација, на серверском хосту
постоји посебан сервис код кога RPC серверски процеси са истог хоста региструју своје
портове. Овај серверски процес, који је задужен за регистрацију портова осталих RPC
серверских процеса на Линукс оперативном систему назива се portmapper, а на Windows
оперативном систему end point mapper – emap“. Portmapper користи добро познати порт TCP
111, док end point mapper на Windows оперативном систему користи порт 135. RPC клијент
контактира portmapper или end point mapper и добија информацију који порт користи
серверски RPC процес који му је потребан. RPC клијенти и сервиси су пре свега
карактеристични за локалне рачунарске мреже и ретко се користе на Интернету.
Примери RPC сервиса на Линукс оперативном систему били би NIS (Network Information
Service, један од начина за централизовану администрацију корисничких налога у мрежи,
данас се замењује са LDAP протоколом), и неколико серверских процеса везаних за NFS
(Network File System, мрежни фајл систем за UNIX и Линукс оперативне системе). На
Windows оперативном систему примери апликација које користе RPC биле би апликације за
удаљено управљање сервисима на другим Windows рачунарима (на пример, „Active Directory
Users and Computers“, „Computer Management“ и слични).
RPC сервиси су проблематични за употребу на Интернету, јер је због непознатог порта
тешко креирати правила за контролу саобраћаја која би заштитила RPC сервис од
неауторизованог приступа.
Постоји још један начин на који би клијент могао да сазна порт софтверског процеса који
нуди одговарајући апликациони сервис у мрежи. Заснива се на употреби DNS система
(Domain Name System) и посебних SRV (Service Location) записа. Ови записи требало би да
клијенту укажу на ком хосту и порту се налази одговарајући сервис. Релативно мали број
клијената подржава овако нешто. Генерално се клијентске апликације ослањају на добро
познате портове за дате сервисе, или у мањини користе RPC. Ипак, без обзира на мали број,
неки веома важни сервиси ослањају се на постојање SRV записа: на пример, на овај начин
се пронађе локација домен контролера у Windows мрежама, као и локација KDC (Key
Distribution Center) сервера у мрежама које користе керберос систем за аутентификацију.
Активност 2: Преглед регистрованих RPC сервиса

1. На Убунту радној станици отворити терминалски програм: Програми -> Алатке ->
Терминал.
2. Погледати RPC сервисе који су регистровали своје портове код portmapper сервиса
на локалном рачунару: унети команду rpcinfo –p.
Sockets-утичнице
За сваки од транспортних протокола (TCP и UDP) можемо дефинисати socket, односно
утичницу, као пар IP адреса/број порта који јединствено идентификује софтверски процес и
хост на коме је процес покренут. Овако дефинисане утичнице крајње су тачке комуникације
на транспортном слоју. Свака серверска апликација по покретању креира TCP или UDP
утичницу (у зависности од типа серверске апликације). Креирање утичнице значи да на датој
IP адреси и на датом (добро познатом) порту серверски апликациони сервис очекује
сегменте који ће стићи са утичнице (пар IP адреса клијент/порт (>1023) који је отворила
клијентска апликација).
На пример: када се на серверу покрене софтверски процес веб сервера, он креира,
отвори утичницу, на IP адреси сервера на добро познатом порту 80. Када клијент на својој
127
радној станици покрене веб претраживач и у адресном пољу претраживача унесе адресу
сервера, веб претраживач отвори утичницу на IP адреси клијента на порту већем од 1023, на
пример 39536. Крајње тачке комуникације на транспортном нивоу су две утичнице.
Услуге које TCP и UDP нуде апликационом слоју разликују се, па се и утичнице ова два
протокола разликују. ТCP нуди поуздану услугу са успоставом везе, па TCP утичнице имају
своје стање, у смислу да ли је TCP веза остварена, или је у току остваривање везе или
прекид везе. Осим тога уколико је веза остварена позната је и друга утичница, на удаљеном
хосту која је други крај везе. UDP сервис не познаје успоставу везе, па UDP утичнице немају
посебно стање.
Активност 3: Преглед утичница на локалном рачунару

Употреба програма netstat.
Активност 4 : Анализа снимљеног саобраћаја

Анализу ћемо вршити на основу снимка саобраћаја у току ssh сесије између клијента са
адресом 10.10.10.183 и сервера са адресом 10.10.10.1. Снимак се налази у фајлу „ssh.cap“.
Потребно је покренути програм „Wireshark“, и отворити фајл са снимком.
1. Први релевантни пакети су са бројем 4 и 5. То су ARP захтев клијента и одговор
сервера.
2. TCP је протокол са успоставом везе, па је пре преноса података неопходно да ssh
клијент успостави TCP конекцију са ssh сервером. SSH сервер је дуготрајни
софтверски процес који је покренут аутоматски покретањем серверског хоста. По
покретању ssh сервер је креирао, отворио утичницу, на добро познатом порту 22.
TCP утичнице имају своје стање и ова утичница је била у пасивном отвореном стању
(LISTEN), у смислу да сервер очекује конекције клијената.
3. Пакети 6, 7 и 8 део су успоставе конекције – троструког договора. Конекцију
иницира клијент са адресе 10.10.10.183. Потребно је селектовати пакет број 6 како
бисмо погледали детаље TCP сегмента.
4. У пакету 6 отворити грану „Transmission Control Protocol ...“; уочити изворишни и
одредишни порт. Изворишни порт је насумично изабрани порт већи од 1023, док је
дестинациони порт добро познати порт за ssh протокол.
5. У пакету 6 уочити поље Sequence number. Ово је иницијални секвенцни број за
октете које ће слати клијент ка серверу. Програм „Wireshark“ овај број приказује
релативно, односно 0. Стваран иницијални секвенцни број приказан је
хексадецимално у доњем пољу екрана: хексадецимално D34A7CCD је у ствари
3544874189.
6. У пакету 6 отворити грану „Flags“ како бисмо погледали постављене заставице.
Уочити да је једина постављена заставица „Syn“ (Synchronize). Само сегменти
којима се успоставља веза имају ову заставицу постављену. Клијент је дакле
изабрао иницијални секвенцни број и покушава да то синхронизује с другом страном.
Након слања сегмента са постављеном Syn заставицом, и утичница клијента је
отворена, у стању SYN-SENT: послат SYN сегмент.
7. У пакету 6 уочити поље „Window Size“. Ово је величина клизећег прозора који
наводи овај хост као пријемник, односно овај хост је спреман да прими овај број
бајтова пре слања потврде о пријему.
128
VIII Вежба
8. У пакету 6 отворити грану „Options“. Уочити да су коришћене и додатне опције TCP

протокола: предајник наводи и жељену максималну величину појединачног сегмента
( Maximum segment size), window scale опција наводи да се раније наведена величина
прозора скалира и множи са 32.
9. Отворити пакет 7 и погледати детаље TCP сегмента. Овај сегмент је други у
троструком договору. Сегмент потиче са сервера, па је сада изворишни порт 22 док
је дестинациони порт 55479. По пријему SYN сегмента, сервер бира свој иницијални
секвенцни број који покушава да синхронизује са клијентом. Поновимо да програм
Wireshark секвенцне бројеве приказује релативно у односу на ток конекције, па је и
овај секвенцни број приказан као 0.
10. У пакету 7 уочити и поље Acknowledgment number. У овом пољу сервер наводи који
следећи октет очекује са друге стране. Наведен је број 1, што значи да је сервер
примио све октете података закључно са нултим (релативна вредност) и да очекује
први. У ствари нулти октет није ни стигао, иницијални SYN сегмент није преносио
никакве податке, али иницијални SYN сегмент конзумира један секвенцни број.
11. У пакету 7 отворити поље Flags. Уочити да су постављене заставице SYN и ACK.
SYN је постављена јер сервер покушава да синхронизује свој иницијални секвенцни
број, док је ACK постављена како би сервер потврдио пријем сегмента из пакета број
6. По пријему SYN сегмента и слању SYN,ACK сегмента, серверска утичница је у
стању SYN-RECEIVED.
12. У пакету 7 уочити да је и сервер навео своју величину клизећег прозора.
13. У пакету 7 отворити грану „Options“. Уочити да је и сервер навео максимално
прихватљиву величину појединог сегмента, као и да и он дозвољава да се раније
наведена величина прозора увећа (windows scale).
14. Селектовати пакет 8, и отворити детаље TCP сегмента. Овај сегмент потиче са
клијента. Пошто је у пакету 6 иницирао конекцију слањем SYN сегмента, и у пакету 7
добио потврду за свој иницијални секвенцни број, утичница клијента је у стању
ESTABLISHED, односно веза од клијента до сервера је отворена. TCP омогућава два
независна смера комуникације и остаје да и клијент потврди серверов иницијални
секвенцни број.
15. У пакету 8 уочити изворишни и дестинациони порт.
16. У пакету 8 уочити секвенцни број (1, претходни, у пакету 6 је био нулти, SYN
сегмент је конзумирао један секвенцни број као да је послат један октет података).
17. У пакету 8 уочити број потврде (acknowledgement number) – наведен је број 1.
Клијент овим сигнализира да су октети закључно са нултим примљени и да се очекује
први. Опет SYN сегмент са сервера је конзумирао један секвенцни број.
18. Отворити грану Flags. Уочити да је постављена заставица ACK. Тиме клијент
сигнализира да потврђује пријем октета до оног наведеног у acknowledgement number
пољу.
19. Када сервер прими овај трећи сегмент, односно потврду свог иницијалног секвенцног
броја, и његова утичница прелази у стање ESTABLISHED, односно веза је
успостављена.
20. Први бајтови података шаљу се у следећим сегментима. Селектовати пакет број 9
како бисмо погледали његове детаље. Овај пакет потиче од сервера ка клијенту.
Секвенцни број првог октета података је 1, а има укупно 32 октета.
129
21. У пакету 9 отворити грану Flags. Уочити да је постављена заставица ACK јер
сервер потврђује да је примио октете закључно са нултим, и очекује први.
Постављена је и заставица PSH (Push). Овим се сигнализира пријемнику да
примљени сегмент одмах преда апликацији не чекајући на пријем још података. Ово
се користи код интерактивних апликација.
22. Изабрати пакет 10. Ово је пакет од клијента до сервера. Уочити изворишни и
дестинациони порт. Уочити да је acknowledgement number поље постављено на
33. Клијент сигнализира да је примио 32 октета из претходног пакета 9, и да очекује
33 октет. Уочити да је постављена заставица ACK, што значи да acknowledgement
поље треба да се узме у обзир.
23. Сврха синхронизације секвенцних бројева јесте да се омогући поузданост слања и
пријема пакета. Снимљени саобраћај одвијао се преко бежичне мреже па је дошло и
до губитка података.
24. Изабрати пакет 12. Ово је пакет од сервера ка клијенту. Отворити грану Transmission
Controll Protocol, и уочити acknowledgement number: 40. Ово значи да је сервер
примио бајтове закључно са 39-им и да очекује 40. бајт од клијента.
25. Изабрати пакет 13. Ово је пакет од клијента ка серверу. Отворити грану са
детаљима TCP протокола. Уочити да је Sequence number 40, баш као што је сервер
и очекивао. Клијент дакле шаље октете почевши од 40-тог, укупно 792 октета.
26. Изабрати пакет 14. Ово је пакет од сервера ка клијенту. Отворити грану са
детаљима TCP протокола. Обратити пажњу на acknowledgement number: 40. Сервер
није примио пакет број 13 и не потврђује га. Још увек очекује 40. бајт.
27. Изабрати пакет 15. Ово је пакет од клијента ка серверу. Отворити грану са
детаљима TCP протокола. Иако није примио потврду за претходно послати сегмент,
из пакета 13, клијент би могао да наставља да шаље. Клијент би то смео да ради јер
му је сервер сигнализирао величину прозора (window size) која још није испуњена.
Величина прозора означава количину бајтова који могу да буду још увек непотврђени
у транспорту. Величина прозора може се динамички мењати у току конекције. Њом
сваки хост оглашава своју спремност за пријем и мењањем величине прозора може
утицати на брзину предаје података. Конкретно у пакету 15 клијент само потврђује
серверу октете из пакета 14 и не шаље своје октете јер је логика апликације таква да
се очекује порука апликационог протокола са сервера – ssh клијент тренутно нема
шта да пошаље.
28. Изабрати пакет број 16 и отворити детаље TCP протокола. Ово је поново пакет од
клијента ка серверу. Пошто у задато време, пре истека часовника, није стигла
потврда за сегмент из пакета 13, клијент врши ретрансмисију. Поново шаље податке
које је већ послао у сегменту 13: почевши од 40-ог укупно 792.
29. Изабрати пакет број 17 и отворити детаље TCP протокола. Ово је пакет од сервера
ка клијенту. Уочити да је acknowledgement number 832. Ово значи да сервер
потврђује пријем сегмента из пакета 16.
30. TCP протокол има и процедуру за прекид везе. Генерално се сваки смер конекције
(од сервера ка клијенту и од клијента ка серверу) може затворити независно. Као и
отварање, и затварање конекције обично иницира клијент. Затварање конекције
иницира се на захтев клијентске апликације слањем сегмента у коме је постављена
заставица FIN. Клијентска утичница прелази у стање FIN-WAIT1 и очекује од друге
стране да потврди пријем ACK сегмента. Серверска страна по пријему FIN сегмента
130
VIII Вежба
шаље потврду и сигнализира серверској апликацији да је у току затвање конекције.

Серверска утичница прелази у стање CLOSE-WAIT (сервер се припрема за
затварање), док клијентска страна по пријему потврде прелази у стање FIN-WAIT2,
односно очекује да и сервер затвори своју страну конекције.
31. Када је и серверска страна спремна да затвори своју страну везе шаље FIN сегмент
и серверска утичница прелази у стање LAST-ACK. Када клијент прими овај сегмент
шаље потврду и прелази у страње TIME-WAIT. Још једно време конекција на клијенту
није затворена. Клијент чека на два максимална времена живота сегмента (према
RFC-у то је 120 секунди, неки оперативни системи као што је Линукс користе
вредност 30 секунди).
32. Могући су и краћи начини прекида везе. У снимку у фајлу прекид везе иницира
клијент у пакету са бројем 104, слањем сегмента са постављеном FIN заставицом.
Клијентска утичница прелази у стање FIN-WAIT1.
33. У пакету 105 дешавају се две ствари. Прво, сервер потврђује прекид клијентове
стране везе постављајући ACK заставицу. Приметити да је Acknowledgment number
такав да изгледа као да је у претходном сегменту било података. Ради се о томе да
је FIN сегмент у пакету 104 такође конзумирао један секвенцни број. Друга ствар је да
је и сервер спреман да прекине своју страну везе, па и он поставља FIN заставицу у
сегменту.
34. У пакету 106, по пријему сегмента из пакета 105, клијент шаље потврду и његова
утичница прелази у стање TIME-WAIT. На линуксу ово стање траје 60 секунди.
35. По пријему пакета серверска страна може да затвори своју страну везе.
131
IX ВЕЖБА
РАЗРЕШАВАЊЕ ИМЕНА РАЧУНАРА
Циљ вежбе је да се студенти упознају са начином функционисања система за

разрешавање имена хостова у IP адресе. У практичном делу вежбе биће приказано
тестирање рада система за разрешавање имена.
IX Вежба
9. Разрешавање имена рачунара

9.1 Увод
У готово свим серверским и клијентским мрежним апликацијама дозвољено је да се на
друге рачунаре реферишемо њиховим именима (нпр. www.google.com,
rs55.labnet.viser.edu.rs) уместо са тачним IP адресама. Ово не само да олакшава рад са
апликацијама него омогућава флексибилност у конфигурисању IP адреса. Неки хостови могу
да имају више адреса, или исти сервис може бити доступан на неколико хостова, или
хостови могу мењати адресе. Уколико се реферишемо на име хоста или сервиса, а не на IP
адресу, нисмо обавезни да знамо детаље адресирања и организовања сервиса и не
зависимо од промене IP адресе хоста.
Апликација коју користимо, и у којој смо се на други хост реферисали на основу имена тог
другог хоста (нпр. у адресном пољу претраживача унесемо име “www.google.com” уместо IP
адресе сервера), може позивом одговарајуће функције оперативног система
(gethostbyname()) да дато име разреши у једну или више IP адреса тог хоста.
Механизам за разрешавање имена са своје стране мора се ослањати на неку базу
података у којој је симболично име рачунара мапирано на одговарајућу IP адресу хоста.
9.2 Фајл „hosts“

Један начин да се креира база са подацима о именима и адресама хостова јесте да се те
информације унесу у одговарајући текстуални фајл, који је потребно ископирати на све
рачунаре у мрежи, како би апликације на тим рачунарима биле способне да име удаљеног
рачунара разреше у одговарајућу IP адресу. Ово је некада био једини начин за разрешавање
имена рачунара, а данас је само један од неколико који се користе.
Поменути фајл има назив „hosts“ и има једноставан формат: свака линија у фајлу садржи
IP адресу, пуно име и евентуално алијас – кратко име неког хоста.
У време када је ово био једини начин да се име рачунара разреши у IP адресу хоста, било
је потребно да се на централном месту одржава hosts фајл са именима свих рачунара на
Интернету, као и да сви остали рачунари на Интернету повремено пренесу ажурну верзију
овог фајла на свој систем фајлова.
У данашње време за разрешавање имена хостова на Интернету користи се другачији
систем, јер је данас практично немогуће одржавати централизовану базу - текстуални фајл
са именима свих хостова на Интернету, коју би затим сви хостови на Интернету повремено
копирали на свој диск.
Иако hosts фајл данас нема важност коју је некада имао, он је још увек саставни део
разрешавања имена рачунара на сваком појединачном хосту, библиотеке за разрешавање
имена консултују hosts фајл пре било ког другог система за разрешавање имена.
Овај фајл се и данас може користити за решавање проблема разрешавања имена
рачунара у мањим мрежама. Мана овог система је што захтева ручну интервенцију –
копирање нове верзије фајла на сваки рачунар, сваки пут када се нови хост дода у мрежу.
Овакав систем има и једну предност, хостови су способни да разреше имена у адресе на
основу локално доступних информација, чак и ако тренутно постоје проблеми са
функционисањем мрежних сервиса. Због овога се hosts фајл користи за разрешавање имена
најважнијих хостова и сервиса у мрежи, док се други систем користи за разрешавање имена
осталих хостова у мрежи и на Интернету.
133
9.3 Систем за разрешавање имена хостова DNS (енг. Domain Name

System)
Данас се за разрешавање имена рачунара користи посебан мрежни сервис, систем имена
домена – Domain name system, заснован на истоименом протоколу апликационог нивоа. Ово
је клијент-сервер мрежни сервис, где је клијент софтверски процес - „resolver“, најчешће
одговарајућа компонента оперативног система клијената која покушава да разреши име у
адресу, док је серверска компонента сервиса DNS сервер, који одговара на упите клијената.
Саставни део конфигурације хостова је и подешавање адресе DNS сервера који се користи
за разрешавање имена рачунара.
DNS база, која се користи за разрешавање имена сасвим је другачија од некадашњег
hosts фајла. Уместо централизованог одржавања текстуалног фајла, DNS база је
дистрибуиран систем – у смислу да се комплетне информације, потребне за разрешавање
имена, не налазе на једном – централном месту. Уместо „равне“ базе, обичног списка
хостова, DNS база представља хијерархијски систем имена домена и хостова.
9.3.1 Логичка структура DNS стабла

DNS база је организована као хијерархијска база, у облику стабла. Назива се и простор
имена домена. Простор имена („namespace“) је апстрактна логичка структура у којој имена
представљају неке друге информације (нпр. имена хостова представљају IP адресе). Домен
представља логичку групу хостова – административну целину.
Стабло има свој корен, који се означава тачком („.“), а одатле се грана на поддомене.
Домени на првом нивоу испод корена називају се „Top level“ домени, домени на врху. То су
домени са називима „.com“, „.edu“, „.mil“, „.gov“, као и домени са ISO ознакама за називе
земаља, такозвани национални домени, као што су „.rs“, „.de“, „.si“ и слични. Називи домена
на врху дефинисани су одговарајућим RFC документима, и њихов број се новим
документима повећавао. Називи би требало да омогуће логичко груписање поддомена, на
пример испод „.com“ (comercial) домена требало би да се налазе домени комерцијалних
организација, испод „.edu“ домена требало би да се групишу сви домени образовних
организација и слично.
Често испод националних домена такође постоје поддомени, чија је намена такође да
логички групишу домене: „.edu.rs“ за образовне организације, „.co.rs“ за комерцијалне
организације, итд.
Слика 9.1 : DNS стабло
134
IX Вежба
Сваки чвор у стаблу има своје кратко име – лабелу која генерално није јединствена (нпр.
www). Да бисмо јединствено идентификовали неки чвор у стаблу, морамо навести потпуно
квалификовано име (енг. Fully Qualified Domain Name - FQDN), на пример „www.viser.edu.rs“.
Хијерархијски систем домена, односно правила за употребу овог простора имена
омогућавају да два чвора имају исто име, под условом да се налазе на различитим местима
у хијерархији (на пример „edu“ или „www“). Навођењем потпуно квалификованог имена чвора
можемо јединствено идентификовати било који чвор у хијерархији и, на пример извршити
упит, затражити адресу неког хоста.
9.3.2 Физичка организација стабла

DNS база се не налази на једном, централном месту, једном DNS серверу, нити се
као јединствена целина администрира од стране једне организације. Логичка
хијерархија стабла омогућава да се база физички и административно дистрибуира.
База је подељена у зоне, које се физички налазе на различитим серверима, под
административном одговорношћу различитих организација.
Дистрибуираност се постиже делегирањем одговорности. На нивоу једног домена
може се делегирати одговорност за поддомене тог домена неким другим
организацијама. То је једини начин на који нека организација може постати одговорна
за неки део стабла. Организација којој је делегиран домен може аутономно да
администрира своју зону, свој поддомен, на својим DNS серверима, на својој локацији.
Делегација подразумева да се на нивоу надређеног домена, који је дао некоме
делегацију, постави одговарајућа информација, „показивач“, која говори на којим
серверима се налазе информације које потпадају под делегирани поддомен. На основу
тих информација, DNS база може се претраживати као јединствена база иако је
физички и административно хијерархијски „распрарчана“.
Аутономна администрација домена значи да нека организација може самостално да
уноси у свој део базе информације о новим хостовима, или да креира поддомене свог
домена. Самосталност значи и да дата организација може и сама да делегира
одговорност за неке своје поддомене трећој организацији.
Слика 9.2 : DNS зоне
135
На пример, корен читавог стабла је у одговорности организације IANA, већина поддомена

непосредно испод корена, односно домени на врху (top level domains) делегирани су
комерцијалним организацијама (као што је „Verisign“ за „.com“), који са своје стране, под
комерцијалним условима делегирају поддомене комерцијалним организацијама (нпр.
„ibm.com“).
Национални домени на врху делегирани су националним регистрима. Домен „.rs“
делегиран је организацији РНИДС (Регистар националног интернет домена Србије). Ова
организација под својом администрацијом држи домен „.rs“, као и поддомене „co.rs“, „edu.rs“,
„org.rs“, „in.rs“. Поддомени „ac.rs“ и „gov.rs“ су делегирани академској мрежи и државним
органима.
Поддомен „viser.edu.rs“, делегиран је нашој школи и физички се налази на серверима под
локалном администрацијом. Администрација наше мреже може самостално да одржава овај
део глобалне DNS базе, укључујући да креира поддомене („labnet.viser.edu.rs“).
Да би нека организација добила делегацију мора да поседује најмање два DNS сервера
под својом контролом (на својој локацији или код свог Интернет посредника), као и да се
пријави код регистра за свој надређени домен. РНИДС је посао регистрације (не и
административну одговорност) препустила комерцијалним организацијама – Интернет
посредницима, који тај посао обављају под комерцијалним условима за своје клијенте.
9.3.3 DNS зона, DNS сервери

DNS зона је део стабла под административном одговорношћу једне организације.
Зона се састоји од DNS информација – ресурсних записа који представљају
информације о хостовима и њиховим адресама, али и друге информације, као што су
информације о административном контакту за зону, информације о DNS серверима за
дату зону, информације о DNS серверима за евентуално делегиране поддомене и неке
друге. Зона може обухватати само један домен, домен и део поддомена, или домен и
све поддомене тог домена.
DNS зона се чува на DNS серверима под администрацијом неке организације. DNS
сервери који код себе имају комплетне информације о датој зони називају се
ауторитативни сервери за дату зону. Сервери су ауторитативни за дату зону у смислу
да могу дати коначан и најбољи могућ одговор на DNS упит који спада под њихову
одговорност.
На пример, сервери ауторитативни за зону „viser.edu.rs“ могу дати коначан, ауторитативан
одговор на DNS упит за било које име хоста које се завршава са „.viser.edu.rs“.
Код већине имплементација DNS сервера, међу ауторитативним серверима
разликује се један примарни сервер, и један или више секундарних DNS сервера за
дату зону. Измене зоне врше се на примарном серверу, док секундарни сервери
синхронизују своју копију зоне са примарним сервером. Овај посао одвија се
аутоматски и назива се трансфер зоне.
9.3.4 Врсте упита

Као што је већ речено, саставни део конфигурације TCP/IP протокола на хосту је и адреса
DNS сервера који се користи за разрешавање имена других хостова на Интернету. Хостови
разрешавају имена других хостова шаљући DNS упите конфигурисаном DNS серверу. Тај
DNS сервер може бити ауторитативан за једну или више зона и одговарати на упите на
основу локално доступних информација.
136
IX Вежба
Чешћи је случај да DNS сервер добије задатак да разреши упит за који није
ауторитативан, на пример, сервер који није ауторитативан за зону „debian.org“ добије задатак
да разреши упит, односно одреди адресу за „www.debian.org“. Сервер не може да разреши
овакав упит на основу локално доступних информација, већ мора да контактира друге DNS
сервере на Интернету.
Генерално када сервер добије упит за ресурс за који није ауторитативан, могао би да:
1. упути клијента на неки други DNS сервер, који јесте ауторитативан, са којим би
клијент наставио упит,
2. сервер би могао да за рачун клијента контактира друге сервере, разреши упит и
клијенту пошаље коначан одговор.
Прва врста упита назива се итеративни упит. Итеративни одговор само упућује клијента
на неки други сервер са којим би клијент извршио следећу итерацију претраге. Друга врста
упита назива се рекурзивни упит. Када сервер решава рекурзивни упит, он сам контактира у
неколико итерација друге сервере и клијенту врати коначан одговор.
Слика 9.3 : Рекурзивни и итеративни упити
Клијенти у локалној мрежи шаљу рекурзивне упите конфигурисаном DNS серверу, док
сервер контактирајући друге сервере шаље итеративне упите.
На пример, претпоставимо да је клијент из локалне мреже послао рекурзивни DNS упит
свом конфигурисаном серверу захтевајући да се разреши упит, IP адреса за име
„www.debian.org“.
Ток рекурзивних и итеративних упита био би следећи:
• Клијент проследи упит за „www.debian.org“ захтевајући рекурзију, односно коначан
одговор, а не показиваче на друге сервере.
• DNS сервер на овакав упит не може да одговори на основу локалних информација,
јер није ауторитативан за ту зону. Да би разрешио овај упит сервер мора да
контактира друге DNS сервере на Интернету. Сервери на Интернету обично су
конфигурисани тако да одбијају рекурзивне захтеве непознатих клијената. Такви
сервери шаљу само итеративне одговоре, односно упуте клијента на неки други DNS
сервер коме се шаље следећа итерација упита. У првој итерацији локални DNS
сервер пошаље упит серверима ауторитативним за корен DNS стабла.
• Сервери ауторитативни за корен стабла дају итеративни одговор: упућују локални
сервер на сервере ауторитативне за „.org“ домен.
137
• Локални DNS сервер шаље итеративни упит серверу ауторитативном за „.org“ домен.
• Сервери ауторитативни за „.org“ домен шаљу итеративни одговор: упућују локални
сервер на сервере ауторитативне за „.debian.org“ домен.
• Локални DNS сервер шаље итеративни упит серверу ауторитативном за „.debian.org“
домен.
• Сервер ауторитативан за „.debian.org“ домен шаље ауторитативан одговор, адресу за
хост са именом „www.debian.org“.
• Локални DNS сервер враћа клијенту рекурзивни одговор до кога је дошао преко
неколико итеративних упита ка серверима на Интернету.
9.3.5 Кеширање одговора

Како би се смањила количина саобраћаја потребна за разрешавање имена, DNS сервери
кеширају, односно једно одређено време памте одговоре које су прикупили током
разрешавања. Уз сваки одговор назначена је и TTL („Time To Live“) вредност, која говори
колико дуго одговор може да се сматра валидним. За то време DNS сервер може да
одговара на основу овако запамћених вредности.
9.3.6 Директна и реверзна претрага

Претрага код које се захтева непозната адреса за познато име назива се директна
претрага. Простор имена који је до сада описан служи за овакву претрагу. Осим ове, постоји
и реверзна претрага, код које је позната IP адреса али не и име хоста који има овакву IP
адресу. До сада описани простор имена не може се користити за овакву претрагу. Како би се
омогућила реверзна претрага постоји још један простор имена, простор за реверзну
претрагу. Код овог простора имена на врху се налази домен „.arpa“, са поддоменом „ .in-
addr.arpa“. Испод овог домена налазе се домени који симболично представљају октете IP
мрежа (написане уназад). И овај простор имена функционише на исти начин: постоје
ауторитативни сервери, делегација поддомена, примарни и секундарни сервери. Уз помоћ
оваквог простора имена може се вршити реверзна претрага.
138
IX Вежба
ВЕЖБЕ
Активност 1: Преглед hosts фајла
Фајл hosts се на Линукс оперативном систему налази као /etc/hosts, док се на Windows
оперативном систему налази као C:\Windows\System32\drivers\etc\hosts.
1. На Убунту радној станици отворити терминалски програм (Програми -> Алатке ->
Терминал).
2. Потребно је отворити фајл hosts. Користићемо „pager“ програм less: у терминалу
унети less /etc/hosts <Enter>.
3. Уочити неколико линија са адресама и именима хостова у мрежи.
4. Уочити да постоји линија којом се IP адреса саме радне станице мапира у име хост
радне станице. На Линукс оперативном систему ова ставка омогућава да хост одреди
име домена у коме се налази, што може бити битно за неке серверске апликације.
5. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
6. Притиском на тастер „q“ напустити програм less.
7. На Windows виртуелној машини отворити „My Computer“, а затим отворити фајл
C:\Windows\System32\drivers\etc\hosts (у питању је текстуални фајл, на Windows
оперативном систему може се отворити програмом „Notepad“).
8. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
Активност 2: Претрага DNS система

За разрешавање имена обично је задужена компонента оперативног система („resolver“),
па не постоји посебна клијентска алатка која би се користила за DNS упите потребне за
нормалан рад апликација. Ипак постоје алатке за претрагу DNS система које се пре свега
користе за проверу исправности рада DNS система. Поменућемо алатке „nslookup“ (постоји и
на Линукс и на Windows оперативном систему) као и алатку „dig“ (постоји само на Линукс
оперативном систему).
Програм nslookup има два начина рада. У најједноставнијем начину можемо послати DNS
упит серверу који је конфигурисан на радној станици.
На пример:
1. У терминалском прозору Убунту радне станице укуцати: nslookup www.google.com
<ENTER>. Конфигурисани DNS сервер разрешиће име и послати нам одговор.
2. пробати и: nslookup www.viser.edu.rs <ENTER>.
Осим разрешавања познатог имена у непознату IP адресу, DNS систем може да разреши
обрнуту ситуацију - позната IP адреса, а непознато име.
• У терминалском прозору Убунту радне станице укуцати: nslookup 213.244.236.5
„Ентер“.
Осим овог начина рада, у коме можемо брзо проверити способност конфигурисаног
сервера да разреши упите за директно претраживање (име→адреса), као и упите за
реверзно претраживање (адреса→име), постоји и интерактивни начин рада.
• У терминалском прозору Убунту радне станице укуцати: nslookup <ENTER>.
139
И у овом начину рада можемо унети име, односно адресу која треба да се разреши:
1. У оквиру nslookup програма унети: www.google.com <ENTER>.
2. Проверити и реверзну претрагу: унети 213.244.236.5 <ENTER>.
Интерактивни начин рада дозвољава да наведемо и тип одговора који очекујемо.
Информације којима располаже DNS сервер представљене су ресурсним записима (Resouce
Records). Када желимо да сазнамо адресу рачунара на основу имена, добијамо информацију
на основу одговарајућег адресног записа (ознака А). Када желимо да сазнамо име за
непознату адресу, добијамо информације на основу PTR („Pointer“) записа.
Сем ових записа за нормално функционисање DNS система постоје и неки други типови
записа. На пример постоји Start Of Authority запис (ознака SOA). У овом запису садржане су
информације о примарном серверу одговорном за зону која се наведе у упиту. На пример:
• У оквиру nslookup програма унети: set type=SOA <ENTER>.
овим смо рекли nslookup програму да нас интересује SOA тип записа.
1. Уносимо зону која нас интересује: google.com <ENTER>.
Можемо погледати информације које садржи SOA запис за зону:
1. origin се односи на примарни DNS сервер одговоран за дату зону.
2. mail addr претставља адресу електронске поште особе одговорне за одржавање
зоне. Карактер ‘@’ има специјално значење у фајлу који чини зону, па је у адреси
замењен са ‘.’ (тачка).
3. serial представља серијски број зоне. То је неозначена 32-битна вредност, али
конвенција је да се наводи у облику ГГГГММДДАБ (Година,Месец,Дан, и две додатне
цифре АБ, на пример серијски број промене у току датог дана). За функционисање
DNS система битно је да се овај број инкрементира сваки пут када се направи измена
у DNS зони. На основу серијског броја зоне секундарни сервери знају да ли код себе
имају најсвежију верзију зоне. Иако је горенаведен формат само конвенција, обично
на основу овог броја можемо видети када је последњи пут промењена зона.
4. refresh представља интервал у секундама након ког секундарни сервери треба да
провере да ли се код примарног сервера налази новија верзија зоне.
5. retry представља интервал за поновне покушаје секундарних сервера да освеже
зону уколико први покушај, после refresh секунди није успео.
6. expire представља интервал после ког секундарни сервери престају са покушајима
да освеже зоне, и престају да себе сматрају ауторитативним за зону коју нису успели
да освеже.
7. minimum представља TTL (време памћења одговора). Сваки DNS одговор садржи и TTL
вредност која говори колико дуго тај одговор може бити сматран валидним. Обично
постоји подразумевана вредност која важи за све записе у зони, при чему појединачни
записи могу имати сопствене вредности. TTL постоји и за негативне одговоре (име које је
наведено у упиту не постоји). Новијим RFC документом предвиђено је да minimum
представља TTL вредност коју ће сервер слати у негативним одговорима.
Поред SOA записа постоје и други типови записа који су неопходни за функционисање
DNS система. На пример постоје и Name Server записи у зони (ознака је NS) који описују све
DNS сервере, примарне и секундарне, који су ауторитативни за дату зону. Можемо их
погледати на следећи начин:
140
IX Вежба
1. У оквиру nslookup програма унети: set type=NS „Ентер“.

Овим смо рекли nslookup програму да нас интересује NS тип записа.
2. уносимо зону која нас интересује: google.com <ENTER>, на тај начин можемо
погледати списак DNS сервера за наведену зону.
За функционисање система електронске поште неопходно је постојање Mail Exchanger
записа (ознака MX). Ово су SMTP сервери задужени да примају пошту намењену за
nešto@domen. Можемо их погледати на следећи начин:
1. У оквиру nslookup програма унети: set type=MX <ENTER>. Oвим смо рекли nslookup
програму да нас интересује MX тип записа.
2. уносимо зону која нас интересује: google.com <ENTER>.
Можемо погледати списак сервера који примају поруке електронске поште за дати домен. Сваки
овакав запис има придружен и број ”Preference Level” - ниво приоритета. Мањи број означава већи
приоритет. Испорука ће бити покушана најпре са серверима који имају већи приоритет. Сервери
који имају нижи приоритет користе се само ако су остали сервери недоступни.
Поново ћемо обратити пажњу на имена која смо разрешили на самом почетку:
1. У оквиру nslookup програма унети: set type=A <ENTER>.
овим смо рекли nslookup програму да нас интересује адресни (А) тип записа.
2. уносимо зону која нас интересује: www.google.com <ENTER>.
Обратити пажњу на две ствари:
• www.google.com canonical nаme = ..., из овог записа видимо да је www.google.com
само алијас, надимак, за сервер који се стварно зове другачије. Сем до сада
наведених записа постоје и Canonical Name записи (ознака CNAME) који су само
алијас за неко друго име.
• може се видети да постоји неколико сервера који се крију иза истог надимка и
имају исто име, односно да је дозвољено да постоји више адресних записа истог
имена, а различитих адреса. Ово је једноставан облик расподеле оптерећења
међу серверима.
3. откуцати exit <ENTER> и напустити програм nslookup.
Програм dig омогућава да се произвољним DNS серверима шаљу упити за жељени тип
записа. Програм може приказати и статусне заставице (flag-ове) које постоје у одговору, што
некад може да олакша решавање проблема.
Додатне информације које програм може да прикаже виде се и у снимку саобраћаја који је
направљен програмом Wireshark.
Упити се шаљу употребом UDP протокола, са случајно изабраног изворишног порта на порт 53
на DNS серверу. Сваки упит има и број трансакције (Transaction ID) уз помоћ кога се може упарити
са одговарајућим одговором. Прва заставица означава да ли је у питању упит или одговор.
• Операциони кôд говори да ли је у питању стандардни или инверзни упит.
• Recursion Desired заставицу поставио је клијент у упиту наводећи да би желео да
сервер изврши рекурзију.
• Наведен је и укупан број питања (1 у нашем случају) и која су то питања
(www.google.com).
141
X ВЕЖБА
ЗАШТИТА РАЧУНАРСКИХ МРЕЖА ФИЛТРИРАЊЕМ ПАКЕТA И

ПРЕВОЂЕЊЕ АДРЕСА
Циљ првог дела вежбе је да се студенти упознају са потребом за филтрирањем

мрежног саобраћаја и са начином на који се филтрирање постиже помоћу рутера. У
другом делу вежбе студенти ће се упознати са појмом јавних и приватних IP адреса
као и са начинима превођења приватних адреса у јавне.
X Вежба
10. Заштита рачунарских мрежа филтрирањем пакетa и

превођење адреса
10.1 Рутер као сигурносни уређај
10.1.1 Увод
Рутери су уређаји који на мрежном нивоу повезују две или више мрежа. Рутери се уводе у
мрежну инфраструктуру како би сегментирали мрежу у мање бродкаст домене и омогућили
одређен ниво сигурности. Сав саобраћај који излази из неког сегмента мреже, или са
Интернета или другог сегмента мреже улази у мрежу мора да прође кроз рутер. Уколико се
тако конфигурише рутер може да контролише саобраћај који се прослеђује преко његових
интерфејса, и да функционише као заштитна баријера, firewall.
Када функционише као сигурносни уређај, рутер може да испитује саобраћај, на трећем
слоју или вишим слојевима и да према сопственој конфигурацији одлучи да ли ће саобраћај
бити пропуштен или не.
Администатор рутера може да креира листе за контролу приступа, филтере саобраћаја,
којима се описује саобраћај који је дозвољен и онај који није дозвољен. Саобраћај се може
описивати на основу информација из заглавља IP пакета (трећи слој) и пропуштати на
основу изворишних и/или дестинационих IP адреса. Иако се рутер сматра уређајем на
трећем слоју OSI модела, када се рутер конфигурише као сигурносни уређај може да ( у
зависности од имплементације) испитује саобраћај и на четвртом нивоу. Такав рутер може
да блокира или пропушта саобраћај на основу изворишног или дестинационог TCP или UDP
порта. Пошто већина протокола апликационог нивоа користи добро познате портове за
серверске процесе, контролом саобраћаја према дестинационом порту се ефективно
контролише доступност неког од сервиса апликационог нивоа: на пример, ако се забрани
TCP саобраћај који је намењен за дестинациони порт 80, ефективно се спречава приступ веб
серверу.
10.1.2 Листе за контролу приступа

Листа за контролу саобраћаја је низ описа пакета или сегмената, при чему је сваком опису
придружена акција „пропусти“ или „одбаци“. Једноставно речено, листа за контролу приступа
изгледа као низ упутстава рутеру типа: „пропусти пакет ако изгледа овако“, и „одбаци пакет
ако изгледа овако“. Опис саобраћаја, односно шта то значи „ако изгледа овако“, наведен je
описом изворишне или дестинационе IP адресе, или TCP или UDP порта, или навођењем
заставица у заглављу TCP сегмента. Код већине имплементација, уколико се прими пакет
који не одговара ниједном опису, пакет се одбацује.
10.1.3 Смер саобраћаја

Опис саобраћаја укључује и смер саобраћаја, односно да ли пакет улази у рутер преко
неког интерфејса (смер „IN“) или излази из рутера преко неког интерфејса (смер „OUT“). Код
таквих имплементација контроле саобраћаја, пакет може бити проверен два пута. На
пример, када пакет са Интернета долази у локалну мрежу може га проверити листа за
контролу приступа када се пакет преузме са спољњег интерфејса рутера, а затим када после
рутирања пакет треба да изађе из рутера у локалну мрежу може се десити да се још једном
провери уз одговарајућу листу за контролу приступа.
143
Тако се може бирати смер саобраћаја који се контролише. Уколико контролишемо „IN“
смер на спољњем интерфејсу рутера, контролишемо који ће сервиси у локалној мрежи бити
доступни са Интернета. Уколико желимо да контролишемо који сервиси са Интернета ће
бити доступни клијентима у локалној мрежи, можемо контолисати „IN“ смер на интерфејсу ка
локалној мрежи.
Слика 10.1 : Контрола смера саобраћаја
Овакву логику има контрола саобраћаја на CISCO опреми, сервис за рутирање и удаљени
приступ на Windows оперативном систему, као софтвер за контролу саобраћаја на FreeBSD и
сличним оперативним системима.
Филтрирање саобраћаја на Линукс оперативном систему има нешто другачију логику.
Пакет се најпре разврстава у ланце саобраћаја („chains“): пакети намењени за сам рутер иду
у INPUT ланац, пакети који потичу са самог рутера иду у OUTPUT ланац, док се пакети који
се само прослеђују иду у FORWARD ланац. Сваки ланац може да има свој скуп правила која
укључују изворишне и дестинационе адресе, портове и заставице, као и улазни и излазни
интерфејс.
Слика 10.2: Ток за филтрирање саобраћаја на Линукс оперативном систему
10.1.4 Праћење стања саобраћаја

Напредније апликације софтвера за контролу саобраћаја омогућавају да се саобраћај
контролише не само према статички, унапред задатим описима саобраћаја, већ и према
контексту самог пакета, односно стању у коме се тренутно налази мрежна конекција. Овакво
филтрирање омогућава да се динамички креирају правила која дозвољавају пролаз пакетима
ако су део већ успостављене везе коју је иницирао клијент из локалне мреже.
144
X Вежба
На пример, филтером за контролу саобраћаја може се дозволити клијентима из локалне

мреже да иницирају конекције ка веб серверима на Интернету. Када неки клијент из локалне
мреже иницира конекцију ка, на пример www.google.com, овакав систем аутоматски креира
привремено правило које ће дозволити да се пакет са www.google.com врати клијенту који је
иницирао конекцију. Овакви системи могу да прате и стања протокола који иначе нису са
успоставом везе, као што је UDP, или ICMP.
Оваква заштитна баријера обично се назива statefull firewall, и омогућава много
прецизнију контролу саобраћаја него системи који овако нешто не подржавају, као и много
једноставнији рад. Пошто је већина саобраћаја двосмерна, ако се жели обезбедити
доступност неког сервиса морају се у принципу подесити два правила: правило које описује и
дозвољава саобраћај који иницира клијент, као и правило које описује и дозвољава
саобраћај који представља одговор клијента. Када се користи систем који води рачуна о
стању саобраћаја довољно је подесити правило, дозволу да клијент приступа неком серверу.
Оваква заштитна баријера – statefull firewall, аутоматски ће креирати привремена правила
која ће дозволити саобраћај са сервера који је одговор на захтев клијента.
10.2 Рутер као уређај за транслирање мрежних адреса

10.2.1 Увод
Као једна од мера успоравања потрошње адреса из коначног IPv4 адресног простора
одређен број IP адреса одвојен је за приватну употребу, према документу RFC 1918.
Одређени блокови адреса из класа А, Б и Ц административно су издвојени из адресног
простора валидних адреса на Интернету и предвиђени за употребу за приватне мреже,
неповезане са Интернетом.
На овај начин креиран је адресни простор који омогућава једноставно решавање
проблема адресирања хостова у локалним мрежама, без посебних административних
процедура које су потребне када се изнајмљује јавни адресни простор.
Употреба приватних адреса дерегулисана је, што значи да нико не контролише њихово
додељивање мрежама. То између осталог значи и да такве адресе нису (гарантовано)
јединствене, па због тога нису валидне за употребу на Интернету. Рутери на Интернету не
рутирају саобраћај ка или од мрежа са приватним адресама.
RFC документом 1918 следеће мреже одвојене су као приватни адресни простор:
• Једна мрежа из класе А: 10.0.0.0/8.
• Шеснаест мрежа из класе Б: 172.16.0.0/12; ова CIDR нотација се може
посматрати као скуп мрежа из класе Б, од 172.16.0.0/16 до 172.31.0.0/16.
• Две стотине педесет и пет мрежа из класе Ц: 192.168.0.0/16; ова CIDR нотација
може се посматрати као скуп мрежа из класе Ц, од 192.168.0.0/24 до
192.168.255.0/24.
Пошто приватне адресе нису јединствене на Интернету, као и зато што рутери на
Интернету немају руте до ових мрежа, саобраћај између мрежа са приватним адресама и
остатком Интернета, генерално, није могућ. Уколико је ипак потребно повезати приватне
мреже на Интернет, морају се користити додатни механизми, посредни уређаји, који ће
решити проблем невалидних приватних адреса.
Посредни уређаји за повезивање приватних мрежа могу бити:
• Посредни уређаји који функционишу на апликационом нивоу, као што су http proxy
145
посредни сервер или SOCKS proxy сервер. Овакви посредни уређаји захтевају
додатно подешавање клијентских апликација на хостовима у приватној мрежи, па
комуникација са Интернетом није транспарентна за крајње кориснике. С друге
стране, овакви посредни уређаји могу бити повезани са системом аутентификације и
ауторизације у мрежи и дозвољавати приступ Интернету на основу корисничких
имена и лозинки. Примери оваквих посредних уређаја били би SQUID proxy сервер,
или ISA сервер на Windows оперативном систему.
• Посредни уређаји који функционишу на мрежном и транспортном слоју, као што је
NAT (Network Address Translation) рутер. Овакви уређаји врше измене IP пакета и/или
сегмената транспортног нивоа транспарентно за крајњег корисника, како би пакети
који напуштају приватну мрежу били валидни (са јединственим јавним адресама, из
мрежа до којих се рутира). Овакав начин повезивања не захтева посебно
подешавање клијентских апликација, али су могућности за контролу Интернет
саобраћаја нешто мање: контрола се може вршити према адресама и бројевима
портова.
10.2.2 NAT рутер – транслирање мрежних адреса

NAT рутер обично је гранични рутер, односно рутер који повезује локалну мрежу (са
приватним адресама) са Интернет посредником и Интернетом. На том месту рутер може да
манипулише IP пакетима и/или TCP и UDP сегментима који напуштају локалну мрежу као и
са саобраћајем који стиже као одговор на захтеве клијената из локалне мреже.
Слика 10.3 : Рутер за транслирање мрежних адреса (NAT)
NAT рутер има (најмање једну) валидну јавну адресу, додељену интерфејсу који рутер
повезује на мрежу са посредником, као и приватну адресу која је додељена интерфејсу који
рутер повезује на локалну мрежу. Могуће је доделити и више од једне јавне адресе
интерфејсу рутера ка посреднику и ове адресе могу се користити за потребе транслирања.
10.2.3 Поступак транслирања

Конфигурација хостова треба да буде таква да саобраћај хостова ка Интернету мора да
буде прослеђен преко NAT рутера. Ово се може постићи тако што хостови у локалној мрежу
користе NAT рутер као подразумевани мрежни пролаз.
Када клијенти из приватне мреже иницирају конекције ка хостовима на Интернету, NAT
рутер измени изворишну, приватну адресу хоста који иницира конекцију и замени је јавном,
валидном адресом. Ова јавна адреса је адреса додељена интерфејсу рутера од стране
Интернет посредника, или једна од више јавних адреса које се користе за потребе
транслирања.
146
X Вежба
Слика 10.4 : Транслирање адресе у пакету који напушта мрежу
Рутер мора и да запамти ово транслирање у NAT табели, како би могао да изврши
реверзну замену када се одговор на захтев клијента врати од неког хоста на Интернету. На
тај начин пакет који преко NAT рутера напушта мрежу има валидну изворишну јавну адресу.
Када се одговор сервера са Интернета врати назад, та јавна адреса ће се појавити као
одредишна адреса. Пошто у својој табели транслирања има запамћене измене које је
учинио, NAT рутер у повратним пакетима замени одредишну адресу у приватну адресу хоста
који је иницирао конекцију и затим такав пакет проследи у локалну мрежу.
Слика 10.5 : Транслирање адресе у повратном пакету
На овај начин омогућена је комуникација хоста из локалне мреже са хостом на Интернету

и поред тога што хост у локалној мрежи нема валидну јавну адресу. NAT рутер је вршио
транслирање изворишне приватне адресе у једну јавну адресу. У току те комуникације
приватна адреса била је маскирана једном јавном адресом.
10.2.4 Транслирање „1 на 1“ и „више на 1“

У горенаведеном примеру, када је NAT рутер вршио измене у саобраћају који прослеђује
само на трећем слоју, његове могућности су ограничене бројем јавних IP адреса које су му
додељене. Сваки хост из локалне мреже транслира се у једну јавну адресу па је број хостова
147
из локалне мреже, који истовремено могу комуницирати са хостовима на Интернету,

ограничен бројем јавних IP адреса. На овај начин практично се не смањује број потребних
јавних адреса.
Већина имплементација NAT рутера омогућава да се измене у пакетима врше не само на
трећем слоју, већ и на четвртом: у заглављима TCP сегмента и UDP датаграма. Тада рутер у
својој NAT табели нема мапирања „приватна адреса, јавна адреса“, већ нешто сложенија:
мапира се пар „приватна адреса и TCP(или UDP) порт“ на пар „јавна адреса и TCP (или UDP)
порт“. На овај начин је могуће имати више хостова у приватном адресном простору који се
транслирају на мањи број јавних адреса. Могуће је чак и да се сви хостови из локалне мреже
транслирају преко једне јавне адресе додељене интерфејсу рутера као посреднику.
Код неких имплементација NAT рутера ово се назива PAT („Port Address Translation“), док
се код других ово назива транслирање „више на један“.
Слика 10.6 : Транслирање адреса и портова
10.2.5 Доступност сервиса у локалној мрежи

Основна намена транслирања адреса је да се смањи потреба за јавним IP адресама, али
NAT додатно има и сигурносни аспект. Пакети са Интернета могу да се проследе у локалну
мрежу само ако за њих постоји улаз у NAT табели, односно ако је неки хост из локалне
мреже претходно иницирао конекцију са хостом на Интернету. На тај начин је посредно
онемогућено хостовима на Интернету да приступају хостовима и сервисима у локалној
мрежи. Када се NAT користи на до сада описани начин, саобраћај са Интернета биће
прослеђен у локалну мрежу само уколико се ради о одговорима на конекције које су
иницирали хостови из локалне мреже. До сада описани начин транслирања у неким
имплементацијама назива се и „Source NAT“ или „SNAT“, јер је основни проблем био у
транслирању изворишних приватних адреса, односно, извор који иницира саобраћај има
приватне адресе.
У многим ситуацијама ово је корисно, уколико не постоје сервиси у локалној мрежи који би
требало да буду доступни хостовима на Интернету.
148
X Вежба
Постоје и ситуације када одређени сервиси у приватној мрежи треба да буду доступни
хостовима на Интернету. Тада постоји потреба да се омогући да хостови са Интернета
иницирају конекције ка хостовима – серверима у локалној мрежи. Сада је проблем што
одредиште саобраћаја има приватне адресе, док извор има јавне.
Код већине имплементација NAT ово се може решити тако што се административно
креира такав улаз у NAT табели који све долазне конекције на једну јавну адресу и порт
транслира у другу, приватну адресу, из локалне мреже. Код неких имплементација ово се
назива „Destination NAT“ или „DNAT“. Може се срести и назив „Port redirection“, односно
редирекција портова: долазне конекције на јавну адресу рутера и добро познати порт
сервиса преусмере се на IP адресу сервера у локалној мрежи и порт сервиса.
На овај начин је омогућена доступност сервера са приватним адресама, при чему су
сервери из локалне мреже видљиви и доступни хостовима на Интернету као да имају јавне
адресе.
Слика 10.7 : Транслација дестинационих адреса DNAT
У примеру DNAT-a можемо видети да је код већине имплементација NAT рутера могуће
флексибилно одредити шта се транслира, као и да се улази у NAT табели могу креирати не
само динамички (када клијент иницира конекцију) већ и статички, административно, пре него
што се конекција иницира.
10.2.6 Проблеми са NAT-ом

NAT је данас уобичајен механизам за повезивање мањих и кућних мрежа на Интернет, и
његова примена је значајно успорила потрошњу IPv4 адресног простора. Осим тога има и
сигурносни аспект за мање мреже.
Ипак манипулација саобраћајем коју врши NAT рутер може код неких апликација да
створи проблеме и онемогући конекцију.
Поступак транслирања је једноставан када је узорак саобраћаја једноставан: клијент
иницира конекцију на један добро познати порт, сервер одговара. Тада NAT рутер може
149
једноставно да креира улаз у NAT табели, чим клијент иницира конекцију. Протоколи као што
су http, smtp, imap, pop3 и неки други имају овакав узорак саобраћаја и немају проблема са
транслацијом.
Проблем могу представљати P2P („Peer to Peer“) апликације, код којих су апликације и
клијенти и сервери у току исте сесије, и конекције се иницирају са обе стране, при чему се
често користи читав опсег портова. Проблеми оваквих апликација могу се решити креирањем
статичких улаза у NAT табели, при чему се често читав опсег портова преусмерава на хост у
локалној мрежи. Тиме се решава проблем P2P апликације али смањује сигурносни аспект
NAT-a.
Проблем представљају апликације које нису идеално слојевите, односно у порукама
апликационих протокола постоје информације о адресама и портовима клијента или
сервера. Проблеми оваквих апликација могу се решити само тако што NAT рутер врши
измене и на апликационом слоју, за шта не постоји стандардни начин, па се имплементације
NAT рутера могу разликовати по способности да подрже овакве апликације. Примери би
укључивали разне „on-line“ игре, неке апликације за видео конференције („Net Meeting“), али
и FTP проткол. Пошто је FTP прилично уобичајен, већина NAT рутера уме да транслира FTP
саобраћај, док је за остале, сложеније примене потребно погледати документацију или
додатно подесити уређај или апликације које се користе.
На крају, постоје и апликације које се не могу користи уз NAT, јер измена адреса коју би
извршио NAT рутер нарушава логику саме апликације. Примери би били SNMP или трансфер
зоне између примарног и секундарног DNS сервера (DNS упити клијената раде сa
транслацијом).
Због ових чињеница, NAT се сматра привременим решењем за смањење потрошње IP
адреса, при чему је коначно решење увођење IPv6 адреса у употребу.
150
X Вежба
ВЕЖБЕ
Активност 1 : Реализација превођења адреса и филтрирање пакета
Увод
У оквиру вежбе биће креирана топологија са једним рутером који врши филтрирање
пакета и транслацију мрежних адреса. Као рутер биће коришћен софтвер „pfsense“
(http://www.pfsense.org), дистрибуција отвореног кода намењена за мрежне баријере и
рутере. Овај софтвер може се инсталирати на персоналним рачунарима који треба да
функционишу као наменски рутери, или се за потребе тестирања може покретати са CD
уређаја.
Сам софтвер базиран је на FreeBSD оперативном систему (www.freebsd.org), који има
неколико механизама за контролу саобраћаја. Један од њих је софтвер за филтрирање
пакета под називом pf који је оригинално развијан за OpenBSD (www.openbsd.org)
оперативни систем. Оба поменута оперативна система варијанте су BSD (Berkley Softvare
Distribution) UNIX оперативног система развијеног на Калифорнијском универзитету у
Берклију у САД (University of California, Berkeley).
У оквиру топологије постојаће једна интерна мрежа која ће представљати локалну мрежу
(„LAN“), једна мрежа која ће представљати такозвану „демилитаризовану зону“ („DMZ“) у којој
ће се наћи сервер који треба да буде доступан са Интернета, као и трећа мрежа, мрежа у
лабораторији која ће представљати Интернет.
Топологија треба да изгледа као на слици:
Слика 10.8 : Топологија за вежбу
Потребно је конфигурисати виртуелне машине:

„pfsense“: виртуелна машина која ће функционисати као рутер. Машина не треба да има
диск, треба да се покреће са CD слике „pfSense-1.2.2-LiveCD-Installer.iso“. Машина треба да
има 128 MB меморије и три мрежна адаптера:
• „Адаптер 1“ повезан на интерфејс хоста eth1.
• „Адаптер 2“ повезан на интерну мрежу „LAN“.
• „Адаптер 3“ повезан на интерну мрежу „DMZ“.
151
• „server“: Виртуелна машина са Windows 2003 сервером; машина треба да има 128MB
меморије и један мрежни адаптер: „Адаптер 1“ повезан на интерфејс хоста eth1.
• „klijent“: виртуелна машина са Windows XP радном станицом; машина треба да има 128MB
меморије и један мрежни адаптер: „Адаптер 1“ повезан на интерну мрежу „LAN“.
• „linuxserver“: виртуелна машина са Линукс оперативним системом на коме је
инсталиран веб и ftp сервер. Машина треба да има 96 МB меморије и један мрежни
адаптер: „Адаптер 1“ повезан на интерну мрежу „DMZ“.
Уколико су све машине конфигурисане треба прећи на следећу активност.
Покретање pfsense рутера

Потребно је покренути виртуелну машину са pfsense рутером. Приликом првог покретања
pfsense рутера потребно је изабрати намену појединих интерфејса, како би наставак
конфигурације било могуће наставити преко веб интерфејса са радне станице.
Ток конфигурационог програма на конзоли био би:
1. Do you want to setup vlans now [y|n] притиснути „n“
2. Enter the LAN interface name or 'a' for autodetection: унети: em1. Други интерфејс је
сада интерфејс на локалној мрежи.
3. Enter the WAN interface name or 'a' for autodetection: унети: em0. Први интерфејс је
сада веза ка Интернету.
4. Enter the Optional 1 interface name or 'a' for autodetection: унети: em2. Обавестили смо
рутер да постоји и опциони интерфејс.
5. Enter the Optional 2 interface name or 'a' for autodetection: притиснтути <ENTER> јер је
свим интерфејсима додељена улога.
6. Do you want to proceed [y|n]? притиснути „y“ за наставак и преглед улога додељених
интерфејсима.
Покретање клијентске радне станице, наставак конфигурације рутера

У наставку је потребно покренути клијентску радну станицу. Претходно покренути pfsense
рутер који функционише као DHCP сервер на мрежи „LAN“, па је по покретању потребно
Windows радну станицу конфигурисати као DHCP клијента.
1. Пошто се радна станица конфигурише као DHCP клијент, наредбом „ipconfig /all“
проверити добијене адресне информације и наредбом „ping“ проверити доступност
подразумеваног мрежног пролаза.
2. На Windows радној станици отворити програм „Firefox“, и у адресном пољу унети
„http://192.168.1.1“ како бисмо приступили pfsense рутеру и завршили конфигурацију.
3. По добијању прозора за пријаву пријавити се на рутер са корисничким именом
„admin“ и лозинком „pfsense“.
4. На новој страници са поруком „This wizard will guide you through the initial configuration
of pfSense.“ притиснути на дугме „next“.
5. На страници „General information“:
• „hostname“ оставити на подразумеваној вредности,
• „domain“ подесити на labnet.viser.edu.rs.
152
X Вежба
• DNS информације оставити непопуњене. Рутер функционише као DHCP

клијент на WAN интерфејсу и ове информације ће добити на тај начин. Рутер
функционише као DNS „forwarder“, односно као DNS сервер који све упите
клијентима разрешава путем DNS сервера који се овде конфигуришу или
добију путем DHCP сервера.
• Time server, подесити на 172.16.1.1
1. На страници „Configure WAN interface“ погледати подешавања за WAN интерфејс,
интерфејс повезан на Интернет (у нашем случају то је мрежа у лабораторији). На
дну странице очистити „Block RFC1918 Private Networks:“ јер у нашем случају
„Интернет“ има приватну мрежу.
2. На страници „Configure LAN Interface“ погледати подешавања за „LAN“ интерфејс.
Притиснути на next.
3. На страници „Set Admin WebGUI Password“ у стварној ситуацији подесила би се
лозинка за администрацију рутера. Ово је важан корак за безбедност мреже. На
вежбама ћемо овај корак прескочити и оставити лозинке на подразумеваној
вредности, притиснути на „next“.
Када pfsense рутер учита нову конфигурацију спреман је за рад. Конфигурација рутера је
следећа:
• интерфејс „WAN“ подешен је као DHCP клијент, и прибавиће све потребне адресне
информације, укључујући и адресе DNS сервера на овај начин.
• интерфејс „LAN“ конфигурисан је адресом 192.168.1.1/24. На овом интерфејсу рутер
функционише као једноставан DHCP сервер. Клијентима даје адресе из ове мреже, а
адреса интерфејса рутера је подразумевани мрежни пролаз. Осим тога клијенти
добијају адресу рутера као адресу DNS сервера. Рутер DNS упите клијената
прослеђује DNS серверима које је сам добио као DHCP клијент на WAN интерфејсу.
Интерфејс OP1 није конфигурисан.
Овакав рутер функционише као једноставан NAT рутер и „firewall“ налик на ADSL или
бежичне рутере који повезују мању мрежу преко Интернет посредника.
Провера функционисања
Да бисмо проверили функционисање рутера потребно је покренути виртуелну машину са
Windows сервером. Сервер треба да буде конфигурисан на следећи начин:
• IP адреса 172.17.32.x где је x три пута веће од броја радне станице.
• маска: 255.255.255.0.
• подразумевани мрежни пролаз: 172.17.32.1.
• DNS сервери: 172.16.1.1, 172.16.1.13.
• На серверу треба покренути телнет сервис, као пример сервиса на неком хосту на
Интернету.
На Windows клијенту покушати телнет приступ ка адреси сервера.
1. Отворити командни прозор.
2. Унети telnet 172.17.32.x (адреса сервера). Пријавити се као корисник „administrator“ са
лозинком „password“.
153
3. Отворити нови командни прозор и покренути „netstat -n“. Уочити изворишни порт за
телнет конекцију са сервером (телнет користи порт 23).
4. На серверу отворити командни прозор у покренути „netstat -n“. Уочити адресу и
изворишни порт за телнет конекцију.
Сложенија конфигурација
У наставку ће бити креирана сложенија конфигурација:
• WAN интерфејс имаће статичку адресу.
• интерфејс OP1 биће активиран статичком адресом 192.168.2.1 и именом „DMZ“.
• Линукс сервер биће покренут на „DMZ“ мрежи.
• Филтер пакета на DMZ мрежи дозволиће приступ DNS сервису на самом рутеру као и
серверу који се користи за надоградњу софтвера на серверу.
• Биће креирано правило за DNAT и контолу саобраћаја које омогућава да хостови на
Интернету приступају линукс серверу у DMZ мрежи.
1. Покренути виртуелну машину са линукс сервером. Пријавити се на конзолу као
корисник „root“ са лозинком „password“.
2. Са Windows радне станице приступити веб страници за администрацију рутера
(http://192.168.1.1) .Из менија System изабрати General Setup и подесити адресе DNS
сервера (172.16.1.1, и 172.16.1.13)
3. Из менија „Interfaces“ изабрати „WAN“ и извршити подешавања како би интерфејс
статички конфигурисали са IP адресом:
• Type: Static.
• Static IP configuration:
• IP address :172.17.32.x+1/24.
• Gateway: 172.17.32.1.
• Притиснути на SAVE.
4. Из менија „Interfaces“ изабрати „OP1“ и извршити подешавања како би активирали
интерфејс и статички конфигурисали са IP адресом:
• Укључити опцију: Enable Optional 1 interface.
• Description: DMZ.
• Type: Static.
• Static IP configuration:
• IP address :192.168.2.1/24.
• Притиснути на SAVE.
Линукс сервер је конфигурисан са адресом DNS сервера 192.168.2.1 (адреса pfsense
рутера). Тренутно разрешавање адреса на линукс серверу не функционише јер филтер за
саобраћај блокира сав саобраћај који долази преко DMZ интерфејса. Осим тога линукс
сервер треба да има приступ серверу за ажурирање софтвера па је потребно направити
филтер пакета и за овај случај.
154
X Вежба
1. Из менија Firewall изабрати Rules.

2. Изабрати DMZ интерфејс.
3. на страници за интерфејс подесити.
• Action: pass.
• Interface: DMZ.
• Protocol: UDP.
• Source: DMZ Subnet.
• Destination: DMZ: address.
• Destination port range : from DNS, to DNS.
• Save, а затим Apply Changes.
Овим смо дозволили приступ линукс серверу на UDP порт 53 на pfsense рутеру који
функционише као DNS прослеђивач. На конзоли линукс сервера, са nslookup
www.google.com може се проверити способност разрешавања имена.
Линукс сервер треба да може да приступи серверу за ажурирање софтвера па је и за то
потребно подесити филтер саобраћаја:
1. Из менија Firewall изабрати Rules.
2. Изабрати DMZ интерфејс.
3. на страници за интерфејс подесити.
• Action: pass.
• Interface: DMZ.
• Protocol: TCP.
• Source: DMZ Subnet.
• Destination: Single host or alias: 195.252.117.132.
• Destination port range : 3142.
• Save, а затим Apply Changes.
Филтер је подешен, али линукс сервер са приватном адресом 192.168.2.10 не може да
комуницира са сервером за ажурирање који има јавну адресу и нема руту до ове приватне
мреже. Да би комуникација била могућа потребно је креирати правила за NAT.
1. Из менија Firewall изабрати NAT.
2. Изабрати Outbound – одлазни или SNAT.
3. Рутер је до сада користио аутоматско креирано правило за NAT које врши
транслацију само из „LAN“ мреже. Пошто је наша топологија сложенија прећи ћемо
на ручно конфигурисање NAT правила.
4. Изабрати: Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)).
5. Уместо аутоматског креирања правила за НАТ, креирано је статичко правило.
6. Притиснути на средњи „+“ како бисмо креирали додатно правило за НАТ на бази
постојећег.
155
7. На новој страници подесити:

• У Пољу Source, Address унети 192.168.2.0/24.
• У пољу Description: унети „NAT iz DMZ“.
• SAVE, Apply Changes.
После овог корака са линукс сервера требало би да буде могуће да се приступи серверу
за ажурирање софтвера. У конзоли линукс сервера проверити са „aptitude update“.
Дестинациони NAT
У наставку ће бити подешен дестинациони NAT како би сервис у локалној мрежи (тачније
у DMZ мрежи) са приватном адресом био доступан клијентима на Интернету.
1. Из менија Firewall изабрати NAT.
2. Изабрати Port Forward.
3. У новој страници подесити.
4. Interface WAN: преусмеравамо портове за саобраћај који долази на спољњи
интерфејс са хостова са Интернета.
5. External address: Interface Address : унутрашњи сервери биће видљиви под адресом
спољашњег интерфејса.
6. Protocol: TCP : протокол који се преусмерава.
7. External port range: from http to http порт који се преусмерава.
8. NAT IP:192.168.2.10 на коју унутрашњу адресу се усмерава саобраћај.
9. Local Port: http на који порт на унутрашњем серверу се усмерава саобраћај.
10. Description: DNAT na web server: опис правила за NAT.
11. Проверити да ли је означена опција: „Auto-add a firewall rule to permit traffic through this
NAT rule“. Рутер ће аутоматски додати правило за филтрирање пакета који ће
дозволити саобраћај за који смо подесили преусмеравање портова.
Функционисање можемо проверити тако што са Windows сервера, који сада представља
хост на Интернету, из веб претраживача покушамо да отворимо страницу: http://
172.17.32.x+1 (адреса спољњег интерфејса рутера). У менију „Firewall“, „Rules“ можемо
проверити правила која су аутоматски креирана.
156
X Вежба
157
XI ВЕЖБА
БЕЖИЧНЕ ЛОКАЛНЕ РАЧУНАРСКЕ МРЕЖЕ
Циљ вежбе је да се студенти упознају са основним принципима рада бежичних

локалних рачунарских мрежа као и са основним корацима који су неопходни за
подешавање бежичне приступне тачке и подешавање клијентског софтвера на радној
станици за приступ бежичној рачунарској мрежи.
XI Вежба
11. Бежичне локалне рачунарске мреже

11.1 Увод
Бежичне локалне рачунарске мреже дефинисане су стандардом IEEE 802.11. Као
преносни медијум користе се радио-таласи у нелиценцираном опсегу 2,4 Ghz (2,402 – 2,480).
Како би се омогућио пренос података брзинама које се очекују од локалних рачунарских
мрежа, користе се сложене технике кодирања и модулације, као и различити начини
употребе канала унутар овог опсега.
Оригинални, данас застарели, стандард описивао је пренос података брзинама од 1Mb/s
и 2 Mb/s уз два могућа начина модулације FHSS (Frequency Hoping Spread Spectrum) и DSSS
(Direct Sequence Spread Spectrum).
Оригинални стандард је прошириван амандманима који су уз сложеније механизме
модулације омогућавали веће брзине преноса.
• 802.11а, који омогућава брзине до 54 Мb/s, при чему се користи OFDM модулација у
сасвим другом фреквентном опсегу 5GHz (5,47-5,725). У време настанка овог
амандмана овај опсег је био нелиценциран само у САД.
• 802.11b, који је омогућавао брзине до 11 Mb/s, дакле мање него 802.11a али је
користио оригинални 2,4GHz опсег, па је овај стандард могао да се користи и у
Eвропи. Користи се DSSS модулација.
• 802.11g, који омогућава брзине преноса до 54Mb/s, користећи OFDM модулацију
преко 2,4 Ghz опсега. Оваква опрема компатибилна је са 802.11b опремом и често се
означава са b/g.
Сви ови амандмани уврштени су у нову верзију стандарда 802.11-2007 из 2007. године.
Осим тога очекује се усвајање 802.11n амандмана на стандард, који би омогућавао и брзине
и до 600 Mb/s. Тренутно је доступна опрема израђена према нацрту овог амандмана и
омогућава пренос до 300Мb/s.
Треба приметити да је због природе медијума комуникација полудуплекс типа, као и да
сам протокол има доста додатног саобраћаја, тако да је реални пропусни опсег обично
најмање дупло мањи.
Употреба нелиценцираног опсега значи да не постоји начин да се дата фреквенција
резервише за једног корисника, па је уобичајено да у бежичној мрежи постоје сметње од
суседних бежичних мрежа или друге опреме која ради на истом опсегу.
11.2 Подела опсега на канале

Код опреме која користи 802.1b или 802.1g стандард, расположиви опсег фреквенција је
подељен на 14 канала ширине 22 Mhz. Национална регулатива појединих земаља одређује
који од канала су расположиви за употребу. У САД се користе првих 11 канала, док је у
Европи дозвољено 13 канала. Канали се обично приказују са централном фреквенцијом у
каналу. Разлика између средина суседних канала је 5 Mhz а ширина канала 22 Mhz. Ово
значи да се дефинисани канали преклапају, тако да предајници који користе суседне канале
не би требало да буду један другом у домету јер ће сигнали из једног канала представљати
шум на другом каналу. Уколико је потребно поставити више предајника у непосредној
близини морају се користити канали који су најмање 5 канала одвојени. На пример у САД то
су канали 1,6,11
159
11.3 Преглед бежичних мрежних интерфејса под оперативним системом

Linux
Назив бежичног мрежног адаптера под Linux оперативним системом може се разликовати
у зависности од управљачког програма који се користи. Aдаптер би могао да се прикаже као
да је у питању етернет адаптер (ethx), или под називом који зависи од употребљеног
мрежног адаптера (на пример ath0 за бежичне мрежне адаптере са Atheros скупом чипова)
Код већине бежичних мрежних адаптера део функционалности који се назива MLME (енг.
MAC sublayer management entity) је имплементиран у софтверу, па је и начин управљања
адаптером зависио од употребљеног управљачког програма. Од (релативно) недавно у
оквиру Linux оперативног система постоји заједнички API за писање управљачких програма
за бежичне мрежне адаптере, под називом mac80211, као и за управљање бежичним
мрежним адаптерима, под називом cfg80211. Идеја је да се и бежичним мрежним
адаптерима управља на униформан начин, без обзира на произвођача. Адаптери који
користе овакве управљачке програме приказују се као wlanx.
Како би нам оперативни систем приказао бежичне мрежне адаптере, односно који мрежни
адаптери подржавају проширења за управљање бежичним адаптерима треба:
Отворити терминалску конзолу:
Програми->Алати: Терминал
Укуцати:
iwconfig
Уочити информације:
Како је означен бежични адаптер?
Који стандард подржава адаптер ( IEEE802.11?). Које су подржане брзине преноса.
На којој фреквенцији тренутно ради адаптер?
Можемо погледати листу фреквенција које адаптер подржава.
У терминалском прозору укуцати:
iwlist channel
Уочити следеће информације:
Колико канала подржава адаптер?
Да ли подржава канале који се не користе у САД?
На ком каналу је тренутно?
У зависности од управљачког програма, могуће је подесити регулаторни домен, односно

дозвољене канале за употребу.
160
XI Вежба
11.4 Слој везе података

И слој везе података, као и логичке топологије бежичних мрежа знатно се разликују
од уобичајеног етернета. Као елементи архитектуре наводе се BSS (Basic Service Set) -
основни скуп сервиса који представља област унутар које станице могу да
комуницирају користећи бежични медијум. Физичка ограничења медијума одређују
област коју покрива BSS. Физичка ограничења медијума могу се превазићи
повезивањем неколико различитих основних скупова сервиса неким другим медијумом
(најчешће жичним, али не обавезно) у проширени скуп сервиса (Extended Service Set).
Компонента архитектуре која омогућава ово повезивање назива се дистрибуциони
систем (DS). Тачно једна станица у сваком основном скупу сервиса је веза између
осталих станица у скупу и дистрибуционог система. То се на пример може постићи тако
што таква станица има поред бежичног још и етернет адаптер (уколико је DS
имплементиран као етернет мрежа). Оваква станица има улогу приступне тачке (Access
Point). Ова станица има централну улогу у логичкој топологији свог скупа сервиса и
представља логички концентратор за комуникацију унутар свог скупа сервиса. Сав
саобраћај унутар скупа одвија се преко приступне тачке. Осим тога ова станица емитује
посебне управљачке оквире података који имају циљ да обавесте о постојању скупа
сервиса, расположивим брзинама унутар скупа, као и да врше синхронизовање
часовника осталих станица у скупу. Бежични адаптер овакве станице је у посебном
режиму рада. С друге стране, бежични адаптери осталих станица су у „управљаном“
начину рада („Managed“), јер је нека друга станица задужена за слање оваквих
управљачких оквира и управља параметрима и чланством у скупу сервиса.
Уколико циљ рада приступне тачке није да свој скуп сервиса путем дистибуционог
система повеже са другим скуповима сервиса, већ првенствено да свој скуп сервиса повеже
са жичаном окосницом мреже, приступна тачка има улогу портала.
Ово су два најчешће коришћена начина организовања бежичних станица. Поред тога,
могућ је и једноставнији начин, у коме нема логичког концентратора – приступне тачке, већ
две или више равноправних станица међусобно размењују податке свако са сваким, без
повезивања са другим скуповима сервиса или жичаном окосницом. Ово се назива независни
основни скуп сервиса (IBSS) или Ad-Hoc мрежа. Мрежни адаптери станица у оваквом скупу
сервиса су у посебном начину рада („Ad-Hoc“) јер је у оваквим скуповима одговорност за
слање управљачких пакета и синхронизацију часовника дистрибуирана између свих станица.
Поред ова три начина рада бежичног мрежног адаптера ( AP, Managed, Ad-Hoc) адаптер
може да ради у моду пасивног праћења саобраћаја (Monitor, rf-mon). Овај начин рада се
обично користи када адаптер користи неки софтвер за праћење мрежног саобраћаја (нпр.
Wireshark, Kismet). Када је адаптер у овом режиму обично је неупотребљив за уобичајен
мрежни саобраћај. У наставку вежби погледаћемо снимак саобраћаја који је направљен тако
што је адаптер постављен у Monitor начин рада.
Управљачки програми за адаптере обично имају јако добру подршку за Managed начин
рада као и за Ad-Hoc, док само бољи адаптери имају подршку за AP и Monitor.
11.5 Врсте пакета

Осим разлика у логичкој топологији бежичне мреже користе и сложенији механизам за
приступ медијуму. Код етернета, на пример, користи се CSMA/CD као начин приступа
заједничком медијуму. Детекција колизије (CD) омогућава станици да зна да ли је пренос био
успешан. Сви оквири података на етернет мрежи преносе податке.
161
Код 802.11 мрежа, сем оквира података, постоје и други типови оквира података као што
су контролни оквири података, и управљачки оквири. Природа медијума спречава станицу да
детектује да ли је је дошло до колизије. Због тога се у 802.11 мрежама користи CSMA/CA
(Collision Avoidance). У сваком пакету је наведена дужина трајања предаје, а успешан пријем
мора се потврдити одговарајућим оквиром.
11.5.1 Контролни пакети

Пошто бежична станица у датом тренутку не може да буде и предајник и пријемник, није
могуће као код етернета користити детекцију колизије већ се користи избегавање колизије
CSMA/CA. Успешан пријем података мора се експлицитно потврдити са друге стране
одговарајућим, контролним оквиром података („Acknowlеgmenet Frame“). Поред ове врсте
управљачког оквира постоје и други:
• RTS,CTS оквири представљају механизам резервације медијума. Уколико се тако
конфигурише, станица може да користи овај механизам када заузеће медијума пређе
конфигурисани праг.
• PS-Poll оквири (Power Save Poll). 802.11 стандард предвиђа механизме за штедњу
енергије. Овим контролним оквиром података станица може да захтева од приступне
тачке да јој се пошаљу оквири који су приспели за станицу која је била у моду
штедње енергије.
• CF-End, CF-End+CF-ACK контролни оквири. У основном начину рада, бежичне
станице се надмећу за приступ медијуму, као код етернета. Овакав приступ медијуму
назива се DCF (Distributed Coordinated Function). Сем ослушкивања медијума (Carrier
Sence), овај механизам ослања се и на временске интервале који морају да прођу
пре него што станица може да приступи медијуму, као и на објављивање дужине
трајања преноса у оквирима који се преносе. Поред DCF, дефинисан је начин
приступа медијуму у коме приступна тачка уређено прозива станице и нема
надметања (Contension Free). Овај начин приступа медијуму назива се Point
Coordinated Function. Престанак DCF и почетак PCF начина рада објављује
приступна тачка посебним оквиром, а CF-End, CF-End+CF-ACK оквири објављују крај
оваквог начина рада и повраак на DCF.
11.5.2 Управљачки оквири података

Управљачким оквирима управља се чланством у скупу сервиса:
• Beacon оквирима се оглашава постојање скупа сервиса као и његови параметри.
• Уз помоћ Probe request (захтев) и Probe response (одговор) оквира, станица може
проверити постојање приступних тачака скупа сервиса, као и јачину сигнала
појединих приступних тачака.
• Authentication и Deauthentication управљачки оквири података омогућавају
аутентификацију станице пре него што постане члан скупа сервиса.
• Association, Disasociation, Reassociation оквири података управљају чланством
станице у скупу података.
• ATM управљачки оквири података део су механизма за штедњу енергије.
11.6 Преглед снимка саобраћаја

На Ubuntu радној станици налазе се фајлови са саобраћајем снимљеним који је
направљен програмом Wireshark, при чему је бежични мрежни адаптер постављен у Monitor
начин рада. Снимак је прављен током повезивања друге станице на бежичну мрежу.
162
XI Вежба
Покренути програм Wireshark, и отворити фајл „nefiltrirano.cap“

Иако је снимање трајало само један минут, снимљена је велика количина података.
Употреба нелиценцираног опсега значи да нема регулативе у употреби канала, па се може
видети да у околини станице на којој је вршено снимање постоји већи број скупова сервиса
који користе исте или преклапајуће канале. Саобраћај из туђих скупова сервиса станица види
као шум у свом скупу сервиса.
Можемо погледати који су скупови сервиса били доступни током снимања саобраћаја:
Из менија Statistics изабрати опцију Wlan Traffic....
Новоотворени прозор може се и максимизовати.
У колони SSID (Service Set ID) приказани су идентификатори скупа сервиса, односно имена
бежичних мрежа.
Види се да су са локације на којој је вршено снимање, сем мрежа „labnet“ и „viser“, доступне и
друге бежичне мреже.
Више приступних тачака може припадати истом проширеном скупу сервиса и имати исту SSID
ознаку. Проширени скуп сервиса се потенцијално састоји од више основних скупова сервиса који
се индивидуално разликују по ознаци за BSSID (Basic Service Set ID).
У колони BSSID су наведене ове ознаке. BSSID представља MAC адресу приступне тачке.
Програм Wireshark је првих 24 бита ове адесе (OUID- ознаку произвођача) рашчланио и
представио текстуално).
Доступне бежичне мреже ESSID и приступне тачке у њима (BSSID) оглашене су Beacon
оквирима. У одговарајућој колони приказан је број оваквих оквира.
Може се погледати и број осталих врста управљачких и контролних пакета у снимљеном
саобраћају.
Уочите да су снимљена и четири оквира аутентификације.
Затворити прозор „Wireless Trafic“. Затворити фајл („File“-> „Close“) „nefiltritano.cap“.
У наставку ћемо погледати исти снимак који је филтриран тако да приказује само оквире
података са посматране приступне тачке и радне станице.
Отворити фајл („File“ -> „Open“) фајл „filtrirano.cap“
Уочити и погледати детаље оквира 1 и 2 („Beacon“ оквири):
Ово је управљачки оквир који приступна тачка повремено емитује на бродкаст адресу.
Параметри приступне тачке преносе се као фиксни параметри („fixed parameters“) и означени
параметри („tagged parameters“). Ова друга врста параметара представљају механизам
проширења параметара.
Уочити следеће информације које се преносе овим оквиром:
-Да ли је ово Beacon ad-hoc мреже или BSS?
-Период објављивања Beacon оквира?
-SSID мреже?
-Канал који користи ова приступна тачка?
-Основне и проширене подржане брзине преноса?
-Сигурносне параметре за шифровање (RSN)?
163
Уочити оквир „Probe Request“ (пакет 3)

Ово је управљачки оквир којим радна станица жели да провери доступност дате бежичне
мреже SSID. У оквиру који посматрамо SSID није експлицитно наведен (SSID=Broadcast),
тако да су се са каснијим одговорима огласиле све приступне тачке које су примиле захтев.
Уочити оквир „Probe Response“ (пакет 4)
Ово је управљачки оквир којим приступна тачка одговара на претходни затев.
Уочити да оквир података има „Duration“ - трајање поље. 802.11 механизам приступа
медијуму предвиђа да станице објаве време трајања предаје података. Ово је део
механизма CSMA/CA.
Уочити да оквир података има секвенцни број као и број фрагмента. 802.11 механизам
приступа медијуму омогућава детекцију дуплих пакета, као и фрагментацију оквира
података.
Уочити параметре којима станица одговара.
Уочити оквир потврде пријема („Acknowledgement“) (пакет 5)
Ово је контролни тип оквира. 802.11. Због природе медијума, само на основу потврде
друге стране, станица зна да није дошло до колизије и да је оквир успешно примљен. И у
наставку снимка, сваки оквир ће бити потврђен.
Уочити „Probe Response“ оквире података које су послале друге приступне тачке у домету
(пакет 8,9)
Следећа фаза је аутентификација станице ка приступној тачки:
-Уочити ко иницира аутентификацију (пакет 10)
-Уочити аутентификациони алгоритам који се користи
-Уочити да ли је аутентификација била успешна (пакет 12)
Ова фаза аутентификације је у оригиналном стандарду представљала једини механизам
контроле приступа бежичној мрежи. Оригинално су дефинисана два аутентификациона
алгоритма: отворени систем („Open System“), и WEP (Wired Equivalent Privacy). Први
аутентификациони алгоритам у суштини и нема алгоритам и омогућава приступ свима. Други
аутентификациони механизам, WEP, је оригинално замишљен да контролише приступ
(најчешће аутентификацијом уз помоћ кључа дељеног између станица и приступне тачке) и
омогући успостављање материјала за кључеве за шифровања којима би се омогућила
заштита саобраћаја еквивалентна оној у жичаној мрежи. Механизам за шифровање
предвиђен WEP-ом настао је као резултат разних компромиса и показао се као веома слаб.
Амандманом 802.11i дефинисани су напреднији механизми заштите који се данас користе. И
ако се стварна контрола приступа у овој фази не препоручује, формално су станица и
приступна тачка извршиле ову фазу. Стварна контрола приступа, дефинисана у 802.11i
одиграла се касније на снимку.
Уочити оквире којима се врши асоцијација станице на приступној тачки („Association Request“,
„Association Response“) (пакети 14-17)
Циљ асоцијације је да се станица региструје код приступне тачке. У току овог процеса
станица добија свој идентификатор асоцијације. Уочити ову вредност.
У дистрибуираном систему важно је да се зна која станица је регистрована код које
приступне тачке. Уколико се као механизам контроле приступа користи WEP дељени кључ,
164
XI Вежба
или отворени систем, процес успоставе везе овде би био завршен. Употреба WEP заштите
се не препоручује у новој верзији стандарда из 2007. године.
Нова верзија стандарда прихватила је 802.11i амандман на стандард који предвиђа
робусније мере аутентификације и заштите саобраћаја. Нови стандард предвиђа мреже
робусне сигурности („Robust Security Network“-RSN) и параметри те мреже објављују се у
„Beacon“ и „Probe Response“ оквиримa („RSN – information“ унутар „Tagged parameters“).
Погледати „RSN information“ означени параметар у „Beacon“ оквирима (на пример пакет 32)
У времену непосредно пре увођења 802.11i стандарда у употребу, произвођачи су почели
да производе и продају опрему која се придржавала стандарда чије се усвајање очекивало.
За овакве производе тврди се да подржавају WPA иWPA2 (Wireless Protected Access)
Прво унапређење које уводи 802.11i, односно производи који подржавају WPA или WPA2
je употреба напреднијих механизама шифровања.
WPA користи Temporal Key Integrity Protocol – TKIP алгоритам заштите саобраћаја. TKIP
користи исти начин шифровања као и слаби WEP, али кључ за шифровање мења за сваки
пакет. Тиме се решава велики проблем који је имао WEP, дуга употреба истог кључа за
шифровање. У стандарду се овај протокол предвиђа као прелазно решење за опрему која
нема довољно хардверских ресурса за сложенији механизам.
WPA2 користи (Counter Mode with Cipher Block Chaining Message Authentication Code –
CCM) који користи напреднији механизам за шифровање. Оваква опрема се у новом 802.11
стандарду назива RSN опрема.
Друго унапређење које је нови стандард донео је и мoгућност динамичког управљања
кључевима, као и употреба 802.1x стандарда за аутентификацију.
Уколико се аутентификација станице према приступној тачки изврши уз помоћ 802.1x
протокола и одговарајућег EAP метода, материјал за кључеве за шифровање динамички се
генерише при свакој новој аутентификацији. Ово са своје стране захтева постојање
централног сервера за аутентификацију, као и постојање инфраструктуре јавних кључева.
Подршка за нешто овако обично се приказује како WPA Enterpise или WPA2 Enterprise, у
зависности од употребљеног механизма за заштиту.
Како би се омогућила употреба система заштите и у малим мрежама које немају сву
потребну инфраструктуру, дефинисана је и могућност употребе заједничког, унапред
дељеног кључа („Pre Shared Key“ - PSK). Оваква опрема се обично приказује како „WPA
Personal“ или „WPA2 Personal“, у зависности од употребљеног механизма за заштиту.
У снимку саобраћаја на слици, бежична мрежа користи RSN (Robust Security Network)
систем заштите према стандарду 802.11i, односно оно што је комерцијално познато као
„WPA2 Enterprise“.
Уочити почетак 802.1x аутентификације („Request, Identity“, „Response, Identity“).
Ко иницира аутентификацију?
Ko је корисник који покушава да се аутентификује?
EAP протокол омогућава флексибилан договор око механизма за аутентификацију.
Који механизам је договорен? (пакет 38)
Изабрани механизам одвија се у две фазе: успостава шифрованог тунела, а затим и
аутентификација уз употребу стварног идентитета корисника.
Аутентификација се завршава са EAP-Success пакетом (пакет 80)
165
Као део RSN механизма одиграва се четвороструки договор, (4-way handshake) око кључа за
шифровање. Уочити ове кораке (пакети 82-88)
После договора око кључа за шифровање уникаст саобраћаја, изврши се и договор око
кључа за шифровање мултикаст и бродкаст саобраћаја.
Након овога је успостављена веза станице и приступне тачке. Следи уобичајен DHCP
саобраћај.
Преглед успоставе везе може се погледати у програму Wireshark:
Из менија Statistics, изабрати опцију Flow Graph
11.7 Успостава везе са бежичном мрежом

На основу „Beacon“ оквира, као и „Probe“ оквира станица може да зна које су бежичне
мреже – проширени скупови сервиса (ESSID) доступни, као и који су основни скупови
сервиса (BSS) односно приступне тачке у домету.
На Linux оперативном систему програм „Network Manager“ приказаће доступне мреже.
Осим тога, нешто прецизнији преглед може се добити командом iwlist.
У командној линији терминалског прозора укуцати:
iwlist scanning
Уочити следеће информације за мрежу „labnet“ („ESSID: labnet“)
• MAC адресу приступне тачке, односно (BSSID)?
• Да ли је мрежа Ad-Hoc или инфраструктурног типа?
• На којој фреквенцији-каналу ради доступна приступна тачка?
• Колики је квалитет сигнала, ниво сигнала, ниво шума?
• У којим јединицама мере су изражени ниво сигнала и ниво шума?
• Које су подржане брзине преноса?
• Који систем заштите се користи?
Повезати се на бежичну мрежу према упутству у фајлу „uputstvo-linux.pdf“. Пренети
сертификат сервера на рачунар, према упутству, а затим оборити eth0 интерфејс. Наставити
подешавање по упутству и успоставити бежичну везу.
11.8 Преглед јачине сигнала

И станица и приступна тачка функционишу као предајници, емитујући сигнал одговарајуће
снаге. Снага се обично изражава у dBm, као однос снаге предајника у mW према
референтној вредности од 1 mW.
Погледати снагу предајника станице:
У командној линији унети:
iwlist txpower
Колика је снага предајника мрежног адаптера?
166
XI Вежба
Антене су пројектоване тако да нису иделано изотропске, односно да већу снагу емитују у
одређеним правцима. Често коришћене „штап“ антенте називају се изотропске антене и у
одређеним правцима (хоризонтално 360° и вертикално на пример 15° - облик „крофне“)
имају јачи сигнал него у осталим правцима. Ово се означава као „појачање“, односно „gain“
антене и изражава се у јединицама dBi, односно релативно појачање сигнала у датом правцу
у односу на идеално изотропску антену.
То значи да је у датим правцима снага сигнала већа за dBi вредност антене.
У табели су приказане спецификације за антену TL-ANT2405C:
Frequency Range 2.4GHz~2.5GHz
Impedance 50 Ohms
Gain 5 dBi
VSWR 1.92 : 1 Max
Polarization Linear, Vertical
Horizontal: 360°
Beamwidth (HPBW)
Vertical: 15°
Connector RP-SMA Male
Cable 130cm RG-174 Coaxial Cable
Radiation Omni-directional
Application Indoor
Mount Style Desktop / Wall Mount
Dimensions (ψ x L mm) 50 x 201 mm
Operating Temperature -10℃~60℃ (14℉~140℉);
Storage Temperature -40℃~80℃ (-40℉~176℉)
Operating Humidity 10%~90% non-condensing
Storage Humidity 5%~90% non-condensing
Safety, Emission and others CE, FCC, Compliant with RoHS
Исти параметри постоје и за предајник и антену на приступној тачки.

Сем појачања постоје и слабљења. Постоје губици при простирању сигнала. Уколико је
предајник са антеном повезан антенским каблом, постоје и губици због кабла. Сваки
адаптер, као предајник има минималну снагу сигнала коју може да региструје.
167
Спецификације за адаптер TL-WN650G дате су у табели:

Software Specification
Standards IEEE 802.11g, IEEE 802.11b
Wireless Signal Rates With 11g:108/54/48/36/24/18/12/9/6 Mbps (Dynamic)

Automatic Fallback 11b:11/5.5/3/2/1 Mbps (Dynamic)
Frequency Range 2.4-2.4835GHz
Wireless Transmit Power 20dBm(MAX)
1M DBPSK, 2M DQPSK, 5.5M/11M CCK,
Modulation Type
6M/9M/12M/18M/24M/36M/48M/54M OFDM
108M: -68dBm@10% PER
54M: -68dBm@10% PER
11M: -85dBm@8% PER
Receiver Sensitivity
6M: -88dBm@10% PER
1M: -90dBm@8% PER
256K: -105dBm@8% PER
Ad-Hoc
Work Mode
Infrastructure
Wireless Range Indoors up to 200m, Outdoors up to 830m.
64/128/152 bit WEP
Wireless Security
WPA/WPA2, WPA-PSK/WPA2-PSK (TKIP/AES)
Support Operating System Windows 98SE/ME/2000/XP/Vista
Hardware Specification
Interface 32-bit PCI connector
Antenna Type 2dBi Fixed Omni-directional Antenna
Certifications CE, FCC
Operating Temperature 0°C~40°C (32℉~104℉)
Storage Temperature -40°C~70°C (-40℉~158℉)
Relative Humidity 10% ~ 90%, non condensation
Storage Humidity 5%~95% non-condensing
Dimensions 5.2 × 4.8 × 0.9 in. (133 × 121 × 22 mm)
168
XI Вежба
Осетљивост пријемника („Receiver Sensitivity“) дата је у dBm јединицама уз одређен

проценат грешака у пријему пакета (PER). Збир појачања која се састоје од снаге предајника,
усмерења антене („gain“) предајника, усмерења антене („gain“) пријемника, треба да буду
већа од збира губитака простирања, каблова и осетљивости антене.
Осим тога што снага предајника приступне тачке на месту станице треба да буде довољна, за
успешан пренос података важно је и да та снага буде већа од снаге шума осталих приступних
тачака на истом или блиским каналима као и шума окружења. Радна станица може да измери
снагу сигнала на пријемнику када приступна тачка не вриши предају.
Снага сигнала као и снага шума могу се видети и командом:
iwlist scanning
Осим ове алатке може се инсталирати и користити алатка wavemon, којом у реалном
времену можемо пратити однос снаге сигнала и шума за приступну тачку на коју смо
асоцирани.
Полазећи из терминалског прозора отворићемо нову конзолу из које ћемо покренути програм
wavemon.
У конзоли укуцати
xterm
Максимизовати добијени прозор. У прозору xterm конзоле укуцати:
wavemon
Уочити следеће информације у реалном времену:
-Ниво сигнала
-Ниво шума
-Однос нивоа сигнала и шума
У доњем делу екрана налази се линија са менијима. Функцијски тастер F2 приказује
хистограм нивоа сигнала шума, као и односа сигнал/шум.
Притиснути F2. Погледати хистограм.
Приликом постављања бежичне локалне рачунарске мреже битно је имати представу о
домету приступне тачке у објекту.
11.9 Подешавање бежичне приступне тачке

У наставку ће бити подешена приступна тачка Linksys WRT350N. Овај уређај није само
једноставна приступна тачка која премошћава бежични сегмент мреже са окосницом мреже,
већ функционише као рутер, са могућношћу да транслира мрежне адресе. Овај уређај
практично функционише као портал који повезује бежичне клијенте са окосницом мреже.
Уређај је пре свега предвиђен за повезивање кућне бежичне мреже са интернет
посредником.
Сем бежичног адаптера и антена, уређај поседује и посебан порт за везу са посредником,
као и интерни гигабитни комутатор за повезивање локалне бежичне мреже. Портови овог
интерног комутатора користе се и за иницијално конфигурисање уређаја.
У оквиру вежби, иницијална конфигурација ће се вршити из виртуелне машине која је
повезана на „интерфејс хоста“ - односно vbox0. Додатни мрежни адаптер Ubuntu радне
169
станице треба повезати са једним од портова интерног комутатора бежичног уређаја

(портови комутатора су означени жутом бојом). Подесити да мрежни адаптер повезан на
интерни комутатор уређаја добија адресу аутоматски (уређај функционише као DHCP
сервер).
Отворити претраживач и у адресном пољу унети адресу уређаја:
http://192.168.1.1
Пријавити се као корисник „admin“ са лозинком „admin“
На првом прозору (залистак Setup, секција „Basic Setup“) подесити:
Подешавање везе ка Интернету

(у нашем случају то ће бити веза ка окосници мреже)
1. Тип интернет конекције је статичка адреса.
2. Адреса интерфејса ка Интернету је 10.10.10.10.
3. Маска подмреже је 255.255.255.0
4. Подразумевани мрежни пролаз: 10.10.10.1
5. Адреса DNS сервера је 10.10.10.1
Подешавање адреса за локалну мрежу

(мисли се на бежичне клијенте као и клијенте повезане на портове интерног комутатора)
1. DHCP сервер треба да буде укључен.
2. Погледата остала подешавања и оставити их на подразумеваним вредностима.
3. Погледати секцију „Advanced Routing“. Уочити да је укључено транслирање мрежних
адреса.
4. Изабрати залистак „Wireless“, секција „Basic Wireless".
5. Опција „Network Mode“ треба да остане на „Mixed“.
6. Идентификатор скупа сервиса поставити на „lab403-1“ (односно на „lab403-2“ за други
уређај).
7. Опцију „Rado Band“ поставити на „Standard“.
8. Опцију „Standard Channel“ поставити на 1 ( односно 11 за други уређај).
Подешавање безбедности бежичне мреже

1. Изабрати секцију „Wireless Security“.
2. Опцију „Security Mode“ поставити на „PSK2-Personal“ . Овако уређај приказује WPA2
заштиту са дељеним кључем.
3. У пољу „Pre Shared Key“ треба унети дељени кључ.
WPA и WPA2 користе читаву хијерархију кључева за шифровање и потврду интегритета
кључева. Сви кључеви се изводе од главног кључа PMK (Pairwise Master Key) који је дужине
256 битова. Када се користи EAP аутентификација, PMK се добије као резултат
аутентификације. Уколико се користи дељени кључ, и PMK се ручно задаје. Неки уређаји
омогућавају, а неки и захтевају, да се PMK унесе као PSK од 256 битова изражен као 64
170
XI Вежба
хексадецималне цифре. Како би се корисницима олакшао унос, неки уређаји (такав је и

уређај који се користи на вежбама) омогућавају унос „Passphrase“ вредности (8 до 63 ASCII
карактера) на основу које се познатом криптографском методом, на основу унете вредности,
назива скупа сервиса и дужине назива скупа сервиса изведе PMK од 256 битова).
• У пољу „Pre Shared Key“ треба унети дељени кључ: „osamdo63“ (ово је иначе веома
слаб кључ који не треба користити у стварној ситуацији).
Погледати подешавања у секцији „Advanced Wireless Settings“.
Нека од подешавања су:
• CTS ово је механизам заштите од сметњи које могу да настану уколико станице
различитог стандарда буду асоциране на исту приступну тачку.
• RTS Treshold праг величине оквира који активира RTS/CTS резервацију медијума.
• Fragmentation Treshold праг величине оквира који активира фрагментацију оквира.
Сачувати подешавања.
Сада ћемо променити улогу коју има радна станица. Прикључићемо је на „Интернет“ порт
бежичног уређаја и подесити адресу 10.10.10.1.
Успоставити бежичну конекцију користећи другу станицу. Успех конекције верификовати
командом „ping 10.10.10.1“.
171
XII ВЕЖБА
СИСТЕМ СТРУКТУРНОГ КАБЛИРАЊА
Циљ вежбе је да се студенти упознају са системом структурног каблирања, његовим

елементима као и са стандардима система структурног каблирања. У практичном
делу вежбе биће обрађен пример пројектовања система сруктурног каблирања.
Практични пример садржаће и препоруке за одабир пасивне мрежне опреме као и
пример израде спецификације потребне пасивне мрежне опреме за један пројекат
система структурног каблирања.
XII Вежба
12. Структурно каблирање

12.1 Систем структурног каблирања
Савремене рачунарске мреже у највећем броју случајева реализују се по принципу
структурног каблирања, којим треба да се обезбеди и обједини пренос свих информација у
једном пословном систему. Он обухвата пренос говора, слике, управљачких сигнала, као и
веома брз пренос података. Једини интерфејс ка кориснику је зидна утичница на коју се може
прикључити било рачунар, било телефон, а која даље кабловским системом води до
одговарајућих разделника и активних уређаја (телефонске централе или LAN 1 комутатора).
Структура мреже је таква да се после инсталирања, без икакве интервенције на самим
кабловима, цела мрежа може преконфигурисати на потпуно другачији начин, у зависности од
потребе корисника. То се постиже на самим разделницима, који су посебно конструисани за
лако и једноставно преспајање и конфигурисање мреже по жељи. Ова опција нарочито
долази до изражаја у ситуацијама када се врши мењање физичког распореда радних места
по згради (или по зградама).
Осим велике флексибилности коју пружа, структурно каблирање захваљујући својој
систематичности омогућава једноставно и ефикасно администрирање мрежом, лако
проширивање инсталације и што је можда и најважније, потпуно је независно од типа
активних уређаја који се користе за телефонску и за рачунарску мрежу. Чак се и уређаји који
не одговарају стандардима структурног каблирања, и немају адекватне конекторе, могу уз
помоћ одговарајућих једноставних адаптера прикључити на систем.
Системи структурног каблирања доживели су велику примену у пословним објектима у
свету, како због своје универзалности тако и због дугорочности решења. Наиме, пословни
корисник који се у реализацији своје рачунарске мреже у потпуности придржава принципа
које налажу стандарди обухваћени међународним стандардом ISO/IEC 11801 може бити
сигуран да ће његов кабловски систем успешно подржати сваки захтев активне опреме у
наредних десетак година. То дословно значи да једном инсталирани кабловски систем неће
тражити никаква додатна улагања.
Значај стандардизације структурног каблирања свакако се не сме занемарити. Стандарди
одређују техничке критеријуме и обезбеђују униформне перформансе мрежног система као
и његових компоненти. Стандарди нам омогућавају да пројектујемо и изградимо модуларне
рачунарске мреже које се могу лако прилагодити новим технологијама, новој опреми или
новим корисницима.
Пре 1985. године нису постојали стандарди који се односе на структурно каблирање.
Телефонске компаније су постављале сопствене системе каблирања и они најчешће нису
били компатибилни са системима других произвођача. TIA2/EIA3 су 1991. године објавиле
стандард за телекомуникационо каблирање пословних зграда - TIA/EIA-568 стандард. Он је
представљао први стандард који је дефинисао телекомуникациони систем који би подржавао
уређаје различитих произвођача.
1
Local Area Network
2
Telecommunications Industry Association
3
Electronics Industries Alliance
173
12.2 Подсистеми структурног каблирања

Систем структурног каблирања, дефинисан од стране TIA/EIA, састоји се од шест
подсистема (слика 12.1):
1. Хоризонтално каблирање. Систем хоризонталног каблирања обухвата све
елементе између разводног панела у телекомуникационој соби и рачунара на
радном месту. Овај систем назива се хоризонтални зато што се каблови
најчешће постављају кроз хоризонталне вођице у плафонима или хоризонтално
постављеним каналицама, које воде до телекомуникационе собе, која се
најчешће налази на истом спрату.
2. Каблирање окоснице мреже. Окосница мреже обухвата каблирање између
телекомуникационих соба, просторија са активном мрежном опремом и
каблирање између зграда.
Слика 12.1 Систем структурног каблирања
3. Телекомуникациона соба. У телекомуникационој соби се поставља сва

неопходна пасивна и активна мрежна опрема која омогућава спајање
хоризонталног система каблирања са окосницом мреже. Зграда мора имати
минимум једну телекомуникациону собу.
4. Радни простор. Радни простор садржи све компоненте између рачунарске
утичнице и радне станице.
5. Просторија са опремом. Просторија са опремом садржи сервере, уређаје који су
задужени да обезбеде сигурност у рачунарској мрежи, итд. Ова соба се разликује
од телекомуникационе собе по комплексности опреме коју садржи. Просторија са
опремом може се налазити у оквиру телекомуникационе собе или може бити
одвојена, у зависности од услова зграде.
174
XII Вежба
6. Демаркациона тачка. Демаркациона тачка представља место где се окосница

мреже повезује са комуникационим линком који је обезбеђен од стране телеком
посредника.
Хоризонтално каблирање
Већина каблова који се користе у рачунарској мрежи у једној згради представљају део
система хоризонталног каблирања. Хоризонтални каблови најчешће су мање доступни од
каблова који чине окосницу мреже, тако да се на промену у систему хоризонталног
каблирања може утрошити много времена и финансијских средстава. Због ових разлога
неопходно је детаљно испланирати систем хоризонталног каблирања како бисмо постигли
максимум ефикасности целокупног система структурног каблирања. Систем хоризонталног
каблирања је специфициран у TIA/EIA-568-B.1 стандарду и обухвата:
• хоризонтално каблирање,
• мрежне утичнице,
• мрежне конекторе,
• приводне4 каблове.
Планирање система хоризонталног каблирања

Код планирања система хоризонталног каблирања посебну пажњу треба обратити на
следеће:
• Промене у мрежи. Током рада сигурно ће постојати ситуација када ће морати да дође
до одређених премештања мрежне опреме као и самих радних места корисника. Тако да
је пракса да се каблови постављају и у деловима зграде који тренутно нису у употреби
како би у будућности били спремни на могуће промене у мрежи.
• Одржавање. Систем треба поставити на тај начин да буде што једноставнији и
приступачнији за одржавање.
• Опрема. Код одабира мрежне опреме треба обратити пажњу да она може да задовољи
неке мање промене и проширења у будућности.
• Апликације. Треба испитати које се апликације користе у мрежи и које ће се користити у
будућности како бисмо обезбедили довољан пропусни опсег.
• Путање каблова. Путање каблова тачно се морају утврдити и прецизно испитати да ли
постоји довољно простора за постављање одређеног броја каблова.
• Документација. Јако важан део самог система каблирања јесте документација. Сваки
кабл и утичница треба да буду означени.
• ЕМС5. Треба обратити пажњу на то да ли постоје електромагнетне сметње у близини
путања каблова, као што су лифтови, електромотори и други уређаји.
Топологија хоризонталног каблирања

TIA/EIA-568-B.1 посебно наглашава следеће спецификације:
• Систем хоризонталног каблирања треба да има топологију звезде.
4 Patch cable - каблови који повезују активну мрежну опрему са мрежним утичницама.
5
Електромагнетне сметње
175
• Свака рачунарска утичница треба да буде повезана са разводним панелом у

телекомуникационој соби.
• Телекомуникациона соба треба да се налази на истом спрату као и радни простор.
• Бакарни каблови не смеју бити настављани.
• Електричне компоненте не треба да буду инсталиране као део система хоризонталног
каблирања.
• Минимум две утичнице треба да буду обезбеђене по радном месту. За пренос гласа
минимум је кабл категорије 3, а за пренос података CAT6 представља минимум.
Максималне дужине хоризонталног сегмента

Дужина сегмента хоризонталног каблирања не сме да буде већа од 100 метара, и то
(слика 12.2):
• Кабл којим је повезана утичница на радном месту са разводним панелом у
телекомуникационој соби не би треблао да буде дужи од 90 метара;
• Кабл који повезује радну станицу са утичницом је дужине до 5 метара;
• Кабл који повезује разводни панел са мрежним уређајима (приводни кабл) такође не би
требало да буде дужи од 5 метара.
Слика 12.2 Хоризонтално каблирање
Каблови који су препоручени за инсталацију:

• UTP или ScTP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2).
• Оптички кабл са 2 или више влакана, и попречног пресека језгра 50 или 62.5µm.
• Може се користити и оклопљени кабл од 150Ω, али није препоручљиво.
Хибридни каблови (кабл који садржи више различитих врста каблова) такође су
дозвољени, али само ако сваки појединачни кабл задовољава трансмисионе захтеве и
захтеве за означавање кабла.
Каблове са пуним попречним пресеком треба користити за инсталације од разводног
панела до утичнице на радном месту. Лицнасте каблове треба користити за приводне
каблове.
176
XII Вежба
Конектори који се користе су:

• RJ-45 са T568A или T568B распоредом парица,
• SC или ST конектори за оптичке каблове.
Окосница мреже
Окосница мреже повезује све системе хоризонталног каблирања у једној згради или више
зграда (слика 12.3). Окосница такође повезује телекомуникационе собе са собом са опремом
и са главним спољашњим линком, који нам обезбеђује телеком посредник. У стандарду
TIA/EIA-568-B.1 специфицирана је окосница мреже и он обухвата:
• каблирање,
• главна чворишта и међучворишта,
• конекторе.
Слика 12.3 Окосница мреже
Планирање окоснице мреже

Код планирања окоснице мреже посебну пажњу треба обратити на следеће:
• Перформансе. Окосница мора да задовољава захтеве тренутне рачунарске мреже, али
исто тако требало би да без већих промена задовољава и потребе у будућности. Тако
да се може узети у обзир инсталирање додатних каблова, који се тренутно неће
користити а који ће омогућити добре перформансе у будућности.
• Врста кабла. Треба прорачунати предвиђени интензитет саобраћајa у мрежи као и
максималне раздаљине у мрежи које треба повезати окосницом. И ове чињенице ће
највероватније одредити коју ћемо врсту кабла користити за вертикално каблирање.
• Редундантност. Ако у мрежи постоје важни системи треба обезбедити редундантне
линкове, а каблови тих линкова ће се разводити различитим каналима.
• Услови средине. Треба испитати да ли постоје ЕМС у близини инсталационих путева.
Такође треба испитати могућност појаве пожара. И такође треба обезбедити да каблови
окоснице, као и сама опрема, не буду доступни неауторизованом особљу.
177
Топологија окоснице мреже

Препоручена топологија за окосницу мреже је хијерархијска звезда. Сви каблови су
концентрисани у централну тачку која се зове главно чвориште. Свака телекомуникациона
соба и просторија са опремом повезане су са главним чвориштем директно или преко
додатног међучворишта (слика 12.4). Оваква топологија обезбеђује контролу штете јер ако
дође до оштећења на неком од каблова остали сегменти моћи ће да функционишу нормално.
Препоручени каблови за окосницу мреже су:
• UTP или ScTP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2),
• oптички кабл попречног пресека језгра 50 или 62.5 µm (TIA/EIA-568-B.3),
• Single-mode оптички кабл (TIA/EIA-568-B.3).
Могу се користити каблови различитог типа. На пример, зграде можемо повезати са
једномодним оптичким каблом, спратове повезати са мултимодним оптичким каблом, а са
каблом са упреденим парицама повезивати међучворишта на истом спрату.
Слика 12.4 Топологија окоснице мреже
Радни простор обухвата све компоненте између мрежне утичнице и радне станице:
• мрежне утичнице укључујући и кућишта и маске за утичнице,
• модуле који се уграђују у утичнице,
• приводне каблове који повезују радну станицу са мрежном утичницом,
• радне станице, телефоне, штампаче, итд. Иако они нису обухваћени стандардом.
178
XII Вежба
Неколико најважнијих препорука из TIA/EIA-568-B.1 стандарда:

• На сваком радном месту треба инсталирати минимум две утичнице.
• Повезивање конектора и модула треба да задовољи T568A или T568B инсталациону
шему.
• Приводни кабл који повезује радну станицу са мрежном утичницом не треба да буде
дужи од 5 метара.
• Модули, конектори, приводни каблови треба да задовоље категорију кабла који се
користи за хоризонтално каблирање (нпр. ако се за хоризонтално каблирање користи
кабл категорије 6, а радну станицу прикључимо приводним каблом CAT5e, нећемо
добити очекиване перформансе).
Телекомуникациона соба
Телекомуникациона соба је некада била позната под именом телекомуникациони орман.
У овој соби налази се сва опрема са којом се хоризонтални систем каблова повезује са
окосницом мреже, и то укључује;
• главно чвориште,
• међучворишта,
• приводне каблове,
• сву опрему која је неопходна за повезивање.
Комплетан дизајн и препоруке димензија собе могу се пронаћи у TIA/EIA-569-B стандарду.
Неке од препорука:
• Телекомуникациона соба требало би да буде што ближе центру самог спрата зграде.
• Телекомуникациону собу не треба делити са опремом за електричну енергију.
• Ако је површина спрата већа од 1000m2 треба додати још једну телекомуникациону
собу.
Просторија са опремом
Просторија са опремом разликује се од телекомуникационе собе по комплексности
опреме коју садржи. У соби са опремом налазе се уређаји за заштиту података у мрежи,
рутери, сервери, комутатори, итд. Просторија са опремом може бити део телекомуникационе
собе. Такође у овој соби може се налазити и приступни линк од телеком посредника.
Неке од препорука дизајна собе са опремом из TIA/EIA-569-B стандарда:
• Свака зграда треба да садржи макар једну собу са опремом.
• Треба водити рачуна о димензијама просторије због додавања опреме у будућности.
• Врата просторије треба да буду довољно велика да би кроз њих могли да прођу велики
делови телекомуникационе опреме.
• Минимална висина плафона би требало да износи 2,4 метра.
• Минимална површина просторије требало би да буде 14 m2 .
• Соба треба да има стално напајање као и резервно напајање.
• Климатски услови морају бити контролисани.
179
Демаркациона тачка
Демаркациона тачка је место где се завршава одговорност телеком посредника и каблови
спајају са окосницом мреже зграде. Просторија са приступним линком може да буде део
просторије са опремом. Ова просторија треба да буде позиционирана што ближе
вертикалним вођицама за каблове који чине окосницу система. Такође, ова просторија, у
случају да је засебна, треба да садри и резервно напајање електричном енергијом и све
услове које морају да задовоље телекомуникациона соба и просторија са опремом.
12.3 Каблирање
Каблирање представља једну од најважнијих компонената рачунарске мреже и такође
представља компоненту која би требало да има најдужи радни век. Инвестирање у кабловски
систем високог квалитета свакако ће пружити одличне перформансе рачунарске мреже.
Одабир кабла
Када планирамо кабловску инфраструктуру имамо две могућности: можемо користити
бакарне каблове, или можемо употребити оптичке каблове. Коју ћемо врсту каблова
користити зависи од мноштва фактора:
Мрежне апликације. Код одабира кабла морамо обратити посебну пажњу на апликације
које ће се користити у том мрежном окружењу. Ако се користе мултимедијалне апликације,
које укључују пренос видео материјала и великих датотека, онда свакако треба користити
каблове са већим пропусним опсегом.
Раздаљина. Морамо имати у виду колико је најдаља радна станица удаљена од
разделника који се налази у телекомуникационој соби.
Инсталација каблова. Треба водити рачуна о инсталационим путевима каблова (колико
има простора за каблове, под којим углом ће морати да се савијају, итд.).
Опасност од пожара. Ако постоји опасност од пожара треба употребити каблове од
посебних материјала који у случаја пожара не испуштају отрован дим.
Електромагнетне сметње. У случају да се мрежни каблови морају постављати поред
каблова за електричну енергију потребно је користити каблове који су отпорнији на ЕМС.
Бакарни каблови су се традиционално користили за мрежне сегменте мањих раздаљина и
када није било потребе за брзим преносом података, док су се оптички каблови користили за
изградњу окосница у рачунарским мрежама и за повезивање уређаја на великим
удаљеностима. Али са појавом могућности да се подаци преносе брзином од 10Gb/s и преко
бакарних каблова ово правило се више не уважава у толикој мери. Данас се најчешће могу
видети рачунарске мреже које користе и бакарне и оптичке каблове (слика 12.5).
180
XII Вежба
Слика 12.5 Каблирање
Бакарни каблови
Једна од највећих предности бакарног кабла јесте лакша инсталација у односу на
оптички кабл. Некада је и разлика у цени између ове две врсте каблова била знатно већа
него што је данас.
У рачунарским мрежама бакарни каблови се користе у облику упредених парица.
Упредена парица представља два проводника који су умотани један око другог ради
поништавања електромагнетних сметњи као и ефекта преслушавања који потиче од
суседних парица. Количина ЕМС коју ствара један проводник у парици приближно је једнака
количини ЕМС коју ствара и други проводник у парици, само што су различитих фаза и на тај
начин се међусобно поништавају. Каблови са упреденим парицама имају карактеристику која
се назива корак упредања (обично се приказује као корак упредања по дужном метру), и ова
карактеристика одређује и сам квалитет кабла (слика 12.6).
181
Слика 12.6 Корак упредања парица
Неоклопљене упредене парице (UTP6)

Ова врста кабла најчешће се користи у телефонским системима као и у етернет мрежама.
Састоји се од најчешће четири пара упредених парица у изолационом омотачу (слика 12.7).
Ова врста каблова није отпорна на спољашње електромагнетне сметње.
Слика 12.7 Врсте каблова
Оклопљене упредене парице (STP, F/UTP, S/FTP, ScTP, S/STP)

Оклопљене парице пружају знатно бољу заштиту од електромагнетних сметњи које могу
произвести енергетски каблови, мотори лифтова, генератори, клима уређаји, итд. Метални
оклоп кабла мора бити добро уземљен како би омогућио добру заштиту од ЕМС, у случају да
оклоп није добро уземљен дошло би до повећања сметњи. Оклопљени каблови су скупљи од
обичних каблова и мање су флексибилни, тако да их је теже монтирати. Такође, оклопљени
каблови имају већи попречни пресек од обичних каблова, што значи да треба рачунати на
веће канале за уградњу оваквих каблова.
Оклопљени кабл састоји се од упредених парица, оклопа и изолационог материјала.
Постоје две најчешће врсте оклопа: метална фолија и бакарна или алуминијумска мрежица.
Фолија покрива 100% површине кабла, док мрежица покрива 85% до 95% површине због
рупица у самој мрежици. Али ипак, мрежица пружа мало бољу заштиту јер је дебља од
фолије и апсорбује више ЕМС. Мрежица је такође јако добар оклоп на мањим
учестаностима. Фолија, пошто је тања, мање одбија сметње, али ипак пружа бољу заштиту
на већим учестаностима. Због ових разлога комбинација фолије и мрежице користи се када
је потребна јака заштита. Мрежицом се обавију све парице заједно, док се фолијом заштити
сваки пар парица засебно.
S/UTP7 познат као и FTP8 представља кабл код кога су све упредене парице оклопљене
заједничким омотачем, најчешће од фолије. Овакви каблови могу се наћи и под називом
ScTP9, што би у преводу значило армиране упредене парице (слика 12.7). STP10 или STP-A
су каблови код којих је свака парица засебно заштићена омотачем. S/STP11 је кабл код кога
6 Unshielded twisted pair

7 Screened unshielded twisted pair
8 Foiled Twisted Pair
9 Screened Twisted Pair
10 Shielded twisted pair
11 Screened shielded twisted pair
182
XII Вежба
су све парице посебно заштићене омотачем, а такође су и све парице заједно заштићене још
једним заштитним омотачем (слика 12.7). Оваква врста кабла пружа најбољу заштиту и
позната је и под именом S/FTP12.
Стандардизовани начин означавања каблова приказан је на слици 12.8.
Слика 12.8 Стандардизоване ознаке каблова са упреденим парицама
На пример:
• SF/UTP – кабл са оваквом ознаком има неоклопљене парице али се али око свих
парица постоји и фолија и мрежица.
• U/FTP – код кабла са оваквом ознаком свака парица је појединачно заштићена
фолијом.
• F/UTP – кабл са оваквом ознаком садржи заштитну фолију око свих парица заједно.
Лицнасти каблови и каблови са пуним попречним пресеком

Упредене парице могу бити пуног попречног пресека и лицнасте, без обзира да ли је кабл
оклопљен или не.
Кабл пуног пресека. Овај кабл се користи за повезивање разводних панела са
утичницама на радним местима. Може се срести и под именом wall (зидни) зато што се он
користи за инсталације у зидовима (слика 12.9а). Код оваквих каблова треба избегавати
увртање, велика савијања и упредања. Каблови са пуним пресеком проузрокују мање
слабљење него лицнасти каблови.
Слика 12.9 Врсте каблова
12 Screened Fully shielded Twisted Pair
183
Лицнасти кабл. Ова врста кабла користи се за повезивање разводних панела, као и за
повезивање радних станица са утичницама (слика 12.9б). Знатно су флексибилнији од
каблова са пуним попречним пресеком. Ипак, слабљење које овакви каблови уносе веће је,
тако да укупна дужина лицнастих каблова у једном сегменту мреже не би требало да
прелази 10 метара.
Изолациони омотач
PVC13, или чешће звани винил, скраћеница је за поливинил-хлорид и представља
производ петрохемијске индустрије. Овај материјал често се среће као изолациони омотач
каблова свих врста. Каблови су савитљивији, лако се постављају али су и лако запаљиви и
ослобађају отрован гас када горе.
Пленум каблови постављају се у међупросторе, чвршћи су од каблова са PVC изолацијом
али не испуштају отрован гас у случају да се запале.
Категорије бакарних каблова

Како је потреба за повећањем пропусног опсега стално расла, због употребе све
захтевнијих мрежних апликација, квалитет каблова са упреденим парицама такође је морао
да се повећава. TIA/EIA-568B стандард специфицира категорије каблова са упреденим
парицама. ISO/IEC специфицира категорије мрежних компоненти, док каблове специфицира
по класама (class). У табели 12.1 дат је приказ категорија каблова и компоненти.
Категорије и класе каблова и компоненти

TIA TIA ISO
Фреквенција ISO (каблови)
(компоненте) (каблови) (компоненте)
1-100 MHz CAT5e CAT5e CAT5e Class D
1-250 MHz CAT6 CAT6 CAT6 Class E
1-500 MHz CAT6a CAT6a CAT6a Class EA
1-600 MHz - - CAT7 Class F
1-1000 MHz - - CAT7A Class FA
Табела 12.1 Категорије и класе каблова и компоненти
Категорија 3 (CAT3/Class C) кабла са упреденим парицама се користила у мрежама са

брзинама до 10 Mbps, са максималним пропусним опсегом од 16 MHz. Ова категорија кабла
била је у употреби почетком деведесетих година прошлог века, али је њу заменио кабл
категорије 5.
Категорија 4 коришћена је у мрежама за жетоном и омогућавала је брзине до 16 Mbps.
Али ова категорија је застарела и више није у употреби.
Категорија 5 (CAT5) каблова користи се у локалним рачунарским мрежама са брзинама
до 100 Mbps и са максималним сегментом мреже од 100 метара. Ова категорија каблова
користи се од 1991. године и данас се сматра застарелом.
13 Polyvinyl chloride
184
XII Вежба
Побољшана категорија 5 (CAT5e/Class D) категорија је каблова која је дизајнирана да

омогући пропусни опсег од 100 MHz и потпуни дуплекс. Ова категорија формално је
дефинисана 2001. године као TIA/EIA-568B стандард. Са овом категоријом каблова уводе се
додатни параметри перформанси Power-Sum Near-End Crosstalk (PS-NEXT), Equal-Level Far-
End Crosstalk (EL-FEXT), и Power-Sum Equal-Level Far-End Crosstalk (PS-ELFEXT). Ови и
остали параметри биће објашњени касније у тексту, у поглављу које описује тестирање
каблова. И поред, стриктних спецификација које кабл категорије 5е мора да задовољи он
ипак не омогућава дуже мрежне сегменте од 100 метара.
Категорија 6 (CAT6/Class E) представља категорију каблова који имају пропусни опсег од
250 MHz и подржавају гигабитни пренос података. Ова категорија каблова има још строжије
параметре перформанси од каблова категорије CAT5e. CAT6 компоненте морају бити
компатибилне са компонентама нижих категорија.
Категорија 6а (CAT6а/Class EA) релативно је нов стандард, и дизајниран је да подржи
захтеве за 10-гигабитним Етернетом преко упредених парица до 100 метара дужине.
Пропусни опсег је проширен са 250 MHz на 500 MHz. Такође, уводи се и нови параметар
Alien Crosstalk (ANEXT) и представља мерење преслушавања које долази са околних-
суседних каблова. За категорију CAT6а могу се употребљавати UTP и F/UTP врсте каблова,
с` тим што F/UTP у принципу елиминишу проблем ANEXT-а.
Категорија 7 (CAT7/Class F) тренутно је ISO/IEC 11801:2002 стандард и још увек није
стандардизован од стране TIA, а дизајниран је да подржи захтеве 10-гигабитног Етернета.
Стандард специфицира фреквенције од 1-600 MHz преко потпуно оклопљених упредених
парица дужине до 100 метара. Кабл категорије 7 садржи 4 парице које су посебно оклопљене
и које су такође све заједно оклопљене заштитним омотачем. Овако оклопљен кабл отпоран
је на ефекат преслушавања између парица, а такође је отпоран и на спољашњи шум. Са
оваквим карактеристикама каблови категорије 7 идеални су у просторијама где постоји висок
степен електромагнетних сметњи.
Каблови категорије 7 завршавају се GG45 конекторима или модулима (GG представља
скрађеницу за GigaGate, а ознака 45 представља компатибилност са RJ45 конекторима).
Овај систем је стандардизован као IEC 60603-7-7 2001. године и представља светски
прихваћен CAT7 стандард. GG45 конектор има 4 додатна конектора у односу на RJ45
конектор (слика 12.10). Ови додатни конектори користиће се у будућности за још 2 парице, за
пренос података при брзинама од 10Gb/s.
Слика 12.10 GG45 конектор
185
Постоје и TERA конектори који се чешће користе и који су стандардизовани 2003. Године,
као IEC 61076-3-104. Последња верзија стандарда објављена 2006. године подржава
фреквенције до 1000 MHz. Конектор се разликује од стандардног RJ45 конектора и није
компатибилан са њим (слика 12.11).
Слика 12.11TERA модул и конектор
Категорија 7а (Class FA) је ISO стандард који се очекује, а заснива се на коришћењу

S/FTP кабла на фреквенцијама до 1000 MHz.
Оптички каблови
Код оптичких каблова светлосни сигнал се користи као носилац информације. Оптичко
влакно је танак, флексибилан медијум, кроз који може да се простире светлосни зрак.
Израђују се од стакла или пластике. Најмањи губици су код оптичких влакана која су
направљена од силицијума али израда оваквих каблова јако је сложена. Нижа по цени, али и
даље прихватљивих перформанси, су стаклена оптичка влакна. Пластична оптичка влакна
најнижа су по цени и могу се користити за краћа растојања и примене у којима су губици
средњег нивоа прихватљиви. Оптичка влакна имају цилиндрични облик и састоје се од три
концентрична дела: језгра, пресвлаке и омотача. Поред ових слојева, оптички каблови могу
садржати још неколико заштитних и изолационих слојева (слика 12.12). Оптичко влакно је
пресвучено материјалом који има различита оптичка својства од језгра (нижи индекс
преламања). Спој између језгра и омотача за светлосни зрак понаша се као гранична,
рефлектујућа површина. Трећи слој може да буде омотач једном или више оптичких влакана.
Омотач је обично направљен од пластичног материјала и заштита је од влаге, механичких
оштећења и других нежељених утицаја у окружењу.
Слика 12.12 Оптички кабл
Оптички каблови завршавају се оптичким конекторима који омогућавају брзо спајање и

раздвајање каблова. Оптички конектори омогућавају да се језгра каблова поравнају тако да
186
XII Вежба
светлосни зрак може да пролази кроз спој. Постоје разне врсте оптичких конектора, али
свакако најпопуларнији су SC14 и ST15 конектори (слика 12.13).
Слика 12.13 Оптички конектори
Предности оптичких каблова

Већи пропусни опсег. Оптички каблови имају већи пропусни опсег од каблова са
упреденим парицама, и могу преносити податке са већом тачношћу.
Мала слабљења на већим раздаљинама. Пошто је сигнал који се користи код оптичких
каблова светлост, веома мала количина сигнала се изгуби током преноса. Раздаљине преко
којих се могу преносити подаци путем оптичких каблова протежу се од 300m па до неколико
десетина километара.
Безбедност. Пренос података је безбеднији путем оптичких каблова. Оптички каблови не
зраче и веома је тешко издвојити сигнал из оптичког кабла.
Имуност на сметње. Оптички каблови веома поуздано преносе податке јер су отпорни на
ЕМС и остале спољашње факторе који утичу на бакарне каблове. Оптичке каблове можемо
без проблема инсталирати у индустријским окружењима и такође су отпорнији од бакарних
каблова на температурне варијације.
Дизајн. Оптички каблови су танки, лагани и постојанији од бакарних каблова. Оптички
каблови се, приликом монтаже, могу повлачити силом која је 2-3 пута већа од дозвољене
силе за бакарне каблове. Пошто су танки мање места заузимају приликом инсталације.
Једноугаона16 и вишеугаона17 оптичка влакна

Постоје две врсте оптичких каблова: једноугаони и вишеугаони (слика 12.14). Већина
оптичких каблова који се користе у инсталацијама унутар објеката је вишеугаона.
Једноугаони каблови имају боље карактеристике и користе се за повезивање на већим
раздаљинама.
Вишеугаони оптички кабл има већи пречник језгра и омогућава да се истовремено користи
више светлосних сигнала. Постоје две величине језгра, од 50µm и од 62,5µm, али обе врсте
каблова имају исти пречник пресвлаке, који износи 125µm. Као извор светлосног сигнала код
вишеугаоних оптичких влакана користе се LED диоде. Оптички каблови са језгром од 50µm
омогућавају веће раздаљине и већу брзину од каблова са језгром од 62,5µm. Код нових
инсталација треба употребљавати каблове са језгром од 50µm. Вишеугаони кабл је
традиционално наранџасте боје. Оптички кабл са језгром од 50µm који је оптимизован за 10-
гигабитни пренос података је светлоплаве боје.
14 Subscriber Connector или Standard Connector

15 Straight Tip
16 Singlemode
17 Multimode
187
Слика 12.14 Врсте оптичких каблова
Једноугаони кабл има мали пречник језгра, 8-10µm, и он користи само један светлосни
сигнал. Светлосни зрак се простире кроз средину језгра и не одбија се о пресвлаку као што је
то случај код вишеугаоних каблова. Једноугаони каблови омогућавају пренос сигнала на 50
пута веће дистанце од вишеугаоних каблова. Боја једноугаоног оптичког кабла је обично
жута.
Постоје и оптички каблови који су споља заштићени флексибилним алуминијумским оклопом
који штити кабл од удараца и гњечења (слика 12.15). Такође, постоје и оптички каблови са доста
јачим оклопом и они се користе за спољашње монтаже, обично су црне боје.
Слика 12.15 Оптички кабл са оклопом
12.3 Инсталација мрежне опреме

Путање каблова
Путање каблова представљају простор у који се смештају мрежни каблови. TIA/EIA-569-B
стандард дефинише неколико различитих типова путања каблова као што су хоризонталне
путање каблова и путање каблова за окосницу мреже (слика 12.16).
188
XII Вежба
Слика 12.16 Путање каблова
Путање каблова окоснице мреже

Путање каблова окоснице мреже простиру се вертикално и хоризонтално између
просторије са приступним линком, просторије са опремом и телекомуникационих соба. Ове
вођице садрже каблове окоснице мреже и могу бити у облику каналица, пластичних црева,
носача, итд.
Када се дизајнира зграда, телекомуникационе собе требало би распоредити једну изнад
друге на свим спратовима. На тај начин бисмо најједноставније и најефикасније поставили
каблове који чине окосницу мреже. У случају да телекомуникационе собе нису у једној
вертикалној линији, потребно је користити и хоризонталне канале да бисмо их повезали.
Када постављамо кабл не смемо имати више од два угла од 90° између тачака између којих
вучемо кабл. Такође се мора водити рачуна о попуни канала за каблове, попуна простора
канала не би требало да пређе 40%.
189
Хоризонталне путање каблова

Као што и само име наводи, ове вођице кабловa простиру се између телекомуникационих
соба и радног простора. Овде исто треба водити рачуна о попуни простора у каналима за
каблове, увек треба оставити простора због могућности да у будуђности буде потребе за
додавањем још каблова.
Врсте вођица каблова

Каналице се најчешће користе за инсталацију каблова (слика 12.17). Постоји читав
спектар типова и димензија, као и материјала од којег се каналице израђују. Оне се најчешће
монтирају на зид и у случају потребе омогуђавају лак приступ кабловима. Постоје каналице
на које се директно могу уграђивати мрежне, телефонске и друге утичнице. Металне
каналице са више раздвојених канала омогућавају да се паралелно инсталирају мрежни и
енергетски каблови, у ситуацијама када не постоји могућност и простор да се ови каблови
одвојено инсталирају. Треба водити рачуна о попуњености каналица, како због проширења у
будућности тако и због инсталације самих каблова. Ако је каналица потпуно попуњена
каблови једноставно неће у њој моћи да се савију под углом од 90°.
Слика 12.17 Каналице
За инсталацију каблова користе се и црева (слика 12.18), најчешће пластична (тзв.

„бужир“). Она се постављају у зид, и због тога су каблови недоступни након инсталације.
Овде се исто мора водити рачуна о густини каблова у пластичном цреву, да би савијање
било могуће. Каблови се провлаче уз помоћ металних сајли, а додавање каблова у већ и
делимично попуњене пластичне цеви практичнo је немогуће. Али и поред отежаног приступа
кабловима, овакав начин инсталације је дискретнији, јер се каблови и каналице не виде и не
нарушавају изглед пословног простора.
Слика 12.18 Пластично црево
190
XII Вежба
Такође, постоје и разне вођице каблова које се постављају у спуштене плафоне (слика
12.19) или издигнуте подове. И за њих постоји велики спектар утичница које се могу директно
монтирати на под и бити практично неприметне.
Слика 12.19 Плафонске вођице каблова
Савети за инсталацију пасивне мрежне опреме

Инсталација саме опреме једна је од најбитнијих ставки система структурног каблирања.
Можемо потрошити значајна финансијска средства на најбољу мрежну опрему, али ако је не
инсталирамо исправно систем који смо пројектовали неће добро функционисати. У TIA/EIA-
568-B.1 стандарду постоје препоруке за инсталацију мрежне опреме, неке од најважнијих су:
Упредање парица. Корак упредања парица код бакарних каблова представља једну од
карактеристика које знатно утичу на перформансе самог кабла. Ако којим случајем
распредемо парице перформансе кабла ће се смањити. Ово је јако битно код постављања
конектора или модула на каблове. При монтирању конектора или модула треба уклонити што
мање изолационог омотача, док парице не би требало распредати више од 13mm (слика
12.20).
Слика 12.20 Распредање парица
Радијус савијања каблова. Ако каблове са упреденим парицама сувише савијемо

приликом инсталације можемо нарушити корак упредања и на тај начин аутоматски смањити
перфoрмансе кабла. Радијус савијања UTP кабла мора бити бар 4 пута већи од пречника
самог кабла (слика 12.21). Код оклопљених каблова радијус савијања мора бити 8 пута већи
од њиховог пречника. Код оптичких каблова треба пратити инсталациона упутства
произвођача, али у сваком случају радијус савијања не треба бити мањи од 25mm.
191
Слика 12.21 Радијус савијања кабла
Истезање каблова. Каблови се приликом инсталације понекад морају провлачити кроз

већ постојеће канале који су делимично и попуњени. Ако употребимо сувише јаку силу за
провлачење каблова, можемо их оштетити. Код UTP каблова вучна сила не би требало да
прелази 110 N. Претерано повлачење може нарушити корак упредања кабла. Код оптичких
каблова вучна сила не би требало да прелази 222 N, али ипак треба проверити
спецификације произвођача.
Стезање каблова. Каблове треба груписати одговарајућим тракама (слика 12.22). Али не
треба их сувише јако притезати јер може доћи до оштећења каблова. Траке треба да буду
благо затегнуте.
Слика 12.22 Груписање каблова
Инсталација конектора. Код упредених парица конектори морају бити истег или бољег
типа као и кабл. RJ45 конектори монтирају се на кабл уз помоћ кримп клешта (слика 12.23а).
Треба водити рачуна о распореду парица у конектору. Такође треба проверити да ли су све
парице оствариле контакт са иглицама конектора. Изолациони омотач кабла уклања се
помоћу стрипер алата (слика 12.23б), али изолациони омотач не треба да буде сувише
уклоњен јер може доћи до нарушавања перформанси самог кабла.
192
XII Вежба
Слика 12.23 Алат за инсталацију конектора
Тамо где је то могуће препоручује се употреба фабрички произведених и тестираних

каблова са конекторима, као што је случај са приводним кабловима (слика 12.24). Пожељно
је користити различите боје каблова у зависности од намене кабла.
Слика 12.24 Фабрички приводни каблови
Постављање конектора код оптичких каблова знатно је сложеније, и потребно је добро

исполирати оптичко влакно и поравнати језгро влакна са конектором. Ако се конектор лоше
инсталира на кабл долази до непотребног преламања и слабљења светлосног сигнала.
Тестирање каблова
Након инсталације каблова и конектора потребно је извршити проверу исправности веза
како би се уочиле потенцијалне неисправности које су настале услед монтирања каблова
или конектора.
За тестирање каблова постоје две уобичајене тест конфигурације: линк тест (углавном се
користи у објектима који су још увек у фази изградње и не укључује приводне везе ни на
једном крају кабла) и тест канала (обезбеђује верификацију перформанси са краја на крај, тј.
исправност кабла и проверу приводних веза на крајевима) (слика 12.25).
Наиме, мерења инструментима у структурним кабловским системима могу се сврстати у
четири категорије. Прву чине „зујалице“ или „тонери“ и дигитални мултиметри (слика 12.26а).
Друга категорија су тестери каблова (слика 12.26б), а у трећу категорију спадају
специјализовани уређаји за мерења и атестирање, који се још називају и инструментима за
сертификацију (слика 12.26г). Најзад, четврту групу чине анализатори мреже (Network
Analyzers) (слика 12.26д).
193
Слика 12.25 Тест конфигурације
Сваки од инструмената из ове четири групе има своју намену, а примена неодговарајућих
инструмената за тестирање може проузроковати више штете него користи. Није упутно
тестирати UTP кабл категорије 5 обичним омметром или „зујалицом“. Исто тако, није упутно
тражити грешке у ожичењу мрежним анализатором, због утрошка времена и због цене самог
инструмента.
Слика 12.26 Уређаји за тестирање каблова
Тестирање упредених парица

Тестери континуалности су инструменти који се најчешће користе за проналажење
каблова или парица и откривање прекида и кратких спојева у каблу. Производе се у
најразличитијим облицима специјализованим за одређене типове каблова, мада се у
суштини своде на обичне зујалице или модификоване омметре. У исту сврху може се
користити и обични дигитални мултиметар са адаптером и неколико краткоспојника. Ови
тестери много чешће се користе у телефонији него у структурном каблирању. Главна
предност им је ниска цена, а мана је ограничен опсег мерења и свођење грешака на прекид
или кратак спој.
За проверу каблова користе се усавршени тестери континуалности који проверавају и да
ли су каблови правилно повезани, проналазе раздвојене или укрштене парице и откривају
остале грешке у повезивању према задатом стандарду. Најскупљи модели могу да измере
чак и дужину кабла, једноставни су за употребу, резултати мерења добијају се одмах и
једнозначни су. Мана им је што не могу да открију фреквентно зависне грешке. На нашем
тржишту могу се наћи Микротестов Microscanner који мери и дужину кабла, Molex (раније
Mod-Tap) SLT3 Tester и FULL Cable Tracer.
194
XII Вежба
За функционалне тестове потребни су специјални тест уређаји, односно инструменти за

сертификацију, који испитују кабл по тачно дефинисаним критеријумима стандарда TIA/EIA
568A и ISO класе D и E, односно TSB67 (Transmition Performance Specification) и TSB95 за
категорију 5Е.
Критеријуми за тестирање упредених парица су:
• дужина кабла,
• исправност ожичења (wire map) – провера да ли је распоред парица исправан,
• време кашњења (propagation delay) - брзина простирања сигнала кроз парицу. Изражава
се у односу на брзину простирања светлости у вакууму,
• разлика у кашњењу (propagation delay skew) - или попречно кашњење које је разлика
између најбржег и најспоријег сигнала у различитим парицама језгра кабла,
• слабљење (attenuation),
• преслушавање на ближем крају (Near End Crosstalk – NEXT)
• ехо (return loss) - повратни губици представљају однос улазне и рефлектоване снаге
сигнала, у dB. Настаје на местима дуж кабловске линије где је присутна нехомогеност
карактеристичне импедансе парице.
• PSNEXT (Power Sum Near End Cross Talk) - представља укупан утицај снаге
преслушавања на ближем крају свих ометајућих парица на мерену ометану парицу,
• PSFEXT (Power Sum Equal Level Far End Cross Talk) - представља укупан утицај
преслушавања на даљем крају свих парица на мерену парицу,
• ELFEXT (equalized level far end crosstalk), односно изједначена вредност преслушавања
на даљем крају.
За корисника је најважнији податак однос слабљења и преслушавања ACR (attenuation to
crosstalk ratio). За категорију 5Е још се мере PSFEXT и ELFEXT. Инструменти за
сертификацију малих су димензија (величине стандардног дигиталног мултиметра),
аутономног напајања, мале масе и једноставни су за употребу.
Већина модела има већ припремљене групе тестова за одговарајуће категорије кабла,
али можете направити и сопствени скуп мерења. Резултати тестирања добијају се у
временском распону од неколико секунди до неколико минута и дају потпуни увид у стање
линије. Овим уређајима могућа је дијагностика свих врста грешака које се могу јавити у
структурним кабловским системима. Главна мана оваквих уређаја је цена. Водећи
произвођачи ове опреме су Microtest, Fluke, Hewlett-Packard, Datacom и Agilent.
Анализатор мреже углавном се користи у лабораторијским условима, када треба
упоредити каблове исте категорије и дати њихову фреквентну карактеристику. Састоји се од
врло прецизног предајника и пријемника и њим је могуће утврдити слабљење по линији у
распону од 0.1 до 500 MHz и у динамичком опсегу који је већи од 110 dB. Предност овог
уређаја је велика тачност мерења, али су мане многобројне. За потпуна мерења често су
потребни сати, уређај је сувише гломазан, мери парицу по парицу, не може да изврши сва
мерења потребна за сертификовање категорије 5е или 6, тражи сарадњу квалификованог
стручњака и, наравно, кошта преко 20 хиљада долара.
195
Вежбе
Активност 1: Пример прорачуна пасивне мрежне опреме
У овој вежби биће приказан поступак пројектовања и прорачуна система структурног
каблирања у складу са пројектним захтевима.
Објекат је једноспратна пословна зграда, потребно је пројектовати локалну рачунарску
мрежу. На слици 12.27 приказан је план приземља објекта, док је на слици 12.28 дат план
првог спрата. При томе, предложено решење треба да обезбеди функционалност за наредни
период од најмање 5 година и могућност надоградње. Од пројектанта се захтева да
обезбеди следеће:
• пројектовати разводе и кабловску инфраструктуру мреже,
• нацртати план вертикалног и хоризонталног каблирања, са назначеним бројем и врстом
каблова,
• направити прорачун пасивне мрежне опреме.
Пре него што се приступи самом пројектовању потребно је прикупити од инвеститора што
више корисних информација о захтевима и потребама и евентуалним планираним
проширењима у будућности.Овакве информације најчешће се сакупљају у форми интервјуа
или упитника кога инвеститор, или неко друго овлашћено лице, попуњава.
Слика 12.27 Приземље
196
XII Вежба
Слика 12.28 Први спрат
Обилазак локације потребно је обавити да би се добио увид у стање евентуалне

постојеће локалне рачунарске мреже, снимак стања грађевине и одређивање предлога траса
полагања каблова. Након што се скупе све потребне информације приступа се изради
пројектне документације.
Кориснички захтеви су следећи:
• свако радно место треба да има два мрежна прикључка,
• на великим столовим у канцеларијама потребно је обезбедити минимум две мрежне
утичнице,
• брзина протока података на радним местима треба да буде 100Mbps,
• серверима који се налазе у соби са опремом треба обезбедити брзину протока од
1Gbps.
Обиласком локације увидело се да зграда има спуштени плафон од гипсаних плоча и
подигнуте подове у канцеларијама на првом спрату.
Одабир телекомуникационих соба

Први корак могао би бити одабир просторија које ће бити претворене у
телекомуникационе собе. Код одабира просторија треба обратити пажњу на „област
покривања“ која се одређује на основу максималног досега каблова који ће се користити за
хоризонтално каблирање.
Просторија 1.12 одабрана је за главно чвориште (MDF – Main Disrtribution Frame). У овој
просторији налазиће се опрема за главно чвориште као и опрема за међучвориште IDF0 (IDF
– Intermedia Distribution Frame) које опслужују рачунаре у приземљу. Ова просторија је
изабрана због своје пространости и изолованости, а у њој се налази и демаркациона тачка
(POP – Point Of Present). У овој просторији налазиће се и сервери за локалну рачунарску
мрежу.
197
Просторије означене бројевима 2.31 и 2.7 одабране су за међучворишта на првом спрату,

IDF1 и IDF2, респективно. На слици 12.30 је приказана област покривања ових међучворишта.
Слика 12.29 План приземља
Слика 12.30 План првог спрата
198
XII Вежба
Одабир врсте каблова за хоризонтално и вертикално каблирање

На основу фактора за одабир каблова који су обрађени у поглављу 12.3, за хоризонтално
каблирање одабран је U/FTP CAT6 кабл са пуним попречним пресеком (wall cable). Оклопљени
кабл је одабран јер је ће каблови монтирати у простору спуштеног плафона, где ће на малом
размаку бити провлачени и напонски каблови. Такође, оклопљени каблови пружају знатно боље
карактеристике у случају потребе за проширењем пропусног опсега ка радним местима.
Пошто је изабран оклопљени кабл, потребно је користити и оклопљене мрежне модуле, који се
монтирају на радним местима као и на разводним панелима у телекомуникационим собама. Ови
модули ће омогућити да се оклопљени кабл уземљи преко ормана за опрему. На слици 12.31 су
приказани мрежни модули за оклопљене (12.31а) и неоклопљене каблове (12.31б).
Слика 12.31 Мрежни модули
На страни хоризонталног кабла која се завршава у радном простору, модул се монтира у

посебна кућишта. Постоји велики избор кућишта за инсталацију модула:
• кућишта која се инсталирају директно на парапетне канале,
• назидна кућишта,
• узидна кућишта,
• кућишта која се монтирају на подигнут под.
На слици 12.32 могу се видети неки модели кућишта.
Слика 12.32 Кућишта за мрежне модуле
На страни хоризонталног кабла који се завршава у телекомуникационој соби, модули се

монтирају на разводне панеле (patch panels). Разводни панели се постављају у ормане за
опрему (познатији као reck ормани). Разводни панели су стандардне ширине од 19" и 23" а
висина зависи од броја прикључних места. Разводни панели могу имати већ инсталиране
мрежне модуле, а могу бити и јако једноставни у и то виду маске на коју се модули монтирају
(слика 12.33).
199
Слика 12.33 Разводни панел са преинсталираним модулима
За вертикално каблирање одабран је вишеугаони оптички кабл од 62.5/125µm. Између

главног чворишта MDF и међучворишта IDF1 и IDF2, биће постављена по 4 оптичка влакна.
Јако битно је напоменути да се морају користити посебни оптички разводни панели у свим
орманима са опремом до којих се простиру оптички каблови.
Оптички разводни (слика 12.34) панел је пасивна компонента фибер оптичког система где
се завршавају оптички каблови оптичким конекторима, а поставља се у орман са опремом.
Слика 12.34 Оптички разводни панел
На предњој страни оптичког разводног панела монтирани су оптички адаптери за спајање

оптичких конектора. У адаптер се са задње стране поставља конектор доводног оптичког
кабла, а са предње стране конектор оптичких приводних каблова (patchcord). Завршавање
оптичких влакана долазног кабла може се вршити спајањем завршног кабла (pigtail, слика
12.35) или директном монтажом конектора.
200
XII Вежба
Слика 12.35 Оптички завршни кабл – pigtail
Оптички разводни панел садржи различит број оптичких портова, али је то најчешће: 8,
16, 24 и 48 оптичких портова. Оптички портови на разводном панелу могу бити различити
зависно од типа оптичког конектора који треба да се прикључи.
Одабир вођица каблова

Пошто у објекту постоји спуштени плафон, већина каблова ће се монтирати у том
међупростору. За ту сврху користиће се посебни носачи каблова који се монтирају на плафон
(слика 12.36), о којима је било речи у поглављу 12.3.
До радних места каблови ће се провлачити кроз подигнут под. У просторијама где
подигнут под није инсталиран, каблови ће се провлачити кроз пластичне каналице до радних
места. Потребно је обратити пажњу на димензије и капацитет каналица. Треба узети у обзир
да се користе оклопљени каблови, који су већег пречника од неоклопљених каблова, и на
основу тога треба одабрати праве димензије каналица.
Слика 12.36 Вођице каблова
Одабир ормана за опрему

Ормани за опрему служе за смештање и организовање мрежне опреме. Ормани су
стандардних димензија, ширине 19" и 23", и могу бити стојећи или назидни. Основна
јединица мере за ормане са опремом је rack unit (U) која износи 43.6 mm. Потребно је
одабрати орман довољне висине како би у њега стала потребна пасивна и активна мрежна опрема, а
да опет између опреме остане места за циркулацију ваздуха због хлађења. Постоје и посебни
додатни елементи који се монтирају у ормане за опрему, као што су аранжери каблова, вентилатори,
лампе за осветљење, итд.
201
Означавање прикључних места и каблова

Правилно документовање система структурног каблирања је од есенцијалне важности.
Свако прикључно место и сваки мрежни кабл морају бити једнозначно обележени. Каблове је
потребно означити пре самог постављања, како не би долазило до конфузије када се
каблови групишу у току саме инсталације.
Потребно је одредити систем означавања прикључних места и каблова. Ознаке најчешће
садрже број просторије, број радног места и број мрежне утичнице. На пример: друга
утичница на радном месту број 7 у просторији 2.10 имала би ознаку 2.16-7/2.
Ако у систему постоји више чворишта хоризонталног каблирања, пожељно је означити
каблове и са бројем чворишта. На пример, мрежни кабл за прикључницу са ознаком 2.16-7/2
био би означен са IDF2-2.16-7/2. За означавање каблова могу се користити и наменске
налепнице које су доступне и на нашем тржишту.
Прикључнице које се налазе на разводним панелима у чвориштима такође је потребно
означити. Најчешће ова прикључна места имају исте ознаке као и прикључнице на радним
местима.
Спецификација потебне пасивне мрежне опреме

Када се заврш и процес одабира пасивне мрежне опреме као и прорачун потребне
количине опреме, добра је пракса направити спецификацију у виду табеле. Пример
спецификације прказан је у табели 12.2.
Опрема Количина Локација Цена

U/FTP кабл CAT6, произвођач R&M 4
парице, пун пресек, омотач без Хоризонтално
8000m -
халогена, незапаљив и не испушта каблирање
дим
STP приводни кабл CAT6 дужине 3m -
- фабрички направљен и тестиран, 220 ком. Радна места
R&M
STP приводни кабл CAT6 дужине 2m
- фабрички направљен и тестиран, 220 ком. Мрежна чворишта -
R&M
Модул RJ-45 STP CAT6, 568A/B, са
додатком за монтирање на 220 ком. Радна места -
пластична кућишта, R&M
Модул RJ-45 STP CAT6, 568A/B, Мрежна чворишта,
R&M 220 ком. монтажа на разводне -
панеле
Разводни панел са 24 прикључна
10 ком. Мрежна чворишта -
места, R&M
Оптички кабл 8 влакана 62.5/125
вишеугаони 62.5/125 - Halogen Free,
незапаљив и не испушта отрован
150m Вертикално каблирање -
дим, са додатним појачањем и
заштитом од глодара, отпоран на
влагу
202
XII Вежба
Опрема Количина Локација Цена

Оптички разводни панел 19"/1U са
12 слотова за дуплекс SC/ST
адаптере (до 24 оптичка влакна) - 3 ком. Мрежна чворишта -
дубина 295mm, касета за
сплајсовање
Дуплекс SC/SC вишеугаони адаптер Мрежна чворишта,
за оптички разводни панел 10 ком. монтажа на разводне -
панеле
Приводни оптички каблови SC - SC
10 ком. Мрежна чворишта -
дуж. 2m, вишеугаони 62.5/125
Пластична кућишта за монтажу
мрежних утичница, 2 прикључна 110 ком. Радна места -
места, Legrand
Парапетни пластични канали,
200m Радна места -
димензије, 55x50mm, Legrand
Метални носачи каблова за Хоризонтално и
400m -
спуштени плафон вертикално каблирање
Рек орман 42 U/19" Toten A28042,
стојећи - статичка носивост до 800kg, 3 ком. Мрежна чворишта -
димензије 800x1000x2000mm
Разводник са 5x220V утичних места -
прекидач, основна заштита, кабл 5 ком. Мрежна чворишта -
3,0m
Табела 12.2 – Спецификација пасивне мрежне опреме
Цене у овом примеру нису приказане из практичних разлога, али је потребно израчунати
укупну вредност пасивне мрежне опреме. Пракса је израчунати и цену пасивне мрежне
опреме по једном мрежном прикључку, како би се што боље приказали трошкови
инвеститору. Цена се добија тако што се цена укупних трошкова за пасивну мрежну опрему
подели са бројем мрежних прикључница (у примеру који је приказан постоји 220 прикључних
места).
203
XIII ВЕЖБА
АКТИВНА МРЕЖНА ОПРЕМА
У овој вежби студенти треба да се упознају са улогом активне мрежне опреме у

модерним рачунарским мрежама као и са типовима уређаја који спадају у ову
категорију.
XIII Вежба
13. Активна мрежна опрема

Активну мрежну опрему представљају уређаји који на неки начин утичу на мрежни
саобраћај и којима је за рад неопходна електрична енергија. У основи сви активни мрежни
уређаји утичу на саобраћај тако што обнављају евентуaлно ослабљен сигнал, а неки од њих
имају способност да одлучују да ли одређени саобраћај треба преусмерити и куда. Ова група
је због тога и добила назив епитет активна. Као таквa, активна мрежна опрема је основни
градивни елемент модерних рачунарских мрежа.
У даљем тексту представићемо најпознатије типове мрежних уређаја који се убрајају у
активну мрежну опрему, при чему ће бити наглашена караkтеристика која их сврстава у ову
групу.
13. 1 Обнављивач сигнала (енг. Repeater)

Рипитер је уређај који функционише на физичком слоју OSI референтног модела. Његова
улога је да регенерише сигнал који је примио на једном интерфејсу и да га проследи на други
интерфејс. Основна намена му је да продужи мрежни сегмент преко његових физичких
ограничења, било да се сигнал преноси коаксијалним кабловима, упреденим парицама,
оптичким кабловима или радио сигналима.
13.2 Медија конвертер

Медија конвертери су уређаји намењени повезивању рачунарских мрежа које користе
различите технологије преноса. Најчешће се користе медија конвертери за претварање
електричног сигнала у оптички сигнал и обрнуто, функционишу на физичком слоју OSI
референтног модела. Најчешћа примена је у случајевима када је потребно прећи са бакарног
медијума (упредених парица) на оптички медијум (оптички кабл) и обрнуто. Израђују се за
различите варијанте оптичких конектора и оптичког кабла који се користи за пренос –
једноугаоне или вишеугаоне. Највећи број типова медија конвертера користи два влакна за
пренос оптичког сигнала, али постоје и медија конвертери који за пренос оптичког сигнала
користе једно влакно. Израђују се варијанте за различите брзине преноса, тј. за 100Mbps или
1Gbps. Такође, постоје медија конвертери за прелаз са једноугаоног на вишеугаони оптички
пренос.
Слика 13.1 Медија конвертери
205
13.3 Концентратор
Концентратор18 је мрежни уређај који функционише на физичком слоју OSI референтног
модела. Користи се за повезивање мрежних уређаја у један мрежни сегмент. За
концентратор се може рећи да представља вишепортни рипитер јер не врши никакво
филтрирање нити преусмеравање мрежног саобраћаја, већ само обнавља сигнал примљен
на једном интерфејсу и прослеђује га на све остале интерфејсе. Сви уређаји који су повезани
на концентратор налазе се у једном колизионом домену.
Данас концентратори спадају у категорију застарелих уређаја и не препоручује се њихова
употреба. У односу на комутаторе који се данас користе, концентратори имају лоше
карактеристике: мале брзине преноса података, подложност колизији и могућност
полудуплекс везе између уређаја.
Слика 13.2 Концентратор
13. 4 Мрежни адаптер

Мрежни адаптер (NIC19) је уређај који омогућава рачунару да се повеже на рачунарску
мрежу. Мрежни адаптер функционише на првом и другом слоју ОСИ референтног модела јер
омогућава физичко повезивање на рачунарску мрежу преко физичког медијума, као и систем
адресирања употребом MAC20 адреса.
Мрежни адаптери могу се прикључити преко PCI, USB, PCMCIA прикључака а готово све
модерне матичне плоче садрже бар један интегрисани мрежни адаптер. Мрежни адаптери
омогућавају рачунарима да користе различите медијуме за пренос података: оптичке
каблове, упредене парице, коаксијалне каблове или бежични приступ.
При избору мрежног адаптера треба обратити пажњу на брзине које адаптер подржава,
брзине од 1Gb/s подржавају сви новији мрежни адаптери. Цене адаптера варирају у
зависности од технологије коју користе. Адаптери који користе упредене парице као физички
медијум за пренос података најефтинији су, затим следе бежични мрежни адаптери, а
тренутно су најскупљи оптички мрежни адаптери.
18
Hub
19
Network interface card
20
Media access control
206
XIII Вежба
Слика 13.3 Оптички мрежни адаптер
13.5 Комутатор
Комутатори21 су уређаји који служе за повезивање више уређаја на исту мрежу у оквиру
зграде или кампуса. Уз помоћ комутатора креира се приступни део рачунарске мреже.
Комутатори функционишу на другом слоју OSI референтног модела и користе физичке
адресе за активно преусмеравање мрежног саобраћаја. Комутатори врше сегментацију
локалне рачунарске мреже на засебне колизионе домене. Сваки прикључак на комутатору
представља засебан колизиони домен и омогућава комуникацију у потпуном дуплекс режиму.
Код одабира комутатора треба обратити пажњу на број мрежних портова (интерфејса)
које комутатор садржи, максималан проток података и могућност агрегације пропусног
опсега.
Комутатори са фиксном конфигурацијом обично садрже до 48 портова и до 4 додатна
порта за узлазне линкове. Уместо портова за узлазне линкове који подржавају веће брзине
могу се користити комутатори са портовима за SFP22 уређаје. Препорука је да увек на
комутатору остане слободних прикључака како би се лако додавали нови корисници у
рачунарску мрежу, или у случају отказа неког од портова.
Слика 13.4 Комутатори са фиксном конфигурацијом
Јако битна карактеристика комутатора је максимални проток података. Овај параметар

даје нам информацију о количини података које комутатор може да процесира за време од
једне секунде. Произвођачи обично користе овај параметар како би категоризовали своје
комутаторе по серијама. Комутатори који се користе на приступном нивоу (на њих се повезују
крајњи корисници) имају најмањи проток података. Ако комутатор има малу брзину протока
21
Switch
22
small form-factor pluggable
207
подата он неће моћи свим корисницима да обезбеди максималну брзину преноса података.
Рецимо да имамо комутатор који има 48 гигабитних портова. Ако сви корисници користе
максимални пропусни опсег они ће генерисати саобраћај од 48Gb/s. Ако комутатор подржава
само 32Gb/s протока података, неки корисници неће имати максималне перформансе.
Агрегација пропусног опсега омогућава да се неколико портова на комутатору логички
повеже и на тај начин се повећа пропусни опсег линкова. На пример, можемо искористити 4
гигабитна порта на комутатору за агрегацију и на тај начин направити један логички порт који
подржава брзину од 4Gb/s, што има велику примену када су нам потребни брзи узлазни
линкови ка остатку рачунарске мреже.
Најшире посматрано, комутаторе можемо поделити на управљиве комутаторе и на
неуправљиве комутаторе. Неуправљиви комутатори се не могу додатно подешавати, и
немају неке напредне опције комутирања као што су виртуелна сегментација мрежа,
могућност управљања квалитетом сервиса, сигурност портова, итд. Њихова предност је
ниска цена и они представљају прави избор за кућне мреже и мреже у малим предузећима.
Управљиви комутатори имају могућност додатних подешавања, иницијална
конфигурација се изводи преко посебног серијског интерфејса који се зове конзолни
интерфејс. Након подешавања одређених параметара за приступ (лозинке, адресе, итд.)
комутатори се могу подешавати и са удаљених локација. Виртуелно сегментирање мрежа
(VLAN) једна је од опција која се најчешће подешава на управљивим комутаторима.
Комутаторе можемо поделити на оне са фиксном конфигурацијом и на модуларне
комутаторе. Комутаторима са фиксном конфигурацијом не могу се додавати додатни
интерфејси. Што значи ако наручимо комутатор са 24 гигабитна интерфејса, не можемо на
њега додавати нове интерфејсе ако нам се за то укаже потреба услед раста рачунарске
мреже. Комутатори са фиксном конфигурацијом најчешће су пројектовани тако да имају
одређени број интерфејса (8, 16, 24 или 48 портова) који служе за повезивање крајњих
корисника. Поред ових портова обично се и постави пар додатних портова веће брзине који
служе за повезивање комутатора са вишим хијерархијским нивоима рачунарске мреже.
Слика 13.5 Модуларни комутатор
208
XIII Вежба
Модуларни комутатори пружају већу флексибилност и обично се и израђују у кућиштима

различитих величина у која се могу додавати посебне модуларне линијске картице. Линијске
картице садрже мрежне интерфејсе и оне омогућавају једноставну надоградњу комутатора.
Постоје комутатори који подржавају међусобно уланчавање23. Ова опција омогућава да се
већи број комутатора повеже посебним кабловима и да функционишу као један комутатор.
Број комутатора који се може повезати на овај начин зависи од техничког решења које
користи произвођач. Cisco је имплементирао StackWise технологију која омогућава
повезивање до девет комутатора који ће функционисати као један комутатор са протоком
података од 32Gb/s (постоји и Cisco Stackwise Plus технологија која омогућава проток
података од 64Gb/s). Један од комутатора ће бити изабран за главни комутатор преко којег
ће се подешавати сви остали комутатори. Компанија 3Com је имплементирала своју XRN24
технологију која омогућава повезивање до 8 комутатора на овај начин.
PoE25 је још једна карактеристика на коју треба обратити пажњу приликом избора
комутатора. Ова опција омогућава комутатору да снабдева електричном енергијом уређаје
који су повезани на његове мрежне интерфејсе преко етернет кабла. Ова опција је јако
корисна код IP телефона, IP камера и бежичних приступних тачака које се повезују на
комутатор.
13.6 Бежичне приступне тачке

Бежична приступна тачка26 је уређај који функционише на другом слоју ОСИ референтног
модела и користи се за повезивање бежичних корисника са остатком рачунарске мреже који
је ожичен. Бежична приступна тачка представља мост измећу бежине и етернет технологије.
У инфрасруктурној бежичној рачунарској мрежи рачунари не комуницирају директно једни са
другима већ се сва комуникација обавља преко бежичне прступне тачке, тако да она има
исту улогу као и комутатор у ожиченим мрежама.
Код избора уређаја потебно је обратити пажњу на стандарде које уређај подржава.
Највећи број уређаја на нашем тржишту подржава 802.11b/g/n стандарде (раде у опсегу од
2,4GHz), а могу се наћи и уређаји који подржавају 802.11а сандард (раде у опсегу од 5GHz).
Потребно је одабрати и одговарајући тип антене у зависности од конфигурације самог

објекта у коме је потребно обезбедити покривеност бежичном рачунарском мрежом. Дипол
антена од 2,2 dBi је најчешће коришћена антена у затвореном простору. Може се видети на
скоро свим бежичним мрежним адаптерима. На бежичним приступним тачкама се обично
користе дипол антене са мало већим појачањем сигнала. Ова антена има бољу пропагацију
сигнала по хоризонталној оси, јер је боље да, рецимо, покрива цео један спрат него да се
сигнал простире делимично и на остале спратове у објекту. Усмерене антене имају задатак
да обезбеде већу покривеност у халама, дугачким ходницима и на већим удаљеностима где
је потребна тачка-тачка веза. Када се користе у затвореним објектима обично се монтирају
на зидове, а код спољашње употребе најчешће се срећу у виду параболичних рефлектујућих
антена.
23
Stackable switches
24
eXpandable Resilient Networking
25
Power over Ethernet
26
Аccess point
209
Слика 13.6 Бежична приступна тачка
У SOHO27 мрежама најчешће се користе уређаји који представљају бежичну приступну

тачку а истовремено имају функционалност и комутатора и рутера. Цена оваквих уређаја
варира у зависности од технологија које подржавају.
13.7 Мрежне баријере

Мрежна баријера28 (позната и као заштитни зид) представља уређај или софтвер чији је
задатак да спречи нежељени пренос података преко рачунарске мреже. Најчешће је главни
задатак мрежне баријере да спречи упаде у рачунарску мрежу са Интернета. Мрежне
баријере могу бити софтверске или хардверске.
Хардверске мрежне баријере представљају посебан мрежни уређај чији је задатак да
врши филтрирање пакета, превенцију напада, успоставу VPN29 конекција. Ове уређаје
карактерише број мрежних интерфејса, максимални број сесија које могу да надгледају,
количинама података које могу да обраде у току одређеног временског периода, максималан
број сигурносних правила, број VPN конекција, итд.
Слика 13.7 Хардверска мрежна баријера
13.8 Рутер
Рутер30 или мрежни усмеривач је уређај који има улогу да повеже више различитих ΙP
мрежа и обезбеди могућност усмеравања саобраћаја између њих. Принцип рутирања,
односно усмеравања саобраћаја, заснива се на анализи одредишне ΙP адресе сваког пакета
27
Small office/home office
28
Firewall
29
Virtual private network – виртуелна приватна мрежа
30
Router
210
XIII Вежба
са циљем одређивања даље путање тог пакета, као и излазног интерфејса кроз који треба
проследити пакет. На основу информација које анализира (ΙP адресе) рутер можемо
класификовати као уређај који припада првенствено мрежном слоју OSI референтног
модела.
Ентитети у данашњим рачунарским мрежама, како локалним тако и на Интернету,
адресирани су помоћу ΙP адреса, па је примена рутера незаобилазна како бисмо повезали
две и више различитих IP подмрежа. Треба напоменути да рутери имају и улогу медија
конвертера јер је могуће повезати и више мрежа које користе различите технологије преноса.
Како рутер повезује једну локалну мрежу са остатком света, клијенти те локалне мреже
користе рутер као подразумевани пролаз.
Велики значај који рутер има у креирању рачунарских мрежа, довео је до тога да је данас
тржиште преплављено различитим системима за рутирање. Класификација рутера може се
извршити превасходно на основу тога да ли је рутер хардверски прилагођен уређај са
специјализованим софтвером31, или сам софтвер који се може извршавати и на обичном
рачунару. Како је сам процес рутирања критичан за рад једне мреже, он се мора обављати
поуздано и веома брзо, тако да су хардверски рутери пожељнији.
Главне карактеристике које описују један рутер су: број и тип доступних интерфејса,
брзина прослеђивања, могућности рутера у погледу доступних протокола за рутирање,
безбедносни аспекти рутера, начин конфигурације, могућност надгледања... Скуп наведених
карактеристика директно утиче на цену рутера која се може кретати од неколико десетина
долара до неколико десетина хиљада долара. Избор одговарајућег рутера прилично је
сложен процес јер је прво неопходно утврдити коју количину саобраћаја треба да усмерава,
а затим које додатне функције треба да има са аспекта контроле саобраћаја, безбедности и
надгледања.
Најпознатији и тржишно најзаступљенији су рутери следећих произвођача: Cisco, Juniper,
Huawei, Redback. Сви произвођачи рутера своју палету производа деле на две групе и то :
кућна примена (SOHO) и пословна примена. Гледајући пословну примену, даље поделе
односе се на позицију рутера, односно оптерећење које рутер мора да поднесе, па стога
имамо рутере који су намењени „језгру“ мреже (енг. Core), рутере за агрегацију саобраћаја,
приступне рутере... Припадност некој од наведених група одређује перформансе уређаја,
али и његову цену, па су тако најскупљи рутери који су пројектовани за рутирање велике
количине саобраћаја у „језгру“ мреже, чије су перформансе ванпросечне.
Како је технологија преноса данас подложна честим променама и унапређењима услед
развоја телекомуникационих система, произвођачи рутера су то препознали и поред рутера
са фиксним карактеристикама (нпр. тип и број портова) производе и рутере који су
модуларни. Модуларност рутера значи да се прелазак са једне технологије преноса на другу
(на пример замена постојеће бакарне везе оптичком) може извршити на једноставан начин,
без потребе да се замени цео уређај већ само модул преко кога се та веза остварује. Ова
карактеристика рутера је од велике важности јер утиче на трошкове, али и на време
потребно да се замена изврши.
31 Appliance
211
Слика 13.8 Бежични Linksys рутер типа SOHO
Слика 13.9 Модуларност рутера – могућност додавања интерфејс картица
Слика 13.9 Cisco рутери серије 7600 намењени пружаоцима услуге

приступа Интернету (ΙSP)
212
Литература
14. Литература
[1] В. Васиљевић, Рачунарске мреже, Висока школа електротехнике и рачунарства, Београд, 2008.
[2] J. Kurosse, K. Ross, Computer Networking: A Top-Down Approach, Addison Wesley, 2009.
[3] W. Stallings, Data and Computer Communication, Pearson Education, Upper Saddle River, N.J, 2007.
[4] http://www.wireshark.org/
[5] http://www.vyatta.org/
[6] http://www.vyatta.org/forum
[7] http://www.vyatta.com/products/demo.php
[8] http://en.wikipedia.org/wiki/List_of_mail_servers
213
Евиденција урађених вежби
Вежба бр. Датум Сарадник

I
II
III
IV
V
VI
VII
VIII
IX
X
XI
XII
XIII
214

Rmreze Prirucnik PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Rmreze Prirucnik PDF

Uploaded by

Copyright:

Available Formats

Верица Васиљевић

Висока школа електротехнике и рачунарства струковних студија

Рецензенти: др Борислав Ђорђевић, мр Драган Плескоњић

Издавач: Висока школа електротехнике и рачунарства струковних студија

За издавача: др Драгољуб Мартиновић

Лектор: Анђелка Ковачевић

Техничка обрада: Веселин Илић, Марко Караџић, Мирко Ступар

Дизајн: Мирко Ступар

Штампа: МТС Гајић

CIP - Каталогизација у публикацији

РАЧУНАРСКЕ мреже : приручник за

Тираж 200. - Библиографија: стр. 213.

Приручник Рачунарске мреже првенствено је намењен студентима Високе школе

Приручник се састоји од десет вежби, методички обрађених.

Да би се студентима омогућило да што квалитетније и са више мотива самостално уче

1.1 ПРОЦЕС АУТЕНТИФИКАЦИЈЕ И АУТОРИЗАЦИЈЕ 1

АКТИВНОСТ 7: КОМБИНОВАЊЕ ДОЗВОЛА ЗА ДЕЉЕНЕ ФОЛДЕРЕ И NTFS ДОЗВОЛА 53

8. ТРАНСПОРТНИ СЛОЈ TCP/IP СКУПА ПРОТОКОЛА ......................................................................... 123

11.6 ПРЕГЛЕД СНИМКА САОБРАЋАЈА 162

ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ

Циљ вежбе је да се студенти упознају са софтвером за анализу мрежних протокола.

1. Провера идентитета корисника у рачунарској мрежи

1.1 Процес аутентификације и ауторизације

1.2 Модел радне групе

Слика 1.1 : Mодел радне групе

1.3 Модел домена

Слика 1.2 : Модел домена

У Windows мрежама оваква административна целина корисника и рачунара назива се

1.4 Директоријумски сервис

1.5 Протокол за приступ директоријуму LDAP

1.6 Активни директоријум

Слика 1.3 : Хијерархија организационих јединица

Подешавање статичке IP адресе:

Слика 1.4: Параметри повезивања

Слика 1.5 : Својства мрежног адаптера

У својствима мрежног адаптера изабрати Internet protocol (TCP/IP) а затим тастер

Слика 1.6: Подешавање статичке адресе

Провера система фајлова

Слика 1.7 : Систем фајлова на диску C:

Промена имена серверa

Слика 1.8 : Провера имена сервера

Слика 1.9 : Промена имена сервера

Пoчетак инсталације Активног директоријума

Слика 1.10 : Покретање чаробњака за инсталацију Активног директоријума

Слика 1.11 : Избор између додавања новог домена постојећој шуми и

3. Следећи корак је избор потпуно квалификованог имена домена (FQDN). Овде је

Слика 1.12 : Избор потпуно квалификованог имена домена

Слика 1.13 : Избор нивоа функционалности шуме

Слика 1.14 : Избор функционалног нивоа домена

6. Како би могао да настави са креирањем домена чаробњак проверава да ли је наведени

Слика 1.15 : Избор додатних улога које ће имати контролер домена

7. Администратор је у могућности да изабере где ће бити креирана база података коју

Слика 1.16 : Избор локације где ће бити смештени системски фајлови

8. Како је домен контролер централизована тачка преко које се врши администрација

Слика 1.17 : Дефинисање лозинке за рестаурацију резервне копије

Слика 1.18 : Преглед изабраних подешавања пре почетка

Слика 1.19 : Процес инсталације Активног директоријума

Активност 2 : Покретање алатке за администрацију Активног

Слика 1.20: Алатка за администрацију Активног директоријума

Слика 1.21 : Изглед инсталираног Активног директоријума

Активност 3 : Креирање објеката Активног директоријума;

Слика 1.22 : Хијерархијска организација предузећа

Слика 1.23: Креирање организационе јединице