Professional Documents
Culture Documents
Rmreze Prirucnik PDF
Rmreze Prirucnik PDF
Предраг Гавриловић
Борислав Крнета
Веселин Илић
Владимир Михајловић
Рачунарске мреже
Приручник за лабораторијске вежбе
Тираж: 200
004.7(075.8)(076)
ISBN 978-86-7982-120-1
1. Васиљевић, Верица, 1952- [аутор]
а ) Рачунарске мреже - Вежбе
COBISS.SR-ID 189632780
Предговор
Београд,
март, 2012. год. Аутори
Садржај
Садржај
1. ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ ..................................................... 1
У Windows мрежама овакав модел назива се модел радне групе, и постиже се аутоматски
умрежавањем радних станица и сервера.
1
Рачунарске мреже
домен
контролер
2
I Вежба
3
Рачунарске мреже
Корисник који жели да користи рачунаре и сервисе у оваквој мрежи мора да има корисни-
чки налог у активном директоријуму. Са само једним налогом овај корисник може да користи
све рачунаре у домену као и све сервисе који су интегрисани са активним директоријумом.
Дакле, унутар Windows домена, административне целине, постоји хијерархија објеката
(корисници, рачунари, и сл.) који имају своје атрибуте и представљају кориснике и ресурсе у
мрежи. Уколико је Windows мрежа веома велика, ради лакше администрације могуће је на-
правити и више домена, који се такође хијерархијски организују у стабло Активног
директоријума. Уколико је и оваква организација премала за потребе мреже, могуће је
направити шуму Активног директоријума, која се састоји од неколико стабала Активног
директоријума. На слици 1.3 приказан је пример организације једног Активног директоријума,
са истакнутом хијерархијом.
4
I Вежба
Вежбе
Активност 1 : Инсталација Активног директоријута
Активни директоријум се инсталира тако што један Windows сервер конфигуришемо као
домен контролер. Будући домен контролер мора да испуњава одговарајуће предуслове: сам
сервер мора да има статички конфигурисану IP адресу, сервер мора да има NTFS систем
фајлова на диску. Осим тога у мрежи мора да постоји DNS систем за разрешавање имена. У
Windows мрежама, потреба за DNS сервером најчешће се решава тако што се DNS сервис
инсталира на самом домен контролеру током инсталације Активног директоријума.
5
Рачунарске мреже
6
I Вежба
Име сервера променићемо у serverXY при чему XY треба заменити бројем радне станице
за којом студент седи (нпр. ако је радна станица РС79, онда ће име домена гласити
lab79.edu.rs). Како би променили име отворићемо Start мени, па затим десним кликом миша
изабрати Computer и у оквиру новог контекстног менија ставку Properties. У новоотвореном
прозору пронаћи ћемо одељак "Computer name, domain and workgroup settings" у оквиру кога
треба кликнути на линк Change Settings (слика 1.9). Појавиће се прозор у коме се врше
наведена подешавања. У оквиру картице Computer Name кликнути на дугме Change и у
новоотвореном прозору у делу Computer Name дефинисати наведено име.
7
Рачунарске мреже
8
I Вежба
2. Прва одлука коју морамо донети је та да ли је ово први домен који правимо или домен
који ће бити придружен постојећој шуми домена. Како не постоји шума нити иједан
домен, бирамо опцију "Create a new domain in a new forest" (слика 1.11).
9
Рачунарске мреже
4. Следећи корак је избор нивоа функционалности новокреиране шуме. Како постоје три
верзије Windows Servera, а самим тим и различите функције које они нуде (Windows
Server 2008 поседује функције које не поседују Windows Server 2000 и 2003), неопходно
је нагласити који ниво функционалности желимо да применимо. Ово подешавање је од
суштинског значаја у смислу компатибилности са ранијим верзијама Windows Servera.
Ако у мрежи постоји Windows Server 2000 или 2003 који имају улогу домен контролера,
онда је неопходно нагласити овом Windows Serveru да снизи ниво функционалности
како би се прилагодио постојећем окружењу. Пошто је ово први домен контролер кога
подижемо ставићемо ниво функционалности шуме на ниво Windows Server 2003 (Слика
1.13). Приликом овог избора неопходна је велика опрезност, јер се ниво
функционалности не може накнадно снизити.
10
I Вежба
5. У следећем кораку неопходно је навести који функционални ниво треба да има домен
који креирамо (слика 1.14).
11
Рачунарске мреже
12
I Вежба
13
Рачунарске мреже
9. По завршетку подешавања чаробњак даје преглед изабраних параметара, пре него што
започне са инсталацијом (слика 1.18). Инсталација Активног директоријума може да
траје у распону од пар минута до пар десетина минута, у зависности од перформанси
сервера (слика 1.19), након чега је неопходно рестартовати сервер.
14
I Вежба
15
Рачунарске мреже
1. Уколико притиснемо на + поред иконице која представља наш домен, можемо видети хи-
јерархију организационих јединица („фолдера“) у којима се налазе објекти Активног
директоријума. Приказане организационе јединице су аутоматски креиране како би се ор-
ганизовали аутоматски креирани објекти. Од администратора домена се очекује да
креира сопствену хијерархију организационих јединица. У левом пољу треба одабрати
организациону јединицу Users, како би нам се у десном пољу приказао њен садржај. Ово
је подразумевана (не и обавезна) организациона јединица за корисничке налоге. У току
вежби кориснички налози биће креирани у неким другим организационим јединицама.
2. У десном пољу уочити корисника administrator. То је аутоматски креиран објекат који
представља администратора домена. Овај објекат, као и сви остали објекти Активног
директоријума има своје атрибуте. Можемо их видети двоструким кликом на иконицу
објекта „administrator“.
3. Погледати, без измена, атрибуте које има корисник администратор. Атрибуте истог име-
на може да има сваки објекат који представља корисника. Затворитити прозор са атри-
бутима корисника.
4. У левом пољу изабрати организациону јединицу „Domain Controlers“. У десном пољу дво-
струким кликом изабрати објекат који представља домен контролер. Погледати својства
овог објекта.
16
I Вежба
Направићемо хијерархију организационих јединица која одсликава овакво стање, како бисмо
кориснике које касније креирамо логички организовали:
1. У левом пољу алатке Active Directory Users and Computers изабрати иконицу која
представља домен, притиснути десни тастер миша и изабрати New->Organizational
Unit (слика 1.23):
17
Рачунарске мреже
2. У прозор за креирање организационе једнице треба унети назив. У току вежби унети
„Београд“, а затим притиснути на OK. Оставити обележену опцију "Protect container
from accidental deleteion" (слика 1.24).
18
I Вежба
19
Рачунарске мреже
2. У новом дијалог прозору треба унети име, презиме као и корисничко име за овог ко-
рисника. У овом примеру креираћемо налог за особу која се зове Весна Јанковић, са
корисничким именом „vjankovic“ (слика 1.26).
20
I Вежба
21
Рачунарске мреже
22
I Вежба
23
Рачунарске мреже
Нови дијалог прозор представља матрицу: врсте су дани у недељи, колоне су сати у дану.
Ћелија плаве боје означава да је пријављивање у том временском периоду дозвољено.
Најпре ћемо изабрати опцију „Logon Denied“ (са десне стране), а затим селектовати само
ћелије које представљају период од понедељка до петка, од 8:00 до 16:00, и затим изабрати
опцију „Logon Permited“. Затим притиснути на OK, па затим још једном на ОК.
24
I Вежба
25
Рачунарске мреже
26
I Вежба
27
II ВЕЖБА
29
Рачунарске мреже
У неком каснијем тренутку, уколико неки нови корисник треба да има исто право, довољно
га је учланити у групу која има потребна права.
30
II Вежба
31
Рачунарске мреже
32
II Вежба
На пример, уколико сви корисници који раде као дизајнери треба да имају права да штам-
пају на дељеном мрежном штампачу, то се не ради тако што се корисници dmatic и кориснику
jpetrovic-у, сваком појединачно доделе права. Уместо тога, поступак би био следећи:
1. Сви корисници који раде као дизајнери треба да буду учлањени у глобалну групу „Ди-
зајнери“ („глобалне групе се користе да организују кориснике у домену према функци-
ји на послу“).
2. За потребе контроле приступа креира се локална група „Штампач“ и овој групи се до-
деле права над дељеним мрежним штампачем („локалне групе се користе за доде-
љивање права“).
3. Како би дизајнери могли да штампају, потребно је глобалну групу „Дизајнери“ учланити у
локалну групу „Штампач“.
33
Рачунарске мреже
34
II Вежба
Вежба
Активност 1 : Претрага активног директоријума
Активни директоријум је хијерархијска база и претрага се врши од неког места у хијерар-
хији наниже. Корисник бира место почетка претраге тако што најпре селектује то место.
1. Покренути алатку Active Directory Users and Computers.
2. Притиснути десним кликом миша по иконици која представља домен (претрага
почиње с врха хијерархије) и изабрати опцију „Find“.
3. У новом дијалог-прозору, у пољу „Description“ унети реч „Programer“. Овим смо
навели да нас интересују корисници, контакти и групе које као атрибут опис
(„Description“) имају реч „Programer“.
4. Притиснути на дугме „Find“.
35
Рачунарске мреже
me“. Овако можемо пронаћи све објекте у организационој јединици „Београд“, као и
организационим јединицама испод ње.
4. Кликнути на дугме „Find“.
5. Тако смо пронашли све кориснике у организационој јединици „Београд“ и ниже у хи-
јерархији. Уколико је то потребно могу се сви, или неки од њих, селектовати како би
се над њима извршила нека акција.
36
II Вежба
37
Рачунарске мреже
38
II Вежба
39
Рачунарске мреже
40
II Вежба
41
III ВЕЖБА
43
Рачунарске мреже
Вежбе
Активност 1: Поступак дељења фолдера
Фолдери се могу делити на неколико начина, а најједноставнији поступак је из прозора
„Windows Explorer“.
1. Отворити „Computer“ прозор („Start“ -> „Computer“), а затим, двоструким кликом отво-
рити диск C:
2. На диску C: направити фолдер „Проба“.
3. Уочити на диску C: фолдер „Проба“, притиснути десним кликом миша, и изабрати оп-
цију „Properties“.
4. Изабрати картицу „Sharing“.
5. Кликнути на дугме "Advanced Sharing".
6. У новоотвореном прозору селектовати опцију "Share this folder".
7. Име под којим се фолдер види на мрежи („Share name“) може бити различито од
имена које фолдер има на диску. Ову могућност нећемо користити.
8. Додатно, може се унети опис дељеног фолдера који корисници могу да виде када
претражују мрежу у пољу „Description“ (сада не уносимо ништа).
9. Кликнути на дугме „Permissions“ како бисмо одредили ко и на какав начин може да
приступа овом фолдеру преко мреже.
44
III Вежба
У горњем пољу наведени су објекти, односно корисници и групе (тренутно само група
„Everyone“), а у доњем делу наведене су дозволе које су том објекту дате.
Постоје 3 дозволе које се могу дати некоме над дељеним фолдером:
• „Read“ могућност да се чита, односно отвори фолдер, подфолдер и фајлови у њима.
• „Change“ омогућава, поред дозвола читања, и могућност измена, додавање и
брисање фајлова и фолдера унутар подфолдера.
• „Full Control“ омогућава , поред дозвола за мењање садржаја фолдера, и могућност
да се мењају дозволе над фајловима и фолдерима (овде се мисли на NTFS дозволе
које се раде касније).
Група „Everyone“ је уграђена системска група која обухвата све кориснике. Видимо да је у
току дељења фолдера овој групи дата (колона „Allow“), дозвола „Read“, односно читање.
Дијалог за подешавање дозвола има колону „Allow“ за додељивање дозвола, и колону
„Deny“ за одузимање дозвола. Експлицитно одузимање дозвола обично није неопходно.
Групе које нису наведене у листи имплицитно немају никакве дозволе за приступ.
Пример за употребу „Deny“ колоне био би: „сви корисници у Београду треба да имају при-
ступ али не и корисници који раде као службеници“. Тада бисмо могли да групи која обухвата
све кориснике у Београду дамо („Allow“) дозволу за читање, а да корисницима који су слу-
жбеници у Београду одузмемо („Deny“) исту дозволу. Ако неки корисник има и дозволу и исту
такву забрану, забрана надјачава дозволу и корисник нема право приступа. Другачијом
употребом група могла би се избећи употреба „Deny“ колоне и остварити једноставнија и
прегледнија листа за контролу приступа. У оквиру вежби неће бити коришћена колона „Deny“.
10. Кликнути на дугме „ОК“.
11. Уочити да је иконица која представља фолдер измењена како би означила да је фол-
дер дељен.
45
Рачунарске мреже
46
III Вежба
47
Рачунарске мреже
48
III Вежба
49
Рачунарске мреже
Ситуација ипак није тако лоша јер Windows има још један, флексибилнији систем заштите
на нивоу система фајлова – NTFS дозволе. Комбиновањем дозвола за дељене фолдере и
NTFS дозвола могуће је постићи жељени ниво заштите.
Овај фолдер као и сваки фајл или фолдер на дисковима са NTFS системом фајлова
има придружену листу за контролу приступа. У листи се налазе локалне и уграђене
групе (горњи део дијалог прозора). Ако селектујемо неку групу, нпр. „Administrators“, у
доњем делу дијалог прозора можемо видети NTFS дозволе над овим фолдером које
дата група има.
50
III Вежба
Дозволе које се овде виде називају се стандардне дозволе. У подразумеваном стању доз-
воле које се доделе некој групи над фолдером односе се и на фајлове и подфолдере овог
фолдера, односно дозволе за фолдере се, уколико другачије не одлучимо, преносе и на
фајлове унутар фолдера. И овде постоји разлика у односу на дозволе за дељене фолдере:
NTFS дозволе могу се подешавати и за појединачне фајлове унутар фолдера, док код
дозвола за дељење то није случај.
Додељене дозволе значе следеће:
1. Full Control: максималне дозволе. Корисници који имају ову дозволу могу не само да
мењају садржај фолдера, него и да сами мењају NTFS дозволе над овим фолдером,
чак и ако нису администратори, чак и ако сами нису креирали овај фолдер. Уколико
се пренесу на фајлове, означавају исту ствар за фајл.
2. Modify: могућност да се мења садржај овог фолдера или да се фолдер обрише. Ме-
њање садржаја фолдера значи креирање и брисање ставки, фајлова и фолдера,
унутар датог фолдера. Када се ова дозвола пренесе на фајлове у фолдеру даје
могућност измене садржаја фајла.
3. Read&Execute: Могућност да се чита садржај фолдера, покрећу програми у њему,
пређе у фолдер као текући. Уколико се дозвола пренесе на фајл унутар фолдера
даје могућност да се чита садржај фајла и покрећу извршни фајлови.
4. List Folder Content: Могућност да се излиста садржај фолдера. Ова дозвола се не
преноси на фајлове унутар фолдера, већ само на подфолдере унутар фолдера.
5. Read: Могућност да се чита садржај фолдера, али не и да се пређе у њега као
текући. Уколико се пренесе на фајлове даје могућност да се чита њихов садржај али
не и да се покрећу.
6. Write: Могућност да се „уписује“ у фолдер, односно да се креирају нови фајлови и фолдери
унутар фолдера. Уколико се пренесе на фајл даје могућност да се уписује у фајл.
51
Рачунарске мреже
5. Уклонити ознаку „Allow inheritable permissions...“ (слика 3.5). Како фолдер не би слу-
чајно остао без икаквих дозвола (забрањен приступ свима), у новом дијалог прозору
(слика 3.6) треба одабрати да се до сада наслеђене дозволе ископирају на овај фол-
дер:
6. Ниво приступа за фолдер „Проба2“ остао је исти, али се од сада дозволе за корен
диска C: и дозволе за фолдер „Проба2“ могу мењати независно.
7. Притиснути дугме „OK“ како бисмо се вратили у дијалог за измену стандардних дозвола.
52
III Вежба
53
Рачунарске мреже
54
III Вежба
17. Сада можемо групу „Izveštaji“ уклонити из листе дозвола. Селектовати је и изабрати
опцију „Remove“.
18. Притиснути дугме „OK“.
Сличан поступак је и за фолдер „Info“, само су NTFS дозволе „Read&Execute“:
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Info“.
2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим
картицу „Security“.
3. Кликнути на дугме „Advanced“.
4. Кликнути на дугме "Edit".
5. Очистити ознаку „Allow inheritable permissions...“.
6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе.
7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе.
8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а
затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“.
9. Кликнути на дугме „Add“.
10. У дијалогу „Select Users, Computers and Groups“ унети „Info“.
11. Кликнути на дугме „ОК“.
12. Група је аутоматски добила „Read&Execute“. Ове дозволе су и потребне.
13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“.
14. Кликнути на дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check
Names“, како би група „Authenticated Users“ била пронађена на основу започетог
уноса.
15. Кликнути на дугме „ОК“.
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је
доделити „Full Controll“ дозволу.
17. Сада можемо групу „Info“ уклонити из листе дозвола. Селектовати је и изабрати
опцију „Remove“.
18. Притиснути дугме „OK“.
Слично је и за фолдер „Promo“. Истоимена локална група треба да може да мења садржај
фолдера („Modify“):
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Promo“.
2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим
картицу „Security“.
3. Кликнути на дугме „Advanced“.
4. Кликнути на дугме "Edit".
5. Очистити ознаку „Allow inheritable permissions...“
6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе.
7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе.
55
Рачунарске мреже
56
III Вежба
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је
доделити „Full Controll“ дозволу.
17. Сада можемо групу „Projekat“ уклонити из листе дозвола. Селектовати је и изабрати
опцију „Remove“.
18. Притиснути дугме „OK“.
На овај начин смо контролу приступа у потпуности одредили NTFS дозволама.
7. Можемо погледати ефективне дозволе које корисник jpetrovic има над фолдером.
57
Рачунарске мреже
Ове дозволе се на први поглед разликују од дозвола које смо доделили групи „Инфо“.
Ради се о следећем: групи је додељена стандардна дозвола „Read&Execute“. Контрола
приступа се у ствари не остварује стандардним дозволама (које смо доделили) него
појединачним дозволама. Ефективне дозволе су изражене тим појединачним дозволама.
Стандардне дозволе (као што је „Read&Execute“) само су предефинисани, лако
употребљиви скупови појединачних дозвола. На овом примеру можемо да видимо од чега се
заправо састоји стандардна дозвола „Read&Execute“.
8. Кликнути на дугме „OK“ и напустити преглед напредних подешавања.
9. Кликнути на дугме „OK“ и напустити преглед својстава фолдера „Info“.
58
III Вежба
59
IV ВЕЖБА
61
Рачунарске мреже
62
IV Вежба
63
Рачунарске мреже
64
IV Вежба
ВЕЖБЕ
Активност 1 : Креирање личних фолдера
1. На диску C: креирати фолдер „Users“.
2. Притиснути десним дугметом миша по фолдеру и изабрати опцију „Properties“.
3. Изабрати картицу „Security“.
4. Кликнути на дугме „Advanced“.
5. Кликнути на дугме "Edit".
6. Очистити ознаку „Allow inheritable permissions...“
7. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе. Задржати се у
напредним подешавањима.
65
Рачунарске мреже
подфолдере и фајлове („This folder, subfolders and files“), као и за специјалну дозволу
која омогућава измене и односи се на овај фолдер и подфолдере (не и туђе
фајлове).
8. Како корисници не би могли да креирају фајлове у туђим личним фолдерима
изабрати последњу ставку „Users, Special, This folder and subfolders“, а затим
пристиснути на „Remove“.
9. Како корисници не би могли да читају туђе фајлове, изменићемо и преосталу ставку
за групу „Users“.
10. Селектовати ставку „Users, Read&Execute“, а затим притиснути на „Edit“.
11. У падајућој листи „Apply onto“ изабрати опцију „This folder only“.
12. Притиснути на „ОК“, а затим још једном на „OK“.
13. Изабрати картицу „Sharing“.
14. Делити фолдер са дозволама „Аuthenticated Users“ „Full Control“.
15. Кликнути на дугме „OK“.
66
IV Вежба
67
Рачунарске мреже
68
IV Вежба
69
Рачунарске мреже
70
IV Вежба
Уочити да фолдери за профиле ових корисника нису аутоматски креирани. Они ће бити
креирани аутоматски када се корисник први пут одјави са неке радне станице. Тада ће се са
радне станице, под овлашћењима корисника, креирати фолдер за тог корисника, и локални
профил са те радне станице синхронизовати са централном копијом.
71
Рачунарске мреже
72
IV Вежба
Осим ове, подразумевано је креирана и полиса која утиче на све домен контролере:
1. Уочити организациону јединицу „Domain Controllers“ и кликнути на + испред ове
организационе јединице. У оквиру ње појавиће се полиса под називом "Default
Domain Controllers Policy".
2. Кликнути десним кликом на ову полису и изабрати ставку "Edit".
3. Отворити грану „Computer Configuration / Policies / Windows Settings / Security Settings
/ Local Policies / User Rights Assigments“
73
Рачунарске мреже
3. Овим је направљена нова групна полиса без и једног подешавања, која је везана за
организациону јединицу "Београд". Како бисмо могли да је изменимо неопходно је
кликнути десним кликом на групну полису "Београдска" и изабрати опцију "Edit".
4. Отворити грану „User Configuration / Policies / Administrative Templates /System / User
Profiles“.
5. У десном пољу уочити „Limit Profile Size“ и двоструким кликом отворити подешавање
(слика 4.11).
74
IV Вежба
75
Рачунарске мреже
76
IV Вежба
77
V ВЕЖБА
79
Рачунарске мреже
80
V Вежба
81
Рачунарске мреже
82
V Вежба
ВЕЖБЕ
Активност 1: Анализа мрежног саобраћаја
За анализу ће бити коришћен програм „Wireshark“. Овај програм може да сними саобраћај
који допире до мрежног адаптера станице, а затим и да га рашчлани на одговарајуће
протоколе у хијерархији. Ухваћен саобраћај може се снимити у фајл и касније прегледати. У
овој активности погледаћемо снимак саобраћаја који је сачуван у фајл cap1.cap.
1. На Убунту радној станици покренути програм „Wireshark“: Програми -> Интернет ->
Wirehark.
2. У оквиру програма Wireshark отворити мени „File“, затим „Open“.
3. У дијалог прозору за навигацију пронаћи лични фолдер и у њему фајл cap1.cap.
83
Рачунарске мреже
84
V Вежба
8.6 „TTL -Time to Live“: представља време живота овог пакета на Интернету. Пакет
на путу до одредишта пролази кроз већи број посредних уређаја – рутера који га
усмеравају ка одредишту. Сваки рутер који проследи овај пакет смањи TTL вред-
ност у пакету за 1. Када вредност постане 0, рутер мора да одбаци пакет. Рутер
може да обавести да је пакет одбачен у транзиту.
8.7 „Protocol“: наведено је шта се носи као терет, „payload“, овог пакета. У овом
пакету то је UDP датаграм.
8.8 „Header Checksum“: контолна сума која може да открије да је пакет оштећен.
Оштећени пакети тихо се одбаце без икаквог обавештења.
8.9 „Source“, „Destination“: ово су логичке IP адресе, које јединствено идентификују
рачунаре на Интернету, изворишни и одредишни рачунар за овај пакет. То су 32-
битне вредности.
9. Да би гореописани пакет био пренет путем етернет медијума, који има сопствена
правила за комуникацију, потребно га је енкапсулирати у оквир података који
одговара протоколу на нивоу везе података. Притиснути на троугао поред „Ethernet II“
како бисмо видели контролне информације које се носе у заглављу овог оквира.
Поља имају значење:
o „Destination“, „Source“: ово су одредишна и изворишна физичка адреса чворова
на истом медијуму. Медијум који се користи је етернет. Свака станица на етернет
мрежи има јединствен 48-битни идентификатор: физичку адресу. Ова адреса на-
зива се и хардверска или MAC (Media Access Control) адреса. Оваква адреса је
хардверски уграђена у мрежни адаптер сваке станице. Прва 24 бита јединствено
идентификује произвођача мрежног адаптера. Преостала 24 бита прозизвођач
додељује својим адаптерима. Ове адресе имају само локално значење,
омогућавају да чворови прикључени на исти или премошћени медијум могу да
размењују оквире података. Немају сви рачунари на Интернету етернет адаптере
и на основу оваквих адреса не могу се усмеравати подаци од једног до другог
рачунара на различитим мрежама.
o „Type“: информација у етернет оквиру носи информације о томе шта се носи као
терет, „payload“ овог етернет оквира. Хексадецимална вредост 0x0800 означава
да је унутар овог етернет оквира IP пакет.
o У горњем панелу изабрати пакет број 2. Ово је одговор сервера. Рашчланити и
овај пакет у средњем панелу по слојевима.
• Већи део преосталог саобраћаја користи други протокол апликационог нивоа (HTTP),
који са своје стране користи другачији протокол транспортног нивоа (TCP уместо до
сада виђеног UDP). TCP протокол успостави логичку везу пре слања података.
Пакети 3, 4 и 5 делови су успоставе везе.
• Пакет 6 представља HTTP захтев за послат од клијента ка удаљеном веб серверу.
Изабрати пакет у горњем панелу. У средњем панелу изабрати троугао поред
„Hypertext Transfer Protocol“. Уочити да захтев има и елементе договора око
презентације података.
• HTTP захтев преноси се путем TCP протокола. HTTP захтев је енкапсулиран у TCP
сегмент. Изабрати троугао поред „Transmission Control Protocol“. Уочити контролне
информације које додаје овај протокол како би обезбедио поузданост и контролу
тока.
85
Рачунарске мреже
86
V Вежба
или концентратор
Иако у кабловима постоје парице за пријем и пренос, ако се користи хаб, комуникација је
полу-дуплекс, што је последица чињенице да само једна станица може да преноси податке у
датом тренутку у оквиру једног колизионог домена.
87
Рачунарске мреже
Данас се за ове намене користи комутатор, уређај који ради на слоју везе података. Овај уређај
функционише као вишепортни мрежни мост. Када радна станица А шаље оквир података за радну
станицу Б, комутатор транспарентно премости два порта на која су прикључени сегменти каблова
станица А и Б. На тај начин оквир података не заузима сегмент медијума који користи станица Б.
Станица Б је слободна да истовремено шаље податке на пример станици Г и да при томе не
долази до колизије. Када се користи комутатор иза сваког порта налази се нови колизиони домен.
Са друге стране, поруке намењене свима – бродкаст поруке комутатор прослеђује на све портове,
па су станице још увек у истом бродкаст домену.
Иако су перформансе мреже на овај начин побољшане, радне станице су још увек у
истом бродкаст домену. И велики број рачунара у истом бродкаст домену такође смањује
перформансе мреже, јер све радне станице примају овакве поруке чак и ако нису за њих
намењене.
Коришћење комутатора уместо хаба потпуно је транспарентно за радне станице. Не
захтева се никаква конфигурација слоја везе података на рачунару због замене хаба
комутатором. Разлика је у бољим перформансама мреже, због изостанка колизија, као и у
томе што комутатор омогућава full-duplex комуникацију.
88
V Вежба
3. Притиснути на дугме „Properties“, како бисмо видели својства ове мрежне конекције.
Можемо видети софтверске компоненте које су „везане“ за овај адаптер. Неке од ових
компоненти имплементирају апликационе протоколе „File and Print sharing...“. Компонента
„Internet Protocol (TCP/IP)“ имплементира 3. и 4. слој OSI модела.
4. Изабрати „Internet Protocol (TCP/IP)“ a затим притиснути на дугме „Properties“.
За нормално функционисање рачунара на мрежи неопходно је да се конфигурише IP адреса
рачунара. Генерално адреса се може добити динамички, уз помоћ посебног сервиса који омогућава
DHCP (Dynamic Host Configuration Protocol) сервер који може да постоји у мрежи. Други начин је да
се адреса додели статички, ручно од стране администратора. Подразумевано је изабрана опција
„Obtain IP address Automatically“ што значи да адреса треба да се добије динамички од стране
DHCP сервера. У овој активности треба статички конфигурисати IP адресу.
Изабрати опцију „Use the following IP address“ и поља испод попунити на следећи начин:
1. „IP Address“: унети 172.17.32.x*2 где је x број станице, нпр. ако је број станице 55
треба унети 172.17.32.110. Ово треба да буде број који јединствено идентификује
рачунар на Интернету.
2. „Subnet Mask“: унети „255.255.255.0“. У претходно унетој IP адреси постоји
хијерархија два дела. Један део адресе представља адресу мреже а други део
адресу хоста на тој мрежи. Маска означава који битови адресе представљају мрежни
део.
3. „Default Gateway“: унети 172.17.32.1. Ово је адреса интерфејса рутера који ову
мрежу, овај бродкаст домен, повезује са другим мрежама.
4. „Prefered DNS server“: унети 172.16.1.1. Ово је адреса DNS сервера задуженог да име
рачунара, нпр. www.viser.edu.rs, разреши у IP адресу рачунара како би могла да се
одвија комуникација на 3. слоју OSI модела.
5. Притиснути на дугме OK, поново ОК, а затим Close.
89
Рачунарске мреже
90
V Вежба
У другом кораку станица која је била наведена у питању запамти мапирање IP/физичка
адреса станице која је послала упит, а затим на уникаст физичку адресу пошаље одговор.
Како би се смањила количина бродкаст порука једно одређено време се ова мапирања
кеширају у меморији рачунара, како слање новог пакета не би изазвало нову бродкаст
поруку.
1. У командној линији унети: „ping 172.17.32.1“, како бисмо послали пакет на адресу у
локалној мрежи.
2. У командној линији унети: „arp -a“. Приказује се arp кеш: мапирање IP/Физичка адреса
за рачунаре са којима су недавно размењени пакети.
3. Комплетан ARP кеш може се избрисати. Унети: „arp -d *“.
4. Проверити да ли је arp кеш празан,унети „arp -a“.
5. Поново послати неколико пакета: „ping 172.17.32.1“.
6. Слање пакета захтевало је нови arp захтев и одговор, који је кеширан. Проверити са:
„arp -a“.
7. Погледати остале опције arp команде са „arp /?“. Уочити и да се arp табела може
статички напунити.
На слици 5.9 приказан је пример ARP захтева. Поред поља у етернет оквиру у који је ARP
захтев енкапсулиран, као и поред поља у самом ARP захтеву јесу објашњења. Пошиљалац је
навео сопствену физичку адресу и IP адресу. АRP је послат као бродкаст порука, коју ће
примити сви рачунари у бродкаст домену. Потражује се физичка адреса рачунара са IP
адресом 89.216.220.1. По пријему ове бродкаст поруке тај рачунар ће мапирање изворишног
рачунара (00:15:f2:45:53:d4->89.216.221.122) ставити у своју arp табелу. Пошто му је позната
физичка адреса првог рачунара, нема потребе да се за одговор користи бродкаст.
91
Рачунарске мреже
92
V Вежба
93
VI ВЕЖБА
IP АДРЕСИРАЊЕ
6. IP адресирање
6.1 Увод
Један од задатака мрежног слоја OSI модела (Интернет слој TCP/IP модела) јесте и да
обезбеди пренос јединица података између два рачунара који се (могуће) налазе на
различитим мрежама (различитим бродкаст доменима), и између којих се налази више
посредних мрежа. Како би се решио тај задатак на мрежном слоју мора да се:
1. Дефинише шема адресирања која јединствено идентификује рачунаре на Интернету
(скупу међусобно повезаних мрежа).
2. Дефинише шема адресирања која је независна од хардверске имплементације
приступа мрежи и протокола који се користе за приступ медијуму на тим мрежама.
Два удаљена рачунара морају да комуницирају без обзира што се у мрежи првог
рачунара, на пример, користи етернет, подаци пролазе кроз низ мрежа које користе
ppp, frame relay, бежични приступ и на крају стижу до хоста који је на мрежу повезан
ADSL-ом. Ове адресе, независне од хардверске имплементације, називају се логичке
адресе.
3. Дефинише механизам усмеравања саобраћаја – рутирање, како би јединице
података потекле са једног рачунара, биле успешно усмерене кроз сплет међусобно
повезаних мрежа до одредишне мреже и рачунара за који су намењене. Задатак да
имплементирају ову функцију имају пре свега рутери, уређаји који повезују различите
мреже (бродкаст домене) преко 3. слоја OSI модела.
4. Како би рутери могли реално да остварују свој задатак, шема адресирања треба да
садржи хијерарију (мрежа-рачунар), односно адресе морају да буду не само
јединствене него да у себи имају довољно информација да се идентификује не само
одредишни рачунар, него и мрежа у којој се он налази.
У TCP/IP фамилији протокола, функционалност мрежног слоја обавља Inernet Protocol - IP.
Његове јединице података које преноси између два рачунара на различитим мрежама
називају се IP пакети. Пакети имају своје заглавље, контролне информације, битне за
функционисање овог протокола.
95
Рачунарске мреже
рачунара, као и део који јединствено идентификује рачунар на тој мрежи. На основу
информације о дестинационој мрежи посредни мрежни уређаји – рутери, могу да усмере
пакет из мреже у мрежу, омогућавајући пренос података између два рачунара у различитим
бродкаст доменима, који самим тим нису један другом директно доступни и који без услуге
рутера не би могли да међусобно комуницирају.
6.2 IP адресе
IP адресе су 32-битни бројеви који јединствено идентификују рачунар на Интернету. На
пример: 11000000101010000001111000001010 могло би да представља адресу неког
рачунара на Интернету. Како би се олакшало конфигурисање адреса на рачунарима уведена
је конвенција да се адресе уносе и пишу у децималној нотацији са тачком. Односно 32 бита
се разбију у 4 октета (бајта), одвоје са „.“, а затим сваки бајт напише као децимални број.
Део битова у адреси представља адресу мреже и заједнички је у свим адресама рачунара
у тој мрежи, док је део битова јединствен и означава рачунар на тој мрежи. Својевремено су
све адресе подељене у групе, класе, према томе како изгледа први октет (с лева надесно).
Према томе у коју класу спада адреса, одређиван је и број битова који у адреси представља
мрежни део. Иако се класе адреса још увек препознају, данас се мрежни део не
претпоставља већ мора бити експлицитно наведен. Један начин да се наведе мрежни део
адресе је мрежни префикс.
96
VI Вежба
Сви рачунари у тој мрежи имају адресе које изгледају као 192.168.30.x, односно имају
идентични мрежни део адресе. У нашем случају само последњих 8 битова се користи да
јединствено идентификује рачунаре на тој мрежи. Број могућих идентификатора рачунара на
тој мрежи одређен је бројем битова који се користи за ту потребу (8 у нашем случају). Број
могућих комбинација битова унутар тих 8 је 28=256, што би значило 256 различитих
идентификатора рачунара. Стваран број је мањи за 2, јер две комбинације имају специјално
значење:
1. Сви битови у хост делу адресе постављени на 0 означавају адресу читаве мреже:
192.168.30.0.
2. Све јединице у хост делу адресе постављене на 1 означавају бродкаст адресу за ту
мрежу: 192.168.30.255.
односно број јединствених идентификатора за хостове је 28-2=254.
Адреса је 32-битни бинарни број који се представља у децималној нотацији са тачком. Један
начин да се представи који део адресе представља мрежни део јесте да се адреса напише
са мрежним префиксом (192.168.30.10/24). Префикс означава који број битова у адреси
представља мрежни део адресе. Преостали, не мрежни део адресе, назива се хост део и
јединствено означава рачунар на тој мрежи. Број битова у хост делу адресе ограничава број
хостова који се могу јединствено адресирати у тој мрежи. Уколико се у хост делу налази n
бита, број јединствених адреса је 2n-2. Број јединствених адреса је за 2 мањи од броја
комбинација: 2n, јер две комбинације битова у хост делу имају специјално значење. Све нуле
у хост делу означавају адресу саме мреже. Све јединице у хост делу означавају бродкаст
адресу за ту мрежу.
У овом примеру мрежни префикс завршавао се на граници октета (/24 су прва три октета),
па је и без конвертовања у бинарни облик могло да се уочи који је мрежни део, а који хост
део у адреси. Слично томе уколико је мрежни префикс /8 или /16, дакле на граници првог
односно другог октета, без конвертовања можемо уочити мрежни и хост део, а тиме и адресу
мреже, односно бродкаст адресу мреже. На пример:
1. 17.4.5.5/8: мрежа је 17.0.0.0
2. 157.23.3.6/16: мрежа је 157.23.0.0
У општем случају граница мрежа/хост не мора да буде на граници октета па је неопходно
конвертовање адресе у бинарни облик.
97
Рачунарске мреже
Тежинске ознаке бита најмање вредности (крајње десно) је 20=1. Свака следећа позиција
(здесна налево) има два пута већу вредност.
На тај начин претходни пример био би:
98
VI Вежба
99
Рачунарске мреже
На основу адресе и маске, као и операције бинарно „И“, може се одредити мрежни део
неке адресе. Ово одређивање део је доношења одлуке о даљем усмеравању пакета. На овај
начин сваки хост одређује да ли је одредишна адреса на локалној или удаљеној мрежи, како
би одлучио да ли пакет може да се директно испоручи или је потребна услуга рутера. На
сличан начин и рутер упоређује одредишну адресу са улазима у сопственој табели рутирања
како би одредио најбољи пут.
100
VI Вежба
• Класа „Д“: у ову класу спадају адресе које у бинарном облику почињу са 1110. Ово су
адресе за мултикаст саобраћај код којих нема смисла говорити о мрежном и хост
делу. У децималном облику ове адресе изгледају као 224.0.0.1 до 239.255.255.255
• Класа „Е“: у ову класу спадају адресе које почињу са 1111. Ове адресе су за
експерименталну употребу.
Додељивање адреса на овај начин уз подразумевање мрежног дела на основу класе
довело је до непотребног расипања адресног простора, који се на почетку чинио неисцрпним.
Осим тога у појединим класама, број бита који остаје у хост делу није реалан. На пример,
уколико се ради о мрежи из класе А, са префиксом /8, можемо видети да у хост делу постоји
24 бита. Односно, у свакој мрежи постоји 224-2 хостова. Ово је нереално велики број за један
бродкаст домен. Слично важи и за мрежу из класе Б.
Данас се користи бескласно адресирање, које омогућава да се граница мрежа/хост прилагоди
стварним потребама, односно потребном броју хостова. Пошто се маска више не може
подразумевати, неопходно је увек наводити маску подмреже или мрежни префикс. Остаје још увек
подела на адресе за уникаст саобраћај, односно адресе које спадају у класе А, Б, и Ц и адресе за
мултикаст саобраћај, класа Д. Адресе које спадају у класу Е се не користе.
6.8 Подмрежавање
Подмрежавањем се од IP адресног простора задатом IP мрежом и префиксом прави више
мањих мрежа. Пошто једна IP мрежа одговара једном бродкаст домену, примена на овакав
начин добијене шеме адресирања повлачи за собом последицу да се хостови и физички
раздвоје у засебне бродкаст домене.
Подмрежавањем се омогућава да се адресни простор додељује у мањим деловима.
Уместо огромног адресног простора који представљају мреже из класе А или Б, Интернет
посредник или организација за додељивање и регистрацију адреса, може некоме доделити
само део неке мреже из класе А, Б, или Ц који одговара реалном броју хостова у мрежи. На
тај начин се расположиви адресни простор штити од исцрпљивања.
Постоје и други разлози због којих би се примењивало подмрежавање. Понекад није у
питању само рационална потрошња адресног простора, већ захтев да се хостови раздвоје у
засебне бродкаст домене.
101
Рачунарске мреже
Хостови који се налазе у истом бродкаст домену један другом су непосредно доступни, а
то понекад није пожељно. Уколико се хостови раздвоје у засебне бродкаст домене та
чињеница мора да се одрази и у IP адресама тих хостова. Тада се од једног адресног
простора, једне мреже, подмрежавањем прави више подмрежа за сваки појединачни
бродкаст домен. Разлози за подмрежавање били би:
2. Раздвајањем рачунара у различите, мање бродкаст домене смањује се количина
бродкаста у сваком од њих.
3. Уколико се жели контрола саобраћаја између хостова, морају се раздвојити у
различите бродкаст домене. Комуникација између рачунара је тада могућа само
преко рутера који може да филтрира саобраћај по неком критеријуму.
4. Уколико сви хостови нису под истом административном капом. На пример Интернет
посредник изнајми део адресног простора неком предузећу. Мрежа предузећа и
остатак мреже посредника су под различитом администрацијом. Посредник
подмрежавањем само део свог адресног простора додели предузећу.
5. Уколико постоји транзиција медијума таква да не постоји стандардан начин за
премошћавање. На пример уколико се на једном сегменту мреже користи етернет, а
на другом frame relay. Та два сегмента не могу се транспарентно премостити и морају
се налазити у различитим бродкаст доменима.
Када су хостови у различитим бродкаст доменима, било из административних или из
техничких разлога, онда рачунари нису један другом директно доступни. Комуникација
између различитих бродкаст домена могућа је само ако се мреже повежу рутером. Рутери
могу пакете из једне мреже да проследе у другу мрежу уколико су конфигурисани са рутама
до тих мрежа. Рутери не прослеђују бродкаст, и на овај начин (преко 3 слоја) повезана два
бродкаст домена остају и даље 2 раздвојена бродкаст домена.
Када се хостови налазе у различитим бродкаст доменима, различитим IP мрежама, то се
мора одразити и на њихове адресе, односно мрежни део адреса тих хостова.
102
VI Вежба
Број битова који сада спада у мрежни (и подмрежни) део је 25 па је то нови мрежни
префикс за ове две подмреже. Одговарајућа маска подмреже сада је 255.255.255.128.
С друге стране, број битова у хост делу сада је мањи за један позајмљени бит, па је и број
хостова у свакој подмрежи сада 27-2=126.
Уколико позајмимо n битова можемо добити 2n подмрежа, с друге стране, уколико преостане
m битова за хостове добијамо 2m-2 адреса за хостове у тим мрежама. О овој чињеници мора
се водити рачуна када се прави нова адресна шема мреже: да ли након позајмљивања
одређеног броја битова који су потребни за захтеван број мрежа, остаје довољан број битова
за хостове.
На основу овог правила може се и закључити да се позајмљивање може наставити све
док у хост делу не остане само два бита (префикс /30). Са два преостала бита у хост делу
може се адресирати 22-2=2 хоста. Ово је најмања могућа мрежа, са два хоста, и често се
користи за тачка-тачка везе између рутера.
Остале карактеристике подмрежа добијају се на уобичајен начин:
• Мрежа 192.168.30.0/25, прва адреса је 192.168.30.1, последња адреса је
192.168.30.126, бродкаст адреса је 192.168.30.127.
• Мрежа 192.168.30.128/25, прва адреса је 192.168.30.129, последња адреса је
192.168.30.254, бродкаст адреса је 192.168.30.255.
Бродкаст адреса за сваку од мрежа добијена је тако што је хост део попуњен
јединицама. Може се уочити да је последња адреса у мрежи за један мања од бродкаст
адресе, а да је следећа мрежа за један већа од бродкаст адресе.
У следећем примеру почетни адресни простор подељен је на 8 делова. За то је било
потребно позајмити 3 бита из хост дела.
103
Рачунарске мреже
104
VI Вежба
ВЕЖБЕ
Активност 1: Претварање из бинарног у децимални облик
Претворити у децимални облик следећа октете:
а) 10111100
б) 11101100
в) 10001100
105
Рачунарске мреже
Активност 4: Подмрежавање
1. Мрежу 192.168.1.0/24 треба поделити на 3 подмреже и одредити следеће :
а) Нова маска подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
б) Адреса нулте подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса нулте подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса нулте подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса нулте подмреже : _____ . _____ . _____ . _____
в) Адреса прве подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса прве подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса прве подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса прве подмреже : _____ . _____ . _____ . _____
г) Адреса друге подмреже је:
бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик : _____ . _____ . _____ . _____
прва корисна адреса друге подмреже : _____ . _____ . _____ . _____ / ____
последња корисна адреса друге подмреже : _____ . _____ . _____ . _____ / ____
бродкаст адреса друге подмреже : _____ . _____ . _____ . _____
106
VI Вежба
107
VII ВЕЖБА
Временски редослед ових порука приказан је на слици 7.1. Како хост нема адресу пре
слања DHCP Discover поруке, као изворишну адресу у пакету који шаље уписаће адресу
0.0.0.0, док ће као одредишну адресу ставити бродкаст адресу 255.255.255.255 из разлога
што не зна на којој се адреси налази DHCP сервер (нити има потребе то да зна). У случају да
109
Рачунарске мреже
је DHCP сервер на истој локалној мрежи као и хост (рутер не прослеђује бродкаст
саобраћај), он ће чути послати бродкаст, утврдити да је у питању захтев за DHCP услугом и
одговорити понудом. Ако на локалном сегменту постоји више DHCP сервера може се десити
да сви одговоре својим понудама, и у том случају клијент мора да се определи за једну
(најчешће за ону која је прва стигла). По пријему DHCP Offer поруке, хост одговара DHCP
Request поруком, коју опет шаље као бродкаст, али у којој наводи, у DHCP заглављу, чију
понуду прихвата. Сервери чија понуда није прихваћена повлаче се, док сервер чија је понуда
прихваћена шаље остале IP параметре у виду DHCP Acknowledge поруке.
Овакав систем динамичке конфигурације заснован је на принципу изнајмљивања адреса,
који се огледа у томе да се клијенту изнајмљује једна конкретна адреса на унапред
дефинисани период времена, по истеку кога клијент или мора да обнови изнајмљивање или
да престане са употребом већ добијене IP адресе. На овај начин омогућено је да само
активни клијенти користе расположиве IP адресе чиме се остварује уштеда у броју
неопходних IP адреса.
Принцип динамичке конфигурације хостова у великој мери је олакшао администрацију
средњих и великих рачунарских мрежа, превасходно због смањења административног
напора неопходног да би клијент био способан да "разговара", али и због смањења могућих
грешака у конфигурацији које се могу јавити приликом статичке конфигурације.
110
VII Вежба
Задатак трећег слоја OSI модела, односно Интернет слоја TCP/IP модела, јесте да
омогући комуникацију, односно размену јединица протокола података између рачунара који
се (могуће) налазе на различитим мрежама и (могуће) користе различите имплементације
физичког слоја и слоја везе података.
У TCP/IP фамилији протокола на овом слоју се налази IP протокол. Сем шеме
адресирања независне од хардверске и софтверске имплементације приступа мрежи, веома
важна функционалност на овом слоју је и рутирање, односно усмеравање пакета ка
одредишту. Интернет представља сплет међусобно повезаних мрежа које повезују рутери.
Пакет на свом путу од изворишног до одредишног рачунара прелази велики број посредних
рутера и мрежа. IP омогућава услугу преноса без успоставе везе и поузданости, што значи
да се пре слања пакета не успостави комуникациони канал с краја на крај. Уместо тога,
полазни рачунар упути пакет до интерфејса рутера који је конфигурисан као подразумевани
мрежни пролаз, који са своје стране упути пакет до следећег рутера на путањи. Следећи
рутер такође усмери пакет све док пакет не пристигне до рутера који је директно прикључен
на мрежу на којој се налази одредишни рачунар.
111
Рачунарске мреже
На слици 7.3 приказана је табела рутирања једног рутера. У њој се налазе информације о
топологији мреже које овај рутер поседује.
Прва четири улаза у табелу (са ознаком „C“) представљају мреже на које је рутер
директно прикључен. Види се да рутер има три мрежна интерфејса:
1. eth0, којим је рутер повезан на мрежу 155.45.0.0/16 (четврти улаз).
2. eth1, којим је рутер повезан на мрежу 134.22.0.0/16 (трећи улаз).
3. eth2, којим је рутер повезан на мрежу 10.0.0.0/8 (први улаз).
Четврти улаз (други улаз), за мрежу 127.0.0.0/8 односи се на софтверски интерфејс –
локалну петљу.
Све горенаведене улазе, за директно прикључене мреже као и за мрежу локалне петље,
рутер може аутоматски да унесе у табелу рутирања пошто му се конфигуришу интерфејси.
Последња три улаза у табели рутирања односе се на удаљене мреже. Ове улазе рутер не
може сам да унесе. Информације о удаљеним мрежама у табелу рутирања може ручно да
унесе администратор рутера, или се могу научити од других рутера уколико се на рутеру
конфигурише одговарајући протокол за рутирање. У горњем примеру руте је унео
администратор, то су такозване статичке руте (ознака „S“). Та последња три улаза рутеру
говоре:
1. До мреже 172.17.0.0/16 стиже се преко („via“) следећег, „next hop“, рутера са адресом
134.22.2.2 преко интерфејса eth1.
2. До мреже 172.17.5.0/24 стиже се преко („via“) следећег, „next hop“, рутера са адресом
155.45.2.2 преко интерфејса eth0.
3. До мреже 193.22.1.0/24 стиже се преко („via“) следећег, „next hop“, рутера са адресом
10.2.2.2 преко интерфејса eth2.
Наведени мрежни префикси (/16,/24,/24) не значе да се на удаљеним мрежама заиста
користи тај мрежни префикс. Ти префикси говоре рутеру који број бита у дестинационој
адреси пакета треба да се поклопи са тим улазом да би тај улаз, са наведеним следећим
рутером, био коришћен за усмеравање пакета.
Поступак одређивања најбоље путање на основу одредишне адресе врши се
упоређивањем одредишне адресе у пакету са појединим улазима у табели рутирања. На
пример, претпоставимо да је до рутера стигао пакет који као одредишну адресу наводи
193.22.1.115. Поступак одређивања најбоље путање могао би да буде:
1. Први улаз је 10.0.0.0/8; да ли првих 8 ( због /8) битова одредишне адресе
(193.22.1.115) одговара овом улазу. Рутер у ствари уради бинарно „И“ одредишне
112
VII Вежба
адресе (193.22.1.115) и маске 255.0.0.0 (због префикса /8). Резултат је 193.0.0.0, што
је различито од 10.0.0.0, односно мреже за коју важи овај улаз. На основу тога рутер
закључи да одредишна адреса није на директно прикљученој мрежи 10.0.0.0.
2. На исти начин рутер закључи да дестинација 193.22.2.115 није ни на директно
прикљученим мрежама 127.0.0.0/8, 134.22.0.0/16 као ни 155.45.0.0/16.
3. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16)
дестинационе адресе 193.22.1.115 поклапа са овим улазом. Рутер у ствари уради
бинарно „И“ одредишне адресе (193.22.1.115) и маске 255.255.0.0 (због префикса
/16). Резултат је 193.22.0.0, што је различито од 172.17.0.0, односно мреже за коју
важи овај улаз. На основу тога рутер закључи да се дестинациона адреса не налази
на путањи која води преко следећег рутера, који је у овом улазу наведен (134.22.2.2).
4. На исти начин се одбаци и следећи улаз, за мрежу 172.17.5.0/24.
5. Последњи улаз је 193.22.1.0/24; да ли се првих 24 бита (због префикса /24)
одредишне адресе (193.22.1.115) поклапа са овим улазом. Рутер у ствари уради
бинарно „И“ одредишне адресе 193.22.2.115 и маске 255.255.255.0 (због префикса
/24). Резултат је 193.22.1.0 што управо одговара овом улазу. На основу овог улаза
рутер закључи да пакет треба да усмери преко рутера са адресом 10.2.2.2 преко свог
интерфејса eth2.
Да одговарајући улаз није пронађен, пакет би био одбачен. Одговарајућа ICMP порука о
томе да је одредиште недоступно могла би да буде упућена изворишном рачунару.
Погледајмо још један пример, претпоставимо да је рутер примио пакет у коме је као
одредишна адреса наведена 172.17.5.12.
Први улаз је 10.0.0.0/8; да ли првих 8 ( због /8) битова одредишне адресе (172.17.5.12)
одговара овом улазу. На претходно описан начин рутер закључи да овај улаз не одговара.
На исти начин рутер закључи да ни други, трећи ни четврти улаз не одговарају.
1. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16)
дестинационе адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради
бинарно „И“ одредишне адресе (172.17.5.12) и маске 255.255.0.0 (због префикса /16).
Резултат је 172.17.0.0, што одговара овом улазу: 172.17.0.0/16. На основу тога рутер
закључи да се одредишна адреса налази на путањи која води преко следећег рутера
који је у овом улазу наведен (134.22.2.2), преко интерфејса eth1.
2. Шести улаз је за мрежу 172.17.5.0/24; да ли се првих 24 бита (због /24) одредишне
адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради бинарно „И“
одредишне адресе (172.17.5.12) и маске 255.255.255.0 (због префикса /24). Резултат
је 172.17.5.0, што одговара овом улазу: 172.17.5.0/24. На основу тога рутер закључи
да се одредишна адреса налази на путањи која води преко следећег рутера који је у
овом улазу наведен (155.45.2.2), преко интерфејса eth0.
На основу досадашње претраге табеле долази се до закључка да рутер има два могућа
улаза која би могао да користи. Рутер ће у ствари изабрати шести улаз, јер има дужи мрежни
префикс (/24, наспрам /16). Односно, ова рута је прецизнија. Могли бисмо да замислимо да
се, генерално, мрежа 172.17.0.0/16 налази иза једног од следећих рутера, док се
специфично, једна подмрежа те мреже, односно 172.17.5.0/24 налази иза неког другог
следећег рутера. Рутери увек бирају најспецифичнији улаз.
Рутер, чија је табела рутирања приказана на слици, пакете намењене за све остале
мреже одбацивао би, пошто нема информације о било којим другим мрежама сем о оним
113
Рачунарске мреже
На слици 7.4 приказана је табела рутирања рутера у којој сада постоји и подразумевана
рута (наведена је као први улаз). Погледајмо шта би се десило када би рутер, као у
претходном случају, покушао да одреди најбољи пут за пакет са дестинационом адресом
172.17.5.12.
На основу сада првог улаза 0.0.0.0/0 проверио би да ли се 0 бита (због префикса /0)
одредишне адресе 172.17.5.12 поклапа са улазом. Рутер ће да уради бинарно „И“ одредишне
адресе и маске 0.0.0.0 (због префикса /0). Резултат је 0.0.0.0 што одговара адреси мреже
која је наведена у овом улазу. У ствари, овај улаз је „одговарајући“ за било коју дестинациону
адресу, јер бинарно „И“ било које адресе и 0.0.0.0 даје 0.0.0.0. Једини „проблем“ са овим
улазом јесте што је врло неспецифичан, дужина мрежног префикса је 0. Чак и са оваквим
улазом, пакет намењен за 172.17.5.12 биће испоручен преко интерфејса eth0, као у ранијем
примеру, јер је то најспецифичнији улаз. Улаз за мрежу 0.0.0.0/0 биће коришћен за
усмеравање само оних пакета за које не постоји специфичнији улаз у табели рутирања.
114
VII Вежба
ВЕЖБЕ
Активност 1 : Инсталација DHCP сервиса
115
Рачунарске мреже
6. Овим је покренут чаробњак који нас води кроз процес додавања улоге. Кликнути на
дугме "Next".
7. У следећем кораку потребно је означити улогу "DHCP Server" и кликнути на дугме
"Next" (слика 7.7).
116
VII Вежба
2. У случају да је DHCP инсталиран на серверу који је члан неког домена или је сам
домен контролер, неопходно га је ауторизовати као што је приказано на слици 7,
избором опције Authorize. У случају да је DHCP сервер инсталиран на Windows
117
Рачунарске мреже
серверу који није члан домена, није неопходно вршити икакву ауторизацију. Пошто
смо приликом доделе, улоге прихватили подразумевана подешавања, сервер је већ
ауторизован код домен контролера што можемо проверити ако десним кликом миша
изаберемо име сервера где би требало да видимо ставку "Unauthorize" (слика 7.10).
118
VII Вежба
119
Рачунарске мреже
:
Слика 7.13 : Изглед конзоле након завршене конфигурације опсега
120
VII Вежба
121
VIII ВЕЖБА
TCP протокол
Оба транспортна протокола баве се сегментацијом и у заглављима својих сегмената
уносе изворишни и одредишни број порта који идентификују крајње тачке комуникације на
транспортном нивоу. Сем ове сличности, UDP и TCP веома се разликују по сервисима које нуде.
123
Рачунарске мреже
124
VIII Вежба
• 1-1023: добро познати портови (well known ports). Ови бројеви портова
регистровани су за уобичајене апликационе протоколе TCP/IP фамилије. На
пример за веб сервис, односно http протокол је резервисан TCP порт 80; На
основу ове чињенице, захтеви ка веб серверу увек ће бити енкапсулирани у
TCP сегмент у коме је као одредишни порт наведен порт 80. Због тога
корисник који користи претраживач не мора да наведе број порта сервера.
Технички је изводљиво конфигурисати сервер да ради са неподразумеваним
портом, али у том случају корисник би морао унапред да зна о ком порту се
ради и да тај порт наведе у свом претраживачу. На већини оперативних
система само администратор рачунара може да покреће апликације које
користе ове портове. Клијентске апликације никада не користе ове портове.
• 1024-41951: регистровани портови. Ови протоколи регистровани су за
серверске апликације које нису сасвим уобичајене, или нису отворени
стандард него апликације у власништву појединих организација. Примери би
били MS SQL сервер или PostgreSQL сервер, Lotus Notes или слични. Додела
ових портова није под контролом IANA, али их ова организација ипак
региструје за потребе информисања. Генерално, сем наведених серверских
апликација и клијентске апликације могу да користе ове портове. На једном
хосту само једна апликација може да користи дати порт, али на пример,
уколико на хосту није инсталиран MS SQL сервер, нема никакве препреке да
веб претраживач користи порт који је регистрован за MS SQL.
• 41952-65535: динамички портови; генерално само клијентске апликације
користе ове портове.
Дакле, код већине апликационих протокола, серверска апликација увек користи један
исти, за дати протокол регистровани порт, у опсегу од 1 до 1023.
125
Рачунарске мреже
ВЕЖБЕ
Активност 1: Преглед регистрованих портова
Списак портова које је регистровала организација IANA доступан је на рачунару. На
линукс оперативном систему списак се налази у фајлу /etc/services. На Windows оперативним
системима фајл се налази као C:\windows\system32\drivers\etc\services, у питању је обичан
текстуални фајл и може се погледати програмом „Notepad“.
1. На Убунту радној станици отворити терминалски програм: Програми -> Алатке ->
Терминал.
2. Користићемо програм „pager“ под називом „less“. Ово су програми који могу да
приказују садржај текстуалног фајла страну по страну.
3. У терминалском прозору откуцати: less /etc/services.
4. less програм омогућава претрагу фајла. Претражићемо фајл како бисмо нашли
порт који је регистрован за www сервис. Укуцати „/“ (без наводника), а затим
www, и притиснути дугме <ENTER>. Следеће појављивање узорка добијамо
притиском на „n“. Притиском на „n“ наћи ред у тексту који изгледа као „www
80/TCP“. Можемо видети који је порт и протокол регистрован за www сервис,
односно за http протокол. Може се видети да је и UDP порт 80 регистрован за
http протокол. IANA има праксу да се за дати апликациони протокол региструју и
одговарајући TCP и UDP порт, чак и ако апликациони протокол не користи оба
транспортна протокола. На пример http протокол не користи UDP иако је порт 80
регистрован.
5. Потражићемо портове које користе протоколи за сервис електронске поште: smtp,
pop3 и imap. Укуцати „/“ (без наводника), а затим назив протокола (smtp, pop3 или
imap) и притиснути дугме <ENTER>. Уколико се тражени узорак не пронађе у смеру
претраге, притиском на „N“ (велико слово N, односно Shift+n), врши се претрага у
супротном смеру.
6. Потражити портове који су резервисани за FTP протокол. Укуцати „/“ (без наводника),
а затим назив протокола (ftp) и притиснути дугме <ENTER>. Уколико се тражени
узорак не пронађе у смеру претраге, притиском на „N“ (велико слово N, односно
Shift+n), врши се претрага у супротном смеру.
7. Потражити портове који су резервисани за DHCP и BOOTSTRAP протоколе. Укуцати
„/“ (без наводника), затим назив протокола (boops) и притиснути на дугме <ENTER>.
Уколико се тражени узорак не пронађе у смеру претраге, притиском на „N“ (велико
слово N, односно Shift+n), врши се претрага у супротном смеру.
8. На исти начин претражити портове за протоколе који нису део TCP/IP фамилије али
су регистровани (портови преко 1023). Потражити портове за сервисе ms-sql и
mysql.
9. Притиском на дугме „q“ напустити програм less.
126
VIII Вежба
Постоји и алтернативни начин, који се користи код апликација које користе RPC (Remote
Procedure Call) програмски интерфејс. Код RPC серверских апликација, на серверском хосту
постоји посебан сервис код кога RPC серверски процеси са истог хоста региструју своје
портове. Овај серверски процес, који је задужен за регистрацију портова осталих RPC
серверских процеса на Линукс оперативном систему назива се portmapper, а на Windows
оперативном систему end point mapper – emap“. Portmapper користи добро познати порт TCP
111, док end point mapper на Windows оперативном систему користи порт 135. RPC клијент
контактира portmapper или end point mapper и добија информацију који порт користи
серверски RPC процес који му је потребан. RPC клијенти и сервиси су пре свега
карактеристични за локалне рачунарске мреже и ретко се користе на Интернету.
Примери RPC сервиса на Линукс оперативном систему били би NIS (Network Information
Service, један од начина за централизовану администрацију корисничких налога у мрежи,
данас се замењује са LDAP протоколом), и неколико серверских процеса везаних за NFS
(Network File System, мрежни фајл систем за UNIX и Линукс оперативне системе). На
Windows оперативном систему примери апликација које користе RPC биле би апликације за
удаљено управљање сервисима на другим Windows рачунарима (на пример, „Active Directory
Users and Computers“, „Computer Management“ и слични).
RPC сервиси су проблематични за употребу на Интернету, јер је због непознатог порта
тешко креирати правила за контролу саобраћаја која би заштитила RPC сервис од
неауторизованог приступа.
Постоји још један начин на који би клијент могао да сазна порт софтверског процеса који
нуди одговарајући апликациони сервис у мрежи. Заснива се на употреби DNS система
(Domain Name System) и посебних SRV (Service Location) записа. Ови записи требало би да
клијенту укажу на ком хосту и порту се налази одговарајући сервис. Релативно мали број
клијената подржава овако нешто. Генерално се клијентске апликације ослањају на добро
познате портове за дате сервисе, или у мањини користе RPC. Ипак, без обзира на мали број,
неки веома важни сервиси ослањају се на постојање SRV записа: на пример, на овај начин
се пронађе локација домен контролера у Windows мрежама, као и локација KDC (Key
Distribution Center) сервера у мрежама које користе керберос систем за аутентификацију.
Sockets-утичнице
За сваки од транспортних протокола (TCP и UDP) можемо дефинисати socket, односно
утичницу, као пар IP адреса/број порта који јединствено идентификује софтверски процес и
хост на коме је процес покренут. Овако дефинисане утичнице крајње су тачке комуникације
на транспортном слоју. Свака серверска апликација по покретању креира TCP или UDP
утичницу (у зависности од типа серверске апликације). Креирање утичнице значи да на датој
IP адреси и на датом (добро познатом) порту серверски апликациони сервис очекује
сегменте који ће стићи са утичнице (пар IP адреса клијент/порт (>1023) који је отворила
клијентска апликација).
На пример: када се на серверу покрене софтверски процес веб сервера, он креира,
отвори утичницу, на IP адреси сервера на добро познатом порту 80. Када клијент на својој
127
Рачунарске мреже
радној станици покрене веб претраживач и у адресном пољу претраживача унесе адресу
сервера, веб претраживач отвори утичницу на IP адреси клијента на порту већем од 1023, на
пример 39536. Крајње тачке комуникације на транспортном нивоу су две утичнице.
Услуге које TCP и UDP нуде апликационом слоју разликују се, па се и утичнице ова два
протокола разликују. ТCP нуди поуздану услугу са успоставом везе, па TCP утичнице имају
своје стање, у смислу да ли је TCP веза остварена, или је у току остваривање везе или
прекид везе. Осим тога уколико је веза остварена позната је и друга утичница, на удаљеном
хосту која је други крај везе. UDP сервис не познаје успоставу везе, па UDP утичнице немају
посебно стање.
128
VIII Вежба
129
Рачунарске мреже
21. У пакету 9 отворити грану Flags. Уочити да је постављена заставица ACK јер
сервер потврђује да је примио октете закључно са нултим, и очекује први.
Постављена је и заставица PSH (Push). Овим се сигнализира пријемнику да
примљени сегмент одмах преда апликацији не чекајући на пријем још података. Ово
се користи код интерактивних апликација.
22. Изабрати пакет 10. Ово је пакет од клијента до сервера. Уочити изворишни и
дестинациони порт. Уочити да је acknowledgement number поље постављено на
33. Клијент сигнализира да је примио 32 октета из претходног пакета 9, и да очекује
33 октет. Уочити да је постављена заставица ACK, што значи да acknowledgement
поље треба да се узме у обзир.
23. Сврха синхронизације секвенцних бројева јесте да се омогући поузданост слања и
пријема пакета. Снимљени саобраћај одвијао се преко бежичне мреже па је дошло и
до губитка података.
24. Изабрати пакет 12. Ово је пакет од сервера ка клијенту. Отворити грану Transmission
Controll Protocol, и уочити acknowledgement number: 40. Ово значи да је сервер
примио бајтове закључно са 39-им и да очекује 40. бајт од клијента.
25. Изабрати пакет 13. Ово је пакет од клијента ка серверу. Отворити грану са
детаљима TCP протокола. Уочити да је Sequence number 40, баш као што је сервер
и очекивао. Клијент дакле шаље октете почевши од 40-тог, укупно 792 октета.
26. Изабрати пакет 14. Ово је пакет од сервера ка клијенту. Отворити грану са
детаљима TCP протокола. Обратити пажњу на acknowledgement number: 40. Сервер
није примио пакет број 13 и не потврђује га. Још увек очекује 40. бајт.
27. Изабрати пакет 15. Ово је пакет од клијента ка серверу. Отворити грану са
детаљима TCP протокола. Иако није примио потврду за претходно послати сегмент,
из пакета 13, клијент би могао да наставља да шаље. Клијент би то смео да ради јер
му је сервер сигнализирао величину прозора (window size) која још није испуњена.
Величина прозора означава количину бајтова који могу да буду још увек непотврђени
у транспорту. Величина прозора може се динамички мењати у току конекције. Њом
сваки хост оглашава своју спремност за пријем и мењањем величине прозора може
утицати на брзину предаје података. Конкретно у пакету 15 клијент само потврђује
серверу октете из пакета 14 и не шаље своје октете јер је логика апликације таква да
се очекује порука апликационог протокола са сервера – ssh клијент тренутно нема
шта да пошаље.
28. Изабрати пакет број 16 и отворити детаље TCP протокола. Ово је поново пакет од
клијента ка серверу. Пошто у задато време, пре истека часовника, није стигла
потврда за сегмент из пакета 13, клијент врши ретрансмисију. Поново шаље податке
које је већ послао у сегменту 13: почевши од 40-ог укупно 792.
29. Изабрати пакет број 17 и отворити детаље TCP протокола. Ово је пакет од сервера
ка клијенту. Уочити да је acknowledgement number 832. Ово значи да сервер
потврђује пријем сегмента из пакета 16.
30. TCP протокол има и процедуру за прекид везе. Генерално се сваки смер конекције
(од сервера ка клијенту и од клијента ка серверу) може затворити независно. Као и
отварање, и затварање конекције обично иницира клијент. Затварање конекције
иницира се на захтев клијентске апликације слањем сегмента у коме је постављена
заставица FIN. Клијентска утичница прелази у стање FIN-WAIT1 и очекује од друге
стране да потврди пријем ACK сегмента. Серверска страна по пријему FIN сегмента
130
VIII Вежба
131
IX ВЕЖБА
133
Рачунарске мреже
134
IX Вежба
Сваки чвор у стаблу има своје кратко име – лабелу која генерално није јединствена (нпр.
www). Да бисмо јединствено идентификовали неки чвор у стаблу, морамо навести потпуно
квалификовано име (енг. Fully Qualified Domain Name - FQDN), на пример „www.viser.edu.rs“.
Хијерархијски систем домена, односно правила за употребу овог простора имена
омогућавају да два чвора имају исто име, под условом да се налазе на различитим местима
у хијерархији (на пример „edu“ или „www“). Навођењем потпуно квалификованог имена чвора
можемо јединствено идентификовати било који чвор у хијерархији и, на пример извршити
упит, затражити адресу неког хоста.
135
Рачунарске мреже
136
IX Вежба
Чешћи је случај да DNS сервер добије задатак да разреши упит за који није
ауторитативан, на пример, сервер који није ауторитативан за зону „debian.org“ добије задатак
да разреши упит, односно одреди адресу за „www.debian.org“. Сервер не може да разреши
овакав упит на основу локално доступних информација, већ мора да контактира друге DNS
сервере на Интернету.
Генерално када сервер добије упит за ресурс за који није ауторитативан, могао би да:
1. упути клијента на неки други DNS сервер, који јесте ауторитативан, са којим би
клијент наставио упит,
2. сервер би могао да за рачун клијента контактира друге сервере, разреши упит и
клијенту пошаље коначан одговор.
Прва врста упита назива се итеративни упит. Итеративни одговор само упућује клијента
на неки други сервер са којим би клијент извршио следећу итерацију претраге. Друга врста
упита назива се рекурзивни упит. Када сервер решава рекурзивни упит, он сам контактира у
неколико итерација друге сервере и клијенту врати коначан одговор.
Клијенти у локалној мрежи шаљу рекурзивне упите конфигурисаном DNS серверу, док
сервер контактирајући друге сервере шаље итеративне упите.
На пример, претпоставимо да је клијент из локалне мреже послао рекурзивни DNS упит
свом конфигурисаном серверу захтевајући да се разреши упит, IP адреса за име
„www.debian.org“.
Ток рекурзивних и итеративних упита био би следећи:
• Клијент проследи упит за „www.debian.org“ захтевајући рекурзију, односно коначан
одговор, а не показиваче на друге сервере.
• DNS сервер на овакав упит не може да одговори на основу локалних информација,
јер није ауторитативан за ту зону. Да би разрешио овај упит сервер мора да
контактира друге DNS сервере на Интернету. Сервери на Интернету обично су
конфигурисани тако да одбијају рекурзивне захтеве непознатих клијената. Такви
сервери шаљу само итеративне одговоре, односно упуте клијента на неки други DNS
сервер коме се шаље следећа итерација упита. У првој итерацији локални DNS
сервер пошаље упит серверима ауторитативним за корен DNS стабла.
• Сервери ауторитативни за корен стабла дају итеративни одговор: упућују локални
сервер на сервере ауторитативне за „.org“ домен.
137
Рачунарске мреже
• Локални DNS сервер шаље итеративни упит серверу ауторитативном за „.org“ домен.
• Сервери ауторитативни за „.org“ домен шаљу итеративни одговор: упућују локални
сервер на сервере ауторитативне за „.debian.org“ домен.
• Локални DNS сервер шаље итеративни упит серверу ауторитативном за „.debian.org“
домен.
• Сервер ауторитативан за „.debian.org“ домен шаље ауторитативан одговор, адресу за
хост са именом „www.debian.org“.
• Локални DNS сервер враћа клијенту рекурзивни одговор до кога је дошао преко
неколико итеративних упита ка серверима на Интернету.
138
IX Вежба
ВЕЖБЕ
Активност 1: Преглед hosts фајла
Фајл hosts се на Линукс оперативном систему налази као /etc/hosts, док се на Windows
оперативном систему налази као C:\Windows\System32\drivers\etc\hosts.
1. На Убунту радној станици отворити терминалски програм (Програми -> Алатке ->
Терминал).
2. Потребно је отворити фајл hosts. Користићемо „pager“ програм less: у терминалу
унети less /etc/hosts <Enter>.
3. Уочити неколико линија са адресама и именима хостова у мрежи.
4. Уочити да постоји линија којом се IP адреса саме радне станице мапира у име хост
радне станице. На Линукс оперативном систему ова ставка омогућава да хост одреди
име домена у коме се налази, што може бити битно за неке серверске апликације.
5. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
6. Притиском на тастер „q“ напустити програм less.
7. На Windows виртуелној машини отворити „My Computer“, а затим отворити фајл
C:\Windows\System32\drivers\etc\hosts (у питању је текстуални фајл, на Windows
оперативном систему може се отворити програмом „Notepad“).
8. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
139
Рачунарске мреже
И у овом начину рада можемо унети име, односно адресу која треба да се разреши:
1. У оквиру nslookup програма унети: www.google.com <ENTER>.
2. Проверити и реверзну претрагу: унети 213.244.236.5 <ENTER>.
Интерактивни начин рада дозвољава да наведемо и тип одговора који очекујемо.
Информације којима располаже DNS сервер представљене су ресурсним записима (Resouce
Records). Када желимо да сазнамо адресу рачунара на основу имена, добијамо информацију
на основу одговарајућег адресног записа (ознака А). Када желимо да сазнамо име за
непознату адресу, добијамо информације на основу PTR („Pointer“) записа.
Сем ових записа за нормално функционисање DNS система постоје и неки други типови
записа. На пример постоји Start Of Authority запис (ознака SOA). У овом запису садржане су
информације о примарном серверу одговорном за зону која се наведе у упиту. На пример:
• У оквиру nslookup програма унети: set type=SOA <ENTER>.
овим смо рекли nslookup програму да нас интересује SOA тип записа.
1. Уносимо зону која нас интересује: google.com <ENTER>.
Можемо погледати информације које садржи SOA запис за зону:
1. origin се односи на примарни DNS сервер одговоран за дату зону.
2. mail addr претставља адресу електронске поште особе одговорне за одржавање
зоне. Карактер ‘@’ има специјално значење у фајлу који чини зону, па је у адреси
замењен са ‘.’ (тачка).
3. serial представља серијски број зоне. То је неозначена 32-битна вредност, али
конвенција је да се наводи у облику ГГГГММДДАБ (Година,Месец,Дан, и две додатне
цифре АБ, на пример серијски број промене у току датог дана). За функционисање
DNS система битно је да се овај број инкрементира сваки пут када се направи измена
у DNS зони. На основу серијског броја зоне секундарни сервери знају да ли код себе
имају најсвежију верзију зоне. Иако је горенаведен формат само конвенција, обично
на основу овог броја можемо видети када је последњи пут промењена зона.
4. refresh представља интервал у секундама након ког секундарни сервери треба да
провере да ли се код примарног сервера налази новија верзија зоне.
5. retry представља интервал за поновне покушаје секундарних сервера да освеже
зону уколико први покушај, после refresh секунди није успео.
6. expire представља интервал после ког секундарни сервери престају са покушајима
да освеже зоне, и престају да себе сматрају ауторитативним за зону коју нису успели
да освеже.
7. minimum представља TTL (време памћења одговора). Сваки DNS одговор садржи и TTL
вредност која говори колико дуго тај одговор може бити сматран валидним. Обично
постоји подразумевана вредност која важи за све записе у зони, при чему појединачни
записи могу имати сопствене вредности. TTL постоји и за негативне одговоре (име које је
наведено у упиту не постоји). Новијим RFC документом предвиђено је да minimum
представља TTL вредност коју ће сервер слати у негативним одговорима.
Поред SOA записа постоје и други типови записа који су неопходни за функционисање
DNS система. На пример постоје и Name Server записи у зони (ознака је NS) који описују све
DNS сервере, примарне и секундарне, који су ауторитативни за дату зону. Можемо их
погледати на следећи начин:
140
IX Вежба
141
X ВЕЖБА
143
Рачунарске мреже
Тако се може бирати смер саобраћаја који се контролише. Уколико контролишемо „IN“
смер на спољњем интерфејсу рутера, контролишемо који ће сервиси у локалној мрежи бити
доступни са Интернета. Уколико желимо да контролишемо који сервиси са Интернета ће
бити доступни клијентима у локалној мрежи, можемо контолисати „IN“ смер на интерфејсу ка
локалној мрежи.
Овакву логику има контрола саобраћаја на CISCO опреми, сервис за рутирање и удаљени
приступ на Windows оперативном систему, као софтвер за контролу саобраћаја на FreeBSD и
сличним оперативним системима.
Филтрирање саобраћаја на Линукс оперативном систему има нешто другачију логику.
Пакет се најпре разврстава у ланце саобраћаја („chains“): пакети намењени за сам рутер иду
у INPUT ланац, пакети који потичу са самог рутера иду у OUTPUT ланац, док се пакети који
се само прослеђују иду у FORWARD ланац. Сваки ланац може да има свој скуп правила која
укључују изворишне и дестинационе адресе, портове и заставице, као и улазни и излазни
интерфејс.
144
X Вежба
145
Рачунарске мреже
посредни сервер или SOCKS proxy сервер. Овакви посредни уређаји захтевају
додатно подешавање клијентских апликација на хостовима у приватној мрежи, па
комуникација са Интернетом није транспарентна за крајње кориснике. С друге
стране, овакви посредни уређаји могу бити повезани са системом аутентификације и
ауторизације у мрежи и дозвољавати приступ Интернету на основу корисничких
имена и лозинки. Примери оваквих посредних уређаја били би SQUID proxy сервер,
или ISA сервер на Windows оперативном систему.
• Посредни уређаји који функционишу на мрежном и транспортном слоју, као што је
NAT (Network Address Translation) рутер. Овакви уређаји врше измене IP пакета и/или
сегмената транспортног нивоа транспарентно за крајњег корисника, како би пакети
који напуштају приватну мрежу били валидни (са јединственим јавним адресама, из
мрежа до којих се рутира). Овакав начин повезивања не захтева посебно
подешавање клијентских апликација, али су могућности за контролу Интернет
саобраћаја нешто мање: контрола се може вршити према адресама и бројевима
портова.
NAT рутер има (најмање једну) валидну јавну адресу, додељену интерфејсу који рутер
повезује на мрежу са посредником, као и приватну адресу која је додељена интерфејсу који
рутер повезује на локалну мрежу. Могуће је доделити и више од једне јавне адресе
интерфејсу рутера ка посреднику и ове адресе могу се користити за потребе транслирања.
146
X Вежба
Рутер мора и да запамти ово транслирање у NAT табели, како би могао да изврши
реверзну замену када се одговор на захтев клијента врати од неког хоста на Интернету. На
тај начин пакет који преко NAT рутера напушта мрежу има валидну изворишну јавну адресу.
Када се одговор сервера са Интернета врати назад, та јавна адреса ће се појавити као
одредишна адреса. Пошто у својој табели транслирања има запамћене измене које је
учинио, NAT рутер у повратним пакетима замени одредишну адресу у приватну адресу хоста
који је иницирао конекцију и затим такав пакет проследи у локалну мрежу.
147
Рачунарске мреже
148
X Вежба
Постоје и ситуације када одређени сервиси у приватној мрежи треба да буду доступни
хостовима на Интернету. Тада постоји потреба да се омогући да хостови са Интернета
иницирају конекције ка хостовима – серверима у локалној мрежи. Сада је проблем што
одредиште саобраћаја има приватне адресе, док извор има јавне.
Код већине имплементација NAT ово се може решити тако што се административно
креира такав улаз у NAT табели који све долазне конекције на једну јавну адресу и порт
транслира у другу, приватну адресу, из локалне мреже. Код неких имплементација ово се
назива „Destination NAT“ или „DNAT“. Може се срести и назив „Port redirection“, односно
редирекција портова: долазне конекције на јавну адресу рутера и добро познати порт
сервиса преусмере се на IP адресу сервера у локалној мрежи и порт сервиса.
На овај начин је омогућена доступност сервера са приватним адресама, при чему су
сервери из локалне мреже видљиви и доступни хостовима на Интернету као да имају јавне
адресе.
У примеру DNAT-a можемо видети да је код већине имплементација NAT рутера могуће
флексибилно одредити шта се транслира, као и да се улази у NAT табели могу креирати не
само динамички (када клијент иницира конекцију) већ и статички, административно, пре него
што се конекција иницира.
149
Рачунарске мреже
једноставно да креира улаз у NAT табели, чим клијент иницира конекцију. Протоколи као што
су http, smtp, imap, pop3 и неки други имају овакав узорак саобраћаја и немају проблема са
транслацијом.
Проблем могу представљати P2P („Peer to Peer“) апликације, код којих су апликације и
клијенти и сервери у току исте сесије, и конекције се иницирају са обе стране, при чему се
често користи читав опсег портова. Проблеми оваквих апликација могу се решити креирањем
статичких улаза у NAT табели, при чему се често читав опсег портова преусмерава на хост у
локалној мрежи. Тиме се решава проблем P2P апликације али смањује сигурносни аспект
NAT-a.
Проблем представљају апликације које нису идеално слојевите, односно у порукама
апликационих протокола постоје информације о адресама и портовима клијента или
сервера. Проблеми оваквих апликација могу се решити само тако што NAT рутер врши
измене и на апликационом слоју, за шта не постоји стандардни начин, па се имплементације
NAT рутера могу разликовати по способности да подрже овакве апликације. Примери би
укључивали разне „on-line“ игре, неке апликације за видео конференције („Net Meeting“), али
и FTP проткол. Пошто је FTP прилично уобичајен, већина NAT рутера уме да транслира FTP
саобраћај, док је за остале, сложеније примене потребно погледати документацију или
додатно подесити уређај или апликације које се користе.
На крају, постоје и апликације које се не могу користи уз NAT, јер измена адреса коју би
извршио NAT рутер нарушава логику саме апликације. Примери би били SNMP или трансфер
зоне између примарног и секундарног DNS сервера (DNS упити клијената раде сa
транслацијом).
Због ових чињеница, NAT се сматра привременим решењем за смањење потрошње IP
адреса, при чему је коначно решење увођење IPv6 адреса у употребу.
150
X Вежба
ВЕЖБЕ
Активност 1 : Реализација превођења адреса и филтрирање пакета
Увод
У оквиру вежбе биће креирана топологија са једним рутером који врши филтрирање
пакета и транслацију мрежних адреса. Као рутер биће коришћен софтвер „pfsense“
(http://www.pfsense.org), дистрибуција отвореног кода намењена за мрежне баријере и
рутере. Овај софтвер може се инсталирати на персоналним рачунарима који треба да
функционишу као наменски рутери, или се за потребе тестирања може покретати са CD
уређаја.
Сам софтвер базиран је на FreeBSD оперативном систему (www.freebsd.org), који има
неколико механизама за контролу саобраћаја. Један од њих је софтвер за филтрирање
пакета под називом pf који је оригинално развијан за OpenBSD (www.openbsd.org)
оперативни систем. Оба поменута оперативна система варијанте су BSD (Berkley Softvare
Distribution) UNIX оперативног система развијеног на Калифорнијском универзитету у
Берклију у САД (University of California, Berkeley).
У оквиру топологије постојаће једна интерна мрежа која ће представљати локалну мрежу
(„LAN“), једна мрежа која ће представљати такозвану „демилитаризовану зону“ („DMZ“) у којој
ће се наћи сервер који треба да буде доступан са Интернета, као и трећа мрежа, мрежа у
лабораторији која ће представљати Интернет.
Топологија треба да изгледа као на слици:
151
Рачунарске мреже
• „server“: Виртуелна машина са Windows 2003 сервером; машина треба да има 128MB
меморије и један мрежни адаптер: „Адаптер 1“ повезан на интерфејс хоста eth1.
• „klijent“: виртуелна машина са Windows XP радном станицом; машина треба да има 128MB
меморије и један мрежни адаптер: „Адаптер 1“ повезан на интерну мрежу „LAN“.
• „linuxserver“: виртуелна машина са Линукс оперативним системом на коме је
инсталиран веб и ftp сервер. Машина треба да има 96 МB меморије и један мрежни
адаптер: „Адаптер 1“ повезан на интерну мрежу „DMZ“.
Уколико су све машине конфигурисане треба прећи на следећу активност.
152
X Вежба
Провера функционисања
Да бисмо проверили функционисање рутера потребно је покренути виртуелну машину са
Windows сервером. Сервер треба да буде конфигурисан на следећи начин:
• IP адреса 172.17.32.x где је x три пута веће од броја радне станице.
• маска: 255.255.255.0.
• подразумевани мрежни пролаз: 172.17.32.1.
• DNS сервери: 172.16.1.1, 172.16.1.13.
• На серверу треба покренути телнет сервис, као пример сервиса на неком хосту на
Интернету.
На Windows клијенту покушати телнет приступ ка адреси сервера.
1. Отворити командни прозор.
2. Унети telnet 172.17.32.x (адреса сервера). Пријавити се као корисник „administrator“ са
лозинком „password“.
153
Рачунарске мреже
3. Отворити нови командни прозор и покренути „netstat -n“. Уочити изворишни порт за
телнет конекцију са сервером (телнет користи порт 23).
4. На серверу отворити командни прозор у покренути „netstat -n“. Уочити адресу и
изворишни порт за телнет конекцију.
Сложенија конфигурација
У наставку ће бити креирана сложенија конфигурација:
• WAN интерфејс имаће статичку адресу.
• интерфејс OP1 биће активиран статичком адресом 192.168.2.1 и именом „DMZ“.
• Линукс сервер биће покренут на „DMZ“ мрежи.
• Филтер пакета на DMZ мрежи дозволиће приступ DNS сервису на самом рутеру као и
серверу који се користи за надоградњу софтвера на серверу.
• Биће креирано правило за DNAT и контолу саобраћаја које омогућава да хостови на
Интернету приступају линукс серверу у DMZ мрежи.
1. Покренути виртуелну машину са линукс сервером. Пријавити се на конзолу као
корисник „root“ са лозинком „password“.
2. Са Windows радне станице приступити веб страници за администрацију рутера
(http://192.168.1.1) .Из менија System изабрати General Setup и подесити адресе DNS
сервера (172.16.1.1, и 172.16.1.13)
3. Из менија „Interfaces“ изабрати „WAN“ и извршити подешавања како би интерфејс
статички конфигурисали са IP адресом:
• Type: Static.
• Static IP configuration:
• IP address :172.17.32.x+1/24.
• Gateway: 172.17.32.1.
• Притиснути на SAVE.
4. Из менија „Interfaces“ изабрати „OP1“ и извршити подешавања како би активирали
интерфејс и статички конфигурисали са IP адресом:
• Укључити опцију: Enable Optional 1 interface.
• Description: DMZ.
• Type: Static.
• Static IP configuration:
• IP address :192.168.2.1/24.
• Притиснути на SAVE.
Линукс сервер је конфигурисан са адресом DNS сервера 192.168.2.1 (адреса pfsense
рутера). Тренутно разрешавање адреса на линукс серверу не функционише јер филтер за
саобраћај блокира сав саобраћај који долази преко DMZ интерфејса. Осим тога линукс
сервер треба да има приступ серверу за ажурирање софтвера па је потребно направити
филтер пакета и за овај случај.
154
X Вежба
155
Рачунарске мреже
Дестинациони NAT
У наставку ће бити подешен дестинациони NAT како би сервис у локалној мрежи (тачније
у DMZ мрежи) са приватном адресом био доступан клијентима на Интернету.
1. Из менија Firewall изабрати NAT.
2. Изабрати Port Forward.
3. У новој страници подесити.
4. Interface WAN: преусмеравамо портове за саобраћај који долази на спољњи
интерфејс са хостова са Интернета.
5. External address: Interface Address : унутрашњи сервери биће видљиви под адресом
спољашњег интерфејса.
6. Protocol: TCP : протокол који се преусмерава.
7. External port range: from http to http порт који се преусмерава.
8. NAT IP:192.168.2.10 на коју унутрашњу адресу се усмерава саобраћај.
9. Local Port: http на који порт на унутрашњем серверу се усмерава саобраћај.
10. Description: DNAT na web server: опис правила за NAT.
11. Проверити да ли је означена опција: „Auto-add a firewall rule to permit traffic through this
NAT rule“. Рутер ће аутоматски додати правило за филтрирање пакета који ће
дозволити саобраћај за који смо подесили преусмеравање портова.
Функционисање можемо проверити тако што са Windows сервера, који сада представља
хост на Интернету, из веб претраживача покушамо да отворимо страницу: http://
172.17.32.x+1 (адреса спољњег интерфејса рутера). У менију „Firewall“, „Rules“ можемо
проверити правила која су аутоматски креирана.
156
X Вежба
157
XI ВЕЖБА
159
Рачунарске мреже
160
XI Вежба
161
Рачунарске мреже
Код 802.11 мрежа, сем оквира података, постоје и други типови оквира података као што
су контролни оквири података, и управљачки оквири. Природа медијума спречава станицу да
детектује да ли је је дошло до колизије. Због тога се у 802.11 мрежама користи CSMA/CA
(Collision Avoidance). У сваком пакету је наведена дужина трајања предаје, а успешан пријем
мора се потврдити одговарајућим оквиром.
162
XI Вежба
163
Рачунарске мреже
164
XI Вежба
или отворени систем, процес успоставе везе овде би био завршен. Употреба WEP заштите
се не препоручује у новој верзији стандарда из 2007. године.
Нова верзија стандарда прихватила је 802.11i амандман на стандард који предвиђа
робусније мере аутентификације и заштите саобраћаја. Нови стандард предвиђа мреже
робусне сигурности („Robust Security Network“-RSN) и параметри те мреже објављују се у
„Beacon“ и „Probe Response“ оквиримa („RSN – information“ унутар „Tagged parameters“).
Погледати „RSN information“ означени параметар у „Beacon“ оквирима (на пример пакет 32)
У времену непосредно пре увођења 802.11i стандарда у употребу, произвођачи су почели
да производе и продају опрему која се придржавала стандарда чије се усвајање очекивало.
За овакве производе тврди се да подржавају WPA иWPA2 (Wireless Protected Access)
Прво унапређење које уводи 802.11i, односно производи који подржавају WPA или WPA2
je употреба напреднијих механизама шифровања.
WPA користи Temporal Key Integrity Protocol – TKIP алгоритам заштите саобраћаја. TKIP
користи исти начин шифровања као и слаби WEP, али кључ за шифровање мења за сваки
пакет. Тиме се решава велики проблем који је имао WEP, дуга употреба истог кључа за
шифровање. У стандарду се овај протокол предвиђа као прелазно решење за опрему која
нема довољно хардверских ресурса за сложенији механизам.
WPA2 користи (Counter Mode with Cipher Block Chaining Message Authentication Code –
CCM) који користи напреднији механизам за шифровање. Оваква опрема се у новом 802.11
стандарду назива RSN опрема.
Друго унапређење које је нови стандард донео је и мoгућност динамичког управљања
кључевима, као и употреба 802.1x стандарда за аутентификацију.
Уколико се аутентификација станице према приступној тачки изврши уз помоћ 802.1x
протокола и одговарајућег EAP метода, материјал за кључеве за шифровање динамички се
генерише при свакој новој аутентификацији. Ово са своје стране захтева постојање
централног сервера за аутентификацију, као и постојање инфраструктуре јавних кључева.
Подршка за нешто овако обично се приказује како WPA Enterpise или WPA2 Enterprise, у
зависности од употребљеног механизма за заштиту.
Како би се омогућила употреба система заштите и у малим мрежама које немају сву
потребну инфраструктуру, дефинисана је и могућност употребе заједничког, унапред
дељеног кључа („Pre Shared Key“ - PSK). Оваква опрема се обично приказује како „WPA
Personal“ или „WPA2 Personal“, у зависности од употребљеног механизма за заштиту.
У снимку саобраћаја на слици, бежична мрежа користи RSN (Robust Security Network)
систем заштите према стандарду 802.11i, односно оно што је комерцијално познато као
„WPA2 Enterprise“.
Уочити почетак 802.1x аутентификације („Request, Identity“, „Response, Identity“).
Ко иницира аутентификацију?
Ko је корисник који покушава да се аутентификује?
EAP протокол омогућава флексибилан договор око механизма за аутентификацију.
Који механизам је договорен? (пакет 38)
Изабрани механизам одвија се у две фазе: успостава шифрованог тунела, а затим и
аутентификација уз употребу стварног идентитета корисника.
Аутентификација се завршава са EAP-Success пакетом (пакет 80)
165
Рачунарске мреже
Као део RSN механизма одиграва се четвороструки договор, (4-way handshake) око кључа за
шифровање. Уочити ове кораке (пакети 82-88)
После договора око кључа за шифровање уникаст саобраћаја, изврши се и договор око
кључа за шифровање мултикаст и бродкаст саобраћаја.
Након овога је успостављена веза станице и приступне тачке. Следи уобичајен DHCP
саобраћај.
Преглед успоставе везе може се погледати у програму Wireshark:
Из менија Statistics, изабрати опцију Flow Graph
166
XI Вежба
Антене су пројектоване тако да нису иделано изотропске, односно да већу снагу емитују у
одређеним правцима. Често коришћене „штап“ антенте називају се изотропске антене и у
одређеним правцима (хоризонтално 360° и вертикално на пример 15° - облик „крофне“)
имају јачи сигнал него у осталим правцима. Ово се означава као „појачање“, односно „gain“
антене и изражава се у јединицама dBi, односно релативно појачање сигнала у датом правцу
у односу на идеално изотропску антену.
То значи да је у датим правцима снага сигнала већа за dBi вредност антене.
У табели су приказане спецификације за антену TL-ANT2405C:
Impedance 50 Ohms
Gain 5 dBi
Horizontal: 360°
Beamwidth (HPBW)
Vertical: 15°
Radiation Omni-directional
Application Indoor
167
Рачунарске мреже
Hardware Specification
168
XI Вежба
169
Рачунарске мреже
170
XI Вежба
171
XII ВЕЖБА
1
Local Area Network
2
Telecommunications Industry Association
3
Electronics Industries Alliance
173
Рачунарске мреже
174
XII Вежба
Хоризонтално каблирање
Већина каблова који се користе у рачунарској мрежи у једној згради представљају део
система хоризонталног каблирања. Хоризонтални каблови најчешће су мање доступни од
каблова који чине окосницу мреже, тако да се на промену у систему хоризонталног
каблирања може утрошити много времена и финансијских средстава. Због ових разлога
неопходно је детаљно испланирати систем хоризонталног каблирања како бисмо постигли
максимум ефикасности целокупног система структурног каблирања. Систем хоризонталног
каблирања је специфициран у TIA/EIA-568-B.1 стандарду и обухвата:
• хоризонтално каблирање,
• мрежне утичнице,
• мрежне конекторе,
• приводне4 каблове.
4 Patch cable - каблови који повезују активну мрежну опрему са мрежним утичницама.
5
Електромагнетне сметње
175
Рачунарске мреже
176
XII Вежба
Окосница мреже
Окосница мреже повезује све системе хоризонталног каблирања у једној згради или више
зграда (слика 12.3). Окосница такође повезује телекомуникационе собе са собом са опремом
и са главним спољашњим линком, који нам обезбеђује телеком посредник. У стандарду
TIA/EIA-568-B.1 специфицирана је окосница мреже и он обухвата:
• каблирање,
• главна чворишта и међучворишта,
• конекторе.
177
Рачунарске мреже
Радни простор обухвата све компоненте између мрежне утичнице и радне станице:
• мрежне утичнице укључујући и кућишта и маске за утичнице,
• модуле који се уграђују у утичнице,
• приводне каблове који повезују радну станицу са мрежном утичницом,
• радне станице, телефоне, штампаче, итд. Иако они нису обухваћени стандардом.
178
XII Вежба
Телекомуникациона соба
Телекомуникациона соба је некада била позната под именом телекомуникациони орман.
У овој соби налази се сва опрема са којом се хоризонтални систем каблова повезује са
окосницом мреже, и то укључује;
• главно чвориште,
• међучворишта,
• приводне каблове,
• сву опрему која је неопходна за повезивање.
Комплетан дизајн и препоруке димензија собе могу се пронаћи у TIA/EIA-569-B стандарду.
Неке од препорука:
• Телекомуникациона соба требало би да буде што ближе центру самог спрата зграде.
• Телекомуникациону собу не треба делити са опремом за електричну енергију.
• Ако је површина спрата већа од 1000m2 треба додати још једну телекомуникациону
собу.
Просторија са опремом
Просторија са опремом разликује се од телекомуникационе собе по комплексности
опреме коју садржи. У соби са опремом налазе се уређаји за заштиту података у мрежи,
рутери, сервери, комутатори, итд. Просторија са опремом може бити део телекомуникационе
собе. Такође у овој соби може се налазити и приступни линк од телеком посредника.
Неке од препорука дизајна собе са опремом из TIA/EIA-569-B стандарда:
• Свака зграда треба да садржи макар једну собу са опремом.
• Треба водити рачуна о димензијама просторије због додавања опреме у будућности.
• Врата просторије треба да буду довољно велика да би кроз њих могли да прођу велики
делови телекомуникационе опреме.
• Минимална висина плафона би требало да износи 2,4 метра.
• Минимална површина просторије требало би да буде 14 m2 .
• Соба треба да има стално напајање као и резервно напајање.
• Климатски услови морају бити контролисани.
179
Рачунарске мреже
Демаркациона тачка
Демаркациона тачка је место где се завршава одговорност телеком посредника и каблови
спајају са окосницом мреже зграде. Просторија са приступним линком може да буде део
просторије са опремом. Ова просторија треба да буде позиционирана што ближе
вертикалним вођицама за каблове који чине окосницу система. Такође, ова просторија, у
случају да је засебна, треба да садри и резервно напајање електричном енергијом и све
услове које морају да задовоље телекомуникациона соба и просторија са опремом.
12.3 Каблирање
Каблирање представља једну од најважнијих компонената рачунарске мреже и такође
представља компоненту која би требало да има најдужи радни век. Инвестирање у кабловски
систем високог квалитета свакако ће пружити одличне перформансе рачунарске мреже.
Одабир кабла
Када планирамо кабловску инфраструктуру имамо две могућности: можемо користити
бакарне каблове, или можемо употребити оптичке каблове. Коју ћемо врсту каблова
користити зависи од мноштва фактора:
Мрежне апликације. Код одабира кабла морамо обратити посебну пажњу на апликације
које ће се користити у том мрежном окружењу. Ако се користе мултимедијалне апликације,
које укључују пренос видео материјала и великих датотека, онда свакако треба користити
каблове са већим пропусним опсегом.
Раздаљина. Морамо имати у виду колико је најдаља радна станица удаљена од
разделника који се налази у телекомуникационој соби.
Инсталација каблова. Треба водити рачуна о инсталационим путевима каблова (колико
има простора за каблове, под којим углом ће морати да се савијају, итд.).
Опасност од пожара. Ако постоји опасност од пожара треба употребити каблове од
посебних материјала који у случаја пожара не испуштају отрован дим.
Електромагнетне сметње. У случају да се мрежни каблови морају постављати поред
каблова за електричну енергију потребно је користити каблове који су отпорнији на ЕМС.
Бакарни каблови су се традиционално користили за мрежне сегменте мањих раздаљина и
када није било потребе за брзим преносом података, док су се оптички каблови користили за
изградњу окосница у рачунарским мрежама и за повезивање уређаја на великим
удаљеностима. Али са појавом могућности да се подаци преносе брзином од 10Gb/s и преко
бакарних каблова ово правило се више не уважава у толикој мери. Данас се најчешће могу
видети рачунарске мреже које користе и бакарне и оптичке каблове (слика 12.5).
180
XII Вежба
Бакарни каблови
Једна од највећих предности бакарног кабла јесте лакша инсталација у односу на
оптички кабл. Некада је и разлика у цени између ове две врсте каблова била знатно већа
него што је данас.
У рачунарским мрежама бакарни каблови се користе у облику упредених парица.
Упредена парица представља два проводника који су умотани један око другог ради
поништавања електромагнетних сметњи као и ефекта преслушавања који потиче од
суседних парица. Количина ЕМС коју ствара један проводник у парици приближно је једнака
количини ЕМС коју ствара и други проводник у парици, само што су различитих фаза и на тај
начин се међусобно поништавају. Каблови са упреденим парицама имају карактеристику која
се назива корак упредања (обично се приказује као корак упредања по дужном метру), и ова
карактеристика одређује и сам квалитет кабла (слика 12.6).
181
Рачунарске мреже
182
XII Вежба
су све парице посебно заштићене омотачем, а такође су и све парице заједно заштићене још
једним заштитним омотачем (слика 12.7). Оваква врста кабла пружа најбољу заштиту и
позната је и под именом S/FTP12.
Стандардизовани начин означавања каблова приказан је на слици 12.8.
На пример:
• SF/UTP – кабл са оваквом ознаком има неоклопљене парице али се али око свих
парица постоји и фолија и мрежица.
• U/FTP – код кабла са оваквом ознаком свака парица је појединачно заштићена
фолијом.
• F/UTP – кабл са оваквом ознаком садржи заштитну фолију око свих парица заједно.
183
Рачунарске мреже
Лицнасти кабл. Ова врста кабла користи се за повезивање разводних панела, као и за
повезивање радних станица са утичницама (слика 12.9б). Знатно су флексибилнији од
каблова са пуним попречним пресеком. Ипак, слабљење које овакви каблови уносе веће је,
тако да укупна дужина лицнастих каблова у једном сегменту мреже не би требало да
прелази 10 метара.
Изолациони омотач
PVC13, или чешће звани винил, скраћеница је за поливинил-хлорид и представља
производ петрохемијске индустрије. Овај материјал често се среће као изолациони омотач
каблова свих врста. Каблови су савитљивији, лако се постављају али су и лако запаљиви и
ослобађају отрован гас када горе.
Пленум каблови постављају се у међупросторе, чвршћи су од каблова са PVC изолацијом
али не испуштају отрован гас у случају да се запале.
13 Polyvinyl chloride
184
XII Вежба
185
Рачунарске мреже
Постоје и TERA конектори који се чешће користе и који су стандардизовани 2003. Године,
као IEC 61076-3-104. Последња верзија стандарда објављена 2006. године подржава
фреквенције до 1000 MHz. Конектор се разликује од стандардног RJ45 конектора и није
компатибилан са њим (слика 12.11).
Оптички каблови
Код оптичких каблова светлосни сигнал се користи као носилац информације. Оптичко
влакно је танак, флексибилан медијум, кроз који може да се простире светлосни зрак.
Израђују се од стакла или пластике. Најмањи губици су код оптичких влакана која су
направљена од силицијума али израда оваквих каблова јако је сложена. Нижа по цени, али и
даље прихватљивих перформанси, су стаклена оптичка влакна. Пластична оптичка влакна
најнижа су по цени и могу се користити за краћа растојања и примене у којима су губици
средњег нивоа прихватљиви. Оптичка влакна имају цилиндрични облик и састоје се од три
концентрична дела: језгра, пресвлаке и омотача. Поред ових слојева, оптички каблови могу
садржати још неколико заштитних и изолационих слојева (слика 12.12). Оптичко влакно је
пресвучено материјалом који има различита оптичка својства од језгра (нижи индекс
преламања). Спој између језгра и омотача за светлосни зрак понаша се као гранична,
рефлектујућа површина. Трећи слој може да буде омотач једном или више оптичких влакана.
Омотач је обично направљен од пластичног материјала и заштита је од влаге, механичких
оштећења и других нежељених утицаја у окружењу.
186
XII Вежба
светлосни зрак може да пролази кроз спој. Постоје разне врсте оптичких конектора, али
свакако најпопуларнији су SC14 и ST15 конектори (слика 12.13).
187
Рачунарске мреже
Једноугаони кабл има мали пречник језгра, 8-10µm, и он користи само један светлосни
сигнал. Светлосни зрак се простире кроз средину језгра и не одбија се о пресвлаку као што је
то случај код вишеугаоних каблова. Једноугаони каблови омогућавају пренос сигнала на 50
пута веће дистанце од вишеугаоних каблова. Боја једноугаоног оптичког кабла је обично
жута.
Постоје и оптички каблови који су споља заштићени флексибилним алуминијумским оклопом
који штити кабл од удараца и гњечења (слика 12.15). Такође, постоје и оптички каблови са доста
јачим оклопом и они се користе за спољашње монтаже, обично су црне боје.
188
XII Вежба
189
Рачунарске мреже
190
XII Вежба
Такође, постоје и разне вођице каблова које се постављају у спуштене плафоне (слика
12.19) или издигнуте подове. И за њих постоји велики спектар утичница које се могу директно
монтирати на под и бити практично неприметне.
191
Рачунарске мреже
Инсталација конектора. Код упредених парица конектори морају бити истег или бољег
типа као и кабл. RJ45 конектори монтирају се на кабл уз помоћ кримп клешта (слика 12.23а).
Треба водити рачуна о распореду парица у конектору. Такође треба проверити да ли су све
парице оствариле контакт са иглицама конектора. Изолациони омотач кабла уклања се
помоћу стрипер алата (слика 12.23б), али изолациони омотач не треба да буде сувише
уклоњен јер може доћи до нарушавања перформанси самог кабла.
192
XII Вежба
Тестирање каблова
Након инсталације каблова и конектора потребно је извршити проверу исправности веза
како би се уочиле потенцијалне неисправности које су настале услед монтирања каблова
или конектора.
За тестирање каблова постоје две уобичајене тест конфигурације: линк тест (углавном се
користи у објектима који су још увек у фази изградње и не укључује приводне везе ни на
једном крају кабла) и тест канала (обезбеђује верификацију перформанси са краја на крај, тј.
исправност кабла и проверу приводних веза на крајевима) (слика 12.25).
Наиме, мерења инструментима у структурним кабловским системима могу се сврстати у
четири категорије. Прву чине „зујалице“ или „тонери“ и дигитални мултиметри (слика 12.26а).
Друга категорија су тестери каблова (слика 12.26б), а у трећу категорију спадају
специјализовани уређаји за мерења и атестирање, који се још називају и инструментима за
сертификацију (слика 12.26г). Најзад, четврту групу чине анализатори мреже (Network
Analyzers) (слика 12.26д).
193
Рачунарске мреже
Сваки од инструмената из ове четири групе има своју намену, а примена неодговарајућих
инструмената за тестирање може проузроковати више штете него користи. Није упутно
тестирати UTP кабл категорије 5 обичним омметром или „зујалицом“. Исто тако, није упутно
тражити грешке у ожичењу мрежним анализатором, због утрошка времена и због цене самог
инструмента.
194
XII Вежба
195
Рачунарске мреже
Вежбе
Активност 1: Пример прорачуна пасивне мрежне опреме
У овој вежби биће приказан поступак пројектовања и прорачуна система структурног
каблирања у складу са пројектним захтевима.
Објекат је једноспратна пословна зграда, потребно је пројектовати локалну рачунарску
мрежу. На слици 12.27 приказан је план приземља објекта, док је на слици 12.28 дат план
првог спрата. При томе, предложено решење треба да обезбеди функционалност за наредни
период од најмање 5 година и могућност надоградње. Од пројектанта се захтева да
обезбеди следеће:
• пројектовати разводе и кабловску инфраструктуру мреже,
• нацртати план вертикалног и хоризонталног каблирања, са назначеним бројем и врстом
каблова,
• направити прорачун пасивне мрежне опреме.
Пре него што се приступи самом пројектовању потребно је прикупити од инвеститора што
више корисних информација о захтевима и потребама и евентуалним планираним
проширењима у будућности.Овакве информације најчешће се сакупљају у форми интервјуа
или упитника кога инвеститор, или неко друго овлашћено лице, попуњава.
196
XII Вежба
197
Рачунарске мреже
198
XII Вежба
199
Рачунарске мреже
200
XII Вежба
Оптички разводни панел садржи различит број оптичких портова, али је то најчешће: 8,
16, 24 и 48 оптичких портова. Оптички портови на разводном панелу могу бити различити
зависно од типа оптичког конектора који треба да се прикључи.
201
Рачунарске мреже
202
XII Вежба
Цене у овом примеру нису приказане из практичних разлога, али је потребно израчунати
укупну вредност пасивне мрежне опреме. Пракса је израчунати и цену пасивне мрежне
опреме по једном мрежном прикључку, како би се што боље приказали трошкови
инвеститору. Цена се добија тако што се цена укупних трошкова за пасивну мрежну опрему
подели са бројем мрежних прикључница (у примеру који је приказан постоји 220 прикључних
места).
203
XIII ВЕЖБА
205
Рачунарске мреже
13.3 Концентратор
Концентратор18 је мрежни уређај који функционише на физичком слоју OSI референтног
модела. Користи се за повезивање мрежних уређаја у један мрежни сегмент. За
концентратор се може рећи да представља вишепортни рипитер јер не врши никакво
филтрирање нити преусмеравање мрежног саобраћаја, већ само обнавља сигнал примљен
на једном интерфејсу и прослеђује га на све остале интерфејсе. Сви уређаји који су повезани
на концентратор налазе се у једном колизионом домену.
Данас концентратори спадају у категорију застарелих уређаја и не препоручује се њихова
употреба. У односу на комутаторе који се данас користе, концентратори имају лоше
карактеристике: мале брзине преноса података, подложност колизији и могућност
полудуплекс везе између уређаја.
18
Hub
19
Network interface card
20
Media access control
206
XIII Вежба
13.5 Комутатор
Комутатори21 су уређаји који служе за повезивање више уређаја на исту мрежу у оквиру
зграде или кампуса. Уз помоћ комутатора креира се приступни део рачунарске мреже.
Комутатори функционишу на другом слоју OSI референтног модела и користе физичке
адресе за активно преусмеравање мрежног саобраћаја. Комутатори врше сегментацију
локалне рачунарске мреже на засебне колизионе домене. Сваки прикључак на комутатору
представља засебан колизиони домен и омогућава комуникацију у потпуном дуплекс режиму.
Код одабира комутатора треба обратити пажњу на број мрежних портова (интерфејса)
које комутатор садржи, максималан проток података и могућност агрегације пропусног
опсега.
Комутатори са фиксном конфигурацијом обично садрже до 48 портова и до 4 додатна
порта за узлазне линкове. Уместо портова за узлазне линкове који подржавају веће брзине
могу се користити комутатори са портовима за SFP22 уређаје. Препорука је да увек на
комутатору остане слободних прикључака како би се лако додавали нови корисници у
рачунарску мрежу, или у случају отказа неког од портова.
21
Switch
22
small form-factor pluggable
207
Рачунарске мреже
подата он неће моћи свим корисницима да обезбеди максималну брзину преноса података.
Рецимо да имамо комутатор који има 48 гигабитних портова. Ако сви корисници користе
максимални пропусни опсег они ће генерисати саобраћај од 48Gb/s. Ако комутатор подржава
само 32Gb/s протока података, неки корисници неће имати максималне перформансе.
Агрегација пропусног опсега омогућава да се неколико портова на комутатору логички
повеже и на тај начин се повећа пропусни опсег линкова. На пример, можемо искористити 4
гигабитна порта на комутатору за агрегацију и на тај начин направити један логички порт који
подржава брзину од 4Gb/s, што има велику примену када су нам потребни брзи узлазни
линкови ка остатку рачунарске мреже.
Најшире посматрано, комутаторе можемо поделити на управљиве комутаторе и на
неуправљиве комутаторе. Неуправљиви комутатори се не могу додатно подешавати, и
немају неке напредне опције комутирања као што су виртуелна сегментација мрежа,
могућност управљања квалитетом сервиса, сигурност портова, итд. Њихова предност је
ниска цена и они представљају прави избор за кућне мреже и мреже у малим предузећима.
Управљиви комутатори имају могућност додатних подешавања, иницијална
конфигурација се изводи преко посебног серијског интерфејса који се зове конзолни
интерфејс. Након подешавања одређених параметара за приступ (лозинке, адресе, итд.)
комутатори се могу подешавати и са удаљених локација. Виртуелно сегментирање мрежа
(VLAN) једна је од опција која се најчешће подешава на управљивим комутаторима.
Комутаторе можемо поделити на оне са фиксном конфигурацијом и на модуларне
комутаторе. Комутаторима са фиксном конфигурацијом не могу се додавати додатни
интерфејси. Што значи ако наручимо комутатор са 24 гигабитна интерфејса, не можемо на
њега додавати нове интерфејсе ако нам се за то укаже потреба услед раста рачунарске
мреже. Комутатори са фиксном конфигурацијом најчешће су пројектовани тако да имају
одређени број интерфејса (8, 16, 24 или 48 портова) који служе за повезивање крајњих
корисника. Поред ових портова обично се и постави пар додатних портова веће брзине који
служе за повезивање комутатора са вишим хијерархијским нивоима рачунарске мреже.
208
XIII Вежба
Код избора уређаја потебно је обратити пажњу на стандарде које уређај подржава.
Највећи број уређаја на нашем тржишту подржава 802.11b/g/n стандарде (раде у опсегу од
2,4GHz), а могу се наћи и уређаји који подржавају 802.11а сандард (раде у опсегу од 5GHz).
23
Stackable switches
24
eXpandable Resilient Networking
25
Power over Ethernet
26
Аccess point
209
Рачунарске мреже
13.8 Рутер
Рутер30 или мрежни усмеривач је уређај који има улогу да повеже више различитих ΙP
мрежа и обезбеди могућност усмеравања саобраћаја између њих. Принцип рутирања,
односно усмеравања саобраћаја, заснива се на анализи одредишне ΙP адресе сваког пакета
27
Small office/home office
28
Firewall
29
Virtual private network – виртуелна приватна мрежа
30
Router
210
XIII Вежба
са циљем одређивања даље путање тог пакета, као и излазног интерфејса кроз који треба
проследити пакет. На основу информација које анализира (ΙP адресе) рутер можемо
класификовати као уређај који припада првенствено мрежном слоју OSI референтног
модела.
Ентитети у данашњим рачунарским мрежама, како локалним тако и на Интернету,
адресирани су помоћу ΙP адреса, па је примена рутера незаобилазна како бисмо повезали
две и више различитих IP подмрежа. Треба напоменути да рутери имају и улогу медија
конвертера јер је могуће повезати и више мрежа које користе различите технологије преноса.
Како рутер повезује једну локалну мрежу са остатком света, клијенти те локалне мреже
користе рутер као подразумевани пролаз.
Велики значај који рутер има у креирању рачунарских мрежа, довео је до тога да је данас
тржиште преплављено различитим системима за рутирање. Класификација рутера може се
извршити превасходно на основу тога да ли је рутер хардверски прилагођен уређај са
специјализованим софтвером31, или сам софтвер који се може извршавати и на обичном
рачунару. Како је сам процес рутирања критичан за рад једне мреже, он се мора обављати
поуздано и веома брзо, тако да су хардверски рутери пожељнији.
Главне карактеристике које описују један рутер су: број и тип доступних интерфејса,
брзина прослеђивања, могућности рутера у погледу доступних протокола за рутирање,
безбедносни аспекти рутера, начин конфигурације, могућност надгледања... Скуп наведених
карактеристика директно утиче на цену рутера која се може кретати од неколико десетина
долара до неколико десетина хиљада долара. Избор одговарајућег рутера прилично је
сложен процес јер је прво неопходно утврдити коју количину саобраћаја треба да усмерава,
а затим које додатне функције треба да има са аспекта контроле саобраћаја, безбедности и
надгледања.
Најпознатији и тржишно најзаступљенији су рутери следећих произвођача: Cisco, Juniper,
Huawei, Redback. Сви произвођачи рутера своју палету производа деле на две групе и то :
кућна примена (SOHO) и пословна примена. Гледајући пословну примену, даље поделе
односе се на позицију рутера, односно оптерећење које рутер мора да поднесе, па стога
имамо рутере који су намењени „језгру“ мреже (енг. Core), рутере за агрегацију саобраћаја,
приступне рутере... Припадност некој од наведених група одређује перформансе уређаја,
али и његову цену, па су тако најскупљи рутери који су пројектовани за рутирање велике
количине саобраћаја у „језгру“ мреже, чије су перформансе ванпросечне.
Како је технологија преноса данас подложна честим променама и унапређењима услед
развоја телекомуникационих система, произвођачи рутера су то препознали и поред рутера
са фиксним карактеристикама (нпр. тип и број портова) производе и рутере који су
модуларни. Модуларност рутера значи да се прелазак са једне технологије преноса на другу
(на пример замена постојеће бакарне везе оптичком) може извршити на једноставан начин,
без потребе да се замени цео уређај већ само модул преко кога се та веза остварује. Ова
карактеристика рутера је од велике важности јер утиче на трошкове, али и на време
потребно да се замена изврши.
31 Appliance
211
Рачунарске мреже
212
Литература
14. Литература
[1] В. Васиљевић, Рачунарске мреже, Висока школа електротехнике и рачунарства, Београд, 2008.
[2] J. Kurosse, K. Ross, Computer Networking: A Top-Down Approach, Addison Wesley, 2009.
[3] W. Stallings, Data and Computer Communication, Pearson Education, Upper Saddle River, N.J, 2007.
[4] http://www.wireshark.org/
[5] http://www.vyatta.org/
[6] http://www.vyatta.org/forum
[7] http://www.vyatta.com/products/demo.php
[8] http://en.wikipedia.org/wiki/List_of_mail_servers
213
Евиденција урађених вежби
214