ARMprirucnik2016 Final

Верица Васиљевић
Предраг Гавриловић
Борислав Крнета
Веселин Илић
Владимир Михајловић
Администрација и пројектовање
рачунарских мрежа
Приручник за лабораторијске вежбе
2. издање
Висока школа електротехнике и рачунарства струковних студија

Београд, 2016.
Аутори: др Верица Васиљевић
Предраг Гавриловић
Борислав Крнета
Веселин Илић
Владимир Михајловић
Рецензенти: др Борислав Ђорђевић, мр Драган Плескоњић
Издавач: Висока школа електротехнике и рачунарства струковних студија
За издавача: др Вера Петровић
Лектор: Милена Ковачевић
Техничка обрада: Предраг Гавриловић, Веселин Илић, Мина Камберовић,

Владимир Михајловић, Мирко Ступар
Дизајн: Мирко Ступар
Штампа: СВЕН. д.о.о, Ниш
Тираж: 200
ISBN: 978-86-7982-213-0
CIP - Каталогизација у публикацији

Народна библиотека Србије, Београд
004.7(075.8)(076)
АДМИНИСТРАЦИЈА и пројектовање
рачунарских мрежа : приручник за
лабораторијске вежбе / [Верица Васиљевић ... и
др.]. - 2. изд. - Београд : Висока школа
електротехнике и рачунарства струковних
студија, 2016 (Ниш : Свен). - V, 225 стр. : илустр.
; 29 cm + 1 електронски оптички диск (CD-ROM)
Тираж 200. - Напомене и библиографске

референце уз текст. - Библиографија: стр. 224.
ISBN 978-86-7982-213-0
1. Васиљевић, Верица, 1952- [аутор]
а ) Рачунарске мреже - Вежбе
COBISS.SR-ID 221008908
Предговор
Приручник Администрација и пројектовање рачунарских мрежа првенствено је намењен

студентима Високе школе електротехнике и рачунарства струковних студија у Београду.
Настао је као резултат дугогодишњег рада на настави из предмета Рачунарске мреже и
Комуникационе мреже.
Приручник се састоји од четрнаест вежби, методички обрађених. Да би се студентима
омогућило да што квалитетније и са више мотива самостално уче припремљен је и
мултимедијални приручник. Мултимедијалне вежбе су озвучене нарацијом.
Београд,
јануар 2016. год. Аутори
Садржај
Садржај
1. ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ ...................................................................... 2
1.1 Процес аутентификације и ауторизације ............................................................................................... 2
1.2 Модел радне групе ................................................................................................................................... 2
1.3 Модел домена .......................................................................................................................................... 3
1.4 Директоријумски сервис .......................................................................................................................... 3
1.5 Протокол за приступ директоријуму (LDAP протокол) .......................................................................... 4
1.6 Активни директоријум .............................................................................................................................. 4
1.7 Провера идентитета корисника у рачунарској мрежи - вежба .............................................................. 5
Активност 1.7.1: Креирање Windows домена инсталацијом активног директоријума.................. 5
Активност 1.7.2: Покретање алатке за администрацију aктивног директоријума ........... 13
Активност 1.7.3: Креирање објеката aктивног директоријума - организациона јединица 14
Активност 1.7.4: Креирање корисничких налога ....................................................................... 16
Активност 1.7.5: Измена атрибута корисничких налога......................................................... 19
Активност 1.7.6: Копирање и премештање корисничких налога ........................................... 20
Активност 1.7.7: Учлањивање радне станице у домен............................................................ 21
1.8 Питања и задаци .................................................................................................................................... 22
2. ПРЕТРАЖИВАЊЕ АКТИВНОГ ДИРЕКТОРИЈУМА И АДМИНИСТРАЦИЈА ГРУПНИХ НАЛОГА ................ 24
2.1 Претраживање активног директоријума ............................................................................................... 24
2.2 Групни налози......................................................................................................................................... 24
2.2.1 Различите врсте група ....................................................................................................... 25
2.2.2 Доменске локалне групе ....................................................................................................... 26
2.2.3 Глобалне групе ...................................................................................................................... 27
2.2.4 Комбиновање доменских локалних и глобалних група ..................................................... 27
2.2.5 Употреба глобалних група .................................................................................................. 27
2.2.6 Употреба доменских локалних група ................................................................................. 27
2.2.7 Учлањивање глобалних група у локалне ............................................................................ 28
2.3. Претраживање активног директоријума и администрација групних налога - вежба ....................... 29
Активност 2.3.1: Претраживање активног директоријума.................................................... 29
Активност 2.3.2: Креирање група ............................................................................................... 30
Активност 2.3.3: Учлањивање корисника у глобалне групе .................................................... 32
Активност 2.3.4: Преглед чланова групе ................................................................................... 32
Активност 2.3.5: Учлањивање глобалне групе у локалну доменску групу ............................. 32
Активност 2.3.6: Организовање корисника у домену - глобалне групе .................................. 33
Активност 2.3.7: Организовање корисника у домену - учлањивање....................................... 34
Активност 2.3.8: Преглед уграђених група ............................................................................... 34
2.4 Питања и задаци .................................................................................................................................... 35
3. ДОЗВОЛЕ НАД ДЕЉЕНИМ ДИРЕКТОРИЈУМИМА И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА ......... 38
3.1 Дозволе над дељеним директоријумима ............................................................................................. 38
3.2 Дозволе на нивоу система фајлова ...................................................................................................... 38
3.3 Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова Вежбе ................... 38
Активност 3.3.1: Поступак дељења директоријума ................................................................ 38
Активност 3.3.2: Употреба група за контролу приступа ....................................................... 40
Активност 3.3.3: Повезивање са дељеним директоријумима ................................................. 42
Активност 3.3.4: Преглед дељених директоријума на серверу .............................................. 43
Активност 3.3.5: Упознавање са NTFS дозволама.................................................................... 44
Активност 3.3.6: Управљање наслеђивањем дозвола.............................................................. 46
Активност 3.3.7: Комбиновање дозвола за дељене директоријуме и NTFS дозвола ........... 48
I
Администрација и пројектовање рачунарских мрежа
Активност 3.3.8: Преглед ефективних дозвола ....................................................................... 52

Активност 3.3.9: Власништво над фајловима .......................................................................... 53
3.4. Питања и задаци ................................................................................................................................... 55
4. ЛИЧНИ ДИРЕКТОРИЈУМИ, КОРИСНИЧКИ ПРОФИЛИ И ГРУПНЕ ПОЛИСЕ ................................................... 58
4.1 Лични директоријуми (Home Folders).................................................................................................... 58
4.2 Кориснички профили (User Profiles) ...................................................................................................... 58
4.3 Групне полисе (Group Policy) ................................................................................................................. 58
4.4 Лични директоријуми, корисничко окружење и групне полисе - вежбе .............................................. 61
Активност 4.4.1: Креирање личних директоријума .................................................................. 61
Активност 4.4.2: Упознавање са корисничким профилима (окружењем) ................................................. 63
Активност 4.4.3: Упознавање са покретним профилима ........................................................ 64
Активност 4.4.4: Провера функционисања покретних профила ............................................ 66
Активност 4.4.5: Преглед доменских полиса ............................................................................ 68
Активност 4.4.6: Креирање локалне полисе.............................................................................. 69
Активност 4.4.7: Провера функционисања групних полиса ...................................................................... 71
4.5 Питања и задаци .................................................................................................................................... 72
5. АНАЛИЗА САОБРАЋАЈА У РАЧУНАРСКИМ МРЕЖАМА ..................................................................................... 74
5.1 Увод ......................................................................................................................................................... 74
5.2 Слојевита архитектура протокола ........................................................................................................ 74
5.3 OSI и TCP/IP референтни модели ........................................................................................................ 75
5.4 Комуникација између слојева на различитим рачунарима ................................................................. 77
5.5 Интерфејс између два слоја на истом рачунару.................................................................................. 78
5.6 Програм за анализу мрежних протокола Wireshark ............................................................ 79
5.6.1 Системски захтеви у коришћењу програма Wireshark.................................................... 79
5.6.2 Употреба програма Wireshark ............................................................................................................ 79
5.6.3 Рад у програму Wireshark..................................................................................................... 80
5.6.4 Филтрирање пакета ........................................................................................................... 83
5.6.5 Креирање филтера .............................................................................................................. 84
5.6.7 Додатне опције програма Wireshark ................................................................................. 85
5.6.8 Извештај о обављеном процесу хватања пакета .......................................................... 85
5.6.9 Извештај о крајњим тачкама комуникације...................................................................... 86
5.6.10 Дијаграм тока ..................................................................................................................... 87
5.7 Анализа саобраћаја у рачунарским мрежама - вежбе ....................................................................... 88
Активност 5.7.1: Анализа мрежног саобраћаја ......................................................................... 88
5.8 Питања и задаци .................................................................................................................................... 92
6. ПОВЕЗИВАЊЕ РАЧУНАРА НА МРЕЖУ И АНАЛИЗА САОБРАЋАЈА............................................................... 94
6.1 Увод ......................................................................................................................................................... 94
6.2. Уређаји за међусобно повезивање рачунара ..................................................................................... 94
6.3 Протокол за разрешавање адреса ....................................................................................................... 95
6.4 Повезивање рачунара на мрежу и анализа саобраћаја - вежба ........................................................ 96
Активност 6.4.1: Повезивање рачунара на мрежу .................................................................... 96
Активност 6.4.2: Конфигурисање IP адресе.............................................................................. 96
Активност 6.4.3: Провера IP адреса........................................................................................... 97
Активност 6.4.4: Провера функционисања IP протокола ....................................................... 98
Активност 6.4.5: ARP табела ..................................................................................................... 99
Активност 6.4.6: Снимање ARP саобраћаја ............................................................................ 100
6.5 Питања и задаци .................................................................................................................................. 101
7. IP АДРЕСИРАЊЕ ...........................................................................................................................................................104
7.1 Увод ....................................................................................................................................................... 104
II
Садржај
7.2 IP адресе ............................................................................................................................................... 105

7.3 Претварање бинарног октета у децимални облик ............................................................................. 106
7.4 Претварање из децималног у бинарни облик .................................................................................... 107
7.5 Маска подмреже ................................................................................................................................... 108
7.6 Класе адреса ........................................................................................................................................ 109
7.7 Посебни случајеви адреса .................................................................................................................. 110
5.8 Подмрежавање..................................................................................................................................... 110
7.9 Поступак подмрежавања ..................................................................................................................... 111
7.10 IP адресирање - вежба ...................................................................................................................... 113
Активност 7.10.1: Претварање из бинарног у децимални облик .......................................... 114
Активност 7.10.2: Претварање из децималног у бинарни облик .......................................... 114
Активност 7.10.3: Маска подмреже .......................................................................................... 114
Активност 7.10.4: Подмрежавање ............................................................................................ 115
7.11. Питања и задаци ............................................................................................................................... 116
8. ПОДЕЛА IPV4 АДРЕСНОГ ПРОСТОРА КОРИШЋЕЊЕМ МАСКЕ ПРОМЕНЉИВЕ ДУЖИНЕ ................... 118
8.1 IP адресирање ...................................................................................................................................... 118
8.2 Подмрежавање са променљивом маском подмреже ........................................................................ 119
8.3 Подела IPv4 адресног простора коришћењем маске променљиве дужине - вежба ....................... 119
Активност 8.3.1: Анализа мрежних захтева............................................................................ 119
Активност 8.3.2: Прво подмрежавање ..................................................................................... 120
Активност 8.3.3: адресе за мрежу LAN5................................................................................... 120
Активност 8.3.4: Адресе за мрежу LAN3 .................................................................................. 120
Активност 8.3.5: адресе за мрежу LAN6................................................................................... 121
Активност 8.3.8: Адресе за тачка-тачка мреже..................................................................... 122
Активност 8.3.9: Провера програмом ipcalc ............................................................................ 123
8.4 Питања и задаци .................................................................................................................................. 123
9. КОНФИГУРАЦИЈА ХОСТОВА IP ПАРАМЕТРИМА И УСМЕРАВАЊЕ ПАКЕТА НА МРЕЖНОМ СЛОЈУ . 126
9.1 Увод....................................................................................................................................................... 126
9.2 Статичка конфигурација IP параметара ............................................................................................. 126
9.3 Динамичка конфигурација IP параметара .......................................................................................... 126
9.4 Усмеравање (рутирање) података на мрежном слоју ....................................................................... 127
9.5. Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју - вежбе .......... 131
Активност 9.5.1: креирање мрежне топологије ..................................................................... 131
Активност 9.5. 2: Подешавање Linux сервера ......................................................................... 132
Активност 9.5.3: Инсталацијa ISC-DHCP сервера ................................................................. 134
Активност 9.5. 4: Конфигурација DHCP сервера ................................................................... 134
Активност 9.5.5: Креирање једноставне DHCP конфигурације ............................................ 137
Активност 9.5.6: Верификација на клијенту ........................................................................... 138
Активност 9.5.7: Верификација на серверу ............................................................................. 140
9.5. Питања и задаци ................................................................................................................................. 140
10. РАЗРЕШАВАЊЕ ИМЕНА РАЧУНАРА.................................................................................................................... 142
10.1 Увод ..................................................................................................................................................... 142
10.2 Фајл „hosts“ ......................................................................................................................................... 142
10.3 Систем за разрешавање имена рачунара........................................................................................ 143
10.4.Врсте упита ......................................................................................................................................... 145
10.5 Разрешавање имена рачунара - вежба ............................................................................................ 147
Активност 10.5.1: Преглед hosts фајла .................................................................................... 147
Активност 10.5.2: Претраживање DNS система ................................................................... 148
III
10.6 Питања и задаци ................................................................................................................................ 151

11. ЗАШТИТА РАЧУНАРСКИХ МРЕЖА ФИЛТРИРАЊЕМ ПАКЕТA И ПРЕВОЂЕЊЕМ АДРЕСА .................154
11.1 Рутер као сигурносни уређај ............................................................................................................. 154
11.2 Рутер као уређај за транслирање мрежних адреса ......................................................................... 156
11.3 Заштита рачунарских мрежа филтрирањем пакетa и превођење адреса - вежба ....................... 161
Активност 11.3.1: Реализација превођења адреса и филтрирање пакета ........................ 161
11.4 Питања и задаци ................................................................................................................................ 167
12. ПОДЕШАВАЊЕ БЕЖИЧНЕ ПРИСТУПНЕ ТАЧКЕ ...............................................................................................170
12.1 Увод ..................................................................................................................................................... 170
12.2 Подешавање везе ка локалној мрежи .............................................................................................. 170
12.3 Подешавање везе ка Интернету ....................................................................................................... 171
12.4 Подешавање адреса за локалну мрежу ........................................................................................... 171
12.5 Подешавање прослеђивања мрежног саобраћаја .......................................................................... 172
12.6 Подешавање безбедности бежичне мреже ..................................................................................... 174
12.7 Контрола приступа коришћењем MAC адреса................................................................................. 176
12.8 Напредна подешавања параметара бежичне мреже ...................................................................... 176
12.9 Повезивање клијента на бежичну мрежу ......................................................................................... 178
12.10 Подешавање бежичне приступне тачке - вежба ............................................................................ 180
Активност 12.10.1: Подешавање бежичне приступне тачке ............................................... 180
Активност 12.10.2: Повезивање клијента на бежичну мрежу ............................................... 181
12.11 Питања и задаци .............................................................................................................................. 181
13. ПРОЈЕКТОВАЊЕ РАЧУНАРСКИХ МРЕЖА СИСТЕМОМ СТРУКТУРНОГ КАБЛИРАЊА .........................184
13.1 Систем структурног каблирања ........................................................................................................ 184
13.2 Подсистеми структурног каблирања................................................................................................. 185
13.2.1 Хоризонтално каблирање ............................................................................................... 186
13.2.2 Окосница мреже ................................................................................................................ 188
13.2.3 Телекомуникациона соба ................................................................................................. 190
13.3 Кабловски развод .............................................................................................................................. 191
13.3.1 Одабир кабла..................................................................................................................... 191
13.3.2 Бакарни каблови ............................................................................................................... 192
13.3.3 Оптички каблови .............................................................................................................. 196
13.4 Инсталација мрежне опреме ............................................................................................................ 198
13.4.1 Путање каблова ............................................................................................................... 198
13.4.2 Путање каблова окоснице мреже................................................................................... 199
13.4.3 Хоризонталне путање каблова...................................................................................... 199
13.4.4 Врсте вођица каблова ..................................................................................................... 199
13.4.5 Савети за инсталацију пасивне мрежне опреме ......................................................... 200
13.4.6 Тестирање каблова ......................................................................................................... 202
13.5 Пројектовање рачунарских мрежа системом структурног каблирања - вежба ............................. 205
Активност 13.5.1: Прорачун пасивне мрежне опреме ............................................................ 205
Активност 13.5.2: Одабир телекомуникационих соба ........................................................... 206
Активност 13.5.3: Одабир врсте каблова за хоризонтално и вертикално каблирање..... 208
Активност 13.5.4: Одабир вођица каблова .............................................................................. 210
Активност 13.5.5: Одабир ормана за опрему .......................................................................... 210
Активност 13.5.6: Означавање прикључних места и каблова .............................................. 210
Активност 13.5.7: Прављење спецификација потребне пасивне мрежне опреме ............. 211
13.5 Питања и задаци ................................................................................................................................ 212
14. АКТИВНА МРЕЖНА ОПРЕМА...................................................................................................................................214
14. 1 Обнављивач сигнала ........................................................................................................................ 214
IV
Садржај
14.2 Медија конвертер ............................................................................................................................... 214

14.3 Концентратор...................................................................................................................................... 215
14. 4 Мрежни адаптер ................................................................................................................................ 215
14.5 Комутатор ........................................................................................................................................... 216
14.6 Бежичне приступне тачке .................................................................................................................. 218
14.7 Мрежне баријере ................................................................................................................................ 218
14.8 Рутер ................................................................................................................................................... 219
14.9 Сигурносни напади на уређаје 2. слоја ............................................................................................ 221
14.10 Напад на активну мрежну опрему - вежба ..................................................................................... 222
Активност 14.10.1: Испитивање напада на активну мрежну опрему .................................. 222
14.9 Питања и задаци ................................................................................................................................ 223
ЛИТЕРАТУРА....................................................................................................................................................................... 224
V
I ВЕЖБА
ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ
Циљ вежбе је да се студенти упознају са процесима аутентификације и ауторизације

у рачунарским мрежама, уз осврт на логичку организацију рачунара. Поред тога биће
речи и о директоријумском сервису у сврси каталога ресурса у рачунарској мрежи. У
практичном делу вежбе биће имплементиран један директоријумски сервис у оквиру
кога ће бити смештени кориснички налози.
1. Провера идентитета корисника у рачунарској мрежи

1.1 Процес аутентификације и ауторизације
Вишекориснички оперативни системи омогућавају да се подаци и подешавања једног
корисника заштите од других корисника истог рачунара, као и да се глобална подешавања
рачунара, која утичу на све кориснике, заштите од неауторизованих измена. Овакви
оперативни системи омогућавају контролу приступа ресурсима (подацима, сервисима,
подешавањима) и могу разликовати кориснике према нивоу приступа који имају.
Сви вишекориснички оперативни системи, међу које спада и Windows, захтевају да се
корисник рачунара представи (потврди свој идентитет) уношењем корисничког имена и
лозинке, као и да корисник буде ауторизован (одређивање нивоа приступа) како би могао да
користи ресурсе, податке и услуге које тај рачунар нуди.
Уколико је рачунар умрежен аутентификација и ауторизација се захтевају не само од
корисника који интерактивно користе рачунар, већ и од корисника који приступају сервисима
и подацима на рачунару преко мреже.
1.2 Модел радне групе

У мањим мрежама аутентификација и ауторизација одвијају се независно за сваки
рачунар. Не постоји централни ауторитет који проверава и ауторизује кориснике већ
сваки рачунар користи своју независну базу која служи за аутентификацију и
ауторизацију корисника. Сваки рачунар има свог администратора. Нека особа морала
би да има онолико корисничких имена и лозинки колико рачунара жели да користи,
интерактивно или преко мреже. Та корисничка имена и лозинке требало би да буду
креирани од стране администратора поменутих рачунара. На слици 1.1 приказан је
изглед модела радне групе.
Слика 1.1: Mодел радне групе

У мрежама где се на рачунарима користи Windows оперативни систем (у даљем тексту
Windows мреже), овакав модел назива се модел радне групе, и постиже се аутоматски
умрежавањем радних станица и сервера.
2
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
1.3 Модел домена

У већим мрежама пожељно је да постоји централизован систем за аутентификацију и
ауторизацију корисника читаве мреже, односно, да по питању администрације рачунари не
буду независни, већ део јединствене административне целине.
Слика 1.2: Модел домена

У Windows мрежама оваква административна целина корисника и рачунара назива се
Windows домен, а услугу централизоване аутентификације и ауторизације пружа посебно
конфигурисани сервер, који се назива домен контролер1. На слици 1.2 приказан је изглед
рачунарске мреже где је примењен модел домена.
Дакле, у моделу домена, један сервер се посебно конфигурише као домен контролер,
ауторитет за аутентификацију и ауторизацију корисника у читавој мрежи, док се радне
станице и остали сервери конфигуришу као припадници административне целине – домена.
У оваквој мрежи администрација је централизована. Постоји један администраторски
кориснички налог који омогућава администрацију било ког рачунара који је део домена.
Кориснику је довољно да поседује једно корисничко име са којим може да користи било који
рачунар и сервис у мрежи, интерактивно или преко мреже.
Домен контролер има важну улогу у оваквој мрежи, па је могуће конфигурисати неколико
сервера са оваквом улогом. Сви контролери домена међусобно синхронизују своју базу која
служи за аутентификацију и ауторизацију корисника, па је постојање више домен контолера
потпуно транспарентно за кориснике, и даље се ради о јединственој бази која се, ради
отпорности на отказе, налази на сваком домен контролеру.
1.4 Директоријумски сервис

Директоријумски сервис (услуга) је надградња идеје о централизованој администрацији.
Идеја се састоји у томе да се у централној бази не чувају само корисничка имена и лозинке,
као и информације битне за сервис аутентификације, већ и све остале информације о
кориснику, рачунару, или неком другом сервису мреже. Ове остале информације могу бити
битне другим сервисима у мрежи (нпр. сервис електронске поште, сервис за удаљени
приступ, нека посебно направљена апликација и сл.). На овај начин централизована база
служи као глобални именички сервис за мрежу, у коме се налазе готово све информације
потребне како би корисници могли да користе рачунаре, сервисе и апликације у мрежи.
1 Domain Controller
3
Директоријумски сервис омогућава стандардан начин за претрагу похрањених информација,

како корисницима тако и разнородним сервисима у мрежи. Корисници могу да пронађу
информације о ресурсима који их интересују (на пример, адресу електронске поште колеге,
доступан мрежни штампач и сл.), сервиси у мрежи могу пронаћи информације битне за сопствено
функционисање (удаљени приступ: да ли је корисник који покушава модемски приступ ауторизован
за тако нешто, сервер електронске поште: ко су чланови дописне групе, и сл.).
Администратор мреже има централно место за администрацију не само корисничких
имена и лозинки, већ и свих сервиса и апликација у мрежи који су интегрисани са
директоријумским сервисом.
1.5 Протокол за приступ директоријуму (LDAP протокол)

Уобичајени модел података за директоријумски сервис као и протокол за приступ
директоријумском сервису је LDAP протокол1.
LDAP директоријумска база је хијерархијска база у облику стабла. Стабло се састоји од
објеката2 који представљају објекте у мрежи (кориснике, рачунаре и сл.). Објекти имају своје
атрибуте-својства (име, адреса ел.поште, дозволе и сл.) који представљају важне
информације.
Хијерархијска структура LDAP стабла подсећа на структуру система фајлова на диску:
уместо директоријума постоје „организационе јединице“, објекти који садрже друге објекте.
Уместо фајлова у директоријуму се налазе објекти који представљају кориснике, рачунаре и
друге објекте. Ови објекти имају своје атрибуте који их описују.
1.6 Активни директоријум

Активни директоријум је назив који се користи за директоријумски сервис Windows мрежа.
У великим Windows мрежама рачунари су део домена – административне целине. Поред
тога што омогућава централизовану аутентификацију корисника Windows домен представља
и директоријумски сервис, у коме су корисници, рачунари и други објекти логички
организовани у хијерархију организационих јединица (директоријума). Ово омогућава
централизовану администрацију у Windows мрежи.
Активни директоријум може се инсталирати на свим верзијама Windows Server
оперативног система, као што су Windows Server 2000, Windows Server 2003, Windows Server
2008 и Windows Server 2012.
Слика 1.3: Хијерархија организационих јединица
1 Lightweight Directory Access Protocol

2 Directory entries
4
Корисник који жели да користи рачунаре и сервисе у оваквој мрежи мора да има
кориснички налог у Активном директоријуму. Са само једним налогом овај корисник може да
користи све рачунаре у домену као и све сервисе који су интегрисани са активним
директоријумом.
Дакле, унутар Windows домена, административне целине, постоји хијерархија објеката
(корисници, рачунари, и сл.) који имају своје атрибуте и представљају кориснике и ресурсе у
мрежи. Уколико је Windows мрежа веома велика ради лакше администрације могуће је
направити и више домена, који се такође хијерархијски организују у стабло активног
директоријума. Уколико је и оваква организација премала за потребе мреже, могуће је
направити шуму активног директоријума, која се састоји од неколико стабала активног
директоријума. На слици 1.3 приказан је пример организације једног активног директоријума
са истакнутом хијерархијом.
1.7 Провера идентитета корисника у рачунарској мрежи - вежба

Активност 1.7.1: Креирање Windows домена инсталацијом активног директоријума
Активни директоријум се инсталира тако што један Windows сервер конфигуришемо
као домен контролер, чиме се креира домен у који се могу учланити остали рачунари у
мрежи. Пре инсталације активног директоријума неопходно је инсталирати Windows
Server оперативни система (у овом приручнику биће коришћен Windows Server 2012).
Статички конфигурисана IP адреса мрежног интерфејса је основни услов који сервер
мора да испуни да би на њему могао инсталирати активни директоријум и прогласити га
за домен контролер. Осим тога у мрежи мора да постоји и DNS1 систем за
разрешавање имена. У Windows мрежама потреба за DNS сервером најчешће се
решава тако што се DNS сервис инсталира на самом домен контролеру током
инсталације активног директоријума.
У оквиру ових вежби биће коришћен Windows Server 2012 оперативни систем (у даљем
тексту WS2012). Приликом пријављивања на овај оперативни систем са администраторским
налогом, отвара се главна конзола под именом Server Manager, која олакшавa приступ
подешавањима везаним за сам сервер. У случају да сервер менаџер није приказан, могуће
га је отворити притиском (кликом) на иконицу као што је то приказано на слици 1.4.
Слика 1.4: Покретање конзоле Server Manager
Подешавање статичке IP адресе

IP адресa мрежног адаптера подешава се у оквиру својстава за тај мрежни адаптер.
Мрежним адаптерима најлакше се може приступити кроз “Server Manager”, избором
опције “Local Server“ са леве стране, а затим притиском на линк који стоји уз ставку
“Ethernet“ (слика 1.5).
1 Domain Name System
5
Слика 1.5: Приступ подешавањима мрежног адаптера

У новом прозору биће приказани сви доступни интерфејси. У случају да сервер има више
мрежних адаптера неопходно је прво утврдити ком адаптеру треба доделиti IP адресу.
Притиснути десним дугметом миша по жељеном адаптеру и изабрати опцију “Properties“
(слика 1.6).
Слика 1.6: Својства мрежног адаптера

У својствима мрежног адаптера изабрати “Internet protocol (TCP/IP) version 4“ а затим
опцију “Properties“. Овај адаптер је до сада IP адресу добијао аутоматски. Пре инсталације
активног директоријума треба одабрати статичко подешавање мрежне адресе сервера
(слика 1.7) и унети следеће параметре:
 IP адреса: 192.168.1.10;
 маска подмреже: 255.255.255.0;
 подразумевани мрежни пролаз (Default gateway): тренутно се не попуњава;
 адреса DNS сервера: 192.168.1.10, током инсталације активног директоријума биће
инсталиран и DNS сервис на серверу.
6
Слика 1.7: Подешавање статичке адресе
Промена имена серверa

Приликом инсталације WS2012 оперативног система сам процес инсталације серверу
додељује генеричко име. Име сервера је од велике важности јер се често у раду у мрежи
референцирамо на то име (како администратори тако и корисници), па је неопходно да ово
име буде логично. У оквиру WS2012 име рачунара, односно сервера, можемо видети у
сервер менаџеру и то избором опције “Local Server“ са леве стране, а затим лоцирањем
ставке “Computer Name“ као што је то приказано на слици 1.8.
Слика 1.8: Провера имена сервера

Име сервера променићемо у DC1, које ће указивати на то да је у питању домен
контролер. Како би променили име притиснућемо на тренутно име сервера у оквиру
систем менаџера, при чему ће бити отворен прозор “System Properties“. Затим у оквиру
овог прозора треба лоцирати ставку “To rename this computer…“ и притиснути дугме
“Change“. Појавиће се прозор у оквиру кога, унутар поља “Computer Name“ треба унети
ново име – DC1, а затим измену потврдити притиском на дугме “OК“ (слика 1.9). Да би
измена била примењена сервер је неопходно поново покренути (рестартовати), што ће
бити понуђено приликом затварања прозора “System Properties“ притиском на дугме
“Close“.
7
Слика 1.9: Промена имена сервера
Инсталација директоријумских сервиса и активног директоријума

WS2012 може имати различите улоге као што су домен контролер, DNS сервер, веб
сервер... Стога је неопходно прво омогућити улогу коју желимо. У оквиру ове вежбе циљ нам
је да један сервер прогласимо за домен контролер. Ово се постиже кроз два корака. Први
корак је инсталирање неопходних директоријумских сервиса (Active Directory Domain Services
– ADDS), а други је промоција сервера у домен контролер.
I Инсталација директоријумских сервиса. Пре промоције сервера у домен контролер

неопходно је да инсталирамо директоријумске сервисе. Процес додавања ADDS
улоге започињемо из сервер менаџера одабиром опције “Add Roles and Features“
која се налази у оквиру ставке “Dashboard“ (слика 1.10). Избором ове опције покреће
се чаробњак у оквиру кога ћемо изабрати ADDS улогу.
Слика 1.10: Покретање чаробњака за инсталацију активног директоријума

На почетку чаробњак даје информације о процесу додавања улогa1 и функција2 где
треба притиснути дугме “Next“. У оквиру следећег корака треба изабрати “Role-based or
Feature-based Installation“ и притиснути дугме “Next“ (слика 1.11).
1 Roles
2 Features
8
Слика 1.11: Инсталација улоге или функције за WS2012 сервер

Следећи корак је избор на који сервер желимо да додамо улогу или функцију. Како је ово
први сервер који конфигуришемо, он ће бити и подразумевано селектован (слика 1.12).
Притиснути дугме “Next“.
Слика 1.12: Избор сервера

У оквиру следећег корака потребно је обележити улогу коју желимо да доделимо серверу,
а то је “Active Directory Domain Services“. Приликом избора ове улоге биће отворен нови
прозор у коме се наводи које све функционалности треба да се додају како би ADDS улога
била додељена серверу. Потврдити додавање функционалности притиском на дугме “Add
Features“ (слика 1.13), а затим у главном прозору чаробњака притиснути “Next“.
Слика 1.13: Додавање неопходних функционалности
9
Следећи корак администратору даје могућност да дода и додатне функционалности,

независно од инсталације директоријумског сервиса. Како нам додатне функционалности
нису потребне притиснути “Next“. Следи кратак опис изабране улоге да бисмо наставили
потребно је поново притиснути “Next“. У оквиру последњег корака чаробњака неопходно је
потврдити измене које ће бити урађене на серверу. Како је неопходно рестартовати сервер,
чаробњак нуди опцију да се то аутоматски обави по завршетку додавања ADDS улоге. Ову
опцију треба изабрати, а затим и потврдити са “Yes“ (слика 1.14). По повратку у главни
прозор притиснјути “Install“. Овим отпочиње додавање изабране улоге и овај процес може
потрајати и неколико минута.
II Промовисање сервера у домен контролер. По завршеном поступку додавања ADDS
улоге неопходно је промовисати сервер у домен контролер. Најлакши начин да се то
уради је кроз систем менаџер као што је приказано на слици 1.15, избором опције
“Promote this server to a domain controller“ у оквиру одељка “Post-deployment Configuration“.
По избору ове опције отпочиње чаробњак за промоцију домен контролера.
Слика 1.14: Потврда инсталације улоге
Слика 1.15: Промовисање сервера у домен контролер

Први корак чаробњака нам дозвољава да одлучимо да ли желимо да овај сервер
прогласимо за домен контролер у постојећем домену, да оформимо нови поддомен у склопу
постојећег домена или да креирамо потпуно нови домен. Како немамо на располагању друге
домене креираћемо нови домен у новој шуми избором опције “Add a new forest“ (слика 1.16).
Поред тога неопходно је да наведемо име домена које ће бити коришћено и то у форми
10
потпуно квалификованог имена домена (FQDN1). Овде је неопходно обратити пажњу

приликом избора. У случају да будући домен мора бити доступан корисницима са Интернета
неопходно је прво регистровати име домена у глобалном DNS систему (посредством
даваоца интернет услуге). Ако правимо домен искључиво за интерну употребу онда се овде
може ставити име по избору. У нашем случају домен је за интерну употребу и имаће име
“lab.edu.rs“. Притиснути дугме “Next“.
Слика 1.16: Креирање новог домена

Следећи корак је избор додатних опција за домен контролер. Прво треба изабрати ниво
функционалности новокреиране шуме. Како постоји више верзија Windows Servera, а самим
тим и различите функције које они нуде (Windows Server 2012 поседује функције које не
поседују Windows Server 2008, 2003 и 2000), неопходно је нагласити који ниво
функционалности желимо да применимо. Ово подешавање је од суштинског значаја у смислу
компатибилности са ранијим верзијама Windows Servera. Ако у мрежи постоје Windows Server
2003 или 2008 који имају улогу домен контролера, онда је неопходно нагласити овом
Windows Serveru да снизи ниво функционалности како би се прилагодио постојећем
окружењу. Пошто је ово први домен контролер кога подижемо ставићемо ниво
функционалности шуме на ниво Windows Server 2012 (слика 1.17). Приликом овог избора
неопходна је велика опрезност, јер се ниво функционалности не може накнадно снизити.
Следећа опција у низу је избор додатних функција које домен контролер треба да има.
Као што се види на слици 1.17 аутоматски су обележене функције DNS и Global Catalog, при
чему чаробњак не даје могућност да их деселектујемо из простог разлога што без ових
функција нови домен контролер, који треба да опслужује новокреирани домен, не би могао
да функционише.
Како је домен контролер централизована тачка преко које се врши администрација целог
домена, он представља и критичну компоненту. Добра администрација подразумева редовно
прављење резервне копије активног директоријума, која ће бити искоришћена у случају
отказивања рада домен контролера, при чему у кратком временском року можемо подићи
домен контролер и применити резервну копију. Пошто је могућност враћања резервне копије
у функционално стање јако велики безбедносни ризик (нападач може доћи до копије,
изменити је и поставити на домен контролер), уводи се тзв. Restore Mode лозинка која ће
бити тражена да се унесе приликом рестаурације резервне копије активног директоријума.
Ова лозинка мора припадати групи сигурних лозинки (мора да поседује бар 3 групе карактера
од укупно 4, и да буде дужине минимум 8 карактера) (слика 1.17). Препорука је да ова
лозинка нема сличности са администраторском лозинком, како се не би десило да
компромитацијом администраторског налога нападач има и шифру за рестаурацију активног
директоријума. За потребе вежби ставићемо да је лозинка “Password2“. Неопходно је
1 Fully qualified domain name
11
напоменути да се у реалном систему мора користити сложенија и не тако очигледна лозинка

(слика 1.17). Притиснути дугме “Next“.
Слика 1.17: Подешавање опција домен контролера

У оквиру следећег корака сервер нас упозорава да не може да контактира DNS сервер за
домен “.edu.rs“, како би га обавестио о увођењу новог поддомена под именом lab. Ово
упозорење треба игнорисати, узимајући у обзир да смо име произвољно изабрали при чему
нисмо регистровали домен “lab.edu.rs“ (слика 1.18). Притиснути дугме “Next“.
Слика 1.18: Упозорење

Следећи корак у промоцији домен контролера представља дефинисање “NetBios“ имена.
Препорука је да “NetBios“ име буде исто као и сасвим леви део имена домена, што је у
нашем случају “lab“, што ће чаробњак и понудити. Притиснути дугме “Next“.
Администратор је у могућности да изабере где ће бити креирана база података коју
користи активни директоријум, као и дељени директоријум који ће бити коришћен у
комуникацији са другим домен контролерима. У случају да је на располагању складишни
простор високих перформанси, високе редундантности и безбедности, база података може
се сместити на исти. У нашем случају остављамо подразумевана подешавања која се тичу
системских фајлова активног директоријума (слика 1.19). Притиснути дугме “Next“.
Слика 1.19: Избор локације где ће бити смештени системски фајлови aктивног директоријума
12
Пре почетка промоције сервера у домен контролер администратор има могућност да

прегледа све опције које је дефинисао у чаробњаку за промоцију. Ако су све опције правилно
дефинисане треба притиснути дугме “Next“ које води до последњег корака у оквиру овог
чаробњака, где се проверава да ли су сви предуслови за промоцију испуњени. У случају да
чаробњак у овом кораку пријави грешке о неиспуњености предуслова неопходно их је
обезбедити како би сервер био промовисан у домен контролер. На слици 1.20 приказан је
овај корак где је чаробњак утврдио да су сви предуслови испуњени. Притиском на дугме
Install отпочиње процес промоције домен контролера, након чега ће сервер бити аутоматски
рестартован.
Слика 1.20: Провера да ли су сви предуслови испуњени и почетак промоције
Активност 1.7.2: Покретање алатке за администрацију aктивног директоријума

Главни алат за администрацију објеката aктивног директоријума (корисници, групе,
рачунари ...) зове се “Active Directory Users and Computers“. Овај алат можемо покренути из
сервер менаџера избором менија “Tools“ у горњем десном углу, а затим ставке “Active
Directory Users and Computers“ (слика 1.21).
Слика 1.21: Алатка за администрацију активног директоријума
13
Слика 1.22: Изглед инсталираног активног директоријума

1. Уколико притиснемо на + поред иконице која представља наш домен, можемо
видети хијерархију организационих јединица у којима се налазе објекти активног
директоријума. Приказане организационе јединице аутоматски су креиране како би
се организовали аутоматски креирани објекти. Од администратора домена очекује
се да креира сопствену хијерархију организационих јединица. У левом пољу треба
одабрати организациону јединицу “Users“, како би нам се у десном пољу приказао
њен садржај. Ово је подразумевана (не и обавезна) организациона јединица за
корисничке налоге. У току вежби кориснички налози биће креирани у неким другим
организационим јединицама.
2. У десном пољу уочити корисника “administrator“. То је аутоматски креиран објекат
који представља администратора домена. Овај налог је креиран на основу
администраторског налога који је покренуо промоцију домен контролера, односно
инсталацију активног директоријума. Овај објекат, као и сви остали објекти активног
директоријума има своје атрибуте. Можемо их видети двоструким притиском на
иконицу објекта “administrator“.
3. Погледати, без измена, атрибуте које има корисник администратор. Затворитити
прозор са атрибутима корисника.
4. У левом пољу изабрати организациону јединицу “Domain Controlers“. У десном пољу
двоструким притиском изабрати објекат који представља домен контролер.
Погледати својства овог објекта.
Активност 1.7.3: Креирање објеката aктивног директоријума - организациона

јединица
Активни директоријум је хијерархијска база, што значи да сваки објекат има своју локацију
у хијерархији, место где се налази. Пре него што креирамо неки објекат најпре треба
изабрати локацију где објекат желимо да креирамо.
У овој активности креираћемо објекат организациона јединица. Креираћемо сопствену
хијерархију организационих јединица унутар које ћемо креирати кориснике aктивног
директоријума.
14
Претпоставићемо да креирамо хијерархију организационих јединица за предузеће које

има две локације: Београд и Нови Сад. Даље, претпоставићемо да на свакој локацији постоје
одељења: Развој, Маркетинг и Администрација (слика 1.23).
Слика 1.23: Хијерархијска организација предузећа

Направићемо хијерархију организационих јединица која осликава овакво стање како
бисмо кориснике које касније креирамо логички организовали:
1. У левом пољу алатке “Active Directory Users and Computers“ изабрати иконицу која
представља домен, притиснути десно дугме миша и изабрати “New→Organizational
Unit“ (слика 1.24):
Слика 1.24: Креирање организационе јединице

2. У прозор за креирање организационе једнице треба унети назив. У току вежби
унети “Beograd“, а затим притиснути на “OK“. Оставити обележену опцију “Protect
container from accidental deletion“ (слика 1.25).
15
Слика 1.25: Задавање имена нове организационе јединице

1. У следећем кораку унутар организационе јединице “Beograd“ креираћемо нову
организациону јединицу под именом “Razvoj“. Најпре у левом пољу изабрати
организациону јединицу “Beograd“, притиснути десно дугме миша и изабрати
“New→Organizational Unit“. Унети “Razvoj“ као име нове организационе јединице и
притиснути “OK“.
2. На исти начин унутар организационе јединице “Beograd“ креирати још две
организационе јединице: “Administracija“ и “Marketing“.
3. У левом пољу алатке “Active Directory Users and Computers“, изабрати иконицу која
представља домен, притиснути десно дугме миша и изабрати “New→Organizational
Unit“. Креирати организациону јединицу “Novi Sad“.
4. У левом пољу изабрати организациону јединицу “Novi Sad“, притиснути десно дугме
миша и изабрати “New→Organizational Unit“. Унети “Razvoj“ као име нове
организационе јединице и притиснути “OK“.
5. На исти начин унутар организационе јединице “Novi Sad“ креирати још две
организационе јединице: “Administracija“ и “Marketing“.
Активност 1.7.4: Креирање корисничких налога

Да би неки корисник могао да се пријави на рачунар који је у домену, мора имати
доменски кориснички налог. Ови налози креирају се oдговарајућом алатком. Објекти који
представљају кориснике креирају се унутар одговарајућих организационих јединица, али се
касније, уколико је потребно, могу премештати у друге организационе јединице. Сваком
корисничком налогу додељенa је вредност за сигурносни идентификатор “Security Identifier -
SID“. Оперативни систем кориснике разликује по овој вредности а не по корисничком имену.
То значи да кориснички налог можемо безбедно да преименујемо, јер се тиме не мења SID,
оперативни систем ће препознати да се ради о старом кориснику са новим именом.
Кориснички налог може се и копирати. Тиме се креира нови налог, при чему се већина
подешавања ископира из подешавања старог налога.
1. У левом пољу алатке “Active Directory Users and Computers“ отворити организациону
јединицу “Beograd“. Изабрати организациону јединицу “Razvoj“, притиснути десно
дугме миша и изабрати опцију “New→User“ (слика 1.26):
16
Слика 1.26: Креирање налога за корисника

2. У новом дијалог прозору треба унети име, презиме као и корисничко име за овог
корисника. У овом примеру креираћемо налог за особу која се зове “Vesna
Jankovic“, са корисничким именом “vjankovic“ (слика 1.26).
Слика 1.27: Атрибути корисничког налога

Корисничко име (vjankovic@lab.edu.rs) мора бити једиствено у домену и заједно са
суфиксом (@lab.edu.rs) може бити дугачко 254 карактера. За пријављивање са
старијих оперативних система, као и због навике корисника да користе таква имена,
као атрибут корисника постоји и кратко (pre-Windows 2000) корисничко име које
може бити дугачко до 20 карактера. Најбоље је када су оба имена иста. Након ових
подешавања, притиснути дугме “Next“.
3. У новом дијалог прозору треба унети лозинку за корисника. Због веће безбедности
захтева се да лозинке буду сложене, односно да се састоје од најмање 8 карактера,
међу којима треба да се налазе бар 3 елемента из 4 скупа: мала слова, велика
слова, цифре и специјални знаци (нпр.*,?). У оквиру вежби унећемо као лозинку
“Password2“, јер овај низ карактера има и мала и велика слова као и цифре. Исту
вредност треба и потврдити у пољу “Confirm Password“.
17
Слика 1.28: Подешавање иницијалне лозинке

У подразумеваном стању изабрана је опција “User must change password at next
login“, што значи да ће корисник само за прво пријављивање користити задату
лозинку, а тада ће бити приморан да је промени у неку другу, само њему познату.
Ово је користан механизам, али у току вежби нећемо га користити, па стога ову
опцију треба искључити.
У подразумеваном стању лозинке корисника застаревају, и корисници су
приморани да их мењају свака 42 дана. Опција “Password Never Expires“ овај налог
изузима од таквог понашања. Ово се користи за посебне налоге, као што су налози
под којима раде серверске апликације. Опција “User Cannot Change Password“
користи се уколико овај налог користи више особа, и забрањује кориснику да
промени лозинку. Пошто смо унели лозинку и искључили опцију “User must change
password at nex login“, притискамо дугме “Next“ а затим “Finish“ и тиме креирамо
нови налог.
1. У десном пољу уочити новокреирани налог и двоструким притиском по његовој
иконици погледати атрибуте корисничког налога. Неки атрибути се користе за
посебне сервисе који би могли да постоје у мрежи. Већина атрибута се користи за
документовање ресурса. На пример у картици “General“ постоји атрибут
“Description“, који ћемо попунити како бисмо олакшали претраживање активног
директоријума. За овај кориснички налог атрибут “Description“ треба да буде
“Programer“.
18
Слика 1.29: Атрибути корисника

1. На исти начин у организационој јединици “Beograd/Marketing“ креирати кориснички
налог за особу која се зове “Janko Petrovic“, са корисничким именом “jpetrovic“,
лозинком “Password2“, и описом (атрибут Description) “Dizajner“.
2. На исти начин у организационој јединици “Beograd/Administracija“ креирати
кориснички налог за особу која се зове “Marko Jankovic“, са корисничким именом
“mjankovic“, лозинком “Password2“, и описом (атрибут Description) “Sluzbenik“.
3. Креираћемо и два налога у организационим јединицама које представљају
одељења у “Novom Sadu“. У организационој јединици “Novi Sad/Razvoj“ креирати
налог за особу која се зове “Zvonko Petrovic“, са корисничким именом “zpetrovic“,
лозинком “Password2“ и описом “Programer“.
4. У организационој јединици “Novi Sad/Marketing“ креирати налог за особу која се зове
“Dragana Matic“, са корисничким именом “dmatic“, лозинком “Password2“ и описом
“Dizajner“.
Активност 1.7.5: Измена атрибута корисничких налога

Уочити корисника “Marka Jankovica“ у организационој јединици “Beograd/Administracija“ и
двоструким притиском погледати његове атрибуте. Затим треба изабрати картицу “Account“.
Уочити да се у овој картици налазе атрибути који се тичу лозинке. Ове атрибуте подешавали
смо током креирања налога.
У наставку вежбе подесићемо дозвољено време за пријављивање. Како би се смањила
могућност злоупотребе туђих налога (у време у коме дати корисник сигурно није присутан),
може се ограничити време у коме је дозвољено употребљавати налог овог корисника. Треба
притиснути дугме “Logon Hours...“ (слике 1.30 и 1.31).
19
Слика 1.30: Подешавање временског опсега када је пријављивање могуће
Слика 1.31: Дозвољено време употребе налога

Нови дијалог прозор представља матрицу: врсте су дани у недељи, колоне су сати у дану.
Ћелија плаве боје означава да је пријављивање у том временском периоду дозвољено.
Најпре ћемо изабрати опцију “Logon Denied“ (са десне стране), а затим селектовати само
ћелије које представљају период од понедељка до петка, од 8:00 до 16:00, и затим изабрати
опцију “Logon Permited“. Затим притиснути на “OK“, па затим још једном на “ОК“.
Активност 1.7.6: Копирање и премештање корисничких налога

Копирање корисничких налога користи се како би се креирао нови кориснички налог који
има иста подешавања као неки већ раније креиран налог. У овом примеру креираћемо налог
у организационој јединици “Novi Sad/Administracija“, који има иста подешавања за време
пријављивања као већ подешен налог за “Marka Jankoviсa“.
1. Уочити кориснички налог за “Marka Jankovica“, притиснути десним тастером миша
по његовој иконици и изабрати опцију “Copy“.
2. Отвара се дијалог прозор “Copy Object“, који изгледа исто као и дијалог прозор који
се користи за креирање корисничких налога. У овом примеру потребно је унети
“Petar Markovic“ као име и презиме и “pmarkovic“ као корисничко име. Притиснути
дугме “Next“.
3. У новом дијалог прозору треба унети лозинку за нови налог који ће настати
копирањем постојећег (лозинка се не копира). Као лозинку унети “Password2“ и ту
вредност и потврдити. Уочити да овај пут није изабрана опција “User must change
password at next login“. Вредност овог атрибута је ископирана из постојећег налога.
Притиснути дугме “Next“, а затим на “Finish“.
4. Двоструким притиском на иконицу налога за “Petar Markovic“ погледаћемо његове
атрибуте. Изабрати картицу “Account“, а затим “Logon Hours“. Уочити да је вредност
20
овог атрибута ископирана из оригиналног објекта. Исто важи и за неке друге важне
атрибуте које до сада нисмо користили. Копирање постојећег корисничког налога је
брз начин за креирање прилагођеног корисничког налога.
5. Изабрати картицу “General“. Уочити да се атрибут “Description“ није ископирао.
Накнадно ћемо унети опис “Sluzbenik“. Притиснути дугме “ОК“.
6. Сада је налог за корисника “Petra Markovica“ креиран, али се не налази на правом
месту. Налог за овог корисника треба преместити у организациону јединицу “Novi
Sad/Administracija“. Притиснути десним тастером миша по иконици овог корисника и
изабрати опцију “Move“. У новом дијалог прозору изабрати долазну организациону
јединицу (“Novi Sad/Administracija“) и притиснути дугме “ОК“. Уколико су и полазна и
долазна организациона јединица у видном пољу операција премештања може се
извршити и једноставним превлачењем објекта у нову организациону јединицу.
Активност 1.7.7: Учлањивање радне станице у домен

У наставку вежбе потребно је клијентску радну станицу (Windows 7) учланити у
новокреирани домен. Претходно је неопходно подесити IP адресу и остале параметре како
би клијент и сервер могли несметано да комуницирају преко мреже. До подешавања на
радној станици долазимо на сличан начин као и на серверу (“Start→Control Panel→Network
Connections→Local Area Connection, Properties, Internet Protocol (TCP/IP) version 4“,
Properties). Подешавања на клијенту треба да буду:
1. IP address: 192.168.1.100;
2. Subnet mask: 255.255.255.0;
3. Default Gateway: остављамо непопуњено;
4. Preferred DNS server: 192.168.1.10;
5. Alternate DNS server: остављамо непопуњено;
6. Притиснемо дугме “ОК“.
Проверићемо доступност сервера са стране клијента. Отворићемо командни прозор:
“Start→Run“, укуцати “cmd“ а затим притиснути “OK“. У командном прозору унети:
“ping dc1.lab.edu.rs“
Уколико добијемо одговор од сервера можемо сматрати да мрежа између сервера и
клијента функционише, и можемо прећи на следећи корак.
Неопходно је променити и име рачунара у “klijent1“ на следећи начин:
1. На клијентској радној станици отворити “Start→Control Panel→System“.
2. Изабрати картицу “Computer Name“, притиснути дугме “Change“.
3. У секцији “Computer name“ (горе) уписати “klijent1“. Притиснути дугме “ОК“.
4. Поново укључити (рестартовати) рачунар.
Када се рачунар поново укључи неопходно га је придружити у домен који смо претходно
креирали. Придруживањем станице домену успостављамо релацију поверења између радне
станице и домен контролера чиме постижемо да радна станица прихвата кориснике који
имају доменске корисничке налоге. Придруживање домену обавља се на следећи начин:
1. На клијентској радној станици отворити “Start→Control Panel→System“.
2. Изабрати картицу “Computer Name“, притиснути дугме “Change“.
21
3. У секцији “Member of“ (доле) изабрати “Domain“, и у одговарајућем пољу унети име
домена у који учлањујемо радну “lab.edu.rs“. Притиснути дугме “ОК“.
4. Учлањивањем станице у домен у активном директоријуму креира се налог за
рачунар. Потребно је имати одговарајуће привилегије, налог за администратора
домена. У новом дијалог прозору треба унети “Administrator“ као корисничко име, и
“Password“ као лозинку, јер је то налог за администратора домена. Притиснути
дугме “ОК“.
5. После добијања поздравног дијалог прозора, притиснути на “ОК“ и прихватити
поновно покретање рачунара.
Када се клијентска станица покрене треба уочити да се у прозору за пријаву, у пољу
“Logon To“ може изабрати пријављивање на локални рачунар или домен. Потребно је
изабрати пријављивање на домен. Проверићемо да ли је раније креирани доменски налог за
Звонка Петровића функционалан. У пољу “Username“ треба унети “zpetrovic“, у пољу
“Password“ треба унети “Password2“ и притиснути дугме “ОК“.
У наставку вежбе треба проверити како се учлањивање радне станице одражава на
активни директоријум. На серверу, у алатки “Active Directory Users and Computer“, отворити
организациону јединицу “Computers“ и уочити иконицу која представља клијентску радну
станицу. Преместити (превлачењем) овај објекат у организациону јединицу “Beograd“.
1.8 Питања и задаци

1. Како се зове модел организовања рачунара у којем не постоји централизована
администрација а како модел у којем је администрација централизована?
2. Који је комерцијални назив за Microsoft имплементацију директоријумских сервиса?
3. Коју улогу је неопходно доделити серверу да би смо на њему инсталирали aктивни
директоријум?
4. Како се зове алатка за администрацију aктивног директоријума?
5. Набројте неке од објеката у оквиру aктивног директоријума?
22
II ВЕЖБА
ПРЕТРАЖИВАЊЕ АКТИВНОГ ДИРЕКТОРИЈУМА И

АДМИНИСТРАЦИЈА ГРУПНИХ НАЛОГА
Циљ вежбе је да се студенти упознају са основним принципима администрације

активног директоријума који укључују претраживање активног директоријума и
администрацију корисничких и групних налога. У практичном делу вежбе биће
реализован сценарио организовања корисничких налога у групе и додела права
групама да би се дистрибуирала корисницима.
2. Претраживање активног директоријума и администрација

групних налога
2.1 Претраживање активног директоријума
Директоријумски сервиси (услуге) садрже много више атрибута о корисницима и другим
објектима него што је минимално потребно за аутентификацију корисника. Неки од тих
атрибута неопходни су за специфичне сервисе у мрежи, док су други намењени за
документовање објеката који се чувају у директоријумској бази.
На пример, објекат корисник има атрибуте: опис, веб страница, поштанска адреса,
канцеларија и слично. Пошто аутентификација корисника функционише и ако ови атрибути
нису унети, пожељно је неке од ових необавезних атрибута унети како би се објекти могли
пронаћи претаживањем активног директоријума по неком од атрибута.
Када активни директоријум садржи десетак објеката претраживање је обично излишно,
али када се ради са активним директоријумом који садржи хиљаде објеката, претраживање
(уместо тражења по организационим јединицама) обично је једини могући начин рада.
Обични корисници могу претраживати активни директоријум, али у овој вежби показаћемо
претраживање из алатке “Active Directory Users and Computers“. Познавање претраживања
активног директоријума биће од велике користи у процесу учлањавања корисничких налога у
групе.
2.2 Групни налози

Поред налога за кориснике у току свакодневне администрације мреже веома много се
користе и групни налози. Групе представљају скуп корисничких налога и олакшавају
администрацију у ситуацијама када се право на употребу неког ресурса (дељеног
директоријума, сервиса и сл.) треба доделити већем броју корисника (слика 2.1).
Слика 2.1: Додељивање права приступа корисницима

Овакве задатке много је једноставније решити уколико су корисници организовани у групе
(слика 2.2). Тада се одређено право додаје само једном, и то групи корисника. Тако
додељено право могу да користе сви корисници који су чланови групе.
24
II ВЕЖБА | Претраживање активног директоријума и администрација групних налога
Слика 2.2: Додељивање права употребом група

У неком каснијем тренутку, уколико неки нови корисник треба да има исто право, довољно
га је учланити у групу која има потребна права.
2.2.1 Различите врсте група

Основна идеја употребе група даље је разрађена у оквиру администрације активног
директоријума. Активни директоријум познаје неколико врста група које се користе за
различите намене. Међу најважнијим типовима група поменућемо доменске локалне и
глобалне групе. Осим тога могуће је и тзв. угњежђивање група, односно, под одређеним
условима група се може учланити у другу групу. У активном директоријуму постоје два типа
група и то:
 сигурносне групе и
 дистрибуционе групе.
Дистрибуционе групе уско су повезане са системима за размену електронске поште и
сврха њиховог постојања управоје дистрибуција е-поште (мејлова) члановима групе.
Сигурносне групе чешће су коришћен врста (тип) у свакодневној администрацији јер се
помоћу њих организују корисници са циљем додељивања права корисницима. Сигурносне
групе даље се деле у зависности од области у којој важе и могућим члановима. Дефинисана
су три различита типа сигурносних група и то:
 доменске локалне групе,
 глобалне групе и
 универзалне групе.
Да бисмо боље разумели разлике између различитих типова сигурносних група,
подсетимо се да активни директоријум омогућава да се у великим мрежама креира читава
хијерархија домена односно (административних целина) у стабло активног директоријума. У
таквим мрежама могућа је да се кориснички налог налази у једном домену, група у другом
домену, а неки дељени ресурс у трећем домену.
Различити типови сигурносних група разликују се по области у којој важе. Постављају се
следећа питања:
 Да ли је групи из једног домена могуће дати право над дељеним ресурсом у
другом домену?
25
 Да ли је у групу која се налази у једном домену могуће учланити корисника из

другог домена?
Потпуни преглед области у којој групе важе (област важења) и могућег чланства за сва
три типа сигурносних група дат је у табели 2.1. Универзалне групе превазилазе оквир овог
курса.
Област у којој Могуће дозволе
Могући чланови
групе важе (чланство)
 Кориснички налози из било ког домена у оквиру шуме у
оквиру које постоји дата универзална група
 Глобалне групе из било ког домена у оквиру шуме у
Универзална група Било где у оквиру шуме
 Универзална група из било ког домена у оквиру шуме у
 Кориснички налози из истог домена у коме се налази и
дата глобална група
Глобална група Било где у оквиру шуме
 Глобалне групе из истог домена у коме се налази дата
глобална група
 Кориснички налози из било ког домена
 Глобалне групе из било ког домена Само у оквиру домена у
Доменска локална
 Универзалне групе из било ког домена коме постоји доменска
група
 Доменске локалне групе из домена у оквиру кога постоји локална група
дата доменска локална група
Табела 2.1: Преглед области важења и могућег чланства сигурносних група
2.2.2 Доменске локалне групе

Доменске локалне групе имају тај назив (локалне) јер им је област важења локални домен
у коме су креиране. Дакле, није могуће доделити им право над ресурсом у другом домену.
Иако су ограничене у овом погледу, нису ограничене у другом: могуће чланство. Ове групе
могу имати чланове из другог домена:
Слика 2.3: Област важење и чланство локалних група
26
2.2.3 Глобалне групе

Глобалне групе су добиле назив (глобалне) пошто је њихова област у којој групе важе
глобална. Могу им се доделити права да су видљиве и у другим доменима читавог активног
директоријума. С друге стране глобалне групе имају ограничење везано за чланство. У
глобалне групе креиране у једном домену могуће је учланити само кориснике који се налазе у
истом домену (слика 2.4).
Слика 2.4: Област важење и чланство глобалних група
2.2.4 Комбиновање доменских локалних и глобалних група

У свакодневној администрацији локалне и глобалне групе се комбинују, чиме се
превазилазе ограничења која имају. За разумевање начина на који се ове две врсте (типа)
група могу комбиновати, потребно је подсетити се да активни директоријум омогућава
угњежђивање група (под одређеним условима). На пример, глобалне групе могу се учланити
у локалне групе.
Ако се ради унутар само једног домена, могући су разни начини употребе група, али
уредан и препоручен начин употребе налаже да се глобалне и локалне групе користе за
сасвим различите намене.
2.2.5 Употреба глобалних група

Препоручује се да се глобалне групе користе искључиво за организовање корисника,
према функцији на послу, локацији или слично. На вежбама име глобалне групе увек ће
асоцирати на тип корисника који су у њу учлањени, на пример: “Dizajneri“, “Programeri“,
“KorisniciBeograd“ и слично. Препоручује се да се глобалним групама никада не додељују
права директно (него посредно, што ће касније бити показано).
Глобалне групе користе се за организовање корисника у домену и треба избегавати да се
тим групама директно додељују права.
2.2.6 Употреба доменских локалних група

Препоручује се да се доменске локалне групе користе за додељивање права над неким
дељеним ресурсом. На вежбама име локалне групе увек ће асоцирати на ресурс над којим
локална група има право. На пример: “LaserskiStampac“, “ProjektnaDokumentacija“ и слично.
27
Препоручује се да се у доменске локалне групе никада не учлањују појединачни корисници

директно већ посредно, што ће бити касније и показано.
Доменске локалне групе користе се за додељивање права над неким ресурсом.
Препорука је да чланови доменских локалних група буду доменске глобалне групе.
2.2.7 Учлањивање глобалних група у локалне

Комбиновање локалних и глобалних група постиже се учлањивањем глобалних група у
локалне (слика 2.5).
Слика 2.5: Комбиновање глобалних и локалних група

На пример, уколико сви корисници који раде као дизајнери треба да имају права да
штампају на дељеном мрежном штампачу, то се не ради тако што се корисници dmatic и
кориснику jpetrovic сваком појединачно доделе права. Уместо тога поступак би био следећи:
1. Сви корисници који раде као дизајнери треба да буду учлањени у глобалну групу
“Dizajneri“ Подсетимо се да се глобалне групе користе за организовање корисника у
домену према функцији на послу.
2. За потребе контроле приступа штампачу креира се локална група “Stampac“. Овој
групи се доделе права над дељеним мрежним штампачем. Подсетимо се да се
локалне групе користе за додељивање права.
3. Како би дизајнери могли да штампају, потребно је глобалну групу “Dizajneri“
учланити у локалну групу “Stampac“.
Или на други начин објашњено:
Корисници се учлањују у глобалне групе; глобалне групе се учлањују у доменске локалне
групе; локалним групама додељују се права.
Примери предности оваквог начина рада били би:
 Уколико се у неком каснијем тренутку појави нови корисник који ради као дизајнер
није потребно подсећати се која права над ресурсима би он требало да има.
Довољно је корисника учланити у одговарајућу групу, заједно са осталим
корисницима тог типа, па ће посредством чланства у групи и овај корисник имати
сва права као и његове колеге.
 Уколико се у неком каснијем тренутку појави потреба да нека додатна група
корисника користи исти ресурс (на пример и програмери треба да штампају), није
потребно подсећати се која то права омогућавају корисницима да успешно
28
користе ресурс. Довољно је и ту нову глобалну групу (Programeri) учланити у

локалну групу која има довољна права.
 На вежбама се ради у оквиру једног домена. Уколико би се радило у већој мрежи
не би било проблема да “Dizajneri“ из једног домена користе штампач у другом
домену, јер локална група “Stampac“, у истом домену као и мрежни штампач,
дозвољава чланове из других домена.
2.3. Претраживање активног директоријума и администрација групних

налога - вежба
Активност 2.3.1: Претраживање активног директоријума
Активни директоријум је хијерархијска база и претраживање се врши од неког места у
хијерархији наниже. Корисник бира место почетка претраживања тако што најпре селектује
то место (слик 2.6).
1. Покренути алатку “Active Directory Users and Computers“.
2. Притиснути десно дугме миша по иконици која представља домен (претраживање
почиње с врха хијерархије) и изабрати опцију “Find“.
3. У новом дијалог-прозору, у пољу Description унети реч Programer. Овим смо навели
да нас интересују корисници, контакти и групе које као атрибут опис (Description)
имају реч Programer.
4. Притиснути дугме Find.
5. У пољу “Search Results“ могу се видети објекти који задовољавају критеријум.
Пронађене објекте можемо селектовати и десним дугметом миша покренути неку од
акција које су доступне у менију.
6. Уочити које су акције над пронађеним објектима доступне. Уочити опцију “Add to
group“. Приметити да се на овај начин пронађени корисници могу уврстити у групу.
У овом тренутку не треба покретати ниједну од понуђених акција.
7. Показаћемо претраживање (претрагу) на још једном примеру:
8. Покренути алатку “Active Directory Users and Computers“.
9. Притиснути десно дугме миша по иконици која представља организациону јединицу
“Beograd“ (претраживање почиње од ове организационе јединице) и изабрати
опцију “Find“.
10. У новом дијалог-прозору оставити непопуњено поље “Description“ као и поље
“Name“. Овако можемо пронаћи све објекте у организационој јединици “Beograd“,
као и организационим јединицама испод ње.
11. Притиснути дугме “Find“.
12. Тако смо пронашли све кориснике у организационој јединици “Beograd“ и ниже у
хијерархији. Уколико је то потребно могу се сви, или неки од њих, селектовати како
би се над њима извршила нека акција.
29
Слика 2.6: Претраживање по атрибуту
Активност 2.3.2: Креирање група

У оквиру вежби креираћемо посебну организациону јединицу за смештај групних налога.
1. Отворити алатку “Active Directory Users and Computers“.
2. У левом пољу уочити иконицу која представља домен, притиснути десно дугме
миша и изабрати “New Organizational Unit“.
3. Унети “Grupe“ као назив нове организационе јединице и притиснути дугме “OK“.
У оквиру вежби претпоставићемо да негде у мрежи постоји дељени штампач, и да је
потребно уредити права приступа над овим ресурсом. У овој активности самододељивање
права неће бити подешавано, већ самоорганизовање корисника у глобалне групе и
учлањивање глобалних група у одговарајуће локалне групе.
У циљу додељивања права креираћемо локалну групу “ColorLaser“, којој би биле
додељене дозволе (додела дозвола ради се касније).
1. У левом пољу уочити иконицу која представља организациону
јединицу “Grupe“, притиснути десно дугме миша, и изабрати опцију
“New →Group“.
2. У новом дијалог-прозору треба унети име групе: “ColorLaser“. Пошто
креирамо локалну групу, потребно изабрати “Domain Local“ у секцији
“Group Scope“. Све групе које креирамо биће сигурносне групе
(Security), а не дистрибуционе групе. Дијалог прозор приказан је на
слици 2.7.
3. Притиснути дугме “ОК“.
30
Слика 2.7: Креирање локалне сигурносне групе

Креираћемо и једну глобалну групу како бисмо (касније) организовали све дизајнере у
домену.
1. У левом пољу уочити иконицу која представља организациону јединицу “Grupe“,
притиснути десно дугме миша изабрати опцију “New →Group“.
2. У новом дијалог прозору треба унети име групе “Dizajneri“. Пошто креирамо
глобалну групу, потребно је изабрати “Global“ у секцији “Group Scope“.
Слика 2.8: Креирање глобалне сигурносне групе

Креиране су једна локална и једна глобална група, које за сада нису повезане. То ће бити
учињено у следећим активностима.
31
Активност 2.3.3: Учлањивање корисника у глобалне групе

Претраживањем активног директоријума пронаћи ћемо све дизајнере и уврстити их у
глобалну групу “Dizajneri“ (слика 2.9). Претраживање почињемо од врха стабла.
1. У левом пољу уочити иконицу која представља домен, притиснути десно дугме
миша и изабрати опцију “Find“.
2. У дијалогу за претраживање, у пољу “Description“, унети “Dizajner“ пошто смо током
креирања корисника подесили овај атрибут.
3. Пронађене кориснике селектовати, притиснути десно дугме миша, и изабрати
опцију “Add to Group“.
4. У дијалогу “Select Group“ у пољу “Enter the Object Name to Select“ унети име групе у
коју учлањујемо кориснике. Унети “Dizajneri“.
Слика 2.9: Учлањивање корисника у глобалну групу

5. Притиснути дугме “ОК“, затворити дијалог за претраживање.
Активност 2.3.4: Преглед чланова групе

1. Уочити у левом пољу организациону јединицу “Grupe“, селектовати је левим
дугметом миша тако да се у десном пољу прикаже њен садржај.
2. У десном пољу уочити глобалну групу “Dizajneri“, притиснути десно дугме миша, а
затим изабрати опцију “Properties“.
3. Изабрати картицу “Members“ (чланови).
4. Уочити да су корисници чланови групе.
5. Уочити да постоји и дугме “Add“. Ово је још један начин за додавање корисника у
групу.
6. Оставити отворен дијалог-прозор “Properties“.
Активност 2.3.5: Учлањивање глобалне групе у локалну доменску групу

Активност претпоставља да имате отворена својства (Properties) за глобалну групу
“Dizajneri“.
32
Осим картице “Members“ (чланови ове групе), постоји и картица “Member Of“ (сама група је
члан). Картица “Member Of“ приказује где је група учлањена и омогућава да ову глобалну
групу учланимо у неку локалну (слика 2.10):
1. Изабрати картицу “Member Of“.
2. Притиснути дугме “Add“.
3. У “Select Groups“ дијалог прозору, у пољу “Enter the Object Name to Select“, унети
име локалне групе у коју учлањујемо ову глобалну групу. Унети “ColorLaser“.
Слика 2.10: Учлањивање глобалне групе у локалну

На овај начин смо:
 Кориснике који су дизајнери уврстили у глобалну групу “Dizajneri“;
 Глобалну групу “Dizajneri“ уврстили у локалну групу “ColorLaser“;
 Потребно је и да се локалној групи “ColorLaser“ доделе права (не за сада) како би
корисници Драгана Матић и Јанко Петровић могли да штампају.
Активност 2.3.6: Организовање корисника у домену - глобалне групе

Због каснијих активности потребно је организовати кориснике у домену у одговарајуће
глобалне групе. Треба креирати глобалне групе у организационој јединици “Grupe“.
1. У организационој јединици "Grupe" креирати глобалну групу “Programeri“. Касније ће
у ову групу бити учлањени сви програмери.
2. У организационој јединици “Grupe“ креирати глобалну групу “Sluzbenici“. Касније ће
у ову групу бити учлањени сви службеници.
33
3. У организационој јединици “Grupe“ креирати глобалну групу “BGKorisnici“. Касније ће

у ову групу бити учлањени сви корисници из Београда.
4. У организационој јединици “Grupe“ креирати глобалну групу “NSKorisnici“. Касније ће
у ову групу бити учлањени сви корисници из Новог Сада.
Активност 2.3.7: Организовање корисника у домену - учлањивање

1. Претраживањем активног директоријума пронаћи све програмере и учланити их у
групу “Programeri“. Започети претраживање од врха стабла, тражити објекте са
атрибутом “Description: Programer“.
2. Претраживањем активног директоријума пронаћи све службенике и учланити их у
групу “Sluzbenici“.
3. Претраживањем активног директоријума пронаћи све кориснике у Београду и
учланити их у групу “BGKorisnici“. Започети претраживање од организационе
јединице “Beograd“, без критерујума за опис или име.
4. Претраживањем активног директоријума пронаћи све кориснике у Новом Саду и
учланити их у групу “NSKorisnici“.
Активност 2.3.8: Преглед уграђених група

Поред група које смо сада креирали, у активном директоријуму постоје и користе се и
уграђене глобалне и локалне групе, односно групе које су аутоматски креиране по
инсталацији активног директоријума. Уграђене локалне групе налазе се у организационој
јединици “Built-in“, док се уграђене глобалне групе налазе у организационој јединици “Users“.
1. У левом пољу селектовати организациону јединицу “Users“ тако да у десном пољу
видимо њен садржај.
2. У десном пољу уочити глобалну групу “Domain Users“ и десним дугметом миша и
изабрати опцију “Properties“.
3. Изабрати картицу “Members“, како бисмо видели чланове ове групе. Можемо видети
да су сви корисници у активном директоријуму чланови ове групе.
4. Изабрати картицу “Memeber Of“, како бисмо видели где је ова група учлањена.
Можемо видети да је група учлањена у локалну групу “Users“ на домен контролеру.
Глобална група “Domain Users“ учлањена је у одговарајуће локалне групе “Users“ на
сваком рачунару који је члан домена. Дозволе се преносе на следећи начин:
 Сви корисници су чланови групе “Domain Users“.
 Глобална група “Domain Users“ учлањена је у локалне групе “Users“ на сваком
члану домена.
 Чланови локалне групе “Users“ на сваком рачунару имају привилегије да се
пријаве.
 На овај начин сви корисници у активном директоријуму имају права да користе
радне станице у домену.
1. Затворити својства групе “Domain Users“ и отворити својства групе “Domain
Admins“.
2. Изабрати картицу “Members“ како бисмо видели чланове ове групе. Можемо
видети да je корисник “Administrator“ члан ове групе.
34
3. Изабрати картицу “Memeber Of“ како бисмо видели где је ова група учлањена.
Можемо видети да је група учлањена у локалну групу “Administrators“ на домен
контролеру.
Глобална група “Domain Admins“ учлањена је у одговарајуће локалне групе
“Administrators“ на сваком рачунару који је члан домена. Дозволе се преносе на следећи
начин:
 Администратор домена је члан глобалне групе “Domain Admins“.
 Глобална група “Domain Admins“ учлањена је у локалне групе “Administrators“ на
сваком члану домена.
 Чланови локалне групе “Administrators“ на сваком рачунару имају
администраторске привилегије над рачунаром.
На овај начин је администратор домена истовремено и администратор сваког рачунара у
домену.
Анализираћемо и уграђене системске групе, које се не могу видети у активном
директоријуму иако постоје и могу им се додељивати дозволе. Системске групе немају
унапред дефинисано чланство, већ корисници постају чланови тих група према некој својој
активности, или се унапред сматра да је корисник учлањен.
На пример једна таква уграђена системска група је “Everyone“ (сви). За све кориснике се
подразумева да су чланови групе “Everyone“, иако се ова група не види у активном
директорујму нити се експлицитно може видети њено чланство. Ова група појављујује се
током додељивања дозвола (касније).
Постоји и група “Authеnticated Users“, којој се могу доделити права. Она се не види у
активном директоријуму као ни њено чланство. Чланови ове групе jeсу корисници који су
тренутно аутентификовани. Група се појављујује током додељивања дозвола.

1. Набројати типове сигурносних група у активном директоријуму.
2. Који објекти могу бити чланови глобалних а који доменских локалних група?
3. У којој области важе глобалне а којој доменске локалне групе?
4. Описати препоручени начин употребе глобалних и доменских локалних група.
5. Набројати неке уграђене и системске групе.
35
36
III ВЕЖБА
ДОЗВОЛЕ НАД ДЕЉЕНИМ ДИРЕКТОРИЈУМИМА

И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА
Циљ вежбе је да се студенти упознају са дозволама које је могуће подесити над

фолдерима у циљу заштите од неауторизованог приступа. У практичном делу вежбе
биће извршена анализа два типа дозвола и то дозвола над дељеним фолдерима и
дозвола над објектима фајл система. Поред тога биће речи и о томе како се наведени
типови дозвола комбинују. На крају вежбе биће споменут појам власништва над
фајловима.
3. Дозволе над дељеним директоријумима и дозволе на нивоу

система фајлова
3.1 Дозволе над дељеним директоријумима1
Сервери у мрежи често имају улогу фајл сервера (послужитеља датотека). Фајл сервер
омогућава да клијенти преко мреже приступају систему фајлова на серверу. На тај начин
клијенти могу да користе удаљени систем фајлова на серверу као да је реч о локалном.
На Windows оперативном систему за дељење фајлова задужена је компонента под
називом „File and Printer Sharing for Microsoft Network“, која постоји и на клијентским и на
серверским верзијама Windows-а. То значи да у мањим мрежама и клијентске радне станице
могу имати улогу фајл сервера (са највише 10 клијената). У већим мрежама улогу фајл
сервера обично има посебан, наменски рачунар са серверским оперативним системом.
Да би део фајл система са сервера (читав диск, или неки директоријум са
поддиректоријумима) био доступан клијентима преко мреже, мора се претходно прогласити
дељеним (Shared). Саставни део дељења директоријума је и одређивање дозвола за
дељене директоријуме.
Дозволе за дељене директоријуме описују ниво приступа који поједини корисници имају
када том ресурсу, дељеном директоријуму, приступају преко мреже. У оквиру вежби, за
организовање приступа дељеним директоријумима биће коришћене локалне групе, у које су
учлањене глобалне групе, у које су учлањени појединачни корисници.
3.2 Дозволе на нивоу система фајлова2

Уколико је диск Windows рачунара форматиран са NTFS фајл системом, онда је могуће
контролисати приступ фајловима и директоријумима уз помоћ NTFS дозвола. Заштита на
нивоу система фајлова има предност у односу на заштиту приступа дозволама за дељене
директоријуме. Дозволе на нивоу система фајлова односе се и на кориснике који фајлу или
директоријуму приступају са локалног рачунара, као и на кориснике који приступају преко
мреже (уколико је директоријум дељен). Супротно томе, дозволе за дељене директоријуме
уопште се не односе на кориснике који директоријуму приступају локално. Постоје и друге
предности NTFS дозвола: могућа је прецизнија контрола јер постоји више могућих нивоа
приступа, могуће је подесити NTFS дозволе за појединачне фајлове.
3.3 Дозволе над дељеним директоријумима и дозволе на нивоу система

фајлова Вежбе
Активност 3.3.1: Поступак дељења директоријума
Директоријуми се могу делити на неколико начина, а најједноставнији поступак је из
прозора „Windows Explorer“ (слика 3.1).
1. На домен контролеру отворити „Computer“ прозор (дугме Windows + E), а затим,
двоструким притиском на лево дугме миша отворити диск C:
2. На диску C: направити директоријум „Proba“.
3. Уочити на диску C: директоријум „Proba“, притиснути десним дугметом миша, и
изабрати опцију „Properties“.
1 Share Permissions
2 Security or NTFS Permissions
38
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
4. Изабрати картицу „Sharing“.

5. Притиснути дугме "Advanced Sharing".
6. У новоотвореном прозору селектовати опцију "Share this folder".
7. Име под којим се директоријум види на мрежи („Share name“) може бити различито
од имена које директоријум има на диску. Ову могућност нећемо користити.
8. Додатно, може се унети опис дељеног директоријума који корисници могу да виде
када претражују мрежу у пољу „Description“ (сада не уносимо ништа).
9. Притиснути дугме „Permissions“ како бисмо одредили ко и на какав начин може да
приступа овом директоријуму преко мреже.
Слика 3.1: Дељење директоријума
Слика 3.2: Дозволе за дељене директоријуме

На слици 3.2, у горњем пољу наведени су објекти, односно корисници и групе (тренутно
само група „Everyone“), а у доњем делу наведене су дозволе које су том објекту дате.
39
Постоје 3 дозволе које се могу дати некоме над дељеним директоријумом:

 „Read“ могућност да се чита, односно отвори директоријум, поддиректоријум и
фајлови у њима.
 „Change“ омогућава, поред дозвола читања, и могућност измена, додавање и
брисање фајлова и директоријума унутар поддиректоријума.
 „Full Control“ омогућава , поред дозвола за мењање садржаја директоријума, и
могућност да се мењају дозволе над фајловима и директоријумима (овде се
мисли на NTFS дозволе које се раде касније).
Група „Everyone“ је уграђена системска група која обухвата све кориснике. Видимо да је у
току дељења директоријума овој групи дата (колона „Allow“) дозвола „Read“, односно читање.
Дијалог за подешавање дозвола има колону „Allow“ за додељивање дозвола, и колону
„Deny“ за одузимање дозвола. Експлицитно одузимање дозвола обично није неопходно.
Групе које нису наведене у листи имплицитно немају никакве дозволе за приступ.
Пример за употребу „Deny“ колоне био би: „сви корисници у Београду треба да имају
приступ али не и корисници који раде као службеници“. Тада бисмо могли да групи која
обухвата све кориснике у Београду дамо („Allow“) дозволу за читање, а да корисницима који
су службеници у Београду одузмемо („Deny“) исту дозволу. Ако неки корисник има и дозволу
и исту такву забрану, забрана надјачава дозволу и корисник нема право приступа.
Другачијом употребом група могла би се избећи употреба „Deny“ колоне и остварити
једноставнија и прегледнија листа за контролу приступа. У оквиру вежби неће бити
коришћена колона „Deny“.
1. Притиснути дугме „ОК“.
2. Уочити да је иконица која представља директоријум измењена како би означила да
је директоријум дељен.
Активност 3.3.2: Употреба група за контролу приступа

За уредну контролу приступа на вежбама користићемо глобалне и локалне групе, на већ
наведен начин: корисници ће бити учлањени у глобалне групе, глобалне групе ће бити
учлањене у локалне групе, локалним групама ће бити додељене дозволе за приступ
дељеним директоријумима.
Претпоставимо да је задатак следећи: на серверу је потребно направити дељени
директоријум „Извештаји“ који ће бити доступан преко мреже. Само корисници који раде у
администрацији, службеници, треба да могу да приступе том директоријуму. Требало би да
службеници у том директоријуму могу да читају, креирају и бришу своје фајлове и
директоријуме.
У ранијим активностима већ смо урадили први корак: сви корисници су организовани у
глобалне групе према функцији на послу. Тако већ имамо глобалну групу „Službenici“ која
обухвата све кориснике који нас интересују.
Следећи корак је да креирамо локалну групу за приступ дељеном ресурсу. Пошто се
ресурс – директоријум зове „Izveštaji“, креираћемо и истоимену локалну групу:
1. Отворити алатку „Active Directory Users and Computers“.
2. У левом пољу уочити организациону јединицу „Grupe“, притиснути десним дугметом
миша, изабрати „New“, а затим „Group“.
3. Изабрати „Domain Local“ ( доменска локална) као тип групе, са називом „Izveštaji“.
40
4. Притиснути на „ОК“.
5. У десном пољу уочити глобалну групу „Službenici“, притиснути је десним дугметом
миша и изабрати опцију „Properties“.
6. Провере ради, изабрати картицу „Members“, овде се виде чланови ове групе,
корисници који су службеници.
7. Изабрати картицу „Member Of“. Овде се ова глобална група може учланити у неку
локалну.
8. Притиснути дугме „Add“.
9. У дијалогу „Select Groups“, у пољу „Enter the Object Names to Select“ унети „Izveštaji“
(назив локалне групе у коју учлањујемо).
10. Притиснути на „OK“.
11. Притиснути на „OK“. За сада смо постигли следеће: службеници су учлањени у
групу „Službenici“, ова група је учлањена у групу „Izveštaji“.
12. Отворити „Computer“, а затим и диск C:
13. На диску C: креирати директоријум „Izveštaji“.
14. Притиснути десним дугметом миша по директоријуму „Izveštaji“ и изабрати опцију
„Properties“.
16. Притиснути дугме "Advanced Sharing".
17. Изабрати „Share this folder“, а затим дугме „Permissions“.
18. Пошто не желимо да сви корисници имају приступ овом директоријуму
селектоваћемо групу „Everyone“, и притиснути дугме „Remove“ како бисмо је
избацили из листе.
20. У дијалогу „Select Users,Computers, or Groups“ , у пољу „Enter the Object Names to
Select“ унети „Izveštaji“ (име локалне групе којој дајемо права).
22. Сада се група „Izveštaji“ појавила у листи, при чему јој је додељена „Read“ дозвола.
23. У колони „Allow“, означити опцију „Change“.
24. Притиснути дугме „OK“.
На овај начин се комбиновањем глобалних и локалних група, додељивањем дозвола за
дељене директоријуме локалним групама, обезбеђује корисницима потребан ниво приступа.
На исти начин потребно је решити следеће потребе корисника:
1. Направити и делити директоријум „Projekat“. Требало би да сви корисници коју су
програмери могу да читају, креирају и бришу фајлове и директоријуме у том
директоријуму:
 креирати локалну групу „Projekat“,
 глобалну групу „Programeri“ учланити у локалну групу „Projekat“,
41
 креирати директоријум „Projekat“ и делити га,

 из листе за контролу приступа избацити групу „Everyone“, убацити групу „Projekat“
и доделити „Change“ дозволу.
2. Потребно је направити и делити директоријум „Promo“. Требало би да сви
корисници који су дизајнери могу да читају, креирају и бришу фајлове и
директоријуме у том директоријуму:
 креирати локалну групу „Promo“,
 глобалну групу „Dizajneri“ учланити у локалну групу „Promo“,
 креирати директоријум „Promo“ и делити га,
 из листе за контролу приступа избацити групу „Everyone“, убацити групу „Promo“ и
доделити „Change“ дозволу.
3. Потребно је направити и делити директоријум „Informacije“. Требало би да сви
корисници из Београда и сви корисници из Новог Сада могу да само читају фајлове
и директоријуме у том директоријуму:
 креирати локалну групу „Informacije“,
 глобалну групу „BGKorisnici“ учланити у локалну групу „Informacije“,
 глобалну групу „NSKorisnici“ учланити у локалну групу „Informacije“,
 креирати директоријум „Informacije“ и делити га,
 из листе за контролу приступа избацити групу „Everyone“, убацити групу
„Informacije“ и доделити „Read“ дозволу.
Активност 3.3.3: Повезивање са дељеним директоријумима

Ова активност се ради на клијентској радној станици а не на серверу. Показаћемо
неколико начина на које се клијент може повезати на дељени директоријум на серверу.
Мапирање мрежног диска

Један од начина да се користи дељени директоријум јесте да се мапира мрежни диск.
Мапирање значи да се дељеном директоријуму додели словна ознака (нпр. P:) као да се
ради о локалном диску.
1. Са клијентске станице (Windows 7) пријавити се на домен као корисник „jpetrovic“
(ово је корисник који је дизајнер) и лозником „Password2“.
2. Oтворити “Computer”, па “Network”, па иконицу која представља сервер. Сада се
виде сви дељени директоријуми на серверу.
3. Уочити директоријум „Promo“, притиснути десним дугметом миша и изабрати „Map
Network Drive“.
4. Из падајуће листе „Drive“ изабрати слово P:; тиме смо изабрали да ће дељени
директоријум „Promo“ на радној станици бити доступан као да се ради о локалном
диску P:
5. Оставити укључену опцију „Reconnect at Logon“; тиме смо изабрали да се ово
мапирање диска P: на дељени директоријум „Promo“ на серверу запамти за овог
корисника када се поново пријави на радну станицу.
42
6. Притиснути дугме „Finish“; од сада је кориснику jpetrovic дељени директоријум

доступан као диск P:
7. Како бисмо проверили дозволе, на диску P: креирати текстуални фајл „letak.txt“
(„File -> New“, „Text Document“; укуцати неколико слова). Овај корисник посредством
чланства у групи дизајнери требало би да има „Change“ дозволу.
8. Одјавити се као корисник „jpetrovic“.
Употреба UNC путање

У разним апликацијама, у дијалозима „Open“, „Save“ и сличним, као и у „Start -> Run“
пољу, можемо се директно реферисати на дељени директоријум на мрежи, без
претраживања мреже и мапирања мрежног диска. За ово се користи UNC (Universal Naming
Convention) путања. UNC путања до дељеног директоријума „Projekat“ на серверу „Serverxy“
изгледала би као:
\\Serverxy\Projekat
Односно, уместо да претражујемо „My Network Places“, до дељеног директоријума можемо
доћи на следећи начин: „Start -> Run“, укуцамо „\\Serverxy\Projekat“ и притиснемо на „ОК“.
1. Пријавити се на радну станицу као корисница vjankovic (она је програмерка и
требало би да има дозволе за директоријум „Projekat“).
2. Притиснути дугме „Start“, изабрати опцију „Run“.
3. У „Run“ пољу унети специјалан случај UNC путање, без директоријума: „\\Serverxy“
(Serverxy треба заменити са именом сервера).
5. На овај начин видимо све дељене директоријуме на серверу.
6. Како бисмо проверили функционисање дозвола потребно је покушати отворање
директоријума „Promo“. Ова корисница не би требало да има довољна права.
7. Отворити директоријум „Projekat“, креирати текстуални фајл „program.txt“ („File →
New →Text Document“; укуцати неколико слова). Ова корисница посредством
чланства у групи „Programeri“ требало би да има „Change“ дозволу. Сачувати фајл и
затворити прозор дељеног директоријума.
8. Притиснути дугме „Start“, изабрати опцију „Run“.
9. У „Run“ пољу унети комплетну UNC путању, без директоријума: \\Serverxy\Projekat
(Serverxy треба заменити са именом сервера).
10. Притиснути дугме „ОК“; овако смо директно отворили дељени директоријум који нас
интересује.
11. Отворити претходно креирани фајл „program.txt“. Ово је потребно ради следеће
активности.
Активност 3.3.4: Преглед дељених директоријума на серверу

Ова активност ради се на серверу, док истовремено клијенти преко мреже приступају
дељеним директоријумима и имају отворене фајлове.
На Windows оперативном систему постоји посебна алатка која омогућава напредније
могућности за управљање дељеним директоријумима. То је алатка „Computer Management“.
43
1. На серверу покренути алатку „Computer Management“: отворити „Start“, па откуцати

„Computer Management“, при чему ће у резултату претраге бити приказана поменута
алатка коју треба покренути.
2. У левом пољу уочити „Shared Folders“ и притиснути на знак „+“ поред иконице.
3. У левом пољу изабрати „Shares“ како бисмо у десном пољу видели све
директоријуме са сервера који су доступни корисницима; уочити директоријуме C$ и
Admin$; то су скривени административни дељени директоријуми које може да
користи администратор навођењем UNC путање. Односе се на диск C: и
директоријум „Windows“.
4. У левом пољу изабрати „Sessions“ како бисмо у десном пољу видели корисничке
сесије са сервером. Притиснути десним дугметом на „Sessions“ и уочити доступне
опције.
5. У левом пољу изабрати „Open Files“ како бисмо у десном пољу видели фајлове које
су корисници отворили на серверу. Притиснути десним дугметом миша на „Open
Files“ и уочити доступне опције
Недостаци заштите ресурса дозволама за дељене директоријуме

Заштита ресурса помоћу дозвола за дељене директоријуме има своје недостатке:
 Пре свега ове дозволе утичу на корисника само ако он ресурсу приступа преко
мреже. Уколико корисник може да интерактивно ради на серверу дозволе за
дељене директоријуме не односе се на њега (подразумевано корисници не могу
да се пријаве на домен контролер, али могу на остале сервере);
 Дозволе које се поставе за дељени директоријум важе за све фајлове у том
директоријуму, и све поддиректоријуме. Није могуће над неким
поддиректоријумом или појединачним фајлом поставити другачије дозволе.
Ситуација ипак није тако лоша јер Windows има још један, флексибилнији, систем заштите
на нивоу система фајлова – NTFS дозволе. Комбиновањем дозвола за дељене
директоријуме и NTFS дозвола могуће је постићи жељени ниво заштите.
Активност 3.3.5: Упознавање са NTFS дозволама

1. Отворити „Computer“, а затим диск C: (овај диск је аутоматски, током инсталације
оперативног система, форматиран са NTFS системом фајлова)
2. На диску C: направити директоријум „Proba2“.
3. Притиснути десним дугметом миша по директоријуму „Proba2“ и изабрати опцију
„Properties“.
4. Изабрати картицу „Security“.
44
Слика 3.3: Картица „Security"

Овај директоријум као и сваки фајл или директоријум на дисковима са NTFS системом
фајлова има придружену листу за контролу приступа. У листи се налазе локалне и уграђене
групе (горњи део дијалог прозора). Ако селектујемо неку групу, нпр. „Administrators“, у доњем
делу дијалог прозора можемо видети NTFS дозволе над овим директоријумом које дата
група има.
Дозволе које се овде виде називају се стандардне дозволе. У подразумеваном стању
дозволе које се доделе некој групи над директоријумом односе се и на фајлове и
поддиректоријуме овог директоријума, односно дозволе за директоријуме се, уколико
другачије не одлучимо, преносе и на фајлове унутар директоријума. И овде постоји разлика у
односу на дозволе за дељене директоријуме: NTFS дозволе могу се подешавати и за
појединачне фајлове унутар директоријума, док код дозвола за дељење то није случај.
Додељене дозволе значе следеће:
 Full Control: максималне дозволе. Корисници који имају ову дозволу могу не само
да мењају садржај директоријума, него и да сами мењају NTFS дозволе над овим
директоријумом, чак и ако нису администратори, чак и ако сами нису креирали
овај директоријум. Уколико се пренесу на фајлове, означавају исту ствар за фајл.
 Modify: могућност да се мења садржај овог директоријума или да се директоријум
обрише. Мењање садржаја директоријума значи креирање и брисање ставки,
фајлова и директоријума, унутар датог директоријума. Када се ова дозвола
пренесе на фајлове у директоријуму даје могућност измене садржаја фајла.
 Read&Execute: Могућност да се чита садржај директоријума, покрећу програми у
њему, пређе у директоријум као текући. Уколико се дозвола пренесе на фајл
45
унутар директоријума даје могућност да се чита садржај фајла и покрећу извршни

фајлови.
 List Folder Content: Могућност да се излиста садржај директоријума. Ова дозвола
се не преноси на фајлове унутар директоријума, већ само на поддиректоријуме
унутар директоријума.
 Read: Могућност да се чита садржај директоријума, али не и да се пређе у њега
као текући. Уколико се пренесе на фајлове даје могућност да се чита њихов
садржај али не и да се покрећу.
 Write: Могућност да се „уписује“ у директоријум, односно да се креирају нови
фајлови и директоријуми унутар директоријума. Уколико се пренесе на фајл даје
могућност да се уписује у фајл.
Активност 3.3.6: Управљање наслеђивањем дозвола

За ову активност потребно је имати отворен дијалог „Properties“ за директоријум „Proba2“,
картица „Security“.
Као што је већ речено, у подразумеваном стању, дозволе које се подесе за дати
директоријум важе и за поддиректоријуме и фајлове унутар њега. Ово правило важи и за
управо креиран директоријум „Proba2“: дозволе које смо управо погледали „аутоматски“ су се
појавиле зато што су се наследиле са вишег нивоа (корена диска C: у овом случају). Заправо,
у овом тренутку директоријум „Proba2“ и нема сопствену листу за контролу приступа већ
само назнаку да се на њега односе дозволе са вишег нивоа, какве год да су. У наставку
активности променићемо ово стање како бисмо могли да подесимо дозволе за директоријум
„Proba2“, независно од дозвола које важе за корен C: диска:
1. Притиснути дугме „Advanced“.
2. Да бисмо били заштићени од случајне измене дозвола, оперативни систем
приказује следећи дијалог прозор у режиму рада (моду) читања. Како бисмо могли
да вршимо измене неопходно је притиснути на дугме "Edit".
3. У новом дијалог прозору можемо извршити напредна подешавања. Међу њима је и
подешавање наслеђивања („Inherited From“) са вишег нивоа, као и наслеђивање
дозвола на нижим нивоима („Apply To“). Уочити да је подразумевано укључена
опција „Disable inheritance“, односно дозволе се подразумевано наслеђују са вишег
нивоа.
Слика 3.4: Прелазак на напредна подешавања
46
Слика 3.5: Преглед напредних подешавања

4. Притиснути дугме „Disable inheritance“ (слика 3.5). Како директоријум не би случајно
остао без икаквих дозвола (забрањен приступ свима), у новом дијалог прозору
(слика 3.6) треба одабрати да се до сада наслеђене дозволе конвертују у
експлицитне дозволе:
Слика 3.6: Копирање наслеђених дозвола

5. Ниво приступа за директоријум „Proba2“ остао је исти, али се од сада дозволе за
корен диска C: и дозволе за директоријум „Proba2“ могу мењати независно.
6. Притиснути дугме „OK“ како бисмо се вратили у дијалог за измену стандардних
дозвола.
7. Претпоставимо да желимо да изменимо стандардне дозволе за директоријум
„Proba2“. Уместо подразумеваних дозвола желимо да омогућимо да само локална
уграђена група „Administrators“ има право приступа. Уклонићемо из листе све групе
сем групе „Administrators“. У горњем делу дијалога изабрати групу „Users“ а затим
пристиснути на дугме „Remove“ како бисмо ову групу избацили из листе. Исту ствар
урадити и за уграђене системске групе „SYSTEM“ и „CREATOR OWNER“.
8. Притиснути дугме „Add“ како бисмо унели нову групу у листу.
47
9. У дијалог прозору „Permission Entry for Proba2“, притиснути „Select a Principal” и у

новом прозору унети „Server Operators“ и притиснути дугме „OK“.
10. Нова група која се појавила у листи је аутоматски добила „Read&Execute“ дозволу.
11. Претпоставимо да је групи Server Operators потребан виши ниво приступа како би и
сами могли да мењају дозволе за фајлове у овом директоријуму. У колони „Allow“
изабрати опцију „Full Controll“. Ова дозвола у себи садржи и све остале дозволе.
Активност 3.3.7: Комбиновање дозвола за дељене директоријуме и NTFS

дозвола
Раније креирани директоријум „Proba2“ није дељен и корисници му не могу приступати
преко мреже. Директоријум могу користити само корисници који имају права да се пријаве
локално на сервер који је истовремено и контролер домена. И уграђена локална група
„Administrators“ и „Server Operators“ имају ту привилегију.
На серверу се налазе и директоријуми који су дељени и доступни корисницима преко
мреже. Када корисници преко мреже приступају тим директоријумима на њихов ниво
приступа утичу дозволе за дељене директоријуме које смо подешавали у претходној вежби.
С друге стране, ти директоријуми се налазе на диску који је форматиран са NTFS системом
фајлова, па ти директоријуми и фајлови имају и сопствене NTFS дозволе, које такође утичу
на нечији ниво приступа, без обзира да ли корисник приступа преко мреже или локално. То
значи да када корисници приступају дељеном директоријуму преко мреже на њих се
примењују два система дозвола: дозволе за дељене директоријуме и NTFS дозволе.
Поставља се питање шта се дешава када дозволе за дељене директоријуме и NTFS
дозволе нису усаглашене. На пример, уколико NTFS дозволе дају некој групи
„Read&Execute“, a дозволе за дељене директоријуме „Full Controll“. У том случају на
корисника се примењују рестриктивније дозволе (које дају мање права). У овом конкретном
случају, без обзира што дозволе за дељене директоријуме дају „Full Controll“, NTFS дозволе
су рестриктивније, и на крају ће одредити стваран ниво приступа.
Исто би се десило и у супротном случају: NTFS дозвола „Full Controll“, и „Read“ дозвола
за дељене директоријуме. И тада би корисници који приступају преко мреже могли само да
читају фајлове. Проблем у овом примеру је у томе што уколико корисници приступају
локално (интерактивно за сервером, а не преко мреже), дозволе за дељене директоријуме
(„Read“) на њих се не примењују, већ само NTFS дозволе које дају максимална права.
Како би се избегле овакве недоумице („шта је рестриктивније?“ и „шта ако корисник
приступи локално?“), препоручује се да се потребан ниво приступа одређује искључиво NTFS
дозволама, при чему се дозволе за дељене директоријуме могу максимално разлабавити
како би NTFS дозволе увек биле рестриктивније од њих.
Дакле препорука је следећа:
1. Жељени ниво приступа над директоријумом подешавамо искључиво NTFS
дозволама. Оне су свакако прецизније, а осим тога важе за било какав приступ
директоријуму (нема недоумице „шта ако корисник приступа локално?“).
2. Како би корисници приступали директоријуму преко мреже потребно га је делити. У
току тог поступка доделити уграђеној системској групи „Authenticated Users“ (сви
аутентиковани корисници) дозволу „Full Controll“ за дељени директоријум. Пошто
смо на овај начин дозволе за дељене директоријуме максимално разлабавили,
48
претходно подешене NTFS дозволе увек ће бити рестриктивније, и биће сасвим

јасно шта се на корисника примењује: NTFS дозволе.
Прецизно подешавање дозвола за дељене директоријуме неопходно је само уколико су
фајлови на FAT систему фајлова на коме не постоје NTFS дозволе.
Пошто се директоријуми „Izveštaji“, „Info“, „Promo“ и „Projekat“ налазе на диску са NTFS
системом фајлова, подесићемо NTFS дозволе за те директоријуме како бисмо постигли
жељени ниво приступа за поједине локалне групе. Како не би било забуне око тога какав је
ниво приступа у зависности од начина приступа, постојеће дозволе за дељене директоријуме
разлабавићемо на ниво „Full Control“ дозвола за групу „Authenticated Users“:
1. Отворити „Computer“ а затим диск C:. Уочити директоријум „Izvestaji“.
2. Притиснути десним дугметом миша по директоријуму и изабрати опцију „Properties“,
а затим картицу „Security“.
4. Притиснути дугме "Edit".
5. Искључити наслеђивање притиском на „Disable inheritance“.
6. Притиснути „Convert …“ како бисмо копирали наслеђене дозволе.
7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе.
8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а
затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“.
10. Притиснути „Select a Principal”, a затим у дијалогу „Select Users, Computers and
Groups“ унети „Izveštaji“.
12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај
директоријума, потребно је (у колони „Allow“ ) означити опцију „Modify“. Не
напуштати „Properties“ дијалог. Пошто су NTFS дозволе подешене, подесићемо и
дозволе за дељене директоријуме.
13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“.
14. Притиснути дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check
Names“, како би група „Authenticated Users“ била пронађена на основу започетог
уноса.
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој
је доделити „Full Controll“ дозволу.
17. Сада можемо групу „Izveštaji“ уклонити из листе дозвола. Селектовати је и изабрати
опцију „Remove“.
Сличан поступак је и за директоријум „Info“, само су NTFS дозволе „Read&Execute“:
1. Отворити „Computer“ а затим диск C:. Уочити директоријум „Info“.
49

Groups“ унети „Info“.
12. Група је аутоматски добила „Read&Execute“. Ове дозволе су и потребне.
уноса.
17. Сада можемо групу „Info“ уклонити из листе дозвола. Селектовати је и изабрати
Слично је и за директоријум „Promo“. Истоимена локална група треба да може да мења
садржај директоријума („Modify“):
1. Отворити „Computer“ а затим диск C:. Уочити директоријум „Promo“.
50
Groups“ унети „Promo“.
директоријума потребно је (у колони „Allow“ ) означити опцију „Modify“.
уноса.
17. Сада можемо групу „Promo“ уклонити из листе дозвола. Селектовати је и изабрати
За директоријум „Projekat“ доделићемо истоименој групи „Full Controll“ NTFS дозволу.
1. Отворити „Computer“ а затим диск C:. Уочити директоријум „Projekat“.
Groups“ унети „Projekat“.
директоријума, као и дозволе за фајлове, потребно је (у колони „Allow“ ) означити
опцију „Full Controll“.
уноса.
51
17. Сада можемо групу „Projekat“ уклонити из листе дозвола. Селектовати је и изабрати
На овај начин смо контролу приступа у потпуности одредили NTFS дозволама.
Активност 3.3.8: Преглед ефективних дозвола

Претходним активностима уредили смо приступ директоријумима путем NTFS дозвола. Те
дозволе појединачни корисници могу да користе на основу тога што су чланови
одговарајућих глобалних група, које су са своје стране учлањене у одговарајуће локалне
групе којима смо давали NTFS дозволе.
Могуће је и прегледати ефективне дозволе које корисник има. Ово олакшава откривање
ефективних дозвола које неки корисник има уколико је, на пример добио дозволе на основу
чланства у неколико група.
1. Отворити „Computer“ а затим диск C:. Уочити директоријум „Info“.
4. Изабрати картицу „Effective Permissions“.
5. Притиснути линк „Select а User“.
6. У новом дијалог прозору унети „jpetrovic“, а затим притиснути на дугме „OK“, а затим
притиснути дугме „View Effective Access”.
7. Могу се погледати ефективне дозволе које корисник jpetrovic има над
директоријумом.
8. Ове дозволе се на први поглед разликују од дозвола које смо доделили групи „Info“.
Ради се о следећем: групи је додељена стандардна дозвола „Read&Execute“.
Контрола приступа се у ствари не остварује стандардним дозволама (које смо
доделили) него појединачним дозволама. Ефективне дозволе су изражене тим
појединачним дозволама. Стандардне дозволе (као што је „Read&Execute“) само су
предефинисани, лако употребљиви скупови појединачних дозвола. На овом
примеру можемо да видимо од чега се заправо састоји стандардна дозвола
„Read&Execute“.
9. Притиснути дугме „OK“ и напустити преглед напредних подешавања.
10. Притиснути дугме „OK“ и напустити преглед својстава директоријума „Info“.
52
Слика 3.7: Преглед ефективних дозвола
Активност 3.3.9: Власништво над фајловима

Ову активност треба радити на клијентској радној станици.
1. Пријавити се са станице на домен са корисничким именом „vjankovic“ и лозинком
„Password2“.
2. Користећи UNC путању (\\Serverxy) повезати се на сервер, а затим отворити
дељени директоријум „Projekat“.
3. Креирати текстуални фајл „program2.txt“, унети у њега неколико слова, сачувати га и
затворити едитор текста.
4. Притиснути десним дугметом миша по иконици фајла „program2.txt“ и изабрати
опцију „Properties“.
6. Изабрати дугме „Advanced“.
Уочити да фајл има свог власника. Корисник који је креирао фајл постаје његов власник.
Власништво над фајлом је важно јер омогућава измену дозвола: корисница vjankovic може да
мења дозволе над својим фајловима и ако није администратор.
Корисници могу преузети власништво над туђим фајловима само уколико им је први
власник дао то право („Full Control“ стандардна дозвола). Корисници који преузму
власништво над туђим фајловима могу касније аутономно да мењају дозволе над фајлом.
Мера предострожности против погрешно постављених дозвола је да чланови локалне групе
„Administrators“ увек, имплицитно, могу да преузму власништво над фајлом, чак и када немају
експлицитне дозволе за то.
1. Притиснути дугме „ОК“ како бисмо напустили напредна подешавања. У наставку
ћемо симулирати погрешно постављене дозволе.
2. У дијалогу за подешавање стандардних дозвола притиснути на „Add“.
3. У новом дијалог прозору унети „Every“, a затим „Check Names“, како би била
пронађена системска група „Everyone“ на основу унетог текста.
53
4. Притиснути дугме „OK“

5. У колони „Deny“ изабрати „Full Control“. Овиме смо свима забранили све дозволе.
6. Притиснути на „ОК“ а затим на „Yes“ када се појави упозорење.
7. Одјавити се са радне станице
8. Наставак активности се ради на серверу.
9. Отворити „Computer“ а затим диск C:.
10. Отворити директоријум „Projekat“.
11. Покушати отварање фајла „program2.txt“.
12. Покушати брисање фајла „program2.txt“.
13. Притиснути десним дугметом миша по фајлу и изабрати опцију „Properties“.
14. Изабрати опцију „Security“.
15. Притиснути „Change” у продужетку ставке „Owner“.
Тренутно чак ни администратор нема довољно дозвола да види тренутног власника,
али може да преузме власништво.
1. У новом прозору укуцати „Administrators“ а затим притиснути дугме „OK“.
Слика 3.8: Преузимање власништва

2. Притиснути дугме „ОК“ како бисмо затворили својства фајла.
3. Притиснути десним дугметом миша по фајлу и изабрати опцију „Properties“.
4. Изабрати опцију „Security“
5. Селектовати групу „Everyone“, а затим „Remove“.
6. Притиснути „ОК“.
7. Покушати отварање фајла.
8. Затворити фајл.
54
3.4. Питања и задаци

1. Која је разлика између дозвола над дељеним директоријумима и дозвола на нивоу
система датотека?
2. Које дозволе над дељеним директоријумима постоје?
3. Која је подразумевана дозвола за дељене директоријуме?
4. Које стандардне дозволе на нивоу система датотека постоје?
5. Када се комбинују дозволе над дељеним директоријумима и дозволе на нивоу система
датотека, које дозволе су ефективне?
6. Ко је власник новокреираног објекта у оквиру NTFS система датотека?
55
56
IV ВЕЖБА
ЛИЧНИ ДИРЕКТОРИЈУМИ, КОРИСНИЧКИ ПРОФИЛИ

И ГРУПНЕ ПОЛИСЕ
Циљ вежбе је да се студенти упознају са појмом корисничког профила и личног

фолдера. Посебна пажња биће посвећена типовима корисничких профила. Поред
тога биће анализиран и систем за управљање доменом који користи групне полисе
као скупове правила која се примењују на одређене ресурсе одређеним редолседом.
У практичном делу вежбе студенти ће администрирати корисничке профиле, личне
фолдере и групне полисе.
4. Лични директоријуми, кориснички профили и групне полисе

4.1 Лични директоријуми (Home Folders)
Један од атрибута корисничког налога је и лични директоријум То је директоријум на
серверу фајлова који је доступан кориснику без обзира коју радну станицу тренутно користи.
Обезбеђивање централног места за смештање корисничких података олакшава рад када
корисници мењају радне станице, и олакшава прављење резервних копија података свих
корисника у мрежи (слика 4.1).
Како бисмо корисницима омогућили да имају лични директоријуми потребно је да урадимо
две ствари. Прво, на серверу је потребно направити дељени директоријум унутар кога ће се
налазити корисничке лични директоријуми. Друго, потребно је у својствима корисничког
налога подесити локацију личног директоријума.
Слика 4.1: Лични директоријуми

Подразумеване дозволе за новокреиране директоријуме омогућавају свим корисницима
(локална група „USERS“) да креирају своје фајлове и читају туђе (не и да их мењају и бришу).
Такође, због наслеђивања, овакве дозволе се преносе и на поддиректоријуме. Због тога
ћемо приликом креирања дељеног директоријума за лични директоријуми корисника
извршити напредна подешавања.
4.2 Кориснички профили (User Profiles)

Као и сви вишекориснички оперативни системи, и Windows разликује појединачне
кориснике рачунара, као и податке једног корисника од података других корисника. Не само
да сваки корисник има сопствене документе у личном директорију, већ је и комплетно
корисничко окружење једног корисника одвојено и различито од окружења других корисника.
Корисничко окружење обухвата сва подешавања која корисник изврши у току сесије за
рачунаром: подешавања изгледа радне површине, ставке у менијима, мапирани мрежни
дискови, листа скорије отвараних докумената, сва подешавања која корисник може да
изврши у контолном панелу. Осим тога и већина апликација је вишекорисничка, па такође
своја подешавања (нпр. посредник у веб претраживачу, адреса у клијенту електронске
поште, подешавања унутар канцеларијских алата и сл.) чува посебно за сваког корисника
рачунара.
4.3 Групне полисе (Group Policy)

Групне полисе (Group Policy) су механизам за управљање конфигурацијом рачунара и
корисничког окружења корисника. Сваки Windows рачунар (чак и у моделу радне групе) има
додељену локалну полису – збир разноврсних подешавања како оних везаних за рачунар
(нпр. NTFS дозволе за специфични директоријуми), тако и оних које пре свега утичу на
изглед и понашање корисничког радног окружења (нпр. разноврсне забране или специфична
подешавања апликација). Постоји и посебна алатка за рад са локалним полисама која се
може покретати на клијентским радним станицама. На овај начин, чак и у моделу радне
групе, локални администратор могао би да кроз једноставан кориснички интерфејс измени
58
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
базу регистара Windows радне станице како би прилагодио радну станицу одговарајућој
полиси – начелу рада које се захтева.
Локалну полису радне станице можемо погледати на следећи начин:
1. Пријавити се са клијентске радне станице као доменски админстратор са лозинком
„password“.
2. Притиснути на тасер „Start, Run“, и у „Run“ пољу унети „gpedit.msc“.
4. Овим je покренути едитор локалне полисе за овај рачунар.
5. Уочити да полиса има два дела „Computer Configuration“ и „User Configuration“.
6. Притиснути на „+“ поред „Computer Configuration“ како би se у левом пољу отворили
тa гранa.
7. На исти начин отворити „Windows Settings“, „Security Settings“, „Account Policies“, и
селектовати „Password Policy“. Уочити да је део локалне полисе и подешавање које
се тиче максималне дужине и комплексности лозинки.
8. Уочити у левом пољу „Administrative Templates“, отворити ту грану, затим „Windows
Components“ и изабрати „Internet Explorer“. Уочити и да су одређена подешавања за
компоненте Windows оперативног система део локалне полисе.
9. Уочити у левом пољу „User Configuration“ и притиском на „+“ отворити ту грану.
10. Отворити „Administative templates“. Уочити да су и овде присутни административни
шаблони („Templates“) којима се може мењати понашање компоненти оперативног
система.
11. Отворити „System“ а затим изабрати „User Profiles“. Уочити и да су подешавања која
се тичу корисничких профила део полисе.
12. Затворити едитор локалне полисе.
13. Одјавити се са клијентске радне станице.
Иако локална полиса омогућава једноставан начин за измену многобројних и разноврсних
подешавања компоненти оперативног система, овакав начин има својих ограничења. Пре
свега корисничка подешавања примењивала би се на све кориснике радне станице без
изузетка и разлике. Осим тога, уколико је потребно подесити идентична подешавања на
више радних станица, администратор би морао да се локално пријави са сваке од њих и
понови подешавања. Када је радна станица део домена полисама се може управљати са
централног места – из активног директоријума. Активни директоријум омогућава да се
полиса креира као објекат који се чува у активном директоријуму. Тако креирана полиса
може се везати („Link“) за неку организациону јединицу, чиме смо наредили да се
подешавања која смо одредили подесе за све кориснике и рачунаре у тој организационој
јединици.
На пример уколико би начело рада у некој мрежи захтевало специфична подешавања
рачунара (нпр. забрана да корисници самоиницијативно мењају сигурносне зоне у интернет
експлореру) и корисничког окружења (нпр. забрана да корисници приступају контролном
панелу), и то за све рачунаре и кориснике у Београду, администратор би могао (уместо да
посећује сваки појединачни рачунар у Београду) да у активном директоријуму креира објекат
групну полису, изврши потребна подешавања и полису веже за организациону јединицу
Београд.
59
Када се рачунари у Београду поново покрену, после примене локалне полисе, примениће
и полису коју је администратор везао за организациону јединицу у којој се налазе (Београд).
Сва подешавања локалне полисе која нису у складу са полисом из активног директоријума
биће измењена (полиса из активног директоријума је „јача“). Када се корисник чији се налог
налази у Београду пријави, на њега ће се применити локална полиса а затим и она из
активног директоријума, и опет ће полиса из активног директоријума коначно одредити
изглед радног окружења.
У овом примеру видели смо како се током покретања рачунара и пријављивања
корисника примењује више полиса (локална и она везана за организациону јединицу) и како
локална полиса има низак приоритет, јер се прва примени, и њена подешавања може да
измени полиса која се примени након ње.
Такође, могуће је да и у активном директоријуму постоји неколико групних полиса које
могу да утичу на подешавање корисничког налога датог корисника, или подешавања датог
рачунара. На пример могуће је везати једну полису за објекат који представља читав домен,
и у оквиру ње поставити подешавања која утичу на све кориснике и рачунаре у домену.
Уколико постоји читава хијерархија организационих јединица (нпр. организациона јединица
Београд, унутар које постоји организациона јединица Маркетинг), могуће је креирати и везати
групне полисе на различитим местима у хијерархији (нпр. полиса која утиче на све у
Београду, полиса која утиче на све у Маркетингу (слика 4.2)).
Слика 4.2: Више групних полиса утиче на подешавања корисника

У оваквим ситуацијама све полисе се примењују, и то таквим редоследом да се последња
примени она полиса која је најспецифичнија за корисника/рачунар и та полиса увек измени
несагласна подешавања претходно примењених полиса.
На пример, приликом покретања рачунара који се налази у OU=Маркетинг:
 прво се примени локална полиса за рачунар,
 затим полиса везана за домен,
 затим полиса везана за OU=Београд,
 затим, најспецифичнија, полиса везана за OU=Маркетинг.
60
Приликом пријављивања на домен корисника који се налази у OU=Маркетинг (без обзира

где се налази рачунар, можда чак и у другој организационој јединици):
1. прво се примени локална полиса за рачунар на коме се пријављује (део полисе који
утиче на кориснике),
2. затим доменска полиса (део који утиче на кориснике),
3. затим полиса везана за OU=Београд (део који утиче на кориснике),
4. затим полиса везана за OU=Маркетинг (део који утиче на кориснике), као
најспецифичнија, која највише утиче на подешавања корисника тиме што мења
несагласна подешавања раније примењених полиса.
На овај начин, глобална подешавања која су заједничка за све кориснике у домену могу
се подешавати у доменској полиси, специфична додатна подешавања могу се додати на
нивоу OU=Београд, и најспецифичнија подешавања за корисника или рачунар могу се
додати на нивоу који је најближи кориснику и рачунару.
Локална полиса која се увек прва примени, и која увек буде измењена применом осталих
полиса које се касније примене, ретко се користи уколико је рачунар део домена, јер сва
подешавања која има локална полиса, као и нека додатна која постоје само у активном
директоријуму, могу се постићи креирањем и везивањем полисе за организациону јединицу у
којој се налази корисник или рачунар.
4.4 Лични директоријуми, корисничко окружење и групне полисе - вежбе

Активност 4.4.1: Креирање личних директоријума
1. На диску C: креирати директоријум „UsersFolders“.
2. Притиснути десним дугметом миша по директоријуму и изабрати опцију „Properties“.
5. Притиснути дугме "Disable Inheritance".
6. Притиснути „Convert inherited permissions into explicit permissions on this object“ како
бисмо копирали наслеђене дозволе (слика 4.3). Задржати се у напредним
подешавањима.
61
Слика 4.3: Напредна подешавања

Уочимо које су дозволе аутоматски додељене:
1. Локална група „Administrators“ има максималне дозволе. Исто се односи и на групу
„SYSTEM“ која представља оперативни систем сервера.
2. Група „CREATOR OWNER“ има максималне дозволе за поддиректоријуме и
фајлове („Subfolders and files only“). Овиме је означено какве ће дозволе имати
корисници над фајловима које сами креирају.
3. Група „Users“ појављује се у листи два пута: једном са „Read&Execute“ за овај
директоријум, поддиректоријуме и фајлове („This folder, subfolders and files“), као и
за специјалну дозволу која омогућава измене и односи се на овај директоријум и
поддиректоријуме (не и туђе фајлове).
4. Како корисници не би могли да креирају фајлове у туђим личним директоријумима
изабрати последњу ставку „Users, Special, This folder and subfolders“, а затим
притиснути на „Remove“.
5. Како корисници не би могли да читају туђе фајлове изменићемо и преосталу ставку
за групу „Users“.
6. Селектовати ставку „Users, Read&Execute“, а затим притиснути на „Edit“.
Слика 4.4: Специјалне дозволе

7. У падајућој листи „Applies to“ изабрати опцију „This folder only“ (слика 4.4).
8. Притиснути на „ОК“, а затим још једном на „OK“.
62

10. Делити директоријум са дозволама „Аuthenticated Users“ „Full Control“.
Преостаје да се у својствима корисничког налога подеси атрибут лични директоријум:
2. Користећи опцију „Find“ пронаћи све кориснике у Београду.
3. Изабрати првог у листи, притиснути десним дугметом миша и изабрати опцију
„Properties“.
4. Изабрати картицу „Profile“.
5. У секцији „Home Folder“ изабрати диск „Z:“ у пољу „Connect to“ унети UNC путању до
лични директоријуми корисника у облику „\\DC1\UsersFolders\%username%“ (слика
4.5).
Слика 4.5: Подешавање лични директоријуми

7. Исти поступак поновити за преостала два корисника у Београду.
8. Проверити садржај директоријума „Users“ на диску C:
9. Проверити дозволе над креираним личним директоријумима.
10. Следећа активност ради се на клијентској радној станици.
11. Пријавити се са радне станице на домен као корисница „vjankovic“.
12. Отворити „My Computer“.
13. Уочити мапирани диск Z:
14. Одјавити се са станице.
Активност 4.4.2: Упознавање са корисничким профилима (окружењем)

Под Windows 7 оперативним системом скуп свих корисничких подешавања назива се
кориснички профил. Кориснички профили корисника који су се пријављивали са неке радне
станице чувају се на локалном диску рачунара у директоријуму „C:\Users“.
1. Пријавити се на радну станицу као „vjankovic“.
63
2. Отворити „My Computer“, затим диск C:, а затим директоријум „C:\Users“.

3. Уочити низ директоријума који се ту налазе.
У директоријуму „Users“ налазе се директоријуми у којима су сачувана лична подешавања
корисника који су се пријављивали са ове станице. Када се неки од тих корисника пријави на
његово окружење се примене сва подешавања из датог директоријума, и корисника по
пријављивању сачека исто онакво окружење какво је оставио на том рачунару када се
последњи пут пријавио.
У директоријуму „Users“ налазе се још два специфична профила:
 „Default User“: ово је почетни, подразумевани профил; ово је почетно подешавање
корисника који се приви пут пријављује са ове радне станице.
 „All Users“: ово је заједнички профил за све кориснике овог рачунара, као што су
ставке у менијима или на радној површини које су видљиве свим корисницима.
Како бисмо видели садржај профила треба отворити директоријум vjankovic. Уочити
директоријуме које се ту налазе („Desktop“, „Start Menu“, „Documents“). Ово су директоријуми
који чине један део корисничког радног окружења. Други део профила, део који чува
подешавања корисника која се иначе чувају у бази регистара, налази се у фајлу „ntuser.dat“.
Када се корисник пријави на мрежу садржај овог фајла учита се у базу регистара и утиче на
подешавање окружења овог корисника.
1. Вратити се један ниво више, у директоријум „C:\Users“.
2. Покушати отварање директоријума других корисника.
Лични директоријуми подразумевано су заштићени NTFS дозволама и дозвољавају
приступ само свом власнику, кориснику на кога се примењују.
Сви ови профили које смо видели називају се локални профили, у смислу да су локални
за конкретну радну станицу. Уколико корисник промени радну станицу, по пријављивању на
нову станицу сачекаће га копија „Default User“ профила.
Активност 4.4.3: Упознавање са покретним профилима

Подразумевано понашање, у коме су профили локални и везани за радну станицу, не
одговара ситуацијама у којима корисници често мењају радне станице. Тада се уместо
локалних, за кориснике могу конфигурисати покретни1 профили. Идеја је слична идеји са
централизованим смештањем корисничких личних директоријума: потребно је направити
дељени директоријум на мрежи, и у својствима корисничког налога подесити да се по
одјављивању корисника са неке радне станице копија локалног профила сачува у
централном дељеном директоријуму. Када се корисник затим пријави са друге радне
станице, због одговарајућих атрибута корисничког налога, уместо подразумеваног „Default
User“ профила кориснику ће се са мреже ископирати претходно сачувани, персонализовани
профил.
1. На серверу отворити „Computer“ а затим диск C:.
2. На диску C: креирати директоријум „Profili“.
3. Директоријум „Profili“ делити са дозволама „Authenticated Users“ „Full Controll“.
4. NTFS дозволе оставити на подразумеваним вредностима.
1 Roaming
64
Овиме смо креирали централни дељени директоријум на мрежи, унутар кога ће се

налазити покретни профили корисника. NTFS дозволе смо оставили на подразумеваним
вредностима јер се операција копирања профила са радне станице извршава са
привилегијама корисника, а не администратора. Подразумеване дозволе дозвољавају свим
корисницима да унутар овог директоријума креирају своје директоријуме.
Над дељеним директоријумом потребно је извршити још једну операцију. Наиме,
ажурирање копије профила на радној станици са копијом на серверу може да дође у колизију
са још једним процесом на Windows оперативном систему који се такође бави
синхронизацијом фајлова. Тај сервис се назива „Offline Files“ и омогућава да станица
локално кешира фајлове са мреже, како би фајлови који се користе били употребљиви
кориснику чак и ако је сервер са дељеним директоријумом недоступан. Уколико се
директоријум користи за смештање профила ову могућност треба искључити.
1. Притиснути десним дугметом миша по директоријуму „Profiles“ и изабрати опцију
„Properties“.
3. Притиснути дугме „Advanced Sharing".
4. Притиснути дугме „Chaching".
5. Изабрати опцију „No files and programs from the shared folder are available offline“
(слика 4.6).
6. Притиснути дугме „OK“ а затим још једном на дугме „OK“, па „Close".
Слика 4.6: Подешавање кеширања фајлова

Даље је потребно у атрибутима корисничког налога подесити својство „Profile Path“, на
основу кога ће бити познато где се налази профил корисника:
2. Претрагом активног директоријума пронаћи све кориснике у Београду.
65
3. Селектовати првог корисника у листи, притиснути десним дугметом миша и

изабрати опцију „Properties“.
4. Изабрати картицу „Profiles“ .
5. У пољу „Profile Path“ унети UNC путању у облику „\\DC1\Profiles\%username%“ (слика
4.7) .
Слика 4.7: Путања до директоријума са профилом

6. Притиснути дугме „Apply“ а затим на дугме „ОК“.
7. Исти поступак поновити и за остале кориснике у Београду.
8. Отворити „My Computer“ а затим диск C:
9. Отворити директоријум „Profiles“.
Уочити да директоријуми за профиле ових корисника нису аутоматски креирани. Оне ће
бити креиране аутоматски када се корисник први пут одјави са неке радне станице. Тада ће
се са радне станице, под овлашћењима корисника, креирати директоријум за тог корисника,
и локални профил са те радне станице синхронизовати са централном копијом.
Активност 4.4.4: Провера функционисања покретних профила

За ову активност потребно је користити додатну радну станицу (Windows 7) коју је
потребно претходно учланити у домен. Као и у првој вежби за овај корак је неопходно
подесити адресне информације. До подешавања долазимо на следећи начин „Start→Control
Panel→Network Connections→Local Area Connection, Properties, Internet Protocol (TCP/IP),
Properties“. Подешавања на клијенту треба да буду:
1. IP аddress: 192.168.1.101.
2. Subnet mask: 255.255.255.0.
3. Default Gateway: остављамо непопуњено.
4. Preferred DNS server: 192.168.1.10.
5. Alternate DNS server: остављамо непопуњено.
6. Притиснемо на дугме „ОК“.
66
Проверићемо доступност сервера са стране клијента. Отворићемо командни прозор:

„Start→ Run“, укуцати „cmd“ а затим притиснути „OK“. У командном прозору унети: „ping
dc1.lab.edu.rs“
Уколико добијемо одговор од сервера можемо сматрати да мрежа између сервера и
клијента функционише, и можемо прећи на следећи корак.
1. На клијентској радној станици отворити „Start →Control Panel→System“.
2. Изабрати картицу „Computer Name“, Притиснути дугме „Change“.
3. У секцији „Member of“ (доле) изабрати „Domain“, и у одговарајућем пољу унети име
домена у који учлањујемо радну станицу: „lab.edu.rs“. Притиснути дугме „OK“.
4. Учлањивањем станице у домен у активном директоријуму се креира налог за
рачунар. За ово је потребно имати одговарајуће привилегије, налог за
администратора домена. У новом дијалог прозору треба унети „Administrator“ као
корисничко име, и „password“ као лозинку, јер је то налог за администратора
домена. Притиснути дугме „OK“.
5. После добијања поздравног дијалог прозора, притиснути на „OK“ и прихватити
поновно покретање рачунара.
6. Након покретања пријавити се са додатне радне станице на домен као корисница
„vjankovic“ са лозинком „Password2“.
7. Како бисмо уочили измене у профилу потребно је изменити неколико ствари у
оквиру корисничког окружења:
 Изменити слику на радној површини.
 Покренути едитор текста „Notepad“, унети неколико слова и сачувати документ.
Документи се подразумевано чувају у директоријуму „My Documents“. Затворити
едитор текста. Садржај директоријума „My Documents“ део је корисничког
профила.
 Отворити директоријум „My Documents“, притиснути десним дугметом миша по
фајлу „pismo.txt“, изабрати опцију „Send To, Desktop (Create Shortcut)“. Тиме смо
направили пречицу на радној површини. Изглед и садржај радне површине део су
корисничког профила.
1. Одјавити се са додатне радне станице.
2. На серверу уочити да се унутар директоријума „Profiles“ креирао директоријум за
покретни профил.
3. Пријавити се са друге клијентске радне станице као корисница „vjankovic“.
4. Уочити да је изглед радног окружења ове кориснице (између осталог изглед радне
површине, садржај директоријум „My Documents“) сачуван без обзира што је
корисница променила радну станицу.
5. Одјавити се са радне станице.
6. Пријавити се на додатну радну станицу као доменски администратор са лозинком
„password“ и радну станицу избацити из домена. Не рестартовати радну станицу
већ је угасити.
67
Активност 4.4.5: Преглед доменских полиса

У току инсталације активног директоријума креирана је подразумевана доменска полиса
која утиче на глобална подешавања свих корисника рачунара у домену. Како се
претпоставља да ће администратор домена поставити на разним местима у хијерархији
специфичне групне полисе које су њему потребне, ова, подразумевано креирана полиса
бави се само најважнијим глобалним подешавањима, као што су подешавања која се тичу
дужине и сложености корисничких лозинки.
1. Пријавити се на контролер домена као доменски администратор.
2. Покренути алатку „Group Policy Management“ која се налази у оквиру
административних алата.
3. Уочити стабло шуме под називом Forest: „lab.edu.rs" са леве стране и притиснути
знак + испред како бисмо разгранали исту.
4. Уочити ставку „Domains" и притиснути + испред ње.
5. Уочити домен „lab.edu.rs" и притиснути + испред.
6. Уочити групну полису под називом „Default Domain Policy" која је везана за цео
домен, a затим притиском на десно дугме миша над истом изабрати опцију „Edit".
Овим ће се у новом прозору отворити едитор групних полиса у коме можемо
редефинисати подешавања полисе.
7. У левом пољу едитора групних полиса отворити грану „Computer Configuration /
Policies / Windows Settings / Security Settings / Account Policies / Password Policy“
(погледати слику 4.8).
8. Уочити подразумевана ограничења по питању лозинки.
9. Затворити едитор групних полиса.
Слика 4.8: Ограничења везана за лозинке

Осим ове, подразумевано је креирана и полиса која утиче на све домен контролере:
1. Уочити организациону јединицу „Domain Controllers“ и притиснути + испред ове
организационе јединице. У оквиру ње појавиће се полиса под називом „Default
Domain Controllers Policy“.
2. Притиснути десним дугметом миша на ову полису и изабрати ставку „Edit".
3. Отворити грану „Computer Configuration / Policies / Windows Settings / Security
Settings / Local Policies / User Rights Assigments“ (слика 4.9).
68
Слика 4.9: Корисничка права

4. Уочити ко има права да се локално пријави на домен контролере.
5. Затворити едитор полисе.
Активност 4.4.6: Креирање локалне полисе

У овој активности креираћемо нову групну полису, и везати је за организациону
јединицу. Подешавања која ћемо вршити тичу се покретних профила. Покретни
профили доносе поред користи за кориснике и одређене проблеме. Наиме уколико је
кориснички профил обиман, тада свако пријављивање корисника на неку радну станицу
захтева пренос са сервера огромне количине података. Клијентски профил постаје
обиман уколико корисници, на пример чувају податке на радној површини уместо у
личном директорију која није део профила. Осим тога постоје и директоријуми унутар
корисничког профила који могу садржати велике количине података (и тиме
доприносити спором пријављивању), а да кориснику нису јасно видљиви. То су
директоријуми у којима разне апликације (нпр. интернет експлорер) чувају привремене
документе (нпр. кеширане веб странице). Изузимање ових директоријума из профила
смањује величину профила без много утицаја на корисничко окружење.
1. У оквиру алатке „Group Policy Management“ уочити организациону јединицу
„Beograd“, притиснути десним дугметом миша и изабрати опцију „Create a GPO in
this domain and link it here ...“. Овим покрећемо поступак прављења нове полисе која
ће бити везана за организациону јединицу „Beograd“ и која ће евентуално (зависи
који део полисе се подешава) утицати на налоге за рачунаре и налоге за кориснике
који се налазе у овој организационој јединици.
2. У дијалог прозору за име полисе дефинисати име „Beogradska“ и притиснути „ОК“
(слика 4.10).
3. Овим је направљена нова групна полиса без и једног подешавања, која је везана за
организациону јединицу „Beograd“. Како бисмо могли да је изменимо неопходно је
притиснути десним дугметом миша на групну полису „Beogradska“ и изабрати опцију
„Edit“.
4. Отворити грану „User Configuration / Policies / Administrative Templates / System / User
Profiles“.
5. У десном пољу уочити „Limit Profile Size“ и двоструким притиском дугмета миша
отворити подешавање (слика 4.11).
69
Слика 4.10: Дефинисање нове групне полисе
Слика 4.11: Подешавање корисничких профила

6. Изабрати опцију „Enabled“ како бисмо укључили ово подешавање у полиси. Уочити
колико је ограничење за кориснички профил.
8. У десном пољу уочити „Exclude directories in roaming profile“ и двоструким притиском
дугмета миша отворити подешавање.
9. Изабрати опцију „Enabled“ како бисмо укључили ово подешавање.
10. Изабрати картицу „Explain“ како бисмо видели који су директоријуми изузети из
профила.
Осим овога постоји још једно подешавање које се тиче покретних профила. И
директоријум „My Documents“, подразумевани директоријума за смештање докумената, део
је покретног профила и у подразумеваном стању копира се са сервера на локалну станицу
сваки пут када се корисник пријави са радне станице. Групна полиса има подешавање које
70
омогућава да се овај директоријум, као и неки други директоријуми, преусмере на неко друго
место. На пример, „My Documents“ може се преусмерити у лични директоријум и тиме
искључити из синхронизовања профила, при чему лични подаци корисника остају лако
доступни.
1. Отворити грану „User Configuration / Policies / Windows Settings / Folder Redirection“.
2. У десном пољу уочити „Documents“, притиснути десним дугметом миша и изабрати
опцију „Properties“ (слика 4.12).
3. У пољу „Settings“ изабрати опцију „Basic-....“
4. У пољу „Target folder location“ изабрати опцију „Redirect to the user‘s home directory“
(слика 4.13).
Слика 4.12: Преусмеравање директоријума

6. Затворити едитор полиса.
Слика 4.13: Подешавања за My Documents
Активност 4.4.7: Провера функционисања групних полиса

1. Пријавити се са радне станице као корисник jpetrovic са лозинком „Password2“.
2. Притиснути дугме „Start“, и уочити директоријум „My Documents“.
71
3. Притиснути десним дугметом миша по иконици „My Documents“.

4. Изабрати опцију „Properties“.
5. Уочити локацију овог директоријума.
7. Уочити у доњем десном дугмету екрана иконицу која приказује тренутну величину
профила.

1. Чему служи корисничке лични директоријуми?
2. Шта је кориснички профил?
3. Која је намена покретног корисничког профила?
4. Чему служе групне полисе?
5. Којом алатком управљамо доменским полисама?
72
V ВЕЖБА
АНАЛИЗА САОБРАЋАЈА У РАЧУНАРСКИМ МРЕЖАМА
Циљ вежбе је упознавање са слојевитом архитектуром протокола. Као два најважнија

примера издвојени су OSI и TCP/IP референтни модели. У теоретском делу вежбе
извршена је анализа поједначних слојева ова два референтна модела. Практични
део вежбе посвећен је анализи саобраћаја у рачунарској мрежи коришћењем
софтвера Wireshark.
5. Анализа саобраћаја у рачунарским мрежама

У администрацији рачунарских мрежа и детекцији отказа важну улогу играју алати којимa
се може надгледати и анализирати саобраћај у рачунарској мрежи. Један од данас веома
заступљених програма је Wireshark.
Да би се анализирао саобраћај потребно је познавати архитектуру протокола рачунарских
мрежа.
5.1 Увод
Рачунарску мрежу можемо описати као скуп уређаја који су међусобно повезани
трансмисионим (преносним) медијумом. Крајњи корисници користе мрежу за различите
потребе: слање и пријем порука електронске поште, приступ информацијама које се налазе
на удаљеним рачунарима, пренос звука, слике...Крајњи корисник види мрежу као услугу која
постаје доступнa употребом одговарајућих уређаја као што су рачунар, мобилни телефон и
одговарајуће апликације.
Услуга (сервис) мреже обезбеђује се усклађеним радом многобројних софтверских и
хардверских компоненти које:
 генеришу податке,
 идентификују крајње тачке комуникације,
 управљају преносом података од једне до друге крајње тачке,
 савладавају проблеме преноса података по трансмисионом медијуму, повезују
групе рачунара и корисника који користе различите трансмисионе медијуме и који
могу бити географски удаљени.
Како би разнородни уређаји могли међусобно да комуницирају развијени су бројни
протоколи као скупови правила који управљају комуникацијом.
Сложен задатак комуникације подељен је у мање управљивије и лакше разумљивије
задатке. Уочени су специфични аспекти комуникације, на пример:
1. претраживач корисника захтева веб страницу од сервера,
2. два софтверска процеса на различитим уређајима размењују податке без грешака,
3. између рачунара који се налазе на различитим мрежама на различитим крајевима
света преносе се подаци,
4. рачунари размењују податке преко трансмисионог медијума којим су повезани,
5. бинарни подаци претварају се (кодирају) у одговарајуће сигнале прилагођене
трансмисионом медијуму преко кога се преносе.
За сваки од подзадатака, сваки аспект (облик) међусобне комуникације, развијени су протоколи,
правила која решавају тај аспект комуникације. Различите софтверске и хардверске компоненте на
крајњим уређајима решавају само свој подзадатак. Усклађеност рада свих тих компоненти
обезбеђује се јасним интерфејсом - шта свака поједина компонента треба да обезбеди како би
остале компоненте могле да користе резултате њеног рада.
5.2 Слојевита архитектура протокола

Слојевита архитектура протокола (слојевита архитектура, архитектура протокола,...),
слојевит модел комуникације, као што су OSI или TCP/IP референтни модели дефинише
слојеве односно подзадатке који се решавају у процесу комуникације. На сваком слоју
74
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
постоје софтверске или хардверске компоненте које решавају задатке на том слоју. За сваки
слој одређена су правила, протоколи које компоненте на том слоју морају да поштују.
У слојевитој архитектури протокола дефинисано је место сваког од протокола у
хијерархији протокола. Сваки слој има интерфејс преко кога обезбеђује услуге слоју изнад
себе. Са друге старне дати слој своје подзадатке решава користећи услуге слоја испод себе.
Два најпознатија референтна модела су OSI1 и TCP/IP2.
5.3 OSI и TCP/IP референтни модели

Код OSI референтног модела комуникациони задаци су подељени у седам слојева. На
сваком слоју дефинисани су протоколи који имплементирају функционалност (услугу) која се
од њега очекује. OSI референтни модел је тежи за имплементацију од TCP/IP референтног
модела. Данас се користи само за поређења са другим референтним моделима.
Због своје једноставности TCP/IP референтни модел данас је у широкој употреби. TCP/IP
фамилија протокола представља основ за изградњу глобалне рачунарске мреже –
Интернета.
Слика 5.1: OSI и TCP/IP референтни модели

Задаци слојева према OSI моделу су:
1. Апликациони слој: протоколи овог слоја омогућавају апликацијама заједнички језик
за комуникацију. Комуникационе компоненте корисничких апликација (веб
претраживача, клијената електронске поште и сл) имплементентирају протоколе
апликационог слоја.. Протоколи на овом слоју идентификују учеснике у
комуникацији (веб претраживач и веб сервер), захтевају ресурс и одређују да ли је
ресурс доступан (захтев за веб страницом и одговор) и синхронизују пренос
података. Примери протокола на овом слоју су: HTTP3 протокол (на коме је
1 Open System Interconnected

2 Transmission Control Protocol/Internet Protocol
3 Hyper Text Transfer Protocol
75
заснован веб сервис), FTP1 протокол (пренос датотека), SMTP2, POP3, IMAP4
протоколи (електронске поште) ...
2. Слој презентације: на овом слоју решавају се проблеми представљања података на
различитим рачунарима. Протоколи на овом слоју треба да обаве договор око тога
како да се протумаче подаци који се преносе: ASCII5 или UNICODE6, да ли су
компримовани, шифровани и сл.
3. Слој сесије: протоколи на овом слоју треба да обезебеде договор око почетка,
завршетка и опоравка (уколико је потребно) прекинуте сесије између две апликације
на различитим рачунарима.
4. Транспортни слој: протоколи на овом слоју треба да омогуће апликацијама на
различитим рачунарима поуздан пренос података са краја на крај, уз опоравак од
грешака и контролу тока. Пошто су рачунарске мреже засноване на преносу са
комутацијом пакета задатак протокола на овом слоју је и да податке које генеришу
апликације сегментирају на мање управљивије целине - сегменте, како би се могле
пренети рачунарском мрежом. Најчешће постоји више мрежних апликација на
рачунарима који комуницирају па је и задатак овог слоја да омогући
мултиплексирање како би подаци били испоручени правој апликацији на
одредишну. Софтверске компоненте које су саставни део оперативног система
рачунара имплементирају функције овог слоја.
5. Мрежни слој: протоколи на овом слоју омогућавају пренос јединица података,
пакета, од изворишног до одредишног рачунара, при чему пакети могу пролазити
кроз велики број посредних мрежа. Посредни уређаји, рутери, повезују мреже и
усмеравају пакете до одредишне мреже или до другог рутера на путањи ка
одредишној мрежи. Протоколи на овом слоју имају задатак да омогуће комуникацију
без обзира како је комуникациони уређај (рачунар, рутер,...) повезан на мрежу.
Сваки комуникациони уређај се може једиствено идентификовати својом логичком
адресом и то на такав начин да се може означити и мрежа на којој се
комуникациони уређај налази као и сам комуникациони уређај. Софтверске
компоненте које су део оперативног система рачунара имплементирају
функционалност овог слоја. И посредни мрежни уређаји, рутери, реализују функције
овог слоја.
6. Слој везе: протоколи овог слоја формирају своје јединице података (рамове7),
омогућавају синхронизацију предајника и пријемника преко трансмисионог
(физичког) медијума, постављају ознаке о почетку и краја преноса, идентификују
предајник и пријемник, детектују а код неких имплементација и обезбеђују опоравак
од грешке.
7. Физички слој дефинише физички интерфејс (физичке и електричне карактеристике
конектора и трансмисионих медијума) између уређаја и правила по којима се
1 File Transfer Protocol

2 Simple Mail Transfer Protocol
3 Post Office Protocol
4 Internet Message Access Protocol
5 American Standard Code for Information Interchange. Скуп знакова и кодна страница утемељена на
латинском писму. Најчешће се користи у рачунарству, али и у комуникационој и управљачкој опреми у

раду са текстом (http://sr.wikipedia.org/wiki/ASCII).
6 UNICODE је стандард у рачунарској индустрији чији је циљ конзистентно кодирање највећег броја система
писама у свету.
7 Frames
76
сигнали преносе од једног до другог. Мрежни адаптер реализује функције овог слоја
и слоја везе.
TCP/IP модел је једноставнији (слика 5.2):
1. У оквиру TCP/IP модела нису предвиђени посебни слојеви апликације, презентације
и сесије већ јединствени апликативни слој. То значи да се протоколи на овом слоју
(HTTP, FTP, SMTP, и други) сваки на свој начин договарају око презентације
података и сесије.
2. Транспортни слој TCP/IP модела одговара истоименом слоју OSI моделa. На овом
слоју дефинисани су протоколи: TCP и UDP1.
3. Интернет слој одговара мрежном слоју OSI модела. На овом слоју дефинисани је
IP2 протокол који обезбеђује слање, усмеравање и примање пакета (јединица
података мрежног слоја) од једног рачунара, кроз скуп мрежа повезаних рутерима
до одредишног рачунара на удаљеној мрежи.
4. Слој приступ мрежи одговара слоју везе и физичком слоју OSI модела. Постоје
различите имплементације протокола на овом слоју. Разликују се протоколи овог
слоја на мрежама ширег географског подручја (WAN3) као што је тачка-тачка
протокол (PPP4) од протокола у локалним рачунарским мрежама (нпр. жичним
Етернет као што је CSMA/CD5 или бежичним CSMA/CA6). Слој приступа мрежи
омогућава пренос рамова између чворова (рачунара, уређаја за комуникацију) једне
мреже. Мрежни слој, са друге стране, бави се преносом пакета између рачунара
који се налазе на међусобно удаљеним мрежама не водећи рачуна о томе како су
те мреже реализоване. На овом слоју, као што је напоменуто, у локалним мрежама
користи се Етернет технологија, a функционалност приступа медијуму, кодирања и
декодирања извршава мрежни адаптер уз одговарајући управљачки програм.
5.4 Комуникација између слојева на различитим рачунарима

Протокол на сваком слоју реализован је разменом јединице података тог протокола са
одговарајућим, истоименим слојем (парњаком) на другом рачунару или комуникационом
систему (слика 5.2).
1 User Datagram Protocol

2 Internet Protocol
3 Wide Area Network
4 Point To Point Protocol
5 Carrier Sense Multiple Access With Collision Detection (протокол за вишеструки приступ са детекцијом
колизије) је протокол за приступ трансмисионом медијуму више равноправних станица (деобу заједничког)
трансмисионог медијума) који се користио у првим Етернет локалним рачунарским мрежама. Реализује се
на следећи начин: станица пре него што почне да шаље податке проверава да ли нека друга станица већ
шаље податке. Уколико ниједна друга станица не користи трансмисиони медијум, станица започиње слање
података и проверава да ли је дошло до истовременог слања (судара, колизије) са подацима неке друге
станице. Уколико установи колизију станица обуставља слање својих података и обавештава о томе све
остале станице на локалној мрежи. Ако трансмисиони медијум није био слободан станица чека да се
ослободи и тада започиње процедуру слања.
6 Carrier sense multiple access with collision avoidance (протокол за вишеструки приступ са заобилажењем
колизије) је протокол који се користи у бежичним локалним рачунарским мрежама за деобу (истовремено
кориђћење) заједничког трансмисионог медијума. Станица пре слања проверава да ли је трансмисиони
медијум слободан. Уколико јесте шаље податке уколико није одлаже слање док се трансмисионни медијум
не ослободи. Пошто у бежичним мрежама није могуће истовремено слати и примати податке (као што је то у
жичним) детекција колизије није могућа. Због тога се примењује метод заобилажења колизије коришћењем
посебних контролних сигнала које и станице које нису у међусобном домету могу да детектују.
77
Слика 5.2: Комуникација истоимених (парњак) слојева

Јединице података које се размењују садрже контролне информације које су потребне за
решавање проблема на том слоју (нпр. идентификација рачунара или контола тока, или захтев за
ресурсом). Постоји логичка, привидна комуникација између истоимених (парњак) слојева на
различитим рачунарима. Стварни ток података је онај који се одвија преносом по трансмисоном
медијуму.
5.5 Интерфејс између два слоја на истом рачунару

Како би остварили своју функционалност протоколи на датом слоју користе услуге слоја испод
њих. Сваки протокол прави јединице података уносећи у своје заглавље потребне контролне
(управљачке) информације. Те јединица података протокола предају се нижем слоју како би се
обавио следећи комуникациони подзадатак. Нижи слој прихвата јединице података слоја изнад
себе, не анализирајући њихов садржај и додаје своје заглавље са контролним информацијама које
су битне за задатке које тај слој решава. Процес се назива укалупљивање (паковање,
енкапсулација). Када сваки од слојеви дода своје заглавља са контролним информацијама
добијена целина се преноси трансмисионим медијумом (слика 5.3). На пријемној страни одвија се
супротан процес: распакивање (декапсулација). Физички интерфејс декодује примљени рам и
предаје га слоју везе. Он провери своје контролне информације (нпр. детектује и и коригује могуће
грешке) одстрањује своје заглавље и остатак (пакет) предаје мрежном слоју.
Слика 5.3: Укалупљивање (енкапсулација)
78
5.6 Програм за анализу мрежних протокола Wireshark

Wireshark је програм који припада групи анализатора мрежних протокола. Главна
функција програма за анализу мрежних протокола је снимање (хватање) пакета на мрежном
интерфејсу, као и њихов детаљан приказ зарад анализе. Wireshark представља софтвер
отвореног кода1. Употребна вредност овог програма огледа се у томе где се све може
употребити, као на пример:
 употреба од стране мрежних администратора приликом решавања проблема у
функционисању мреже,
 приликом пројектовања и надгледања безбедности у мрежи,
 приликом пројектовања и анализе имплементације мрежних протокола.
5.6.1 Системски захтеви у коришћењу програма Wireshark

Програм (Wireshark) је просечно захтевна апликација по питању ресурса. Минимална
захтевана брзина процесора је 400MHz, док је минимилна количина меморије 128MB. Захтев
за простором на диску је 100-200МB. У зависности од броја ухваћених пакета у јединици
времена захтев за меморијом може бити драстично повећан (прикупљање пакета на потпуно
засићеној eтернет мрежи брзине 100Мb/s захтева 750МB/минут).
Програм Wireshark се може инсталирати на следећим оперативним системима:
 Windows 2000, XP Home, XP Pro, XP Tablet PC, XP Media Center, Server 2003 or
Vista (XP Pro recommended);
 Apple Mac OS X, Debian GNU/Linux, FreeBSD, Gentoo Linux, HP-UX, Mandriva Linux,
NetBSD, OpenPKG, Red Hat Fedora/Enterprise Linux, rPath Linux, Sun Solaris/i386,
Sun Solaris/Sparc;
 На осталим оперативним системима превођењем изворног кôда.
Подржани мрежни адаптери:
 Етернет мрежни адаптери,
 WLAN2 мрежни адаптери,
 Адаптери са следеће листе http://wiki.wireshark.org/CaptureSetup/NetworkMedia.
Преузимање најновије верзије програма Whireshark може се обавити на адреси
http://www.wireshark.org/download.html. Нова верзија програма објављује се сваких 4 до 8
месеци.
5.6.2 Употреба програма Wireshark

Изглед интерфејса програма
Након успешно изведене инсталације програм се покреће на класичан начин (Start → All
Programs → Wireshark → Wireshark). Када се програм стартује добија се почетни изглед
екрана приказан на слици 5.4.
1 Open Source
2 Wireless Local Area Network
79
Слика 5.4: Почетак рада у програму Wireshark

Интерфејс програма је подељен на 4 дела. Први део представљају ставке менија као што
су File, Edit, View....Одмах испод менија налази се палета иконица које замењују одређене
ставке у менију, ради лакшег руковања програмом. Испод палете иконица налази се део у
коме се врши избор неког од унапред дефинисаних филтара којим ће се филтрирати
ухваћени саобраћај, као и дугме Expression којим је могуће креирати специфичан филтер.
Процентуално највећи део екрана припада радној површини у којој ће бити приказан
резултат операције прикупљања пакета на интерфејсу.
5.6.3 Рад у програму Wireshark

Да бисмо имали шта да анализирамо неопходно је „ухватити“ неке пакете на мрежном
адаптеру. Генерално, постоје два начина рада у програму Wireshark. Први начин је пасивни,
када се само стартује процес хватања пакета на интерфејсу, без потребе генерисања
саобраћаја кроз тај интерфејс. При том, на рачунару на коме је укључен процес хватања не
постоји апликација која активно користи мрежни адаптер. Овим начином могуће је ухватити
бродкаст и мултикаст саобраћај у мрежи. Други начин рада је активни, у смислу праћења
података који се шаљу и примају кроз интерфејс истовремено (нпр. праћење једне web
сесије – корисник је отворио web претраживач и укуцао адресу неког сајта).
Покретање процеса прикупљања, односно хватања пакета одвија се на следећи начин:
1. Из менија Capture изаберемо Interfaces (слика 5.5).
2. У новоотвореном прозору Wireshark: Capture Interfaces биће излистани сви мрежни
интерфејси који су присутни на рачунару. Изабрати жељени интерфејс и кликнути
на Start. У случају да је потребно изменити опције везане за хватање пакета на
изабраном интерфејсу пре покретања хватања треба кликнути на дугме Options,
при чему се добија дијалог прозор приказан на слци 5.5.
80
Слика 5.5: Одабир интерфејса

3. Када желимо да завршимо са хватањем пакета неопходно је отићи на падајући
мени Capture и изабрати опцију Stop (слика 5.6.)
Слика 5.6: Покретање хватања саобраћаја
Слика 5.7: Подешавање опција везаних за интерфејс
81
Слика 5.8: Заустављање процеса снимања (хватања) пакета

Након заустављања процеса хватања пакета, у централном делу прозора морало би да
добијемо резултат у виду приказа свих ухваћених пакета за време трајања процеса хватања
(слика 5.9). Као што се и види, прозор са резултатима је подељен на три дела и то горњи део
у коме су излистани сви пакети, средњи део у коме су приказане детаљне информације о
изабраном пакету из горњег дела прозора и део на дну у коме се може видети како пакет
изгледа на медијуму (приказ у хексадецималном бројном систему).
Слика 5.9: Приказ резултата процеса „хватања“

Пакети су приказани по оном редоследу по којем су ухваћени. Сваки пакет има свој редни
број што се може видети у крајње левој колони у резултатима и помаже при анализи
резултата. Поред тога, за сваки пакет је приказано време када је ухваћен, извориште које је
генерисало пакет, одредиште коме је намењен пакет, протокол коме пакет припада и
детаљније информације о пакету (крајња десна колона). На слици се може приметити да су
пакети обојени различитим бојама, чиме је постигнуто веома једноставно визуелно
разликовање пакета по протоколу. Боје које се користе за означавање протокола могу се
изменити и то избором падајућег менија View па опције Coloring Rules.
Као што се види на слици 5.9, у овом случају је изабран пакет са редним бројем 415,
ухваћен у 223.089381 секунди од укључења процеса хватања. Пакет је послат са адресе IP
172.16.37.161 на адресу IP 195.252.117.132, помоћу TCP протокола. Испод листе ухваћених
пакета налазе се детаљне информације о селектованом пакету и то разврстане по слојевима
ТCP/IP референтног модела. Информације су груписане по протоколу одређеног слоја, као
што је на пример Етернет II, IP, TCP... Када кликнемо на плус поред одређеног протокола
82
добићемо детаљне информације о заглављу тог протокола, које је везано за изабрани пакет
(слика 5.10.)
Слика 5.10: Детаљан приказ информација о изабраном

У случају да је потребно, корисник може снимити резултат анализе у посебан фајл са
екстензијом .pcap и то избором падајућег менија File па Save As. Снимљени резултат
хватања пакета се може отворити у програму Wireshark по потреби.
5.6.4 Филтрирање пакета

При процесу хватања пакета програм Wireshark на изабраном интерфејсу хвата све
пакете који долазе са мреже а који су адресирани за специфицирани интерфејс (MAC или IP
адреса), мултикаст и бродкаст пакете, као и пакете које генерише станица на којој је покренут
Wireshark, а који су намењени за слање на мрежу. Услед тога, при анализи конкретних
типова пакета, неминовно је појављивање и непожељних пакета, који нам нису од интереса,
и самим тим отежавају анализу. Филтрирање пакета је начин за издвајање одређених
ухваћених пакета по унапред задатом услову као што су изворишна адреса, одредишна
адреса, тип протокола, изворишни порт, одредишни порт...У зависности од жељене тачности
издвајања пакета могуће је комбиновати различите услове и на тај начин добити сложени
услов (на пример издвојити све пакете који су намењени IP адреси 172.16.32.1, послати
помоћу TCP протокола, где је одредишни број порта 80).
Унутар Wireshark програма пакете је могуће филтрирати на два начина: пре и после
процеса хватања. Префилтрирање (Capture filter) је начин да се постави филтер тако да
Wireshark прихвата или одбацује само пакете који испуњавају услов који је задат у филтеру.
Постфилтрирање (Display filter) пакета извршава се по завршеном процесу хватања пакета,
при чему издвајање по условима филтера врши над свим ухваћеним пакетима. Могуће је
прво дефинисати префилтрирање (нпр. само TCP) па по завршетку хватања извршити пост-
филтрирање (нпр. само изворишни порт 80 – тиме смо добили све пакете који потичу од
било ког сервера). Процес префилтрирања врло је битан за ефикасан рад, јер се на тај
начин смањује број пакета које Wireshark треба да ухвати, обради и прикаже, чиме се
првенствено утиче на количину меморије која је неопходна.
83
5.6.5 Креирање филтера

У случају да префилтер није креиран и постављен, Wireshark ће хватати све пакете који су
адресирани на специфицирани интерфејс, све бродкаст пакете, мултикаст пакете и пакете
који излазе из интерфејса према мрежи (слика 5.11). Број ухваћених пакета је сразмеран
активности на мрежи, тако да је, у извесним случајевима, немогуће наћи одређени пакет
визуелном методом, па се стога пакети морају филтрирати након завршеног процеса
хватања. Ово филтрирање се врши помоћу филтера за приказивање (display filters), који се
примењују по заустављању процеса хватања и то избором падајућег менија Analyze а затим
опције Display Filters, приликом чега се добија прозор сличан оном приказаном на слици 9.
Када се креира филтер и потврди кликом на ОК дугме, у списку ухваћених пакета биће
приказани само пакети који испуњавају услов филтрирања.
Слика 5.11: Приказ ухваћених пакета пре филтрирања

На сликама 5.12 и 5.13 приказан je пример примене филтера.
Слика 5.12: Креирање Display Filter
84
Слика 5.13: Приказ пакета који су прошли услове филтрирања
5.6.7 Додатне опције програма Wireshark

Поред стандардне могућности хватања пакета, филтрирања и анализе сваког
појединачног пакета, програм Wireshark има могућност да прикаже збирну статистику за
обављен процес хватања, да прикаже које су крајње тачке у комуникацији, да прикаже TCP
ток података где се на једноставан начин могу анализирати секвенцни бројеви, да прикаже
граф тока података...Наведене су неке од додатних опција:
5.6.8 Извештај о обављеном процесу хватања пакета

Овај извештај може се добити избором падајућег менија Statistcis, а затим опције
Summary. Изглед извештаја приказан је на слици 5.14. Можемо видети да су у извештај
укључене информације као што су: датум када је обављен процес хватања, дужина трајања
процеса хватања, број ухваћених пакета, просечна количина података по јединици времена...
85
Слика 5.14: Приказ извештаја о обављеном процесу хватања

5.6.9 Извештај о крајњим тачкама комуникације
Овај извештај представља списак адреса са којима се комуницирало у току процеса
хватања и приказан је за сваки протокол понаособ. Извештај се може добити избором
падајућег менија Statistics, а затим опције Endpoints, након чега се добија прозор као на
слици 5.15. У оквиру сваког протокола наведене су све адресе као и статистички подаци у
виду броја послатих и примљених пакета за одређену адресу.
Слика 5.15: Приказ извештаја о крајњим тачкама у комуникацији

(све адресе са којима је вршена размена пакета)
86
5.6.10 Дијаграм тока

Један од додатних приказа комуникације за време трајања процеса хватања је приказ у
облику дијаграма тока. Дијаграм тока може се добити избором опције Statistics, а затим
опције Flow Graph. По избору ове опције Wireshark приказује дијалог прозор (слика 5.16) где
је потребно изабрати да ли желимо дијаграм само за приказане пакете или за све, да ли
желимо општи дијаграм тока, или дијаграм тока само за TCP протокол и тип адресе који
желимо да прикажемо у дијаграму тока. По одабиру жељених подешавања, кликом на дугме
ОК, добијамо приказ дијаграма тока (слика 5.17). Врло корисна опција при анализи рада TCP
протокола је избор опције ТCP flow пре генерисања дијаграма тока, јер се на тај начин
издваја само TCP саобраћај, а што је још важније за сваки размењени TCP сегмент приказују
се секвенцни број и број потврде, те је стога лако испратити једну TCP сесију (слика 5.18).
Слика 5.16: Дијалог прозор за избор опција при креирању дијаграма тока
Слика 5.17: Генерални дијаграм тока за све ухваћене пакете
87
Слика 5.18: Дијаграм тока TCP саобраћаја
5.7 Анализа саобраћаја у рачунарским мрежама - вежбе

Активност 5.7.1: Анализа мрежног саобраћаја
За анализу биће коришћен програм Wireshark. У овој активности погледаћемо снимак
саобраћаја који је сачуван у фајлу cap1.cap.
1. На Ubuntu радној станици покренути програм Wireshark: Програми → Интернет →
Wireshark.
2. У оквиру програма Wireshark отворити мени File, затим Open.
3. У дијалог прозору за навигацију пронаћи лични фолдер и у њему фајл cap1.cap.
Слика 5.19: Прозор програма Wireshark

4. Притиснути на дугме Отвори.
Прозор програма састоји се од три панела (слика 5.20):
 У највишем панелу може се видети редослед примљених пакета. Сваки пакет
означен је редним бројем и ознаком на релативној временској скали од почетка
снимања.
 Средњи панел приказује детаље ухваћеног пакета. Пакет је рашчлањен по
слојевима. Притиском на троугао поред назива неког протокола (са леве стране)
могу се видети детаљи - контролне информације које је тај протокол унео. Сваки
88
панел има сопствену траку на покретање (scroll bar) са десне стране, па је неки
пут потребно искористи је како би се видели детаљи протокола.
Слика 5.20: Преглед детаља пакета

 Најнижи панел приказује у хексадецималном формату сиров, нерашчлањен
садржај пакета.
1. У горњем панелу селектовати пакет број 1 како би се у средњем панелу приказао
његов садржај.
2. Прегледаћемо садржај пакета од највиших слојева ка нижим. У средњем панелу
притиснути на троугао поред Domain Name System (Query) како бисмо видели
детаље апликационог протокола који се користио. Овај протокол је задужен за
разрешавање имена хоста у IP адресу хоста. Овај пакет упућен је са радне станице
ка DNS серверу. Притиснути на троугао поред Queries како бисмо уочили које име
треба да се разреши.
3. Порука (јединица података) апликационог протокола преноси се укалупљивањем
(енкапсулирањем) у јединицу података протокола транспортног слоја. DNS
протокол користи UDP као транспортни протокол. Погледаћемо његове детаље:
притиснути на троугао поред User Datagram Protocol. Овај протокол транспортног
алоја има задатак да омогући мултиплексирање комуникационих веза
(конверзације) на рачунарима. Различити софтверске апликације (процеси) на
једном и другом рачунару идентификују се бројем порта. Уочити изворишни број
порта који означава клијентски процес који шаље упит, и одредишни број порта који
означава серверски процес коме је намењен упит.
4. Да би горенаведени UDP датаграм био успешно пренесен од рачунара до рачунара,
кроз (могуће) већи број мрежа повезаних рутерима, мора бити упакован у IP пакет
на Интернет слоју TCP/IP модела. Овај слој додаје контролне информације које су
битне за јединствено идентификовање рачунара на Интернету: изворишну и
одредишну IP адресу. На основу одредишне адресе рутери могу да усмере пакет ка
одредишту. Притиснути на троугао поред Internet Protocol. Треба уочити поља која
су садржана у контролним информацијама – заглављу IP пакета1. Поља имају
значења:
8.1. Version: верзија протокола која се користи.
8.2. Header Length: дужина читавог заглавља у 32-битним речима.
8.3. Differentiated Services Field: поље од једног бајта које се може користити за
обезбеђивање квалитета сервиса: различито третирање пакета у погледу
кашњења, пропусног опсега, и сл. за овај пакет.
8.4. Total Length: укупна дужина пакета.
8.5. Identification, Flags, Fragment Offset: Овај пакет ће у току даље укалупљивањa
бити запакован у рам на слоју приступа мрежи. Тај слој са своје стране има
ограничење у максималној величини рама. Чак и када се испоштује захтев за
овим ограничењем није сасвим сигурно да на путу ка одредишту овај пакет неће
1 Анализа се односи на IPv4 верзију протокола.
89
морати да прође кроз мрежу за коју превазилази ово ограничење. Посредни

уређаји тада деле (фрагментују) пакет, и сваки део (фрагмент) наставља пут
самостално уз одговарајуће заглавље са контролним инфромацијама. На
долазном рачунару сви се делови једног пакета могу препознати по томе што
имају у свом заглављу исти идентификатор (поље Identification). Где се
фрагмент налази у оригиналном пакету назначено је у пољу Fragment Offset.
Притиснути на троугао поред Flags. Уколико је постављена ознака (заставица,
флег) More Fragments онда се ради о једном у низу фрагмената оригиналног
пакета. Уколико ова ознака није постављена онда се или ради о последњем
фрагменту низа или о пакету који није дељен (тада је и Fragment Offset 0).
Ознаку Don‘t fragment може поставити изворишни хост како би забранио деобу
овог пакета. Уколико фрагментовање буде ипак неопходно (а забранио је
изворишни хост) овакав пакет ће рутера одбацити. Рутер може да обавести
рачунар да је пакет одбачен.
8.6. TTL -Time to Live: представља време живота овог пакета на Интернету. Пакет на
путу до одредишта пролази кроз већи број посредних уређаја – рутера који га
усмеравају ка одредишту. Сваки рутер који проследи овај пакет смањи TTL
вредност у пакету за 1. Када вредност постане 0, рутер мора да одбаци пакет.
Рутер може да обавести да је пакет одбачен.
8.7. Protocol: наведено је шта се носи као податак (корисни терет1) овог пакета. У
овом пакету то је UDP датаграм.
8.8. Header Checks: контолна сума која може да открије грешке ако је пакет оштећен
(можда и поправи одређени број грешака). Оштећени пакети се одбацују без
икаквог обавештења.
8.9. Source, Destination: су логичке IP адресе које јединствено идентификују
изворишни и одредишни рачунар овог пакета на Интернету. Величина 32-битне
вредности.
5. Да би гореописани пакет био пренет путем етернет медијума, који има сопствена
правила за комуникацију, потребно га је укалупити (енкапсулирати) у рам
података који одговара протоколу на нивоу везе података. Притиснути на троугао
поред Ethernet II како бисмо видели контролне информације које се носе у
заглављу овог оквира. Поља имају значење:
• Destination, Source: ово су одредишна и изворишна физичка адреса чворова
на истом медијуму. Медијум који се користи је етернет. Свака станица на
етернет мрежи има јединствен 48-битни идентификатор: физичку адресу. Ова
адреса назива се и хардверска или MAC2 адреса. Оваква адреса је
хардверски уграђена у мрежни адаптер сваке станице. Првих 24 бита
јединствено идентификује произвођача мрежног адаптера. Преостала 24 бита
прозизвођач додељује својим адаптерима. Ове адресе имају само локално
значење, омогућавају да чворови прикључени на исти или премошћени
медијум могу да размењују оквире података. Немају сви рачунари на
Интернету етернет адаптере и на основу оваквих адреса не могу се
усмеравати подаци од једног до другог рачунара на различитим мрежама.
1 Payload
2 Media Access Control
90
• Type: информација у етернет раму носи информације о томе шта је корисни

терет, овог етернет рама. Хексадецимална вредост 0x0800 означава да је
унутар овог етернет рама IP пакет.
• У горњем панелу изабрати пакет број 2. Ово је одговор сервера. Рашчланити
и овај пакет у средњем панелу по слојевима.
 Већи део преосталог саобраћаја користи други протокол апликационог слоја
(HTTP протокол) који користи TCP протокол транспортног нивоа (уместо UDP
протокола). TCP протокол пре слања података успоставља логичку везу између
крањих станица (хостова). Пакети 3, 4 и 5 делови су успоставе везе.
 Пакет 6 представља HTTP захтев који шаље клијент ка удаљеном веб серверу.
Изабрати пакет у горњем панелу. У средњем панелу изабрати троугао поред
Hypertext Transfer Protocol. Уочити да захтев има и елементе договора око
презентације података.
 HTTP захтев преноси се коришћењем TCP протокола. HTTP захтев је упакован у
TCP сегмент1. Изабрати троугао поред Transmission Control Protocol. Уочити
контролне информације које додаје овај протокол како би обезбедио поузданост и
контролу тока.
 До удаљеног сервера TCP сегмент стиже упакован у IP пакет. Притиснути на
троугао поред Internet Protocol како бисмо видели контролне информације овог
протокола. Уочити одредишну IP адресу удаљеног сервера.
 Пошто је одредиште пакета удаљени рачунар на удаљеној мрежи, пакет најпре
мора да буде испоручен до посредног уређаја, рутера. Да би био пренет преко
трансмисоног медијума између радне станице и рутера, пакет мора бити смештен
(упаковам) у одговарајући рам. Притиснути на троугао поред Ethernet II. Уочити
изворишну и одредишну физичку, MAC адресу. Изворишна MAC адреса је
идентификатор мрежног адаптера изворишне станице. Одредишна MAC адреса
не није MAC адреса удаљеног сервера, већ MAC адреса првог рутеру до кога
треба да буде прослеђен рам података.
Овако направљен рам података преноси се по трансмисоном медијуму уз одговарајуће
прилагођавање (кодирање) физичким карактеристикама тог трансмисоног медијума.
1. Затворити програм Wireshark.
2. Покренути веб претраживач Firefox. У адресном пољу унети www.viser.edu.rs али не
притиснути дугме <ENTER>.
3. Покренути програм Wireshark: Програми → Internet →Wireshark.
4. Из менија Capture изабрати опцију Interfaces. У првој врсти, која означава први
етернет адаптер eth0, притиснути на дугме Start. На овај начин се отпочиње
снимање саобраћаја у реалном времену.
5. Вратити се у прозор програма Firefox и притиснути дугме <ENTER>. Када се појави
страница са веб сервера вратити се у прозор програма Wireshark.
6. У програму Wireshark отворити мени Capture и изабрати опцију Stop како бисмо
зауставили снимање.
1 Јединице података које се размењују на слоју везе (или приступа мрежи) називају се рамови (поред
заглаваља имају и на краја порује контролне информације за детекцију и корекцију грешака), на мрежном
слоју пакети а на транспортном сегменти.
91
7. У програму Wireshark, у пољу Filter (изнад горњег панела) унети http и притиснути
дугме <ENTER>. Наовај начин се филтрира приказ пакета: биће приказани само
пакети који носе поруке http протокола.
8. Рашчланити прва три пакета по слојевима. Уочити изворишне и одредишне,
физичке и логичке адресе.
9. Затворити програм Wireshark.

1. Који протоколи се користе на интернет слоју TCP/IP модела?
2. Који протоколи се користе на транспортном слоју TCP/IP модела?
3. Како се у програму Wireshark може филтрирати само приказ http саобраћаја?
4. Како се идентификује чвор на етернет мрежи?
5. Који протокол транспортног слоја користи HTTP протокол.
92
VI ВЕЖБА
ПОВЕЗИВАЊЕ РАЧУНАРА НА МРЕЖУ

И АНАЛИЗА САОБРАЋАЈА
Циљ вежбе је упознавање са начином рада уређаја за међусобно повезирање

рачунара, конфигурисање и провера IP адреса и анализа начина рада протокола за
разрешавање адреса. У практичном делу вежбе за проверу функционисања IP
протокола биће коришћена ping команда а за анализу саобраћаја протокола за
разрешавање адреса Wireshark програм.
6. Повезивање рачунара на мрежу и анализа саобраћаја

6.1 Увод
Стандард који описује физички слој и слој приступа вези, који се користи у локалним
рачунарским мрежама назива се етернет. Каблови који се користе називају се UTP каблови –
неоклопљене упредене парице. Етернет такође претпоставља CSMA/CD као начин на који
станице приступају заједничком медијуму.
6.2. Уређаји за међусобно повезивање рачунара

Некада се за повезивање користио концентратор (хаб1), уређај који функционише на
физичком слоју - вишепортни обнављивач (рипитер). Сигнал коју шаље једна радна станица
концентратор појача а затим шаље на све остале портове. Иако су рачунари повезани
различитим кабловима, концентратор омогућава станицама да користе (деле) исти
трансмисиони медијум као да су прикључене на исти кабл (слика 6.1). Пошто користе исти
трансмисиони медијум може да дође до судара (колизије) код истовременог слања податак.
Осим тога све радне станице су у истом бродкаст домену, јер се поруке намењене свима
(бродкаст2 поруке), емитују преко свих портова концентратора осим оног са ког је примљена.
Употребом концентратора (хаба) обезбеђена је повезаност станица, али се појавио проблем
већег заузећа медијума. Преко порта на који је прикључена радна станица шаљу се подаци и
ако нису намењени тој станици. Велики број рачунара повезаних концентраторима смањује
перформансе мреже.
Слика 6.1: Повезивање рачунара концентратором

У UTP кабловима (који се најчешће користе) постоје одвојене парице (пар жица) за
предају и пријем. Ако се користи концентратор комуникација је полу-дуплекс3, што је
последица чињенице да само једна станица може да преноси податке у датом тренутку у
оквиру једног колизионог домена.
1 Hub
2 Broadcast - емитовање
3 Half –duplex- у оба правца али не истовремено.
94
VI ВЕЖБА | Повезивање рачунара на мрежу и анализа саобраћаја
Данас се за ове намене користи комутатор (свич1) уређај који за преусмеравање података
користи адресу слоја везе (ради на слоју везе података). Овај уређај функционише као
вишепортни мрежни мост. Када радна станица А шаље рам података за радну станицу Б,
комутатор транспарентно премости два порта на која су прикључени сегменти каблова
(слика 6.2) станица А и Б. На тај начин рам података не заузима сегмент медијума који
користи станица Б. Станица Б је слободна да истовремено шаље податке на пример станици
Г и да при томе не долази до колизије. Када се користи комутатор иза сваког порта налази се
нови колизиони домен. Са друге стране, поруке намењене свима – бродкаст поруке
комутатор прослеђује на све портове, па су станице још увек у истом бродкаст домену.
Слика 6.2: Повезивање рачунара комутатором

Иако су перформансе мреже на овај начин побољшане радне станице још увек су у истом
бродкаст домену. И велики број рачунара у истом бродкаст домену такође смањује
перформансе мреже, јер све радне станице примају овакве поруке, чак и ако нису њима
намењене.
Коришћење комутатора уместо концентратора потпуно је транспарентно за радне
станице. Не захтева се никаква конфигурација слоја везе на рачунару због замене
концентратора комутатором. Разлика је у бољим перформансама мреже, због изостанка
колизија, као и у томе што комутатор омогућава комуникацију у потпуном дуплексу
(истовремену двосмерну2).
6.3 Протокол за разрешавање адреса

Проблем који се јавља је следећи: IP адресе су препознатљиве само скупу TCP/IP
протокола3. Протокол на другом слоју као што je Етернет има свој систем адресирања.
Мрежу Етернет типа могу да користе истовремено различити мрежни слојеви. На пример
група рачунара са TCP/IP протоколима и група рачунара са неким другим мрежним
софтвером могу да буду на истој локалној мрежи. Када се Етернет рам шаље од једног до
другог рачунара на истој локалној мрежи онда адреса од 48 бита одређује ком интерфејсу је
1 Switch
2 Full-duplex
3 TCP/IP protocol suit
95
рам упућен. Управљачки софтвер мрежног адапера1 никада не анализира одредишну IP

адресу у IP датаграму.
Разрешавање адреса је процес повезивања2 између различитих врста адреса: IPv4
адресе од 32 бита и адресе коју користи други слој. RFC826 даје спецификацију протокола за
разрешавање адреса (ARP3 протокол). ARP протокол обезбеђује динамичко повезивање IPv4
адресе у одговарaјућу хардверску (Етернет, MAC) адресу. Користи се термин динамички
пошто се одвија аутоматски и није у надлежности ни апликације ни администрaтора система.
6.4 Повезивање рачунара на мрежу и анализа саобраћаја - вежба

Активност 6.4.1: Повезивање рачунара на мрежу
У наставку вежби потребно је виртуелну машину која представља радну станицу повезати
на мрежу. Мрежа виртуелне машине треба да буде подешена тако да је „Адаптер1“ повезан
на „Интерфејс хоста“, „eth1“. Овај интерфејс на хосту представља додатни етернет адаптер
на Ubuntu радној станици.
Физичко повезивање остварује се тако што се један крај „straight-trough“ прикључи на
додатни мрежни адаптер Ubuntu радне станице. Други крај кабла треба прикључити на
уређај који врши повезивање уређаја (комутатор). Користити било који слободан порт.
Комутатор је са своје стране укрштеним каблом повезан на комутатор у лабораторији. На
овакав начин је остварена физичка топологија тзв. проширене звезде (слика 6.3).
Слика 6.3: Физичка топологија

1. Повезати додатни адаптер Ubuntu радне станице на комутатор. Покренути
клијентску виртуелну машину.
Активност 6.4.2: Конфигурисање IP адресе

Повезивањем рачунара на комутатор решени су:
 Проблеми повезивања на физичком слоју, јер постоји физичка веза између радне
станице и посредног мрежног уређаја комутатора.
1 Device driver
2 Mapping
3 Address Resolution Protocol
96
 Решен је и проблем повезивања на слоју везе података, јер сваки мрежни адаптер
има хардверски подешену јединствену физичку (MAC) адресу која га јединствено
идентификује, а сам мрежни адаптер имплементира неопходну функционалност
приступа медијуму (CSMA/CD).
Како би серверски процеси на рачунару могли да комуницирају са другим сервисима на
другим рачунарима потребно је извршити конфигурисање на 3. слоју. У оквиру
конфигурисања 3. слоја OSI модела потребно је рачунар конфигурисати са једиственом IP
адресом.
1. Пријавити се на Windows виртуелну машину као корисник „administrator“ са
лозинком „password“.
2. Притиснути на дугме Start, затим „Control Panel“ → „Network Connections“ → „Local
Area Connection“. Приказаће се дијалог прозор у коме видимо статус ове мрежне
конекције.
3. Притиснути на дугме „Properties“, како бисмо видели својства ове мрежне конекције.
Можемо видети софтверске компоненте које су везане за овај адаптер. Неке од
ових компоненти имплементирају апликационе протоколе „File and Print sharing...“.
Компонента „Internet Protocol (TCP/IP)“ имплементира 3. и 4. слој OSI модела.
4. Изабрати „Internet Protocol (TCP/IP)“ a затим притиснути на дугме „Properties“.
За нормално функционисање рачунара на мрежи неопходно је да се конфигурише IP
адреса рачунара. Генерално адреса се може добити динамички, уз помоћ посебног сервиса
који омогућава DHCP1 сервер који може да постоји у мрежи. Други начин је да се адреса
додели статички, ручно од стране администратора. Подразумевано је изабрана опција
„Obtain IP address Automatically“ што значи да адреса треба да се добије динамички од
стране DHCP сервера. У овој активности треба статички конфигурисати IP адресу.
Изабрати опцију „Use the following IP address“ и поља испод попунити на следећи начин:
1. „IP Address“: унети 192.168.1.x где је x број станице, нпр. ако је број станице 65
треба унети 192.168.1.65. Ово треба да буде број који јединствено идентификује
рачунар на Интернету.
2. „Subnet Mask“: унети „255.255.255.0“. У претходно унетој IP адреси постоји
хијерархија два дела. Један део адресе представља адресу мреже а други део
адресу хоста на тој мрежи. Маска означава који битови адресе представљају
мрежни део.
3. „Default Gateway“: унети 192.168.1.1. Ово је адреса интерфејса рутера који ову
мрежу, овај бродкаст домен, повезује са другим мрежама.
4. „Prefered DNS server“: унети 172.16.1.1. Ово је адреса DNS сервера задуженог да
име рачунара, нпр. www.viser.edu.rs, разреши у IP адресу рачунара како би могла да
се одвија комуникација на 3. слоју OSI модела.
5. Притиснути на дугме OK, поново ОК, а затим Close.
Активност 6.4.3: Провера IP адреса

1. Притиснути на дугме „Start“, па затим на „Run“.
2. У „Run“ пољу унети: cmd.
1 Dynamic Host Configuration Protocol
97
3. Притиснути на OK, како бисмо покренули командни прозор.

4. Једноставна верификација унете IP адресе врши се командом ipconfig. Унети
ipconfig и притиснути дугме <ENTER>. Проверити да ли су унете информације
одговарајуће према вредностима из претходне активности.
5. У командној линији унети ipconfig /all како бисмо добили више информација.
Уочити:
 име рачунара („host name“).
 физичку адресу („Physical Address“) ово је физичка адреса етернет адаптера која
је неопходна за приступ медијуму на етернет мрежама. Зове се и MAC адреса.
 Да ли је IP адреса добијена од DHCP сервера или статички конфигурисана
(„DHCP enabled“).
Активност 6.4.4: Провера функционисања IP протокола

Постоји уобичајена процедура за проверу функционисања IP протокола на рачунару и
откривање проблема. Процедура се ослања на једноставну команду – ping. Ова команда, доступна
на свим оперативним системима, омогућава да се на произвољну адресу пошаљу посебне поруке:
ECHO. Рачунар који прими овакву поруку одговара са ECHO REPLY. Уколико рачунар добије
одговор на своју ECHO поруку може се закључи да између два рачунара мрежа функционише на
1., 2. и 3. слоју OSI модела. За слање порука користи се протокол под називом ICMP (Internet
Control Message Protocol) који функционише на 3. слоју OSI модела.
У командној линији унети: ping 127.0.0.1. Ово је адреса такозване локалне петље1,
софтверски имплементираног интерфејса на сваком рачунару који има имплементиран
TCP/IP. Уколико се не добију никакви одговори то значи да IP протокол није инсталиран на
рачунару.
У командној линији унети: ping 192.168.1.x, односно ping на сопствену IP адресу. Уколико
се не добију одговори, могуће је да се сугерише да IP протокол није везан за мрежни
адаптер, због погрешне конфигурације или отказа адаптера.
У командној линији унети: ping 192.168.1.1. У нашем случају ово је адреса подразумеваног
мрежног пролаза. За овај корак могла би се користити било која адреса у локалној мрежи
(нпр. адреса суседног рачунара). Овај корак проверава повезаност рачунара у локалној
мрежи. Уколико се не добију одговори то би могло да значи да постоји проблем са везом
овог рачунара на мрежу.
У командној линији унети: ping 172.16.1.1. Ово је адреса неког рачунара на другој мрежи.
Уколико се добију одговори можемо знати да је конфигурисани подразумевани пролаз
исправан.
У командној линији унети: ping www.viser.edu.rs. Уколико се у ping команди реферишемо
на име рачунара и добијемо одговор, посредно знамо и да разрешавање имена уз
конфигурисани DNS сервер функционише.
Обратити пажњу и на одговоре на ping. Приказано је повратно време2 и TTL вредност која
је послата у пакетима. После 4 одговора приказано је минимално, максимално и просечно
повратно време као и проценат изгубљених пакета.
1 Loopback
2 Round Trip Time
98
Активност 6.4.5: ARP табела

У току претходне активности са рачунара смо слали пакете до других рачунара. У тим
пакетима је као изворишна IP адреса била наведена IP адреса нашег рачунара, а као
одредишна адреса адреса коју смо навели у ping команди. За пренос пакета преко етернета
потребно је на слоју везе података унети додатне контролне информације: изворишну и
одредишна физичку адресу. Сваки рачунар зна сопствену физичку адресу. Одредишна
адреса се динамички, по потреби, открије уз помоћ ARP1 протокола. ARP је неопходан на
бродкаст мрежама са вишеструким приступом какав је етернет. На серијским, тачка-тачка
везама ARP се не користи.
ARP функционише на принципу захтев-одговор у 2 корака. На крају та два корака, стране
које комуницирају имају у меморији повезане (мапиране) IP адресе у физичку адресу за
рачунар са којим размењују пакете.
У првом кораку станица која иницира слање пакета, бродкаст поруком објави своје
мапирање IP/физичка адреса, и наведе IP адресу станице којој жели да пошаље пакет.
У другом кораку станица која је била наведена у питању запамти мапирање IP/физичка
адреса станице која је послала упит, а затим на уникаст физичку адресу пошаље одговор.
Како би се смањила количина бродкаст порука једно одређено време се ова мапирања
кеширају у меморији рачунара, како слање новог пакета не би изазвало нову бродкаст
поруку.
1. У командној линији унети: ping 192.168.1.1, како бисмо послали пакет на адресу у
локалној мрежи.
2. У командној линији унети: arp -a. Приказује се arp cache: мапирање IP/Физичка
адреса за рачунаре са којима су недавно размењени пакети.
3. Комплетан ARP кеш може се избрисати, унети: arp -d *.
4. Проверити да ли је ARP кеш празан, унети arp -a.
5. Поново послати неколико пакета: ping 192.168.1.1.
6. Слање пакета захтевало је нови arp захтев и одговор, који је кеширан. Проверити
са: arp -a.
7. Погледати остале опције arp команде са arp /?. Уочити и да се arp табела може
статички напунити.
На слици 6.4 приказан је пример ARP захтева. Објашњења су постављена поред поља у
етернет раму (у који је упакован у ARP захтев) и поред поља у самом ARP захтеву.
Пошиљалац је навео сопствену физичку адресу и IP адресу. АRP је послат као бродкаст
порука, коју ће примити сви рачунари у бродкаст домену. Потражује се физичка адреса
рачунара са IP адресом 89.216.220.1. По пријему ове бродкаст поруке тај рачунар ће
мапирање изворишног рачунара (00:15:f2:45:53:d4→89.216.221.122) ставити у своју arp
табелу. Пошто му је позната физичка адреса првог рачунара, нема потребе да се за одговор
користи бродкаст.
1 Address Resolution Protocol
99
Слика 6.4: ARP захтев

На слици 6.5 приказан је одговор. Уочити да је одговор стигао на уникаст адресу.
Слика 6.5: ARP одговор

Након пријема одговора оба рачунара имају мапирања у ARP табели.
Активност 6.4.6: Снимање ARP саобраћаја

1. На Windows виртуелној машини инсталирати програм Wireshark (из фолдера
C:\alati).
2. Покренути програм Wireshark.
3. Отворити командну линију и обрисати arp кеш.
4. Покренути снимање саобраћаја.
5. У командној линији унети: ping 192.168.1.1. Када се приме сва четири одговора,
вратити се у програм Wireshark и зауставити снимање.
6. У пољу Filter изнад горњег панела унети arp и притиснути дугме <ENTER> како
бисмо филтрирали само овај тип саобраћаја.
100
7. Уочити захтеве и одговоре. Рашчланити их на слојеве. Зашто је могуће да су

снимљени ARP захтеви са других станица? Зашто нису снимљени ARP одговори ка
другим станицама? Да ли би снимак био другачији да је уместо комутатора
коришћен концентратор?
8. Уочити ознаку за тип у Eternet рама.
9. У пољу „Filter“ изнад горњег панела унети icmp уместо arp и притиснути дугме
<ENTER> како бисмо филтрирали само овај тип саобраћаја.
10. Рашчланити их на слојеве. Да ли постоји саобраћаја који не потиче од ове станице
или није намењен овој станици (проверити изворишну и одредишну IP адресу)?
11. Уочити ознаку за тип у Eternet рама. Да ли се разликује од оне која је била
коришћена у ARP захтевима?
12. Поново обрисати ARP кеш.
13. Поново покренути снимање саобраћаја без чувања претходно ухваћеног саобраћаја
14. У командној линији унети: ping 172.16.1.1. Овом командом шаљемо ICMP echo-
request захтеве ка хосту на удаљеној мрежи. Када се приме сва четири одговора,
вратити се у програм Wireshark и зауставити снимање.
15. У пољу Filter изнад горњег панела унети arp и притиснути дугме <ENTER> како
бисмо филтрирали само овај тип саобраћаја.
16. Уочити захтеве и одговоре. Рашчланити их на слојеве. И ако смо послали пакет за
удаљени хост на адреси 172.16.1.1, ARP захтев је тражио хардверску адресу неког
другог рачунара? Која је то адреса?
17. Која и чија хардверска адреса је добијена у ARP одговору?
18. Саобраћај намењен удаљеној мрежи је потребно усмерити преко поразумеваног
мрежног пролаза. Филтрирати саобраћај тако да се приказује само icmp саобраћај.
Уочити пакет који потиче од нашег хоста (изворишна адреса је 192.168.1.x).
19. Уочити шта је дестинациона IP адреса у пакету. Уочити шта је одредишна
(дестинациона) MAC адреса. Да ли те адресе припадају истом рачунару?

1. Како се у програму Wireshark може филтрирати само приказ http саобраћаја?
2. Који уређај у мрежи може да створи више мањих колизионих домена?
3. Шта је бродкаст домен?
4. Које адресе користи комутатор за преусмеравање саобраћаја?
5. Како рачунар може бити конфигурисан са IP адресом?
6. Какву улогу има ARP протокол у етернет мрежама?
101
102
VII ВЕЖБА
IP АДРЕСИРАЊЕ
Циљ вежбе је да се студенти упознају са IP адресирањем, типовима адреса, како се

адресе представљају у бинарној и децималној форми. Анализираће се типови
адреса, класе адреса и принцип поделе адресног простора подмрежавањем. Провера
се реализује помоћу алата ipcalc.
7. IP адресирање
7.1 Увод
Један од задатака мрежног слоја OSI модела (интернет слој TCP/IP модела) јесте и да
обезбеди пренос јединица података између два рачунара који се (могуће) налазе на
различитим мрежама (различитим бродкаст доменима), и између којих се налази више
посредних мрежа. Како би се решио тај задатак на мрежном слоју мора да се:
1. Дефинише шема адресирања која јединствено идентификује рачунаре на
Интернету (скупу међусобно повезаних мрежа).
2. Дефинише шема адресирања која је независна од хардверске имплементације
приступа мрежи и протокола који се користе за приступ медијуму на тим мрежама.
Два удаљена рачунара морају да комуницирају без обзира што се у мрежи првог
рачунара, на пример, користи етернет, подаци пролазе кроз низ мрежа које користе
ppp, frame relay, бежични приступ и на крају стижу до хоста који је на мрежу повезан
ADSL-ом. Ове адресе, независне од хардверске имплементације, називају се
логичке адресе.
3. Дефинише механизам усмеравања саобраћаја – рутирање, како би јединице
података потекле са једног рачунара, биле успешно усмерене кроз сплет међусобно
повезаних мрежа до одредишне мреже и рачунара за који су намењене. Задатак да
имплементирају ову функцију имају пре свега рутери, уређаји који повезују
различите мреже (бродкаст домене) преко 3. слоја OSI модела.
4. Како би рутери могли реално да остварују свој задатак шема адресирања треба да
садржи хијерарију (мрежа-рачунар), односно адресе морају да буду не само
јединствене него да у себи имају довољно информација да се идентификује не
само одредишни рачунар, него и мрежа у којој се он налази.
У TCP/IP фамилији протокола функционалност мрежног слоја обавља интернет протокол
– IP1 протокол. Његове јединице података које преноси између два рачунара на различитим
мрежама називају се IP пакети. Пакети имају своје заглавље, контролне информације битне
за функционисање овог протокола.
Слика 7.1: Заглавље IP пакета

Међу контролним информацијама налазе се и изворишна и одредишна IP адреса. Ово су
такозване логичке адресе, независне од хардверских, физичких адреса које рачунари имају
уколико су повезани на етернет мрежу. Поље за адресу дуго је 32 бита. Иако се то на први
поглед не види, адреса (на пример 85.10.194.212) има два дела, део који представља мрежу
рачунара, као и део који јединствено идентификује рачунар на тој мрежи. На основу
информације о дестинационој мрежи посредни мрежни уређаји – рутери, могу да усмере
1 Inernet Protocol
104
VII ВЕЖБА | IP адресирање
пакет из мреже у мрежу, омогућавајући пренос података између два рачунара у различитим
бродкаст доменима, који самим тим нису један другом директно доступни и који без услуге
рутера не би могли да међусобно комуницирају.
7.2 IP адресе
IP адресе су 32-битни бројеви који јединствено идентификују рачунар на Интернету. На
пример: 11000000101010000001111000001010 могло би да представља адресу неког
рачунара на Интернету. Како би се олакшало конфигурисање адреса на рачунарима уведена
је конвенција да се адресе уносе и пишу у децималној нотацији са тачком. Односно, 32 бита
се разбију у 4 октета (бајта), одвоје са „.“, а затим сваки бајт напише као децимални број
(слика 7.2).
Слика 7.2: Децимална нотација са тачком

Део битова у адреси представља адресу мреже и заједнички је у свим адресама рачунара
у тој мрежи, док је део битова јединствен и означава рачунар на тој мрежи. Својевремено су
све адресе подељене у групе, класе, према томе како изгледа први октет (слева надесно).
Према томе којој класи припада адреса одређиван је и број битова који у адреси представља
мрежни део. Иако се класе адреса још увек препознају, данас се мрежни део не
претпоставља већ мора бити експлицитно наведен. Један од начина да се наведе мрежни
део адресе је мрежни префикс (слика 7.3).
Слика 7.3: Мрежни префикс

У ознаци 192.168.30.10/24, показује се да првих 24 бита (слева надесно) представља
адресу мреже, док преосталих 8 (32-24=8) битова означава дати рачунар-хост на тој мрежи.
Ако издвојимо само битове који представљају мрежни део (остале битове поставимо на 0)
добијамо 192.168.30.0/24 што представља адресу читаве одредишне мреже. Адресе мрежа
корисе рутери како би усмеравали саобраћај.
Сви рачунари у тој мрежи имају адресе које изгледају као 192.168.30.x, односно имају
идентични мрежни део адресе. У нашем случају само последњих 8 битова се користи да
јединствено идентификује рачунаре на тој мрежи. Број могућих идентификатора рачунара на
тој мрежи одређен је бројем битова који се користи за ту потребу (8 у нашем случају). Број
могућих комбинација битова унутар тих 8 је 28=256, што би значило 256 различитих
идентификатора рачунара. Стваран број је мањи за 2, јер две комбинације имају специјално
значење:
1. Сви битови у хост делу адресе постављени на 0 означавају адресу читаве мреже:
192.168.30.0.
2. Све јединице у хост делу адресе постављене на 1 означавају бродкаст адресу за ту
мрежу: 192.168.30.255.
односно број јединствених идентификатора за хостове је 28-2=254.
105
Адреса је 32-битни бинарни број који се представља у децималној нотацији са тачком.

Један од начина да се представи који део адресе представља мрежни део јесте да се
адреса напише са мрежним префиксом (192.168.30.10/24). Префикс означава који број
битова у адреси представља мрежни део адресе. Преостали, не мрежни део адресе, назива
се хост део и јединствено означава рачунар на тој мрежи. Број битова у хост делу адресе
ограничава број хостова који се могу јединствено адресирати у тој мрежи. Уколико се у хост
делу налази n битова, број јединствених адреса је 2n-2. Број јединствених адреса је за 2
мањи од броја комбинација: 2n, јер две комбинације битова у хост делу имају специјално
значење. Све нуле у хост делу означавају адресу саме мреже. Све јединице у хост делу
означавају бродкаст адресу за ту мрежу.
У овом примеру мрежни префикс завршавао се на граници октета (/24 су прва три октета),
па је и без конвертовања у бинарни облик могло да се уочи који је мрежни део, а који хост
део у адреси. Слично томе уколико је мрежни префикс /8 или /16, дакле на граници првог
односно другог октета, без конвертовања можемо уочити мрежни и хост део, а тиме и адресу
мреже, односно бродкаст адресу мреже. На пример:
1. 17.4.5.5/8: мрежа је 17.0.0.0.
2. 157.23.3.6/16: мрежа је 157.23.0.0.
У општем случају граница мрежа/хост не мора да буде на граници октета па је неопходно
конвертовање адресе у бинарни облик.
7.3 Претварање бинарног октета у децимални облик

Олакшавајућа околност при конвертовању адреса из бинарног у децимални облик је то
што се ради са фиксним величинама, октетима, при чему није тешко написати тежинске
ознаке које поједине позиције у октету имају (слика 7.4):
Тежинска ознака 128 64 32 16 8 4 2 1

Експонент 27 26 25 24 23 22 21 20
Бит 7 6 5 4 3 2 1 0
Слика 7.4: Тежинске ознаке позиција у бајту
Тежинска ознака бита најмање вредности (крајње десно) је 20=1. Свака следећа позиција
(здесна налево) има два пута већу вредност. На тај начин претходни пример се може видети
на слици 7.5:
Слика 7.5: Конвертовање из бинарног у децимални облик
106
7.4 Претварање из децималног у бинарни облик

Олакшавајућу околност рада са октетима користићемо и у поступку за конвертовање
децималног у бинарни облик. Највећи број који се у бинарном облику може сместити у октет
је 255. Поново треба почети тако што се напишу тежинске ознаке позиција у октету.
Упоређујући децимални број који треба да се конвертује са тежинском вредношћу бита
највише вредности (b7=128), одређујемо да ли бит на тој позицији треба да се постави на 1.
Уколико је број који се конвертује већи или једнак, бит постављамо на 1, израчунавамо
разлику и са разликом понављамо алгоритам за тежинску вредност следећег бита (b6=64).
На слици 7.6 приказан је део алгоритма.
Слика 7.6: Део алгоритма за конвертовање у бинарни облик

На пример, потребно је конвертовати број 215 у бинарни облик:
1. 215 је веће (или једнако) од 128, бит највише вредности је 1; за сада октет изгледа
као 10000000; разлика је 215-128=87.
2. Прелазимо на позицију са тежинском ознаком 64; 87 је веће од 64; бит b6
постављамо на 1; за сада октет изгледа као 11000000; разлика је 87-64=23.
3. Прелазимо на позицију са тежинском ознаком 32; 23 није веће од 32; бит b5
постављамо на 0; октет још увек изгледа као 11000000; не рачунамо разлику.
4. Прелазимо на позицију са тежинском ознаком 16; 23 је веће (или једнако) од 16; бит
b4 постављамо на 1; октет сада изгледа као 11010000; разлика је 23-16=7.
5. Прелазимо на позицију са тежинском ознаком 8; 7 није веће од 8; бит b3
постављамо на 0; октет још увек изгледа као 11010000; не рачунамо разлику.
6. Прелазимо на позицију са тежинском ознаком 4; 7 је веће од 4; бит b2 је постављен
на 1; октет сада изгледа као 11010100; рачунамо разлику: 7-4=3.
7. Прелазимо на позицију са тежинском ознаком 2; 3 је веће од 2; бит b1 је постављен
на 1; октет сада изгледа 11010110; рачунамо разлику: 3-2=1.
8. Прелазимо на позицију са тежинском ознаком 1; 1 је веће или једнако од 1; бит b0 је
постављен на 1; октет сада изгледа 11010111 што је и коначно решење; разлика је
1-1=0; ово је крај рада алгоритма.
107
7.5 Маска подмреже

Други начин представљања границе мрежа/хост је уз помоћ маске подмреже. Маска подмреже
је 32-битни бинарни број (као и адреса) који има 1 на свим позицијама које у адреси представљају
мрежни део, а 0 на свим позицијама које у адреси представљају хост део.
У првом примеру адреса је била записана као 192.168.30.10/24. Одговарајућа маска била
би: у бинарном формату 11111111.11111111.11111111.00000000, односно у децималном
формату 255.255.255.0. Као што је раније наведено граница мрежа/хост не мора да се
налази на граници октета. На пример уколико је адреса дата као 155.34.130.44/18, маска
подмреже била би: 11111111.11111111.11000000.00000000, односно 255.255.192.0
На основу адресе и маске, као и логичке операције (бинарно) „И“ (слика 7.7), може се
одредити мрежни део неке адресе. Ово одређивање део је доношења одлуке о даљем
усмеравању пакета. На овај начин сваки хост одређује да ли је одредишна адреса на
локалној или удаљеној мрежи, како би одлучио да ли пакет може да се директно испоручи
или је потребна услуга рутера. На сличан начин и рутер упоређује одредишну адресу са
улазима у сопственој табели рутирања како би одредио најбољи пут.
Слика 7.7: Логичка операција (бинарно) „И"

На пример за адресу 155.34.130.44 и маску 255.255.192.0 када се примени логичка
операција „И“ добија се мрежни део адресе , као на слици 7.8:
Слика 7.8: Одређивање мрежног дела адресе

Овако је одређен мрежни део адресе 155.34.130.44: то је 155.34.128.0. Такође можемо да
видимо да се хост део адресе не састоји од свих нула или свих јединица, па је 155.34.130.44
валидна адреса хоста.
Адреса дате мреже је 155.34.128.0, док бродкаст адресу те мреже добијамо тако што све
битове у хост делу поставимо на 1: 10011011.00100010.10111111.11111111, односно
155.34.191.255.
Постоје и калкулатори подмрежа реализовани како самосталне или веб апликације. У
примеру који следи користи се програм „ipcalc“ који је доступан на Linux оперативном
систему.
У терминалском прозору радне станице уносимо: ipcalc 155.34.130.44 255.255.192.0
108
Програм ће нам дати више информација о тој мрежи, укључујући и адресу мреже као и
бродкаст адресу за ту мрежу:
gpredrag@newu:~$ ipcalc 155.34.130.44 255.255.192.0

Address: 155.34.130.44 10011011.00100010.10 000010.00101100
Netmask: 255.255.192.0 = 18 11111111.11111111.11 000000.00000000
Wildcard: 0.0.63.255 00000000.00000000.00 111111.11111111
=>
Network: 155.34.128.0/18 10011011.00100010.10 000000.00000000
HostMin: 155.34.128.1 10011011.00100010.10 000000.00000001
HostMax: 155.34.191.254 10011011.00100010.10 111111.11111110
Broadcast: 155.34.191.255 10011011.00100010.10 111111.11111111
Hosts/Net: 16382 Class B
Слика 7.9: провера ipcalc прогамом
7.6 Класе адреса

Првобитни начин поделе адресе на мрежни и хост део заснивао се на сврставању адресе
у једну од дефинисаних класа. Дефинисане су класе адреса:
 Класа „А“: у ову класу спадају адресе које у бинарном облику почињу са 0 (здесна
налево, бит највише вредности). Код ове класе подразумевани мрежни префикс је
/8, односно маска 255.0.0.0. У децималном облику овакве мреже изгледале би као:
1.0.0.0 до 126.0.0.0. Технички и мрежа 127.0.0.0 спада у класу А, али ова мрежа
има специјално значење: адреса 127.0.0.1 је специјална адреса локалне петље,
софтверски имплементираног интерфејса који се користи за дијагностику TCP/IP
протокол стека.
 Класа „B“: у ову класу спадају адресе које у бинарном облику почињу са 10. Код
ових адреса подразумева се да је префикс /16, односно маска 255.255.0.0. У
децималном облику ове мреже изгледају као 128.0.0.0/16 до 191.255.0.0/16.
 Класа „C“: у ову класу спадају адресе које у бинарном облику почињу са 110. Код
ових адреса подразумева се да је мрежни префикс /24, односно маска
255.255.255.0. У децималном облику ове адресе изгледају као: 192.0.0.0/24 до
223.255.255.0/24.
 Класа „D“: у ову класу спадају адресе које у бинарном облику почињу са 1110. Ово
су адресе за мултикаст саобраћај код којих нема смисла говорити о мрежном и
хост делу. У децималном облику ове адресе изгледају као 224.0.0.1 до
239.255.255.255
 Класа „Е“: у ову класу спадају адресе које почињу са 1111. Ове адресе су за
експерименталну употребу.
Додељивање адреса на овај начин, уз подразумевање мрежног дела на основу класе,
довело је до непотребног расипања адресног простора, који се на почетку чинио неисцрпним.
Осим тога у појединим класама број битова који остаје у хост делу није реалан. На пример,
уколико се ради о мрежи из класе А, са префиксом /8, можемо видети да у хост делу постоји
24 бита. Односно, у свакој мрежи постоји 224-2 хостова. Ово је нереално велики број за један
бродкаст домен. Слично важи и за мрежу из класе B.
Данас се користи бескласно адресирање које омогућава да се граница мрежа/хост прилагоди
стварним потребама, односно потребном броју хостова. Пошто се маска више не може
подразумевати, неопходно је увек наводити маску подмреже или мрежни префикс. Остаје још увек
109
подела на адресе за уникаст саобраћај, односно адресе које спадају у класе А, B, и C и адресе за
мултикаст саобраћај, класа D. Адресе које спадају у класу Е се не користе.
7.7 Посебни случајеви адреса

Већ су поменуте неке од адреса које се не сматрају валидним адресама за
конфигурисање хостова.
 Адреса у којој су сви битови за хост 0; као што је већ речено ово је адреса мреже.
 Адреса у којој су сви битови за хост 1; ово је бродкаст адреса за ову мрежу,
такозвани усмерени бродкаст. Назива се овако јер је технички могуће усмерити
саобраћај на ову адресу и послати пакет на адресе свих хостова на некој мрежи.
Иако рутери овако нешто технички могу да ураде, већина рутера подразумевано
не усмерава ка оваквим адресама.
 127.0.0.1, као и комплетна мрежа 127.0.0.0/8, је адреса за локалну петљу.
 ово такође није валидна адреса хоста. Појављује се у табелама рутирања као
подразумевана рута или на хостовима који нису конфигурисани са адресом.
 255.255.255.255: сви битови су 1; ово је још једна бродкаст адреса, такозвани
ограничени бродкаст. Ни технички се не може усмеравати.
5.8 Подмрежавање
Подмрежавањем се од IP адресног простора задатом IP мрежом и префиксом прави више
мањих мрежа. Пошто једна IP мрежа одговара једном бродкаст домену, примена на овакав
начин добијене шеме адресирања повлачи за собом последицу да се хостови и физички
раздвоје у засебне бродкаст домене.
Подмрежавањем се омогућава да се адресни простор додељује у мањим деловима.
Уместо огромног адресног простора који представљају мреже из класе А или B, Интернет
посредник или организација за додељивање и регистрацију адреса може некоме доделити
само део неке мреже из класе А, B, или C који одговара реалном броју хостова у мрежи. На
тај начин се расположиви адресни простор штити од исцрпљивања.
Постоје и други разлози због којих би се примењивало подмрежавање. Понекад није у
питању само рационална потрошња адресног простора, већ захтев да се хостови раздвоје у
засебне бродкаст домене.
Хостови који се налазе у истом бродкаст домену један другом су непосредно доступни, а
то понекад није пожељно. Уколико се хостови раздвоје у засебне бродкаст домене та
чињеница мора да се одрази и у IP адресама тих хостова. Тада се од једног адресног
простора, једне мреже, подмрежавањем прави више подмрежа за сваки појединачни
бродкаст домен. Разлози за подмрежавање били би:
1. Раздвајањем рачунара у различите, мање бродкаст домене смањује се количина
бродкаста у сваком од њих.
2. Уколико се жели контрола саобраћаја између хостова, морају се раздвојити у
различите бродкаст домене. Комуникација између рачунара је тада могућа само
преко рутера који може да филтрира саобраћај по неком критеријуму.
3. Уколико сви хостови нису под истом административном капом. На пример Интернет
посредник изнајми део адресног простора неком предузећу. Мрежа предузећа и
остатак мреже посредника су под различитом администрацијом. Посредник
подмрежавањем само део свог адресног простора додели предузећу.
110
4. Уколико постоји транзиција медијума таква да не постоји стандардан начин за

премошћавање. На пример уколико се на једном сегменту мреже користи етернет, а
на другом frame relay. Та два сегмента не могу се транспарентно премостити и
морају се налазити у различитим бродкаст доменима.
Када су хостови у различитим бродкаст доменима, било из административних или из
техничких разлога, онда рачунари нису један другом директно доступни. Комуникација
између различитих бродкаст домена могућа је само ако се мреже повежу рутером. Рутери
могу пакете из једне мреже да проследе у другу мрежу уколико су конфигурисани са рутама
до тих мрежа. Рутери не прослеђују бродкаст, и на овај начин (преко 3 слоја) повезана два
бродкаст домена остају и даље 2 раздвојена бродкаст домена.
Када се хостови налазе у различитим бродкаст доменима, различитим IP мрежама, то се
мора одразити и на њихове адресе, односно мрежни део адреса тих хостова.
7.9 Поступак подмрежавања

IP адреса састоји се од два дела: мрежни део и хост део. Додатни ниво хијерархије
можемо добити тако што за ознаку подмреже унутар мреже позајмимо одређен, континуиран
број битова који су у оригиналној шеми адресирања били део хост дела адресе. На пример,
мрежу 192.168.30.0/24 можемо поделити на две подмреже тако што ћемо позајмити један
бит, бит највише вредности који је до сада представљао хост део адресе.
До сада у тој једној мрежи били су сви хостови чијих првих 24 бита (слева надесно) у
децималном облику изгледа као 192.168.30.0. У току подмрежавања позајмили смо и 25. бит
(слева надесно) и придружили га мрежном делу адресе. Тај позајмљени бит може бити
постављен на 0 или на 1. У прву групу хостова од сада спадају сви хостови код којих је
позајмљени бит 0, у другу групу хостова спадају сви хостови код којих је позајмљени бит 1.
Слика 7.10: Подела мреже на 2 дела

Број битова који сада спада у мрежни (и подмрежни) део је 25 па је то нови мрежни
префикс за ове две подмреже. Одговарајућа маска подмреже сада је 255.255.255.128.
С друге стране, број битова у хост делу сада је мањи за један позајмљени бит, па је и број
хостова у свакој подмрежи сада 27-2=126.
Уколико позајмимо n битова можемо добити 2n подмрежа, с друге стране, уколико
преостане m битова за хостове добијамо 2m-2 адреса за хостове у тим мрежама. О овој
чињеници мора се водити рачуна када се прави нова адресна шема мреже: да ли
након позајмљивања одређеног броја битова који су потребни за захтеван број мрежа,
остаје довољан број битова за хостове.
На основу овог правила може се и закључити да се позајмљивање може наставити све
док у хост делу не остане само два бита (префикс /30). Са два преостала бита у хост делу
111
може се адресирати 22-2=2 хоста. Ово је најмања могућа мрежа, са два хоста, и често се
користи за тачка-тачка везе између рутера.
Остале карактеристике подмрежа добијају се на уобичајен начин:
 Мрежа 192.168.30.0/25, прва адреса је 192.168.30.1, последња адреса је
192.168.30.126, бродкаст адреса је 192.168.30.127.
 Мрежа 192.168.30.128/25, прва адреса је 192.168.30.129, последња адреса је
192.168.30.254, бродкаст адреса је 192.168.30.255.
Бродкаст адреса за сваку од мрежа добијена је тако што је хост део попуњен јединицама.
Може се уочити да је последња адреса у мрежи за један мања од бродкаст адресе, а да је
следећа мрежа за један већа од бродкаст адресе.
Исто се може проверити програмом ipcalc. Пошто желимо да оригинални префикс /24
променимо на /25, наводимо следећу команду у терминалу: ipcalc 192.168.30.0/24 25
gpredrag@newu:~$ ipcalc 192.168.30.0/24 /25

Address: 192.168.30.0 11000000.10101000.00011110. 00000000
Netmask: 255.255.255.0 = 24 11111111.11111111.11111111. 00000000
Wildcard: 0.0.0.255 00000000.00000000.00000000. 11111111
=>
Network: 192.168.30.0/24 11000000.10101000.00011110. 00000000
HostMin: 192.168.30.1 11000000.10101000.00011110. 00000001
HostMax: 192.168.30.254 11000000.10101000.00011110. 11111110
Broadcast: 192.168.30.255 11000000.10101000.00011110. 11111111
Hosts/Net: 254 Class C, Private Internet
Subnets after transition from /24 to /25
Netmask: 255.255.255.128 = 25 11111111.11111111.11111111.1 0000000
Wildcard: 0.0.0.127 00000000.00000000.00000000.0 1111111
1.
Network: 192.168.30.0/25 11000000.10101000.00011110.0 0000000
HostMin: 192.168.30.1 11000000.10101000.00011110.0 0000001
HostMax: 192.168.30.126 11000000.10101000.00011110.0 1111110
Broadcast: 192.168.30.127 11000000.10101000.00011110.0 1111111
Hosts/Net: 126 Class C, Private Internet
2.
Network: 192.168.30.128/25 11000000.10101000.00011110.1 0000000
HostMin: 192.168.30.129 11000000.10101000.00011110.1 0000001
Слика 7.11: Подела мреже на 2 дела програмом ipcalc

У примеру предствљеном на слици 7.12 почетни адресни простор подељен је на 8
делова. За то је било потребно позајмити 3 бита из хост дела.
112
Слика 7.12: Подела на осам подмрежа

Полазећи од мреже 155.34.128.0/18 позајмљујемо три бита и дужину префикса
повећавамо на /21.
Оригинални адресни простор сада је подељен на подмрежу 0, подмрежу 1, ...до подмреже
7. Адресу подмреже x добијамо тако што у позајмљеном делу упишемо бинарно x. Бродкаст
адреса за сваку од подмрежа добија се постављањем свих битова у хост делу на 1.
Проверa се може одрадити коришћењем програма ipcalc. У терминалу треба унети
команду:
ipcalc 155.34.128.0/18 /21
Део излаза приказан je на слици 7.13:
gpredrag@newu:~$ ipcalc 155.34.128.0/18 /21

Address: 155.34.128.0 10011011.00100010.10 000000.00000000
Netmask: 255.255.192.0 = 18 11111111.11111111.11 000000.00000000
Wildcard: 0.0.63.255 00000000.00000000.00 111111.11111111
=>
Network: 155.34.128.0/18 10011011.00100010.10 000000.00000000
HostMin: 155.34.128.1 10011011.00100010.10 000000.00000001
HostMax: 155.34.191.254 10011011.00100010.10 111111.11111110
Broadcast: 155.34.191.255 10011011.00100010.10 111111.11111111
Subnets after transition from /18 to /21
Netmask: 255.255.248.0 = 21 11111111.11111111.11111 000.00000000
Wildcard: 0.0.7.255 00000000.00000000.00000 111.11111111
1.
Network: 155.34.128.0/21 10011011.00100010.10000 000.00000000
HostMin: 155.34.128.1 10011011.00100010.10000 000.00000001
HostMax: 155.34.135.254 10011011.00100010.10000 111.11111110
Broadcast: 155.34.135.255 10011011.00100010.10000 111.11111111
Слика 7.13: Подела на осам подмрежа програмом ipcalc
7.10 IP адресирање - вежба

Све активности треба проверити програмом ipcalc
113
Активност 7.10.1: Претварање из бинарног у децимални облик

Претворити у децимални облик следећа октете:
1. 10111100
2. 11101100
3. 10001100
Активност 7.10.2: Претварање из децималног у бинарни облик

Претворити у бинарни облик следеће бројеве:
1. 155
2. 218
3. 47
Активност 7.10.3: Маска подмреже

1. Дата је адреса са мрежним префиксом: 192.168.2.113/25. Одредити маску подмреже,
адресу мреже и да ли је дату адресу могуће доделити хосту. Записе представити и у
бинарној и у децималној форми.
1. Маска подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
2. Адреса подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
3. Адресу је могуће доделити хосту?
да / не
2. Дата је адреса са мрежним префиксом: 192.168.1.63/27. Одредити маску подмреже,

адресу мреже и да ли је дату адресу могуће доделити хосту. Записе представити и у
бинарној и у децималној форми.
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
да / не
114
3. Дата је адреса са мрежним префиксом: 155.22.83.0/20. Одредити маску подмреже, адресу

мреже и да ли је дату адресу могуће доделити хосту. Записе представити и у бинарној и у
децималној форми.
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
да / не
Активност 7.10.4: Подмрежавање

1. Мрежу 192.168.1.0/24 треба поделити на 3 подмреже и одредити следеће:
1. Нова маска подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
2. Адреса нулте подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
прва корисна адреса нулте подмреже: _____ . _____ . _____ . _____ / ____
последња корисна адреса нулте подмреже: _____ . _____ . _____ . _____ / ____
бродкаст адреса нулте подмреже: _____ . _____ . _____ . _____
3. Адреса прве подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
прва корисна адреса прве подмреже: _____ . _____ . _____ . _____ / ____
последња корисна адреса прве подмреже: _____ . _____ . _____ . _____ / ____
бродкаст адреса прве подмреже: _____ . _____ . _____ . _____
4. Адреса друге подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
прва корисна адреса друге подмреже: _____ . _____ . _____ . _____ / ____
последња корисна адреса друге подмреже: _____ . _____ . _____ . _____ / ____
бродкаст адреса друге подмреже: _____ . _____ . _____ . _____
5. Адреса треће подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
115
децимални облик: _____ . _____ . _____ . _____

прва корисна адреса треће подмреже: _____ . _____ . _____ . _____ / ____
последња корисна адреса треће подмреже: _____ . _____ . _____ . _____ / ____
бродкаст адреса треће подмреже: _____ . _____ . _____ . _____
2. Мрежу 139.140.0.0 са подразумеваном маском за класу којој припада, треба поделити на
100 подмрежа и одредити параметре 14. подмреже:
1. Нова маска подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
2. Адреса 14. подмреже је:
бинарни облик: _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _
децимални облик: _____ . _____ . _____ . _____
прва корисна адреса 14. подмреже: _____ . _____ . _____ . _____ / ____
последња корисна адреса 14. подмреже: _____ . _____ . _____ . _____ / ____
бродкаст адреса 14. подмреже: _____ . _____ . _____ . _____

1. Које се класе IP адреса се могу користити за адресирање појединих хостова?
2. Које адресе сматрамо за бродкаст адресе?
3. Која је највећа могућа дужина префикса?
4. Које уникаст адресе имају посебно значење?
5. Да ли се подмрежавањем мења број доступних адреса?
116
VIII ВЕЖБА
ПОДЕЛА IPV4 АДРЕСНОГ ПРОСТОРА КОРИШЋЕЊЕМ

МАСКЕ ПРОМЕНЉИВЕ ДУЖИНЕ
Циљ вежбе је да се студенти упознају са поступком подмрежавања подмрежа,

односно креирањем адресне структуре са подмрежама променљиве величине. У
вежби је дат пример решавања конкретног проблема као и провера решења
подмрежавања помоћу програма ipcalc.
8. Подела IPv4 адресног простора коришћењем маске

променљиве дужине
8.1 IP адресирање
Адресно поље у оквиру IPv4 протокола дужине је 32 бита. Укупан број адреса које IPv4
омогућује је 2³². Свака од ових адреса приказује се у децималној нотацији тако што су битови
груписани у групе од 8 битова, при чему се свака група претвара у децимални запис, док је
сепаратор између група тачка. Како би се организовао адресни простор, подељен је на 5
класа и то:
 А класа - 0.0.0.0 - 127.255.255.255 (подразумевана маска подмреже 255.0.0.0);
 B класа - 128.0.0.0 - 191.255.255.255 (подразумевана маска подмреже
255.255.0.0);
 C класа - 192.0.0.0 - 223.255.255.255 (подразумевана маска подмреже
255.255.255.0);
 D класа - 224.0.0.0 - 239.255.255.255 (нема маску подмреже);
 Е класа - 240.0.0.0 - 255.255.255.255 (нема маску подмреже).
Маска подмреже је 32-битни бинарни број (као и адреса) који има 1 на свим позицијама
којe у адреси представљају мрежни део, а 0 на свим позицијама које у адреси представљају
хост део.
На пример у првом примеру адреса је била записана као 192.168.30.10/24. Одговарајућа
маска би била: 11111111.11111111.11111111.00000000, односно 255.255.255.0. Као што је
раније наведено граница мрежа/хост не мора да се налази на граници октета. На пример
уколико је адреса дата као 155.34.130.44/18, маска подмреже би била:
11111111.11111111.11000000.00000000, односно 255.255.192.0.
Из поменутог се види да је за адресу мреже класе B подразумевана маска 255.255.0.0,
што значи да је 16 битова остало у делу за адресирање хостова. 16 битова је довољно да се
направи 65536 адреса укупно у датој мрежи класе B. Међутим, ако компанија тражи на
пример 4000 јавних адреса и ако јој доделимо једну адресу мреже из класе B, то значи да
смо приближно 61000 адреса заробили јер оне не могу да се користе нигде на Интернету сем
у оквиру те компаније. Како је IPv4 адресни простор ограничен ово представља неефикасну
поделу IP адреса, које представљају друштвени ресурс.
Првобитно решење овог проблема ефикасне расподеле адресног простора јесте увођење
подмрежавања, односно поделе једног адресног простора који даје једна адреса мреже на
више мањих. Подмрежавањем се од IP адресног простора задатом IP мрежом и префиксом
прави више мањих мрежа. Пошто једна IP мрежа одговара једном бродкаст домену, примена
на овакав начин добијене шеме адресирања повлачи за собом последицу да се хостови и
физички раздвоје у засебне бродкаст домене.
Подмрежавањем се омогућава да се адресни простор додељује у мањим деловима.
Уместо огромног адресног простора који представљају мреже из класе А или B, интернет
посредник или организација за додељивање и регистрацију адреса, може некоме доделити
само део неке мреже из класе А, B, или C који одговара реалном броју хостова у мрежи. На
тај начин се расположиви адресни простор штити од исцрпљивања. Приликом класичног
подмрежавања прави се фиксни број подмрежа са фиксним бројем хостова по подмрежи,
што се испоставило да и није баш најефикасније.
118
VIII ВЕЖБА | Подела IPv4 адресног простора коришћењем маске променљиве дужине
8.2 Подмрежавање са променљивом маском подмреже

Подмрежавање са променљивом маском подмреже (VLSM подмрежавање) јесте техника
која у одређеној мери елиминише недостатке класичног подмрежавања, тако што дозвољава
да једну подмрежу направљену класичним подмрежавањем, даље делимо на мање делове,
прилагођавајући адресни простор захтевима у што већој мери. Даљим дељењем померамо
границу између идентификације подмреже и хост дела те подмреже, што значи да је и маска
променљиве дужине, одакле и потиче име ове технике.
На пример ако компанија захтева две групе адреса, једну од 4000 и другу од 1000
корисних адреса, коришћењем класе B и класичног подмрежавања адресни простор, који има
адреса класе B, поделили бисмо на делове од по 4096 адреса (212 битова у хост делу). Један
део доделили би првој групи, а следећи другој. Тиме би заробили око 3000 адреса. VLSM
техника дозвољава да други део даље поделимо на 4 дела од по 1024 адресе, од којих би
први део доделили захтеву од 1000 адреса и тиме уместо 3000 адреса, евентуално заробили
22 корисне адресе које би остале неискоришћене.
На овај начин се постиже знатно ефикаснија расподела адресног простора јер се сваки
захтев може опслужити са што мањим губитком адреса.
8.3 Подела IPv4 адресног простора коришћењем маске променљиве

дужине - вежба
Активност 8.3.1: Анализа мрежних захтева
Корпорацијска мрежа састоји се од 6 локалних рачунарских мрежа којима треба
обезбедити наведени број адреса. Поред тога, све локалне мреже повезане су са
централним рутером путем тачка-тачка веза, где за сваку везу треба издвојити по две
корисне адресе. На располагању је адреса мреже 188.66.0.0 са подразумеваном маском
подмреже. Задатак урадити помоћу технике подмрежавања са променљивом маском (VLSM
технике), што је оптималније могуће, односно са што мањим губитком адреса. Захтеви за
корисним адресама су следећи:
 LAN1: 950 корисних адреса;
 TT1 – TT6: по 2 корисне адресе.
Напомена: усправне црте у бинарној представи адресе представљају маску подмреже,
пре и после подмрежавања.
Решење:
188.66.0.0 представља адресу из класе „B“ што значи да је подразумевана маска
подмреже дужине 16 битова (/16), а то даље значи да је на располагању 16 преосталих
битова за подмрежавање. Пре подмрежавања VLSM техником неопходно је захтеве
поређати у опадајућем поретку, односно од највећег ка најмањем и то: 950, 400, 200, 120, 30,
20. Адресе за тачка-тачка везе биће одређене на самом крају.
119
Активност 8.3.2: Прво подмрежавање

Највећи број корисних адреса треба да се обезбеди за LAN1 мрежу: 950. У новодобијеном
хост делу адресе потребно је 10 битова да би се обезбедило 950 адреса. Нова маска
подмреже је дужине: 32-10 = 22 бита (/22). Део за подмрежу је величине 6 битова и могуће је
направити 64 подмрежe. Свака од подмрежа има на располагању 1022 кориснe адресе (1010
– 2). Нулта подмрежа додељује се LAN1 мрежи.
188.66.000000|00.00000000
.000000|11.11111111
 Опсег мреже: 188.66.0.0 – 188.66.3.255 / 22

 Маска у децималној нотацији: 255.255.252.0
 Прва корисна адреса: 188.66.0.1/22
 Последња корисна адреса: 188.66.3.254/22
 Адреса мреже: 188.66.0.0
 Бродкаст адреса за мрежу: 188.66.3.255
Активност 8.3.3: адресе за мрежу LAN5

Мрежи LAN5 потребно је 400 корисних адреса. Да бi се обезбедило 400 адреса може се
узети прва подмрежа из 1. корака: 188.66.4.0 – 188.66.7.255/22. Поделићемо је на два дела
позајмљивањем једног бита из хост дела.
188.66.000001|0|0.00000000
.000001|0|1.11111111
 Опсег мреже: 188.66.4.0 – 188.66.5.255 /23

 Адреса мреже: 188.66.4.0
Активност 8.3.4: Адресе за мрежу LAN3

У 2. кораку прву половину прве мреже доделили смо LAN5 мрежи, што значи да нам је
друга половина на располагању, и то је 188.66.6.0 – 188.66.7.255 /23. Следећи у низу захтева
по величини је 200 корисних адреса за LAN3. Овај захтев можемо испоштовати ако поменуту
другу половину поделимо на два дела, опет позајмљујући један бит од хост дела.
188.66.000001|1|0|.00000000
.000001|1|0|.11111111
 Опсег мреже: 188.66.6.0 – 188.66.6.255/24
120
 Адреса мреже: 188.66.6.0/24

Активност 8.3.5: адресе за мрежу LAN6

У оквиру прве подмреже из 1. корака преостао нам је део од 188.66.7.0 – 188.66.7.255 /24.
Пошто је следећи у низу захтев за 120 корисних адреса за LAN6, цео овај блок можемо
поделити на два дела, позајмљујући један бит.
188.66.000001|1|1|.0|0000000
.000001|1|1|.0|1111111
 Опсег мреже: 188.66.7.0 – 188.66.7.127 /25
 Прва корисна адреса: 188.66.7.1 /25
 Последња корисна адреса: 188.66.7.126 /25
 Адреса мреже: 188.66.7.0 /25

Следећи у низу захтева је 30 корисних адреса за LAN4. Преостао нам је блок од
188.66.7.128 – 188.66.7.255 /25, који делимо на четири дела позајмљујући 2 бита. Први део
доделићемо LAN4, док ћемо други део у кораку 6 доделити LAN2 мрежи.
188.66.000001|1|1|.1|00|00000
188.66.000001|1|1|.1|00|11111
 Опсег мреже: 188.66.7.128 – 188.66.7.159 /27
 Адреса мреже: 188.66.7.128 / 27

Други део, од укупно четири дела из корака 5 доделићемо LAN2 мрежи.
188.66.000001|1|1|.1|01|00000
188.66.000001|1|1|.1|01|11111
 Опсег мреже: 188.66.7.160 – 188.66.7.191 /27
 Последња корисна адреса: 188.66.7.190 / 27
 Адреса мреже: 188.66.7.160 /27
121
Активност 8.3.8: Адресе за тачка-тачка мреже

Преостало је да се обезбеде адресе за тачка-тачка везе којих укупно у овом примеру има
6. Треба да се обезбедити 6 подмрежа са две корисне адресе. Трећи део од укупно 4 дела из
корака 5 који има 30 корисних адреса можемо поделити на 8 делова од по две корисне
адресе, при чему се првих 6 делова додељује тачка-тачка везама. Потребно је позајмити 3
бита из хост дела, па је мрежни префикс /30.
I Тачка тачка веза TT1
188.66.000001|1|1|.1|10|000|00
188.66.000001|1|1|.1|10|000|11
 Опсег мреже: 188.66.7.192 – 188.66.7.195 /30
II Тачка - тачка веза TT2
188.66.000001|1|1|.1|10|001|00
188.66.000001|1|1|.1|10|001|11
 Опсег мреже: 188.66.7.196 – 188.66.7.199 /30
III Тачка – тачка веза TT3
188.66.000001|1|1|.1|10|010|00
188.66.000001|1|1|.1|10|010|11
 Опсег мреже: 188.66.7.200 – 188.66.7.203 /30
IV Тачка – тачка веза TT4
188.66.000001|1|1|.1|10|011|00
188.66.000001|1|1|.1|10|011|11
 Опсег мреже: 188.66.7.204 – 188.66.7.207 /30
122
V Тачка – тачка веза TT5

188.66.000001|1|1|.1|10|100|00
188.66.000001|1|1|.1|10|100|11
 Опсег мреже: 188.66.7.208 – 188.66.7.211 /30
VI Тачка -тачка веза TT6
188.66.000001|1|1|.1|10|101|00
188.66.000001|1|1|.1|10|101|11
 Опсег мреже: 188.66.7.212 – 188.66.7.215 /30
Активност 8.3.9: Провера програмом ipcalc

Програм ipcalc подржава VLSM подмрежавање. Одговарајућим опцијама могуће је задати
почетни адресни простор а затим користећи опцију -s (тј. Split) навести бројеве хостова у
подмрежама које треба да се добију. Како бисмо добили исти резултат препоручује се да се
после опције -s мрежни захтеви наведу у опадајућем редоследу, од највећег до најмањег.
У терминалском прозору треба унети:
ipcalc 188.66.0.0/16b -s 950 400 200 120 30 20 2 2 2 2 2 2
Део излаза команде дат је на слици 8.1:

1. По чему се VLSM подмрежавање разликује од класичног подмрежавања?
2. Шта је мотивација за увођење VLSM подмрежавања?
3. Која би била примерена маска а која дужина префикса за мрежу са 1000 хостова?
4. Која би била примерена маска а која дужина префикса за мрежу са 500 хостова?
5. Која би била примерена маска а која дужина префикса за мрежу са 2 хоста?
6. На слици 8.2 приказана је топологија рачунарске мреже. Неопходно је одредити адресне
просторе за сваки сегмент рачунарске мреже. На располагању је адреса 155.95.0.0, која
није подмрежавана (примењена је подразумевана маска за класу којој припада).
Употребом технике подмрежавања са маском променљиве дужине (VLSM), неопходно је
подмрежити дату адресу тако да се добију адресни опсези за сваки сегмент мреже са
слике 8.2. Поштовати захтеве о броју потребних IP адреса у оквиру сегмента.
Подмрежавање техником VLSM треба урадити да буде најоптималније могуће, тако да
губитак IP адреса буде што мањи. Проверу извршити програмом ipcalc. Захтеви су:
123
gpredrag@newu:~$ ipcalc 188.66.0.0/16 -s 950 400 200 120 30 20 2 2 2 2 2 2

Address: 188.66.0.0 10111100.01000010. 00000000.00000000
Netmask: 255.255.0.0 = 16 11111111.11111111. 00000000.00000000
Wildcard: 0.0.255.255 00000000.00000000. 11111111.11111111
=>
Network: 188.66.0.0/16 10111100.01000010. 00000000.00000000
HostMin: 188.66.0.1 10111100.01000010. 00000000.00000001
HostMax: 188.66.255.254 10111100.01000010. 11111111.11111110
Broadcast: 188.66.255.255 10111100.01000010. 11111111.11111111
1. Requested size: 950 hosts
Netmask: 255.255.252.0 = 22 11111111.11111111.111111 00.00000000
Network: 188.66.0.0/22 10111100.01000010.000000 00.00000000
HostMin: 188.66.0.1 10111100.01000010.000000 00.00000001
HostMax: 188.66.3.254 10111100.01000010.000000 11.11111110
Broadcast: 188.66.3.255 10111100.01000010.000000 11.11111111
Слика 8.1: VLSM подмрежавање програмом ipcalc
Слика 8.2: Топологија рачунарске мреже уз задатак

 LAN1: 200 хостова;
 PTP1: 2 хостова;
 PTP4: 2,
124
IX ВЕЖБА
КОНФИГУРАЦИЈА ХОСТОВА IP ПАРАМЕТРИМА

И УСМЕРАВАЊЕ ПАКЕТА НА МРЕЖНОМ СЛОЈУ
Циљ вежбе је да се студенти упознају са процесима аутентификације и ауторизације

у рачунарским мрежама, уз осврт на логичку организацију рачунара. Поред тога биће
речи и о директоријумском сервису у сврси каталога ресурса у рачунарској мрежи. У
практичном делу вежбе биће имплементиран један директоријумски сервис у оквиру
кога ће бити смештени кориснички налози.
9. Конфигурација хостова IP параметрима и усмеравање пакета

на мрежном слоју
9.1 Увод
Како би хост могао да комуницира са осталим хостовима на мрежи неопходно је да има
подешене параметре IP протокола као што су IP адреса, маска мреже, подразумевани излаз,
адреса сервера за разрешавање имена (DNS)... Генерално, постоје два начина да хосту
обезбедимо ове информације, а то су:
 статичка конфигурација и
 динамичка конфигурација IP параметара.
9.2 Статичка конфигурација IP параметара

Када говоримо о статичкој конфигурацији мисли се на то да се одређеном хосту додели
уникатна IP адреса и да се та адреса ручно унесе у конфигурацију хоста. Поред саме адресе
неопходно је ручно унети и остале потребне параметре, као што су маска подмреже, адреса
подразумеваног излаза итд. Ако узмемо у обзир да рачунарска мрежа просечно има стотине
и више рачунара, очигледан је недостатак оваквог система администрације и конфигурације
IP параметара. Поред много административног напора, он са собом носи и ризик од
прављења ненамерних грешака приликом уноса IP адреса. Добра страна статичке
конфигурације IP параметара јесте та да једном дефинисани IP параметри остају
непроменљиви до реконфигурације. Ово је од велике важности када су нпр. сервери у
питању. Незамислив би био приступ неком веб серверу чија би се адреса из дана у дан
мењала. То би значило да пре сваког приступа морамо да потражимо нову адресу сервера.
9.3 Динамичка конфигурација IP параметара

Други начин конфигурације хостова IP параметрима јесте динамичка конфигурација која
се обавља путем протокола за динамичку конфигурацију хостова DHCP1. Логика овог
принципа врло је једноставна. У једној рачунарској мрежи треба подићи сервер који ће имати
улогу конфигуратора клијената, доделити му IP параметре које треба да обезбеди
клијентима, и на крају подесити хостове да приликом подизања оперативног система,
односно мрежног интерфејса потраже DHCP сервер. Од велике важности приликом
имплементације оваквог решења је позиција DHCP сервера јер он мора да буде доступан
клијенту који још увек нема IP адресу. То конкретно значи да хост и DHCP сервер морају да
буду у оквиру исте локалне мреже и да између њих не постоји рутер. Процес прибављања IP
параметара од DHCP сервера одвија се кроз четири поруке које хост и DHCP сервер
размене, а то су: DHCP Discover порука (хост шаље серверу),
1. DHCP Offer (сервер шаље хосту),
2. DHCP Request (хост шаље серверу),
3. DHCP Acknowledge (сервер шаље хосту).
Временски редослед ових порука приказан је на слици 9.1. Како хост нема адресу пре
слања DHCP Discover поруке, као изворишну адресу у пакету који шаље уписаће адресу
0.0.0.0, док ће као одредишну адресу ставити бродкаст адресу 255.255.255.255 из разлога
што не зна на којој се адреси налази DHCP сервер (нити има потребе то да зна). У случају
1 Dynamic Host Configuration Protocol
126
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
Слика 9.1: Временски редослед догађаја код DHCP протокола

да је DHCP сервер на истој локалној мрежи као и хост (рутер не прослеђује бродкаст
саобраћај), он ће чути послати бродкаст, утврдити да је у питању захтев за DHCP услугом и
одговорити понудом. Ако на локалном сегменту постоји више DHCP сервера може се десити
да сви одговоре својим понудама, и у том случају клијент мора да се определи за једну
(најчешће за ону која је прва стигла). По пријему DHCP Offer поруке, хост одговара DHCP
Request поруком, коју опет шаље као бродкаст, али у којој наводи, у DHCP заглављу, чију
понуду прихвата. Сервери чија понуда није прихваћена повлаче се, док сервер чија је понуда
прихваћена шаље остале IP параметре у виду DHCP Acknowledge поруке.
Овакав систем динамичке конфигурације заснован је на принципу изнајмљивања адреса,
који се огледа у томе да се клијенту изнајмљује једна конкретна адреса на унапред
дефинисани период времена, по истеку кога клијент или мора да обнови изнајмљивање или
да престане са употребом већ добијене IP адресе. На овај начин омогућено је да само
активни клијенти користе расположиве IP адресе чиме се остварује уштеда у броју
неопходних IP адреса.
Принцип динамичке конфигурације хостова у великој мери је олакшао администрацију
средњих и великих рачунарских мрежа, превасходно због смањења административног
напора неопходног да би клијент био способан да "разговара", али и због смањења могућих
грешака у конфигурацији које се могу јавити приликом статичке конфигурације.
9.4 Усмеравање (рутирање) података на мрежном слоју

Задатак трећег слоја OSI модела, односно интернет слоја TCP/IP модела, јесте да
омогући комуникацију, односно размену јединица протокола података између рачунара који
се (могуће) налазе на различитим мрежама и (могуће) користе различите имплементације
физичког слоја и слоја везе података.
У TCP/IP фамилији протокола на овом слоју се налази IP протокол. Сем шеме
адресирања независне од хардверске и софтверске имплементације приступа мрежи, веома
важна функционалност на овом слоју је и рутирање, односно усмеравање пакета ка
одредишту. Интернет представља сплет међусобно повезаних мрежа које повезују рутери.
Пакет на свом путу од изворишног до одредишног рачунара прелази велики број посредних
рутера и мрежа. IP омогућава услугу преноса без успоставе везе и поузданости, што значи
да се пре слања пакета не успостави комуникациони канал с краја на крај. Уместо тога,
127
полазни рачунар упути пакет до интерфејса рутера који је конфигурисан као подразумевани
мрежни пролаз, који са своје стране упути пакет до следећег рутера на путањи. Следећи
рутер такође усмери пакет све док пакет не пристигне до рутера који је директно прикључен
на мрежу на којој се налази одредишни рачунар.
Слика 9.2: Сплет мрежа повезаних рутерима

Процес рутирања састоји се од одређивања најбоље путање (који је то рутер „следећи на
путу до одредишта“), и комутирања пакета – пакет који је примљен на једном интерфејсу
после одређивања најбоље путање поново се укалупљује (енкапсулира) и проследи преко
другог интерфејса на путу ка следећем рутеру.
Одређивање најбоље путање

Најбоља путања за пакет одређује се на основу одредишне адресе пакета који се
усмерава, као и на основу табеле рутирања коју рутер има. Табела рутирања је неопходна за
усмеравање пакета. Ниједан пакет не може да се усмери уколико не постоји одговарајући
улаз у табели рутирања. Уколико рутер нема потребне информације за усмеравање пакета,
пакет се одбацује, при чему се изворишном рачунару може послати информација о томе –
одговарајућа ICMP порука.
Табела рутирирања садржи мапирања облика удаљена мрежа - следећи рутер. У
терминологији везаној за рутирање следећи рутер назива се „next-hop“ рутер.
Слика 9.3: Табела рутирања

На слици 9.3 приказана је табела рутирања једног рутера. У њој се налазе информације о
топологији мреже које овај рутер поседује.
Прва четири улаза у табелу (са ознаком „C“) представљају мреже на које је рутер
директно прикључен. Види се да рутер има три мрежна интерфејса:
1. eth0, којим је рутер повезан на мрежу 155.45.0.0/16 (четврти улаз).
2. eth1, којим је рутер повезан на мрежу 134.22.0.0/16 (трећи улаз).
128
3. eth2, којим је рутер повезан на мрежу 10.0.0.0/8 (први улаз).

Четврти улаз (други улаз), за мрежу 127.0.0.0/8 односи се на софтверски интерфејс –
локалну петљу.
Све горенаведене улазе, за директно прикључене мреже као и за мрежу локалне петље,
рутер може аутоматски да унесе у табелу рутирања пошто му се конфигуришу интерфејси.
Последња три улаза у табели рутирања односе се на удаљене мреже. Ове улазе рутер не
може сам да унесе. Информације о удаљеним мрежама у табелу рутирања може ручно да
унесе администратор рутера, или се могу научити од других рутера уколико се на рутеру
конфигурише одговарајући протокол за рутирање. У горњем примеру руте је унео
администратор, то су такозване статичке руте (ознака „S“). Та последња три улаза рутеру
говоре:
1. До мреже 172.17.0.0/16 стиже се преко („via“) следећег, „next hop“, рутера са
адресом 134.22.2.2 преко интерфејса eth1.
Наведени мрежни префикси (/16,/24,/24) не значе да се на удаљеним мрежама заиста
користи тај мрежни префикс. Ти префикси указују рутеру који број бита у одредишној адреси
пакета треба да се поклопи са тим улазом да би тај улаз, са наведеним следећим рутером,
био коришћен за усмеравање пакета.
Поступак одређивања најбоље путање на основу одредишне адресе врши се
упоређивањем одредишне адресе у пакету са појединим улазима у табели рутирања. На
пример, претпоставимо да је до рутера стигао пакет који као одредишну адресу наводи
193.22.1.115. Поступак одређивања најбоље путање могао би да буде:
1. Први улаз је 10.0.0.0/8; да ли првих 8 (због /8) бита одредишне адресе
(193.22.1.115) одговара овом улазу. Рутер у ствари уради логичку „И“ операцију
(бинарно „И“) одредишне адресе (193.22.1.115) и маске 255.0.0.0 (због префикса /8).
Резултат је 193.0.0.0, што је различито од 10.0.0.0, односно мреже за коју важи овај
улаз. На основу тога рутер закључи да одредишна адреса није на директно
прикљученој мрежи 10.0.0.0.
2. На исти начин рутер закључи да одредиште 193.22.2.115 није ни на директно
прикљученим мрежама 127.0.0.0/8, 134.22.0.0/16 као ни 155.45.0.0/16.
3. Пети улаз је за мрежу 172.17.0.0/16; да ли се првих 16 бита (због /16) одредишне
адресе 193.22.1.115 поклапа са овим улазом. Рутер у ствари уради логичку „И“
операцију одредишне адресе (193.22.1.115) и маске 255.255.0.0 (због префикса
/16). Резултат је 193.22.0.0, што је различито од 172.17.0.0, односно мреже за коју
важи овај улаз. На основу тога рутер закључи да се одредишна адреса не налази на
путањи која води преко следећег рутера, који је у овом улазу наведен (134.22.2.2).
4. На исти начин се одбаци и следећи улаз, за мрежу 172.17.5.0/24.
5. Последњи улаз је 193.22.1.0/24; да ли се првих 24 бита (због префикса /24)
одредишне адресе (193.22.1.115) поклапа са овим улазом. Рутер у ствари уради
логичку „И“ операцију одредишне адресе 193.22.2.115 и маске 255.255.255.0 (због
префикса /24). Резултат је 193.22.1.0 што управо одговара овом улазу. На основу
129
овог улаза рутер закључи да пакет треба да усмери преко рутера са адресом
10.2.2.2 преко свог интерфејса eth2.
Да одговарајући улаз није пронађен, пакет би био одбачен. Одговарајућа ICMP порука о
томе да је одредиште недоступно могла би да буде упућена изворишном рачунару.
Погледајмо још један пример, претпоставимо да је рутер примио пакет у коме је као
одредишна адреса наведена 172.17.5.12.
Први улаз је 10.0.0.0/8; да ли првих 8 (због /8) бита одредишне адресе (172.17.5.12)
одговара овом улазу? На претходно описан начин рутер закључи да овај улаз не одговара.
На исти начин рутер закључи да ни други, трећи ни четврти улаз не одговарају.
1. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16) одредишне
операцију одредишне адресе (172.17.5.12) и маске 255.255.0.0 (због префикса /16).
Резултат је 172.17.0.0, што одговара овом улазу: 172.17.0.0/16. На основу тога
рутер закључи да се одредишна адреса налази на путањи која води преко следећег
рутера који је у овом улазу наведен (134.22.2.2), преко интерфејса eth1.
2. Шести улаз је за мрежу 172.17.5.0/24; да ли се првих 24 бита (због /24) одредишне
операцију одредишне адресе (172.17.5.12) и маске 255.255.255.0 (због префикса
/24). Резултат је 172.17.5.0, што одговара овом улазу: 172.17.5.0/24. На основу тога
рутер закључи да се одредишна адреса налази на путањи која води преко следећег
рутера који је у овом улазу наведен (155.45.2.2), преко интерфејса eth0.
На основу досадашње претраге табеле долази се до закључка да рутер има два могућа
улаза која би могао да користи. Рутер ће у ствари изабрати шести улаз, јер има дужи мрежни
префикс (/24, наспрам /16). Односно, ова рута је прецизнија. Могли бисмо да замислимо да
се, генерално, мрежа 172.17.0.0/16 налази иза једног од следећих рутера, док се
специфично, једна подмрежа те мреже, односно 172.17.5.0/24 налази иза неког другог
следећег рутера. Рутери увек бирају најспецифичнији улаз.
Рутер, чија је табела рутирања приказана на слици, пакете намењене за све остале
мреже одбацивао би, пошто нема информације о било којим другим мрежама сем о оним
које су наведене. И рутери могу да имају подразумевану руту, односно еквивалент
подразумеваног мрежног пролаза на радним станицама. Можемо да замислимо сценарио да
рутер у својој табели рутирања има специфичне информације о мрежама једног предузећа, а
да пакете намењене за сва остала одредишта треба да усмери ка рутеру интернет
посредника, под претпоставком да тај рутер има специфичне информације о тим, не
локалним мрежама.
Слика 9.4: Табела рутирања са подразумеваном рутом
130
На слици 9.4 приказана је табела рутирања рутера у којој сада постоји и подразумевана1
рута (наведена је као први улаз). Погледајмо шта би се десило када би рутер, као у
претходном случају, покушао да одреди најбољи пут за пакет са дестинационом адресом
172.17.5.12.
На основу сада првог улаза 0.0.0.0/0 проверио би да ли се 0 бита (због префикса /0)
одредишне адресе 172.17.5.12 поклапа са улазом. Рутер ће да уради логичку „И“ операцију
одредишне адресе и маске 0.0.0.0 (због префикса /0). Резултат је 0.0.0.0 што одговара
адреси мреже која је наведена у овом улазу. У ствари, овај улаз је „одговарајући“ за било
коју дестинациону адресу, јер бинарно „И“ било које адресе и 0.0.0.0 даје 0.0.0.0. Једини
„проблем“ са овим улазом јесте што је врло неспецифичан, дужина мрежног префикса је 0.
Чак и са оваквим улазом, пакет намењен за 172.17.5.12 биће испоручен преко интерфејса
eth0, као у ранијем примеру, јер је то најспецифичнији улаз. Улаз за мрежу 0.0.0.0/0 биће
коришћен за усмеравање само оних пакета за које не постоји специфичнији улаз у табели
рутирања.
9.5. Конфигурација хостова IP параметрима и усмеравање пакета на

мрежном слоју - вежбе
Активност 9.5.1: креирање мрежне топологије
ISC-DHCP сервер је софтвер отвореног кода кога развија организација Ineternet System
Consortium (http://www.isc.org). Овај софтвер је доступан на свим Linux (Линукс)
дистрибуцијама и стекао је своју популарност због своје једноставности и робусности у раду.
Инсталација Linux сервера

ISC-DHCP сервер ће бити инсталиран на постојећем Ubuntu Linux серверу у оквиру
Virtualbox софтвера за виртуелизацију. Linux сервер се може инсталирати уз помоћ
серверског CD-a који се може преузети са www.ubuntu.com.
Осим тога могуће је користи већ готове виртуелне машине са инсталираним сервером
какве се на пример могу преузети са http://virtualboxes.org/images/ubuntu-server. У овом
примеру је коришћена верзија 12.04. Преузета машина може се покренути први пут тако што
се кликне на фајл виртуелне машине.
Подразумевано корисничко име је “ubuntu” са лозинком “reverse”. Овај корисник је
ефективно администратор машине и може да покреће команде са повишеним привилегијама
користећи “sudo” (http://xkcd.com/149/).
На пример, пошто покренемо машину први пут и пријавимо се са “ubuntu/reverse”, можемо
регуларно угасити сервер командом: sudo shutdown -h now. Подизање привилегија уз
употребу sudo захтева лозинку корисника која се памти следећих 5 мин. Сервер у овом
тренутку гасимо како бисмо припремили мрежну топологију
Припрема топологије
Како бисмо инсталирали и тестирали ISC-DHCP, потребно је да у окружењу Virtualbox
направимо топологију у којој ће се налазити Linux сервер и Windows клијент на заједничкој
мрежи. Неопходно је и да Linux сервер има приступ Интернету, тачније инсталационим
пакетима из Ubuntu складишта, како би могао да инсталира одговарајући софтвер.
Новије верзије Virtualbox софтвера омогућавају креирање NAT мрежа са произвољним
адресним простором.
1 Default
131
Најједноставније је направити ову NAT мрежу из командне линије употребом програма

VBoxManage.
На Windows оперативном систему ова алатка (VBoxManage.exe) није у путањи па је пре
њеног покретања потребно бити у директоријуму у коме je инсталиран Virtualbox, односно
најчешће: C:\Program Files\Oracle\VirtualBox\
1. У терминалу (командном прозору Windowsa) унети:
2. cd C:\Program Files\Oracle\VirtualBox\
3. Одговарајућом командом креирамо NAT мрежу са називом “nat_mreza1” и адресом
мреже 192.168.100.0/24 (виртуелни NAT рутер ће узети прву адресу из опсега и
функционисати као DNS прослеђивач); на тој мрежи треба искључити интерни
DHCP сервер јер ће се за ту улогу користи наш сервер; уносимо:
На овај начин је креирана потребна мрежа.

Ово је могуће учинити и из графичког окружења Virtualbox-а. Доступне NAT мреже се виде
са File→Preferences→Network. Потребно је креирати NAT мрежу “nat_mreza1” са адресом
192.168.100.0/24 и искљученим DHCP сервером.
Како би смо повезали наше виртуелне машине (Linux сервер и Windows клијент) на ову
мрежу потребно је изменити конфигурације тих виртуелних машина.
У оквиру Virtualbox окружења потребно је селектовати машину, изабрати “Settings”, а
затим “Network”. За једини адаптер “Adapter 1” је потребно подесити:
 “Attached to”: NAT network
 “Name”: nat_mreza1
Ово је потребно урадити за обе виртуелне машине.
Активност 9.5. 2: Подешавање Linux сервера

Пошто смо изменили мрежна подешавања потребно је покренути Linux сервер. Пошто је
машина подешена као DHCP клијент, а налази се на сегменту на коме тренутно нема DHCP
сервера прво подизање у новој топологији ће потрајати због безуспешних покушаја да се
прибави адреса. Након подизања система потребно је пријавити се (нпр. ubuntu/reverse ако
се користи готова виртуелна машина).
Подешавање статичке адресе

Потебно је подесити статичку адресу на серверу јер је то предуслов за инсталацију DHCP
сервера. На Linux серверима без графичког окружења, мрежна конфигурација се мења
изменом одговарајућих конфигурационих фајлова. У случају оперативног система Ubuntu
Linux ради се о фајлу /etc/network/interfaces.
Најпре обарамо постојећи етернет интерфејс: “sudo ifdown eth0”. Уносимо лозинку уколико
се захтева
1. Покрећемо уређивач текста “nano” за фајл /etc/network/interfaces: “sudo nano
/etc/network/interfaces”
2. Уочимо секцију овог фајла која се тиче етернет интерфејса:
132
 Све иза # је коментар;

• auto eth0 указује да се овај интерфејсн приликом подизања система, подиже
аутоматски (а не нпр. ручно);
• “iface eth0 inet dhcp” указује да интерфејс eth0 (“iface eth0”) прибавља интернет
адресу (“inet”) путем DHCP сервера (“dhcp”).
 Треба подесити да је Интернет адреса статички подешена (“inet static”) а затим
навести адресу, маску, подразумевани мрежни пролаз и адресу DNS сервера.
Секција која се тиче примарног интерфејса треба да буде измењена и да изгледа
као:
Слика 9.5: Секција за подешавање етернет интерфејса

 Сачувати измене у фајлу: CTRL+o, па затим “Enter”. Напустити уређивач текста са
CTRL+x
 Затим подижемо етернет интерфејс: “sudo ifup eth0”.
 Један од начина да верификујемо је да унесемо команду “ifconfig”. Команда
приказује конфигурацију интерфејса. Приказане информације треба да одговарају
раније унетим.
Слика 9.6: Приказ конфигурисаних етернет интерфејса

 Проверити доступност подразумеваног мрежног пролаза са: “ping 192.168.100.1”;
На оперативном систему Linux ping морамо ручно зауставити са CTRL+c
133
 Проверити доступност хостова на Итернету и разрешавање DNS имена са: “ping

www.google.com”.На оперативном систему Linux команду ping морамо ручно
зауставити са CTRL+c
Ажурирање софтвера
Софтвер се на већини Linux дистрибуција ажурира и инсталира из одговарајући
софтверских складишта на Интернету. Пожељно је пре инсталације новог софтвера
ажурирати списак доступних пакета и ажурирати већ инсталиране пакете:
1. Ажурирамо списак доступних пакета са: “sudo apt-get update”; Треба сачекати да се
прибави ажуран списак.
2. Ажурирамо већ инсталиране пакете са: “sudo apt-get upgrade”; ако има доступних
ажурирања треба потврдити њихову инсталацију; овај корак може да потраје и у
принципу се може прескочити, али би било пожељно одрадити.
Пожељно је, ако расположива мрежа и време дозвољавају, ажурирати већ постојеће
пакете јер потенцијално могу настати проблеми уколико желимо да инсталирамо нови
софтвер који захтева ажурне верзије постојећег софтвера.
Активност 9.5.3: Инсталацијa ISC-DHCP сервера

ISC-DHCP сервер је доступан у Ubuntu складишту софтвера под називом “isc-dhcp-server”.
Ако је листа доступних пакета освежена претходним командама, можемо га једноставно
инсталирати са:
sudo apt-get install isc-dhcp-server
Ако софтвер зависи од других пакета и они ће бити понуђени за инсталацију, што треба
прихватити. Након прихватања, софтвер ће бити преузет из складишта и инсталиран.
Уколико је то могуће, софтверски пакети мрежних сервиса се након инсталације
аутоматски покрену са неком “здраворазумском” подразумеваном конфигурацијом. За DHCP
сервер је немогуће имати подразумевану конфигурацију која безбедно ради у било којој
мрежи. Зато инсталирани сервер неће бити успешно покренут, што се може утврдити и
прегледом задњих десет линија дневничког фајла са: “tail /var/log/syslog”.
Пошто креирамо исправну конфигурацију сервера, покренућемо га ручно касније.
Активност 9.5. 4: Конфигурација DHCP сервера

DHCP сервер (“daemon”) се конфигурише изменом фајла /etc/dhcp/dhcpd.conf. То је
текстуални фајл у који се уносе конфигурациони искази (“statements”) који се анализирају
приликом покретања dhcpd сервера.
Уколико је isc-dhcp-server инсталиран, овај фајл је присутан на серверу и може се
погледати са: less /etc/dhcp/dhcpd.conf (иначе, програм less се напушта, када је то потребно,
притиском на q).
Ради документовања подешавањa у конфигурациони фајл је могуће и пожељно уносити
коментаре. Кометар може да поче било где знаком “#” и наставља се до краја текућег реда.
Штавише, подразумевани конфигурациони фајл који је део инсталације isc-dhcp сервера
садржи у облику коментара примере конфигурације са објашњењима. На тај начин се веома
брзо може подесити север, уколико се прилагоде и одкоментаришу жељени конфигурациони
искази.
Конфигурациони искази се деле на:
134
 Конфигурационе параметре;
 Конфигурационе декларације.
Конфигурациони параметри
Конфигурациони параметри одређују понашања сервера као што су трајање закупа за
адресе додељене клијенту, ограничења доделе адреса. Конфигурациони параметри који
почињу са службеном речју “options” представљају DHCP опције које се саопштавају
клијентима током динамичке конфигурације. Примери би били адреса DNS сервера или
подразумеваног мрежног пролаза.
Конфигурационе декларације
Конфигурационе декларације описују топологију мрежа на које је прикључен DHCP сервер
као и мрежа на којима се налазе клијенти. Конфигурационе декларације могу описивати
читаве сегменте мреже (декларација “subnet”) на којима се могу налазити клијенти, адресе
које треба додељивати клијентима (декларација “range”), или појединачне клијенте
(декларација “host”). Осим тога могуће су и декларације којима су груписани хостови
невезано за сегменте на којима се налазе (декларације “shared network” и “group”) .
Различитим конфигурационим декларацијама је на тај начин могуће описати групе рачунара
различите величине (само један, више на једној мрежи или различитим, сви на истом
сегменту и сл.) како би им одредили специфични конфигурациони параметри.
Садржај конфигурационог фајла

Генерално за функционисање DHCP сервера је обавезно да у конфигурационом фајлу
постоји “subnet” декларација за сваки од мрежних сегмената на који је DHCP сервер
прикључен (ако нпр. има више мрежних адаптера), чак и ако није потребно да на сваком од
њих додељује адресе. Осим тога потребне су “subnet” декларације за сваки од мрежних
сегмената на којима сервер треба да додељује адресе.
Типична једноставна конфигурација DHCP сервера би изгледала као:
Слика 9.7: Елементи конфигурационог фајла
135
Могу се уочити опције и декларације сегмената. Уочити да се опције морају завршити са

“;” (тачка-зарез).
Уобичајени глобални параметри

Дакле, на почетку фајла “dhcpd.conf” најпре су наведени глобални параметри. Најважнији
су параметри који дефинишу дужину закупа адресе која ће бити понуђена клијенту. То су
опције:
 default-lease-time: време у секундама дужине закупа које биће понуђено клијенту
уколико он не захтева нешто другачије,
 max-lease-time: максимална дужина закупа које сервер може да додељује
клијентима
 authoritative: да ли је сервер ауторитативан; уколико јесте, клијентима који
покушају да прибаве адресе за које сервер сматра да нису регуларне биће
послата DHCP-NACK порука (Not ACK); уколико сервер није ауторитативан
нерегуларни захтеви ће бити игнорисани
Уобичајене глобалне DHCP опције

Уколико мрежа има више мрежних сегмената раздвојених рутерима за очекивати је да ће
на сваком од њих бити додељиване адресе из различитих опсега и да ће неке од DHCP
опција бити специфичне за сваки од сегмената.
Чак и у таквим мрежама често су неки конфигурациони параметри исти за све сегменте,
јер су неки мрежни сервиси централизовани. На пример и у таквим сегментираним мрежама
је уобичајено да постоји заједничка листа DNS сервера, и да је име DNS домена, које се
користи за разрешавање кратких, неквалификованих имена хостова исто за све клијенте, на
свим сегментима.
Овакве опције се обично унесу на почетку конфигурационог фајла и важе за све касније
унешене subnet декларације. Као и све DHCP опције, почињу са “option”.
Дакле следеће DHCP опције се обично подесе као глобалне:
 option domain-name-servers sever1, server2,...:листа DNS сервера (одвојених
зарезима) који се саопштавају клијентима; најбезбедније је унети IP адресе
сервера али се могу користити и имена хостова које ће DHCP сервер да разреши
пре него што адресе пошаље клијентима.
 option domain-name “dns.ime.domena”: име DNS домена које клијенти додају на
неквалификована имена када их разрешавају; то је обично име DNS домена који
је делегиран организацији
 Ако је потребно ове опције се могу додати и у оквиру subnet декларације, ако
дати мрежни сегмент има специфична подешавања.
Декларација мрежног сегмента

Као што је раније наведено, сервер мора да има subnet декларацију за сваку од мрежа на
коју је прикључен (чак и ако не додељује адресе), као и за сваки од сегмената на којима
треба да додељује адресе.
Декларација subnet декларише читаву мрежу, наводећи адресу мреже и маску подмреже,
што не значи да ће сервер све расположиве адресе мреже додељивати клијентима.
136
Део адреса мрежног сегмента који се додељује клијентима може се навести range
опцијом која се налази унутар декларације сегмента (subnet).
Осим range опције, унутар декларације сегмента налазе се и DHCP опције које су
специфичне за дати сегмент. Карактеристична таква опција је опција која објашњава
подразумевани мрежни пролаз.
Пример декларације подмреже био би:
Слика 9.8: Пример декларације подмреже

Декларација подмреже почиње са subnet иза чега следе адреса мреже и маска
подмреже; ова декларација не говори серверу да су све адресе из мреже доступне за
издавање клијентима. Између отворене и затворене витичасте заграде следе опције
специфичне за сегмент.
 option routers: листа која наводи адресе подразумеваних мрежних пролаза
на сегменту; најбезбедније је користити адресе али се могу користити и имена
хостова које DHCP сервер мора да разреши;
 range: наводи опсег адреса (прва и последња) које су слободне за издавање
унутар сегмента.
Активност 9.5.5: Креирање једноставне DHCP конфигурације

У овом примеру биће конфигурисан једноставан DHCP сервер са следећим
претпоставкама:
 Сервер је прикључен на мрежни сегмент 192.168.100.0/24, има адресу
192.168.100.10/24 и функционисаће као ауторитативни DHCP сервер.
 На том сегменту на адреси 192.168.100.1 налази се DNS сервер и подразумевани
мрежни пролаз.
 Клијентима ће бити додељиване адресе из опсега 192.168.100.100-254.
 Дужина закупа (максимална и подразумевана) биће један дан; у ситуацијама са
мноштвом клијената (нпр. пролазна бежична мрежа) дужина може бити и знатно
краћа, подразумевана је 10 мин.
 Најпре покрећемо уређивач текста са повишеним привилегијама (унети лозинку
ако се захтева):
sudo nano /etc/dhcp/dhcpd.conf
 Променићемо подразумеване дужине закупа изменом постојећих опција
default-lease-time, max-lease-time:
 Име DNS домена подесићемо на rmreze.example.org изменом постојеће

опције “domain-name”:
137
 Изменићемо адресу DNS сервера изменом постoјеће опције “domain-name-

servers”:
 Учинићемо да сервер буде ауторитативан; обисаћемо коментар (знак #) испред

опције “authoritative”
 Притиском на “PageDown” тастер неколико пута отићи ћемона крај фајла како
бисмо декларисали наш мрежни сегмент са опсегом адреса и подразумеваним
мрежним пролазом:
 Сачувати измене у фајлу: CTRL+o, па затим “Enter”. Напустити уређивач текста са

CTRL+x
 Поново покренути DHCP сервер са: sudo service isc-dhcp-server restart (унети
лозинку ако се захтева).
 Сервер би требало да буде покренут. Као што се могло видети из
конфигурационог фајла, користи се “/var/log/syslog” као дневнички фајл. Можемо
погледати последњих 10 линија фајла командом: “tail /var/log/syslog”. Уколико је
било грешака оне би морале бити индициране одговарајућим порукама па их
треба исправити и поново покренути сервер.
Активност 9.5.6: Верификација на клијенту

Већина клијентских оперативних система је подразумевано подешена као DHCP клијент.
Ако су на Windows рачунару ова подешавања мењана могу се вратити на подразумевана ако
се у подешавањима мрежног адаптера изабере “Obtain IP address automatically, Obtain DNS
server address automatically”:
138
Слика 9.9: Подешавање на DHCP клијенту

Након покретања клијента можемо проверити његова IP подешавања у командном
прозору командом “ipconfig /all”.
Слика 9.10 : Приказ адресних информација

На овај начин могу се уочити прибављене адресне информације, као и дужина трајања
закупа.
Командом ipconfig може се отпустити прибављена адреса или захтевати обнова закупа.
Ову могућност треба користити како бисмо програмом Wireshark снимили DHCP саобраћај
између клијента и сервера.
1. У командном прозору отпустити прибављену адресу: “ipconfig /release”
139
2. Проверити адресне иформације: “ipconfig /all”

3. Покренути програм Wireshark, као и снимање на етернет адаптеру
4. Затражити закуп адресе, у командном прозору унети “ipconfig /renew”
5. Зауставити снимање саобраћаја; DHCP пакети се могу филтрирати као “bootp”
(BOOTP -Bootstrap протокол је претеча DHCP протокола и користи сличан формат
пакета)
6. Уочити кораке током конфигурације клијента.
Активност 9.5.7: Верификација на серверу

DHCP сервер мора да има евиденцију адреса које су додељене клијентима. ISC-DHCP
сервер такву евиденцију чува у фајлу “/var/lib/dhcp/dhcpd.leases”.
Можемо прегледати тај фајл, на пример са:
“less /var/lib/dhcpd/dhcp.leases”
Слика 9.11: Провера на DHCP серверу

Свака закупљена адреса има своју декларацију. Унутар ње се могу видети временски
параметри почетка и краја закупа (starts,ends), тренутно стање (binding state) које може бити
“active” ако је адреса у употреби или “free” ако је адреса слободна.
Могу се уочити хардверска адреса клијента као и име које је слато у порукама ка серверу.

1. Које се четири поруке размене у току прибављања адресе од DHCP сервера?
2. Које ставке садржи улаз у табели рутирања?
3. Шта је „next hop“ рутер?
4. Ако више улаза у табели рутирања, са различитим маскама подмреже, могу да се користе
за прослеђивање пакета, који од њих се користи?
5. Шта су конфигурационе директиве а шта декларације у конфигурационом фајла ISC-
DHCP сервера?
6. Зашто се неке DHCP опције у конфигурационом фајлу поставе као глобалне?
140
X ВЕЖБА
РАЗРЕШАВАЊЕ ИМЕНА РАЧУНАРА
Циљ вежбе је да се студенти упознају са начином функционисања система за

разрешавање имена рачунара у IP адресе. У практичном делу вежбе биће приказано
тестирање рада система за разрешавање имена.
10. Разрешавање имена рачунара

10.1 Увод
У готово свим серверским и клијентским мрежним апликацијама дозвољено је да се на
друге рачунаре (хостове) реферишемо њиховим именима (нпр. www.google.com,
rs55.labnet.viser.edu.rs) уместо са тачним IP адресама. Ово не само да олакшава рад са
апликацијама него омогућава флексибилност у конфигурисању IP адреса. Неки хостови могу
да имају више адреса, или исти сервис може бити доступан на неколико хостова, или
хостови могу мењати адресе. Уколико се реферишемо на име хоста или сервиса, а не на IP
адресу, нисмо обавезни да знамо детаље адресирања и организовања сервиса и не
зависимо од промене IP адресе хоста.
Апликација коју користимо, и у којој смо се на други хост реферисали на основу имена тог
другог хоста (нпр. у адресном пољу претраживача унесемо име “www.google.com” уместо IP
адресе сервера), може позивом одговарајуће функције оперативног система
(gethostbyname()) да дато име разреши у једну или више IP адреса тог хоста.
Механизам за разрешавање имена са своје стране мора се ослањати на неку базу
података у којој је симболично име рачунара мапирано на одговарајућу IP адресу хоста.
10.2 Фајл „hosts“

Један начин да се креира база са подацима о именима и адресама хостова јесте да се те
информације унесу у одговарајући текстуални фајл, који је потребно ископирати на све
рачунаре у мрежи, како би апликације на тим рачунарима биле способне да име удаљеног
рачунара разреше у одговарајућу IP адресу. Ово је некада био једини начин за разрешавање
имена рачунара, а данас је само један од неколико који се користе.
Поменути фајл има назив „hosts“ и има једноставан формат: свака линија у фајлу садржи
IP адресу, пуно име и евентуално алијас – кратко име неког хоста.
У време када је ово био једини начин да се име рачунара разреши у IP адресу хоста, било
је потребно да се на централном месту одржава hosts фајл са именима свих рачунара на
Интернету, као и да сви остали рачунари на Интернету повремено пренесу ажурну верзију
овог фајла на свој систем фајлова.
У данашње време за разрешавање имена хостова на Интернету користи се другачији
систем, јер је данас практично немогуће одржавати централизовану базу-текстуални фајл са
именима свих хостова на Интернету, коју би затим сви хостови на Интернету повремено
копирали на свој диск.
Иако hosts фајл данас нема важност коју је некада имао, он је још увек саставни део
разрешавања имена рачунара на сваком појединачном хосту, библиотеке за разрешавање
имена консултују hosts фајл пре било ког другог система за разрешавање имена.
Овај фајл се и данас може користити за решавање проблема разрешавања имена
рачунара у мањим мрежама. Мана овог система је што захтева ручну интервенцију -
копирање нове верзије фајла на сваки рачунар, сваки пут када се нови хост дода у мрежу.
Овакав систем има и једну предност, хостови су способни да разреше имена у адресе на
основу локално доступних информација, чак и ако тренутно постоје проблеми са
функционисањем мрежних сервиса. Због овога се hosts фајл користи за разрешавање имена
најважнијих хостова и сервиса у мрежи, док се други систем користи за разрешавање имена
осталих хостова у мрежи и на Интернету.
142
X ВЕЖБА | Разрешавање имена рачунара
10.3 Систем за разрешавање имена рачунара

Данас се за разрешавање имена рачунара користи посебан мрежни сервис, систем имена
домена1, (DNS систем) заснован на истоименом протоколу апликационог слоја. Ово је
клијент-сервер мрежни сервис, где је клијент софтверски процес- resolver, најчешће
одговарајућа компонента оперативног система клијената која покушава да разреши име у
адресу, док је серверска компонента сервиса DNS сервер, који одговара на упите клијената.
Саставни део конфигурације хостова је и подешавање адресе DNS сервера који се користи
за разрешавање имена рачунара.
DNS база, која се користи за разрешавање имена сасвим је другачија од некадашњег
hosts фајла. Уместо централизованог одржавања текстуалног фајла, DNS база је
дистрибуиран систем – у смислу да се комплетне информације, потребне за разрешавање
имена, не налазе на једном – централном месту. Уместо „равне“ базе, обичног списка
хостова, DNS база представља хијерархијски систем имена домена и хостова.
Логичка структура DNS стабла

DNS база је организована као хијерархијска база, у облику стабла. Назива се и простор
имена домена. Простор имена („namespace“) је апстрактна логичка структура у којој имена
представљају неке друге информације (нпр. имена хостова представљају IP адресе). Домен
представља логичку групу хостова – административну целину.
Стабло има свој корен, који се означава тачком („.“), а одатле се грана на поддомене. Домени на
првом нивоу испод корена називају се „Top level“ домени, домени на врху. То су домени са
називима „.com“, „.edu“, „.mil“, „.gov“, као и домени са ISO2 ознакама за називе земаља, такозвани
национални домени, као што су „.rs“, „.de“, „.si“,... Називи домена на врху дефинисани су
одговарајућим RFC3 документима, и њихов број се новим документима повећавао. Називи би
требало да омогуће логичко груписање поддомена, на пример испод „.com“ (comercial) домена
требало би да се налазе домени комерцијалних организација, испод „.edu“ (education) домена
требало би да се групишу сви домени образовних организација и слично.
Често испод националних домена такође постоје поддомени, чија је намена такође да
логички групишу домене: „.edu.rs“ за образовне организације, „.co.rs“ за комерцијалне
организације, итд.
Слика 10.1: DNS стабло
1 Domain Name System

2 International Standard Organization
3 Request for Comments
143
Сваки чвор у стаблу има своје кратко име – лабелу која генерално није јединствена (нпр.
www). Да бисмо јединствено идентификовали неки чвор у стаблу морамо навести потпуно
квалификовано име (FQDN1 име), на пример www.viser.edu.rs.
Хијерархијски систем домена, односно правила за употребу овог простора имена
омогућавају да два чвора имају исто име, под условом да се налазе на различитим местима
у хијерархији (на пример edu“ или „www“). Навођењем потпуно квалификованог имена чвора
можемо јединствено идентификовати било који чвор у хијерархији и, на пример извршити
упит, затражити адресу неког хоста.
Физичка организација стабла

DNS база се не налази на једном, централном месту, једном DNS серверу, нити се као
јединствена целина администрира од стране једне организације. Логичка хијерархија стабла
омогућава да се база физички и административно дистрибуира. База је подељена у зоне,
које се физички налазе на различитим серверима, под административном одговорношћу
различитих организација.
Дистрибуираност се постиже делегирањем одговорности. На нивоу једног домена може се
делегирати одговорност за поддомене тог домена неким другим организацијама. То је једини
начин на који нека организација може постати одговорна за неки део стабла. Организација
којој је делегиран домен може аутономно да администрира своју зону, свој поддомен, на
својим DNS серверима, на својој локацији. Делегација подразумева да се на нивоу
надређеног домена, који је дао некоме делегацију, постави одговарајућа информација,
„показивач“, која говори на којим серверима се налазе информације које потпадају под
делегирани поддомен. На основу тих информација DNS база може се претраживати као
јединствена база, иако је физички и административно хијерархијски „распарчана“.
Аутономна администрација домена значи да нека организација може самостално да уноси
у свој део базе информације о новим хостовима, или да креира поддомене свог домена.
Самосталност значи и да дата организација може и сама да делегира одговорност за неке
своје поддомене трећој организацији.
Слика 10.2: DNS зоне
1 Fully Qualified Domain Name
144
На пример, корен читавог стабла је у одговорности организације IANA1. Бећина

поддомена непосредно испод корена, односно домени на врху, делегирани су комерцијалним
организацијама (као што је „Verisign“ за „.com“) који са своје стране, под комерцијалним
условима делегирају поддомене комерцијалним организацијама (нпр. „ibm.com“).
Национални домени на врху делегирани су националним регистрима. Домен „.rs“
делегиран је организацији РНИДС2. Ова организација под својом администрацијом држи
домен „.rs“, као и поддомене „co.rs“, „edu.rs“, „org.rs“, „in.rs“. Поддомени „ac.rs“ и „gov.rs“
делегирани су академској мрежи и државним органима.
Поддомен „viser.edu.rs“, делегиран је Високој школи електротехнике и рачунарства и
физички се налази на серверима под локалном администрацијом. Администрација мреже
Високе школе електротехнике и рачунарства може самостално да одржава овај део глобалне
DNS базе, и креира поддомене (нпр. „labnet.viser.edu.rs“).
Да би нека организација добила делегацију мора да поседује најмање два DNS сервера
под својом контролом (на својој локацији или код свог интернет посредника), као и да се
пријави код регистра за свој надређени домен. РНИДС је посао регистрације (не и
административну одговорност) препустила комерцијалним организацијама – интернет
посредницима, који тај посао обављају под комерцијалним условима за своје клијенте.
DNS зона, DNS сервери

DNS зона је део стабла под административном одговорношћу једне организације. Зона се
састоји од DNS информација – ресурсних записа који представљају информације о
хостовима и њиховим адресама, али и друге информације, као што су информације о
административном контакту за зону, информације о DNS серверима за дату зону,
информације о DNS серверима за евентуално делегиране поддомене и неке друге. Зона
може обухватати само један домен, домен и део поддомена, или домен и све поддомене тог
домена.
DNS зона се чува на DNS серверима под администрацијом неке организације. DNS
сервери који код себе имају комплетне информације о датој зони називају се ауторитативни
сервери за дату зону. Сервери су ауторитативни за дату зону у смислу да могу дати коначан
и најбољи могућ одговор на DNS упит који спада под њихову одговорност.
На пример, сервери ауторитативни за зону „viser.edu.rs“ могу дати коначан, ауторитативан
одговор на DNS упит за било које име хоста које се завршава са „.viser.edu.rs“.
Код већине имплементација DNS сервера, међу ауторитативним серверима разликује се
један примарни сервер, и један или више секундарних DNS сервера за дату зону. Измене
зоне врше се на примарном серверу, док секундарни сервери синхронизују своју копију зоне
са примарним сервером. Овај посао одвија се аутоматски и назива се трансфер зоне.
10.4.Врсте упита
Као што је већ речено, саставни део конфигурације TCP/IP протокола на рачунару (хосту)
је и адреса DNS сервера који се користи за разрешавање имена других хостова на
Интернету. Хостови разрешавају имена других хостова шаљући DNS упите конфигурисаном
DNS серверу. Тај DNS сервер може бити ауторитативан за једну или више зона и одговарати
на упите на основу локално доступних информација.
1 Internet Assigned Numbers Authority

2 Регистар националног интернет домена Србије
145
Чешћи је случај да DNS сервер добије задатак да разреши упит за који није
ауторитативан, на пример, сервер који није ауторитативан за зону „debian.org“ добије задатак
да разреши упит, односно одреди адресу за „www.debian.org“. Сервер не може да разреши
овакав упит на основу локално доступних информација, већ мора да контактира друге DNS
сервере на Интернету.
Генерално када сервер добије упит за ресурс за који није ауторитативан, могао би да:
1. упути клијента на неки други DNS сервер, који јесте ауторитативан, са којим би
клијент наставио упит,
2. сервер би могао да за рачун клијента контактира друге сервере, разреши упит и
клијенту пошаље коначан одговор.
Прва врста упита назива се итеративни упит. Итеративни одговор само упућује клијента
на неки други сервер са којим би клијент извршио следећу итерацију претраживања. Друга
врста упита назива се рекурзивни упит. Када сервер решава рекурзивни упит, он сам
контактира у неколико итерација друге сервере и клијенту врати коначан одговор.
Слика 10.3: Рекурзивни и итеративни упити

Клијенти у локалној мрежи шаљу рекурзивне упите конфигурисаном DNS серверу, док
сервер контактирајући друге сервере шаље итеративне упите.
На пример, претпоставимо да је клијент из локалне мреже послао рекурзивни DNS упит
свом конфигурисаном серверу захтевајући да се разреши упит, IP адреса за име
„www.debian.org“.
Ток рекурзивних и итеративних упита био би следећи:
 Клијент проследи упит за „www.debian.org“ захтевајући рекурзију, односно коначан
одговор, а не показиваче на друге сервере.
 DNS сервер на овакав упит не може да одговори на основу локалних
информација, јер није ауторитативан за ту зону. Да би разрешио овај упит сервер
мора да контактира друге DNS сервере на Интернету. Сервери на Интернету
обично су конфигурисани тако да одбијају рекурзивне захтеве непознатих
клијената. Такви сервери шаљу само итеративне одговоре, односно упуте
клијента на неки други DNS сервер коме се шаље следећа итерација упита. У
првој итерацији локални DNS сервер пошаље упит серверима ауторитативним за
корен DNS стабла.
 Сервери ауторитативни за корен стабла дају итеративни одговор: упућују локални
сервер на сервере ауторитативне за „.org“ домен.
146
 Локални DNS сервер шаље итеративни упит серверу ауторитативном за „.org“

домен.
 Сервери ауторитативни за „.org“ домен шаљу итеративни одговор: упућују
локални сервер на сервере ауторитативне за „.debian.org“ домен.
 Локални DNS сервер шаље итеративни упит серверу ауторитативном за
„.debian.org“ домен.
 Сервер ауторитативан за „.debian.org“ домен шаље ауторитативан одговор,
адресу за хост са именом „www.debian.org“.
 Локални DNS сервер враћа клијенту рекурзивни одговор до кога је дошао преко
неколико итеративних упита ка серверима на Интернету.
Кеширање одговора
Како би се смањила количина саобраћаја потребна за разрешавање имена, DNS сервери
кеширају, односно једно одређено време памте одговоре које су прикупили током
разрешавања. Уз сваки одговор назначена је и TTL1 вредност, која говори колико дуго
одговор може да се сматра валидним. За то време DNS сервер може да одговара на основу
овако запамћених вредности.
Директно и реверзно претраживање

Претраживање код кога се захтева непозната адреса за познато име назива се директно
претраживање. Простор имена који је до сада описан служи за овакво претраживање. Осим
директног претраживања постоји и реверзно претраживање код кога је позната IP адреса
хоста али не и његово име. До сада описани простор имена не може се користити за овакво
претраживање. Како би се омогућило реверзно претраживање направљен је и простор имена
за реверзно претраживање. На врху простора имена за реверзно претраживање налази се
домен „.arpa“, са поддоменом „in-addr.arpa“. Испод поддомена „in-addr.arpa“. налазе се
домени који симболично представљају октете IP мрежог дела адресе (написане уназад).
Простор имена за реверзно претраживање функционише на исти начин као простор
имена за директно претраживање: постоје ауторитативни сервери, делегација поддомена,
примарни и секундарни сервери. Користећи простор имена за реверзно претраживање може
се вршити реверзно претраживање.
10.5 Разрешавање имена рачунара - вежба

Активност 10.5.1: Преглед hosts фајла
Фајл hosts се на Linux оперативном систему налази као /etc/hosts, док се на Windows
оперативном систему налази као C:\Windows\System32\drivers\etc\hosts.
1. На Ubuntu радној станици отворити терминалски програм (Програми → Алатке →
Терминал).
2. Потребно је отворити фајл hosts. Користићемо „pager“ програм less: у терминалу
унети less /etc/hosts <Enter>.
3. Уочити неколико линија са адресама и именима хостова у мрежи.
1 Time To Live
147
4. Уочити да постоји линија којом се IP адреса саме радне станице мапира у име хост
радне станице. На Linux оперативном систему ова ставка омогућава да хост одреди
име домена у коме се налази, што може бити битно за неке серверске апликације.
5. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
6. Притиском на тастер „q“ напустити програм less.
7. На Windows виртуелној машини отворити My Computer, а затим отворити фајл
C:\Windows\System32\drivers\etc\hosts (у питању је текстуални фајл, на Windows
оперативном систему може се отворити програмом Notepad).
8. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
Активност 10.5.2: Претраживање DNS система

За разрешавање имена обично је задужена компонента оперативног система („resolver“),
па не постоји посебна клијентска алатка која би се користила за DNS упите потребне за
нормалан рад апликација. Ипак постоје алати (програми) за претраживање DNS система који
се пре свега користе за проверу исправности рада DNS система. Поменућемо алат
„nslookup“ (постоји и на Linux и на Windows оперативном систему) као и алат „dig“ (постоји
само на на Linux оперативном систему).
Програм nslookup има два начина рада. У најједноставнијем начину можемо послати DNS
упит серверу који је конфигурисан на радној станици.
На пример:
1. У терминалском прозору Ubuntu радне станице укуцати: nslookup www.google.com
<ENTER>. Конфигурисани DNS сервер разрешиће име и послати нам одговор.
2. пробати и: nslookup www.viser.edu.rs <ENTER>.
Осим разрешавања познатог имена у непознату IP адресу, DNS систем може да разреши
обрнуту ситуацију - позната IP адреса, а непознато име.
 У терминалском прозору Ubuntu радне станице укуцати: nslookup 213.244.236.5
<ENTER>.
Осим овог начина рада, у коме можемо брзо проверити способност конфигурисаног
сервера да разреши упите за директно претраживање (име→адреса), као и упите за
реверзно претраживање (адреса→име), постоји и интерактивни начин рада.
 У терминалском прозору Ubuntu радне станице укуцати: nslookup <ENTER>.
И у овом начину рада можемо унети име, односно адресу која треба да се разреши:
1. У оквиру nslookup програма унети: www.google.com <ENTER>.
2. Проверити и реверзно претраживање: унети 213.244.236.5 <ENTER>.
Интерактивни начин рада дозвољава да наведемо и тип одговора који очекујемо.
Информације којима располаже DNS сервер представљене су ресурсним записима (Resouce
Records). Када желимо да сазнамо адресу рачунара на основу имена, добијамо информацију
на основу одговарајућег адресног записа (ознака А). Када желимо да сазнамо име за
непознату адресу, добијамо информације на основу PTR (Pointer) записа.
Сем ових записа за нормално функционисање DNS система постоје и неки други типови
записа. На пример постоји SOA (Start Of Authority) запис. У овом запису садржане су
информације о примарном серверу одговорном за зону која се наведе у упиту.
148
На пример:
 У оквиру nslookup програма унети: set type=SOA <ENTER>.
овим смо указали nslookup програму да нас интересује SOA тип записа.
1. Уносимо зону која нас интересује: google.com <ENTER>.
Можемо погледати информације које садржи SOA запис за зону:
1. origin се односи на примарни DNS сервер одговоран за дату зону.
2. mail addr представља адресу електронске поште особе одговорне за одржавање
зоне. Карактер ‘@’ има специјално значење у фајлу који чини зону, па је у адреси
замењен са ‘.’ (тачка).
3. serial представља серијски број зоне. То је неозначена 32-битна вредност, али
конвенција је да се наводи у облику ГГГГММДДАБ (Година, Месец, Дан, и две
додатне цифре АБ, на пример серијски број промене у току датог дана). За
функционисање DNS система битно је да се овај број инкрементира сваки пут када
се направи измена у DNS зони. На основу серијског броја зоне секундарни сервери
знају да ли код себе имају најсвежију верзију зоне. Иако је горенаведен формат
само конвенција, обично на основу овог броја можемо видети када је последњи пут
промењена зона.
4. refresh представља интервал у секундама након ког секундарни сервери треба да
провере да ли се код примарног сервера налази новија верзија зоне.
5. retry представља интервал за поновне покушаје секундарних сервера да освеже
зону уколико први покушај, после refresh секунди није успео.
6. expire представља интервал после ког секундарни сервери престају са покушајима
да освеже зоне, и престају да себе сматрају ауторитативним за зону коју нису
успели да освеже.
7. minimum представља TTL (време памћења одговора). Сваки DNS одговор садржи и
TTL вредност која говори колико дуго тај одговор може бити сматран валидним.
Обично постоји подразумевана вредност која важи за све записе у зони, при чему
појединачни записи могу имати сопствене вредности. TTL постоји и за негативне
одговоре (име које је наведено у упиту не постоји). Новијим RFC документом
предвиђено је да minimum представља TTL вредност коју ће сервер слати у
негативним одговорима.
Поред SOA записа постоје и други типови записа који су неопходни за функционисање
DNS система. На пример постоје и NS (Name Server) записи у зони који описују све DNS
сервере, примарне и секундарне, који су ауторитативни за дату зону. Можемо их погледати
на следећи начин:
1. У оквиру nslookup програма унети: set type=NS <ENTER>,.
Овим смо указали nslookup програму да нас интересује NS тип записа.
2. уносимо зону која нас интересује: google.com <ENTER>, на тај начин можемо
погледати списак DNS сервера за наведену зону.
149
За функционисање система електронске поште неопходно је постојање MX (Mail

Exchanger) записа. Ово су SMTP1 сервери задужени да примају пошту намењену за
nesto@domen. Можемо их погледати на следећи начин:
1. У оквиру nslookup програма унети: set type=MX <ENTER>. Oвим смо указали
nslookup програму да нас интересује MX тип записа.
2. уносимо зону која нас интересује: google.com <ENTER>.
Можемо погледати списак сервера који примају поруке електронске поште за дати домен.
Сваки овакав запис има придружен и број ”Preference Level” - ниво приоритета. Мањи број
означава већи приоритет. Испорука ће бити покушана најпре са серверима који имају већи
приоритет. Сервери који имају нижи приоритет користе се само ако су остали сервери
недоступни.
Поново ћемо обратити пажњу на имена која смо разрешили на самом почетку:
1. У оквиру nslookup програма унети: set type=A <ENTER>.
2. овим смо рекли nslookup програму да нас интересује адресни (А) тип записа.
3. уносимо зону која нас интересује: www.google.com <ENTER>.
Обратити пажњу на две ствари:
 www.google.com canonical nаme = ..., из овог записа видимо да је www.google.com
само, надимак2, за сервер који се стварно зове другачије. Сем до сада наведених
записа постоје и CNAME (Canonical Name) записи који су само надимак за неко
друго име.
 може се видети да постоји неколико сервера који се крију иза истог надимка и
имају исто име, односно да је дозвољено да постоји више адресних записа истог
имена, а различитих адреса. Ово је једноставан облик расподеле оптерећења
међу серверима.
1. откуцати exit <ENTER> и напустити програм nslookup.
Програм dig омогућава да се произвољним DNS серверима шаљу упити за жељени тип
записа. Програм може приказати и статусне ознаке (заставице3) које постоје у одговору, што
некад може да олакша решавање проблема.
Додатне информације које програм може да прикаже виде се и у снимку саобраћаја који је
направљен програмом Wireshark.
Упити се шаљу употребом UDP протокола, са случајно изабраног изворишног порта на
порт 53 на DNS серверу. Сваки упит има и број трансакције (Transaction ID) уз помоћ кога се
може упарити са одговарајућим одговором. Прва ознака указује да ли је у питању упит или
одговор.
 Операциони кôд говори да ли је у питању стандардни или инверзни упит.
 Recursion Desired ознаку поставио је клијент у упиту наводећи да би желео да
сервер изврши рекурзију.
 Наведен је и укупан број питања (1 у нашем случају) и која су то питања
(www.google.com).
1 Simple Mail Transfer Protocol

2 Alias, псеудоним
3 Flag
150

1. Шта је итеративно а шта рекурзивнo претраживање?
2. Шта је и где се чува DNS зона?
3. Шта је директно а шта реверзно претраживање?
4. Шта представља MX запис?
5. Шта представља NS запис?
151
152
XI ВЕЖБА
ЗАШТИТА РАЧУНАРСКИХ МРЕЖА ФИЛТРИРАЊЕМ ПАКЕТA

И ПРЕВОЂЕЊЕМ АДРЕСА
Циљ првог дела вежбе је да се студенти упознају са потребом за филтрирање

мрежног саобраћаја и са начином на који се филтрирање постиже помоћу рутера. У
другом делу вежбе студенти ће се упознати са појмом јавних и приватних IP адреса
као и са начинима превођења приватних адреса у јавне.
11. Заштита рачунарских мрежа филтрирањем пакетa и

превођењем адреса
11.1 Рутер као сигурносни уређај
Рутери су уређаји који на мрежном нивоу повезују две или више мрежа. Рутери се уводе у
мрежну инфраструктуру како би сегментирали мрежу у мање бродкаст домене и омогућили
одређен ниво сигурности. Сав саобраћај који излази из неког сегмента мреже, или са
Интернета или из другог сегмента мреже улази у мрежу мора да прође кроз рутер. Уколико
се тако конфигурише рутер може да контролише саобраћај који се прослеђује преко његових
интерфејса, и да функционише као заштитна баријера, firewall.
Када функционише као сигурносни уређај рутер може да испитује саобраћај на трећем
слоју или вишим слојевима и да према сопственој конфигурацији одлучи да ли ће саобраћај
бити пропуштен или не.
Администатор рутера може да креира листе за контролу приступа, филтере саобраћаја,
којима се описује саобраћај који је дозвољен и онај који није дозвољен. Саобраћај се може
описивати на основу информација из заглавља IP пакета (трећи слој) и пропуштати на
основу изворишних и/или дестинационих IP адреса. Иако се рутер сматра уређајем на
трећем слоју OSI модела када се рутер конфигурише као сигурносни уређај може да ( у
зависности од имплементације) испитује саобраћај и на четвртом нивоу. Такав рутер може
да блокира или пропушта саобраћај на основу изворишног или дестинационог TCP или UDP
порта. Пошто већина протокола апликационог нивоа користи добро познате портове за
серверске процесе, контролом саобраћаја према дестинационом порту се ефективно
контролише доступност неког од сервиса апликационог нивоа: на пример, ако се забрани
TCP саобраћај који је намењен за дестинациони порт 80, ефективно се спречава приступ веб
серверу.
Листе за контролу приступа

Листа за контролу саобраћаја је низ описа пакета или сегмената, при чему је сваком опису
придружена акција „пропусти“ или „одбаци“. Једноставно речено, листа за контролу приступа
изгледа као низ упутстава рутеру типа: „пропусти пакет ако изгледа овако“, и „одбаци пакет
ако изгледа овако“. Опис саобраћаја, односно шта то значи „ако изгледа овако“, наведен je
описом изворишне или дестинационе IP адресе, или TCP или UDP порта, или навођењем
заставица у заглављу TCP сегмента. Код већине имплементација, уколико се прими пакет
који не одговара ниједном опису, пакет се одбацује.
Смер саобраћаја
Опис саобраћаја укључује и смер саобраћаја, односно да ли пакет улази у рутер преко
неког интерфејса (смер „IN“) или излази из рутера преко неког интерфејса (смер „OUT“). Код
таквих имплементација контроле саобраћаја, пакет може бити проверен два пута. На
пример, када пакет са Интернета долази у локалну мрежу може га проверити листа за
контролу приступа када се пакет преузме са спољњег интерфејса рутера, а затим када после
рутирања пакет треба да изађе из рутера у локалну мрежу може се десити да се још једном
провери уз одговарајућу листу за контролу приступа. Тако се може бирати смер саобраћаја
који се контролише. Уколико контролишемо „IN“ смер на спољњем интерфејсу рутера,
контролишемо који ће сервиси у локалној мрежи бити доступни са Интернета. Уколико
желимо да контролишемо који сервиси са Интернета ће бити доступни клијентима у локалној
мрежи, можемо контолисати „IN“ смер на интерфејсу ка локалној мрежи.
154
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
Слика 11.1: Контрола смера саобраћаја

Овакву логику има контрола саобраћаја на CISCO опреми, сервис за рутирање и удаљени
приступ на Windows оперативном систему, као софтвер за контролу саобраћаја на FreeBSD и
сличним оперативним системима.
Филтрирање саобраћаја на Linux оперативном систему има нешто другачију логику. Пакет
се најпре разврстава у ланце саобраћаја („chains“): пакети намењени за сам рутер иду у
INPUT ланац, пакети који потичу са самог рутера иду у OUTPUT ланац и пакети који се само
прослеђују иду у FORWARD ланац. Сваки ланац може да има свој скуп правила која укључују
изворишне и одредишне (дестинационе) адресе, портове и ознаке (заставице, флегове), као
и улазни и излазни интерфејс.
Слика 11.2: Ток за филтрирање саобраћаја на Linux оперативном систему
Праћење стања саобраћаја

Напредније апликације софтвера за контролу саобраћаја омогућавају да се саобраћај
контролише не само према статички, унапред задатим описима саобраћаја, већ и према
контексту самог пакета, односно стању у коме се тренутно налази мрежна веза (конекција).
Овакво филтрирање омогућава да се динамички креирају правила која дозвољавају пролаз
пакетима ако су део већ успостављене везе коју је иницирао клијент из локалне мреже.
На пример, филтером за контролу саобраћаја може се дозволити клијентима из локалне
мреже да иницирају везе ка веб серверима на Интернету. Када неки клијент из локалне
мреже иницира везу ка, на пример www.google.com, овакав систем аутоматски креира
привремено правило које ће дозволити да се пакет са www.google.com врати клијенту који је
155
иницирао везу. Овакви системи могу да прате и стања протокола који иначе нису са
успоставом везе, као што су UDP, или ICMP протоколи.
Оваква заштитна баријера обично се назива statefull firewall, и омогућава много
прецизнију контролу саобраћаја него системи који овако нешто не подржавају, као и много
једноставнији рад. Пошто је већина саобраћаја двосмерна, ако се жели обезбедити
доступност неког сервиса морају се у принципу подесити два правила: правило које описује и
дозвољава саобраћај који иницира клијент, као и правило које описује и дозвољава
саобраћај који представља одговор клијента. Када се користи систем који води рачуна о
стању саобраћаја довољно је подесити правило, дозволу да клијент приступа неком серверу.
Оваква заштитна баријера – statefull firewall, аутоматски ће креирати привремена правила
која ће дозволити саобраћај са сервера који је одговор на захтев клијента.
11.2 Рутер као уређај за транслирање мрежних адреса

Као једна од мера успоравања потрошње адреса из коначног IPv4 адресног простора
одређен број IP адреса одвојен је за приватну употребу, према документу RFC1918.
Одређени блокови адреса из класа А, В и С административно су издвојени из адресног
простора валидних адреса на Интернету и предвиђени за употребу за приватне мреже,
неповезане са Интернетом.
На овај начин креиран је адресни простор који омогућава једноставно решавање
проблема адресирања хостова у локалним мрежама, без посебних административних
процедура које су потребне када се изнајмљује јавни адресни простор.
Употреба приватних адреса дерегулисана је, што значи да нико не контролише њихово
додељивање мрежама. То између осталог значи и да такве адресе нису (гарантовано)
јединствене, па због тога нису валидне за употребу на Интернету. Рутери на Интернету не
рутирају саобраћај ка или од мрежа са приватним адресама.
RFC документом 1918 следеће мреже одвојене су као приватни адресни простор:
 Једна мрежа из класе А: 10.0.0.0/8.
 Шеснаест мрежа из класе В: 172.16.0.0/12; ова CIDR1 нотација се може
посматрати као скуп мрежа из класе Б, од 172.16.0.0/16 до 172.31.0.0/16.
 Две стотине педесет и пет мрежа из класе С: 192.168.0.0/16; ова CIDR нотација
може се посматрати као скуп мрежа из класе С, од 192.168.0.0/24 до
192.168.255.0/24.
Пошто приватне адресе нису јединствене на Интернету, као и зато што рутери на
Интернету немају руте до ових мрежа, саобраћај између мрежа са приватним адресама и
остатком Интернета, генерално, није могућ. Уколико је ипак потребно повезати приватне
мреже на Интернет морају се користити додатни механизми, посредни уређаји, који ће
решити проблем невалидних приватних адреса.
Посредни уређаји за повезивање приватних мрежа могу бити:
 Посредни уређаји који функционишу на апликационом нивоу, као што су http proxy
(посредни) сервер или SOCKS2 proxy сервер. Овакви посредни уређаји захтевају
додатно подешавање клијентских апликација на хостовима у приватној мрежи, па
комуникација са Интернетом није транспарентна за крајње кориснике. С друге
стране, овакви посредни уређаји могу бити повезани са системом
1 Classless Inter-Domain Routing

2 Socket Secure
156
аутентификације и ауторизације у мрежи и дозвољавати приступ Интернету на

основу корисничких имена и лозинки. Примери оваквих посредних уређаја били би
SQUID proxy сервер, или ISA сервер на Windows оперативном систему.
 Посредни уређаји који функционишу на мрежном и транспортном слоју, као што је
рутер за транслирање мрежних адреса (NAT1 рутер). Овакви уређаји врше измене
IP пакета и/или сегмената транспортног нивоа транспарентно за крајњег
корисника, како би пакети који напуштају приватну мрежу били валидни (са
јединственим јавним адресама, из мрежа до којих се рутира). Овакав начин
повезивања не захтева посебно подешавање клијентских апликација, али су
могућности за контролу Интернет саобраћаја нешто мање: контрола се може
вршити према адресама и бројевима портова.
Рутер за транслирање мрежних адреса

Рутер за транслирање мрежних адреса (NAT рутер) обично је гранични рутер, односно
рутер који повезује локалну мрежу (са приватним адресама) са Интернет посредником и
Интернетом. На том месту рутер може да манипулише IP пакетима и/или TCP и UDP
сегментима који напуштају локалну мрежу као и са саобраћајем који стиже као одговор на
захтеве клијената из локалне мреже.
Слика 11.3: Рутер за транслирање мрежних адреса (NAT)

NAT рутер има (најмање једну) валидну јавну адресу, додељену интерфејсу који рутер
повезује на мрежу са посредником, као и приватну адресу која је додељена интерфејсу који
рутер повезује на локалну мрежу. Могуће је доделити и више од једне јавне адресе
интерфејсу рутера ка посреднику и ове адресе могу се користити за потребе транслирања.
Поступак транслирања
Конфигурација хостова треба да буде таква да саобраћај хостова ка Интернету мора да
буде прослеђен преко NAT рутера. Ово се може постићи тако што хостови у локалној мрежу
користе NAT рутер као подразумевани мрежни пролаз.
Када клијенти из приватне мреже иницирају везе ка хостовима на Интернету, NAT рутер
измени изворишну, приватну адресу хоста који иницира везу и замени је јавном, валидном
адресом. Ова јавна адреса је адреса додељена интерфејсу рутера од стране Интернет
посредника, или једна од више јавних адреса које се користе за потребе транслирања.
1 Network Address Translation
157
Слика 11.4: Транслирање адресе у пакету који напушта мрежу

Рутер мора и да запамти ово транслирање у NAT табели, како би могао да изврши
реверзну замену када се одговор на захтев клијента врати од неког хоста на Интернету. На
тај начин пакет који преко NAT рутера напушта мрежу има валидну изворишну јавну адресу.
Када се одговор сервера са Интернета врати назад, та јавна адреса ће се појавити као
одредишна адреса. Пошто у својој табели транслирања има запамћене измене које је
учинио, NAT рутер у повратним пакетима замени одредишну адресу у приватну адресу хоста
који је иницирао везу и затим такав пакет проследи у локалну мрежу.
Слика 11.5: Транслирање адресе у повратном пакету

На овај начин омогућена је комуникација хоста из локалне мреже са хостом на Интернету
и поред тога што хост у локалној мрежи нема валидну јавну адресу. NAT рутер је вршио
транслирање изворишне приватне адресе у једну јавну адресу. У току те комуникације
приватна адреса била је маскирана једном јавном адресом.
Транслирање „1 на 1“ и „више на 1“
У горенаведеном примеру, када је NAT рутер вршио измене у саобраћају који прослеђује
само на трећем слоју, његове могућности су ограничене бројем јавних IP адреса које су му
додељене. Сваки хост из локалне мреже транслира се у једну јавну адресу па је број хостова
из локалне мреже, који истовремено могу комуницирати са хостовима на Интернету,
158
ограничен бројем јавних IP адреса. На овај начин практично се не смањује број потребних
јавних адреса.
Већина имплементација NAT рутера омогућава да се измене у пакетима врше не само на
трећем слоју, већ и на четвртом: у заглављима TCP сегмента и UDP датаграма. Тада рутер у
својој NAT табели нема мапирања „приватна адреса, јавна адреса“, већ нешто сложенија:
мапира се пар „приватна адреса и TCP(или UDP) порт“ на пар „јавна адреса и TCP (или UDP)
порт“. На овај начин је могуће имати више хостова у приватном адресном простору који се
транслирају на мањи број јавних адреса. Могуће је чак и да се сви хостови из локалне мреже
транслирају преко једне јавне адресе додељене интерфејсу рутера као посреднику.
Код неких имплементација NAT рутера ово се назива PAT („Port Address Translation“), док
се код других ово назива транслирање „више на један“.
Слика 11.6: Транслирање адреса и портова
Доступност сервиса у локалној мрежи

Основна намена транслирања адреса је да се смањи потреба за јавним IP адресама, али
NAT додатно има и сигурносни аспект. Пакети са Интернета могу да се проследе у локалну
мрежу само ако за њих постоји улаз у NAT табели, односно ако је неки хост из локалне
мреже претходно иницирао везу са хостом на Интернету. На тај начин је посредно
онемогућено хостовима на Интернету да приступају хостовима и сервисима у локалној
мрежи. Када се NAT користи на до сада описани начин, саобраћај са Интернета биће
прослеђен у локалну мрежу само уколико се ради о одговорима на везе које су иницирали
хостови из локалне мреже. До сада описани начин транслирања у неким имплементацијама
назива се и изворишни NAT или (SNAT1), јер је основни проблем био у транслирању
изворишних приватних адреса, односно, извор који иницира саобраћај има приватне адресе.
У многим ситуацијама ово је корисно, уколико не постоје сервиси у локалној мрежи који би
требало да буду доступни хостовима на Интернету.
Постоје и ситуације када одређени сервиси у приватној мрежи треба да буду доступни
хостовима на Интернету. Тада постоји потреба да се омогући да хостови са Интернета
1 Source NAT
159
иницирају везе ка хостовима – серверима у локалној мрежи. Сада је проблем што одредиште
саобраћаја има приватне адресе, док извор има јавне.
Код већине имплементација NAT ово се може решити тако што се административно
креира такав улаз у NAT табели који све долазне везе на једну јавну адресу и порт
транслира у другу, приватну адресу, из локалне мреже. Код неких имплементација ово се
назива одредишни NAT (DNAT1). Може се срести и назив редирекција портова2: долазне
везе на јавну адресу рутера и добро познати порт сервиса преусмере се на IP адресу
сервера у локалној мрежи и порт сервиса.
На овај начин је омогућена доступност сервера са приватним адресама, при чему су
сервери из локалне мреже видљиви и доступни хостовима на Интернету као да имају јавне
адресе.
Слика 11.7: Транслација одредишних адреса DNAT

У примеру DNAT-a можемо видети да је код већине имплементација NAT рутера могуће
флексибилно одредити шта се транслира, као и да се улази у NAT табели могу креирати не
само динамички (када клијент иницира везу) већ и статички, административно, пре него што
се иницира веза.
Проблеми са транслацијом адреса

NAT механизам (транслација адреса) је данас уобичајен за повезивање мањих и кућних
мрежа на Интернет, и његова примена је значајно успорила потрошњу IPv4 адресног
простора. Осим тога има и сигурносни аспект за мање мреже.
Ипак манипулација саобраћајем коју врши NAT рутер може код неких апликација да
створи проблеме и онемогући везу.
Поступак транслирања је једноставан када је узорак саобраћаја једноставан: клијент
иницира везу на један добро познати порт, сервер одговара. Тада NAT рутер може
једноставно да креира улаз у NAT табели, чим клијент иницира везу. Протоколи као што су
1 Destination NAT
2 Port redirection
160
http, smtp, imap, pop3 и неки други имају овакав узорак саобраћаја и немају проблема са
транслацијом.
Проблем могу представљати P2P1 апликације, код којих су апликације и клијенти и
сервери у току исте сесије, и везе се иницирају са обе стране, при чему се често користи
читав опсег портова. Проблеми оваквих апликација могу се решити креирањем статичких
улаза у NAT табели, при чему се често читав опсег портова преусмерава на хост у локалној
мрежи. Тиме се решава проблем P2P апликације али смањује сигурносни аспект NAT
механизма.
Проблем представљају апликације које нису идеално слојевите, односно у порукама
апликационих протокола постоје информације о адресама и портовима клијента или
сервера. Проблеми оваквих апликација могу се решити само тако што NAT рутер врши
измене и на апликационом слоју, за шта не постоји стандардни начин, па се имплементације
NAT рутера могу разликовати по способности да подрже овакве апликације. Примери би
укључивали разне „on-line“ игре, неке апликације за видео конференције (Net Meeting), али и
FTP проткол. Пошто је FTP прилично уобичајен, већина NAT рутера уме да транслира FTP
саобраћај, док је за остале, сложеније примене потребно погледати документацију или
додатно подесити уређај или апликације које се користе.
На крају, постоје и апликације које се не могу користи уз NAT, јер измена адреса коју би
извршио NAT рутер нарушава логику саме апликације. Примери би били SNMP или
трансфер зоне између примарног и секундарног DNS сервера (DNS упити клијената раде сa
транслацијом).
Због ових чињеница, NAT механизам се сматра привременим решењем за смањење
потрошње IP адреса, при чему је коначно решење увођење IPv6 адреса у употребу.
11.3 Заштита рачунарских мрежа филтрирањем пакетa и превођење

адреса - вежба
Активност 11.3.1: Реализација превођења адреса и филтрирање пакета
У оквиру вежбе биће креирана топологија са једним рутером који врши филтрирање
пакета и транслацију мрежних адреса. Као рутер биће коришћен софтвер pfsense
(http://www.pfsense.org), дистрибуција отвореног кода намењена за мрежне баријере и
рутере. Овај софтвер може се инсталирати на персоналним рачунарима који треба да
функционишу као наменски рутери, или се за потребе тестирања може покретати са CD
уређаја.
Сам софтвер базиран је на FreeBSD оперативном систему (www.freebsd.org), који има
неколико механизама за контролу саобраћаја. Један од њих је софтвер за филтрирање
пакета под називом pf који је оригинално развијан за OpenBSD (www.openbsd.org)
оперативни систем. Оба поменута оперативна система варијанте су BSD2 UNIX оперативног
система развијеног на Калифорнијском универзитету у Берклију3 у САД.
У оквиру топологије постојаће једна интерна мрежа која ће представљати локалну мрежу
(„LAN“), једна мрежа која ће представљати такозвану демилитаризовану зону („DMZ4“) у којој
ће се наћи сервер који треба да буде доступан са Интернета, као и трећа мрежа, мрежа у
лабораторији која ће представљати Интернет.
1 Peer to Peer
2 Berkley Softvare Distribution
3 University of California, Berkeley
4 Demilitarized zone
161
Топологија треба да изгледа као на слици 11.8.
Слика 11.8: Топологија за вежбу

Потребно је конфигурисати виртуелне машине:
 „pfsense“: виртуелна машина која ће функционисати као рутер. Машина не треба
да има диск, треба да се покреће са CD слике „pfSense-1.2.2-LiveCD-Installer.iso“.
Машина треба да има 128MB меморије и три мрежна адаптера:
• „Адаптер 1“ повезан на интерфејс хоста eth1.
• „Адаптер 2“ повезан на интерну мрежу „LAN“.
• „Адаптер 3“ повезан на интерну мрежу „DMZ“.
• „server“: Виртуелна машина са Windows 2012 сервером; машина треба да има
један мрежни адаптер: „Адаптер 1“ повезан на интерфејс хоста eth1.
• „klijent“: виртуелна машина са Windows 7 радном станицом; машина треба да има
један мрежни адаптер: „Адаптер 1“ повезан на интерну мрежу „LAN“.
• „linuxserver“: виртуелна машина са Linux оперативним системом на коме је
инсталиран веб и ftp сервер. Машина треба да има 96МB меморије и један
мрежни адаптер: „Адаптер 1“ повезан на интерну мрежу „DMZ“.
Уколико су све машине конфигурисане треба прећи на следећу активност.
Покретање pfsense рутера

Потребно је покренути виртуелну машину са pfsense рутером. Приликом првог покретања
pfsense рутера потребно је изабрати намену појединих интерфејса, како би наставак
конфигурације био могућ преко веб интерфејса са радне станице.
Ток конфигурационог програма на конзоли био би:
1. Do you want to setup vlans now [y|n] притиснути „n“
2. Enter the LAN interface name or 'a' for autodetection: унети: em1. Други интерфејс је
сада интерфејс на локалној мрежи.
3. Enter the WAN interface name or 'a' for autodetection: унети: em0. Први интерфејс је
сада веза ка Интернету.
162
4. Enter the Optional 1 interface name or 'a' for autodetection: унети: em2. Обавестили
смо рутер да постоји и опциони интерфејс.
5. Enter the Optional 2 interface name or 'a' for autodetection: притиснтути <ENTER> јер је
свим интерфејсима додељена улога.
6. Do you want to proceed [y|n]? притиснути „y“ за наставак и преглед улога додељених
интерфејсима.
Покретање клијентске радне станице

У наставку је потребно покренути клијентску радну станицу (наставак конфигурације
рутера). Претходно покренути pfsense рутер који функционише као DHCP сервер на мрежи
„LAN“, па је по покретању потребно Windows радну станицу конфигурисати као DHCP
клијента.
1. Пошто се радна станица конфигурише као DHCP клијент, наредбом „ipconfig /all“
проверити добијене адресне информације и наредбом „ping“ проверити доступност
подразумеваног мрежног пролаза.
2. На Windows радној станици отворити програм „Firefox“, и у адресном пољу унети
„http://192.168.1.1“ како бисмо приступили pfsense рутеру и завршили конфигурацију.
3. По добијању прозора за пријаву пријавити се на рутер са корисничким именом
„admin“ и лозинком „pfsense“.
4. На новој страници са поруком „This wizard will guide you through the initial
configuration of pfSense.“ притиснути на дугме „next“.
5. На страници „General information“:
 „hostname“ оставити на подразумеваној вредности,
 „domain“ подесити на labnet.viser.edu.rs.
 DNS информације оставити непопуњене. Рутер функционише као DHCP клијент
на WAN интерфејсу и ове информације ће добити на тај начин. Рутер
функционише као DNS „forwarder“, односно као DNS сервер који све упите
клијентима разрешава путем DNS сервера који се овде конфигуришу или добију
путем DHCP сервера.
 Time server, подесити на 172.16.1.1
6. На страници „Configure WAN interface“ погледати подешавања за WAN интерфејс,
интерфејс повезан на Интернет (у нашем случају то је мрежа у лабораторији). На
дну странице очистити „Block RFC1918 Private Networks:“ јер у нашем случају
„Интернет“ има приватну мрежу.
7. На страници „Configure LAN Interface“ погледати подешавања за „LAN“ интерфејс.
Притиснути на „next“.
8. На страници „Set Admin WebGUI Password“ у стварној ситуацији подесила би се
лозинка за администрацију рутера. Ово је важан корак за безбедност мреже. На
вежбама ћемо овај корак прескочити и оставити лозинке на подразумеваној
вредности, притиснути на „next“.
Када pfsense рутер учита нову конфигурацију спреман је за рад. Конфигурација рутера је
следећа:
163
 интерфејс „WAN“ подешен је као DHCP клијент, и прибавиће све потребне

адресне информације, укључујући и адресе DNS сервера на овај начин.
 интерфејс „LAN“ конфигурисан је адресом 192.168.1.1/24. На овом интерфејсу
рутер функционише као једноставан DHCP сервер. Клијентима даје адресе из ове
мреже, а адреса интерфејса рутера је подразумевани мрежни пролаз. Осим тога
клијенти добијају адресу рутера као адресу DNS сервера. Рутер DNS упите
клијената прослеђује DNS серверима које је сам добио као DHCP клијент на WAN
интерфејсу.
Интерфејс OP1 није конфигурисан.
Овакав рутер функционише као једноставан NAT рутер и заштитна баријера (firewall)
налик на асиметричну дигиталну претплатничку петљу (ADSL1) или бежичне рутере који
повезују мању мрежу преко интернет посредника.
Провера функционисања
Да бисмо проверили функционисање рутера потребно је покренути виртуелну машину са
Windows сервером. Сервер треба да буде конфигурисан на следећи начин:
 IP адреса 172.17.32.x где је x три пута веће од броја радне станице.
 маска: 255.255.255.0.
 подразумевани мрежни пролаз: 172.17.32.1.
 DNS сервери: 172.16.1.1, 172.16.1.13.
 На серверу треба покренути Telnet сервис, као пример сервиса на неком хосту на
Интернету.
На Windows клијенту покушати телнет приступ ка адреси сервера.
1. Отворити командни прозор.
2. Унети telnet 172.17.32.x (адреса сервера). Пријавити се као корисник „administrator“
са лозинком „password“.
3. Отворити нови командни прозор и покренути „netstat –n“.
4. “. Уочити изворишни порт за Telnet везу са сервером (Telnet користи порт 23).
5. На серверу отворити командни прозор покренути „netstat -n“. Уочити адресу и
изворишни порт за Telnet везу.
Сложенија конфигурација
У наставку ће бити креирана сложенија конфигурација:
 WAN интерфејс имаће статичку адресу.
 интерфејс OP1 биће активиран статичком адресом 192.168.2.1 и именом „DMZ“.
 Linux сервер биће покренут на „DMZ“ мрежи.
 Филтер пакета на DMZ мрежи дозволиће приступ DNS сервису на самом рутеру
као и серверу који се користи за надоградњу софтвера на серверу.
 Биће креирано правило за DNAT и контолу саобраћаја које омогућава да хостови
на Интернету приступају Linux серверу у DMZ мрежи.
1 Asymmetric Digital Subscriber Line
164
1. Покренути виртуелну машину са Linux сервером. Пријавити се на конзолу као

корисник „root“ са лозинком „password“.
2. Са Windows радне станице приступити веб страници за администрацију рутера
(http://192.168.1.1) .Из менија System изабрати General Setup и подесити адресе
DNS сервера (172.16.1.1, и 172.16.1.13).
3. Из менија „Interfaces“ изабрати „WAN“ и извршити подешавања како би интерфејс
статички конфигурисали са IP адресом:
 Type: Static.
 Static IP configuration:
 IP address:172.17.32.x+1/24.
 Gateway: 172.17.32.1.
 Притиснути на SAVE.
4. Из менија „Interfaces“ изабрати „OP1“ и извршити подешавања како би активирали
интерфејс и статички конфигурисали са IP адресом:
 Укључити опцију: Enable Optional 1 interface.
 Description: DMZ.
 Type: Static.
 Static IP configuration:
 IP address:192.168.2.1/24.
 Притиснути на Save.
Linux сервер је конфигурисан са адресом DNS сервера 192.168.2.1 (адреса pfsense
рутера). Тренутно разрешавање адреса на Linux серверу не функционише јер филтер за
саобраћај блокира сав саобраћај који долази преко DMZ интерфејса. Осим тога Linux сервер
треба да има приступ серверу за ажурирање софтвера па је потребно направити филтер
пакета и за овај случај.
5. Из менија Firewall изабрати Rules.
6. Изабрати DMZ интерфејс.
7. На страници за интерфејс подесити.
 Action: pass.
 Interface: DMZ.
 Protocol: UDP.
 Source: DMZ Subnet.
 Destination: DMZ: address.
 Destination port range: from DNS, to DNS.
 Save, а затим Apply Changes.
Овим смо дозволили приступ Linux серверу на UDP порт 53 на pfsense рутеру који
функционише као DNS прослеђивач. На конзоли Linux сервера, са nslookup www.google.com
може се проверити способност разрешавања имена.
165
Linux сервер треба да може да приступи серверу за ажурирање софтвера па је и за то

потребно подесити филтер саобраћаја:
1. Из менија Firewall изабрати Rules.
2. Изабрати DMZ интерфејс.
3. На страници за интерфејс подесити:
 Action: pass.
 Interface: DMZ.
 Protocol: TCP.
 Source: DMZ Subnet.
 Destination: Single host or alias: 195.252.117.132.
 Destination port range: 3142.
 Save, а затим Apply Changes.
Филтер је подешен, али Linux сервер са приватном адресом 192.168.2.10 не може да
комуницира са сервером за ажурирање који има јавну адресу и нема руту до ове приватне
мреже. Да би комуникација била могућа потребно је креирати правила за NAT.
1. Из менија Firewall изабрати NAT.
2. Изабрати Outbound – одлазни или SNAT.
3. Рутер је до сада користио аутоматско креирано правило за NAT које врши
транслацију само из „LAN“ мреже. Пошто је наша топологија сложенија прећи ћемо
на ручно конфигурисање NAT правила.
4. Изабрати: Manual Outbound NAT rule generation (Advanced Outbound NAT- AON).
5. Уместо аутоматског креирања правила за NAT, креирано је статичко правило.
6. Притиснути на средњи „+“ како бисмо креирали додатно правило за NAT на бази
постојећег.
7. На новој страници подесити:
 У пољу Source Address унети 192.168.2.0/24.
 У пољу Description: унети „NAT iz DMZ“.
 Save, Apply Changes.
После овог корака са Linux сервера требало би да буде могуће да се приступи серверу за
ажурирање софтвера. У конзоли Linux сервера проверити са „aptitude update“.
Одредишни NAT
У наставку ће бити подешен одредишни (дестинациони) NAT како би сервис у локалној
мрежи (тачније у DMZ мрежи) са приватном адресом био доступан клијентима на Интернету.
1. Из менија Firewall изабрати NAT.
2. Изабрати Port Forward.
3. У новој страници подесити:
 Interface WAN: преусмеравамо портове за саобраћај који долази на спољњи
интерфејс са хостова са Интернета.
166
 External address: Interface Address: унутрашњи сервери биће видљиви под

адресом спољашњег интерфејса.
 Protocol: TCP: протокол који се преусмерава.
 External port range: from http to http порт који се преусмерава.
 NAT IP:192.168.2.10 на коју унутрашњу адресу се усмерава саобраћај.
 Local Port: http на који порт на унутрашњем серверу се усмерава саобраћај.
 Description: DNAT na web server: опис правила за NAT.
 Проверити да ли је означена опција: Auto-add a firewall rule to permit traffic
through this NAT rule. Рутер ће аутоматски додати правило за филтрирање
пакета које ће дозволити саобраћај за који смо подесили преусмеравање
портова.
Функционисање можемо проверити тако што са Windows сервера, који сада представља
хост на Интернету, из веб претраживача покушамо да отворимо страницу: http://
172.17.32.x+1 (адреса спољњег интерфејса рутера). У менију „Firewall“, „Rules“ можемо
проверити правила која су аутоматски креирана.

1. Које адресе се сматрају за приватне IP адресе?
2. Како се може омогућити хостовима са приватним адресама да користе услуге на
Интенету?
3. Како се обезбеђује транслирање више хостова на једну јавну адресу?
4. Шта је DNAT? Зашто се користи?
5. Који протоколи имају проблема када се користи NAT?
167
168
XII ВЕЖБА
ПОДЕШАВАЊЕ БЕЖИЧНЕ ПРИСТУПНЕ ТАЧКЕ
Циљ вежбе је да се студенти упознају са бежичним приступним тачкама, уређајима

који су распрострањени и омогућавају корисницима да се повежу на бежичну мрежу.
Студентима ће бити представљене основне карактеристике и могућости ових уређаја.
На крају вежбе студенти ће стећи практично искуство у подешавању бежичне
приступне тачке и знање како ове уређаје могу искористити у циљу побољшања већ
постојеће речунарске мрежне инфраструктуре.
12. Подешавање бежичне приступне тачке

12.1 Увод
На тржишту је доступан велики број бежичних уређаја од различитих произвођача, али
велика већина ових уређаја подешава се на сличан начин. TP-Link је водећи у произвођач
бежичних уређаја. У вежби ћемо користити бежичну уређај (приступну тачку) TP-Link
WR841N. Овај уређај није само једноставна приступна тачка која повезује бежични сегмент
мреже са окосницом мреже, већ функционише као рутер, са могућношћу превођења мрежних
адреса. Уређај је пре свега предвиђен за повезивање SOHO1 бежичне мреже са интернет
посредником. Сем бежичног адаптера и антена, уређај поседује и посебан порт за везу са
интернет посредником, као и интерни комутатор за повезивање локалне мреже. Портови
овог интерног комутатора користе се и за иницијално подешавање уређаја.
Да би се извршило иницијално подешавање потребно је повезати рачунар на интерни
комутатор. Мрежни адаптер рачунара који је повезан на интерни комутатор уређаја треба
подесити да аутоматски добија IP адресу. Већина уређаја овог типа има фабрички
предефинисан DHCP сервер који ће доделити адресе клијентима.
За приступ је потребан интернет претраживач пошто се већина уређаја подешава преко
web корисничког панела.
12.2 Подешавање везе ка локалној мрежи

Већина уређаја има предефинисану IP адресу 192.168.1.1, али на полеђини уређаја (или у
упутству) може се тачно видети која се адреса користи, као и параметри за приступ уређају.
Администраторски налог за конфигурацију уређаја требало би обавезно променити након
првог приступа рутеру како злонамерни корисници не би могли да мењају подешавања самог
рутера и на тај начин направе сигурносне пропусте које би касније искористили.
Подразумевану адресу рутера можете променити, али није неопходно. У случају да желите,
можете то урадити тако што ћете изабрати залистак „Network“, а затим секцију „LAN“ као на
слици 12.1.
Слика 12.1: Подешавање локалне IP адресе рутера
1 Small Ofiice – Home Office - кућни корисници и мала предузећа
170
XII ВЕЖБА | Подешавање бежичне приступне тачке
12.3 Подешавање везе ка Интернету

У оквиру залиска „Network“, секција „Wan“, између осталог, можемо извршти подешавања
везе ка Интернету (или у нашем случају то ће бити веза ка окосници мреже).
Слика 12.2: Подешавање IP адресе рутера ка Интернету

На слици 12.2 приказано је подешавање да бежична проступна тачка динамички добије
адресу од DHCP сервера који је доступан (у нашем случају то би био школски DHCP сервер).
12.4 Подешавање адреса за локалну мрежу

У овој секцији врше се подешавања везана за адресирање у локалној рачунарској мрежи.
Ради лакшег разумевања бежичне клијенте треба посматрати као клијенте повезане на
интерни комутатор.
Слика 12.3: Подешавање адреса DHCP сервера

У овој секцији могу се подешавати опције везане за DHCP сервер (максималан број
корисника у локалној мрежи, време изнајмљивања адреса, DNS сервери). Такође се може
171
подесити и адреса рутера за локалну мрежу (Default Gateway). На залиску „DHCP Clients List“,
могу се видети адресе које су већ изнајмљене, као и имена клијената којима су изнајмљене.
Имена клијената представљају имена рачунара, односно било ког уређаја који је бежично
или жично приступио мрежи. Занимљива, а свакако и корисна подешавања су подешавања
резервација адреса за одређене клијенте. Ако у мрежи, на пример, имамо неки FTP1 сервер
или мрежни штампач, логично је да желимо да они имају увек исту адресу како би корисници
могли да им приступе. У оквиру опције „Address Reservation“ можемо резервисати адресе
тако што ћемо навести MAC адресу жељеног уређаја и уписати IP адресу коју он треба да
добије. На слици 12.4 можемо видети подешавања за резервацију адреса.
Слика 12.4: Подешавање резервације адреса
12.5 Подешавање прослеђивања мрежног саобраћаја

У оквиру подешавања бежичног рутера налази се и залистак „Forwarding“. Када кликнете
на њега отварају се 4 нове секције, од којих је најзанимљивија за подешавање прва секција,
односно „Virtual Servers“. Слика 12.5 приказује изглед дијалог - прозора за подешавање
виртуелних сервера.
1 File Transfer Protocol
172
Слика 12.5: Подешавања за прослеђивање портова

Виртуелни сервер представља било који засебан рачунар или мрежни адаптер унутар
ваше приватне мреже. Као што је већ познато, приватној мрежи није могуђе приступити
споља. Ако се у локалној мрежи налази неки сервер, коме приступају клијенти са спољне
мреже (нпр. Интернета), рутер се мора подесити да пропусти тај саобраћај. То пропуштање у
ствари представља прослеђивање захтева споља, ка неком вашем уређају у локалној
приватној мрежи. Као што се види на слици 12.5, морате дефинисати порт, IP адресу, као и
протокол који се користи, како би рутер знао коме шта треба да проследи. У оквиру залиска
„Forwarding“, налази се и секција „DMZ“ (Demilitarized Zone). Демилитаризована зона
представља у нашем случају IP адресу ка којој се прослеђује било који захтев који стигне
споља. Обратите пажњу на то да је за разлику од подешавања виртуелних сервера, односно
прослеђивања специфичног порта и протокола, код демилитаризоване зоне све дозвољено.
То значи да ће било који захтев који стигне споља бити прослеђен да адресу која је
специфицирана у подешавањима за демилитаризовану зону. На слици 12.6 приказан је
изглед дијалога за подешавање демилитаризоване зоне.
Слика 12.6: Подешавање IP адресе за демилитаризовану зону
173
12.6 Подешавање безбедности бежичне мреже

Изабрати залистак „Wireless“, а затим картицу „Wireless Security“. На овој страници
можемо одабрати механизам контроле приступа који желимо да користимо.
Код WEP1 протокола можемо одабрати дужину кључа коју желимо да користимо (40/64-bit,
104/128-bit или 128/154-bit). Можемо одабрати тип аутентификације, да ли ће она бити
отвореног типа или ће користити дељени кључ. Такође можемо одабрати ког ће формата
бити наша лозинка - хексадецимални или ASCII2 кôд.
Напомена: Употреба WEP заштите не препоручује се почев од верзије IEEE802.11
стандарда из 2007. године надаље. Овај систем заштите не треба примењивати код
конфигурације бежичних мрежа. Ми ћемо га користити на вежбама у лабораторији
искључиво за анализу алгоритама шифрирања. На слици 12.7 је приказан прозор за
конфигурацију WEP заштите.
Слика 12.7: Подешавање WEP механизма заштите

WPA3-PSK4 и WPA25-PSK протоколи користе читаву хијерархију кључева за шифровање,
и потврду интегритета кључева. Ови механизми заштите доста су напреднији и препоручује
се њихово коришћење. Да бисмо конфигурисали WPA2 механизам заштите за SOHO мреже
потребно је (слика 12.8):
1 Wired Equivalent Privacy – идеја да бежична мрежа обезбеђује сигурност еквивалентну жичним мрежама.
2 American Standard Code for Information Interchange - скуп знакова и кодна страница утемељена на латинском
писму. Најчешће се користи у рачунарству, али и у комуникационој и управљачкој опреми у раду са текстом
(http://sr.wikipedia.org/wiki/ASCII).
3 Wi-Fi Protected Access
4 Pre-Shared Key - у криптографији је то дељена тајна (shared secret) која је претходно размењена (дељена)
између два учесника коришћењем сигурног канала за размену пре него што је употребљена.
5 Wi-Fi Protected Access II
174
 Опцију „Version“ поставити на „WPA2-PSK“.

 Опцију „Encription“ поставити на „AES“.
 У пољу „PSK Password“ треба унети дељени кључ.
Слика 12.8: Подешавање WPA-PSK/WPA2-PSK заштите

WPA/WPA2 механизам заштите најчешће се користи у већим мрежнама. Може се
користити и код мањих мрежа ако је тајност података од великог значаја. Код WPA-
PSK/WPA2-PSK механизам постоји дељени кључ који поседују клијенти и бежична приступна
тачка, док је код WPA/WPA2 систем кључева мало другачији. WPA/WPA2 се назива још
WPA/WPA2 Enterprise и захтева постојање сервера за аутентификацију, што додатно
компликује систем заштите. Као сервер за аутентификацију најчешће се користи RADIUS
сервер који проверава да ли клијент који жели да приступи мрежи постоји у бази клијената
сервера. Код WPA/WPA2 Enterprise механизма заштите клијент се пријављује на серевр
комбинацијом корисничко име/лозинка. Тако је сигурност подигнута на виши ниво од WPA-
PSK/WPA2-PSK механизма заштите. На слици 12.9 приказан је прозор за подешавање
WPA/WPA2 Enterprise заштите.
175
Слика 12.7: Подешавање WPA/WPA2 Enterprise заштите
12.7 Контрола приступа коришћењем MAC адреса

На овом уређају такође се може подесити контрола приступа по MAC адресама. Овим
подешавањем можемо одредити којим клијентима је дозвољено (или забрањено) да
приступе бежичној мрежи a на основу њихове МАС адресе (слика 12.10).
Слика 12.8: Подешавање контроле приступа (филтрирања) по MAC адресама
12.8 Напредна подешавања параметара бежичне мреже

Погледати подешавања у секцији „Wireless Advanced“ (слика 12.11).
176
Слика 12.9: Додатна подешавања бежичног приступа

Нека од подешавања су:
 Transmit Power - представља излазну снагу предајника. Овом опцијом можемо
подесити три нивоа предајне снаге бежичне приступне тачке, што је погодно ако
постоји потреба да смањимо утицај сигнала једне бежичне приступне тачке на
суседне бежичне приступне тачке.
 Beacon Interval - временски период на који ће бежична приступна тачка
оглашавати своје присуство.
 RTS Treshold - праг величине оквира који активира RTS/CTS резервацију
трансмисионог медијума. Како би се унапредила ефикасност бежичног преноса
може се подесити да се RTS/CTS контролни рамови користе само када се шаљу
већи рамови. На тај начин би осигурали да не дође до колизије и поновног слања
великог рама. У случају да желимо да се у бежичној мрежи стално користе
RTS/CTS рамови за резервацију медијума потребно је вредност за „RTS Treshold“
поставити на 1.
 Fragmentation Treshold - праг величине оквира који активира фрагментацију
оквира.
 Enable АP Isolation - омогућава нам да изолујемо бежичне клијенте од остатка
мреже. У том случају бежични клијенти имају само приступ Интернету (или мрежи
на којој је прикључен WAN порт бежичне приступне тачке). Бежични клијенти су на
овај начин и међусобно изоловани, што нам омогућава да подигнемо ниво
сигурности у мрежи где би бежична мрежа била доступна гостима.
У оквиру секције „Wireless Statistics“ могу се видети корисници који су тренутно на
бежичној мрежи као и додатне информације везане за њих (слика 12.12).
177
Слика 12.10: Статистика бежичних клијената
12.9 Повезивање клијента на бежичну мрежу

Користећи иконицу за мрежу у доњем десном делу екрана на једноставан начин Windows
клијент може се повезати на бежичну мрежу. Резултат ове акције биће листа доступних
бежичних мрежа (слика 12.13).
Слика 12.13: Листа доступних бежичних мрежа

Користећи ову листу дуплим притиском тастера миша можемо се повезати на жељену
мрежу, или одабиром „Connect“ опције која ће се појавити у падајућој листи ако употребимо
десни тастер миша.
Ако желимо да видимо детаљније информације везане за одређену бежичну мрежу
довољно је курсор миша задржати одређено време изнад жељене мреже. Информације које
можемо видети су: име мреже, јачина сигнала, тип заштите, који протокол се користи
(802.11a/b/g/n) и SSID (слика 12.14).
178
Слика 12.14: Информације о бежичној мрежи

У случају да бежична мрежа користи неки заштитни механизам при повезивању потребно
је унети исправну лозинку (слика 12.15).
Слика 12.15: Унос лозинке за приступ мрежи

У случају да је бежична мрежа подешена да не оглашава своје име (свој SSID) она ће се у
листи доступних бежичних мрежа појавити као Other network (слика 12.16).
Слика 12.16: Бежична мрежа са скривеним именом

Када покушамо да се повежемо на овакву бежичну мрежу Windows 7 оперативни систем
нам приказује екран у који треба да унесемо тачно име бежичне мреже (слика 12.17). После
тога можемо приступити бежичној мрежи са скривеним именом, наравно, у случају да је
скривена мрежа заштићена потребно је унети и лозинку за приступ.
Слика 12.17: Унос имена скривене бежичне мреже
179
12.10 Подешавање бежичне приступне тачке - вежба

Активност 12.10.1: Подешавање бежичне приступне тачке
Повезати рачунар на један од портова интерног комутатора и проверити да ли је рачунар
добио адресу од DHCP сервера који се налази у бежичној проступној тачки. Адреса би
требало да буде из опсега 192.168.1.0/24 (или из опсега 192.168.0.0/24 у зависности од
модела уређаја). Ако рачунар није добио адресу из поменутих опсега потребно је иницирати
поновни захтев ка DHCP серверу:
 за Windows системе: ipconfig /renew
 за Linux системе: dhclient
Ако рачунар и даље добија адресу из другог опсега потребно је бежичну приступну тачку
поставити на фабричка подешавања тако што ћемо је ресетовати на одговарајуће дугме које
се налази на задњој страни уређаја (дугме држати 10 секунди).
WAN1 порт уређаја повезати на школску мрежу.
Када рачунар добије адресу из одговарајућег опсега отворити интернет претраживач и
укуцати http://192.168.1.1 (или http://192.168.0.1 у зависности од модела уређаја) и пријавити
се као корисник „admin“ са лозинком „admin“.
У подешавањима за мрежу („Network“) подесити да:
 уређај има адресу 10.10.10.1,
 подесити да WAN порт уређаја динамички добија IP адресу,
 подесити име уређаја („Host name“) у формату „TP-LinkXY“ (где је „XY“ број
рачунара у лабораторији).
Изабрати залистак „Wireless“ и подесити следеће параметре (слика 12.18):
 Идентификатор скупа сервиса поставити на „RM-1“ (односно на„RM-2“ за други
уређај, „RM-3“ за трећи уређај, итд...).
 За регион изабрати неку европску земљу уколико се наша земља не налази на
листи.
 Опцију „Channel“ поставити на 1 (6 за други уређај, односно 11 за трећи уређај).
 Опцију „Mode“ поставити на „11bgn mixed“.
 Ширину канала оставити на „Automatic“.
 Брзину преноса оставити на 300Mbps.
У напредним подешавањима подесити излазну снагу предајника на најмању могућу, како
би у на вежбама у лабораторији смањили међусобно ометање уређаја.
1 Wide Area Network
180
Слика 12.18: Подешавање основних бежичних параметара

Изабрати залистак „Wireless Security“ и подесити уређај да користи:
 WPA2-PSK механизам заштите,
 AES1 алгоритам за шифровање,
 дељени кључ „Password123“.
На уређају подесити DHCP сервер да:
 изнајмљује адресе из опсега 10.10.10.100 - 10.10.10.115,
 време изнајмљивања буде 20 минута,
 подразумевани међумрежни пролаз буде 10.10.10.1.
Активност 12.10.2: Повезивање клијента на бежичну мрежу

Повезати се на бежичну приступну тачку коју сте подесили у претходном кораку. После
повезивања:
 проверите IP адресу на бежичном мрежном интерфејсу коју сте добили од
бежичне приступне тачке,
 проверите да ли сте у могућности да приступите Интернету,
• у лабораторији у Школи потребно је подесити адресу посредника (прокси
сервера) у интернет претраживачу.

1. Проверити који је број канала доступан када се изабере земља са простора Европе и
упоредити са бројем канала који су доступни када се за регион одабере Америка.
1 Advanced Encryption Standard,- напредни стандард за шифровање је спецификација за шифровање лектронских података.
Усвојен је од стране владе САД и користи се широм света. AES је заменио претходно коришћени стандард DES (Data
Encryption Standard). AES је алгоритам са симетричним кључем, што значи да се исти кључ користи и за шифровање и за
дешифровање података).
181
2. Која је минимална дужина лозинке за WPA2-PSK?

3. Подесити контролу приступа коришћењем MAC адреса. Дозволити приступ бежичној
мрежи само рачунару на коме радите и вашем телефону.
4. Који је најбезбеднији механизам заштите бежичне мреже који можете да подесите на
уређају?
5. Подесити изолацију на бежичној приступној тачки (Enable АP Isolation) и проверити да ли
су бежични клијенти међусобно доступни (командом ping). Која је разлика у односу на
ситуацију када изолација није подешена?
182
XIII ВЕЖБА
ПРОЈЕКТОВАЊЕ РАЧУНАРСКИХ МРЕЖА СИСТЕМОМ

СТРУКТУРНОГ КАБЛИРАЊА
Циљ вежбе је да се студенти упознају са дозволама које је могуће подесити над

директоријумима у циљу заштите од неауторизованог приступа. У практичном делу
вежбе биће извршена анализа два типа дозвола и то дозвола над дељеним
директоријумима и дозвола над објектима фајл система. Поред тога биће речи и о
томе како се наведени типови дозвола комбинују. На крају вежбе биће споменут појам
власништва над фајловима.
13. Пројектовање рачунарских мрежа системом структурног

каблирања
13.1 Систем структурног каблирања
Савремене рачунарске мреже у највећем броју случајева реализују се користећи принцип
пројектовања структурним каблирањем, којим треба да се обезбеди и обједини пренос свих
информација у једном пословном систему. Он обухвата пренос: говора, слике, управљачких
сигнала. Једини интерфејс ка кориснику је зидна утичница на коју се може прикључити било
рачунар, било телефон, а која даље кабловским системом води до одговарајућих разделника
и активних уређаја (телефонске централе или LAN 1 комутатора).
Структура мреже је таква да се после инсталирања, без икакве интервенције на самим
кабловима, цела мрежа може преконфигурисати на потпуно другачији начин, у зависности од
потребе корисника. То се постиже на самим разделницима, који су посебно конструисани за
лако и једноставно преспајање и конфигурисање мреже по жељи. Ова опција нарочито
долази до изражаја у ситуацијама када се врши мењање физичког распореда радних места
по згради (или по зградама).
Осим велике флексибилности коју пружа, структурно каблирање захваљујући својој
систематичности омогућава једноставно и ефикасно администрирање мрежом, лако
проширивање инсталације и што је можда и најважније, потпуно је независно од типа
активних уређаја који се користе за телефонску и за рачунарску мрежу. Чак се и уређаји који
не одговарају стандардима структурног каблирања, и немају адекватне конекторе, могу уз
помоћ одговарајућих једноставних адаптера прикључити на систем.
Системи структурног каблирања доживели су велику примену у пословним објектима у
свету, како због своје универзалности тако и због дугорочности решења. Наиме, пословни
корисник који се у реализацији своје рачунарске мреже у потпуности придржава принципа
које налажу стандарди обухваћени међународним стандардом ISO/IEC 11801 може бити
сигуран да ће његов кабловски систем успешно подржати сваки захтев активне опреме у
наредних десетак година. То дословно значи да једном инсталирани кабловски систем неће
тражити никаква додатна улагања.
Значај стандардизације структурног каблирања свакако се не сме занемарити. Стандарди
одређују техничке критеријуме и обезбеђују униформне перформансе мрежног система као
и његових компоненти. Стандарди нам омогућавају да пројектујемо и изградимо модуларне
рачунарске мреже које се могу лако прилагодити новим технологијама, новој опреми или
новим корисницима.
Пре 1985. године нису постојали стандарди који се односе на структурно каблирање.
Телефонске компаније су постављале сопствене системе каблирања и они најчешће нису
били компатибилни са системима других произвођача. TIA2/EIA3 су 1991. године објавиле
стандард за телекомуникационо каблирање пословних зграда - TIA/EIA-568 стандард. Он је
представљао први стандард који је дефинисао телекомуникациони систем који би подржавао
уређаје различитих произвођача.
1 Local Area Network

2 Telecommunications Industry Association
3 Electronics Industries Alliance
184
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
13.2 Подсистеми структурног каблирања

Систем структурног каблирања, дефинисан од стране TIA/EIA, састоји се од шест
подсистема (слика 13.1):
1. Хоризонтално каблирање. Систем хоризонталног каблирања обухвата све
елементе између разводног панела у телекомуникационој соби и рачунара на
радном месту. Овај систем назива се хоризонтални зато што се каблови најчешће
постављају кроз хоризонталне вођице у плафонима или хоризонтално
постављеним каналицама, које воде до телекомуникационе собе, која се најчешће
налази на истом спрату.
2. Каблирање окоснице мреже. Окосница мреже обухвата каблирање између
телекомуникационих соба, просторија са активном мрежном опремом и каблирање
између зграда.
Слика 13.1 Систем структурног каблирања

3. Телекомуникациона соба. У телекомуникационој соби се поставља сва неопходна
пасивна и активна мрежна опрема која омогућава спајање хоризонталног система
каблирања са окосницом мреже. Зграда мора имати минимум једну
телекомуникациону собу.
4. Радни простор. Радни простор садржи све компоненте између рачунарске
утичнице и радне станице.
5. Просторија са опремом. Просторија са опремом садржи сервере, уређаје који су
задужени да обезбеде сигурност у рачунарској мрежи, итд. Ова соба се разликује
од телекомуникационе собе по комплексности опреме коју садржи. Просторија са
опремом може се налазити у оквиру телекомуникационе собе или може бити
одвојена, у зависности од услова зграде.
6. Демаркациона тачка. Демаркациона тачка представља место где се окосница
мреже повезује са комуникационим линком који је обезбеђен од стране телеком
посредника.
185
13.2.1 Хоризонтално каблирање

Већина каблова који се користе у рачунарској мрежи у једној згради представљају део
система хоризонталног каблирања. Хоризонтални каблови најчешће су мање доступни од
каблова који чине окосницу мреже, тако да се на промену у систему хоризонталног
каблирања може утрошити много времена и финансијских средстава. Због ових разлога
неопходно је детаљно испланирати систем хоризонталног каблирања како бисмо постигли
максимум ефикасности целокупног система структурног каблирања. Систем хоризонталног
каблирања је специфициран у TIA/EIA-568-B.1 стандарду и обухвата:
 хоризонтално каблирање,
 мрежне утичнице,
 мрежне конекторе,
 приводне1 каблове.
Планирање система хоризонталног каблирања

Код планирања система хоризонталног каблирања посебну пажњу треба обратити на
следеће:
 Промене у мрежи. Током рада сигурно ће постојати ситуација када ће морати да
дође до одређених премештања мрежне опреме као и самих радних места
корисника. Тако да је пракса да се каблови постављају и у деловима зграде који
тренутно нису у употреби како би у будућности били спремни на могуће промене у
мрежи.
 Одржавање. Систем треба поставити на тај начин да буде што једноставнији и
приступачнији за одржавање.
 Опрема. Код одабира мрежне опреме треба обратити пажњу да она може да
задовољи неке мање промене и проширења у будућности.
 Апликације. Треба испитати које се апликације користе у мрежи и које ће се
користити у будућности како бисмо обезбедили довољан пропусни опсег.
 Путање каблова. Путање каблова тачно се морају утврдити и прецизно испитати
да ли постоји довољно простора за постављање одређеног броја каблова.
 Документација. Јако важан део самог система каблирања јесте документација.
Сваки кабл и утичница треба да буду означени.
 ЕМС2. Треба обратити пажњу на то да ли постоје електромагнетне сметње у
близини путања каблова као што су лифтови, електромотори и други уређаји.
Топологија хоризонталног каблирања

TIA/EIA-568-B.1 посебно наглашава следеће спецификације:
 Систем хоризонталног каблирања треба да има топологију звезде.
 Свака рачунарска утичница треба да буде повезана са разводним панелом у
телекомуникационој соби.
 Телекомуникациона соба треба да се налази на истом спрату као и радни
простор.
1 Patch cable - каблови који повезују активну мрежну опрему са мрежним утичницама.
2 Електромагнетне сметње
186
 Бакарни каблови не смеју бити настављани.

 Електричне компоненте не треба да буду инсталиране као део система
хоризонталног каблирања.
 Минимум две утичнице треба да буду обезбеђене по радном месту. За пренос
гласа минимум је кабл категорије 3, а за пренос података CAT6 представља
минимум.
Максималне дужине хоризонталног сегмента

Дужина сегмента хоризонталног каблирања не сме да буде већа од 100 метара, и то
(слика 13.2):
 Кабл којим је повезана утичница на радном месту са разводним панелом у
телекомуникационој соби не би требло да буде дужи од 90 метара;
 Кабл који повезује радну станицу са утичницом је дужине до 5 метара;
 Кабл који повезује разводни панел са мрежним уређајима (приводни кабл) такође
не би требало да буде дужи од 5 метара.
Слика 13.2 Хоризонтално каблирање

Каблови који су препоручени за инсталацију:
 UTP или ScTP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2).
 Оптички кабл са 2 или више влакана, и попречног пресека језгра 50 или 62.5µm.
 Може се користити и оклопљени кабл од 150Ω, али није препоручљиво.
Хибридни каблови (кабл који садржи више различитих врста каблова) такође су
дозвољени, али само ако сваки појединачни кабл задовољава трансмисионе захтеве и
захтеве за означавање кабла.
Каблове са пуним попречним пресеком треба користити за инсталације од разводног
панела до утичнице на радном месту. Лицнасте каблове треба користити за приводне
каблове.
Конектори који се користе су:
 RJ-45 са T568A или T568B распоредом парица,
 SC или ST конектори за оптичке каблове.
187
13.2.2 Окосница мреже

Окосница мреже повезује све системе хоризонталног каблирања у једној згради или више
зграда (слика 13.3). Окосница такође повезује телекомуникационе собе са собом са опремом
и са главним спољашњим линком, који нам обезбеђује телеком посредник. У стандарду
TIA/EIA-568-B.1 специфицирана је окосница мреже и он обухвата:
 каблирање,
 главна чворишта и међучворишта,
 конекторе.
Слика 13.3 Окосница мреже
Планирање окоснице мреже

Код планирања окоснице мреже посебну пажњу треба обратити на следеће:
 Перформансе. Окосница мора да задовољава захтеве тренутне рачунарске
мреже, али исто тако требало би да без већих промена задовољава и потребе у
будућности. Тако да се може узети у обзир инсталирање додатних каблова, који
се тренутно неће користити а који ће омогућити добре перформансе у будућности.
 Врста кабла. Треба прорачунати предвиђени интензитет саобраћајa у мрежи као
и максималне раздаљине у мрежи које треба повезати окосницом. И ове
чињенице ће највероватније одредити коју ћемо врсту кабла користити за
вертикално каблирање.
 Редундантност. Ако у мрежи постоје важни системи треба обезбедити
редундантне линкове, а каблови тих линкова ће се разводити различитим
каналима.
 Услови средине. Треба испитати да ли постоје ЕМС у близини инсталационих
путева. Такође треба испитати могућност појаве пожара. И такође треба
обезбедити да каблови окоснице, као и сама опрема, не буду доступни
неауторизованом особљу.
Топологија окоснице мреже

Препоручена топологија за окосницу мреже је хијерархијска звезда. Сви каблови су
концентрисани у централну тачку која се зове главно чвориште. Свака телекомуникациона
соба и просторија са опремом повезане су са главним чвориштем директно или преко
додатног међучворишта (слика 13.4). Оваква топологија обезбеђује контролу штете јер ако
дође до оштећења на неком од каблова остали сегменти моћи ће да функционишу нормално.
Препоручени каблови за окосницу мреже су:
188
 UTP или ScTP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2),

 oптички кабл попречног пресека језгра 50 или 62.5 µm (TIA/EIA-568-B.3),
 Single-mode оптички кабл (TIA/EIA-568-B.3).
Могу се користити каблови различитог типа. На пример, зграде можемо повезати са
једномодним оптичким каблом, спратове повезати са мултимодним оптичким каблом, а са
каблом са упреденим парицама повезивати међучворишта на истом спрату.
Слика 13.4 Топологија окоснице мреже

Радни простор обухвата све компоненте између мрежне утичнице и радне станице:
 мрежне утичнице укључујући и кућишта и маске за утичнице,
 модуле који се уграђују у утичнице,
 приводне каблове који повезују радну станицу са мрежном утичницом,
 радне станице, телефоне, штампаче, итд. Иако они нису обухваћени стандардом.
 Неколико најважнијих препорука из TIA/EIA-568-B.1 стандарда:
 На сваком радном месту треба инсталирати минимум две утичнице.
 Повезивање конектора и модула треба да задовољи T568A или T568B
инсталациону шему.
 Приводни кабл који повезује радну станицу са мрежном утичницом не треба да
буде дужи од 5 метара.
 Модули, конектори, приводни каблови треба да задовоље категорију кабла који се
користи за хоризонтално каблирање (нпр. ако се за хоризонтално каблирање
користи кабл категорије 6, а радну станицу прикључимо приводним каблом CAT5e,
нећемо добити очекиване перформансе).
189
13.2.3 Телекомуникациона соба

Телекомуникациона соба је некада била позната под именом телекомуникациони орман.
У овој соби налази се сва опрема са којом се хоризонтални систем каблова повезује са
окосницом мреже, и то укључује;
 главно чвориште,
 међучворишта,
 приводне каблове,
 сву опрему која је неопходна за повезивање.
Комплетан дизајн и препоруке димензија собе могу се пронаћи у TIA/EIA-569-B стандарду.
Неке од препорука:
 Телекомуникациона соба требало би да буде што ближе центру самог спрата
зграде.
 Телекомуникациону собу не треба делити са опремом за електричну енергију.
 Ако је површина спрата већа од 1000m2 треба додати још једну
телекомуникациону собу.
Просторија са опремом
Просторија са опремом разликује се од телекомуникационе собе по комплексности
опреме коју садржи. У соби са опремом налазе се уређаји за заштиту података у мрежи,
рутери, сервери, комутатори, итд. Просторија са опремом може бити део телекомуникационе
собе. Такође у овој соби може се налазити и приступни линк од телеком посредника.
Неке од препорука дизајна собе са опремом из TIA/EIA-569-B стандарда:
 Свака зграда треба да садржи макар једну собу са опремом.
 Треба водити рачуна о димензијама просторије због додавања опреме у
будућности.
 Врата просторије треба да буду довољно велика да би кроз њих могли да прођу
велики делови телекомуникационе опреме.
 Минимална висина плафона требало би да износи 2,4 метра.
 Минимална површина просторије требало би да буде 14 m2 .
 Соба треба да има стално напајање као и резервно напајање.
 Климатски услови морају бити контролисани.
Демаркациона тачка
Демаркациона тачка је место где се завршава одговорност телеком посредника и каблови
спајају са окосницом мреже зграде. Просторија са приступним линком може да буде део
просторије са опремом. Ова просторија треба да буде позиционирана што ближе
вертикалним вођицама за каблове који чине окосницу система. Такође, ова просторија, у
случају да је засебна, треба да садржи и резервно напајање електричном енергијом и све
услове које морају да задовоље телекомуникациона соба и просторија са опремом.
190
13.3 Кабловски развод

Каблирање представља једну од најважнијих компонената рачунарске мреже и такође
представља компоненту која би требало да има најдужи радни век. Инвестирање у кабловски
систем високог квалитета свакако ће пружити одличне перформансе рачунарске мреже.
13.3.1 Одабир кабла

Када планирамо кабловску инфраструктуру имамо две могућности: можемо користити
бакарне каблове, или можемо употребити оптичке каблове. Коју ћемо врсту каблова
користити зависи од мноштва фактора:
 Мрежне апликације. Код одабира кабла морамо обратити посебну пажњу на
апликације које ће се користити у том мрежном окружењу. Ако се користе
мултимедијалне апликације, које укључују пренос видео материјала и великих
датотека, онда свакако треба користити каблове са већим пропусним опсегом.
 Раздаљина. Морамо имати у виду колико је најдаља радна станица удаљена од
разделника који се налази у телекомуникационој соби.
 Инсталација каблова. Треба водити рачуна о инсталационим путевима каблова
(колико има простора за каблове, под којим углом ће морати да се савијају, итд.).
 Опасност од пожара. Ако постоји опасност од пожара треба употребити каблове
од посебних материјала који у случаја пожара не испуштају отрован дим.
 Електромагнетне сметње. У случају да се мрежни каблови морају постављати
поред каблова за електричну енергију потребно је користити каблове који су
отпорнији на ЕМС.
Бакарни каблови су се традиционално користили за мрежне сегменте мањих раздаљина и
када није било потребе за брзим преносом података, док су се оптички каблови користили за
изградњу окосница у рачунарским мрежама и за повезивање уређаја на великим
удаљеностима. Али са појавом могућности да се подаци преносе брзином од 10Gb/s и преко
бакарних каблова ово правило се више не уважава у толикој мери. Данас се најчешће могу
видети рачунарске мреже које користе и бакарне и оптичке каблове (слика 13.5).
191
Слика 13.5 Каблирање
13.3.2 Бакарни каблови

Једна од највећих предности бакарног кабла јесте лакша инсталација у односу на
оптички кабл. Некада је и разлика у цени између ове две врсте каблова била знатно већа
него што је данас.
У рачунарским мрежама бакарни каблови се користе у облику упредених парица.
Упредена парица представља два проводника који су умотани један око другог ради
поништавања електромагнетних сметњи као и ефекта преслушавања који потиче од
суседних парица. Количина ЕМС коју ствара један проводник у парици приближно је једнака
количини ЕМС коју ствара и други проводник у парици, само што су различитих фаза и на тај
начин се међусобно поништавају. Каблови са упреденим парицама имају карактеристику која
се назива корак упредања (обично се приказује као корак упредања по дужном метру), и ова
карактеристика одређује и сам квалитет кабла (слика 13.6).
Слика 13.6 Корак упредања парица
Неоклопљене упредене парице (UTP1)

Ова врста кабла најчешће се користи у телефонским системима као и у етернет мрежама.
Састоји се од најчешће четири пара упредених парица у изолационом омотачу (слика 13.7).
Ова врста каблова није отпорна на спољашње електромагнетне сметње.
1 Unshielded Twisted Pair
192
Слика 13.7 Врсте каблова
Оклопљене упредене парице

Оклопљене парице пружају знатно бољу заштиту од електромагнетних сметњи које могу
произвести енергетски каблови, мотори лифтова, генератори, клима уређаји, итд. Метални
оклоп кабла мора бити добро уземљен како би омогућио добру заштиту од ЕМС, у случају да
оклоп није добро уземљен дошло би до повећања сметњи. Оклопљени каблови су скупљи од
обичних каблова и мање су флексибилни, тако да их је теже монтирати. Такође, оклопљени
каблови имају већи попречни пресек од обичних каблова, што значи да треба рачунати на
веће канале за уградњу оваквих каблова.
Оклопљени кабл састоји се од упредених парица, оклопа и изолационог материјала.
Постоје две најчешће врсте оклопа: метална фолија и бакарна или алуминијумска мрежица.
Фолија покрива 100% површине кабла, док мрежица покрива 85% до 95% површине због
рупица у самој мрежици. Али ипак, мрежица пружа мало бољу заштиту јер је дебља од
фолије и апсорбује више ЕМС. Мрежица је такође јако добар оклоп на мањим
учестаностима. Фолија, пошто је тања, мање одбија сметње, али ипак пружа бољу заштиту
на већим учестаностима. Због ових разлога комбинација фолије и мрежице користи се када
је потребна јака заштита. Мрежицом се обавију све парице заједно, док се фолијом заштити
сваки пар парица засебно.
S/UTP1 познат као и FTP2 представља кабл код кога су све упредене парице оклопљене
заједничким омотачем, најчешће од фолије. Овакви каблови могу се наћи и под називом
ScTP3, што би у преводу значило армиране упредене парице (слика 13.7). STP4 или STP-A су
каблови код којих је свака парица засебно заштићена омотачем. S/STP5 је кабл код кога су
све парице посебно заштићене омотачем, а такође су и све парице заједно заштићене још
једним заштитним омотачем (слика 13.7). Оваква врста кабла пружа најбољу заштиту и
позната је и под именом S/FTP6.
Стандардизовани начин означавања каблова приказан је на слици 13.8.
Слика 13.8 Стандардизоване ознаке каблова са упреденим парицама
1 Screened Unshielded Twisted Pair

2 Foiled Twisted Pair
3 Screened Twisted Pair
4 Shielded Twisted Pair
5 Screened shielded twisted pair
6 Screened Fully shielded Twisted Pair
193
На пример:
 SF/UTP – кабл са оваквом ознаком има неоклопљене парице али око свих парица
постоји и фолија и мрежица.
 U/FTP – код кабла са оваквом ознаком свака парица је појединачно заштићена
фолијом.
 F/UTP – кабл са оваквом ознаком садржи заштитну фолију око свих парица
заједно.
Врсте каблова у зависности од попречног пресека

Упредене парице могу бити пуног попречног пресека и лицнасте, без обзира да ли је кабл
оклопљен или не са следећим карактеристикама:
 Кабл пуног пресека се користи за повезивање разводних панела са утичницама на
радним местима. Може се срести и под именом wall (зидни) зато што се он
користи за инсталације у зидовима (слика 13.9а). Код оваквих каблова треба
избегавати увртање, велика савијања и упредања. Каблови са пуним пресеком
проузрокују мање слабљење него лицнасти каблови.
 Лицнасти кабл се користи се за повезивање разводних панела, као и за
повезивање радних станица са утичницама (слика 13.9б). Знатно су
флексибилнији од каблова са пуним попречним пресеком. Ипак, слабљење које
овакви каблови уносе веће је, тако да укупна дужина лицнастих каблова у једном
сегменту мреже не би требало да прелази 10 метара.
Слика 13.9 Врсте каблова
Изолациони омотач
PVC1, или чешће звани винил, скраћеница је за поливинил-хлорид и представља
производ петрохемијске индустрије. Овај материјал често се среће као изолациони омотач
каблова свих врста. Каблови су савитљивији, лако се постављају али су и лако запаљиви и
ослобађају отрован гас када горе.
Пленум каблови постављају се у међупросторе, чвршћи су од каблова са PVC изолацијом
али не испуштају отрован гас у случају да се запале.
Категорије бакарних каблова

Како је потреба за повећањем пропусног опсега стално расла, због употребе све
захтевнијих мрежних апликација, квалитет каблова са упреденим парицама такође је морао
да се повећава. TIA/EIA-568B стандард специфицира категорије каблова са упреденим
парицама. ISO/IEC специфицира категорије мрежних компоненти, док каблове специфицира
по класама (class). У табели 13.1 дат је приказ категорија каблова и компоненти.
1 Polyvinyl chloride
194
Категорије и класе каблова и компоненти

ISO
Фреквенција TIA (компоненте) TIA (каблови) ISO (каблови)
(компоненте)
1-100 MHz CAT5e CAT5e CAT5e Class D
1-250 MHz CAT6 CAT6 CAT6 Class E
1-500 MHz CAT6a CAT6a CAT6a Class EA
1-600 MHz - - CAT7 Class F
1-1000 MHz - - CAT7A Class FA
Табела 13.1 Категорије и класе каблова и компоненти

Намена разичитих категорија каблова је следећа:
 Категорија 3 (CAT3/Class C) кабла са упреденим парицама се користила у
мрежама са брзинама до 10 Mbps, са максималним пропусним опсегом од 16 MHz.
Ова категорија кабла била је у употреби почетком деведесетих година прошлог
века, али је њу заменио кабл категорије 5.
 Категорија 4 коришћена је у мрежама за жетоном и омогућавала је брзине до
16Mb/s. Али ова категорија је застарела и више није у употреби.
 Категорија 5 (CAT5) каблова користи се у локалним рачунарским мрежама са
брзинама до 100Mb/s и са максималним сегментом мреже од 100 метара. Ова
категорија каблова користи се од 1991. године и данас се сматра застарелом.
 Побољшана категорија 5 (CAT5e/Class D) категорија је каблова која је дизајнирана
да омогући пропусни опсег од 100MHz и потпуни дуплекс. Ова категорија
формално је дефинисана 2001. године као TIA/EIA-568B стандард. Са овом
категоријом каблова уводе се додатни параметри перформанси Power-Sum Near-
End Crosstalk (PS-NEXT), Equal-Level Far-End Crosstalk (EL-FEXT), и Power-Sum
Equal-Level Far-End Crosstalk (PS-ELFEXT). Ови и остали параметри биће
објашњени касније у тексту, у поглављу које описује тестирање каблова. И поред
стриктних спецификација које кабл категорије 5е мора да задовољи он ипак не
омогућава дуже мрежне сегменте од 100 метара.
 Категорија 6 (CAT6/Class E) представља категорију каблова који имају пропусни
опсег од 250 MHz и подржавају гигабитни пренос података. Ова категорија
каблова има још строжије параметре перформанси од каблова категорије CAT5e.
CAT6 компоненте морају бити компатибилне са компонентама нижих категорија.
 Категорија 6а (CAT6а/Class EA) релативно је нов стандард, и пројектован је да
подржи захтеве за 10-гигабитним Етернетом преко упредених парица до 100
метара дужине. Пропусни опсег је проширен са 250MHz на 500MHz. Такође, уводи
се и нови параметар Alien Crosstalk (ANEXT) и представља мерење
преслушавања које долази са околних-суседних каблова. За категорију CAT6а
могу се употребљавати UTP и F/UTP врсте каблова, с тим што F/UTP у принципу
елиминишу проблем ANEXT-а.
 Категорија 7 (CAT7/Class F) тренутно је ISO/IEC 11801:2002 стандард и још увек
није стандардизован од стране TIA, а дизајниран је да подржи захтеве 10-
гигабитног Етернета. Стандард специфицира фреквенције од 1-600 MHz преко
потпуно оклопљених упредених парица дужине до 100 метара. Кабл категорије 7
садржи 4 парице које су посебно оклопљене и које су такође све заједно
оклопљене заштитним омотачем. Овако оклопљен кабл отпоран је на ефекат
преслушавања између парица, а такође је отпоран и на спољашњи шум. Са
195
оваквим карактеристикама каблови категорије 7 идеални су у просторијама где

постоји висок степен електромагнетних сметњи.
 Каблови категорије 7 завршавају се GG45 конекторима или модулима (GG
представља скрађеницу за GigaGate, а ознака 45 представља компатибилност са
RJ45 конекторима). Овај систем је стандардизован као IEC 60603-7-7 2001. године
и представља светски прихваћен CAT7 стандард. GG45 конектор има 4 додатна
конектора у односу на RJ45 конектор (слика 13.10). Ови додатни конектори
користиће се у будућности за још 2 парице, за пренос података при брзинама од
10Gb/s.
Слика 13.10 GG45 конектор

Постоје и TERA конектори који се чешће користе и који су стандардизовани 2003.
године, као IEC 61076-3-104. Последња верзија стандарда објављена 2006.
године подржава фреквенције до 1000MHz. Конектор се разликује од стандардног
RJ45 конектора и није компатибилан са њим (слика 13.11).
Слика 13.11TERA модул и конектор

 Категорија 7а (Class FA) је ISO стандард који се очекује, а заснива се на
коришћењу S/FTP кабла на фреквенцијама до 1000 MHz.
13.3.3 Оптички каблови

Код оптичких каблова светлосни сигнал се користи као носилац информације. Оптичко
влакно је танак, флексибилан медијум, кроз који може да се простире светлосни зрак.
Израђују се од стакла или пластике. Најмањи губици су код оптичких влакана која су
направљена од силицијума али израда оваквих каблова јако је сложена. Нижа по цени, али и
даље прихватљивих перформанси, јесу стаклена оптичка влакна. Пластична оптичка влакна
најнижа су по цени и могу се користити за краћа растојања и примене у којима су губици
средњег нивоа прихватљиви. Оптичка влакна имају цилиндрични облик и састоје се од три
концентрична дела: језгра, пресвлаке и омотача. Поред ових слојева, оптички каблови могу
садржати још неколико заштитних и изолационих слојева (слика 13.12). Оптичко влакно је
пресвучено материјалом који има различита оптичка својства од језгра (нижи индекс
преламања). Спој између језгра и омотача за светлосни зрак понаша се као гранична,
рефлектујућа површина. Трећи слој може да буде омотач једном или за више оптичких
влакана. Омотач је обично направљен од пластичног материјала и заштита је од влаге,
механичких оштећења и других нежељених утицаја у окружењу.
196
Слика 13.12 Оптички кабл

Оптички каблови завршавају се оптичким конекторима који омогућавају брзо спајање и
раздвајање каблова. Оптички конектори омогућавају да се језгра каблова поравнају тако да
светлосни зрак може да пролази кроз спој. Постоје разне врсте оптичких конектора, али
свакако најпопуларнији су SC1 и ST2 конектори (слика 13.13).
Слика 13.13 Оптички конектори
Предности оптичких каблова

Предност оптиких каблова су:
 Већи пропусни опсег. Оптичка влакна имају значајно већи пропусни опсег од
упреденим парицама тако да могу преносити податке са већом брзином.
 Мала слабљења на већим раздаљинама. Мала количина сигнала се изгуби током
преноса. Раздаљине преко којих се могу преносити подаци путем оптичких
влакана протежу се од 300m па до неколико десетина километара.
 Безбедност. Пренос података је безбеднији путем оптичких каблова. Тешко је
издвојити сигнал из оптичког кабла.
 Имуност на сметње. Оптичка влакна поуздано преносе податке јер су отпорни
(имуни) на све врсте сметњи. Оптичке каблове можемо без проблема инсталирати
у индустријским окружењима са великим електромагнетским сметњама. Отпорнији
су од бакарних каблова и на промене температуре.
 Једноставно пројектовање. Оптички каблови су танки, лагани и постојанији од
бакарних каблова. Оптички каблови се, приликом монтаже, могу повлачити силом
која је 2-3 пута већа од дозвољене силе за бакарне каблове. Пошто су танки мање
места заузимају приликом инсталације.
Једноугаона и вишеугаона оптичка влакна

Постоје две врсте оптичких влакана: једноугаона3 и вишеугаона4 (слика 13.14). Већина
оптичких каблова који се користе у инсталацијама унутар објеката користе вишеугаона
оптичка влакна. Каблови са једноугаоним влакнима имају боље карактеристике па се користе
за повезивање на већим раздаљинама.
Вишеугаони оптичко влакно има већи пречник језгра и омогућава да се истовремено
преноси више светлосних сигнала. Користе се две величине језгра: од 50µm и од 62,5µm.
Обе врсте влакана имају исти пречник пресвлаке, који износи 125µm. Као извор светлосног
1 Subscriber Connector или Standard Connector

2 Straight Tip
3 Single mode
4 Multi-mode
197
сигнала код вишеугаоних оптичких влакана користе се LED1 диоде. Оптичкa влакна са
језгром од 50µm омогућавају пренос на веће раздаљине и већу брзину од влакан са језгром
од 62,5µm. Код нових инсталација треба употребљавати каблове са оптичким влакнима са
језгром од 50µm. Вишеугаони кабл је традиционално наранџасте боје. Оптички кабл са
језгром од 50µm који је оптимизован за 10-гигабитни пренос података је светлоплаве боје.
Слика 13.14 Врсте оптичких влакана

Једноугаоно оптичко влакно има пречник језгра, 8-10µm и кроз њега се преноси само
један светлосни зрак. Светлосни зрак се простире кроз средину језгра и (не одбија се о
пресвлаку као код вишеугаоних влакана). Каблови са једноугаоним влакнима омогућавају
пренос сигнала на 50 пута веће растојање од каблова са вишеугаоним влакнима. Боја
једноугаоног оптичког кабла је обично жута.
Постоје и оптички каблови који су споља заштићени флексибилним алуминијумским оклопом
који штити кабл од удараца и гњечења (слика 13.15). Такође, постоје и оптички каблови са доста
јачим оклопом који се користе за спољашње монтаже и обично су црне боје.
Слика 13.15 Оптички кабл са оклопом
13.4 Инсталација мрежне опреме

13.4.1 Путање каблова
Путање каблова представљају простор у који се смештају мрежни каблови. TIA/EIA-569-B
стандард дефинише неколико различитих типова путања каблова као што су хоризонталне
путање каблова и путање каблова за окосницу мреже (слика 13.16).
1 Light Emitting Diode
198
Слика 13.16 Путање каблова
13.4.2 Путање каблова окоснице мреже

Путање каблова окоснице мреже простиру се вертикално и хоризонтално између
просторије са приступним линком, просторије са опремом и телекомуникационих соба. Ове
вођице садрже каблове окоснице мреже и могу бити у облику каналица, пластичних црева,
носача, итд.
Када се пројектује зграда, телекомуникационе собе требало би распоредити једну изнад
друге на свим спратовима. На тај начин се најједноставније и најефикасније постављају
каблови који чине окосницу мреже. У случају да телекомуникационе собе нису у једној
вертикалној линији, потребно је користити и хоризонталне канале за повезивање. Када се
постављају каблови не смеју да постоје два угла од 90° између тачака између којих се
поставља кабл. Такође се мора водити рачуна о попуни канала за каблове, попуна простора
канала не би требало да пређе 40%.
13.4.3 Хоризонталне путање каблова

Као што и само име наводи, ове вођице кабловa простиру се између телекомуникационих
соба и радног простора. Овде исто треба водити рачуна о попуни простора у каналима за
каблове, увек треба оставити простора због могућности да у будуђности буде потребе за
додавањем још каблова.
13.4.4 Врсте вођица каблова

Каналице се најчешће користе за инсталацију каблова (слика 13.17). Постоји читав
спектар типова и димензија, као и материјала од којег се каналице израђују. Оне се најчешће
199
монтирају на зид и у случају потребе омогуђавају лак приступ кабловима. Постоје каналице
на које се директно могу уграђивати мрежне, телефонске и друге утичнице. Металне
каналице са више раздвојених канала омогућавају да се паралелно инсталирају мрежни и
енергетски каблови, у ситуацијама када не постоји могућност и простор да се ови каблови
одвојено инсталирају. Треба водити рачуна о попуњености каналица, како због проширења у
будућности тако и због инсталације самих каблова. Ако је каналица потпуно попуњена
каблови једноставно неће у њој моћи да се савију под углом од 90°.
Слика 13.17 Каналице

За инсталацију каблова користе се и црева (слика 13.18), најчешће пластична (тзв.
„бужир“). Она се постављају у зид, и због тога су каблови недоступни након инсталације.
Овде се исто мора водити рачуна о густини каблова у пластичном цреву, да би савијање
било могуће. Каблови се провлаче помоћу металних сајли, а додавање каблова у већ и
делимично попуњене пластичне цеви практичнo је немогуће. Али и поред отежаног приступа
кабловима, овакав начин инсталације је дискретнији, јер се каблови не виде и не нарушавају
изглед пословног простора.
Слика 13.18 Пластично црево

Постоје и разне вођице каблова које се постављају у спуштене плафоне (слика 13.19) или
издигнуте подове. И за њих постоји велики број утичница које се могу директно монтирати на
под и бити практично неприметне.
Слика 13.19 Плафонске вођице каблова
13.4.5 Савети за инсталацију пасивне мрежне опреме

Инсталација саме опреме једна је од најбитнијих ставки система структурног каблирања.
Можемо потрошити значајна финансијска средства на најбољу мрежну опрему, али ако је не
инсталирамо исправно систем који смо пројектовали неће добро функционисати. У TIA/EIA-
568-B.1 стандарду постоје препоруке за инсталацију мрежне опреме, неке од најважнијих су:
200
 Упредање парица. Корак упредања парица код бакарних каблова представља

једну од карактеристика које знатно утичу на перформансе самог кабла. Ако којим
случајем распредемо парице перформансе кабла ће се смањити. Ово је јако
битно код постављања конектора или модула на каблове. При монтирању
конектора или модула треба уклонити што мање изолационог омотача, док парице
не би требало распредати више од 13mm (слика 13.20).
Слика 13.20 Распредање парица

 Радијус савијања каблова. Ако каблове са упреденим парицама сувише савијемо
приликом инсталације можемо нарушити корак упредања и на тај начин
аутоматски смањити перфoрмансе кабла. Радијус савијања UTP кабла мора бити
бар 4 пута већи од пречника самог кабла (слика 13.21). Код оклопљених каблова
радијус савијања мора бити 8 пута већи од њиховог пречника. Код оптичких
каблова треба пратити инсталациона упутства произвођача, али у сваком случају
радијус савијања не треба бити мањи од 25mm.
Слика 13.21 Радијус савијања кабла

 Истезање каблова. Каблови се приликом инсталације понекад морају провлачити
кроз већ постојеће канале који су делимично и попуњени. Ако употребимо сувише
јаку силу за провлачење каблова, можемо их оштетити. Код UTP каблова вучна
сила не би требало да прелази 110 N. Претерано повлачење може нарушити
корак упредања кабла. Код оптичких каблова вучна сила не би требало да
прелази 222 N, али ипак треба проверити спецификације произвођача.
 Стезање каблова. Каблове треба груписати одговарајућим тракама (слика 13.22).
Али не треба их сувише стезати јер може доћи до оштећења каблова. Траке треба
да буду благо затегнуте.
Слика 13.22 Груписање каблова
201
 Инсталација конектора. Код упредених парица конектори морају бити истог или
бољег типа кабл. RJ45 конектори монтирају се на кабл уз помоћ кримп клешта
(слика 13.23а). Треба водити рачуна о распореду парица у конектору. Такође
треба проверити да ли су све парице оствариле контакт са иглицама конектора.
Изолациони омотач кабла уклања се помоћу стрипер алата (слика 13.23б), али
изолациони омотач не треба да буде сувише уклоњен јер може доћи до
нарушавања перформанси самог кабла.
Слика 13.23 Алат за инсталацију конектора

Тамо где је то могуће препоручује се употреба фабрички произведених и тестираних
каблова са конекторима, као што је случај са приводним кабловима (слика 13.24). Пожељно
је користити различите боје каблова у зависности од намене кабла.
Слика 13.24 Фабрички приводни каблови

Постављање конектора код оптичких каблова знатно је сложеније, и потребно је добро
исполирати оптичко влакно и поравнати језгро влакна са конектором. Ако се конектор лоше
инсталира на кабл долази до непотребног преламања и слабљења светлосног сигнала.
13.4.6 Тестирање каблова

Након инсталације каблова и конектора потребно је извршити проверу исправности веза
како би се уочиле потенцијалне неисправности које су настале услед монтирања каблова
или конектора.
За тестирање каблова постоје две уобичајене тест конфигурације: линк тест (углавном се
користи у објектима који су још увек у фази изградње и не укључује приводне везе ни на
једном крају кабла) и тест канала (обезбеђује верификацију перформанси са краја на крај, тј.
исправност кабла и проверу приводних веза на крајевима) (слика 13.25).
Наиме, мерења инструментима у структурним кабловским системима могу се сврстати у
четири категорије. Прву чине зујалице или тонери и дигитални мултиметри (слика 13.26а).
Друга категорија су тестери каблова (слика 13.26б), а у трећу категорију спадају
202
специјализовани уређаји за мерења и атестирање, који се још називају и инструментима за

сертификацију (слика 13.26г). Најзад, четврту групу чине анализатори мреже1 (слика 13.26д).
Слика 13.25 Тест конфигурације

Сваки од инструмената из ове четири групе има своју намену, а примена неодговарајућих
инструмената за тестирање може проузроковати више штете него користи. Није упутно
тестирати UTP кабл категорије 5 обичним омметром или зујалицом. Исто тако, није упутно
тражити грешке у ожичењу мрежним анализатором, због утрошка времена и због цене самог
инструмента.
Слика 13.26 Уређаји за тестирање каблова
Тестирање упредених парица

Тестери континуалности су инструменти који се најчешће користе за проналажење
каблова или парица и откривање прекида и кратких спојева у каблу. Производе се у
најразличитијим облицима специјализованим за одређене типове каблова, мада се у
суштини своде на обичне зујалице или модификоване омметре. У исту сврху може се
користити и обични дигитални мултиметар са адаптером и неколико краткоспојника. Ови
тестери много чешће се користе у телефонији него у структурном каблирању. Главна
предност им је ниска цена, а мана је ограничен опсег мерења и свођење грешака на прекид
или кратак спој.
За проверу каблова користе се усавршени тестери континуалности који проверавају и да
ли су каблови правилно повезани, проналазе раздвојене или укрштене парице и откривају
остале грешке у повезивању према задатом стандарду. Најскупљи модели могу да измере
чак и дужину кабла, једноставни су за употребу, резултати мерења добијају се одмах и
једнозначни су. Мана им је што не могу да открију фреквентно зависне грешке. На нашем
1 Network Analyzers
203
тржишту могу се наћи Микротестов Microscanner који мери и дужину кабла, Molex (раније
Mod-Tap) SLT3 Tester и FULL Cable Tracer.
За функционалне тестове потребни су специјални тест уређаји, односно инструменти за
сертификацију, који испитују кабл по тачно дефинисаним критеријумима стандарда TIA/EIA
568A и ISO класе D и E, односно TSB67 (Transmition Performance Specification) и TSB95 за
категорију 5Е.
Критеријуми за тестирање упредених парица су:
 дужина кабла,
 исправност ожичења1 - провера да ли је распоред парица исправан,
 време кашњења2 - брзина простирања сигнала кроз парицу. Изражава се у односу
на брзину простирања светлости у вакууму,
 разлика у кашњењу3 - или попречно кашњење које је разлика између најбржег и
најспоријег сигнала у различитим парицама језгра кабла,
 слабљење4,
 преслушавање на ближем крају5,
 повратни губици6 представљају однос улазне и рефлектоване снаге сигнала, у
dB. Настаје на местима дуж кабловске линије где је присутна нехомогеност
карактеристичне импедансе парице,
 PSNEXT7 - представља укупан утицај снаге преслушавања на ближем крају свих
ометајућих парица на мерену ометану парицу,
 PSFEXT8 - представља укупан утицај преслушавања на даљем крају свих парица
на мерену парицу,
 ELFEXT9 - изједначена вредност преслушавања на даљем крају.
За корисника је најважнији податак однос слабљења и преслушавања (ACR10). За
категорију 5Е још се мере PSFEXT и ELFEXT. Инструменти за сертификацију малих су
димензија (величине стандардног дигиталног мултиметра), аутономног напајања, мале масе
и једноставни су за употребу.
Већина модела има већ припремљене групе тестова за одговарајуће категорије кабла,
али можете направити и сопствени скуп мерења. Резултати тестирања добијају се у
временском распону од неколико секунди до неколико минута и дају потпуни увид у стање
линије. Овим уређајима могућа је дијагностика свих врста грешака које се могу јавити у
структурним кабловским системима. Главна мана оваквих уређаја је цена. Водећи
произвођачи ове опреме су Microtest, Fluke, Hewlett-Packard, Datacom и Agilent.
1 Wire map
2 Propagation delay
3 Propagation delay skew
4 Attenuation
5 Near End Crosstalk – NEXT
6 Eхо (return loss)
7 Power Sum Near End Cross Talk
8 Power Sum Equal Level Far End Cross Talk
9 Equalized level far end crosstalk
10 Attenuation to crosstalk ratio
204
Анализатор мреже углавном се користи у лабораторијским условима, када треба

упоредити каблове исте категорије и дати њихову фреквентну карактеристику. Састоји се од
врло прецизног предајника и пријемника и њим је могуће утврдити слабљење по линији у
распону од 0.1 до 500MHz и у динамичком опсегу који је већи од 110dB. Предност овог
уређаја је велика тачност мерења, али су мане многобројне. За потпуна мерења често су
потребни сати, уређај је сувише гломазан, мери парицу по парицу, не може да изврши сва
мерења потребна за сертификовање категорије 5е или 6, тражи сарадњу квалификованог
стручњака и, наравно, кошта преко 20 хиљада долара.
13.5 Пројектовање рачунарских мрежа системом структурног

каблирања - вежба
Активност 13.5.1: Прорачун пасивне мрежне опреме
У овој вежби биће приказан поступак пројектовања и прорачуна система структурног
каблирања у складу са пројектним захтевима.
Објекат је једноспратна пословна зграда, потребно је пројектовати локалну рачунарску
мрежу. На слици 13.27 приказан је план приземља објекта, док је на слици 13.28 дат план
првог спрата. При томе, предложено решење треба да обезбеди функционалност за наредни
период од најмање 5 година и могућност надоградње. Од пројектанта се захтева да
обезбеди следеће:
 пројектовати разводе и кабловску инфраструктуру мреже,
 нацртати план вертикалног и хоризонталног каблирања, са назначеним бројем и
врстом каблова,
 направити прорачун пасивне мрежне опреме.
Пре него што се приступи самом пројектовању потребно је прикупити од инвеститора што
више корисних информација о захтевима и потребама и евентуалним планираним
проширењима у будућности.Овакве информације најчешће се сакупљају у форми интервјуа
или упитника кога инвеститор, или неко друго овлашћено лице, попуњава.
Слика 13.27 План приземља
205
Слика 13.28 План првог спрата

Обилазак локације потребно је обавити да би се добио увид у стање евентуалне
постојеће локалне рачунарске мреже, снимак стања грађевине и одређивање предлога траса
полагања каблова. Након што се скупе све потребне информације приступа се изради
пројектне документације.
Кориснички захтеви су следећи:
 свако радно место треба да има два мрежна прикључка,
 на великим столовим у канцеларијама потребно је обезбедити минимум две
мрежне утичнице,
 брзина протока података на радним местима треба да буде 100Mb/s,
 серверима који се налазе у соби са опремом треба обезбедити брзину протока од
1Gb/s.
Обиласком локације увидело се да зграда има спуштени плафон од гипсаних плоча и
подигнуте подове у канцеларијама на првом спрату.
Активност 13.5.2: Одабир телекомуникационих соба

Први корак могао би бити одабир просторија које ће бити претворене у
телекомуникационе собе. Код одабира просторија треба обратити пажњу на „област
покривања“ која се одређује на основу максималног досега каблова који ће се користити за
хоризонтално каблирање.
Просторија 1.12 одабрана је за главно чвориште (MDF1). У овој просторији налазиће се
опрема за главно чвориште као и опрема за међучвориште IDF0 (IDF2) које опслужују
рачунаре у приземљу. Ова просторија је изабрана због своје пространости и изолованости, а
1 Main Disrtribution Frame

2 Intermedia Distribution Frame
206
у њој се налази и демаркациона тачка (POP1). У овој просторији налазиће се и сервери за

локалну рачунарску мрежу.
Просторије означене бројевима 2.31 и 2.7 одабране су за међучворишта на првом спрату,
IDF1 и IDF2, респективно. На слици 13.30 је приказана област покривања ових
међучворишта.
Слика 13.29 План приземља
Слика 13.30 План првог спрата
1 Point Of Present
207
Активност 13.5.3: Одабир врсте каблова за хоризонтално и вертикално

каблирање
На основу фактора за одабир каблова који су обрађени у поглављу 13.3, за хоризонтално
каблирање одабран је U/FTP CAT6 кабл са пуним попречним пресеком (wall cable).
Оклопљени кабл је одабран јер ће се каблови монтирати у простору спуштеног плафона, где
ће на малом размаку бити провлачени и напонски каблови. Такође, оклопљени каблови
пружају знатно боље карактеристике у случају потребе за проширењем пропусног опсега ка
радним местима.
Пошто је изабран оклопљени кабл потребно је користити и оклопљене мрежне модуле,
који се монтирају на радним местима као и на разводним панелима у телекомуникационим
собама. Ови модули ће омогућити да се оклопљени кабл уземљи преко ормана за опрему.
На слици 13.31 су приказани мрежни модули за оклопљене (13.31а) и неоклопљене каблове
(13.31б).
Слика 13.31 Мрежни модули

На страни хоризонталног кабла која се завршава у радном простору модул се монтира у
посебна кућишта. Постоји велики избор кућишта за инсталацију модула:
 кућишта која се инсталирају директно на парапетне канале,
 назидна кућишта,
 узидна кућишта,
 кућишта која се монтирају на подигнут под.
На слици 13.32 могу се видети неки модели кућишта.
Слика 13.32 Кућишта за мрежне модуле

На страни хоризонталног кабла која се завршава у телекомуникационој соби, модули се
монтирају на разводне панеле1. Разводни панели се постављају у ормане за опрему2.
Разводни панели су стандардне ширине од 19" и 23" а висина зависи од броја прикључних
места. Разводни панели могу имати већ инсталиране мрежне модуле, а могу бити и јако
једноставни и то виду маске на коју се модули монтирају (слика 13.33).
1 Patch panels
2 Reck – рек орман
208
Слика 13.33 Разводни панел са преинсталираним модулима

За вертикално каблирање одабран је вишеугаони оптички кабл од 62.5/125µm. Између
главног чворишта MDF и међучворишта IDF1 и IDF2, биће постављена по 4 оптичка влакна.
Јако битно је напоменути да се морају користити посебни оптички разводни панели у свим
орманима са опремом до којих се простиру оптички каблови.
Оптички разводни (слика 13.34) панел је пасивна компонента фибер оптичког система где
се завршавају оптички каблови оптичким конекторима, а поставља се у орман са опремом.
Слика 13.34 Оптички разводни панел

На предњој страни оптичког разводног панела монтирани су оптички адаптери за спајање
оптичких конектора. У адаптер се са задње стране поставља конектор доводног оптичког
кабла, а са предње стране конектор оптичких приводних каблова1. Завршавање оптичких
влакана долазног кабла може се вршити спајањем завршног кабла2 (слика 13.35) или
директном монтажом конектора.
Слика 13.35 Оптички завршни кабл

Оптички разводни панел садржи различит број оптичких портова, али је то најчешће: 8,
16, 24 и 48 оптичких портова. Оптички портови на разводном панелу могу бити различити
зависно од типа оптичког конектора који треба да се прикључи.
1 Patchcord
2 Pigtail
209
Активност 13.5.4: Одабир вођица каблова

Пошто у објекту постоји спуштени плафон већина каблова ће се монтирати у том
међупростору. За ту сврху користиће се посебни носачи каблова који се монтирају на плафон
(слика 13.36), о којима је било речи у поглављу 13.3.
До радних места каблови ће се провлачити кроз подигнут под. У просторијама где
подигнут под није инсталиран, каблови ће се провлачити кроз пластичне каналице до радних
места. Потребно је обратити пажњу на димензије и капацитет каналица. Треба узети у обзир
да се користе оклопљени каблови, који су већег пречника од неоклопљених каблова, и на
основу тога треба одабрати праве димензије каналица.
Слика 13.36 Вођице каблова
Активност 13.5.5: Одабир ормана за опрему

Ормани за опрему служе за смештање и организовање мрежне опреме. Ормани су
стандардних димензија, ширине 19" и 23", и могу бити стојећи или назидни. Основна
јединица мере за ормане са опремом1 (U) износи 43.6mm. Потребно је одабрати орман
довољне висине како би у њега стала потребна пасивна и активна мрежна опрема, а да опет
између опреме остане места за циркулацију ваздуха због хлађења. Постоје и посебни
додатни елементи који се монтирају у ормане за опрему, као што су аранжери каблова,
вентилатори, лампе за осветљење, итд.
Активност 13.5.6: Означавање прикључних места и каблова

Правилно документовање система структурног каблирања је од есенцијалне важности.
Свако прикључно место и сваки мрежни кабл морају бити једнозначно обележени. Каблове је
потребно означити пре самог постављања, како не би долазило до конфузије када се
каблови групишу у току саме инсталације.
Потребно је одредити систем означавања прикључних места и каблова. Ознаке најчешће
садрже број просторије, број радног места и број мрежне утичнице. На пример: друга
утичница на радном месту број 7 у просторији 2.10 имала би ознаку 2.16-7/2.
Ако у систему постоји више чворишта хоризонталног каблирања пожељно је означити
каблове и са бројем чворишта. На пример, мрежни кабл за прикључницу са ознаком 2.16-7/2
био би означен са IDF2-2.16-7/2. За означавање каблова могу се користити и наменске
налепнице које су доступне и на нашем тржишту.
1 Rack unit
210
Прикључнице које се налазе на разводним панелима у чвориштима такође је потребно

означити. Најчешће ова прикључна места имају исте ознаке као и прикључнице на радним
местима.
Активност 13.5.7: Прављење спецификација потребне пасивне мрежне опреме

Када се заврши процес одабира пасивне мрежне опреме као и прорачун потребне
количине опреме, добра је пракса направити спецификацију у виду табеле. Пример
спецификације прказан је у табели 13.2.
Опрема Количина Локација Цена
U/FTP кабл CAT6, произвођач R&M 4 парице,
пун пресек, омотач без халогена, незапаљив и 8000m Хоризонтално каблирање -
не испушта дим
STP приводни кабл CAT6 дужине 3m -
220 ком. Радна места -
фабрички направљен и тестиран, R&M
STP приводни кабл CAT6 дужине 2m -
220 ком. Мрежна чворишта -
фабрички направљен и тестиран, R&M
Модул RJ-45 STP CAT6, 568A/B, са додатком
за монтирање на пластична кућишта, R&M
Мрежна чворишта, монтажа на
Модул RJ-45 STP CAT6, 568A/B, R&M 220 ком. -
разводне панеле
Разводни панел са 24 прикључна места, R&M 10 ком. Мрежна чворишта -
Оптички кабл 8 влакана 62.5/125 вишеугаони
62.5/125 - Halogen Free, незапаљив и не
150m Вертикално каблирање -
испушта отрован дим, са додатним појачањем
и заштитом од глодара, отпоран на влагу
Оптички разводни панел 19"/1U са 12 слотова
за дуплекс SC/ST адаптере (до 24 оптичка
влакна) - дубина 295mm, касета за
сплајсовање
Дуплекс SC/SC вишеугаони адаптер за Мрежна чворишта, монтажа на
10 ком. -
оптички разводни панел разводне панеле
Приводни оптички каблови SC - SC дуж. 2m,
вишеугаони 62.5/125
Пластична кућишта за монтажу мрежних
утичница, 2 прикључна места, Legrand
Парапетни пластични канали, димензије,
200m Радна места -
55x50mm, Legrand
Хоризонтално и вертикално
Метални носачи каблова за спуштени плафон 400m -
каблирање
Рек орман 42 U/19" Toten A28042, стојећи -
статичка носивост до 800kg, димензије 3 ком. Мрежна чворишта -
800x1000x2000mm
Разводник са 5x220V утичних места -
прекидач, основна заштита, кабл 3,0m
Табела 13.2 – Спецификација пасивне мрежне опреме
Цене у овом примеру нису приказане из практичних разлога, али је потребно израчунати
укупну вредност пасивне мрежне опреме. Пракса је израчунати и цену пасивне мрежне
опреме по једном мрежном прикључку, како би се што боље приказали трошкови
инвеститору. Цена се добија тако што се цена укупних трошкова за пасивну мрежну опрему
подели са бројем мрежних прикључница (у примеру који је приказан постоји 220 прикључних
места).
211

1. Набројати системе структурног каблирања, дефинисаног од стране организације TIA/EIA.
2. Колика је максимална дужина сегмента хоризонталног каблирања?
3. Описати функцију и начин реализације окоснице мрежа.
4. Описати категорије жичних каблова.
5. Одабрати објекат и користећи све описане методе направити пројекат структурног
кабловског система
212
XIV ВЕЖБА
АКТИВНА МРЕЖНА ОПРЕМА
У овој вежби студенти треба да се упознају са улогом активне мрежне опреме у

модерним рачунарским мрежама као и са типовима уређаја који спадају у ову
категорију. Такође ће бити упознати са основама сигурности на другом слоју OSI
референтног модела и практично ће бити приказани најчешћи нападI на комутаторе.
На крају вежбе студенти ће имати потребна сазнања да самостално препознају улогу
различите активне мрежне опреме, као и да на основу карактеристика препознају
одговарајуће моделе активне мрежне опреме који су им потребни за реализацију
захтева једне рачунарске мреже.
14. Активна мрежна опрема

Активну мрежну опрему представљају уређаји који на неки начин утичу на мрежни
саобраћај и којима је за рад неопходна електрична енергија. У основи сви активни мрежни
уређаји утичу на саобраћај тако што обнављају евентуaлно ослабљен сигнал, а неки од њих
имају способност да одлучују да ли одређени саобраћај треба преусмерити и куда. Ова група
је због тога и добила назив активна. Као таквa, активна мрежна опрема је основни градивни
елемент модерних рачунарских мрежа.
У даљем тексту представићемо најпознатије типове мрежних уређаја који се убрајају у
активну мрежну опрему, при чему ће бити наглашена карактеристика која их сврстава у ову
групу.
14. 1 Обнављивач сигнала

Обнављивач (рипитер1) је уређај који функционише на физичком слоју OSI референтног
модела. Његова улога је да регенерише сигнал који је примио на једном интерфејсу и да га
проследи на други интерфејс. Основна намена му је да продужи мрежни сегмент преко
његових физичких ограничења, било да се сигнал преноси коаксијалним кабловима,
упреденим парицама, оптичким кабловима или радио сигналима.
14.2 Медија конвертер

Медија конвертери су уређаји намењени повезивању рачунарских мрежа које користе
различите технологије преноса. Најчешће се користе медија конвертери за претварање
електричног сигнала у оптички сигнал и обрнуто, функционишу на физичком слоју OSI
референтног модела. Најчешћа примена је у случајевима када је потребно прећи са бакарног
медијума (упредених парица) на оптички медијум (оптички кабл) и обрнуто. Варијанте
оптичких конектора и оптичког кабла који се користи за пренос су једноугаоне2 и
вишеугаоне3. Највећи број врсте претварача (медија конвертера) користи два влакна за
пренос оптичког сигнала. Постоје и медија конвертери који за пренос оптичког сигнала
користе једно влакно. Израђују се (за сада) варијанте за различите брзине преноса: 100Mb/s,
1Gb/s и 10Gb/s Такође, постоје медија конвертери за прелаз са једноугаоног на вишеугаони
оптички пренос.
Слика 14.1 Медија конвертери
1 Repeater
2 Singlemode.- једноугаони режим рада (синглмодни режим рада). Оптичка влакна у којима се светлосни зрак
простире праволинијски.
3 Mutimode – вишеугаони режим рада (мултимодни режим рада). Оптичка влакна у којима се светлосни зрак
простире под таквим углом да се одбија од површине влакнна као од површине огледала.
214
XIV ВЕЖБА | Активна мрежна опрема
14.3 Концентратор
Концентратор1 је мрежни уређај који функционише на физичком слоју OSI референтног
модела. Користи се за повезивање мрежних уређаја у један мрежни сегмент. За
концентратор се може рећи да представља вишепортни рипитер јер не врши никакво
филтрирање нити преусмеравање мрежног саобраћаја, већ само обнавља сигнал примљен
на једном интерфејсу и прослеђује га на све остале своје интерфејсе. Сви уређаји који су
повезани на концентратор налазе се у једном колизионом домену.
Данас концентратори спадају у категорију застарелих уређаја и не препоручује се њихова
употреба. У односу на комутаторе који се данас користе, концентратори имају лоше
карактеристике: мале брзине преноса података, подложност колизији и могућност
полудуплекс везе између уређаја.
Слика 14.2 Концентратор
14. 4 Мрежни адаптер

Мрежни адаптер (NIC2) је уређај који омогућава рачунару да се повеже на рачунарску
мрежу. Мрежни адаптер функционише на првом и другом слоју ОСИ референтног модела јер
омогућава физичко повезивање на рачунарску мрежу преко физичког медијума, као и систем
адресирања употребом MAC3 адреса.
Мрежни адаптери могу се прикључити преко PCI, USB, PCMCIA прикључака а готово све
модерне матичне плоче садрже бар један интегрисани мрежни адаптер. Мрежни адаптери
омогућавају рачунарима да користе различите медијуме за пренос података: оптичке
каблове, упредене парице, коаксијалне каблове или бежични приступ.
При избору мрежног адаптера треба обратити пажњу на брзине које адаптер подржава,
брзине од 1Gb/s подржавају сви новији мрежни адаптери. Цене адаптера варирају у
зависности од технологије коју користе. Адаптери који користе упредене парице као физички
медијум за пренос података најјефтинији су, затим следе бежични мрежни адаптери, а
тренутно су најскупљи оптички мрежни адаптери.
Слика 14.3 Оптички мрежни адаптер
1 Hub
2 Network interface card
3 Media access control
215
14.5 Комутатор
Комутатори1 су уређаји који служе за повезивање више уређаја на исту мрежу у оквиру
зграде или кампуса. Уз помоћ комутатора креира се приступни део рачунарске мреже.
Комутатори функционишу на другом слоју OSI референтног модела и користе физичке
адресе за активно преусмеравање мрежног саобраћаја. Комутатори врше сегментацију
локалне рачунарске мреже на засебне колизионе домене. Сваки прикључак на комутатору
представља засебан колизиони домен и омогућава комуникацију у потпуном дуплекс режиму.
Код одабира комутатора треба обратити пажњу на број мрежних портова (интерфејса)
које комутатор садржи, максималан проток података и могућност агрегације пропусног
опсега.
Комутатори са фиксном конфигурацијом обично садрже до 48 портова и до 4 додатна
порта за узлазне линкове. Уместо портова за узлазне линкове који подржавају веће брзине
могу се користити комутатори са портовима за SFP2 уређаје. Препорука је да увек на
комутатору остане слободних прикључака како би се лако додавали нови корисници у
рачунарску мрежу, или у случају отказа неког од портова.
Слика 14.4 Комутатори са фиксном конфигурацијом

Јако битна карактеристика комутатора је максимални проток података. Овај параметар
даје нам информацију о количини података које комутатор може да процесира за време од
једне секунде. Произвођачи обично користе овај параметар како би категоризовали своје
комутаторе по серијама. Комутатори који се користе на приступном нивоу (на њих се повезују
крајњи корисници) имају најмањи проток података. Ако комутатор има малу брзину протока
подата он неће моћи свим корисницима да обезбеди максималну брзину преноса података.
Рецимо да имамо комутатор који има 48 гигабитних портова. Ако сви корисници користе
максимални пропусни опсег они ће генерисати саобраћај од 48Gb/s. Ако комутатор подржава
само 32Gb/s протока података, неки корисници неће имати максималне перформансе.
Агрегација пропусног опсега омогућава да се неколико портова на комутатору логички
повеже и на тај начин се повећа пропусни опсег линкова. На пример, можемо искористити 4
гигабитна порта на комутатору за агрегацију и на тај начин направити један логички порт који
подржава брзину од 4Gb/s, што има велику примену када су нам потребни брзи узлазни
линкови ка остатку рачунарске мреже.
Најшире посматрано, комутаторе можемо поделити на управљиве комутаторе и на
неуправљиве комутаторе. Неуправљиви комутатори се не могу додатно подешавати, и
немају неке напредне опције комутирања као што су виртуелна сегментација мрежа,
могућност управљања квалитетом сервиса, сигурност портова, итд. Њихова предност је
ниска цена и они представљају прави избор за кућне мреже и мреже у малим предузећима.
1 Switch
2 small form-factor pluggable
216
Управљиви комутатори имају могућност додатних подешавања, иницијална

конфигурација се изводи преко посебног серијског интерфејса који се зове конзолни
интерфејс. Након подешавања одређених параметара за приступ (лозинке, адресе, итд.)
комутатори се могу подешавати и са удаљених локација. Виртуелно сегментирање мрежа
(VLAN) једна је од опција која се најчешће подешава на управљивим комутаторима.
Комутаторе можемо поделити на оне са фиксном конфигурацијом и на модуларне
комутаторе. Комутаторима са фиксном конфигурацијом не могу се додавати додатни
интерфејси. Што значи да ако наручимо комутатор са 24 гигабитна интерфејса, не можемо на
њега додавати нове интерфејсе ако нам се за то укаже потреба услед раста рачунарске
мреже. Комутатори са фиксном конфигурацијом најчешће су пројектовани тако да имају
одређени број интерфејса (8, 16, 24 или 48 портова) који служе за повезивање крајњих
корисника. Поред ових портова обично се и постави пар додатних портова веће брзине који
служе за повезивање комутатора са вишим хијерархијским нивоима рачунарске мреже.
Слика 14.5 Модуларни комутатор

Модуларни комутатори пружају већу флексибилност и обично се и израђују у кућиштима
различитих величина у која се могу додавати посебне модуларне линијске картице. Линијске
картице садрже мрежне интерфејсе и оне омогућавају једноставну надоградњу комутатора.
Постоје комутатори који подржавају међусобно уланчавање1. Ова опција омогућава да се
већи број комутатора повеже посебним кабловима и да функционишу као један комутатор.
Број комутатора који се може повезати на овај начин зависи од техничког решења које
користи произвођач. Cisco је имплементирао StackWise технологију која омогућава
повезивање до девет комутатора који ће функционисати као један комутатор са протоком
података од 32Gb/s (постоји и Cisco Stackwise Plus технологија која омогућава проток
података од 64Gb/s). Један од комутатора ће бити изабран за главни комутатор преко којег
ће се подешавати сви остали комутатори. Компанија 3Com је имплементирала своју XRN2
технологију која омогућава повезивање до 8 комутатора на овај начин.
PoE3 је још једна карактеристика на коју треба обратити пажњу приликом избора
комутатора. Ова опција омогућава комутатору да снабдева електричном енергијом уређаје
који су повезани на његове мрежне интерфејсе преко етернет кабла. Ова опција је јако
корисна код IP телефона, IP камера и бежичних приступних тачака које се повезују на
комутатор.
1 Stackable switches
2 eXpandable Resilient Networking
3 Power over Ethernet
217
14.6 Бежичне приступне тачке

Бежична приступна тачка1 је уређај који функционише на другом слоју OSI референтног
модела и користи се за повезивање бежичних корисника са остатком рачунарске мреже који
је ожичен. Бежична приступна тачка представља мост између бежичне и етернет
технологије. У инфраструктурној бежичној рачунарској мрежи рачунари не комуницирају
директно једни са другима већ се сва комуникација обавља преко бежичне прступне тачке,
тако да она има исту улогу као и комутатор у ожиченим мрежама.
Код избора уређаја потебно је обратити пажњу на стандарде које уређај подржава.
Највећи број уређаја на нашем тржишту подржава 802.11b/g/n стандарде (раде у опсегу од
2,4GHz), а могу се наћи и уређаји који подржавају 802.11а сандард (раде у опсегу од 5GHz).
Потребно је одабрати и одговарајући тип антене у зависности од конфигурације самог
објекта у коме је потребно обезбедити покривеност бежичном рачунарском мрежом. Дипол
антена од 2,2 dBi је најчешће коришћена антена у затвореном простору. Може се видети на
скоро свим бежичним мрежним адаптерима. На бежичним приступним тачкама обично се
користе дипол антене са мало већим појачањем сигнала. Ова антена има бољу пропагацију
сигнала по хоризонталној оси, јер је боље да, рецимо, покрива цео један спрат него да се
сигнал простире делимично и на остале спратове у објекту. Усмерене антене имају задатак
да обезбеде већу покривеност у халама, дугачким ходницима и на већим удаљеностима где
је потребна тачка-тачка веза. Када се користе у затвореним објектима обично се монтирају
на зидове, а код спољашње употребе најчешће се срећу у виду параболичних рефлектујућих
антена.
Слика 14.6 Бежична приступна тачка

У SOHO2 мрежама најчешће се користе уређаји који представљају бежичну приступну
тачку а истовремено имају функционалност и комутатора и рутера. Цена оваквих уређаја
варира у зависности од технологија које подржавају.
14.7 Мрежне баријере

Мрежна баријера3 (позната и као заштитни зид) представља уређај или софтвер чији је
задатак да спречи нежељени пренос података преко рачунарске мреже. Најчешће је главни
задатак мрежне баријере да спречи упаде у рачунарску мрежу са Интернета. Мрежне
баријере могу бити софтверске или хардверске.
Хардверске мрежне баријере представљају посебан мрежни уређај чији је задатак да
врши филтрирање пакета, превенцију напада, успоставу VPN4 конекција. Ове уређаје
1 Аccess point
2 Small office/home office
3 Firewall
4 Virtual private network – виртуелна приватна мрежа
218
карактерише број мрежних интерфејса, максимални број сесија које могу да надгледају,
количина података које могу да обраде у току одређеног временског периода, максималан
број сигурносних правила, број VPN конекција, итд.
Слика 14.7 Хардверска мрежна баријера
14.8 Рутер
Рутер1 или мрежни усмеривач је уређај који има улогу да повеже више различитих ΙP
мрежа и обезбеди могућност усмеравања саобраћаја између њих. Принцип рутирања,
односно усмеравања саобраћаја, заснива се на анализи одредишне ΙP адресе сваког пакета
са циљем одређивања даље путање тог пакета, као и излазног интерфејса кроз који треба
проследити пакет. На основу информација које анализира (ΙP адресе) рутер можемо
класификовати као уређај који припада првенствено мрежном слоју OSI референтног
модела.
Целине (ентитети) у данашњим рачунарским мрежама, како локалним тако и на
Интернету, адресирани су помоћу ΙP адреса, па је примена рутера незаобилазна како бисмо
повезали две и више различитих IP подмрежа. Треба напоменути да рутери имају и улогу
медија конвертера јер је могуће повезати и више мрежа које користе различите технологије
преноса. Како рутер повезује једну локалну мрежу са остатком света, клијенти те локалне
мреже користе рутер као подразумевани пролаз.
Велики значај који рутер има у креирању рачунарских мрежа, довео је до тога да је данас
тржиште преплављено различитим системима за рутирање. Класификација рутера може се
извршити превасходно на основу тога да ли је рутер хардверски прилагођен уређај са
специјализованим софтвером2, или сам софтвер који се може извршавати и на обичном
рачунару. Како је сам процес рутирања критичан за рад једне мреже, он се мора обављати
поуздано и веома брзо, тако да су хардверски рутери пожељнији.
Главне карактеристике које описују један рутер су: број и тип доступних интерфејса,
брзина прослеђивања, могућности рутера у погледу доступних протокола за рутирање,
безбедносни аспекти рутера, начин конфигурације, могућност надгледања... Скуп наведених
карактеристика директно утиче на цену рутера која се може кретати од неколико десетина
долара до неколико десетина хиљада долара. Избор одговарајућег рутера прилично је
сложен процес јер је прво неопходно утврдити коју количину саобраћаја треба да усмерава,
а затим које додатне функције треба да има са аспекта контроле саобраћаја, безбедности и
надгледања.
Најпознатији и тржишно најзаступљенији су рутери следећих произвођача: Cisco, Juniper,
Huawei, Redback. Сви произвођачи рутера своју палету производа деле на две групе и то:
кућна примена (SOHO) и пословна примена. Гледајући пословну примену даље поделе
односе се на позицију рутера, односно оптерећење које рутер мора да поднесе, па стога
имамо рутере који су намењени језгру3 мреже, рутере за агрегацију саобраћаја, приступне
1 Router
2 Appliance
3 Core r
219
рутере... Припадност некој од наведених група одређује перформансе уређаја, али и његову
цену, па су тако најскупљи они рутери који су пројектовани за рутирање велике количине
саобраћаја у језгру мреже, чије су перформансе ванпросечне.
Како је технологија преноса данас подложна честим променама и унапређењима услед
развоја телекомуникационих система, произвођачи рутера су то препознали и поред рутера
са фиксним карактеристикама (нпр. тип и број портова) производе и рутере који су
модуларни. Модуларност рутера значи да се прелазак са једне технологије преноса на другу
(на пример замена постојеће бакарне везе оптичком) може извршити на једноставан начин,
без потребе да се замени цео уређај већ само модул преко кога се та веза остварује. Ова
карактеристика рутера је од велике важности јер утиче на трошкове, али и на време
потребно да се замена изврши.
Слика 14.8 Бежични Linksys рутер типа SOHO
Слика 14.9 Модуларност рутера – могућност додавања интерфејс картица
Слика 14.9 Cisco рутери серије 7600 намењени пружаоцима услугеприступа Интернету (ΙSP)
220
14.9 Сигурносни напади на уређаје 2. слоја

Много пажње посвећује се безбедносним нападима изван организације и то на вишим
слојевима референтних модела. Безбедност мреже најчешће је усмерена на ивичне уређаје
и саобраћа усмерен од Интернета ка мрежи. У овим уређајима рутирање и филтрирање је
засновано на заглављима 3. и 4. слоја.
Функција комутатора као уређаја који треба да олакшају комуникацију често као резултат
даје минимално подешену безбедност и чини их погодном метом за злонамерне нападе.
Ако је напад покренут на 2. слоју уређаја унутрашње мреже остатак мреже може брзо
бити угрожен, често без детекције. Такође и незлонамерни корисник може довести до
прекида у раду мреже. Иако активности као што су прикључивање корисника на порт
комутатора, концентратора или конфигурисање рачунара као DHCP сервер нису планиране
као зла намера, оне могу довести до поремећаја у раду мреже.
Приступни уређаји унутрашње мреже организације (кампус1) и комуникација заснована на
уређајима 2. слоја углавном се не разматрају, и ту је недостатак сигурности на овом слоју.
Уобичајено (подразумевано) стање мрежне опреме је усмереност на спољашњу заштиту
и унутрашња отворена комуникација. Заштитне баријере, постављени на границама мреже
једне организације, иницијално су постављени да раде у безбедном режиму и не омогућавају
комуникацију док нису конфигурисани да то учине. Рутери и комутатори мреже једне
организације пројектовани су да омогуће саобраћај унутар те мреже. Њихов подразумевани
режи рада је да преусмеравају сав саобраћај уколико се не конфигуришу другачије.
Многе безбедносне функције уграђене су у комутаторе и рутере али морају бити
активиране. Нови безбедносни фокус усмерен на злонамерно нападе усклађен је нормалним
радом комутатора 2. слоја..
Категорије напада на 2. слоју

Злонамерне нападе на 2. слоју обично покрећу уређаји директно повезани на мрежну
инфраструктуру. Напади могу потицати од физичког лажног уређај постављеног у
злонамерне сврхе. Могућ је и спољног упада којим је преузета контрола над поузданим
уређајима у мрежи и са кога се извршава напад. У оба случаја, уређаји у мрежа виде
саобраћај као да потиче из легитиман повезано уређаја.
Неки од алата су:
 dsniff је колекција алата за надзор мреже и тестирање пенетрације (пробијања).
 mailsnarf, msgsnarf, urlsnarf, и webspy пасивно прати мрежу да би се открили
интересантни подааци (лозинке, е-пошта, фајлови, итд). "
 arpspoof, dnsspoof, и macof олакшава пресретање мрежног саобраћаја обично
недоступног нападачу (нпр. због комутације на 2. слоју).
Плављење МАС адресама2

Табела МАС адреса у комутаторима садржи МАС адресе повезане са сваким физичким
портом и повезане са виртуелном мрежом сваког порта. Када комутатор 2. слоја прими рам,
он анализира табелу МАС адреса тражећи запис о одредишној МАС адреси. Када рам стиже
на порт комутатора изворишне МАС адресе се уписују у табелу МАС адреса. Уколико постоји
запис о одредишној МАС адреси комутатор усмерава рам ка том порту. Уколико МАС адреса
1 Campus
2 MAC Address Flooding
221
не постоји у табели МАС адреса комутатор шаље (плави) рам преко свих својих портова
осим порта преко кога је добио рам. Плављење МАС адреса када не постоји запис о
одредишној МАС адреси може бити искоришћено за напад на комутатор. Ова врста напада
назива се напад плављењем (преплављивањем) табеле МАС адреса1.
Нападач на месту једне од станица може да шаље комутатору рамове са лажном,
случајно генерисаном изворишном и одредишном МАС адресом. Комутатор иновира табелу
МАС адреса подацима из лажног рама. Када се табела МАС адреса напуни са лажним МАС
адресама комутатор улази у стање које се назива режим потпуне отворености2. У овом
режиму рада комутатор шаље све рамове ка свим уређајима на мрежи. Резултат је да
нападач може да види све рамове који се размењују у мрежи.
14.10 Напад на активну мрежну опрему - вежба

Активност 14.10.1: Испитивање напада на активну мрежну опрему
У овој вежби биће приказан један од популарних напада на комутаторе. Комутатори
поседују CAM табелу у којој чувају информације о распореду клијената (MAC адреса) по
портовима. Уз помоћ ове табеле комутатори успешно прослеђују податке између клијената
који су међусобно повезани преко комутатора. За разлику од концентратора, где су сви
клијенти повезани на уређај могли да „слушају“ засебну комуникацију између два клијента,
код комутатора то није случај. Када два рачунара комуницирају, остали рачунари који су
повезани на исти уређај немају увид у мрежни саобраћај који размењују та два рачунара.
Овакав начин рада комутатора подигао је ниво сигурности у рачунарским мрежама.
Нападачима на рачунарску мрежу више би одговарало да се комутатор понаша као
концентратор, јер би тада имали увид у сав саобраћај који се размењује између рачунара
који су повезани на уређај. Из овог разлога нападачи користе напад генерисањем огромног
броја MAC адреса (MAC Flooding) како би попунили меморију комутатора која је намењена за
CAM табелу. У зависности од модела, комутатори могу да раде са великим бројем MAC
адреса у својој меморији, али ако се из неког разлога ова меморија напуни (услед великог
броја адреса), комутатор прелази у режим рада концентратора. То значи да сав саобраћај
који прими на једном порту шаље на све остале портове, и нападачи сада имају увид у сав
мрежни саобраћај који се одвија преко комутатора који су напали.
На овим вежбама користићемо програм macof који је доступан на Linux системима и који
може да произведе и до 155.000 лажних MAC адреса у минути.
Направити топологију као на слици 14.10:
Fa0/10
Fa0/1
X1
Fa0/5 PC2
PC1 PC2
Слика 14.10 Топологија активности
1 MAC address table overflow attack, MAC flooding attacks, CAM (Content Addressable Memory) table overflow attacks
2 Fail-open mode
222
Радна станица РС1 има улогу нападача у мрежи. На њој је потребно покренути Kali Linux,
посебну дистрибуцију Linux система који у себи има уграђене алате за тестирање слабости
мрежа.
На рачунару који ће имати улогу РС1 радне станице потребно је направити нову
виртуелну машину али без хард диска. Подесити да се за виртуелни CD/DVD уређај користи
физички оптички уређај од хоста. У оптички уређај убацити DVD са поменутом верзијом
оперативног система и покренути га у Live режиму рада. Овакав режим рада не захтева
инсталацију оперативног система већ покреће оперативни систем из радне меморије.
Подесити следеће мрежне параметре:
 PC1 - мрежна адреса - 172.30.1.10/24
 PC2 - мрежна адреса - 172.30.1.20/24
 PC3 - мрежна адреса - 172.30.1.30/24
Након повезивања топологије демостратор ће вам помоћи да видите CAM табелу
комутатора командом:
X1# show mac-address-table
Утврдити које се MAC адресе налазе у CAM табели.
Покренути macof напад са РС1:
macof -i eth0
Ова команда је започела генерисање великог броја МАС адреса.
Прегледати CAM табелу комутатора, обратити пажњу да приказ табеле неће стати у један
екран па је потребно листати странице тастером SPACE на тастатури:
X1# show mac-address-table
На РС2 радној станици покренути Wireshark програм и започети снимање мрежног
саобраћаја. Са станице РС3 покренути ping ка станици РС1. Ако је све подешено како треба
РС2 би требало да сними овај саобраћај иако по правилу то не би било могуће. Прекинути
напад macof програмом.

1. Приликом избора одговарајућег комутатора за потребе одређене рачунарске мреже, на
које карактеристике треба обратити пажњу?
2. Навести уређаје 2. слоја OSI референтног система.
3. Који бисте активни мрежни уређај користили да повежете оптички линк на комутатор који
нема оптичке портове, већ само етернет портове?
4. Која је разлика између активних и пасивних мрежних уређаја?
5. Приликом избора одговарајућег рутера за потребе одређене рачунарске мреже, на које
карактеристике треба обратити пажњу?
223
Литература
Литература
[1] Васиљевић, В., Рачунарске мреже, ВИШЕР, Београд, 2008.
[2] Васиљевић, В., Интернет протоколи и технологије, ВИШЕР, Београд, 2013.
[3] Goralski, W., The Illustrated Network: How TCP/IP Works in a Modern Network, Morgan
Kaufmann Publishers, Burlington, MA, 2010.
[4] Клајн, И., Шипка, М., Велики речник страних речи и израза, Прометеј, Нови сад, 2007.
[5] Kurose, J., Ross, K., Computer Networking, a Top-Down Approach, Addison-Wesley,
Boston, MA, 2012.
[6] Stallings, W., Data and Computer Communications, Pearson Education, Inc., Upper Saddle
River, New Jersey, 2011.
[7] Tanenbaum, A., Computer Network, Pearson Education, Inc., Upper Saddle River, New
Jersey, 2010.
[8] http://www.ieee.org
[9] http://www.wikipedia.org
[10] http://www.tp-link.us/
224
Евиденција урађених вежби
Вежба бр. Датум Потпис сарадника
I
II
III
IV
V
VI
VII
VIII
IX
X
XI
XII
XIII
XIV
225

ARMprirucnik2016 Final

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ARMprirucnik2016 Final

Uploaded by

Copyright:

Available Formats

Верица Васиљевић

Висока школа електротехнике и рачунарства струковних студија

Рецензенти: др Борислав Ђорђевић, мр Драган Плескоњић

Издавач: Висока школа електротехнике и рачунарства струковних студија

За издавача: др Вера Петровић

Лектор: Милена Ковачевић

Техничка обрада: Предраг Гавриловић, Веселин Илић, Мина Камберовић,

Дизајн: Мирко Ступар

Штампа: СВЕН. д.о.о, Ниш

CIP - Каталогизација у публикацији

Тираж 200. - Напомене и библиографске

Приручник Администрација и пројектовање рачунарских мрежа првенствено је намењен

Активност 3.3.8: Преглед ефективних дозвола ....................................................................... 52

7.2 IP адресе ............................................................................................................................................... 105

10.6 Питања и задаци ................................................................................................................................ 151

14.2 Медија конвертер ............................................................................................................................... 214

ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ

Циљ вежбе је да се студенти упознају са процесима аутентификације и ауторизације

1. Провера идентитета корисника у рачунарској мрежи

1.2 Модел радне групе

Слика 1.1: Mодел радне групе

1.3 Модел домена

Слика 1.2: Модел домена

1.4 Директоријумски сервис

Директоријумски сервис омогућава стандардан начин за претрагу похрањених информација,

1.5 Протокол за приступ директоријуму (LDAP протокол)

1.6 Активни директоријум

Слика 1.3: Хијерархија организационих јединица

1 Lightweight Directory Access Protocol

1.7 Провера идентитета корисника у рачунарској мрежи - вежба

Слика 1.4: Покретање конзоле Server Manager

Подешавање статичке IP адресе

1 Domain Name System

Слика 1.5: Приступ подешавањима мрежног адаптера

Слика 1.6: Својства мрежног адаптера

Слика 1.7: Подешавање статичке адресе

Промена имена серверa

Слика 1.8: Провера имена сервера

Слика 1.9: Промена имена сервера

Инсталација директоријумских сервиса и активног директоријума

I Инсталација директоријумских сервиса. Пре промоције сервера у домен контролер

Слика 1.10: Покретање чаробњака за инсталацију активног директоријума

Слика 1.11: Инсталација улоге или функције за WS2012 сервер

Слика 1.12: Избор сервера

Слика 1.13: Додавање неопходних функционалности

Следећи корак администратору даје могућност да дода и додатне функционалности,

Слика 1.14: Потврда инсталације улоге

Слика 1.15: Промовисање сервера у домен контролер

потпуно квалификованог имена домена (FQDN1). Овде је неопходно обратити пажњу

Слика 1.16: Креирање новог домена

1 Fully qualified domain name

напоменути да се у реалном систему мора користити сложенија и не тако очигледна лозинка

Слика 1.17: Подешавање опција домен контролера

Слика 1.18: Упозорење

Пре почетка промоције сервера у домен контролер администратор има могућност да

Слика 1.20: Провера да ли су сви предуслови испуњени и почетак промоције

Активност 1.7.2: Покретање алатке за администрацију aктивног директоријума

Слика 1.21: Алатка за администрацију активног директоријума

Слика 1.22: Изглед инсталираног активног директоријума

Активност 1.7.3: Креирање објеката aктивног директоријума - организациона

Претпоставићемо да креирамо хијерархију организационих јединица за предузеће које

Слика 1.23: Хијерархијска организација предузећа

Слика 1.24: Креирање организационе јединице

Слика 1.25: Задавање имена нове организационе јединице