Professional Documents
Culture Documents
ARMprirucnik2016 Final
ARMprirucnik2016 Final
Предраг Гавриловић
Борислав Крнета
Веселин Илић
Владимир Михајловић
Администрација и пројектовање
рачунарских мрежа
Приручник за лабораторијске вежбе
2. издање
Тираж: 200
ISBN: 978-86-7982-213-0
004.7(075.8)(076)
АДМИНИСТРАЦИЈА и пројектовање
рачунарских мрежа : приручник за
лабораторијске вежбе / [Верица Васиљевић ... и
др.]. - 2. изд. - Београд : Висока школа
електротехнике и рачунарства струковних
студија, 2016 (Ниш : Свен). - V, 225 стр. : илустр.
; 29 cm + 1 електронски оптички диск (CD-ROM)
ISBN 978-86-7982-213-0
1. Васиљевић, Верица, 1952- [аутор]
а ) Рачунарске мреже - Вежбе
COBISS.SR-ID 221008908
Предговор
Београд,
јануар 2016. год. Аутори
Садржај
Садржај
1. ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ ...................................................................... 2
1.1 Процес аутентификације и ауторизације ............................................................................................... 2
1.2 Модел радне групе ................................................................................................................................... 2
1.3 Модел домена .......................................................................................................................................... 3
1.4 Директоријумски сервис .......................................................................................................................... 3
1.5 Протокол за приступ директоријуму (LDAP протокол) .......................................................................... 4
1.6 Активни директоријум .............................................................................................................................. 4
1.7 Провера идентитета корисника у рачунарској мрежи - вежба .............................................................. 5
Активност 1.7.1: Креирање Windows домена инсталацијом активног директоријума.................. 5
Активност 1.7.2: Покретање алатке за администрацију aктивног директоријума ........... 13
Активност 1.7.3: Креирање објеката aктивног директоријума - организациона јединица 14
Активност 1.7.4: Креирање корисничких налога ....................................................................... 16
Активност 1.7.5: Измена атрибута корисничких налога......................................................... 19
Активност 1.7.6: Копирање и премештање корисничких налога ........................................... 20
Активност 1.7.7: Учлањивање радне станице у домен............................................................ 21
1.8 Питања и задаци .................................................................................................................................... 22
2. ПРЕТРАЖИВАЊЕ АКТИВНОГ ДИРЕКТОРИЈУМА И АДМИНИСТРАЦИЈА ГРУПНИХ НАЛОГА ................ 24
2.1 Претраживање активног директоријума ............................................................................................... 24
2.2 Групни налози......................................................................................................................................... 24
2.2.1 Различите врсте група ....................................................................................................... 25
2.2.2 Доменске локалне групе ....................................................................................................... 26
2.2.3 Глобалне групе ...................................................................................................................... 27
2.2.4 Комбиновање доменских локалних и глобалних група ..................................................... 27
2.2.5 Употреба глобалних група .................................................................................................. 27
2.2.6 Употреба доменских локалних група ................................................................................. 27
2.2.7 Учлањивање глобалних група у локалне ............................................................................ 28
2.3. Претраживање активног директоријума и администрација групних налога - вежба ....................... 29
Активност 2.3.1: Претраживање активног директоријума.................................................... 29
Активност 2.3.2: Креирање група ............................................................................................... 30
Активност 2.3.3: Учлањивање корисника у глобалне групе .................................................... 32
Активност 2.3.4: Преглед чланова групе ................................................................................... 32
Активност 2.3.5: Учлањивање глобалне групе у локалну доменску групу ............................. 32
Активност 2.3.6: Организовање корисника у домену - глобалне групе .................................. 33
Активност 2.3.7: Организовање корисника у домену - учлањивање....................................... 34
Активност 2.3.8: Преглед уграђених група ............................................................................... 34
2.4 Питања и задаци .................................................................................................................................... 35
3. ДОЗВОЛЕ НАД ДЕЉЕНИМ ДИРЕКТОРИЈУМИМА И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА ......... 38
3.1 Дозволе над дељеним директоријумима ............................................................................................. 38
3.2 Дозволе на нивоу система фајлова ...................................................................................................... 38
3.3 Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова Вежбе ................... 38
Активност 3.3.1: Поступак дељења директоријума ................................................................ 38
Активност 3.3.2: Употреба група за контролу приступа ....................................................... 40
Активност 3.3.3: Повезивање са дељеним директоријумима ................................................. 42
Активност 3.3.4: Преглед дељених директоријума на серверу .............................................. 43
Активност 3.3.5: Упознавање са NTFS дозволама.................................................................... 44
Активност 3.3.6: Управљање наслеђивањем дозвола.............................................................. 46
Активност 3.3.7: Комбиновање дозвола за дељене директоријуме и NTFS дозвола ........... 48
I
Администрација и пројектовање рачунарских мрежа
II
Садржај
III
Администрација и пројектовање рачунарских мрежа
IV
Садржај
V
I ВЕЖБА
2
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
1 Domain Controller
3
Администрација и пројектовање рачунарских мрежа
4
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
Корисник који жели да користи рачунаре и сервисе у оваквој мрежи мора да има
кориснички налог у Активном директоријуму. Са само једним налогом овај корисник може да
користи све рачунаре у домену као и све сервисе који су интегрисани са активним
директоријумом.
Дакле, унутар Windows домена, административне целине, постоји хијерархија објеката
(корисници, рачунари, и сл.) који имају своје атрибуте и представљају кориснике и ресурсе у
мрежи. Уколико је Windows мрежа веома велика ради лакше администрације могуће је
направити и више домена, који се такође хијерархијски организују у стабло активног
директоријума. Уколико је и оваква организација премала за потребе мреже, могуће је
направити шуму активног директоријума, која се састоји од неколико стабала активног
директоријума. На слици 1.3 приказан је пример организације једног активног директоријума
са истакнутом хијерархијом.
5
Администрација и пројектовање рачунарских мрежа
6
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
7
Администрација и пројектовање рачунарских мрежа
1 Roles
2 Features
8
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
9
Администрација и пројектовање рачунарских мрежа
10
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
11
Администрација и пројектовање рачунарских мрежа
Слика 1.19: Избор локације где ће бити смештени системски фајлови aктивног директоријума
12
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
13
Администрација и пројектовање рачунарских мрежа
14
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
15
Администрација и пројектовање рачунарских мрежа
16
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
17
Администрација и пројектовање рачунарских мрежа
18
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
19
Администрација и пројектовање рачунарских мрежа
20
I ВЕЖБА | Претраживање активног директоријума и администрација групних налога
овог атрибута ископирана из оригиналног објекта. Исто важи и за неке друге важне
атрибуте које до сада нисмо користили. Копирање постојећег корисничког налога је
брз начин за креирање прилагођеног корисничког налога.
5. Изабрати картицу “General“. Уочити да се атрибут “Description“ није ископирао.
Накнадно ћемо унети опис “Sluzbenik“. Притиснути дугме “ОК“.
6. Сада је налог за корисника “Petra Markovica“ креиран, али се не налази на правом
месту. Налог за овог корисника треба преместити у организациону јединицу “Novi
Sad/Administracija“. Притиснути десним тастером миша по иконици овог корисника и
изабрати опцију “Move“. У новом дијалог прозору изабрати долазну организациону
јединицу (“Novi Sad/Administracija“) и притиснути дугме “ОК“. Уколико су и полазна и
долазна организациона јединица у видном пољу операција премештања може се
извршити и једноставним превлачењем објекта у нову организациону јединицу.
21
Администрација и пројектовање рачунарских мрежа
3. У секцији “Member of“ (доле) изабрати “Domain“, и у одговарајућем пољу унети име
домена у који учлањујемо радну “lab.edu.rs“. Притиснути дугме “ОК“.
4. Учлањивањем станице у домен у активном директоријуму креира се налог за
рачунар. Потребно је имати одговарајуће привилегије, налог за администратора
домена. У новом дијалог прозору треба унети “Administrator“ као корисничко име, и
“Password“ као лозинку, јер је то налог за администратора домена. Притиснути
дугме “ОК“.
5. После добијања поздравног дијалог прозора, притиснути на “ОК“ и прихватити
поновно покретање рачунара.
Када се клијентска станица покрене треба уочити да се у прозору за пријаву, у пољу
“Logon To“ може изабрати пријављивање на локални рачунар или домен. Потребно је
изабрати пријављивање на домен. Проверићемо да ли је раније креирани доменски налог за
Звонка Петровића функционалан. У пољу “Username“ треба унети “zpetrovic“, у пољу
“Password“ треба унети “Password2“ и притиснути дугме “ОК“.
У наставку вежбе треба проверити како се учлањивање радне станице одражава на
активни директоријум. На серверу, у алатки “Active Directory Users and Computer“, отворити
организациону јединицу “Computers“ и уочити иконицу која представља клијентску радну
станицу. Преместити (превлачењем) овај објекат у организациону јединицу “Beograd“.
22
II ВЕЖБА
24
II ВЕЖБА | Претраживање активног директоријума и администрација групних налога
25
Администрација и пројектовање рачунарских мрежа
26
II ВЕЖБА | Претраживање активног директоријума и администрација групних налога
27
Администрација и пројектовање рачунарских мрежа
28
II ВЕЖБА | Претраживање активног директоријума и администрација групних налога
29
Администрација и пројектовање рачунарских мрежа
30
II ВЕЖБА | Претраживање активног директоријума и администрација групних налога
31
Администрација и пројектовање рачунарских мрежа
32
II ВЕЖБА | Претраживање активног директоријума и администрација групних налога
Осим картице “Members“ (чланови ове групе), постоји и картица “Member Of“ (сама група је
члан). Картица “Member Of“ приказује где је група учлањена и омогућава да ову глобалну
групу учланимо у неку локалну (слика 2.10):
1. Изабрати картицу “Member Of“.
2. Притиснути дугме “Add“.
3. У “Select Groups“ дијалог прозору, у пољу “Enter the Object Name to Select“, унети
име локалне групе у коју учлањујемо ову глобалну групу. Унети “ColorLaser“.
33
Администрација и пројектовање рачунарских мрежа
34
II ВЕЖБА | Претраживање активног директоријума и администрација групних налога
3. Изабрати картицу “Memeber Of“ како бисмо видели где је ова група учлањена.
Можемо видети да је група учлањена у локалну групу “Administrators“ на домен
контролеру.
Глобална група “Domain Admins“ учлањена је у одговарајуће локалне групе
“Administrators“ на сваком рачунару који је члан домена. Дозволе се преносе на следећи
начин:
Администратор домена је члан глобалне групе “Domain Admins“.
Глобална група “Domain Admins“ учлањена је у локалне групе “Administrators“ на
сваком члану домена.
Чланови локалне групе “Administrators“ на сваком рачунару имају
администраторске привилегије над рачунаром.
На овај начин је администратор домена истовремено и администратор сваког рачунара у
домену.
Анализираћемо и уграђене системске групе, које се не могу видети у активном
директоријуму иако постоје и могу им се додељивати дозволе. Системске групе немају
унапред дефинисано чланство, већ корисници постају чланови тих група према некој својој
активности, или се унапред сматра да је корисник учлањен.
На пример једна таква уграђена системска група је “Everyone“ (сви). За све кориснике се
подразумева да су чланови групе “Everyone“, иако се ова група не види у активном
директорујму нити се експлицитно може видети њено чланство. Ова група појављујује се
током додељивања дозвола (касније).
Постоји и група “Authеnticated Users“, којој се могу доделити права. Она се не види у
активном директоријуму као ни њено чланство. Чланови ове групе jeсу корисници који су
тренутно аутентификовани. Група се појављујује током додељивања дозвола.
35
Администрација и пројектовање рачунарских мрежа
36
III ВЕЖБА
1 Share Permissions
2 Security or NTFS Permissions
38
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
39
Администрација и пројектовање рачунарских мрежа
40
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
4. Притиснути на „ОК“.
5. У десном пољу уочити глобалну групу „Službenici“, притиснути је десним дугметом
миша и изабрати опцију „Properties“.
6. Провере ради, изабрати картицу „Members“, овде се виде чланови ове групе,
корисници који су службеници.
7. Изабрати картицу „Member Of“. Овде се ова глобална група може учланити у неку
локалну.
8. Притиснути дугме „Add“.
9. У дијалогу „Select Groups“, у пољу „Enter the Object Names to Select“ унети „Izveštaji“
(назив локалне групе у коју учлањујемо).
10. Притиснути на „OK“.
11. Притиснути на „OK“. За сада смо постигли следеће: службеници су учлањени у
групу „Službenici“, ова група је учлањена у групу „Izveštaji“.
12. Отворити „Computer“, а затим и диск C:
13. На диску C: креирати директоријум „Izveštaji“.
14. Притиснути десним дугметом миша по директоријуму „Izveštaji“ и изабрати опцију
„Properties“.
15. Изабрати картицу „Sharing“.
16. Притиснути дугме "Advanced Sharing".
17. Изабрати „Share this folder“, а затим дугме „Permissions“.
18. Пошто не желимо да сви корисници имају приступ овом директоријуму
селектоваћемо групу „Everyone“, и притиснути дугме „Remove“ како бисмо је
избацили из листе.
19. Притиснути дугме „Add“.
20. У дијалогу „Select Users,Computers, or Groups“ , у пољу „Enter the Object Names to
Select“ унети „Izveštaji“ (име локалне групе којој дајемо права).
21. Притиснути дугме „ОК“.
22. Сада се група „Izveštaji“ појавила у листи, при чему јој је додељена „Read“ дозвола.
23. У колони „Allow“, означити опцију „Change“.
24. Притиснути дугме „OK“.
25. Притиснути дугме „OK“.
На овај начин се комбиновањем глобалних и локалних група, додељивањем дозвола за
дељене директоријуме локалним групама, обезбеђује корисницима потребан ниво приступа.
На исти начин потребно је решити следеће потребе корисника:
1. Направити и делити директоријум „Projekat“. Требало би да сви корисници коју су
програмери могу да читају, креирају и бришу фајлове и директоријуме у том
директоријуму:
креирати локалну групу „Projekat“,
глобалну групу „Programeri“ учланити у локалну групу „Projekat“,
41
Администрација и пројектовање рачунарских мрежа
42
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
43
Администрација и пројектовање рачунарских мрежа
44
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
45
Администрација и пројектовање рачунарских мрежа
46
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
47
Администрација и пројектовање рачунарских мрежа
48
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
49
Администрација и пројектовање рачунарских мрежа
50
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
10. Притиснути „Select a Principal”, a затим у дијалогу „Select Users, Computers and
Groups“ унети „Promo“.
11. Притиснути дугме „ОК“.
12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај
директоријума потребно је (у колони „Allow“ ) означити опцију „Modify“.
13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“.
14. Притиснути дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check
Names“, како би група „Authenticated Users“ била пронађена на основу започетог
уноса.
15. Притиснути дугме „ОК“.
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој
је доделити „Full Controll“ дозволу.
17. Сада можемо групу „Promo“ уклонити из листе дозвола. Селектовати је и изабрати
опцију „Remove“.
18. Притиснути дугме „OK“.
За директоријум „Projekat“ доделићемо истоименој групи „Full Controll“ NTFS дозволу.
1. Отворити „Computer“ а затим диск C:. Уочити директоријум „Projekat“.
2. Притиснути десним дугметом миша по директоријуму и изабрати опцију „Properties“,
а затим картицу „Security“.
3. Притиснути дугме „Advanced“.
4. Притиснути дугме "Edit".
5. Искључити наслеђивање притиском на „Disable inheritance“.
6. Притиснути „Convert …“ како бисмо копирали наслеђене дозволе.
7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе.
8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а
затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“.
9. Притиснути дугме „Add“.
10. Притиснути „Select a Principal”, a затим у дијалогу „Select Users, Computers and
Groups“ унети „Projekat“.
11. Притиснути дугме „ОК“.
12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај
директоријума, као и дозволе за фајлове, потребно је (у колони „Allow“ ) означити
опцију „Full Controll“.
13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“.
14. Притиснути дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check
Names“, како би група „Authenticated Users“ била пронађена на основу започетог
уноса.
15. Притиснути дугме „ОК“.
51
Администрација и пројектовање рачунарских мрежа
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој
је доделити „Full Controll“ дозволу.
17. Сада можемо групу „Projekat“ уклонити из листе дозвола. Селектовати је и изабрати
опцију „Remove“.
18. Притиснути дугме „OK“.
На овај начин смо контролу приступа у потпуности одредили NTFS дозволама.
52
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
53
Администрација и пројектовање рачунарских мрежа
54
III ВЕЖБА | Дозволе над дељеним директоријумима и дозволе на нивоу система фајлова
55
Администрација и пројектовање рачунарских мрежа
56
IV ВЕЖБА
58
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
базу регистара Windows радне станице како би прилагодио радну станицу одговарајућој
полиси – начелу рада које се захтева.
Локалну полису радне станице можемо погледати на следећи начин:
1. Пријавити се са клијентске радне станице као доменски админстратор са лозинком
„password“.
2. Притиснути на тасер „Start, Run“, и у „Run“ пољу унети „gpedit.msc“.
3. Притиснути дугме „OK“.
4. Овим je покренути едитор локалне полисе за овај рачунар.
5. Уочити да полиса има два дела „Computer Configuration“ и „User Configuration“.
6. Притиснути на „+“ поред „Computer Configuration“ како би se у левом пољу отворили
тa гранa.
7. На исти начин отворити „Windows Settings“, „Security Settings“, „Account Policies“, и
селектовати „Password Policy“. Уочити да је део локалне полисе и подешавање које
се тиче максималне дужине и комплексности лозинки.
8. Уочити у левом пољу „Administrative Templates“, отворити ту грану, затим „Windows
Components“ и изабрати „Internet Explorer“. Уочити и да су одређена подешавања за
компоненте Windows оперативног система део локалне полисе.
9. Уочити у левом пољу „User Configuration“ и притиском на „+“ отворити ту грану.
10. Отворити „Administative templates“. Уочити да су и овде присутни административни
шаблони („Templates“) којима се може мењати понашање компоненти оперативног
система.
11. Отворити „System“ а затим изабрати „User Profiles“. Уочити и да су подешавања која
се тичу корисничких профила део полисе.
12. Затворити едитор локалне полисе.
13. Одјавити се са клијентске радне станице.
Иако локална полиса омогућава једноставан начин за измену многобројних и разноврсних
подешавања компоненти оперативног система, овакав начин има својих ограничења. Пре
свега корисничка подешавања примењивала би се на све кориснике радне станице без
изузетка и разлике. Осим тога, уколико је потребно подесити идентична подешавања на
више радних станица, администратор би морао да се локално пријави са сваке од њих и
понови подешавања. Када је радна станица део домена полисама се може управљати са
централног места – из активног директоријума. Активни директоријум омогућава да се
полиса креира као објекат који се чува у активном директоријуму. Тако креирана полиса
може се везати („Link“) за неку организациону јединицу, чиме смо наредили да се
подешавања која смо одредили подесе за све кориснике и рачунаре у тој организационој
јединици.
На пример уколико би начело рада у некој мрежи захтевало специфична подешавања
рачунара (нпр. забрана да корисници самоиницијативно мењају сигурносне зоне у интернет
експлореру) и корисничког окружења (нпр. забрана да корисници приступају контролном
панелу), и то за све рачунаре и кориснике у Београду, администратор би могао (уместо да
посећује сваки појединачни рачунар у Београду) да у активном директоријуму креира објекат
групну полису, изврши потребна подешавања и полису веже за организациону јединицу
Београд.
59
Администрација и пројектовање рачунарских мрежа
Када се рачунари у Београду поново покрену, после примене локалне полисе, примениће
и полису коју је администратор везао за организациону јединицу у којој се налазе (Београд).
Сва подешавања локалне полисе која нису у складу са полисом из активног директоријума
биће измењена (полиса из активног директоријума је „јача“). Када се корисник чији се налог
налази у Београду пријави, на њега ће се применити локална полиса а затим и она из
активног директоријума, и опет ће полиса из активног директоријума коначно одредити
изглед радног окружења.
У овом примеру видели смо како се током покретања рачунара и пријављивања
корисника примењује више полиса (локална и она везана за организациону јединицу) и како
локална полиса има низак приоритет, јер се прва примени, и њена подешавања може да
измени полиса која се примени након ње.
Такође, могуће је да и у активном директоријуму постоји неколико групних полиса које
могу да утичу на подешавање корисничког налога датог корисника, или подешавања датог
рачунара. На пример могуће је везати једну полису за објекат који представља читав домен,
и у оквиру ње поставити подешавања која утичу на све кориснике и рачунаре у домену.
Уколико постоји читава хијерархија организационих јединица (нпр. организациона јединица
Београд, унутар које постоји организациона јединица Маркетинг), могуће је креирати и везати
групне полисе на различитим местима у хијерархији (нпр. полиса која утиче на све у
Београду, полиса која утиче на све у Маркетингу (слика 4.2)).
60
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
61
Администрација и пројектовање рачунарских мрежа
62
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
63
Администрација и пројектовање рачунарских мрежа
1 Roaming
64
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
65
Администрација и пројектовање рачунарских мрежа
66
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
67
Администрација и пројектовање рачунарских мрежа
68
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
69
Администрација и пројектовање рачунарских мрежа
70
IV ВЕЖБА | Лични директоријуми, кориснички профили и групне полисе
омогућава да се овај директоријум, као и неки други директоријуми, преусмере на неко друго
место. На пример, „My Documents“ може се преусмерити у лични директоријум и тиме
искључити из синхронизовања профила, при чему лични подаци корисника остају лако
доступни.
1. Отворити грану „User Configuration / Policies / Windows Settings / Folder Redirection“.
2. У десном пољу уочити „Documents“, притиснути десним дугметом миша и изабрати
опцију „Properties“ (слика 4.12).
3. У пољу „Settings“ изабрати опцију „Basic-....“
4. У пољу „Target folder location“ изабрати опцију „Redirect to the user‘s home directory“
(слика 4.13).
71
Администрација и пројектовање рачунарских мрежа
72
V ВЕЖБА
5.1 Увод
Рачунарску мрежу можемо описати као скуп уређаја који су међусобно повезани
трансмисионим (преносним) медијумом. Крајњи корисници користе мрежу за различите
потребе: слање и пријем порука електронске поште, приступ информацијама које се налазе
на удаљеним рачунарима, пренос звука, слике...Крајњи корисник види мрежу као услугу која
постаје доступнa употребом одговарајућих уређаја као што су рачунар, мобилни телефон и
одговарајуће апликације.
Услуга (сервис) мреже обезбеђује се усклађеним радом многобројних софтверских и
хардверских компоненти које:
генеришу податке,
идентификују крајње тачке комуникације,
управљају преносом података од једне до друге крајње тачке,
савладавају проблеме преноса података по трансмисионом медијуму, повезују
групе рачунара и корисника који користе различите трансмисионе медијуме и који
могу бити географски удаљени.
Како би разнородни уређаји могли међусобно да комуницирају развијени су бројни
протоколи као скупови правила који управљају комуникацијом.
Сложен задатак комуникације подељен је у мање управљивије и лакше разумљивије
задатке. Уочени су специфични аспекти комуникације, на пример:
1. претраживач корисника захтева веб страницу од сервера,
2. два софтверска процеса на различитим уређајима размењују податке без грешака,
3. између рачунара који се налазе на различитим мрежама на различитим крајевима
света преносе се подаци,
4. рачунари размењују податке преко трансмисионог медијума којим су повезани,
5. бинарни подаци претварају се (кодирају) у одговарајуће сигнале прилагођене
трансмисионом медијуму преко кога се преносе.
За сваки од подзадатака, сваки аспект (облик) међусобне комуникације, развијени су протоколи,
правила која решавају тај аспект комуникације. Различите софтверске и хардверске компоненте на
крајњим уређајима решавају само свој подзадатак. Усклађеност рада свих тих компоненти
обезбеђује се јасним интерфејсом - шта свака поједина компонента треба да обезбеди како би
остале компоненте могле да користе резултате њеног рада.
74
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
постоје софтверске или хардверске компоненте које решавају задатке на том слоју. За сваки
слој одређена су правила, протоколи које компоненте на том слоју морају да поштују.
У слојевитој архитектури протокола дефинисано је место сваког од протокола у
хијерархији протокола. Сваки слој има интерфејс преко кога обезбеђује услуге слоју изнад
себе. Са друге старне дати слој своје подзадатке решава користећи услуге слоја испод себе.
Два најпознатија референтна модела су OSI1 и TCP/IP2.
75
Администрација и пројектовање рачунарских мрежа
заснован веб сервис), FTP1 протокол (пренос датотека), SMTP2, POP3, IMAP4
протоколи (електронске поште) ...
2. Слој презентације: на овом слоју решавају се проблеми представљања података на
различитим рачунарима. Протоколи на овом слоју треба да обаве договор око тога
како да се протумаче подаци који се преносе: ASCII5 или UNICODE6, да ли су
компримовани, шифровани и сл.
3. Слој сесије: протоколи на овом слоју треба да обезебеде договор око почетка,
завршетка и опоравка (уколико је потребно) прекинуте сесије између две апликације
на различитим рачунарима.
4. Транспортни слој: протоколи на овом слоју треба да омогуће апликацијама на
различитим рачунарима поуздан пренос података са краја на крај, уз опоравак од
грешака и контролу тока. Пошто су рачунарске мреже засноване на преносу са
комутацијом пакета задатак протокола на овом слоју је и да податке које генеришу
апликације сегментирају на мање управљивије целине - сегменте, како би се могле
пренети рачунарском мрежом. Најчешће постоји више мрежних апликација на
рачунарима који комуницирају па је и задатак овог слоја да омогући
мултиплексирање како би подаци били испоручени правој апликацији на
одредишну. Софтверске компоненте које су саставни део оперативног система
рачунара имплементирају функције овог слоја.
5. Мрежни слој: протоколи на овом слоју омогућавају пренос јединица података,
пакета, од изворишног до одредишног рачунара, при чему пакети могу пролазити
кроз велики број посредних мрежа. Посредни уређаји, рутери, повезују мреже и
усмеравају пакете до одредишне мреже или до другог рутера на путањи ка
одредишној мрежи. Протоколи на овом слоју имају задатак да омогуће комуникацију
без обзира како је комуникациони уређај (рачунар, рутер,...) повезан на мрежу.
Сваки комуникациони уређај се може једиствено идентификовати својом логичком
адресом и то на такав начин да се може означити и мрежа на којој се
комуникациони уређај налази као и сам комуникациони уређај. Софтверске
компоненте које су део оперативног система рачунара имплементирају
функционалност овог слоја. И посредни мрежни уређаји, рутери, реализују функције
овог слоја.
6. Слој везе: протоколи овог слоја формирају своје јединице података (рамове7),
омогућавају синхронизацију предајника и пријемника преко трансмисионог
(физичког) медијума, постављају ознаке о почетку и краја преноса, идентификују
предајник и пријемник, детектују а код неких имплементација и обезбеђују опоравак
од грешке.
7. Физички слој дефинише физички интерфејс (физичке и електричне карактеристике
конектора и трансмисионих медијума) између уређаја и правила по којима се
писама у свету.
7 Frames
76
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
сигнали преносе од једног до другог. Мрежни адаптер реализује функције овог слоја
и слоја везе.
TCP/IP модел је једноставнији (слика 5.2):
1. У оквиру TCP/IP модела нису предвиђени посебни слојеви апликације, презентације
и сесије већ јединствени апликативни слој. То значи да се протоколи на овом слоју
(HTTP, FTP, SMTP, и други) сваки на свој начин договарају око презентације
података и сесије.
2. Транспортни слој TCP/IP модела одговара истоименом слоју OSI моделa. На овом
слоју дефинисани су протоколи: TCP и UDP1.
3. Интернет слој одговара мрежном слоју OSI модела. На овом слоју дефинисани је
IP2 протокол који обезбеђује слање, усмеравање и примање пакета (јединица
података мрежног слоја) од једног рачунара, кроз скуп мрежа повезаних рутерима
до одредишног рачунара на удаљеној мрежи.
4. Слој приступ мрежи одговара слоју везе и физичком слоју OSI модела. Постоје
различите имплементације протокола на овом слоју. Разликују се протоколи овог
слоја на мрежама ширег географског подручја (WAN3) као што је тачка-тачка
протокол (PPP4) од протокола у локалним рачунарским мрежама (нпр. жичним
Етернет као што је CSMA/CD5 или бежичним CSMA/CA6). Слој приступа мрежи
омогућава пренос рамова између чворова (рачунара, уређаја за комуникацију) једне
мреже. Мрежни слој, са друге стране, бави се преносом пакета између рачунара
који се налазе на међусобно удаљеним мрежама не водећи рачуна о томе како су
те мреже реализоване. На овом слоју, као што је напоменуто, у локалним мрежама
користи се Етернет технологија, a функционалност приступа медијуму, кодирања и
декодирања извршава мрежни адаптер уз одговарајући управљачки програм.
77
Администрација и пројектовање рачунарских мрежа
78
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
1 Open Source
2 Wireless Local Area Network
79
Администрација и пројектовање рачунарских мрежа
80
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
81
Администрација и пројектовање рачунарских мрежа
82
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
добићемо детаљне информације о заглављу тог протокола, које је везано за изабрани пакет
(слика 5.10.)
83
Администрација и пројектовање рачунарских мрежа
84
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
85
Администрација и пројектовање рачунарских мрежа
86
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
Слика 5.16: Дијалог прозор за избор опција при креирању дијаграма тока
87
Администрација и пројектовање рачунарских мрежа
88
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
панел има сопствену траку на покретање (scroll bar) са десне стране, па је неки
пут потребно искористи је како би се видели детаљи протокола.
89
Администрација и пројектовање рачунарских мрежа
1 Payload
2 Media Access Control
90
V ВЕЖБА | Анализа саобраћаја у рачунарским мрежама
1 Јединице података које се размењују на слоју везе (или приступа мрежи) називају се рамови (поред
заглаваља имају и на краја порује контролне информације за детекцију и корекцију грешака), на мрежном
слоју пакети а на транспортном сегменти.
91
Администрација и пројектовање рачунарских мрежа
7. У програму Wireshark, у пољу Filter (изнад горњег панела) унети http и притиснути
дугме <ENTER>. Наовај начин се филтрира приказ пакета: биће приказани само
пакети који носе поруке http протокола.
8. Рашчланити прва три пакета по слојевима. Уочити изворишне и одредишне,
физичке и логичке адресе.
9. Затворити програм Wireshark.
92
VI ВЕЖБА
1 Hub
2 Broadcast - емитовање
3 Half –duplex- у оба правца али не истовремено.
94
VI ВЕЖБА | Повезивање рачунара на мрежу и анализа саобраћаја
Данас се за ове намене користи комутатор (свич1) уређај који за преусмеравање података
користи адресу слоја везе (ради на слоју везе података). Овај уређај функционише као
вишепортни мрежни мост. Када радна станица А шаље рам података за радну станицу Б,
комутатор транспарентно премости два порта на која су прикључени сегменти каблова
(слика 6.2) станица А и Б. На тај начин рам података не заузима сегмент медијума који
користи станица Б. Станица Б је слободна да истовремено шаље податке на пример станици
Г и да при томе не долази до колизије. Када се користи комутатор иза сваког порта налази се
нови колизиони домен. Са друге стране, поруке намењене свима – бродкаст поруке
комутатор прослеђује на све портове, па су станице још увек у истом бродкаст домену.
1 Switch
2 Full-duplex
3 TCP/IP protocol suit
95
Администрација и пројектовање рачунарских мрежа
1 Device driver
2 Mapping
3 Address Resolution Protocol
96
VI ВЕЖБА | Повезивање рачунара на мрежу и анализа саобраћаја
Решен је и проблем повезивања на слоју везе података, јер сваки мрежни адаптер
има хардверски подешену јединствену физичку (MAC) адресу која га јединствено
идентификује, а сам мрежни адаптер имплементира неопходну функционалност
приступа медијуму (CSMA/CD).
Како би серверски процеси на рачунару могли да комуницирају са другим сервисима на
другим рачунарима потребно је извршити конфигурисање на 3. слоју. У оквиру
конфигурисања 3. слоја OSI модела потребно је рачунар конфигурисати са једиственом IP
адресом.
1. Пријавити се на Windows виртуелну машину као корисник „administrator“ са
лозинком „password“.
2. Притиснути на дугме Start, затим „Control Panel“ → „Network Connections“ → „Local
Area Connection“. Приказаће се дијалог прозор у коме видимо статус ове мрежне
конекције.
3. Притиснути на дугме „Properties“, како бисмо видели својства ове мрежне конекције.
Можемо видети софтверске компоненте које су везане за овај адаптер. Неке од
ових компоненти имплементирају апликационе протоколе „File and Print sharing...“.
Компонента „Internet Protocol (TCP/IP)“ имплементира 3. и 4. слој OSI модела.
4. Изабрати „Internet Protocol (TCP/IP)“ a затим притиснути на дугме „Properties“.
За нормално функционисање рачунара на мрежи неопходно је да се конфигурише IP
адреса рачунара. Генерално адреса се може добити динамички, уз помоћ посебног сервиса
који омогућава DHCP1 сервер који може да постоји у мрежи. Други начин је да се адреса
додели статички, ручно од стране администратора. Подразумевано је изабрана опција
„Obtain IP address Automatically“ што значи да адреса треба да се добије динамички од
стране DHCP сервера. У овој активности треба статички конфигурисати IP адресу.
Изабрати опцију „Use the following IP address“ и поља испод попунити на следећи начин:
1. „IP Address“: унети 192.168.1.x где је x број станице, нпр. ако је број станице 65
треба унети 192.168.1.65. Ово треба да буде број који јединствено идентификује
рачунар на Интернету.
2. „Subnet Mask“: унети „255.255.255.0“. У претходно унетој IP адреси постоји
хијерархија два дела. Један део адресе представља адресу мреже а други део
адресу хоста на тој мрежи. Маска означава који битови адресе представљају
мрежни део.
3. „Default Gateway“: унети 192.168.1.1. Ово је адреса интерфејса рутера који ову
мрежу, овај бродкаст домен, повезује са другим мрежама.
4. „Prefered DNS server“: унети 172.16.1.1. Ово је адреса DNS сервера задуженог да
име рачунара, нпр. www.viser.edu.rs, разреши у IP адресу рачунара како би могла да
се одвија комуникација на 3. слоју OSI модела.
5. Притиснути на дугме OK, поново ОК, а затим Close.
97
Администрација и пројектовање рачунарских мрежа
1 Loopback
2 Round Trip Time
98
VI ВЕЖБА | Повезивање рачунара на мрежу и анализа саобраћаја
99
Администрација и пројектовање рачунарских мрежа
100
VI ВЕЖБА | Повезивање рачунара на мрежу и анализа саобраћаја
101
Администрација и пројектовање рачунарских мрежа
102
VII ВЕЖБА
IP АДРЕСИРАЊЕ
7. IP адресирање
7.1 Увод
Један од задатака мрежног слоја OSI модела (интернет слој TCP/IP модела) јесте и да
обезбеди пренос јединица података између два рачунара који се (могуће) налазе на
различитим мрежама (различитим бродкаст доменима), и између којих се налази више
посредних мрежа. Како би се решио тај задатак на мрежном слоју мора да се:
1. Дефинише шема адресирања која јединствено идентификује рачунаре на
Интернету (скупу међусобно повезаних мрежа).
2. Дефинише шема адресирања која је независна од хардверске имплементације
приступа мрежи и протокола који се користе за приступ медијуму на тим мрежама.
Два удаљена рачунара морају да комуницирају без обзира што се у мрежи првог
рачунара, на пример, користи етернет, подаци пролазе кроз низ мрежа које користе
ppp, frame relay, бежични приступ и на крају стижу до хоста који је на мрежу повезан
ADSL-ом. Ове адресе, независне од хардверске имплементације, називају се
логичке адресе.
3. Дефинише механизам усмеравања саобраћаја – рутирање, како би јединице
података потекле са једног рачунара, биле успешно усмерене кроз сплет међусобно
повезаних мрежа до одредишне мреже и рачунара за који су намењене. Задатак да
имплементирају ову функцију имају пре свега рутери, уређаји који повезују
различите мреже (бродкаст домене) преко 3. слоја OSI модела.
4. Како би рутери могли реално да остварују свој задатак шема адресирања треба да
садржи хијерарију (мрежа-рачунар), односно адресе морају да буду не само
јединствене него да у себи имају довољно информација да се идентификује не
само одредишни рачунар, него и мрежа у којој се он налази.
У TCP/IP фамилији протокола функционалност мрежног слоја обавља интернет протокол
– IP1 протокол. Његове јединице података које преноси између два рачунара на различитим
мрежама називају се IP пакети. Пакети имају своје заглавље, контролне информације битне
за функционисање овог протокола.
1 Inernet Protocol
104
VII ВЕЖБА | IP адресирање
пакет из мреже у мрежу, омогућавајући пренос података између два рачунара у различитим
бродкаст доменима, који самим тим нису један другом директно доступни и који без услуге
рутера не би могли да међусобно комуницирају.
7.2 IP адресе
IP адресе су 32-битни бројеви који јединствено идентификују рачунар на Интернету. На
пример: 11000000101010000001111000001010 могло би да представља адресу неког
рачунара на Интернету. Како би се олакшало конфигурисање адреса на рачунарима уведена
је конвенција да се адресе уносе и пишу у децималној нотацији са тачком. Односно, 32 бита
се разбију у 4 октета (бајта), одвоје са „.“, а затим сваки бајт напише као децимални број
(слика 7.2).
105
Администрација и пројектовање рачунарских мрежа
106
VII ВЕЖБА | IP адресирање
107
Администрација и пројектовање рачунарских мрежа
108
VII ВЕЖБА | IP адресирање
Програм ће нам дати више информација о тој мрежи, укључујући и адресу мреже као и
бродкаст адресу за ту мрежу:
109
Администрација и пројектовање рачунарских мрежа
подела на адресе за уникаст саобраћај, односно адресе које спадају у класе А, B, и C и адресе за
мултикаст саобраћај, класа D. Адресе које спадају у класу Е се не користе.
5.8 Подмрежавање
Подмрежавањем се од IP адресног простора задатом IP мрежом и префиксом прави више
мањих мрежа. Пошто једна IP мрежа одговара једном бродкаст домену, примена на овакав
начин добијене шеме адресирања повлачи за собом последицу да се хостови и физички
раздвоје у засебне бродкаст домене.
Подмрежавањем се омогућава да се адресни простор додељује у мањим деловима.
Уместо огромног адресног простора који представљају мреже из класе А или B, Интернет
посредник или организација за додељивање и регистрацију адреса може некоме доделити
само део неке мреже из класе А, B, или C који одговара реалном броју хостова у мрежи. На
тај начин се расположиви адресни простор штити од исцрпљивања.
Постоје и други разлози због којих би се примењивало подмрежавање. Понекад није у
питању само рационална потрошња адресног простора, већ захтев да се хостови раздвоје у
засебне бродкаст домене.
Хостови који се налазе у истом бродкаст домену један другом су непосредно доступни, а
то понекад није пожељно. Уколико се хостови раздвоје у засебне бродкаст домене та
чињеница мора да се одрази и у IP адресама тих хостова. Тада се од једног адресног
простора, једне мреже, подмрежавањем прави више подмрежа за сваки појединачни
бродкаст домен. Разлози за подмрежавање били би:
1. Раздвајањем рачунара у различите, мање бродкаст домене смањује се количина
бродкаста у сваком од њих.
2. Уколико се жели контрола саобраћаја између хостова, морају се раздвојити у
различите бродкаст домене. Комуникација између рачунара је тада могућа само
преко рутера који може да филтрира саобраћај по неком критеријуму.
3. Уколико сви хостови нису под истом административном капом. На пример Интернет
посредник изнајми део адресног простора неком предузећу. Мрежа предузећа и
остатак мреже посредника су под различитом администрацијом. Посредник
подмрежавањем само део свог адресног простора додели предузећу.
110
VII ВЕЖБА | IP адресирање
111
Администрација и пројектовање рачунарских мрежа
може се адресирати 22-2=2 хоста. Ово је најмања могућа мрежа, са два хоста, и често се
користи за тачка-тачка везе између рутера.
Остале карактеристике подмрежа добијају се на уобичајен начин:
Мрежа 192.168.30.0/25, прва адреса је 192.168.30.1, последња адреса је
192.168.30.126, бродкаст адреса је 192.168.30.127.
Мрежа 192.168.30.128/25, прва адреса је 192.168.30.129, последња адреса је
192.168.30.254, бродкаст адреса је 192.168.30.255.
Бродкаст адреса за сваку од мрежа добијена је тако што је хост део попуњен јединицама.
Може се уочити да је последња адреса у мрежи за један мања од бродкаст адресе, а да је
следећа мрежа за један већа од бродкаст адресе.
Исто се може проверити програмом ipcalc. Пошто желимо да оригинални префикс /24
променимо на /25, наводимо следећу команду у терминалу: ipcalc 192.168.30.0/24 25
112
VII ВЕЖБА | IP адресирање
113
Администрација и пројектовање рачунарских мрежа
114
VII ВЕЖБА | IP адресирање
116
VIII ВЕЖБА
118
VIII ВЕЖБА | Подела IPv4 адресног простора коришћењем маске променљиве дужине
Решење:
188.66.0.0 представља адресу из класе „B“ што значи да је подразумевана маска
подмреже дужине 16 битова (/16), а то даље значи да је на располагању 16 преосталих
битова за подмрежавање. Пре подмрежавања VLSM техником неопходно је захтеве
поређати у опадајућем поретку, односно од највећег ка најмањем и то: 950, 400, 200, 120, 30,
20. Адресе за тачка-тачка везе биће одређене на самом крају.
119
Администрација и пројектовање рачунарских мрежа
120
VIII ВЕЖБА | Подела IPv4 адресног простора коришћењем маске променљиве дужине
121
Администрација и пројектовање рачунарских мрежа
122
VIII ВЕЖБА | Подела IPv4 адресног простора коришћењем маске променљиве дужине
123
Администрација и пројектовање рачунарских мрежа
124
IX ВЕЖБА
126
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
127
Администрација и пројектовање рачунарских мрежа
полазни рачунар упути пакет до интерфејса рутера који је конфигурисан као подразумевани
мрежни пролаз, који са своје стране упути пакет до следећег рутера на путањи. Следећи
рутер такође усмери пакет све док пакет не пристигне до рутера који је директно прикључен
на мрежу на којој се налази одредишни рачунар.
128
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
129
Администрација и пројектовање рачунарских мрежа
овог улаза рутер закључи да пакет треба да усмери преко рутера са адресом
10.2.2.2 преко свог интерфејса eth2.
Да одговарајући улаз није пронађен, пакет би био одбачен. Одговарајућа ICMP порука о
томе да је одредиште недоступно могла би да буде упућена изворишном рачунару.
Погледајмо још један пример, претпоставимо да је рутер примио пакет у коме је као
одредишна адреса наведена 172.17.5.12.
Први улаз је 10.0.0.0/8; да ли првих 8 (због /8) бита одредишне адресе (172.17.5.12)
одговара овом улазу? На претходно описан начин рутер закључи да овај улаз не одговара.
На исти начин рутер закључи да ни други, трећи ни четврти улаз не одговарају.
1. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16) одредишне
адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради логичку „И“
операцију одредишне адресе (172.17.5.12) и маске 255.255.0.0 (због префикса /16).
Резултат је 172.17.0.0, што одговара овом улазу: 172.17.0.0/16. На основу тога
рутер закључи да се одредишна адреса налази на путањи која води преко следећег
рутера који је у овом улазу наведен (134.22.2.2), преко интерфејса eth1.
2. Шести улаз је за мрежу 172.17.5.0/24; да ли се првих 24 бита (због /24) одредишне
адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради логичку „И“
операцију одредишне адресе (172.17.5.12) и маске 255.255.255.0 (због префикса
/24). Резултат је 172.17.5.0, што одговара овом улазу: 172.17.5.0/24. На основу тога
рутер закључи да се одредишна адреса налази на путањи која води преко следећег
рутера који је у овом улазу наведен (155.45.2.2), преко интерфејса eth0.
На основу досадашње претраге табеле долази се до закључка да рутер има два могућа
улаза која би могао да користи. Рутер ће у ствари изабрати шести улаз, јер има дужи мрежни
префикс (/24, наспрам /16). Односно, ова рута је прецизнија. Могли бисмо да замислимо да
се, генерално, мрежа 172.17.0.0/16 налази иза једног од следећих рутера, док се
специфично, једна подмрежа те мреже, односно 172.17.5.0/24 налази иза неког другог
следећег рутера. Рутери увек бирају најспецифичнији улаз.
Рутер, чија је табела рутирања приказана на слици, пакете намењене за све остале
мреже одбацивао би, пошто нема информације о било којим другим мрежама сем о оним
које су наведене. И рутери могу да имају подразумевану руту, односно еквивалент
подразумеваног мрежног пролаза на радним станицама. Можемо да замислимо сценарио да
рутер у својој табели рутирања има специфичне информације о мрежама једног предузећа, а
да пакете намењене за сва остала одредишта треба да усмери ка рутеру интернет
посредника, под претпоставком да тај рутер има специфичне информације о тим, не
локалним мрежама.
130
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
На слици 9.4 приказана је табела рутирања рутера у којој сада постоји и подразумевана1
рута (наведена је као први улаз). Погледајмо шта би се десило када би рутер, као у
претходном случају, покушао да одреди најбољи пут за пакет са дестинационом адресом
172.17.5.12.
На основу сада првог улаза 0.0.0.0/0 проверио би да ли се 0 бита (због префикса /0)
одредишне адресе 172.17.5.12 поклапа са улазом. Рутер ће да уради логичку „И“ операцију
одредишне адресе и маске 0.0.0.0 (због префикса /0). Резултат је 0.0.0.0 што одговара
адреси мреже која је наведена у овом улазу. У ствари, овај улаз је „одговарајући“ за било
коју дестинациону адресу, јер бинарно „И“ било које адресе и 0.0.0.0 даје 0.0.0.0. Једини
„проблем“ са овим улазом јесте што је врло неспецифичан, дужина мрежног префикса је 0.
Чак и са оваквим улазом, пакет намењен за 172.17.5.12 биће испоручен преко интерфејса
eth0, као у ранијем примеру, јер је то најспецифичнији улаз. Улаз за мрежу 0.0.0.0/0 биће
коришћен за усмеравање само оних пакета за које не постоји специфичнији улаз у табели
рутирања.
Припрема топологије
Како бисмо инсталирали и тестирали ISC-DHCP, потребно је да у окружењу Virtualbox
направимо топологију у којој ће се налазити Linux сервер и Windows клијент на заједничкој
мрежи. Неопходно је и да Linux сервер има приступ Интернету, тачније инсталационим
пакетима из Ubuntu складишта, како би могао да инсталира одговарајући софтвер.
Новије верзије Virtualbox софтвера омогућавају креирање NAT мрежа са произвољним
адресним простором.
1 Default
131
Администрација и пројектовање рачунарских мрежа
132
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
133
Администрација и пројектовање рачунарских мрежа
Ажурирање софтвера
Софтвер се на већини Linux дистрибуција ажурира и инсталира из одговарајући
софтверских складишта на Интернету. Пожељно је пре инсталације новог софтвера
ажурирати списак доступних пакета и ажурирати већ инсталиране пакете:
1. Ажурирамо списак доступних пакета са: “sudo apt-get update”; Треба сачекати да се
прибави ажуран списак.
2. Ажурирамо већ инсталиране пакете са: “sudo apt-get upgrade”; ако има доступних
ажурирања треба потврдити њихову инсталацију; овај корак може да потраје и у
принципу се може прескочити, али би било пожељно одрадити.
Пожељно је, ако расположива мрежа и време дозвољавају, ажурирати већ постојеће
пакете јер потенцијално могу настати проблеми уколико желимо да инсталирамо нови
софтвер који захтева ажурне верзије постојећег софтвера.
134
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
Конфигурационе параметре;
Конфигурационе декларације.
Конфигурациони параметри
Конфигурациони параметри одређују понашања сервера као што су трајање закупа за
адресе додељене клијенту, ограничења доделе адреса. Конфигурациони параметри који
почињу са службеном речју “options” представљају DHCP опције које се саопштавају
клијентима током динамичке конфигурације. Примери би били адреса DNS сервера или
подразумеваног мрежног пролаза.
Конфигурационе декларације
Конфигурационе декларације описују топологију мрежа на које је прикључен DHCP сервер
као и мрежа на којима се налазе клијенти. Конфигурационе декларације могу описивати
читаве сегменте мреже (декларација “subnet”) на којима се могу налазити клијенти, адресе
које треба додељивати клијентима (декларација “range”), или појединачне клијенте
(декларација “host”). Осим тога могуће су и декларације којима су груписани хостови
невезано за сегменте на којима се налазе (декларације “shared network” и “group”) .
Различитим конфигурационим декларацијама је на тај начин могуће описати групе рачунара
различите величине (само један, више на једној мрежи или различитим, сви на истом
сегменту и сл.) како би им одредили специфични конфигурациони параметри.
135
Администрација и пројектовање рачунарских мрежа
136
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
Део адреса мрежног сегмента који се додељује клијентима може се навести range
опцијом која се налази унутар декларације сегмента (subnet).
Осим range опције, унутар декларације сегмента налазе се и DHCP опције које су
специфичне за дати сегмент. Карактеристична таква опција је опција која објашњава
подразумевани мрежни пролаз.
Пример декларације подмреже био би:
137
Администрација и пројектовање рачунарских мрежа
138
IX ВЕЖБА | Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју
139
Администрација и пројектовање рачунарских мрежа
140
X ВЕЖБА
142
X ВЕЖБА | Разрешавање имена рачунара
143
Администрација и пројектовање рачунарских мрежа
Сваки чвор у стаблу има своје кратко име – лабелу која генерално није јединствена (нпр.
www). Да бисмо јединствено идентификовали неки чвор у стаблу морамо навести потпуно
квалификовано име (FQDN1 име), на пример www.viser.edu.rs.
Хијерархијски систем домена, односно правила за употребу овог простора имена
омогућавају да два чвора имају исто име, под условом да се налазе на различитим местима
у хијерархији (на пример edu“ или „www“). Навођењем потпуно квалификованог имена чвора
можемо јединствено идентификовати било који чвор у хијерархији и, на пример извршити
упит, затражити адресу неког хоста.
144
X ВЕЖБА | Разрешавање имена рачунара
10.4.Врсте упита
Као што је већ речено, саставни део конфигурације TCP/IP протокола на рачунару (хосту)
је и адреса DNS сервера који се користи за разрешавање имена других хостова на
Интернету. Хостови разрешавају имена других хостова шаљући DNS упите конфигурисаном
DNS серверу. Тај DNS сервер може бити ауторитативан за једну или више зона и одговарати
на упите на основу локално доступних информација.
145
Администрација и пројектовање рачунарских мрежа
Чешћи је случај да DNS сервер добије задатак да разреши упит за који није
ауторитативан, на пример, сервер који није ауторитативан за зону „debian.org“ добије задатак
да разреши упит, односно одреди адресу за „www.debian.org“. Сервер не може да разреши
овакав упит на основу локално доступних информација, већ мора да контактира друге DNS
сервере на Интернету.
Генерално када сервер добије упит за ресурс за који није ауторитативан, могао би да:
1. упути клијента на неки други DNS сервер, који јесте ауторитативан, са којим би
клијент наставио упит,
2. сервер би могао да за рачун клијента контактира друге сервере, разреши упит и
клијенту пошаље коначан одговор.
Прва врста упита назива се итеративни упит. Итеративни одговор само упућује клијента
на неки други сервер са којим би клијент извршио следећу итерацију претраживања. Друга
врста упита назива се рекурзивни упит. Када сервер решава рекурзивни упит, он сам
контактира у неколико итерација друге сервере и клијенту врати коначан одговор.
146
X ВЕЖБА | Разрешавање имена рачунара
Кеширање одговора
Како би се смањила количина саобраћаја потребна за разрешавање имена, DNS сервери
кеширају, односно једно одређено време памте одговоре које су прикупили током
разрешавања. Уз сваки одговор назначена је и TTL1 вредност, која говори колико дуго
одговор може да се сматра валидним. За то време DNS сервер може да одговара на основу
овако запамћених вредности.
1 Time To Live
147
Администрација и пројектовање рачунарских мрежа
4. Уочити да постоји линија којом се IP адреса саме радне станице мапира у име хост
радне станице. На Linux оперативном систему ова ставка омогућава да хост одреди
име домена у коме се налази, што може бити битно за неке серверске апликације.
5. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
6. Притиском на тастер „q“ напустити програм less.
7. На Windows виртуелној машини отворити My Computer, а затим отворити фајл
C:\Windows\System32\drivers\etc\hosts (у питању је текстуални фајл, на Windows
оперативном систему може се отворити програмом Notepad).
8. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
148
X ВЕЖБА | Разрешавање имена рачунара
На пример:
У оквиру nslookup програма унети: set type=SOA <ENTER>.
овим смо указали nslookup програму да нас интересује SOA тип записа.
1. Уносимо зону која нас интересује: google.com <ENTER>.
Можемо погледати информације које садржи SOA запис за зону:
1. origin се односи на примарни DNS сервер одговоран за дату зону.
2. mail addr представља адресу електронске поште особе одговорне за одржавање
зоне. Карактер ‘@’ има специјално значење у фајлу који чини зону, па је у адреси
замењен са ‘.’ (тачка).
3. serial представља серијски број зоне. То је неозначена 32-битна вредност, али
конвенција је да се наводи у облику ГГГГММДДАБ (Година, Месец, Дан, и две
додатне цифре АБ, на пример серијски број промене у току датог дана). За
функционисање DNS система битно је да се овај број инкрементира сваки пут када
се направи измена у DNS зони. На основу серијског броја зоне секундарни сервери
знају да ли код себе имају најсвежију верзију зоне. Иако је горенаведен формат
само конвенција, обично на основу овог броја можемо видети када је последњи пут
промењена зона.
4. refresh представља интервал у секундама након ког секундарни сервери треба да
провере да ли се код примарног сервера налази новија верзија зоне.
5. retry представља интервал за поновне покушаје секундарних сервера да освеже
зону уколико први покушај, после refresh секунди није успео.
6. expire представља интервал после ког секундарни сервери престају са покушајима
да освеже зоне, и престају да себе сматрају ауторитативним за зону коју нису
успели да освеже.
7. minimum представља TTL (време памћења одговора). Сваки DNS одговор садржи и
TTL вредност која говори колико дуго тај одговор може бити сматран валидним.
Обично постоји подразумевана вредност која важи за све записе у зони, при чему
појединачни записи могу имати сопствене вредности. TTL постоји и за негативне
одговоре (име које је наведено у упиту не постоји). Новијим RFC документом
предвиђено је да minimum представља TTL вредност коју ће сервер слати у
негативним одговорима.
Поред SOA записа постоје и други типови записа који су неопходни за функционисање
DNS система. На пример постоје и NS (Name Server) записи у зони који описују све DNS
сервере, примарне и секундарне, који су ауторитативни за дату зону. Можемо их погледати
на следећи начин:
1. У оквиру nslookup програма унети: set type=NS <ENTER>,.
Овим смо указали nslookup програму да нас интересује NS тип записа.
2. уносимо зону која нас интересује: google.com <ENTER>, на тај начин можемо
погледати списак DNS сервера за наведену зону.
149
Администрација и пројектовање рачунарских мрежа
150
X ВЕЖБА | Разрешавање имена рачунара
151
Администрација и пројектовање рачунарских мрежа
152
XI ВЕЖБА
Смер саобраћаја
Опис саобраћаја укључује и смер саобраћаја, односно да ли пакет улази у рутер преко
неког интерфејса (смер „IN“) или излази из рутера преко неког интерфејса (смер „OUT“). Код
таквих имплементација контроле саобраћаја, пакет може бити проверен два пута. На
пример, када пакет са Интернета долази у локалну мрежу може га проверити листа за
контролу приступа када се пакет преузме са спољњег интерфејса рутера, а затим када после
рутирања пакет треба да изађе из рутера у локалну мрежу може се десити да се још једном
провери уз одговарајућу листу за контролу приступа. Тако се може бирати смер саобраћаја
који се контролише. Уколико контролишемо „IN“ смер на спољњем интерфејсу рутера,
контролишемо који ће сервиси у локалној мрежи бити доступни са Интернета. Уколико
желимо да контролишемо који сервиси са Интернета ће бити доступни клијентима у локалној
мрежи, можемо контолисати „IN“ смер на интерфејсу ка локалној мрежи.
154
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
155
Администрација и пројектовање рачунарских мрежа
иницирао везу. Овакви системи могу да прате и стања протокола који иначе нису са
успоставом везе, као што су UDP, или ICMP протоколи.
Оваква заштитна баријера обично се назива statefull firewall, и омогућава много
прецизнију контролу саобраћаја него системи који овако нешто не подржавају, као и много
једноставнији рад. Пошто је већина саобраћаја двосмерна, ако се жели обезбедити
доступност неког сервиса морају се у принципу подесити два правила: правило које описује и
дозвољава саобраћај који иницира клијент, као и правило које описује и дозвољава
саобраћај који представља одговор клијента. Када се користи систем који води рачуна о
стању саобраћаја довољно је подесити правило, дозволу да клијент приступа неком серверу.
Оваква заштитна баријера – statefull firewall, аутоматски ће креирати привремена правила
која ће дозволити саобраћај са сервера који је одговор на захтев клијента.
156
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
Поступак транслирања
Конфигурација хостова треба да буде таква да саобраћај хостова ка Интернету мора да
буде прослеђен преко NAT рутера. Ово се може постићи тако што хостови у локалној мрежу
користе NAT рутер као подразумевани мрежни пролаз.
Када клијенти из приватне мреже иницирају везе ка хостовима на Интернету, NAT рутер
измени изворишну, приватну адресу хоста који иницира везу и замени је јавном, валидном
адресом. Ова јавна адреса је адреса додељена интерфејсу рутера од стране Интернет
посредника, или једна од више јавних адреса које се користе за потребе транслирања.
157
Администрација и пројектовање рачунарских мрежа
Транслирање „1 на 1“ и „више на 1“
У горенаведеном примеру, када је NAT рутер вршио измене у саобраћају који прослеђује
само на трећем слоју, његове могућности су ограничене бројем јавних IP адреса које су му
додељене. Сваки хост из локалне мреже транслира се у једну јавну адресу па је број хостова
из локалне мреже, који истовремено могу комуницирати са хостовима на Интернету,
158
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
ограничен бројем јавних IP адреса. На овај начин практично се не смањује број потребних
јавних адреса.
Већина имплементација NAT рутера омогућава да се измене у пакетима врше не само на
трећем слоју, већ и на четвртом: у заглављима TCP сегмента и UDP датаграма. Тада рутер у
својој NAT табели нема мапирања „приватна адреса, јавна адреса“, већ нешто сложенија:
мапира се пар „приватна адреса и TCP(или UDP) порт“ на пар „јавна адреса и TCP (или UDP)
порт“. На овај начин је могуће имати више хостова у приватном адресном простору који се
транслирају на мањи број јавних адреса. Могуће је чак и да се сви хостови из локалне мреже
транслирају преко једне јавне адресе додељене интерфејсу рутера као посреднику.
Код неких имплементација NAT рутера ово се назива PAT („Port Address Translation“), док
се код других ово назива транслирање „више на један“.
1 Source NAT
159
Администрација и пројектовање рачунарских мрежа
иницирају везе ка хостовима – серверима у локалној мрежи. Сада је проблем што одредиште
саобраћаја има приватне адресе, док извор има јавне.
Код већине имплементација NAT ово се може решити тако што се административно
креира такав улаз у NAT табели који све долазне везе на једну јавну адресу и порт
транслира у другу, приватну адресу, из локалне мреже. Код неких имплементација ово се
назива одредишни NAT (DNAT1). Може се срести и назив редирекција портова2: долазне
везе на јавну адресу рутера и добро познати порт сервиса преусмере се на IP адресу
сервера у локалној мрежи и порт сервиса.
На овај начин је омогућена доступност сервера са приватним адресама, при чему су
сервери из локалне мреже видљиви и доступни хостовима на Интернету као да имају јавне
адресе.
1 Destination NAT
2 Port redirection
160
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
http, smtp, imap, pop3 и неки други имају овакав узорак саобраћаја и немају проблема са
транслацијом.
Проблем могу представљати P2P1 апликације, код којих су апликације и клијенти и
сервери у току исте сесије, и везе се иницирају са обе стране, при чему се често користи
читав опсег портова. Проблеми оваквих апликација могу се решити креирањем статичких
улаза у NAT табели, при чему се често читав опсег портова преусмерава на хост у локалној
мрежи. Тиме се решава проблем P2P апликације али смањује сигурносни аспект NAT
механизма.
Проблем представљају апликације које нису идеално слојевите, односно у порукама
апликационих протокола постоје информације о адресама и портовима клијента или
сервера. Проблеми оваквих апликација могу се решити само тако што NAT рутер врши
измене и на апликационом слоју, за шта не постоји стандардни начин, па се имплементације
NAT рутера могу разликовати по способности да подрже овакве апликације. Примери би
укључивали разне „on-line“ игре, неке апликације за видео конференције (Net Meeting), али и
FTP проткол. Пошто је FTP прилично уобичајен, већина NAT рутера уме да транслира FTP
саобраћај, док је за остале, сложеније примене потребно погледати документацију или
додатно подесити уређај или апликације које се користе.
На крају, постоје и апликације које се не могу користи уз NAT, јер измена адреса коју би
извршио NAT рутер нарушава логику саме апликације. Примери би били SNMP или
трансфер зоне између примарног и секундарног DNS сервера (DNS упити клијената раде сa
транслацијом).
Због ових чињеница, NAT механизам се сматра привременим решењем за смањење
потрошње IP адреса, при чему је коначно решење увођење IPv6 адреса у употребу.
1 Peer to Peer
2 Berkley Softvare Distribution
3 University of California, Berkeley
4 Demilitarized zone
161
Администрација и пројектовање рачунарских мрежа
162
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
4. Enter the Optional 1 interface name or 'a' for autodetection: унети: em2. Обавестили
смо рутер да постоји и опциони интерфејс.
5. Enter the Optional 2 interface name or 'a' for autodetection: притиснтути <ENTER> јер је
свим интерфејсима додељена улога.
6. Do you want to proceed [y|n]? притиснути „y“ за наставак и преглед улога додељених
интерфејсима.
163
Администрација и пројектовање рачунарских мрежа
Провера функционисања
Да бисмо проверили функционисање рутера потребно је покренути виртуелну машину са
Windows сервером. Сервер треба да буде конфигурисан на следећи начин:
IP адреса 172.17.32.x где је x три пута веће од броја радне станице.
маска: 255.255.255.0.
подразумевани мрежни пролаз: 172.17.32.1.
DNS сервери: 172.16.1.1, 172.16.1.13.
На серверу треба покренути Telnet сервис, као пример сервиса на неком хосту на
Интернету.
На Windows клијенту покушати телнет приступ ка адреси сервера.
1. Отворити командни прозор.
2. Унети telnet 172.17.32.x (адреса сервера). Пријавити се као корисник „administrator“
са лозинком „password“.
3. Отворити нови командни прозор и покренути „netstat –n“.
4. “. Уочити изворишни порт за Telnet везу са сервером (Telnet користи порт 23).
5. На серверу отворити командни прозор покренути „netstat -n“. Уочити адресу и
изворишни порт за Telnet везу.
Сложенија конфигурација
У наставку ће бити креирана сложенија конфигурација:
WAN интерфејс имаће статичку адресу.
интерфејс OP1 биће активиран статичком адресом 192.168.2.1 и именом „DMZ“.
Linux сервер биће покренут на „DMZ“ мрежи.
Филтер пакета на DMZ мрежи дозволиће приступ DNS сервису на самом рутеру
као и серверу који се користи за надоградњу софтвера на серверу.
Биће креирано правило за DNAT и контолу саобраћаја које омогућава да хостови
на Интернету приступају Linux серверу у DMZ мрежи.
164
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
165
Администрација и пројектовање рачунарских мрежа
Одредишни NAT
У наставку ће бити подешен одредишни (дестинациони) NAT како би сервис у локалној
мрежи (тачније у DMZ мрежи) са приватном адресом био доступан клијентима на Интернету.
1. Из менија Firewall изабрати NAT.
2. Изабрати Port Forward.
3. У новој страници подесити:
Interface WAN: преусмеравамо портове за саобраћај који долази на спољњи
интерфејс са хостова са Интернета.
166
XI ВЕЖБА | Заштита рачунарских мрежа филтрирањем пакета и превођењем адреса
167
Администрација и пројектовање рачунарских мрежа
168
XII ВЕЖБА
170
XII ВЕЖБА | Подешавање бежичне приступне тачке
171
Администрација и пројектовање рачунарских мрежа
подесити и адреса рутера за локалну мрежу (Default Gateway). На залиску „DHCP Clients List“,
могу се видети адресе које су већ изнајмљене, као и имена клијената којима су изнајмљене.
Имена клијената представљају имена рачунара, односно било ког уређаја који је бежично
или жично приступио мрежи. Занимљива, а свакако и корисна подешавања су подешавања
резервација адреса за одређене клијенте. Ако у мрежи, на пример, имамо неки FTP1 сервер
или мрежни штампач, логично је да желимо да они имају увек исту адресу како би корисници
могли да им приступе. У оквиру опције „Address Reservation“ можемо резервисати адресе
тако што ћемо навести MAC адресу жељеног уређаја и уписати IP адресу коју он треба да
добије. На слици 12.4 можемо видети подешавања за резервацију адреса.
172
XII ВЕЖБА | Подешавање бежичне приступне тачке
173
Администрација и пројектовање рачунарских мрежа
1 Wired Equivalent Privacy – идеја да бежична мрежа обезбеђује сигурност еквивалентну жичним мрежама.
2 American Standard Code for Information Interchange - скуп знакова и кодна страница утемељена на латинском
писму. Најчешће се користи у рачунарству, али и у комуникационој и управљачкој опреми у раду са текстом
(http://sr.wikipedia.org/wiki/ASCII).
3 Wi-Fi Protected Access
4 Pre-Shared Key - у криптографији је то дељена тајна (shared secret) која је претходно размењена (дељена)
између два учесника коришћењем сигурног канала за размену пре него што је употребљена.
5 Wi-Fi Protected Access II
174
XII ВЕЖБА | Подешавање бежичне приступне тачке
175
Администрација и пројектовање рачунарских мрежа
176
XII ВЕЖБА | Подешавање бежичне приступне тачке
177
Администрација и пројектовање рачунарских мрежа
178
XII ВЕЖБА | Подешавање бежичне приступне тачке
179
Администрација и пројектовање рачунарских мрежа
180
XII ВЕЖБА | Подешавање бежичне приступне тачке
1 Advanced Encryption Standard,- напредни стандард за шифровање је спецификација за шифровање лектронских података.
Усвојен је од стране владе САД и користи се широм света. AES је заменио претходно коришћени стандард DES (Data
Encryption Standard). AES је алгоритам са симетричним кључем, што значи да се исти кључ користи и за шифровање и за
дешифровање података).
181
Администрација и пројектовање рачунарских мрежа
182
XIII ВЕЖБА
184
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
185
Администрација и пројектовање рачунарских мрежа
1 Patch cable - каблови који повезују активну мрежну опрему са мрежним утичницама.
2 Електромагнетне сметње
186
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
187
Администрација и пројектовање рачунарских мрежа
188
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
189
Администрација и пројектовање рачунарских мрежа
Просторија са опремом
Просторија са опремом разликује се од телекомуникационе собе по комплексности
опреме коју садржи. У соби са опремом налазе се уређаји за заштиту података у мрежи,
рутери, сервери, комутатори, итд. Просторија са опремом може бити део телекомуникационе
собе. Такође у овој соби може се налазити и приступни линк од телеком посредника.
Неке од препорука дизајна собе са опремом из TIA/EIA-569-B стандарда:
Свака зграда треба да садржи макар једну собу са опремом.
Треба водити рачуна о димензијама просторије због додавања опреме у
будућности.
Врата просторије треба да буду довољно велика да би кроз њих могли да прођу
велики делови телекомуникационе опреме.
Минимална висина плафона требало би да износи 2,4 метра.
Минимална површина просторије требало би да буде 14 m2 .
Соба треба да има стално напајање као и резервно напајање.
Климатски услови морају бити контролисани.
Демаркациона тачка
Демаркациона тачка је место где се завршава одговорност телеком посредника и каблови
спајају са окосницом мреже зграде. Просторија са приступним линком може да буде део
просторије са опремом. Ова просторија треба да буде позиционирана што ближе
вертикалним вођицама за каблове који чине окосницу система. Такође, ова просторија, у
случају да је засебна, треба да садржи и резервно напајање електричном енергијом и све
услове које морају да задовоље телекомуникациона соба и просторија са опремом.
190
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
191
Администрација и пројектовање рачунарских мрежа
192
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
193
Администрација и пројектовање рачунарских мрежа
На пример:
SF/UTP – кабл са оваквом ознаком има неоклопљене парице али око свих парица
постоји и фолија и мрежица.
U/FTP – код кабла са оваквом ознаком свака парица је појединачно заштићена
фолијом.
F/UTP – кабл са оваквом ознаком садржи заштитну фолију око свих парица
заједно.
Изолациони омотач
PVC1, или чешће звани винил, скраћеница је за поливинил-хлорид и представља
производ петрохемијске индустрије. Овај материјал често се среће као изолациони омотач
каблова свих врста. Каблови су савитљивији, лако се постављају али су и лако запаљиви и
ослобађају отрован гас када горе.
Пленум каблови постављају се у међупросторе, чвршћи су од каблова са PVC изолацијом
али не испуштају отрован гас у случају да се запале.
194
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
195
Администрација и пројектовање рачунарских мрежа
196
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
197
Администрација и пројектовање рачунарских мрежа
сигнала код вишеугаоних оптичких влакана користе се LED1 диоде. Оптичкa влакна са
језгром од 50µm омогућавају пренос на веће раздаљине и већу брзину од влакан са језгром
од 62,5µm. Код нових инсталација треба употребљавати каблове са оптичким влакнима са
језгром од 50µm. Вишеугаони кабл је традиционално наранџасте боје. Оптички кабл са
језгром од 50µm који је оптимизован за 10-гигабитни пренос података је светлоплаве боје.
198
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
199
Администрација и пројектовање рачунарских мрежа
монтирају на зид и у случају потребе омогуђавају лак приступ кабловима. Постоје каналице
на које се директно могу уграђивати мрежне, телефонске и друге утичнице. Металне
каналице са више раздвојених канала омогућавају да се паралелно инсталирају мрежни и
енергетски каблови, у ситуацијама када не постоји могућност и простор да се ови каблови
одвојено инсталирају. Треба водити рачуна о попуњености каналица, како због проширења у
будућности тако и због инсталације самих каблова. Ако је каналица потпуно попуњена
каблови једноставно неће у њој моћи да се савију под углом од 90°.
200
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
201
Администрација и пројектовање рачунарских мрежа
Инсталација конектора. Код упредених парица конектори морају бити истог или
бољег типа кабл. RJ45 конектори монтирају се на кабл уз помоћ кримп клешта
(слика 13.23а). Треба водити рачуна о распореду парица у конектору. Такође
треба проверити да ли су све парице оствариле контакт са иглицама конектора.
Изолациони омотач кабла уклања се помоћу стрипер алата (слика 13.23б), али
изолациони омотач не треба да буде сувише уклоњен јер може доћи до
нарушавања перформанси самог кабла.
202
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
1 Network Analyzers
203
Администрација и пројектовање рачунарских мрежа
тржишту могу се наћи Микротестов Microscanner који мери и дужину кабла, Molex (раније
Mod-Tap) SLT3 Tester и FULL Cable Tracer.
За функционалне тестове потребни су специјални тест уређаји, односно инструменти за
сертификацију, који испитују кабл по тачно дефинисаним критеријумима стандарда TIA/EIA
568A и ISO класе D и E, односно TSB67 (Transmition Performance Specification) и TSB95 за
категорију 5Е.
Критеријуми за тестирање упредених парица су:
дужина кабла,
исправност ожичења1 - провера да ли је распоред парица исправан,
време кашњења2 - брзина простирања сигнала кроз парицу. Изражава се у односу
на брзину простирања светлости у вакууму,
разлика у кашњењу3 - или попречно кашњење које је разлика између најбржег и
најспоријег сигнала у различитим парицама језгра кабла,
слабљење4,
преслушавање на ближем крају5,
повратни губици6 представљају однос улазне и рефлектоване снаге сигнала, у
dB. Настаје на местима дуж кабловске линије где је присутна нехомогеност
карактеристичне импедансе парице,
PSNEXT7 - представља укупан утицај снаге преслушавања на ближем крају свих
ометајућих парица на мерену ометану парицу,
PSFEXT8 - представља укупан утицај преслушавања на даљем крају свих парица
на мерену парицу,
ELFEXT9 - изједначена вредност преслушавања на даљем крају.
За корисника је најважнији податак однос слабљења и преслушавања (ACR10). За
категорију 5Е још се мере PSFEXT и ELFEXT. Инструменти за сертификацију малих су
димензија (величине стандардног дигиталног мултиметра), аутономног напајања, мале масе
и једноставни су за употребу.
Већина модела има већ припремљене групе тестова за одговарајуће категорије кабла,
али можете направити и сопствени скуп мерења. Резултати тестирања добијају се у
временском распону од неколико секунди до неколико минута и дају потпуни увид у стање
линије. Овим уређајима могућа је дијагностика свих врста грешака које се могу јавити у
структурним кабловским системима. Главна мана оваквих уређаја је цена. Водећи
произвођачи ове опреме су Microtest, Fluke, Hewlett-Packard, Datacom и Agilent.
1 Wire map
2 Propagation delay
3 Propagation delay skew
4 Attenuation
5 Near End Crosstalk – NEXT
6 Eхо (return loss)
7 Power Sum Near End Cross Talk
8 Power Sum Equal Level Far End Cross Talk
9 Equalized level far end crosstalk
10 Attenuation to crosstalk ratio
204
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
205
Администрација и пројектовање рачунарских мрежа
206
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
1 Point Of Present
207
Администрација и пројектовање рачунарских мрежа
1 Patch panels
2 Reck – рек орман
208
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
1 Patchcord
2 Pigtail
209
Администрација и пројектовање рачунарских мрежа
1 Rack unit
210
XIII ВЕЖБА | Пројектовање рачунарских мрежа системом структурног каблирања
211
Администрација и пројектовање рачунарских мрежа
212
XIV ВЕЖБА
1 Repeater
2 Singlemode.- једноугаони режим рада (синглмодни режим рада). Оптичка влакна у којима се светлосни зрак
простире праволинијски.
3 Mutimode – вишеугаони режим рада (мултимодни режим рада). Оптичка влакна у којима се светлосни зрак
простире под таквим углом да се одбија од површине влакнна као од површине огледала.
214
XIV ВЕЖБА | Активна мрежна опрема
14.3 Концентратор
Концентратор1 је мрежни уређај који функционише на физичком слоју OSI референтног
модела. Користи се за повезивање мрежних уређаја у један мрежни сегмент. За
концентратор се може рећи да представља вишепортни рипитер јер не врши никакво
филтрирање нити преусмеравање мрежног саобраћаја, већ само обнавља сигнал примљен
на једном интерфејсу и прослеђује га на све остале своје интерфејсе. Сви уређаји који су
повезани на концентратор налазе се у једном колизионом домену.
Данас концентратори спадају у категорију застарелих уређаја и не препоручује се њихова
употреба. У односу на комутаторе који се данас користе, концентратори имају лоше
карактеристике: мале брзине преноса података, подложност колизији и могућност
полудуплекс везе између уређаја.
1 Hub
2 Network interface card
3 Media access control
215
Администрација и пројектовање рачунарских мрежа
14.5 Комутатор
Комутатори1 су уређаји који служе за повезивање више уређаја на исту мрежу у оквиру
зграде или кампуса. Уз помоћ комутатора креира се приступни део рачунарске мреже.
Комутатори функционишу на другом слоју OSI референтног модела и користе физичке
адресе за активно преусмеравање мрежног саобраћаја. Комутатори врше сегментацију
локалне рачунарске мреже на засебне колизионе домене. Сваки прикључак на комутатору
представља засебан колизиони домен и омогућава комуникацију у потпуном дуплекс режиму.
Код одабира комутатора треба обратити пажњу на број мрежних портова (интерфејса)
које комутатор садржи, максималан проток података и могућност агрегације пропусног
опсега.
Комутатори са фиксном конфигурацијом обично садрже до 48 портова и до 4 додатна
порта за узлазне линкове. Уместо портова за узлазне линкове који подржавају веће брзине
могу се користити комутатори са портовима за SFP2 уређаје. Препорука је да увек на
комутатору остане слободних прикључака како би се лако додавали нови корисници у
рачунарску мрежу, или у случају отказа неког од портова.
1 Switch
2 small form-factor pluggable
216
XIV ВЕЖБА | Активна мрежна опрема
1 Stackable switches
2 eXpandable Resilient Networking
3 Power over Ethernet
217
Администрација и пројектовање рачунарских мрежа
1 Аccess point
2 Small office/home office
3 Firewall
4 Virtual private network – виртуелна приватна мрежа
218
XIV ВЕЖБА | Активна мрежна опрема
карактерише број мрежних интерфејса, максимални број сесија које могу да надгледају,
количина података које могу да обраде у току одређеног временског периода, максималан
број сигурносних правила, број VPN конекција, итд.
14.8 Рутер
Рутер1 или мрежни усмеривач је уређај који има улогу да повеже више различитих ΙP
мрежа и обезбеди могућност усмеравања саобраћаја између њих. Принцип рутирања,
односно усмеравања саобраћаја, заснива се на анализи одредишне ΙP адресе сваког пакета
са циљем одређивања даље путање тог пакета, као и излазног интерфејса кроз који треба
проследити пакет. На основу информација које анализира (ΙP адресе) рутер можемо
класификовати као уређај који припада првенствено мрежном слоју OSI референтног
модела.
Целине (ентитети) у данашњим рачунарским мрежама, како локалним тако и на
Интернету, адресирани су помоћу ΙP адреса, па је примена рутера незаобилазна како бисмо
повезали две и више различитих IP подмрежа. Треба напоменути да рутери имају и улогу
медија конвертера јер је могуће повезати и више мрежа које користе различите технологије
преноса. Како рутер повезује једну локалну мрежу са остатком света, клијенти те локалне
мреже користе рутер као подразумевани пролаз.
Велики значај који рутер има у креирању рачунарских мрежа, довео је до тога да је данас
тржиште преплављено различитим системима за рутирање. Класификација рутера може се
извршити превасходно на основу тога да ли је рутер хардверски прилагођен уређај са
специјализованим софтвером2, или сам софтвер који се може извршавати и на обичном
рачунару. Како је сам процес рутирања критичан за рад једне мреже, он се мора обављати
поуздано и веома брзо, тако да су хардверски рутери пожељнији.
Главне карактеристике које описују један рутер су: број и тип доступних интерфејса,
брзина прослеђивања, могућности рутера у погледу доступних протокола за рутирање,
безбедносни аспекти рутера, начин конфигурације, могућност надгледања... Скуп наведених
карактеристика директно утиче на цену рутера која се може кретати од неколико десетина
долара до неколико десетина хиљада долара. Избор одговарајућег рутера прилично је
сложен процес јер је прво неопходно утврдити коју количину саобраћаја треба да усмерава,
а затим које додатне функције треба да има са аспекта контроле саобраћаја, безбедности и
надгледања.
Најпознатији и тржишно најзаступљенији су рутери следећих произвођача: Cisco, Juniper,
Huawei, Redback. Сви произвођачи рутера своју палету производа деле на две групе и то:
кућна примена (SOHO) и пословна примена. Гледајући пословну примену даље поделе
односе се на позицију рутера, односно оптерећење које рутер мора да поднесе, па стога
имамо рутере који су намењени језгру3 мреже, рутере за агрегацију саобраћаја, приступне
1 Router
2 Appliance
3 Core r
219
Администрација и пројектовање рачунарских мрежа
рутере... Припадност некој од наведених група одређује перформансе уређаја, али и његову
цену, па су тако најскупљи они рутери који су пројектовани за рутирање велике количине
саобраћаја у језгру мреже, чије су перформансе ванпросечне.
Како је технологија преноса данас подложна честим променама и унапређењима услед
развоја телекомуникационих система, произвођачи рутера су то препознали и поред рутера
са фиксним карактеристикама (нпр. тип и број портова) производе и рутере који су
модуларни. Модуларност рутера значи да се прелазак са једне технологије преноса на другу
(на пример замена постојеће бакарне везе оптичком) може извршити на једноставан начин,
без потребе да се замени цео уређај већ само модул преко кога се та веза остварује. Ова
карактеристика рутера је од велике важности јер утиче на трошкове, али и на време
потребно да се замена изврши.
Слика 14.9 Cisco рутери серије 7600 намењени пружаоцима услугеприступа Интернету (ΙSP)
220
XIV ВЕЖБА | Активна мрежна опрема
1 Campus
2 MAC Address Flooding
221
Администрација и пројектовање рачунарских мрежа
не постоји у табели МАС адреса комутатор шаље (плави) рам преко свих својих портова
осим порта преко кога је добио рам. Плављење МАС адреса када не постоји запис о
одредишној МАС адреси може бити искоришћено за напад на комутатор. Ова врста напада
назива се напад плављењем (преплављивањем) табеле МАС адреса1.
Нападач на месту једне од станица може да шаље комутатору рамове са лажном,
случајно генерисаном изворишном и одредишном МАС адресом. Комутатор иновира табелу
МАС адреса подацима из лажног рама. Када се табела МАС адреса напуни са лажним МАС
адресама комутатор улази у стање које се назива режим потпуне отворености2. У овом
режиму рада комутатор шаље све рамове ка свим уређајима на мрежи. Резултат је да
нападач може да види све рамове који се размењују у мрежи.
Fa0/10
Fa0/1
X1
Fa0/5 PC2
PC1 PC2
1 MAC address table overflow attack, MAC flooding attacks, CAM (Content Addressable Memory) table overflow attacks
2 Fail-open mode
222
XIV ВЕЖБА | Активна мрежна опрема
Радна станица РС1 има улогу нападача у мрежи. На њој је потребно покренути Kali Linux,
посебну дистрибуцију Linux система који у себи има уграђене алате за тестирање слабости
мрежа.
На рачунару који ће имати улогу РС1 радне станице потребно је направити нову
виртуелну машину али без хард диска. Подесити да се за виртуелни CD/DVD уређај користи
физички оптички уређај од хоста. У оптички уређај убацити DVD са поменутом верзијом
оперативног система и покренути га у Live режиму рада. Овакав режим рада не захтева
инсталацију оперативног система већ покреће оперативни систем из радне меморије.
Подесити следеће мрежне параметре:
PC1 - мрежна адреса - 172.30.1.10/24
PC2 - мрежна адреса - 172.30.1.20/24
PC3 - мрежна адреса - 172.30.1.30/24
Након повезивања топологије демостратор ће вам помоћи да видите CAM табелу
комутатора командом:
X1# show mac-address-table
Утврдити које се MAC адресе налазе у CAM табели.
Покренути macof напад са РС1:
macof -i eth0
Ова команда је започела генерисање великог броја МАС адреса.
Прегледати CAM табелу комутатора, обратити пажњу да приказ табеле неће стати у један
екран па је потребно листати странице тастером SPACE на тастатури:
X1# show mac-address-table
На РС2 радној станици покренути Wireshark програм и започети снимање мрежног
саобраћаја. Са станице РС3 покренути ping ка станици РС1. Ако је све подешено како треба
РС2 би требало да сними овај саобраћај иако по правилу то не би било могуће. Прекинути
напад macof програмом.
223
Литература
Литература
[1] Васиљевић, В., Рачунарске мреже, ВИШЕР, Београд, 2008.
[2] Васиљевић, В., Интернет протоколи и технологије, ВИШЕР, Београд, 2013.
[3] Goralski, W., The Illustrated Network: How TCP/IP Works in a Modern Network, Morgan
Kaufmann Publishers, Burlington, MA, 2010.
[4] Клајн, И., Шипка, М., Велики речник страних речи и израза, Прометеј, Нови сад, 2007.
[5] Kurose, J., Ross, K., Computer Networking, a Top-Down Approach, Addison-Wesley,
Boston, MA, 2012.
[6] Stallings, W., Data and Computer Communications, Pearson Education, Inc., Upper Saddle
River, New Jersey, 2011.
[7] Tanenbaum, A., Computer Network, Pearson Education, Inc., Upper Saddle River, New
Jersey, 2010.
[8] http://www.ieee.org
[9] http://www.wikipedia.org
[10] http://www.tp-link.us/
224
Евиденција урађених вежби
Вежба бр. Датум Потпис сарадника
I
II
III
IV
V
VI
VII
VIII
IX
X
XI
XII
XIII
XIV
225