-
Diplomsko delo univerzitetnega študijaSmer organizacija in
management informacijskih
PRENOVA OMREŽJA Z ZAGOTAVLJANJEM POLNE
FUNKCIONALNOSTI ISO/OSI SLOJEV Mentor: red. prof. dr. Vladislav
Rajkovi
Diplomsko delo univerzitetnega študijaSmer organizacija in
management informacijskih
sistemov
PRENOVA OMREŽJA Z ZAGOTAVLJANJEM POLNE
FUNKCIONALNOSTI ISO/OSI SLOJEV
Mentor: red. prof. dr. Vladislav Rajkovič Kandidat: Žiga Ko
Kranj, september 2010
Diplomsko delo univerzitetnega študija Smer organizacija in
management informacijskih
ZAGOTAVLJANJEM POLNE FUNKCIONALNOSTI ISO/OSI SLOJEV
Kandidat: Žiga Kočevar
-
ZAHVALA Zahvaljujem se mentorju prof. dr. Vladislavu Rajkoviču
za mentorstvo in strokovne nasvete pri diplomski nalogi.
Zahvaljujem se podjetju Status d.o.o., ki mi je omogočilo izdelavo
diplomske naloge. Hvala moji družini, ki me je podpirala med
študijem.
-
POVZETEK Diplomsko delo obravnava predlog prenove
komunikacijskega omrežja v podjetju Status d.o.o.. V nalogi so
opisane osnove računalniških omrežij, posnetek obstoječega stanja
in predlog rešitve, ki bi najbolj ustrezala organizaciji. Predlog
prenove računalniškega omrežja obravnava zamenjavo aktivne omrežne
opreme na centralni in oddaljeni lokaciji s komunikacijsko opremo
proizvajalca Cisco. Uporabili smo centralno stikalo, dostopovna
stikala in usmerjevalnik, ki opravlja tudi funkcijo požarne
pregrade. Na oddaljeni lokaciji se predvideva namestitev
usmerjevalnika in stikala. Oddaljeno lokacijo smo z glavno lokacijo
povezali preko OpenVPN omrežja. Rezultat predloga prenove omrežja
je stabilno, varno in zanesljivo komunikacijsko omrežje, ki
zagotavlja podporo vsem procesom, ki tečejo v podjetju. KLJUČNE
BESEDE
• računalniško omrežje • komunikacijske naprave • Cisco •
stikalo • usmerjevalnik
ABSTRACT The thesis deals with the proposal for reengineering of
the communications network for Status d.o.o. company. In my thesis
I have described the basics of computer networks, described the
current status and the proposed solutions that would best suit the
organization. The proposal for the replacement of the computer
network treats the replacement of the active network equipment at a
central and at a remote location with the communications equipment
by the manufacturer Cisco. We used a central switch, access
switches and a router, which also acts as a firewall. We proposed
to install a router and an access switch at a remote location. We
connected the remote location with the main location via the
OpenVPN network. The result of the reengineering is a stable,
secure and reliable communications network that provides support to
all processes running in the organization.
KEYWORDS
• Computer network • Communications equipment • Cisco • Router •
Switch
-
KAZALO 1 Uvod
.................................................................................................................
1
2 Metodologija
......................................................................................................
2
2.1 Definicija problema
.....................................................................................
2
2.2 Definicija ciljev
...........................................................................................
2
2.3 Predvideni rezultati
.....................................................................................
2
2.4 Predlagane metode dela in orodja
..............................................................
2
2.5 Omejitve in predpostavke
...........................................................................
4
3 Predstavitev podjetja
.........................................................................................
5
3.1 Informacijska tehnologija v Status d.o.o.
.................................................... 5
4 Računalniška omrežja
.......................................................................................
6
4.1 Osnovni gradniki računalniških omrežij
...................................................... 6
4.1.1 Vozlišče
..............................................................................................
6
4.1.2 Ponavljalnik
.........................................................................................
6
4.1.3
Razdelilnik...........................................................................................
7
4.1.4 Stikalo
.................................................................................................
7
4.1.5 Most
....................................................................................................
8
4.1.6 Usmerjevalnik
.....................................................................................
8
4.1.7 Privzeti prehod
....................................................................................
9
4.1.8 Prenosni kanal
....................................................................................
9
4.2 Prenosni mediji
........................................................................................
10
4.2.1 Parica
................................................................................................
10
4.2.2 Koaksialni kabel
................................................................................
10
4.2.3 Optično vlakno
..................................................................................
11
4.2.4 Brezžične zveze
................................................................................
12
4.3 Delitev računalniških omrežij
....................................................................
12
4.3.1 Delitev glede na
velikost....................................................................
12
4.3.2 Topologija omrežja
............................................................................
13
4.4 ISO/OSI referenčni model
........................................................................
16
4.4.1 Fizični sloj
.........................................................................................
16
4.4.2 Povezovalni sloj
................................................................................
17
4.4.3 Omrežni sloj
......................................................................................
17
4.4.4 Transportni sloj
.................................................................................
18
4.4.5 Sejni sloj
...........................................................................................
19
4.4.6 Predstavitveni sloj
.............................................................................
19
4.4.7 Aplikacijski sloj
..................................................................................
20
-
4.5 TCP/IP referenčni model
..........................................................................
21
4.5.1 Vmesniški sloj
...................................................................................
22
4.5.2 Medmrežni sloj
..................................................................................
22
4.5.3 Transportni sloj
.................................................................................
22
4.5.4 Aplikacijski sloj
..................................................................................
22
5 Opis obstoječega stanja pred prenovo
............................................................ 23
6 Prenova računalniškega omrežja
....................................................................
25
6.1 Predlog rešitve
.........................................................................................
25
6.2 Konfiguracija glavnega stikala
..................................................................
27
6.3 Konfiguracija glavnega usmerjevalnika
.................................................... 30
6.3.1 Zgradba in lastnosti usmerjevalnika
.................................................. 30
6.3.2 Usmerjanje mrežnega prometa
......................................................... 31
6.3.3 Osnovna konfiguracija usmerjevalnika
.............................................. 34
6.3.4 Požarni zid
........................................................................................
36
6.3.5 Konfiguracija NAT
.............................................................................
37
6.3.6 VPN povezava
..................................................................................
38
7 Zaključek
.........................................................................................................
40
LITERATURA
.........................................................................................................
41
KAZALO SLIK
........................................................................................................
42
KAZALO TABEL
.....................................................................................................
42
KRATICE IN
AKRONIMI.........................................................................................
43
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 1
1 Uvod Vloga informacijske tehnologije se v današnjih malih in
srednje velikih podjetjih spreminja. Ker postajajo organizacije in
tekmeci vse bolj globalni, vzdržujejo stike s partnerji,
dobavitelji in strankami prek omrežne tehnologije. Informacijska
tehnologija predstavlja nepogrešljivo hrbtenico podjetja, saj
zagotavlja zanesljivo izvajanje poslovnih procesov. Današnje
poslovne strategije se vse bolj opirajo na informacijsko
tehnologijo, razlogov za to pa je več. Temeljni poslovni procesi
večinoma temeljijo na IT sistemih in so vse bolj pomemben dejavnik
razlikovanja na konkurenčnem trgu. Pri tem je ena izmed nalog
informacijske tehnologije stroškovno učinkovita podpora glavnim
poslovnim procesom. Slaba prepustnost, izpad ali celo vdor v
omrežje lahko resno ohromijo poslovanje podjetja in ogrozijo
njegovo finančno stabilnost. Da bi ostala konkurenčna in se
razvijala naprej, morajo podjetja uvajati tehnologijo in omrežne
rešitve. Vsaka investicija v omrežje za podjetje predstavlja velik
strošek, zato jo je treba upravičiti. Večina organizacij je
seznanjena s prenovo omrežij. To je disciplina, ki pomaga
zagotoviti, da omrežja ostanejo prilagojena potrebam svojih
uporabnikov, kar pomaga povečati produktivnost in prihraniti
stroške. Prenova zajema celotno planiranje, analizo, načrtovanje in
izvajanje sprememb v sistemu. Zagotoviti moramo, da je računalniško
omrežje v celoti izkoriščeno in enostavno za upravljanje. Šele ko
bodo podjetja znala oceniti prednosti, ki jih informacijska
infrastruktura prinaša v ustvarjanje vrednosti in spremenila
videnje, da je to naložba in ne strošek, bo slednja postala
konkurenčna prednost in platforma za nove poslovne priložnosti.
Strategija razvoja IT infrastrukture mora odsevati poslovno
strategijo podjetja, zato jo je treba ves čas obnavljati, njene
prednosti pa dokazovati s stalnimi izboljšavami poslovnih
rezultatov.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 2
2 Metodologija 2.1 Definicija problema V podjetju Status d.o.o.
želimo narediti analizo obstoječega računalniškega omrežja in ga po
potrebi tudi nadgraditi oz. prenoviti. Nemogoče je doseči popolno
delovanje celotnega računalniškega sistema, z zanesljivo, stabilno
in odzivno infrastrukturo pa se tem procentom lahko približamo. 2.2
Definicija ciljev Pripraviti želimo predlog posodobitve
računalniškega omrežja, saj so se od vzpostavitve omrežja pa do
danes pojavile nove tehnologije, ki omogočajo nove storitve,
hitrejši prenos podatkov in boljši nadzor nad sistemom.
Cilji naloge so:
• Spoznati osnove računalniških komunikacij • Skupaj z
naročnikom oblikovati predlog prenove obstoječega omrežja •
Upravljati komunikacijsko opremo proizvajalca Cisco preko
linijskega vnosa
ukazov 2.3 Predvideni rezultati V podjetju Status d.o.o. si
želimo najti optimalne karakteristike računalniškega omrežja, saj
se zavedamo, da komunikacijsko omrežje predstavlja enega od
temeljev v celotni IT infrastrukturi. Rezultat prenove bo prinesel
zanesljivo, varno, odzivno in obvladljivo komunikacijsko omrežje,
ki bo zagotavljalo nemoteno delo in potek vseh procesov v podjetju.
2.4 Predlagane metode dela in orodja Za izvedbo predloga rešitve
bomo uporabili preizkusno različico orodja Boson NetSim Network
Simulator, ki nam omogoča načrtovanje in konfiguracijo omrežja z
različnimi produkti proizvajalca Cisco. Z enostavnim vmesnikom
najprej izberemo naprave, ki jih želimo imeti v našem omrežju. Nato
naredimo še povezave med napravami in s tem imamo postavljeno
virtualno omrežje.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 3
Slika 1: Načrtovanje omrežja s programsko opremo Boson
NetSim
Nato se preselimo v okolje za konfiguracijo naprav. Tukaj se
srečamo z operacijskim sistemom za medmrežje Cisco IOS (ang. Cisco
Internetwork Operating System). Gre za prvo programsko opremo z
infrastrukturo omrežja, ki omogoča brezhibno integracijo
tehnoloških novosti, ključnih poslovnih storitev in podpore za
strojno opremo. Ukaze vnašamo v konzolo in s tem konfiguriramo
stikalo oz. usmerjevalnik.
Slika 2: Konfiguracija naprav z linijskim vnosom ukazov
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 4
2.5 Omejitve in predpostavke Omejitve se pojavljajo pri višini
investicije, saj podjetje v tem trenutku ni pripravljeno vlagati v
informacijsko tehnologijo. Cena investicije ni ravno nizka za malo
podjetje, je pa nujna za izboljšanje delovanja omrežja.
Predpostavljamo, da bo prenovljeno omrežje zagotavljalo polno
funkcionalnost ISO/OSI slojev in bo imelo veliko možnosti za
nadgradnjo tudi v prihodnosti.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 5
3 Predstavitev podjetja Podjetje Status d.o.o. je bilo
ustanovljeno leta 1995 po 15-letnih izkušnjah v samostojnem
podjetništvu. Gre za sodobno podjetje, ki ustvarja in proizvaja
inovativne kuhinjske in gospodinjske pripomočke. V podjetju
načrtujejo in izvajajo ves življenjski cikel njihovih izdelkov – od
njihovega načrtovanja, oblikovanja in izdelave do tržnega
komuniciranja, prodaje in servisnega centra uporabnikom izdelkov.
Podjetje ima sedež v Metliki, kjer je zaposlenih 35 ljudi. Poleg
Metlike imajo tudi predstavništvo v hrvaškem Karlovcu, ki pokriva
prodajo izdelkov za trg Hrvaške in Srbije. Združujejo znanja s
področij strojništva, tehnologije, zagotavljanja kakovosti,
oblikovanja, ekonomije, komunikologije in podjetništva. Ponudbo
krepijo in izboljšujejo vsako leto. Uporabniki so prva in zadnja
kontrolna točka, izdelke poskušajo prilagoditi njihovim željam in
potrebam. Trudijo se, da so izdelki kvalitetni, učinkoviti in
enostavni za uporabo. Izdelke prodajajo po vsem svetu. Največ, kar
90% izdelkov prodajo v EU, kjer so glavni trgi Nemčija, Italija,
Francija in Velika Britanija. Ostalo prodajo drugod po svetu,
predvsem v ZDA in na Japonsko. (Vir: http://www.status.si/) 3.1
Informacijska tehnologija v Status d.o.o.
• 20 osebnih računalnikov • 1 strežnik (Windows Server 2003) • 4
stikala • 1 usmerjevalnik • 1 modem • 16 telefonskih priključkov (9
ISDN, 7 analognih) • 8 tiskalnikov • 1 brezprekinitveni napajalnik
(UPS) • Operacijski sistem Windows XP Professional • Aplikacije
(Microsoft Office 2003, Autodesk Inventor, Adobe Creative Suite
4,
Poslovni informacijski sistem 4.0)
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 6
4 Računalniška omrežja Računalniško omrežje je skupina med seboj
povezanih računalnikov, ki si delijo informacije in opremo. Ti
računalniki so lahko v isti sobi, isti stavbi, na različnih koncih
mesta ali sveta. Računalnike povežemo v omrežje z namenom deljenja
skupnih virov (podatkovnih ali procesorskih), poenotenjem dela,
zniževanjem cene vzdrževanja in popravil, centralnega nadzora in
administracije poslovnih aktivnosti ter poglobljenega sodelovanja
med ponudniki in uporabniki. Gre za povezavo računalniške
tehnologije (strojna oprema, operacijski sistemi, programi) in
komunikacijske opreme (prenos-transport podatkov). 4.1 Osnovni
gradniki računalniških omrežij Osnovni gradniki ožičenih omrežij so
vozlišče, ponavljalnik, razdelilnik, stikalo, most, usmerjevalnik,
privzeti prehod in prenosni kanal. 4.1.1 Vozlišče Vozlišče (vozel)
je naprava, ki v omrežju opravlja komunikacijske naloge. Vozlišče
je lahko končno ali vmesno. Končno vozlišče običajno predstavlja
kar sam računalnik, s katerim se povezujemo v omrežje. V njem
informacija nastaja in/ali se koristi (senzor, aktuator, daljinska
postaja, nadzorna postaja,…) Vmesno vozlišče je stičišče dveh ali
več povezav in praviloma nima priključenih računalnikov. Je
posrednik informacije, saj opravlja različne naloge, kot je
usmerjanje paketov ali povezovanje različnih omrežij. 4.1.2
Ponavljalnik Ponavljalnik povezuje dve identični omrežji in prenaša
podatke po obeh omrežjih. Naloga ponavljalnika je, da signal, ki ga
sprejme na enem vmesniku, ojači in obnovi ter preusmeri na
preostale vmesnike. Pri tem pride do majhnih zakasnitev, zato je
število ponavljalnikov v omrežju omejeno. Ponavljalnike uporabljamo
v primerih, ko se pojavijo potrebe po povečanju števila delovnih
postaj oziroma fizične razsežnosti omrežja. Glede na različne
prenosne medije je namreč omejeno maksimalno število postaj, ki jih
lahko povežemo med seboj in dolžina prenosnega medija, ki te
postaje povezuje. Za ponavljalnik je značilno, da ne preverja
vsebine paketa, ampak signal le ojači in obnovi, zato ga uvrščamo
med naprave, ki delujejo na fizični plasti referenčnega modela
ISO/OSI. Med seboj se ločijo po številu segmentov, ki jih
povezujejo in tipu konektorjev, ki so vezani na prenosni medij.
Delovne postaje, ki so povezane med seboj s prenosnim medijem in na
tej povezavi ne vsebujejo nobene naprave za medomrežno povezovanje,
tvorijo svoj segment omrežja. Zaradi številnih slabosti in
pomanjkljivosti se ponavljalniki vse manj uporabljajo. Ker je
njihovo število v omrežju omejeno, niso primerni za gradnjo večjih
omrežij. (Vir: http://en.wikipedia.org/wiki/Repeater)
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 7
4.1.3 Razdelilnik Omrežje, ki ga sestavljata le dve napravi, je
dokaj preprosto postaviti. Če imata napravi vsaka svojo ethernet
vtičnico, ju preprosto povežemo s prekrižanim (crosswired ali
crossover) kablom. Ta se od običajnega ethernet kabla razlikuje po
tem, da ima kontakte na eni izmed vtičnic obrnjene. Z njim lahko
dve napravi povežemo, ne da bi posegli po razdelilniku. Ko je
naprav več, ne gre brez namenske posebne opreme. Običajni
razdelilniki imajo kar nekaj slabosti: naenkrat podpirajo samo
prenos v eno smer, tako da lahko omrežna naprava podatke pošilja
ali pa prejema, ne more pa početi obojega hkrati. Ena izmed
omrežnih naprav pošlje podatek razdelilniku, ta pa ga pošlje vsem
drugim napravam v omrežju. Naprava, ki ji je podatek namenjen, nato
podatke sprejme. Ko je v omrežju večje število naprav, je omrežje z
razdelilniki precej obremenjeno, saj lahko v danem trenutku podatke
oddaja le ena naprava v omrežju, vse druge pa jih sprejemajo. Ker
so podatki načeloma namenjeni le eni izmed naprav v omrežju, gre za
precejšno izgubo časa. (Vir:
http://wiki.fmf.uni-lj.si/wiki/Razdelilnik)
4.1.4 Stikalo Stikalo operira na drugi (podatkovno-povezovalni)
plasti modela ISO/OSI in lahko usmerja promet glede na strojni
naslovov (MAC), zato pravimo, da izvaja fizično usmerjanje.
Naprednejša L3 (Layer 3) stikala lahko izvajajo tudi logično
usmerjanje naslovov IP in tako prevzemajo nekatere funkcije
usmerjevalnikov. V primerjavi z navadnimi razdelilniki imajo
stikala dve pomembni prednosti: naprava, priklopljena na stikalo,
lahko hkrati pošilja in prejema podatke, ob tem pa stikalo poskrbi
tudi za to, da je podatek, ki ga ena naprava pošilja, poslan samo
tisti napravi v omrežju, kateri je podatek namenjen. Povezave do
drugih naprav so proste, zato se po njih lahko prenašajo drugi
podatki. Zaradi omenjenih lastnosti so stikala precej bolj primerna
za povezovanje omrežnih naprav, razlike pa so še posebej opazne, ko
presežemo okvire povprečnega domačega omrežja in je število naprav
v omrežju večje. Vsaka posamezna naprava lahko s takim načinom
priklopa izkoristi celotno pasovno širino, ki ji je na voljo.
Medtem pa si pri priklopu z razdelilnikom vse naprave v omrežju
delijo pasovno širino. Ker so stikala postala cenovno ugodna in pri
opravljanju svojih funkcij ne ovirajo omrežnega prometa, se
običajni razdelilniki počasi poslavljajo, tudi iz manjših omrežij.
(Vir: http://en.wikipedia.org/wiki/Network_switch)
Slika 3: Primer stikala
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 8
4.1.5 Most Most oziroma premoščevalnik medsebojno povezuje
omrežja. Če je lokalno omrežje povezano z mostom, lokalno omrežje
zapustijo podatki, ki so namenjeni v drugo lokalno omrežje. Je
novejšega izvora kot ponavljalnik, a je bolj zahtevna naprava, ki
podatke ojača in pošlje na ustrezen vmesnik. Podatke pred tem
najprej shrani v medpomnilnik, jih preveri in če ni napak, podatke
pošlje naprej na ustrezen vmesnik (enega ali več premoščevalnikov),
odvisno od ciljnega naslova. Most je počasnejši od ponavljalnika in
deluje na drugi plasti modela OSI. Za tovrstne naprave je značilno,
da število naprav v omrežju ni omejeno, z njimi lahko delno
povečamo prepustnost omrežja, omogočajo tudi povezavo različnih LAN
omrežij med seboj (Ethernet, Token Ring). Most sprejme vse pakete
iz vseh segmentov, na katerih se nahaja s svojimi vmesniki. Za vsak
vmesnik ima vpisane MAC naslove postaj, ki se nahajajo na istem
segmentu kot pripadajoči vmesnik. Most pregleda vsak paket. Odloča
se po naslednjih kriterijih:
• Če se ponorni naslov ne ujema s ponornimi naslovi v tabeli
vmesnika, ki je paket sprejel, pogleda v tabelo ostalih vmesnikov
in pošlje paket na tisti vmesnik, katerega naslov se nahaja v
tabeli ali pošlje paket na vse vmesnike, če se ponorni naslov ne
nahaja v nobeni izmed tabel vmesnikov.
• Če prepozna, da je ponorni naslov vpisan v tabeli za vmesnik,
ki je sprejel ta
paket, pomeni, da se naslovljena postaja nahaja na istem
segmentu, zato paket zavrže.
Poznamo lokalne premoščevalnike (local bridge), ki med seboj
povezujejo segmente lokalnega omrežja in oddaljene premoščevalnike
(remote bridge), ki med seboj povezujejo oddaljena lokalna omrežja.
Ti premoščevalniki so počasni, zato jih zamenjujejo preklopna
stikala in usmerjevalniki. (Vir:
http://en.wikipedia.org/wiki/Network_bridge)
4.1.6 Usmerjevalnik Usmerjevalnik je naprava, ki povezuje dve
ali več različnih omrežij. Njegove funkcije so omejevanje prometa,
prenašanje prometa na manjša omrežja in izbira najustreznejše poti
za potovanje podatkovnih paketov do njihovega cilja. S tem
zmanjšujejo promet v omrežju. Usmerjevalniki operirajo z mrežnimi
naslovi, ki so definirani na tretjem sloju referenčnega modela OSI.
Zato pravimo, da je usmerjevalnik naprava, ki deluje na tretjem
(mrežnem) sloju OSI modela. Usmerjevalniki lahko delujejo kot
požarni zid (ang. firewall). Požarni zid je pregrada, ki
nezaželenim podatkovnim paketom preprečuje vstop v določene dele
mreže ali izstop iz njih. Požarni zid je torej ločnica med
internetom in lokalnim omrežjem, ki preprečuje same vdore v lokalno
omrežje. Dostop do interneta in iz njega je mogoč le preko
računalniškega požarnega zidu. Zato je tipična uporaba
usmerjevalnika na
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 9
mestu, kjer se krajevna mreža priključuje na internet. Z vpisom
v sezname dostopa določimo, kateri zunanji in notranji računalniki
so dostopni in kateri protokoli so dovoljeni. (Vir:
http://en.wikipedia.org/wiki/Router)
Slika 4: Primer usmerjevalnika
4.1.7 Privzeti prehod Prehod je skupek strojne in programske
opreme, potrebne za komunikacijo dveh tehnološko različnih omrežij,
ki zagotavlja pretvorbo protokolov iz ene omrežne arhitekture v
drugo. Naloga prehoda je, da različnim računalniškim sistemom, ki
med seboj niso neposredno združljivi, dajejo občutek, kot da
komunicirajo z enakim sistemom na drugi strani. Prehod pogosto
uporabljamo kot vhodno-izhodno točko pri povezovanju krajevnega
omrežja z globalnim. Pri tem pretvornik poskrbi, da bodo v lokalno
omrežje vstopali le paketi, namenjeni temu omrežju in obratno –
izstopajo pa samo paketi, namenjeni računalniku ali napravi zunaj
tega omrežja. Ves lokalni omrežni promet ostaja znotraj krajevnega
omrežja. V veliko primerih ima naprava IP prehod identičen svojemu.
Če je IP naslov 10.10.25.0, potem je IP naslov prehoda navadno
10.1.25.1. (Vir: http://en.wikipedia.org/wiki/Default_gateway)
4.1.8 Prenosni kanal Prenosni kanal predstavlja fizično ali
logično povezavo med dvema vozliščema. Fizično je to lahko bakrena
parica, optični kabel, zrak, logično pa npr. eden izmed
multipleksiranih kanalov na eni fizični povezavi. Glavne lastnosti,
po katerih ločimo kanale, so:
• Način komunikacije: popolno dvosmeren (ang. Full duplex),
polovično dvosmeren (ang. Half duplex), enosmeren (ang.
simplex).
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 10
• Način prenosa: zaporedni (serijski) kanal, po katerem
pošiljamo bit za bitom in vzporedni (paralelni) kanal, ki omogoča
prenos več bitov hkrati (8, 16, 32,...).
• Način sinhronizacije: asinhroni ali sinhroni kanal. •
Tehnologija prenosa: dvotočkovni, skupinski kanal.
4.2 Prenosni mediji Prenosni medij v fizični plasti je lahko
prepleteni par bakrenih žic, optični kabel, koaksialni kabel,
mikrovalovi ali radijski valovi. Fizični nivo vključuje tudi
oddajnike, sprejemnike, konektorje, ponavljalnike. 4.2.1 Parica
Sukana parica (ang. Twisted pair) je sestavljena iz dveh ali več
prepletenih bakrenih žic, ki so izolirane in med seboj prepletene.
Poznamo več različic sukanih paric, najpogostejše med njimi so:
neoklopljena parica (ang. Unshielded twisted pair - UTD), s folijo
oviti prepleteni kabli (ang. Foiled twisted pair - FTP) in
oklopljena parica (ang. Shielded twisted pair - STP). Več
prepletenih parnih žic je pogosto med seboj prepletenih v kabel.
Število paric v kablu je različno. V računalniških omrežjih se
večinoma uporabljajo kabli s štirimi paricami. Hitrost prenosa po
sukani parici je odvisna od razdalje. Po njih se lahko prenašajo
tako digitalni, kot tudi analogni signali. Zaradi nizke cene so
zelo priljubljen medij, še zlasti v lokalnih omrežjih. (Vir:
http://en.wikipedia.org/wiki/Twisted_pair)
Slika 5: Parica
4.2.2 Koaksialni kabel Koaksialni kabel sestavlja vodnik, obdan
s plastjo izolacije, kovinskim pletenim plaščem in z zunanjim
zaščitnim plaščem. Koaksialni kabel uporabljamo za prenos signala
na razdaljah do 15 kilometrov. Omogoča hitrosti do 50 Mb/s, ki so
zelo primerne za gradnjo lokalnih računalniških in televizijskih
mrež. Prednosti koaksialnega kabla so majhna občutljivost na
elektromagnetne vplive od zunaj, majhno sevanje navzven ter
enostavno širjenje mreže brez motenja tekočega delovanja. To se
lahko sprevrže tudi v pomanjkljivost, ker omogoča vdor v mrežo.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 11
Slabost je višja cena kot pri UTP kablih, zato se ga le redko
uporablja. Srečujemo ga predvsem v starejših omrežjih. (Vir:
http://en.wikipedia.org/wiki/Coaxial_cable)
Slika 6: Koaksialni kabel
4.2.3 Optično vlakno Optična vlakna so dielektrične strukture,
ki omogočajo vodenje svetlobe na velike razdalje z majhnimi
izgubami. Vlakna se med seboj razlikujejo po premeru jedra in
seveda njihovi sestavi. Tista z manjšim jedrom se imenujejo
enorodovna vlakna, večji premer jedra pa imajo mnogorodovna vlakna.
V enorodovnem vlaknu se širi svetloba le na en način, v obliki
enega snopa, t.i. rodu. Pri mnogorodovnem vlaknu se pa širi na več
načinov v več rodovih, kar lahko povzroči problem medrodovne
disperzije. Disperzija se pojavlja tudi v enorodovnem vlaknu, a v
drugačni obliki. Optično vlakno deluje na principu popolnega odboja
svetlobnih žarkov. Da bi dobili optični kabel, uporabimo isto vrsto
stekla po vsej dolžini kabla za jedro, okoli stekla pa je odbojna
prevleka, ki pogojuje lom svetlobe. Podatki potujejo po optičnem
vlaknu s približno hitrostjo svetlobe v vakuumu (300.000 km/s).
(Vir: http://en.wikipedia.org/wiki/Optical_fiber)
Slika 7: Optični kabel
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 12
4.2.4 Brezžične zveze Brezžični prenosi ne potrebujejo fizične
povezave, ker signali potujejo po zraku oziroma skozi prostor.
Najpogostejše brezžične povezave v obe smeri potekajo s pomočjo
satelitov, mikrovalovnih zvez ali mobilnih telefonov. Mikrovalovni
prenosi so se od vseh štirih načinov pojavili najprej. Obratujejo z
mikrovalovnimi frekvencami. Uporabljajo se lahko le na relativno
majhnih razdaljah. Dodaten problem povzroča občutljivost na
atmosferske motnje. Satelitski prenos omogočajo geostacionarni
sateliti 36.000 kilometrov visoko. S teh višin lahko pokrivajo
sateliti velik del zemeljske površine. Komunikacijska sposobnost
satelitov je zelo velika in znaša 40.000 istočasnih telefonskih
linij ali 200 televizijskih kanalov. Problem pri satelitskih
komunikacijah je omejeno število satelitov. Število je omejeno
zaradi tega, ker bi se sicer satelitski signali med seboj mešali in
bi prišlo do motenj v obliki presluha. 4.3 Delitev računalniških
omrežij Omrežja lahko delimo po več kriterijih. Za ločevanje je
pomembna tehnologija prenosa, velikost omrežja in topologija. V
splošnem jih razčlenimo na krajevna (LAN) in prostrana (WAN)
omrežja. 4.3.1 Delitev glede na velikost Omrežje delimo glede na
velikost v grobem na tri dele, ki jih prikazuje spodnja tabela:
Razdalja Povezava Velikost omrežja Tehnologija
0,1 m Osnovna plošča
Ni omrežje v pravem
pomenu besede
Multiprocesor, več procesorjev na kartici
1 m Računalnik Multiračunalnik, več procesorjev v omari
10 m Soba
LAN
Ethernet, RS-232, FDDI 100 m Stavba Več segmentov Etherneta,
FDDI, RS-232 1 km Okoliš Klicni modem, ISDN, FDDI
10 km Mesto MAN
DQDB, klicni modem, hitri Ethernet, FDDI
100 km Država
WAN
Klicni modem, medomrežno povezovanje
1000 km Kontinent Satelitsko povezana omrežja 10000
km Planet Internet
Tabela 1: Delitev omrežij glede na velikost
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 13
Lokalno omrežje Lokalno omrežje LAN (Local Area Network) je
omrežje, ki povezujejo različne računalniške enote v omejenem
prostoru, na primer doma, v šoli, v podjetju. Lokalno omrežje je
osnovni gradnik vsakega računalniškega omrežja. Lokalno omrežje
lahko sega od enostavnega (dva računalnika, ki sta povezana preko
medija) do kompleksnega (na stotine povezanih računalnikov in
perifernih enot). Značilnost lokalnih omrežij je v tem, da so to
zasebna omrežja, ki se nahajajo znotraj neke stavbe ali območja na
razdalji nekaj kilometrov. Običajno imajo enotno administracijo. V
lokalnih omrežij je malo napak pri prenosu podatkov. Hitrosti, ki
jih dosegajo, so od 10 do 1000 Mb/s. Značilna tehnologija sloni na
skupnem prenosnem kanalu v obliki vodila z decentralizirano
kontrolo dostopa do kanala. To tehnologijo je v prakso prenesel
»Ethernet«, ki ga je danes že v veliki večini zamenjal desetkrat
hitrejši »Fast Ethernet«.
Mestno omrežje Mestno omrežje (ang. MAN - Metropolitan Area
Network) je omrežje, ki ima vse lastnosti lokalnih omrežij, pokriva
pa tudi širše območje (npr. velikost mesta). Najboljši primer
mestnega omrežja je omrežje kabelske televizije, ki je na razpolago
v mnogih mestih. Ta sistem je zrasel iz skromnih skupnih anten, ki
so se uporabljale za sprejem slabih televizijskih signalov. V
takšnem sistemu se je na vrhu hriba nahajala antena, ki je nato
signal peljala do posameznih gospodinjstev. To so bili običajno na
hitro narejeni in lokalno načrtovani sistemi. Ko so se začeli
nekateri ukvarjati s tem poslom, so se omrežja razširila na celotna
mesta. Naslednji korak so bili posebni programi, ki so bili
emitirani v določenem kabelskem sistemu. Običajno so bili kanali
specializirani, npr. za šport, politiko, kuhanje, aerobiko in
podobno. Do leta 1990 so se uporabljali samo za TV signale. Ko je
Internet privabil širše množice, so operaterji kabelske televizije
pričeli z izdelavo sprememb v omrežju, ki je omogočala dvosmerni
promet. Neuporabljen spekter so uporabili za povezavo z internetom.
V tem trenutku so se distribucijski TV sistemi začeli spreminjati v
mestna omrežja. Prostrano omrežje WAN - Wide Area Network povezuje
med seboj različna krajevna omrežja in bolj oddaljene računalnike v
eno samo. Prostrana omrežja nimajo geografskih omejitev. Poveže
lahko tudi računalnike ali druge naprave v določeni pokrajini, v
državi ali celo na nasprotnih straneh sveta. WAN je običajno
sestavljen iz več med seboj povezanih LAN. Danes je najbolj poznano
prostrano omrežje Internet. Največji problem prostranih omrežij je
pravilno iskanje najbolj učinkovitih poti do naslovnika ali
usmerjanje. 4.3.2 Topologija omrežja Po definiciji topologijo
omrežij opredeljujejo vozlišča in povezave med njimi. Povezave med
glavnimi vozlišči omrežja imenujemo hrbtenica omrežja. Med
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 14
vozlišča običajno ne štejemo končnih računalnikov (čeprav ga
lahko smatramo kot končno vozlišče), ki jih ločimo od vozlišč
predvsem po tem, da vozlišča ne generirajo uporabniškega prometa,
ampak ga samo posredujejo. Topologija vodila Topologija vodila
omogoča povezavo različnih operacijskih sistemov. Vse delovne
postaje, med katere štejemo terminale, osebne računalnike,
računalnike, grafične postaje, vozlišča, so povezane z enotnim
vodnikom. Tako prenos podatkov poteka podobno kot po vodilu. Vse
enote na vodilu lahko zaznavajo vse signale hkrati. Omrežje s
topologijo vodila je ethernet. Tovrstna topologija je ena najbolj
razširjenih v svetu lokalnih omrežij.
Slika 8: Topologija vodila
Topologija zvezde Topologija ima le eno vozlišče, na katero so
priključeni vsi računalniki. Je zelo enostavna, zato pa zelo
ranljiva. Število priključkov na vozlišče je omejeno s številom
priključnih mest na aktivni opremi.
Slika 9: Zvezdna topologija
Topologija obroča Več vozlišč nanizamo drugo za drugo v obroč.
Topologija obroča je bolj trdoživo od zvezdne topologije, saj so ob
izpadu vozlišča prizadeti le lokalni uporabniki. Ob izpadu dveh
vozlišč lahko omrežje razpade na dva dela. Pogosto srečamo omrežja,
kjer obročasta topologija povezuje lokalna zvezdna omrežja.
-
Univerza v Mariboru - Fakulteta za organizacijske vede
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev
Slabost topologije je, da je dizvora in ponora. Primer
topologije obro
Topologija drevesa Drevesno topologijo si lahko predstavljamo
kot vesrečamo le redko, navadno v omrežjih lokalnega
dostoterminalov, ki so med seboj povezani
Zankasta topologija V tej topologiji je vsako vozelo zanesljivo.
Število povezav naraškompleksna in draga.
Fakulteta za organizacijske vede Diplomsko delo univerzitetnega
študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev
Slabost topologije je, da je dolžina poti med dvema točkama zelo
odvisna od mesta izvora in ponora. Primer topologije obroča je
sistem Token-Ring.
Slika 10: Topologija obroča
Drevesno topologijo si lahko predstavljamo kot večnivojsko
zvezdo. V praksi jo amo le redko, navadno v omrežjih lokalnega
dostopa (povezuje množico
med seboj povezani s koncentratorji).
Slika 11: Drevesna topologija
V tej topologiji je vsako vozlišče direktno povezano z vsakim
drugim vozlišzelo zanesljivo. Število povezav narašča s kvadratom
števila, zato je topologija
Slika 12: Zankasta topologija
univerzitetnega študija
Stran 15
kama zelo odvisna od mesta
zvezdo. V praksi jo pa (povezuje množico
e direktno povezano z vsakim drugim vozliščem. Je a s kvadratom
števila, zato je topologija
-
Univerza v Mariboru - Fakulteta za organizacijske vede
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev
4.4 ISO/OSI referen ISO/OSI referenčni model (ang. International
Standards Organization Open System Interconnection Reference model)
je referen1977, razvit pa leta 1981. Namenjen je združevanju
sistemov oz. komunikacij med sistemi, ki so odprti in tako
medsebojno združljivi. Razvit je bil z namenom medsebojne povezave
med sistandardi. Osi model sestavljaizločili posamezen dejavnik, ki
je pomemben za koNajprej so imeli namen oblikovati en sam
standardni protokol, ki bi se uporabljal po celem svetu za vse
račvzrokov uporaba protokola omejena. V praksi ga niso širše
sprejelNjegov pomen je predvsem v tem,dejavnike. Lahko služi kot
referenin obnašanje ostalih protokolov. (Vir:
http://en.wikipedia.org/wiki/OSI_model
4.4.1 Fizični sloj Fizični sloj je prva in najnižja plast
ISO/OSI modela raOdgovoren je za pošiljanje bitov iz enega
rafizičnem nivoju ne zanimatočke A do točke B z uporabo
optipovezujejo naprave. Tu skrbijo za vzpostavitev, vzdr
Fakulteta za organizacijske vede Diplomsko delo univerzitetnega
študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev
ISO/OSI referenčni model
ni model (ang. International Standards Organization Open System
Interconnection Reference model) je referenčni model, ki je bil
predlagan že leta 1977, razvit pa leta 1981. Namenjen je
združevanju sistemov oz. komunikacij med
in tako medsebojno združljivi. Razvit je bil z namenom
medsebojne povezave med sistemi, ki imajo različno opremo
sestavlja sedem slojev. Vsak sloj predstavlja poskus, da bi ili
posamezen dejavnik, ki je pomemben za komunikacijo med ra
Najprej so imeli namen oblikovati en sam standardni protokol, ki
bi se uporabljal po celem svetu za vse računalniške komunikacije,
vendar je bila zaradi razlivzrokov uporaba protokola omejena. V
praksi ga niso širše sprejelNjegov pomen je predvsem v tem, da je
celovit in upošteva vse pomembne
ahko služi kot referenčni model, s katerim lahko primerjamo
sposobnosti in obnašanje ostalih protokolov.
http://en.wikipedia.org/wiki/OSI_model)
Slika 13: ISO/OSI referenčni model
ni sloj je prva in najnižja plast ISO/OSI modela računalniških
omrežij. za pošiljanje bitov iz enega računalnika na drugega.
Komponente na
nem nivoju ne zanima, kaj pomenijo biti; njihova naloga je
izkljuke B z uporabo optičnih, električnih ali brezžičnih
tehnologij, ki
so definirane mehanske in električne lastnosti ter skrbijo za
vzpostavitev, vzdrževanje in prekinitev zvez. Fizična plast
definira nivo
univerzitetnega študija
Stran 16
ni model (ang. International Standards Organization Open System
ni model, ki je bil predlagan že leta
1977, razvit pa leta 1981. Namenjen je združevanju sistemov oz.
komunikacij med in tako medsebojno združljivi. Razvit je bil z
namenom
no opremo pod enotnimi predstavlja poskus, da bi
munikacijo med računalniki. Najprej so imeli namen oblikovati en
sam standardni protokol, ki bi se uporabljal po
unalniške komunikacije, vendar je bila zaradi različnih vzrokov
uporaba protokola omejena. V praksi ga niso širše sprejeli in
uporabljali.
da je celovit in upošteva vse pomembne ni model, s katerim lahko
primerjamo sposobnosti
čunalniških omrežij. unalnika na drugega. Komponente na
, kaj pomenijo biti; njihova naloga je izključno prenos iz čnih
tehnologij, ki
ne lastnosti ter funkcije, ki na plast definira nivo
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 17
signala, hitrost prenosa, maksimalno možno razdaljo med
uporabnikoma, mehanske lastnosti konektorjev in podobno. Fizična
plast je verjetno ena najbolj zapletenih plasti v celotni
arhitekturi, saj imamo na trgu ogromno število tehnologij, ki imajo
različne značilnosti. Najpogostejše naprave, ki operirajo na
fizičnem nivoju so modem, mrežna kartica, ponavljalnik,
razdelilnik. (Vir: http://en.wikipedia.org/wiki/Physical_Layer)
4.4.2 Povezovalni sloj Povezovalni sloj je odgovoren za tok
podatkov skozi posamezno fizično povezavo iz ene naprave na drugo.
Sprejema pakete iz omrežnega nivoja in združuje informacije v
podatkovne enote, ki se imenujejo okvir (ang. frame). Ti okvirji so
nato predstavljeni fizičnemu nivoju, ki poskrbi za prenos.
Povezovalni sloj doda podatkom kontrolno informacijo, kot je tip
okvirja. Skrbi tudi za odkrivanje in popravljanje napak, kontrolo
pretoka podatkov ter razvrščanje okvirjev v pravilna zaporedja.
Povezovalni model je razdeljen na 2 podplasti:
• MAC (Media Control Access) nadzoruje dostop podatkov do
fizične plasti. MAC plast omogoča, da si več uporabnikov deli
skupni prenosni medij, tem uporabnikom pa definira enoličen MAC
naslov. Naslov MAC je naslov računalnika, definiran na nivoju
strojne opreme. V omrežjih ethernet je to njegov naslov v krajevni
mreži. Ko se računalnik poveže v omrežje internet, se naslovu MAC
priredi naslov IP. Naslovi MAC so 48 bitni (00-11-6b-1b-46-c6).
• LLC (Logical Link Control) je definiran v IEEE 802.2 standardu
. LLC plast je neodvisna od prenosnega medija in topologije, kar
pomeni, da je skupna vsem pristopnim metodam. Osnovna naloga je
vzpostavitev, vzdrževanje in prekinitev logične povezave med
vozlišči lokalnega omrežja. Zaradi tega vsebuje funkcije za
pravilno interpretacijo naslovnih in kontrolnih polj ter okvirjev
in funkcije za obdelavo nepravilno sprejetih okvirjev.
Protokoli, ki so pogosto uporabljeni v povezovalnem sloju,
so:
• SLIP (Serial Line Internet Protocol) je protokol, ki se
uporablja za serijsko povezavo dveh točk. Je starejša različica
internetnega protokola, v veliki meri ga ja nadomestil PPP
protokol.
• PPP (Point-to-Point Protocol) je protokol, ki omogoča
komunikacijo med usmerjevalniki, ki so lahko od različnih
proizvajalcev, uporablja pa se lahko tudi za povezovanje
uporabnikov z lokalnimi omrežji preko komunikacijskih
strežnikov.
(Vir: http://en.wikipedia.org/wiki/Data_Link_Layer) 4.4.3
Omrežni sloj Omrežni sloj je tretji sloj v ISO/OSI modelu
računalniških omrežij. Skrbi za usmerjanje in prenos podatkov po
omrežju. Paketom pomaga pri usmerjanju na tiste destinacije, kamor
so namenjeni. Usmerjanje je možno na osnovi izvornega in
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 18
ciljnega naslova, ki se nahajata v glavi paketka. Usmerjanje
poteka po različnih kanalih, odvisno od razmer v omrežju. Za
usmerjanje so odgovorni usmerjevalni algoritmi, ki jih izvajajo
usmerjevalniki. Omrežni sloj skrbi za preprečevanje in odpravljanje
zasičenosti omrežja. Ukvarja se tudi z naslavljanjem računalnikov.
Tipični protokoli v omrežnem sloju:
• Internetni protokol (IP) - Računalnik ima v omrežju unikaten
IP naslov, katerega tvori 32-bitno število, ki je za boljši pregled
zapisano s štirimi osembitnimi vrednostmi v desetiški obliki, npr.
88.129.63.18.
• Address Resolution Protocol (ARP) je eden izmed osnovnih
protokolov v mrežni plasti. Odgovoren je za preslikavo internetnega
naslova (IP) v pripadajoči MAC naslov (Media Access Control). Vsa
omrežna strojna oprema ima unikaten naslov MAC, zato imajo vsi
omrežni gradniki dva identifikacijska naslova: IP in MAC.
• Reverse Address Resolution Protocol (RARP) opravlja nasprotno
nalogo kot protokol ARP, saj naslove MAC povezuje z naslovi IP. V
zadnjem času RARP vse pogosteje zamenjujeta BOOTP (Bootstrap
Protocol) in novejši DHCP (Dynamic Host Configuration
Protocol).
• Internet Control Message Protocol (ICMP) se uporablja za
pošiljanje
kontrolnih sporočil in sporočil stanja v internetnem omrežju.
Pakete ICMP razlikujemo po tipu sporočila, ki ga nosijo, to je
lahko zahteva, odgovor na zahtevo, statusna informacija ali vrsta
napake. Ti paketi ne vsebujejo izvornih in ciljnih vrat, ampak le
sporočila, ki imajo številčne oznake.
(Vir: http://en.wikipedia.org/wiki/Network_Layer) 4.4.4
Transportni sloj Transportna ali prenosna plast je vmesnik med
aplikacijsko in omrežno plastjo. Opravlja izvedbo prenosa podatkov
med računalniškimi sistemi. Sprejema zahteve aplikacijske plasti in
jih izvršuje s pomočjo omrežnega sloja in je tako vmesnik med
informacijskim sistemom in omrežjem. Sejni plasti zagotavlja
storitve popolnega transportnega kanala. Prenosni sloj zagotavlja
transparentnost prenosa, odpravljanje napak, kontrolo pretoka ipd.
Med najbolj znane implementacije transportne plasti spadata
protokola TCP in UDP. Tukaj poteka povezavno orientirana
komunikacija. Transportna plast zagotavlja, da paketi prispejo v
končno točko v istem vrstnem redu kot so bili poslani. S pomočjo
sistemov in algoritmov za iskanje in odpravljanje napak transportni
sloj zagotavlja, da so prispeli paketi konsistentni. Ker so
tehnološki viri omejeni, mora prenosna plast skrbeti za regulirano
pošiljanje paketov in s tem preprečiti preobremenjevanje postaj s
prometom. V kolikor kontrola pretoka ni efektivna, je potrebno
nastalo situacijo (zasičenje) odpraviti, zato je ena izmed nalog
transportnega sloja tudi ta, da poskrbi za razrešitev zasičenja
postaj.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 19
• Transmision Control Protocol (TCP) je povezovalno orientiran
protokol, ki ga uporabljajo aplikacije v paketnih računalniških
omrežjih, ki potrebujejo zanesljiv prenos in pravilen vrstni red
dostave.
• User Datagram Protocol (UDP) je ne-povezovalni protokol za
prenašanje
paketov. To pomeni, da odjemalec in strežnik ne vzpostavljata
povezave, ampak strežnik pošilja pakete odjemalcu in ne preverja,
če je odjemalec pakete dobil. Je nezanesljiv protokol, ki temelji
na dostavi z najboljšim namenom. Ne omogoča popravljanja napak.
Uporabljajo ga aplikacije, ki so časovno zahtevne, kot so audio in
video aplikacije.
(Vir: http://en.wikipedia.org/wiki/Transport_Layer) 4.4.5 Sejni
sloj Plast seje je odgovorna za storitve, ki podpirajo logično
povezovanje oddaljenih procesov. Seja je dialog med dvema
sodelujočima aplikacijama ali procesoma na obeh straneh
komunikacijske zveze. Priključitev na oddaljeni računalnik in
pošiljanje podatkov za tiskanje na njegovem tiskalniku bi
potrebovalo storitve sejnega sloja. Sejni sloj določa način,
organizacijo in sinhronizacijo povezave med dvema računalnikoma.
Komunikacija je lahko popolno dvosmerna, polovično dvosmerna ali
enosmerna (ang. full-duplex, half-duplex, simplex). Protokoli, ki
so uporabljeni v tem sloju so naslednji:
• Layer 2 Tunneling Protocol (L2TP) - V računalniških omrežjih
se protokol za tuneliranje uporablja pri podpori za navidezna
zasebna omrežja (VPN). Protokol ne omogoča nobenega šifriranja sam
po sebi, ampak uporablja »IpSec« (avtentikacija in enkripcija
vsakega IP paketa), da preide v tunel za zagotavljanje
zasebnosti.
• Zone Information Protocol (ZIP) – Je AppleTalk protokol, ki
skrbi za razmerja
med omrežnimi številkami in številkami con.
• Network File System (NFS) – To je protokol, ki omogoča dostop
do podatkov preko omrežja.
(Vir: http://en.wikipedia.org/wiki/Session_Layer) 4.4.6
Predstavitveni sloj Predstavitvena plast skrbi za pretvorbo
podatkov v obliko, ki jo lahko razume računalniško okolje na
sprejemni strani in s tem podatke ustrezno predstavi.
Predstavitvena plast vsebuje storitve, kot so stiskanje in
raztezanje podatkov, pretvorba posameznih kontrolnih znakov, ki so
posledica različnih tipkovnic, šifriranje in dešifriranje podatkov.
V tem sloju srečamo naslednje protokole:
• JPEG ali JPG (Joint Photographic Experts Group) je rastrski
slikovni format. Definiran je v YCbCr barvnem prostoru. V nasprotju
z GIF-formatom, ki
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 20
uporablja brezizgubno kompresijo, JPEG-format (lahko) uporablja
izgubno kompresijo, kar pomeni da s kompresijo določene informacije
v sliki izgubimo. Če s stopnjo kompresije ne pretiravamo, razlika
med originalno in kompresirano sliko ni opazna. JPEG-format bitno
sliko najprej pretvori v frekvenčni prostor s pomočjo kosinusove
transformacije (DCT II). Sama kompresija slike je lahko narejena na
več načinov: z rezanjem višje-frekvenčnih komponent, z
zmanjševanjem barvnih komponent (downsampling), s kodiranjem po
metodi ponavljajočih vrednosti (Run Length Encoding) in s
kodiranjem po Huffmanu.
• HTTP (HyperText Transfer Protocol) je glavna metoda za prenos
informacij
na spletu. Protokol je prvotno namenjen objavljanju in
prejemanju HTML strani. Razvoj HTTP so koordinirali WWW konzorcij
in delovne skupine za medmrežni inženiring. Rezultat je bila
publikacija serije RFCjev, predvsem RFC 2616, ki definira HTTP/1.1,
torej različico, ki se uporablja danes v svetu.
• HTTPS (HyperText Transfer Protocol Secure) je zavarovana
različica HTTP.
Uporablja SSL in TLS, da zakodira in s tem zaščiti promet pred
vmesnimi opazovalci. Ta komunikacijski protokol navadno uporablja
priklop številka 443. SSL, ki je bil narejen za HTTP, omogoča
zavarovanje tudi kadar prihaja informacija za kodiranje samo s
strani strežnika.
• MPEG (Motion Picture Expert Group) je standardni format za
zgoščevanje
gibajočega videa. (Vir:
http://en.wikipedia.org/wiki/Presentation_Layer)
4.4.7 Aplikacijski sloj Aplikacijski sloj je vmesnik med
uporabnikom in komunikacijskim omrežjem. Določa protokole, ki
omogočajo elektronsko pošto, izdelavo predstavitvenih strani,
prenašanje datotek in podobno. Skladno z razvojem OSI modela so se
razvijale tudi aplikacije OSI. Tipični protokoli, uporabljeni v tem
sloju, so:
• File Transfer Protocol (FTP) oz. protokol za prenos datotek je
programski standard za prenos datotek med računalniki z različnimi
operacijskimi sistemi. FTP je 8-bitni protokol vrste
strežnik-odjemalec, ki lahko prenaša datoteke brez dodatne
obdelave, kot sta npr. MIME ali uuencode. FTP ima po drugi strani
zelo dolgo latenco – čas med oddajo zahtevka za prenos in dejanskim
začetkom prenašanja podatkov je lahko precejšen. Potreben je tudi
prijavni postopek
• Trivial File Transfer Protocol (TFTP) je okrnjena verzija
FTP-ja. Ne podpira
avtentifikacije ter dostopa do map.
• Simple Mail Transfer Protocol (SMTP) je preprost protokol za
prenos elektronske pošte, ki je standard za prenos elektronske
pošte na Internetu. S temi protokoli prenašamo elektronsko pošto
med različnimi sistemi,
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 21
povezanimi s TCP/IP. To so samo protokoli, ki so namenjeni za
prenose elektronske pošte, medtem ko potrebujemo za sestavo pošte
druge programe, ki jim pravimo uporabniški agenti (user agents).
SMTP struktura je osnovana na modelu povezave kot rezultat zahteve
uporabnika elektronske pošte. SMTP vzpostavi obojestranski prenosni
kanal sprejemniku, ki je lahko končni ali vmesni.
• DNS je kratica za Domain Name System - sistem za domenska
imena. Je
informacijska storitev, namenjena pretvarjanju domenskih imen
strežnikov v internetne naslove (IP številke). Kadarkoli uporabimo
WWW ali elektronsko pošto, uporabimo DNS, ne da bi se tega
zavedali. Če se hočemo povezati z nekim računalnikom, moramo
poznati njegov IP naslov. Ker pa si lažje zapomnimo besede kot
številke, so vpeljali DNS ali Domain Name Server. DNS strežnik si
lahko predstavljamo kot bazo, ki imena računalnikov pretvarja v IP
številke.
(Vir: http://en.wikipedia.org/wiki/Application_Layer) 4.5 TCP/IP
referenčni model V uporabi so številne skupine protokolov, ki
delujejo podobno kot OSI referenčni model ali kak njegov del.
Naštejmo nekatere: IBM SNA (System Network Architecture), Novell
IPX/SPX, Appletalk, DECNET in podobni. V zadnjih nekaj letih se je
močno razširila uporaba TCP/IP. Ta je tesno povezan z Internetom.
TCP/IP omogoča komunikacije na vseh nivojih, od majhnih krajevnih
mrež do velikih širokih omrežij. Omogoča cenovno ugodno rešitev,
saj je že vključen ali pa ga je možno vključiti v večino modernih
operacijskih sistemov. Primerjava med OSI in TCP/IP modelom je
dokaj zapletena. Oba imata svoje prednosti in pomanjkljivosti.
TCP/IP je cenen in prilagodljiv, vendar pa ni dovolj sistematičen.
OSI je sicer sistematičen, vendar je drag in ne nudi dovolj
storitev na aplikacijski plasti. (Gradišar, Resinovič, 2000, str.
326)
Slika 14: TCP/IP referenčni model
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 22
4.5.1 Vmesniški sloj Ta sloj je precej ohlapen glede priporočil.
Ne zahteva ničesar drugega kot to, da je računalnike nekako
potrebno priključiti na omrežje, tako da bodo lahko prejemali in
pošiljali IP pakete. 4.5.2 Medmrežni sloj Je najpomembnejša plast
celotne TCP/IP arhitekture. Računalnikom je potrebno omogočiti, da
pošiljajo pakete na katerokoli točko v omrežju. Paketi potujejo
neodvisno eden od drugega, lahko po različnih poteh, kar lahko
povzroči zamešani vrstni red paketov, kar urejajo višje plasti.
Sloj določa format paketov in protokol IP (Internet protokol).
Glavna naloga plasti je torej usmerjanje paketov proti cilju in
preprečevanje zasičenja omrežja. Po funkcionalnosti je plast
podobna OSI omrežnemu sloju. 4.5.3 Transportni sloj Plast omogoča
podobno kot OSI transportna plast komunikacijo med procesoma na
obeh končnih računalnikih, na izvornem in ponornem. Za to se
uporabljata dva protokola, TCP in UDP. 4.5.4 Aplikacijski sloj
TCP/IP model nima sejne in predstavitvene plasti, ker sta se
izkazali za nepotrebni. Aplikacijska plast tako leži nad
transportno in vsebuje vse visokonivojske protokole. Nekateri od
najpomembnejših protokolov v tej plasti so TELNET, FTP, SMTP, DNS,
NNTP, HTTP in SNMP.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 23
5 Opis obstoječega stanja pred prenovo Podjetje je organizirano
tako, da ima sedež v Metliki in partnersko podjetje v Karlovcu na
Hrvaškem. V podjetju obstaja omrežje, ki je bilo zgrajeno pred
približno sedmimi leti. Do danes še ni bilo nadgrajeno ali
prenovljeno. Omrežje sestavlja komunikacijska oprema, ki je
dotrajana in neustrezna. Večina komponent je cenenih proizvajalcev,
ki ne zagotavljajo polne funkcionalnosti. Računalnike na glavni
lokaciji povezuje eno 24 vratno stikalo proizvajalca Linksys, eno 8
vratno stikalo proizvajalca Jaht in dve 8 vratni stikali
proizvajalca Level One. Dostop do interneta zagotavlja
usmerjevalnik preko ponudnika internetnih storitev ADSL (ang.
Asymmetric Digital Subscriber Line) z osnovno hitrostjo 2M/384
kbit/s. Komunikacijske naprave in računalniki v omrežju so povezani
med seboj s kabli Cat 5e (mehki komunikacijski kabel).
Internet
Usmerjevalnik Planet
ADSL
Strežnik
Uporabniki
Stikala
Slika 15: Shema računalniškega omrežja na centralni lokaciji
Omrežje na oddaljeni lokaciji je sestavljeno iz enostavnega
usmerjevalnika in 8 vratnega stikala. Internetno povezava
zagotavlja ponudnik internetnih storitev, hitrost priključka pa je
osnovna. Komunikacijske naprave in računalniki v omrežju so
povezani med seboj s kabli Cat 5e (mehki komunikacijski kabel).
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 24
Slika 16: Shema računalniškega omrežja na oddaljeni lokaciji
S tehnologom sva ugotovila, da je omrežje zastarelo in izredno
počasno. S tem je onemogočena izmenjava informacij v realnem času,
kar otežuje delo zaposlenih. Omrežje je sestavljeno iz komponent
različnih proizvajalcev, ki so dotrajane in neustrezne za potrebe
manjših podjetij. Prav tako sedanje omrežje ne omogoča domenske
prijave v omrežje, kar zelo otežuje administracijo računalnikov.
Omrežje je nujno potrebno prenove, saj je moten delovni proces, s
tem pa je zmanjšana učinkovitost zaposlenih pri delu. Najbolj nujna
nadgradnja hitrosti dostopa do internetnega ponudnika, saj so
sedanje hitrosti bolj primerne za domača omrežja.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 25
6 Prenova računalniškega omrežja Prenova omrežja mora ustrezati
vsem ciljem podjetja, tako organizacijskih kot tehničnim. Pri tem
mora upoštevati dane omejitve in načrtovan razvoj podjetja v
prihodnje. S prenovo omrežja želimo doseči stabilno, obvladljivo,
prilagodljivo in varno omrežje, ki bo imelo tudi veliko možnosti za
nadgradnjo v prihodnje. V predlogu zamenjave mrežne opreme smo
uporabili omrežno opremo proizvajalca Cisco, katero odlikuje
preprostost uporabe, visoka vzdržljivost, visoka razpoložljivost in
ogromno možnosti za nadgradnjo. Prikazali bomo konfiguracijo
glavnega stikala in usmerjevalnika na centralni lokaciji.
Konfiguracijo smo izvedli s pomočjo programske opreme Boson
NetSim.
6.1 Predlog rešitve V predlogu prenove komunikacijskega omrežja
smo predvideli zamenjavo celotne komunikacijske opreme na glavni
lokaciji v Metliki in na oddaljeni lokaciji v Karlovcu. Prenova
zajema zamenjavo stikal in usmerjevalnikov z novo komunikacijsko
opremo proizvajalca Cisco, ki je zelo zmogljiva in primerna za mala
podjetja. Predlagali smo zamenjavo tehnologije dostopa do interneta
iz sedanjega ADSL na optični vod, saj sedanje hitrosti ne omogočajo
normalnega dela zaposlenih. Predvideva se zamenjava sedanjega 24
vratnega stikala z novim stikalom Cisco WS-C2960-24TC-L, ki podpira
tehnologijo navideznih lokalnih omrežij. V skladišču in v pisarni
službe za kakovost bosta nameščeni stikali Cisco WS-CE520-8PC-UC.
Vsa dostopovna stikala so tipa PoE (ang. Power over Ethernet), saj
se v podjetju dogovarjajo za morebiten prehod na IP telefonijo v
bližnji prihodnosti, ta funkcionalnost pa omogoča napajanje
telefona preko etherneta. Za dostop do interneta smo izbrali
usmerjevalnik Cisco 2811, ki poleg funkcionalnosti usmerjanja
mrežnega prometa služi tudi kot požarna pregrada (ang.
Firewall).
Internet
Uporabniki
Stikalo WS-C2960-24TC-LUsmerjevalnik Cisco 2811
Stikalo WS-CE520-8PC-UC
Stikalo WS-CE520-8PC-UC
Slika 17: Shema prenove LAN na centralni lokaciji
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 26
Na oddaljeni lokaciji je predvidena namestitev enostavnega
stikala Cisco WS-CE520-8PC-UC, saj se tudi tukaj predvideva prehod
na IP telefonijo. Tukaj se predvideva tudi namestitev
usmerjevalnika Cisco 871, ki omogoča vzpostavitve desetih VPN
povezav in 20 uporabnikov internetnih storitev.
Slika 18: Shema prenove LAN na oddaljeni lokaciji
Oddaljena lokacija v Karlovcu bo dostopala do interneta preko
glavne lokacije. Z glavno se bo povezala preko OpenVPN, ki je
elegantna rešitev težav z varnim medomrežnim povezovanjem skozi
najrazličnejša IP omrežja. Nadzor dostopa se izvaja na podlagi
certifikatov odjemalcev in strežnikov, za kriptiranje prometa pa
standardi, ki so tipični za SSL in TLS povezave.
Slika 19: Shema WAN omrežja
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 27
6.2 Konfiguracija glavnega stikala Kot glavno stikalo smo
izbrali Cisco WS-C2960-24TC-L, katerega namestitev za potrebe
podjetja bomo prikazali v naslednjih korakih. Za izbris začetne
konfiguracije stikala uporabimo ukaz »erase startup-config«, ki ga
vnesemo v privilegiranem načinu. Ta ukaz izbriše vsebino, ki je
shranjena v NVRAM-u stikala. Ko vpišemo ukaz »reload« v
privilegiranem načinu, se stikalo ponovno naloži in preide v način
za nastavljanje.
Nato z ukazom »configure terminal« vstopimo v konfiguracijski
način, kjer nastavimo osnovne lastnosti stikala. Z ukazom
»hostname« nastavimo ime stikala, ukaz »username« in »password«
določita uporabnika in geslo, z ukazom »enable secret« pa nastavimo
kriptirano geslo za dostop do privilegiranega načina.
»Line vty« ukaz uporabimo, da nastavimo geslo za dostop do
stikala preko Telneta v uporabniškem načinu. Geslo nastavimo na
liniji navideznega vmesnika.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 28
Zelo pomembna je tudi enkripcija gesel, saj omogoča veliko večjo
varnost. Da bi zakodirali gesla, uporabimo ukaz »service
password-encryption«.
Z ukazom »show running-config« preverimo, ali so naša gesla
kodirana. Zgoraj lahko vidimo, da je temu res tako. Da bi nastavili
IP naslov stikala, uporabimo ukaz »ip address« v konfiguracijskem
načinu na navideznem vmesniku VLAN1.
V našem primeru smo nastavili IP naslov 192.168.11.20 in
24-bitno masko 255.255.255.0. Ne smemo pozabiti na ukaz »no
shutdown«, s katerim aktiviramo izbrani vmesnik. Protokol vpetega
drevesa (ang. Spanning Tree Protocol) je protokol, katerega naloga
je, da najde vse povezave v omrežju in hkrati onemogoči podvajanje
oz. redundanco. Ukaz »spanning-tree mode pvst« določa, da
uporabljamo protokol vpetega drevesa posameznega navideznega
omrežja (ang. Per Vlan Spanning Tree). Ukaz »spanning-tree
loopguard default« ima funkcijo preprečevanja nastajanja namenskih
vrat v primeru napake enosmerne povezave.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 29
Z ukazom »spanning-tree portfast bfdufilter« omogočimo
funkcionalnost hitrih vrat. Ta ukaz uporabimo, kadar so na vrata
priključeni strežniki in delovne postaje.
V vmesniškem načinu smo vnesli še ukaza »spanning-tree portfast«
in »spanning-tree bpduguard enable«. Ukaz »spanning-tree portfast«
uporabimo zaradi boljše odzivnosti na vratih, kamor so priklopljeni
strežniki. Kadar uporabljamo ta ukaz, moramo biti zelo previdni,
saj lahko nehote naredimo zanke, ki nam lahko izredno upočasnijo
pretok informacij znotraj omrežja, prav tako pa težko odkrijemo
vzrok problema.
Če smo že omogočili »Portfast« funkcijo na stikalu, je pametno
omogočiti tudi »BPDUGuard« (ang. Bridge Protocol Data Unit – BPDU
Guard). Ukaz »spanning-tree bpduguard enable« poskrbi, da vrata
preidejo v stanje napake oz. v onemogočeno stanje, če po nesreči
priključimo na tako nastavljena vrata kakšno dodatno stikalo ali
usmerjevalnik.
Vsakič, ko končamo s trenutno konfiguracijo stikala (ang.
running config), je potrebno konfiguracijo shraniti v NVRAM
stikala, saj bodo v nasprotnem primeru nastavitve izgubljene.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 30
Shranjevanje trenutne v začetno konfiguracijo (ang. startup
config) nam omogoča ukaz »copy running-config startup config«.
6.3 Konfiguracija glavnega usmerjevalnika 6.3.1 Zgradba in
lastnosti usmerjevalnika Komponente tipičnega usmerjevalnika Cisco
so sledeče:
• DRAM (Dynamic RAM) je pomnilniški modul tipa RAM, v katerem se
nahaja usmerjevalna tabela, trenutna konfiguracija usmerjevalnika,
tabela »ARP – cache«, predpomnilnik »buffer« za datagrame ter
skupne čakalne vrste.
• NVRAM – NonVolatile RAM je bralno pisalni pomnilniški modul
tipa ROM, na
kateremu je shranjena začetna konfiguracijo usmerjevalnika.
• Flash je bralno pisalni pomnilniški modul tipa ROM, na
kateremu je shranjen operacijski sistem (ang. image)
usmerjevalnika.
• ROM je bralni pomnilniški modul na katerem je shranjen
»bootstrap«
program, program za diagnosticiranje sistema (ang. POST -
Power-On Self Test).
• Vmesniki (Ethernet, serijski, ATM, itd) se lahko nahajajo na
matični plošči ali
na ločenem modulu.
• Vmesniki za upravljanje: console, auxiliary. Možno je, da so
posamezne komponente realizirane na skupnih modulih. To je odvisno
od posamezne implementacije usmerjevalnika. Za usmerjevalnik smo
izbrali Cisco 2811, ki poleg funkcije usmerjanja nudi tudi požarno
pregrado. Podobno kot stikalo se izbrani usmerjevalnik konfigurira
z linijskim vnosom ukazov (ang. Command Line Interface). Ob prvi
prijavi v konzolo se nam pokaže naslednje sporočilo: Router>
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 31
Sporočilo pove, da je usmerjevalnik pripravljen na sprejem
nadaljnjih ukazov. Na sliki so opisani osnovni koraki, ki se
izvedejo ob zagonu usmerjevalnika.
Slika 20: Osnovni koraki ob zagonu usmerjevalnika
Zaradi varnostnih razlogov operacijski sistem usmerjevalnika
omogoča več nivojev dostopa do konfiguracijskih ukazov. Na spodnji
sliki so prikazani nivoji »mode« dostopa do upravljavskih
ukazov.
Slika 21: Nivoji dostopa do upravljavskih ukazov
6.3.2 Usmerjanje mrežnega prometa Usmerjanje je proces
odločanja, v okviru katerega se v omrežjih IP med vozlišči omrežja
(usmerjevalniki) izmenjujejo informacije o dosegljivosti
podomrežij. Na osnovi teh informaciji usmerjevalniki posredujejo
prejete datagrame na ustrezne izhodne vmesnike.
Slika 22: Usmerjevalni proces
Za izvajanje usmerjanja in posredovanja v usmerjevalniku
potrebujemo:
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 32
• naslov ponorne naprave (destination IP), • možne poti do
ponorne naprave, • katera od možnih poti je najboljša (optimalna),
• možnost ažuriranja podatkov o poteh.
Usmerjevalnik hrani informacije o dosegljivih poteh/omrežjih v
svoji usmerjevalni tabeli. V njej se nahajata dve vrsti vnosov:
• Za omrežja, ki so dosegljiva neposredno – neposreden priklop
na usmerjevalnik (možna je lokalna dostava datagramov).
• Za oddaljena omrežja (dosegljiva so prek drugih
usmerjevalnikov). Vnešena so lahko ročno ali z uporabo
usmerjevalnega protokola.
Vnosi so lahko statični ali dinamični. Pri statičnih vnosih
administrator ročno vnese poti v usmerjevalno tabelo, zato mora ob
vsaki spremembi omrežne topologije tabelo »ročno« obnoviti.
Usmerjevalnik, ki poganja usmerjevalni protokol, samodejno
ugotavlja nove poti in spremembe starih poti v topologiji omrežja.
Pravila, po katerih se izmenjujejo in vodijo informacije o vnosih v
usmerjevalnih tabelah, nam določajo usmerjevalni protokoli. Na
usmerjevalniku je lahko hkrati aktivnih več usmerjevalnih
protokolov. Primeri usmerjevalnih protokolov:
• RIP (Routing Information Protocol), • OSPF (Open Shortest Path
First), • IS-IS (Intermediate System – Intermediate System), • BGP
(Border Gateway Protocol).
Obstaja več načinov kategorizacije usmerjevalnih protokolov.
Eden izmed njih je delitev na distance vector (DV) in link-state
(LS) protokole. Osnovne značilnosti kategorij so podane v naslednji
tabeli.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 33
Distance vector protokoli Link-state protokoli RIPv1, RIPv2,
IGRP OSPF, IS-IS, EIGRP
• Sosedom pošilja celotno usmerjevalno tabelo.
• Pošiljanja so pogosta (privzeto na 30s).
• Število korakov (hop-ov) je edini parameter za izbiro
poti.
• Počasna konvergenca vseh usmerjevalnikov v primeru
sprememb.
• Možnost usmerjevalnih zank.
• Potrebuje dokaj veliko pasovne širine.
• Preprosta nastavitev in uporaba.
• Pošilja samo podatke o spremembah. • Količina podatkov, ki se
redno pošiljajo,
je majhna. • Algoritem računa najkrajšo pot
upoštevaje več parametrov, kot so pasovna širina povezave,
zakasnitve, obremenjenost.
• Hitra konvergenca v primeru sprememb. • Potrebuje manj pasovne
širine. • Mehanizem za preprečevanje zank. • Zahteva več pomnilnika
in več
procesorskih zmogljivosti • Kompleksna nastavitev.
Tabela 2: Primerjava distance vector in link-state
protokolov
V primeru, da usmerjevalnik poganja dva ali več usmerjevalnih
protokolov, obstaja parameter, ki »ocenjuje« usmerjevalni protokol.
Parameter se imenuje administrativna razdalja (angl. administrative
distance - AD). Manjša vrednost pomeni prednost pri izbiri.
Protokol RIP ima AD=120, dokler ima OSPF AD=110. Administrativna
razdalja je podatek, ki je podan v zapisih usmerjevalne tabele.
Protokol RIP Usmerjevalni protokol RIP uvrščamo v družino »distance
vector« protokolov. Usmerjevalniki, ki poganjajo protokol RIP,
periodično sprejemajo usmerjevalne tabele le od svojih neposrednih
sosedov. Usmerjevalni procesi na osnovi izmenjanih zapisov
izračunajo optimalne poti do oddaljenih omrežij. Teh poti je lahko
več, naloga usmerjevalnega procesa pa je, da izbere optimalno. Ta
informacija se vnese v usmerjevalno tabelo. Protokol OSPF Protokol
OSPF se uvršča v skupino »link state« usmerjevalnih protokolov.
Usmerjevalniki, ki poganjajo protokol OSPF, posredujejo informacije
o spremembah v stanju povezav vsem sosednjim usmerjevalnikom.
Pripadnost posamezni omrežni soseščini OSPF je določena s
parametrom »področje« (angl. area). Usmerjevalniki znotraj področja
sprejemajo oglase o spremembah v stanjih povezav (ang. Link State
Advertisments - LSA) ter jih posredujejo neposredno povezanim
sosedom. V stanju konvergence je na vseh usmerjevalnikih vsebovana
identična tabela aktivnih omrežnih povezav, na podlagi katere se
izračunajo (algoritem Shortest Path First - SPF) optimalne poti do
ciljnih omrežij, ki se zapišejo v usmerjevalno tabelo.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 34
6.3.3 Osnovna konfiguracija usmerjevalnika Da bi vstopili v
privilegiran način, podobno kot pri stikalu uporabimo ukaz
»enable«. Usmerjevalnik vsebuje tovarniške nastavitve, katere
izbrišemo z ukazom »erase startup-config«. Ta ukaz izbriše vsebino,
ki je shranjena v NVRAM-u usmerjevalnika. Ko vpišemo ukaz »reload«
v privilegiranem načinu, se usmerjevalnik ponovno naloži in preide
v način za nastavljanje.
Z ukazom »hostname« nastavimo ime usmerjevalnika, ukaz
»username« in »password« določita uporabnika in geslo, z ukazom
»enable secret« pa nastavimo kriptirano geslo za dostop do
privilegiranega načina. Za kriptiranje vseh gesel uporabimo ukaz
»service password-encryption«.
V nadaljevanju smo določali varnostne nastavitve na
usmerjevalniku. Ukaz »aaa new model« omogoča AAA (ang.
authentication, authorization, accounting) omrežne varnostne
nastavitve. Ukaz »aaa authentication login admins local« določa
način za preverjanje pristnosti ob prijavi. Ukaz »aaa authorization
network Status local« omogoča omejitev storitev, ki so na voljo
samo uporabnikom Statusovega omrežja.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 35
V nadaljevanju smo omogočili prijavljanje administratorja preko
telnet seje z uporabniškimi imeni in gesli, nastavljenimi nekaj
korakov nazaj. Ukaze smo vnašali na liniji navideznega vmesnika
(vty 0 4). Vneseni ukazi so »authorization network Status«, »login
authorization admins« in »transport input all«.
Vmesnik FastEthernet 0/0 bomo uporabili za dostop do interneta.
Z ukazom »description External Interface« smo naredili opis
vmesnika – zunanji vmesnik. Z ukazom »ip address 193.189.160.11
255.255.255.224« smo vmesniku nastavili IP naslov.
Podobno konfiguriramo tudi vmesnik FastEthernet 0/1, kateri bo
služil za povezavo v OpenVpn omrežje. Z ukazom »no ip unreachables«
smo onemogočili pošiljanje nedostavljenih ICMP sporočil. Z ukazom
»no ip redirects« smo izklopili preusmeritev ICMP paketov. Ukaz »ip
route-cache flow« poskrbi za vklop NetFlow mrežnega protokola na
celotnem vmesniku. Ukaza »speed auto« in »duplex auto« omogočata,
da se hitrost in način delovanja nastavljata samodejno glede na
potrebe priključene naprave.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 36
Podobno kot pri stikalu je potrebno trenutno konfiguracijo
usmerjevalnika shraniti v NVRAM, saj bodo v nasprotnem primeru
nastavitve izgubljene. Podobno kot pri nastavitvi stikala uporabimo
ukaz »copy running-config startup config«.
6.3.4 Požarni zid Usmerjevalnik Cisco 2811 opravlja tudi
pomembno funkcijo požarne pregrade. Požarni zíd (ang. firewall) je
verjetno najpogostejši varnostni izdelek s področja omrežne
varnosti. Potrebuje ga že skoraj vsaka naprava, povezana v
internet. Požarni zidovi so namenjeni ločevanju dveh odsekov
omrežij, pogosto enemu odseku zaupamo, drugemu pa ne. Bistvo
požarnega zidu je v zagotavljanju varnosti med dvema omrežjema.
Požarni zid glede na določena pravila dovoli ali zavrne tok
podatkov preko njega. Poznamo strojne in programske požarne zidove.
Prednost programskih požarnih zidov je običajno v enostavnejši
uporabi, predvsem pa je razlika v ceni. Za domačo uporabo obstajajo
brezplačni požarni zidovi, strojni so običajno precej dražji.
Prednost strojnega je pogosto v hitrosti, saj so normalno strojne
rešitve precej hitrejše in tako omogočajo večjo prepustnost. Med
naprednejše funkcije požarnega zidu spadajo:
• preslikava (zasebnih) omrežnih naslovov (angl. oznaka NAT), ki
omogoča skupno rabo internetne povezave
• demilitarizirana cona (angl. oznaka DMZ), ki omogoča ločen
priklop bolj izpostavljenih naprav
• kontekstno odvisni nadzor dostopa, ki na podlagi protokolov
dinamično dovoli dostop do storitev
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 37
• nudijo kriptirane tunelske povezave in tako omogočajo
navidezna privatna omrežja (ang. Virtual private network)
Končno se uveljavlja tudi spoznanje, da končna točka povezave v
internet ni samo požarni zid, ampak tudi vsi računalniki, ki so za
njim skriti. V večjih podjetjih hitro naraste možnost vdora in
kraje informacij, saj je priključkov za dostop do omrežja velika.
Zato obstajajo omejitve omrežnega priključka na strojni naslov
omrežne kartice, kar pa vseeno ni dovolj, saj je mogoče strojni
naslov omrežne kartice dokaj enostavno ponarediti. Zaradi tega so
razvili standard 802.1x, ki omogoča dinamični vklop in izklop
omrežnega priključka. Še večjo nevarnost za varnost omrežja
predstavlja brezžična dostopna točka, saj je medij prenosa podatkov
tu zrak.Vsak, ki ima prenosnik, »prisluškuje« pogovoru med
posameznimi brezžičnimi napravami, kar še bolj otežuje
zagotavljanje varnosti omrežja. (Vir:
http://sl.wikipedia.org/wiki/Požarni_zid) 6.3.5 Konfiguracija NAT
NAT (Network Address Translation) je protokol, ki omogoča, da vsi
računalniki, ki se v neko omrežje povezujejo prek usmerjevalnika, v
tem omrežju uporabljajo enak IP naslov. Pri povezovanju v internet
nam ponudnik dostopa načeloma dodeli le eno številko IP, ki jo
privzame usmerjevalnik, ta pa potem skrbi za prenos podatkov od
posameznih računalnikov v omrežju oziroma do njih. Večina
usmerjevalnikov podpira standardno prevajanje NAT, pri katerem se
naslovi IP vseh računalnikov v omrežju prevedejo v eno samo
številko IP. Naprednejši usmerjevalniki omogočajo prevajanje
vhodnih povezav na več različnih naslovov IP, kar imenujemo
Multi-NAT, tako da imamo v omrežju lahko postavljenih več spletnih
strežnikov, vsak pa ima, gledano iz zunanjega omrežja, lastno
številko IP. (Vir:
http://en.wikipedia.org/wiki/Network_address_translation)
Slika 23: Pretvarjanje omrežnih naslovov
Zunanji vmesnik FastEthernet smo določili z ukazom »ip nat
outside« v vmesniškem načinu. Vmesnik FastEthernet 0/1 pa smo
določili kot notranji vmesnik in sicer z ukazom »ip nat
inside«.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 38
6.3.6 VPN povezava Virtual Private Network (VPN) je tehnologija,
ki omogoča vzpostavitev navideznega zasebnega omrežja. Na podlagi
javnega omrežja, kot je internet, vzpostavi zavarovano povezavo med
oddaljeno lokacijo in lokalnim omrežjem organizacije. Na ta način
spremeni javno omrežje v zasebno, kar uporabniku omogoča enako
povezljivost in storitve, kot v lokalnem omrežju organizacije.
Internet omogoča cenovno ugoden prenos informacij, izziv pa je
celostno in nujno zagotavljanje varnosti. Učinkovita izraba VPN
povezav bistveno zmanjša stroške komunikacij med lokacijami, saj
jih lahko uporabimo za prenos različnih tipov prometa, kot je
prenos podatkov, govora in slike. VPN povezave so univerzalne in
podpirajo vse komunikacijske protokole, ki so nujni, da delujemo
kot del privatnega omrežja. Za posamezne, ozke namene, so že na
voljo tudi drugačne rešitve (npr. sinhronizacija pošte), vendar se
nobena od njih ne more meriti z zmogljivim VPN sistemom po
univerzalnosti njegove rabe. Z uporabo VPN povezav lahko dostopamo
do vseh internih aplikacij in datotek, pregledujemo dogajanje v
povezavi, imamo možnost razširitve na IP telefonijo in druge načine
komuniciranja v zaprtih skupinah, vezanih na lokalno
infrastrukturo. Povezave lahko vzpostavimo prek javnih omrežij
(internet, MPLS, 3G/APN, UMTS) in jih ustrezno zaščitimo z uporabo
naprednih enkripcijskih postopkov ter standardov. Z uporabo teh
tehnologij se lahko zelo približamo stopnji varnosti, ki jih
dosegajo klasične povezave, z znatno hitrejšim prenosom podatkov,
bistveno večjim nadzorom in možnim zagotavljanjem redundance ob
morebitnem izpadu povezave. Centralno upravljanje celotnega sistema
z enega mesta izboljša varnost, mogoč je stalen dostop do
informacij v podjetju, poleg tega pa je potrebnih manj človeških
virov.
-
Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko
delo univerzitetnega študija
Žiga Kočevar: Prenova omrežja z zagotavljanjem polne
funkcionalnosti ISO/OSI slojev Stran 39
OpenVPN Za povezavo lokacije v Metliki in Karlovcu v našem
primeru smo predvideli namestitev programske opreme OpenVPN.
OpenVPN je prosta in odprtokodna programska oprema, ki omogoča
implementacijo navideznih privatnih omrežij. Uporablja SSL/TLS
varnost za enkripcijo, sposoben je pošiljati IP pakete skozi
požarnimi zidove in NAT-e. Ponuja več načinov za preverjanje
pristnosti med napravami, prijavljenimi v omrežje. Obstaja
avtentikacija z uporabo tajnega ključa, certifikatov ali z
uporabniškim imenom in geslom. Uporaba ključa je najenostavnejša, s
certifikati pa dobimo robustno rešitev. OpenVPN lahko uporablja
tako UDP kot TCP protokol za prenos podatkov po omrežju. Prav tako
podpira uporabo večine Proxy serverjev. (Vir:
http://en.wikipedia.org/wiki/OpenVPN) Iz uradne spletne strani
najprej prenesemo odjemalca in ga namestimo s privzetimi
nastavitvami. Nato administrator omrežja ustvari certifikat za
vsakega uporabnika, kateri se želi povezati v omrežje preko varnega
tunela. Te certifikate namestimo v podmapo, kjer je nameščen
OpenVPN. S pomočjo certifikata uporabnik iz Karlovca pokaže svojo
iden