Racunarske mreze

Šta je mreža? Dosta je važnije razumeti šta mreza radi, nego šta je mreža po definiciji.

Mrežu možemo shvatiti kao kolekciju puteva. Ako se prisetimo starog Rima, možemo zamisliti kako je veliki Cezar preko svojih glasnika slao pisane poruke u udaljene delove carstva. Ovde vidimo Cezara, kao pošiljaoca, pečatiranu I adresiranu poruku, konjanika koji tu poruku prenosi, I podanike u udaljenom delu carstva koji primaju tu poruku. Međutim, sve ovo: pakovanje, slanje, prenos I prijem poruke predtsavlja aplikaciju. Aplikaciju koja radi na mreži. A mreža u je u ovoj analogiji predstavljena putevima koji su bili upotrebljeni da bi poruka stigla od Cezara do udaljenog dela carstva.

Prema tome, mreža se može shvatiti kao kolekcija putanja kojima su uređaji povezani, tako da aplikacije koje postoje na tim uređajima mogu međusobno komunicirati.

Razumevanje sastavnih delova mreže

Evo prikaza jednog standardnog mrežnog okruženja.

Ovde imamo krajnje korisnike, sa svojim računarima (end stations), kao što su lap topovi I desktop računari.

Pored krajnjih korisnika, koji sa aplikacijama međusobno komuniciraju preko mreže, imamo I server, na kojem se nalaze sadržaji kojima krajnji korisnici mogu da pristupe.

I krajnji korisnici I server se na mrežu povezuju pomoću mrežnih kartica (Network Interface Cards – NIC).

U ovom slučaju, krajnje stanice I server su povezani sa mrežnim uređajem Ethernet kablom.

Mrežni uređaj na koji su povezani korisnici u ovoj mreži je Switch. U praksi se mreža koja je uspostavljena preko Switch-a naziva LAN (Local Area Network).

Switch se odmah ili nakon nekoliko skokova povezuje na Router, čija je funkcija da jednu mrežu poveže sa drugom, ili sa internetom (Wide Area Network).

Za povezivanje računara na većim udaljenostima, možemo koristiti Internet konekciju, I privatne linije.

Internet konekcija je veoma jeftin I jednostavan način povezivanja računara. Međutim, ima svoje nedostatke. Pre svega, nemamo nikakvu garanciju kvaliteta usluge. Brzina prenosa nije stalna, a sigurnost podataka je diskutabilna. Internet konekciju nam obezbeđuje Internet Service Provider (ISP).

S druge strane, imamo privatne linije. Ovakva konekcija je znatno skuplja, ali imamo garantovan kvalitet usluge, konstantnu brzinu prenosa I zagarantovanu sigurnost podataka. Privatne linije nam obezbeđuju privatne kompanije, kao sto su Telekom I druge.

Aplikacije koje koriste mrežu

Web Browseri nam omogućavaju da zahtevamo sadržaj sa servera koji je lociran negde na internetu, I da zatim pregledamo zahtevani sadržaj.

Aplikacije sa bazom podataka nam daju mogućnost da unosom nekog parametra vidimo I menjamo podatke vezane za taj parameter, koji su prethodno uskladisteni u bazu podataka.

Instant Messanger aplikacije omogućavaju svim krajnjim korisnicima da međusobno razmenjuju poruke u realnom vremenu. Poruke stižu svim članovima određene grupe.

E mail predstavlja uploadovanje elektronske pošte na određeni mail server, i skidanje elektronske pošte sa određenog servera. Na ovaj način uspostavljena je klijentsko – serverska veza, gde klijenti I server imaju naizmenične uloge.

Online igre predstavljaju virtuelnu stvarnost, koja je stvorena na određenom serveru, na kojem su klijenti ulogovani I sa svojih računara menjaju tu stvarnost tako da su promene vidljive svim ostalim učesnicima u realnom vremenu.

Parametri koje treba razmatrati za mrežne aplikacije

Da bismo razumeli brzinu prenosa, moramo pre toga razmotriti osnovne merne jedinice podataka. Bajt (Byte) se može definisati kao jedan karakter. 1024 bajta čine jedan megabajt (MB). 1024 megabajta čine jedan gigabajt (GB). I tako dalje. Bajt se sastoji od osam bita. Bit predstavlja logičku jedinicu ili logičku nulu. Sada dolazimo do pojma brzine prenosa. Brzina prenosa može biti izražena na dva načina: brojem Bajtova u sekundi (Bps) I brojem bita u sekundi (bps). Brzina prenosa izražena u bitima po sekundi je osam puta veća od brzine prenosa izražene u bajtovima po sekundi.

Drugi važan parametar je kašnjenje. Nekim aplikacijama je veoma bitno da je kašnjenje zanemarivo malo, ili da ga uopšte nema. Na primer, VoIP.

Treći parametar je dostupnost aplikacije. Mnoge aplikacije zahtevaju 24/7 dostupnost, kao na primer e-bay ili amazon. com.

Mrežne topologije

Osnovne mrežne topologije su topologije magistrale, prstena i zvezde.

Savremene mreže predstavljaju kombinacije ove tri topologije.

Upoznavanje sa mitskim OSI modelom

OSI (Open System Interconnection) model je sistem koji vam pomaže da shvatite funkcije mreže.

Postoje određeni standardi koji se moraju ispuniti da bi slojevi međusobno mogli komunicirati. Zahvaljujući ovim standardima, možemo kupovati i povezivati opremu od različitih proizvođača.

Aplikacioni sloj Aplikacioni sloj je nama najbliži sloj, jer predstavlja ono što vidimo –

aplikaciju. Ovaj sloj nam obezbeđuje interfejs koji omogućava aplikacijama da komuniciraju preko mreže. Stoga, ako koristimo neku aplikaciju koja koristi mrežu za slanje podataka, kao što su web browser, ili e mail ili nesto slično, ta aplikacija procese počinje na aplikacionom nivou.

Jedna od bitnih funkcija ovog sloja je Autentikacija. Protokoli i servisi koji se odvijaju na L7 uključuju:

º Email protokole SMTP i POP3 º Telnet º HTTP º File Transfer Protocol (FTP) º Simple Network Management Protocol

Prezantacioni sloj

Prezentacioni sloj služi za standardizovanje podataka. Podaci se formatiraju u format koji je prepoznatljiv serveru sa kojim komuniciramo. Tako, kada odemo na sajt vijesti. com da procitamo vesti, ta web stranica se formatira u HTML format, što je format koji bilo koji web browser prepoznaje. Takođe na toj stranici možemo imati slike, koje su formatirane u JPEG format, muziku koja je formatirana u MP3 format. takođe, prezentacioni sloj služi za standardnu enkripciju podataka.

Osim standardizovanja podataka, druga važna funkcija ovog sloja je enkripcija.

Glavni zadaci prezentacionog sloja su: Kompatibilnost sa operativnim sistemom Odgovarajuća enkapsulacija za prenos podataka preko mreže Formatiranje podataka (ASCII, binary, JPEG, MPEG. . .) Enkripcija, kompresija i translacija

Sloj sesije Sloj sesije počinje i završava sesiju, i održava sve sesije odvojenim. Tako

na primer, na računaru možemo imati više aplikacija koje istovremeno komuniciraju preko interneta, zahvaljujući sloju koji omogućava da određeni podaci idu tačno određenoj aplikaciji.

U svetu CISCO tehnologije, ova tri sloja (peti, šesti i sedmi) su manje važni, jer se procesi ova tri sloja dešavaju pre nego što podaci napuste računar.

Podaci na aplikacionom, prezentacionom i sloju sesije se označavaju kao data (podaci).

Transportni sloj Transportni sloj je najvažnij sloj u OSI modelu. Njegove osnovne funkcije

su segmentacija podataka, način prenosa i određivanje izvornog i odredišnog porta. Do transportnog sloja dolaze podaci u formatu koji definiše prezentacini sloj. Ovde se ti podaci dele u segmente. Originalni podaci se dele na manje delove, pakuju se korisni teret segmenta. Ovaj sloj određuje kako se podaci šalju. Jedan od izbora kako će podaci biti poslani je da li ćemo podatke slati pouzdano, ili nepouzdano. Ovde se postavlja pitanje koja je razlika između ova dva načina slanja podataka?

Ako aplikacija odluči da koristi pouzdani prenos podataka, tada ćemo nakon slanja svakog segmenta podataka dobijati potvrdu. Pouzdani prenos podataka je

TCP (Transfer Control Protocol), koji je Connection-oriented. Pouzdanim prenosom podataka se obezbeđuje da podaci stižu na odredište u odgovarajućem redosledu i bez grešaka, pomoću sequence brojeva i potvrda prijema. Na primer, ako koristimo web browser i zahtevamo neku web stranicu od servera, tada će nam server slati delove te web adrese. U pouzdanom prenosu podataka, naš web browser će serveru svaki put nakon prijema segmenta podataka slati potvrdu o prijemu (Acknowledge-ACK). U slučaju da se segment podataka na njegovom putu izgubi ili ošteti, potvrda neće biti poslata, pa će server ponoviti slanje tog segmenta. A pošto je ovo pouzdan prenos podataka, koji garantuje da će podaci stići na destinaciju, zašto bi ikada koristili nepouzdani prenos podataka?

Nepouzdani prenos podataka se obično koristi za aplikacije poznate kao Real – Time aplikacije. Nepouzdani prenos podataka je UDP (Unreliable Data Protocol), koji je Conectionless. Na primer, jedna od novina na internetu je VoIP. U razgovoru preko interneta, dok pričamo naš glas se šalje preko interneta u paketima. U Real Time aplikacijama se ne šalju potvrde o prijemu paketa. To znači da se paketi koji se izgube ili oštete neće ponovo slati. Zbog toga u streamingu, ili razgovoru preko interneta ponekada doživljavamo smetnje. Međutim, kada bismo gledali TV u Real Time aplikaciji, i kada bi se podaci ponovo slali nakon gubitka, slika bi bila nerealna, jer bi se ponovo poslani paketi pojavili u pogrešno vreme.

Drugi deo transportnog sloja odnosi se na pojam portova. O tome ćemo detaljnije govoriti kasnije. Transportni sloj opisuje tzv. Dobro poznate servise. Ono što portovi u stvari rade je da određuju kojem servisu pokušavate da pristupite. Recimo na primer, da želimo da pristupimo web stranici na serveru. Tada dajemo instrukcije našem web browseru da pošalje serveru zahtev za tu web stranicu. Međutim, server mora na neki način znati da želimo da pristupimo web stranici, jer neki server može istovremeno biti i web i mail i još neki server. I portovi upravo daju tu informaciju – u ovom slučaju server će na osnovu broja porta znati da želimo da pristupimo web stranici.

Mrežni sloj Mrežni sloj (The Routing Layer) se odnosi na nešto što se zove logičko

adresiranje. Ovaj sloj takođe određuje koje sve putanje postoje, i koja je najbolja putanja između izvora podataka i odredišta.

Na mrežnom sloju segmenti prelaze u formu paketa (datagrama). Segment se pakuje u korisni deo paketa.

Jedan od protokola koji rade na ovom sloju je Address Resolution Protocol (ARP). Ovaj protokol na osnovu poznate IP adrese saznaje MAC adresu uređaja, slanjem L2 broadcast poruke na koju odgovara onaj uređaj kojem odgovara IP adresa.

Proxy Address Resolution Protocol je protokol koji koriste routeri, i sa ovim protokolom odgovaraju na ARP zahteve svojih klijenata. U Proxy ARP odgovoru upisuju MAC adresu interfejsa na koji su dobili ARP zahtev.

Reverse Address Resolution Protocol je proces zahtevanja IP adrese na osnovu poznate MAC adrese.

Inverse Address Resolution Protocol (inARP) je protokol kojim se saznaje IP adresa na osnovu L2 adrese. Koristi se u Frame-relay mrežama.

Sloj veze podataka Sloj veze podataka se odnosi na fizičko adresiranje. Protokoli koji se odvijaju na ovom sloju su, između ostalih:

º Etnernet º High Data Link Control (HDLC) º Point-to-Point Protocol (PPP) º Frame-relay i drugi.

Ovaj sloj vrši detekciju greške u frejmu kroz Frame Check Sequence, ali ne vrši ispravke grešaka.

Uređaji koji rade na ovom sloju su switchevi i bridgevi. Postoje switchevi koji rade na mrežnom nivou (L3).

Na sloju veze podataka paketi prelaze u formu frejmova. Paketi se pakuju u korisni deo frejmova.

Fizički sloj Fizički sloj opisuje fizičku povezanost. Kada govorimo o fizičkom sloju,

govorimo o fizičkim stvarima, kao što su mrežne kartice, kablovi, WAN interfejsi, i tako dalje. Postoje mnogi proizvođači koji se bave samo ovim nivoom. Na ovom sloju sa svih prethodnih logičkih koncepata prelazimo na električni signal – povorku logičkih jula i jedinica koja je predstavljena različitim nivoima napona. Svi prethodno stvoreni podaci se pretvaraju u električni signal i na taj način se prenose do odredišta.

Na fizičkom sloju frejmovi se pretvaraju u binarni oblik – povorku logičkih jedinica i nula.

OSI model u stvarnom svetu

Sada ćemo na realnom primeru opisati funkcionisanje OSI modela. Na levoj

strani imamo klijenta koji želi da surfuje web sajtom www. cisco. com. Dakle, klijent ukucava u svoj web browser www. cisco. com. Ono što se tada dešava iza scene, je da kompjuter šalje zahtev DNS serveru. I ono što onda radi DNS server je pretvaranje imena cisco. com u odgovarajuću IP adresu. I tada DNS odgovor klijentu, da je IP adresa servera cisco. com 200. 2. 2. 2. I sada web browser u koji smo ukucali cisco. com zna da treba da se poveže sa serverom na adresi 200. 2. 2. 2.

Sada aplikacioni sloj zahteva od servera web stranicu. Taj zahtev se u prezentacionom sloju formatira u HTTP format. U sloju sesije se otvara posebna sesija za ovu komunikaciju. U transportnom sloju se odlučuje da li će konekcija biti pouzdana ili

nepouzdana (TCP/UDP). Web browseri su hardkodovani da koriste pouzdanu konekciju. To znači da će server cisco. com klijentu poslati potvrdu o prijemu odmah nakon prijema zahteva za web stranicom. Sledeći postupak u transportnom sloju je upisivanje izvornog i odredišnog porta.

Odredišni port nam je neophodan da bi bili sigurni da web browser šalje zahtev aplikaciji web servera. Zbog toga naš operativni sistem kao odredišni port upisuje port 80. U slučaju zahteva našeg mail klijenta upućenog mail serveru, taj zahtev bi išao na port 25.

Izvorni port odvaja određenu aplikaciju od svega ostalog što se dešava na računaru. Tako na primer istovremeno možemo imati otvoreno više paleta u web

browseru. Izvorni port omogućava da podaci koji stižu sa interneta idu odgovarajućoj paleti, tj. odgovarajućoj sesiji. Kada ne bi bilo izvornog porta, podaci koji stižu ne bi se mogli dostaviti ni jednoj sesiji. Broj izvornog porta sama aplikacija određuje dinamički.

Test: u cmd otvoriti ftp sesiju: ftp ftp. cisco. com. Komandom netstat pogledati sve otvorene sesije, izvorne i odredišne portove.

U mrežnom sloju paketu se dodaju izvorna i odredišna IP adresa. IP adresa se od početka do kraja sesije ne menja.

U sloju veze podataka se dodaju izvorna i odredišna MAC adresa. Evo objašnjenja zašto nam trebaju IP i MAC adresa. Kada šaljemo poruku,

ta poruka ima izvornu i odredišnu IP adresu, i izvornu i odredišnu MAC adresu. Nakon inicijalnog ARP protokola, saznajemo da li se odredišni računar nalazi u našoj LAN mreži. Ako se nalazi, u paket upisujemo MAC adresu dobijenu u ARP odgovoru. Ukoliko se odredišni računar ne nalazi u LAN mreži, u polje odredišne MAC adrese upisujemo MAC adresu default gatewaya. Default gateway prima taj paket, i po MAC adresi vidi da je paket namenjen njemu. Međutim, kada vidi IP adresu, shvata da paket nije namenjen za njemu, i pronalazi najbolji put do računara čija je to IP adresa. Kada nađe tu putanju, iz paketa koji je primio briše izvornu i odredišnu MAC adresu, i upisuje MAC adresu sledećeg rutera na putanji ka odredištu kao odredišnu, a svoju MAC adresu kao izvornu. Ovaj proces se ponavlja sve dok paket ne stigne do odredišnog računara.

Preko fizičkog sloja paket stiže do odredišta. Odredišni računar očitava MAC adresu, i šalje paket na gore, zatim očitava IP adresu, pa šalje dalje, u transportnom sloju očitava da li je TCP ili IP i očitava broj porta, zatim na osnovu izvorne IP adrese prosleđuje određenoj sesiji, zatim formatira podatak u određeni oblik, i na kraju u aplikacionom sloju podatak dostavlja aplikaciji. Nakon prijema podatka, aplikacija pošiljaocu šalje potvrdu o prijemu (ACK).

Format IP adrese

IP adresa je sastavljena od četiri okteta, pri čemu se svaki oktet kreće u rasponu 0 – 255:

º Primer: 172. 30. 5. 82 º

IP adresa krajnjih korisnika uvek ide u kompletu sa subnet maskom i default gateway-om:

º IP: 172. 30. 5. 82 º Subnet mask: 255. 255. 255. 0 º Default gateway: 172. 30. 5. 1 º

Subnet maska razgraničava koji deo IP adrese predstavlja mrežu, a koji deo predstavlja ID klijenta.

Na ovoj slici imamo mrežu sa dva klijenta, koji mogu međusobno da komuniciraju. IP adrese ovih klijenata su prikazane sa subnet maksom i default gateway-em. Za ovo, početno razmatranje IP adresiranja, dovoljno je da shvatimo da broj 255 u subnet masci predstavlja mrežu, a da broj 0 predstavlja prostor za ID klijenta. Prema tome, sa slike možemo zaključiti da ova dva klijenta imaju identična prva tri okteta, što i bez vizuelnog prikaza pokazuje da pripadaju istoj mreži, jer mrežna maska (255. 255. 255. 0) govori da su klijenti u istoj mreži ukoliko su im prva tri okteta identična. Šta bi se desilo kada bismo promenili IP adresu drugog klijenta, iz 172. 30. 5. 83 u 172. 31. 5. 83? Tada ova dva računara više ne bi bili u istoj mreži, jer nije ispunjen uslov identičnosti prva tri okteta, i komunikacija bi bila onemogućena.

Defaultne klase adresa

Kada je stvoren TCP/IP, stvorene su tri klase adresa koje su upotrebljive na mreži današnjice: klasa A, klasa B, i klasa C.

Klasa A: º Prvi oktet IP adrese je u opsegu 1 – 126 º Primer: 10. 5. 5. 1 º Subnet maska ove klase je 255. 0. 0. 0. º Ukupno može biti 16. 777. 214 klijenata.

Klasa B: º Prvi oktet je u opsegu 1 128 – 191 º Primer: 150. 51. 233. 1 º Subnet maska ove klase je 255. 255. 0. 0 º Ukupno može biti 65536 klijenata.

! ! ! Cisco preporučuje da u mreži ne planiramo niti implementiramo više od 500 računara, jer tada broadcast saobraćaj može dovesti mrežu do zagušenja.

Klasa C: º Prvi oktet je u opsegu 192 – 223 º Primer: 220. 1. 50. 25 º Subnet maska ove klase je 255. 255. 255. 0 º Ukupno može biti 254 klijenta.

Pored ovih klasa, imamo klasu Multicasting i Experimental adresa:

Klasa D: º Prvi oktet u opsegu 224-239 º Primer: 224. 0. 0. 9

Klasa E: º Prvi oktet u opsegu 240-255

Loopback opseg se koristi za testiranje 127. x. x. x Opseg auto-konfiguracije je opseg koji Windows operativni sistemi koriste

za auto-konfiguraciju mrežne kartice ukoliko na mreži nema DHCP servera niti je ručno konfigurisana IP adresa te kartice. Opseg je 169. 254. x. x.

Javne i privatne IP adrese

Javne IP adrese su IP adrese koje se mogu koristiti i na internetu i u lokalnim računarskim mrežama.

Privatne IP adrese su adrese koje se mogu koristiti jedino u lokalnim računarskim mrežama. Postoje tri opsega privatnih IP adresa koji su nam na raspolaganju:

º Klasa A: 10. 0. 0. 0 – 10. 255. 255. 255 º Klasa B: 172. 16. 0. 0 – 172. 31. 255. 255 º Klasa C: 192. 168. 0. 0 – 192. 168. 255. 255

Ovde se postavlja pitanje kako računari koji imaju privatne IP adrese mogu da pristupe internetu, kada njihove IP adrese omogućavaju jedino komunikaciju u okviru mreže kojoj pripadaju? Odgovor je Network Address Translation (NAT) – postupak prevođenja privatnih u javne adrese i obrnuto.

Struktura MAC adrese

MAC adresa se često oslovljava i kao Hardware address ili Physical address, jer je ugravirana na mrežnu karticu, zbog čeca se zove i Burned-in address (BiA). Simboli od kojih se sastoji MAC adresa su heksadecimalni, što znači da obuhvataju brojeve 0 – 9 i karaktera a – f. MAC adresa ima 12 simbola, odnosno 48 bita. Prva 24 bita se koriste za identifikaciju organizacije (Organizational Unique Identifier – OUI). Kada neka organizacija počne sa proizvodnjom uređaja, mora se registrovati da bi dobila validan opseg MAC adresa koji joj tada stoji na raspolaganju. Postupkom registracije organizacija dobija svoj OUI. Preostala 24 bita određuje organizacija.

Broadcast MAC adresa je FF: FF: FF: FF: FF: FF Multicast MAC adrese imaju opseg: 01: 00: 5e: 00: 00: 00-00: 00: 00: 7F:

FF: FF.

Razumevanje dvoadresnog koncepta

Na levoj strani ove slike imamo Home Network. Na ivici naše kućne mreže imamo router, koji nas povezuje na inter DSL ili nekom drugom konekcijom. Unutar mreže imamo dva računara, 10. 1. 1. 10 i 10. 1. 1. 11. U svim mrežama na ovoj slici koristimo mrežnu masku 255. 255. 255. 0. To znači da prva tri okteta IP adrese govore na kojoj mreži se nalazimo, a poslednji oktet govori o kojem klijentu je reč. Shodno tome, unutar kućne mreže nalazimo se u mreži 10. 1. 1. Kada napustimo ovu mrežu, nalazimo se u mreži 10. 2. 2. Zatim u mreži 10. 3. 3, pa 10. 4. 4. i na kraju u mreži 10. 5. 5. Gde god na slici vidimo router, taj router predstavlja liniju razgraničavanja između mreža, jer router predstavlja višestruke mreže. Svaki interfejs routera pripada drugoj mreži. Nikada ne možemo imati dva interfejsa routera koji pripadaju istoj mreži.

Sada ćemo razjasniti kako se uspostavlja i odvija komunikacija u lokalnoj

računarskoj mreži. Recimo da želimo da na klijentu 10. 1. 1. 10 neke fajlove šerujemo sa klijentom 10. 1. 1. 11. Tada bismo u aplikaciji za šerovanje izdali komandu koja nalaže da se fajlovi kopiraju na računar 10. 1. 1. 11. U tom trenutku, iza scene, naš računar 10. 1. 1. 10 upoređuje svoju IP adresu sa adresom 10. 1. 1. 11, i na osnovu mrežne maske utvrđuje da li se oba računara

nalaze u istoj mreži. Pošto je mrežna maska 255. 255. 255. 0, u pitanju je jedna kućna mreža.

Nakon ovog koraka, sledi Address Resolution Protocol (ARP). Računar koji inicira konekciju šalje ARP upit. na broadcast MAC adresu FF: FF: FF: FF: FF: FF. Ovaj upit ima za cilj da utvrdi kome pripada IP adresa 10. 1. 1. 11, i da sazna MAC adresu tog računara. Ovu poruku primaju svi uređaji koji se nalaze unutar mreže u kojoj se nalazi inicijator poruke. U ovom slučaju, računar 10. 1. 1. 11 i router preko interfejsa 10. 1. 1. 1. Kada router primi upit, na osnovu IP adrese za koju se traži MAC adresa, shvata da poruka nije namenjena njemu. Ispitivanjem mrežne maske, zaključuje da se IP adresa za koju se šalje upit nalazi unutar kućne mreže i odbacuje je. Kada računar 10. 1. 1. 11 dobije ovaj upit, na osnovu IP adrese zaključuje da je upit namenjen njemu i odgovara sa porukom u kojoj šalje svoju MAC adresu. Nakon izvršenog ARP protokola, ova dva računara počinju razmenu podataka sa jedne MAC adrese na drugu. Na taj način se ostvaruje komunikacija u lokalnoj mreži.

Kako se uspostavlja i odvija komunikacija između računara koji nisu u istoj računarskoj mreži? Recimo da želimo da sa klijenta 10. 1. 1. 10 neke podatke sačuvamo na serveru, čija je IP adresa 10. 5. 5. 100. Kao i u prethodnoj situaciji, u aplikaciji za šerovanje izdajemo komandu koja nalaže da se fajlovi kopiraju na računar 10. 5. 5. 100. Računar upoređuje svoju i odredišnu IP adresu sa mrežnom maskom, i dolazi do zaključka da se ne nalazi u istoj računarskoj mreži kao server 10. 5. 5. 100. Shodno tome, izvorni računar (10. 1. 1. 10) ne može koristiti ARP protokol da bi saznao MAC adresu odredišnog računara, jer su ARP upiti broadcast, a router zaustavlja broadcast poruke. Ovde dolazimo do pojma Default gatewaya. Default gateway je adresa routera kojoj se obraćemo kada ne znamo kako da dodjemo do odredišne IP adrese. U našem slučaju, nalazimo se na računaru 10. 1. 1. 10, i pokušavamo da dođemo do računara 10. 5. 5. 100. Znamo da ne možemo da pošaljemo ARP upit, jer se računar 10. 5. 5. 100 ne nalazi u našoj mreži. Stoga ćemo poslati ARP upit u kojem tražimo MAC adresu našeg default gatewaya, 10. 1. 1. 1. Na ovaj upit default gateway odgovara sa svojom MAC adresom.

Kao što smo već ranije rekli, u paketu koji želimo da pošaljemo preko mreže se nalaze izvorna i odredišna IP adresa, i izvorna i odredišna MAC adresa. Izvorna i odredišna IP adresa se ne menjaju od izvora do odredišta. U ovom

slučaju, izvorna IP adresa je 10. 1. 1. 10, a odredišna 10. 5. 5. 100. Izvorna MAC adresa će biti MAC adresa izvornog računara. Odredišna MAC adresa će biti MAC adresa default gatewaya.

Kada se u paket upišu ovi podaci, paket se šalje do default gatewaya, 10. 1. 1. 1. Kada paket stigne do default gatewaya, router na osnovu odredišne MAC adrese shvata da je paket trebao da dođe do njega, ali na osnovu odredišne IP adrese shvata da paket treba da prosledi dalje, do odredišta 10. 5. 5. 100. Na osnovu svoje routing tabele, utvrđuje da nije povezan sa mrežom 10. 5. 5, ali iz iste tabele vidi da paket treba da pošalje na adresu 10. 2. 2. 2, jer router koji se nalazi na toj adresi zna put do odredišne mreže 10. 5. 5. ARP upitom saznaje MAC adresu routera 10. 2. 2. 2. Tada vrši izmenu izvorne i odredišne MAC adrese u paketu, dok IP adrese ostaju nepromenjene. Kao izvornu MAC adresu stavlja svoju, a kao odredišnu stavlja MAC adresu routera 10. 2. 2. 2. router 10. 2. 2. 2 na osnovu svoje routing tabele prosleđuje paket na interfejs 10. 3. 3. 1. Sa ovog interfejsa postupak ARP protokola i izmene MAC adresa se ponavlja, i paket stiže do routera 10. 3. 3. 2. sa ovog interfejsa paket se prosleđuje na interfejs 10. 4. 4. 1, zatim do routera 10. 4. 4. 2, i konačno do mreže 10. 5. 5, preko interfejsa 10. 5. 5. 1. Sa ovog interfejsa, ARP protokolom router saznaje MAC adresu servera 10. 5. 5. 100, i na tu MAC adresu upućuje paket.

Osnove TCP/IP adresiranja

U kakvom su odnosu OSI i TCP/IP model? OSI model nikada nije predviđen da bude samo model. On je u stvari bio standard kompetentan TCP/IP modelu (u sedamdesetim godinama). TCP/IP je na kraju pobedio. Razlog zbog kojeg je OSI model izgubio, je zato što je heksadecimalno adresiranje ovog modela bilo suviše kompleksno. OSI model se još uvek koristi za objašnjavanje mrežne komunikacije, ali TCP/IP model je model koji se danas koristi za komunikaciju. Mnogi ljudi ga nazivaju DoD model (Department of Defence).

TCP/IP model spaja prva tri sloja OSI modela u jedan – aplikacioni sloj. Razlog ovog spajanje je zato što se sve funkcije prva tri sloja OSI modela dešavaju pre nego što podatak fizički napusti računar. Podaci stvoreni u ova tri sloja su vidljiva jedino operativnom sistemu, jer mrežni uređaji kao što su routeri i switchevi ne rade na nivoima iznad četvrtog.

Transportni sloj OSI modela je takođe transportni sloj TCP/IP modela, sa istim funkcijama.

Mrežni sloj OSI modela u TCP/IP modelu ima naziv internet sloja, ali su funkcije iste.

Sloj veze podataka i fizički sloj OSI modela su spojeni u sloj mrežnog pristupa, jer se radi o komponentama koje fizički pristupaju mreži (mrežna kartica, kablovi i sl).

Iako OSI model opisuje kako se ostvaruje komunikacija preko mreže, TCP/IP model opisuje kako se ona u stvari dešava. TCP/IP ne predstavlja jedan protokol, već kolekciju protokola koja omogućava komunikaciju.

TCP / UDP komunikacija

U fizičkom sloju realizuje se prenos električnih signala. Nakon prenosa električnog signala, penjući se na sledeći sloj OSI modela, vrši se upisivanje i očitavanje MAC adresa, što omogućava komunikaciju unutar lokalne računarske mreže, u sloju veze podataka. Dalje, u mrežnom sloju upisuju se i očitavaju IP adrese, koje omogućavaju komunikaciju s kraja na kraj van lokalne računarske mreže, od izvornog računara do odredišta, bez obzira na broj routera koji se nalaze između. I konačno stižemo do transportnog sloja. Ovde se pravi izbor između dva protokola: TCP i UDP. To je u stvari izbor između pouzdanog i nepouzdanog prenosa.

TCP predstavlja pouzdan prenos podataka. Ovaj protokol pravi konekciju između izvora i odredišta; to znači da izvorni računar odredištu najavljuje da želi da uspostavi konekciju radi razmene podataka, na šta odredište odgovara sa pozitivnim/negativnim odgovorom, nakon čega počinje razmena podataka.

TCP protokol koristi sekvencijalne brojeve, što znači da je svaki paket podataka označen sa sekvencijalnim brojem. Razlog je potreba da se paketi dostavljaju transportnom sloju odredišnog računara u odgovarajućem redosledu. I na kraju, TCP protokol osim sekvencijalnih brojeva koristi potvrde o prijemu, tako da izvor nakon slanja paketa dobija potvrdu o njegovom prijemu (ACK). U slučaju da ne primi potvrdu, ponoviće slanje paketa.

UDP predstavlja nepouzdan prenos podataka. Kod nepouzdanog prenosa nema prethodnog uspostavljanja konekcije, već izvor bez najave šalje podatke ka odredištu. Zbog toga se mogu desiti gubici na mreži ili čak na samom

odredištu. Ovaj vid prenosa podataka se zasniva na „Best effors delivering“ što znači da se podaci pošalju, u nadi da će stići na odredište. Upravo zbog toga je ovaj protokol nepouzdan. Ponovo, na pitanje zašto bismo ikada koristili protokol koji ne nepouzdan, odgovor su Real-time aplikacije, koje mogu podneti eventualni gubitak paketa, a s druge strane ne mogu funkcionisati sa ponovnim slanjem i pristizanjem paketa van predviđenog trenutka i van redosleda.

Kako TCP i UDP rade

Na slici imamo prikazanu situaciju u kojoj imamo klijenta 10. 1. 1. 1 i servera 150. 1. 1. 1, koji pripadaju odvojenim mrežama. Sa UDP protokolom, sa klijenta bismo jednostavno poslali pakete podataka, bez uspostavljanja konekcije i bez potvrda o prijemu. Server bi jednostavno pristupio obradi primljenih podataka. Sa TCP protokolom, klijent uspostavlja vezu sa serverom pre početka slanja podataka. Zamislite UDP kao da ulazite u kancelariju, i glasno kažete: „Zdravo, hteo bih da Vam dodam ovaj dokument „ i zatim izađete iz kancelarije. Ne znate ni da li je u kancelariji bila osoba kojoj ste trebali dati taj dokument! Jednostavno se nadate da je prava osoba bila u kancelariji i da je dobila taj dokument (ovo je princip „Best effort delivering“). S druge strane, TCP je kao telefonski razgovor u kojem vi prvo okrenete broj, telefon zazvoni, predstavite se, suprotna strana odgovori (sve ovo je uspostavljanje konekcije), nakon čega počinjete razgovor. Način na koji TCP uspostavlja tu konekciju naziva se trosmerno rukovanje (Three way handshaking).

Kako se u stvari ostvaruje to rukovanje? Računar koji želi da uspostavi konekciju šalje odredištu takozvani SYN paket. Sinhronizacioni bit u ovom segmentu je logička nula. SYN je tako označen jer je to skraćenica za Sinhronizaciju, jer izvorni računar želi da sinhronizuje konekciju sa odredištem. To je prvi korak rukovanja. Na ovaj paket odredišni računar odgovara sa SYN – ACK paketom, što znači da odredišni računar prihvata uspostavljanje konekcije (SYN), i istovremeno potvrđuje prijem SYN paketa (ACK). To je drugi korak rukovanja. Po prijemu SYN – ACK paketa, izvorni računar šalje odredištu ACK paket, jer je svaka razmena podataka u TCP protokolu pouzdana. To je treći korak rukovanja. U ovom koraku ujedno počinje i razmena podataka zbog koje je konekcija uspostavljena. Na primer, svaki put kada otvorimo web browser i ukucamo neku web adresu, ovaj proces se odigrava u pozadini.

Dakle, nakon završetka rukovanja, izvorni računar počinje da šalje ili prima podatke sa servera sa kojim je uspostavio konekciju. Kao što smo već pomenuli, TCP je pouzdan protokol, koji uspostavlja konekciju i koristi sekvencijalne brojeve. Pošto smo objasnili uspostavljanje konekcije, sada ćemo objasniti sekvencijalne brojeve.

Posmatrajmo komunikaciju između klijenta i servera. Kada klijent počne razmenu podataka, prvi paket koji šalje ka serveru označava sa sekvencijalnim brojem. Pretpostavimo radi jednostavnosti objašnjavanja da je prvi sekvencijalni broj klijenta 10. Kada server primi paket sa brojem 10, na ovaj paket odgovara sa paketom koji ima dva broja: sopstveni sekvencijalni broj, i sekvencijalni broj koji se očekuje sa sledećim paketom. Recimo da sekvencijalni brojevi servera počinju sa 5. Prema tome, paket kojim server odgovara klijentu imaće sekvencijalni broj 5, i ACK broj 11. ACK 11 znači da je potvrđen prijem paketa 10, i da se očekuje paket sa sekvencijalnim brojem 11. Na isti način sada klijent odgovara serveru: paket koji šalje imaće sekvencijalni broj 11, i ACK 6. ACK 6 znači da potvrđuje prijem paketa sa brojem 5 i da se očekuje paket sa sekvencijalnim brojem 6. Na ovaj način se ostvaruje razmena podataka, u odgovarajućem redosledu.

Error detection/correction Šta se dešava ako se neki segment izgubi na putu od izvora ka odredištu? Odredišni računar u tom slučaju neće dobiti segment sa sekvencijalnim

brojem koji očekuje, i poslaće prethodno poslati ACK segment (Error detection).

Izvorni računar će ponovo poslati segment koji se zahteve tim ACK segmentom (Error Correction).

Šta se dešava ako se neki ACK segment izgubi od odredišta ka izvoru? Izvorni računar će nakon isteka ACK Timer vremena (Error detection)

ponovo poslati segment za koji nije primio ACK (Error correction). Ovaj proces Error detection/correction se zove Positive

Acknowledgement with Retransmission (PAR).

Kada TCP komunikacija treba da se završi, strana koja završava komunikaciju šalje segment FIN (finish) u kojem je FIN bit logička jedinica.

TCP prozor

Prozor predstavlja veličinu podataka koji se mogu poslati bez čekanja potvrde o prijemu. Veličinu ovog prozora određuje odredište, na osnovu toga koliko podataka može obraditi, čime dobija određenu kontrolu toka podataka (flow control). Veličina prozora raste eksponencijalno, do prvog izgubljenog paketa. nakon što je paket izgubljen, veličina prozora se vraće na unapred određenu, sa koje ponovo kreće eksponencijalni rast. Shodno tome, komunikacija počinje slanjem jednog paketa. Ako je taj paket uspešno primljen, tj ako izvorni računar dobije potvrdu o prijemu, šalju se dva paketa. Ako su oba uspešno primljena, šalju se četiri. Pa onda osam. I recimo da se od ovih osam paketa izgube dva. To znači da odredište uspešno može primiti šest paketa istovremeno. Stoga će u sledećih nekoliko pošiljki prozor imati veličinu od šest paketa, nakon čega ponovo počinje eksponencijalni rast.

TCP/UDP zaglavlje

TCP Source port Destination port

Sequence number

Acknowledgement number

HLEN Resend U

R G

A

C K

P

S H

R

S T

S

Y N

F

I N

Window

Checksum Urgent pointer

Options (if any) Padding

Data

. . .

UDP 16-bit source port 16-bit destination port‚‚

16-bit UDP length 16-bit UDP checksum

Data

Razumevanje brojeva portova

Svaki put kada aplikacija komunicira preko mreže, mora ne samo napraviti izbor između TCP i UDP protokola, već i odrediti brojeve portova, i to broj odredišnog porta, kroz koji podaci treba da prođu, kao i broj izvornog porta, sa kojeg podaci dolaze.

U cilju objašnjenja uzećemo primer HTTP komunikacije. Dakle, klijent želi da pristupi web stranici koja se nalazi na serveru. HTTP koristi pouzdan prenos podataka, TCP, na portu 80. Prema tome, kada klijent šalje poruku web serveru, web server prima tu poruku na TCP port 80. Kada odredišnu IP adresu spojimo sa odredišnim portom, dobija se odredišni soket. (10. 5. 1. 100: 80, ili 10. 5. 1. 100, TCP, 80). Računar koji je klijent u ovoj komunikaciji takođe generiše port sa određenim brojem. Na računaru se odvija veliki broj aplikacija istovremeno. Tako, na primer, istovremeno možemo da slušamo online radio, čitamo novine online i imamo različite gadget-e na desktopu. Sve ove aplikacije pristupaju određenom web sadržaju, što znači portu 80. Međutim, kako operativni sistem pravi razliku koje podatke da pošalje kojoj aplikaciji? Odgovor na ovo pitanje pružaju izvorni portovi i izvorni soketi. Izvorni portovi se generišu da bi omogućili primanje podataka. Brojevi izvornih portova se određuju dinamički od strane operativnog sistema.

Ethernet vs OSI

Kada ga uporedimo sa OSI modelom, Ethernet obuhvata funkcije poslednja dva sloja: fizičkog i sloja veze podataka.

Na nivou sloja veze podataka, podeljen je na dva podsloja: podsloj Media

Access Control, koji definiše adresiranje koje Ethernet koristi (MAC adrese), i definiše standard po kojem svaki mrežni uređaj mora da ima MAC adresu. Iznad tog podsloja se nalazi Logical Link Layer (LLC). Ovaj podsloj donosi odluku kojem protokolu mrežnog sloja se podaci prosleđuju.

Na nivou fizičkog sloja, Ethernet ima brojne standarde, kao što su ethernet kablovi određenih kategorija (primer Cat 5), wireless, fiber optic, i tako dalje.

Razumevanje fizičke konekcije

Svaki uređaj na računarskoj mreži mora da ima industrijski standardan konektor koji je kompatibilan sa Ethernetom.

Na levoj strani slike je prikazana mrežna kartica sa novim i starim načinom

povezivanja na mrežu. Stari način konekcije predstavlja Thin net, koji potiče iz vremena kada smo imali Thin net i Thick net kablove. Novi način je povezivanje preko Transivera, na koji možemo povezati Ethernet kabal, kao što je cat5 i drugi.

Na desnoj strani slike prikazan je veoma dobro organizovan i povezan switch. Većina switcheva u praksi ne izgleda ovako dobro organizovano, već izgledaju kao „špageti“! Razlog pojavi špageta je nestručnost i lenjost ljudi koji su zaduženi za organizaciju i održavanje IT opreme. Čim se pojavi prvi kabal koji nije organizovan sa ostalima, počinje katastrofa, i nedugo nakon toga cela prostorija će se pretvoriti u špagete.

Na dnu leve strane slike vidimo router sa standardnim WAN i Ethernet konekcijama.

Razumevanje Ethernet kablova

Na levoj strani slike vidite Cat5 UTP kabal. Ovo je najpopularnija vrsta kabla koju ljudi koriste u svojim mrežama. Maksimalna dužina kabla između dva uređaja je 100 metara. Konektor je RJ – 45. Postoje različite kategorije kablova, i što je kategorija viša, to je stepen uvijenosti parica viši.

Uvijanjem žica u parici stvara se elektromagnetno polje koje poništava dejstva elektromagnetnih smetnji.

Ethernet standardi Standardi najčešće upotrebljavanih Ethernet kablova su:

º 10Base-T, Ethernet 802. 3, 10 Mbps Twisted-pair cable, max length 100m º 100Base-T, FastEthernet 802. 3u, 100 Mbps Twisted-pair cable, max

length 100m º 1000Base-T/TX, Gigabit Ethernet 802. 3ab, 1000Mbps Twisted-pair

cable, max length 100m. º 1000Base-SX/LX, Gigabit Ethernet 802. 3z, 1000Mbps optic fiber

multimode/singlemode cable, max length 220-550m/5000m. Ranije su se koristili standardi bazirani na koaksijalnim kablovima:

º 10Base2, 10Mbps Thin-coax cable, max length 185m º 10Base5, 10Mbps Thick-coax cable, max lentdh 500 m

Na dnu slike vidimo dva tipa optičkih kablova: multimodna i monomodna. Konekcija zavisi od opreme koju imamo, mada je brzina i dalje ograničena konektorima, koji trenutno podržavaju brzinu do jednog gigabita.

Pinovi Krajevi bakarnih žica nazivaju se pinovi. Za prenos podataka Ethernet

kablovima koriste se 1, 2, 3 i šesti pin, i to º Pinovi 1 i 2 se koriste za predaju º Pinovi 3 i 6 se koriste za prijem.

Krimpovanje Iako su optički kablovi sve popularniji, u 95 % slučajeva radićete sa UTP

kablovima. I Krimpovanje kablova će vam postati bukvalno automatizovana radnja. Iako se kablovi najčešće kupuju sa već postavljenim žabicama, često ćete biti u situaciji gde morate napraviti kabal odgovarajuće dužine.

Prvi korak u krimpovanju kablova je da razdvojite 8 pinova koji se nalaze u kablu i ispravite ih. Drugi korak je da ih poređate po odgovarajućem standardu.

Postoje dva standarda po kojima se pinovi ređaju prilikom krimpovanja:

Tako poređane pinove ubacite u žabicu, i krimpujte kleštima. I dobili ste

krimpovani kabal.

Povezivanje Sa slike vidimo način povezivanja sa kablovima.

Uređaji sa različitim funkcijama koriste Straight – Thru: switch povezan

sa routerom, switch povezan sa računarom, hub povezan sa switchem, router povezan sa switchem i slično.

Uređaji sa istim funkcijama koriste Crossover: računar povezan sa računarom, switch povezan sa switchem i slično.

Pored Ethernet kablova, kabal koji se često koristi je Roll-over kabal, poznat još i kao konzolni kabal. Kod ovog kabla, sve četiri parice se koriste za prenos podataka, a lokacije pinova na drugom kraju su obrnute: 1-8, 2-7 i tako dalje. Na jednoj strani ovog kabla je RJ-45, na drugoj DB-9 konektor.

Preslušavanje Preslušavanje nastaje usled elektromagnetnih smetnji, kada signal iz jedne

parice usled tih smetnji prelazi na drugu paricu. Razlikujemo dva tipa preslušavanja:

º NEXT (Near end Crosstalk) º FEXT (Far end Crosstalk)

Razlika je u pogledu kraja kabla koji se testira. PSNEXT je suma NEXT preslušavanja sve četiri parice. U praksi kablovski sistemi izgledaju malo drugačije. Naime, računari se

najčešće povezuju na zidne priključke, koji su zatim zidnom instalacijom

povezani sa Patch panelima, odakle kratim Patch kablovima veza ide do switcha/routera.

Carrier Sense – Multiple Access / Collision Detection (CSMA/CD)

U Ethernetu postoje standardi po kojima se komunikacija odvija. Ovi standardi su poznati kao CSMA/CD.

Carrier predstavlja mrežni signal koji se nalazi u Ethernetu. Sense je sposobnost svakog uređaja na mreži da oseti da li je u datom

trenutku Ethernet zauzet mrežnim signalom. Multiple Access podrazumeva da svi uređaji imaju jednaku mogućnost

pristupa Ethernetu. Collision je situacija koja nastaje kada dva uređaja primete da na

Ethernetu nema mrežnog signala, i u istom trenutku počnu slanje. Tada dolazi do kolizije podataka ova dva računara.

Detection je način na koji računar rešava nastalu koliziju. Standard koji je bio kompetentan Ethernetu je Token Ring. Ovaj standard

je koristio CSMA / CA (Collision avoidance). U token ring standardu nikada nije dolazilo do kolizije, jer je postojao token koji je putovao po prstenu određenom brzinom, i računar koji je u određenom trenutku imao token imao je i mogućnost za slanjem. Problem sa ovim sistemom je ograničena brzina kretanja tokena, koja je dostigla maksimum od 33 Mbps. Stoga je prevladao standard CSMA/CD.

Postoje tri tipa komunikacije koja možemo imati u Ethernet mrežama: Unicast komunikacija je komunikacija „1 na 1“. Komunikacija u kojoj dva

računara razmenjuju podatke međusobno. Broadcast komunikacija je suprotnost unicast komunikaciji. Ovo je

komunikacija „1 ka svima“. Jedan uređaj se obraće svim ostalim. Multicast komunikacija je komunikacija među odabranima. U ovoj

komunikaciji učestvuju unapred određeni računari. primeri su mnogobrojni: IP televizija koja je dostupna samo pretplatnicima, koji za svoju pretplatu dobijaju TV signal, online igre, i slično.

Problem sa šerovanom CSMA/CD komunikacijom

Sve do kasnih devedesetih godina dvadesetog veka, svi su koristili mrežne uređaje koji se zovu hub-ovi. Iako i hub-ovi i switch-evi povezuju računare u lokalnu računarsku mrežu, između ova dva uređaja postoji celo more razlika.

Funkcija hub-a je da signal koji dobije na jednom portu reprodukuje na sve ostale portove. Tako, kada računar želi da uspostavi komunikaciju sa drugim računarom na mreži, iako je ta komunikacija unicast, hub poruke šalje svim računarima. Dakle, bez obzira da li je komunikacija unicast, multicast ili broadcast, hub je tretira na isti način: od jednog saobraćaj biva poslat svim računarima. Zbog toga se kaže da hub ima jedan Collision Domain. Šta je Collision Domain?

Collision Domain nam govori koliko uređaja može da šalje i prima pakete istovremeno. Kod haba je Collision Domain uvek jedan, jer u jednom trenutku samo jedan uređaj može da šalje i prima podatke.

Drugi problem kod mreža sa hub-ovima je što broadcast domain. Broadcast Domain nam govori koliko daleko broadcast poruke dosežu. Kao

što smo već ranije objasnili, routeri su uređaji koji ograničavaju broadcast domene.

Ovo su problemi kod šerovane CSMA/CD komunikacije. Svega jedan računar može koristiti kapacitete mreže u jednom trenutku. Zbog toga, već kada povežemo 20-ak računara u hub mrežu, počeće da se javljaju kolizije. Problem je što više od jednog uređaja osluškuje da li je kanal slobodan. I čim se kanal oslobodi, svi uređaji koji su osluškivali počinju da šalju istovremeno. Tako nastaje kolizija. Šta se dešava kada nastane kolizija?

Kada nastane kolizija, jedan od uređaja koji primeti da je nastala kolizija šalje signal zagušenja (Jam signal). Ovaj signal zaustavlja svu komunikaciju na mreži, da bi se podaci ponovo poslali. Nakon ovog signala, svaki uređaj koji je pogođen ovim zagušenjem će čekati nasumični vremenski interval pre ponovnog slanja podataka (Random backoff timer/algorythm). Radi se o mikrosekundama. Međutim, što je više uređaja priključeno, kolizije se dešavaju sve češće, zbog čega ukupna brzina mreže znatno opada.

Bridge

Kako se tehnologija razvijala, u računarskim mrežama su se počeli osim hubova pojavljivati i bridge-vi. Funkcija bridge-a je bila da nauči MAC adrese. I bridge bi naučio sve MAC adrese sa jedne strane mreže, i sve MAC adrese sa druge strane mreže. Na taj način bridge je podelio mrežu na dva Collision Domain-a! Čim brigde nauči sve MAC adrese, postaje inteligentan: poruke koje su namenjene računaru koji se nalazi na jednoj strani bridge-a, neće prelaziti na drugu stranu.

Bridge-vi su imali dva značajna problema. Prvi je bio ograničen broj portova; bridge-vi najčešće imaju svega četiri ethernet porta. Drugi problem je bio sporost: formiranje a nakon toga korišćenje MAC tabele je bilo dosta sporo.

Switch

Kao rešenje svih dosada navedenih problema u lokalnoj računarskoj mreži stvoren je novi uređaj – switch.

Prva prednost upotrebe switcheva je što odvajaju svaki port kao poseban Collision Domain. Ovaj proces se zove mikrosegmentacija. Mreže današnjice nemaju nigde instalirane hubove, tako da u suštini, svaki uređaj ima svoj sopstveni Collision Domain, tako da u stvari i nema kolizija!

Druga prednost upotrebe switcheva je full duplex, što znači da umesto da uređaj šalje ili prima podatke, oba smera saobraćaja su moguća istovremeno! Kratko objašnjenje, kada se za neki uređaj kaže da radi na brzini od, na primer, 100 Mbps, taj urešaj u stvari radi na 200 Mbps, jer se brzina uređaja računa kao brzina saobraćaja u jednom smeru.

Treća prednost switcheva je što se proces učenja MAC adresa, koji je kod hubova bio softverski, sada odvija u posebnom hardveskom čipu (ASIC-Application Specific Integrated Circuitry). Taj čip je kreirao IBM. Ovaj čip je omogućio da saobraćaj kroz switch bude isti ako ne i brži od saobraćaja do switcha.

Kako switch switchuje?

Hub radi na nivou fizičkog sloja podataka, jer jednostavno reprodukuje električni signal, bez analize paketa koje prosleđuje. Switch radi na nivou sloja veze podataka, jer prilikom prosleđivanja podataka analizira MAC adresu.

Kada se switch prvi put uključi, njegova CAM (Content Accessible Memory) je prazna. To je mesto na kojem se memorišu MAC adrese priključenih uređaja. CAM memorija se popunjava MAC adresama koje switch saznaje iz ARP upita i ARP odgovora. U proseku, switchu je potrebno ne više od 15 sekundi da popuni svoju CAM tabelu. Po defaultnoj konfiguraciji, switch briše zapise iz ove memorije nakon 300 sekundi neaktivnosti.

Sa dolaznim frejmom switch radi jednu od sledećih radnji: º Forward it-prosleđuje na osnovu CAM zapisa º Flood it-Broadcast Unknown Unicast Frame º Filter it–odbacuje frejmove koji se nalaze na portu sa kojeg dolaze

Nakon ovog izbora, switch donosi odluku koju procesnu radnju da preduzme:

º Store-and-forward-ceo frejm se memoriše, proverava tačnost na osnovu FCS (Frame Check Sum) (Error Detection), a onda prosleđuje

º Cut-through-frejm se prosleđuje odmah, čak i dok je prijem u toku º Fragment-free-ukoliko u prva 64B frejma nema greške, frejm se

prosleđuje

Šta je Cisco IOS?

IOS (Internetwork Operating System) je operativni sistem CISCO-a. Ovaj operativni sistem je u stvari set komandi kojima se konfiguriše CISCO-v uređaj. Prednost IOS-a u odnosu na interfejse uređaja drugih proizvođača ogleda se u tome što je IOS svih CISCO uređaja veoma sličan. Iako je u pitanju samo komandna linija, ovaj operativni sistem nam pruža mnogo više mogućnosti od bilo kojeg grafičkog interfejsa.

Kretanje kroz IOS

Ciscov operativni sistem se proslavio najvećim delom zbog svog help sistema. Bilo kada, pritiskom tipke? dobijamo listu svih komandi mogućih u tom trenutku. Ako ima više komandi nego što se može prikazati na ekranu, pritiskom tipke ENTER pomeramo komande na dole za jedan red, a pritiskom tipke SPACE pomeramo na dole za veličinu ekrana.

Up/Down arrow nas vodi kroz komande koje smo prethodno ukucavali u toku konekcije.

Kada u help sistemu neku komandu vidite otkucanu velikim slovima, to znači da treba da se ukucava reč, a ne komandna sintaksa. Na primer, kada se podešava sat, MONTH znači da treba da ukucamo reč koja predstavlja neki mesec (sep, oct, november itd).

Prilikom ukucavanja komandi, nije potrebno ukucati celu reč. Dovoljno je ukucati nekoliko karaktera, i onda kliknuti tipku TAB.

Konfiguraconi meniji

User mode je meni koji se prepoznaje po karakteru “>” nakon imena uređaja. Takođe se označava i kao User exec. U ovom meniju možemo koristiti samo neke osnovne funkcije, kao što su show komande, telnet, ping i slično.

Za nešto veći izbor komandi, moramo preći u Privileged mode. U ovaj meni prelazimo ukucavanjem „enable“:

º Switch>enable Ovaj meni prepoznajemo po karakteru „#“ nakon imena uređaja:

º Switch# Sa ovim menijem možemo vidjeti sve vezano za naš uređaj: status,

kretanje paketa, passworde i slično. Međutim, u ovom meniju možemo vidjeti konfiguraciju, ali ne možemo konfigurisati uređaj.

Za konfigurisanje uređaja potrebno je da pređemo u Global Configuration Mode. U ovaj meni prelazimo iz User Exec ukucavanjem „configure terminal“:

º Switch#configure terminal Ovaj meni prepoznajemo po „(config)“ pre karaktera #:

º Switch(config)# Iz ovog konfiguracionog menija možemo preći u bilo koji od mnogobrojnih

menija. Ovo su tri osnovna. Da bismo izašli iz bilo kog menija, treba da ukucamo ili „exit“ ili „end“ ili

ctrl+Z.

Uspostavljanje konekcije sa uređajem

Da bi se povezali sa Cisco routerom radi njegove konfiguracije, potrebni su nam:

º PROPRIETARY Cisco konzolni kabal; nijedan drugi kabal nam neće dati komandnu liniju. Konzoni kabal stiže sa Cisco opremom. U pitanju je kabal koji na jednom kraju ima RJ 45 konektor, a na drugoj strani, koja ide u računar, serijski priključak.

º Terminalni program, kao što je HyperTerminal, Putty ili neki drugi; º Konfiguracija COM porta: º baud rate: 9600 º data bits: 8 º parity: none º stop bits: 1 º flow control: none

Fizički indikatori (lampice)

Na većini Cisco uređaja imamo određene fizičke indikatore, i dugme koje nam pokazuje signalizaciju tih indikatora, najčešće „mode“ dugme.

Bilo koji indikator da je u pitanju, green je uvek ok, amber je uvek loše! System indikator pokazuje stanje sistema. Dok se IOS podiže, ovaj

indikator svetluca zeleno, i na kraju postaje permanentno zelen. Ako ova boja pređe u žutu, vraćite uređaj proizvođaču!

RPS (Redundant Power Supply) – opciona komponenta uređaja je rezervni izvor napajanja. Ukoliko je i ova komponenta uključena na napajanje, lampica će biti zelena.

Sledeća četiri indikatora: stat, util, duplex i speed su prikazana lampicama iznad portova. Prikaz između ova četiri indikatora se mijenja dugmetom „mode“.

Stat – stanje portova. Iznad svakog porta se nalazi lampica. Za vreme aktivnosti porta (prijem ili slanje signala), ova lampica će svickati. Kada nema aktivnosti, ako je na port priključen kabal, lampica će biti permanentno zelena.

Util –sve lampice zajedno pokazuju procenat iskorisćenosti kapaciteta uređaja. Što više lampica je uključeno, to je iskorišćenje veće.

Duplex – lampica je upaljena ako je port konfigurisan u full duplexu. Ako je lampica ugašena, port je u half duplexu.

Speed – za 100 Mbps lampica je uključena, za 10 Mbps je isključena.

Konfiguracioni registri

Tri najvažnije vrednosti konfiguracionog registra su: º 0x2102: defaultna konfiguracija, router pokreće startup config iz NVRAM

memorije. º 0x2142: router ignoriše sadržaj NVRAM memorije. º 0x2100: router se pokreće u ROM Monitor modu.

Konfigurisanje lozinki na uređaju

Prvo što treba da uradimo prilikom konfigurisanja bezbednosti switcha je konfigurisanje passworda: password (secret) za privileged mode, console port (user mode), telnet

Password (secret) za privileged mode: º Switch_home>enable º Switch_home#configure terminal º Switch_home(config)#enable password <ovde ukucati password>

Problem sa konfigurisanjem passworda je što se password memoriše u NVRAM u otvorenom tekstu, i vidljiv je u prikazu konfiguracije. Stoga je preporučivo da se umesto passworda konfiguriše secret, koji se kriptuje:

º Switch_home#enable secret <ovde ukucati secret> Password za user mode (console port):

º Switch_home(config)#line console 0 º Switch_home(config-line)#password <password> º Switch_home(config-line)#login

Telnet password se konfiguriše preko vty porta. Vty predstavlja virtual terminal, preko kojeg pristupamo uređaju remotely.

º Switch_home(config)#line vty 0 4 º Switch_home(config-line)#password cisco º Switch_home(config-line)#login

Brojevi 0 i 4 predstavljaju minimum i maksimum istovremenih telnet konekcija na switch.

Passwordi za user mode i telnet session su i dalje vidljivi u prikazu konfiguracije. Da bi se kritovali, ukucavamo komandu:

º Switch_home(config)#service password-encryption Problem sa ovim načinom enkripcije je što je nivo enkripcije 7 (za razliku

od secreta, koji ima nivo 5). Nivo 7 se može dekriptovati veoma lako (internet-brake cisco password)

Telnet

Telnet je najgori način daljinskog pristupa uređaju. Razlog je taj što je telnet razmena podataka otvoreni tekst – može se lako presresti i pročitati! (na primer, wireshark network analyzer)

SSH

SSH (Secure Shell) je u stvari telnet, ali kriptovan! Ovde je pokazano samo kako se ssh uključuje.

Da bismo omogućili SSH na switchu, prvo treba da kreiramo user account: º switch(config)# username <username> password <password>

Sledeće što treba da uradimo je da ukucamo domain name. Domain name je potreban radi stvaranja enkripcionog sertifikata:

º switch(config)#ip domain-name <domain. name> Nakon toga, generišemo enkripcioni ključ:

º switch(config)#crypto key generate rsa Koju verziju SSH koristimo:

º switch(config)# ip ssh version 2 Sada, umesto telneta omogućavamo ssh:

º switch(config)# line vty 0 4 º switch(config-line)# transport input ssh

Skraćena verzija

User account: º switch(config)# username <username> password <password>

Domain name: º switch(config)# ip domain-name <domain. name>

Encryption key: º switch(config)# crypto key generate rsa

SSH version: º switch(config)# ip ssh version 2

SSH login: º switch(config)# line vty 0 4 º switch(config-line)# transport input ssh

Bezbednost portova

Port možemo konfigurisati tako da dozvoli samo određenim uređajima da se konektuju, ili određenom broju uređaja kojima je dozvoljeno konektovanje. Na ovaj način možemo onemogućiti korisniku da na svoje radno mesto donese switch ili još gore router, i počne da pravi probleme u mreži. Postoje organizacije koje ovu sigurnost podižu na još viši nivo – pošto switchevi uče MAC adrese, te organizacije konfigurišu port tako da dozvoljava konekcijju samo uređaju sa određenom MAC adresom!

Postupak zaključavanja portova sastoji se iz nekoliko koraka. Nakon ulaska u submeni interfejsa:

º Switch_home(config)#interface fastEthernet 0/1 (možemo odabrati i opseg portova, range 0/x – y) Podešavamo vrstu interfejsa. U ovom slučaju, vrsta interfejs je pristupni

(access) º Switch_home(config-if)#switchport mode access

Uključujemo port security: º Switch_home(config-if)#switchport port-security

Možemo ograničiti broj uređaja koji se mogu priključiti na port (defaultna vrednost je jedan):

Switch_home(config-if)#switchport port-security maximum <br uređaja> Ovdje nam je pružena mogućnost podešavanja ponašanja interfejsa u

slučaju prekršaja polise koju smo konfigurisali. Postoje tri oblika reakcije interfejsa:

º Shutdown, interfejs se gasi čim se polisa prekrši º Protect, interfejs blokira sve uređaje osim onih dozvoljenih º Restrict, interfejs blokira sve uređaje osim onih dozvoljenih, i

evidentira sve akcije blokiranja Ponašanje interfejsa podešavamo komandom: Switch_home(config-if)#switchport port-security violation shutdown/ protect /restrict Zaključavanje porta MAC adresom se vrši na dva načina. Jedan način je

hardkodovanje MAC adrese, drugi način je zaključavanje MAC adresom prvog uređaja koji se priključi na taj port (sticky):

Switch_home(config-if)#switchport port-security mac-address h. h. h/sticky

Problem duplexa i half-duplexa na portu

Portovi switcheva su po defaultu konfigurisani da automatski prepoznaju brzinu i vid duplexa uređaja koji je priključen na port. Međutim, može se desiti da port pogrešno protumači vid duplexa sa kojim uređaj radi. Tako, ako uređaj radi u full duplexu, a port je prepoznao half-duplex, počeće da se javljaju kolizije i saobraćaj će biti znatno sporiji od očekivanog. Zbog toja je potrebno konfigurisati port u određeni vid duplexa.

Brzinu i duplex hardkodujemo na sledeći način: º switch_home(config-if)#duplex half/full/auto º switch_home(config-if)#speed 10/100/auto

Wireless

Wireless Access Points (WAP) komuniciraju kao habovi: º Šerovan signal º Half duplex

Wireless koristi nelicencirane opsege frekvencija (RF): º 900-MHz opseg: 902-928 MHz º 2. 4-GHz opseg: 2. 400-2. 483 MHz º 5-GHz opseg: 5. 150-5. 350 MHz

Što je frekvencija niža, daljina prijema je veća, ali je brzina prenosa niža.

Wireless je tehnologija koja radi na nivou 1 i 2 OSI modela. Wireless koristi CSMA/CA tehnologiju.

To znači da samo jedan klijent može slati u jednom trenutku.

Problemi sa konekcijom usled interferencije.

Vrste Wireless mreža

Personal Area Network (PAN)

Mreža sa radijusom ne više od jednog metra, kao što su bluetooth, wireless keyboard and mise, i tako dalje.

Local Area Network (LAN) Metropolitan Area Network (MAN)

Povezivanje udaljenih lokacija.

Wide Area Network (WAN)

Pokrivenost velikog prostora, i upotreba uređaja sa sve većom brzinom prenosa.

Ad-hoc Ove mreže se još zovu i Independent Basic Service Set (iBSS), koje se

uspostavljaju kada se računari sa bežičnim mrežnim karticama nađu u dometu, i obrazuju peer konekciju.

802. 11

802. 11b (2. 4 GHz range) *winner*

º U upotrebi od septembra 1999 º Do 11 Mbps (1, 2 5. 5, 11) º Najpopularniji standard º Tri čista kanala

802. 11g (2. 4 GHz range)

º U upotrebi od juna 2003 º Kompatibilan sa 802. 11b º Do 54 Mbps (12 brzina) º Tri čista kanala

802. 11a (5. 8 GHz range)

º U upotrebi od septembra 1999 º Do 54 Mbps º Nije kompatibilan sa 802. 11b/g º 12 do 23 čista kanala

802. 11n (2. 4/5. 8 GHz range)

º Do 540 Mbps º Nije kompatibilan sa 802. 11b/g

Spread Spectrum

Postoji više metoda slanja signala kroz spektar frekvencija. Frequency Hopping Spread Spectrum (FHSS) je metoda u kojoj se signal

šalje skakanjem sa frekvencije na frekvenciju. Direct Sequence Spread Spectrum (DSSS) šalje signal preko celokupnog

opsega odjednom. 11b, g i n koriste ovu metodu. Orthogonal Frequency Division Multiplexing (OFDM) deli signal i

fragmente signala šalje na različitim frekvencijama. 11a koristi ovu metodu.

Wireless kanali frekvencija

Wireless security

WEP (Wired Equivalent Privacy)

WEP podržava dve vrste autentikacije: º Open – korisnici se priključuju bez ukucavanja passworda º Shared key-na access pointu je konfigurisan pre-shared key, koji korisnici

moraju da ukucaju da bi pristupili mreži, i onda se podaci kriptuju i dekriptuju sa tim ključem. Kriptovanje je opciono.

WPA (Wi-Fi Protected Access) Obavezna enkripcija sa TKIP (Temporary Key Integrity Protocol). Ovaj

protokol obezbeđuje ključeve koji omogućavaju kriptovanu razmenu pre-shared keya.

I WEP i TKIP koriste RC4 šifru za enkripciju.

WPA + 802. 1x authentication Server authentication, kao RADIUS.

WPA2 (AES) Stronger encryption

SSID, BSS, ESS

Service Set Identifier (SSID) je naziv wireless mreže, koji ima dužinu do

32 hexdec karaktera. Ukoliko na Access Pointu isključimo SSID broadcast, na klijentu moramo ručno ukucati SSID, da bi mogli pristupiti mreži.

Basic Service Set (BSS) je područje koje je pokriveno sa jednim Access Pointom.

Extended Service Set (ESS) je područje koje je pokriveno sa više Access Pointa, koji su deo iste wireless mreže. Ovi Access Pointi imaju preklapanje područja do 15 %, čime je obezbeđena neprekidnost prijema prilikom kretanja korisnika (Roaming). Prilikom proširivanja područja pokrivenosti sa Repeaterima,

(Access Point koji nema kablovsku vezu sa mrežom, već samo kopira primljeni signal), preklapanje treba da bude 50 %.

Vrste antena

Yagi

Yagi antena (Yagi-Uda antenna) šalje signal u jednom pravcu, zbog čega mora biti pravilno usmerena. Zbog toda se zove Direkciona antena, ili Point-to-Point antena.

Omnicirekciona antena Omnidirekciona antena ili Point-to-Multipoint antena šalje signal u svim

pravcima.

Binarni sistem

Da bi najbolje shvatili funkcije binarnog sistema, napravićemo analogiju koja će nas dovesti do potrebe i načina prevođenja decimalnog u binarni sistem.

Negde u periodu zlatnog doba postojao je naučnik koji je u vrhuncu svog nadahnuća izmislio – ciglu! Naravno, vrlo brzo se pročulo za ovo otkriće, i naučnik (recimo da se zvao Mirko) je otvorio prodavnicu cigala, i zaposlio jednog pomoćnika. Već prvog dana, čim je otvorio radnju, ispred radnje je zatekao nekoliko mušterija, koje čekaju da kupe cigle. Prva mušterija je naručila 210 cigala. Naravno, Mirko je doviknuo pomoćniku (Marku) da donese iz magacina 210 cigala. I Marko je počeo da naručje po naručje donosi i sabira donešene cigle. Međutim, pre nego što je doneo i trećinu cigala za prvu mušteriju, Marko se umorio, i nije mogao više da nosi i sabira cigle! Na njegovu molbu, Mirko je zatvorio radnju, do sutradan. Morao je smisliti neki proces koji će mu omogućiti brzo sabiranje cigala. I smislio je proces paletizovanja. Odlučio je da napravi palete, gde svaka paleta ima duplo više cigli od prethodne, i da onda sabiranje cigli svede na sabiranje paleta, pa će Marko sa kolicima mnogo lakše donositi paletu po paletu umesto gomilu po gomilu. I tako, smislio je sledeći način:

Napravio je osam paleta. Prva paleta je imala jednu, druga dve, treća četiri, četvrta osam, peta šesnajest, šesta trideset dve, sedma šezdeset četiri, i osma sto dvadeset osam cigli:

º 2 4 8 16 32 64 128 Svaki put kada mušterija naruči neki broj cigli, Mirko će taj broj

pretvoriti u zbir paleta, zatim će za svaku paletu iz tog zbira dati Marku po jednu zastavicu, i Marko će jednostavno te palete doneti mušteriji.

I tako, sledećeg dana nakon otvaranja ponovo dođe mušterija koja je tražila 210 cigli. Mirko izvadi ispred sebe zastavice, i poče računati od najveće ka najmanjoj. Za 210 cigli, trebaće mi:

º Jedna paleta od 128 cigli, nakon čega mi ostaju jos 82 cigle; º Jedna paleta od 64 cigle, nakon čega mi ostaju još 18 cigli; º Nijedna paleta od 34 cigle; º Jedna paleta od 16 cigli, nakon čega mi ostaju još 2 cigle; º Nijedna paleta od 8 cigli; º Nijedna paleta od 4 cigle;

º Jedna paleta od 2 cigle; º Nijedna paleta od jedne cigle.

I nakon ovog sabiranja, Mirko je pred sobom imao niz: º 1 1 0 1 0 0 1 0.

Napokon, dao je marku zastavice koje su bile na mestima jedinica, i mušterija je zadovoljno sa svojim ciglama otišao kući.

Sada je već bilo lako, kada je sistem uspostavljen. Došao je sledeći mušterija, i tražio 131 ciglu. Mirko je opet izvadio zastavice, i računao:

º Jedna paleta od 128 cigli, ostaju tri cigle º Nijedna paleta od 64, º Nijedna paleta od 32, º Nijedna paleta od 16, º Nijedna paleta od 8, º Nijedna paleta od 4, º Jedna paleta od 2, º Jedna paleta od 1 cigle.

Nakon sabiranja, pred sobom je imao niz: º 0 0 0 0 0 1 1.

Zastavice na mestima jedinica je dao Marku, Marko iz magacina doneo cigle, i mušterija sa svojim ciglama zadovoljno otišao kući.

Ova analogija nam je objasnila način pretvaranja decimalnog u binarni sistem. Takođe je jednim delom pokazala i funkciju binarnog sistema – da cifre decimalnog sistema prikaže kao kombinaciju jedinica i nula.

U binarnom sistemu, ovih osam zastavica, pri čemu svaka predstavlja decimalni broj, je u stvari osam bita. U nizu od osam bita, svaka logička jedinica i svaka logička nula predstavljaju prisustvo ili odsustvo bita, a bitovi u ovom osmobitnom nizu, s leva na desno, predstavljaju decimalne brojeve: 128, 64, 32, 16, 8, 4, 2, i 1. Ovaj niz od osam bita predstavlja jedan Bajt. Kada su u jednom bajtu svi biti jedinice, tada je ukupan zbir bita 255.

IP subnetting – prema broju mreža

Najbolji način da se nauči IP subnetting, odnosno deljenje jednog opsega IP adresa u nekoliko manjih, je da se pogleda funkcionisanje ovog procesa u praksi.

Prvi praktični scenario Organizacija je kupila opseg IP adresa klase C: 216. 21. 5. 0 i želi da sa tim

opsegom adresira sve uređaje u ovoj mreži:

I evo problema koji se javio. Adresa mreže je 216. 21. 5. 0. Pošto je u pitanju klasa C, subnet maska je 255. 255. 255. 0. Očigledno je da ova organizacija ima jednu mrežu, 216. 21. 5, u kojoj može imati 254 klijenta. Međutim, kao što vidimo sa slike, potrebno je adresirati pet mreža! tri mreže sa klijentima, i dve mreže koje povezuju lokalne računarske mreže. Recimo da su u pitanju WAN linkovi, koji povezuju kancelarije u Beogradu, Podgorici i Sarajevu.

Sada znamo kojim opsegom adresa raspolažemo i kakvi su zahtevi organizacije koja zahteva adresiranje. Proces adresiranja ćemo podeliti u tri koraka.

Prvi korak: odrediti broj mreža koje treba adresirati, i taj broj pretvoriti u binarni

Sa slike vidimo da je potrebno adresirati pet mreža. Pet je u binarnom sistemu:

º 0x128 º 0x64 º 0x32 º 0x16 º 0x8 º 1x4 º 0x2 º 1x1, odnosno º 0 0 0 0 0 1 1 0.

Drugi korak: rezervisati bite u subnet masci, i naći inkrement Naša originalna subnet maska je: 255. 255. 255. 0 u binarnom obliku

izgleda ovako: º 255. 255. 255. 0 = 11111111. 11111111. 11111111. 11111111. 00000000.

Sve do sada subnet masku smo posmatrali na sledeći način: gde god bismo videli 255, taj oktet bi predstavljao mrežu, a gde god bismo videli nulu, taj oktet bi predstavljao prostor za klijente. To je bio osnovni oblik i objašnjenje mrežne maske. Sada ćemo to objašnjenje malo proširiti: svaki bit koji je u binarnom obliku mrežne maske jedinica, predstavlja mrežu, a svaki bit koji je nula, predstavlja prostor za klijente. Shodno tome, mrežna maska 255. 255. 255. 0 se još predstavlja u obliku /24, jer su 24 bita rezervisana za mrežu (prva 24 bita su logičke jedinice):

º 255. 255. 255. 0 = 11111111. 11111111. 11111111. 11111111. 00000000. Potrebno nam je pet mreža. Za broj pet u binarnom sistemu potrebna su

poslednja tri bita: º 5 = 00000110

Sada rezervišemo bite u subnet masci, dodavanjem tri bita na već postojeću masku:

º 11111111. 11111111. 11111111. 11100000. Na ovaj način dobili smo subnet masku za svih pet mreža koje su nam

potrebne: º 11111111. 11111111. 11111111. 11100000 = 255. 255. 255. (128+64+32) = 255.

255. 255. 224 ili /27. Inkrement je najniži mrežni bit, pretvoren u decimalni broj. Najniži bit, s

leva u desno je 27-i, i njegova decimalna vrednost je 32.

Treći korak: pomoću inkrementa pronaći mrežne opsege Početna IP adresa opsega kojim raspolažemo je: 216. 21. 5. 0. Mrežne

opsege dobijamo tako što na ovu adresu dodajemo inkrement: º 216. 21. 5. 0 º 216. 21. 5. 32 º 216. 21. 5. 64 º 216. 21. 5. 96 º 216. 21. 5. 128

Na ovaj način dobili smo mrežne adrese svih mreža. Poslednja IP adresa mreže će biti poslednja adresa pre početka sledeće

mreže. Shodno tome, imamo sledeće mreže: º 216. 21. 5. 0-216. 21. 5. 31 º 216. 21. 5. 32-216. 21. 5. 63 º 216. 21. 5. 64-216. 21. 5. 95 º 216. 21. 5. 96-216. 21. 5. 127 º 216. 21. 5. 128-216. 21. 5. 159.

Prva i poslednja IP adresa IP opsega se ne mogu koristiti, jer je prva adresa ID mreže, a poslednja je broadcast adresa. Pošto je mrežna maska /27, a IP adresa ima 32 bita, to znači da za hostove imamo 5 bita. Broj hostova u mreži se računa formulom:

º Broj hostova = 2n-2, pri čemu je n broj bita rezervisan za hostove. Prema tome, mreže ove organizacije mogu imati 25 – 2 = 30 hostova.

Drugi praktični scenario U ovom scenariju imamo mrežu 195. 5. 20. 0, i treba da je podelimo u 50

manjih mreža.


Broj mreža koje treba adresirati je 50: º 50 = 0x128 + 0x64 + 1x32 + 1x16 + 0x8 + 0x4 + 1x2 + 0x1 = 0 0 1 1 0 0 1 0.

Drugi korak: rezervisati bite u subnet masci, i naći inkrement Prvobitna subnet maska je 255. 255. 255. 0 = 11111111. 11111111. 11111111.

00000000. Za broj 50 potrebno je šest bita. Stoga je nova mrežna maska:

º 11111111. 11111111. 11111111. 11111100 = 255. 255. 255. (128+64+32+16+8+4) = 255. 255. 255. 252 ili /30. Inkrement je 30-i bit, njegova decimalna vrednost je 4.

Treći korak: pomoću inkrementa pronaći mrežne opsege 195. 5. 20. 0 – 195. 5. 20. 3 195. 5. 20. 4– 195. 5. 20. 7 195. 5. 20. 8 – 195. 5. 20. 11 . . . Svaka od 50 novih mreža će imati 22 – 2 = 2 hosta.

Treći praktični scenario Imamo opseg B klase IP adresa: 150. 5. 0. 0, potrebno je da

adresiramo 100 mreža.


º 100 =0x128 + 1x64 + 1x32 + 0x16 + 0x8 + 1x4 + 0x2 + 0x1 = 0 1 1 0 0 1 0 0.

Drugi korak: rezervisati bite u subnet masci, i naći inkrement º 255. 255. 0. 0 = 11111111. 11111111. 00000000. 00000000.

Broj bita potreban za 100 = 7 º 11111111. 11111111. 11111110. 00000000 = 255. 255. 254. 0 ili /23.

Inkrement je 23-i bit, decimalna vrednost mu je 2.

Treći korak: pomoću inkrementa pronaći mrežne opsege 150. 5. 0. 0-150. 5. 1. 255 150. 5. 2. 0-150. 5. 3. 255 150. 5. 4. 0-150. 5. 5. 255 . . . Broj hostova u svakoj novoj mreži biće 29 – 2 = 510. Ukupan broj mreža koje dobijamo ovim procesom izračunava se formulom: Ukupan broj mreža = 2x,

Cisco je nekada izbacivao prvu (subnet zero) i poslednju mrežu. Međutim, to više nije slučaj.

Pri čemu je x broj mrežnih bita. U ovom scenariju, dobićemo ukupno 27 = 128 mreža.

Četvrti praktični scenario Imamo opseg A klase, 10. 0. 0. 0, potrebno je adresirati 500 mreža.


Za broj 500 treba nam 9 bita.

Drugi korak: rezervisati bite u subnet masci, i naći inkrement º 255. 0. 0. 0 = 11111111. 00000000. 00000000. 00000000

Nova subnet maska je 11111111. 11111111. 10000000. 00000000 ili /17. Inkrement je 17-i bit, decimalne vrednosti 128.

Treći korak: pomoću inkrementa pronaći mrežne opsege 10. 0. 0. 0 – 10. 0. 127. 255 10. 0. 128. 0-? ? ? ? Ovde nailazimo na slučaj gde inkrement dodat na mrežnu adresu premašuje

broj 255, jer je 128 + 128 = 256. U ovakvom slučaju, jedinica koja premašuje broj 255 se prenosi u prethodni oktet.

10. 0. 128. 0 – 10. 0. 255. 255 10. 1. 0. 0 – 10. 1. 127. 255 10. 1. 128. 0 – 10. 1. 255. 255 10. 2. 0. 0 – 10. 2. 127. 255 . . .

Broj hostova u svakoj od dobijenih mreža je: 215-2 = 32766. Broj mreža dobijenih ovim procesom je 29 = 512.

IP subnetting – prema broju hostova

Prvi praktični scenario Imamo opseg klase C, 216. 21. 5. 0, i potrebno je da napravimo mreže koje

imaju po 30 hostova.

Prvi korak: odrediti broj hostova i pretvoriti ga u binarni º 30 = 0x128 + 0x64 + 0x32 + 1x16 + 1x8 + 1x4 + 1x2 + 0x1 = 0 0 0 1 1 1 1 0

(pet bita)

Drugi korak: Rezervisati bite u mrežnoj masci i naći inkrement º 255. 255. 255. 0 = 11111111. 11111111. 11111111. 00000000

Umesto da se dodaje pet jedinica s leva u desno, u ovom procesu se s desna u levo ostavlja 5 nula:

º 11111111. 11111111. 11111111. 11100000 = 255. 255. 255. 224 ili /27. Inkrement je 27-i bit, decimalne vrednosti 32.

Treći korak: pomoću inkrementa pronaći mrežne opsege 216. 21. 5. 0-216. 21. 5. 31 216. 21. 5. 32-216. 21. 5. 63 216. 21. 5. 64-216. 21. 5. 95 . . . . Ukupan broj mreža je 23 = 8. Ukupan broj hostova 28 – 2 = 30.

Drugi praktični scenario Imamo opseg klase C: 195. 5. 20. 0, 50 hostova po mreži.

Prvi korak: odrediti broj hostova i pretvoriti ga u binarni º 50 = 0x128 + 0x64 (šest bita)

Drugi korak: Rezervisati bite u mrežnoj masci i naći inkrement º 255. 255. 255. 0 = 11111111. 11111111. 11111111. 00000000 º 11111111. 11111111. 11111111. 11000000 = 255. 255. 255. 192 ili /26.

Inkrement je 26-i bit, decimalne vrednosti 64.

Treći korak: pomoću inkrementa pronaći mrežne opsege 195. 5. 20. 0-195. 5. 20. 63 195. 5. 20. 64-195. 5. 20. 127

195. 5. 20. 128-195. 5. 20. 191 195. 5. 20. 192-195. 5. 20. 255 Ukupan broj mreža: 22 = 4 Ukupan broj hostova po mreži: 26 – 2 = 62. (inkrement-2)

Treči praktični scenario Imamo opseg klase B: 150. 5. 0. 0, potrebne su nam mreže sa 500 hostova.

Prvi korak: odrediti broj hostova i pretvoriti ga u binarni º 500 = 1x256 +. . . (devet bita)

Drugi korak: Rezervisati bite u mrežnoj masci i naći inkrement º 255. 255. 0. 0 = 1111111. 11111111. 00000000. 00000000 º 11111111. 11111111. 11111110. 00000000 = 255. 255. 254. 0 ili /23

Inkrement je 23-i bit, decimalne vrednosti 2

Treći korak: pomoću inkrementa pronaći mrežne opsege 150. 5. 0. 0-150. 5. 1. 255 150. 5. 2. 0-150. 5. 3. 255 . . . . Ukupan broj mreža: 27 = 127 Ukupan broj hostova: 29 – 2 = 510

Četvrti praktični scenario Imamo opseg klase A: 10. 0. 0. 0, potrebne su nam mreže sa 100 hostova

Prvi korak: odrediti broj hostova i pretvoriti ga u binarni º 100 = 1x64 (sedam bita)

Drugi korak: Rezervisati bite u mrežnoj masci i naći inkrement º 255. 0. 0. 0 = 11111111. 00000000. 00000000. 00000000 º 11111111. 11111111. 11111111. 10000000 = 255. 255. 255. 128 ili /25

Inkrement = 128

Treći korak: pomoću inkrementa pronaći mrežne opsege 10. 0. 0. 0 – 10. 0. 0. 127 10. 0. 0. 128 – 10. 0. 0. 255 10. 0. 1. 0 – 10. 0. 1. 127 . . . .

Ukupan broj mreža: 217 = 131072 Ukupan broj hostova: 27 – 2 = 126

IP subnetting – reverse engineering

Prvi praktični scenario Imamo IP adresu 192. 168. 1. 127, imamo subnet masku, 255. 255. 255.

224, treba da saznamo kojem mrežnom opsegu ova adresa pripada.

Prvi korak: odrediti inkrement subnet maske Inkrement = 32

Drugi korak: na osnovu inkrementa odredimo mrežni opseg 192. 168. 1. 0 – 192. 168. 1. 31 192. 168. 1. 32 – 192. 168. 1. 63 192. 168. 1. 64 – 192. 168. 1. 95 192. 168. 1. 96 – 192. 168. 1. 127 192. 168. 1. 128 – 192. 168. 1. 159 Zadata IP adresa je broadcast adresa u IP opsegu, stoga ne može biti

dodeljena uređaju.

Drugi praktični scenario

Imamo IP adresu 172. 16. 68. 65, subnet masku 255. 255. 255. 240 i default gateway 172. 16. 68. 62. Treba da razmotrimo da li je sve u redu.

Prvi korak: odrediti inkrement subnet maske Inkrement = 16

Drugi korak: na osnovu inkrementa odredimo mrežni opseg 172. 16. 68. 0-172. 16. 68. 15 172. 16. 68. 16-172. 16. 68. 31 172. 16. 68. 32-172. 16. 68. 63 opseg kojem pripada gw 172. 16. 68. 64-172. 16. 68. 79 opseg kojem pripada klijent 172. 16. 68. 80-172. 16. 68.

Kreiranje korisnika

Switch_home(config)#username <username> privilege 1/15 secret <secret> / password <password> 0/7 Ovo je generalna sintaksa za kreiranje korisnika. Nakon ukucavanja

korisničkog imena, možemo mu dodeliti sigurnosni nivo. Podrazumevani nivo je jedan, I taj nivo vodi korisnika u User mode. Nivo 15 je najviši sigurnosni nivo koji vodi korisnika u Privileged mode.

Kao što smo već rekli, routeru možemo pristupiti preko konzolnog porta, preko vty porta (Telnet I SSH) I preko weba (HTTP I HTTPS).

Za pristup routeru preko weba, neophodan je korisnički nalog. Za pristup konzolno ili telnetom, routeru može pristupiti anonimni korisnik,

ako zna enable password, ili korisnik koji ima nalog. Nalog sa sigurnosnim nivoom jedan ima pristup User modu, sa nivoom 15 Privileged modu.

Za pristup SSH konekcijom neophodan je korisnički nalog. Nivo sigurnosti može biti 1 ili 15.

Šta je Cisco SDM?

SDM (Security Device Manager) je Graphic User Interface koji možemo koristiti radi konfiguracije i održavanja routera. Baziran je na webu, tako da se možemo konektovati na router preko web browsera. Radi sa svim skoro svim routerima, osim onih najnaprednijih. Stvoren je da omogući konfigurisanje routera bez preteranog znanja.

SDM uvek stiže u flash memoriji routera koji kupimo. Ako ga tamo nema, možemo ga downloadovati sa neta. Postupak instalacije je trivijalan.

Konfigurisanje routera za upotrebu SDM-a

Generišemo enkripcioni ključ: switch_home(config)#username <username> password <password> switch_home(config)#ip domain-name domain. name switch_home(config)#crypto key generate rsa general-keys 1024

Uključivanje HTTP – HTTPS servera switch_home(config)#ip http server Problem sa HTTP je što nije siguran protokol. Zbog toka uključujemo: switch_home(config)#ip http secure-server Sada umesto porta 80 koristimo port 443, koji je kriptovana verzija porta

80.

Kreiranje usera sa sigurnosnim nivoom 15 Ovaj nivo sigurnosti se koristi za naloge kojima se pristupa routeru preko

weba, radi korišćenja SDM-a. switch_home(config)#username <username> privilege 15 secret <secret> Nalog možemo kreirati sa secretom, (nivo enkripcije 5) ili sa passwordom,

gde možemo odabrati nivo enkripcije 0 ili 7, 0 je po defaultu.

Konfigurisati vty (sada i HTTP) portove za nivo sigurnosti 15 i za upotrebu lokalne baze korisnika

Korisnici koji routeru pristupaju preko weba mogu koristiti SDM nakon ukucavanja passworda, ili nakon autentifikacije. (enable password / local user database).

switch_home(config)#ip http authentication local

switch_home(config)#line vty 0 4 switch_home(config-line)#login local

Instalirati Javu i usmeriti web browser na IP adresu routera.

Šta je DHCP

DHCP (Dynamic Host Configuration Protocol) je automatizovani način koji uređajima dodeljuje IP adrese u lokalnoj računarskoj mreži.

DHCP servis obično dodeljuje IP adrese koje traju određeni vremenski period (lease time).

Za ključne mrežne uređaje, IP adrese mogu biti dodeljene permanentno Ovaj servir može biti podešen na routeru ili na serveru.

DHCP proces

Kada je klijent konfigurisan da IP adresu dobija automatski od DHCP servera, čim se konektuje na mrežu, on šalje DHCP Discover poruku, koja je broadcast (ffff: ffff: ffff). Na ovu poruku odgovara DHCP server sa DHCP offer paketom (unicast, port udp 67), u kojem nudi IP adresu. Na ovu poruku klijent odgovara sa DHCP request paketom (unicast, port udp 68), u kojem zahteva predloženu IP adresu. Na ovu poruku server odgovara sa DHCP ACK paketom (unicast, port udp 67), i klijentu je dodeljena IP adresa.

Statičko rutiranje

Kada uključimo router, uključimo interfejse i dodelimo im IP adrese, on može pristupiti jedino mrežama koje su direktno povezane na njegove interfejse. Ostalim mrežama ne može pristupiti, jer u njegovoj tabeli rutiranja ima jedino putanje do direktno povezanih mreža.

Statičko rutiranje je proces u kojem na routeru manuelno upisujemo putanje do određenih mreža.

º Router(config)#ip route <adresa mreže> <subnet maska> <ip adresa sledećeg skoka> Ova sintaksa služi za upisivanje putanje do određene mreže.

º Router(config)#ip route 0. 0. 0. 0 0. 0. 0. 0 <IP adresa ISP, ili poslednjeg poznatog skoka> Ova sintaksa predstavlja defaultnu putanju. Defaultna putanja se koristi

kada u tabeli rutiranja nema nijedne druge putanje do odredišne mreže.

Dinamičko rutiranje

Pri statičkom rutiranju, router poznaje jedino mreže koje su direktno povezane, i mreže do kojih se stiže preko statičkih ruta. Međutim, za ovakvo rutiranje je potrebno neopisivo puno vremena. A i kada se završi konfiguracija mreže, svaki put kada dodamo samo jednu mrežu, na svakom ruteru moramo upisivati rutu do te mreže. Besmisleno.

Kod dinamičkog rutiranja routeri stalno broadcastuju/multicastuju poruke u kojima pružaju informaciju do kojih mreža mogu da dospeju, i kako. Stalnim broadcastingom/multicastingom svi routeri stalno zanavljaju svoju tabelu rutiranja dinamički.

Na slici je prikazana mreža sa tri routera. Router 1 je direktno sa

Internetom i mrežom 1, router 2 sa mrežom 1 i mrežom 2 i router 3 sa mrežom 2 i mrežom 3. Bez ukucavanja statičkih ruta, svaki od ovih routera može komunicirati jedino sa uređajima koji pripadaju direktno povezanim mrežama. Međutim, ako na routerima konfigurišemo neki dinamički protokol rutiranja, evo šta se dešava:

º Router 1 broadcastuje/multicastuje informaciju da može da dospe do interneta i mreže 1;

º Router 2 broadcastuje/multicastuje informaciju da može da dospe do mreže 1 i mreže 2;

º Router 3 broadcastuje informaciju da može da dospe do mreže 2 i mreže 3;

Kada router 1 primi broadcast/multicast poruku od routera 2 i routera 3, zanavlja svoju tabelu rutiranja, i broadcastuje/multicastuje informaciju da može da dospe do interneta, mreže 1, mreže 2 (preko routera 2) i mreže 3 (preko routera 3)

Kada router 2 primi broadcast/multicast poruku od routera 1 i routera 3, zanavlja svoju tabelu rutiranja, i broadcastuje/multicastuje informaciju da može da dospe do mreže 1, mreže 2, interneta (preko routera 1) i mreže 3 (preko routera 3)

Kada router 3 primi broadcast/multicast poruku od routera 1 i routera 2, zanavlja svoju tabelu rutiranja, i broadcastuje/multicastuje informaciju da može da dospe do mreže 2, mreže 3, interneta (preko routera 1) i mreže 1 (preko routera 2)

Protokoli rutiranja

Svi protokoli rutiranja mogu se svrstati u tri kategorije: º Distance Vector º Link State º Hybrid

Distance Vector routing protokoli imaju sledeće karakteristike: º veoma lako se konfigurišu º nemaju mnogo opcija º dosta su spori u detektovanju problema na mreži.

Distance Vector routing protokoli su RIP (Routing Information Protocol) i IGRP (Interior Gateway Routing Protocol, pokoj mu duši).

Distance vector routing protokoli imaju ozbiljan problem: Petlje rutiranja!!!

Link State routing protokoli imaju sledeće karakteristike: º teže se konfigurišu º imaju veliki broj mogućnosti

Link State routing protokoli su OSPF (Open Shortest Path First) i IS-IS (Intermediate System to Intermediate System).

Hibryd routing protokoli su Proprietary protokoli. Najpoznatiji Hybrid

protokol je EIGRP (Enhanced Interior Gateway Routing Protokol) koji je Ciscov proizvod. Ovaj protokol je napravljen sa ciljem da bude lak za konfigurisanje, a da pri tome ima veliki broj opcija.

Routing Information Protocol (RIP)

Verovali ili ne, prvi algoritam za ovaj protokol je napisan 1969! ! ! Ovaj protokol ima dve verzije:

º RIPv1 i novija º RIPv2.

RIPv1 je ranije korišćena verzija ovog protokola. U ovoj verziji, svakih 30 sekundi router broadcastuje svoju tabelu rutiranja.

Prvi nedostatak ove verzije je što je classful. To znači da sa ovom verzijom routeri mogu da advertizuju samo defaultne klase IP adresa. Na primer, ukoliko je router povezan sa mrežom 172. 16. 1. 0 / 24, router će broadcastovati mrežu 172. 16. 1. 0 sa defaultnom mrežnom maskom /16, jer je ovo adresa klase B. VLSM (Variable Lenght Subnet Masking) nije podržan kod ove verzije.

Drugi nedostatak je nedostatak autentikacije. To znači da bilo ko može doneti router i povezati ga na mrežu, i potpuno zbuniti ostale routere sa svojom konfiguracijom.

Treći nedostatak je broadcasting. To znači da svi uređaji na mreži dobijaju RIP updates svakih 30 sekundi (računari, štampači, serveri), i odbacuju ih, što generiše ogroman mrežni saobraćaj!

RIPv2 je poboljšana verzija RIP protokola. U ovoj verziji routeri svakih 30 sekundi multicastuju svoju tabelu rutiranja na adresu 224. 0. 0. 9.

Invalid Timer označava putanju kao Unreachable (hop count=16), nakon isteka zadatog vremena (po defaultu 180 sekundi). Ova putanja se i dalje koristi za saobraćaj, sve do isteka Hold Down timera (po defaultu 180 sekundi).

Flush je vreme od isteka Hold Down timera do brisanja putanje (po defaultu 240).

RIPv2 je pre svega classless verzija, što znači da se osim mrežne adrese advertizuje i subnet maska. To znači da je VLSM podržan u ovoj verziji.

I drugi nedostatak verzije 1 je uklonjen – svi routeri koji koriste RIPv2 mogu imati konfigurisan password.

Treći nedostatak – broadcasting je uklonjen sa multicastingom. Jedino RIP routeri dobijaju RIP updates.

Razlog zbog kojeg RIP šalje update poruke svakih 30 sekundi, čak i ako nema promene u tabeli rutiranja, je zato što je to jedini keepalive mehanizam ovog protokola. Ukoliko neki router šalje update određeni vremenski period, smatra se da je diskonektovan.

Po defaultnim podešavanjima, RIPv1 šalje v1, ali prima i v1 i v2 updates. Uprkos svim poboljšanjima, i RIPv2 ima neke nedostatke koje je imala i

verzija 1:

Petlje rutiranja Petlja rutiranja se javlja kada dođe do gubitka komunikacije sa nekom

mrežom, nakon slanja brodacast/multicast update poruke. Naime, router šalje informaciju da se preko njega može doći do mreže X.

Protokol rutiranja omogućava da svi routeri upišu tu informaciju u svoje tabele routiranja. I u toj poruci, router naznačava da je direktno povezan sa tom mrežom, tj. Da je hop count=0. I sada router izgubi konekciju sa tom mrežom. Susedni routeri imaju u svojim tabelama rutiranja informaciju da mogu da dođu do mreže X, sa hop count=1. Sada izvorni router upisuje tu informaciju u svoju tabelu rutiranja, sa hop count=2. I onda je broadcastuje, i na taj način petlja dobija sve veći hop count. Ovaj proces se zove Count Down to Infinity.

Određivanje putanje samo na osnovu hop counta RIP v1/2 ne vodi računa o brzini linkova do odredišta. Bez obzira na brzinu,

svi linkovi imaju istu vrednost-hop count = 1.

Postoje načini na koje se možemo zaštititi od petlji rutiranja: Maximum distances

Maksimalna distanca je broj skokova nakon kojih se putanja ne uzima u obzir. Kod RIP protokola ovaj broj je 16. Ova distanca nam takođe govori da se RIP ne može koristiti u korporativnim mrežama koje mogu imati više od 16 skokova.

Route poisoning Čim se mreža diskonektuje, router joj upisuje hop count = 16.

Triggered updates Čim se neka mreža diskonektuje, šalje se update sa ovom informacijom.

Split horizon

Split horizon onemogućava routerima da šalju informacije o mrežama kojima mogu pristupiti na interfejse preko kojih su dobili te informacije.

Hold down timers Nakon prijema informacije o nekoj putanji, ta informacija neće biti

promenjena za period hold down timera.

Konfigurisanje RIP protokola Uključivanje protokola

Router(config)# router rip

Promena verzije u verziju 2 (verzija 1 je default) Router(config-router)#version 2

Upisivanje default putanje Napomena: ova komanda se upisuje na router koji ima interfejs koji

pristupa internetu Router(config)#ip route 0. 0. 0. 0 0. 0. 0. 0 <sledeći skok> Router(config-router)#redistribute static

Upisivanje mreža Router(config-router)#network <network ID mreže kojoj pripada interfejs na koji želimo advertajzing>

º Napomena: ova komanda se izvodi za sve interfejse na koje želimo advertajzing.

º Druga napomena: upisuje se classful network ID. Pretvara se u classless komandom: Router(config-router)#no auto-summary Ova komanda obavlja dve funkcije:

º Govori RIP protokolu koje mreže da advertizuje º Na koje interfejse da advertizuje (po defaultu se advertizuje samo na

interfejs koji se nalazi u mreži koja se advertizuje).

Link State Routing Protocols

Pre svega, Link State Routing protokoli uspostavljaju susedske veze, umesto slanja broadcast/ multicast poruka.

Kada se na routeru konfiguriše Link State protokol, router počinje da šalje poruke HELLO protokola. To su poruke koje u sebi sadrže informacije o zahtevima koje susedni router treba da ispunjava da bi se uspostavila susedska veza.

Kada se uspostavi susedska veza, routeri razmenjuju tabele rutiranja. Nakon toga, update informacije se šalju jedino kada dođe do promene.

º Postoje dva Link State Protokola: º OSPF (Open Shortest Path First) º IS-IS (Intermediate System to Intermediate System)

Route summarization

Route summarization je postupak u kojem sve mreže kojima router ima pristup grupišemo u jednu mrežu. To se postiže povećavanjem mrežne maske na broj bita koji je identičan u svim mrežama koje treba da se advertizuju.

U primeru sa slike, router R 1 sumira 15 mreža kojima ima pristup sa leve strane. Umesto da advertizuje svih 15 mreža sa mrežnim maskama /24, on će advertizovati jednu mrežu sa mrežnom maskom /20, jer toliko bita je identično u svakoj od tih 15 mreža.

Ovime se postižu dva cilja: º Smanjene su tabele rutiranja, zbog čega su routeri znatno brži º Broj update poruka je umanjen, jer je umanjen i broj mreža koje se

advertizuju. º

Napomena: Router sme da advertizuje samo one mreže sa kojima je povezan. Dakle, ako imamo 16 umesto 15 mreža u gornjem primeru, ne možemo advertizovati mrežnu masku /19, jer bi to značilo da smo povezani i sa mrežom 192. 168. 17. 0, 18. 0 i tako dalje, sve do 31. 0. Zbog toga, mogu se sumirati samo mreže koje popunjavaju opseg sledećeg bita. Ostale mreže se advertizuju posebno.

OSPF

OSPF area je grupa routera koji imaju iste routing informacije (iste topology tabele). Cisco preporučuje da area ne treba da sadrži više od 50 routera.

Unutar area oblasti nalaze se internal routers. Ovi routeri imaju jedino informacije o rutiranju unutar area oblasti.

Area oblasti povezuju area border routers. Ovi routeri imaju routing informacije area oblasti sa kojima su povezani. I na ovim routerima se konfiguriše network summarization.

Kompletna oblast u kojoj je konfigurisan OSPF protokol se povezuje sa ostalim mrežama preko autonomous system boundary router-a.

Pravila OSPF

Sve area oblasti moraju biti povezane sa Area 0. Area 0 je backbone cele mreže.

Svi routeri u okviru jedne area oblasti imaju istu topology tabelu, ali različite routing tabele. Topology tabela je prikaz svih putanja u okviru area oblasti, a routing tabela je tabela putanja kojima je router povezan sa mrežama.

Postignuti cilj: update poruke se lokalizuju na područje area oblasti.

Razumevanje OSPF odnosa među susedima

Kada se pokrene OSPF protokol na određenom interfejsu, taj interfejs šalje hello poruke i tako ostvaruje vezu sa susedom, i od tog trenutka razmenjuje poruke hello protokola. Hello protocol šalje hello poruke svakih 10 sekundi na broadcast / PtP mreže, i svakih 30 sekundi na NBMA mreže. Što se tiče updejta (Link State Advertisement – LSA), oni se šalju kada se desi promena u mreži. Šalju se unutar Link State Update-a.

Router ID Router ID je IP adresa kojom se router predstavlja svojim susedima. Ova

IP adresa biće IP adresa najvišeg broja interfejsa, ili najviša loopback adresa, ukoliko su loopback adrese definisane.

EIGRP

Razlozi upotrebe ovog protokola: º Backup router (Defused update algorythm)

EIGRP je jedini routing protokol koji pamti backup putanje. RIP i OSPF nakon gubitka neke konekcije kreću u novo istraživanje, a zatim i izbor najbolje putanje. EIGRP u svojoj topološkoj tabeli pamti drugu alternativnu (backup) putanju, koju aktivira odmah nakon prekida primarnog linka.

º Simple configuration º Flexability in summarization

Sumiranje mreža je moguće na bilo kojem routeru. Kod OSPF protokola je bilo moguće jedino na ABR i ASBR.

º Unequal – cost load balancing Ovaj protokol raspoređuje saobraćaj shodno mogućnostima linkova.

EIGRP tabele i terminologija

EIGRP routeri održavaju tri odvojene tabele: º Tabela suseda º Topološka tabela º Tabela rutiranja º

Topološka tabela sadrži sve putanje koje postoje u mreži. Putanja koja je najbolja za prenos podataka naziva se successor, označava se oznakom P (primary), i kopira se u routing tabelu. Ostale putanje u topološkoj tabeli označavaju se kao alternativne – feasible successor, i označavaju se oznakom B (backup).

Optimizovanje Telnet / SSH sesije

Ciscovi uređaji imaju mogućnost međusobnog Telnetovanja. To znači da se sa računara možemo telnetovati na router 1, a onda u okviru te sesije sa routera 1 se možemo telnetovati na router 2.

º CTRL + SHIFT + 6, X – suspendovanje tekuće telnet sesije º Show sessions – prikaz svih otvorenih telnet konekcija sa uređaja º Show users – prikaz svih otvorenih telnet konekcija ka uređaju º Resume X (X je broj telnet konekcije na uređaju) – aktivira uspostavljenu

telnet sesiju º X – isto što i Resume X º ENTER – aktiviranje poslednje suspendovane telnet sesije º Disconnect X – gašenje određene telnet sesije sa uređaja º Clear line X – gašenje određene telnet sesije ka uređaju º Exit – gašenje tekuće telnet sesije

Memorijske komponente

RAM memorija – veoma brza, u njoj se nalazi tekuća konfiguracija, ali prilikom gašenja se briše

NVRAM (non volatile RAM) memorija – u njoj se memoriše konfiguracija, veoma je mala, jer čuva sam konfiguracioni fajl.

FLASH memorija – služi za čuvanje operativnog sistema. Prilikom uključivanja uređaja, operativni sistem se kopira iz flasha u RAM. Ovde se takođe čuvaju Power On Diagnostic Programs (Power On Self Test-POST), koji se pokreću nakon uključivanja routera.

TFTP (Trivial File Transfer Protocol) – protokol za backup podataka na server (preko UDP porta 69).

Virtual Local Area Network (VLAN)

VLAN-ovi logički grupišu korisnike. Na slici imamo dve grupe korisnika: plave i crvene. Pomoću VLAN-ova, mi ove korisnike možemo da grupišemo, tako da plavi korisnici budu izolirani preko plavih, a crveni preko crvenih portova.

Dva novonastala VLANA imaju odvojene broadcast domene. Komunikacija VLANova između switcheva je omogućena preko trunk portova. Na taj način VLANovi nisu prostorno ograničeni.

Svaki VLAN predstavlja zasebnu podmrežu. Prema tome, bez dodatnog konfigurisanja, saobraćaj između VLANova je blokiran. Na ovaj način omogućena je kontrola saobraćaja.

Iz ovoga se može zaključiti da su osnovne karakteristike VLAN ova: º Logičko grupisanje korisnika º Segmentiranje Broadcast domena º Korelacija podmreža sa VLAN ovima º Kontrola pristupa º QoS

Da bi shvatili prednosti VLAN ova, moramo se prisetiti ključnih karakteristika switcheva koji nemaju konfigurisanje VLAN ove:

Svaki port ima zaseban Collision Domain, što je dobro, jer uređaji priključeni na ove portove mogu da istovremeno šalju i primaju podatke (full

duplex). Kod habova, svaki uređaj je mogao samo da šalje ili prima podatke, i to kada na njega dođe red (shared CSMA/CD);

Broadcast poruke se šalju na sve portove osim na port sa kojeg se generišu. Međutim, kako mreža raste, broadcasting postaje problematičan, jer opterećuje mrežu saobraćajem; cisco ne preporučuje mreže koje imaju viđe od 500 uređaja. S druge strane, kod VLAN ova svaki VLAN predstavlja posebnu podmrežu, stoga i poseban broadcast domain.

Kontrola pristupa je veoma ograničena. Vrlo teško se može blokirati saobraćaj među računarima koji pripadaju istoj mreži. S druge strane, VLAN ovi nam pružaju punu kontrolu pristupa.

Šta je VTP? VLAN Trunking Protocol je protokol koji razmenjuje informacije o

VLANovima među switchevima. Bez ovog protokola mrežni administrator bi svaku promenu u VLANovima morao da upisuje na svakom switchu. Sa VTP protokolom, promene će upisati na jednom switchu, koje će onda biti prosleđene ostalim switchevima.

Dakle, VTP uopšte nije Trunking protokol, ali radi preko trunk linkova. Kako radi VTP? Prilikom svake promene informacija o VLANovima,

REVISION number se povećava za jedan. Svi switchevi prihvataju onaj update koji ima najviši revision number.

Problem se dešava onda kada u mrežu dodamo switch na kojem već postoji konfiguracija, koju mi nismo izbrisali! Ako ova konfiguracija ima revision number koji je viši od aktuelnog broja u mreži – svi switchevi dobijaju pogrešnu konfiguraciju VLANova! I šta se tada dešava – portovi postaju neaktivni, (lampice na switchu se menjaju u žuto!), jer pripadaju VLANovima koji više ne postoje.

Postoje tri načina konfigurisanja VTP na switchu:

Server (default) º Ima mogućnost da menja informacije o VLANovima º Šalje i prima VTP update º Memoriše VLAN konfiguraciju

Client º Ne može da menja VLAN informacije

º Šalje i prima VTP updates º Ne memoriše VLAN konfiguraciju

Transparent (potpuno ignoriše VTP) º Ima mogućnost da menja informacije o VLANovima º Prosleđuje VTP informacije (one koje dobija, svoje ne šalje) º Ne primenjuje podatke iz VTP updates º Memoriše VLAN konfiguraciju (onu koju je sam upisao)

VLAN pruning je opcija koja smanjuje saobraćaj u trunk linkovima tako što ne prosleđuje saobraćaj ka switchevima koji nemaju VLANove kojima je taj saobraćaj. Radi samo među switchevima koji su VTP serveri.

Šta je Trunking Protocol? Trunking Protocol (poznat i kao tagging) – 802. 1Q je proces prosleđivanja

multi-VLAN informacija između switcheva. Trunking je termin koji je cisco proprietary. Ostali proizvođači ovaj proces označavaju kao tagging. Razlog je način odvijanja ovog procesa.

Kada neki uređaj u VLANu pošalje broadcast poruku, switch mora imati neki način kako da ostalim switchevima kaže kojem VLANu taj broadcast pripada. Stoga, kada switch sa nekog porta dobije paket, prvo proverava da li ima još portova koji pripadaju istom VLANu, a onda označava paket i šalje ga u trunk link. Na taj način se odvaja broadcast. Ovo je funkcija nivoa dva OSI modela, što znači da se informacija o VLANu postavlja u delu frejma za fizičko adresiranje.

Tagovanje je proces u kojem switch upisuje informaciju o VLANU u frejm koji namerava da pošalje preko trunk linka. Ova informacija se na drugoj strani briše odmah nakon prijema, tako da odredišni uređaj dobija paket, a pri tome nije svestan pripadnosti nekom VLANu.

Native VLAN je VLAN u koji se prosleđuju untagovani paketi. Po defaultu, Native VLAN je VLAN 1. I kada na switchu ne konfirugišemo VLANove, svi portovi po defaultu pripadaju VLANu 1.

U praksi se potreba za Native VLANom javlja kada se na jednom portu switcha priključi IP telefon, a onda se na IP telefon priključi računar. Tada je potrebno da računar pripada Native VLANu, da ne bi došlo do priskuškivanja. IP telefon ima mogućnost tagovanja svojih paketa, tako da može pripadati VLANu koji nije Native.

Metode rutiranja među VLANovima Odvojeni port na routeru za svaki VLAN

Koliko VLANova – toliko zasebnih portova na routeru. Računari se konfigurišu sa default gatewayem koji odgovara njihovom VLANu.

Router on a stick

º Formiramo trunk link sa interfejsom routera. º Interfejs routera podelimo na subinterfejse, svakom subinterfejsu

dodelimo IP adresu koja će biti default gateway za VLAN.

Layer 3 switch

U L3 switchu kreiramo virtualne interfejse za svaki VLAN, i dodelimo im IP adrese tako da budu default gatewayi.

STP protokol

Originalna verzija STP protokola 802. 1D je kreirana sa ciljem da zaustavi petlje.

Switchevi svake dve sekunde šalju „probes“ u mrežu, pod nazivom „Bridge Protocol Data Units (BPDUS)“, da bi otkrili petlje. Ovaj paket je vrsta multicast paketa, koji sadrži ID pošiljaoca. Ukoliko switch primi BPDUS sa svojim ID – om, to znači da negde u mreži postoji petlja.

Ovi paketi takođe pomažu da se odredi glavni switch, poznat kao ROOT BRIDGE. Svi ostali switchevi će tražiti najbolji način da dođu do root bridge-a, a ostale redundantne linkove će blokirati. Ključ je izabrati odgovarajući ROOT BRIDGE !!! A po defaultu, STP protokol bira po godištu najstariji switch. Objašnjenje kasnije. I svi cisco switchevi pokreću STP po defaultu.

STP u ovom obliku se veoma retko koristi u savremenim mrežama, zbog velikog vremena oporavka.

Razumevanje BPDUs paketa i izbor root bridge

Svi switchevi u mreži imaju STP identifikator, poznat kao Bridge ID. Ovaj ID se sastoji iz dva dela: Priority part i Switch MAC adresa: Priority. MAC. Po defaultu, svaki switch ima isti Priority: 32768. Što je Bridge ID niži, to su veće šanse da switch bude izabran kao root bridge. Pošto je po defaultu Priority isti na svim switchevima, sve se bazira na MAC adresi: što je niža binarna vrednost MAC adrese, to je Bridge ID niži.

Nakon izbora Root bridge-a, svi ostali switchevi pronalaze najbolju putanju do njega. Vrednost putanje se zasniva na ceni linkova. (link cost). Ovde treba napomenuti da postoje tri vrste STP portova:

Root port: onaj preko kojeg switch ima najbolju putanju do Root bridge-a. Kada switch odredi putanju sa najnižom cenom, svoj port na toj putanji označava kao root port. Port na drugom kraju linka automatski postaje Designated port.

Designated port: port koji prosleđuje (jedan od dva porta na linku! ! !). Na apsolutno svakom linku, jedan od dva porta je Designated port. I postoje dve varijante: ili je Designated port u paru sa Blocking portom, ili je u paru sa Root

portom. Kada su na linku Designated i Blocking port, Designated port je na strani na kojoj switch ima niži Bridge ID.

Blocking / non designated: blokirani port. Kada glavni link otkaže, STP aktivira link koji je bio blokiran. Evo tabele cena linkova u odnosu na brzinu. Na osnovu ovih podataka

switchevi biraju najbolju putanju.

Problemi STP protokola Problem STP protokola je što je potrebno 50 i više sekundi da se mreža

oporavi od prekida. Za to vreme portovi prolaze kroz četiri faze: º Blocking-port daje šansu prekidu da nestane – max age – 20 sekundi º Listening – slanje i prijem BPDU paketa – 15 sekundi º Learning – popunjavanje CAM tabele MAC adresama – 15 sekundi º Forwarding – mreža je oporavljenja, protok saobraćaja je u toku

U trenutku priključivanja uređaja na port switcha, taj port se nalazi u Blocking statusu. To znači da će proći 50 sekundi pre nego što taj uređaj dobje pristup mreži. Način na koji se ovo rešava je upotreba Portfast komande. Ova komanda potpuno isključuje STP na portu, što znači da port odmah prelazi iz blocking u forward status.

Problem je znatno ozbiljniji na uplink portovima. Rešenje ovog problema je

Rapid Spanning Tree. Međutim, da bi u mreži mogao da funkcioniše, RSTP mora biti podešen na svim switchevima. U protivnom, mreža će raditi sa STP protokolom.

Nivoi izgradnje mreže

Ciscova praksa je da switchevanje računarske mreže podeli na tri nivoa. Ta tri nivoa su:

º Access layer (Desktop layer) º Distribution layer (Workgroup layer) º Core layer. º

Access layer je nivo pristupa mreži. Na ovom nivou uređaji se priključuju na switcheve: klijenti, serveri, štampači i drugo. Na ovom nivou linkovi nisu redundantni.

Distribution level je nivo na kojem se odvijaju funkcije switchinga: konfigurišu se VLAN-ovi, STP protokol i druge funkcije L2 nivoa. Linkovi od access layer-a ka distribution layeru, kao i linkovi od distribution layer-a ka core layer-u su reduntantni. Nema single point of failure.

Core layer je backbone cele mreže. Kroz ovaj nivo prolazi sva komunikacija. Zbog toga se veza između reduntantnih switcheva na ovom nivou pretvara u ETHERCHANNEL, da bi brzina bila zadovoljavajuća. Etherchannel predstavlja spojene dva do osam kablova, koji na taj način povećavaju bandwitdh linka.

Ovo je idealan model računarske mreže. U praksi retko nailazimo na mreže ove veličine. Ono što je bitno zapamtiti, je stvaranje redundantnih linkova. Switchevi koji prihvataju krajnje korisnike treba da imaju redundantne veze sa

sledećim nivoom. Kraće rečeno, preporučivo je praviti mreže koje imaju access i distribution layer. I naravno, ako potrebe zahtevaju, i core layer!

Redundantni linkovi sami po sebi ne bi bili ni od kakve koristi. Štaviše, izazvali bi broadcast stormin koji bi uništio celu mrežu! ! ! Rešenje ovog problema je konfigurisanje STP protokola, koji će omogućiti samo jednom linku da bude aktivan.

Access liste

Access liste su liste dozvola i blokada. One u stvari identifikuju saobraćaj kojem je prolaz dozvoljen ili zabranjen. Saobraćaj u access listama se zabranjuje na osnovu izvora ili odredišta.

Access liste se čitaju od vrha ka dnu; primenjuje se prvo pravilo u tom nizu.

Na kraju svake access liste se nalazi nevidljivo deny all, koje se primenjuje za sav saobraćaj koji prethodno nije naveden

Access liste se primenjuju na interfejs, za inbound ili outbound saobraćaj.

Tipovi Access listi Standard

º Standardne access liste pronalaze zapise samo na osnovu izvorne IP adrese;

º Upotreba procesora je minimalna; º Efekti zavise od mesta upotrebe (koji interfejs i inbound/outbound).

Extended º Zapisi izvorne/odredišne IP adrese, protokla, izvornog/odredišnog porta; º Upotreba procesora je veća nego kod standard access listi; º Potrebno je vreme da se nauči sintaksa ovih access listi.

Dynamic º Ove liste se šire ili sužavaju u zavisnosti od toga ko pristupa interfejsu.

Na primer, dozvoljava se pristup određenom resursu na određeno vreme.

Establishted º Ove liste dozvoljavaju prolaz povratnog saobraćaja na zahtev internih

korisnika

Time-based º Access liste su aktivne u određenom vremenskom periodu.

Content-based access control (CBAC-IOS firewall) º Access liste koje se odnose na sadržaj paketa.

Network Address Translation

Razlikujemo tri tipa NAT: Dynamic NAT

Skoro nikada nije u upotrebi. Jedina svrha je natovanje između mreža koje koriste iste opsege ip adresa.

NAT Overload Najčešće upotrebljavani tip natovanja. Sa ovim natovanjem, veći broj

uređaja koristi jednu ip adresu. Jednostavno, konfigurisana ip adresa preuzima pakete od klijenata, i predstavlja ih spoljašnjim mrežama kao svoje. Kada vraće saobraćaj klijentima, to radi zahvaljujući izvornim portovima. Evo primera:

Unutrašnja adresa Spoljašnja adresa

10. 10. 10. 1: 23994 68. 110. 171. 99: 23994

10. 10. 10. 2: 45554 68. 110. 171. 99: 45554

Drugi naziv za ovaj vid natovanja je Port Address Translation (PAT), jer prevodi jedan soket u drugi (ip adresu vezanu sa portom)

Static NAT Ova forma natovanja se koristi za hostovanje servera unutar računarske

mreže sa privatnim IP adresama. Evo primera:

Unutrašnja adresa Spoljašnja adresa

10. 10. 10. 1 68. 110. 171. 99

10. 10. 10. 2: 25 68. 110. 171. 100: 25

Ovo je prevođenje „jedan na jedan“. Može se konfigurisati za svaki željeni port posebno.

Najčešće se koristi u kombinaciji sa NAT Overloadom.

Vrste NAT adresa

Inside local

º Inside local adresa je adresa koja će se prevesti procesom natovanja.

Inside global

º Inside global je adresa u koju će interne adrese biti prevedene

Outside global

º Outside global je adresa u koju je (eventualno) prevedena adresa servera kojem pristupamo.

Outside local

º Outside local je adresa servera koja će se (eventualno) prevesti u outside global adresu.

VPN (Virtual Private Network)

Prednosti upotrebe VPN Da bi uspostavili bezbednu konekciju između dve udaljene lokacije,

potrebna nam je privatna linija koja je veoma skupa. Zahvaljujući VPN-u, bezbednu konekciju možemo uspostaviti za mnogo manje novca, sa bilo koje lokacije koja ima pristup internetu. Ovaj vid konekcije je kriptovan veoma snažnom metodom, tako da je potpuno siguran. I pored toga, preko jedne internet konekcije možemo uspostaviti bezbednu konekciju sa više lokacija, dok bi u suprotnom morali da imamo privatnu liniju do svake udaljene lokacije.

Dakle, prednosti VPN konekcije su sledeće: º Dostupne su svuda gde ima pristupa internetu º Veoma snažan enkripcioni mehanizam º Mogućnost uspostavljanja konekcije sa više lokacija

Dva glavna tipa VPN konekcije su: º Site-to-Site º Remote access Site-to-Site VPN je kriptovana konekcija između dve udaljenje

kancelarije. VPN klijenti su u ovom slučaju instalirani na routerima. Remote access je povezivanje mobilnih klijenata sa kancelarijom. VPN

klijenti su instalirani na prenosivim računarima. Osim sa VPN klijentima, VPN konekcija se može uspostaviti preko Web

browsera (SSL VPN). Router generiše web stranicu, koja obavlja autentifikaciju, instalira mini verziju VPN klijenta na vaš računar, koja je aktivna dok traje VPN konekcija.

IPSec

IPSec je security protokol koji omogućava VPN konekciju. IPSec radi na nivou transportnog sloja. I IPSec nije samo jedan protokol, već kolekcija sigurnosnih protokola:

Enkripcioni protokoli Ovim protokolima se zaštićuju podaci. Postoje tri poznata enkripciona

protokola: º DES º 3DES º AES

Autentikacioni protokoli Ovi protokoli vode računa o tome da se podaci ne promene na putu od

jednog do drugog VPN klijenta. Dva poznata autentikaciona protokola su: º MD5 º SHA-1 Napadi koje sprečavaju ovi protokoli se zovu „Man In the Middle“. Sa

uspostavljenom autentikacijom, garantuje se identitet učesnika u komunikaciji.

Protection protokoli Ovi protokoli omogućavaju komunikaciju preko javna mreže (interneta). U

VPN komunikaciji, izvor kriptuje poruke sa enkripcionim ključem. Na isti taj ključ mora imati i odredište, da bi se poruke mogle dekriptovati. Protection protokoli obezbeđuju razmenu ključeva protekcije. Vrste ovih protokola su:

º DH1 º DH2 º DH5 º DH7

Negotiation protokoli Ovi protokoli omogućavaju da se svaki deo VPN komunikacije može

zameniti. Razlog je stalno poboljšavanje tehnologije. Negotiation protokoli su: º AH º ESP º ESP+AH

Privatni i javni ključevi Postoje dva tipa enkripcije i dekripcije:

º Simetrični º Asimetrični

Simetrična enkripcija je enkripcija koja koristi isti (Shared) secret key i za enkripciju i dekripciju. Prednost ove enkripcije je što je veoma brza i ne opterećuje procesor routera. Ovi protokoli su DES, 3DES, AES. Međutim, kako zaštiti shared key kada se šalje od izvora ka odredištu, radi dekripcije?

Ovaj problem je rešen Diffie-Helman parom ključeva. DH koristi asimetričnu enkripciju, u kojoj imamo javni i privatni ključ. Ono što enkriptuje privatni, dekriptuje se javnim ključem i obratno. Kada se neko konektuje sa VPN konekcijom, router koji prihvata konekciju šalje DH javni ključ. Sada router koji je uspostavio konekciju ima ključ kojim može enkriptovati podatke. S druge strane, router koji prihvata konekciju ima privatni ključ, koji zadržava za sebe. Sada router koji je uspostavio konekciju generiše shared key, enkriptuje ga sa javnim ključem i šalje. Shared key se na drugoj strani dekriptuje sa privatnim ključem, i onda može početi razmena podataka preko VPN konekcije uz pomoć Shared key-a.

Prilikom nove VPN konekcije, između istog izvora i odredišta, javni i privatni ključ ostaju, ali se generiše novi shared key, radi veće sigurnosti.

Razlog zbog kojeg se koristi shared key kada se uspostavi konekcija sa javnim i privatnim ključem, je rasterećenje procesora routera, jer je procesiranje javnih i privatnih ključeva veoma komplikovano.

WAN konekcija

WAN (Wide Area Network) konekcije se javljaju u mnogobrojnim oblicima. Definišu nove načine L1 i L2 konekcije.

Na fizičkom nivou, fizička konekcija se ostvaruje serijskim fizičkim konektorima. Do sada su ovde bili Ethernet konektori (RJ-45, RJ-12, fiber optic).

Na nivou sloja veze podataka, nemamo MAC adresiranje, već L2 jezik specifičan za određenu tehnologiju. (na primer, L2 protokol frame relay korisci DLCI).

HDLC (High-Level Data Link Control) je Ciscov Proprietary protokol koji uspostavlja serijsku konekciju između dva uređaja na nivou sloja veze podataka.

PPP (Point to Point Protokol) nije proprietary, i uređaji bilo kojeg proizvođača pomoću ovog protokola mogu uspostaviti serijsku konekciju.

Glavni faktori pri izboru WAN konekcije su brzina i cena.

Tipovi WAN konekcija º Postoje tri kategorije WAN konekcija: º Leased Lines º Circuit Switched º Packet Switched

Leased line konekcija pruža zahtevani bandwidth 24/7. To znači da je linija u potpunosti vaša, samo je vi koristite. Ovo su najskuplje WAN konekcije! (na primer, T1 = 1. 544 Mbps).

Circuit Switched konekcija je On-Demand bandwidth, što znači da je koristite po potrebi. Ovo je modemska konekcija, i veoma je jeftina. Nedostaci su vreme podešavanja, i veoma mali bandwidth. Dve vrste ove konekcije su Dial-up Modem i ISDN.

Packet Switched konekcija je šerovana, ali istovremeno garantuje bandwidth. Čak možemo dobiti i više nego što smo platili (bandwidth bursting). Dve vrste ove konekcije su Frame Relay i ATM.

Konektori Postoji više tipova WAN kartica koje se mogu ugraditi na routeru. WIC – 1T su kartice sa jednim serijskim portom. Povezuju se preko

posebnog serijskog kabla (V. 35) sa CSU/DSU uređajem, koji spaja različite kablovske interfejse i određuje clock rate (brzinu prenosa). Od CSU/DSU se povezujemo sa wall-jackom pomoću Ethernet kabla, a odatle ISP vodi računa o konekciji.

WIC – 2T kartice imaju dva serijska porta, za Smart konektore. WIC – 1T – DSU kartice su najpopularnije WAN kartice, jer u sebi imaju

ugrađene funkcije CSU/DSU uređaja, i konekciju ostvaruju preko Ethernet porta.

U pogledu brzine prenosa (Clock Rate), dve strane WAN konekcije imaju sledeće funkcije:

º Data Communication Equipment (DCE) obezbeđuje Clock Rate; º Data Terminal Equipment (DTE) prima Clock Rate. Cisco je po defaultu

DTE. U laboratorijskom okruženju, WAN konekcija između dva uređaja se

uspostavlja pomoću DCE / DTE crossover kabla. DCE strana uvek ide na stranu ISP, jer određuje brzinu prenosa kroz konekciju. Na DCE routeru se podešava clock rate.

Leased-line protokoli High-Level Data Link Control (HDLC)

º Cisco proprietary (Cisco default) º Extremely low overhead º No features

Point-to-Point Protocol (PPP) º Industry standard º Moderate overhead º Feature-riffic

Opcije PPP protokola º Authentication Autentifikacija može biti PAP i CHAP. PAP je protokol u kojem se zahteva username i password, ali se preko linije

šalju u otvorenom tekstu. Zbog toga se skoro uvek koristi CHAP. CHAP protokol preko linije šalje username i HASH. Hash je vrednost koja

je dobijena od passworda komplikovanim procesom HASNIHG-a. Dakle, korisnik preko linije šalje username. Router sa druge strane u svojoj bazi vidi koji password odgovara tom useru. Taj password hashuje, i vrednost šalje preko linije. Korisnik dobija ovu vrednost, upoređuje je sa vrednošću dobijenom hasnihgom passworda koje je ukucao. I tako se autentifikuje.

º Compression Router kompresuje i dekompresuje podatke, radi uštede bandwidtha º Callback Nakon autentifikacije, router odmah prekida konekciju i poziva nazad

korisnika na broj koji je uspostavio konekciju, tako da jedino taj broj može koristiti taj username i password.

º Multilink Multilink povezuje bandwidth više fizičkih konekcija u jednu. (kao

Etherchannel, sa equal-cost load-balancingom).

Frame relay

Frame relay se javio kao alternativa privatnim linijama. Problem sa privatnim linijama je što su skupe, a pri tome korisnik ne koristi sve vreme bandwidth koji je dat samo njemu na raspolaganje. Stoga je smišljen način kako taj neiskorišćeni bandwitdh iskoristiti, i pri tome smanjiti cenu konekcije.

Frame relay terminologija Commited Information Rate (CIR)

Minimalni bandwidth koji ISP garantuje.

Local Access Rate Brzina fizičke veze.

Local Management Interface (LMI) Način komuniacije između korisničkog routera i ISP. To je statistički

protokol koji prikazuje status konekcije, kvalitet i drugo.

Data Link Connection Identifier DLCI se koristi za adresiranje u okviru PVC-a. Izvor i odredište umesto

MAC adresa koriste DLCI. Ovi identifikatori su lokalnog značaja, jer su važeći samo za PVC kojem pripadaju. Kada izvor želi da pošalje poruku, adresira je na svoj DLCI. Korisnik ne može imati isti DLCI na dva ili više PVC.

Permanent Virtual Circuit (PVC) Virtualno kolo koje se obrazuje između dve lokacije, na osnovu sklopljenog

ugovora sa ISP koji omogućava ovu konekciju. Što viđe PVC-ova imamo, više plaćamo konekciju. Svaka konekcija ima sopstveni CIR.

Dizajn Frame relay mreže Postoje tri načina dizajniranja frame-relay mreže:

º Hub-and-spoke º Full mesh º Partial mesh

Hub-and-spoke º Najjeftiniji način povezivanja većeg broja lokacija. Nedostaci su:

º Single point of failure º Delay

Full mesh Svaka lokacija je povezana sa svakom drugom. Nedostatak je veoma visoka

cena.

Partial mesh Kritične lokacije imaju konekciju sa ostalim lokacijama, a manje kritične

imaju po jedan PVC.

Način konfigurisanja interfejsa za frame relay

Interfejse možemo konfigurisati na dva načina: º Multipoint, º Point-to-Point.

Multipoint Veoma loša strategija organizacije. Nedostaci su:

º Svi routeri pripadaju istom LAN-u. º Više od jednog DLCI broja je povezano na jedan interfejs. º Javljaju se problemi sa Split Horizon mehanizmom. Split horizon

onemogućava update porukama da se vrate na pravac iz kojeg su stigle, što u hub-and-spoke dizajnu onemogućava komunikaciju.

Point-to-Point Znatno bolji način organizacije. Osobine:

º Svaki PVC je u posebnom LAN-u º Za svaki PVC se kreira poseban subinterfejs º Nema problema sa split-horizonom.

Split horizon problem Problem kod Frame-relay mreža je što split horizon onemogućava

prosleđivanje broadcast poruka na interfejs sa kojeg su došle. Ovaj problem se može rešiti na tri načina:

º Full mesh topologijom º Komandom no ip split-horizon º Kreiranjem point-to-point subinterfejsa

Zagušenje u Frame relay mreži Kada dođe do zagušenja u Frame relay mreži, frame relay switch šalje

poruku i pošiljaocu i primaocu. Poruka koju šalje pošiljaocu zove se BECN (Backward Explicit Congestion Notification), a poruka koju šalje primaocu je FECN (Forward Explicit Congestion Notification).

U frame relay mreži DTE uređaji mogu podesiti prioritet odbacivanja paketa pri pojavi zagušenja. Paketi koji su označeni kao Discard Eligible (DE bit je logička jedinica), biće odbačeni pre drugih paketa.

Vrste IPv6 adresa

Link – Local scope address

Adresa za komuniciranje unutar LAN mreže. Ova adresa se automatski generiše čim se host pojavi online. Slična je IPv4 adresi 169. 254. x. x, s tim što se generiše bez obzira na to da li na mreži postoji DHCP server ili ne.

Ove adrese uvek počinju sa FE80 (prvih 10 bita: 1111 1110 10), nakon kojih idu 54 logičke nule.

Poslednja 64 bita su 48-bitna MAC adresa sa FFFE u sredini: 00ac: 24bd: FFFE: 1c1b: 090d Dakle, Link-local scope IPv6 adresa (interface ID) je: 1111: 1110: 1000: 0000: 00ac: 24FF: FE1c: 1b0d

Unique/Site-Local scope address Opseg adresa koji je ekvivalentan mrežama privatnih IPv4 adresa. Ove

adrese su opcione, organizacije ih mogu ali ne moraju koristiti. Unique je novi, site stari naziv ovog opsega. Ali site-local scope bolje

objašnjava njegovu funkciju.

U korporativnim mrežama site-local adrese se koriste da odrede granice tih mreža.

Prvih 7 bita ove adrese je 1111 110 (FC00). Međutim, i osmi bit treba da bude 1 (1111 1101).

Sledećih 40 bita su Global ID, kojim se identifikuje organizacija. Sledećih 16 bita se koriste za subnetting (Vlans i tako dalje) I na kraju, 64 bita Interface ID.

Global scope

Ovo su internet adrese. Jedini zahtev koji trenutno postoji za Global adrese je da prva tri bita

budu 001 (2000: : /3) Global routing prefix može biti 48 preostalih bita ili manje, pri čemu su

ostali biti subnet ID. Kranja 64 bita su interface ID.

Racunarske mreze

Documents