Висока хемијско-технолошка школа струковних студија Крушевац
Бранко Грубић
Рачунарске мреже Приручник за лабораторијске вежбе
Аутори:
мр Бранко Грубић,дипл.инж.
Рецензенти: Издавач: За издавача: Лектор: Техничка обрада: Дизајн: Штампа: Тираж:
Висока хемијско-технолошка школа струковних студија Крушевац
Предговор Приручник Рачунарске мреже првенствено је намењен студентима Високе хемијско-технолошке школе струковних студија у Крушевцу. Настао је као резултат унапређења наставног процеса и вежби из предмета Рачунарске мреже. Приручник се састоји од тринаест вежби, методички обрађених. Да би студенти што квалитетније овладали наставним садржајима и са више мотива самостално припремали и изводили вежбе, у уводном делу сваке вежбе дат је преглед третиране проблематике. Предвиђено је да свака вежба покрива одређено подручје рачунарских мрежа, а вежбе се изводе након усвајања теоријских знања на предавањима. Крушевац, март, 2013. год.
Аутор
Садржај
Садржај 1. ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ ..................................................... 1 1.1 ПРОЦЕС АУТЕНТИФИКАЦИЈЕ И АУТОРИЗАЦИЈЕ 1 1.2 МОДЕЛ РАДНЕ ГРУПЕ 1 1.3 МОДЕЛ ДОМЕНА 2 1.4 ДИРЕКТОРИЈУМСКИ СЕРВИС 3 1.5 ПРОТОКОЛ ЗА ПРИСТУП ДИРЕКТОРИЈУМУ LDAP 3 1.6 АКТИВНИ ДИРЕКТОРИЈУМ 3 ВЕЖБЕ ............................................................................................................................................................ 5 АКТИВНОСТ 1 : ИНСТАЛАЦИЈА АКТИВНОГ ДИРЕКТОРИЈУТА 5 ПОДЕШАВАЊЕ СТАТИЧКЕ IP АДРЕСЕ: 5 ПРОВЕРА СИСТЕМА ФАЈЛОВА 6 ПРОМЕНА ИМЕНА СЕРВЕРA 7 ПOЧЕТАК ИНСТАЛАЦИЈЕ АКТИВНОГ ДИРЕКТОРИЈУМА 8 АКТИВНОСТ 2 : ПОКРЕТАЊЕ АЛАТКЕ ЗА АДМИНИСТРАЦИЈУ АКТИВНОГ ДИРЕКТОРИЈУМА 15 АКТИВНОСТ 3 : КРЕИРАЊЕ ОБЈЕКАТА АКТИВНОГ ДИРЕКТОРИЈУМА; ОРГАНИЗАЦИОНА ЈЕДИНИЦА 17 АКТИВНОСТ 4 : КРЕИРАЊЕ КОРИСНИЧКИХ НАЛОГА 19 АКТИВНОСТ 5 : ИЗМЕНА АТРИБУТА КОРИСНИЧКИХ НАЛОГА 23 АКТИВНОСТ 6 : КОПИРАЊЕ И ПРЕМЕШТАЊЕ КОРИСНИЧКИХ НАЛОГА 24 АКТИВНОСТ 7 : УЧЛАЊИВАЊЕ РАДНЕ СТАНИЦЕ У ДОМЕН 25 2. ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА И АДМИНИСТРАЦИЈА ГРУПНИХ НАЛОГА ................ 29 2.1 ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА 29 2.2 ГРУПНИ НАЛОЗИ 29 2.2.1 РАЗЛИЧИТЕ ВРСТЕ ГРУПА 30 2.2.2 ДОМЕНСКЕ ЛОКАЛНЕ ГРУПЕ 31 2.2.3 ГЛОБАЛНЕ ГРУПЕ 32 2.2.4 КОМБИНОВАЊЕ ДОМЕНСКИХ ЛОКАЛНИХ И ГЛОБАЛНИХ ГРУПА 32 2.2.5 УПОТРЕБА ГЛОБАЛНИХ ГРУПА 33 2.2.6 УПОТРЕБА ДОМЕНСКИХ ЛОКАЛНИХ ГРУПА 33 2.2.7 УЧЛАЊИВАЊЕ ГЛОБАЛНИХ ГРУПА У ЛОКАЛНЕ 33 ВЕЖБА.......................................................................................................................................................... 35 АКТИВНОСТ 1 : ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА 35 АКТИВНОСТ 2 : КРЕИРАЊЕ ГРУПА 36 АКТИВНОСТ 3 : УЧЛАЊИВАЊЕ КОРИСНИКА У ГЛОБАЛНЕ ГРУПЕ 37 АКТИВНОСТ 4 : ПРЕГЛЕД ЧЛАНОВА ГРУПЕ 38 АКТИВНОСТ 5 : УЧЛАЊИВАЊЕ ГЛОБАЛНЕ ГРУПЕ У ЛОКАЛНУ ДОМЕНСКУ ГРУПУ 38 АКТИВНОСТ 6 : ОРГАНИЗОВАЊЕ КОРИСНИКА У ДОМЕНУ - ГЛОБАЛНЕ ГРУПЕ 39 АКТИВНОСТ 7 : ОРГАНИЗОВАЊЕ КОРИСНИКА У ДОМЕНУ - УЧЛАЊИВАЊЕ 40 АКТИВНОСТ 8 : ПРЕГЛЕД УГРАЂЕНИХ ГРУПА 40 3. ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА ........... 43 3.1 ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА (ЕНГ. SHARE PERMISSIONS) 43 3.2 ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА (ЕНГ. SECURITY OR NTFS PERMISSIONS) 43 ВЕЖБЕ .......................................................................................................................................................... 44 АКТИВНОСТ 1: ПОСТУПАК ДЕЉЕЊА ФОЛДЕРА 44 АКТИВНОСТ 2 : УПОТРЕБА ГРУПА ЗА КОНТРОЛУ ПРИСТУПА 46 АКТИВНОСТ 3 : ПОВЕЗИВАЊЕ СА ДЕЉЕНИМ ФОЛДЕРИМА 48 МАПИРАЊЕ МРЕЖНОГ ДИСКА 48 УПОТРЕБА UNC ПУТАЊЕ 48 АКТИВНОСТ 4 : ПРЕГЛЕД ДЕЉЕНИХ ФОЛДЕРА НА СЕРВЕРУ 49 НЕДОСТАЦИ ЗАШТИТЕ РЕСУРСА ДОЗВОЛАМА ЗА ДЕЉЕНЕ ФОЛДЕРЕ 49 АКТИВНОСТ 5 : УПОЗНАВАЊЕ СА NTFS ДОЗВОЛАМА 50 АКТИВНОСТ 6 : УПРАВЉАЊЕ НАСЛЕЂИВАЊЕМ ДОЗВОЛА 51
Садржај 53 АКТИВНОСТ 7: КОМБИНОВАЊЕ ДОЗВОЛА ЗА ДЕЉЕНЕ ФОЛДЕРЕ И NTFS ДОЗВОЛА АКТИВНОСТ 8 : ПРЕГЛЕД ЕФЕКТИВНИХ ДОЗВОЛА 57 АКТИВНОСТ 9 : ВЛАСНИШТВО НАД ФАЈЛОВИМА 58 4. ЛИЧНИ ФОЛДЕРИ, ПРОФИЛИ КОРИСНИКА И ГРУПНЕ ПОЛИСЕ .................................................... 61 4.1 ЛИЧНЕ ФАСЦИКЛЕ (ЕНГ. HOME FOLDERS) 61 4.2 КОРИСНИЧКИ ПРОФИЛИ (ЕНГ. USER PROFILES) 61 4.3 ГРУПНЕ ПОЛИСЕ (ЕНГ. GROUP POLICY) 62 ВЕЖБЕ .......................................................................................................................................................... 65 АКТИВНОСТ 1 : КРЕИРАЊЕ ЛИЧНИХ ФОЛДЕРА 65 АКТИВНОСТ 2 : УПОЗНАВАЊЕ СА КОРИСНИЧКИМ ПРОФИЛИМА 68 АКТИВНОСТ 3 : УПОЗНАВАЊЕ СА ПОКРЕТНИМ (ЕНГ. ROAMING) ПРОФИЛИМА 68 АКТИВНОСТ 4 : ПРОВЕРА ФУНКЦИОНИСАЊА ПОКРЕТНИХ ПРОФИЛА 71 АКТИВНОСТ 5 : ПРЕГЛЕД ДОМЕНСКИХ ПОЛИСА 72 АКТИВНОСТ 6 : КРЕИРАЊЕ ЛОКАЛНЕ ПОЛИСЕ 74 АКТИВНОСТ 7 : ПРОВЕРА ФУНКЦИОНИСАЊА ГРУПНИХ ПОЛИСА 77 5. АНАЛИЗА МРЕЖНИХ РЕФЕРЕНТНИХ МОДЕЛА................................................................................. 79 5.1 УВОД 79 5.2 СЛОЈЕВИТА АРХИТЕКТУРА 79 5.3 OSI РЕФЕРЕНТНИ МОДЕЛ И TCP/IP РЕФЕРЕНТНИ МОДЕЛ 80 5.4 КОМУНИКАЦИЈА ИЗМЕЂУ СЛОЈЕВА НА РАЗЛИЧИТИМ РАЧУНАРИМА 82 5.5 ИНТЕРФЕЈС ИЗМЕЂУ СЛОЈЕВА НА ИСТОМ РАЧУНАРУ 82 ВЕЖБЕ .......................................................................................................................................................... 83 АКТИВНОСТ 1: АНАЛИЗА МРЕЖНОГ САОБРАЋАЈА 83 АКТИВНОСТ 2: ПОВЕЗИВАЊЕ РАЧУНАРА НА МРЕЖУ 86 АКТИВНОСТ 3: КОНФИГУРИСАЊЕ IP АДРЕСЕ 88 АКТИВНОСТ 4: ПРОВЕРА IP АДРЕСА 89 АКТИВНОСТ 5: ПРОВЕРА ФУНКЦИОНИСАЊА IP ПРОТОКОЛА 90 АКТИВНОСТ 6: ARP ТАБЕЛА 90 АКТИВНОСТ 7: СНИМАЊЕ ARP САОБРАЋАЈА 92 6. IP АДРЕСИРАЊЕ .................................................................................................................................... 95 6.1 УВОД 95 6.2 IP АДРЕСЕ 96 6.3 ПРЕТВАРАЊЕ БИНАРНОГ ОКТЕТА У ДЕЦИМАЛНИ ОБЛИК 97 6.4 ПРЕТВАРАЊЕ ИЗ ДЕЦИМАЛНОГ У БИНАРНИ ОБЛИК 98 6.5 МАСКА ПОДМРЕЖЕ 99 6.6 КЛАСЕ АДРЕСА 100 6.7 ПОСЕБНИ СЛУЧАЈЕВИ АДРЕСА 101 6.8 ПОДМРЕЖАВАЊЕ 101 6.9 ПОСТУПАК ПОДМРЕЖАВАЊА 102 ВЕЖБЕ ........................................................................................................................................................ 105 АКТИВНОСТ 1: ПРЕТВАРАЊЕ ИЗ БИНАРНОГ У ДЕЦИМАЛНИ ОБЛИК 105 АКТИВНОСТ 2: ПРЕТВАРАЊЕ ИЗ ДЕЦИМАЛНОГ У БИНАРНИ ОБЛИК 105 АКТИВНОСТ 3: МАСКА ПОДМРЕЖЕ 105 АКТИВНОСТ 4: ПОДМРЕЖАВАЊЕ 106 7. КОНФИГУРАЦИЈА ХОСТОВА IP ПАРАМЕТРИМА И УСМЕРАВАЊЕ ПАКЕТА НА МРЕЖНОМ СЛОЈУ ......................................................................................................................................................... 109 7.1 УВОД 109 7.2 СТАТИЧКА КОНФИГУРАЦИЈА IP ПАРАМЕТАРА 109 7.3 ДИНАМИЧКА КОНФИГУРАЦИЈА IP ПАРАМЕТАРА 109 7.4 УСМЕРАВАЊЕ (РУТИРАЊЕ) ПОДАТАКА НА МРЕЖНОМ СЛОЈУ 111 ОДРЕЂИВАЊЕ НАЈБОЉЕ ПУТАЊЕ 111 ВЕЖБЕ ........................................................................................................................................................ 115 АКТИВНОСТ 1 : ИНСТАЛАЦИЈА DHCP СЕРВИСА 115 АКТИВНОСТ 2 : КОНФИГУРАЦИЈА DHCP СЕРВЕРА 117 АКТИВНОСТ 3 : ПРОВЕРА РАДА DHCP СЕРВЕРА (WINDOWS XP) 120
Рачунарске мреже 8. ТРАНСПОРТНИ СЛОЈ TCP/IP СКУПА ПРОТОКОЛА ......................................................................... 123 8.1 УВОД 123 TCP ПРОТОКОЛ 123 8.2 БРОЈЕВИ ПОРТОВА 124 8.3 БРОЈЕВИ ПОРТОВА ЗА СЕРВЕРСКЕ АПЛИКАЦИЈЕ 124 8.4 БРОЈЕВИ ПОРТОВА ЗА КЛИЈЕНТСКЕ АПЛИКАЦИЈЕ 125 ВЕЖБЕ ........................................................................................................................................................ 126 АКТИВНОСТ 1: ПРЕГЛЕД РЕГИСТРОВАНИХ ПОРТОВА 126 АЛТЕРНАТИВНИ НАЧИНИ ИЗБОРА ПОРТА 126 АКТИВНОСТ 2: ПРЕГЛЕД РЕГИСТРОВАНИХ RPC СЕРВИСА 127 SOCKETS-УТИЧНИЦЕ 127 АКТИВНОСТ 3: ПРЕГЛЕД УТИЧНИЦА НА ЛОКАЛНОМ РАЧУНАРУ 128 АКТИВНОСТ 4 : АНАЛИЗА СНИМЉЕНОГ САОБРАЋАЈА 128 9. РАЗРЕШАВАЊЕ ИМЕНА РАЧУНАРА ................................................................................................ 133 9.1 УВОД 133 9.2 ФАЈЛ „HOSTS“ 133 9.3 СИСТЕМ ЗА РАЗРЕШАВАЊЕ ИМЕНА ХОСТОВА DNS (ЕНГ. DOMAIN NAME SYSTEM) 134 9.3.1 ЛОГИЧКА СТРУКТУРА DNS СТАБЛА 134 9.3.2 ФИЗИЧКА ОРГАНИЗАЦИЈА СТАБЛА 135 9.3.3 DNS ЗОНА, DNS СЕРВЕРИ 136 9.3.4 ВРСТЕ УПИТА 136 9.3.5 КЕШИРАЊЕ ОДГОВОРА 138 9.3.6 ДИРЕКТНА И РЕВЕРЗНА ПРЕТРАГА 138 ВЕЖБЕ ........................................................................................................................................................ 139 АКТИВНОСТ 1: ПРЕГЛЕД HOSTS ФАЈЛА 139 АКТИВНОСТ 2: ПРЕТРАГА DNS СИСТЕМА 139 10. ЗАШТИТА РАЧУНАРСКИХ МРЕЖА ФИЛТРИРАЊЕМ ПАКЕТA И ПРЕВОЂЕЊЕ АДРЕСА ............... 143 10.1 РУТЕР КАО СИГУРНОСНИ УРЕЂАЈ 143 10.1.1 УВОД 143 10.1.2 ЛИСТЕ ЗА КОНТРОЛУ ПРИСТУПА 143 10.1.3 СМЕР САОБРАЋАЈА 143 10.1.4 ПРАЋЕЊЕ СТАЊА САОБРАЋАЈА 144 10.2 РУТЕР КАО УРЕЂАЈ ЗА ТРАНСЛИРАЊЕ МРЕЖНИХ АДРЕСА 145 10.2.1 УВОД 145 10.2.2 NAT РУТЕР – ТРАНСЛИРАЊЕ МРЕЖНИХ АДРЕСА 146 10.2.3 ПОСТУПАК ТРАНСЛИРАЊА 146 10.2.4 ТРАНСЛИРАЊЕ „1 НА 1“ И „ВИШЕ НА 1“ 147 10.2.5 ДОСТУПНОСТ СЕРВИСА У ЛОКАЛНОЈ МРЕЖИ 148 10.2.6 ПРОБЛЕМИ СА NAT-ОМ 149 ВЕЖБЕ ........................................................................................................................................................ 151 АКТИВНОСТ 1 : РЕАЛИЗАЦИЈА ПРЕВОЂЕЊА АДРЕСА И ФИЛТРИРАЊЕ ПАКЕТА 151 УВОД 151 ПОКРЕТАЊЕ PFSENSE РУТЕРА 152 ПОКРЕТАЊЕ КЛИЈЕНТСКЕ РАДНЕ СТАНИЦЕ, НАСТАВАК КОНФИГУРАЦИЈЕ РУТЕРА 152 ПРОВЕРА ФУНКЦИОНИСАЊА 153 СЛОЖЕНИЈА КОНФИГУРАЦИЈА 154 ДЕСТИНАЦИОНИ NAT 156 11. БЕЖИЧНЕ ЛОКАЛНЕ РАЧУНАРСКЕ МРЕЖЕ .................................................................................. 159 11.1 УВОД 159 11.2 ПОДЕЛА ОПСЕГА НА КАНАЛЕ 159 11.3 ПРЕГЛЕД БЕЖИЧНИХ МРЕЖНИХ ИНТЕРФЕЈСА ПОД ОПЕРАТИВНИМ СИСТЕМОМ LINUX 160 11.4 СЛОЈ ВЕЗЕ ПОДАТАКА 161 11.5 ВРСТЕ ПАКЕТА 161 11.5.1 КОНТРОЛНИ ПАКЕТИ 162 11.5.2 УПРАВЉАЧКИ ОКВИРИ ПОДАТАКА 162
Садржај 162 11.6 ПРЕГЛЕД СНИМКА САОБРАЋАЈА 11.7 УСПОСТАВА ВЕЗЕ СА БЕЖИЧНОМ МРЕЖОМ 166 11.8 ПРЕГЛЕД ЈАЧИНЕ СИГНАЛА 166 11.9 ПОДЕШАВАЊЕ БЕЖИЧНЕ ПРИСТУПНЕ ТАЧКЕ 169 12. СТРУКТУРНО КАБЛИРАЊЕ............................................................................................................... 173 12.1 СИСТЕМ СТРУКТУРНОГ КАБЛИРАЊА 173 12.2 ПОДСИСТЕМИ СТРУКТУРНОГ КАБЛИРАЊА 174 ХОРИЗОНТАЛНО КАБЛИРАЊЕ 175 ПЛАНИРАЊЕ СИСТЕМА ХОРИЗОНТАЛНОГ КАБЛИРАЊА 175 ТОПОЛОГИЈА ХОРИЗОНТАЛНОГ КАБЛИРАЊА 175 МАКСИМАЛНЕ ДУЖИНЕ ХОРИЗОНТАЛНОГ СЕГМЕНТА 176 ОКОСНИЦА МРЕЖЕ 177 ПЛАНИРАЊЕ ОКОСНИЦЕ МРЕЖЕ 177 ТОПОЛОГИЈА ОКОСНИЦЕ МРЕЖЕ 178 ТЕЛЕКОМУНИКАЦИОНА СОБА 179 ПРОСТОРИЈА СА ОПРЕМОМ 179 ДЕМАРКАЦИОНА ТАЧКА 180 12.3 КАБЛИРАЊЕ 180 ОДАБИР КАБЛА 180 БАКАРНИ КАБЛОВИ 181 НЕОКЛОПЉЕНЕ УПРЕДЕНЕ ПАРИЦЕ (UTP) 182 ОКЛОПЉЕНЕ УПРЕДЕНЕ ПАРИЦЕ (STP, F/UTP, S/FTP, SCTP, S/STP) 182 ЛИЦНАСТИ КАБЛОВИ И КАБЛОВИ СА ПУНИМ ПОПРЕЧНИМ ПРЕСЕКОМ 183 ИЗОЛАЦИОНИ ОМОТАЧ 184 КАТЕГОРИЈЕ БАКАРНИХ КАБЛОВА 184 ОПТИЧКИ КАБЛОВИ 186 ПРЕДНОСТИ ОПТИЧКИХ КАБЛОВА 187 ЈЕДНОУГАОНА И ВИШЕУГАОНА ОПТИЧКА ВЛАКНА 187 12.3 ИНСТАЛАЦИЈА МРЕЖНЕ ОПРЕМЕ 188 ПУТАЊЕ КАБЛОВА 188 ПУТАЊЕ КАБЛОВА ОКОСНИЦЕ МРЕЖЕ 189 ХОРИЗОНТАЛНЕ ПУТАЊЕ КАБЛОВА 190 ВРСТЕ ВОЂИЦА КАБЛОВА 190 САВЕТИ ЗА ИНСТАЛАЦИЈУ ПАСИВНЕ МРЕЖНЕ ОПРЕМЕ 191 ТЕСТИРАЊЕ КАБЛОВА 193 ТЕСТИРАЊЕ УПРЕДЕНИХ ПАРИЦА 194 ВЕЖБЕ ........................................................................................................................................................ 196 АКТИВНОСТ 1: ПРИМЕР ПРОРАЧУНА ПАСИВНЕ МРЕЖНЕ ОПРЕМЕ 196 ОДАБИР ТЕЛЕКОМУНИКАЦИОНИХ СОБА 197 ОДАБИР ВРСТЕ КАБЛОВА ЗА ХОРИЗОНТАЛНО И ВЕРТИКАЛНО КАБЛИРАЊЕ 199 ОДАБИР ВОЂИЦА КАБЛОВА 201 ОДАБИР ОРМАНА ЗА ОПРЕМУ 201 ОЗНАЧАВАЊЕ ПРИКЉУЧНИХ МЕСТА И КАБЛОВА 202 СПЕЦИФИКАЦИЈА ПОТЕБНЕ ПАСИВНЕ МРЕЖНЕ ОПРЕМЕ 202 13. АКТИВНА МРЕЖНА ОПРЕМА ............................................................................................................ 205 13. 1 ОБНАВЉИВАЧ СИГНАЛА (ЕНГ. REPEATER) 205 13.2 МЕДИЈА КОНВЕРТЕР 205 13.3 КОНЦЕНТРАТОР 206 13. 4 МРЕЖНИ АДАПТЕР 206 13.5 КОМУТАТОР 207 13.6 БЕЖИЧНЕ ПРИСТУПНЕ ТАЧКЕ 209 13.7 МРЕЖНЕ БАРИЈЕРЕ 210 13.8 РУТЕР 210 14. ЛИТЕРАТУРА ....................................................................................................................................... 213
I ВЕЖБА ПРОВЕРА ИДЕНТИТЕТА КОРИСНИКА У РАЧУНАРСКОЈ МРЕЖИ
Циљ вежбе је да се студенти упознају са софтвером за анализу мрежних протокола. У вежби ће бити описане основне фукнције програма Wireshark, почев од процеса хватања мрежног саобраћаја, до филтрирања и анализе истог.
I Вежба
1. Провера идентитета корисника у рачунарској мрежи 1.1 Процес аутентификације и ауторизације Вишекориснички оперативни системи омогућавају да се подаци једног корисника заштите од других корисника истог рачунара, као и да се глобална подешавања рачунара, која утичу на све кориснике, заштите од неауторизованих измена. Овакви оперативни системи омогућавају контролу приступа ресурсима (подацима, сервисима, подешавањима) и могу разликовати кориснике према нивоу приступа који имају. Сви вишекориснички оперативни системи, међу које спада и Windows, захтевају да се корисник рачунара представи (потврди свој идентитет) уношењем корисничког имена и лозинке, као и да корисник буде ауторизован ( са довољним нивоом приступа) како би могао да користи ресурсе, податке и услуге које тај рачунар нуди. Уколико је рачунар умрежен, аутентификација и ауторизација се захтевају не само од корисника који интерактивно користе рачунар, већ и од корисника који приступају сервисима и подацима на рачунару преко мреже.
1.2 Модел радне групе У мањим мрежама аутентификација и ауторизација одвијају се независно за сваки рачунар. Не постоји централни ауторитет који проверава и ауторизује кориснике већ сваки рачунар користи своју независну базу која служи за аутентификацију и ауторизацију корисника. Сваки рачунар има свог администратора. Нека особа морала би да има онолико корисничких имена и лозинки колико рачунара жели да користи, интерактивно или преко мреже. Та корисничка имена и лозинке требало би да буду креирани од стране администратора поменутих рачунара. На слици 1.1 приказан је изглед модела радне групе.
Слика 1.1 : Mодел радне групе
У Windows мрежама овакав модел назива се модел радне групе, и постиже се аутоматски умрежавањем радних станица и сервера.
1
Рачунарске мреже
1.3 Модел домена У већим мрежама пожељно је да постоји централизован систем за аутентификацију и ауторизацију корисника читаве мреже, односно, да по питању администрације рачунари не буду независни, већ део јединствене административне целине.
домен контролер
Слика 1.2 : Модел домена
У Windows мрежама оваква административна целина корисника и рачунара назива се Windows домен, а услугу централизоване аутентификације и ауторизације пружа посебно конфигурисани сервер, који се назива домен контролер. На слици 1.2 приказан је изглед рачунарске мреже где је употребљен модел домена. Дакле, у моделу домена, један сервер се посебно конфигурише као домен контролер, ауторитет за аутентификацију и ауторизацију корисника у читавој мрежи, док се радне станице и остали сервери конфигуришу као припадници административне целине – домена. У оваквој мрежи администрација је централизована. Постоји један администраторски кориснички налог који омогућава администрацију било ког рачунара који је део домена. Кориснику је довољно да поседује једно корисничко име са којим може да користи било који рачунар и сервис у мрежи, интерактивно или преко мреже. Домен контролер има важну улогу у оваквој мрежи, па је могуће конфигурисати неколико сервера са оваквом улогом. Сви контролери домена међусобно синхронизују своју базу која служи за аутентификацију и ауторизацију корисника, па је постојање више домен контолера потпуно транспарентно за кориснике, и даље се ради о јединственој бази која је ради отпорности на отказе копирана на неколико рачунара.
2
I Вежба
1.4 Директоријумски сервис Директоријумски сервис је надградња идеје о централизованој администрацији. Идеја се састоји у томе да се у централној бази не чувају само корисничка имена и лозинке, информације битне за сервис аутентификације, већ и све остале информације о кориснику, рачунару, или неком другом сервису мреже. Ове остале информације могу бити битне другим сервисима у мрежи (нпр. сервис електронске поште, сервис за удаљени приступ, нека посебно направљена апликација и сл.). На овај начин, централизована база служи као глобални именички сервис за мрежу, у коме се налазе готово све информације потребне како би корисници могли да користе рачунаре, сервисе и апликације у мрежи. Директоријумски сервис омогућава стандардан начин за претрагу похрањених информација, како корисницима тако и разнородним сервисима у мрежи. Корисници могу да пронађу информације о ресурсима који их интересују (на пример, адресу електронске поште колеге, доступан мрежни штампач и сл.), сервиси у мрежи могу пронаћи информације битне за сопствено функционисање (удаљени приступ: да ли је корисник који покушава модемски приступ ауторизован за тако нешто, сервер електронске поште: ко су чланови дописне групе, и сл.). Администратор мреже има централно место за администрацију не само корисничких имена и лозинки, већ и свих сервиса и апликација у мрежи који су интегрисани са директоријумским сервисом.
1.5 Протокол за приступ директоријуму LDAP Уобичајени модел података за директоријумски сервис, као и протокол за приступ директоријумском сервису назива се LDAP (енг. Lightweight Directory Access Protocol). LDAP директоријумска база је хијерархијска база у облику стабла. Стабло се састоји од објеката (directory entries) који представљају објекте у мрежи (кориснике, рачунаре и сл.). Објекти имају своје атрибуте-својства (име, адреса ел.поште, дозволе и сл.) који представљају важне информације. Хијерархијска структура LDAP стабла подсећа на структуру система фајлова на диску: уместо фолдера постоје „организационе јединице“, објекти који садрже друге објекте. Уместо фајлова у директоријуму се налазе објекти који представљају кориснике, рачунаре и друге објекте. Ови објекти имају своје атрибуте који их описују.
1.6 Активни директоријум Активни директоријум је комерцијални назив за директоријумски сервис за Windows мреже. У великим Windows мрежама рачунари су део домена – административне целине. Поред тога што омогућава централизовану аутентификацију корисника Windows домен представља и директоријумски сервис, у коме су корисници, рачунари и други објекти логички организовани у хијерархију организационих јединица („фолдера“). Ово омогућава централизовану администрацију у Windows мрежи.
3
Рачунарске мреже
Слика 1.3 : Хијерархија организационих јединица
Корисник који жели да користи рачунаре и сервисе у оваквој мрежи мора да има кориснички налог у активном директоријуму. Са само једним налогом овај корисник може да користи све рачунаре у домену као и све сервисе који су интегрисани са активним директоријумом. Дакле, унутар Windows домена, административне целине, постоји хијерархија објеката (корисници, рачунари, и сл.) који имају своје атрибуте и представљају кориснике и ресурсе у мрежи. Уколико је Windows мрежа веома велика, ради лакше администрације могуће је направити и више домена, који се такође хијерархијски организују у стабло Активног директоријума. Уколико је и оваква организација премала за потребе мреже, могуће је направити шуму Активног директоријума, која се састоји од неколико стабала Активног директоријума. На слици 1.3 приказан је пример организације једног Активног директоријума, са истакнутом хијерархијом.
4
I Вежба
Вежбе Активност 1 : Инсталација Активног директоријута Активни директоријум се инсталира тако што један Windows сервер конфигуришемо као домен контролер. Будући домен контролер мора да испуњава одговарајуће предуслове: сам сервер мора да има статички конфигурисану IP адресу, сервер мора да има NTFS систем фајлова на диску. Осим тога у мрежи мора да постоји DNS систем за разрешавање имена. У Windows мрежама, потреба за DNS сервером најчешће се решава тако што се DNS сервис инсталира на самом домен контролеру током инсталације Активног директоријума.
Подешавање статичке IP адресе: Изабрати Start->Control Panel->Network and Sharing Connection, а затим са леве стране Manage Network Connection (слика 1.4). У новом прозору биће приказани сви доступни интерфејси. Десним тастером миша притиснути на Local Area Connection и изабрати опцију Properties (слика 1.5).
Слика 1.4: Параметри повезивања
Слика 1.5 : Својства мрежног адаптера
5
Рачунарске мреже
У својствима мрежног адаптера изабрати Internet protocol (TCP/IP) а затим тастер Properties. Овај адаптер је до сада адресу добијао аутоматски. Пре инсталације Активног директоријума подесићемо да сервер има статичка подешавања када је у питању мрежна адреса (слика 1.6): 1. IP адреса: 192.168.1.10 2. маска подмреже: 255.255.255.0 3. подразумевани мрежни пролаз (default gateway): тренутно не попуњавамо 4. адреса DNS сервера: унећемо адресу сервера, 192.168.1.10, јер ћемо током инсталације Активног директоријума инсталирати и DNS сервис на серверу
Слика 1.6: Подешавање статичке адресе
Провера система фајлова Како би могли инсталирати активни директоријум неопходно је да системска партиција поседује NTFS систем фајлова. Проверу да ли је услов испуњен можемо извршити кроз анализу својстава партиције и то тако што ћемо отворити Computer из Start менија, уочити диск C:, притиснути десним тастером миша и изабрати опцију Properties. Уочити тип система фајлова на диску C:. За инсталацију Активног директоријума неопходно је да се користи NTFS систем фајлова (слика 1.7), који је и подразумеван на Windows оперативном систему. Притиснути на дугме ОК.
6
I Вежба
Слика 1.7 : Систем фајлова на диску C:
Промена имена серверa Приликом инсталације сервера чаробњак инсистира на дефинисању имена сервера. Име сервера је од велике важности јер се често у раду у мрежи референцирамо на то име (како администратори тако и корисници). Проверу имена рачунара из фамилије Windows можемо извршити на више начина од којих је један преко командне линије и то отварањем Start -> Run -> cmd, а затим куцањем команде hostname (слика 1.8).
Слика 1.8 : Провера имена сервера
Име сервера променићемо у serverXY при чему XY треба заменити бројем радне станице за којом студент седи (нпр. ако је радна станица РС79, онда ће име домена гласити lab79.edu.rs). Како би променили име отворићемо Start мени, па затим десним кликом миша изабрати Computer и у оквиру новог контекстног менија ставку Properties. У новоотвореном прозору пронаћи ћемо одељак "Computer name, domain and workgroup settings" у оквиру кога треба кликнути на линк Change Settings (слика 1.9). Појавиће се прозор у коме се врше наведена подешавања. У оквиру картице Computer Name кликнути на дугме Change и у новоотвореном прозору у делу Computer Name дефинисати наведено име.
7
Рачунарске мреже
Слика 1.9 : Промена имена сервера
Пoчетак инсталације Активног директоријума 1.
Инсталацију Активног директоријума у Windows Server 2008 покрећемо командом dcpromo (Start -> Run -> dcpromo) Овом командом се стартује чаробњак који ће нас провести кроз подешавања параметара домена који креирамо и самог Активног директоријума (слика 1.10).
8
I Вежба
Слика 1.10 : Покретање чаробњака за инсталацију Активног директоријума
2.
Прва одлука коју морамо донети је та да ли је ово први домен који правимо или домен који ће бити придружен постојећој шуми домена. Како не постоји шума нити иједан домен, бирамо опцију "Create a new domain in a new forest" (слика 1.11).
Слика 1.11 : Избор између додавања новог домена постојећој шуми и креирања нове шуме и новог домена
9
Рачунарске мреже
3.
Следећи корак је избор потпуно квалификованог имена домена (FQDN). Овде је неопходно обратити пажњу приликом избора. У случају да будући домен мора бити доступан корисницима са Интернета, онда је неопходно прво регистровати име домена у глобалном DNS систему (посредством даваоца интернет услуге). Ако правимо домен искључиво за интерну употребу, онда се овде може ставити име по избору. У нашем случају домен је за интерну употребу и имаће име labXY.edu.rs, где је XY потребно заменити са бројем радне станице за којом студент седи (нпр. ако је радна станица РС79, онда ће име домена гласити lab79.edu.rs) (слика 1.12). Кликом на дугме Next чаробњак ће прво проверити да ли случајно постоји домен са изабраним именом, како се не би десила колизија са именима.
Слика 1.12 : Избор потпуно квалификованог имена домена
4.
Следећи корак је избор нивоа функционалности новокреиране шуме. Како постоје три верзије Windows Servera, а самим тим и различите функције које они нуде (Windows Server 2008 поседује функције које не поседују Windows Server 2000 и 2003), неопходно је нагласити који ниво функционалности желимо да применимо. Ово подешавање је од суштинског значаја у смислу компатибилности са ранијим верзијама Windows Servera. Ако у мрежи постоји Windows Server 2000 или 2003 који имају улогу домен контролера, онда је неопходно нагласити овом Windows Serveru да снизи ниво функционалности како би се прилагодио постојећем окружењу. Пошто је ово први домен контролер кога подижемо ставићемо ниво функционалности шуме на ниво Windows Server 2003 (Слика 1.13). Приликом овог избора неопходна је велика опрезност, јер се ниво функционалности не може накнадно снизити.
10
I Вежба
Слика 1.13 : Избор нивоа функционалности шуме
5.
У следећем кораку неопходно је навести који функционални ниво треба да има домен који креирамо (слика 1.14).
Слика 1.14 : Избор функционалног нивоа домена
6.
11
Како би могао да настави са креирањем домена чаробњак проверава да ли је наведени DNS сервер оперативан, јер у њега мора да убаци записе који ће клијентима указати ко пружа услугу аутентификације корисника. У подешавањима мрежних параметара навели смо да је овај сервер сам себи DNS сервер. Чаробњак провером утврђује да DNS сервис још није инсталиран и даје нам опцију да га сам аутоматски инсталира и конфигурише што и прихватамо (слика 1.15). Кликом на дугме Next чаробњак ће нас упозорити да не постоји креирана DNS зона labXY.edu.rs. Избором одговора "Yes" чаробњак ће сам направити недостајућу зону и наставити са инсталацијом.
Рачунарске мреже
Слика 1.15 : Избор додатних улога које ће имати контролер домена
7.
Администратор је у могућности да изабере где ће бити креирана база података коју користи Активни директоријум, као и дељени директоријум који ће бити коришћен у комуникацији са другим домен контролерима. У случају да је на располагању складиштни простор високих перформанси, високе редундантности и безбедности, база података се може сместити на исти. У нашем случају остављамо подразумевана подешавања која се тичу системских фајлова Активног директоријума (слика 1.16).
12
I Вежба
Слика 1.16 : Избор локације где ће бити смештени системски фајлови Активног директоријума
8.
13
Како је домен контролер централизована тачка преко које се врши администрација целог домена, он представља и критичну компоненту. Добра администрација подразумева редовно прављење резервне копије Активног директоријума, која ће бити искоришћена у случају отказивања рада домен контролера. У кратком временском року можемо подићи нови домен контролер. Пошто је могућност враћања резервне копије у функционално стање јако велики безбедносни ризик (нападач може доћи до копије, изменити је и поставити на домен контролер), уводи се тзв. Restore Mode лозинка која ће бити тражена да се унесе приликом рестаурације резервне копије Активног директоријума. Ова лозинка мора припадати групи сигурних лозинки (мора да поседује бар 3 групе карактера од укупно 4, и да буде дужине минимум 8 карактера) (слика 1.17). Препорука је да ова лозинка нема сличности са администраторском лозинком, како се не би десило да компромитацијом администраторског налога нападач има и шифру за рестаурацију Активног директоријума. За потребе вежби ставићемо да је лозинка "Password2". Неопходно је напоменути да се у реалном систему мора користити сложенија и не тако очигледна лозинка.
Рачунарске мреже
Слика 1.17 : Дефинисање лозинке за рестаурацију резервне копије Активног директоријума
9.
По завршетку подешавања чаробњак даје преглед изабраних параметара, пре него што започне са инсталацијом (слика 1.18). Инсталација Активног директоријума може да траје у распону од пар минута до пар десетина минута, у зависности од перформанси сервера (слика 1.19), након чега је неопходно рестартовати сервер.
Слика 1.18 : Преглед изабраних подешавања пре почетка инсталације Активног директоријума 14
I Вежба
Слика 1.19 : Процес инсталације Активног директоријума
Активност 2 : Покретање алатке за администрацију Активног директоријума Покренути: Start->Administrative Tools->Active Directory Users and Computers (слика 1.20). Ово је алатка за администрацију корисничких налога у домену.
Слика 1.20: Алатка за администрацију Активног директоријума
15
Рачунарске мреже
Слика 1.21 : Изглед инсталираног Активног директоријума
1. Уколико притиснемо на + поред иконице која представља наш домен, можемо видети хијерархију организационих јединица („фолдера“) у којима се налазе објекти Активног директоријума. Приказане организационе јединице су аутоматски креиране како би се организовали аутоматски креирани објекти. Од администратора домена се очекује да креира сопствену хијерархију организационих јединица. У левом пољу треба одабрати организациону јединицу Users, како би нам се у десном пољу приказао њен садржај. Ово је подразумевана (не и обавезна) организациона јединица за корисничке налоге. У току вежби кориснички налози биће креирани у неким другим организационим јединицама. 2. У десном пољу уочити корисника administrator. То је аутоматски креиран објекат који представља администратора домена. Овај објекат, као и сви остали објекти Активног директоријума има своје атрибуте. Можемо их видети двоструким кликом на иконицу објекта „administrator“. 3. Погледати, без измена, атрибуте које има корисник администратор. Атрибуте истог имена може да има сваки објекат који представља корисника. Затворитити прозор са атрибутима корисника. 4. У левом пољу изабрати организациону јединицу „Domain Controlers“. У десном пољу двоструким кликом изабрати објекат који представља домен контролер. Погледати својства овог објекта.
16
I Вежба
Активност 3 : Креирање објеката Активног директоријума; организациона јединица Активни директоријум је хијерархијска база, што значи да сваки објекат има своју локацију у хијерархији, место где се налази. Пре него што креирамо неки објекат, најпре треба изабрати локацију где објекат желимо да креирамо. У овој активности креираћемо објекат организациона јединица. Креираћемо сопствену хијерархију организационих јединица унутар које ћемо креирати кориснике Активног директоријума. Претпоставићемо да креирамо хијерархију организационих јединица за предузеће које има две локације: Београд и Нови Сад. Даље, претпоставићемо да на свакој локацији постоје одељења: „Развој“, „Маркетинг“ и „Администрација“ (слика 1.22).
Слика 1.22 : Хијерархијска организација предузећа
Направићемо хијерархију организационих јединица која одсликава овакво стање, како бисмо кориснике које касније креирамо логички организовали: 1. У левом пољу алатке Active Directory Users and Computers изабрати иконицу која представља домен, притиснути десни тастер миша и изабрати New->Organizational Unit (слика 1.23):
17
Рачунарске мреже
Слика 1.23: Креирање организационе јединице
2. У прозор за креирање организационе једнице треба унети назив. У току вежби унети „Београд“, а затим притиснути на OK. Оставити обележену опцију "Protect container from accidental deleteion" (слика 1.24).
Слика 1.24: Задавање имена нове организационе јединице
18
I Вежба
3. У следећем кораку унутар организационе јединице „Београд“ креираћемо нову организациону јединицу под именом Развој. Најпре у левом пољу изабрати организациону јединицу „Београд“, притиснути десни тастер миша и изабрати New-> Organizational Unit. Унети „Развој“ као име нове организационе јединице и притиснути ОК. 4. На исти начин унутар организационе јединице „Београд“ креирати још две организационе јединице: „Администрација“ и „Маркетинг“. 5. У левом пољу алатке Active Directory Users and Computers, изабрати иконицу која представља домен, притиснути десни тастер миша и изабрати New->Organizational Unit. Креирати организациону јединицу „Нови Сад“. 6. У левом пољу изабрати организациону јединицу „Нови Сад“, притиснути десни тастер миша и изабрати New-> Organizational Unit. Унети „Развој“ као име нове организационе јединице и притиснути ОК. 7. На исти начин унутар организационе јединице „Нови Сад“ креирати још две организационе јединице: „Администрација“ и „Маркетинг“.
Активност 4 : Креирање корисничких налога Да би неки корисник могао да се пријави на рачунар који је у домену, мора имати доменски кориснички налог. Ови налози креирају се алатком. Објекти који представљају кориснике креирају се унутар одговарајућих организационих јединица, али се касније, уколико је потребно, могу премештати у друге организационе јединице. Сваком корисничком налогу додељенa је вредност за сигурносни идентификатор Security Identifier -SID. Оперативни систем кориснике разликује по овој вредности а не по корисничком имену. То значи да кориснички налог можемо безбедно да преименујемо, јер се тиме не мења SID, оперативни систем ће препознати да се ради о старом кориснику са новим именом. Кориснички налог може се и копирати. Тиме се креира нови налог, при чему се већина подешавања ископира из подешавања старог налога. 1. У левом пољу алатке Active Directory Users and Computers отворити организациону јединицу „Београд“. Изабрати организациону јединицу „Развој“, притиснути десни тастер миша и изабрати опцију New->User (слика 1.25):
Слика 1.25 : Креирање налога за корисника
19
Рачунарске мреже
2. У новом дијалог прозору треба унети име, презиме као и корисничко име за овог корисника. У овом примеру креираћемо налог за особу која се зове Весна Јанковић, са корисничким именом „vjankovic“ (слика 1.26).
Слика 1.26 : Атрибути корисничког налога
Корисничко име (
[email protected]) мора бити једиствено у домену и заједно са суфиксом (@labXY.edu.rs) може бити дугачко 254 карактера. За пријављивање са старијих оперативних система, као и због навике корисника да користе таква имена, као атрибут корисника постоји и кратко (pre-Windows 2000) корисничко име које може бити дугачко до 20 карактера. Најбоље је када су оба имена иста. Након ових подешавања, притиснути на тастер Next. 3. У новом дијалог прозору треба унети лозинку за корисника. Због веће безбедности, захтева се да лозинке буду сложене, односно да се састоје од најмање 8 карактера, међу којима треба да се налазе бар 3 елемента из 4 скупа: мала слова, велика слова, цифре и специјални знаци (нпр.*,?). У оквиру вежби унећемо као лозинку Password2 , јер овај низ карактера има и мала и велика слова као и цифре. Исту вредност треба и потврдити у пољу Confirm Password.
20
I Вежба
Слика 1.27 : Подешавање иницијалне лозинке
У подразумеваном стању изабрана је опција „User must change password at next login“, што значи да ће корисник само за прво пријављивање користити задату лозинку, а тада ће бити приморан да је промени у неку другу, само њему познату. Ово је користан механизам, али у току вежби нећемо га користити, па стога ову опцију треба искључити. У подразумеваном стању лозинке корисника застаревају, и корисници су приморани да их мењају свака 42 дана. Опција Password Never Expires овај налог изузима од таквог понашања. Ово се користи за посебне налоге, као што су налози под којима раде серверске апликације. Опција User Cannot Change Password користи се уколико овај налог користи више особа, и забрањује кориснику да промени лозинку. Пошто смо унели лозинку и искључили опцију „User must change password at nex login“, притискамо на тастер Next а затим Finish и тиме креирамо нови налог. 4. У десном пољу уочити новокреирани налог и двоструким кликом по његовој иконици погледати атрибуте корисничког налога. Неки атрибути се користе за посебне сервисе који би могли да постоје у мрежи. Већина атрибута се користи за документовање ресурса. На пример у картици „General“ постоји атрибут „Description“, који ћемо попунити како бисмо олакшали претрагу Активног директоријума. За овај кориснички налог атрибут „Description“ треба да буде „Програмер“.
21
Рачунарске мреже
Слика 1.28 : Атрибути корисника
5. На исти начин у организационој јединици Београд/Маркетинг креирати кориснички налог за особу која се зове Јанко Петровић, са корисничким именом jpetrovic, лозинком Password2, и описом (атрибут „Description“) „Дизајнер“. 6. На исти начин у организационој јединици Београд/Администрација креирати кориснички налог за особу која се зове Марко Јанковић, са корисничким именом mjankovic, лозинком Password2, и описом (атрибут „Description“) „Службеник“. 7. Креираћемо и два налога у организационим јединицама које представљају одељења у Новом Саду. У организационој јединици Нови Сад/Развој креирати налог за особу која се зове Звонко Петровић, са корисничким именом zpetrovic, лозинком Password2 и описом „Програмер“. 8. У организационој јединици Нови Сад/Маркетинг креирати налог за особу која се зове Драгана Матић, са корисничким именом dmatic, лозинком Password2 и описом „Дизајнер“.
22
I Вежба
Активност 5 : Измена атрибута корисничких налога Уочити корисника Марка Јанковића у организационој јединици Београд/Администрација, и двоструким кликом погледати његове атрибуте. Затим треба изабрати картицу „Account“. Уочити да се у овој картици налазе атрибути који се тичу лозинке. Ове атрибуте подешавали смо током креирања налога. У наставку вежбе подесићемо дозвољено време за пријављивање. Како би се смањила могућност злоупотребе туђих налога (у време у коме дати корисник сигурно није присутан), може се ограничити време у коме је дозвољено употребљавати налог овог корисника. Треба притиснути на тастер „Logon Hours...“ (слике 1.29 и 1.30).
Слика 1.29 : Подешавање временског опсега када је пријављивање могуће
Слика 1.30 : Дозвољено време употребе налога
23
Рачунарске мреже
Нови дијалог прозор представља матрицу: врсте су дани у недељи, колоне су сати у дану. Ћелија плаве боје означава да је пријављивање у том временском периоду дозвољено. Најпре ћемо изабрати опцију „Logon Denied“ (са десне стране), а затим селектовати само ћелије које представљају период од понедељка до петка, од 8:00 до 16:00, и затим изабрати опцију „Logon Permited“. Затим притиснути на OK, па затим још једном на ОК.
Активност 6 : Копирање и премештање корисничких налога Копирање корисничких налога користи се како би се креирао нови кориснички налог који има иста подешавања као неки већ раније креиран налог. У овом примеру креираћемо налог у организационој јединици Нови Сад/Администрација, који има иста подешавања за време пријављивања као већ подешен налог за Марка Јанковића. 1. Уочити кориснички налог за Марка Јанковића, притиснути десним тастером миша по његовој иконици и изабрати опцију „Copy“. 2. Отвара се дијалог прозор „Copy Object“, који изгледа исто као и дијалог прозор који се користи за креирање корисничких налога. У овом примеру потребно је унети Петар Марковић као име и презиме и pmarkovic као корисничко име. Притиснути на тастер Next. 3. У новом дијалог прозору треба унети лозинку за нови налог који ће настати копирањем постојећег (лозинка се не копира). Као лозинку унети Password2, и ту вредност и потврдити. Уочити да овај пут није изабрана опција „User must change password at next login“. Вредност овог атрибута је ископирана из постојећег налога. Притиснути на тастер Next, а затим на Finish. 4. Двоструким кликом по иконици налога за Петра Марковића како бисмо погледали његове атрибуте. Изабрати картицу „Account“, а затим „Logon Hours..“. Уочити да је вредност овог атрибута ископирана из оригиналног објекта. Исто важи и за неке друге важне атрибуте које до сада нисмо користили. Копирање постојећег корисничког налога је брз начин за креирање прилагођеног корисничког налога. 5. Изабрати картицу „General“. Уочити да се атрибут „Description“ није ископирао. Накнадно ћемо унети опис „Службеник“. Притиснути на тастер ОК. 6. Сада је налог за корисника Петра Марковића креиран, али се не налази на правом месту. Налог за овог корисника треба преместити у организациону јединицу Нови Сад/Администрација. Притиснути десним тастером миша по иконици овог корисника и изабрати опцију „Move“. У новом дијалог прозору изабрати долазну организациону јединицу (Нови Сад, Администрација) и притиснути на тастер ОК. Уколико су и полазна и долазна организациона јединица у видном пољу операција премештања може се извршити и једноставним превлачењем објекта у нову организациону јединицу.
24
I Вежба
Активност 7 : Учлањивање радне станице у домен У наставку вежбе потребно је клијентску радну станицу (Windows XP) учланити у новокреирани домен. Претходно је неопходно подесити IP адресу и остале параметре како би клијент и сервер могли несметано да комуницирају преко мреже. До подешавања на радној станици долазимо на сличан начин као и на серверу (Start -> Control Panel -> Network Connections-> Local Area Connection, Properties, Internet Protocol (TCP/IP), Properties). Подешавања на клијенту треба да буду: 1. IP адреса: 192.168.1.100 2. Маска подмреже: 255.255.255.0 3. Default Gateway: остављамо непопуњено 4. Preferred DNS server: 192.168.1.10 5. Alternate DNS server: остављамо непопуњено. 6. Притиснемо на тастер ОК Проверићемо доступност сервера са стране клијента. Отворићемо командни прозор: Start -> Run, укуцати cmd а затим притиснути OK. У командном прозору унети (xy треба заменити са бројем радне станице): ping serverxy.labxy.edu.rs Уколико добијемо одговор од сервера можемо сматрати да мрежа између сервера и клијента функционише, и можемо прећи на следећи корак. Неопходно је променити и име рачунара у klijentXY на следећи начин: 1. На клијентској радној станици отворити Start -> Control Panel -> System. 2. Изабрати картицу „Computer Name“, притиснути на тастер „Change“ 3.
У секцији „Computer name“ (горе), уписати klijentXY (xy треба заменити бројем радне станице. Притиснути на тастер ОК.
4. Рестартовати рачунар. Када се рачунар рестартује неопходно га је придружити у домен који смо претходно креирали. Придруживањем станице домену успостављамо релацију поверења између радне станице и домен контролера чиме постижемо да радна станица прихвата кориснике који имају доменске корисничке налоге. Придруживање домену обавља се на следећи начин: 1. На клијентској радној станици отворити Start -> Control Panel -> System. 2. Изабрати картицу „Computer Name“, притиснути на тастер „Change“ 3.
У секцији „Member of“ (доле) изабрати „Domain“, и у одговарајућем пољу унети име домена у који учлањујемо радну станицу (xy треба заменити бројем радне станице): „labxy.edu.rs“. Притиснути на тастер ОК.
4. Учлањивањем станице у домен се у активном директоријуму креира налог за рачунар. За ово је потребно имати одговарајуће привилегије, налог за администратора домена. У новом дијалог прозору треба унети „Administrator“ као корисничко име, и „Password“ као лозинку, јер је то налог за администратора домена. Притиснути на тастер OK. 5. После добијања поздравног дијалог прозора, притиснути на OK и прихватити поновно покретање рачунара.
25
Рачунарске мреже
Када се клијентска станица покрене треба уочити да се у прозору за пријаву, у пољу „Logon To“ може изабрати пријављивање на локални рачунар или домен. Потребно је изабрати пријављивање на домен. Проверићемо да ли је раније креирани доменски налог за Звонка Петровића функционалан. У пољу „Username“ треба унети „zpetrovic“, у пољу „Password“ треба унети „Password2“ и притиснути дугме OK. У наставку вежбе треба проверити како се учлањивање радне станице одражава на Активни директоријум. На серверу, у алатки Active Directory Users and Computer отворити организациону јединицу „Computers“ и уочити иконицу која представља клијенску радну станицу. Превлачењем преместити овај објекат у организациону јединицу Београд.
26
I Вежба
27
II ВЕЖБА ПРЕТРАГА АКТИВНОГ ДИРЕКТОРИЈУМА И АДМИНИСТРАЦИЈА ГРУПНИХ НАЛОГА
Циљ вежбе је да се студенти упознају са основним принципима администрације Активног директоријума који укључују претрагу Активног директоријума, као и администрацију корисничких и групних налога. У практичном делу вежбе биће реализован један сценарио где треба организовати корисничке налоге у групе, а групама доделити права у сврху дистрибуције права корисницима.
II Вежба
2. Претрага Активног директоријума и администрација групних налога 2.1 Претрага Активног директоријума Директоријумски сервиси садрже много више атрибута о корисницима и другим објектима него што је минимално потребно за аутентикацију корисника. Неки од тих атрибута су неопходни за специфичне сервисе у мрежи, док су други намењени за документовање објеката који се чувају у директоријумској бази. На пример, објекат корисник има атрибуте: опис, веб страница, поштанска адреса, канцеларија и слично. И ако ће аутентификација корисника функционисати чак и ако ови атрибути нису попуњени, пожељно је неке од ових необавезних атрибута попуњавати, како би се објекти могли пронаћи претрагом активног директоријума по неком атрибуту. Када активни директоријум садржи десетак објеката претрага је обично излишна, али када се ради са активним директоријумом који садржи хиљаде објеката, претраживање (уместо „тражења“ по организационим јединицама) обично је једини могући начин рада. И обични корисници могу претраживати активни директоријум, али у овој вежби показаћемо претрагу из алатке Active Directory Users and Computers. Познавање претраге Активног директоријума биће од велике користи у процесу учлањавања корисничких налога у групе.
2.2 Групни налози Поред налога за кориснике у току свакодневне администрације мреже веома много се користе и групни налози. Групе представљају скуп корисничких налога и олакшавају администрацију у ситуацијама када се право на употребу неког ресурса (дељеног фолдера, сервиса и сл.) треба доделити већем броју корисника.
Слика 2.1 : Додељивање права приступа корисницима
Овакве задатке много је једноставније решити уколико су корисници органозовани у групе. Тада се неко право додаје само једном, и то групи корисника. Тако додељено право могу да користе сви корисници који су чланови групе.
29
Рачунарске мреже
Слика 2.7 : Додељивање права употребом група
У неком каснијем тренутку, уколико неки нови корисник треба да има исто право, довољно га је учланити у групу која има потребна права.
2.2.1 Различите врсте група Основна идеја употребе група даље је разрађена у оквиру администрације Активног директоријума. Активни директоријум познаје неколико врста група које се користе за различите намене. Међу најважнијим типовима група поменућемо доменске локалне и глобалне групе. Осим тога могуће је и тзв. угњежђавање група, односно, под одређеним условима група се може учланити у другу групу. У Активном директоријуму постоје два типа група и то: •
сигурносне групе и
•
дистрибуционе групе.
Дистрибуционе групе уско су повезане са системима за размену електронске поште и сврха њиховог постојања је управо дистрибуција мејлова члановима групе. Сигурносне групе чешће су коришћен тип у свакодневној администрацији јер се помоћу њих организују корисници са циљем додељивања права корисницима. Сигурносне групе даље се деле у зависности од области важења и могућим члановима. Дефинисана су три различита типа сигурносних група и то : •
доменске локалне групе,
•
глобалне групе и
•
универзалне групе.
Да бисмо боље разумели разлике између различитих типова сигурносних група, подсетимо се да Активни директоријум омогућава да се у великим мрежама креира читава хијерархија домена – административних целина, у стабло активног директоријума. У таквим мрежама могућа је ситуација у којој се кориснички налог налази у једном домену, група у другом домену, а неки дељени ресурс у трећем домену. Различити типови сигурносних група разликују се по области важења („да ли је групи из једног домена могуће дати право над дељеним ресурсом у другом домену?“), као и по могућем чланству ( „да ли је у групу која се налази у једном домену могуће учланити корисника из другог домена?“). Потпуни преглед области важења и могућег чланства за сва три типа сигурносних група дат је у табели 2.1. Универзалне групе превазилазе оквир овог курса. 30
II Вежба
Област важења групе Универзална група
Глобална група
Доменска локална група
Могући чланови •
Кориснички налози из било ког домена у оквиру шуме у оквиру које постоји дата универзална група
•
Глобалне групе из било ког домена у оквиру шуме у оквиру које постоји дата универзална група
•
Универзална група из било ког домена у оквиру шуме у оквиру које постоји дата универзална група
•
Кориснички налози из истог домена у коме се налази и дата глобална група
•
Глобалне групе из истог домена у коме се налази дата глобална група
•
Кориснички налози из било ког домена
•
Глобалне групе из било ког домена
•
Универзалне групе из било ког домена
•
Доменске локалне групе из домена у оквиру кога постоји дата доменска локална група
Могуће дозволе односно чланство Било где у оквиру шуме
Било где у оквиру шуме
Само у оквиру домена у коме постоји доменска локална група
Табела 2.1 : Преглед области важења и могућег чланства сигурносних група
2.2.2 Доменске локалне групе Доменске локалне групе имају тај назив („локалне“) јер им је област важења локални домен у коме су креиране. Дакле, није могуће доделити им право над ресурсом у другом домену. Иако су ограничене у овом погледу, нису ограничене у другом: могуће чланство. Ове групе могу имати чланове из другог домена:
31
Рачунарске мреже
Слика 2.3 : Важење и чланство локалних група
2.2.3 Глобалне групе Други важан тип група јесу глобалне групе. Овај тип има тај назив („глобалне“) јер има такво важење. Могу им се доделити права („видљиве су“) и у другим доменима читавог Активног директоријума („глобално су видљиве“). С друге стране овај тип група има ограничење по питању чланства. У глобалне групе креиране у једном домену могуће је учланити само кориснике који се налазе у истом домену.
Слика 2.4 : Важење и чланство глобалних група
2.2.4 Комбиновање доменских локалних и глобалних група У свакодневној администрацији локалне и глобалне групе се комбинују, чиме се превазилазе ограничења која имају. За разумевање начина на који се ова два типа група могу комбиновати, потребно је подсетити се да Активни директоријум омогућава угњежђавање група (под одређеним условима). На пример, глобалне групе могу се учланити у локалне групе. Ако се ради унутар само једног домена, могући су разни начини употребе група, али уредан и препоручен начин употребе налаже да се глобалне и локалне групе користе за сасвим различите намене.
32
II Вежба
2.2.5 Употреба глобалних група Препоручује се да се глобалне групе користе искључиво за организовање корисника, према функцији на послу, локацији или слично. На вежбама име глобалне групе увек ће асоцирати на тип корисника који су у њу учлањени, на пример: „Дизајнери“, „Програмери“, „КориснициБеоград“ и слично. Препоручује се да се глобалним групама никада не додељују права директно (него посредно, што ће касније бити показано). Глобалне групе користе се за организовање корисника у домену и никада им се не додељују права директно.
2.2.6 Употреба доменских локалних група Препоручује се да се доменске локалне групе користе за додељивање права над неким дељеним ресурсом. На вежбама, име локалне групе увек ће асоцирати на ресурс над којим локална група има право. На пример: „ЛасерскиШтампач“, „ПројектнаДокументација“ и слично. Препоручује се да се у доменске локалне групе никада не учлањују појединачни корисници директно (већ посредно, што ће бити касније показано). Доменске локалне групе користе се за додељивање права над неким ресурсом. У доменске локалне групе никада се не учлањују појединачни корисници.
2.2.7 Учлањивање глобалних група у локалне Комбиновање локалних и глобалних група постиже се учлањивањем глобалних група у локалне.
Слика 2.5 : Комбиновање глобалних и локалних група
На пример, уколико сви корисници који раде као дизајнери треба да имају права да штампају на дељеном мрежном штампачу, то се не ради тако што се корисници dmatic и кориснику jpetrovic-у, сваком појединачно доделе права. Уместо тога, поступак би био следећи: 1. Сви корисници који раде као дизајнери треба да буду учлањени у глобалну групу „Дизајнери“ („глобалне групе се користе да организују кориснике у домену према функцији на послу“). 2. За потребе контроле приступа креира се локална група „Штампач“ и овој групи се доделе права над дељеним мрежним штампачем („локалне групе се користе за додељивање права“). 3. Како би дизајнери могли да штампају, потребно је глобалну групу „Дизајнери“ учланити у локалну групу „Штампач“. 33
Рачунарске мреже
Или на други начин објашњено: Корисници се учлањују у глобалне групе; глобалне групе учлањују се у доменске локалне групе; локалним групама додељују се права. Примери предности оваквог начина рада били би: 1. Уколико се у неком каснијем тренутку појави нови корисник који ради као дизајнер није потребно подсећати се која права над ресурсима би он требало да има. Довољно је корисника учланити у одговарајућу групу, заједно са осталим корисницима тог типа, па ће посредством чланства у групи и овај корисник имати сва права као и његове колеге. 2. Уколико се у неком каснијем тренутку појави потреба да нека додатна група корисника користи исти ресурс (на пример и програмери треба да штампају), није потребно подсећати се која то права омогућавају корисницима да успешно користе ресурс. Довољно је и ту нову глобалну групу („Програмери“) учланити у локалну групу која има довољна права. 3. На вежбама се ради у оквиру једног домена, али уколико би се радило у већој мрежи, не би било проблема да „Дизајнери“ из једног домена користе штампач у другом домену, јер локална група „Штампач“, у истом домену као и мрежни штампач, дозвољава чланове из других домена.
34
II Вежба
Вежба Активност 1 : Претрага активног директоријума Активни директоријум је хијерархијска база и претрага се врши од неког места у хијерархији наниже. Корисник бира место почетка претраге тако што најпре селектује то место. 1. Покренути алатку Active Directory Users and Computers. 2. Притиснути десним кликом миша по иконици која представља домен (претрага почиње с врха хијерархије) и изабрати опцију „Find“. 3. У новом дијалог-прозору, у пољу „Description“ унети реч „Programer“. Овим смо навели да нас интересују корисници, контакти и групе које као атрибут опис („Description“) имају реч „Programer“. 4. Притиснути на дугме „Find“.
Слика 2.6 : Претрага по атрибуту
У пољу „Search Results“ могу се видети објекти који задовољавају критеријум. Пронађене објекте можемо селектовати, притиснути десни клик миша и покренути неку од акција које су доступне у менију. 5. Уочити које су акције са пронађеним објектима доступне. Уочити опцију „Add to group...“. Приметити да се на овај начин пронађени корисници могу уврстити у групу. У овом тренутку не треба покретати ниједну од понуђених акција. Показаћемо претрагу на још једном примеру: 1. Покренути алатку Active Directory Users and Computers. 2. Притиснути десним кликом миша по иконици која представља организациону јединицу „Београд“ (претрага почиње од ове организационе јединице) и изабрати опцију „Find“. 3. У новом дијалог-прозору оставити непопуњено поље „Description“ као и поље „Na35
Рачунарске мреже
me“. Овако можемо пронаћи све објекте у организационој јединици „Београд“, као и организационим јединицама испод ње. 4. Кликнути на дугме „Find“. 5. Тако смо пронашли све кориснике у организационој јединици „Београд“ и ниже у хијерархији. Уколико је то потребно могу се сви, или неки од њих, селектовати како би се над њима извршила нека акција.
Активност 2 : Креирање група У оквиру вежби креираћемо посебну организациону јединицу за смештај групних налога. 1. Отворити алатку „Active Directory Users and Computers“. 2. У левом пољу уочити иконицу која представља домен, притиснути десним кликом миша и изабрати „New“ -> „Organizational Unit“. 3. Унети „Групе“ као назив нове организационе јединице и притиснути на „OK“. У оквиру вежби претпоставићемо да негде у мрежи постоји дељени штампач, и да је потребно уредити права приступа над овим ресурсом. У овој активности самододељивање права неће бити подешавано, већ самоорганизовање корисника у глобалне групе и учлањивање глобалних група у одговарајуће локалне групе. У циљу додељивања права креираћемо локалну групу „ColorLaser“, којој би биле додељене дозволе (додела дозвола ради се касније). 1. У левом пољу уочити иконицу која представља организациону јединицу „Групе“, притиснути десним кликом миша, и изабрати опцију „New“ -> „Group“. 2. У новом дијалог-прозору треба унети име групе: „ColorLaser“. Пошто креирамо локалну групу, потребно је то и изабрати („Domain Local“) у секцији „Group Scope“. Све групе које креирамо биће сигурносне групе ( „Security“), а не дистрибуционе групе. Дијалог прозор се види на слици 2.7.
Слика 2.7 : Креирање локалне сигурносне групе
36
II Вежба
3. Притиснути на дугме „ОК“. Креираћемо и једну глобалну групу како бисмо (касније) организовали све дизајнере у домену. 4. У левом пољу уочити иконицу која представља организациону јединицу „Групе“, десним кликом миша изабрати опцију „New“ -> „Group“. 5. У новом дијалог прозору треба унети име групе: „Дизајнери“. Пошто креирамо глобалну групу, потребно је то и изабрати („Global“) у секцији „Group Scope“.
Слика 2.8 : Креирање глобалне сигурносне групе
6. Притиснути на дугме „ОК“. На овај начин креиране су једна локална и једна глобална група, које за сада нису повезане. То ће бити учињено у следећим активностима.
Активност 3 : Учлањивање корисника у глобалне групе Претрагом активног директоријума пронаћи ћемо све дизајнере и уврстити их у глобалну групу „Дизајнери“. Претрагу почињемо од врха стабла. 1. У левом пољу уочити иконицу која представља домен, притиснути десним кликом миша и изабрати опцију „Find“. 2. У дијалогу за претрагу, у пољу „Description“, унети реч „Дизајнер“ (током креирања корисника, овако смо подесили овај атрибут). 3. Пронађене кориснике селектовати, притиснути десним кликом миша, и изабрати опцију „Add to Group“. 4. У дијалогу „Select Group“ у пољу „Enter the Object Name to Select“ унети име групе у коју учлањујемо кориснике. Унети „Дизајнери“.
37
Рачунарске мреже
Слика 2.9 : Учлањивање корисника у глобалну групу
5. Притиснути на дугме „ОК“, затворити дијалог за претрагу.
Активност 4 : Преглед чланова групе 1. Уочити у левом пољу организациону јединицу „Групе“, селектовати је левим кликом миша тако да се у десном пољу прикаже њен садржај. 2. У десном пољу уочити глобалну групу „Дизајнери“, притиснути десним кликом миша, а затим изабрати опцију „Properties“. 3. Изабрати картицу „Members“ (што значи чланови). 4. Уочити да су корисници чланови групе. 5. Уочити да постоји и дугме „Add“. Ово је још један начин за додавање корисника у групу. 6. Оставити отворен „Properties“ дијалог-прозор.
Активност 5 : Учлањивање глобалне групе у локалну доменску групу Активност претпоставља да имате отворена својства („Properties“) за глобалну групу „Дизајнери“. Осим картице „Members“ (чланови ове групе), постоји и картица „Member Of“ ( сама група је члан). Картица „Member Of“ приказује где је група учлањена и омогућава да ову глобалну групу учланимо у неку локалну. 1. Изабрати картицу „Member Of“. 2. Притиснути на дугме „Add“. 3. У „Select Groups“ дијалог прозору, у пољу „Enter the Object Name to Select“, унети име локалне групе у коју учлањујемо ову глобалну групу. Унети „ColorLaser“.
38
II Вежба
Слика 2.10 : Учлањивање глобалне групе у локалну
4. Притиснути на дугме „ОК“. На овај начин смо: 5. Кориснике који су дизајнери уврстили у глобалну групу „Дизајнери“; 6. Глобалну групу „Дизајнери“ уврстили у локалну групу „ColorLaser“; 7. Остаје још само да се локалној групи „ColorLaser“ доделе права (не ради се сада) па би корисници Драгана Матић и Јанко Петровић могли да штампају.
Активност 6 : Организовање корисника у домену - глобалне групе За потребе каснијих активности потребно је организовати кориснике у домену у одговарајуће глобалне групе. Најпре треба креирати глобалне групе. Глобалне групе треба креирати у организационој јединици „Групе“.
39
•
У организационој јединици „Групе“ креирати глобалну групу „Programeri“. Касније ће у ову групу бити учлањени сви програмери.
•
У организационој јединици „Групе“ креирати глобалну групу „Службеници“. Касније ће у ову групу бити учлањени сви службеници.
•
У организационој јединици „Групе“ креирати глобалну групу „БГКорисници“. Касније ће у ову групу бити учлањени сви корисници из Београда.
•
У организационој јединици „Групе“ креирати глобалну групу „НСКорисници“. Касније ће у ову групу бити учлањени сви корисници из Новог Сада.
Рачунарске мреже
Активност 7 : Организовање корисника у домену - учлањивање 1. Претрагом активног директоријума пронаћи све програмере и учланити их у групу „Програмери“ (помоћ: почети претрагу од врха стабла, тражити објекте са атрибутом „Description“: „Програмер“). 2. Претрагом активног директоријума пронаћи све службенике и учланити их у групу „Службеници“. 3. Претрагом активног директоријума пронаћи све кориснике у Београду и учланити их у групу „БГКорисници“ (помоћ: почети претрагу од организационе јединице „Београд“, без критерујума за опис или име). 4. Претрагом активног директоријума пронаћи све кориснике у Новом Саду и учланити их у групу „НСКорисници“.
Активност 8 : Преглед уграђених група Поред група које смо сада креирали, у активном директоријуму постоје и користе се и уграђене глобалне и локалне групе, односно групе које су аутоматски креиране по инсталацији активног директоријума. Уграђене локалне групе налазе се у организационој јединици „Builtin“, док се уграђене глобалне групе налазе у организационој јединици „Users“. 1. У левом пољу селектовати организациону јединицу „Users“, тако да у десном пољу видимо њен садржај. 2. У десном пољу уочити глобалну групу „Domain Users“, притиснути је десним кликом миша и изабрати опцију „Properties“. 3. Изабрати картицу „Members“, како бисмо видели чланове ове групе. Можемо видети да су сви корисници у активном директоријуму чланови ове групе. 4. Изабрати картицу „Memeber Of“, како бисмо видели где је ова група учлањена. Можемо видети да је група учлањена у локалну групу „Users“ на домен контролеру. Глобална група „Domain Users“ учлањена је у одговарајуће локалне групе „Users“ на сваком рачунару који је члан домена. Дозволе се преносе на следећи начин:
Сви корисници су чланови групе „Domain Users“.
Глобална група „Domain Users“ учлањена је у локалне групе „Users“ на сваком члану домена.
Чланови локалне групе „Users“ на сваком рачунару имају привилегије да се пријаве.
На овај начин сви корисници у активном директоријуму имају права да користе радне станице у домену.
1. Затворити својства групе „Domain Users“ и отворити својства групе „Domain Admins“. 2. Изабрати картицу „Members“, како бисмо видели чланове ове групе. Можемо видети да je корисник „Администратор“ члан ове групе. 3. Изабрати картицу „Memeber Of“, како бисмо видели где је ова група учлањена. Можемо видети да је група учлањена у локалну групу „Administrators“ на домен контролеру. 40
II Вежба
Глобална група „Domain Admins“ учлањена је у одговарајуће локалне групе „Administrators“ на сваком рачунару који је члан домена. Дозволе се преносе на следећи начин:
Администратор домена је члан глобалне групе „Domain Admins“.
Глобална група „Domain Admins“ учлањена је у локалне групе „Administrators“ на сваком члану домена.
Чланови локалне групе „Administrators“ на сваком рачунару имају администраторске привилегије над рачунаром.
На овај начин је администратор домена истовремено и администратор сваког рачунара у домену.
Поменућемо још и уграђене системске групе, које се не могу видети у активном директоријуму, и ако постоје и могу им се додељивати дозволе. Системске групе немају унапред дефинисано чланство, већ корисници постају чланови тих група према некој својој активности, или се унапред сматра да је корисник учлањен. На пример једна таква (уграђена системска) група је „Everyone“, односно „Сви“. За све кориснике се подразумева да су чланови групе „Сви“, иако се ова група не види у активном директорујму нити се експлицитно може видети њено чланство. Ова група појављујује се током додељивања дозвола (касније). Такође постоји група „Authеnticated Users“, којој се могу доделити права, али се она сама не види у активном директоријуму као ни њено чланство. Чланови ове групе су корисници који су тренутно аутентиковани. И ова група се појављујује током додељивања дозвола.
41
III ВЕЖБА ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА
Циљ вежбе је да се студенти упознају са дозволама које је могуће подесити над фолдерима у циљу заштите од неауторизованог приступа. У практичном делу вежбе биће извршена анализа два типа дозвола и то дозвола над дељеним фолдерима и дозвола над објектима фајл система. Поред тога биће речи и о томе како се наведени типови дозвола комбинују. На крају вежбе биће споменут појам власништва над фајловима.
III Вежба
3. Дозволе над дељеним фолдерима и дозволе на нивоу система фајлова 3.1 Дозволе над дељеним фолдерима (енг. Share Permissions) Сервери у мрежи често имају улогу фајл сервера (послужитеља датотека). Фајл сервер омогућава да клијенти преко мреже приступају систему фајлова на серверу. На тај начин клијенти могу да користе удаљени систем фајлова на серверу као да је реч о локалном. На Windows оперативном систему за дељење фајлова задужена је компонента под називом „File and Printer Sharing for Microsoft Network“, која постоји и на клијентским и на серверским верзијама Windows-а. То значи да у мањим мрежама и клијентске радне станице могу имати улогу фајл сервера (са највише 10 клијената). У већим мрежама улогу фајл сервера обично има посебан, наменски рачунар са серверским оперативним системом. Да би део фајл система са сервера (читав диск, или неки фолдер са подфолдерима) био доступан клијентима преко мреже, мора се претходно прогласити дељеним („Shared“). Саставни део дељења фолдера је и одређивање дозвола за дељене фолдере. Дозволе за дељене фолдере описују ниво приступа који поједини корисници имају када том ресурсу, дељеном фолдеру, приступају преко мреже. У оквиру вежби, за организовање приступа дељеним фолдерима биће коришћене локалне групе, у које су учлањене глобалне групе, у које су учлањени појединачни корисници.
3.2 Дозволе на нивоу система фајлова (енг. Security or NTFS Permissions) Уколико је диск Windows рачунара форматиран са NTFS фајл системом, онда је могуће контролисати приступ фајловима и фолдерима уз помоћ NTFS дозвола. Заштита на нивоу система фајлова има предност у односу на заштиту приступа дозволама за дељене фолдере. Дозволе, на нивоу система фајлова односе се и на кориснике који фајлу или фолдеру приступају са локалног рачунара, као и на кориснике који приступају преко мреже (уколико је фолдер дељен). Супротно томе, дозволе за дељене фолдере уопште се не односе на кориснике који фолдеру приступају локално. Постоје и друге предности NTFS дозвола: могућа је прецизнија контрола јер постоји више могућих нивоа приступа, могуће је подесити NTFS дозволе за појединачне фајлове.
43
Рачунарске мреже
Вежбе Активност 1: Поступак дељења фолдера Фолдери се могу делити на неколико начина, а најједноставнији поступак је из прозора „Windows Explorer“. 1. Отворити „Computer“ прозор („Start“ -> „Computer“), а затим, двоструким кликом отворити диск C: 2. На диску C: направити фолдер „Проба“. 3. Уочити на диску C: фолдер „Проба“, притиснути десним кликом миша, и изабрати опцију „Properties“. 4. Изабрати картицу „Sharing“. 5. Кликнути на дугме "Advanced Sharing". 6. У новоотвореном прозору селектовати опцију "Share this folder". 7. Име под којим се фолдер види на мрежи („Share name“) може бити различито од имена које фолдер има на диску. Ову могућност нећемо користити. 8. Додатно, може се унети опис дељеног фолдера који корисници могу да виде када претражују мрежу у пољу „Description“ (сада не уносимо ништа). 9. Кликнути на дугме „Permissions“ како бисмо одредили ко и на какав начин може да приступа овом фолдеру преко мреже.
Слика 3.1 : Дељење фолдера
44
III Вежба
Слика 3.2 : Дозволе за дељене фолдере
У горњем пољу наведени су објекти, односно корисници и групе (тренутно само група „Everyone“), а у доњем делу наведене су дозволе које су том објекту дате. Постоје 3 дозволе које се могу дати некоме над дељеним фолдером: •
„Read“ могућност да се чита, односно отвори фолдер, подфолдер и фајлови у њима.
•
„Change“ омогућава, поред дозвола читања, и могућност измена, додавање и брисање фајлова и фолдера унутар подфолдера.
•
„Full Control“ омогућава , поред дозвола за мењање садржаја фолдера, и могућност да се мењају дозволе над фајловима и фолдерима (овде се мисли на NTFS дозволе које се раде касније).
Група „Everyone“ је уграђена системска група која обухвата све кориснике. Видимо да је у току дељења фолдера овој групи дата (колона „Allow“), дозвола „Read“, односно читање. Дијалог за подешавање дозвола има колону „Allow“ за додељивање дозвола, и колону „Deny“ за одузимање дозвола. Експлицитно одузимање дозвола обично није неопходно. Групе које нису наведене у листи имплицитно немају никакве дозволе за приступ. Пример за употребу „Deny“ колоне био би: „сви корисници у Београду треба да имају приступ али не и корисници који раде као службеници“. Тада бисмо могли да групи која обухвата све кориснике у Београду дамо („Allow“) дозволу за читање, а да корисницима који су службеници у Београду одузмемо („Deny“) исту дозволу. Ако неки корисник има и дозволу и исту такву забрану, забрана надјачава дозволу и корисник нема право приступа. Другачијом употребом група могла би се избећи употреба „Deny“ колоне и остварити једноставнија и прегледнија листа за контролу приступа. У оквиру вежби неће бити коришћена колона „Deny“. 10. Кликнути на дугме „ОК“. 11. Уочити да је иконица која представља фолдер измењена како би означила да је фолдер дељен. 45
Рачунарске мреже
Активност 2 : Употреба група за контролу приступа За уредну контролу приступа на вежбама користићемо глобалне и локалне групе, на већ наведен начин: корисници ће бити учлањени у глобалне групе, глобалне групе ће бити учлањене у локалне групе, локалним групама ће бити додељене дозволе за приступ дељеним фолдерима. Претпоставимо да је задатак следећи: на серверу је потребно направити дељени фолдер „Извештаји“ који ће бити доступан преко мреже. Само корисници који раде у администрацији, службеници, треба да могу да приступе том фолдеру. Требало би да службеници у том фолдеру могу да читају, креирају и бришу своје фајлове и фолдере. У ранијим активностима већ смо урадили први корак: сви корисници су организовани у глобалне групе према функцији на послу. Тако већ имамо глобалну групу „Службеници“ која обухвата све кориснике који нас интересују. Следећи корак је да креирамо локалну групу за приступ дељеном ресурсу. Пошто се ресурс – фолдер зове „Извештаји“, креираћемо и истоимену локалну групу: 1. Отворити алатку „Active Directory Users and Computers“. 2. У левом пољу уочити организациону јединицу „Групе“, притиснути десним кликом миша, изабрати „New“, а затим „Group“. 3. Изабрати „Domain Local“ ( доменска локална) као тип групе, са називом „Извештаји“. 4. Притиснути на „ОК“. 5. У десном пољу уочити глобалну групу „Службеници“, притиснути је десним кликом миша и изабрати опцију „Properties“. 6. Провере ради, изабрати картицу „Members“, овде се виде чланови ове групе, корисници који су службеници. 7. Изабрати картицу „Member Of“. Овде се ова глобална група може учланити у неку локалну. 8. Кликнути на дугме „Add“. 9. У дијалогу „Select Groups“, у пољу „Enter the Object Names to Select“ унети „Извештаји“ (назив локалне групе у коју учлањујемо). 10. Притиснути на „OK“. 11. Притиснути на „OK“. За сада смо постигли следеће: службеници су учлањени у групу „Службеници“, ова група је учлањена у групу „Извештаји“. 12. Отворити „Computer“, а затим и диск C: 13. На диску C: креирати фолдер „Извештаји“. 14. Притиснути десним кликом миша по фолдеру „Извештаји“ и изабрати опцију „Properties“. 15. Изабрати картицу „Sharing“. 16. Кликнути на дугме "Advanced Sharing". 17. Изабрати „Share this folder“, а затим дугме „Permissions“. 18. Пошто не желимо да сви корисници имају приступ овом фолдеру, селектоваћемо групу „Everyone“, и притиснути дугме „Remove“ како бисмо је избацили из листе.
46
III Вежба
19. Кликнути на дугме „Add“. 20. У дијалогу „Select Users,Computers, or Groups“ , у пољу „Enter the Object Names to Select“ унети „Извештаји“ (име локалне групе којој дајемо права). 21. Кликнути на дугме „ОК“. 22. Сада се група „Извештаји“ појавила у листи, при чему јој је додељена „Read“ дозвола. 23. У колони „Allow“, означити опцију „Change“. 24. Кликнути на дугме „OK“. 25. Кликнути на дугме „OK“. На овај начин смо комбиновањем глобалних и локалних група, додељивањем дозвола за дељене фолдере локалним групама, обезбедили корисницима потребан ниво приступа. На исти начин потребно је решити следеће потребе корисника: 1. Потребно је направити и делити фолдер „Пројекат“. Требало би да сви корисници коју су програмери могу да читају, креирају и бришу фајлове и фолдере у том фолдеру: а) креирати локалну групу „Пројекат“, б) глобалну групу „Програмери“ учланити у локалну групу „Пројекат“, в) креирати фолдер „Пројекат“ и делити га, г) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Пројекат“ и доделити „Change“ дозволу. 2. Потребно је направити и делити фолдер „Промо“. Требало би да сви корисници који су дизајнери могу да читају, креирају и бришу фајлове и фолдере у том фолдеру: а) креирати локалну групу „Промо“, б) глобалну групу „Дизајнери“ учланити у локалну групу „Промо“, в) креирати фолдер „Промо“ и делити га, г) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Промо“ и доделити „Change“ дозволу. 3. Потребно је направити и делити фолдер „Информације“. Требало би да сви корисници из Београда и сви корисници из Новог Сада могу да само читају фајлове и фолдере у том фолдеру: а) креирати локалну групу „Информације“, б) глобалну групу „БГКорисници“ учланити у локалну групу „Информације“, в) глобалну групу „НСКорисници“ учланити у локалну групу „Информације“, г) креирати фолдер „Информације“ и делити га, д) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Информације“ и доделити „Read“ дозволу.
47
Рачунарске мреже
Активност 3 : Повезивање са дељеним фолдерима Ова активност се ради на клијентској радној станици, а не на серверу. Показаћемо неколико начина на које се клијент може повезати на дељени фолдер на серверу.
Мапирање мрежног диска Један од начина да се користи дељени фолдер јесте да се мапира мрежни диск. Мапирање значи да се дељеном фолдеру додели словна ознака (нпр. P:) као да се ради о локалном диску. 1. Са клијентске станице (Windows XP) пријавити се на домен као корисник jpetrovic (ово је корисник који је дизајнер) и лозником „Password2“. 2. Отворити „Computer“, „My Network Places“, „Entire Network“, „Microsoft Windows Network“, иконицу која представља домен, иконицу која представља сервер. Сада се виде сви дељени фолдери на серверу. 3. Уочити фолдер „Промо“, притиснути десним кликом миша и изабрати „Map Network Drive“. 4. Из падајуће листе „Drive“ изабрати слово P:; тиме смо изабрали да ће дељени фолдер „Промо“ на радној станици бити доступан као да се ради о локалном диску P: 5. Оставити укључену опцију „Reconnect at Logon“; тиме смо изабрали да се ово мапирање диска P: на дељени фолдер „Промо“ на серверу запамти за овог корисника када се поново пријави на радну станицу. 6. Кликнути на дугме „Finish“; од сада је кориснику jpetrovic дељени фолдер доступан као диск P: 7. Како бисмо проверили дозволе, на диску P: креирати текстуални фајл „letak.txt“ („File“ -> „New“, „Text Document“; укуцати неколико слова). Овај корисник посредством чланства у групи дизајнери требало би да има „Change“ дозволу. 8. Одјавити се као корисник jpetrovic.
Употреба UNC путање У разним апликацијама, у дијалозима „Open“, „Save“ и сличним, као и у „Start“ -> „Run“ пољу, можемо се директно реферисати на дељени фолдер на мрежи, без претраживања мреже и мапирања мрежног диска. За ово се користи UNC (Universal Naming Convention) путања. UNC путања до дељеног фолдера „Projekat“ на серверу „Serverxy“ изгледала би као: \\Serverxy\Projekat Односно, уместо да претражујемо „My Network Places“, до дељеног фолдера можемо доћи на следећи начин: „Start“ -> „Run“, укуцамо „\\Serverxy\Projekat“ и притиснемо на „ОК“. 1. Пријавити се на радну станицу као корисница vjankovic (она је програмерка и требало би да има дозволе за фолдер „Пројекат“). 2. Кликнути на дугме „Start“, изабрати опцију „Run“. 3. У „Run“ пољу унети специјалан случај UNC путање, без фолдера: „\\Serverxy“ (xy треба заменити са бројем рачунара). 4. Кликнути на дугме „ОК“. 48
III Вежба
5. На овај начин видимо све дељене фолдере на серверу. 6. Како бисмо проверили функционисање дозвола, потребно је покушати да се отвори фолдер „Промо“. Ова корисница не би требало да има довољна права. 7. Отворити фолдер „Пројекат“, креирати текстуални фајл „program.txt“ („File“ -> „New“, „Text Document“; укуцати неколико слова). Ова корисница посредством чланства у групи „Програмери“ требало би да има „Change“ дозволу. 8. Сачувати фајл и затворити прозор дељеног фолдера. 9. Кликнути на дугме „Start“, изабрати опцију „Run“. 10. У „Run“ пољу унети комплетну UNC путању, без фолдера: \\Serverxy\Projekat (xy треба заменити бројем рачунара). 11. Кликнути на дугме „ОК“; овако смо директно отворили дељени фолдер који нас интересује. 12. Отворити претходно креирани фајл „program.txt“. Ово је потребно ради следеће активности.
Активност 4 : Преглед дељених фолдера на серверу Ова активност ради се на серверу, док истовремено клијенти преко мреже приступају дељеним фолдерима и имају отворене фајлове. На Windows оперативном систему постоји посебна алатка која омогућава напредније могућности за управљање дељеним фолдерима. То је алатка „Computer Management“. 1. На серверу покренути алатку „Computer Management“: „Start“ -> „Administrative Tools“ > „Computer Management“. 2. У левом пољу уочити „Shared Folders“ и притиснути на знак „+“ поред иконице. 3. У левом пољу изабрати „Shares“, како бисмо у десном пољу видели све фолдере са сервера који су доступни корисницима; уочити фолдере C$ и Admin$; то су скривени административни дељени фолдери које може да користи администратор навођењем UNC путање. Односе се на диск C: и фолдер „Windows“. 4. У левом пољу изабрати „Sessions“ како бисмо у десном пољу видели корисничке сесије са сервером. Притиснути десним кликом на „Sessions“ и уочити доступне опције. 5. У левом пољу изабрати „Open Files“ како бисмо у десном пољу видели фајлове које су корисници отворили на серверу. Притиснути десним кликом на „Open Files“ и уочити доступне опције
Недостаци заштите ресурса дозволама за дељене фолдере Заштита ресурса помоћу дозвола за дељене фолдере има своје недостатке: 8. Пре свега ове дозволе утичу на корисника само ако он ресурсу приступа преко мреже. Уколико корисник може да интерактивно ради на серверу, дозволе за дељене фолдере се не односе на њега (подразумевано корисници не могу да се пријаве на домен контролер, али могу на остале сервере); 9. Дозволе које се поставе за дељени фолдер важе за све фајлове у том фолдеру, и све подфолдере. Није могуће над неким подфолдером или појединачним фајлом поставити другачије дозволе.
49
Рачунарске мреже
Ситуација ипак није тако лоша јер Windows има још један, флексибилнији систем заштите на нивоу система фајлова – NTFS дозволе. Комбиновањем дозвола за дељене фолдере и NTFS дозвола могуће је постићи жељени ниво заштите.
Активност 5 : Упознавање са NTFS дозволама 1. Отворити „Computer“, а затим диск C: (овај диск је аутоматски, током инсталације оперативног система, форматиран са NTFS системом фајлова) 2. На диску C: направити фолдер „Проба2“ 3. Притиснути десним кликом миша по фолдеру „Проба2“ и изабрати опцију „Properties“ 4. Изабрати картицу „Security“
Слика 3.3 : Картица "Security"
Овај фолдер као и сваки фајл или фолдер на дисковима са NTFS системом фајлова има придружену листу за контролу приступа. У листи се налазе локалне и уграђене групе (горњи део дијалог прозора). Ако селектујемо неку групу, нпр. „Administrators“, у доњем делу дијалог прозора можемо видети NTFS дозволе над овим фолдером које дата група има.
50
III Вежба
Дозволе које се овде виде називају се стандардне дозволе. У подразумеваном стању дозволе које се доделе некој групи над фолдером односе се и на фајлове и подфолдере овог фолдера, односно дозволе за фолдере се, уколико другачије не одлучимо, преносе и на фајлове унутар фолдера. И овде постоји разлика у односу на дозволе за дељене фолдере: NTFS дозволе могу се подешавати и за појединачне фајлове унутар фолдера, док код дозвола за дељење то није случај. Додељене дозволе значе следеће: 1. Full Control: максималне дозволе. Корисници који имају ову дозволу могу не само да мењају садржај фолдера, него и да сами мењају NTFS дозволе над овим фолдером, чак и ако нису администратори, чак и ако сами нису креирали овај фолдер. Уколико се пренесу на фајлове, означавају исту ствар за фајл. 2. Modify: могућност да се мења садржај овог фолдера или да се фолдер обрише. Мењање садржаја фолдера значи креирање и брисање ставки, фајлова и фолдера, унутар датог фолдера. Када се ова дозвола пренесе на фајлове у фолдеру даје могућност измене садржаја фајла. 3. Read&Execute: Могућност да се чита садржај фолдера, покрећу програми у њему, пређе у фолдер као текући. Уколико се дозвола пренесе на фајл унутар фолдера даје могућност да се чита садржај фајла и покрећу извршни фајлови. 4. List Folder Content: Могућност да се излиста садржај фолдера. Ова дозвола се не преноси на фајлове унутар фолдера, већ само на подфолдере унутар фолдера. 5. Read: Могућност да се чита садржај фолдера, али не и да се пређе у њега као текући. Уколико се пренесе на фајлове даје могућност да се чита њихов садржај али не и да се покрећу. 6. Write: Могућност да се „уписује“ у фолдер, односно да се креирају нови фајлови и фолдери унутар фолдера. Уколико се пренесе на фајл даје могућност да се уписује у фајл.
Активност 6 : Управљање наслеђивањем дозвола За ову активност потребно је имати отворен дијалог „Properties“ за фолдер „Proba2“, картица „Security“. Као што је већ речено, у подразумеваном стању, дозволе које се подесе за дати фолдер важе и за подфолдере и фајлове унутар њега. Ово правило важи и за управо креиран фолдер „Proba2“: дозволе које смо управо погледали „аутоматски“ су се појавиле зато што су се наследиле са вишег нивоа (корена диска C: у овом случају). Заправо, у овом тренутку, фолдер „Proba2“ и нема сопствену листу за контролу приступа, већ само назнаку да се на њега односе дозволе са вишег нивоа, какве год да су. У наставку активности променићемо ово стање, како бисмо могли да подесимо дозволе за фолдер „Proba2“, независно од дозвола које важе за корен C: диска: 1. Кликнути на дугме „Advanced“. 2. Да бисмо били заштићени од случајне измене дозвола, оперативни систем приказује следећи дијалог прозор у моду читања. Како бисмо могли да вршимо измене неопходно је клкнути на дугме "Edit". 3. У новом дијалог прозору можемо извршити напредна подешавања. Међу њима је и подешавање наслеђивања („Inherited From“) са вишег нивоа, како и наслеђивање дозвола на нижим нивоима („Apply To“). Уочити да је подразумевано укључена опција „Allow inheritable permissions...“, односно дозволе се подразумевано наслеђују са вишег нивоа. 51
Рачунарске мреже
Слика 3.4 : Прелазак на напредна подешавања
Слика 3.5 : Преглед напредних подешавања
5. Уклонити ознаку „Allow inheritable permissions...“ (слика 3.5). Како фолдер не би случајно остао без икаквих дозвола (забрањен приступ свима), у новом дијалог прозору (слика 3.6) треба одабрати да се до сада наслеђене дозволе ископирају на овај фолдер:
Слика 3.6 : Копирање наслеђених дозвола
6. Ниво приступа за фолдер „Проба2“ остао је исти, али се од сада дозволе за корен диска C: и дозволе за фолдер „Проба2“ могу мењати независно. 7. Притиснути дугме „OK“ како бисмо се вратили у дијалог за измену стандардних дозвола.
52
III Вежба
8. Претпоставимо да желимо да изменимо стандардне дозволе за фолдер „Проба2“. Уместо подразумеваних дозвола желимо да омогућимо да само локалне уграђене групе „Administrators“ и „Server Operators“ имају приступ фолдеру. Уклонићемо из листе све групе сем групе „Administrators“. У горњем делу дијалога изабрати групу „Users“ а затим пристиснути на дугме „Remove“ како бисмо ову групу избацили из листе. Исту ствар урадити и за уграђене системске групе „SYSTEM“ и „CREATOR OWNER“. 9. Кликнути на дугме „Add“ како бисмо унели нову групу у листу. 10. У дијалог прозору „Select Users, Computers and Groups“ унети „Server Operators“ и кликнути на дугме „OK“. 11. Нова група која се појавила у листи је аутоматски добила „Read&Execute“ дозволу. 12. Претпоставимо да је групи Server Operators потребан виши ниво приступа, како би и сами могли да мењају дозволе за фајлове у овом фолдеру. У колони „Allow“ изабрати опцију „Full Controll“. Ова дозвола у себи садржи и све остале дозволе. 13. Кликнути на дугме „ОК“.
Активност 7: Комбиновање дозвола за дељене фолдере и NTFS дозвола Раније креирани фолдер „Проба2“ није дељен и корисници му не могу приступати преко мреже. Фолдер могу користити само корисници који имају права да се пријаве локално на сервер који је истовремено и контролер домена. И уграђена локална група „Administrators“ и „Server Operators“ имају ту привилегију. На серверу се налазе и фолдери који су дељени и доступни корисницима преко мреже. Када корисници преко мреже приступају тим фолдерима на њихов ниво приступа утичу дозволе за дељене фолдере које смо подешавали у претходној вежби. С друге стране, ти фолдери се налазе на диску који је форматиран са NTFS системом фајлова, па ти фолдери и фајлови имају и сопствене NTFS дозволе, које такође утичу на нечији ниво приступа, без обзира да ли корисник приступа преко мреже или локално. То значи да када корисници приступају дељеном фолдеру преко мреже, на њих се примењују два система дозвола: дозволе за дељене фолдере и NTFS дозволе. Поставља се питање шта се дешава када дозволе за дељене фолдере и NTFS дозволе нису усаглашене. На пример, уколико NTFS дозволе дају некој групи „Read&Execute“, a дозволе за дељене фолдере „Full Controll“. У том случају на корисника се примењују рестриктивније дозволе (које дају мање права). У овом конкретном случају, без обзира што дозволе за дељене фолдере дају „Full Controll“, NTFS дозволе су рестриктивније, и на крају ће одредити стваран ниво приступа. Исто би се десило и у супротном случају: NTFS дозвола „Full Controll“, и „Read“ дозвола за дељене фолдере. И тада би корисници који приступају преко мреже могли само да читају фајлове. Проблем у овом примеру је у томе што уколико корисници приступају локално (интерактивно за сервером, а не преко мреже), дозволе за дељене фолдере („Read“) на њих се не примењују, већ само NTFS дозволе које дају максимална права. Како би се избегле овакве недоумице („шта је рестриктивније?“ и „шта ако корисник приступи локално?“), препоручује се да се потребан ниво приступа одређује искључиво NTFS дозволама, при чему се дозволе за дељене фолдере могу максимално разлабавити како би NTFS дозволе увек биле рестриктивније од њих.
53
Рачунарске мреже
Дакле препорука је следећа: 1. Жељени ниво приступа над фолдером подешавамо искључиво NTFS дозволама. Оне су свакако прецизније, а осим тога важе за било какав приступ фолдеру (нема недоумице „шта ако корисник приступа локално?“). 2. Како би корисници приступали фолдеру преко мреже, потребно га је делити. У току тог поступка доделити уграђеној системској групи „Authenticated Users“ (сви аутентиковани корисници) дозволу „Full Controll“ за дељени фолдер. Пошто смо на овај начин дозволе за дељене фолдере максимално разлабавили, претходно подешене NTFS дозволе увек ће бити рестриктивније, и биће сасвим јасно шта се на корисника примењује: NTFS дозволе. Прецизно подешавање дозвола за дељене фолдере неопходно је само уколико су фајлови на FAT систему фајлова на коме не постоје NTFS дозволе. Пошто се фолдери „Извештаји“, „Инфо“, „Промо“ и „Пројекат“ налазе на диску са NTFS системом фајлова, подесићемо NTFS дозволе за те фолдере како бисмо постигли жељени ниво приступа за поједине локалне групе. Како не би било забуне око тога какав је ниво приступа у зависности од начина приступа, постојеће дозволе за дељене фолдере ћемо разлабавити на ниво „Full Control“ дозвола за групу „Authenticated Users“: 1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Извештаји“. 2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим картицу „Security“. 3. Кликнути на дугме „Advanced“. 4. Кликнути на дугме "Edit". 5. Очистити ознаку „Allow inheritable permissions...“. 6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе. 7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе. 8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“. 9. Кликнути на дугме „Add“. 10. У дијалогу „Select Users, Computers and Groups“ унети „Izveštaji“. 11. Кликнути на дугме „ОК“. 12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај фолдера, потребно је (у колони „Allow“ ) означити опцију „Modify“. Не напушати „Properties“ дијалог. Пошто су NTFS дозволе подешене, подесићемо и дозволе за дељене фолдере. 13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“. 14. Кликнути на дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check Names“, како би група „Authenticated Users“ била пронађена на основу започетог уноса. 15. Кликнути на дугме „ОК“. 16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је доделити „Full Controll“ дозволу.
54
III Вежба
17. Сада можемо групу „Izveštaji“ уклонити из листе дозвола. Селектовати је и изабрати опцију „Remove“. 18. Притиснути дугме „OK“. Сличан поступак је и за фолдер „Info“, само су NTFS дозволе „Read&Execute“: 1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Info“. 2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим картицу „Security“. 3. Кликнути на дугме „Advanced“. 4. Кликнути на дугме "Edit". 5. Очистити ознаку „Allow inheritable permissions...“. 6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе. 7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе. 8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“. 9. Кликнути на дугме „Add“. 10. У дијалогу „Select Users, Computers and Groups“ унети „Info“. 11. Кликнути на дугме „ОК“. 12. Група је аутоматски добила „Read&Execute“. Ове дозволе су и потребне. 13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“. 14. Кликнути на дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check Names“, како би група „Authenticated Users“ била пронађена на основу започетог уноса. 15. Кликнути на дугме „ОК“. 16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је доделити „Full Controll“ дозволу. 17. Сада можемо групу „Info“ уклонити из листе дозвола. Селектовати је и изабрати опцију „Remove“. 18. Притиснути дугме „OK“. Слично је и за фолдер „Promo“. Истоимена локална група треба да може да мења садржај фолдера („Modify“): 1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Promo“. 2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим картицу „Security“. 3. Кликнути на дугме „Advanced“. 4. Кликнути на дугме "Edit". 5. Очистити ознаку „Allow inheritable permissions...“ 6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе. 7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе.
55
Рачунарске мреже
8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“. 9. Кликнути на дугме „Add“. 10. У дијалогу „Select Users, Computers and Groups“ унети „Promo“. 11. Кликнути на дугме „ОК“. 12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај фолдера потребно је (у колони „Allow“ ) означити опцију „Modify“. 13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“. 14. Кликнути на дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check Names“, како би група „Authenticated Users“ била пронађена на основу започетог уноса. 15. Кликнути на дугме „ОК“. 16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је доделити „Full Controll“ дозволу. 17. Сада можемо групу „Promo“ уклонити из листе дозвола. Селектовати је и изабрати опцију „Remove“. 18. Притиснути дугме „OK“. За фолдер „Projekat“ доделићемо истоименој групи „Full Controll“ NTFS дозволу. 1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Projekat“. 2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим картицу „Security“. 3. Кликнути на дугме „Advanced“. 4. Кликнути на дугме "Edit". 5. Очистити ознаку „Allow inheritable permissions...“. 6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе. 7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе. 8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а затим „Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“. 9. Кликнути на дугме „Add“. 10. У дијалогу „Select Users, Computers and Groups“ унети „Projekat“. 11. Кликнути на дугме „ОК“. 12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај фолдера, као и дозволе за фајлове, потребно је (у колони „Allow“ ) означити опцију „Full Controll“. 13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“. 14. Кликнути на дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check Names“, како би група „Authenticated Users“ била пронађена на основу започетог уноса. 15. Кликнути на дугме „ОК“. 56
III Вежба
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је доделити „Full Controll“ дозволу. 17. Сада можемо групу „Projekat“ уклонити из листе дозвола. Селектовати је и изабрати опцију „Remove“. 18. Притиснути дугме „OK“. На овај начин смо контролу приступа у потпуности одредили NTFS дозволама.
Активност 8 : Преглед ефективних дозвола Претходним активностима уредили смо приступ фолдерима путем NTFS дозвола. Те дозволе појединачни корисници могу да користе на основу тога што су чланови одговарајућих глобалних група, које су са своје стране учлањене у одговарајуће локалне групе којима смо давали NTFS дозволе. Могуће је и прегледати ефективне дозволе које корисник има. Ово олакшава откривање ефективних дозвола које неки корисник има уколико је, на пример добио дозволе на основу чланства у неколико група. 1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Info“. 2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим картицу „Security“. 3. Кликнути на дугме „Advanced“. 4. Изабрати картицу „Effective Permissions“. 5. Кликнути на дугме „Select“. 6. У новом дијалог прозору унети jpetrovic, а затим притиснути на дугме „OK“.
Слика 3.7 : Преглед ефективних дозвола
7. Можемо погледати ефективне дозволе које корисник jpetrovic има над фолдером.
57
Рачунарске мреже
Ове дозволе се на први поглед разликују од дозвола које смо доделили групи „Инфо“. Ради се о следећем: групи је додељена стандардна дозвола „Read&Execute“. Контрола приступа се у ствари не остварује стандардним дозволама (које смо доделили) него појединачним дозволама. Ефективне дозволе су изражене тим појединачним дозволама. Стандардне дозволе (као што је „Read&Execute“) само су предефинисани, лако употребљиви скупови појединачних дозвола. На овом примеру можемо да видимо од чега се заправо састоји стандардна дозвола „Read&Execute“. 8. Кликнути на дугме „OK“ и напустити преглед напредних подешавања. 9. Кликнути на дугме „OK“ и напустити преглед својстава фолдера „Info“.
Активност 9 : Власништво над фајловима Ову активност треба радити на клијентској радној станици. 1. Пријавити се са станице на домен са корисничким именом vjankovic и лозинком „Password2“. 2. Користећи UNC путању (\\Serverxy) повезати се на сервер, а затим отворити дељени фолдер „Пројекат“. 3. Креирати текстуални фајл „program2.txt“ , унети у њега неколико слова, сачувати га и затворити едитор текста. 4. Притиснути десним кликом миша по иконици фајла „program2.txt“ и изабрати опцију „Properties“. 5. Изабрати картицу „Security“. 6. Изабрати дугме „Advanced“. 7. Изабрати картицу „Owner“. Уочити да фајл има свог власника („Current owner of this item“). Корисник који је креирао фајл постаје његов власник. Власништво над фајлом је важно, јер омогућава измену дозвола: корисница vjankovic може да мења дозволе над својим фајловима и ако није администратор. Корисници могу преузети власништво над туђим фајловима само уколико им је први власник дао то право („Full Control“ стандардна дозвола). Корисници који преузму власништво над туђим фајловима могу касније аутономно да мењају дозволе над фајлом. Као мера предострожности против погрешно постављених дозвола, чланови локалне групе „Administrators“ увек, имплицитно, могу да преузму власништво над фајлом, чак и када немају експлицитне дозволе за то. 8. Кликнути на дугме „ОК“ како бисмо напустили напредна подешавања. У наставку ћемо симулирати погрешно постављене дозволе. 9. У дијалогу за подешавање стандардних дозвола притиснути на „Add“. 10. У новом дијалог прозору унети „Every“, a затим „Check Names“, како би била пронађена системска група „Everyone“ на основу унетог текста. 11. Кликнути на дугме „OK“ 12. У колони „Deny“ изабрати „Full Control“. Овиме смо свима забранили све дозволе. 13. Притиснути на „ОК“ а затим на „Yes“ када се појави упозорење. 14. Одјавити се са радне станице 58
III Вежба
Наставак активности се ради на серверу. 1. Отворити „Computer“ а затим диск C:. 2. Отворити фолдер „Projekat“. 3. Покушати отварање фајла „program2.txt“. 4. Покушати брисање фајла „program2.txt“. 5. Притиснути десним кликом миша по фајлу и изабрати опцију „Properties“. 6. Изабрати опцију „Security“. 7. Изабрати картицу „Owner“. Тренутно чак ни администратор нема довољно дозвола да види тренутног власника, али може да преузме власништво. 8. У пољу „Change owner to“ изабрати локалну групу „Administrators“ а затим кликнути на дугме „OK“.
Слика 3.8 : Преузимање власништва
9. Кликнути на дугме „ОК“ како бисмо затворили својства фајла. 10. Притиснути десним кликом миша по фајлу и изабрати опцију „Properties“. 11. Изабрати опцију „Security“ 12. Селектовати групу „Everyone“, а затим „Remove“. 13. Притиснути „ОК“. 14. Покушати отварање фајла. 15. Затворити фајл.
59
IV ВЕЖБА ЛИЧНИ ФОЛДЕРИ, ПРОФИЛИ КОРИСНИКА И ГРУПНЕ ПОЛИСЕ
Циљ вежбе је да се студенти упознају са појмом корисничког профила и личног фолдера. Посебна пажња биће посвећена типовима корисничких профила. Поред тога биће анализиран и систем за управљање доменом који користи групне полисе као скупове правила која се примењују на одређене ресурсе одређеним редоследом. У практичном делу вежбе студенти ће администрирати корисничке профиле, личне фолдере и групне полисе.
IV Вежба
4. Лични фолдери, профили корисника и групне полисе 4.1 Личне фасцикле (енг. Home Folders) Један од атрибута корисничког налога је и лични фолдер. То је фолдер на серверу фајлова, који је доступан кориснику без обзира коју радну станицу тренутно користи. Обезбеђивање централног места за смештање корисничких података олакшава рад када корисници мењају радне станице, и олакшава прављење резервних копија података свих корисника у мрежи. Како бисмо корисницима омогућили да имају личне фолдере потребно је да урадимо две ствари. Прво, на серверу је потребно направити дељени фолдер унутар кога ће се налазити кориснички лични фолдери. Друго, потребно је у својствима корисничког налога подесити локацију личног фолдера.
Слика 4.1 : Лични фолдери
Подразумеване дозволе за новокреиране фолдере омогућавају свим корисницима (локална група „USERS“) да креирају своје фајлове и читају туђе (не и да их мењају и бришу). Такође због наслеђивања, овакве дозволе се преносе и на подфолдере. Због тога ћемо приликом креирања дељеног фолдера за личне фолдере корисника извршити напредна подешавања.
4.2 Кориснички профили (енг. User Profiles) Као и сви вишекориснички оперативни системи, и Windows разликује појединачне кориснике рачунара, као и податке једног корисника од података других корисника. Не само да сваки корисник има сопствене документе у личном фолдеру, већ је и комплетно корисничко окружење једног корисника одвојено и различито од окружења других корисника. Корисничко окружење обухвата сва подешавања која корисник изврши у току сесије за рачунаром: подешавања изгледа радне површине, ставке у менијима, мапирани мрежни дискови, листа скорије отвараних докумената, сва подешавања која корисник може да изврши у контолном панелу. Осим тога и велика већина апликација је вишекорисничка, па такође своја подешавања (нпр. посредник у веб претраживачу, адреса у клијенту електронске поште, подешавања унутар канцеларијских алата и сл.) чува посебно за сваког корисника рачунара.
61
Рачунарске мреже
4.3 Групне полисе (енг. Group Policy) Групне полисе (полиса – начело рада) су механизам за управљање конфигурацијом рачунара и корисничког окружења корисника. Сваки Windows рачунар (чак и у моделу радне групе) има додељену локалну полису – збир разноврсних подешавања како оних везаних за рачунар (нпр. NTFS дозволе за специфичне фолдере), тако и оних које пре свега утичу на изглед и понашање корисничког радног окружења (нпр. разноврсне забране или специфична подешавања апликација). Постоји и посебна алатка за рад са локалним полисама која се може покретати на клијентским радним станицама. На овај начин, чак и у моделу радне групе, локални администратор могао би да кроз једноставан кориснички интерфејс измени базу регистара Windows радне станице како би прилагодио радну станицу одговарајућој полиси – начелу рада које се захтева. Локалну полису радне станице можемо погледати на следећи начин: 1. Пријавити се са клијентске радне станице као доменски админстратор са лозинком „password“. 2. Притиснути на тасер „Start, Run“, и у „Run“ пољу унети „gpedit.msc“. 3. Кликнути на дугме „OK“. 4. Овим смо покренули едитор локалне полисе за овај рачунар. 5. Уочити да полиса има два дела „Computer Configuration“ и „User Configuration“. 6. Притиснути на „+“ поред „Computer Configuration“ како бисмо у левом пољу отворили ту грану. 7. На исти начин отворити „Windows Settings“, „Security Settings“, „Account Policies“, и селектовати „Password Policy“. Уочити да је део локалне полисе и подешавање које се тиче максималне дужине и комплексности лозинки. 8. Уочити у левом пољу „Administrative Templates“, отворити ту грану, затим „Windows Components“ и изабрати „Internet Explorer“. Уочити и да су одређена подешавања за компоненте Windows оперативног система део локалне полисе. 9. Уочити у левом пољу „User Configuration“ и притиском на „+“ отворити ту грану 10. Отворити „Administative templates“. Уочити да су и овде присутни административни шаблони („Templates“) којима се може мењати понашање компоненти оперативног система. 11. Отворити „System“ а затим изабрати „User Profiles“. Уочити и да су подешавања која се тичу корисничких профила део полисе. 12. Затворити едитор локалне полисе. 13. Одјавити се са клијентске радне станице. Иако локална полиса омогућава једноставан начин за измену многобројних и разноврсних подешавања компоненти оперативног система, овакав начин има својих ограничења. Пре свега корисничка подешавања примењивала би се на све кориснике радне станице без изузетка и разлике. Осим тога, уколико је потребно подесити идентична подешавања на више радних станица, администратор би морао да се локално пријави са сваке од њих и понови подешавања. Када је радна станица део домена полисама се може управљати са централног места – из Активног директоријума. Активни директоријум омогућава да се полиса креира као објекат који се чува у Активном директоријуму. Тако креирана полиса
62
IV Вежба
може се везати ( „Link“) за неку организациону јединицу, чиме смо наредили да се подешавања која смо одредили подесе за све кориснике и рачунаре у тој организационој јединици. На пример уколико би начело рада у некој мрежи захтевало специфична подешавања рачунара (нпр. забрана да корисници самоиницијативно мењају сигурносне зоне у интернет експлореру) и корисничког окружења (нпр. забрана да корисници приступају контролном панелу), и то за све рачунаре и кориснике у Београду, администратор би могао (уместо да посећује сваки појединачни рачунар у Београду) да у активном директоријуму креира објекат групну полису, изврши потребна подешавања, и полису веже за организациону јединицу Београд. Када се рачунари у Београду поново покрену, после примене локалне полисе, примениће и полису коју је администратор везао за организациону јединицу у којој се налазе (Београд). Сва подешавања локалне полисе која нису у складу са полисом из активног директоријума биће измењена (полиса из активног директоријума је „јача“). Када се корисник чији се налог налази у Београду пријави, на њега ће се применити локална полиса а затим и она из активног директоријума, и опет ће полиса из активног директоријума коначно одредити изглед радног окружења. У овом примеру видели смо како се током покретања рачунара и пријављивања корисника примењује више полиса (локална и она везана за организациону јединицу) и како локална полиса има низак приоритет, јер се прва примени, и њена подешавања може да измени полиса која се примени након ње. Такође, могуће је да и у активном директоријуму постоји неколико групних полиса које могу да утичу на подешавање корисничког налога датог корисника, или подешавања датог рачунара. На пример могуће је везати једну полису за објекат који представља читав домен, и у оквиру ње поставити подешавања која утичу на све кориснике и рачунаре у домену. Уколико постоји читава хијерархија организационих јединица, (нпр. организациона јединица Београд, унутар које постоји организациона јединица Маркетинг), могуће је креирати и везати групне полисе на различитим местима у хијерархији (нпр. полиса која утиче на све у Београду, полиса која утиче на све у Маркетингу (слика 4.2).
Слика 4.2 : Више групних полиса утиче на подешавања корисника 63
Рачунарске мреже
У оваквим ситуацијама све полисе се примењују, и то таквим редоследом да се последња примени она полиса која је најспецифичнија за корисника/рачунар и та полиса увек измени несагласна подешавања претходно примењених полиса. На пример, приликом покретања рачунара који се налази у OU=Маркетинг: 1. прво се примени локална полиса за рачунар, 2. затим полиса везана за домен, 3. затим полиса везана за OU=Београд, 4. затим, најспецифичнија, полиса везана за OU=Маркетинг. Приликом пријављивања на домен корисника који се налази у OU=Маркетинг (без обзира где се налази рачунар, можда чак и у другој организационој јединици): 1. прво се примени локална полиса за рачунар на коме се пријављује (део полисе који утиче на кориснике), 2. затим доменска полиса (део који утиче на кориснике), 3. затим полиса везана за OU=Београд (део који утиче на кориснике), 4. затим полиса везана за OU=Маркетинг (део који утиче на кориснике), као најспецифичнија, која највише утиче на подешавања корисника, тиме што мења несагласна подешавања раније примењених полиса. На овај начин, глобална подешавања која су заједничка за све кориснике у домену могу се подешавати у доменској полиси, специфична додатна подешавања могу се додати на нивоу OU=Београд, и најспецифичнија подешавања за корисника или рачунар могу се додати на нивоу који је најближи кориснику и рачунару. Локална полиса која се увек прва примени, и која увек буде измењена применом осталих полиса које се касније примене, ретко се користи уколико је рачунар део домена, јер сва подешавања која има локална полиса, као и нека додатна која постоје само у активном директоријуму, могу се постићи креирањем и везивањем полисе за организациону јединицу у којој се налази корисник или рачунар.
64
IV Вежба
ВЕЖБЕ Активност 1 : Креирање личних фолдера 1. На диску C: креирати фолдер „Users“. 2. Притиснути десним дугметом миша по фолдеру и изабрати опцију „Properties“. 3. Изабрати картицу „Security“. 4. Кликнути на дугме „Advanced“. 5. Кликнути на дугме "Edit". 6. Очистити ознаку „Allow inheritable permissions...“ 7. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе. Задржати се у напредним подешавањима.
Слика 4.3 : Напредна подешавања
Уочимо које су дозволе аутоматски додељене:
65
•
Локална група „Administrators“ има максималне дозволе. Исто се односи и на групу „SYSTEM“ која представља оперативни систем сервера.
•
Група „CREATOR OWNER“ има максималне дозволе за подфолдере и фајлове („Subfolders and files only“). Овиме је означено какве ће дозволе имати корисници над фајловима које сами креирају.
•
Група Users појављује се у листи два пута: једном са „Read&Execute“ за овај фолдер,
Рачунарске мреже
подфолдере и фајлове („This folder, subfolders and files“), као и за специјалну дозволу која омогућава измене и односи се на овај фолдер и подфолдере (не и туђе фајлове). 8. Како корисници не би могли да креирају фајлове у туђим личним фолдерима изабрати последњу ставку „Users, Special, This folder and subfolders“, а затим пристиснути на „Remove“. 9. Како корисници не би могли да читају туђе фајлове, изменићемо и преосталу ставку за групу „Users“. 10. Селектовати ставку „Users, Read&Execute“, а затим притиснути на „Edit“.
Слика 4.4 : Специјалне дозволе
11. У падајућој листи „Apply onto“ изабрати опцију „This folder only“. 12. Притиснути на „ОК“, а затим још једном на „OK“. 13. Изабрати картицу „Sharing“. 14. Делити фолдер са дозволама „Аuthenticated Users“ „Full Control“. 15. Кликнути на дугме „OK“.
66
IV Вежба
Преостаје да се у својствима корисничког налога подеси атрибут лични фолдер: 1. Отворити алатку „Active Directory Users and Computers“. 2. Користећи опцију „Find“ пронаћи све кориснике у Београду. 3. Изабрати првог у листи, притиснути десним дугметом миша и изабрати опцију „Properties“. 4. Изабрати картицу „Profile“. 5. У секцији „Home Folder“ изабрати диск „Z:“ у пољу „Connect to“ унети UNC путању до личног фолдера корисника у облику „\\Serverxy\Users\%username%“.
Слика 4.5 : Подешавање личног фолдера
1. Кликнути на дугме „ОК“. 2. Исти поступак поновити за преостала два корисника у Београду. 3. Проверити садржај фолдера „Users“ на диску C: 4. Проверити дозволе над креираним личним фолдерима.
67
Рачунарске мреже
Следећа активност ради се на клијентској радној станици. 1. Пријавити се са радне станице на домен као корисница vjankovic. 2. Отворити My Computer. 3. Уочити мапирани диск Z: 4. Одјавити се са станице.
Активност 2 : Упознавање са корисничким профилима Под Windows оперативним системом скуп свих корисничких подешавања назива се кориснички профил. Кориснички профили корисника који су се пријављивали са неке радне станице чувају се на локалном диску рачунара у фолдеру „C:\Documents and Settings“. 1. Пријавити се на радну станицу као vjankovic. 2. Отворити „My Computer“, затим диск C:, а затим фолдер „C:\Documents and Settings“. 3. Уочити низ фолдера који се ту налазе. У фолдеру „Documents and Settings“ налазе се фолдери у којима су сачувана лична подешавања корисника који су се пријављивали са ове станице. Када се неки од тих корисника пријави на његово окружење се примене сва подешавања из датог фолдера, и корисника по пријављивању сачека исто онакво окружење какво је оставио на том рачунару када се последњи пут пријавио. У фолдеру „Documents and Settings“ налазе се још два специфична профила: 1. Default User: ово је почетни, подразумевани профил; ово је почетно подешавање корисника који се приви пут пријављује са ове радне станице. 2. All Users: ово је заједнички профил за све кориснике овог рачунара, као што су ставке у менијима или на радној површини које су видљиве свим корисницима. Како бисмо видели садржај профила треба отворити фолдер vjankovic. Уочити фолдере који се ту налазе („Desktop“, „Start Menu“, „Documents“). Ово су фолдери који чине један део корисничког радног окружења. Други део профила, део који чува подешавања корисника која се иначе чувају у бази регистара, налази се у фајлу „ntuser.dat“. Када се корисник пријави на мрежу садржај овог фајла учита се у базу регистара и утиче на подешавање окружења овог корисника. 1. Вратити се један ниво више, у фолдер „C:\Documents and Settings“. 2. Покушати отварање фолдера других корисника. Лични фолдери подразумевано су заштићени NTFS дозволама и дозвољавају приступ само свом власнику, кориснику на кога се примењују. Сви ови профили које смо видели називају се локални профили, у смислу да су локални за конкретну радну станицу. Уколико корисник промени радну станицу, по пријављивању на нову станицу сачекаће га копија „Default User“ профила.
Активност 3 : Упознавање са покретним (енг. Roaming) профилима Подразумевано понашање, у коме су профили локални и везани за радну станицу, не одговара ситуацијама у којима корисници често мењају радне станице. Тада се уместо локалних, за кориснике могу конфигурисати покретни (roaming) профили. Идеја је слична идеји са централизованим смештањем корисничких личних фолдера: потребно је направити
68
IV Вежба
дељени фолдер на мрежи, и у својствима корисничког налога подесити да се по одјављивању корисника са неке радне станице копија локалног профила сачува на централном дељеном фолдеру. Када се корисник затим пријави са друге радне станице, због одговарајућих атрибута корисничког налога, уместо подразумеваног „Default User“ профила, кориснику ће се са мреже ископирати претходно сачувани, персонализовани профил. 1. На серверу отворити „Computer“ а затим диск C:. 2. На диску C: креирати фолдер „Profili“. 3. Фолдер „Profili“ делити са дозволама „Authenticated Users“ „Full Controll“. 4. NTFS дозволе оставити на подразумеваним вредностима. Овиме смо креирали централни дељени фолдер на мрежи, унутар кога ће се налазити покретни профили корисника. NTFS дозволе смо оставили на подразумеваним вредностима јер се операција копирања профила са радне станице извршава са привилегијама корисника, а не администратора. Подразумеване дозволе дозвољавају свим корисницима да унутар овог фолдера креирају своје фолдере. Над дељеним фолдером потребно је извршити још једну операцију. Наиме, ажурирање копије профила на радној станици са копијом на серверу може да дође у колизију са још једним процесом на Windows оперативном систему који се такође бави синхронизацијом фајлова. Тај сервис се назива „Offline Files“ и омогућава да станица локално кешира фајлове са мреже, како би фајлови који се користе били употребљиви кориснику чак и ако је сервер са дељеним фолдером недоступан. Уколико се фолдер користи за смештање профила, ову могућност треба искључити. 1. Притиснути десним дугметом миша по фолдеру „Profili“, и изабрати опцију „Properties“. 2. Изабрати картицу „Sharing“. 3. Кликнути на дугме "Advanced Sharing". 4. Кликнути на дугме "Chaching". 5. Изабрати опцију „Files and Programs from this share will not be available offline“. 6. Кликнути на дугме „OK“ а затим још једном на дугме „OK“, па "Close".
Слика 4.6 : Подешавање кеширања фајлова
69
Рачунарске мреже
Даље је потребно у атрибутима корисничког налога подесити својство „Profile Path“, на основу кога ће бити познато где се налази профил корисника: 1. Отворити алатку „Active Directory Users and Computers“. 2. Претрагом активног директоријума пронаћи све кориснике у Београду. 3. Селектовати првог корисника у листи, притиснути десним дугметом миша и изабрати опцију „Properties“. 4. Изабрати картицу „Profiles“ . 5. У пољу „Profile Path“ унети UNC путању у облику „\\Serverxy\Profili\%username%“.
Слика 4.7 : Путања до фолдера са профилом
5. Кликнути на дугме „Apply“ а затим на дугме „ОК“. 6. Исти поступак поновити и за остале кориснике у Београду. 7. Отворити „My Computer“ а затим диск C: 8. Отворити фолдер „Profili“.
70
IV Вежба
Уочити да фолдери за профиле ових корисника нису аутоматски креирани. Они ће бити креирани аутоматски када се корисник први пут одјави са неке радне станице. Тада ће се са радне станице, под овлашћењима корисника, креирати фолдер за тог корисника, и локални профил са те радне станице синхронизовати са централном копијом.
Активност 4 : Провера функционисања покретних профила За ову активност потребно је користити додатну радну станицу коју је потребно претходно уврстити у домен. Као и у првој вежби за овај корак је неопходно подесити адресне информације. До подешавања долазимо на следећи начин „Start -> Control Panel -> Network Connections-> Local Area Connection, Properties, Internet Protocol (TCP/IP), Properties“. Подешавања на клијенту треба да буду: 1. IP адреса: 192.168.1.101. 2. Маска подмреже: 255.255.255.0. 3. Default Gateway: остављамо непопуњено. 4. Preferred DNS server: 192.168.1.10. 5. Alternate DNS server: остављамо непопуњено. 6. Притиснемо на дугме ОК. Проверићемо доступност сервера са стране клијента. Отворићемо командни прозор: Start -> Run, укуцати cmd а затим притиснути OK. У командном прозору унети (xy треба заменити са бројем радне станице): ping serverxy.labxy.edu.rs Уколико добијемо одговор од сервера, можемо сматрати да мрежа између сервера и клијента функционише, и можемо прећи на следећи корак. 1. На клијентској радној станици отворити Start -> Control Panel -> System. 2. Изабрати картицу „Computer Name“, Кликнути на дугме „Change“. 3.
У секцији „Member of“ (доле), изабрати „Domain“, и у одговарајућем пољу унети име домена у који учлањујемо радну станицу (xy треба заменити са бројем радне станице): „labxy.edu.rs“. Кликнути на дугме ОК.
4. Учлањивањем станице у домен у активном директоријуму се креира налог за рачунар. За ово је потребно имати одговарајуће привилегије, налог за администратора домена. У новом дијалог прозору треба унети „Administrator“ као корисничко име, и „password“ као лозинку, јер је то налог за администратора домена. Кликнути на дугме OK. 5. После добијања поздравног дијалог прозора, притиснути на OK и прихватити поновно покретање рачунара. 6. Након покретања пријавити се са додатне радне станице на домен као корисница vjankovic са лозинком „Password2“. 7. Како бисмо уочили измене у профилу потребно је изменити неколико ствари у оквиру корисничког окружења:
71
•
Изменити слику на радној површини: поставити слику „Ascent“.
•
Покренути едитор текста „Notepad“ унети неколико слова и сачувати документ. Документи се подразумевано чувају у фолдеру „My Documents“. Затворити едитор текста. Садржај фолдера „My Documents“ део је корисничког профила.
Рачунарске мреже
•
Отворити фолдер „My Documents“, притиснути десним дугметом миша по фајлу „pismo.txt“, изабрати опцију „Send To, Desktop (Create Shortcut)“. Тиме смо направили пречицу на радној површини. Изглед и садржај радне површине део су корисничког профила.
8. Одјавити се са додатне радне станице. 9. На серверу уочити да се унутар фолдера „Profili“ креирао фолдер за покретни профил. 10. Пријавити се са друге клијентске радне станице као корисница vjankovic. 11. Уочити да је изглед радног окружења ове кориснице (између осталог изглед радне површине, садржај фолдера „My Documents“) сачуван без обзира што је корисница променила радну станицу. 12. Одјавити се са радне станице. 13. Пријавити се на додатну радну станицу као доменски администратор са лозинком „password“ и радну станицу избацити из домена. Не рестартовати радну станицу већ је угасити.
Активност 5 : Преглед доменских полиса У току инсталације активног директоријума креирана је подразумевана доменска полиса која утиче на глобална подешавања свих корисника рачунара у домену. Како се претпоставља да ће администратор домена поставити на разним местима у хијерархији специфичне групне полисе које су њему потребне, ова, подразумевано креирана полиса бави се само најважнијим глобалним подешавањима, као што су подешавања која се тичу дужине и сложености корисничких лозинки. 1. Пријавити се на контролер домена као доменски администратор. 2. Покренути алатку „Group Policy Management“ која се налази у оквиру административних алата. 3. Уочити стабло шуме под називом "Forest: labXY.edu.rs" са леве стране и кликнути на знак + испред како бисмо разгранали исту. 4. Уочити ставку "Domains" и кликнути на + испред ње. 5. Уочити домен "labXY.edu.rs" и кликнути на + испред. 6. Уочити групну полису под називом "Default Domain Policy" која је везана за цео домен, a затим десним кликом миша над истом изабрати опцију "Edit". Овим ће се у новом прозору отворити едитор групних полиса у коме можемо редефинисати подешавања полисе. 7. У левом пољу едитора групних полиса отворити грану „Computer Configuration/ Policies/ Windows Settings/ Security Settings / Account Policies / Password Policy“ (погледати слику 4.8). 8. Уочити подразумевана ограничења по питању лозинки. 9. Затворити едитор групних полиса.
72
IV Вежба
Слика 4.8 : Ограничења везана за лозинке
Осим ове, подразумевано је креирана и полиса која утиче на све домен контролере: 1. Уочити организациону јединицу „Domain Controllers“ и кликнути на + испред ове организационе јединице. У оквиру ње појавиће се полиса под називом "Default Domain Controllers Policy". 2. Кликнути десним кликом на ову полису и изабрати ставку "Edit". 3. Отворити грану „Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / User Rights Assigments“
Слика 4.9 : Корисничка права
4. Уочити ко има права да се локално пријави на домен контролере. 5. Затворити едитор полисе.
73
Рачунарске мреже
Активност 6 : Креирање локалне полисе У овој активности креираћемо нову групну полису, и везати је за организациону јединицу. Подешавања која ћемо вршити тичу се покретних профила. Покретни профили доносе поред користи за кориснике и одређене проблеме. Наиме уколико је кориснички профил обиман, тада свако пријављивање корисника на неку радну станицу захтева пренос са сервера огромне количине података. Клијентски профил постаје обиман уколико корисници, на пример чувају податке на радној површини уместо у личном фолдеру који није део профила. Осим тога постоје и фолдери унутар корисничког профила који могу садржати велике количине података (и тиме доприносити спором пријављивању) а да кориснику нису јасно видљиви. То су фолдери у којима разне апликације (нпр. интернет експлорер) чувају привремене документе (нпр. кеширане веб странице). Изузимање ових фолдера из профила смањује величину профила без много утицаја на корисничко окружење. 1. У оквиру алатке „Group Policy Management“ уочити организациону јединицу Београд, притиснути десним дугметом миша и изабрати опцију „Create a GPO in this domain and link it here ...“. Овим покрећемо поступак прављења нове полисе која ће бити везана за организациону јединицу "Београд" и која ће евентуално (зависи који део полисе се подешава) утицати на налоге за рачунаре и налоге за кориснике који се налазе у овој организационој јединици. 2. У дијалог прозору за име полисе дефинисати име "Београдска" и кликнути на "ОК" (слика 4.10).
Слика 4.10 : Дефинисање нове групне полисе
3. Овим је направљена нова групна полиса без и једног подешавања, која је везана за организациону јединицу "Београд". Како бисмо могли да је изменимо неопходно је кликнути десним кликом на групну полису "Београдска" и изабрати опцију "Edit". 4. Отворити грану „User Configuration / Policies / Administrative Templates /System / User Profiles“. 5. У десном пољу уочити „Limit Profile Size“ и двоструким кликом отворити подешавање (слика 4.11).
74
IV Вежба
Слика 4.11 : Подешавање корисничких профила
6. Изабрати опцију „Enabled“ како бисмо укључили ово подешавање у полиси. Уочити колико је ограничење за кориснички профил. 7. Кликнути на дугме „OK“. 8. У десном пољу уочити „Exclude directories in roaming profile“ и двоструким кликом миша отворити подешавање. 9. Изабрати опцију „Enabled“ како бисмо укључили ово подешавање. 10. Изабрати картицу „Explain“ како бисмо видели који су фолдери изузети из профила. 11. Кликнути на дугме „OK“. Осим овога постоји још једно подешавање које се тиче покретних профила. И фолдер „My Documents“ , подразумевани фолдер за смештање докумената, део је покретног профила и у подразумеваном стању копира се са сервера на локалну станицу сваки пут када се корисник пријави са радне станице. Групна полиса има подешавање које омогућава да се овај фолдер, као и неки други фолдери, преусмери на неко друго место. На пример, „My Documents“ може се преусмерити у лични фолдер и тиме искључити из синхронизовања профила, при чему лични подаци корисника остају лако доступни. 1. Отворити грану „User Configuration / Policies / Windows Settings / Folder Redirection“.
75
Рачунарске мреже
Слика 4.12 : Преусмеравање фолдера
2. У десном пољу уочити „Documents“, притиснути десним дугметом миша и изабрати опцију „Properties“.
Слика 4.13 : Подешавања за My Documents
76
IV Вежба
3. У пољу „Settings“ изабрати опцију „Basic-....“ 4. У пољу „Target folder location“ изабрати опцију „Redirect to the user‘s home directory“. 5. Кликнути на дугме „OK“. 6. Затворити едитор полиса.
Активност 7 : Провера функционисања групних полиса 18. Пријавити се са радне станице као корисник jpetrovic са лозинком „Password2“. 19. Кликнути на дугме „Start“, и уочити фолдер „My Documents“. 20. Притиснути десним дугметом миша по иконици „My Documents“. 21. Изабрати опцију „Properties“. 22. Уочити локацију овог фолдера. 23. Кликнути на дугме ОК. 24. Уочити у доњем десном дугмету екрана иконицу која приказује тренутну величину профила.
77
V ВЕЖБА АНАЛИЗА МРЕЖНИХ РЕФЕРЕНТНИХ МОДЕЛА
Циљ вежбе је да се студенти упознају са референтним комуникационим моделима. Као два најважнија издвојени су OSI референтни модел и TCP/IP референтни модел. У самој вежби биће извршена анализа поједниачних слојева ова два модела. У практичном делу вежбе биће посвећена пажња конфигурацији IP адресе на хосту, раду ARP протокола као и начину анализе мрежног саобраћаја.
V Вежба
5. Анализа мрежних референтних модела 5.1 Увод Рачунарску мрежу можемо описати као скуп уређаја који су међусобно повезани медијумом. Крајњи корисници, људи, користе мрежу за различите потребе: слање и примање порука електронске поште, приступ информацијама које се налазе на удаљеним рачунарима, преност звука, слике и сл. Са аспекта крајњег корисника ради се о одговарајућем сервису мреже који постаје доступан употребом одговарајућег корисничког уређаја (рачунара, мобилног телефона) и одговарајуће апликације. Сервис мреже се обезбеђује усклађеним радом многобројних софтверских и хардверских компоненти које генеришу податке, идентификују крајње тачке комуникације, управљају преносом података од једне до друге крајње тачке, савладавају проблеме преноса података по медијуму, повезивање група рачунара и корисника који користе различите медијуме и који могу бити географски удаљени. Како би разнородни уређаји могли међусобно да комуницирају, развијени су протоколи, скупови правила који управљају комуникацијом. Сложен задатак комуникације, обезбеђивања сервиса крајњем кориснику, подељен је у мање управљивије и лакше разумљивије задатке. Уочени су специфични аспекти комуникације, на пример: 1. „корисников претраживач захтева веб страницу од сервера“ 2.
„два софтверска процеса на различитим уређајима преносе податке без губитака и грешака“
3.
„између два јасно идентификована рачунара који се налазе на различитим мрежама на различитим крајевима света преносе се подаци“
4.
„рачунар преноси податке преко медијума на који је повезан заједно са другим рачунарима“
5. „бинарни подаци се кодирају и преносе по медијуму“ За сваки од подзадатака, сваки аспект међусобне комуникације, развијени су протоколи, правила која решавају тај аспект комуникације. Различите софтверске и хардверске компоненте на крајњим уређајима решавају само свој подзадатак. Усклађеност рада свих тих компоненти се обезбеђује јасним интерфејсом – шта свака поједина компонента треба да обезбеди како би остале компоненте могле да користе резултате њеног рада.
5.2 Слојевита архитектура Слојевита архитектура, слојевит модел комуникације, као што су OSI модел или TCP/IP модел, дефинише слојеве, аспекте комуникације, односно подзадатке који се решавају у процесу комуникације. На сваком слоју постоје софтверске или хардверске компоненте које решавају задатке на том нивоу. За сваки слој одређена су правила, протоколи које компоненте које раде на том слоју морају да поштују. У слојевитој архитектури се јасно уочава место сваког протокола у хијерархији протокола. Сваки протокол има јасан интерфејс – које услуге обезбеђује протоколу који се налази на слоју изнад. Са друге стране, дати протокол своје задатке решава користећи услуге слоја испод. Два најпознатија слојевита модела комуникације су OSI модел и TCP/IP модел.
79
Рачунарске мреже
5.3 OSI референтни модел и TCP/IP референтни модел OSI (енг. Open System Interconnected) модел је детаљнији, и задатак комуникације дели на 7 слојева, при чему је предвиђено да на сваком слоју постоје протоколи који имплеметирају функционалност која се очекује на том нивоу. Због детаљнијег описа, и више слојева односно протокола који су потребни, OSI модел је тежи за имплементацију и данас се користи само као референтни модел, односно модел за дискутовање и анализу других модела. TCP/IP модел је једноставнији и данас је у широкој употреби. TCP/IP фамилија протокола представља основ за изградњу глобалне рачунарске мреже – Интернета.
Слика 5.1 : OSI и TCP/IP референтни модели
Задаци слојева, према OSI моделу су: 1. Апликациони слој: протоколи овог слоја омогућавају апликацијама заједнички језик за комуникацију. Комуникационе компоненте корисничких апликација (нпр. веб претраживача, клијената електронске поште и сл.) имплементирају ову функционалност. Типично, протоколи на овом нивоу идентификују учеснике у комуникацији (веб претраживач и веб сервер), захтевају ресурс и идентификују да ли је ресурс доступан (захтев за веб страницом и одговор), синхронизују пренос података. Примери протокола на овом нивоу су HTTP (на коме је заснован веб сервис), FTP (енг. File Тransfer Protocol), SMTP, POP, IMAP (сервис електронске поште) и други. 2. Слој презентације: на овом слоју решавају се проблеми различитог кодирања и представљања података на различитим рачунарима. Протоколи на овом нивоу треба да обаве договор са другом страном око тога како да се протумаче подаци који се преносе: ASCII или UNICODE, да ли су компресовани, да ли су шифровани и сл. 3. Слој сесије: протоколи на овом слоју требало би да се договоре око почетка, завршетка и евентуалног опоравка прекинуте сесије између две апликације на различитим рачунарима. 4. Транспортни слој: протоколи на овом слоју треба да омогуће апликацијама на различитим рачунарима поуздан пренос података са краја на крај, уз опоравак од грешака, контролу тока. Пошто су рачунарске мреже засноване на преносу са комутацијом пакета, задатак протокола на овом слоју је и да податке које генеришу апликације сегментирају на мање управљивије целине – сегменте како би се могле пренети рачунарском мрежом. Пошто је сасвим вероватно да постоји више мрежних апликација како на једном тако и на другом рачунару који комуницирају, задатак овог
80
V Вежба
слоја је да омогући мултиплексирање конверзација, како би подаци пристигли на рачунар били испоручени правој апликацији на том рачунару. Софтверске компоненте које су саставни део оперативног система рачунара имплементирају функционалност овог слоја. 5. Мрежни слој: протоколи на овом слоју омогућавају пренос јединица података, пакета, од изворишног до одредишног рачунара, при чему пакети могу пролазити кроз велики број посредних мрежа. Посредни уређаји, рутери, повезују мреже и усмеравају пакете који потичу из једне мреже до одредишне мреже или до другог рутера на путањи ка одредишној мрежи. Протоколи на овом нивоу имају задатак да омогуће једиствено идентификовање рачунара (логичке адресе), без обзира на то како је имплементирано повезивање рачунара на мрежу, и то на такав начин да се може идентификовати и мрежа на којој се рачунар налази као и сам рачунар. Софтверске компоненте које су део оперативног система рачунара имплементирају функционалност овог слоја. Посредни мрежни уређаји, рутери такође имплентирају функционалност овог слоја. 6. Слој везе података: овај слој има задатак да савлада медијум, и да од медијума који омогућава простирање електричних или оптичких сигнала направи везу која може да преноси податке. Протоколи овог слоја уобличавају своје јединице података оквире (frames), који омогућавају синхронизацију предајника и пријемника на медијуму, означавање почетка и краја трансмисије, идентификовање пријемника, откривање, а код неких имплементација и опоравак од грешке. Постоје различите имплементације протокола на овом нивоу у зависности од потреба: различити протоколи се користе на WAN везама преко бакарних парица закупљених од посредника телекомуникационих услуга, од протокола у локалним рачунарским мрежама у оквиру једне зграде преко UTP каблова. За разлику од мрежног слоја, који се бави преносом пакета између рачунара који се налазе на међусобно удаљеним мрежама не водећи рачуна о томе како су те мреже имплементиране, слој везе података омогућава пренос податка међу чворовима једне мреже. Када се ради о локалној мрежи, мрежни адаптер имплементира функционалност овог слоја. 7. Физички слој: овај слој описује физичке, електричне карактеристике конектора и медијума. TCP/IP модел је нешто једноставнији (види слику 5.2) : 1. Нису предвиђени посебни слојеви апликације, презентације и сесије, већ јединствени апликативни слој. То значи да се протоколи на овом слоју (http, ftp, smtp, и други) сваки на свој начин договарају око презентације података и сесије. 2. Транспортни слој TCP/IP модела одговара истоименом слоју у OSI моделу. На овом слоју функционишу протоколи TCP и UDP. 3. Интернет слој одговара мрежном слоју OSI модела. На овом слоју функционише IP протокол који обезбеђује слање, усмеравање и примање пакета од једног рачунара, кроз скуп мрежа повезаних рутерима до одредишног рачунара на удаљеној мрежи. 4. Слој приступ мрежи треба да апстрахује разлике у хардверској имплементацији повезивања сваког од рачунара на Интернету на мрежни медијум. На овом слоју решавају се проблеми слоја везе података и физичког слоја OSI модела. У локалним мрежама на овом слоју се користи eternet, a функционалност приступа медијуму, кодирања и декорирања извршава мрежни адаптер уз одговарајући управљачки програм.
81
Рачунарске мреже
5.4 Комуникација између слојева на различитим рачунарима Протокол на сваком слоју остварује своју функционалност размењујући јединице података протокола са истим таквом компонентом на другом рачунару. Јединице података које се размењују садрже контролне информације које су потребне за решавање проблема на том слоју (нпр. идентификација рачунара или контола тока, или захтев за ресурсом). Постоји логичка, привидна комуникација између истоимених протокола на различитим рачунарима. Једини стваран ток података је онај који се одвија трансмисијом по медијуму.
Слика 5.2 : Комуникација истоимених слојева
5.5 Интерфејс између слојева на истом рачунару Како би остварили своју функционалност протоколи на датом слоју користе услуге слоја испод. Сваки протокол прави своје јединице података уносећи контролне информације које су неопходне. Затим се та јединица података протокола предаје слоју испод како би се обавио следећи подзадатак укупног посла комуникације. На слоју испод прихватају се подаци без измене и додају нове контролне информације које су битне за задатке које решава тај слој. Процес се назива енкапсулација. Када сви слојеви додају своје контролне информације, врши се трансмисија података по медијуму (слика 5.3). На долазном рачунару одвија се супротан процес, декапсулација. Декодирани битови предају се слоју везе података који провери своје контролне информације и остатак преда слоју изнад, где се ствар понавља.
Слика 5.3 : Енкапсулација
82
V Вежба
ВЕЖБЕ Активност 1: Анализа мрежног саобраћаја За анализу ће бити коришћен програм „Wireshark“. Овај програм може да сними саобраћај који допире до мрежног адаптера станице, а затим и да га рашчлани на одговарајуће протоколе у хијерархији. Ухваћен саобраћај може се снимити у фајл и касније прегледати. У овој активности погледаћемо снимак саобраћаја који је сачуван у фајл cap1.cap. 1. На Убунту радној станици покренути програм „Wireshark“: Програми -> Интернет -> Wirehark. 2. У оквиру програма Wireshark отворити мени „File“, затим „Open“. 3. У дијалог прозору за навигацију пронаћи лични фолдер и у њему фајл cap1.cap.
Слика 5.4 : Прозор програма Wireshark
4. Притиснути на дугме „Отвори“. Прозор програма састоји се од три панела (слика4): •
У највишем панелу може се видети редослед примљених пакета. Сваки пакет означен је редним бројем и ознаком на релативној временској скали од почетка снимања.
•
Средњи панел приказује детаље ухваћеног пакета. Пакет је рашчлањен по слојевима. Притиском на троугао поред назива неког протокола (са леве стране) могу се видети детаљи - контролне информације које је тај протокол унео. Сваки панел има сопствену траку на покретање (scroll bar) са десне стране, па је неки пут потребно искористи је како би се видели детаљи протокола.
Слика 5.5 : Преглед детаља пакета
•
83
Најнижи панел приказује у хексадецималном формату сиров, нерашчлањен садржај пакета.
Рачунарске мреже
5. У горњем панелу селектовати пакет број 1 како би се у средњем панелу приказао његов садржај. 6. Прегледаћемо садржај пакета од највиших слојева ка нижим. У средњем панелу притиснути на троугао поред „Domain Name System (Query)“ како бисмо видели детаље апликационог протокола који се користио. Овај протокол је задужен за разрешавање имена хоста у IP адресу хоста. Овај пакет упућен је са радне станице ка DNS серверу. Притиснути на троугао поред „Queries“ како бисмо уочили које име треба да се разреши. 7. Поменута порука апликационог протокола преноси се енкапсулирана у јединицу података протокола транспортног нивоа. DNS протокол користи UDP као транспортни протокол. Погледаћемо његове детаље: притиснути на троугао поред „User Datagram Protocol“. Овај протокол транспортног нивоа има задатак да омогући мултиплексирање конверзација на рачунарима. Различити софтверски процеси на једном и другом рачунару идентификују се бројем порта. Уочити изворишни број порта, који означава клијентски процес који шаље упит, и одредишни број порта који означава серверски процес коме је намењен упит. 8. Да би горенаведени UDP датаграм био успешно пренесен од рачунара до рачунара, кроз (могуће) већи број мрежа повезаних рутерима, мора бити енкапсулиран у IP пакет, на Интернет слоју TCP/IP модела (3. слој OSI модела). Овај слој додаје контролне информације које су битне за јединствено идентификовање рачунара на Интернету: изворишну и одредишну IP адресу. На основу одредишне адресе рутери могу да усмере пакет ка одредишту. Притиснути на троугао поред „Internet Protocol“. Треба уочити поља која су садржана у контролним информацијама – заглављу IP пакета. Поља имају значења: 8.1 „Version“: верзија протокола која се користи. 8.2 „Header Length“: дужина читавог заглавља у 32-битним речима. 8.3 „Differentiated Services Field“: поље од једног бајта које се може користити за обезбеђивање квалитета сервиса: различито третирање пакета у погледу кашњења, пропусног опсега, и сл. за овај пакет. 8.4 „Total Length“: укупна дужина пакета. 8.5 „Identification“, „Flags“, „Fragment Offset“: Овај пакет ће у току даље енкапсулације бити запакован у оквир на слоју приступа мрежи. Тај слој са своје стране има ограничење у максималној величини пакета. Чак и када се испоштује захтев за овим ограничењем, није сасвим сигурно да на путу ка одредишту овај пакет неће морати да прође кроз мрежу за коју превазилази ово ограничење. Посредни уређаји тада фрагментују пакет, и сваки фрагмент наставља пут самостално. На долазном рачунару сви се фрагменти једног пакета могу препознати по томе што имају исти идентификатор (поље Identification). Где се фрагмент налази у оригиналном пакету назначено је у пољу „Fragment Offset“. Притиснути на троугао поред „Flags“. Уколико је постављена заставица „More Fragments“ онда се ради о једном од низова фрагмената оригиналног пакета. Уколико ова заставица није постављена онда се или ради о последњем фрагменту или о пакету који није фрагментован (тада је и Fragment Offset 0). Заставицу „Don‘t fragment“ може поставити изворишни хост како би забранио фрагментовање овог пакета. Уколико фрагментовање буде ипак неопходно (а забрањено) овакав пакет биће одбачен од стране рутера који добије овакав немогућ задатак. Рутер може да обавести рачунар да је пакет одбачен у транзиту. 84
V Вежба
8.6 „TTL -Time to Live“: представља време живота овог пакета на Интернету. Пакет на путу до одредишта пролази кроз већи број посредних уређаја – рутера који га усмеравају ка одредишту. Сваки рутер који проследи овај пакет смањи TTL вредност у пакету за 1. Када вредност постане 0, рутер мора да одбаци пакет. Рутер може да обавести да је пакет одбачен у транзиту. 8.7 „Protocol“: наведено је шта се носи као терет, „payload“, овог пакета. У овом пакету то је UDP датаграм. 8.8 „Header Checksum“: контолна сума која може да открије да је пакет оштећен. Оштећени пакети тихо се одбаце без икаквог обавештења. 8.9 „Source“, „Destination“: ово су логичке IP адресе, које јединствено идентификују рачунаре на Интернету, изворишни и одредишни рачунар за овај пакет. То су 32битне вредности. 9. Да би гореописани пакет био пренет путем етернет медијума, који има сопствена правила за комуникацију, потребно га је енкапсулирати у оквир података који одговара протоколу на нивоу везе података. Притиснути на троугао поред „Ethernet II“ како бисмо видели контролне информације које се носе у заглављу овог оквира. Поља имају значење: o „Destination“, „Source“: ово су одредишна и изворишна физичка адреса чворова на истом медијуму. Медијум који се користи је етернет. Свака станица на етернет мрежи има јединствен 48-битни идентификатор: физичку адресу. Ова адреса назива се и хардверска или MAC (Media Access Control) адреса. Оваква адреса је хардверски уграђена у мрежни адаптер сваке станице. Прва 24 бита јединствено идентификује произвођача мрежног адаптера. Преостала 24 бита прозизвођач додељује својим адаптерима. Ове адресе имају само локално значење, омогућавају да чворови прикључени на исти или премошћени медијум могу да размењују оквире података. Немају сви рачунари на Интернету етернет адаптере и на основу оваквих адреса не могу се усмеравати подаци од једног до другог рачунара на различитим мрежама. o „Type“: информација у етернет оквиру носи информације о томе шта се носи као терет, „payload“ овог етернет оквира. Хексадецимална вредост 0x0800 означава да је унутар овог етернет оквира IP пакет. o У горњем панелу изабрати пакет број 2. Ово је одговор сервера. Рашчланити и овај пакет у средњем панелу по слојевима.
85
•
Већи део преосталог саобраћаја користи други протокол апликационог нивоа (HTTP), који са своје стране користи другачији протокол транспортног нивоа (TCP уместо до сада виђеног UDP). TCP протокол успостави логичку везу пре слања података. Пакети 3, 4 и 5 делови су успоставе везе.
•
Пакет 6 представља HTTP захтев за послат од клијента ка удаљеном веб серверу. Изабрати пакет у горњем панелу. У средњем панелу изабрати троугао поред „Hypertext Transfer Protocol“. Уочити да захтев има и елементе договора око презентације података.
•
HTTP захтев преноси се путем TCP протокола. HTTP захтев је енкапсулиран у TCP сегмент. Изабрати троугао поред „Transmission Control Protocol“. Уочити контролне информације које додаје овај протокол како би обезбедио поузданост и контролу тока.
Рачунарске мреже
•
До удаљеног сервера TCP сегмент стиже енкапсулиран у IP пакет. Притиснути на троугао поред „Internet Protocol“ како бисмо видели контролне информације овог протокола. Уочити одредишну IP адресу удаљеног сервера.
•
Пошто је одредиште пакета удаљени рачунар на удаљеној мрежи, пакет најпре мора да буде испоручен до посредног уређаја, рутера. Да би савладао медијум између радне станице и рутера, пакет мора бити енкапсулиран у одговарајући оквир података. Притиснути на троугао поред „Ethernet II“. Уочити изворишну и одредишну физичку, MAC адресу. Изворишна MAC адреса је идентификатор мрежног адаптера радне станице. Одредишна MAC адреса не припада удаљеном серверу, већ рутеру до кога треба да буде прослеђен оквир података.
•
Овако креиран оквир података преноси се по медијуму уз одговарајуће кодирање.
1. Затворити програм „Wireshark“. 2. Покренути веб претраживач „Firefox“. У адресном пољу унети www.viser.edu.rs али не притискати дугме <ENTER>. 3. Покренути програм „Wireshark“: Програми -> Интернет -> Wireshark. 4. Из менија „Capture“ изабрати опцију „Interfaces“. У првој врсти, која означава први етернет адаптер „eth0“, притиснути на дугме „Start“. На овај начин се отпочиње снимање саобраћаја у реалном времену. 5. Вратити се у прозор програма „Firefox“ и притиснути дугме <ENTER>. Када се појави страница са веб сервера вратити се у прозор програма „Wireshark“. 6. У програму „Wireshark“ отворити мени „Capture“ и изабрати опцију „Stop“ како бисмо зауставили снимање. 7. У програму „Wireshark“, у пољу „Filter“ (изнад горњег панела) унети http и притиснути дугме <ENTER>. Овако ћемо филтрирати приказ пакета – приказаће се само пакети који носе поруке http протокола. 8. Рашчланити прва три пакета по слојевима. Уочити изворишне и одредишне, физичке и логичке адресе. 9. Затворити програм „Wireshark“.
Активност 2: Повезивање рачунара на мрежу У наставку вежби потребно је виртуелну машину која представља радну станицу повезати на мрежу. Мрежа виртуелне машине треба да буде подешена тако да је „Адаптер1“ повезан на „Интерфејс хоста“, „eth1“. Овај интерфејс на хосту представља додатни етернет адаптер на Убунту радној станици. Стандард који описује физички слој и слој приступа вези, који се користи у локалним рачунарским мрежама назива се етернет. Каблови који се користе називају се UTP каблови – неоклопљене упредене парице. Етернет такође претпоставља CSMA/CD (Carrier Sense Multiple Access/Collision Detection) као начин на који станице приступају заједничком медијуму. Физичко повезивање остварује се тако што се један крај „straight-trough“ прикључи на додатни мрежни адаптер Убунту радне станице. Други крај кабла треба прикључити на уређај који врши концентрацију конекција – комутатор на столу. Користити било који слободан порт. Комутатор је са своје стране укрштеним каблом повезан на комутатор у лабораторији. На овакав начин је остварена физичка топологија тзв. “проширене звезде“. 86
V Вежба
Слика 5.6 : физичка топологија
1. Повезати додатни адаптер Убунту радне станице на комутатор. Покренути клијентску виртуелну машину. Некада се за сврху концентрације конекција користио hub, уређај који функционише на физичком слоју - вишепортни рипитер. Трансмисију битова коју емитује једна радна станица, хаб појача а затим емитује на све остале портове. Иако се ради о различитим парчићима каблова, хаб је омогућавао станицама да деле исти медијум као да су прикључене на исто парче кабла. Радне станице су у истом колизионом домену. Када једна радна станица емитује битове, сви физички парчићи кабла су заузети. Уколико нека друга станица покуша да емитује доћи ће до колизије. Осим тога каже се да су и све радне станице у истом бродкаст домену, јер се и бродкаст поруке, намењене свима, емитују преко свих портова. Употребом хаба обезбеђена је повезаност станица, али се појавио проблем већег заузећа медијума. Преко порта на који је прикључена радна станица емитују се битови чак и ако подаци који су садржани у њима нису намењени за ту станицу. Велики број рачунара повезаних хабовима смањује перформансе мреже.
или концентратор
Слика 5.7 : Повезивање рачунара концентратором
Иако у кабловима постоје парице за пријем и пренос, ако се користи хаб, комуникација је полу-дуплекс, што је последица чињенице да само једна станица може да преноси податке у датом тренутку у оквиру једног колизионог домена.
87
Рачунарске мреже
Данас се за ове намене користи комутатор, уређај који ради на слоју везе података. Овај уређај функционише као вишепортни мрежни мост. Када радна станица А шаље оквир података за радну станицу Б, комутатор транспарентно премости два порта на која су прикључени сегменти каблова станица А и Б. На тај начин оквир података не заузима сегмент медијума који користи станица Б. Станица Б је слободна да истовремено шаље податке на пример станици Г и да при томе не долази до колизије. Када се користи комутатор иза сваког порта налази се нови колизиони домен. Са друге стране, поруке намењене свима – бродкаст поруке комутатор прослеђује на све портове, па су станице још увек у истом бродкаст домену.
Слика 5.8 : Повезивање рачунара комутатором
Иако су перформансе мреже на овај начин побољшане, радне станице су још увек у истом бродкаст домену. И велики број рачунара у истом бродкаст домену такође смањује перформансе мреже, јер све радне станице примају овакве поруке чак и ако нису за њих намењене. Коришћење комутатора уместо хаба потпуно је транспарентно за радне станице. Не захтева се никаква конфигурација слоја везе података на рачунару због замене хаба комутатором. Разлика је у бољим перформансама мреже, због изостанка колизија, као и у томе што комутатор омогућава full-duplex комуникацију.
Активност 3: Конфигурисање IP адресе Повезивањем рачунара на комутатор, решени су: •
Проблеми повезивања на физичком слоју, јер постоји физичка веза између радне станице и посредног мрежног уређаја комутатора.
•
Решен је и проблем повезивања на слоју везе података, јер сваки мрежни адаптер има хардверски подешену јединствену физичку (MAC) адресу која га јединствено идентификује, а сам мрежни адаптер имплементира неопходну функционалност приступа медијуму (CSMA/CD).
Како би серверски процеси на рачунару могли да комуницирају са другим сервисима на другим рачунарима потребно је извршити конфигурисање на 3. слоју. У оквиру конфигурисања 3. слоја OSI модела потребно је рачунар конфигурисати са једиственом IP адресом. 1. Пријавити се на Windows виртуелну машину као корисник „administrator“ са лозинком „password“. 2. Притиснути на дугме Start, затим „Control Panel“ -> „Network Connections“ -> „Local Area Connection“. Приказаће се дијалог прозор у коме видимо статус ове мрежне конекције.
88
V Вежба
3. Притиснути на дугме „Properties“, како бисмо видели својства ове мрежне конекције. Можемо видети софтверске компоненте које су „везане“ за овај адаптер. Неке од ових компоненти имплементирају апликационе протоколе „File and Print sharing...“. Компонента „Internet Protocol (TCP/IP)“ имплементира 3. и 4. слој OSI модела. 4. Изабрати „Internet Protocol (TCP/IP)“ a затим притиснути на дугме „Properties“. За нормално функционисање рачунара на мрежи неопходно је да се конфигурише IP адреса рачунара. Генерално адреса се може добити динамички, уз помоћ посебног сервиса који омогућава DHCP (Dynamic Host Configuration Protocol) сервер који може да постоји у мрежи. Други начин је да се адреса додели статички, ручно од стране администратора. Подразумевано је изабрана опција „Obtain IP address Automatically“ што значи да адреса треба да се добије динамички од стране DHCP сервера. У овој активности треба статички конфигурисати IP адресу. Изабрати опцију „Use the following IP address“ и поља испод попунити на следећи начин: 1. „IP Address“: унети 172.17.32.x*2 где је x број станице, нпр. ако је број станице 55 треба унети 172.17.32.110. Ово треба да буде број који јединствено идентификује рачунар на Интернету. 2. „Subnet Mask“: унети „255.255.255.0“. У претходно унетој IP адреси постоји хијерархија два дела. Један део адресе представља адресу мреже а други део адресу хоста на тој мрежи. Маска означава који битови адресе представљају мрежни део. 3. „Default Gateway“: унети 172.17.32.1. Ово је адреса интерфејса рутера који ову мрежу, овај бродкаст домен, повезује са другим мрежама. 4. „Prefered DNS server“: унети 172.16.1.1. Ово је адреса DNS сервера задуженог да име рачунара, нпр. www.viser.edu.rs, разреши у IP адресу рачунара како би могла да се одвија комуникација на 3. слоју OSI модела. 5. Притиснути на дугме OK, поново ОК, а затим Close.
Активност 4: Провера IP адреса 1. Притиснути на дугме „Start“, па затим на „Run“. 2. У „Run“ пољу унети: cmd. 3. Притиснути на OK, како бисмо покренули командни прозор. 4. Једноставна верификација унете IP адресе врши се командом ipconfig. Унети ipconfig и притиснути дугме <ENTER>. Проверити да ли су унете информације одговарајуће према вредностима из претходне активности. 5. У командној линији унети „ipconfig /all“ (без наводника) како бисмо добили више информација. Уочити:
89
•
име рачунара („host name“).
•
физичку адресу („Physical Address“) ово је физичка адреса етернет адаптера која је неопходна за приступ медијуму на етернет мрежама. Зове се и MAC адреса.
•
Да ли је IP адреса добијена од DHCP сервера или статички конфигурисана („DHCP enabled“).
Рачунарске мреже
Активност 5: Провера функционисања IP протокола Постоји уобичајена процедура за проверу функционисања IP протокола на рачунару и откривање проблема. Процедура се ослања на једноставну команду – ping. Ова команда, доступна на свим оперативним системима омогућава да се на произвољну адресу пошаљу посебне поруке: ECHO. Рачунар који прими овакву поруку одговара са ECHO REPLY. Уколико рачунар добије одговор на своју ECHO поруку може се закључи да између два рачунара мрежа функционише на 1., 2. и 3. слоју OSI модела. За слање порука користи се протокол под називом ICMP (Internet Control Message Protocol) који функционише на 3. слоју OSI модела. У командној линији унети: „ping 127.0.0.1“. Ово је адреса такозване локалне петље (loopback), софтверски имплементираног интерфејса на сваком рачунару који има имплементиран TCP/IP. Уколико се не добију никакви одговори то значи да IP протокол није инсталиран на рачунару. У командној линији унети: „ping 172.17.32.2*x“, односно ping на сопствену IP адресу. Уколико се не добију одговори, могуће је да се сугерише да IP протокол није везан за мрежни адаптер, због погрешне конфигурације или отказа адаптера. У командној линији унети: „ping 172.17.32.1“. У нашем случају ово је адреса подразумеваног мрежног пролаза. За овај корак могла би се користити било која адреса у локалној мрежи (нпр. адреса суседног рачунара). Овај корак проверава повезаност рачунара у локалној мрежи. Уколико се не добију одговори то би могло да значи да постоји проблем са везом овог рачунара на мрежу. У командној линији унети: „ping 172.16.1.11“. Ово је адреса неког рачунара на другој мрежи. Уколико се добију одговори можемо знати да је конфигурисани подразумевани пролаз исправан. У командној линији унети: „ping www.viser.edu.rs“. Уколико се у ping команди реферишемо на име рачунара и добијемо одговор, посредно знамо и да разрешавање имена уз конфигурисани DNS сервер функционише. Обратити пажњу и на одговоре на ping. Приказано је повратно време (Round Trip Time) и TTL вредност која је послата у пакетима. После 4 одговора приказано је минимално, максимално и просечно повратно време као и проценат изгубљених пакета.
Активност 6: ARP табела У току претходне активности са рачунара смо слали пакете до других рачунара. У тим пакетима је као изворишна IP адреса била наведена IP адреса нашег рачунара, а као одредишна адреса адреса коју смо навели у ping команди. За пренос пакета преко етернета потребно је на слоју везе података унети додатне контролне информације: изворишну и одредишна физичку адресу. Сваки рачунар зна сопствену физичку адресу. Одредишна адреса се динамички, по потреби открије уз помоћ ARP (Address Resolution Protocol) протокола. ARP је неопходан на бродкаст мрежама са вишеструким приступом какав је етернет. На серијским, тачка-тачка везама ARP се не користи. ARP функционише на принципу захтев-одговор у 2 корака. На крају та два корака, стране које комуницирају имају у меморији мапирање IP адресе у физичку адресу за рачунар са којим размењују пакете. У првом кораку станица која иницира слање пакета, бродкаст поруком објави своје мапирање IP/физичка адреса, и наведе IP адресу станице којој жели да пошаље пакет.
90
V Вежба
У другом кораку станица која је била наведена у питању запамти мапирање IP/физичка адреса станице која је послала упит, а затим на уникаст физичку адресу пошаље одговор. Како би се смањила количина бродкаст порука једно одређено време се ова мапирања кеширају у меморији рачунара, како слање новог пакета не би изазвало нову бродкаст поруку. 1. У командној линији унети: „ping 172.17.32.1“, како бисмо послали пакет на адресу у локалној мрежи. 2. У командној линији унети: „arp -a“. Приказује се arp кеш: мапирање IP/Физичка адреса за рачунаре са којима су недавно размењени пакети. 3. Комплетан ARP кеш може се избрисати. Унети: „arp -d *“. 4. Проверити да ли је arp кеш празан,унети „arp -a“. 5. Поново послати неколико пакета: „ping 172.17.32.1“. 6. Слање пакета захтевало је нови arp захтев и одговор, који је кеширан. Проверити са: „arp -a“. 7. Погледати остале опције arp команде са „arp /?“. Уочити и да се arp табела може статички напунити. На слици 5.9 приказан је пример ARP захтева. Поред поља у етернет оквиру у који је ARP захтев енкапсулиран, као и поред поља у самом ARP захтеву јесу објашњења. Пошиљалац је навео сопствену физичку адресу и IP адресу. АRP је послат као бродкаст порука, коју ће примити сви рачунари у бродкаст домену. Потражује се физичка адреса рачунара са IP адресом 89.216.220.1. По пријему ове бродкаст поруке тај рачунар ће мапирање изворишног рачунара (00:15:f2:45:53:d4->89.216.221.122) ставити у своју arp табелу. Пошто му је позната физичка адреса првог рачунара, нема потребе да се за одговор користи бродкаст.
Слика 5.9 : ARP захтев
91
Рачунарске мреже
На слици 5.10 приказан је одговор. Уочити да је одговор стигао на уникаст адресу.
Слика 5.10 : ARP одговор
Након пријема одговора оба рачунара имају мапирања у ARP табели.
Активност 7: Снимање ARP саобраћаја 1. На Windows виртуелној машини инсталирати програм Wireshark (из фолдера C:\alati). 2. Покренути програм Wireshark. 3. Отворити командну линију и обрисати arp кеш. 4. Покренути снимање саобраћаја. 5. У командној линији унети: „ping 172.17.32.1“. Када се приме сва четири одговора, вратити се у програм Wireshark и зауставити снимање. 6. У пољу „Filter“ изнад горњег панела унети arp и притиснути дугме <ENTER> како бисмо филтрирали само овај тип саобраћаја. 7. Уочити захтеве и одговоре. Рашчланити их на слојеве. Зашто је могуће да су снимљени захтеви са других станица? Зашто нису снимљени одговори ка другим станицама? Да ли би снимак био другачији да је уместо комутатора коришћен хаб? 8. Уочити ознаку за тип у Eternet оквирима. 9. У пољу „Filter“ изнад горњег панела унети icmp уместо arp и притиснути дугме <ENTER> како бисмо филтрирали само овај тип саобраћаја. 10. Рашчланити их на слојеве. Да ли има саобраћаја који не потиче или није намењен овој станици (проверити изворишну и одредишну IP адресу). Уочити ознаку за тип у Eternet оквирима. Да ли се разликује од оне која је била коришћена у ARP захтевима?
92
V Вежба
93
VI ВЕЖБА IP АДРЕСИРАЊЕ
Циљ вежбе је да се студенти упознају са IP адресирањем, типовима адреса, како се адресе представљају у бинарној и децималној форми. Поред тога биће речи и о типовима адреса, класама адреса, као и о принципу поделе адресног простора подмрежавањем. На крају вежбе студентима су на располагању задаци из поменутих области.
VI Вежба
6. IP адресирање 6.1 Увод Један од задатака мрежног слоја OSI модела (Интернет слој TCP/IP модела) јесте и да обезбеди пренос јединица података између два рачунара који се (могуће) налазе на различитим мрежама (различитим бродкаст доменима), и између којих се налази више посредних мрежа. Како би се решио тај задатак на мрежном слоју мора да се: 1. Дефинише шема адресирања која јединствено идентификује рачунаре на Интернету (скупу међусобно повезаних мрежа). 2. Дефинише шема адресирања која је независна од хардверске имплементације приступа мрежи и протокола који се користе за приступ медијуму на тим мрежама. Два удаљена рачунара морају да комуницирају без обзира што се у мрежи првог рачунара, на пример, користи етернет, подаци пролазе кроз низ мрежа које користе ppp, frame relay, бежични приступ и на крају стижу до хоста који је на мрежу повезан ADSL-ом. Ове адресе, независне од хардверске имплементације, називају се логичке адресе. 3. Дефинише механизам усмеравања саобраћаја – рутирање, како би јединице података потекле са једног рачунара, биле успешно усмерене кроз сплет међусобно повезаних мрежа до одредишне мреже и рачунара за који су намењене. Задатак да имплементирају ову функцију имају пре свега рутери, уређаји који повезују различите мреже (бродкаст домене) преко 3. слоја OSI модела. 4. Како би рутери могли реално да остварују свој задатак, шема адресирања треба да садржи хијерарију (мрежа-рачунар), односно адресе морају да буду не само јединствене него да у себи имају довољно информација да се идентификује не само одредишни рачунар, него и мрежа у којој се он налази. У TCP/IP фамилији протокола, функционалност мрежног слоја обавља Inernet Protocol - IP. Његове јединице података које преноси између два рачунара на различитим мрежама називају се IP пакети. Пакети имају своје заглавље, контролне информације, битне за функционисање овог протокола.
Слика 6.1 : Заглавље IP пакета
Међу контролним информацијама налазе се и изворишна и одредишна IP адреса. Ово су такозване логичке адресе, независне од хардверских, физичких адреса које рачунари имају уколико су повезани на етернет мрежу. Поље за адресу дуго је 32 бита. Иако се то на први поглед не види, адреса (на пример 85.10.194.212) има два дела, део који представља мрежу
95
Рачунарске мреже
рачунара, као и део који јединствено идентификује рачунар на тој мрежи. На основу информације о дестинационој мрежи посредни мрежни уређаји – рутери, могу да усмере пакет из мреже у мрежу, омогућавајући пренос података између два рачунара у различитим бродкаст доменима, који самим тим нису један другом директно доступни и који без услуге рутера не би могли да међусобно комуницирају.
6.2 IP адресе IP адресе су 32-битни бројеви који јединствено идентификују рачунар на Интернету. На пример: 11000000101010000001111000001010 могло би да представља адресу неког рачунара на Интернету. Како би се олакшало конфигурисање адреса на рачунарима уведена је конвенција да се адресе уносе и пишу у децималној нотацији са тачком. Односно 32 бита се разбију у 4 октета (бајта), одвоје са „.“, а затим сваки бајт напише као децимални број.
Слика 6.2 : Децимална нотација са тачком
Део битова у адреси представља адресу мреже и заједнички је у свим адресама рачунара у тој мрежи, док је део битова јединствен и означава рачунар на тој мрежи. Својевремено су све адресе подељене у групе, класе, према томе како изгледа први октет (с лева надесно). Према томе у коју класу спада адреса, одређиван је и број битова који у адреси представља мрежни део. Иако се класе адреса још увек препознају, данас се мрежни део не претпоставља већ мора бити експлицитно наведен. Један начин да се наведе мрежни део адресе је мрежни префикс.
Слика 6.3 : Мрежни префикс
У ознаци 192.168.30.10/24, показује се да првих 24 бита (с лева надесно) представља адресу мреже, док преосталих 8 (32-24=8) битова означава дати рачунар-хост на тој мрежи. Ако издвојимо само битове који представљају мрежни део (остале битове поставимо на 0) добијамо 192.168.30.0/24 што представља адресу читаве одредишне мреже. Адресе мрежа корисе рутери како би усмеравали саобраћај.
96
VI Вежба
Сви рачунари у тој мрежи имају адресе које изгледају као 192.168.30.x, односно имају идентични мрежни део адресе. У нашем случају само последњих 8 битова се користи да јединствено идентификује рачунаре на тој мрежи. Број могућих идентификатора рачунара на тој мрежи одређен је бројем битова који се користи за ту потребу (8 у нашем случају). Број могућих комбинација битова унутар тих 8 је 28=256, што би значило 256 различитих идентификатора рачунара. Стваран број је мањи за 2, јер две комбинације имају специјално значење: 1. Сви битови у хост делу адресе постављени на 0 означавају адресу читаве мреже: 192.168.30.0. 2. Све јединице у хост делу адресе постављене на 1 означавају бродкаст адресу за ту мрежу: 192.168.30.255. односно број јединствених идентификатора за хостове је 28-2=254. Адреса је 32-битни бинарни број који се представља у децималној нотацији са тачком. Један начин да се представи који део адресе представља мрежни део јесте да се адреса напише са мрежним префиксом (192.168.30.10/24). Префикс означава који број битова у адреси представља мрежни део адресе. Преостали, не мрежни део адресе, назива се хост део и јединствено означава рачунар на тој мрежи. Број битова у хост делу адресе ограничава број хостова који се могу јединствено адресирати у тој мрежи. Уколико се у хост делу налази n бита, број јединствених адреса је 2n-2. Број јединствених адреса је за 2 мањи од броја комбинација: 2n, јер две комбинације битова у хост делу имају специјално значење. Све нуле у хост делу означавају адресу саме мреже. Све јединице у хост делу означавају бродкаст адресу за ту мрежу. У овом примеру мрежни префикс завршавао се на граници октета (/24 су прва три октета), па је и без конвертовања у бинарни облик могло да се уочи који је мрежни део, а који хост део у адреси. Слично томе уколико је мрежни префикс /8 или /16, дакле на граници првог односно другог октета, без конвертовања можемо уочити мрежни и хост део, а тиме и адресу мреже, односно бродкаст адресу мреже. На пример: 1. 17.4.5.5/8: мрежа је 17.0.0.0 2. 157.23.3.6/16: мрежа је 157.23.0.0 У општем случају граница мрежа/хост не мора да буде на граници октета па је неопходно конвертовање адресе у бинарни облик.
6.3 Претварање бинарног октета у децимални облик Олакшавајућа околност при конвертовању адреса из бинарног у децимални облик је то што се ради са фиксним величинама, октетима, при чему није тешко написати тежинске ознаке које поједине позиције у октету имају:
97
Рачунарске мреже
Слика 6.4 : Тежинске ознаке позиција у бајту
Тежинске ознаке бита најмање вредности (крајње десно) је 20=1. Свака следећа позиција (здесна налево) има два пута већу вредност. На тај начин претходни пример био би:
Слика 6.5 : Конвертовање из бинарног у децимални облик
6.4 Претварање из децималног у бинарни облик Олакшавајућу околност да се ради са октетима користићемо и у поступку за конвертовање децималног у бинарни облик. Највећи број који се у бинарном облику може сместити у октет је 255. Поново треба почети тако што се напишу тежинске ознаке позиција у октету. Упоређујући децимални број који треба да се конвертује, са тежинском вредношћу бита највише вредности (b7=128), одређујемо да ли бит на тој позицији треба да се постави на 1. Уколико је број који се конвертује већи или једнак, бит постављамо на 1, израчунавамо разлику и са разликом понављамо алгоритам за тежинску вредност следећег бита (b6=64). На слици је приказан део алгоритма.
98
VI Вежба
Слика 6.6 : Део алгоритма за конвертовање у бинарни облик
На пример, потребно је конвертовати број 215 у бинарни облик: 1. 215 је веће (или једнако) од 128, бит највише вредности је 1; за сада октет изгледа као 10000000; разлика је 215-128=87. 2. Прелазимо на позицију са тежинском ознаком 64; 87 је веће од 64; бит b6 постављамо на 1; за сада октет изгледа као 11000000; разлика је 87-64=23. 3. Прелазимо на позицију са тежинском ознаком 32; 23 није веће од 32; бит b5 постављамо на 0; октет још увек изгледа као 11000000; не рачунамо разлику. 4. Прелазимо на позицију са тежинском ознаком 16; 23 је веће (или једнако) од 16; бит b4 постављамо на 1; октет сада изгледа као 11010000; разлика је 23-16=7. 5. Прелазимо на позицију са тежинском ознаком 8; 7 није веће од 8; бит b3 постављамо на 0; октет још увек изгледа као 11010000; не рачунамо разлику. 6. Прелазимо на позицију са тежинском ознаком 4; 7 је веће од 4; бит b2 је постављен на 1; октет сада изгледа као 11010100; рачунамо разлику: 7-4=3. 7. Прелазимо на позицију са тежинском ознаком 2; 3 је веће од 2; бит b1 је постављен на 1; октет сада изгледа 11010110; рачунамо разлику: 3-2=1. 8. Прелазимо на позицију са тежинском ознаком 1; 1 је веће или једнако од 1; бит b0 је постављен на 1; октет сада изгледа 11010111 што је и коначно решење; разлика је 11=0; ово је крај рада алгоритма.
6.5 Маска подмреже Други начин представљања границе мрежа/хост је уз помоћ маске подмреже. Маска подмреже је 32-битни бинарни број (као и адреса) који има 1 на свим позицијама које у адреси представљају мрежни део, а 0 на свим позицијама које у адреси представљају хост део. На пример у првом примеру, адреса је била записана као 192.168.30.10/24. Одговарајућа маска била би: 11111111.11111111.11111111.00000000, односно 255.255.255.0. Као што је раније наведено граница мрежа/хост не мора да се налази на граници октета. На пример уколико је адреса дата као 155.34.130.44/18, маска подмреже била би: 11111111.11111111.11000000.00000000, односно 255.255.192.0 99
Рачунарске мреже
На основу адресе и маске, као и операције бинарно „И“, може се одредити мрежни део неке адресе. Ово одређивање део је доношења одлуке о даљем усмеравању пакета. На овај начин сваки хост одређује да ли је одредишна адреса на локалној или удаљеној мрежи, како би одлучио да ли пакет може да се директно испоручи или је потребна услуга рутера. На сличан начин и рутер упоређује одредишну адресу са улазима у сопственој табели рутирања како би одредио најбољи пут.
Слика 6.7 : Бинарно "И"
На пример у горњем примеру: 155.34.130.44, са маском 255.255.192.0:
Слика 6.8 : Одређивање мрежног дела адресе
Овако је одређен мрежни део адресе 155.34.130.44: то је 155.34.128.0. Такође можемо да видимо да се хост део адресе не састоји од свих нула или свих јединица, па је 155.34.130.44 валидна адреса хоста. Адреса дате мреже је 155.34.128.0, док бродкаст адресу те мреже добијамо тако што све битове у хост делу поставимо на 1: 10011011.00100010.10111111.11111111, односно 155.34.191.255.
6.6 Класе адреса Првобитни начин поделе адресе на мрежни и хост део заснивао се на сврставању адресе у једну од дефинисаних класа. Дефинисане су класе адреса: •
Класа „А“: у ову класу спадају адресе које у бинарном облику почињу са 0 (здесна налево, бит највише вредности). Код ове класе подразумевани мрежни префикс је /8, односно маска 255.0.0.0. У децималном облику овакве мреже изгледале би као: 1.0.0.0 до 126.0.0.0. Технички и мрежа 127.0.0.0 спада у класу А али ова мрежа има специјално значење: адреса 127.0.0.1 је специјална адреса локалне петље, софтверски имплементираног интерфејса који се користи за дијагностику TCP/IP протокол стека.
•
Класа „Б“: у ову класу спадају адресе које у бинарном облику почињу са 10. Код ових адреса подразумева се да је префикс /16, односно маска 255.255.0.0. У децималном облику ове мреже изгледају као 128.0.0.0/16 до 191.255.0.0/16.
•
Класа „Ц“: у ову класу спадају адресе које у бинарном облику почињу са 110. Код ових адреса подразумева се да је мрежни префикс /24, односно маска 255.255.255.0. У децималном облику ове адресе изгледају као: 192.0.0.0/24 до 223.255.255.0/24.
100
VI Вежба
•
Класа „Д“: у ову класу спадају адресе које у бинарном облику почињу са 1110. Ово су адресе за мултикаст саобраћај код којих нема смисла говорити о мрежном и хост делу. У децималном облику ове адресе изгледају као 224.0.0.1 до 239.255.255.255
•
Класа „Е“: у ову класу спадају адресе које почињу са 1111. Ове адресе су за експерименталну употребу.
Додељивање адреса на овај начин уз подразумевање мрежног дела на основу класе довело је до непотребног расипања адресног простора, који се на почетку чинио неисцрпним. Осим тога у појединим класама, број бита који остаје у хост делу није реалан. На пример, уколико се ради о мрежи из класе А, са префиксом /8, можемо видети да у хост делу постоји 24 бита. Односно, у свакој мрежи постоји 224-2 хостова. Ово је нереално велики број за један бродкаст домен. Слично важи и за мрежу из класе Б. Данас се користи бескласно адресирање, које омогућава да се граница мрежа/хост прилагоди стварним потребама, односно потребном броју хостова. Пошто се маска више не може подразумевати, неопходно је увек наводити маску подмреже или мрежни префикс. Остаје још увек подела на адресе за уникаст саобраћај, односно адресе које спадају у класе А, Б, и Ц и адресе за мултикаст саобраћај, класа Д. Адресе које спадају у класу Е се не користе.
6.7 Посебни случајеви адреса Већ су поменуте неке од адреса које се не сматрају валидним адресама за конфигурисање хостова. •
Адреса у којој су сви битови за хост 0; као што је већ речено ово је адреса мреже.
•
Адреса у којој су сви битови за хост 1; ово је бродкаст адреса за ову мрежу, такозвани усмерени бродкаст. Назива се овако јер је технички могуће усмерити саобраћај на ову адресу и послати пакет на адресе свих хостова на некој мрежи. Иако рутери овако нешто технички могу да ураде, већина рутера подразумевано не усмерава ка оваквим адресама.
•
127.0.0.1, као и комплетна мрежа 127.0.0.0/8, је адреса за локалну петљу.
•
0.0.0.0 ово такође није валидна адреса хоста. Појављује се у табелама рутирања као подразумевана рута или на хостовима који нису конфигурисани са адресом.
•
255.255.255.255: сви битови су 1; ово је још једна бродкаст адреса, такозвани ограничени бродкаст. Ни технички се не може усмеравати.
6.8 Подмрежавање Подмрежавањем се од IP адресног простора задатом IP мрежом и префиксом прави више мањих мрежа. Пошто једна IP мрежа одговара једном бродкаст домену, примена на овакав начин добијене шеме адресирања повлачи за собом последицу да се хостови и физички раздвоје у засебне бродкаст домене. Подмрежавањем се омогућава да се адресни простор додељује у мањим деловима. Уместо огромног адресног простора који представљају мреже из класе А или Б, Интернет посредник или организација за додељивање и регистрацију адреса, може некоме доделити само део неке мреже из класе А, Б, или Ц који одговара реалном броју хостова у мрежи. На тај начин се расположиви адресни простор штити од исцрпљивања. Постоје и други разлози због којих би се примењивало подмрежавање. Понекад није у питању само рационална потрошња адресног простора, већ захтев да се хостови раздвоје у засебне бродкаст домене. 101
Рачунарске мреже
Хостови који се налазе у истом бродкаст домену један другом су непосредно доступни, а то понекад није пожељно. Уколико се хостови раздвоје у засебне бродкаст домене та чињеница мора да се одрази и у IP адресама тих хостова. Тада се од једног адресног простора, једне мреже, подмрежавањем прави више подмрежа за сваки појединачни бродкаст домен. Разлози за подмрежавање били би: 2. Раздвајањем рачунара у различите, мање бродкаст домене смањује се количина бродкаста у сваком од њих. 3. Уколико се жели контрола саобраћаја између хостова, морају се раздвојити у различите бродкаст домене. Комуникација између рачунара је тада могућа само преко рутера који може да филтрира саобраћај по неком критеријуму. 4. Уколико сви хостови нису под истом административном капом. На пример Интернет посредник изнајми део адресног простора неком предузећу. Мрежа предузећа и остатак мреже посредника су под различитом администрацијом. Посредник подмрежавањем само део свог адресног простора додели предузећу. 5. Уколико постоји транзиција медијума таква да не постоји стандардан начин за премошћавање. На пример уколико се на једном сегменту мреже користи етернет, а на другом frame relay. Та два сегмента не могу се транспарентно премостити и морају се налазити у различитим бродкаст доменима. Када су хостови у различитим бродкаст доменима, било из административних или из техничких разлога, онда рачунари нису један другом директно доступни. Комуникација између различитих бродкаст домена могућа је само ако се мреже повежу рутером. Рутери могу пакете из једне мреже да проследе у другу мрежу уколико су конфигурисани са рутама до тих мрежа. Рутери не прослеђују бродкаст, и на овај начин (преко 3 слоја) повезана два бродкаст домена остају и даље 2 раздвојена бродкаст домена. Када се хостови налазе у различитим бродкаст доменима, различитим IP мрежама, то се мора одразити и на њихове адресе, односно мрежни део адреса тих хостова.
6.9 Поступак подмрежавања IP адреса састоји се од два дела: мрежни део и хост део. Додатни ниво хијерархије можемо добити тако што за ознаку подмреже унутар мреже позајмимо одређен, континуиран број битова који су у оригиналној шеми адресирања били део хост дела адресе. На пример, мрежу 192.168.30.0/24 можемо поделити на две подмреже тако што ћемо позајмити један бит, бит највише вредности који је до сада представљао хост део адресе. До сада у тој једној мрежи били су сви хостови чијих првих 24 бита (с лева надесно), у децималном облику изгледа као 192.168.30.0. У току подмрежавања позајмили смо и 25. бит (с лева надесно) и придружили га мрежном делу адресе. Тај позајмљени бит може бити постављен на 0 или на 1. У прву групу хостова од сада спадају сви хостови код којих је позајмљени бит 0, у другу групу хостова спадају сви хостови код којих је позајмљени бит 1.
102
VI Вежба
Слика 6.9 : Подела мреже на 2 дела
Број битова који сада спада у мрежни (и подмрежни) део је 25 па је то нови мрежни префикс за ове две подмреже. Одговарајућа маска подмреже сада је 255.255.255.128. С друге стране, број битова у хост делу сада је мањи за један позајмљени бит, па је и број хостова у свакој подмрежи сада 27-2=126. Уколико позајмимо n битова можемо добити 2n подмрежа, с друге стране, уколико преостане m битова за хостове добијамо 2m-2 адреса за хостове у тим мрежама. О овој чињеници мора се водити рачуна када се прави нова адресна шема мреже: да ли након позајмљивања одређеног броја битова који су потребни за захтеван број мрежа, остаје довољан број битова за хостове. На основу овог правила може се и закључити да се позајмљивање може наставити све док у хост делу не остане само два бита (префикс /30). Са два преостала бита у хост делу може се адресирати 22-2=2 хоста. Ово је најмања могућа мрежа, са два хоста, и често се користи за тачка-тачка везе између рутера. Остале карактеристике подмрежа добијају се на уобичајен начин: •
Мрежа 192.168.30.0/25, прва адреса је 192.168.30.1, последња адреса је 192.168.30.126, бродкаст адреса је 192.168.30.127.
•
Мрежа 192.168.30.128/25, прва адреса је 192.168.30.129, последња адреса је 192.168.30.254, бродкаст адреса је 192.168.30.255.
Бродкаст адреса за сваку од мрежа добијена је тако што је хост део попуњен јединицама. Може се уочити да је последња адреса у мрежи за један мања од бродкаст адресе, а да је следећа мрежа за један већа од бродкаст адресе. У следећем примеру почетни адресни простор подељен је на 8 делова. За то је било потребно позајмити 3 бита из хост дела.
103
Рачунарске мреже
Слика 6.10 : Подела на осам подмрежа
Оригинални адресни простор сада је подељен на подмрежу 0, подмрежу 1, ... до подмреже 7. Адресу подмреже x добијамо тако што у позајмљеном делу упишемо бинарно x. Бродкаст адреса за сваку од подмрежа добија се постављањем свих битова у хост делу на 1.
104
VI Вежба
ВЕЖБЕ Активност 1: Претварање из бинарног у децимални облик Претворити у децимални облик следећа октете: а) 10111100 б) 11101100 в) 10001100
Активност 2: Претварање из децималног у бинарни облик Претворити у бинарни облик следеће бројеве: а) 155 б) 218 в) 47
Активност 3: Маска подмреже 1. Дата је адреса са мрежним префиксом: 192.168.2.113/25. Одредити маску подмреже, адресу мреже и да ли је дату адресу могуће доделити хосту. Записе представити и у бинарној и у децималној форми. а) Маска подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ б) Адреса подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ в) Адресу је могуће доделити хосту? да / не 2.
Дата је адреса са мрежним префиксом: 192.168.1.63/27. Одредити маску подмреже, адресу мреже и да ли је дату адресу могуће доделити хосту. Записе представити и у бинарној и у децималној форми. а) Маска подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ б) Адреса подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ в) Адресу је могуће доделити хосту? да / не
105
Рачунарске мреже
3.
Дата је адреса са мрежним префиксом: 155.22.83.0/20. Одредити маску подмреже, адресу мреже и да ли је дату адресу могуће доделити хосту. Записе представити и у бинарној и у децималној форми. а) Маска подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ б) Адреса подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ в) Адресу је могуће доделити хосту? да / не
Активност 4: Подмрежавање 1. Мрежу 192.168.1.0/24 треба поделити на 3 подмреже и одредити следеће : а) Нова маска подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ б) Адреса нулте подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ прва корисна адреса нулте подмреже : _____ . _____ . _____ . _____ / ____ последња корисна адреса нулте подмреже : _____ . _____ . _____ . _____ / ____ бродкаст адреса нулте подмреже : _____ . _____ . _____ . _____ в) Адреса прве подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ прва корисна адреса прве подмреже : _____ . _____ . _____ . _____ / ____ последња корисна адреса прве подмреже : _____ . _____ . _____ . _____ / ____ бродкаст адреса прве подмреже : _____ . _____ . _____ . _____ г) Адреса друге подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ прва корисна адреса друге подмреже : _____ . _____ . _____ . _____ / ____ последња корисна адреса друге подмреже : _____ . _____ . _____ . _____ / ____ бродкаст адреса друге подмреже : _____ . _____ . _____ . _____
106
VI Вежба
д) Адреса треће подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ прва корисна адреса треће подмреже : _____ . _____ . _____ . _____ / ____ последња корисна адреса треће подмреже : _____ . _____ . _____ . _____ / ____ бродкаст адреса треће подмреже : _____ . _____ . _____ . _____ 2. Мрежу 139.140.0.0 са подразумеваном маском за класу којој припада, треба поделити на 100 подмрежа и одредити параметре 14. подмреже : а) Нова маска подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ б) Адреса 14. подмреже је: бинарни облик : _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ . _ _ _ _ _ _ _ _ децимални облик : _____ . _____ . _____ . _____ прва корисна адреса 14. подмреже : _____ . _____ . _____ . _____ / ____ последња корисна адреса 14. подмреже : _____ . _____ . _____ . _____ / ____ бродкаст адреса 14. подмреже : _____ . _____ . _____ . _____
107
VII ВЕЖБА КОНФИГУРАЦИЈА ХОСТОВА IP ПАРАМЕТРИМА И УСМЕРАВАЊЕ ПАКЕТА НА МРЕЖНОМ СЛОЈУ
Циљ вежбе је да се студенти упознају са различитим начинима (статички и динамички) за додељивање IP параметара мрежним адаптерима хоста (IP адреса, маска подмреже, адреса подразумеваног пролаза, адреса сервера за разрешавање имена...). Студенти ће бити такође упознати са основним принципима на којима се заснива прослеђивање пакета у рачунарским мрежама.
VII Вежба
7. Конфигурација хостова IP параметрима и усмеравање пакета на мрежном слоју 7.1 Увод Како би хост могао да комуницира са осталим хостовима на мрежи неопходно је да има подешене параметре IP протокола као што су IP адреса, маска мреже, подразумевани излаз, адреса сервера за разрешавање имена (DNS) ... Генерално, постоје два начина да хосту обезбедимо ове информације, а то су : • •
статичка конфигурација и динамичка конфигурација IP параметара.
7.2 Статичка конфигурација IP параметара Када говоримо о статичкој конфигурацији мисли се на то да се одређеном хосту додели уникатна IP адреса и да се та адреса ручно унесе у конфигурацију хоста. Поред саме адресе неопходно је ручно унети и остале потребне параметре, као што су маска подмреже, адреса подразумеваног излаза итд. Ако узмемо у обзир да рачунарска мрежа просечно има стотине и више рачунара, очигледан је недостатак оваквог система администрације и конфигурације IP параметара. Поред много административног напора, он са собом носи и ризик од прављења ненамерних грешака приликом уноса IP адреса. Добра страна статичке конфигурације IP параметара јесте та да једном дефинисани IP параметри остају непроменљиви до реконфигурације. Ово је од велике важности када су нпр. сервери у питању. Незамислив би био приступ неком веб серверу чија би се адреса из дана у дан мењала. То би значило да пре сваког приступа морамо да потражимо нову адресу сервера.
7.3 Динамичка конфигурација IP параметара Други начин конфигурације хостова IP параметрима јесте динамичка конфигурација која се обавља путем протокола за динамичку конфигурацију хостова DHCP (енг. Dynamic Host Configuration Protocol). Логика овог принципа врло је једноставна. У једној рачунарској мрежи треба подићи сервер који ће имати улогу конфигуратора клијената, доделити му IP параметре које треба да обезбеди клијентима, и на крају подесити хостове да приликом подизања оперативног система, односно мрежног интерфејса потраже DHCP сервер. Од велике важности приликом имплементације оваквог решења је позиција DHCP сервера јер он мора да буде доступан клијенту који још увек нема IP адресу. То конкретно значи да хост и DHCP сервер морају да буду у оквиру исте локалне мреже и да између њих не постоји рутер. Процес прибављања IP параметара од DHCP сервера одвија се кроз четири поруке које хост и DHCP сервер размене, а то су: • • • •
DHCP Discover порука (хост шаље серверу), DHCP Offer (сервер шаље хосту), DHCP Request (хост шаље серверу), DHCP Acknowledge (сервер шаље хосту).
Временски редослед ових порука приказан је на слици 7.1. Како хост нема адресу пре слања DHCP Discover поруке, као изворишну адресу у пакету који шаље уписаће адресу 0.0.0.0, док ће као одредишну адресу ставити бродкаст адресу 255.255.255.255 из разлога што не зна на којој се адреси налази DHCP сервер (нити има потребе то да зна). У случају да 109
Рачунарске мреже
Слика 7.1 : Временски редослед догађаја код DHCP протокола
је DHCP сервер на истој локалној мрежи као и хост (рутер не прослеђује бродкаст саобраћај), он ће чути послати бродкаст, утврдити да је у питању захтев за DHCP услугом и одговорити понудом. Ако на локалном сегменту постоји више DHCP сервера може се десити да сви одговоре својим понудама, и у том случају клијент мора да се определи за једну (најчешће за ону која је прва стигла). По пријему DHCP Offer поруке, хост одговара DHCP Request поруком, коју опет шаље као бродкаст, али у којој наводи, у DHCP заглављу, чију понуду прихвата. Сервери чија понуда није прихваћена повлаче се, док сервер чија је понуда прихваћена шаље остале IP параметре у виду DHCP Acknowledge поруке. Овакав систем динамичке конфигурације заснован је на принципу изнајмљивања адреса, који се огледа у томе да се клијенту изнајмљује једна конкретна адреса на унапред дефинисани период времена, по истеку кога клијент или мора да обнови изнајмљивање или да престане са употребом већ добијене IP адресе. На овај начин омогућено је да само активни клијенти користе расположиве IP адресе чиме се остварује уштеда у броју неопходних IP адреса. Принцип динамичке конфигурације хостова у великој мери је олакшао администрацију средњих и великих рачунарских мрежа, превасходно због смањења административног напора неопходног да би клијент био способан да "разговара", али и због смањења могућих грешака у конфигурацији које се могу јавити приликом статичке конфигурације.
110
VII Вежба
7.4 Усмеравање (рутирање) података на мрежном слоју Задатак трећег слоја OSI модела, односно Интернет слоја TCP/IP модела, јесте да омогући комуникацију, односно размену јединица протокола података између рачунара који се (могуће) налазе на различитим мрежама и (могуће) користе различите имплементације физичког слоја и слоја везе података. У TCP/IP фамилији протокола на овом слоју се налази IP протокол. Сем шеме адресирања независне од хардверске и софтверске имплементације приступа мрежи, веома важна функционалност на овом слоју је и рутирање, односно усмеравање пакета ка одредишту. Интернет представља сплет међусобно повезаних мрежа које повезују рутери. Пакет на свом путу од изворишног до одредишног рачунара прелази велики број посредних рутера и мрежа. IP омогућава услугу преноса без успоставе везе и поузданости, што значи да се пре слања пакета не успостави комуникациони канал с краја на крај. Уместо тога, полазни рачунар упути пакет до интерфејса рутера који је конфигурисан као подразумевани мрежни пролаз, који са своје стране упути пакет до следећег рутера на путањи. Следећи рутер такође усмери пакет све док пакет не пристигне до рутера који је директно прикључен на мрежу на којој се налази одредишни рачунар.
Слика 7.2 : Сплет мрежа повезаних рутерима
Процес рутирања састоји се од одређивања најбоље путање (који је то рутер „следећи на путу до дестинације“), и комутирања пакета – пакет који је примљен на једном интерфејсу после одређивања најбоље путање поново се енкапсулира и проследи преко другог интерфејса на путу ка следећем рутеру.
Одређивање најбоље путање Најбоља путања за пакет одређује се на основу одредишне адресе пакета који се усмерава, као и на основу табеле рутирања коју рутер има. Табела рутирања је неопходна за усмеравање пакета. Ниједан пакет не може да се усмери уколико не постоји одговарајући улаз у табели рутирања. Уколико рутер нема потребне информације за усмеравање пакета, пакет се одбацује, при чему се изворишном рачунару може послати информација о томе – одговарајућа ICMP порука. Табела рутирирања садржи мапирања облика удаљена мрежа - следећи рутер. У терминологији везаној за рутирање следећи рутер назива се „next-hop“ рутер. 111
Рачунарске мреже
Слика 7.3 : Табела рутирања
На слици 7.3 приказана је табела рутирања једног рутера. У њој се налазе информације о топологији мреже које овај рутер поседује. Прва четири улаза у табелу (са ознаком „C“) представљају мреже на које је рутер директно прикључен. Види се да рутер има три мрежна интерфејса: 1. eth0, којим је рутер повезан на мрежу 155.45.0.0/16 (четврти улаз). 2. eth1, којим је рутер повезан на мрежу 134.22.0.0/16 (трећи улаз). 3. eth2, којим је рутер повезан на мрежу 10.0.0.0/8 (први улаз). Четврти улаз (други улаз), за мрежу 127.0.0.0/8 односи се на софтверски интерфејс – локалну петљу. Све горенаведене улазе, за директно прикључене мреже као и за мрежу локалне петље, рутер може аутоматски да унесе у табелу рутирања пошто му се конфигуришу интерфејси. Последња три улаза у табели рутирања односе се на удаљене мреже. Ове улазе рутер не може сам да унесе. Информације о удаљеним мрежама у табелу рутирања може ручно да унесе администратор рутера, или се могу научити од других рутера уколико се на рутеру конфигурише одговарајући протокол за рутирање. У горњем примеру руте је унео администратор, то су такозване статичке руте (ознака „S“). Та последња три улаза рутеру говоре: 1. До мреже 172.17.0.0/16 стиже се преко („via“) следећег, „next hop“, рутера са адресом 134.22.2.2 преко интерфејса eth1. 2. До мреже 172.17.5.0/24 стиже се преко („via“) следећег, „next hop“, рутера са адресом 155.45.2.2 преко интерфејса eth0. 3. До мреже 193.22.1.0/24 стиже се преко („via“) следећег, „next hop“, рутера са адресом 10.2.2.2 преко интерфејса eth2. Наведени мрежни префикси (/16,/24,/24) не значе да се на удаљеним мрежама заиста користи тај мрежни префикс. Ти префикси говоре рутеру који број бита у дестинационој адреси пакета треба да се поклопи са тим улазом да би тај улаз, са наведеним следећим рутером, био коришћен за усмеравање пакета. Поступак одређивања најбоље путање на основу одредишне адресе врши се упоређивањем одредишне адресе у пакету са појединим улазима у табели рутирања. На пример, претпоставимо да је до рутера стигао пакет који као одредишну адресу наводи 193.22.1.115. Поступак одређивања најбоље путање могао би да буде: 1. Први улаз је 10.0.0.0/8; да ли првих 8 ( због /8) битова одредишне адресе (193.22.1.115) одговара овом улазу. Рутер у ствари уради бинарно „И“ одредишне
112
VII Вежба
адресе (193.22.1.115) и маске 255.0.0.0 (због префикса /8). Резултат је 193.0.0.0, што је различито од 10.0.0.0, односно мреже за коју важи овај улаз. На основу тога рутер закључи да одредишна адреса није на директно прикљученој мрежи 10.0.0.0. 2. На исти начин рутер закључи да дестинација 193.22.2.115 није ни на директно прикљученим мрежама 127.0.0.0/8, 134.22.0.0/16 као ни 155.45.0.0/16. 3. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16) дестинационе адресе 193.22.1.115 поклапа са овим улазом. Рутер у ствари уради бинарно „И“ одредишне адресе (193.22.1.115) и маске 255.255.0.0 (због префикса /16). Резултат је 193.22.0.0, што је различито од 172.17.0.0, односно мреже за коју важи овај улаз. На основу тога рутер закључи да се дестинациона адреса не налази на путањи која води преко следећег рутера, који је у овом улазу наведен (134.22.2.2). 4. На исти начин се одбаци и следећи улаз, за мрежу 172.17.5.0/24. 5. Последњи улаз је 193.22.1.0/24; да ли се првих 24 бита (због префикса /24) одредишне адресе (193.22.1.115) поклапа са овим улазом. Рутер у ствари уради бинарно „И“ одредишне адресе 193.22.2.115 и маске 255.255.255.0 (због префикса /24). Резултат је 193.22.1.0 што управо одговара овом улазу. На основу овог улаза рутер закључи да пакет треба да усмери преко рутера са адресом 10.2.2.2 преко свог интерфејса eth2. Да одговарајући улаз није пронађен, пакет би био одбачен. Одговарајућа ICMP порука о томе да је одредиште недоступно могла би да буде упућена изворишном рачунару. Погледајмо још један пример, претпоставимо да је рутер примио пакет у коме је као одредишна адреса наведена 172.17.5.12. Први улаз је 10.0.0.0/8; да ли првих 8 ( због /8) битова одредишне адресе (172.17.5.12) одговара овом улазу. На претходно описан начин рутер закључи да овај улаз не одговара. На исти начин рутер закључи да ни други, трећи ни четврти улаз не одговарају. 1. Пети улаз је за мрежу 172.17.0.0/16; да ли се привих 16 битова (због /16) дестинационе адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради бинарно „И“ одредишне адресе (172.17.5.12) и маске 255.255.0.0 (због префикса /16). Резултат је 172.17.0.0, што одговара овом улазу: 172.17.0.0/16. На основу тога рутер закључи да се одредишна адреса налази на путањи која води преко следећег рутера који је у овом улазу наведен (134.22.2.2), преко интерфејса eth1. 2. Шести улаз је за мрежу 172.17.5.0/24; да ли се првих 24 бита (због /24) одредишне адресе 172.17.5.12 поклапа са овим улазом. Рутер у ствари уради бинарно „И“ одредишне адресе (172.17.5.12) и маске 255.255.255.0 (због префикса /24). Резултат је 172.17.5.0, што одговара овом улазу: 172.17.5.0/24. На основу тога рутер закључи да се одредишна адреса налази на путањи која води преко следећег рутера који је у овом улазу наведен (155.45.2.2), преко интерфејса eth0. На основу досадашње претраге табеле долази се до закључка да рутер има два могућа улаза која би могао да користи. Рутер ће у ствари изабрати шести улаз, јер има дужи мрежни префикс (/24, наспрам /16). Односно, ова рута је прецизнија. Могли бисмо да замислимо да се, генерално, мрежа 172.17.0.0/16 налази иза једног од следећих рутера, док се специфично, једна подмрежа те мреже, односно 172.17.5.0/24 налази иза неког другог следећег рутера. Рутери увек бирају најспецифичнији улаз. Рутер, чија је табела рутирања приказана на слици, пакете намењене за све остале мреже одбацивао би, пошто нема информације о било којим другим мрежама сем о оним
113
Рачунарске мреже
које су наведене. И рутери могу да имају подразумевану руту, односно еквивалент подразумеваног мрежног пролаза на радним станицама. Можемо да замислимо сценарио да рутер у својој табели рутирања има специфичне информације о мрежама једног предузећа, а да пакете намењене за сва остала одредишта треба да усмери ка рутеру интернет посредника, под претпоставком да тај рутер има специфичне информације о тим, не локалним мрежама.
Слика 7.4 : Табела рутирања са подразумеваном рутом
На слици 7.4 приказана је табела рутирања рутера у којој сада постоји и подразумевана рута (наведена је као први улаз). Погледајмо шта би се десило када би рутер, као у претходном случају, покушао да одреди најбољи пут за пакет са дестинационом адресом 172.17.5.12. На основу сада првог улаза 0.0.0.0/0 проверио би да ли се 0 бита (због префикса /0) одредишне адресе 172.17.5.12 поклапа са улазом. Рутер ће да уради бинарно „И“ одредишне адресе и маске 0.0.0.0 (због префикса /0). Резултат је 0.0.0.0 што одговара адреси мреже која је наведена у овом улазу. У ствари, овај улаз је „одговарајући“ за било коју дестинациону адресу, јер бинарно „И“ било које адресе и 0.0.0.0 даје 0.0.0.0. Једини „проблем“ са овим улазом јесте што је врло неспецифичан, дужина мрежног префикса је 0. Чак и са оваквим улазом, пакет намењен за 172.17.5.12 биће испоручен преко интерфејса eth0, као у ранијем примеру, јер је то најспецифичнији улаз. Улаз за мрежу 0.0.0.0/0 биће коришћен за усмеравање само оних пакета за које не постоји специфичнији улаз у табели рутирања.
114
VII Вежба
ВЕЖБЕ Активност 1 : Инсталација DHCP сервиса 1. Дата је мрежа 160.34.0.0 са подразумеваном маском подмреже. Подмрежити дату адресу тако да се добије 400 подмрежа. Затим пронаћи број подмреже која је једнака броју индекса студента (нпр. ако је број индекса 45/07, пронаћи 45. подмрежу). Број битова које треба позајмити: __________ ____________________ Нова маска подмреже: ________________________________________ Адреса тражене подмреже: ____________________________________ Прва корисна адреса у траженој подмрежи: __ ____________________ Последња корисна адреса у траженој подмрежи: __________________ 2. Покренути сервер и пријавити се као администратор. 3. Подесити IP адресу сервера при чему, као адресу треба ставити прву корисну адресу из тражене подмреже, и нову маску подмреже. Ставити да је адреса подразумеваног пролаза (Default Gateway), као и адреса примарног DNS сервера, такође прва корисна адреса. 4. Инсталирати DHCP сервер на следећи начин – отворити "Server Manager" апликацију из "Start" менија (слика 7.5).
Слика 7.5 : Server Manager
115
Рачунарске мреже
5. У оквиру апликације за управљање сервером пронаћи ставку "Roles" с леве стране и кликнути на + испред како би је разгранали, а затим десним кликом на исту изабрати опцију "Add Roles" (слика 7.6).
Слика 7.6 : Додавање улоге
6. Овим је покренут чаробњак који нас води кроз процес додавања улоге. Кликнути на дугме "Next". 7. У следећем кораку потребно је означити улогу "DHCP Server" и кликнути на дугме "Next" (слика 7.7).
Слика 7.7 : Додавање DHCP Server улоге
116
VII Вежба
8. Проћи кроз остале кораке остављајући подразумевана подешавања и на крају завршити чаробњак избором опције "Install" (слика 7.8).
Слика 7.8 : Инсталација DHCP сервиса
Активност 2 : Конфигурација DHCP сервера 1. Покренути DHCP сервер на следећи начин : Start – Administrative Tools – DHCP, при чему ћете добити прозор као на слици 7.9.
Слика 7.9 : Изглед DHCP конзоле
2. У случају да је DHCP инсталиран на серверу који је члан неког домена или је сам домен контролер, неопходно га је ауторизовати као што је приказано на слици 7, избором опције Authorize. У случају да је DHCP сервер инсталиран на Windows
117
Рачунарске мреже
серверу који није члан домена, није неопходно вршити икакву ауторизацију. Пошто смо приликом доделе, улоге прихватили подразумевана подешавања, сервер је већ ауторизован код домен контролера што можемо проверити ако десним кликом миша изаберемо име сервера где би требало да видимо ставку "Unauthorize" (слика 7.10).
Слика 7.10 : Ауторизација сервера
Да бисмо конфигурисали сервер да изнајмљује одређени опсег адреса (адресе из израчунате подмреже из Активности 1), неопходно је урадити следеће: 1. У оквиру DHCP-а отворити део IPv4 кликом на + испред, а затим десним кликом на IPv4 изабрати опцију New Scope (слика 7.11), при чему се покреће чаробњак за прављење опсега, a затим кликнути Next.
Слика 7.11 : Додавање новог опсега адреса за изнајмљивање
118
VII Вежба
2. За име и опис опсега уписати „Опсег за локалну мрежу“ и кликнути Next. 3. На следећем прозору IP Address Range, дефинисати опсег и то тако да опсег садржи све адресе из нађене подмреже, почев од прве корисне и закључно са последњом корисном адресом. Поред тога неопходно је дефинисати и израчунату маску подмреже. Затим кликнути Next.
Слика 7.12 : Дефиниција новог опсега
4. У оквиру следећег прозора могуће је дефинисати одређени подопсег адреса који је могуће искључити из опсега дефинисаног у претходној ставци. Овде ћемо дефинисати да сервер не издаје првих 10 адреса из тражене подмреже. Потом кликнути Next. 5. У оквиру следећег прозора могуће је дефинисати време на које клијент изнајмљује адресу. Подразумевана вредност је 8 дана. Променити ово подешавање на 4 дана и кликнути Next. 6. Затим, чаробњак вам нуди могућност да конфигуришете додатне DHCP опције које ће клијенту бити достављене заједно са IP адресом. Изабрати Yes, I want to configure these options now и кликнути Next. 7. Прва опција коју ћемо конфигурисати је подразумевани пролаз за клијента (Default Gateway, односно Router). Уписати као подразумевани пролаз адресу сервера (прва корисна адреса из тражене подмреже) и кликнути Add, а затим Next. 8. Следећа опција је дефинисање Domain Name и DNS сервера, где у пољу Parent domain треба уписати labXY.edu.rs, где XY представља број станице, а за IP адресу треба унети адресу сервера (прва корисна адреса из тражене подмреже). Кликнути Next. 9. Опцију WINS сервера прескочити кликом на дугме Next.
119
Рачунарске мреже
10. Последње питање које чаробњак за конфигурацију опсега поставља јесте да ли хоћемо да активирамо новонаправљени опсег. Све док се опсег не активира сервер неће издавати адресе из опсега. Овде треба изабрати опцију да желимо активацију опсега и кликнути дугме Next, чиме завршавамо конфигурацију опсега. Изглед подешеног опсега је као на слици 7.13.
: Слика 7.13 : Изглед конзоле након завршене конфигурације опсега
Активност 3 : Провера рада DHCP сервера (Windows XP) 1. Паралелно са сервером, покренути и виртуелну машину са Windows XP оперативним системом, претходно проверити да ли су сервер и клијент на истој интерној мрежи. 2. Када се клијент подигне, улоговати се као администратор и проверити да ли је мрежни адаптер конфигурисан да динамички прибави IP адресу. 3. Покренути Wireshark и стартовати хватање пакета на интерфејсу. 4. Отворити командну линију на клијенту (Start – Run – cmd) и применити команду ipconfig /all. У случају да је клијент добио већ IP адресу од сервера, она ће бити и приказана са свим опцијама које смо дефинисали. Како бисмо у Wireshark-у ухватили пакете који се тичу DHCP протокола, неопходно је да одбацимо добијену адресу командом ipconfig /release, а затим затражимо нову командом ipconfig /renew. 5. По добијању IP адресе на клијенту, у Wireshark-у би требало да имамо ухваћене следеће пакете, које уједно треба и анализирати : •
DHCP Discover
•
DHCP Offer
•
DHCP Request
•
DHCP Acknowledge
6. На серверу, у оквиру DHCP сервера уочити ставку Address Leases у оквиру дефинисаног опсега, где треба уочити да је клијенту додељена прва доступна адреса. 120
VII Вежба
121
VIII ВЕЖБА ТРАНСПОРТНИ СЛОЈ TCP/IP ФАМИЛИЈЕ ПРОТОКОЛА
Циљ вежбе је да се студенти упознају са сервисима које обезбеђује транспортни слој TCP/IP скупа протокола. Студенти ће бити упознати и са механизмима које користи TCP протокол да би обезбедио поменуте сервисе.
VIII Вежба
8. Транспортни слој TCP/IP скупа протокола 8.1 Увод На транспортном слоју TCP/IP модела можемо уочити два протокола, TCP (Transmission Control Protocol) као и UDP (User Datagram Protocol). Ова два протокола налазе се испод апликационог слоја, што значи да ови протоколи обезбеђују услуге апликационим протоколима изнад, односно омогућавају да се поруке и подаци апликација пренесу преко мреже. С друге стране, ови протоколи користе услуге Интернет слоја испод себе, односно IP протокола, који омогућава да се исправно адресирани пакети усмере од једног до другог хоста на Интернету. TCP и UDP се међусобно разликују по питању сервиса који могу да понуде апликацијама, али постоје и функционалности које су исте за оба протокола: 4. сегментирање; протоколи апликационог слоја, као што су http, smtp и други генеришу податке, поруке протокола, које су независне од мрежне инфраструктуре која се користи за пренос тих порука. Интернет је заснован на комуникацији са комутацијом пакета. Задатак транспортног слоја је да податке апликације, низ бајтова, подели у управљивије јединице података – сегменте који се могу пренети мрежом са комуникацијом пакета. Транспортни слој сегментима додаје и своје заглавље, односно контролне информације које су неопходне за исправно функционисање транспортног слоја. Тако креирани сегменти даље се предају Интернет слоју, где се пакују у IP пакете, адресирају и усмеравају ка одредишном хосту. 5. мултиплексирање, конверзација, идентификација софтверског процеса; сама IP адреса (са мрежног слоја) довољна је да јединствено идентификује хост на Интернету, али не и извор или одредиште података на самом хосту - софтверски процес, тј. клијентску или серверску апликацију која је извор података на самом хосту. Оперативни системи, генерално омогућавају истовремено извршавање више апликација. На клијентској радној станици могуће је истовремено покренути, на пример: веб претраживач, клијента електронске поште и клијента за размену инстант порука. На серверу је могуће истовремено покренути, на пример: веб сервер, ftp сервер и ssh сервер. У оба случаја имамо ситуацију да хост (сервер или клијент) има вишеструке конверзације са другим хостовима. Када сегменти енкапсулирани у пакете пристигну на хост, потребно их је разврстати према томе за који софтверски процес су намењени: да ли је пристигао захтев за веб страницом или захтев за удаљеном пријавом за ssh сервер, да ли је стигао одговор од сервера електронске поште, или нова инстант порука. Како би се идентификовали извори и одредишта порука са самих хостова, односно софтверски процеси који иницирају или одговарају на захтеве, транспортни слој уводи ознаке, бројеве портова, које се наводе у заглављима сегмената. Када сегмент пристигне на одредишни хост, на основу броја порта идентификује се софтверски процес коме су намењени приспели подаци.
TCP протокол Оба транспортна протокола баве се сегментацијом и у заглављима својих сегмената уносе изворишни и одредишни број порта који идентификују крајње тачке комуникације на транспортном нивоу. Сем ове сличности, UDP и TCP веома се разликују по сервисима које нуде.
123
Рачунарске мреже
TCP протокол има задатак да обезбеди поуздану комуникацију са краја на крај са успоставом везе, контролом тока, откривањем грешака и дупликата и опоравком од грешака. Поуздан пренос (преко мрежне инфраструктуре која користи непоуздану комуникацију са комутацијом пакета) постиже се додавањем секвенцних бројева сегментима који се шаљу. Услуга коју TCP нуди апликационим протоколима јесте пренос низа бајтова (byte stream) и секвенцни бројеви у сегментима наводе где се бајтови из сегмента налазе у оригиналном низу бајтова. Страна која шаље сегменте очекује потврду за послате сегменте, која обично и стигне с друге стране уколико су бајтови успешно примљени. Уколико потврда не стигне, по истеку часовника, врши се ретрансмисија. Као што је наведено поузданост се између осталог постиже слањем индикације да су подаци приспели. Ово се постиже постављањем посебне заставице у сегменту - ACK заставица. Боља ефикасност постиже се уколико је предајнику дозвољено да пошаље више сегмената пре пријема потврде. TCP користи механизам клизећих прозора, пријемник сигнализира предајној страни колико октета може да пошаље пре него што мора да сачека на потврду пријема. На овај начин може се вршити и контрола тока саобраћаја: оптерећени пријемник може сигнализирати предајнику мању величину прозора како би га успорио.
8.2 Бројеви портова Као што је већ наведено постоје два протокола, TCP и UDP, који нуде различите сервисе апликацијама. Неке апликације користе TCP док другима одговара сервис који нуди UDP. У оба случаја на транспортном нивоу уводи се број порта као ознака софтверског процеса, клијентске или серверске апликације, која је извор или одредиште за сегменте транспортног слоја. На пример, када се на клијентској радној станици покрене веб претраживач, и захтева страница од веб сервера, поруке апликационог протокола ( у овом случају GET порука http протокола) биће енкапсулиране у TCP сегменте, у којима ће бити наведене ознаке софтверских процеса који су укључени у конверзацију: број порта који идентификује клијентски претраживач као изворишни порт, и број порта који идентификује веб сервер, као одредишни порт. Портове можемо да посматрамо као „адресе“ на транспортном слоју, односно као TSAP – Transport Service Access Point, приступна тачка сервиса транспортног нивоа. Како би сегменти били успешно испоручени број порта који идентификује жељени серверски процес мора бити унапред познат пре слања сегмената. У зависности од програмског интерфејса који је коришћен за апликациони протокол могућа су два начина додељивања броја порта серверском процесу и информисања клијената о порту који се користи.
8.3 Бројеви портова за серверске апликације Код већине апликационих протокола који се данас користе на Интернету користи се sockets (утичнице), програмски интерфејс и број порта које користи дата серверска апликација (на пример, http или smtp сервер) увек је исти, и унапред познат клијентској апликацији. За уобичајене апликационе протоколе TCP/IP фамилије регистровани су „добро познати“ (well known) бројеви портова, који су унапред познати клијентима. Евиденцију о регистрованим портовима за апликације врши организација IANA (Intеrnet Assigned Numbers Authority). Списак регистрованих портова доступан је на сваком оперативном систему. За број порта остављено је 16-битно поље у заглављима сегмената, па број порта може да узме вредност од 1-65535. Сви могући портови подељени су у опсеге: 124
VIII Вежба
•
1-1023: добро познати портови (well known ports). Ови бројеви портова регистровани су за уобичајене апликационе протоколе TCP/IP фамилије. На пример за веб сервис, односно http протокол је резервисан TCP порт 80; На основу ове чињенице, захтеви ка веб серверу увек ће бити енкапсулирани у TCP сегмент у коме је као одредишни порт наведен порт 80. Због тога корисник који користи претраживач не мора да наведе број порта сервера. Технички је изводљиво конфигурисати сервер да ради са неподразумеваним портом, али у том случају корисник би морао унапред да зна о ком порту се ради и да тај порт наведе у свом претраживачу. На већини оперативних система само администратор рачунара може да покреће апликације које користе ове портове. Клијентске апликације никада не користе ове портове.
•
1024-41951: регистровани портови. Ови протоколи регистровани су за серверске апликације које нису сасвим уобичајене, или нису отворени стандард него апликације у власништву појединих организација. Примери би били MS SQL сервер или PostgreSQL сервер, Lotus Notes или слични. Додела ових портова није под контролом IANA, али их ова организација ипак региструје за потребе информисања. Генерално, сем наведених серверских апликација и клијентске апликације могу да користе ове портове. На једном хосту само једна апликација може да користи дати порт, али на пример, уколико на хосту није инсталиран MS SQL сервер, нема никакве препреке да веб претраживач користи порт који је регистрован за MS SQL.
•
41952-65535: динамички портови; генерално само клијентске апликације користе ове портове.
Дакле, код већине апликационих протокола, серверска апликација увек користи један исти, за дати протокол регистровани порт, у опсегу од 1 до 1023.
8.4 Бројеви портова за клијентске апликације Док је сталност и непроменљивост портова на серверској страни важна, на клијентској није. Клијентске апликације бирају насумичан порт преко 1023. Конкретно, на Линукс оперативном систему клијенски серверски процеси бирају насумичан порт између 32768 и 61000. То значи да када се на Линуксу два пута узастопно покрене веб претраживач, или истовремено покрену два прозора претраживача, вероватно ће у та два случаја бити коришћена два различита порта између 32768 и 61000.
125
Рачунарске мреже
ВЕЖБЕ Активност 1: Преглед регистрованих портова Списак портова које је регистровала организација IANA доступан је на рачунару. На линукс оперативном систему списак се налази у фајлу /etc/services. На Windows оперативним системима фајл се налази као C:\windows\system32\drivers\etc\services, у питању је обичан текстуални фајл и може се погледати програмом „Notepad“. 1. На Убунту радној станици отворити терминалски програм: Програми -> Алатке -> Терминал. 2. Користићемо програм „pager“ под називом „less“. Ово су програми који могу да приказују садржај текстуалног фајла страну по страну. 3. У терминалском прозору откуцати: less /etc/services. 4. less програм омогућава претрагу фајла. Претражићемо фајл како бисмо нашли порт који је регистрован за www сервис. Укуцати „/“ (без наводника), а затим www, и притиснути дугме <ENTER>. Следеће појављивање узорка добијамо притиском на „n“. Притиском на „n“ наћи ред у тексту који изгледа као „www 80/TCP“. Можемо видети који је порт и протокол регистрован за www сервис, односно за http протокол. Може се видети да је и UDP порт 80 регистрован за http протокол. IANA има праксу да се за дати апликациони протокол региструју и одговарајући TCP и UDP порт, чак и ако апликациони протокол не користи оба транспортна протокола. На пример http протокол не користи UDP иако је порт 80 регистрован. 5. Потражићемо портове које користе протоколи за сервис електронске поште: smtp, pop3 и imap. Укуцати „/“ (без наводника), а затим назив протокола (smtp, pop3 или imap) и притиснути дугме <ENTER>. Уколико се тражени узорак не пронађе у смеру претраге, притиском на „N“ (велико слово N, односно Shift+n), врши се претрага у супротном смеру. 6. Потражити портове који су резервисани за FTP протокол. Укуцати „/“ (без наводника), а затим назив протокола (ftp) и притиснути дугме <ENTER>. Уколико се тражени узорак не пронађе у смеру претраге, притиском на „N“ (велико слово N, односно Shift+n), врши се претрага у супротном смеру. 7. Потражити портове који су резервисани за DHCP и BOOTSTRAP протоколе. Укуцати „/“ (без наводника), затим назив протокола (boops) и притиснути на дугме <ENTER>. Уколико се тражени узорак не пронађе у смеру претраге, притиском на „N“ (велико слово N, односно Shift+n), врши се претрага у супротном смеру. 8. На исти начин претражити портове за протоколе који нису део TCP/IP фамилије али су регистровани (портови преко 1023). Потражити портове за сервисе ms-sql и mysql. 9. Притиском на дугме „q“ напустити програм less.
Алтернативни начини избора порта Наведени начин одређивања портова које користе серверске апликације, односно употреба увек истог порта, који је регистрован и добро познат клијенту, веома је чест међу апликационим протоколима.
126
VIII Вежба
Постоји и алтернативни начин, који се користи код апликација које користе RPC (Remote Procedure Call) програмски интерфејс. Код RPC серверских апликација, на серверском хосту постоји посебан сервис код кога RPC серверски процеси са истог хоста региструју своје портове. Овај серверски процес, који је задужен за регистрацију портова осталих RPC серверских процеса на Линукс оперативном систему назива се portmapper, а на Windows оперативном систему end point mapper – emap“. Portmapper користи добро познати порт TCP 111, док end point mapper на Windows оперативном систему користи порт 135. RPC клијент контактира portmapper или end point mapper и добија информацију који порт користи серверски RPC процес који му је потребан. RPC клијенти и сервиси су пре свега карактеристични за локалне рачунарске мреже и ретко се користе на Интернету. Примери RPC сервиса на Линукс оперативном систему били би NIS (Network Information Service, један од начина за централизовану администрацију корисничких налога у мрежи, данас се замењује са LDAP протоколом), и неколико серверских процеса везаних за NFS (Network File System, мрежни фајл систем за UNIX и Линукс оперативне системе). На Windows оперативном систему примери апликација које користе RPC биле би апликације за удаљено управљање сервисима на другим Windows рачунарима (на пример, „Active Directory Users and Computers“, „Computer Management“ и слични). RPC сервиси су проблематични за употребу на Интернету, јер је због непознатог порта тешко креирати правила за контролу саобраћаја која би заштитила RPC сервис од неауторизованог приступа. Постоји још један начин на који би клијент могао да сазна порт софтверског процеса који нуди одговарајући апликациони сервис у мрежи. Заснива се на употреби DNS система (Domain Name System) и посебних SRV (Service Location) записа. Ови записи требало би да клијенту укажу на ком хосту и порту се налази одговарајући сервис. Релативно мали број клијената подржава овако нешто. Генерално се клијентске апликације ослањају на добро познате портове за дате сервисе, или у мањини користе RPC. Ипак, без обзира на мали број, неки веома важни сервиси ослањају се на постојање SRV записа: на пример, на овај начин се пронађе локација домен контролера у Windows мрежама, као и локација KDC (Key Distribution Center) сервера у мрежама које користе керберос систем за аутентификацију.
Активност 2: Преглед регистрованих RPC сервиса 1. На Убунту радној станици отворити терминалски програм: Програми -> Алатке -> Терминал. 2. Погледати RPC сервисе који су регистровали своје портове код portmapper сервиса на локалном рачунару: унети команду rpcinfo –p.
Sockets-утичнице За сваки од транспортних протокола (TCP и UDP) можемо дефинисати socket, односно утичницу, као пар IP адреса/број порта који јединствено идентификује софтверски процес и хост на коме је процес покренут. Овако дефинисане утичнице крајње су тачке комуникације на транспортном слоју. Свака серверска апликација по покретању креира TCP или UDP утичницу (у зависности од типа серверске апликације). Креирање утичнице значи да на датој IP адреси и на датом (добро познатом) порту серверски апликациони сервис очекује сегменте који ће стићи са утичнице (пар IP адреса клијент/порт (>1023) који је отворила клијентска апликација). На пример: када се на серверу покрене софтверски процес веб сервера, он креира, отвори утичницу, на IP адреси сервера на добро познатом порту 80. Када клијент на својој
127
Рачунарске мреже
радној станици покрене веб претраживач и у адресном пољу претраживача унесе адресу сервера, веб претраживач отвори утичницу на IP адреси клијента на порту већем од 1023, на пример 39536. Крајње тачке комуникације на транспортном нивоу су две утичнице. Услуге које TCP и UDP нуде апликационом слоју разликују се, па се и утичнице ова два протокола разликују. ТCP нуди поуздану услугу са успоставом везе, па TCP утичнице имају своје стање, у смислу да ли је TCP веза остварена, или је у току остваривање везе или прекид везе. Осим тога уколико је веза остварена позната је и друга утичница, на удаљеном хосту која је други крај везе. UDP сервис не познаје успоставу везе, па UDP утичнице немају посебно стање.
Активност 3: Преглед утичница на локалном рачунару Употреба програма netstat.
Активност 4 : Анализа снимљеног саобраћаја Анализу ћемо вршити на основу снимка саобраћаја у току ssh сесије између клијента са адресом 10.10.10.183 и сервера са адресом 10.10.10.1. Снимак се налази у фајлу „ssh.cap“. Потребно је покренути програм „Wireshark“, и отворити фајл са снимком. 1. Први релевантни пакети су са бројем 4 и 5. То су ARP захтев клијента и одговор сервера. 2. TCP је протокол са успоставом везе, па је пре преноса података неопходно да ssh клијент успостави TCP конекцију са ssh сервером. SSH сервер је дуготрајни софтверски процес који је покренут аутоматски покретањем серверског хоста. По покретању ssh сервер је креирао, отворио утичницу, на добро познатом порту 22. TCP утичнице имају своје стање и ова утичница је била у пасивном отвореном стању (LISTEN), у смислу да сервер очекује конекције клијената. 3. Пакети 6, 7 и 8 део су успоставе конекције – троструког договора. Конекцију иницира клијент са адресе 10.10.10.183. Потребно је селектовати пакет број 6 како бисмо погледали детаље TCP сегмента. 4. У пакету 6 отворити грану „Transmission Control Protocol ...“; уочити изворишни и одредишни порт. Изворишни порт је насумично изабрани порт већи од 1023, док је дестинациони порт добро познати порт за ssh протокол. 5. У пакету 6 уочити поље Sequence number. Ово је иницијални секвенцни број за октете које ће слати клијент ка серверу. Програм „Wireshark“ овај број приказује релативно, односно 0. Стваран иницијални секвенцни број приказан је хексадецимално у доњем пољу екрана: хексадецимално D34A7CCD је у ствари 3544874189. 6. У пакету 6 отворити грану „Flags“ како бисмо погледали постављене заставице. Уочити да је једина постављена заставица „Syn“ (Synchronize). Само сегменти којима се успоставља веза имају ову заставицу постављену. Клијент је дакле изабрао иницијални секвенцни број и покушава да то синхронизује с другом страном. Након слања сегмента са постављеном Syn заставицом, и утичница клијента је отворена, у стању SYN-SENT: послат SYN сегмент. 7. У пакету 6 уочити поље „Window Size“. Ово је величина клизећег прозора који наводи овај хост као пријемник, односно овај хост је спреман да прими овај број бајтова пре слања потврде о пријему.
128
VIII Вежба
8. У пакету 6 отворити грану „Options“. Уочити да су коришћене и додатне опције TCP протокола: предајник наводи и жељену максималну величину појединачног сегмента ( Maximum segment size), window scale опција наводи да се раније наведена величина прозора скалира и множи са 32. 9. Отворити пакет 7 и погледати детаље TCP сегмента. Овај сегмент је други у троструком договору. Сегмент потиче са сервера, па је сада изворишни порт 22 док је дестинациони порт 55479. По пријему SYN сегмента, сервер бира свој иницијални секвенцни број који покушава да синхронизује са клијентом. Поновимо да програм Wireshark секвенцне бројеве приказује релативно у односу на ток конекције, па је и овај секвенцни број приказан као 0. 10. У пакету 7 уочити и поље Acknowledgment number. У овом пољу сервер наводи који следећи октет очекује са друге стране. Наведен је број 1, што значи да је сервер примио све октете података закључно са нултим (релативна вредност) и да очекује први. У ствари нулти октет није ни стигао, иницијални SYN сегмент није преносио никакве податке, али иницијални SYN сегмент конзумира један секвенцни број. 11. У пакету 7 отворити поље Flags. Уочити да су постављене заставице SYN и ACK. SYN је постављена јер сервер покушава да синхронизује свој иницијални секвенцни број, док је ACK постављена како би сервер потврдио пријем сегмента из пакета број 6. По пријему SYN сегмента и слању SYN,ACK сегмента, серверска утичница је у стању SYN-RECEIVED. 12. У пакету 7 уочити да је и сервер навео своју величину клизећег прозора. 13. У пакету 7 отворити грану „Options“. Уочити да је и сервер навео максимално прихватљиву величину појединог сегмента, као и да и он дозвољава да се раније наведена величина прозора увећа (windows scale). 14. Селектовати пакет 8, и отворити детаље TCP сегмента. Овај сегмент потиче са клијента. Пошто је у пакету 6 иницирао конекцију слањем SYN сегмента, и у пакету 7 добио потврду за свој иницијални секвенцни број, утичница клијента је у стању ESTABLISHED, односно веза од клијента до сервера је отворена. TCP омогућава два независна смера комуникације и остаје да и клијент потврди серверов иницијални секвенцни број. 15. У пакету 8 уочити изворишни и дестинациони порт. 16. У пакету 8 уочити секвенцни број (1, претходни, у пакету 6 је био нулти, SYN сегмент је конзумирао један секвенцни број као да је послат један октет података). 17. У пакету 8 уочити број потврде (acknowledgement number) – наведен је број 1. Клијент овим сигнализира да су октети закључно са нултим примљени и да се очекује први. Опет SYN сегмент са сервера је конзумирао један секвенцни број. 18. Отворити грану Flags. Уочити да је постављена заставица ACK. Тиме клијент сигнализира да потврђује пријем октета до оног наведеног у acknowledgement number пољу. 19. Када сервер прими овај трећи сегмент, односно потврду свог иницијалног секвенцног броја, и његова утичница прелази у стање ESTABLISHED, односно веза је успостављена. 20. Први бајтови података шаљу се у следећим сегментима. Селектовати пакет број 9 како бисмо погледали његове детаље. Овај пакет потиче од сервера ка клијенту. Секвенцни број првог октета података је 1, а има укупно 32 октета.
129
Рачунарске мреже
21. У пакету 9 отворити грану Flags. Уочити да је постављена заставица ACK јер сервер потврђује да је примио октете закључно са нултим, и очекује први. Постављена је и заставица PSH (Push). Овим се сигнализира пријемнику да примљени сегмент одмах преда апликацији не чекајући на пријем још података. Ово се користи код интерактивних апликација. 22. Изабрати пакет 10. Ово је пакет од клијента до сервера. Уочити изворишни и дестинациони порт. Уочити да је acknowledgement number поље постављено на 33. Клијент сигнализира да је примио 32 октета из претходног пакета 9, и да очекује 33 октет. Уочити да је постављена заставица ACK, што значи да acknowledgement поље треба да се узме у обзир. 23. Сврха синхронизације секвенцних бројева јесте да се омогући поузданост слања и пријема пакета. Снимљени саобраћај одвијао се преко бежичне мреже па је дошло и до губитка података. 24. Изабрати пакет 12. Ово је пакет од сервера ка клијенту. Отворити грану Transmission Controll Protocol, и уочити acknowledgement number: 40. Ово значи да је сервер примио бајтове закључно са 39-им и да очекује 40. бајт од клијента. 25. Изабрати пакет 13. Ово је пакет од клијента ка серверу. Отворити грану са детаљима TCP протокола. Уочити да је Sequence number 40, баш као што је сервер и очекивао. Клијент дакле шаље октете почевши од 40-тог, укупно 792 октета. 26. Изабрати пакет 14. Ово је пакет од сервера ка клијенту. Отворити грану са детаљима TCP протокола. Обратити пажњу на acknowledgement number: 40. Сервер није примио пакет број 13 и не потврђује га. Још увек очекује 40. бајт. 27. Изабрати пакет 15. Ово је пакет од клијента ка серверу. Отворити грану са детаљима TCP протокола. Иако није примио потврду за претходно послати сегмент, из пакета 13, клијент би могао да наставља да шаље. Клијент би то смео да ради јер му је сервер сигнализирао величину прозора (window size) која још није испуњена. Величина прозора означава количину бајтова који могу да буду још увек непотврђени у транспорту. Величина прозора може се динамички мењати у току конекције. Њом сваки хост оглашава своју спремност за пријем и мењањем величине прозора може утицати на брзину предаје података. Конкретно у пакету 15 клијент само потврђује серверу октете из пакета 14 и не шаље своје октете јер је логика апликације таква да се очекује порука апликационог протокола са сервера – ssh клијент тренутно нема шта да пошаље. 28. Изабрати пакет број 16 и отворити детаље TCP протокола. Ово је поново пакет од клијента ка серверу. Пошто у задато време, пре истека часовника, није стигла потврда за сегмент из пакета 13, клијент врши ретрансмисију. Поново шаље податке које је већ послао у сегменту 13: почевши од 40-ог укупно 792. 29. Изабрати пакет број 17 и отворити детаље TCP протокола. Ово је пакет од сервера ка клијенту. Уочити да је acknowledgement number 832. Ово значи да сервер потврђује пријем сегмента из пакета 16. 30. TCP протокол има и процедуру за прекид везе. Генерално се сваки смер конекције (од сервера ка клијенту и од клијента ка серверу) може затворити независно. Као и отварање, и затварање конекције обично иницира клијент. Затварање конекције иницира се на захтев клијентске апликације слањем сегмента у коме је постављена заставица FIN. Клијентска утичница прелази у стање FIN-WAIT1 и очекује од друге стране да потврди пријем ACK сегмента. Серверска страна по пријему FIN сегмента
130
VIII Вежба
шаље потврду и сигнализира серверској апликацији да је у току затвање конекције. Серверска утичница прелази у стање CLOSE-WAIT (сервер се припрема за затварање), док клијентска страна по пријему потврде прелази у стање FIN-WAIT2, односно очекује да и сервер затвори своју страну конекције. 31. Када је и серверска страна спремна да затвори своју страну везе шаље FIN сегмент и серверска утичница прелази у стање LAST-ACK. Када клијент прими овај сегмент шаље потврду и прелази у страње TIME-WAIT. Још једно време конекција на клијенту није затворена. Клијент чека на два максимална времена живота сегмента (према RFC-у то је 120 секунди, неки оперативни системи као што је Линукс користе вредност 30 секунди). 32. Могући су и краћи начини прекида везе. У снимку у фајлу прекид везе иницира клијент у пакету са бројем 104, слањем сегмента са постављеном FIN заставицом. Клијентска утичница прелази у стање FIN-WAIT1. 33. У пакету 105 дешавају се две ствари. Прво, сервер потврђује прекид клијентове стране везе постављајући ACK заставицу. Приметити да је Acknowledgment number такав да изгледа као да је у претходном сегменту било података. Ради се о томе да је FIN сегмент у пакету 104 такође конзумирао један секвенцни број. Друга ствар је да је и сервер спреман да прекине своју страну везе, па и он поставља FIN заставицу у сегменту. 34. У пакету 106, по пријему сегмента из пакета 105, клијент шаље потврду и његова утичница прелази у стање TIME-WAIT. На линуксу ово стање траје 60 секунди. 35. По пријему пакета серверска страна може да затвори своју страну везе.
131
IX ВЕЖБА РАЗРЕШАВАЊЕ ИМЕНА РАЧУНАРА
Циљ вежбе је да се студенти упознају са начином функционисања система за разрешавање имена хостова у IP адресе. У практичном делу вежбе биће приказано тестирање рада система за разрешавање имена.
IX Вежба
9. Разрешавање имена рачунара 9.1 Увод У готово свим серверским и клијентским мрежним апликацијама дозвољено је да се на друге рачунаре реферишемо њиховим именима (нпр. www.google.com, rs55.labnet.viser.edu.rs) уместо са тачним IP адресама. Ово не само да олакшава рад са апликацијама него омогућава флексибилност у конфигурисању IP адреса. Неки хостови могу да имају више адреса, или исти сервис може бити доступан на неколико хостова, или хостови могу мењати адресе. Уколико се реферишемо на име хоста или сервиса, а не на IP адресу, нисмо обавезни да знамо детаље адресирања и организовања сервиса и не зависимо од промене IP адресе хоста. Апликација коју користимо, и у којој смо се на други хост реферисали на основу имена тог другог хоста (нпр. у адресном пољу претраживача унесемо име “www.google.com” уместо IP адресе сервера), може позивом одговарајуће функције оперативног система (gethostbyname()) да дато име разреши у једну или више IP адреса тог хоста. Механизам за разрешавање имена са своје стране мора се ослањати на неку базу података у којој је симболично име рачунара мапирано на одговарајућу IP адресу хоста.
9.2 Фајл „hosts“ Један начин да се креира база са подацима о именима и адресама хостова јесте да се те информације унесу у одговарајући текстуални фајл, који је потребно ископирати на све рачунаре у мрежи, како би апликације на тим рачунарима биле способне да име удаљеног рачунара разреше у одговарајућу IP адресу. Ово је некада био једини начин за разрешавање имена рачунара, а данас је само један од неколико који се користе. Поменути фајл има назив „hosts“ и има једноставан формат: свака линија у фајлу садржи IP адресу, пуно име и евентуално алијас – кратко име неког хоста. У време када је ово био једини начин да се име рачунара разреши у IP адресу хоста, било је потребно да се на централном месту одржава hosts фајл са именима свих рачунара на Интернету, као и да сви остали рачунари на Интернету повремено пренесу ажурну верзију овог фајла на свој систем фајлова. У данашње време за разрешавање имена хостова на Интернету користи се другачији систем, јер је данас практично немогуће одржавати централизовану базу - текстуални фајл са именима свих хостова на Интернету, коју би затим сви хостови на Интернету повремено копирали на свој диск. Иако hosts фајл данас нема важност коју је некада имао, он је још увек саставни део разрешавања имена рачунара на сваком појединачном хосту, библиотеке за разрешавање имена консултују hosts фајл пре било ког другог система за разрешавање имена. Овај фајл се и данас може користити за решавање проблема разрешавања имена рачунара у мањим мрежама. Мана овог система је што захтева ручну интервенцију – копирање нове верзије фајла на сваки рачунар, сваки пут када се нови хост дода у мрежу. Овакав систем има и једну предност, хостови су способни да разреше имена у адресе на основу локално доступних информација, чак и ако тренутно постоје проблеми са функционисањем мрежних сервиса. Због овога се hosts фајл користи за разрешавање имена најважнијих хостова и сервиса у мрежи, док се други систем користи за разрешавање имена осталих хостова у мрежи и на Интернету.
133
Рачунарске мреже
9.3 Систем за разрешавање имена хостова DNS (енг. Domain Name System) Данас се за разрешавање имена рачунара користи посебан мрежни сервис, систем имена домена – Domain name system, заснован на истоименом протоколу апликационог нивоа. Ово је клијент-сервер мрежни сервис, где је клијент софтверски процес - „resolver“, најчешће одговарајућа компонента оперативног система клијената која покушава да разреши име у адресу, док је серверска компонента сервиса DNS сервер, који одговара на упите клијената. Саставни део конфигурације хостова је и подешавање адресе DNS сервера који се користи за разрешавање имена рачунара. DNS база, која се користи за разрешавање имена сасвим је другачија од некадашњег hosts фајла. Уместо централизованог одржавања текстуалног фајла, DNS база је дистрибуиран систем – у смислу да се комплетне информације, потребне за разрешавање имена, не налазе на једном – централном месту. Уместо „равне“ базе, обичног списка хостова, DNS база представља хијерархијски систем имена домена и хостова.
9.3.1 Логичка структура DNS стабла DNS база је организована као хијерархијска база, у облику стабла. Назива се и простор имена домена. Простор имена („namespace“) је апстрактна логичка структура у којој имена представљају неке друге информације (нпр. имена хостова представљају IP адресе). Домен представља логичку групу хостова – административну целину. Стабло има свој корен, који се означава тачком („.“), а одатле се грана на поддомене. Домени на првом нивоу испод корена називају се „Top level“ домени, домени на врху. То су домени са називима „.com“, „.edu“, „.mil“, „.gov“, као и домени са ISO ознакама за називе земаља, такозвани национални домени, као што су „.rs“, „.de“, „.si“ и слични. Називи домена на врху дефинисани су одговарајућим RFC документима, и њихов број се новим документима повећавао. Називи би требало да омогуће логичко груписање поддомена, на пример испод „.com“ (comercial) домена требало би да се налазе домени комерцијалних организација, испод „.edu“ домена требало би да се групишу сви домени образовних организација и слично. Често испод националних домена такође постоје поддомени, чија је намена такође да логички групишу домене: „.edu.rs“ за образовне организације, „.co.rs“ за комерцијалне организације, итд.
Слика 9.1 : DNS стабло
134
IX Вежба
Сваки чвор у стаблу има своје кратко име – лабелу која генерално није јединствена (нпр. www). Да бисмо јединствено идентификовали неки чвор у стаблу, морамо навести потпуно квалификовано име (енг. Fully Qualified Domain Name - FQDN), на пример „www.viser.edu.rs“. Хијерархијски систем домена, односно правила за употребу овог простора имена омогућавају да два чвора имају исто име, под условом да се налазе на различитим местима у хијерархији (на пример „edu“ или „www“). Навођењем потпуно квалификованог имена чвора можемо јединствено идентификовати било који чвор у хијерархији и, на пример извршити упит, затражити адресу неког хоста.
9.3.2 Физичка организација стабла DNS база се не налази на једном, централном месту, једном DNS серверу, нити се као јединствена целина администрира од стране једне организације. Логичка хијерархија стабла омогућава да се база физички и административно дистрибуира. База је подељена у зоне, које се физички налазе на различитим серверима, под административном одговорношћу различитих организација. Дистрибуираност се постиже делегирањем одговорности. На нивоу једног домена може се делегирати одговорност за поддомене тог домена неким другим организацијама. То је једини начин на који нека организација може постати одговорна за неки део стабла. Организација којој је делегиран домен може аутономно да администрира своју зону, свој поддомен, на својим DNS серверима, на својој локацији. Делегација подразумева да се на нивоу надређеног домена, који је дао некоме делегацију, постави одговарајућа информација, „показивач“, која говори на којим серверима се налазе информације које потпадају под делегирани поддомен. На основу тих информација, DNS база може се претраживати као јединствена база иако је физички и административно хијерархијски „распрарчана“. Аутономна администрација домена значи да нека организација може самостално да уноси у свој део базе информације о новим хостовима, или да креира поддомене свог домена. Самосталност значи и да дата организација може и сама да делегира одговорност за неке своје поддомене трећој организацији.
Слика 9.2 : DNS зоне
135
Рачунарске мреже
На пример, корен читавог стабла је у одговорности организације IANA, већина поддомена непосредно испод корена, односно домени на врху (top level domains) делегирани су комерцијалним организацијама (као што је „Verisign“ за „.com“), који са своје стране, под комерцијалним условима делегирају поддомене комерцијалним организацијама (нпр. „ibm.com“). Национални домени на врху делегирани су националним регистрима. Домен „.rs“ делегиран је организацији РНИДС (Регистар националног интернет домена Србије). Ова организација под својом администрацијом држи домен „.rs“, као и поддомене „co.rs“, „edu.rs“, „org.rs“, „in.rs“. Поддомени „ac.rs“ и „gov.rs“ су делегирани академској мрежи и државним органима. Поддомен „viser.edu.rs“, делегиран је нашој школи и физички се налази на серверима под локалном администрацијом. Администрација наше мреже може самостално да одржава овај део глобалне DNS базе, укључујући да креира поддомене („labnet.viser.edu.rs“). Да би нека организација добила делегацију мора да поседује најмање два DNS сервера под својом контролом (на својој локацији или код свог Интернет посредника), као и да се пријави код регистра за свој надређени домен. РНИДС је посао регистрације (не и административну одговорност) препустила комерцијалним организацијама – Интернет посредницима, који тај посао обављају под комерцијалним условима за своје клијенте.
9.3.3 DNS зона, DNS сервери DNS зона је део стабла под административном одговорношћу једне организације. Зона се састоји од DNS информација – ресурсних записа који представљају информације о хостовима и њиховим адресама, али и друге информације, као што су информације о административном контакту за зону, информације о DNS серверима за дату зону, информације о DNS серверима за евентуално делегиране поддомене и неке друге. Зона може обухватати само један домен, домен и део поддомена, или домен и све поддомене тог домена. DNS зона се чува на DNS серверима под администрацијом неке организације. DNS сервери који код себе имају комплетне информације о датој зони називају се ауторитативни сервери за дату зону. Сервери су ауторитативни за дату зону у смислу да могу дати коначан и најбољи могућ одговор на DNS упит који спада под њихову одговорност. На пример, сервери ауторитативни за зону „viser.edu.rs“ могу дати коначан, ауторитативан одговор на DNS упит за било које име хоста које се завршава са „.viser.edu.rs“. Код већине имплементација DNS сервера, међу ауторитативним серверима разликује се један примарни сервер, и један или више секундарних DNS сервера за дату зону. Измене зоне врше се на примарном серверу, док секундарни сервери синхронизују своју копију зоне са примарним сервером. Овај посао одвија се аутоматски и назива се трансфер зоне.
9.3.4 Врсте упита Као што је већ речено, саставни део конфигурације TCP/IP протокола на хосту је и адреса DNS сервера који се користи за разрешавање имена других хостова на Интернету. Хостови разрешавају имена других хостова шаљући DNS упите конфигурисаном DNS серверу. Тај DNS сервер може бити ауторитативан за једну или више зона и одговарати на упите на основу локално доступних информација. 136
IX Вежба
Чешћи је случај да DNS сервер добије задатак да разреши упит за који није ауторитативан, на пример, сервер који није ауторитативан за зону „debian.org“ добије задатак да разреши упит, односно одреди адресу за „www.debian.org“. Сервер не може да разреши овакав упит на основу локално доступних информација, већ мора да контактира друге DNS сервере на Интернету. Генерално када сервер добије упит за ресурс за који није ауторитативан, могао би да: 1. упути клијента на неки други DNS сервер, који јесте ауторитативан, са којим би клијент наставио упит, 2. сервер би могао да за рачун клијента контактира друге сервере, разреши упит и клијенту пошаље коначан одговор. Прва врста упита назива се итеративни упит. Итеративни одговор само упућује клијента на неки други сервер са којим би клијент извршио следећу итерацију претраге. Друга врста упита назива се рекурзивни упит. Када сервер решава рекурзивни упит, он сам контактира у неколико итерација друге сервере и клијенту врати коначан одговор.
Слика 9.3 : Рекурзивни и итеративни упити
Клијенти у локалној мрежи шаљу рекурзивне упите конфигурисаном DNS серверу, док сервер контактирајући друге сервере шаље итеративне упите. На пример, претпоставимо да је клијент из локалне мреже послао рекурзивни DNS упит свом конфигурисаном серверу захтевајући да се разреши упит, IP адреса за име „www.debian.org“. Ток рекурзивних и итеративних упита био би следећи:
137
•
Клијент проследи упит за „www.debian.org“ захтевајући рекурзију, односно коначан одговор, а не показиваче на друге сервере.
•
DNS сервер на овакав упит не може да одговори на основу локалних информација, јер није ауторитативан за ту зону. Да би разрешио овај упит сервер мора да контактира друге DNS сервере на Интернету. Сервери на Интернету обично су конфигурисани тако да одбијају рекурзивне захтеве непознатих клијената. Такви сервери шаљу само итеративне одговоре, односно упуте клијента на неки други DNS сервер коме се шаље следећа итерација упита. У првој итерацији локални DNS сервер пошаље упит серверима ауторитативним за корен DNS стабла.
•
Сервери ауторитативни за корен стабла дају итеративни одговор: упућују локални сервер на сервере ауторитативне за „.org“ домен.
Рачунарске мреже
•
Локални DNS сервер шаље итеративни упит серверу ауторитативном за „.org“ домен.
•
Сервери ауторитативни за „.org“ домен шаљу итеративни одговор: упућују локални сервер на сервере ауторитативне за „.debian.org“ домен.
•
Локални DNS сервер шаље итеративни упит серверу ауторитативном за „.debian.org“ домен.
•
Сервер ауторитативан за „.debian.org“ домен шаље ауторитативан одговор, адресу за хост са именом „www.debian.org“.
•
Локални DNS сервер враћа клијенту рекурзивни одговор до кога је дошао преко неколико итеративних упита ка серверима на Интернету.
9.3.5 Кеширање одговора Како би се смањила количина саобраћаја потребна за разрешавање имена, DNS сервери кеширају, односно једно одређено време памте одговоре које су прикупили током разрешавања. Уз сваки одговор назначена је и TTL („Time To Live“) вредност, која говори колико дуго одговор може да се сматра валидним. За то време DNS сервер може да одговара на основу овако запамћених вредности.
9.3.6 Директна и реверзна претрага Претрага код које се захтева непозната адреса за познато име назива се директна претрага. Простор имена који је до сада описан служи за овакву претрагу. Осим ове, постоји и реверзна претрага, код које је позната IP адреса али не и име хоста који има овакву IP адресу. До сада описани простор имена не може се користити за овакву претрагу. Како би се омогућила реверзна претрага постоји још један простор имена, простор за реверзну претрагу. Код овог простора имена на врху се налази домен „.arpa“, са поддоменом „ .inaddr.arpa“. Испод овог домена налазе се домени који симболично представљају октете IP мрежа (написане уназад). И овај простор имена функционише на исти начин: постоје ауторитативни сервери, делегација поддомена, примарни и секундарни сервери. Уз помоћ оваквог простора имена може се вршити реверзна претрага.
138
IX Вежба
ВЕЖБЕ Активност 1: Преглед hosts фајла Фајл hosts се на Линукс оперативном систему налази као /etc/hosts, док се на Windows оперативном систему налази као C:\Windows\System32\drivers\etc\hosts. 1. На Убунту радној станици отворити терминалски програм (Програми -> Алатке -> Терминал). 2. Потребно је отворити фајл hosts. Користићемо „pager“ програм less: у терминалу унети less /etc/hosts <Enter>. 3. Уочити неколико линија са адресама и именима хостова у мрежи. 4. Уочити да постоји линија којом се IP адреса саме радне станице мапира у име хост радне станице. На Линукс оперативном систему ова ставка омогућава да хост одреди име домена у коме се налази, што може бити битно за неке серверске апликације. 5. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“. 6. Притиском на тастер „q“ напустити програм less. 7. На Windows виртуелној машини отворити „My Computer“, а затим отворити фајл C:\Windows\System32\drivers\etc\hosts (у питању је текстуални фајл, на Windows оперативном систему може се отворити програмом „Notepad“). 8. Уочити да постоји линија којом се 127.0.0.1 мапира у симболично име „localhost“.
Активност 2: Претрага DNS система За разрешавање имена обично је задужена компонента оперативног система („resolver“), па не постоји посебна клијентска алатка која би се користила за DNS упите потребне за нормалан рад апликација. Ипак постоје алатке за претрагу DNS система које се пре свега користе за проверу исправности рада DNS система. Поменућемо алатке „nslookup“ (постоји и на Линукс и на Windows оперативном систему) као и алатку „dig“ (постоји само на Линукс оперативном систему). Програм nslookup има два начина рада. У најједноставнијем начину можемо послати DNS упит серверу који је конфигурисан на радној станици. На пример: 1. У терминалском прозору Убунту радне станице укуцати: nslookup www.google.com <ENTER>. Конфигурисани DNS сервер разрешиће име и послати нам одговор. 2. пробати и: nslookup www.viser.edu.rs <ENTER>. Осим разрешавања познатог имена у непознату IP адресу, DNS систем може да разреши обрнуту ситуацију - позната IP адреса, а непознато име. •
У терминалском прозору Убунту радне станице укуцати: nslookup 213.244.236.5 „Ентер“.
Осим овог начина рада, у коме можемо брзо проверити способност конфигурисаног сервера да разреши упите за директно претраживање (име→адреса), као и упите за реверзно претраживање (адреса→име), постоји и интерактивни начин рада. •
139
У терминалском прозору Убунту радне станице укуцати: nslookup <ENTER>.
Рачунарске мреже
И у овом начину рада можемо унети име, односно адресу која треба да се разреши: 1. У оквиру nslookup програма унети: www.google.com <ENTER>. 2. Проверити и реверзну претрагу: унети 213.244.236.5 <ENTER>. Интерактивни начин рада дозвољава да наведемо и тип одговора који очекујемо. Информације којима располаже DNS сервер представљене су ресурсним записима (Resouce Records). Када желимо да сазнамо адресу рачунара на основу имена, добијамо информацију на основу одговарајућег адресног записа (ознака А). Када желимо да сазнамо име за непознату адресу, добијамо информације на основу PTR („Pointer“) записа. Сем ових записа за нормално функционисање DNS система постоје и неки други типови записа. На пример постоји Start Of Authority запис (ознака SOA). У овом запису садржане су информације о примарном серверу одговорном за зону која се наведе у упиту. На пример: •
У оквиру nslookup програма унети: set type=SOA <ENTER>.
овим смо рекли nslookup програму да нас интересује SOA тип записа. 1. Уносимо зону која нас интересује: google.com <ENTER>. Можемо погледати информације које садржи SOA запис за зону: 1.
origin се односи на примарни DNS сервер одговоран за дату зону.
2.
mail addr претставља адресу електронске поште особе одговорне за одржавање зоне. Карактер ‘@’ има специјално значење у фајлу који чини зону, па је у адреси замењен са ‘.’ (тачка).
3.
serial представља серијски број зоне. То је неозначена 32-битна вредност, али конвенција је да се наводи у облику ГГГГММДДАБ (Година,Месец,Дан, и две додатне цифре АБ, на пример серијски број промене у току датог дана). За функционисање DNS система битно је да се овај број инкрементира сваки пут када се направи измена у DNS зони. На основу серијског броја зоне секундарни сервери знају да ли код себе имају најсвежију верзију зоне. Иако је горенаведен формат само конвенција, обично на основу овог броја можемо видети када је последњи пут промењена зона.
4.
refresh представља интервал у секундама након ког секундарни сервери треба да провере да ли се код примарног сервера налази новија верзија зоне.
5.
retry представља интервал за поновне покушаје секундарних сервера да освеже зону уколико први покушај, после refresh секунди није успео.
6.
expire представља интервал после ког секундарни сервери престају са покушајима да освеже зоне, и престају да себе сматрају ауторитативним за зону коју нису успели да освеже.
7. minimum представља TTL (време памћења одговора). Сваки DNS одговор садржи и TTL вредност која говори колико дуго тај одговор може бити сматран валидним. Обично постоји подразумевана вредност која важи за све записе у зони, при чему појединачни записи могу имати сопствене вредности. TTL постоји и за негативне одговоре (име које је наведено у упиту не постоји). Новијим RFC документом предвиђено је да minimum представља TTL вредност коју ће сервер слати у негативним одговорима. Поред SOA записа постоје и други типови записа који су неопходни за функционисање DNS система. На пример постоје и Name Server записи у зони (ознака је NS) који описују све DNS сервере, примарне и секундарне, који су ауторитативни за дату зону. Можемо их погледати на следећи начин:
140
IX Вежба
1. У оквиру nslookup програма унети: set type=NS „Ентер“. Овим смо рекли nslookup програму да нас интересује NS тип записа. 2. уносимо зону која нас интересује: google.com <ENTER>, на тај начин можемо погледати списак DNS сервера за наведену зону. За функционисање система електронске поште неопходно је постојање Mail Exchanger записа (ознака MX). Ово су SMTP сервери задужени да примају пошту намењену за nešto@domen. Можемо их погледати на следећи начин: 1. У оквиру nslookup програма унети: set type=MX <ENTER>. Oвим смо рекли nslookup програму да нас интересује MX тип записа. 2. уносимо зону која нас интересује: google.com <ENTER>. Можемо погледати списак сервера који примају поруке електронске поште за дати домен. Сваки овакав запис има придружен и број ”Preference Level” - ниво приоритета. Мањи број означава већи приоритет. Испорука ће бити покушана најпре са серверима који имају већи приоритет. Сервери који имају нижи приоритет користе се само ако су остали сервери недоступни. Поново ћемо обратити пажњу на имена која смо разрешили на самом почетку: 1. У оквиру nslookup програма унети: set type=A <ENTER>. овим смо рекли nslookup програму да нас интересује адресни (А) тип записа. 2. уносимо зону која нас интересује: www.google.com <ENTER>. Обратити пажњу на две ствари: •
www.google.com canonical nаme = ..., из овог записа видимо да је www.google.com само алијас, надимак, за сервер који се стварно зове другачије. Сем до сада наведених записа постоје и Canonical Name записи (ознака CNAME) који су само алијас за неко друго име.
•
може се видети да постоји неколико сервера који се крију иза истог надимка и имају исто име, односно да је дозвољено да постоји више адресних записа истог имена, а различитих адреса. Ово је једноставан облик расподеле оптерећења међу серверима.
3. откуцати exit <ENTER> и напустити програм nslookup. Програм dig омогућава да се произвољним DNS серверима шаљу упити за жељени тип записа. Програм може приказати и статусне заставице (flag-ове) које постоје у одговору, што некад може да олакша решавање проблема. Додатне информације које програм може да прикаже виде се и у снимку саобраћаја који је направљен програмом Wireshark. Упити се шаљу употребом UDP протокола, са случајно изабраног изворишног порта на порт 53 на DNS серверу. Сваки упит има и број трансакције (Transaction ID) уз помоћ кога се може упарити са одговарајућим одговором. Прва заставица означава да ли је у питању упит или одговор.
141
•
Операциони кôд говори да ли је у питању стандардни или инверзни упит.
•
Recursion Desired заставицу поставио је клијент у упиту наводећи да би желео да сервер изврши рекурзију.
•
Наведен је и укупан број питања (1 у нашем случају) и која су то питања (www.google.com).
X ВЕЖБА ЗАШТИТА РАЧУНАРСКИХ МРЕЖА ФИЛТРИРАЊЕМ ПАКЕТA И ПРЕВОЂЕЊЕ АДРЕСА
Циљ првог дела вежбе је да се студенти упознају са потребом за филтрирањем мрежног саобраћаја и са начином на који се филтрирање постиже помоћу рутера. У другом делу вежбе студенти ће се упознати са појмом јавних и приватних IP адреса као и са начинима превођења приватних адреса у јавне.
X Вежба
10. Заштита рачунарских мрежа филтрирањем пакетa и превођење адреса 10.1 Рутер као сигурносни уређај 10.1.1 Увод Рутери су уређаји који на мрежном нивоу повезују две или више мрежа. Рутери се уводе у мрежну инфраструктуру како би сегментирали мрежу у мање бродкаст домене и омогућили одређен ниво сигурности. Сав саобраћај који излази из неког сегмента мреже, или са Интернета или другог сегмента мреже улази у мрежу мора да прође кроз рутер. Уколико се тако конфигурише рутер може да контролише саобраћај који се прослеђује преко његових интерфејса, и да функционише као заштитна баријера, firewall. Када функционише као сигурносни уређај, рутер може да испитује саобраћај, на трећем слоју или вишим слојевима и да према сопственој конфигурацији одлучи да ли ће саобраћај бити пропуштен или не. Администатор рутера може да креира листе за контролу приступа, филтере саобраћаја, којима се описује саобраћај који је дозвољен и онај који није дозвољен. Саобраћај се може описивати на основу информација из заглавља IP пакета (трећи слој) и пропуштати на основу изворишних и/или дестинационих IP адреса. Иако се рутер сматра уређајем на трећем слоју OSI модела, када се рутер конфигурише као сигурносни уређај може да ( у зависности од имплементације) испитује саобраћај и на четвртом нивоу. Такав рутер може да блокира или пропушта саобраћај на основу изворишног или дестинационог TCP или UDP порта. Пошто већина протокола апликационог нивоа користи добро познате портове за серверске процесе, контролом саобраћаја према дестинационом порту се ефективно контролише доступност неког од сервиса апликационог нивоа: на пример, ако се забрани TCP саобраћај који је намењен за дестинациони порт 80, ефективно се спречава приступ веб серверу.
10.1.2 Листе за контролу приступа Листа за контролу саобраћаја је низ описа пакета или сегмената, при чему је сваком опису придружена акција „пропусти“ или „одбаци“. Једноставно речено, листа за контролу приступа изгледа као низ упутстава рутеру типа: „пропусти пакет ако изгледа овако“, и „одбаци пакет ако изгледа овако“. Опис саобраћаја, односно шта то значи „ако изгледа овако“, наведен je описом изворишне или дестинационе IP адресе, или TCP или UDP порта, или навођењем заставица у заглављу TCP сегмента. Код већине имплементација, уколико се прими пакет који не одговара ниједном опису, пакет се одбацује.
10.1.3 Смер саобраћаја Опис саобраћаја укључује и смер саобраћаја, односно да ли пакет улази у рутер преко неког интерфејса (смер „IN“) или излази из рутера преко неког интерфејса (смер „OUT“). Код таквих имплементација контроле саобраћаја, пакет може бити проверен два пута. На пример, када пакет са Интернета долази у локалну мрежу може га проверити листа за контролу приступа када се пакет преузме са спољњег интерфејса рутера, а затим када после рутирања пакет треба да изађе из рутера у локалну мрежу може се десити да се још једном провери уз одговарајућу листу за контролу приступа. 143
Рачунарске мреже
Тако се може бирати смер саобраћаја који се контролише. Уколико контролишемо „IN“ смер на спољњем интерфејсу рутера, контролишемо који ће сервиси у локалној мрежи бити доступни са Интернета. Уколико желимо да контролишемо који сервиси са Интернета ће бити доступни клијентима у локалној мрежи, можемо контолисати „IN“ смер на интерфејсу ка локалној мрежи.
Слика 10.1 : Контрола смера саобраћаја
Овакву логику има контрола саобраћаја на CISCO опреми, сервис за рутирање и удаљени приступ на Windows оперативном систему, као софтвер за контролу саобраћаја на FreeBSD и сличним оперативним системима. Филтрирање саобраћаја на Линукс оперативном систему има нешто другачију логику. Пакет се најпре разврстава у ланце саобраћаја („chains“): пакети намењени за сам рутер иду у INPUT ланац, пакети који потичу са самог рутера иду у OUTPUT ланац, док се пакети који се само прослеђују иду у FORWARD ланац. Сваки ланац може да има свој скуп правила која укључују изворишне и дестинационе адресе, портове и заставице, као и улазни и излазни интерфејс.
Слика 10.2: Ток за филтрирање саобраћаја на Линукс оперативном систему
10.1.4 Праћење стања саобраћаја Напредније апликације софтвера за контролу саобраћаја омогућавају да се саобраћај контролише не само према статички, унапред задатим описима саобраћаја, већ и према контексту самог пакета, односно стању у коме се тренутно налази мрежна конекција. Овакво филтрирање омогућава да се динамички креирају правила која дозвољавају пролаз пакетима ако су део већ успостављене везе коју је иницирао клијент из локалне мреже.
144
X Вежба
На пример, филтером за контролу саобраћаја може се дозволити клијентима из локалне мреже да иницирају конекције ка веб серверима на Интернету. Када неки клијент из локалне мреже иницира конекцију ка, на пример www.google.com, овакав систем аутоматски креира привремено правило које ће дозволити да се пакет са www.google.com врати клијенту који је иницирао конекцију. Овакви системи могу да прате и стања протокола који иначе нису са успоставом везе, као што је UDP, или ICMP. Оваква заштитна баријера обично се назива statefull firewall, и омогућава много прецизнију контролу саобраћаја него системи који овако нешто не подржавају, као и много једноставнији рад. Пошто је већина саобраћаја двосмерна, ако се жели обезбедити доступност неког сервиса морају се у принципу подесити два правила: правило које описује и дозвољава саобраћај који иницира клијент, као и правило које описује и дозвољава саобраћај који представља одговор клијента. Када се користи систем који води рачуна о стању саобраћаја довољно је подесити правило, дозволу да клијент приступа неком серверу. Оваква заштитна баријера – statefull firewall, аутоматски ће креирати привремена правила која ће дозволити саобраћај са сервера који је одговор на захтев клијента.
10.2 Рутер као уређај за транслирање мрежних адреса 10.2.1 Увод Као једна од мера успоравања потрошње адреса из коначног IPv4 адресног простора одређен број IP адреса одвојен је за приватну употребу, према документу RFC 1918. Одређени блокови адреса из класа А, Б и Ц административно су издвојени из адресног простора валидних адреса на Интернету и предвиђени за употребу за приватне мреже, неповезане са Интернетом. На овај начин креиран је адресни простор који омогућава једноставно решавање проблема адресирања хостова у локалним мрежама, без посебних административних процедура које су потребне када се изнајмљује јавни адресни простор. Употреба приватних адреса дерегулисана је, што значи да нико не контролише њихово додељивање мрежама. То између осталог значи и да такве адресе нису (гарантовано) јединствене, па због тога нису валидне за употребу на Интернету. Рутери на Интернету не рутирају саобраћај ка или од мрежа са приватним адресама. RFC документом 1918 следеће мреже одвојене су као приватни адресни простор: •
Једна мрежа из класе А: 10.0.0.0/8.
•
Шеснаест мрежа из класе Б: 172.16.0.0/12; ова CIDR нотација се може посматрати као скуп мрежа из класе Б, од 172.16.0.0/16 до 172.31.0.0/16.
•
Две стотине педесет и пет мрежа из класе Ц: 192.168.0.0/16; ова CIDR нотација може се посматрати као скуп мрежа из класе Ц, од 192.168.0.0/24 до 192.168.255.0/24.
Пошто приватне адресе нису јединствене на Интернету, као и зато што рутери на Интернету немају руте до ових мрежа, саобраћај између мрежа са приватним адресама и остатком Интернета, генерално, није могућ. Уколико је ипак потребно повезати приватне мреже на Интернет, морају се користити додатни механизми, посредни уређаји, који ће решити проблем невалидних приватних адреса. Посредни уређаји за повезивање приватних мрежа могу бити: •
145
Посредни уређаји који функционишу на апликационом нивоу, као што су http proxy
Рачунарске мреже
посредни сервер или SOCKS proxy сервер. Овакви посредни уређаји захтевају додатно подешавање клијентских апликација на хостовима у приватној мрежи, па комуникација са Интернетом није транспарентна за крајње кориснике. С друге стране, овакви посредни уређаји могу бити повезани са системом аутентификације и ауторизације у мрежи и дозвољавати приступ Интернету на основу корисничких имена и лозинки. Примери оваквих посредних уређаја били би SQUID proxy сервер, или ISA сервер на Windows оперативном систему. •
Посредни уређаји који функционишу на мрежном и транспортном слоју, као што је NAT (Network Address Translation) рутер. Овакви уређаји врше измене IP пакета и/или сегмената транспортног нивоа транспарентно за крајњег корисника, како би пакети који напуштају приватну мрежу били валидни (са јединственим јавним адресама, из мрежа до којих се рутира). Овакав начин повезивања не захтева посебно подешавање клијентских апликација, али су могућности за контролу Интернет саобраћаја нешто мање: контрола се може вршити према адресама и бројевима портова.
10.2.2 NAT рутер – транслирање мрежних адреса NAT рутер обично је гранични рутер, односно рутер који повезује локалну мрежу (са приватним адресама) са Интернет посредником и Интернетом. На том месту рутер може да манипулише IP пакетима и/или TCP и UDP сегментима који напуштају локалну мрежу као и са саобраћајем који стиже као одговор на захтеве клијената из локалне мреже.
Слика 10.3 : Рутер за транслирање мрежних адреса (NAT)
NAT рутер има (најмање једну) валидну јавну адресу, додељену интерфејсу који рутер повезује на мрежу са посредником, као и приватну адресу која је додељена интерфејсу који рутер повезује на локалну мрежу. Могуће је доделити и више од једне јавне адресе интерфејсу рутера ка посреднику и ове адресе могу се користити за потребе транслирања.
10.2.3 Поступак транслирања Конфигурација хостова треба да буде таква да саобраћај хостова ка Интернету мора да буде прослеђен преко NAT рутера. Ово се може постићи тако што хостови у локалној мрежу користе NAT рутер као подразумевани мрежни пролаз. Када клијенти из приватне мреже иницирају конекције ка хостовима на Интернету, NAT рутер измени изворишну, приватну адресу хоста који иницира конекцију и замени је јавном, валидном адресом. Ова јавна адреса је адреса додељена интерфејсу рутера од стране Интернет посредника, или једна од више јавних адреса које се користе за потребе транслирања.
146
X Вежба
Слика 10.4 : Транслирање адресе у пакету који напушта мрежу
Рутер мора и да запамти ово транслирање у NAT табели, како би могао да изврши реверзну замену када се одговор на захтев клијента врати од неког хоста на Интернету. На тај начин пакет који преко NAT рутера напушта мрежу има валидну изворишну јавну адресу. Када се одговор сервера са Интернета врати назад, та јавна адреса ће се појавити као одредишна адреса. Пошто у својој табели транслирања има запамћене измене које је учинио, NAT рутер у повратним пакетима замени одредишну адресу у приватну адресу хоста који је иницирао конекцију и затим такав пакет проследи у локалну мрежу.
Слика 10.5 : Транслирање адресе у повратном пакету
На овај начин омогућена је комуникација хоста из локалне мреже са хостом на Интернету и поред тога што хост у локалној мрежи нема валидну јавну адресу. NAT рутер је вршио транслирање изворишне приватне адресе у једну јавну адресу. У току те комуникације приватна адреса била је маскирана једном јавном адресом.
10.2.4 Транслирање „1 на 1“ и „више на 1“ У горенаведеном примеру, када је NAT рутер вршио измене у саобраћају који прослеђује само на трећем слоју, његове могућности су ограничене бројем јавних IP адреса које су му додељене. Сваки хост из локалне мреже транслира се у једну јавну адресу па је број хостова
147
Рачунарске мреже
из локалне мреже, који истовремено могу комуницирати са хостовима на Интернету, ограничен бројем јавних IP адреса. На овај начин практично се не смањује број потребних јавних адреса. Већина имплементација NAT рутера омогућава да се измене у пакетима врше не само на трећем слоју, већ и на четвртом: у заглављима TCP сегмента и UDP датаграма. Тада рутер у својој NAT табели нема мапирања „приватна адреса, јавна адреса“, већ нешто сложенија: мапира се пар „приватна адреса и TCP(или UDP) порт“ на пар „јавна адреса и TCP (или UDP) порт“. На овај начин је могуће имати више хостова у приватном адресном простору који се транслирају на мањи број јавних адреса. Могуће је чак и да се сви хостови из локалне мреже транслирају преко једне јавне адресе додељене интерфејсу рутера као посреднику. Код неких имплементација NAT рутера ово се назива PAT („Port Address Translation“), док се код других ово назива транслирање „више на један“.
Слика 10.6 : Транслирање адреса и портова
10.2.5 Доступност сервиса у локалној мрежи Основна намена транслирања адреса је да се смањи потреба за јавним IP адресама, али NAT додатно има и сигурносни аспект. Пакети са Интернета могу да се проследе у локалну мрежу само ако за њих постоји улаз у NAT табели, односно ако је неки хост из локалне мреже претходно иницирао конекцију са хостом на Интернету. На тај начин је посредно онемогућено хостовима на Интернету да приступају хостовима и сервисима у локалној мрежи. Када се NAT користи на до сада описани начин, саобраћај са Интернета биће прослеђен у локалну мрежу само уколико се ради о одговорима на конекције које су иницирали хостови из локалне мреже. До сада описани начин транслирања у неким имплементацијама назива се и „Source NAT“ или „SNAT“, јер је основни проблем био у транслирању изворишних приватних адреса, односно, извор који иницира саобраћај има приватне адресе. У многим ситуацијама ово је корисно, уколико не постоје сервиси у локалној мрежи који би требало да буду доступни хостовима на Интернету. 148
X Вежба
Постоје и ситуације када одређени сервиси у приватној мрежи треба да буду доступни хостовима на Интернету. Тада постоји потреба да се омогући да хостови са Интернета иницирају конекције ка хостовима – серверима у локалној мрежи. Сада је проблем што одредиште саобраћаја има приватне адресе, док извор има јавне. Код већине имплементација NAT ово се може решити тако што се административно креира такав улаз у NAT табели који све долазне конекције на једну јавну адресу и порт транслира у другу, приватну адресу, из локалне мреже. Код неких имплементација ово се назива „Destination NAT“ или „DNAT“. Може се срести и назив „Port redirection“, односно редирекција портова: долазне конекције на јавну адресу рутера и добро познати порт сервиса преусмере се на IP адресу сервера у локалној мрежи и порт сервиса. На овај начин је омогућена доступност сервера са приватним адресама, при чему су сервери из локалне мреже видљиви и доступни хостовима на Интернету као да имају јавне адресе.
Слика 10.7 : Транслација дестинационих адреса DNAT
У примеру DNAT-a можемо видети да је код већине имплементација NAT рутера могуће флексибилно одредити шта се транслира, као и да се улази у NAT табели могу креирати не само динамички (када клијент иницира конекцију) већ и статички, административно, пре него што се конекција иницира.
10.2.6 Проблеми са NAT-ом NAT је данас уобичајен механизам за повезивање мањих и кућних мрежа на Интернет, и његова примена је значајно успорила потрошњу IPv4 адресног простора. Осим тога има и сигурносни аспект за мање мреже. Ипак манипулација саобраћајем коју врши NAT рутер може код неких апликација да створи проблеме и онемогући конекцију. Поступак транслирања је једноставан када је узорак саобраћаја једноставан: клијент иницира конекцију на један добро познати порт, сервер одговара. Тада NAT рутер може 149
Рачунарске мреже
једноставно да креира улаз у NAT табели, чим клијент иницира конекцију. Протоколи као што су http, smtp, imap, pop3 и неки други имају овакав узорак саобраћаја и немају проблема са транслацијом. Проблем могу представљати P2P („Peer to Peer“) апликације, код којих су апликације и клијенти и сервери у току исте сесије, и конекције се иницирају са обе стране, при чему се често користи читав опсег портова. Проблеми оваквих апликација могу се решити креирањем статичких улаза у NAT табели, при чему се често читав опсег портова преусмерава на хост у локалној мрежи. Тиме се решава проблем P2P апликације али смањује сигурносни аспект NAT-a. Проблем представљају апликације које нису идеално слојевите, односно у порукама апликационих протокола постоје информације о адресама и портовима клијента или сервера. Проблеми оваквих апликација могу се решити само тако што NAT рутер врши измене и на апликационом слоју, за шта не постоји стандардни начин, па се имплементације NAT рутера могу разликовати по способности да подрже овакве апликације. Примери би укључивали разне „on-line“ игре, неке апликације за видео конференције („Net Meeting“), али и FTP проткол. Пошто је FTP прилично уобичајен, већина NAT рутера уме да транслира FTP саобраћај, док је за остале, сложеније примене потребно погледати документацију или додатно подесити уређај или апликације које се користе. На крају, постоје и апликације које се не могу користи уз NAT, јер измена адреса коју би извршио NAT рутер нарушава логику саме апликације. Примери би били SNMP или трансфер зоне између примарног и секундарног DNS сервера (DNS упити клијената раде сa транслацијом). Због ових чињеница, NAT се сматра привременим решењем за смањење потрошње IP адреса, при чему је коначно решење увођење IPv6 адреса у употребу.
150
X Вежба
ВЕЖБЕ Активност 1 : Реализација превођења адреса и филтрирање пакета Увод У оквиру вежбе биће креирана топологија са једним рутером који врши филтрирање пакета и транслацију мрежних адреса. Као рутер биће коришћен софтвер „pfsense“ (http://www.pfsense.org), дистрибуција отвореног кода намењена за мрежне баријере и рутере. Овај софтвер може се инсталирати на персоналним рачунарима који треба да функционишу као наменски рутери, или се за потребе тестирања може покретати са CD уређаја. Сам софтвер базиран је на FreeBSD оперативном систему (www.freebsd.org), који има неколико механизама за контролу саобраћаја. Један од њих је софтвер за филтрирање пакета под називом pf који је оригинално развијан за OpenBSD (www.openbsd.org) оперативни систем. Оба поменута оперативна система варијанте су BSD (Berkley Softvare Distribution) UNIX оперативног система развијеног на Калифорнијском универзитету у Берклију у САД (University of California, Berkeley). У оквиру топологије постојаће једна интерна мрежа која ће представљати локалну мрежу („LAN“), једна мрежа која ће представљати такозвану „демилитаризовану зону“ („DMZ“) у којој ће се наћи сервер који треба да буде доступан са Интернета, као и трећа мрежа, мрежа у лабораторији која ће представљати Интернет. Топологија треба да изгледа као на слици:
Слика 10.8 : Топологија за вежбу
Потребно је конфигурисати виртуелне машине: „pfsense“: виртуелна машина која ће функционисати као рутер. Машина не треба да има диск, треба да се покреће са CD слике „pfSense-1.2.2-LiveCD-Installer.iso“. Машина треба да има 128 MB меморије и три мрежна адаптера:
151
•
„Адаптер 1“ повезан на интерфејс хоста eth1.
•
„Адаптер 2“ повезан на интерну мрежу „LAN“.
•
„Адаптер 3“ повезан на интерну мрежу „DMZ“.
Рачунарске мреже
•
„server“: Виртуелна машина са Windows 2003 сервером; машина треба да има 128MB меморије и један мрежни адаптер: „Адаптер 1“ повезан на интерфејс хоста eth1.
•
„klijent“: виртуелна машина са Windows XP радном станицом; машина треба да има 128MB меморије и један мрежни адаптер: „Адаптер 1“ повезан на интерну мрежу „LAN“.
•
„linuxserver“: виртуелна машина са Линукс оперативним системом на коме је инсталиран веб и ftp сервер. Машина треба да има 96 МB меморије и један мрежни адаптер: „Адаптер 1“ повезан на интерну мрежу „DMZ“.
Уколико су све машине конфигурисане треба прећи на следећу активност.
Покретање pfsense рутера Потребно је покренути виртуелну машину са pfsense рутером. Приликом првог покретања pfsense рутера потребно је изабрати намену појединих интерфејса, како би наставак конфигурације било могуће наставити преко веб интерфејса са радне станице. Ток конфигурационог програма на конзоли био би: 1. Do you want to setup vlans now [y|n] притиснути „n“ 2. Enter the LAN interface name or 'a' for autodetection: унети: em1. Други интерфејс је сада интерфејс на локалној мрежи. 3. Enter the WAN interface name or 'a' for autodetection: унети: em0. Први интерфејс је сада веза ка Интернету. 4. Enter the Optional 1 interface name or 'a' for autodetection: унети: em2. Обавестили смо рутер да постоји и опциони интерфејс. 5. Enter the Optional 2 interface name or 'a' for autodetection: притиснтути <ENTER> јер је свим интерфејсима додељена улога. 6. Do you want to proceed [y|n]? притиснути „y“ за наставак и преглед улога додељених интерфејсима.
Покретање клијентске радне станице, наставак конфигурације рутера У наставку је потребно покренути клијентску радну станицу. Претходно покренути pfsense рутер који функционише као DHCP сервер на мрежи „LAN“, па је по покретању потребно Windows радну станицу конфигурисати као DHCP клијента. 1. Пошто се радна станица конфигурише као DHCP клијент, наредбом „ipconfig /all“ проверити добијене адресне информације и наредбом „ping“ проверити доступност подразумеваног мрежног пролаза. 2. На Windows радној станици отворити програм „Firefox“, и у адресном пољу унети „http://192.168.1.1“ како бисмо приступили pfsense рутеру и завршили конфигурацију. 3. По добијању прозора за пријаву пријавити се на рутер са корисничким именом „admin“ и лозинком „pfsense“. 4. На новој страници са поруком „This wizard will guide you through the initial configuration of pfSense.“ притиснути на дугме „next“. 5. На страници „General information“: •
„hostname“ оставити на подразумеваној вредности,
•
„domain“ подесити на labnet.viser.edu.rs.
152
X Вежба
•
DNS информације оставити непопуњене. Рутер функционише као DHCP клијент на WAN интерфејсу и ове информације ће добити на тај начин. Рутер функционише као DNS „forwarder“, односно као DNS сервер који све упите клијентима разрешава путем DNS сервера који се овде конфигуришу или добију путем DHCP сервера.
•
Time server, подесити на 172.16.1.1
1. На страници „Configure WAN interface“ погледати подешавања за WAN интерфејс, интерфејс повезан на Интернет (у нашем случају то је мрежа у лабораторији). На дну странице очистити „Block RFC1918 Private Networks:“ јер у нашем случају „Интернет“ има приватну мрежу. 2. На страници „Configure LAN Interface“ погледати подешавања за „LAN“ интерфејс. Притиснути на next. 3. На страници „Set Admin WebGUI Password“ у стварној ситуацији подесила би се лозинка за администрацију рутера. Ово је важан корак за безбедност мреже. На вежбама ћемо овај корак прескочити и оставити лозинке на подразумеваној вредности, притиснути на „next“. Када pfsense рутер учита нову конфигурацију спреман је за рад. Конфигурација рутера је следећа: •
интерфејс „WAN“ подешен је као DHCP клијент, и прибавиће све потребне адресне информације, укључујући и адресе DNS сервера на овај начин.
•
интерфејс „LAN“ конфигурисан је адресом 192.168.1.1/24. На овом интерфејсу рутер функционише као једноставан DHCP сервер. Клијентима даје адресе из ове мреже, а адреса интерфејса рутера је подразумевани мрежни пролаз. Осим тога клијенти добијају адресу рутера као адресу DNS сервера. Рутер DNS упите клијената прослеђује DNS серверима које је сам добио као DHCP клијент на WAN интерфејсу.
Интерфејс OP1 није конфигурисан. Овакав рутер функционише као једноставан NAT рутер и „firewall“ налик на ADSL или бежичне рутере који повезују мању мрежу преко Интернет посредника.
Провера функционисања Да бисмо проверили функционисање рутера потребно је покренути виртуелну машину са Windows сервером. Сервер треба да буде конфигурисан на следећи начин: •
IP адреса 172.17.32.x где је x три пута веће од броја радне станице.
•
маска: 255.255.255.0.
•
подразумевани мрежни пролаз: 172.17.32.1.
•
DNS сервери: 172.16.1.1, 172.16.1.13.
•
На серверу треба покренути телнет сервис, као пример сервиса на неком хосту на Интернету.
На Windows клијенту покушати телнет приступ ка адреси сервера. 1. Отворити командни прозор. 2. Унети telnet 172.17.32.x (адреса сервера). Пријавити се као корисник „administrator“ са лозинком „password“.
153
Рачунарске мреже
3. Отворити нови командни прозор и покренути „netstat -n“. Уочити изворишни порт за телнет конекцију са сервером (телнет користи порт 23). 4. На серверу отворити командни прозор у покренути „netstat -n“. Уочити адресу и изворишни порт за телнет конекцију.
Сложенија конфигурација У наставку ће бити креирана сложенија конфигурација: •
WAN интерфејс имаће статичку адресу.
•
интерфејс OP1 биће активиран статичком адресом 192.168.2.1 и именом „DMZ“.
•
Линукс сервер биће покренут на „DMZ“ мрежи.
•
Филтер пакета на DMZ мрежи дозволиће приступ DNS сервису на самом рутеру као и серверу који се користи за надоградњу софтвера на серверу.
•
Биће креирано правило за DNAT и контолу саобраћаја које омогућава да хостови на Интернету приступају линукс серверу у DMZ мрежи.
1. Покренути виртуелну машину са линукс сервером. Пријавити се на конзолу као корисник „root“ са лозинком „password“. 2. Са Windows радне станице приступити веб страници за администрацију рутера (http://192.168.1.1) .Из менија System изабрати General Setup и подесити адресе DNS сервера (172.16.1.1, и 172.16.1.13) 3. Из менија „Interfaces“ изабрати „WAN“ и извршити подешавања како би интерфејс статички конфигурисали са IP адресом: •
Type: Static.
•
Static IP configuration:
•
IP address :172.17.32.x+1/24.
•
Gateway: 172.17.32.1.
•
Притиснути на SAVE.
4. Из менија „Interfaces“ изабрати „OP1“ и извршити подешавања како би активирали интерфејс и статички конфигурисали са IP адресом: •
Укључити опцију: Enable Optional 1 interface.
•
Description: DMZ.
•
Type: Static.
•
Static IP configuration:
•
IP address :192.168.2.1/24.
•
Притиснути на SAVE.
Линукс сервер је конфигурисан са адресом DNS сервера 192.168.2.1 (адреса pfsense рутера). Тренутно разрешавање адреса на линукс серверу не функционише јер филтер за саобраћај блокира сав саобраћај који долази преко DMZ интерфејса. Осим тога линукс сервер треба да има приступ серверу за ажурирање софтвера па је потребно направити филтер пакета и за овај случај.
154
X Вежба
1. Из менија Firewall изабрати Rules. 2. Изабрати DMZ интерфејс. 3. на страници за интерфејс подесити. •
Action: pass.
•
Interface: DMZ.
•
Protocol: UDP.
•
Source: DMZ Subnet.
•
Destination: DMZ: address.
•
Destination port range : from DNS, to DNS.
•
Save, а затим Apply Changes.
Овим смо дозволили приступ линукс серверу на UDP порт 53 на pfsense рутеру који функционише као DNS прослеђивач. На конзоли линукс сервера, са nslookup www.google.com може се проверити способност разрешавања имена. Линукс сервер треба да може да приступи серверу за ажурирање софтвера па је и за то потребно подесити филтер саобраћаја: 1. Из менија Firewall изабрати Rules. 2. Изабрати DMZ интерфејс. 3. на страници за интерфејс подесити. •
Action: pass.
•
Interface: DMZ.
•
Protocol: TCP.
•
Source: DMZ Subnet.
•
Destination: Single host or alias: 195.252.117.132.
•
Destination port range : 3142.
•
Save, а затим Apply Changes.
Филтер је подешен, али линукс сервер са приватном адресом 192.168.2.10 не може да комуницира са сервером за ажурирање који има јавну адресу и нема руту до ове приватне мреже. Да би комуникација била могућа потребно је креирати правила за NAT. 1. Из менија Firewall изабрати NAT. 2. Изабрати Outbound – одлазни или SNAT. 3. Рутер је до сада користио аутоматско креирано правило за NAT које врши транслацију само из „LAN“ мреже. Пошто је наша топологија сложенија прећи ћемо на ручно конфигурисање NAT правила. 4. Изабрати: Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)). 5. Уместо аутоматског креирања правила за НАТ, креирано је статичко правило. 6. Притиснути на средњи „+“ како бисмо креирали додатно правило за НАТ на бази постојећег.
155
Рачунарске мреже
7. На новој страници подесити: •
У Пољу Source, Address унети 192.168.2.0/24.
•
У пољу Description: унети „NAT iz DMZ“.
•
SAVE, Apply Changes.
После овог корака са линукс сервера требало би да буде могуће да се приступи серверу за ажурирање софтвера. У конзоли линукс сервера проверити са „aptitude update“.
Дестинациони NAT У наставку ће бити подешен дестинациони NAT како би сервис у локалној мрежи (тачније у DMZ мрежи) са приватном адресом био доступан клијентима на Интернету. 1. Из менија Firewall изабрати NAT. 2. Изабрати Port Forward. 3. У новој страници подесити. 4. Interface WAN: преусмеравамо портове за саобраћај који долази на спољњи интерфејс са хостова са Интернета. 5. External address: Interface Address : унутрашњи сервери биће видљиви под адресом спољашњег интерфејса. 6. Protocol: TCP : протокол који се преусмерава. 7. External port range: from http to http порт који се преусмерава. 8. NAT IP:192.168.2.10 на коју унутрашњу адресу се усмерава саобраћај. 9. Local Port: http на који порт на унутрашњем серверу се усмерава саобраћај. 10. Description: DNAT na web server: опис правила за NAT. 11. Проверити да ли је означена опција: „Auto-add a firewall rule to permit traffic through this NAT rule“. Рутер ће аутоматски додати правило за филтрирање пакета који ће дозволити саобраћај за који смо подесили преусмеравање портова. Функционисање можемо проверити тако што са Windows сервера, који сада представља хост на Интернету, из веб претраживача покушамо да отворимо страницу: http:// 172.17.32.x+1 (адреса спољњег интерфејса рутера). У менију „Firewall“, „Rules“ можемо проверити правила која су аутоматски креирана.
156
X Вежба
157
XI ВЕЖБА БЕЖИЧНЕ ЛОКАЛНЕ РАЧУНАРСКЕ МРЕЖЕ
Циљ вежбе је да се студенти упознају са основним принципима рада бежичних локалних рачунарских мрежа као и са основним корацима који су неопходни за подешавање бежичне приступне тачке и подешавање клијентског софтвера на радној станици за приступ бежичној рачунарској мрежи.
XI Вежба
11. Бежичне локалне рачунарске мреже 11.1 Увод Бежичне локалне рачунарске мреже дефинисане су стандардом IEEE 802.11. Као преносни медијум користе се радио-таласи у нелиценцираном опсегу 2,4 Ghz (2,402 – 2,480). Како би се омогућио пренос података брзинама које се очекују од локалних рачунарских мрежа, користе се сложене технике кодирања и модулације, као и различити начини употребе канала унутар овог опсега. Оригинални, данас застарели, стандард описивао је пренос података брзинама од 1Mb/s и 2 Mb/s уз два могућа начина модулације FHSS (Frequency Hoping Spread Spectrum) и DSSS (Direct Sequence Spread Spectrum). Оригинални стандард је прошириван амандманима који су уз сложеније механизме модулације омогућавали веће брзине преноса. •
802.11а, који омогућава брзине до 54 Мb/s, при чему се користи OFDM модулација у сасвим другом фреквентном опсегу 5GHz (5,47-5,725). У време настанка овог амандмана овај опсег је био нелиценциран само у САД.
•
802.11b, који је омогућавао брзине до 11 Mb/s, дакле мање него 802.11a али је користио оригинални 2,4GHz опсег, па је овај стандард могао да се користи и у Eвропи. Користи се DSSS модулација.
•
802.11g, који омогућава брзине преноса до 54Mb/s, користећи OFDM модулацију преко 2,4 Ghz опсега. Оваква опрема компатибилна је са 802.11b опремом и често се означава са b/g.
Сви ови амандмани уврштени су у нову верзију стандарда 802.11-2007 из 2007. године. Осим тога очекује се усвајање 802.11n амандмана на стандард, који би омогућавао и брзине и до 600 Mb/s. Тренутно је доступна опрема израђена према нацрту овог амандмана и омогућава пренос до 300Мb/s. Треба приметити да је због природе медијума комуникација полудуплекс типа, као и да сам протокол има доста додатног саобраћаја, тако да је реални пропусни опсег обично најмање дупло мањи. Употреба нелиценцираног опсега значи да не постоји начин да се дата фреквенција резервише за једног корисника, па је уобичајено да у бежичној мрежи постоје сметње од суседних бежичних мрежа или друге опреме која ради на истом опсегу.
11.2 Подела опсега на канале Код опреме која користи 802.1b или 802.1g стандард, расположиви опсег фреквенција је подељен на 14 канала ширине 22 Mhz. Национална регулатива појединих земаља одређује који од канала су расположиви за употребу. У САД се користе првих 11 канала, док је у Европи дозвољено 13 канала. Канали се обично приказују са централном фреквенцијом у каналу. Разлика између средина суседних канала је 5 Mhz а ширина канала 22 Mhz. Ово значи да се дефинисани канали преклапају, тако да предајници који користе суседне канале не би требало да буду један другом у домету јер ће сигнали из једног канала представљати шум на другом каналу. Уколико је потребно поставити више предајника у непосредној близини морају се користити канали који су најмање 5 канала одвојени. На пример у САД то су канали 1,6,11
159
Рачунарске мреже
11.3 Преглед бежичних мрежних интерфејса под оперативним системом Linux Назив бежичног мрежног адаптера под Linux оперативним системом може се разликовати у зависности од управљачког програма који се користи. Aдаптер би могао да се прикаже као да је у питању етернет адаптер (ethx), или под називом који зависи од употребљеног мрежног адаптера (на пример ath0 за бежичне мрежне адаптере са Atheros скупом чипова) Код већине бежичних мрежних адаптера део функционалности који се назива MLME (енг. MAC sublayer management entity) је имплементиран у софтверу, па је и начин управљања адаптером зависио од употребљеног управљачког програма. Од (релативно) недавно у оквиру Linux оперативног система постоји заједнички API за писање управљачких програма за бежичне мрежне адаптере, под називом mac80211, као и за управљање бежичним мрежним адаптерима, под називом cfg80211. Идеја је да се и бежичним мрежним адаптерима управља на униформан начин, без обзира на произвођача. Адаптери који користе овакве управљачке програме приказују се као wlanx. Како би нам оперативни систем приказао бежичне мрежне адаптере, односно који мрежни адаптери подржавају проширења за управљање бежичним адаптерима треба: Отворити терминалску конзолу: Програми->Алати: Терминал Укуцати: iwconfig Уочити информације: Како је означен бежични адаптер? Који стандард подржава адаптер ( IEEE802.11?). Које су подржане брзине преноса. На којој фреквенцији тренутно ради адаптер? Можемо погледати листу фреквенција које адаптер подржава. У терминалском прозору укуцати: iwlist channel Уочити следеће информације: Колико канала подржава адаптер? Да ли подржава канале који се не користе у САД? На ком каналу је тренутно? У зависности од управљачког програма, могуће је подесити регулаторни домен, односно дозвољене канале за употребу.
160
XI Вежба
11.4 Слој везе података И слој везе података, као и логичке топологије бежичних мрежа знатно се разликују од уобичајеног етернета. Као елементи архитектуре наводе се BSS (Basic Service Set) основни скуп сервиса који представља област унутар које станице могу да комуницирају користећи бежични медијум. Физичка ограничења медијума одређују област коју покрива BSS. Физичка ограничења медијума могу се превазићи повезивањем неколико различитих основних скупова сервиса неким другим медијумом (најчешће жичним, али не обавезно) у проширени скуп сервиса (Extended Service Set). Компонента архитектуре која омогућава ово повезивање назива се дистрибуциони систем (DS). Тачно једна станица у сваком основном скупу сервиса је веза између осталих станица у скупу и дистрибуционог система. То се на пример може постићи тако што таква станица има поред бежичног још и етернет адаптер (уколико је DS имплементиран као етернет мрежа). Оваква станица има улогу приступне тачке (Access Point). Ова станица има централну улогу у логичкој топологији свог скупа сервиса и представља логички концентратор за комуникацију унутар свог скупа сервиса. Сав саобраћај унутар скупа одвија се преко приступне тачке. Осим тога ова станица емитује посебне управљачке оквире података који имају циљ да обавесте о постојању скупа сервиса, расположивим брзинама унутар скупа, као и да врше синхронизовање часовника осталих станица у скупу. Бежични адаптер овакве станице је у посебном режиму рада. С друге стране, бежични адаптери осталих станица су у „управљаном“ начину рада („Managed“), јер је нека друга станица задужена за слање оваквих управљачких оквира и управља параметрима и чланством у скупу сервиса. Уколико циљ рада приступне тачке није да свој скуп сервиса путем дистибуционог система повеже са другим скуповима сервиса, већ првенствено да свој скуп сервиса повеже са жичаном окосницом мреже, приступна тачка има улогу портала. Ово су два најчешће коришћена начина организовања бежичних станица. Поред тога, могућ је и једноставнији начин, у коме нема логичког концентратора – приступне тачке, већ две или више равноправних станица међусобно размењују податке свако са сваким, без повезивања са другим скуповима сервиса или жичаном окосницом. Ово се назива независни основни скуп сервиса (IBSS) или Ad-Hoc мрежа. Мрежни адаптери станица у оваквом скупу сервиса су у посебном начину рада („Ad-Hoc“) јер је у оваквим скуповима одговорност за слање управљачких пакета и синхронизацију часовника дистрибуирана између свих станица. Поред ова три начина рада бежичног мрежног адаптера ( AP, Managed, Ad-Hoc) адаптер може да ради у моду пасивног праћења саобраћаја (Monitor, rf-mon). Овај начин рада се обично користи када адаптер користи неки софтвер за праћење мрежног саобраћаја (нпр. Wireshark, Kismet). Када је адаптер у овом режиму обично је неупотребљив за уобичајен мрежни саобраћај. У наставку вежби погледаћемо снимак саобраћаја који је направљен тако што је адаптер постављен у Monitor начин рада. Управљачки програми за адаптере обично имају јако добру подршку за Managed начин рада као и за Ad-Hoc, док само бољи адаптери имају подршку за AP и Monitor.
11.5 Врсте пакета Осим разлика у логичкој топологији бежичне мреже користе и сложенији механизам за приступ медијуму. Код етернета, на пример, користи се CSMA/CD као начин приступа заједничком медијуму. Детекција колизије (CD) омогућава станици да зна да ли је пренос био успешан. Сви оквири података на етернет мрежи преносе податке.
161
Рачунарске мреже
Код 802.11 мрежа, сем оквира података, постоје и други типови оквира података као што су контролни оквири података, и управљачки оквири. Природа медијума спречава станицу да детектује да ли је је дошло до колизије. Због тога се у 802.11 мрежама користи CSMA/CA (Collision Avoidance). У сваком пакету је наведена дужина трајања предаје, а успешан пријем мора се потврдити одговарајућим оквиром.
11.5.1 Контролни пакети Пошто бежична станица у датом тренутку не може да буде и предајник и пријемник, није могуће као код етернета користити детекцију колизије већ се користи избегавање колизије CSMA/CA. Успешан пријем података мора се експлицитно потврдити са друге стране одговарајућим, контролним оквиром података („Acknowlеgmenet Frame“). Поред ове врсте управљачког оквира постоје и други: •
RTS,CTS оквири представљају механизам резервације медијума. Уколико се тако конфигурише, станица може да користи овај механизам када заузеће медијума пређе конфигурисани праг.
•
PS-Poll оквири (Power Save Poll). 802.11 стандард предвиђа механизме за штедњу енергије. Овим контролним оквиром података станица може да захтева од приступне тачке да јој се пошаљу оквири који су приспели за станицу која је била у моду штедње енергије.
•
CF-End, CF-End+CF-ACK контролни оквири. У основном начину рада, бежичне станице се надмећу за приступ медијуму, као код етернета. Овакав приступ медијуму назива се DCF (Distributed Coordinated Function). Сем ослушкивања медијума (Carrier Sence), овај механизам ослања се и на временске интервале који морају да прођу пре него што станица може да приступи медијуму, као и на објављивање дужине трајања преноса у оквирима који се преносе. Поред DCF, дефинисан је начин приступа медијуму у коме приступна тачка уређено прозива станице и нема надметања (Contension Free). Овај начин приступа медијуму назива се Point Coordinated Function. Престанак DCF и почетак PCF начина рада објављује приступна тачка посебним оквиром, а CF-End, CF-End+CF-ACK оквири објављују крај оваквог начина рада и повраак на DCF.
11.5.2 Управљачки оквири података Управљачким оквирима управља се чланством у скупу сервиса: • • • • •
Beacon оквирима се оглашава постојање скупа сервиса као и његови параметри. Уз помоћ Probe request (захтев) и Probe response (одговор) оквира, станица може проверити постојање приступних тачака скупа сервиса, као и јачину сигнала појединих приступних тачака. Authentication и Deauthentication управљачки оквири података омогућавају аутентификацију станице пре него што постане члан скупа сервиса. Association, Disasociation, Reassociation оквири података управљају чланством станице у скупу података. ATM управљачки оквири података део су механизма за штедњу енергије.
11.6 Преглед снимка саобраћаја На Ubuntu радној станици налазе се фајлови са саобраћајем снимљеним који је направљен програмом Wireshark, при чему је бежични мрежни адаптер постављен у Monitor начин рада. Снимак је прављен током повезивања друге станице на бежичну мрежу. 162
XI Вежба
Покренути програм Wireshark, и отворити фајл „nefiltrirano.cap“ Иако је снимање трајало само један минут, снимљена је велика количина података. Употреба нелиценцираног опсега значи да нема регулативе у употреби канала, па се може видети да у околини станице на којој је вршено снимање постоји већи број скупова сервиса који користе исте или преклапајуће канале. Саобраћај из туђих скупова сервиса станица види као шум у свом скупу сервиса. Можемо погледати који су скупови сервиса били доступни током снимања саобраћаја: Из менија Statistics изабрати опцију Wlan Traffic.... Новоотворени прозор може се и максимизовати. У колони SSID (Service Set ID) приказани су идентификатори скупа сервиса, односно имена бежичних мрежа. Види се да су са локације на којој је вршено снимање, сем мрежа „labnet“ и „viser“, доступне и друге бежичне мреже. Више приступних тачака може припадати истом проширеном скупу сервиса и имати исту SSID ознаку. Проширени скуп сервиса се потенцијално састоји од више основних скупова сервиса који се индивидуално разликују по ознаци за BSSID (Basic Service Set ID). У колони BSSID су наведене ове ознаке. BSSID представља MAC адресу приступне тачке. Програм Wireshark је првих 24 бита ове адесе (OUID- ознаку произвођача) рашчланио и представио текстуално). Доступне бежичне мреже ESSID и приступне тачке у њима (BSSID) оглашене су Beacon оквирима. У одговарајућој колони приказан је број оваквих оквира. Може се погледати и број осталих врста управљачких и контролних пакета у снимљеном саобраћају. Уочите да су снимљена и четири оквира аутентификације. Затворити прозор „Wireless Trafic“. Затворити фајл („File“-> „Close“) „nefiltritano.cap“. У наставку ћемо погледати исти снимак који је филтриран тако да приказује само оквире података са посматране приступне тачке и радне станице. Отворити фајл („File“ -> „Open“) фајл „filtrirano.cap“ Уочити и погледати детаље оквира 1 и 2 („Beacon“ оквири): Ово је управљачки оквир који приступна тачка повремено емитује на бродкаст адресу. Параметри приступне тачке преносе се као фиксни параметри („fixed parameters“) и означени параметри („tagged parameters“). Ова друга врста параметара представљају механизам проширења параметара. Уочити следеће информације које се преносе овим оквиром: -Да ли је ово Beacon ad-hoc мреже или BSS? -Период објављивања Beacon оквира? -SSID мреже? -Канал који користи ова приступна тачка? -Основне и проширене подржане брзине преноса? -Сигурносне параметре за шифровање (RSN)?
163
Рачунарске мреже
Уочити оквир „Probe Request“ (пакет 3) Ово је управљачки оквир којим радна станица жели да провери доступност дате бежичне мреже SSID. У оквиру који посматрамо SSID није експлицитно наведен (SSID=Broadcast), тако да су се са каснијим одговорима огласиле све приступне тачке које су примиле захтев. Уочити оквир „Probe Response“ (пакет 4) Ово је управљачки оквир којим приступна тачка одговара на претходни затев. Уочити да оквир података има „Duration“ - трајање поље. 802.11 механизам приступа медијуму предвиђа да станице објаве време трајања предаје података. Ово је део механизма CSMA/CA. Уочити да оквир података има секвенцни број као и број фрагмента. 802.11 механизам приступа медијуму омогућава детекцију дуплих пакета, као и фрагментацију оквира података. Уочити параметре којима станица одговара. Уочити оквир потврде пријема („Acknowledgement“) (пакет 5) Ово је контролни тип оквира. 802.11. Због природе медијума, само на основу потврде друге стране, станица зна да није дошло до колизије и да је оквир успешно примљен. И у наставку снимка, сваки оквир ће бити потврђен. Уочити „Probe Response“ оквире података које су послале друге приступне тачке у домету (пакет 8,9) Следећа фаза је аутентификација станице ка приступној тачки: -Уочити ко иницира аутентификацију (пакет 10) -Уочити аутентификациони алгоритам који се користи -Уочити да ли је аутентификација била успешна (пакет 12) Ова фаза аутентификације је у оригиналном стандарду представљала једини механизам контроле приступа бежичној мрежи. Оригинално су дефинисана два аутентификациона алгоритма: отворени систем („Open System“), и WEP (Wired Equivalent Privacy). Први аутентификациони алгоритам у суштини и нема алгоритам и омогућава приступ свима. Други аутентификациони механизам, WEP, је оригинално замишљен да контролише приступ (најчешће аутентификацијом уз помоћ кључа дељеног између станица и приступне тачке) и омогући успостављање материјала за кључеве за шифровања којима би се омогућила заштита саобраћаја еквивалентна оној у жичаној мрежи. Механизам за шифровање предвиђен WEP-ом настао је као резултат разних компромиса и показао се као веома слаб. Амандманом 802.11i дефинисани су напреднији механизми заштите који се данас користе. И ако се стварна контрола приступа у овој фази не препоручује, формално су станица и приступна тачка извршиле ову фазу. Стварна контрола приступа, дефинисана у 802.11i одиграла се касније на снимку. Уочити оквире којима се врши асоцијација станице на приступној тачки („Association Request“, „Association Response“) (пакети 14-17) Циљ асоцијације је да се станица региструје код приступне тачке. У току овог процеса станица добија свој идентификатор асоцијације. Уочити ову вредност. У дистрибуираном систему важно је да се зна која станица је регистрована код које приступне тачке. Уколико се као механизам контроле приступа користи WEP дељени кључ, 164
XI Вежба
или отворени систем, процес успоставе везе овде би био завршен. Употреба WEP заштите се не препоручује у новој верзији стандарда из 2007. године. Нова верзија стандарда прихватила је 802.11i амандман на стандард који предвиђа робусније мере аутентификације и заштите саобраћаја. Нови стандард предвиђа мреже робусне сигурности („Robust Security Network“-RSN) и параметри те мреже објављују се у „Beacon“ и „Probe Response“ оквиримa („RSN – information“ унутар „Tagged parameters“). Погледати „RSN information“ означени параметар у „Beacon“ оквирима (на пример пакет 32) У времену непосредно пре увођења 802.11i стандарда у употребу, произвођачи су почели да производе и продају опрему која се придржавала стандарда чије се усвајање очекивало. За овакве производе тврди се да подржавају WPA иWPA2 (Wireless Protected Access) Прво унапређење које уводи 802.11i, односно производи који подржавају WPA или WPA2 je употреба напреднијих механизама шифровања. WPA користи Temporal Key Integrity Protocol – TKIP алгоритам заштите саобраћаја. TKIP користи исти начин шифровања као и слаби WEP, али кључ за шифровање мења за сваки пакет. Тиме се решава велики проблем који је имао WEP, дуга употреба истог кључа за шифровање. У стандарду се овај протокол предвиђа као прелазно решење за опрему која нема довољно хардверских ресурса за сложенији механизам. WPA2 користи (Counter Mode with Cipher Block Chaining Message Authentication Code – CCM) који користи напреднији механизам за шифровање. Оваква опрема се у новом 802.11 стандарду назива RSN опрема. Друго унапређење које је нови стандард донео је и мoгућност динамичког управљања кључевима, као и употреба 802.1x стандарда за аутентификацију. Уколико се аутентификација станице према приступној тачки изврши уз помоћ 802.1x протокола и одговарајућег EAP метода, материјал за кључеве за шифровање динамички се генерише при свакој новој аутентификацији. Ово са своје стране захтева постојање централног сервера за аутентификацију, као и постојање инфраструктуре јавних кључева. Подршка за нешто овако обично се приказује како WPA Enterpise или WPA2 Enterprise, у зависности од употребљеног механизма за заштиту. Како би се омогућила употреба система заштите и у малим мрежама које немају сву потребну инфраструктуру, дефинисана је и могућност употребе заједничког, унапред дељеног кључа („Pre Shared Key“ - PSK). Оваква опрема се обично приказује како „WPA Personal“ или „WPA2 Personal“, у зависности од употребљеног механизма за заштиту. У снимку саобраћаја на слици, бежична мрежа користи RSN (Robust Security Network) систем заштите према стандарду 802.11i, односно оно што је комерцијално познато као „WPA2 Enterprise“. Уочити почетак 802.1x аутентификације („Request, Identity“, „Response, Identity“). Ко иницира аутентификацију? Ko је корисник који покушава да се аутентификује? EAP протокол омогућава флексибилан договор око механизма за аутентификацију. Који механизам је договорен? (пакет 38) Изабрани механизам одвија се у две фазе: успостава шифрованог тунела, а затим и аутентификација уз употребу стварног идентитета корисника. Аутентификација се завршава са EAP-Success пакетом (пакет 80) 165
Рачунарске мреже
Као део RSN механизма одиграва се четвороструки договор, (4-way handshake) око кључа за шифровање. Уочити ове кораке (пакети 82-88) После договора око кључа за шифровање уникаст саобраћаја, изврши се и договор око кључа за шифровање мултикаст и бродкаст саобраћаја. Након овога је успостављена веза станице и приступне тачке. Следи уобичајен DHCP саобраћај. Преглед успоставе везе може се погледати у програму Wireshark: Из менија Statistics, изабрати опцију Flow Graph
11.7 Успостава везе са бежичном мрежом На основу „Beacon“ оквира, као и „Probe“ оквира станица може да зна које су бежичне мреже – проширени скупови сервиса (ESSID) доступни, као и који су основни скупови сервиса (BSS) односно приступне тачке у домету. На Linux оперативном систему програм „Network Manager“ приказаће доступне мреже. Осим тога, нешто прецизнији преглед може се добити командом iwlist. У командној линији терминалског прозора укуцати: iwlist scanning Уочити следеће информације за мрежу „labnet“ („ESSID: labnet“) •
MAC адресу приступне тачке, односно (BSSID)?
•
Да ли је мрежа Ad-Hoc или инфраструктурног типа?
•
На којој фреквенцији-каналу ради доступна приступна тачка?
•
Колики је квалитет сигнала, ниво сигнала, ниво шума?
•
У којим јединицама мере су изражени ниво сигнала и ниво шума?
•
Које су подржане брзине преноса?
•
Који систем заштите се користи?
Повезати се на бежичну мрежу према упутству у фајлу „uputstvo-linux.pdf“. Пренети сертификат сервера на рачунар, према упутству, а затим оборити eth0 интерфејс. Наставити подешавање по упутству и успоставити бежичну везу.
11.8 Преглед јачине сигнала И станица и приступна тачка функционишу као предајници, емитујући сигнал одговарајуће снаге. Снага се обично изражава у dBm, као однос снаге предајника у mW према референтној вредности од 1 mW. Погледати снагу предајника станице: У командној линији унети: iwlist txpower Колика је снага предајника мрежног адаптера?
166
XI Вежба
Антене су пројектоване тако да нису иделано изотропске, односно да већу снагу емитују у одређеним правцима. Често коришћене „штап“ антенте називају се изотропске антене и у одређеним правцима (хоризонтално 360° и вертикално на пример 15° - облик „крофне“) имају јачи сигнал него у осталим правцима. Ово се означава као „појачање“, односно „gain“ антене и изражава се у јединицама dBi, односно релативно појачање сигнала у датом правцу у односу на идеално изотропску антену. То значи да је у датим правцима снага сигнала већа за dBi вредност антене. У табели су приказане спецификације за антену TL-ANT2405C: Frequency Range
2.4GHz~2.5GHz
Impedance
50 Ohms
Gain
5 dBi
VSWR
1.92 : 1 Max
Polarization
Linear, Vertical
Beamwidth (HPBW)
Horizontal: Vertical: 15°
Connector
RP-SMA Male
Cable
130cm RG-174 Coaxial Cable
Radiation
Omni-directional
Application
Indoor
Mount Style
Desktop / Wall Mount
Dimensions (ψ x L mm)
50 x 201 mm
Operating Temperature
-10℃~60℃ (14℉~140℉);
Storage Temperature
-40℃~80℃ (-40℉~176℉)
Operating Humidity
10%~90% non-condensing
Storage Humidity
5%~90% non-condensing
Safety, Emission and others
CE, FCC, Compliant with RoHS
360°
Исти параметри постоје и за предајник и антену на приступној тачки. Сем појачања постоје и слабљења. Постоје губици при простирању сигнала. Уколико је предајник са антеном повезан антенским каблом, постоје и губици због кабла. Сваки адаптер, као предајник има минималну снагу сигнала коју може да региструје.
167
Рачунарске мреже
Спецификације за адаптер TL-WN650G дате су у табели: Software Specification Standards Wireless Signal Rates Automatic Fallback
IEEE 802.11g, IEEE 802.11b With 11g:108/54/48/36/24/18/12/9/6 Mbps (Dynamic) 11b:11/5.5/3/2/1 Mbps (Dynamic)
Frequency Range
2.4-2.4835GHz
Wireless Transmit Power
20dBm(MAX)
Modulation Type
1M DBPSK, 2M DQPSK, 5.5M/11M 6M/9M/12M/18M/24M/36M/48M/54M OFDM
CCK,
108M: -68dBm@10% PER 54M: -68dBm@10% PER Receiver Sensitivity
11M: -85dBm@8% PER 6M: -88dBm@10% PER 1M: -90dBm@8% PER 256K: -105dBm@8% PER
Work Mode Wireless Range Wireless Security Support Operating System
Ad-Hoc Infrastructure Indoors up to 200m, Outdoors up to 830m. 64/128/152 bit WEP WPA/WPA2, WPA-PSK/WPA2-PSK (TKIP/AES) Windows 98SE/ME/2000/XP/Vista
Hardware Specification Interface
32-bit PCI connector
Antenna Type
2dBi Fixed Omni-directional Antenna
Certifications
CE, FCC
Operating Temperature
0°C~40°C (32℉~104℉)
Storage Temperature
-40°C~70°C (-40℉~158℉)
Relative Humidity
10% ~ 90%, non condensation
Storage Humidity
5%~95% non-condensing
Dimensions
5.2 × 4.8 × 0.9 in. (133 × 121 × 22 mm)
168
XI Вежба
Осетљивост пријемника („Receiver Sensitivity“) дата је у dBm јединицама уз одређен проценат грешака у пријему пакета (PER). Збир појачања која се састоје од снаге предајника, усмерења антене („gain“) предајника, усмерења антене („gain“) пријемника, треба да буду већа од збира губитака простирања, каблова и осетљивости антене. Осим тога што снага предајника приступне тачке на месту станице треба да буде довољна, за успешан пренос података важно је и да та снага буде већа од снаге шума осталих приступних тачака на истом или блиским каналима као и шума окружења. Радна станица може да измери снагу сигнала на пријемнику када приступна тачка не вриши предају. Снага сигнала као и снага шума могу се видети и командом: iwlist scanning Осим ове алатке може се инсталирати и користити алатка wavemon, којом у реалном времену можемо пратити однос снаге сигнала и шума за приступну тачку на коју смо асоцирани. Полазећи из терминалског прозора отворићемо нову конзолу из које ћемо покренути програм wavemon. У конзоли укуцати xterm Максимизовати добијени прозор. У прозору xterm конзоле укуцати: wavemon Уочити следеће информације у реалном времену: -Ниво сигнала -Ниво шума -Однос нивоа сигнала и шума У доњем делу екрана налази се линија са менијима. Функцијски тастер F2 приказује хистограм нивоа сигнала шума, као и односа сигнал/шум. Притиснути F2. Погледати хистограм. Приликом постављања бежичне локалне рачунарске мреже битно је имати представу о домету приступне тачке у објекту.
11.9 Подешавање бежичне приступне тачке У наставку ће бити подешена приступна тачка Linksys WRT350N. Овај уређај није само једноставна приступна тачка која премошћава бежични сегмент мреже са окосницом мреже, већ функционише као рутер, са могућношћу да транслира мрежне адресе. Овај уређај практично функционише као портал који повезује бежичне клијенте са окосницом мреже. Уређај је пре свега предвиђен за повезивање кућне бежичне мреже са интернет посредником. Сем бежичног адаптера и антена, уређај поседује и посебан порт за везу са посредником, као и интерни гигабитни комутатор за повезивање локалне бежичне мреже. Портови овог интерног комутатора користе се и за иницијално конфигурисање уређаја. У оквиру вежби, иницијална конфигурација ће се вршити из виртуелне машине која је повезана на „интерфејс хоста“ - односно vbox0. Додатни мрежни адаптер Ubuntu радне
169
Рачунарске мреже
станице треба повезати са једним од портова интерног комутатора бежичног уређаја (портови комутатора су означени жутом бојом). Подесити да мрежни адаптер повезан на интерни комутатор уређаја добија адресу аутоматски (уређај функционише као DHCP сервер). Отворити претраживач и у адресном пољу унети адресу уређаја: http://192.168.1.1 Пријавити се као корисник „admin“ са лозинком „admin“ На првом прозору (залистак Setup, секција „Basic Setup“) подесити:
Подешавање везе ка Интернету (у нашем случају то ће бити веза ка окосници мреже) 1. Тип интернет конекције је статичка адреса. 2. Адреса интерфејса ка Интернету је 10.10.10.10. 3. Маска подмреже је 255.255.255.0 4. Подразумевани мрежни пролаз: 10.10.10.1 5. Адреса DNS сервера је 10.10.10.1
Подешавање адреса за локалну мрежу (мисли се на бежичне клијенте као и клијенте повезане на портове интерног комутатора) 1. DHCP сервер треба да буде укључен. 2. Погледата остала подешавања и оставити их на подразумеваним вредностима. 3. Погледати секцију „Advanced Routing“. Уочити да је укључено транслирање мрежних адреса. 4. Изабрати залистак „Wireless“, секција „Basic Wireless". 5. Опција „Network Mode“ треба да остане на „Mixed“. 6. Идентификатор скупа сервиса поставити на „lab403-1“ (односно на „lab403-2“ за други уређај). 7. Опцију „Rado Band“ поставити на „Standard“. 8. Опцију „Standard Channel“ поставити на 1 ( односно 11 за други уређај).
Подешавање безбедности бежичне мреже 1. Изабрати секцију „Wireless Security“. 2. Опцију „Security Mode“ поставити на „PSK2-Personal“ . Овако уређај приказује WPA2 заштиту са дељеним кључем. 3. У пољу „Pre Shared Key“ треба унети дељени кључ. WPA и WPA2 користе читаву хијерархију кључева за шифровање и потврду интегритета кључева. Сви кључеви се изводе од главног кључа PMK (Pairwise Master Key) који је дужине 256 битова. Када се користи EAP аутентификација, PMK се добије као резултат аутентификације. Уколико се користи дељени кључ, и PMK се ручно задаје. Неки уређаји омогућавају, а неки и захтевају, да се PMK унесе као PSK од 256 битова изражен као 64 170
XI Вежба
хексадецималне цифре. Како би се корисницима олакшао унос, неки уређаји (такав је и уређај који се користи на вежбама) омогућавају унос „Passphrase“ вредности (8 до 63 ASCII карактера) на основу које се познатом криптографском методом, на основу унете вредности, назива скупа сервиса и дужине назива скупа сервиса изведе PMK од 256 битова). •
У пољу „Pre Shared Key“ треба унети дељени кључ: „osamdo63“ (ово је иначе веома слаб кључ који не треба користити у стварној ситуацији).
Погледати подешавања у секцији „Advanced Wireless Settings“. Нека од подешавања су: •
CTS ово је механизам заштите од сметњи које могу да настану уколико станице различитог стандарда буду асоциране на исту приступну тачку.
•
RTS Treshold праг величине оквира који активира RTS/CTS резервацију медијума.
•
Fragmentation Treshold праг величине оквира који активира фрагментацију оквира.
Сачувати подешавања. Сада ћемо променити улогу коју има радна станица. Прикључићемо је на „Интернет“ порт бежичног уређаја и подесити адресу 10.10.10.1. Успоставити бежичну конекцију користећи другу станицу. Успех конекције верификовати командом „ping 10.10.10.1“.
171
XII ВЕЖБА СИСТЕМ СТРУКТУРНОГ КАБЛИРАЊА
Циљ вежбе је да се студенти упознају са системом структурног каблирања, његовим елементима као и са стандардима система структурног каблирања. У практичном делу вежбе биће обрађен пример пројектовања система сруктурног каблирања. Практични пример садржаће и препоруке за одабир пасивне мрежне опреме као и пример израде спецификације потребне пасивне мрежне опреме за један пројекат система структурног каблирања.
XII Вежба
12. Структурно каблирање 12.1 Систем структурног каблирања Савремене рачунарске мреже у највећем броју случајева реализују се по принципу структурног каблирања, којим треба да се обезбеди и обједини пренос свих информација у једном пословном систему. Он обухвата пренос говора, слике, управљачких сигнала, као и веома брз пренос података. Једини интерфејс ка кориснику је зидна утичница на коју се може прикључити било рачунар, било телефон, а која даље кабловским системом води до одговарајућих разделника и активних уређаја (телефонске централе или LAN 1 комутатора). Структура мреже је таква да се после инсталирања, без икакве интервенције на самим кабловима, цела мрежа може преконфигурисати на потпуно другачији начин, у зависности од потребе корисника. То се постиже на самим разделницима, који су посебно конструисани за лако и једноставно преспајање и конфигурисање мреже по жељи. Ова опција нарочито долази до изражаја у ситуацијама када се врши мењање физичког распореда радних места по згради (или по зградама). Осим велике флексибилности коју пружа, структурно каблирање захваљујући својој систематичности омогућава једноставно и ефикасно администрирање мрежом, лако проширивање инсталације и што је можда и најважније, потпуно је независно од типа активних уређаја који се користе за телефонску и за рачунарску мрежу. Чак се и уређаји који не одговарају стандардима структурног каблирања, и немају адекватне конекторе, могу уз помоћ одговарајућих једноставних адаптера прикључити на систем. Системи структурног каблирања доживели су велику примену у пословним објектима у свету, како због своје универзалности тако и због дугорочности решења. Наиме, пословни корисник који се у реализацији своје рачунарске мреже у потпуности придржава принципа које налажу стандарди обухваћени међународним стандардом ISO/IEC 11801 може бити сигуран да ће његов кабловски систем успешно подржати сваки захтев активне опреме у наредних десетак година. То дословно значи да једном инсталирани кабловски систем неће тражити никаква додатна улагања. Значај стандардизације структурног каблирања свакако се не сме занемарити. Стандарди одређују техничке критеријуме и обезбеђују униформне перформансе мрежног система као и његових компоненти. Стандарди нам омогућавају да пројектујемо и изградимо модуларне рачунарске мреже које се могу лако прилагодити новим технологијама, новој опреми или новим корисницима. Пре 1985. године нису постојали стандарди који се односе на структурно каблирање. Телефонске компаније су постављале сопствене системе каблирања и они најчешће нису били компатибилни са системима других произвођача. TIA2/EIA3 су 1991. године објавиле стандард за телекомуникационо каблирање пословних зграда - TIA/EIA-568 стандард. Он је представљао први стандард који је дефинисао телекомуникациони систем који би подржавао уређаје различитих произвођача.
Local Area Network Telecommunications Industry Association 3 Electronics Industries Alliance 1 2
173
Рачунарске мреже
12.2 Подсистеми структурног каблирања Систем структурног каблирања, дефинисан од стране TIA/EIA, састоји се од шест подсистема (слика 12.1): 1.
Хоризонтално каблирање. Систем хоризонталног каблирања обухвата све елементе између разводног панела у телекомуникационој соби и рачунара на радном месту. Овај систем назива се хоризонтални зато што се каблови најчешће постављају кроз хоризонталне вођице у плафонима или хоризонтално постављеним каналицама, које воде до телекомуникационе собе, која се најчешће налази на истом спрату.
2.
Каблирање окоснице мреже. Окосница мреже обухвата каблирање између телекомуникационих соба, просторија са активном мрежном опремом и каблирање између зграда.
Слика 12.1 Систем структурног каблирања
3.
Телекомуникациона соба. У телекомуникационој соби се поставља сва неопходна пасивна и активна мрежна опрема која омогућава спајање хоризонталног система каблирања са окосницом мреже. Зграда мора имати минимум једну телекомуникациону собу.
4.
Радни простор. Радни простор садржи све компоненте између рачунарске утичнице и радне станице.
5.
Просторија са опремом. Просторија са опремом садржи сервере, уређаје који су задужени да обезбеде сигурност у рачунарској мрежи, итд. Ова соба се разликује од телекомуникационе собе по комплексности опреме коју садржи. Просторија са опремом може се налазити у оквиру телекомуникационе собе или може бити одвојена, у зависности од услова зграде.
174
XII Вежба
6.
Демаркациона тачка. Демаркациона тачка представља место где се окосница мреже повезује са комуникационим линком који је обезбеђен од стране телеком посредника.
Хоризонтално каблирање Већина каблова који се користе у рачунарској мрежи у једној згради представљају део система хоризонталног каблирања. Хоризонтални каблови најчешће су мање доступни од каблова који чине окосницу мреже, тако да се на промену у систему хоризонталног каблирања може утрошити много времена и финансијских средстава. Због ових разлога неопходно је детаљно испланирати систем хоризонталног каблирања како бисмо постигли максимум ефикасности целокупног система структурног каблирања. Систем хоризонталног каблирања је специфициран у TIA/EIA-568-B.1 стандарду и обухвата: •
хоризонтално каблирање,
•
мрежне утичнице,
•
мрежне конекторе,
•
приводне4 каблове.
Планирање система хоризонталног каблирања Код планирања система хоризонталног каблирања посебну пажњу треба обратити на следеће: •
Промене у мрежи. Током рада сигурно ће постојати ситуација када ће морати да дође до одређених премештања мрежне опреме као и самих радних места корисника. Тако да је пракса да се каблови постављају и у деловима зграде који тренутно нису у употреби како би у будућности били спремни на могуће промене у мрежи.
•
Одржавање. Систем треба поставити на тај начин да буде што једноставнији и приступачнији за одржавање.
•
Опрема. Код одабира мрежне опреме треба обратити пажњу да она може да задовољи неке мање промене и проширења у будућности.
•
Апликације. Треба испитати које се апликације користе у мрежи и које ће се користити у будућности како бисмо обезбедили довољан пропусни опсег.
•
Путање каблова. Путање каблова тачно се морају утврдити и прецизно испитати да ли постоји довољно простора за постављање одређеног броја каблова.
•
Документација. Јако важан део самог система каблирања јесте документација. Сваки кабл и утичница треба да буду означени.
•
ЕМС5. Треба обратити пажњу на то да ли постоје електромагнетне сметње у близини путања каблова, као што су лифтови, електромотори и други уређаји.
Топологија хоризонталног каблирања TIA/EIA-568-B.1 посебно наглашава следеће спецификације: • 4 5
Систем хоризонталног каблирања треба да има топологију звезде.
Patch cable - каблови који повезују активну мрежну опрему са мрежним утичницама. Електромагнетне сметње
175
Рачунарске мреже
•
Свака рачунарска утичница треба да буде повезана са разводним панелом у телекомуникационој соби.
•
Телекомуникациона соба треба да се налази на истом спрату као и радни простор.
•
Бакарни каблови не смеју бити настављани.
•
Електричне компоненте не треба да буду инсталиране као део система хоризонталног каблирања.
•
Минимум две утичнице треба да буду обезбеђене по радном месту. За пренос гласа минимум је кабл категорије 3, а за пренос података CAT6 представља минимум.
Максималне дужине хоризонталног сегмента Дужина сегмента хоризонталног каблирања не сме да буде већа од 100 метара, и то (слика 12.2): •
Кабл којим је повезана утичница на радном месту са разводним панелом у телекомуникационој соби не би треблао да буде дужи од 90 метара;
•
Кабл који повезује радну станицу са утичницом је дужине до 5 метара;
•
Кабл који повезује разводни панел са мрежним уређајима (приводни кабл) такође не би требало да буде дужи од 5 метара.
Слика 12.2 Хоризонтално каблирање
Каблови који су препоручени за инсталацију: •
UTP или ScTP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2).
•
Оптички кабл са 2 или више влакана, и попречног пресека језгра 50 или 62.5µm.
•
Може се користити и оклопљени кабл од 150Ω, али није препоручљиво.
Хибридни каблови (кабл који садржи више различитих врста каблова) такође су дозвољени, али само ако сваки појединачни кабл задовољава трансмисионе захтеве и захтеве за означавање кабла. Каблове са пуним попречним пресеком треба користити за инсталације од разводног панела до утичнице на радном месту. Лицнасте каблове треба користити за приводне каблове.
176
XII Вежба
Конектори који се користе су: •
RJ-45 са T568A или T568B распоредом парица,
•
SC или ST конектори за оптичке каблове.
Окосница мреже Окосница мреже повезује све системе хоризонталног каблирања у једној згради или више зграда (слика 12.3). Окосница такође повезује телекомуникационе собе са собом са опремом и са главним спољашњим линком, који нам обезбеђује телеком посредник. У стандарду TIA/EIA-568-B.1 специфицирана је окосница мреже и он обухвата: •
каблирање,
•
главна чворишта и међучворишта,
•
конекторе.
Слика 12.3 Окосница мреже
Планирање окоснице мреже Код планирања окоснице мреже посебну пажњу треба обратити на следеће: •
Перформансе. Окосница мора да задовољава захтеве тренутне рачунарске мреже, али исто тако требало би да без већих промена задовољава и потребе у будућности. Тако да се може узети у обзир инсталирање додатних каблова, који се тренутно неће користити а који ће омогућити добре перформансе у будућности.
•
Врста кабла. Треба прорачунати предвиђени интензитет саобраћајa у мрежи као и максималне раздаљине у мрежи које треба повезати окосницом. И ове чињенице ће највероватније одредити коју ћемо врсту кабла користити за вертикално каблирање.
•
Редундантност. Ако у мрежи постоје важни системи треба обезбедити редундантне линкове, а каблови тих линкова ће се разводити различитим каналима.
•
Услови средине. Треба испитати да ли постоје ЕМС у близини инсталационих путева. Такође треба испитати могућност појаве пожара. И такође треба обезбедити да каблови окоснице, као и сама опрема, не буду доступни неауторизованом особљу.
177
Рачунарске мреже
Топологија окоснице мреже Препоручена топологија за окосницу мреже је хијерархијска звезда. Сви каблови су концентрисани у централну тачку која се зове главно чвориште. Свака телекомуникациона соба и просторија са опремом повезане су са главним чвориштем директно или преко додатног међучворишта (слика 12.4). Оваква топологија обезбеђује контролу штете јер ако дође до оштећења на неком од каблова остали сегменти моћи ће да функционишу нормално. Препоручени каблови за окосницу мреже су: •
UTP или ScTP каблови, од 100Ω и 4 парице (EIA/TIA-568-B.2),
•
oптички кабл попречног пресека језгра 50 или 62.5 µm (TIA/EIA-568-B.3),
•
Single-mode оптички кабл (TIA/EIA-568-B.3).
Могу се користити каблови различитог типа. На пример, зграде можемо повезати са једномодним оптичким каблом, спратове повезати са мултимодним оптичким каблом, а са каблом са упреденим парицама повезивати међучворишта на истом спрату.
Слика 12.4 Топологија окоснице мреже
Радни простор обухвата све компоненте између мрежне утичнице и радне станице: •
мрежне утичнице укључујући и кућишта и маске за утичнице,
•
модуле који се уграђују у утичнице,
•
приводне каблове који повезују радну станицу са мрежном утичницом,
•
радне станице, телефоне, штампаче, итд. Иако они нису обухваћени стандардом. 178
XII Вежба
Неколико најважнијих препорука из TIA/EIA-568-B.1 стандарда: •
На сваком радном месту треба инсталирати минимум две утичнице.
•
Повезивање конектора и модула треба да задовољи T568A или T568B инсталациону шему.
•
Приводни кабл који повезује радну станицу са мрежном утичницом не треба да буде дужи од 5 метара.
•
Модули, конектори, приводни каблови треба да задовоље категорију кабла који се користи за хоризонтално каблирање (нпр. ако се за хоризонтално каблирање користи кабл категорије 6, а радну станицу прикључимо приводним каблом CAT5e, нећемо добити очекиване перформансе).
Телекомуникациона соба Телекомуникациона соба је некада била позната под именом телекомуникациони орман. У овој соби налази се сва опрема са којом се хоризонтални систем каблова повезује са окосницом мреже, и то укључује; •
главно чвориште,
•
међучворишта,
•
приводне каблове,
•
сву опрему која је неопходна за повезивање.
Комплетан дизајн и препоруке димензија собе могу се пронаћи у TIA/EIA-569-B стандарду. Неке од препорука: •
Телекомуникациона соба требало би да буде што ближе центру самог спрата зграде.
•
Телекомуникациону собу не треба делити са опремом за електричну енергију.
•
Ако је површина спрата већа од 1000m2 треба додати још једну телекомуникациону собу.
Просторија са опремом Просторија са опремом разликује се од телекомуникационе собе по комплексности опреме коју садржи. У соби са опремом налазе се уређаји за заштиту података у мрежи, рутери, сервери, комутатори, итд. Просторија са опремом може бити део телекомуникационе собе. Такође у овој соби може се налазити и приступни линк од телеком посредника. Неке од препорука дизајна собе са опремом из TIA/EIA-569-B стандарда: •
Свака зграда треба да садржи макар једну собу са опремом.
•
Треба водити рачуна о димензијама просторије због додавања опреме у будућности.
•
Врата просторије треба да буду довољно велика да би кроз њих могли да прођу велики делови телекомуникационе опреме.
•
Минимална висина плафона би требало да износи 2,4 метра.
•
Минимална површина просторије требало би да буде 14 m2 .
•
Соба треба да има стално напајање као и резервно напајање.
•
Климатски услови морају бити контролисани.
179
Рачунарске мреже
Демаркациона тачка Демаркациона тачка је место где се завршава одговорност телеком посредника и каблови спајају са окосницом мреже зграде. Просторија са приступним линком може да буде део просторије са опремом. Ова просторија треба да буде позиционирана што ближе вертикалним вођицама за каблове који чине окосницу система. Такође, ова просторија, у случају да је засебна, треба да садри и резервно напајање електричном енергијом и све услове које морају да задовоље телекомуникациона соба и просторија са опремом.
12.3 Каблирање Каблирање представља једну од најважнијих компонената рачунарске мреже и такође представља компоненту која би требало да има најдужи радни век. Инвестирање у кабловски систем високог квалитета свакако ће пружити одличне перформансе рачунарске мреже.
Одабир кабла Када планирамо кабловску инфраструктуру имамо две могућности: можемо користити бакарне каблове, или можемо употребити оптичке каблове. Коју ћемо врсту каблова користити зависи од мноштва фактора: Мрежне апликације. Код одабира кабла морамо обратити посебну пажњу на апликације које ће се користити у том мрежном окружењу. Ако се користе мултимедијалне апликације, које укључују пренос видео материјала и великих датотека, онда свакако треба користити каблове са већим пропусним опсегом. Раздаљина. Морамо имати у виду колико је најдаља радна станица удаљена од разделника који се налази у телекомуникационој соби. Инсталација каблова. Треба водити рачуна о инсталационим путевима каблова (колико има простора за каблове, под којим углом ће морати да се савијају, итд.). Опасност од пожара. Ако постоји опасност од пожара треба употребити каблове од посебних материјала који у случаја пожара не испуштају отрован дим. Електромагнетне сметње. У случају да се мрежни каблови морају постављати поред каблова за електричну енергију потребно је користити каблове који су отпорнији на ЕМС. Бакарни каблови су се традиционално користили за мрежне сегменте мањих раздаљина и када није било потребе за брзим преносом података, док су се оптички каблови користили за изградњу окосница у рачунарским мрежама и за повезивање уређаја на великим удаљеностима. Али са појавом могућности да се подаци преносе брзином од 10Gb/s и преко бакарних каблова ово правило се више не уважава у толикој мери. Данас се најчешће могу видети рачунарске мреже које користе и бакарне и оптичке каблове (слика 12.5).
180
XII Вежба
Слика 12.5 Каблирање
Бакарни каблови Једна од највећих предности бакарног кабла јесте лакша инсталација у односу на оптички кабл. Некада је и разлика у цени између ове две врсте каблова била знатно већа него што је данас. У рачунарским мрежама бакарни каблови се користе у облику упредених парица. Упредена парица представља два проводника који су умотани један око другог ради поништавања електромагнетних сметњи као и ефекта преслушавања који потиче од суседних парица. Количина ЕМС коју ствара један проводник у парици приближно је једнака количини ЕМС коју ствара и други проводник у парици, само што су различитих фаза и на тај начин се међусобно поништавају. Каблови са упреденим парицама имају карактеристику која се назива корак упредања (обично се приказује као корак упредања по дужном метру), и ова карактеристика одређује и сам квалитет кабла (слика 12.6).
181
Рачунарске мреже
Слика 12.6 Корак упредања парица
Неоклопљене упредене парице (UTP6) Ова врста кабла најчешће се користи у телефонским системима као и у етернет мрежама. Састоји се од најчешће четири пара упредених парица у изолационом омотачу (слика 12.7). Ова врста каблова није отпорна на спољашње електромагнетне сметње.
Слика 12.7 Врсте каблова
Оклопљене упредене парице (STP, F/UTP, S/FTP, ScTP, S/STP) Оклопљене парице пружају знатно бољу заштиту од електромагнетних сметњи које могу произвести енергетски каблови, мотори лифтова, генератори, клима уређаји, итд. Метални оклоп кабла мора бити добро уземљен како би омогућио добру заштиту од ЕМС, у случају да оклоп није добро уземљен дошло би до повећања сметњи. Оклопљени каблови су скупљи од обичних каблова и мање су флексибилни, тако да их је теже монтирати. Такође, оклопљени каблови имају већи попречни пресек од обичних каблова, што значи да треба рачунати на веће канале за уградњу оваквих каблова. Оклопљени кабл састоји се од упредених парица, оклопа и изолационог материјала. Постоје две најчешће врсте оклопа: метална фолија и бакарна или алуминијумска мрежица. Фолија покрива 100% површине кабла, док мрежица покрива 85% до 95% површине због рупица у самој мрежици. Али ипак, мрежица пружа мало бољу заштиту јер је дебља од фолије и апсорбује више ЕМС. Мрежица је такође јако добар оклоп на мањим учестаностима. Фолија, пошто је тања, мање одбија сметње, али ипак пружа бољу заштиту на већим учестаностима. Због ових разлога комбинација фолије и мрежице користи се када је потребна јака заштита. Мрежицом се обавију све парице заједно, док се фолијом заштити сваки пар парица засебно. S/UTP7 познат као и FTP8 представља кабл код кога су све упредене парице оклопљене заједничким омотачем, најчешће од фолије. Овакви каблови могу се наћи и под називом ScTP9, што би у преводу значило армиране упредене парице (слика 12.7). STP10 или STP-A су каблови код којих је свака парица засебно заштићена омотачем. S/STP11 је кабл код кога Unshielded twisted pair Screened unshielded twisted pair 8 Foiled Twisted Pair 9 Screened Twisted Pair 10 Shielded twisted pair 11 Screened shielded twisted pair 6 7
182
XII Вежба
су све парице посебно заштићене омотачем, а такође су и све парице заједно заштићене још једним заштитним омотачем (слика 12.7). Оваква врста кабла пружа најбољу заштиту и позната је и под именом S/FTP12. Стандардизовани начин означавања каблова приказан је на слици 12.8.
Слика 12.8 Стандардизоване ознаке каблова са упреденим парицама
На пример: • • •
SF/UTP – кабл са оваквом ознаком има неоклопљене парице али се али око свих парица постоји и фолија и мрежица. U/FTP – код кабла са оваквом ознаком свака парица је појединачно заштићена фолијом. F/UTP – кабл са оваквом ознаком садржи заштитну фолију око свих парица заједно.
Лицнасти каблови и каблови са пуним попречним пресеком Упредене парице могу бити пуног попречног пресека и лицнасте, без обзира да ли је кабл оклопљен или не. Кабл пуног пресека. Овај кабл се користи утичницама на радним местима. Може се срести и користи за инсталације у зидовима (слика 12.9а). увртање, велика савијања и упредања. Каблови слабљење него лицнасти каблови.
за повезивање разводних панела са под именом wall (зидни) зато што се он Код оваквих каблова треба избегавати са пуним пресеком проузрокују мање
Слика 12.9 Врсте каблова 12
Screened Fully shielded Twisted Pair
183
Рачунарске мреже
Лицнасти кабл. Ова врста кабла користи се за повезивање разводних панела, као и за повезивање радних станица са утичницама (слика 12.9б). Знатно су флексибилнији од каблова са пуним попречним пресеком. Ипак, слабљење које овакви каблови уносе веће је, тако да укупна дужина лицнастих каблова у једном сегменту мреже не би требало да прелази 10 метара.
Изолациони омотач PVC13, или чешће звани винил, скраћеница је за поливинил-хлорид и представља производ петрохемијске индустрије. Овај материјал често се среће као изолациони омотач каблова свих врста. Каблови су савитљивији, лако се постављају али су и лако запаљиви и ослобађају отрован гас када горе. Пленум каблови постављају се у међупросторе, чвршћи су од каблова са PVC изолацијом али не испуштају отрован гас у случају да се запале.
Категорије бакарних каблова Како је потреба за повећањем пропусног опсега стално расла, због употребе све захтевнијих мрежних апликација, квалитет каблова са упреденим парицама такође је морао да се повећава. TIA/EIA-568B стандард специфицира категорије каблова са упреденим парицама. ISO/IEC специфицира категорије мрежних компоненти, док каблове специфицира по класама (class). У табели 12.1 дат је приказ категорија каблова и компоненти. Категорије и класе каблова и компоненти Фреквенција
TIA (компоненте)
TIA (каблови)
ISO (компоненте)
ISO (каблови)
1-100 MHz
CAT5e
CAT5e
CAT5e
Class D
1-250 MHz
CAT6
CAT6
CAT6
Class E
1-500 MHz
CAT6a
CAT6a
CAT6a
Class EA
1-600 MHz
-
-
CAT7
Class F
1-1000 MHz
-
-
CAT7A
Class FA
Табела 12.1 Категорије и класе каблова и компоненти Категорија 3 (CAT3/Class C) кабла са упреденим парицама се користила у мрежама са брзинама до 10 Mbps, са максималним пропусним опсегом од 16 MHz. Ова категорија кабла била је у употреби почетком деведесетих година прошлог века, али је њу заменио кабл категорије 5. Категорија 4 коришћена је у мрежама за жетоном и омогућавала је брзине до 16 Mbps. Али ова категорија је застарела и више није у употреби. Категорија 5 (CAT5) каблова користи се у локалним рачунарским мрежама са брзинама до 100 Mbps и са максималним сегментом мреже од 100 метара. Ова категорија каблова користи се од 1991. године и данас се сматра застарелом. 13
Polyvinyl chloride
184
XII Вежба
Побољшана категорија 5 (CAT5e/Class D) категорија је каблова која је дизајнирана да омогући пропусни опсег од 100 MHz и потпуни дуплекс. Ова категорија формално је дефинисана 2001. године као TIA/EIA-568B стандард. Са овом категоријом каблова уводе се додатни параметри перформанси Power-Sum Near-End Crosstalk (PS-NEXT), Equal-Level FarEnd Crosstalk (EL-FEXT), и Power-Sum Equal-Level Far-End Crosstalk (PS-ELFEXT). Ови и остали параметри биће објашњени касније у тексту, у поглављу које описује тестирање каблова. И поред, стриктних спецификација које кабл категорије 5е мора да задовољи он ипак не омогућава дуже мрежне сегменте од 100 метара. Категорија 6 (CAT6/Class E) представља категорију каблова који имају пропусни опсег од 250 MHz и подржавају гигабитни пренос података. Ова категорија каблова има још строжије параметре перформанси од каблова категорије CAT5e. CAT6 компоненте морају бити компатибилне са компонентама нижих категорија. Категорија 6а (CAT6а/Class EA) релативно је нов стандард, и дизајниран је да подржи захтеве за 10-гигабитним Етернетом преко упредених парица до 100 метара дужине. Пропусни опсег је проширен са 250 MHz на 500 MHz. Такође, уводи се и нови параметар Alien Crosstalk (ANEXT) и представља мерење преслушавања које долази са околнихсуседних каблова. За категорију CAT6а могу се употребљавати UTP и F/UTP врсте каблова, с` тим што F/UTP у принципу елиминишу проблем ANEXT-а. Категорија 7 (CAT7/Class F) тренутно је ISO/IEC 11801:2002 стандард и још увек није стандардизован од стране TIA, а дизајниран је да подржи захтеве 10-гигабитног Етернета. Стандард специфицира фреквенције од 1-600 MHz преко потпуно оклопљених упредених парица дужине до 100 метара. Кабл категорије 7 садржи 4 парице које су посебно оклопљене и које су такође све заједно оклопљене заштитним омотачем. Овако оклопљен кабл отпоран је на ефекат преслушавања између парица, а такође је отпоран и на спољашњи шум. Са оваквим карактеристикама каблови категорије 7 идеални су у просторијама где постоји висок степен електромагнетних сметњи. Каблови категорије 7 завршавају се GG45 конекторима или модулима (GG представља скрађеницу за GigaGate, а ознака 45 представља компатибилност са RJ45 конекторима). Овај систем је стандардизован као IEC 60603-7-7 2001. године и представља светски прихваћен CAT7 стандард. GG45 конектор има 4 додатна конектора у односу на RJ45 конектор (слика 12.10). Ови додатни конектори користиће се у будућности за још 2 парице, за пренос података при брзинама од 10Gb/s.
Слика 12.10 GG45 конектор
185
Рачунарске мреже
Постоје и TERA конектори који се чешће користе и који су стандардизовани 2003. Године, као IEC 61076-3-104. Последња верзија стандарда објављена 2006. године подржава фреквенције до 1000 MHz. Конектор се разликује од стандардног RJ45 конектора и није компатибилан са њим (слика 12.11).
Слика 12.11TERA модул и конектор
Категорија 7а (Class FA) је ISO стандард који се очекује, а заснива се на коришћењу S/FTP кабла на фреквенцијама до 1000 MHz.
Оптички каблови Код оптичких каблова светлосни сигнал се користи као носилац информације. Оптичко влакно је танак, флексибилан медијум, кроз који може да се простире светлосни зрак. Израђују се од стакла или пластике. Најмањи губици су код оптичких влакана која су направљена од силицијума али израда оваквих каблова јако је сложена. Нижа по цени, али и даље прихватљивих перформанси, су стаклена оптичка влакна. Пластична оптичка влакна најнижа су по цени и могу се користити за краћа растојања и примене у којима су губици средњег нивоа прихватљиви. Оптичка влакна имају цилиндрични облик и састоје се од три концентрична дела: језгра, пресвлаке и омотача. Поред ових слојева, оптички каблови могу садржати још неколико заштитних и изолационих слојева (слика 12.12). Оптичко влакно је пресвучено материјалом који има различита оптичка својства од језгра (нижи индекс преламања). Спој између језгра и омотача за светлосни зрак понаша се као гранична, рефлектујућа површина. Трећи слој може да буде омотач једном или више оптичких влакана. Омотач је обично направљен од пластичног материјала и заштита је од влаге, механичких оштећења и других нежељених утицаја у окружењу.
Слика 12.12 Оптички кабл
Оптички каблови завршавају се оптичким конекторима који омогућавају брзо спајање и раздвајање каблова. Оптички конектори омогућавају да се језгра каблова поравнају тако да
186
XII Вежба
светлосни зрак може да пролази кроз спој. Постоје разне врсте оптичких конектора, али свакако најпопуларнији су SC14 и ST15 конектори (слика 12.13).
Слика 12.13 Оптички конектори
Предности оптичких каблова Већи пропусни опсег. Оптички каблови имају већи пропусни опсег од каблова са упреденим парицама, и могу преносити податке са већом тачношћу. Мала слабљења на већим раздаљинама. Пошто је сигнал који се користи код оптичких каблова светлост, веома мала количина сигнала се изгуби током преноса. Раздаљине преко којих се могу преносити подаци путем оптичких каблова протежу се од 300m па до неколико десетина километара. Безбедност. Пренос података је безбеднији путем оптичких каблова. Оптички каблови не зраче и веома је тешко издвојити сигнал из оптичког кабла. Имуност на сметње. Оптички каблови веома поуздано преносе податке јер су отпорни на ЕМС и остале спољашње факторе који утичу на бакарне каблове. Оптичке каблове можемо без проблема инсталирати у индустријским окружењима и такође су отпорнији од бакарних каблова на температурне варијације. Дизајн. Оптички каблови су танки, лагани и постојанији од бакарних каблова. Оптички каблови се, приликом монтаже, могу повлачити силом која је 2-3 пута већа од дозвољене силе за бакарне каблове. Пошто су танки мање места заузимају приликом инсталације.
Једноугаона16 и вишеугаона17 оптичка влакна Постоје две врсте оптичких каблова: једноугаони и вишеугаони (слика 12.14). Већина оптичких каблова који се користе у инсталацијама унутар објеката је вишеугаона. Једноугаони каблови имају боље карактеристике и користе се за повезивање на већим раздаљинама. Вишеугаони оптички кабл има већи пречник језгра и омогућава да се истовремено користи више светлосних сигнала. Постоје две величине језгра, од 50µm и од 62,5µm, али обе врсте каблова имају исти пречник пресвлаке, који износи 125µm. Као извор светлосног сигнала код вишеугаоних оптичких влакана користе се LED диоде. Оптички каблови са језгром од 50µm омогућавају веће раздаљине и већу брзину од каблова са језгром од 62,5µm. Код нових инсталација треба употребљавати каблове са језгром од 50µm. Вишеугаони кабл је традиционално наранџасте боје. Оптички кабл са језгром од 50µm који је оптимизован за 10гигабитни пренос података је светлоплаве боје.
Subscriber Connector или Standard Connector Straight Tip 16 Singlemode 17 Multimode 14 15
187
Рачунарске мреже
Слика 12.14 Врсте оптичких каблова
Једноугаони кабл има мали пречник језгра, 8-10µm, и он користи само један светлосни сигнал. Светлосни зрак се простире кроз средину језгра и не одбија се о пресвлаку као што је то случај код вишеугаоних каблова. Једноугаони каблови омогућавају пренос сигнала на 50 пута веће дистанце од вишеугаоних каблова. Боја једноугаоног оптичког кабла је обично жута. Постоје и оптички каблови који су споља заштићени флексибилним алуминијумским оклопом који штити кабл од удараца и гњечења (слика 12.15). Такође, постоје и оптички каблови са доста јачим оклопом и они се користе за спољашње монтаже, обично су црне боје.
Слика 12.15 Оптички кабл са оклопом
12.3 Инсталација мрежне опреме Путање каблова Путање каблова представљају простор у који се смештају мрежни каблови. TIA/EIA-569-B стандард дефинише неколико различитих типова путања каблова као што су хоризонталне путање каблова и путање каблова за окосницу мреже (слика 12.16).
188
XII Вежба
Слика 12.16 Путање каблова
Путање каблова окоснице мреже Путање каблова окоснице мреже простиру се вертикално и хоризонтално између просторије са приступним линком, просторије са опремом и телекомуникационих соба. Ове вођице садрже каблове окоснице мреже и могу бити у облику каналица, пластичних црева, носача, итд. Када се дизајнира зграда, телекомуникационе собе требало би распоредити једну изнад друге на свим спратовима. На тај начин бисмо најједноставније и најефикасније поставили каблове који чине окосницу мреже. У случају да телекомуникационе собе нису у једној вертикалној линији, потребно је користити и хоризонталне канале да бисмо их повезали. Када постављамо кабл не смемо имати више од два угла од 90° између тачака између којих вучемо кабл. Такође се мора водити рачуна о попуни канала за каблове, попуна простора канала не би требало да пређе 40%.
189
Рачунарске мреже
Хоризонталне путање каблова Као што и само име наводи, ове вођице кабловa простиру се између телекомуникационих соба и радног простора. Овде исто треба водити рачуна о попуни простора у каналима за каблове, увек треба оставити простора због могућности да у будуђности буде потребе за додавањем још каблова.
Врсте вођица каблова Каналице се најчешће користе за инсталацију каблова (слика 12.17). Постоји читав спектар типова и димензија, као и материјала од којег се каналице израђују. Оне се најчешће монтирају на зид и у случају потребе омогуђавају лак приступ кабловима. Постоје каналице на које се директно могу уграђивати мрежне, телефонске и друге утичнице. Металне каналице са више раздвојених канала омогућавају да се паралелно инсталирају мрежни и енергетски каблови, у ситуацијама када не постоји могућност и простор да се ови каблови одвојено инсталирају. Треба водити рачуна о попуњености каналица, како због проширења у будућности тако и због инсталације самих каблова. Ако је каналица потпуно попуњена каблови једноставно неће у њој моћи да се савију под углом од 90°.
Слика 12.17 Каналице
За инсталацију каблова користе се и црева (слика 12.18), најчешће пластична (тзв. „бужир“). Она се постављају у зид, и због тога су каблови недоступни након инсталације. Овде се исто мора водити рачуна о густини каблова у пластичном цреву, да би савијање било могуће. Каблови се провлаче уз помоћ металних сајли, а додавање каблова у већ и делимично попуњене пластичне цеви практичнo је немогуће. Али и поред отежаног приступа кабловима, овакав начин инсталације је дискретнији, јер се каблови и каналице не виде и не нарушавају изглед пословног простора.
Слика 12.18 Пластично црево
190
XII Вежба
Такође, постоје и разне вођице каблова које се постављају у спуштене плафоне (слика 12.19) или издигнуте подове. И за њих постоји велики спектар утичница које се могу директно монтирати на под и бити практично неприметне.
Слика 12.19 Плафонске вођице каблова
Савети за инсталацију пасивне мрежне опреме Инсталација саме опреме једна је од најбитнијих ставки система структурног каблирања. Можемо потрошити значајна финансијска средства на најбољу мрежну опрему, али ако је не инсталирамо исправно систем који смо пројектовали неће добро функционисати. У TIA/EIA568-B.1 стандарду постоје препоруке за инсталацију мрежне опреме, неке од најважнијих су: Упредање парица. Корак упредања парица код бакарних каблова представља једну од карактеристика које знатно утичу на перформансе самог кабла. Ако којим случајем распредемо парице перформансе кабла ће се смањити. Ово је јако битно код постављања конектора или модула на каблове. При монтирању конектора или модула треба уклонити што мање изолационог омотача, док парице не би требало распредати више од 13mm (слика 12.20).
Слика 12.20 Распредање парица
Радијус савијања каблова. Ако каблове са упреденим парицама сувише савијемо приликом инсталације можемо нарушити корак упредања и на тај начин аутоматски смањити перфoрмансе кабла. Радијус савијања UTP кабла мора бити бар 4 пута већи од пречника самог кабла (слика 12.21). Код оклопљених каблова радијус савијања мора бити 8 пута већи од њиховог пречника. Код оптичких каблова треба пратити инсталациона упутства произвођача, али у сваком случају радијус савијања не треба бити мањи од 25mm.
191
Рачунарске мреже
Слика 12.21 Радијус савијања кабла
Истезање каблова. Каблови се приликом инсталације понекад морају провлачити кроз већ постојеће канале који су делимично и попуњени. Ако употребимо сувише јаку силу за провлачење каблова, можемо их оштетити. Код UTP каблова вучна сила не би требало да прелази 110 N. Претерано повлачење може нарушити корак упредања кабла. Код оптичких каблова вучна сила не би требало да прелази 222 N, али ипак треба проверити спецификације произвођача. Стезање каблова. Каблове треба груписати одговарајућим тракама (слика 12.22). Али не треба их сувише јако притезати јер може доћи до оштећења каблова. Траке треба да буду благо затегнуте.
Слика 12.22 Груписање каблова
Инсталација конектора. Код упредених парица конектори морају бити истег или бољег типа као и кабл. RJ45 конектори монтирају се на кабл уз помоћ кримп клешта (слика 12.23а). Треба водити рачуна о распореду парица у конектору. Такође треба проверити да ли су све парице оствариле контакт са иглицама конектора. Изолациони омотач кабла уклања се помоћу стрипер алата (слика 12.23б), али изолациони омотач не треба да буде сувише уклоњен јер може доћи до нарушавања перформанси самог кабла.
192
XII Вежба
Слика 12.23 Алат за инсталацију конектора
Тамо где је то могуће препоручује се употреба фабрички произведених и тестираних каблова са конекторима, као што је случај са приводним кабловима (слика 12.24). Пожељно је користити различите боје каблова у зависности од намене кабла.
Слика 12.24 Фабрички приводни каблови
Постављање конектора код оптичких каблова знатно је сложеније, и потребно је добро исполирати оптичко влакно и поравнати језгро влакна са конектором. Ако се конектор лоше инсталира на кабл долази до непотребног преламања и слабљења светлосног сигнала.
Тестирање каблова Након инсталације каблова и конектора потребно је извршити проверу исправности веза како би се уочиле потенцијалне неисправности које су настале услед монтирања каблова или конектора. За тестирање каблова постоје две уобичајене тест конфигурације: линк тест (углавном се користи у објектима који су још увек у фази изградње и не укључује приводне везе ни на једном крају кабла) и тест канала (обезбеђује верификацију перформанси са краја на крај, тј. исправност кабла и проверу приводних веза на крајевима) (слика 12.25). Наиме, мерења инструментима у структурним кабловским системима могу се сврстати у четири категорије. Прву чине „зујалице“ или „тонери“ и дигитални мултиметри (слика 12.26а). Друга категорија су тестери каблова (слика 12.26б), а у трећу категорију спадају специјализовани уређаји за мерења и атестирање, који се још називају и инструментима за сертификацију (слика 12.26г). Најзад, четврту групу чине анализатори мреже (Network Analyzers) (слика 12.26д).
193
Рачунарске мреже
Слика 12.25 Тест конфигурације
Сваки од инструмената из ове четири групе има своју намену, а примена неодговарајућих инструмената за тестирање може проузроковати више штете него користи. Није упутно тестирати UTP кабл категорије 5 обичним омметром или „зујалицом“. Исто тако, није упутно тражити грешке у ожичењу мрежним анализатором, због утрошка времена и због цене самог инструмента.
Слика 12.26 Уређаји за тестирање каблова
Тестирање упредених парица Тестери континуалности су инструменти који се најчешће користе за проналажење каблова или парица и откривање прекида и кратких спојева у каблу. Производе се у најразличитијим облицима специјализованим за одређене типове каблова, мада се у суштини своде на обичне зујалице или модификоване омметре. У исту сврху може се користити и обични дигитални мултиметар са адаптером и неколико краткоспојника. Ови тестери много чешће се користе у телефонији него у структурном каблирању. Главна предност им је ниска цена, а мана је ограничен опсег мерења и свођење грешака на прекид или кратак спој. За проверу каблова користе се усавршени тестери континуалности који проверавају и да ли су каблови правилно повезани, проналазе раздвојене или укрштене парице и откривају остале грешке у повезивању према задатом стандарду. Најскупљи модели могу да измере чак и дужину кабла, једноставни су за употребу, резултати мерења добијају се одмах и једнозначни су. Мана им је што не могу да открију фреквентно зависне грешке. На нашем тржишту могу се наћи Микротестов Microscanner који мери и дужину кабла, Molex (раније Mod-Tap) SLT3 Tester и FULL Cable Tracer. 194
XII Вежба
За функционалне тестове потребни су специјални тест уређаји, односно инструменти за сертификацију, који испитују кабл по тачно дефинисаним критеријумима стандарда TIA/EIA 568A и ISO класе D и E, односно TSB67 (Transmition Performance Specification) и TSB95 за категорију 5Е. Критеријуми за тестирање упредених парица су: •
дужина кабла,
•
исправност ожичења (wire map) – провера да ли је распоред парица исправан,
•
време кашњења (propagation delay) - брзина простирања сигнала кроз парицу. Изражава се у односу на брзину простирања светлости у вакууму,
•
разлика у кашњењу (propagation delay skew) - или попречно кашњење које је разлика између најбржег и најспоријег сигнала у различитим парицама језгра кабла,
•
слабљење (attenuation),
•
преслушавање на ближем крају (Near End Crosstalk – NEXT)
•
ехо (return loss) - повратни губици представљају однос улазне и рефлектоване снаге сигнала, у dB. Настаје на местима дуж кабловске линије где је присутна нехомогеност карактеристичне импедансе парице.
•
PSNEXT (Power Sum Near End Cross Talk) - представља укупан утицај снаге преслушавања на ближем крају свих ометајућих парица на мерену ометану парицу,
•
PSFEXT (Power Sum Equal Level Far End Cross Talk) - представља укупан утицај преслушавања на даљем крају свих парица на мерену парицу,
•
ELFEXT (equalized level far end crosstalk), односно изједначена вредност преслушавања на даљем крају.
За корисника је најважнији податак однос слабљења и преслушавања ACR (attenuation to crosstalk ratio). За категорију 5Е још се мере PSFEXT и ELFEXT. Инструменти за сертификацију малих су димензија (величине стандардног дигиталног мултиметра), аутономног напајања, мале масе и једноставни су за употребу. Већина модела има већ припремљене групе тестова за одговарајуће категорије кабла, али можете направити и сопствени скуп мерења. Резултати тестирања добијају се у временском распону од неколико секунди до неколико минута и дају потпуни увид у стање линије. Овим уређајима могућа је дијагностика свих врста грешака које се могу јавити у структурним кабловским системима. Главна мана оваквих уређаја је цена. Водећи произвођачи ове опреме су Microtest, Fluke, Hewlett-Packard, Datacom и Agilent. Анализатор мреже углавном се користи у лабораторијским условима, када треба упоредити каблове исте категорије и дати њихову фреквентну карактеристику. Састоји се од врло прецизног предајника и пријемника и њим је могуће утврдити слабљење по линији у распону од 0.1 до 500 MHz и у динамичком опсегу који је већи од 110 dB. Предност овог уређаја је велика тачност мерења, али су мане многобројне. За потпуна мерења често су потребни сати, уређај је сувише гломазан, мери парицу по парицу, не може да изврши сва мерења потребна за сертификовање категорије 5е или 6, тражи сарадњу квалификованог стручњака и, наравно, кошта преко 20 хиљада долара.
195
Рачунарске мреже
Вежбе Активност 1: Пример прорачуна пасивне мрежне опреме У овој вежби биће приказан поступак пројектовања и прорачуна система структурног каблирања у складу са пројектним захтевима. Објекат је једноспратна пословна зграда, потребно је пројектовати локалну рачунарску мрежу. На слици 12.27 приказан је план приземља објекта, док је на слици 12.28 дат план првог спрата. При томе, предложено решење треба да обезбеди функционалност за наредни период од најмање 5 година и могућност надоградње. Од пројектанта се захтева да обезбеди следеће: •
пројектовати разводе и кабловску инфраструктуру мреже,
•
нацртати план вертикалног и хоризонталног каблирања, са назначеним бројем и врстом каблова,
•
направити прорачун пасивне мрежне опреме.
Пре него што се приступи самом пројектовању потребно је прикупити од инвеститора што више корисних информација о захтевима и потребама и евентуалним планираним проширењима у будућности.Овакве информације најчешће се сакупљају у форми интервјуа или упитника кога инвеститор, или неко друго овлашћено лице, попуњава.
Слика 12.27 Приземље
196
XII Вежба
Слика 12.28 Први спрат
Обилазак локације потребно је обавити да би се добио увид у стање евентуалне постојеће локалне рачунарске мреже, снимак стања грађевине и одређивање предлога траса полагања каблова. Након што се скупе све потребне информације приступа се изради пројектне документације. Кориснички захтеви су следећи: •
свако радно место треба да има два мрежна прикључка,
•
на великим столовим у канцеларијама потребно је обезбедити минимум две мрежне утичнице,
•
брзина протока података на радним местима треба да буде 100Mbps,
•
серверима који се налазе у соби са опремом треба обезбедити брзину протока од 1Gbps.
Обиласком локације увидело се да зграда има спуштени плафон од гипсаних плоча и подигнуте подове у канцеларијама на првом спрату.
Одабир телекомуникационих соба Први корак могао би бити одабир просторија које ће бити претворене у телекомуникационе собе. Код одабира просторија треба обратити пажњу на „област покривања“ која се одређује на основу максималног досега каблова који ће се користити за хоризонтално каблирање. Просторија 1.12 одабрана је за главно чвориште (MDF – Main Disrtribution Frame). У овој просторији налазиће се опрема за главно чвориште као и опрема за међучвориште IDF0 (IDF – Intermedia Distribution Frame) које опслужују рачунаре у приземљу. Ова просторија је изабрана због своје пространости и изолованости, а у њој се налази и демаркациона тачка (POP – Point Of Present). У овој просторији налазиће се и сервери за локалну рачунарску мрежу.
197
Рачунарске мреже
Просторије означене бројевима 2.31 и 2.7 одабране су за међучворишта на првом спрату, IDF1 и IDF2, респективно. На слици 12.30 је приказана област покривања ових међучворишта.
Слика 12.29 План приземља
Слика 12.30 План првог спрата
198
XII Вежба
Одабир врсте каблова за хоризонтално и вертикално каблирање На основу фактора за одабир каблова који су обрађени у поглављу 12.3, за хоризонтално каблирање одабран је U/FTP CAT6 кабл са пуним попречним пресеком (wall cable). Оклопљени кабл је одабран јер је ће каблови монтирати у простору спуштеног плафона, где ће на малом размаку бити провлачени и напонски каблови. Такође, оклопљени каблови пружају знатно боље карактеристике у случају потребе за проширењем пропусног опсега ка радним местима. Пошто је изабран оклопљени кабл, потребно је користити и оклопљене мрежне модуле, који се монтирају на радним местима као и на разводним панелима у телекомуникационим собама. Ови модули ће омогућити да се оклопљени кабл уземљи преко ормана за опрему. На слици 12.31 су приказани мрежни модули за оклопљене (12.31а) и неоклопљене каблове (12.31б).
Слика 12.31 Мрежни модули
На страни хоризонталног кабла која се завршава у радном простору, модул се монтира у посебна кућишта. Постоји велики избор кућишта за инсталацију модула: •
кућишта која се инсталирају директно на парапетне канале,
•
назидна кућишта,
•
узидна кућишта,
•
кућишта која се монтирају на подигнут под. На слици 12.32 могу се видети неки модели кућишта.
Слика 12.32 Кућишта за мрежне модуле
На страни хоризонталног кабла који се завршава у телекомуникационој соби, модули се монтирају на разводне панеле (patch panels). Разводни панели се постављају у ормане за опрему (познатији као reck ормани). Разводни панели су стандардне ширине од 19" и 23" а висина зависи од броја прикључних места. Разводни панели могу имати већ инсталиране мрежне модуле, а могу бити и јако једноставни у и то виду маске на коју се модули монтирају (слика 12.33).
199
Рачунарске мреже
Слика 12.33 Разводни панел са преинсталираним модулима
За вертикално каблирање одабран је вишеугаони оптички кабл од 62.5/125µm. Између главног чворишта MDF и међучворишта IDF1 и IDF2, биће постављена по 4 оптичка влакна. Јако битно је напоменути да се морају користити посебни оптички разводни панели у свим орманима са опремом до којих се простиру оптички каблови. Оптички разводни (слика 12.34) панел је пасивна компонента фибер оптичког система где се завршавају оптички каблови оптичким конекторима, а поставља се у орман са опремом.
Слика 12.34 Оптички разводни панел
На предњој страни оптичког разводног панела монтирани су оптички адаптери за спајање оптичких конектора. У адаптер се са задње стране поставља конектор доводног оптичког кабла, а са предње стране конектор оптичких приводних каблова (patchcord). Завршавање оптичких влакана долазног кабла може се вршити спајањем завршног кабла (pigtail, слика 12.35) или директном монтажом конектора.
200
XII Вежба
Слика 12.35 Оптички завршни кабл – pigtail
Оптички разводни панел садржи различит број оптичких портова, али је то најчешће: 8, 16, 24 и 48 оптичких портова. Оптички портови на разводном панелу могу бити различити зависно од типа оптичког конектора који треба да се прикључи.
Одабир вођица каблова Пошто у објекту постоји спуштени плафон, већина каблова ће се монтирати у том међупростору. За ту сврху користиће се посебни носачи каблова који се монтирају на плафон (слика 12.36), о којима је било речи у поглављу 12.3. До радних места каблови ће се провлачити кроз подигнут под. У просторијама где подигнут под није инсталиран, каблови ће се провлачити кроз пластичне каналице до радних места. Потребно је обратити пажњу на димензије и капацитет каналица. Треба узети у обзир да се користе оклопљени каблови, који су већег пречника од неоклопљених каблова, и на основу тога треба одабрати праве димензије каналица.
Слика 12.36 Вођице каблова
Одабир ормана за опрему Ормани за опрему служе за смештање и организовање мрежне опреме. Ормани су стандардних димензија, ширине 19" и 23", и могу бити стојећи или назидни. Основна јединица мере за ормане са опремом је rack unit (U) која износи 43.6 mm. Потребно је одабрати орман довољне висине како би у њега стала потребна пасивна и активна мрежна опрема, а да опет између опреме остане места за циркулацију ваздуха због хлађења. Постоје и посебни додатни елементи који се монтирају у ормане за опрему, као што су аранжери каблова, вентилатори, лампе за осветљење, итд.
201
Рачунарске мреже
Означавање прикључних места и каблова Правилно документовање система структурног каблирања је од есенцијалне важности. Свако прикључно место и сваки мрежни кабл морају бити једнозначно обележени. Каблове је потребно означити пре самог постављања, како не би долазило до конфузије када се каблови групишу у току саме инсталације. Потребно је одредити систем означавања прикључних места и каблова. Ознаке најчешће садрже број просторије, број радног места и број мрежне утичнице. На пример: друга утичница на радном месту број 7 у просторији 2.10 имала би ознаку 2.16-7/2. Ако у систему постоји више чворишта хоризонталног каблирања, пожељно је означити каблове и са бројем чворишта. На пример, мрежни кабл за прикључницу са ознаком 2.16-7/2 био би означен са IDF2-2.16-7/2. За означавање каблова могу се користити и наменске налепнице које су доступне и на нашем тржишту. Прикључнице које се налазе на разводним панелима у чвориштима такође је потребно означити. Најчешће ова прикључна места имају исте ознаке као и прикључнице на радним местима.
Спецификација потебне пасивне мрежне опреме Када се заврш и процес одабира пасивне мрежне опреме као и прорачун потребне количине опреме, добра је пракса направити спецификацију у виду табеле. Пример спецификације прказан је у табели 12.2. Опрема U/FTP кабл CAT6, произвођач R&M 4 парице, пун пресек, омотач без халогена, незапаљив и не испушта дим STP приводни кабл CAT6 дужине 3m - фабрички направљен и тестиран, R&M STP приводни кабл CAT6 дужине 2m - фабрички направљен и тестиран, R&M Модул RJ-45 STP CAT6, 568A/B, са додатком за монтирање на пластична кућишта, R&M Модул RJ-45 STP CAT6, 568A/B, R&M Разводни панел са 24 прикључна места, R&M Оптички кабл 8 влакана 62.5/125 вишеугаони 62.5/125 - Halogen Free, незапаљив и не испушта отрован дим, са додатним појачањем и заштитом од глодара, отпоран на влагу
Количина
Локација
Цена
8000m
Хоризонтално каблирање
-
220 ком.
Радна места
220 ком.
Мрежна чворишта
-
220 ком.
Радна места
-
220 ком.
Мрежна чворишта, монтажа на разводне панеле
-
10 ком.
Мрежна чворишта
-
150m
Вертикално каблирање
-
202
XII Вежба
Опрема Оптички разводни панел 19"/1U са 12 слотова за дуплекс SC/ST адаптере (до 24 оптичка влакна) дубина 295mm, касета за сплајсовање Дуплекс SC/SC вишеугаони адаптер за оптички разводни панел Приводни оптички каблови SC - SC дуж. 2m, вишеугаони 62.5/125 Пластична кућишта за монтажу мрежних утичница, 2 прикључна места, Legrand Парапетни пластични канали, димензије, 55x50mm, Legrand Метални носачи каблова за спуштени плафон Рек орман 42 U/19" Toten A28042, стојећи - статичка носивост до 800kg, димензије 800x1000x2000mm Разводник са 5x220V утичних места прекидач, основна заштита, кабл 3,0m
Количина
Локација
Цена
3 ком.
Мрежна чворишта
-
10 ком.
Мрежна чворишта, монтажа на разводне панеле
-
10 ком.
Мрежна чворишта
-
110 ком.
Радна места
-
200m
Радна места
-
400m
Хоризонтално и вертикално каблирање
-
3 ком.
Мрежна чворишта
-
5 ком.
Мрежна чворишта
-
Табела 12.2 – Спецификација пасивне мрежне опреме
Цене у овом примеру нису приказане из практичних разлога, али је потребно израчунати укупну вредност пасивне мрежне опреме. Пракса је израчунати и цену пасивне мрежне опреме по једном мрежном прикључку, како би се што боље приказали трошкови инвеститору. Цена се добија тако што се цена укупних трошкова за пасивну мрежну опрему подели са бројем мрежних прикључница (у примеру који је приказан постоји 220 прикључних места).
203
XIII ВЕЖБА АКТИВНА МРЕЖНА ОПРЕМА
У овој вежби студенти треба да се упознају са улогом активне мрежне опреме у модерним рачунарским мрежама као и са типовима уређаја који спадају у ову категорију.
XIII Вежба
13. Активна мрежна опрема Активну мрежну опрему представљају уређаји који на неки начин утичу на мрежни саобраћај и којима је за рад неопходна електрична енергија. У основи сви активни мрежни уређаји утичу на саобраћај тако што обнављају евентуaлно ослабљен сигнал, а неки од њих имају способност да одлучују да ли одређени саобраћај треба преусмерити и куда. Ова група је због тога и добила назив епитет активна. Као таквa, активна мрежна опрема је основни градивни елемент модерних рачунарских мрежа. У даљем тексту представићемо најпознатије типове мрежних уређаја који се убрајају у активну мрежну опрему, при чему ће бити наглашена караkтеристика која их сврстава у ову групу.
13. 1 Обнављивач сигнала (енг. Repeater) Рипитер је уређај који функционише на физичком слоју OSI референтног модела. Његова улога је да регенерише сигнал који је примио на једном интерфејсу и да га проследи на други интерфејс. Основна намена му је да продужи мрежни сегмент преко његових физичких ограничења, било да се сигнал преноси коаксијалним кабловима, упреденим парицама, оптичким кабловима или радио сигналима.
13.2 Медија конвертер Медија конвертери су уређаји намењени повезивању рачунарских мрежа које користе различите технологије преноса. Најчешће се користе медија конвертери за претварање електричног сигнала у оптички сигнал и обрнуто, функционишу на физичком слоју OSI референтног модела. Најчешћа примена је у случајевима када је потребно прећи са бакарног медијума (упредених парица) на оптички медијум (оптички кабл) и обрнуто. Израђују се за различите варијанте оптичких конектора и оптичког кабла који се користи за пренос – једноугаоне или вишеугаоне. Највећи број типова медија конвертера користи два влакна за пренос оптичког сигнала, али постоје и медија конвертери који за пренос оптичког сигнала користе једно влакно. Израђују се варијанте за различите брзине преноса, тј. за 100Mbps или 1Gbps. Такође, постоје медија конвертери за прелаз са једноугаоног на вишеугаони оптички пренос.
Слика 13.1 Медија конвертери
205
Рачунарске мреже
13.3 Концентратор Концентратор18 је мрежни уређај који функционише на физичком слоју OSI референтног модела. Користи се за повезивање мрежних уређаја у један мрежни сегмент. За концентратор се може рећи да представља вишепортни рипитер јер не врши никакво филтрирање нити преусмеравање мрежног саобраћаја, већ само обнавља сигнал примљен на једном интерфејсу и прослеђује га на све остале интерфејсе. Сви уређаји који су повезани на концентратор налазе се у једном колизионом домену. Данас концентратори спадају у категорију застарелих уређаја и не препоручује се њихова употреба. У односу на комутаторе који се данас користе, концентратори имају лоше карактеристике: мале брзине преноса података, подложност колизији и могућност полудуплекс везе између уређаја.
Слика 13.2 Концентратор
13. 4 Мрежни адаптер Мрежни адаптер (NIC19) је уређај који омогућава рачунару да се повеже на рачунарску мрежу. Мрежни адаптер функционише на првом и другом слоју ОСИ референтног модела јер омогућава физичко повезивање на рачунарску мрежу преко физичког медијума, као и систем адресирања употребом MAC20 адреса. Мрежни адаптери могу се прикључити преко PCI, USB, PCMCIA прикључака а готово све модерне матичне плоче садрже бар један интегрисани мрежни адаптер. Мрежни адаптери омогућавају рачунарима да користе различите медијуме за пренос података: оптичке каблове, упредене парице, коаксијалне каблове или бежични приступ. При избору мрежног адаптера треба обратити пажњу на брзине које адаптер подржава, брзине од 1Gb/s подржавају сви новији мрежни адаптери. Цене адаптера варирају у зависности од технологије коју користе. Адаптери који користе упредене парице као физички медијум за пренос података најефтинији су, затим следе бежични мрежни адаптери, а тренутно су најскупљи оптички мрежни адаптери.
Hub Network interface card 20 Media access control 18 19
206
XIII Вежба
Слика 13.3 Оптички мрежни адаптер
13.5 Комутатор Комутатори21 су уређаји који служе за повезивање више уређаја на исту мрежу у оквиру зграде или кампуса. Уз помоћ комутатора креира се приступни део рачунарске мреже. Комутатори функционишу на другом слоју OSI референтног модела и користе физичке адресе за активно преусмеравање мрежног саобраћаја. Комутатори врше сегментацију локалне рачунарске мреже на засебне колизионе домене. Сваки прикључак на комутатору представља засебан колизиони домен и омогућава комуникацију у потпуном дуплекс режиму. Код одабира комутатора треба обратити пажњу на број мрежних портова (интерфејса) које комутатор садржи, максималан проток података и могућност агрегације пропусног опсега. Комутатори са фиксном конфигурацијом обично садрже до 48 портова и до 4 додатна порта за узлазне линкове. Уместо портова за узлазне линкове који подржавају веће брзине могу се користити комутатори са портовима за SFP22 уређаје. Препорука је да увек на комутатору остане слободних прикључака како би се лако додавали нови корисници у рачунарску мрежу, или у случају отказа неког од портова.
Слика 13.4 Комутатори са фиксном конфигурацијом
Јако битна карактеристика комутатора је максимални проток података. Овај параметар даје нам информацију о количини података које комутатор може да процесира за време од једне секунде. Произвођачи обично користе овај параметар како би категоризовали своје комутаторе по серијама. Комутатори који се користе на приступном нивоу (на њих се повезују крајњи корисници) имају најмањи проток података. Ако комутатор има малу брзину протока 21 22
Switch small form-factor pluggable
207
Рачунарске мреже
подата он неће моћи свим корисницима да обезбеди максималну брзину преноса података. Рецимо да имамо комутатор који има 48 гигабитних портова. Ако сви корисници користе максимални пропусни опсег они ће генерисати саобраћај од 48Gb/s. Ако комутатор подржава само 32Gb/s протока података, неки корисници неће имати максималне перформансе. Агрегација пропусног опсега омогућава да се неколико портова на комутатору логички повеже и на тај начин се повећа пропусни опсег линкова. На пример, можемо искористити 4 гигабитна порта на комутатору за агрегацију и на тај начин направити један логички порт који подржава брзину од 4Gb/s, што има велику примену када су нам потребни брзи узлазни линкови ка остатку рачунарске мреже. Најшире посматрано, комутаторе можемо поделити на управљиве комутаторе и на неуправљиве комутаторе. Неуправљиви комутатори се не могу додатно подешавати, и немају неке напредне опције комутирања као што су виртуелна сегментација мрежа, могућност управљања квалитетом сервиса, сигурност портова, итд. Њихова предност је ниска цена и они представљају прави избор за кућне мреже и мреже у малим предузећима. Управљиви комутатори имају могућност додатних подешавања, иницијална конфигурација се изводи преко посебног серијског интерфејса који се зове конзолни интерфејс. Након подешавања одређених параметара за приступ (лозинке, адресе, итд.) комутатори се могу подешавати и са удаљених локација. Виртуелно сегментирање мрежа (VLAN) једна је од опција која се најчешће подешава на управљивим комутаторима. Комутаторе можемо поделити на оне са фиксном конфигурацијом и на модуларне комутаторе. Комутаторима са фиксном конфигурацијом не могу се додавати додатни интерфејси. Што значи ако наручимо комутатор са 24 гигабитна интерфејса, не можемо на њега додавати нове интерфејсе ако нам се за то укаже потреба услед раста рачунарске мреже. Комутатори са фиксном конфигурацијом најчешће су пројектовани тако да имају одређени број интерфејса (8, 16, 24 или 48 портова) који служе за повезивање крајњих корисника. Поред ових портова обично се и постави пар додатних портова веће брзине који служе за повезивање комутатора са вишим хијерархијским нивоима рачунарске мреже.
Слика 13.5 Модуларни комутатор
208
XIII Вежба
Модуларни комутатори пружају већу флексибилност и обично се и израђују у кућиштима различитих величина у која се могу додавати посебне модуларне линијске картице. Линијске картице садрже мрежне интерфејсе и оне омогућавају једноставну надоградњу комутатора. Постоје комутатори који подржавају међусобно уланчавање23. Ова опција омогућава да се већи број комутатора повеже посебним кабловима и да функционишу као један комутатор. Број комутатора који се може повезати на овај начин зависи од техничког решења које користи произвођач. Cisco је имплементирао StackWise технологију која омогућава повезивање до девет комутатора који ће функционисати као један комутатор са протоком података од 32Gb/s (постоји и Cisco Stackwise Plus технологија која омогућава проток података од 64Gb/s). Један од комутатора ће бити изабран за главни комутатор преко којег ће се подешавати сви остали комутатори. Компанија 3Com је имплементирала своју XRN24 технологију која омогућава повезивање до 8 комутатора на овај начин. PoE25 је још једна карактеристика на коју треба обратити пажњу приликом избора комутатора. Ова опција омогућава комутатору да снабдева електричном енергијом уређаје који су повезани на његове мрежне интерфејсе преко етернет кабла. Ова опција је јако корисна код IP телефона, IP камера и бежичних приступних тачака које се повезују на комутатор.
13.6 Бежичне приступне тачке Бежична приступна тачка26 је уређај који функционише на другом слоју ОСИ референтног модела и користи се за повезивање бежичних корисника са остатком рачунарске мреже који је ожичен. Бежична приступна тачка представља мост измећу бежине и етернет технологије. У инфрасруктурној бежичној рачунарској мрежи рачунари не комуницирају директно једни са другима већ се сва комуникација обавља преко бежичне прступне тачке, тако да она има исту улогу као и комутатор у ожиченим мрежама. Код избора уређаја потебно је обратити пажњу на стандарде које уређај подржава. Највећи број уређаја на нашем тржишту подржава 802.11b/g/n стандарде (раде у опсегу од 2,4GHz), а могу се наћи и уређаји који подржавају 802.11а сандард (раде у опсегу од 5GHz). Потребно је одабрати и одговарајући тип антене у зависности од конфигурације самог објекта у коме је потребно обезбедити покривеност бежичном рачунарском мрежом. Дипол антена од 2,2 dBi је најчешће коришћена антена у затвореном простору. Може се видети на скоро свим бежичним мрежним адаптерима. На бежичним приступним тачкама се обично користе дипол антене са мало већим појачањем сигнала. Ова антена има бољу пропагацију сигнала по хоризонталној оси, јер је боље да, рецимо, покрива цео један спрат него да се сигнал простире делимично и на остале спратове у објекту. Усмерене антене имају задатак да обезбеде већу покривеност у халама, дугачким ходницима и на већим удаљеностима где је потребна тачка-тачка веза. Када се користе у затвореним објектима обично се монтирају на зидове, а код спољашње употребе најчешће се срећу у виду параболичних рефлектујућих антена.
Stackable switches eXpandable Resilient Networking 25 Power over Ethernet 26 Аccess point 23 24
209
Рачунарске мреже
Слика 13.6 Бежична приступна тачка
У SOHO27 мрежама најчешће се користе уређаји који представљају бежичну приступну тачку а истовремено имају функционалност и комутатора и рутера. Цена оваквих уређаја варира у зависности од технологија које подржавају.
13.7 Мрежне баријере Мрежна баријера28 (позната и као заштитни зид) представља уређај или софтвер чији је задатак да спречи нежељени пренос података преко рачунарске мреже. Најчешће је главни задатак мрежне баријере да спречи упаде у рачунарску мрежу са Интернета. Мрежне баријере могу бити софтверске или хардверске. Хардверске мрежне баријере представљају посебан мрежни уређај чији је задатак да врши филтрирање пакета, превенцију напада, успоставу VPN29 конекција. Ове уређаје карактерише број мрежних интерфејса, максимални број сесија које могу да надгледају, количинама података које могу да обраде у току одређеног временског периода, максималан број сигурносних правила, број VPN конекција, итд.
Слика 13.7 Хардверска мрежна баријера
13.8 Рутер Рутер30 или мрежни усмеривач је уређај који има улогу да повеже више различитих ΙP мрежа и обезбеди могућност усмеравања саобраћаја између њих. Принцип рутирања, односно усмеравања саобраћаја, заснива се на анализи одредишне ΙP адресе сваког пакета Small office/home office Firewall 29 Virtual private network – виртуелна приватна мрежа 30 Router 27 28
210
XIII Вежба
са циљем одређивања даље путање тог пакета, као и излазног интерфејса кроз који треба проследити пакет. На основу информација које анализира (ΙP адресе) рутер можемо класификовати као уређај који припада првенствено мрежном слоју OSI референтног модела. Ентитети у данашњим рачунарским мрежама, како локалним тако и на Интернету, адресирани су помоћу ΙP адреса, па је примена рутера незаобилазна како бисмо повезали две и више различитих IP подмрежа. Треба напоменути да рутери имају и улогу медија конвертера јер је могуће повезати и више мрежа које користе различите технологије преноса. Како рутер повезује једну локалну мрежу са остатком света, клијенти те локалне мреже користе рутер као подразумевани пролаз. Велики значај који рутер има у креирању рачунарских мрежа, довео је до тога да је данас тржиште преплављено различитим системима за рутирање. Класификација рутера може се извршити превасходно на основу тога да ли је рутер хардверски прилагођен уређај са специјализованим софтвером31, или сам софтвер који се може извршавати и на обичном рачунару. Како је сам процес рутирања критичан за рад једне мреже, он се мора обављати поуздано и веома брзо, тако да су хардверски рутери пожељнији. Главне карактеристике које описују један рутер су: број и тип доступних интерфејса, брзина прослеђивања, могућности рутера у погледу доступних протокола за рутирање, безбедносни аспекти рутера, начин конфигурације, могућност надгледања... Скуп наведених карактеристика директно утиче на цену рутера која се може кретати од неколико десетина долара до неколико десетина хиљада долара. Избор одговарајућег рутера прилично је сложен процес јер је прво неопходно утврдити коју количину саобраћаја треба да усмерава, а затим које додатне функције треба да има са аспекта контроле саобраћаја, безбедности и надгледања. Најпознатији и тржишно најзаступљенији су рутери следећих произвођача: Cisco, Juniper, Huawei, Redback. Сви произвођачи рутера своју палету производа деле на две групе и то : кућна примена (SOHO) и пословна примена. Гледајући пословну примену, даље поделе односе се на позицију рутера, односно оптерећење које рутер мора да поднесе, па стога имамо рутере који су намењени „језгру“ мреже (енг. Core), рутере за агрегацију саобраћаја, приступне рутере... Припадност некој од наведених група одређује перформансе уређаја, али и његову цену, па су тако најскупљи рутери који су пројектовани за рутирање велике количине саобраћаја у „језгру“ мреже, чије су перформансе ванпросечне. Како је технологија преноса данас подложна честим променама и унапређењима услед развоја телекомуникационих система, произвођачи рутера су то препознали и поред рутера са фиксним карактеристикама (нпр. тип и број портова) производе и рутере који су модуларни. Модуларност рутера значи да се прелазак са једне технологије преноса на другу (на пример замена постојеће бакарне везе оптичком) може извршити на једноставан начин, без потребе да се замени цео уређај већ само модул преко кога се та веза остварује. Ова карактеристика рутера је од велике важности јер утиче на трошкове, али и на време потребно да се замена изврши.
31
Appliance
211
Рачунарске мреже
Слика 13.8 Бежични Linksys рутер типа SOHO
Слика 13.9 Модуларност рутера – могућност додавања интерфејс картица
Слика 13.9 Cisco рутери серије 7600 намењени пружаоцима услуге приступа Интернету (ΙSP)
212
Литература
14. Литература [1] В. Васиљевић, Рачунарске мреже, Висока школа електротехнике и рачунарства, Београд, 2008. [2] J. Kurosse, K. Ross, Computer Networking: A Top-Down Approach, Addison Wesley, 2009. [3] W. Stallings, Data and Computer Communication, Pearson Education, Upper Saddle River, N.J, 2007. [4] http://www.wireshark.org/ [5] http://www.vyatta.org/ [6] http://www.vyatta.org/forum [7] http://www.vyatta.com/products/demo.php [8] http://en.wikipedia.org/wiki/List_of_mail_servers
213
Евиденција урађених вежби Вежба бр. I II III IV V VI VII VIII IX X XI XII XIII
Датум
Сарадник
214