uvod_u_racunarske_mreze___verzija_2.pdf
November 23, 2017 | Author: Кристина Горановић | Category: N/A
Short Description
Download uvod_u_racunarske_mreze___verzija_2.pdf...
Description
проф. Небојша Лукић дипл.инж.ел.
УВОД У РАЧУНАРСКЕ МРЕЖЕ
проф. Небојша Лукић дипл.инж.ел. Техничка школа “Михајло Пупин” Бијељина
Увод у рачунарске мреже
прво издање август 2006.
Садржај Глава I – рачунарске мреже 1.1 Увод .................................................................................................. 2 1.2 Предности умрежавања.................................................................. 3 1.2.1 Процењивање потреба .......................................................... 4 1.3 LAN, WAN …..................................................................................... 7 1.3.1 Пример градске мреже........................................................... 7 1.3.2 Peer to peer мрежа.................................................................. 9 1.3.3 Client Server мрежа................................................................ 9 1.3.4 Врсте сервера......................................................................... 9 1.3.5 Софтвер за сервере ............................................................. 14 1.3.6 Предности концепта Client Server ....................................... 15 1.4 Мрежне топологије ........................................................................ 20 1.4.1 Магистрала............................................................................ 20 1.4.2 Прстен.................................................................................... 20 1.4.3 Звезда.................................................................................... 21 1.4.4 Мрежа (решетка)................................................................... 21 1.4.5 Бежична топологија .............................................................. 21 1.4.6 Логичка и физичка топологија ............................................. 22 1.5 Ethernet мрежа ............................................................................... 23 1.5.1 CSMA/CD ............................................................................... 23 1.6 IEEE 802.3 Ethernet стандард....................................................... 25 1.6.1 10Base5 Thicknet................................................................... 25 1.6.2 10Base2 ................................................................................. 26 1.6.3 10BaseT ................................................................................. 28 1.6.4 EIA/TIA категорије каблова .................................................. 29 1.6.5 IEEE 802.3u 100BaseTX ....................................................... 29 1.6.6 100BaseT4 ............................................................................. 29 1.6.7 100BaseFX............................................................................. 30 1.6.8 IEEE 802.12 100BaseVG-AnyLAN ........................................ 30 1.6.9 IEEE 802.3z 1000BaseX........................................................ 30 1.7 Token Ring мрежа .......................................................................... 31 1.8 Fiber Distributed Data Interface ...................................................... 33 1.9 Бежичне мреже .............................................................................. 35 1.9.1 Предности бежичног LAN-а ................................................ 35 1.9.2 Сигурност бежичне мреже ................................................... 36 1.9.3 802.11 Protocol ...................................................................... 37 1.10 OSI референтни модел ................................................................. 39 1.10.1 OSI физички слој ................................................................ 44 1.10.1.1 NIC , MAC ............................................................. 44 1.10.1.2 Hub и MAU............................................................ 46
1.10.2 OSI слој везе података ....................................................... 46 1.10.2.1 Bridge и Switch...................................................... 47 1.10.2.2 Повезивање скретница, мостова и разводника ......................................... 49 1.10.2.3 Функционисање моста......................................... 50 1.10.3 OSI мрежни слој .................................................................. 51 1.10.3.1 Router-и................................................................. 52 1.10.4 OSI транспортни слој.......................................................... 53 1.10.4.1 Други транспортни протоколи............................. 53 1.10.5 OSI слој сесије .................................................................... 54 1.10.6 OSI слој презентације......................................................... 54 1.10.7 OSI слој апликације ............................................................ 55 1.11 Network Gateways........................................................................... 56 1.12 Скупови протокола......................................................................... 57 1.12.1 Хијерархије протокола........................................................ 57 1.12.2 Однос између услуга и протокола..................................... 61 1.12.3 NetBEUI................................................................................ 62 1.12.4 IPX/SPX................................................................................ 62 1.12.5 TCP/IP .................................................................................. 64 1.13 Мрежни оперативни системи ........................................................ 68 1.13.1 Novel NetWare ..................................................................... 68 1.13.2 Unix....................................................................................... 69 1.13.3 Windows NT ......................................................................... 69 1.14 Мрежно каблирање и компоненте ............................................... 70 1.14.1 Коаксијални кабл................................................................. 70 1.14.2 UTP кабл.............................................................................. 72 1.14.3 Repeater ............................................................................... 74 1.14.4 Соба са опремом ................................................................ 75 1.14.5 Фибер оптички кабл ............................................................ 76 1.15 Основе TCP/IP умрежавања ......................................................... 77 1.16 TCP/IP скуп протокола................................................................... 81 1.16.1 Transmission Control Protocol (TCP)................................... 81 1.16.2 Internet protocol (IP) ............................................................. 82 1.16.3 User Datagram Protocol (UDP) ............................................ 82 1.16.4 Address Resolution Protocol (ARP) ..................................... 82 1.16.5 Hypertext Transfer Protocol (HTTP)..................................... 83 1.16.6 File Transfer Protocol (FTP) ................................................. 83 1.16.7 Post Office Protocol (POP)................................................... 84 1.16.8 Simple Mail Transfer Protocol (SMTP)................................. 84 1.16.9 SimpleNetworkManagementProtocol (SNMP) ..................... 84 1.17 IP адресирање................................................................................ 85 1.17.1 Класе адреса....................................................................... 85 1.17.2 Subnet Mask......................................................................... 85
1.17.3 Табела рутирања................................................................ 85 1.17.4 Основни термини................................................................ 86 1.17.4.1 Routing .................................................................. 86 1.17.4.2 Класе IP адреса ................................................... 87 1.17.4.3 Subneting .............................................................. 88 1.17.4.4 DHCP .................................................................... 90 1.17.4.5 APIPA.................................................................... 92 1.18 Ports and Sockets ........................................................................... 94 1.19 TCP/IP Utilities ................................................................................ 96 1.20 Креирање Peer-to-peer мреже .................................................... 103 1.21 DNS ............................................................................................... 108 Глава II - пракса 2.1 Инсталација мреже......................................................................110 2.1.1 Трошкови нове мреже ........................................................110 2.1.2 Пројектна разматрања .......................................................111 2.1.3 Пројектна чек листа............................................................112 2.2 Одржавање мреже ......................................................................116 2.3 Систем управљања променама у мрежи ..................................120 2.4 Отклањање проблема у мрежи ..................................................123 2.5 Даљинско повезивање ................................................................127 Глава III - безбедност 3.1 Безбедност мреже .......................................................................130 3.1.1 Имплементирање сигурних лозинки .................................135 3.2 Шифровање података .................................................................139 3.3 Безбедност бежичне мреже........................................................141 Глава IV - прилог 4.1 Бежично умрежавање PC-а ........................................................143 4.2 Креирање кућне Wi-Fi мреже......................................................150 4.3 Пројектовање мрежног каблирања ............................................159 4.4 Логички планови мрежа ..............................................................163 4.5 AppleTalk.......................................................................................169 4.5.1 Увод ....................................................................................169 4.5.2 AppleTalk мрежне компоненте..........................................169 4.5.3 AppleTalk физички и слој везе података .........................174 4.5.4 Мрежне адресе ..................................................................174 4.6 Linux i LAN ....................................................................................177 Литература ..........................................................................................202
Предговор У недостатку одговарајућег уџбеника за предмет Рачунарске мреже за занимање техничар рачунарства у средњим електротехничким школама, настала je ова књига као покушај да се горе поменути проблем превазиђе или бар ублажи. На тржишту постоји доста књига који се баве проблемом рачунарских мрежа, но већина њих је преобимна за програм из овог предмета. Наравно, оне се могу користити као додатна литература и извор информација за семинарске радове или практичне вежбе. Ниво књиге је управо онакав какав јој и наслов, а то је почетни ниво. Она представља мешавину теоријско практичних садржаја и примарно се бави peer-to-peer LAN -ом. Свака сугестија за побољшање садржаја или евентуално отклањање грешака је добродошла. Терминологија је углавном задржана изворно на енглеском, јер један од циљева учења треба да буде и оспособљавање за самостално коришћење литературе, не само на српском. Аутор
Увод у рачунарске мреже
Увод у рачунарске мреже
I
Рачунарске мреже
1
1.1 Увод Најпростија мрежа се састоји од два или више рачунара повезаних јадан са другим помоћу одговарајућег кабла или другог медијума. Рачунари повезани на тај начин могу слати поруке или могу делити податке, апликације или периферале- једном речју ресурсе. Ти ресурси могу бити штампачи, модеми, дискови и други уређаји. Како се то радило пре рачунарских мрежа? Па поделе ресурса није било, сваки рачунар је морао имати свој нпр штампач, а размена података је ишла помоћу флопи дискова.
Слика 1
2
Увод у рачунарске мреже
1.2 Предности умрежавања Неумрежени рачунари морају имати засебне апликације и ресурсе (као што су штампачи и скенери). На пример, ако два аналитичара раде табеларне прорачуне у Еxcel-у и свакодневно штампају добијене резултате, на оба рачунара мора се инсталирати копија Еxcel-а и оба рачунара морају имати прикључен штампач. Ако корисници хоће заједно да користе податке, морају их размењивати на дискетама или CD-RW дисковима. Уколико корисници хоће да деле рачунаре, онда им треба омогућити рад на оба рачунара – при чему сваки корисник има засебно подешену радну површину, апликације, распоред директоријума и слично. Укратко, таква организација би била скупа, компликована и подложна грешкама. Ако тако треба организовати више корисника и рачунара, врло брзо ће настати скоро нерешиви проблеми. С друге стране, ако се два рачунара из претходног примера умреже, оба корисника би могла користити Еxcel преко мреже (мада је још увек уобичајено да свака радна станица има сопствене апликације, као што је Еxcel, а да се заједнички користе само подаци), могли би приступати истим подацима и своје резултате штампати на заједничком штампачу који је прикључен на мрежу. Ако се на мрежу повеже још корисника, сви би могли заједно и на исти начин користити податке, апликације и ресурсе. Прецизније, умрежени рачунари могу заједно користити: � документе (меморандуме, табеларне прорачуне, рачуне и слично) � размену порука путем електронске поште � софтвер за обраду текста � софтвер за праћење рада на пројектима � слике, фотографије, звучне и видео записе � живе радио и ТВ преносе � штампаче � факс уређаје � модеме � CD-RОМ јединице и остале преносиве уређаје за складиштење података (као што су Zip и Јаz уређаји) � чврсте дискове. Пошто се у мрежи може налазити велики број рачунара, целом мрежом се може управљати из једне, централне тачке (администратор мреже). Посматрајмо претходни пример. Претпоставимо да постоји нова верзија Еxcel-a и да аналитичари желе да је користе. У случају неумрежених рачунара, сваки систем се мора појединачно надоградити и проверити. То није проблем ако се ради на само два рачунара, али кад их је 3
Увод у рачунарске мреже
десетак или стотинак, као у данашњим предузећима, појединачна надоградња брзо може постати скупа и неефикасна. Ако су рачунари умрежени, апликација се надограђује само једном, на серверу. Одмах након тога, све радне станице могу користити нову верзију софтвера. Централизовано администрирање омогућава и надгледање система спровођења безбедносних мера с једног места. Поред заједничког коришћења информација, мреже доносе још многе користи. У мрежи се информације могу лакше сачувати и заштитити. На пример, веома је тешко организовати и спровести поступак израде резервних копија на великом броју неумрежених личних рачунара. С друге стране, системи на мрежи могу резервне копије аутоматски слати на централну локацију (као што је јединица магнетне траке или мрежни сервер). Ако је локална информација неповратно изгубљена, постоји ефикасан начин да се она пронађе и обнови из централних резервних копија. У мрежи су подаци много безбеднији. Приступање неумреженом PC рачунару практично омогужава приступ свим информацијама које се на том рачунару налазе. Безбедносне функције мреже спречавају неовлашћене кориснике да приступе важним информацијама или их обришу. На пример, сваки корисник мреже има корисничко име и лозинку које му дају право приступа ограниченом броју мрежних ресурса. Мреже су идеално средство комуникације између корисника. Уместо размењивања порука на папиру, електронска пошта (скраћено е-пошта) корисницима омогућава размену порука, извештаја, слика и свих осталих врста датотека. Мрежа смањује трошкове штампања и губитак времена у пословној кореспонденцији између служби. Е-пошта је изузетно моћан алат, јер корисницима Интернета широм света омогућава скоро тренутно размењивање порука.
1.2.1 Процењивање потреба Имајући у виду данашње динамично пословање, сваки произвођач мрежне опреме нуди решења која за циљ имају повећање продаје, побољшање продуктивности и раст прихода. У великом броју случајева, компаније улете у инвестиције за рачунарске мреже без озбиљног разматрања трошкова и уложеног труда. Ако сте одговорно лице и доносите одлуке о информатичким технологијама, можете посумњати да ли су технички и логистички напори око изградње мреже вредни циља. Следеће ставке вам могу помоћи при процењивању да ли је за пословање ваше фирме потребна рачунарска мрежа: �
Ваша компанија или служба непрекидно инвестира у сувишан хардвер и софтвер 4
Увод у рачунарске мреже
Мреже омогућавају задивљујући степен заједничког коришћења ресурса, па је дуплирање штампача, диск јединица и апликативног софтвера скупље (гледано на дуже стазе) од увођења мреже која омогућава заједничко коришћење ресурса. На пример, куповина или надоградња десет штампача може бити скупља од увођења једног мрежног штампача. Поред чињенице да је инсталирање и повезивање једног мрежног штампача лакше и брже од инсталирања више засебних штампача, треба нагласити и то да више корисника мреже може користити један мрежни штампач. �
Због некомпатибилности софтвера дешавају се грешке и губици
Ово је случај када корисници раде с различитим верзијама истог софтвера. Датотеке, израђене поможу старијих верзија софтвера, могу се унети у новије верзије, али обрнуто не важи. На пример, документ направљен у Word-u 6 може се отворити у Word-u 2000, али обрнуто не важи, поготово када се ради о верзијама Word-a за DOS. Због тога је ограничен круг људи који могу користити документе. Слична ситуација може настати ако корисници који заједно раде употребљавају апликације различитих произвођача (на пример Word и WordPerfect). У мрежи се може омогућити да сви користе исту верзију софтвера, чиме се осигурава компатибилност датотека. Такође, кад треба надоградити софтвер, одговорни службеник ће једном надоградити мрежну апликацију, уместо да то обавља код свих појединачних корисника. �
Увод у рачунарске мреже
линији – да би се одговорило на његово питање, треба приступити информацијама које се не могу пронаћи на рачунару ове службе (на пример, историјат рачуна, информације о плаћању и слично). Запослени у овој служби морају оставити купца да чека на линији док не нађу информације у другој служби (што може потрајати). Умрежен систем може (и треба) да омогући једној служби ефикасан и брз приступ информацијама о купцу у другим службама. Ако је систем интегрисан са Интернетом, купци могу важним информацијама приступати преко Web-a и тако убрзати наручивање производа и добијање подршке. Наравно, постоји још много чињеница које указују на потребу увођења мреже. На пример, подаци су неповратно изгубљени јер поједини корисници недоследно праве резервне копије података (или их уопште не праве). Увођењем мреже могу се спречити губици због ручног преношења датотека, односно „пешачке мреже“ (sneaker-net , „sneaker“ значи спортска патика, а „net“ је мрежа. Саркастичан појам за одсуство рачунарске мреже. Асоцира на то да треба отрчати и однети датотеку на дискети. Прим. прев.) на дискетама или CD дисковима. Увођењем мрежа избегава се остављање важних порука по нотесима, налепницама и папирићима, избегава се могућност да се порука занемари или загуби. Коришћење мреже може бити затворено у границама компаније. С друге стране, мрежа се може повезати са осталим мрежама (или са Интернетом), ако је циљ заједничко коришћење информација и комуникација на глобалном нивоу.
Трошкови обуке и подршке су значајни
Трошкови обуке постају све већи. Чак и произвођачи који раније нису наплаћивали обучавање, сада испостављају рачуне за обуку и подршку. Ако се користи више верзија хардвера и софтвера, трошкови могу постати огромни. С друге стране, у мрежи са стандардизованим верзијама софтвера нема шаренила апликација. Мањи број апликација умањује потребе за подршком. Ако треба обучити кадрове за рад на истој апликацији, већи број полазника значајно смањује трошкове по особи. � Време се губи у чекању на ресурсе. Много времена се губи ако корисници морају чекати да би приступили другим системима. На пример, један корисник се мора одјавити са свог рачунара да би се други корисник пријавио, учитао своје податке и одштампао документ или извештај. Још један пример: у служби за подршку купцима имају само један PC рачунар. Купац је на телефонској 5
6
Увод у рачунарске мреже
1.3 LAN, WAN ... Мрежа која повезује рачунаре на малом подручју као што је нпр једна зграда или један спрат неке зграде зове се local area network (LAN). Ако су рачунари повезани преко великог географског подручја као што је нпр неколико градова таква мрежа се зове wide area network (WAN).
Увод у рачунарске мреже
канала, при чему су многи канали били предвиђени искључиво за кабловску телевизију. Како је Internet почео да заокупља светску јавност, оператори кабловске телевизије су схватили да малим изменама у систему могу да обезбеде и двосмерне Internet услуге у некоришћеним деловима фреквентног спектра. У том тренутку, систем кабловске телевизије почео је да се претвара из специјализоване TV услуге у праву градску мрежу. У својој најједноставнијој варијанти, MAN мрежа може да се прикаже шемом са следеће слике. Види се да се и TV сигнал и Internet доводе до централног разводника (head end), одакле се даље дистрибуирају до кућа корисника. Кабловска телевизија није једина градска мрежа. Недавни развој високобрзинског бежичног приступа Internetu резултовао је другом врстом градске мреже, која је стандардизована под ознаком IEEE 802.16 .
Слика 2
1.3.1 Пример градске мреже Metropolitan Area Network, MAN, како јој и име каже, покрива градско подручје. Најпознатија таква мрежа је мрежа кабловске телевизије. Тај систем је израстао из ранијег система телевизије са заједничком антеном у подручјима у којима је постојао лош ваздушни пријем сигнала. На почетку су то били локални ad hoc системи, а затим су компаније ускочиле у посао склапајући уговоре с градским владама за ожичење читавог градског подручја. После тога је дошло до појаве нових TV
Слика 3
7
8
Увод у рачунарске мреже
1.3.2 Мрежа типа Peer-to-Peer Слика 4
Увод у рачунарске мреже
нарастајућим потребама корисника. Ево примера различитих врста сервера, које можете наћи у многим великим мрежама: � Сервери датотека и сервери за штампање
Постоје два типа мрежа, peerto-peer mреже и server базиране мреже. Прве се још називају и workgroup. У таквој мрежи сваки корисник администрира свој рачунар. Сигурност је имплементирана постављањем или не дељивости (sharing) ресурса те постављањем лозинке (password). Број рачунара по правилу је мањи у оваквој мрежи него у сервер базираној. Такође је обично јефтиније имплементирати и администрирати овакву мрежу. Међутим сервер базиране мреже имају бољу сигурност.
1.3.3 Client/Server мрежа Слика 5 Сервер је рачунар који је посвећен (dedicated) извршавању једне или више специјализованих функција у мрежи. File и print сервери уређују приступ корисника ка дељеним датотекама и штампачима. Апликациони сервери уређују приступ и коришћење апликација од стране корисника на мрежи. Оваква мрежа дозвољава централизовану администрацију мрежних ресурса и безбедности.
1.3.4 Врсте сервера Са ширењем мреже (повећава се број умрежених рачунара, повећавају се физичка удаљеност и обим саобраћаја), јавља се потреба за више сервера. Расподељивање послова на више сервера омогућава да сваки задатак буде обављен што брже и ефикасније. Сервери морају обављати разне сложене задатке, па су они данас прилагођени
9
Ови сервери посредују при приступу и коришћењу датотека и штампача. На пример, апликација за обраду текста (као што је Microsoft Word) у којој радите, налази се на вашој радној станици. Документ на којем радите чува се на серверу датотека, или на серверу за штампање, и учитава се у меморију радне станице да бисте га могли локално уређивати или користити. Другим речима, сервери датотека и сервери за штампање користе се за складиштење датотека и података. Кад хоћете да одштампате документ, сервер датотека и сервер за штампање преносе датотеке документа на мрежни штампач. � Сервер базе података У већини случајева, на серверу базе података ради систем за управљање базом података (Database Management System, DBMS), заснован на језику SQL. Клијентски рачунари шаљу захтеве (на SQL-у) серверу базе података. Сервер обрађује захтев, приступа ускладиштеним подацима, обрађује их и резултат шаље клијентском рачунару. Када се каже сервер базе података, појам „сервер“ се може односити на сам рачунар или на софтверски систем за управљање базом података (као што је Microsoft SQL Server). � Сервери апликација Ови сервери се разликују од сервера датотека и сервера за штампање, који узимају тражену датотеку и шаљу је клијентском рачунару. Сервер апликација клијентском рачунару шаље само резултате тражене обраде. На пример, у бази података о запосленима тражите све који су рођени у новембру. Уместо да целу базу података учитате у свој рачунар, претраживање ће се обављати на серверу апликација, који ће вам послати само резултат вашег упита. Ова ситна, али битна разлика, чини сервер апликација (као што је Lotus Domino) савршеним за одржавање великих количина информација и ефикасно пружање тих информација клијентима. � Сервери електронске поште
10
Увод у рачунарске мреже
Е-пошта је важна компонента савремене комуникације. Сервери епоште (као што је Мицрософтов Ексцханге Сервер или Сендмаил) управљају разменом порука између корисника на мрежи. У већини случајева, сервери електронске поште су слични серверима апликација, јер поруке е-поште обично остају на серверу. Када проверавате своје поруке, видите само оне које су вама намењене. Централно складиштење порука омогућава добру заштиту и управљање (старе поруке се бришу на нивоу целог сервера). Варијација овога је сервер листе слања (maping list server , скраћено list server), потребан за израду, одржавање и опслуживање листа слања. Обично ови сервери (као што је Majordomo) нуде више могућности и боље перформансе од интегрисаних алата конкурентских произвођача. Коришћење листа слања и сервера листа слања омогућава аутоматску дистрибуцију електронских часописа, билтена, пословних новости, докумената техничке подршке, распореда часова, порука дискусионих група итд. � Факс сервери и комуникациони сервери Мреже су ретко „херметички затворене“, увек постоји неколико начина да се мрежи приступи споља. Два популарна начина спољног приступа мрежи јесу факсови и приступ преко комутираних телефонских линија (dial-up). Факс сервер (као што је FaksMaker) управља разменом факс порука с мреже са спољним светом, користећи при томе једну или више факс/модемских картица. На тај начин се корисницима мреже омогућава слање факс порука ван мреже (и пријем споља), а да при томе не морају имати засебне факс уређаје. Комуникациони сервери управљају преносом датотека и порука е-поште између ваше мреже и других мрежа, великих рачунара, или удаљених корисника који се повезују на сервере посредством модема и телефонских линија. На пример, корисници мреже Интернету могу приступити посредством комуникационог сервера. � Аудио и видео сервери
Увод у рачунарске мреже
Плус). Нове технологије за репродуковање током преузимања важна су побољшања у коришћењу мултимедијалних садржаја на Вебу и несумњиво ће постати једна од најзанимљивијих Интернет технологија. � Сервери за ћаскање Омиљена активност корисника мрежа је наизменично размењивање кратких порука у реалном времену, што подсећа на ћаскање (Chat). Сервери за ћаскање (користе алате попут МеетингПоинта) пружају подршку за дискусије у реалном времену великом броју корисника. Оваква комуникација може обухватити и телеконференције, приватни разговор, форуме за подршку и другарска окупљања службеника на мрежи. Постоје три основне врсте комуникационих сервера: Интернет Релај Чат (ИРЦ), сервери за конференције и сервери удружења. Најнапреднији сервери за ћаскање придружили су размени кратких текстуалних порука могућност разговора, па чак и видео конференције. Често се за ћаскање засновано на ИРЦ-у користе наменски ИРЦ сервери (са софтвером као што је ИРЦПлус). � ФТП сервери Значајан удео у саобраћају на Интернету има пренос датотека (File transfer), на пример преузимање нових верзија софтвера и преношење ословне документације. Сервери који користе протокол за пренос података (File Transfer Protocol, FTP) омогућавају пренос једне или више датотека између рачунара, уз контроле (које су примерене Интернету) безбедности и целовитости података (коришћењем алата као што је ZBServer Pro). ФТП је типично клијент/сервер уређење. ФТП сервер је задужен за главни део обезбеђивања и организације датотека и контроле преноса. Клијент (понекад је то део читача Web-a, а понекад специјализован програм, попут FTP Vojager-a) прима датотеку и смешта је на локални чврсти диск. � Сервери за дискусионе групе
Ови сервери представљају мултимедијалну подршку Веб страница. Захваљујући додатним модулима Веб читача, корисницима омогућавају слушање звучних записа или музике и гледање видео исечака. Иако постављање традиционалних мултимедијалних формата .ВАВ , .МИДИ , .МОВ или .АВИ итд. на Веб страницу не изискује коришћење специјализованог сервера, најновија могућност репродуковања звучних и видео садржаја током преузимања, у многим случајевима захтева коришћење аудио/видео сервера (помоћу алата као што је РеалСервер
Ови сервери служе за дистрибуирање порука из више од 20.000 јавних дискусионих група које су на располагању на Usenet мрежи (то је највећа мрежа за дискусионе групе на Интернету). Сервери за дискусионе групе користе рограме (као што је INN News Server) који раде по протоколу NNTP (Network News Transport Protocol , протокол за пренос порука из мрежних конференција). Служе као спрега са осталим
11
12
Увод у рачунарске мреже
серверима за дискусионе групе и дистрибуирају поруке свима који користе стандардни NNTP читач за дискусионе групе (Agent или Outlook Express). Сервере за дискусионе групе (news servers) можете употребити за држање својих дискусионих група, при чему оне могу бити јавно доступне свима на Интернету, или се могу користити приватно, на вашој локалној мрежи.
Увод у рачунарске мреже
(proxy server) можда су најпопуларнији вид мрежне баријере. У пракси, посреднички сервер стоји између клијентског програма (на пример Web читача) и неког сервера из спољне мреже (Web сервер на Интернету). Посреднички сервер ефикасно крије праве мрежне адресе, надгледа и пресреће све захтеве послате серверима из „спољног света“ или ка њему. На тај начин, посреднички сервер може филтрирати поруке, побољшати перформансе и омогућити заједничко коришћење веза.
� Сервери мрежних пролаза � Web сервери Мрежни пролаз (Gateway) је спрега између различитих мрежа. Он омогућава да мреже међусобно комуницирају. Мрежни пролази обично спрежу личне рачунаре и минирачунаре с великим рачунарима. На пример, мрежни пролаз е-поште посредује између система GroupVise и SMTP. У локалним мрежама, обично један рачунар добија улогу мрежног пролаза. Постоје посебни програми за стоне рачунаре, помоћу којих ти рачунари, кроз мрежне пролазе, приступају великим рачунарима. Захваљујући томе, корисници из локалне мреже могу приступати ресурсима главног рачунара као да су на њиховим столовима.
Веб сервери омогућавају да на Интернету објавите садржај у формату HTML. Веб сервер (на којем ради софтвер као што је Microsoft IIS или Apache) прихвата захтеве Web читача, попут Netscape-a и Internet Explorer-a, и онда захтеваоцу враћа одговарајући HTML документ (или више њих). Поред просте испоруке обичних HTML страница, могућности сервера се могу проширити коришћењем разних серверских технологија. Web сервери могу подржавати CGI скриптове, SSL безбедност и ASP (Active Server Pages). � Телнет / VAIS сервери
� Мрежне баријере и посреднички сервери Једноставно речено, мрежна баријера (Firewall) спречава да неовлашћене особе приступе приватним мрежама, (на пример, корпорацијским локалним мрежама) или да корисници приватних мрежа приступе спољим мрежама, најчешће Интернету. Сматра се првом линијом одбране у заштити приватних информација. Мрежне баријере се могу остварити софтверским или хардверским путем (а обично на оба начина). Ако се ваљано примени, мрежна баријера спречава кориснике Интернета да неовлашћено приступају приватним мрежама (поготову интранет мрежама) које су повезане на Интернет. У великим корпорацијским мрежама, мрежне баријере се користе и за спречавање неовлашћеног приступа унутар исте локалне мреже или интранета. Све поруке које улазе или излазе из интранета, пролазе кроз мрежну баријеру, која их испитује и блокира оне које се не уклапају у захтеване безбедносне критеријуме. Постоје многе технике за реализацију мрежних баријера, међу којима су филтрирање пакета, апликациони мрежни пролази, мрежни пролази на нивоу кола и посреднички сервери. � Посреднички сервери
13
Телнет сервери корисницима омогућавају пријављивање на удаљеном рачунару домаћину и рад с његовим ресурсима, као да је корисник повезан директно на рачунар домаћин. Помоћу Телнет апликације, посредством Телнет сервера, корисник рачунару може приступити из било којег краја света. Пре појаве Web-a, VAIS сервери (Wide Area Information Server) корисницима су омогућавали претраживање датотека по кључним речима. Иако данас VAIS није популаран, они који желе да прошире понуду својих услуга на Интернету, могу размотрити увођење подршке за услуге Телнет или VAIS.
1.3.5 Софтвер за сервере Једну од главних разлика између сервера и појединачних рачунара чини софтвер који се користи. Колико год да је сервер снажан, треба му оперативни систем (Windows NT/200x Server, Novell NetWare или Unix / Linux) који искоришћава његове ресурсе. Серверима су неопходне посебне серверске апликације да би своје услуге могли понудити на
14
Увод у рачунарске мреже
мрежи. На пример, Web сервери могу користити Windows 2000 и Microsoft IIS.
Увод у рачунарске мреже
(fault tolerance) Пошто се подаци углавном држе на серверима, на којима се такође може десити пад система или отказивање уређаја, пожељно је на серверу остварити систем складиштења података који је отпоран на грешке (рецимо RAID). Тако се добија поузданији сервер.
1.3.6 Предности концепта клијент/сервер � Иако се мреже засноване на серверима мало сложеније инсталирају и подешавају, оне су у неким стварима убедљиво надмоћне над мрежама равноправних рачунара: �
Мрежа заснована на серверима може опслуживати хиљаде корисника. Тако велику мрежу није могуће направити повезивањем равноправних рачунара. Помоћни програми за надгледање и управљање мрежом омогућавају рад мреже засноване на серверима у којој има много корисника.
Заједничко коришћење
Сервери омогућавају бољу организацију и расподелу ресурса. Сервер кориснику пружа приступ штампачима и многобројним датотекама, а при томе одржава перформансе и безбедност. Подаци и ресурси сервера могу се централно администрирати и контролисати. Централизован приступ олакшава проналажење датотека и подржавање специфичних ресурса који се иначе могу повезати само на појединачне рачунаре. �
Безбедност
У мрежама заснованим на серверима, управљање безбедносним поступцима може обављати један администратор. Он задаје правила понашања у мрежи и примењује их на сваког корисника и ресурс. �
Корисници
Резервне копије података
Поступак израде резервних копија (backup) упрошћен је јер се спроводи само за сервере (може се, али не мора, спроводити за клијентске рачунаре/радне станице). Аутоматска израда резервних копија може се временски планирати, чак и ако се сервери налазе на различитим крајевима физичке мреже. �
Отпорност на грешке
15
�
Поузданост сервера
Поузданост је у основи процена исправног рада – вероватноћа да ће компонента или цео систем радити одређен временски период. Може се применити и на сервере и на мреже. Обично се изражава као функција временских периода који протекну између два отказа ( Mean Time Between Failure , MTBF). Посебан аспект поузданости су целовитост података и способност да се откази хардвера предвиде и на то упозори. Сервери често имају функције које побољшавају поузданост. Примери су редундантно (резервно) напајање и резервни вентилатори, анализа предвидивих кварова на чврстим дисковима (Self-Monitoringг Analysis and Reporting Technology , SMART) и RAID (Redundant Array of Independent Disks ). Ове функције омогућавају рад сервера и заштиту података чак и када се појаве проблеми. Такође, ради очувања целовитости података, примењује се самостално тестирање меморије, приликом подизања система (када систем препознаје и изолује неисправне меморијске блокове), и ECC меморије (Error Checking and Correcting , тип меморије са способношћу провере и исправљања грешака). �
Висока расположивост сервера
Сервер мора непрекидно функционисати и мора увек бити спреман да опслужи корисникове захтеве за ресурсима. Ово се зове висока расположивост (high availability ). Још један показатељ високе расположивости сервера јесте способност брзог опоравка од 16
Увод у рачунарске мреже
системског отказа (то јест, коришћење вруће резерве – hot spare – RAID дискова, који омогућавају реконструисање података с поквареног диска). Системи који се воде као високо расположиви, могу, али и не морају имати редундантне компоненте (на пример, редундантно напајање), али треба да омогућавају измену најважнијих компонената под напоном (у жаргону, измена наживо, hot swapping). Измена под напоном је могућност да се покварена компонента извуче и уместо ње укључи исправна, а да уређај све време ради и буде под напоном. Високорасположиви системи могу препознати потенцијални отказ и дати процес преусмерити на неки други уређај или подсистем. На пример, неке SCSI јединице могу аутоматски преместити податке с маргиналних сектора (на којима се чешће дешавају грешке) на слободне секторе, а да оперативни систем и корисник то не примете ни на који начин. У општем случају, расположивост се мери процентом времена за које систем ради и употребљив је. На пример, систем који је расположив 99% 24 часа дневно, 7 дана седмично, годишње не ради 88 часова, што је за многе кориснике неприхватљиво. Расположивост од 99,999% значи да систем неће радити 5,25 минута годишње. Тај ниво расположивости може бити веома скуп. �
Проширивост сервера
У прошлости су куповани велики рачунарски системи који задовољавају двоструко веће потребе од оних које су постојале у тренутку куповине, јер се предвиђало ширење посла и нарастање потреба. Данас, можете изабрати рачунаре који одговарају тренутним потребама, с тим што је могуће додати још опреме кад затреба. То је проширивост, односно подесивост (scalability). Подесивом PC рачунару може се проширити меморијски капацитет и повећати брзина. Неки рачунари су тако направљени да је њихово проширивање ограничено, док се други могу надоградити до готово било које потребне конфигурације. Проширивост значи могућност повећања капацитета меморије (RAM) додавањем више меморијских модула (DIMM или RIMM) у систем. Исти концепт важи и за простор на диску – систем можете надоградити заменом постојећег диска већим и бржим, или уградњом додатних чврстих дискова. �
SMP и паралелна обрада
Будући да су процесори кључни елементи од којих зависе перформансе и проширивост сервера, ово је одлично место да се каже нешто о 17
Увод у рачунарске мреже
вишепроцесорским системима (multiprocessing). Симетричне вишепроцесорске машине (Symmetric MultiProcessing , SMP) јесу рачунари који раде с два или више процесора. Сви процесори заједно користе (деле) меморију и једну копију оперативног система. SMP рачунари могу на почетку бити мали рачунари (са само два процесора), а касније, с повећањем обима посла, може се додати још процесора. Сем додавања процесора, таквим рачунарима обично се може проширити меморија, кеш меморија и додати дискови. Тренутно, SMP рачунари могу имати од 2 до 32 процесора. Треба размотрити и нека ограничења SMP система. Иако некада може изгледати да је могуће систем проширити на више од 32 процесора, то често није оствариво. Ако почнете с два процесора, а потом додате још два, може се десити да добијете скоро стопостотно побољшање. Међутим, пошто постоји само једна копија оперативног система и пошто се целокупна меморија заједнички користи, даљим додавањем процесора, добија се занемарљиво побољшање перформанси. Већина SMP система ће остварити исплативо побољшање већ с мање од осам процесора (засићење перформанси такође зависи и од коришћених апликација и оперативног система). Данас се срећу системи под Unix-om са 16 или више процесора, док су прошириви системи под Windows NT незванично ограничени на око 4 процесора. Штавише, многи оперативни системи и апликације база података могу употребити само првих 2 GB радне меморије. Поређења ради, неки од највећих и суперпроширивих система користе технологију паралелне обраде. Комбиновањем више SMP чворова, паралелна обрада ( parallel processing) уздиже SMP технологију за степеник више. Ови чворови у апликацијама могу радити паралелно или појединачно – обично се ради о бази података која је потпуно оспособљена за паралелну обраду. Пошто сваки чвор има своју копију оперативног система и чворови комуницирају кроз специјализовану шему међусобних веза, нови чворови додатно не оптерећују појединачне оперативне системе. Значи да се паралелна обрада може проширити до знатно вишег нивоа, него појединачни SMP. �
Груписање сервера
Пре више година, за рад сервера и апликација на њему био је довољан један процесор. С појавом вишепроцесорских система, два или више процесора заједно су користили сву расположиву меморију, па је, у поређењу с претходном технологијом, сервер могао опслуживати више захтевнијих апликација. Више сервера се организују у групе, при чему сваки сервер извршава специфичан задатак (на пример, сервер 18
Увод у рачунарске мреже
датотека, сервер апликација итд.). Данас, многе мреже високе класе имају групу сервера (server cluster), што значи да се два (или више) PC серверска рачунара понашају као један сервер – пружајући већу расположивост и боље перформансе од оних које је могуће остварити једним сервером. Апликације се могу пребацивати с једног сервера на други, могу се извршавати на више сервера истовремено, а све те трансакције корисник види. Груписање сервера пружа већу расположивост и проширивост од оне коју је могуће остварити помоћу рачунара који раде засебно. Обично сваки чвор у групи има сопствене ресурсе (процесоре, улазно-излазне уређаје, меморију, оперативни систем, складишни простор итд.) и одговоран је за задати скуп корисника. Високу расположивост груписаних сервера омогућава способност преусмеравања (заобилажења) због грешке. Ако откаже један чвор, његови ресурси се могу преусмерити ка једном или више чворова у групи. Када се дати чвор оспособи за нормалан рад, његови ресурси му се могу ручно (или аутоматски) вратити. Груписани сервери се лако проширују без прекида у опслуживању. Надоградња се може остварити активирањем способности преусмеравања (због грешке) свих функција сервера на остале сервере у групи, чиме се стварају услови за гашење сервера и додавање компонената. Када се то обави, дизањем сервера, његовим укључивањем у групу и враћањем његових функција са осталих сервера, завршава се поступак надоградње. Груписање сервера није нова идеја, али су та софтверска и хардверска решења приватна интелектуална својина. Менаџери у области информационих технологија сада на групе гледају озбиљније, јер су постале приступачније због масовне производње, засноване на стандардима, као што су RAID, SMP системи, мрежни и улазно-излазни адаптери и остали периферијски уређаји. Док су групе предодређене да у будућности донесу напреднију технологију, већ данас се све чешће појављују разне могућности, а формални стандарди за груписање сервера још увек се развијају.
Увод у рачунарске мреже
1.4 Мрежне топологије
Физичко уређивање каблова, рачунара и других компонената познато је као мрежна топологија. Постоји пет основних топологија: магистрала (bus), звезда (star), прстен (ring), мрежа (mesh) и бежична (wireless).
1.4.1 Магистрала Слика 6
Ова мрежа је имплементирана помоћу кабла који повезује све рачунаре и једној линији. Рачунари комуницирају тако што прикачују адресу рачунара који треба да прими поруку / податке , тој поруци, а затим ту поруку пуштају у кабл. Подаци, тј електрични сигнали путују до краја кабла. На крајеве кабла су постављени тзв терминатори чија је улога да апсорбује сигнал и спречи њихово одбијање назад. Ако је кабл у прекиду, таква ситуација узрок-ује појаву нетер-минисаног кабла, а то пак узрокује одбијање сигнала (таласа). У тој ситуацији долази до колизије сигнала и даља комуникација међу рачунарима није могућа.
1.4.2 Прстен У топологији прстена сви рачунари у мрежи су повезани у затворену петљу. Сигнали података путују око петље у једном смеру, пролазећи кроз сваки рачунар. Док је магистрална топологија пас-ивна по својој природи, дотле у систему прстена сваки рачунар сигнал који добије појача и шаље га даље. Како сигнал мора кроз сваки рачунар, квар на једном рачунару изазива “пад” мреже. Слика 7
19
20
Увод у рачунарске мреже
Увод у рачунарске мреже
1.4.3 Звезда У топологији звезде сви рачунари у мрежи су посебним каблом повезани на уређај који се зове хаб (hub). Оваква конфигурација резултује већом отпорношћу на прекиде у раду јер проблеми са једним каблом или рачунаром не омета рад остатка мреже. Међутим ако дође до неисправности рада централног хаба читава мрежа пада. Мана топологије је повећање броја неопходних каблова. Слика 8
1.4.4 Мрежа (решетка)
У овој топологији сваки рачунар у мрежи је директно повезан са сваким другим рачунаром у мрежи. Мрежа је врло оторна на грешке тј прекиде у раду јер и у случају прекида једног кабла, неколико других рута остаје на располагању. Врло је компле-ксна и захтева велики број каблова. Због тога се имплементира само код накритичнијих система.
1.4.5 Бежична топологија
Слика 9
Оваква мрежа не користи каблове за повезивање. Уместо тога користе се инфрацрвени зраци или радио таласи за комуникацију. Бежична мрежа се састоји од трансивера (примопредајника) који се зову приступне тачке (access points). Рачунари у овој мрежи имају свој сопствени трансивер да би могли да комуницирају са приступном тачком. Ако се комуникација одвија инфрацрвеним зрацима онда рачунар и приступна тачка морају бити оптички видљиви међусобно.
21
Слика 10
1.4.6 Логичка и физичка топологија Логичка топологија је начин на који се подаци преносе између уређаја на мрежи, док је физичка топологија стварни, физички изглед постављених мрежних каблова. Логичка топологија није нужно иста као и физичка. На пример, Ethernet мреже користе bus логичку, али уобичајено star физичку топлогију. Разумевање ове разлике је важно код отклањања грешака у раду (troubleshooting). На пример у Ethernet мрежи, упркос томе што сваки мрежни уређај има своју посебну физичку везу до хаба, њена логичка топологија узрокује да један покварен уређај може слати лоше пакете свим осталим уређајима на истом subnet -у.
22
Увод у рачунарске мреже
1.5 Ethernet мрежа
1973 Xerox је смислио Ethernet да би разрешио проблем преноса података између рачунара. Digital Equipment и Intel су у сарадњи са Xerox –ом 1973 објавили DIX мрежни стандард. Раних 1980 -их Xerox је пренео контролу над Стандардом на Institute of Electrical and Electronics Engineers (IEEE). IEEE је поставио комитет да дефинише индустријски стандард. IEEE 802 комитет је поставио стандарде за умрежавање. IEEE подкомитет 802.3 је поставио стандарде за Ethernet. Ethernet пакет садржи четири главна дела: The data, the MAC address of the packets source, the MAC address of the packets destination and an error checking code. (подаци, адреса MAC –а из којег подаци долазе, адреса MAC –а коме су подаци упућени и код за проверу грешака). (MAC – medium access controler). Када креира пакет, рачунар који шаље, изводи математичке операције над подацима и резултат прикачује оргиналној поруци. Тај додатак се назива cyclic redundancy check (CRC -код). Рачунар који прима податке изводи исту операцију над подацима и упоређује резултате са CRC -ом. Ако се резултати не поклапају, догодила се грешка у преносу података. Рачунар који прима поруку послаће захтев рачунару који шаље поруку да понови пренос (поново пошаље исти пакет).
Увод у рачунарске мреже
Код врло дугих каблова, преко 2,500 метара, рачунари на супротним крајевима кабла не могу детектовати старт трансмисије на супротном крају кабла довољно брзо да би избегли колизију. Таква ситуација резултује коруPCијом података. Зато се у пракси не користе каблови те дужине. Иако се може помислити да је пројектовање таквог система са могућношћу колизије неквалитетно, пракса показује да до колизије долази ретко у нормалним условима рада те то има мали утицај ефикасност мреже. Како мрежни саобраћај расте, колизије се дешавају чешће и онда имају ефекат ограничења пропусне моћи (bandwidth) (maximum operating speed) мреже. Модификација CSMA/CD приступног метода обезбеђује collision avoidance (избегавање колизије). Код Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA) приступног метода, рачунар емитује поруку у мрежи да обзнани да жели трансмисију пре него што постави пакет података на кабл. Остали рачунари на мрежи тада се уздржавају од трансмисије података, те до колизије не долази. Међутим, емитовање оваквих порука повећава саобраћај на каблу, па је добитак у односу на CSMA/CD скоро никакав.
1.5.1 CSMA/CD Ethernet мреже користе приступни метод познат као Carrier Sense Multiple Access with Collision Detection (CSMA/CD). Multiple access значи да више рачунара користи, дели исти кабл. Али само један рачунар може постављати пакет података на кабл у датом тренутку. Carrier sense значи да рачунар пре постављања пакета података на кабл проверава или осећа , тј ослушкује кабл да би се уверио да ниједан други рачунар не користи кабл. Ако уочи саобраћај на каблу, он ће чекати док кабл не буде слободан. Када саобраћаја не буде на каблу рачунар ће послати пакет података. Ако два рачунара закључе да нема саобраћаја и оба стартују са емитовањем у истом тренутку, доћи ће до колизије података. Collision detection значи да оба рачунара могу детектовати такву ситуацију и престати са емитовањем. Сваки од њих тада генерише случајан број и чека период времена сразмеран том броју пре него што покуша поновно слање. 23
24
Увод у рачунарске мреже
Увод у рачунарске мреже
1.6 IEEE 802.3 Ethernet стандард IEEE је креирао систем за спецификацију мрежног каблирања. На пример, у ознаци 10base5, 10 одређује максималну брзину у мегабитима по секунди на којој кабл може преносити податке. Base означава baseband тип сигнала. Baseband значи употребу дигиталног сигнала. 5 означава да је максимална дужина сегмента кабла (између два терминатора) 500 метара.
1.6.1 10Base5 Thicknet Speed: 10Mbps (брзина) Cable: thicknet coaxial (тврди, дебели коаксијални кабл) Maximum Length: 500 meters (1,640 feet) (максимална дужина) Коаксијални кабл користи жицу у свом језгру која је окружена уплетеним металним оклопом. Изолаторски материјал одваја ова два проводника. Централна жица преноси електрични сигнал података кроз мрежу. Метални омотач штити податке од електричних сметњи. Рани Ethernet је користио тврди RG-8 коаксијални кабл. Овај кабл је познат као Thicknet. Кабл је врло крут, те се стога рачунари и други уређаји не конектују директно на кабл. Сваки рачунар или други уређај, за које се још користи и термин чвор (node), вежу се на кабл користећи мекши тзв drop cable.
Повезивање transceiver-а са Thicknet каблом захтева обученог техничара да просече рупу кроз оклоп кабла и повеже vampire tap који убада жичано језгро коаксијалног кабла. Тransceiver се тада повезује са network interface card –ом (NIC) (мрежном картицом) у рачунару користећи кабл са DB-15 конектором, званим DIX (Digital Intel Xerox) или AUI (Attachment Unit Interface). Слика 13
Transceiver -и не могу бити ближи један другом од 2,5 метара а drop каблови не могу бити дужи од 50 метара. По једном сегменту може бити максимално 100 чворова.
Због високе цене и тешкоћа у инсталацији, Thicknet се данас ретко користи. Ако је већ инсталиран или је средина са много електричних сметњи, може се још увек користити. Велике мреже могу користити Thicknet као главну кичму (backbone) на коју се повезују гране мрежних сегмената. Слика 11
1.6.2 10Base2 Speed: 10Mbps Cable: thinnet coaxial (меки, танки, савитљиви кабл) Maximum Length: cable 185 meters (607 feet)
Слика 12 сегменти
25
Thicknet backbone (основа, кичма) може се поставити по таваници, са drop кабловима којима ће се извршити повезивање појединачних рачунара. Сваки drop кабл је повезан са Thicknet–ом кориштењем transceiver -а.
Напомена: Пратећи IEEE шему именовања, може се закључити да "2" у ознаци 10Base2 значи максималну дужину сегмента од 200 метара, али то је запараво само 185 meters.
26
Увод у рачунарске мреже
Код највећег броја Thinnet мрежни кабл не LAN инсталација користи drop кабл, него се чворови су много директно конектује са NIC ближе скупа од 500 –ом у рачунару користећи метара, тако да BNC "T" конектор. висока цена thicknet -а није оправдана. Тањи, много фле-ксибилнији коакс-ијални кабл звани "thinnet" може бити коришћен када је дужина кабла 185 метара или мање.
Увод у рачунарске мреже
Иако се често среће да акроним BNC означава British Navel Connector то није тачно. Централна жица кабла се конектује налик "bayonet" –у у центру конектора. Оклоп (омотач) кабла (други проводник) је намотан као метална језгра “nut“ . Стога BNC значи Bayonet Nut Connector. Због високе цене, Thinnet коаксијални кабл се данас ретко користи. Скоро све мреже данас користе Unshielded Twisted Pair (UTP) кабл.
1.6.3 10BaseT Speed: 10Mbps Cable: shielded or unshielded twisted-pair Maximum Length: cable 100 meters (328 feet) Maximum number of nodes per segment: 1024 Connector: RJ-45
Електронски сигнал пролази кроз BNC T конектор до сваког чвора на магистрали све до краја кабла. BNC терминатор је повезан на оба краја кабла да апсорбује сигнал и спречи његово одбијање назад (таласна рефлексија). Ако кабл треба да буде настављен, два дела кабла се могу повезати користећи barrel конектор. Али ако укупна дужина сегмента кабла превазилази 185 метара, сигнал ће ослабити до тачке када ће бити непоуздан. Сигнал је такође ослабљен сваки пут када прође кроз T конектор или barrel конектор. Због тог разлога 10Base2 мрежа може имати максимум 30 чворова по сегменту.
27
Скоро све мреже данас користе Unshielded Twisted Pair (UTP) кабл. Неке старије мреже користе Shielded Twisted Pair (STP), који је сличан UTP – у али има метални оклоп (омотач) да би спречио електричне сметње. Али ако већ није инсталисан или је окружење пуно сметњи, UTP се нормално користи за мрежно каблирање. Тwisted pair означава кабла са две изоловане бакарне жице које су преплетене једна око друге. UTP кабл уобичајено садржи четири преплетена пара (8 жица). 10BaseT је сличан телефонском каблу. Оба типа кабла имају сличне конекторе, само што је UTP мрежни конектор, означен као RJ45, већи и има 8 контаката, док телефонски RJ-11 конектор има 4 контакта. Слика 14
28
Увод у рачунарске мреже
Увод у рачунарске мреже
1.6.4 EIA/TIA категорије каблова
1.6.7 100BaseFX
Electronics Industries Association / Telecomm-unication Industries Association су поставили стандард за UTP кабл (EIA/TIA 568A). Стандард који се примарно односи на максималну брзину подржану од кабла, има 5 категорија. Због мале разлике у а да би се обезбедила могућност будућег побољшања брзине уређаја већина мрежа користе категорију 5.
Category 1 2 3 4 5
Max Speed Mbps Analog voice only 4 16 20 100
цени,
100BaseFX је Fast Ethernet преко fiber-оптичких каблова. Ови каблови имају стаклену или пластичну језгру. Импулси светлости носе мрежне податке. Због тога Два су типа fiber што светлост није осетљива на оптичких конектора, SC електричне сметње, и ST. На слици су SC максимална дужина конектори. овог кабла је 2 километра. 100BaseFX је добар избор кабла за средине које су оптерећене електричним сметњама. Такође је тешко неовлаштено се прикачити на кабл, па је мрежа много сигурнија.
1.6.8 IEEE 802.12 100BaseVG-AnyLAN 1.6.5 IEEE 802.3u 100BaseTX Speed: 100Mbps Cable: shielded or unshielded twisted-pair Maximum Length: cable 100 meters (328 feet) Maximum number of nodes per segment: 1024 100BaseTX је познат као "Fast Ethernet". Овај стандард захтева кабл категорије 5.
100BaseVG-AnyLAN је следећа спецификација пројектована да омогући Fast Ethernet преко кабла категорије 3.
1.6.9 IEEE 802.3z 1000BaseX Познат као "gigabit Ethernet", 1000BaseX користи laser-засновану fiberоптику за пренос података на 1000 Mbps.
1.6.6 100BaseT4 100BaseT4 је пројектована да да омогући Fast Ethernet преко кабла категорије 3 и 4. Ово је постигнуто коришћењем другог пара жица за детекцију колизије. 100BaseT4 се користи само онда када је кабл ниже категорије већ инсталисан.
29
30
Увод у рачунарске мреже
Увод у рачунарске мреже
Након што чвор преузме контролу над token -ом, он емитује пакет података. Token Ring пакет садржи четири главна дела: The data, the MAC address of the packet’s source, the MAC address of the packet’s destination and a Frame Check Sequence (FCS) error checking code. (подаци, адреса извора података, адреса одредишта података и код за детекцију грешке). Пакет података се креће по прстену док не достигне чвор који има адресу која се поклапа са адресом одредишта. Тај чвор прима податке и обележава пакет као примљен. Пакет тада наставља пут по прстену док не достигне чвор који је првобитно одаслао пакет. Тада тај чвор уклања пакет са кабла и ослобађа token тако да други чвор може да емитује податке.
1.7 Token Ring мрежа
Token Ring технологија је смишљена од стране IBM -а 1984. и дефинисана је стандардом IEEE 802.5 од стране Institute of Electrical and Electronics Engineers. Тoken ring мрежа се поставља са физичком прстен топологијом, али је такође често имплементирана физичком звезда топологијом.
Слика 15
Централни уређај token ring –а зове се Multistation Access Unit (MSAU or MAU). Слика 17 Слика 16
У token ring мрежи, први рачунар који постане оnline креира оквир података познат као token. Token се шаље на кабл до следећег чвора у мрежи. Token се креће око прстена док не стигне до чвора који жели да преноси податке. Чвор који жели комуникацију преузима контролу над token -ом. Чвор може емитовати податке на мрежу само ако има контролу над token -ом. Како само један token постоји, само један чвор може емитовати у датом тренутку. Ово онемогућава колизије које су могуће код Ethernet CSMA/CD приступног метода.
31
32
Увод у рачунарске мреже
1.8 Fiber Distributed Data Interface Fiber Distributed Data Interface (FDDI) стандард је дизајниран American National Standards Institute (ANSI X3T9.5 standard ) средином 1980 -тих, а касније је пребачен ка International Organization for Standardization (ISO). OSI спецификација за FDDI није једна спецификација, већ колекција од четири спецификације за физички и приступ медијуму из OSI референтног модела. FDDI користи светлосне импулсе и фибер-оптички кабл за слање сигнала са 100 Mbps пропусношћу. Користи token passing рутину сличну Token Ring мрежама, с том разликом да користи два прстена за проток сигнала.
Увод у рачунарске мреже
Број модова које је фибер у стању да изведе зависи од димензија и варијација светлосно преломних показивача језгра и кошуљице кабла. Multimode фибер системи користе LED као генератор светлости, док single-mode фибер користи ласере. Фибер оптички медији имају озбиљне предности над бакарним медијем. Због тога што не емитује електрични сигнал, он не може бити пресретнут ради извођења неауторизованог приступа подацима који се преносе. Такође фибер је отпоран на електричне сметње па може да подржи већи пропуст него бакар. Због ових разлога FDDI се често користи као кичма велике брзине за велике мреже.
Сврха два прстена је да обезбеде високу поузданост. Двојни прстен се састоји од примарног и секундарног прстена. Током нормалног оперисања, примарни се користи за трансмисију података, док секундарни остаје у стању чекања. Ако дође до проблема у функционисању примарног, секундарни ће преузети функцију преноса података. FDDI може да користи два типа фибероптичкх каблова, single-mode или multimode. Термин mode означава особину варијације у интезитету светлости у каблу. У основи, mode се може замислити као зрак светлости. Single-mode fiber дозвољава само један mode светлости да се преноси кроз фибер. Multimode кабл дозвољава вишеструке mode –ове светлости да се преносе кроз фибер. Слика 18
Пошто ће вишеструки mode –ови светлости стићи до краја фибера у различита времена, карактеристике познате као modal dispersion, the bandwidth (пропусни опсег) и удаљености које се могу достићи коришћењем multimode фибера су ограничене. Због тога што је само један светлосни мод дозвољен за пренос кроз Single-mode фибер, нема појаве мод дисперзије. Singlemode фибер је стога способан да достигне веће протоке на већим удаљеностима. 33
34
Увод у рачунарске мреже
1.9 Бежичне мреже
Увод у рачунарске мреже
али је фиксирана током употребе. Мобилна станица може приступити LAN –у током кретања.
Бежични LAN (WLAN или WiFi) обезбеђује мрежну конекцију коришћењем радио таласа уместо кабла. Бежични уређаји могу комуницирати међусобно или могу комуницирати посредством wireless access point –а (WAP) са жичном мрежом.
Друга предност бежичне мреже су редуковани трошкови за нову инсталацију или локацију коју је тешко каблирати. Са новом инсталацијом, могу се имплементирати бежични hub-ови, switch-еви, и router-и, избегавајући трошкове увођења кабловске инфраструктуре. Локације које је тешко каблирати могу се бежичним линком (везом) повезати на постојећу кабловску мрежу.
Ове мреже користе IEEE (Institute of Electrical and Electronics Engineers) 802.11 стандард. Први 802.11 стандард, креиран 1997, подржава максималан пропусни опсег од само 2 Mbps (million bits per second). У јулу 1999 IEEE је креирао 802.11b стандард, који подржава 11 Mbps.
Бежични линк може функционисати као мост између две жичне мреже. На пример ако је потребно повезати мреже у две одвојене зграде, уместо скупог полагања фибер оптичког кабла, може се имплементирати point-to-point бежични мост за повезивање две зграде.
У исто време када је 802.11b креиран, IEEE је проширио оригинални 802.11 стандард да подржи 54 Mbps, и назвао га 802.11a. Међутим пошто је 802.11b доста јефтинији од 802.11a, 802.11b је постао много популарнији.
1.9.2 Сигурност бежичне мреже
Због тога што 802.11a и 802.11b користе различите фреквенције, ове две технологије нису компатибилне. 2002-ге развијен је стандард 802.11g. 802.11g подржава максимални пропусни опсег од 54 Mbps, и компатибилан је уназад са 802.11b. То тачније значи да 802.11g и 802.11b бежични уређаји могу комуницирати, али на 11 Mbps. Један IEEE 802.11 WAP може типично комуницирати са 30 клијената лоцираних унутар радијуса од 100 метара. Међутим, граница комуникације може варирати умногоме, зависећи од положаја, препрека и интерференција са другим електричним уређајима. 802.11b и 802.11g стандарди користе 2.40 гигахерца (GHz). 802.11b и 802.11g опрема може изазвати интерференцију са микроталасним рернама, бежичним телефонима, и другим уређајима који уобичајено користе исту 2.4 GHz фреквенцију. 802.11a стандард користи 5 GHz.
1.9.1 Предности бежичног LAN-а
Корисник рачунара који има могућност бежичног умрежавања зна да су по default -у, многе бежичне мреже конфигурисане да буду open connections (отворене конективности). Ово значи да свако унутар граница може да се повеже на мрежу. Чак и када је подешавање изведено прописно, бежична мрежа је мање сигурна од жичане, јер се не може физички осигурати трансмисиони медијум (ваздушни простор). Ово их чини много рањивијим за насртаје hacker –а. WEP (Wired Equivalent Privacy) је сигурносни метод који је део 802.11 стандарда. WEP користи тајни мрежни кључ који је дељен између мобилних станица (бежични notebook рачунари) и access point –а (приступних тачака). Мрежни кључ се користи за енкриPCију пакета пре него што се емитује, а провера интегритета (integrity check) осигурава да пакети нису модификовани током преноса. WEP користи дељени статички енкриPCиони кључ (shared static encryption key) који је дељен између свих мобилних станица и приступних тачака. Овај метод је “лакши за проваљивање” од сигурносног метода који користи случајно генерисани single-use key (кључ за једнократну употребу). Да би се појачала сигурност, IEEE је обзнанио 802.11i бежични сигурносни протокол.
Главна предност је повећана мобилност. Сваки рачунар у таквој мрежи представља једну станицу. Станице могу бити фиксне, мобилне или преносни (ручни). Преносна станица се може кретати од тачке до тачке,
802.11i користи EAP (Extensible Authentication Protocol). Са 802.11i мобилна станица шаље захтев приступној тачки. Приступна тачка се
35
36
Увод у рачунарске мреже
понаша као proxy између удаљеног приступног сервера и мобилне станице. 802.11i authentication protocol (протокол провере дозволе приступа) укључује вишеструке захтеве између мобилне станице и удаљеног приступног сервера у циљу да се један другом потврде. Ако то прође комуницирају користећи AES (Advanced Encryption Standard).
Увод у рачунарске мреже
bluetooth
Пре него што је IEEE комплетирао 802.11i стандард, тзв Wi-Fi Alliance, не-профитна организација посвећена осигурању интер-операбилности и безбедности бежичних уређаја, објавила је WPA (Wi-Fi Protected Access). WPA користи RC4 енкриPCију, технику која уплиће више кључева дужине 2048 bits у ток података. Након објаве IEEE 802.11i стандарда, Wi-Fi Alliance је објавила WPA2 који је компатибилан са оба - 802.11i стандардом и WPA.
1.9.3 802.11 Protocol Код Ethernet LAN-а, протокол детектује колизије које се догађају када два или више рачунара покушају истовремено да користе LAN и управља приступом мрежи. Код бежичног LAN-а, детекција колизије није могућа због тога што за детекцију колизије, станица мора бити способна да предаје и прима истовремено, али радио трансмисија (предаја) би онемогућила способност станице да ослушкује колизију. Уместо тога 802.11 протокол користи CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Са CSMA/CA станица која жели емитовати ослушкује радио активност, па ако је нема она емитује пакет података. Ако је пакет примљен нетакнут, станица која га је примила емитује поруку потврде - acknowledgment (ACK) којом је, ако ју је успешно примила прва станица, операција завршена. Ако ACK није примљен успешно, било због тога што оригинални пакет није стигао недирнут или ACK није примљен ваљано, подразумева се да се десила колизија те, након неког неког случајно изабраног времена, врши се поновна комуникација.
Слика 19 37
38
Увод у рачунарске мреже
1.10 OSI референтни модел
Увод у рачунарске мреже
Слој Application (апликације)
Layer 7
Application
Layer 6
Presentation
Layer 5
Session
Layer 4
Transport
Layer 3
Network
Layer 2
Data Link
Layer 1
Physical
Presentation (презентације) Session (сесије)
Transport (транспорта)
Network (мреже) 1984 International Standards Organization (ISO) објављује референцу за мрежу названу Open System Interconnect (OSI) модел. Овај модел дефинише мрежни оперативни систем преко седам слојева (нивоа), где сваки слој изводи специфичне задатке. Ниједан реални мрежни оперативни систем се не поклапа до краја са OSI моделом, али је он користан као референца за упоређивање када се описују постојећи системи. Проблематично је проучавати мрежне уређаје као што су router-и, switch-еви и gateway-и без коришћења овог модела. Такође је незгодно описивати и упоређивати мрежне протоколе као што су TCP/IP и IPX/SPX без коришћења OSI модела.
Data Link (података)
Physical (физички)
Опис Обезбеђује interface ка мрежи за Network Operating System (NOS). Обезбеђује мрежне сервисе и апликације као што су HTTP, FTP, TELNET и SMP. Обезбеђује карактер сет конверзију и форматизовање података, изводи енкриPCију и декриPCију,компресију и декомпресију. Бави се утврђивањем сигурности и успостављањем конекционог ID-а. Успоставља, синхронизује, одржава и завршава сесију. Дели поруку која је предуга у мање сегменте. Поставља бројеве за секвенцирање сегмената, омогућује мултиплексирање порука и уређује управљање током података. На примајућем крају обезбеђује детекцију грешке и опоравак, те склапање сегмената у оригиналну поруку. Дели податке у мање јединице и додељује им логичке адресе. Утврђује руту од извора до одредишта. На примајућем крају транслира логичке адресе у физичке адресе и склапа првобитни изглед података. Уређује мрежни саобраћај и рутирање. Организује податке у оквире и додељује физичке адресе. Обезбеђује контролу тока и пакује бите из физичког слоја у оквире обезбеђујући проверу и корекцију грешке. Описује физичке компоненте мреже, које укључују мрежне interface карте, каблове и конекторе. Конвертује дигиталне бите у електричне сигнале за слање по мрежи и конвертује примљене сигнале у дигиталне бите.
Детаљнији опис и објашњење сваког слоја следи у даљем тексту. Ради лакшег меморисања редоследа слојева, може се запамтити следећа
39
40
Увод у рачунарске мреже
фраза (прво слово сваке речи је почетно слово ознаке слоја): All People Seem To Need Data Processing. � Physical Layer Физички слој (OSI слој 1) се бави механичким и електричним спецификацијама мрежног хардвера. Спецификације слоја 1 дефинишу конекторе, распоред пинова, напоне сигнала и одговарајући софтвер. Најпознатија компонента физичког слоја је Network Interface Card (NIC) (мрежна картица, контролер). Да би се инсталирао NIC морају му се доделити одређени ресурси рачунара као што су IRQ и I/O адреса. Ако су оперативни систем и NIC Plug-and-Play (PnP), ови ресурси ће бити додељени аутоматски. Repeater је уређај физичког слоја који појачава, реконструише и врши трансмисију сигнала дозвољавајући на тај начин да се продужи мрежни кабл. � Data Link Layer Слој везе података (OSI слој 2) садржи два под-слоја; Logical Link Control (LLC) и Media Access Control (MAC). IEEE спецификација 802.2 дефинише LLC, док IEEE спецификација 802.3 и 802.5 дефинишу MAC за Ethernet и Token Ring. Сви host-ови на мрежи, укључујући мрежне уређаје као што су штампачи и router-и, морају имати јединствен идентификатор зван Media Access Control address. Овај слој користи MAC адресе да би проследио оквире података од физичког слоја ка слоју мреже и обрнуто. Употреба MAC сдреса дозвољава усмеравање података унутар исте мреже, али не и преко router-а. � Network Layer
Увод у рачунарске мреже
Сваки LAN или мрежни сегмент има јединствену логичку адресу. Протокол слоја мреже додаје адресу изворног чвора и одредишног чвора у сваки пакет података. Пакет који има дестинацију која није у локалном subnet-у се шаље чвору званом default gateway који може комуницирати и изван локалног subnet-а. Inter-network Packet Exchange (IPX) је NetWare-ов протокол који изводи функције слоја мреже за NetWare IPX/SPX мрежу. IPX протокол користи 32-битну мрежну адресу и 48-битну адресу чвора. IPX/SPX је био популаран протокол дуже времена, али је потиснут од стране TCP/IP протокола на већини мрежа. � Transport Layer Транспортни слој (OSI слој 4) користи конекционо-орјентисане протоколе да би омогућио поуздану end-to-end везу између изворног и одредишног рачунара. Transmission Control Protocol (TCP) је протокол транспортног слоја који омогућује контролу тока, мултиплексирање, детекцију грешке и опоравак од грешке. На предајном делу порука је разбијена у мање сегменте и сваком сегменту је дат секвенциони број. На пријемном крају сегменти се проверавају на грешке. Ако грешке није било, сегменти се склапају у правилном поретку (секвенци) и потврда се шаље предајном рачунару. Ако се деси да предајни рачунар не прими потврду, он поново шаље сегменте поруке. � Session Layer Овај слој брине о безбедности и успоставља конекциони ID. Он успоставља, синхронизује, одржава и завршава сесију. Remote Procedure Call (RPC) је протокол који се извршава у слоју сесије. RPC дозвољава комуникацију између процеса на различитим системима. � Presentation Layer
Слој мреже (OSI слој 3) користи протоколе рутирања да би доставио пакете података до мрежа повезаних преко router-а. Да би то урадио, овај слој користи логичко адресирање. Routing је процес кретања пакета података од једне мреже или мрежног сегмента ка другој.
41
На овом нивоу апликације комуницирају око формата који ће се користити за размену података. Слој пружа карактер сет конверзију и форматирање података. Изводи радње шифро-вања, дешифровања, компресије и декомпресије.
42
Увод у рачунарске мреже
Увод у рачунарске мреже
� Application Layer
1.10.1 OSI физички слој
Омогућава interface између апликација и Network Operating System (NOS) (мрежног оперативног система). Такође пружа мрежне сервисе и апли-кације као што су HTTP, FTP, TELNET и SMP.
Физички слој (OSI слој 1) се бави механичким и електричним спецификацијама мрежног хардвера. Спецификације слоја 1 дефинишу конекторе, распоред пинова, напоне сигнала и одговарајући софтвер. Најпознатија компонента физичког слоја је Network Interface Card (NIC) (мрежна картица, контролер). Да би се инсталирао NIC морају му се доделити одређени ресурси рачунара као што су IRQ и I/O адреса. Ако су оперативни систем и NIC Plug-and-Play (PnP), ови ресурси ће бити додељени аутоматски.
Слика 21 1.10.1.1 NIC MACs Сваки рачунар конектује се на мрежу помоћу мрежне картице network interface card (NIC) која може бити инсталирана у експанзиони слот унутар рачунара или NIC електроника може бити интегрисана у матичну плочу motherboard. Сваки NIC има јединствен идентификациони број зван media access control (MAC) адреса. Никада два NIC-а не могу имати исту MAC адресу. MAC адреса је 48 битна, дозвољавајући више од 281 трилиона могућих јединствених адреса. Та адреса се уграђује у PROM од стране произвођача. Рачунарске мреже разбијају податке који се преносе мрежом у мале делове зване пакети. Подела великог документа у мале пакете за пренос допушта рачунарима да деле мрежни кабл, радије него да се врши један велики пренос чиме се блокирају остали рачунари. Ако се деси грешка у преносу, Слика 22 само оштећени пакет треба да буде ретрансмитован, а не читав велики документ.
Слика 20 43
44
Увод у рачунарске мреже
Увод у рачунарске мреже
1.10.1.2 Hub и MAU Слика 25
Следећи уобичајени уређеј физичког нивоа је Ethernet hub (разводник). Он се користи као централна тачка за повезивање мрежних уређаја. Када сигнал стигне до једног од портова хаба, он се даље шаље до свих осталих порртова хаба. Хаб не ради сегментацију мреже као што то раде switch-еви. Хабови обично обезбеђују порт за каскадно везивање чиме је омогућено обезбеђивање више портова за конекцију мрежних уређаја.
Слика 23
MAC encapsulation of a packet of data
Слика 24
Тoken ring мрежа користи Multi-station Access Unit (MAU) чешће него хаб. Ако MAU детектује грешку на порту, MAU може аутоматски да премости (bypass) тај порт да би одржао оперативност Слика 26 прстена. Већина MAU-а обезбеђује ring-in port и ring-out port који дозвољавају везивање више MAU-а ради добијања више портова.
1.10.2 OSI слој везе података Data Link слој (OSI слој 2) садржи два под-слоја; Logical Link Control (LLC) и Media Access Control (MAC). IEEE спецификација 802.2 дефинише LLC, док IEEE спецификација 802.3 и 802.5 дефинишу MAC за Ethernet и Token Ring. Слика 25
Сви host-ови на мрежи, укључујући мрежне уређаје као што су штампачи и routerи, морају имати јединствен идентификатор зван Media Access Control address. Овај слој користи MAC адресе да би проследио оквире
Слика 27 Receiver Processing Algorithm
45
46
Увод у рачунарске мреже
података од физичког слоја ка слоју мреже и обрнуто. Употреба MAC сдреса дозвољава усмеравање података унутар исте мреже, али не и преко router-а. 1.10.2.1 Bridge и Switch Најважнији мрежни уређаји који раде на нивоу Data Link слоја су мрежни мост (bridge) и switch. Bridge похрањује листу MAC адреса које су конектоване на сваки од његових портова. Он чита одредишну MAC адресу у сваком пакету који прими. Како bridge не модификује пакет ни на који начин, читав процес се зове transparent bridging.
Слика 28
Увод у рачунарске мреже
Switch (скретница) је сличан мосту у смислу да и он прослеђује пакете кроз мрежу, с том разликом да switch може прослеђивати пакете између портова симултано (истовремено). Switch може сегментирати мрежу у онолико делова колико има портова на switch-у. У потпуно switch-ованој мрежи, сваки уређај се везује на switch а не на hub. Ово допушта да брзина мреже буде комбинована брзина свих портова (асинхрона). Најпростије речено скретница (switch) је мост (bridge) са више од два порта. Hub (или repeater) прослеђује примљени оквир на све портове, што резултује тиме да оквир стигне до сваког конектованог уређаја, иако је он адресиран само на одредиште конектовано на нпр порт C, на следећој слици. С друге стране switch, прослеђује оквир само тамо где треба. Switch учи везе између МАС ареса и портова на исти начин као и bridge. Слањем пакета само тамо где треба, switch-еви редукују број пакета на другим мрежним сегментима, повећавајући опште перформансе мреже. Switch такође побољшава безбедност, јер оквири путују само тамо где треба (те не могу у датом примеру бити посматрани неауторизовано од стране рачунара везаног на сегмент нпр A).
Ако је одредиште на истом мрежном сегменту bridge поништава пакет. Ако је одредиште на другом мрежном сегменту, bridge прослеђује пакет до одговарајућег сегмента. Ако одредишна адреса није уписана у табелу MAC адреса, пакет се прослеђује свим сегментима осим оног из кога је пакет стигао, а затим чека да неки уређај реагује. Ако уређај реагује, bridge врши ажурирање (update) табеле MAC адреса и укључује ту адресу.
Switch-еви нормално прослеђују све multicast ili broadcast пакете свим пријемницима.
Слика 30
Switch шаље оквир података од F као multicast / broadcast Слика 31 Слика 29 47
48
Увод у рачунарске мреже
1.10.2.2 Повезивање скретница (switch), мостова (bridge) и hub-ова (разводника) Правило прописује, да bridge / switch / hub у оквиру мреже морају формирати стабло (tree), а не прстен (ring). То је стога што може постојати само један пут између било која два рачунара. Ако постоји више од једног пута, формираће се петља, резултујући бесконачном циркулацијом оквира око те петље. Ово би убрзо довело до преоптерећења мреже. Да би се ово спречило IEEE (у IEEE 802.1d) је дефинисао Spanning Tree Algorithm (STA) који аутоматски открива петље и онемогућава један од паралелних путева. Spanning Tree Algorithm може такође бити искоришћен да изгради fault-tolerent мреже (са толеранцијом грешке), јер ако се изабрани пут прекине (нпр због cable / bridge / switch грешке), а алтернативни пут постоји, он се онда аутоматски омогућава (enabled automatically).
Увод у рачунарске мреже
1.10.2.3 Функционисање моста Мост оперише на слоју везе података (Data Link layer) OSI модела; стога он може читати MAC адресе у пакетима података. Мост има интерну RAM меморију. Када се мост укључи, он се понаша као repeater. Али како мост прима пакете из сваког сегмента мреже, он изграђује табелу MAC адреса за сваки сегмент.
Слика 33
Слика 32 49
Када мост прими пакет података, он тражи MAC адресу у листи меморисаној у RAM-у да утврди којем мрежном сегменту одредишна 50
Увод у рачунарске мреже
адреса пакета припада. Ако одредишна адреса не припада истом сегменту коме и изворна адреса, мост ће проследити пакет у одговарајући сегмент. Ако су обе адресе из истог сегмента мост ће филтрирати или зауставити пакет да не би ишао у други сегмент. Процес филтрирања пакета резултује тиме да кроз сваки сегмент саобраћа мањи број пакета. Мањи саобраћај значи мање колизија. Мрежа је подељена у два одвојена "collision domains" (колизиона домена), сваки са мање колизија него оригинални јединствени колизиони домен. Оба сегмента и читава мрежа сада раде са већом ефикасношћу. Мрежни пакети података могу бити "unicast" или "broadcast". Unicast значи да је пакетово одредиште један уређај. Понекад је потребно послати поруку свим чворовима у мрежи. Ово може бити потребно нпр да би се решили проблеми на мрежи (trouble shoot). Мостови увек прослеђују све broadcast пакете. Када мост прослеђује пакет, он га копира у потпуности, остављајући оригиналну изворишну МАС адресу. За мостове кажемо да су "transparent" (транспарентни) или "invisible" (невидљиви). Како мост не захтева никакву конфигурацију, он представља најлакши начин да се мрежа оптерећена јаким саобраћајем подели у два сегмента са циљем повећања афикасности.
Увод у рачунарске мреже
Слика 34 Сваки LAN или мрежни сегмент има јединствену логичку адресу. 1.10.3.1 Router-и Routing је процес кретања пакета података из једне мреже или мрежног сегмента у други. Пакет који има одредиште не у локалном subnet-у се шаље до чвора званог default gateway (подразумевани мрежни пролаз) који може комуницирати и изван локалног subnet-а (подмреже). Router користи routing table (табелу рутирања) да утврди који рутер је повезан на мрежу која има рачунар са одредишном адресом. Протоколи рутирања као што је OSPF (Open Shortest Path First) , овај слој користи за потребе ажурирања табеле рутирања. Слика 35
Мостови не могу повезату два сегмента са различитим приступним методима, као што су нпр Ethernet и Token Ring, нити могу повезати два различита типа медијума као што су 10Base2 и 10BaseT. Ово се може постићи са специјалним транзиционим мостовима, али се они ретко користе због тога што постоје елегантнији методи, као што је употреба gateway уређаја (мрежни пролаз). Мост може бити засебни уређај или имплементиран софтверски и инсталиран на серверу.
1.10.3 OSI мрежни слој Ако је мрежа превелика, она се може поделити у више сегмената и сваком сегменту се може доделити мрежна адреса. Network layer, слој три OSI модела, додаје адресу изворишног чвора и адресу одредишног чвора сваком пакету података. Овај слој користи логичко адресирање. Routable protocols (протоколи рутирања) на овом нивоу испоручују пакете података мрежама повезаним преко router-а.
Рутинг користи Network layer OSI модел да усмерава пакете података ка исправним мрежама или подмрежама.
51
52
Слика 36
Увод у рачунарске мреже
Увод у рачунарске мреже
1.10.4 OSI транспортни слој
1.10.5 OSI слој сесије
Транспортни слој (OSI слој 4) користи конекционо-орјентисане протоколе да обезбеди поуздану end-to-end везу између изворишног и одредишног рачунара. Transmission Control Layer 7 Application Protocol (TCP) је протокол транспортног слоја који омогућава контролу тока, Layer 6 Presentation мултиплексирање, детекцију и опоравак од Layer 5 Session грешке.
Слој сесије, пети слој OSI модела успоставља, синхронизује, одржава и завршава сесију (скуп, састанак) између рачунара на мрежи. Он успоставља конекциони ID и потврђује безбедност.
Layer 4 Layer 3 Layer 2 Layer 1
Transport Network Data Link Physical
На предајном делу порука је разбијена на мање сегменте и сваком сегменту је дат редни број (sequence number). На пријемном крају сегменти се контролишу на грешке. Ако је сегмент примљен исправно, он се рекомбинује у оригиналну поруку и потврда доброг пријема се шаље предајном рачунару. Ако предајни рачунар не прими потврду, он поново шаље сегмент.
Када се размишља о слоју сесије, треба имати на уму да је OSI само модел. Стварни мрежни скупови протокола, као што је TCP/IP рукују активностима успостављања конекције, одржавања и терминације, унутар протокола транспортног слоја.
Слика 37
1.10.6 OSI слој презентације 1.10.4.1 Други транспортни протоколи Sequenced packet Exchange (SPX) је NetWare протокол који изводи функције слоја транспорта за NetWare IPX/SPX мрежу. IPX/SPX је био популаран скуп протокола више година, али је замењен TCP/IP скупом на већини мрежа. User Datagram Protocol (UDP) је неконекциони протокол слоја транспорта који се користи за слање временски осетљивих података као што су real-time аудио и видео. Не обавља се провера грешке и не шаље се потврда доброг пријема. Како су подаци процесирани realtime, нема смисла радити ре-трансмисију пакета који се управо презентује. Транспортни слој не успоставља нити завршава мрежну конекцију. То ради слој сесије (OSI слој 5) који успоставља , одржава и завршава конекцију. Слој транспорта не учествује у рутирању пакета од извора до одредишта. Мрежни слој (OSI слој 3) придружује логичке адресе пакетима и рутира их кроз мрежу. Једном када слој сесије и мрежни слој успоставе виртуелно коло, слој транспорта омогућава поуздану доставу података. 53
Слика 38
На овом слоју, слоју шест OSI модела, изворишне и одредишне апликације комуницирају по формату за размену (exchanging) подата-ка. Предајни рачунар може конвертовати текст у генерички формат (ASCII) за потребе преноса преко мреже. Пријемни рачунар конвертује ASCII у формат захтеван од одредишне апликације. Сервиси трансформације података омогућени слојем презентације:
o o o o
Конверзије формата текста Конверзије бинарних и графичких формата Компресија и експанзија Шифровање и дешифровање
54
Увод у рачунарске мреже
OSI је само модел. Стварни мрежни оперативни системи могу спроводити функције конверзије података на слоју апликација и слоју сесије.
1.10.7 OSI слој апликације Слој апликације, слој седам OSI модела, омогућава интерфејс између апликација и мрежног оперативног система (Network Operating System NOS). Он обезбеђује мрежне сервисе и апликације као што су HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol), TELNET, SNMP (Simple Netwrok Management Protocol) и SMTP (Simple Mail Transport Protocol).
Увод у рачунарске мреже
1.11 Мрежни пролази (gateways)
Када мреже са различитим протоколима, као што су Ethernet и Token Ring треба повезати, ово захтева реконструкцију пакета података. Да би се ово урадило, неопходне су информације из слојева изнад мрежног. Gateway је уређај који може да функционише на свих седам слојева OSI модела. Може конектовати LAN на WAN, LAN на mainframe, преводити протоколе, или конвертовати преносне медије.
Но о овим апликацијама из овог слоја правилније је размишљати као о протоколима. На пример постоји неколико различитих FTP апликација које користе FTP протокол на слоју апликације.
Слика 39 Router који конектује локалну подмрежу (local subnet) на друге мреже назива се подразумевани мрежни пролаз ("default gateway"). Gateway који повезује LAN на Internet назива се "proxy server". Он прима све захтеве за приступ Internet-у са LAN-а и рутира их према Internet-у. Gateway који конектује LAN на Internet се зове "firewall" када обезбеђује сигурност и заштиту од спољних напада.
55
56
Увод у рачунарске мреже
1.12 Скупови протокола
Увод у рачунарске мреже
она америчка пословна жена на неком професионалном скупу или европска принцеза на званичном балу. Нарушавање протокола отежаће комуницирање, чак га и онемогућити.
1.12.1 Хијерархије протокола Да би пројектовање било једноставније, мреже се већином организују као скуп слојева (layers) или нивоа (levels). Број слојева, њихова имена , садржај и функција разликују се од мреже до мреже. Сваки слој нуди одређене услуге (сервисе) вишим слојевима, не оптерећујући их детаљима њихове реализације. Сваки слој је у извесном смислу виртуелна машина која нуди одређене услуге слоју изнад себе. Овај концепт је већ познат у рачунарским наукама, где се различито назива: скривање информација, апстрактни типови података, капсулирање података и објектно орјентисано програмирање. Основна идеја је да одређена софтверска (или хардверска) компонента обезбеди услуге својим корисницима, а да од њих сакрије детаље свог унутрашњег стања и примењених алгоритама. Слој n на једном рачунару комуницира са слојем n на другом. Правила и конвенције који се користе у комуницирању познати су под заједничким именом протокол слоја n. У основи, протокол (protocol) представља Слика 40 договор између две јединке о томе како треба да тече њихова међусобна комуникација. На пример када се жена представља мушкарцу, она може да пружи руку. Он потом, може да ту руку прихвати и стегне или да је пољуби, у зависности од тога да ли је 57
На слици је приказана мрежа са 5 слојева. За елементе одговарајућих слојева на различитим рачунарима каже се да су равноправни (peers). Равноправни елементи могу да буду процеси, хардверски уређаји, чак и људи. Другим речима, протоколарно комуницирање се одвија између равноправних страна. У стварности, никада се подаци не преносе директно од слоја n на једном рачунару ка слоју n на другом, већ сваки слој прослеђује податке и управљачке информације слоју непосредно испод себе, све док се не достигне најнижи слој. Испод слоја 1 је физички медијум (physical medium) кроз који се стварно одвија комуникација. Токови привидне комуникације означени су на слици тачкастим путањама, а стварна пуним. Између свака два суседна слоја налази се интерфејс (interface). Интерфејс одређује основне операције и услуге које доњи слој нуди горњем. Када пројектанти одлучују о броју слојева у мрежи и њиховој функцији, најважније је да дефинишу јасне интерфејсе између слојева. Да би се то постигло, сваки слој мора да извршава одређен скуп функција с тачно дефинисаном наменом. Осим што смањује количину података која се мора прослеђивати између слојева, прецизно дефинисан интерфејс олакшава и измену конструкције слојева (на пример, у случају када се све телефонске линије замене сателитским каналима), јер се од нове верзије слоја захтева само да слоју изнад себе понуди исти скуп услуга као и раније. Скуп слојева и протокола назива се заједничким именом архитектура мреже (network architecture). Спецификација архитектуре мора да садржи довољно информација како би реализатор могао да за сваки слој напише програм или пројектује хардвер који ће следити правила одговарајућег протокола. Ни детаљи реализације ни спецификација интерфејса нису део архитектуре јер се не виде споља – они су скривени у рачунарима. Чак није неопходно да интерфејси на свим умрженим рачунарима буду исти, под условом да сваки рачунар исправно користи све протоколе. Листа протокола коју користи одређени систем (један протокол по слоју), назива се скуп протокола (protocol stack, suit).
58
Увод у рачунарске мреже
На следећем примеру може се лакше разумети концепт комуницирања између слојева. Узмимо комуникацију два филозофа (равноправни процеси у слоју 3) – једног који говори урду (званични језик Пакистана) и енглески, и другог који говори кинески и француски. Пошто ниједан од побројаних језика не познају обојица, сваки од њих ангажује преводиоца (равноправни процеси у слоју 2), а сваки преводилац ангажује секретара (равноправни процеси у слоју 1).
Увод у рачунарске мреже
“I like rabbits”, прослеђује преводиоцу кроз интерфејс 2/3, као што је приказано на слици. Преводиоци су се договорили да користе језик који обојица знају српски, па порука постаје “Ja volim zečeve”. Избор заједничког језика зависи од протокола и равноправних процеса у слоју 2. Преводилац затим поруку даје секретару да је пошаље, на пример факсом (протокол слоја 1). Када порука стигне на одредиште, она се преводи на француски и кроз интерфејс 2/3 прослеђује другом филозофу. Протоколи су потпуно независни један од другог све док се интерфејси не измене. Преводиоци могу да са спског језика пређу на фински, под условом да се око тога сложе, и ниједан од њих неће тиме изменити своје интерфејсе према слојевима 1 и 3. Слично томе, секретари умести факсом, поруку могу да размене електронском поштом или телефоном, а да тиме не поремете друге слојеве; чак их не морају ни обавестити о томе. Сваки процес може поруци да прикључи додатне податке намењене искључиво свом “колеги” (равноправном процесу на другом рачунару). Ти подаци се не прослеђују горњем слоју. На седећој слици дат је још један пример комуникације два рачунара преко петослојног модела:
Слика 42 Слика 41 Први филозоф жели да колеги пренесе своја осећања према врсти oryctolagus cuniculus (зечевима). У том циљу, он поруку (на енглеском),
59
У слоју 3 порука не може бити неограничено дуга, него се дели у мање делове. М – порука (message) H – заглавље (header) T – завршетак (terminator) 60
Увод у рачунарске мреже
1.12.2 Однос између услуга и протокола Услуге (сервиси) и протоколи су различити појмови који се често мешају. Стога још једном нагласимо разлику. Услуга (service) је скуп основних операција које слој обезбеђује слоју изнад себе. Услугом се дефинишу операције које слој извршава за рачун корисника, али се потпуно скрива начин извршавања тих операција. Услуга се везује за интерфејс између слојева, при чему је доњи слој давалац, а горњи корисник услуге. Протокол је скуп правила о формату и значењу пакета или порука који се размењују између процеса истог слоја. Процеси користе протоколе да би реализовали дефинисане услуге. Они могу мењати протоколе по жељи, под условом да услуге видљиве њиховим корисницима остану неизмењене. На овај начин услуге и протоколи су потпуно разграничени. Другим речима, услуге се односе на интерфејсе између слојева, као што је приказано на следећој слици. Насупрот томе протоколи се односе на пакете који се размењују између равноправних процеса на различитим рачунарима. У аналогији са програмским језицима – услуга је слична апстрактном типу података или објекту у објектно орјентисаном језику. Она дефинише операције које се могу извести са објектом, али не објашњава како. Протокол се односи на реализацију (имплементацију) услуге и зато није видљив кориснику услуге. Многи старији протоколи не праве разлику између протокола и Слика 43 услуге. На пример, типичан слој је могао имати основну операцију услуге SEND PACKET, при чему је корисник морао задавати показивач на пакет припремљен за слање. Уз такав поступак, корисник је одмах уочавао сваку измену протокола.
Скуп протокола је група протокола дизајнираних да раде заједно. Три најважнија скупа протокола су NetBEUI, IPX/SPX и TCP/IP. 61
Увод у рачунарске мреже
1.12.3 NetBEUI IBM je дизајнирао NetBIOS (Network Basic Input/Output System) за мале радне групе (workgroups) које немају централни сервер. NetBIOS успоставља комуникациону сесију између рачунара. NetBEUI (NetBIOS Extended User Interface) је унапређење NetBIOS-а које обезбеђује сервисе за пренос података. NetBEUI је развијен као део IBM-овог LAN Manager мрежног оперативног система.
Слика 44
Касније, Microsoft употре-бљава NetBEUI протокол у Windows For Workgroups (Windows 3.11) да обезбеди peer-to-peer могућност умрежавања. NetBEUI се данас користи да подржи умрежавање на Windows 9x и Windows NT оперативним системима. NetBEUI је јед-ноставан, брз протокол. Није дизајниран за комуникацију са једне мреже на другу, па стога није рутабилан. Он оперише само на транспортном и мрежном слоју OSI модела.
У Microsoft Windows мрежном оперативном систему, сваком рачунару се придружује, додељује NetBEUI име. Ово је име које се види у Network Neighborhood листи директоријума. Име се мора задати према NetBEUI правилима: мора бити јединствено са максимум 15 карактера без размакнице. NetBEUI протокол шема адресирања додељује један карактер као суфикс имену рачунара да би се увело диференцирње између специфичних сервиса или функција које пружа рачунар.
1.12.4 IPX/SPX Internetwork Packet Exchange / Sequenced Packet Exchange (IPX/SPX) је протокол који користе Novel-ови Netware производи. IPX/SPX је базиран на XNS/SPP (Xerox Network Systems/Sequenced Packet Protocol) дизајнираном од стране Xerox-а. IPX/SPX је компонован од два главна
62
Увод у рачунарске мреже
дела. Један део је неконекциони (connectionless), а други је конекциони (connection based). SPX је конекционо орјентисани протокол. Овакви протоколи захтевају чвор да би вратили потврду када пакет стигне или and поновно слање пакета ако се десила грешка. Овај метод обезбеђује поузданост, али слање потврда чини пренос споријим. IPX је друга врста протокола. Он не захтева потврде. Када се порука шаље свим (broadcasting) чворовима уобичајено је да се не тражи потврда да се врати јер то непотребно повећава сао-браћај. Овакви протоколи су стога бржи. IPX/SPX дају протоколе за оперисање на OSI мрежном слоју Слика 45 до OSI апликационог слоја. На мрежном слоју IPX протокол рукује рутирањем пакета података између мрежа. На транспортном слоју SPX рукује процесима разбијања података у мање делове на предајном делу и рекомбиновањем тих делова на пријемном крају. Server Announcement Protocol (SAP) омогућава задатке на слоју сесије: креирање и одржавање конекције. NetWare Core Protocol (NCP) рукује задацима на презентационом и апликационом слоју. Постоје два типа адресног шемирања. Физичко адресирање се заснива на MAC адреси уграђеној у сваки NIC, која не може да се мења. Логичко адресирање се заснива на адреси која је додељена или конфигурисана и може бити мењана. Наравно у крајњој линији логичка адреса се мора транслирати у MAC адресу. У IPX/SPX сваки мрежни сегмент мора имати логичку адресу која га идентификује. За разлику од NetBEUI где уређај може да функционише и као сервер и као клијент, NetWare подразумева да је сервер увек сервер а клијент увек клијент. Сервер је фокусна тачка NetWare оперативног система. У NetWare-у, мрежна адреса је додељена серверу. IPX мрежна адреса је јединствени хексадецимални број од осам цифара. Може се осигурати да IPX адреса буде јединствена тако што 63
Увод у рачунарске мреже
ће се регистровати код Novel-а. Бројеви 00000000, FFFFFFFF и FFFFFFFE су резервисани. Socket identifier (прикључни идентификатор) је јединствени број придружен адреси сервера да идентификује сваки сервис или процес који се извршава на серверу. Сваки клијент и уређај на IPX мрежи мора да буде идентификован јединственим 12 цифарским бројем, познатим као station address (адреса станице). За ово се може користити MAC адреса.Да би комуницирао на мрежи уређај користи адресу креирану кобиновањем IPX мрежне и IPX адресе станице одвојеним знаком “ : ”. Microsoft има IPX/SPX компатибилни протокол, назван NWLink. Windows систем може користити овај NWLink да комуницира са NetWare мрежом. Када је конфигурисан на Windows систему NWLink протокол користи само SPX и IPX протоколе. Изнад транспортног слоја Windows користи NetBIOS и SMB (Server Message Blocks). IPX пакети могу користити неколико различитих формата званих типови оквира (frame types) (IEEE 802.2, IEEE 802.3, Ethernet II, or SNAP). Због овога IPX/SPX захтева одређену конфигурацију. Ако два чвора користе различите типове пквира, они не могу комуницирати. Server Announcement Protocol (SAP) омогућава извођење задатка из сесионог слоја: креирање и одржавање конекције. У врло великим мрежама IPX/SPX функционише лоше због загушујућег SAP broadcastинга. IPX/SPX је био популаран мрежни протокол више година, међутим са напретком Internet-а, истиснут је од стране TCP/IP-а.
1.12.5 TCP/IP Transmission Control Protocol/Internet Protocol (TCP/IP) је протокол који се користи за Internet. TCP/IP је отворени стандард заснован на ARPANET-у дизајнираном од стране Advanced Research Projects Agency 1970-тих. TCP скуп протокола је постао стандард. Због тога што је подржан од скоро свих мрежа, он обезбеђује интероперабилност између различитих типова рачунара. Потребно је поприлично знање о TCP/IP скупу протокола за некога ко би да буде мрежни техничар. Овде ћемо видети само увод у TCP/IP, а од теме 1.16 Слика 46 64
Увод у рачунарске мреже
детаљније. Слично IPX/SPX-у, компонован је од два главна дела. TCP омогућава конекциони протокол. IP омогућава неконекциони протокол. На OSI транспортном слоју TCP поставља end-to-end конекцију између два система да обезбеди поуздану доставу података. TCP користи IP на мрежном нивоу да би достављао податке преко мреже. У TCP/IP-у сваки уређај има логичку адресу, звану IP адреса, која га идентификује. IP адреса је 32-битни бинарни број. Ако ће уређај бити конектован на Internet, адреса мора бити јединствена, разликовати се од свих осталих, од других уређаја конектованих на Internet. Обезбеђење јединствене адресе се прибавља од Internet Network Information Center (InterNIC). За мреже, InterNIC додељује блокове адреса. 8-битни бинарни број се може записати као децималан чија је вредност између 0 и 255. IP адреса је обично записана као четири 8-битна децимална броја одвојена тачкама. Бројеви 0 и 255 су резервисани за специјалне намене. Део са десне стране броја је host (домаћин) идентификатор. Што више цифара искориштених за идентификацију host-а, даје могућност повећања броја host-ова који се могу доделити мрежи. InterNIC додељује блокове адреса дефинисане као (преко) класе. Class A мреже користе десна три дела адресе за host идентификацију. Ово дозвољава доде-љивање 16.777.214 јединствених host идентификатора. Ти-ме остаје један део адресе на левој страни за мрежне идентификаторе. Пр-ви бит са леве стране адресе се користи да означи тип класе. Остаје седам бита за мрежне идентификаторе, чиме се допушта 126 јединствених мрежних идентификатора. Слика 47
65
Увод у рачунарске мреже
Class B мре-же користе два десна дела адресе за host идентификацију. Class C мреже користе један део са десне стране адресе за исту намену. Кориштење мрежне класе са мање делова за host идентификацију оставља више делова за мрежне идентификаторе. У табели су дати бројеви везани за различите класе. Router-и користе бите идентификаторе класе да утврде који делови IP адресе су мрежне а који су host адресе. На пример, ако је први бит IP адресе 0, router ће креирати subnet mask (подмрежну маску) у облику 255.0.0.0. Користећи логичку “and“ операцију над IP адресом и subnet маском, маскирају се задња три дела, а задржава се само мрежна адреса.
Class A B C
First Bits 0 10 110
Networks 126 16,384 2,097,152
Hosts 16,777,214 65,534 254
Напомена: сваки тачком одељени део IP адресе може садржавати једну, две или три децималне цифре. Организација није “закључана”. Мрежни инжињери могу креирати корисничке subnet маске у циљу повећања броја јединствених мрежних адреса, или могу користити proxy server-е. Коришћењем proxy сервера, сваки host на мрежи не захтева јединствену Internet IP адресу. Само proxy сервер има јединствену Internet IP адресу. Кориснички захтев за приступ Internet-у се пресреће и њиме се рукује од стране proxy сервера. Због тога што су само proxy IP адресе видљиве на Internet-у, интерне мрежне и host адресе треба да буду јединствене сами интерно. Захваљујући свом отвореном стандарду, TCP/IP омогућава богатство апликација и дијагностичког алата. Сваки процес који се одвија на hostу је идентификован уобичајеним бројем порта (port number)(порт – пролаз, врата). Најчешће коришћен процес је Hypertext transfer Protocol (HTTP). Он користи port 80 за доставу докумената са Web сервера на клијентски рачунар који извршава “browser“ програм. Следећи често кориштен процес је Simple Mail Transfer Protocol (SMTP). Он корист port 25 за испоруку е-mail -а. TCP/IP конекција се може разумети преко метафоре са конекцијом кроз електрични прикључак. Процес који се извршава на серверу прати (monitors) свој додељени број port-а. Клијент прави захтев за конекцијом на тај порт (port number). Сервер дозвољава захтев и сваки рачунар 66
Увод у рачунарске мреже
Увод у рачунарске мреже
креира socket (прикључак) и виртуелна мрежа је успостављена кроз све router-е између два рачунара. Када користе Web browser -е, за људе је тешко да користе и памте IP адресе. Због тога је креиран систем који омогућава коришћење имена као алијаса за IP адресе. Да би рутирали захтев до исправног host -а, router -и захтевају IP адресу у форми броја. Domain Name Service (DNS) обезбеђује метод за превођење алијаса у IP адресу. DNS сервери садрже индекс алијаса и њихових IP адреса. Ако DNS сервер не може да разреши име, он може прозвати други DNS сервер који може да разреши. Слика 48
1.13 Мрежни оперативни системи Намена мреже је да дозволи корисничко дељење ресурса лоцираних у рачунарима и дељење периферних уређаја као што су штампачи. Мрежни оперативни систем (network operating system NOS) је специјализовани системски софтвер дизајниран да обезбеди мрежну функционалност. Већина мрежних оперативних система омогућава следеће функције: 1. Дозвола конекције и приступа мрежним ресурсима као што су апликациони софтвер, датотеке података и периферали. 2. Управљање приступом мрежним ресурсима преко дозвола приступа ресурсу само корисницима ауторизованим за употребу ресурса. 3. Омогућује средства за конфигурацију мрежних ресурса у циљу ефикасности и могућност мониторинга мреже, као и troubleshoot –инга исте. Главни мрежни оперативни системи у употреби данас су: � � �
Разне верзије Unix -а. Разне верзије Windows -а Novel Netware.
1.13.1 Novel NetWare NetWare 3.x користи IPX/SPX скуп протокола и тражи централизовану сигурносну базу података. Сваки NetWare 3.x сервер одржава своју сопствену сигурносну базу података звану "bindery". Када се корисник логује, сервер лоцира корисничко име и лозинку у бинарном облику и чита информације о налогу да би утврдио које ресурсе ће делити са корисником. Да би приступио ресурсима на три различита сервера, кориснику требају три одвојена корисничка налога. NetWare 4.x организује корисничке и ресурсне информације у централизовану сигурносну базу података звану Novel Directory Service (NDS). Корисник се логује у NDS и тада је способан да приступи ресурсима било где на мрежи. TCP/IP је подржан преко учауривања ("encapsulating") IPX/SPX пакета унутар TCP/IP пакета. Ово чини системске перформансе мање ефикасним због додавања додатног слоја протокола.
67
68
Увод у рачунарске мреже
NetWare 5.x уклања потребу за encapsulating -ом IPX/SPX–а тако што користи TCP/IP као свој природни протокол.
Увод у рачунарске мреже
1.14 Мрежно каблирање и компоненте
1.13.2 Unix Bell Laboratories је творац Unix оперативног система. Bell Labs је дозволио универзитетима да модификују оперативни систем за своје сопствене потребе. Ово је довело до много некомпатибилних варијација Unix-а, укључујући Sun Microsystems Solaris и IBM's AIX. Ово фрагментирање Unix оперативног система омогућило је Microsoft-овом Windows оперативном систему да преузме водећи корак на тржишту мрежних оперативних система. Unix Network File System (NFS) дозвољава Unix систему да третира датотеке у директоријумима на другом Unix рачунару као да су локалне. Удаљени директоријум је монтиран ("mounted") у локални фајл систем, дозвољавајући транспарентно датотекама да буду дељиве. Linux је варијанта Unix –а развијена од Linux Torvalds -а. Било ко, ко прими копију Linux-а такође добија пуни source code. Приступ изворном коду допушта програмерима да модификују оперативни систем. Torvald –ов лиценцни уговор захтева да они који модификују изворни код морају делити тај изворни код са тим модификацијама. Linux оперативни систем и неке Linux апликације су доступне за бесплатни download са Internet -а. Red Hat и Caldera су компаније које наплаћују за омогућавање корисничких водича и сервиса (подршке) током употребе уз копију Linux-а. Због ниске цене , Linux је постао први избор за оперативни систем за Web сервере.
1.13.3 Windows NT Windows NT је Microsoft-ов пословни снажни мрежни оперативни систем. Подржава TCP/IP скуп протокола. Сервери могу бити спојени у групу звану "domain". Један сервер делује као Primary Domain Controller (PDC) тиме што меморише Security Access Manager (SAM) базу података. Када се корисник логује, SAM копира приступни знак ("access token") на корисников рачунар. Приступни знак дозвољава кориснику да приступи ресурсу у домену. Домен може такође садржати један или више Backup Domain Controllers (BDC) који похрањују дупликатне копије SAM базе података. Више Windows NT домена могу комуницирати преко конфигурисања "trust" веза (relationships) између њих.
69
И поред тога што је снага и софистикација мрежних протокола и софтвера импресивна, мрежа не може оперисати без физичког кабла и компонената. Чак и бежична мрежа треба физичке компоненте као што су приступне тачке. А како су бежичне мреже проблематичне због нпр. интерференције и ниже сигурности, кабл ће бити први избор медијума за многе мреже још дуго времена.
1.14.1 Коаксијални кабл Коаксијални кабл користи чврсту жицу у свом језгру која је окружена уплетеним металним оклопом. Изолациони материјал одваја жицу језгра и метални оклоп. Централна жица преноси електрични сигнал у који су уграђени подаци. Метални омотач (оклоп) штити податке од електричних сметњи. Ране Ethernet мреже су користиле дебеле (круте) RG-8 коаксијалне каблове. Овакав кабл је познат као Thicknet. IEEE је креирао систем за спецификацију мре-жног Слика 49 каблирања. Thicknet је по-свећен стандар-ду 10base5. 10 одређује максималну брзину у мегабитима по секунди (megabits per second) на којој кабл може преносити податке. “Base“ означава тип основног опсега сигнала. Прецизније ова одредница говори да се ради о дигиталном сигналу. 5 одређује да је 500 метара максимална дужина сегмента кабла. Thicknet кабл је врло крут, па се рачунари и други уређаји не могу директно конектовати на њега. Сваки рачунар или други уређај, за које се генерално каже чвор, конектују се помоћу тањег, тзв падајућег кабла 70
Увод у рачунарске мреже
Увод у рачунарске мреже
(drop cable). Thicknet кичма (backbone) се може поставити нпр по таваници зграде, а падајући каблови се могу искористити за повезивање чворова. Повезивање падајућег кабла са Thicknet -ом проводи се помоћу примопредајника (transceiver).
Примопредајници се не могу постављати ближе од 2.5 метра и падајући каблови не могу бити дужи од 50 метара. Највише 100 чворова може бити конектовано на један сегмент. Због високе цене и незгодне инсталације, Thicknet се данас ретко користи. У експлоатацији може бити зато што је већ инсталиран или је окружење пуно електричних сметњи. Велике мреже могу га користити као главну кичму која повезује гране мрежних сегмената. Поред Thicknet-а, постоји и Thinnet (танки коаксијални кабл). IEEE стандард за Thinnet је 10Base2. Иако је у ознаци "2" ипак је максимална дужина сегмента само 185 метара.
Слика 50
Сигнал се такође слаби сваки пут када прође кроз T конектор или barrel конектор. Због тога 10Base2 мрежа може имати максимум 30 чворова по сегменту. Thinnet се такође данас ретко користи. Скоро да све мреже данас користе Unshielded Twisted Pair (UTP) кабл (неоклопљени кабл са упреденим парицама). Неке старије мреже користе Shielded Twisted Pair (STP) (оклопљени), који је сличан UTP-у али има метални омотач ради спречавања електричних Слика 52 сметњи. T conector for Thinnet:
Прикључење примопр-едајника на Thicknet за-хтева обученог техничара, који ће пробити рупу кроз омотач кабла и прикачити вампирски прикљ-учак (“vampire tap“) који се забија у жичано језгро коаксијалног кабла. Примопредајник се тада конектује на мрежну инте-рфејс картицу рачунара користећи кабл са DB15 конектором званим DIX (Digital Intel Xerox) или AUI (Attachment Unit Interface).
Слика 51
71
1.14.2 Unshielded Twisted Pair (UTP - кабл) Упредена парица (twisted pair) су две изоловане бакарне жице уврнуте једна око друге. UTP кабл обично садржи четири упредене парице (8 жица). IEEE стандард за UTP је 10BaseT. UTP је сличан
Слика 53
72
Увод у рачунарске мреже
телефонском каблу. UTP мрежни конектор се означава RJ-45, и већи је одтелефонског RJ-11 конектора који има 4 контакта.
Увод у рачунарске мреже
Telecommunication Industries Association се поставио стандард за UTP каблове (EIA/TIA 568A).
1.14.3 Repeater Repeater (понављач) је уређај физичког слоја који појачава, реконструише и ретрансмитује сигнал, омогућавајући на тај начин повећање дужине мрежног кабла.
Слика 54
Слика 55
Значи да би се превазишло ограничење максималне дужине сегмента кабла може се користити уређај зван repeater. Он у најпростијој изведби појачава сигнал, али нажалост он појачава не само корисни сигнал, него и сигнал сметње (шума). Starbus Topology – комбинована звезда/магистрала топлогија Ethernet мрежа је обично имплементирана физичком звезда топологијом. Мрежа ипак прати спецификације топологије магистрале, с тим што су каблови конектовани по шеми звезде на централни разводник (hub).
Максимална дужина сегмента кабла је 100 метара а максималан број чворова је 1024 по сегменту. Electronics Industries Association /
73
Слика 57 Слика 56
Каже се да мрежа има логичку
74
Увод у рачунарске мреже
Увод у рачунарске мреже
топологију маги-страле а физичку звезда топологију. Понекад се оваква конфигурација назива starbus.
конекторских плочица до собе са опремом. Соба са опремом је опремљена постољем са спојном плочом. Сваки кабл који стиже у ову просторију се прикључује у један од конектора на спојној плочи.
Разводник (hub) садржи захтеване терминаторе кабла. Мрежни разводник (hub) се такође налази у овој просторији. Кратки UTP каблови, звани спојни каблови, се користе да повежу мрежне каблове од спојне плоче до hub-а. Вођењем свих мрежних каблова у собу са опремом, физичке конекције радних станица се могу лако променити на централизованој локацији. Давањем приступног права у ову собу само ауторизованом персоналу, повећава се сигурност мрежне опреме. Слика 58 Са физичком топологијом магистрале, ако дође до прекида кабла, читава мрежа “пада” јер нема терминатора на крајевима кабла где је прекид. Предност топологије звезде је да иако се деси прекид неког кабла само тај чвор пада. Мана ове топологије је да захтева много више каблова, а такође и чињеница да ако дође до квара централног hub-а, читава мрежа пада.
1.14.5 Fiber Optic (оптички кабл) Данас се користе и оптички каблови. Ови каблови имају стаклено или пластично језгро. Импулси светлости носе мрежне податке. IEEE стандард за ове каблове је 100BaseFX. Како светлост није осетљива на електричне сметње, максимална дужина оптичког кабла је 2 километра. 100BaseFX је добар избор кабла за амбијенте са јаким електричним интерференцијама. Такође тешко је извести упад у оптички кабл, што повећава безбедност мреже.
Слика 59 Слика 61
1.14.4 Соба са опремом
Слика 60
У стварним условима, топологија звезде ретко се поставља дословце да изгледа као звезда. У реалним условима сваки рачунар или мрежни уређај се конектује у конекторску плочицу фиксирану на зид или под просторије. Каблови се постављају унутар зидова или подова од тих 75
76
Увод у рачунарске мреже
Увод у рачунарске мреже
1.15 Основе TCP/IP умрежавања
Шта се догађа када се укључи клијентски рачунар? Како он добија мрежни приступ? Сваки систем на мрежи, био он рачунар, штампач или неки други уређај, мора да има јединствену адресу преко које се може идентификовати. Код TCP/IP протокола, ова адреса је 32 битни број задат у облику четири броја од 0 до 255 одвојених тачкама. На пример: 169.254.0.0 Када се клијентски рачунар укључи треба му IP адреса. Администратор може ручно конфигурисати систем давањем статичких IP адреса. Али код великих мрежа, мануелно задавање статичких IP адреса сваком систему на мрежи би био превелики посао. Уместо тога систем може бити конфигурисан да добије IP адресу аутоматски. У том случају он захтева IP адресу од Dynamic Host Configuration Protocol (DHCP) сервера на мрежи. Према томе када се рачунар укључи, он тражи DHCP сервер. Да би се користиле динамичке IP адресе, потребно је да постоји DHCP сервер на мрежи од кога клијенти могу добити IP адресе. Када администратор поставља DHCP сервер он мора конфигурисати опсег адреса које могу бити изнајмљене клијентима на мрежи. Овај опсег адреса се зове "scope". Да би се видео scope на DHCP северу, потребно је улоговати се као администратор, затим бирати Start > Control panel > Administrative Tools > DHCP да би се отворио "DHCP" прозор за подешавање. Испод имена сервера, кликнути на "+" поред "Scope" а онда кликнути на "Address Pool" да би се видео опсег IP адреса у scope-у.
Слика 62
Администратор може мануелно конфигурисати клијент рачунар са IP адресом DHCP сервера. Но велике мреже могу имати неколико DHCP сервера, да у случају отказа једног, системи на мрежи могу прибавити IP адресу од неког другог DHCP сервера. Клијент рачунар може бити конфигурисан да прибави IP адресу DHCP сервера аутоматски. Да би конфигурисали DHCP код клијент рачунара: 1. Улоговати се као администратор на клијент рачунар 2. Бирати Start > Control panel > Network and Dial-up Connections 3. Десни клик на "Local Area Connection" и изабрати "Properties" у контекстном менију. Појављује се следећи прозор 4. Кликнути на "Internet Protocol (TCP/IP)" да Слика 63
77
78
Увод у рачунарске мреже
Увод у рачунарске мреже
би се селектовао. Затим кликнути на [Properties] тастер. "Internet Protocol (TCP/IP) Properties" дијалог се отвара :
себе, а системи на “исправном” делу мреже ће бити способни да комуницирају између себе. АЛИ ове две групе система неће бити способне да комуницирају међусобно. Да би се видела текућа IP адреса рачунара, бирати Start > Programs > Accessories > Command Prompt. У DOS прозору укуцати ipconfig . Ова команда ће вратити IP адресу и subnet маску.
5. Одабрати опције "Obtain an IP address automatically" и "Obtain a DNS server address automatically".
Кратко - потребан је мрежни пролаз (gateway) ако системи на једној мрежи треба да контактирају системе на другој мрежи. На пример ако је потребно да рачунари са мреже приступају Internet-у. Како DHCP сервер има ограничен опсег IP адреса које може доделити, он само изнајмљује ("leases") IP адресе. Да би се виделе све адресе тренутно изнајмљене од DHCP сервера, улоговати се као администратор, бирати Start > Control panel > Administrative Tools > DHCP да би се отворио "DHCP" прозор. Под именом сервера кликнути на "+" до "Scope" а онда на "Address Leases".
Слика 64 Сада је клијент рачунар конфигурисан да прибави IP адресу аутоматски, али не и да контактира DHCP сервер, него да користи Automatic Private IP Addressing (APIPA) да генерише своју сопствену IP адресу. APIPA генерише адресу између 169.254.255.255, са subnet маском 255.255.0.0.
169.254.0.0
и
Укратко - IP адреса има два дела, мрежни ID део и host ID део. Са APIPA они клијент рачунари који не могу контактирати DHCP сервер ће радити заједно и формирати њихову сопствену подмрежу (subnet). Сходно томе мрежни ID део IP адресе мора бити маскиран ("masked out").
Подразумевани период изнајмљивања је осам дана. После четири дана, клијент рачунар ће послати поруку DHCP серверу са захтевом за обнављање изнајмљивања. Ако клијент рачунар не може контактирати DHCP сервер, покушаће поново управо пред истек изнајмљивања. Ако дође до истека важења, клијент рачунар ће покушати да контактира DHCP сервер да би добио нову IP адресу. Ако не може контактирати DHCP сервер, враћа се на APIPA да генерише сопствену IP адресу. Трајање изнајмљивања као и остале ствари везане за DHCP сервер могу бити конфигурисане.
Након што је APIPA IP адреса креирана, клијент рачунар је емитује (broadcasts) у мрежу. Ако је таква адреса заузета, клијент рачунар генерише и емитује следећу IP адресу. APIPA је згодна јер допушта постављање једноставне мреже простим прикључењем система у hub. Али ако се APIPA не користи циљано, може изазвати проблеме и конфузију у отклањању проблема на мрежи (troubleshooting). То је због тога што ће системи који не могу контактирати DHCP сервер бити способни да комуницирају између 79
80
Увод у рачунарске мреже
1.16 TCP/IP скуп протокола Transmission Control Protocol/Internet Protocol (TCP/IP) је базиран на ARPANET-у, мрежи дизајнираној од U. S. Department of Defense Advanced Research Projects Agency 1969. -те. Њен циљ је био развој механизма за комуникацију између различитих оперативних система и мрежа. Како је TCP/IP протокол отвореног стандарда постао је индустријски стандард и користи се за Internet. TCP/IP скуп протокола уређују добровољне организације. Оне осигуравају да се TCP/IP развија конзистентно. Дефинисан је процес који дозвољава предлоге за додавање нових могућности или промену у скупу протокола. Предложена промена се публикује као Request For Comment (RFC) и разматра се од стране једне од организација за уређивање: � � � � � �
Internet Managing Organizations Internet Activities Board (IAB) Internet Engineering Task Force (IETF) Internet Research Task Force (IRTF) Internet Assigned Numbers Authority (IANA) Knowledge Required to be a Network Technician
Проучавање TCP/IP скупа протокола се може поделити у следеће секције: � � � � �
TCP/IP and the OSI model TCP/IP Addressing TCP/IP Protocols TCP/IP Utilities TCP/IP Configuration
Најзначајнији протоколи у TCP/IP скупу су :
Увод у рачунарске мреже
рачунара. На предајном крају он разбија ток података у сегменте. Изводи математичке операције над битима података у сегменту и прикачује резултат (зван контролна сума - checksum) сегменту. Након тога додељује редни број сваком сегменту како га шаље. TCP користи IP као транспортни механизам између два рачунара. На пријемном крају TCP чита checksum да утврди да ли је сегмент података оштећен. Враћа потврду сваки пут када се сегмент прими без грешке. А ко је грешке било сегмент се одбацује и не шаље се потврда пријема, што изазива изворни рачунар да поново пошаље сегмент. Ако је све у реду, чита се редни број и рекомпонује се првобитна порука. Ако сегмент који је стигао није по реду, пријемни рачунар зна да је још материјала на путу.
1.16.2 Internet Protocol (IP) IP је не-конекциони протокол који делује на мрежном слоју. На предајном крају он дели сегменте података у пакете и прикачује изворишну и одредишну адресу пакетима. Обезбеђује правила за рутирање пакета преко мреже. На пријемном крају рекомбинује пакете у сегменте података. Како је IP не-конекциони протокол, он не враћа потврду сваки пут када се пакет прими. Ослања се на TCP да изведе проверу грешке на транспортном слоју.
1.16.3 User Datagram Protocol (UDP) UDP је не-конекциони протокол на транспортном слоју. Користи се за временски критичне поруке. За разлику од TCP, он не враћа потврде доброг пријема. Зато се користи за слање порука које не захтевају гаранцију испоруке, као што су поруке које се користе за управљање мрежом или прикупљање статистике о раду мреже. UDP се може користити за аудио и видео комуникацију преко мреже.
1.16.1 Transmission Control Protocol (TCP)
1.16.4 Address Resolution Protocol (ARP)
TCP делује на транспортном слоју да обезбеди конекционо заснован (connection-based) протокол који омогућава поуздану доставу података. TCP отвара комуникациони тунел за оређени порт и услугу између два
Domain Name System (DNS) разрешава име домена и претвара га у нумеричку IP адресу. Да би се комплетирала комуникација, логичка IP
81
82
Увод у рачунарске мреже
адреса се мора пресликати у физичку MAC адресу. ARP пресликава логичку IP адресу у физичку MAC адресу. У унапред утврђеним временским интервалима (рецимо сваких 10 минута) ARP емитује IP адресе ка локалној мрежи. Мрежни уређај са сваком адресом реагује дајући своју MAC адресу. ARP меморише IP адресе и повезане MAC адресе у кеширану табелу тако да она може бити позвана касније. Ако је адреса коришћена унутар предефинисаног временског интервала, временски бројач (timer) за ту адресу се ресетује. Оне које нису ажурирају се код следећег емитовања (broadcast).
1.16.5 Hypertext Transfer Protocol (HTTP) HTTP је сервис апликационог слоја који омогућава комуникацију између корисничког Web претраживача (browser) и Web сервера. Користи се за трансфер докумената креираних помоћу језика: Hypertext Markup Language (HTML). Корисник може унети адресу документа звану Uniform Resource Locator (URL) у претраживачку апликацију. HTTP сервис на Web серверу ће вратити именовани документ. Сваки пут када је трансфер документа комплетиран, конекција се прекида. За трансфер другог документа, друга конекција мора бити успостављена. Документ може садржавати URL везе (links) унутар себе које могу иницирати трансфер звука, графике или видео садржаја.
Увод у рачунарске мреже
"Downloading" је појам који означава трансфер датотеке са удаљеног рачунара на сопствени рачунар. "Uploading" се догађа када корисник трансферише датотеку са свог рачунара на удаљени рачунар. FTP сервис надгледа порт 21 за захтеве.
1.16.7 Post Office Protocol (POP) POP је протокол за пренос e-mail порука са mail сервера на клијент рачунар. Последња верзија овог протокола је POP3. Користи порт 110.
1.16.8 Simple Mail Transfer Protocol (SMTP) SMTP је протокол за слање и трансфер e-mail -а. Може се користити за слање e-mail -а на SMTP сервер на мрежи или као e-mail прослеђивач (relay), за слање e-mail –а између SMTP сервера на Internet-у. Може се уредити да има "post office" (e-mail меморијски простор) у који доставља e-mail. Користи порт 25.
1.16.9 Simple Network Management Protocol (SNMP) SNMP је протокол који се користи за слање порука које прикупљају статистику и статусне информације од различитих уређаја на TCP/IP мрежи. Уређаји прослеђују информације рачунару конфигурисаном као мрежна управљачка конзола. Уређај може бити конфигурисан тако да кад неки параметар пређе одређени праг, порука упозорења буде послата management console -и. Поред ових постоје и други протоколи али се они много мање користе у пракси.
Сигурни HTTP (S-HTTP) и Secure Sockets Layer (SSL) су верзије HTTP-а који омогућавају сигуран трансфер докумената користећи методе шифровања (encryption).
1.16.6 File Transfer Protocol (FTP) FTP је сервис који може бити коришћен за трансфер датотека са једног на други рачунар. Уобичајена употреба FTP-а је када се софтвер на корисниковом рачунару користи да комуницира са FTP сервером на Internet-у. Неке од команди су нпр GET, PUT, BINARY и ASCII. 83
84
Увод у рачунарске мреже
1.17 IP адресирање
Увод у рачунарске мреже
1.17.4 Основни термини 1.17.4.1 Routing
Internet Protocol (IP) је протокол мрежног слоја који се користи да рутира пакете преко мрежа. IP протокол користи 32-битне адресе да дефинише адресе мрежних сегмената и чворова. Ако ће уређај бити конектован на Internet, адреса мора бити јединствена
1.17.1 Класе адреса InterNIC додељује блокове адреса дефинисане преко класа. (видети 1.12.5)
1.17.2 Subnet Mask (маска подмреже) Правила формирања ових маски зависе од класе адреса (видети 1.12.5)
1.17.3 Табела рутирања Routing протоколи омогућавају router са табелом мрежних IP адреса познат као routing table (табела усмеравања - рутирања). Ова табела се састоји од уноса (entries) са пет основних делова информације: � � � � �
Адресе рутера на које је директно повезан конектовани рутер. Адресе мрежа на које је повезан конектовани рутер. Адресе мрежа на које конектовани рутер може прослеђивати. Временски трошак или дистанца за коришћење те руте. Старост овог уноса у табелу.
Протокол рутирања одржава табеле рутирања динамички тако да администратор не мора да конфигурише сваку руту мануелно. Сваки рутер периодично емитује своју табелу ка свим конектованим рутерима. Ово се користи за изградњу иницијалне табеле рутирања и одржавање исте ажурном.
85
Када мрежни слој прими податке од слоја изнад он проверава одредишну адресу према својој табели рутирања да утврди који конектовани рутер може слати пакет на одредиште. Рутер утврђује најбољи пут за прослеђивање пакета користећи протокол рутирања као што је Open Shortest Path First (OSPF) или Routing Information Protocol (RIP). Hops (скокови) је број рутера кроз које пакет података мора проћи да стигне до одредишне мреже. Ticks (откуцаји) је време захтевано да би пакет података достигао одредишну мрежу, уобичејено мерено у јединицама 1/18 секунде. Да би се спречило да пакет путује бескрајно кроз мрежу ограничен је број hops -ова. Рутер може бити намењен као подразумевани мрежни пролаз (gateway). Посебни smart routers имају табеле рутирања са путањама ка свим мрежним сегментима на мрежи. Ако рутер није директно конектован на одредишну под мрежу, он може аутоматски проследити пакет ка smart router default gateway -у. Brouter (bridge/router) је уређај који делује као мост користећи MAC адресе да би филтрирао LAN саобраћај и као рутер користећи IP адресе за прослеђивање пакета. Brouter-и се често називају switch – евима (скретницама) слоја 2. Рутери су уређаји обично направљени као кутије које се могу паковати једна на другу или ладично постављиви (rack-mountable), са више мрежних конектора али без тастатура или монитора. Сервер може да функционише као рутер ако је опремљен са више NIC-ова и рутирајућим софтвером. Данас, многе различите врсте уређаја могу комуницирати на мрежи. Мрежни уређај може бити рачунар, рутер, штампач или неки од неуобичајених уређаја. Сваки уређај на мрежи који користи Internet protocol (IP) треба јединствену IP адресу. IP адреса је компонована од два дела, мрежног ID-а и host ID-а. Мрежни ID се користи да референцираодређену мрежу, а host ID се користи да 86
Увод у рачунарске мреже
Увод у рачунарске мреже
идентификује одређени уређај на мрежи. Сваки уређај на једној мрежи дели заједнички мрежни ID, али има јединствен host ID.
Број мрежних адреса је 2 097 152 Број host-ова 255
IP адреса је 32 битна. Да би је људи лакше читали разбијена је у 4 сегмента одвојена тачкама. Сваки сегмент је 8 битни, а то значи број од 00000000 до 11111111, или децимално од 0 до 255. На пример:
Две резервисане адресе су "broadcast" и "subnet". Host ID са свим преосталим јединицама одређује broadcast адресу. Нпр, пакет са адресом 198.122.19.255 ће бити послат свим host-овима на мрежи 198.122.19.0. Host ID са свим нулама одређује подмрежну адресу (subnet). Нпр, пакети са адресом 198.122.19.0 одређују подмрежу 198.122.19.0, а не ниједан одређени уређај. Уређају никад не треба одредити адресу код које ће host ID бити од свих јединица или нула.
192.122.19.215 Класа IP адресе дефинише колико је бита алоцирано за мрежни део адресе, а колико за host део адресе. 1.17.4.2 Класе IP адреса I. class A Мрежна адреса је 7 бита првог сегмента (први бит је за класу А увек 0). Преостала три сегмента (24 бита) су намењени за host адресе.
Број мрежних адреса је 127 Број host-ова 16 777 216 * * Две од ових су резервисане за посебне функције, па је тачније 16 277 214 host-ова.
1.17.4.3 Subnetting Свака класа IP адреса има специфични максимални број могућих мрежа, а свака мрежа максимални број host-ова. "Subnetting" означава ситуацију када се један део бита из host ID дела IP адресе користи за мрежни ID да би се омогућио већи број мрежа или "subnets" (подмрежа). Део host ID-а који се алоцира за подмрежни ID је дефинисан преко "subnet mask"-е. Та маска је, као и IP адреса, 32 бита дуга и подељена у 4 сегмента, сваки 8 бита дуг. Мрежни ID део IP адресе су све јединице у subnet маски. Host ID део IP адресе су све нуле у subnet маски. Нпр, претпоставимо да имамо IP адресу и subnet маску као ове у наставку: IP Address 192.122.19.215 subnet Mask 255.255.255.0
II. Class B Мрежна адреса је 14 бита прва два сегмента (прва два бита су увек 10). Преостала два сегмента (16 бита) су адреса host-а.
У бинарној форми то изгледа овако: IP Address 11000000.01111010.00010011.11010111 Subnet Mask 11111111.11111011.11111111.00000000
Број мрежних адреса је 65 383 Број host-ова 65 534
Да би се издвојио subnet ID изводи се логичка AND операција над истоположајним битима.
III. Class C Мрежна адреса је 21 бит прва три сегмента (прва три бита су увек 110). Преостали сегмент (8 бита) је host адреса.
87
IP Address 11000000.01111010.00010011.11010111 Subnet Mask 11111111.11111111.11111111.00000000 Subnet ID 11000000.01111010.00010011.00000000
88
Увод у рачунарске мреже
Зависно од класе IP адресе и subnet маске, може се издвојити максимални број подмрежа и host-ова из IP адресе. На пример ако је намењени опсег IP адреса 192.122.20.0 до 192.122.23.0, то допушта изградњу 4 мреже са 255 host-ова на свакој. У бинарној форми ове IP адресе су приказане на следећи начин: 11000000 . 01111010 . 00010100 . 00000000 11000000 . 01111010 . 00010101 . 00000000 11000000 . 01111010 . 00010110 . 00000000 11000000 . 01111010 . 00010111 . 00000000 Претпоставимо проблем да постоји 12 различитих физичких локација са 40 до 50 host-ова на свакој. Може се користити више мрежа и тада је само потребно адресирати 50 host-ова на свакој мрежи. Решење: узети прва два бита host ID сегмента сваке адресе и дефинисати их као подмрежну адресу. Овако се добија максимум од 16 мрежа са максимум 62 host-а по подмрежи. Подмрежне адресе тада постају: 192.122.20.0 192.122.20.64 192.122.20.128 192.122.20.192 192.122.21.0 192.122.21.64 192.122.21.128 192.122.21.192 192.122.22.0 192.122.22.64 192.122.22.128 192.122.22.192 192.122.23.0 192.122.23.64 192.122.23.128 192.122.23.192 subnet маска је тада:
255.255.255.192 89
Увод у рачунарске мреже
11000000.01111010.00010100.00000000 11000000.01111010.00010100.01000000 11000000.01111010.00010100.10000000 11000000.01111010.00010100.11000000 11000000.01111010.00010101.00000000 11000000.01111010.00010101.01000000 11000000.01111010.00010101.10000000 11000000.01111010.00010101.11000000 11000000.01111010.00010110.00000000 11000000.01111010.00010110.01000000 11000000.01111010.00010110.10000000 11000000.01111010.00010110.11000000 11000000.01111010.00010111.00000000 11000000.01111010.00010111.01000000 11000000.01111010.00010111.10000000 11000000.01111010.00010111.11000000 Значи од 4 мреже добијено је 16 подмрежа (свака мрежа има 4 подмреже, јер су узета 2 бита а 22=4 ). Прва подмрежа има host ID-ове у опсегу 192.122.20.1 до 192.122.20.63, друга у опсегу од 192.122.20.64 до 192.122.20.127. (треба имати у виду да све нуле или јединице нису дозвољене за host ID). Како је за host ID-ове остало 6 бита, то значи да 6 у свакој подмрежи може бити максимално 2 – 2 = 64 – 2 = 62 host ID-а. Рутер је мрежни уређај који се користи да усмерава пакете података на мрежи ка исправној подмрежи, где ће пакет наћи специфични host на који је и адресиран. Једном када су подмрежне адресе и подмрежна маска дефинисане, та информација се користи за конфигурацију рутера. Рутер користи табелу подмрежних маски да утврди којој подмрежи да усмери пакет.
1.17.4.4 Dynamic Host Configuration Protocol (DHCP) У раним данима TCP/IP –а сваки уређај на мрежи имао је на диску конфигурациони фајл који је администратор користио за мануелно задавање статичке IP адресе. Касније IP адресе и њихове придружене 90
Увод у рачунарске мреже
Увод у рачунарске мреже
MAC адресе су се мануелно задавале у централном конфигурационом фајлу на серверу, а сервис зван Bootstrap Protocol (BOOTP) је аутоматски придруживао IP адресе сваком уређају.
1. Када је клијент под напоном, његов NIC детектује мрежну конекцију па преко UDP протокола емитује DHCP истраживачки пакет тражећи IP адресу од DHCP сервера.
Данас мрежни администратор не мора да одржава IP и MAC адресно конфигурациони фајл на серверу. Сваком уређају на мрежи се аутоматски додељује јединствена IP адреса од стране Dynamic Host Configuration Protocol (DHCP). DHCP сервис се извршава на апликационом слоју OSI модела.
2. Сваки DHCP сервер у истој подмрежи као и клијент прима захтев и резервише IP адресу (једну из скупа могућих). Затим емитује поруку која садржи IP адресу, subnet маску, трајање изнајмљивања, и IP адресу DHCP сервера. Како клијент још нема IP адресу, DHCP сервер не може поруку слати директно њему.
Конфигурацијом DHCP сервиса, мрежни администратор одређује опсег адреса које могу бити изнајмљене и листу адреса које се не могу доделити (ако их има). Такође се може одредити дужина тра-јања изнајмљ-ених адреса од неколико мину-та до беско-начно.
3. Клијент реагује емитовањем поруке којом потврђује да је прихватио IP адресу. DHCP сервер прима потврду и одговара клијенту потврдом поруке.
Са DHCP-ом уређај позајмљује или изнајмљује (borrows or leases) IP адресу коју ће користити док је прикључен на мрежу. DHCP Слика 66 сервис одређује клијенту IP адресу када се логује на мрежу. Након што изнајмљивање истекне, клијент уређај неће више бити у могућности да се конектује на мрежу. Мрежни администратор може исфорсирати истек на серверу или корисник може то исто урадити на клијент уређају. Ако се истек догоди мора се спровести ново преговарање да би клијент могао да се веже на мрежу. Да би осигурао IP адресу, на пола времена до истека, клијент ће контактирати DHCP сервер са захтевом за обнављање трајања своје IP адресе. У преговорима клијент и сервер предузимају следеће кораке:
91
4. Сви остали DHCP сервери који су реаговали на клијентов захтев виде потврдну поруку и враћају резервисану IP адресу у скуп неискоришћених. IP адреса остаје у клијентовом TCP/IP подешењу и после искључења па IP адресу може користити за поновну конекцију када се укључи. Ново преговарање се догађа када дође до истека важења адресе. Када истекне важење адресе она се враћа DHCP-у у његов скуп доступних адреса. Да би се поништило TCP/IP подешење на рачунару под Windows -ом, у Command prompt -у укуцати: ipconfig /release и затим притиснути Enter. За добијање нове IP адресе прво се мора поништити стара додељена од DHCP. У Command prompt –у куцати ipconfig /renew . Након тога куцати: exit . 1.17.4.5 Automatic Private IP Addressing (APIPA) Шта ако је мрежа постављена да адресирање иде преко DHCP -а, али из неког разлога DHCP сервер није доступан? У таквој ситуацији сервис зван Automatic Private IP Addressing (APIPA) снабдева рачунар IP адресом аутоматски. Адреса се узима из опсега 169.254.0.0 до 169.254.255.255 а subnet маска 255.255.0.0 (подразумевајућа маска за класу B). IANA (Internet Assigned Numbers Authority) је резервисао овај скуп IP адреса за ову намену.
92
Увод у рачунарске мреже
Рачунар са IP адресом добијеном од APIPA може се само конектовати на друге уређаје у мрежи који користе адресе из APIPA опсега. Ово је употребљиво за отклањање проблема конекције у мрежи. Такође може бити употребљено за постављање peer-to-peer мреже без додељивања IP адреса статички, али то само ради на клијентима конфигурисаним да користе DHCP. Ако је IP адреса додељена статички, APIPA неће додељивати нову адресу. APIPA је обично омогућен подразумевано (enabled by default). Да би се ово проверило у Command prompt –у куцати ipconfig /all . Ако је Autoconfiguration Enabled опција постављена на Yes APIPA је омогућен. APIPA се може онемогућити едитовањем registry базе.
Увод у рачунарске мреже
1.18 Port-ови и Socket-и
Одређени рачунар конектован на Internet идентификован је својом јединственом IP адресом, међутим на рачунару се истовремено може извршавати неколико различитих Internet апликација, па се поставља питање како рачунар зна којој апликацији слати које податке? Преко њеног "port" броја. Апликације које се извршавају на рачунару комуницирају кроз портове (пролазе, врата). Податак који се преноси преко Internet-а носи 32-битну IP адресу која одређује одредишни рачунар и 16-битни број који идентификује port на том рачунару. Комбинација IP адресе и броја порта назива се "socket" (прикључак). Пар socket-а, један на предајном а један на пријемном рачунару јединствено идентификују одређену конекцију на Internet-у. На пример, стандардни порт за Telnet је 23. Приступ Telnet-у на host-у чија је IP адреса 63.134.203.222 се постиже socket адресом 63.134.203.222:23. Портови имају бројеве у распону од 0 до 65535. IANA (Internet Assigned Numbers Authority) је поделио ове бројеве у 3 групе: I. Well Known II. Registered III. Dynamic (или "Private") Ports.
Port 20 21 22 23 25 53 69 80 110 443
93
Process FTP FTP SSH Telnet SMTP DNS TFTP HTTP POP3 HTTPS
Description File Transfer Protocol – Data File Transfer Protocol - Control Secure Shell Terminal Emulation Protocol Simple Mail Transfer Protocol Domain Name System Trivial File Transfer Protocol Hypertext Transfer Protocol Post Office Protocol Hypertext Transfer Protocol - Secure
94
Увод у рачунарске мреже
Увод у рачунарске мреже
Портови од 0 до 1023 се зову Well Known портови и резервисани су од стране IANA за употребу од стране уобичајених TCP/IP апликација као што су HTTP, FTP и Telnet. У следећој табели дати су неки често коришћени бројеви.
1.19 TCP/IP Utilities
Registered портови су од 1024 до 49151. Registered портови нису резервисани од IANA и на већини система могу бити додељени процесима од стране систем администратора или програмера.
За TCP/IP постоји читав скуп разних алатки које техничари могу користити за уређивање мреже или отклањање проблема. PING (Packet Internet Groper)
Dynamic (or Private) портови су од 49152 до 65535. Додељују се случајно од стране рачунаровог оперативног система, па ако програмер изабере за употребу неки од ових портова , постоји ризик конфликта. Систем администратор може променити број порта придружен неком општем internet сервису као што је FTP и Telnet, због на пример безбедносних разлога. Хакер који напада мрежу тада се не може конектовати кроз уобичајени порт.
PING се користи за утврђивање способности комуникације између два host-а на мрежи. За тес-тирање конекције треба куцати PING а у наставку име или IP адресу другог host-а. Ако веза постоји, PING ће вратити време потребно за приј-ем повратне пору-ке од host-а. Ако веза не постоји, PING ће се одазвати Слика 67 извештајем који садржи неке информације које могу индицирати узрок проблема. Windows рачунари ће пренети четири PING поруке. Ако се хост не може добити, неки оперативни системи ће наставити са слањем пакета док се PING команда не озкаже или Control-C комбинацијом.
TRACERT (Trace Route) TRACERT се ко-ристи за праћење путање (route) из-међу два host-а на мрежи. Треба куцати TRACERT и у продужетку име или IP адресу другог host-а.
95
96
Увод у рачунарске мреже
Увод у рачунарске мреже
TRACERT ће излистати сваки рутер који се налази дуж пута између два host-а. Такође се саоп-штава број hops-ова између два host-а.
Слика 68
-a
(Adapter status)
-A
(Adapter status)
-c
(cache)
-n -r
(Names) (Resolved)
-R
(Reload)
-S
(Sessions)
-s
(Sessions)
Листа табелу имена удаљеног хоста (користећи његово име) Листа табелу имена удаљеног хоста (користећи његову IP адресу) Листа кеш имена удањеног хоста са IP адресама Листа локална NetBIOS имена Листа имена разрешена помоћу broadcast-а и преко WINS-а Брише и поново учитава табелу кеша имена удаљеног хоста Листа табелу сесије са одредишном IP адресом Листа табелу сесије преводећи одредишне IP адресе у имена хостова преко датотеке хостова
NETSTAT (Network Statistics) NBTSTAT (NetBIOS Test Status) NETSTAT [-a] [-e] [-s] [-p proto] [-r] [interval] NBTSTAT се користи за отклањање проблема са NetBIOS именима када се NetBIOS користи преко TCP/IP -а. NetBIOS кеш имена листа NetBIOS имена и повезане IP адресе. Ако на рачунару LMHOSTS датотека има уносе са #PRE ознаком (tag-ом), онда су ови уноси већ учитани (preloaded) у NetBIOS кеш; NetBIOS имена и повезане IP адресе могу такође бити обезбеђени од WINS сервера. NBTSTAT команда се може искористити да прикаже или испарави уносе у NetBIOS кешу имена.
-a -e -p -p proto
Синтакса: NBTSTAT [-a RemoteName] [-A IP address] [-c] [-n] [-r] [-R] [S] [interval]
RemoteName – Име удаљеног host-а. IP address - IP адреса. interval – Ре-приказ изабране статистике, са паузама секунди између приказа. Ctrl-C за стопирање приказа.
97
-r -s
interval
Приказује све конекције и ослушкиване портове Приказује Ethernet статистику. Може се употребити са -s опцијом Приказује адресе и порт бројеве у нумеричкој форми Приказује конекције за протокол одређен са proto: proto може бити TCP или UDP. Ако се користи са -s опцијом за приказ per-protocol (по протоколу) статистике proto може бити TCP, UDP или IP Приказује табелу рутирања Приказује per-protocol статистику. Подразумевано статистике се приказују за TCP, UDP и IP; -p опција се може користити за одређивање подскупа од подразумеваног скупа Број секунди између два приказа. Ctrl-C за стопирање. Ако се изостави, информација се приказује једном.
98
Увод у рачунарске мреже
NETSTAT се користи да прикаже стање активности свих портова на радној станици или серверу. NETSTAT даје листу свих мрежних процеса који се извршавају на рачунару. Ако треба пратити конекциону активност треба укуцати команду праћену бројем секунди између два приказа.
Увод у рачунарске мреже
/all /batch [file] /renew_all /release_all /renew N /release N
Приказује детаљну информацију Пише у датотеку или ./WINIPCFG.OUT Обнавља све адаптере Поништава све адаптере Обнавља адаптер N Поништава адаптер N
IPCONFIG (Internet Protocol Configuration) IPCONFIG се користи да прикаже TCP/IP конфигурацију рачунара. Пример је дат на следећој слици. Адаптер 0 је Dial-up Adapter (modem) конектован на Internet. Адаптер 1, мрежној интерфејс картици је додељена IP адреса и подмрежна маска, али не и подразумевани мрежни пролаз (default gateway). Ово значи да рачунар може комуницирати само са другим уређајима на својој локалној мрежи. IPCONFIG команда може да се зада са неколико command-line switches (опција) да би омогућила различите детаље. Може се користити /? switch за преглед опција. Обнављање (renew) изазива да TCP/IP конфигурација буде поништена; host ће тада затражити нову конфигурацију. Опци-ја release ће поништити конфи-гурацију без тражења нове. /renew N и /Release N опције се могу користити за измену конфигураци-је једног мрежног адаптера у host-у са више мрежних адаптера. /ALL опција приказује IP адресу, подмрежну маску, подразумевани мрежни пролаз, MAC адресу, DHCP статус, WINS сервер и DNS сервер. Информација може скроловати DOS прозор. Да би се ово спречило треба докуцати |more параметар команди. IPCONFIG Switches 99
Може се такође користити /batch switch за писање информације у датотеку или користити WINIPCFG програм, Windows верзију алата IPCONFIG.
Слика 70
ARP (Address Resolution Protocol) TCP/IP host-ови користе ARP за повезивање логичких IP адреса са MAC адресама. ARP алат се може користити за приказ, додавање, измену или брисање ARP уноса у ARP кешу рачунара.
ARP -s inet_addr eth_addr [if_addr] ARP -d inet_addr [if_addr] ARP -a [inet_addr] [-N if_addr] 100
Увод у рачунарске мреже
-a
-g inet_addr -N if_addr -d -s
eth_addr if_addr
Приказује текуће ARP уносе испитујући текуће податке протокола. Ако је inet_addr одређена, IP и физичка адреса се приказује само за тај рачунар. Ако се користи више мрежних интерфејса који користе ARP, уноси за све ARP табеле се приказују Исто као –a Одређује Internet адресу Приказује ARP уносе за мрежни интерфејс одређен са if_addr Брише host одређен са inet_addr Додаје host и веже Internet адресу inet_addr са физичком адресом eth_addr. Физичка адреса је дата као 6 хексадецималних бајтова одвојених цртицама. Унос је трајан. Одређује физичку адресу Ако је присутанодређује Internet адресу интерфејса чија табела транслације адреса треба да се мења. Ако није присутан користи се први интерфејс
Увод у рачунарске мреже
Command Change directory Copy file Delete a file List directory contents Make a directory Rename a file Delete a directory
UNIX Cd Cp Rm Ls mkdir Mv rmdir
Док је конектован, рачунар ради као глупи терминал. Ово значи да он не користи ниједну од својих могућности, већ да делује само као тастатура са монитором повезана на host. Telnet има репутацију спорог алата, тако да се мора мало чекати на реаговање сервера. Telnet сајтови очекују да се извршава софтвер за емулацију терминала који може емулирати VT100 терминал. Неки Telnet сајтови не прихватају стандардни VT100 ENTER key, што резултује појавом ^M знака када се притисне ENTER. Telnet програм стога треба да има могућност измене ENTER тастера. Уобичајено је да, Telnet сајт поседује menu prompts (мени ставке) које објашњавају како да се изађе са сајта.
Telnet (Telephone Network) Telnet се користи да омогући емулацију терминала за даљински приступ Unix уређају на TCP/IP мрежи. Рачунар тада делује као терминал повезан преко телефонске линије на удаљени host. Тада се могу извршавати команде на удаљеном рутеру или рачунару. Telnet користи port 23. Да би се користио Telnet за приступ Internet-у, прво се ради dial up Internet Service Provider –a (ISP) или online service -а. Затим се куца telnet и URL удаљеног сервера у DOS prompt-у. Када се client-server Telnet сесија успостави, сервер ће затражити User ID и password. Удаљени сервер можда користи UNIX. UNIX је case sensitive (разликује велика и мала слова). То значи да се морају користити UNIX команде и правила. Затим се куцају команде.
У следећој табели дат је упоредни приказ неких DOS и UNIX команди.
101
DOS cd copy del dir mkdir rename rmdir
102
Увод у рачунарске мреже
1.20 Креирање Peer-to-peer мреже Многе организације, мале или средње велике се рву са Windows сервером и плаћају прекомерне лиценцне дозволе и када немају потребе за нечим таквим. Наравно, сервер обезбеђује централизовану администрацију безбедности, али да ли је то заиста ефикасније? Конфигурација peer-to-peer или "workgroup", често може понудити сву сигурност и функционалност која се захтева, са мање трошкова и мање “експертским” администратором. Уствари, могуће је да сваки корисник администрира свој рачунар. Microsoft тврди да је конфигурација workgroup ефикаснија за окружења са 10 или мање радних станица. Ово не значи да та конфигурација неће радити задовољавајуће и у мрежама са 100 или више радних станица. Међутим, мреже са више од 10 радних станица треба да имају једну личност као администратора. Наравно у овом случају, уместо да седи за једним сервером, администратор би морао да се креће од машине до машине. Мало рекреације није на одмет! Мрежа peer-to-peer дозвољава коришћење већине сличних могућности као и сервер мрежа. Сваки рачунар може радити и као клијент и као сервер те делити датотеке и хардверске ресурсе као што су штампачи и CD-ROMови. Microsoft Internet Information Server (IIS) може бити инсталисан на радној станици и извршавати Active Server Pages (ASP). Међутим на радној станици, IIS се инсталира као Personal Web Server (PWS), што је лимитирано на 20 истовремених конекција. Ако се очекује више од тог броја, треба користити Apache Server радије него IIS.
Увод у рачунарске мреже
за мрежу. Када рачунар или кабл не функционише, коришћење hub-а дозвољава остатку мреже да ради без проблема. Када се инсталира мрежни хардвер, мора се извршити инсталација и конфигурисање мрежних протокола и сервиса. Нпр када Windows 2000 иницијално детектује мрежни адаптер, он креира local area network (LAN) конекцију у Network and Dial-up Connections folder -у. Internet Protocol (TCP/IP) се инсталира као мрежни протокол.
Креирање Peer-to-peer мреже Прво проверити да ли су потребни мрежни протоколи и сервиси инсталирани. 1. улоговати се као администратор. 2. бирати Start > Settings > Network and Dial-up Connections. 3. десни клик на "Local Area Connection". 4. бирати "Properties" у менију који се појави. 5. у "Local Area Connection Properties" дијалогу, проверити да ли је инсталирано: - Client for Microsoft Networks - File and Printer Sharing for Microsoft Networks - Internet Protocol (TCP/IP)
Са peer-to-peer мрежом, перформансе радне станице могу деградирати када друга радна станица приступа њеним ресурсима. У таквој ситуацији треба поставити често коришћене дељиве датотеке и дељене штампаче на радну станицу оног корисника који користи мање потенцијала рачунара и који неће осетити чести пад перформанси (нпр корисник који се већином бави уређивањем текста). Или да се једна радна станица посвети серверским пословима, дакле без свог директног корисника (chair-less workstation). Мрежни хардвер који захтева peer-to-peer је исти као и код сервер конфигурације. Сваки рачунар захтева мрежни адаптер и кабл за конекцију на hub. Hub служи као централизована дистрибутивна тачка
103
Да би рачунари могли контактирати један другог на мрежи, сваки мора имати јединствену IP адресу. Ако је рачунар подешен да добије IP адресу ауто-матски, он ће користити Automatic Private IP Addressing (APIPA) да генерише своју сопствену IP адресу. Ако је генерисана адреса већ употребљена од стране другог рачунара, рачунар генерише и емитује
Слика 71
104
Увод у рачунарске мреже
нову IP адресу.
Увод у рачунарске мреже
велика. Међу карактерима не може бити: ; : " < > * + = \ | ?. Подразумевано име је WORKGROUP.
Употреба APIPA –е није препоручљива због тога што генерише много мрежног саобраћаја када се рачунари стартују и због тога што прави troubleshooting мреже збуњујућим због тога што IP адреса радне станице није фиксна. Боље је доделити свакој радној станици статичку IP адресу. Да би се доделила статичка IP адреса: 1. 2. 3. 4. 5. 6.
улоговати се као администратор. Start > Settings > десни клик на "Local Area Connection". бирати "Properties" у менију. у "Components" листи, означити "Internet Protocol (TCI/IP)". клик на "Properties" тастер. у Internet Protocol (TCP/IP) Properties дијалогу, бирати опцију "Use the following IP address." Сада унети IP адресу. Нпр, може се доделити адреса 10.0.0.1 првој радној станици, 10.0.0.2 другој итд. 7. клик на "OK" тастер. 8. рестарт рачунара.
Након што су мрежни протоколи и сервиси инсталирани, сваки рачунар се мора придружити радној групи. Да би се придружио, рачунар мора имати јединствено име. То име је креирано када се нпр Windows 2000 иницијално инсталира. Ако сваки рачунар нема јединствено име, улоговати се као администратор и променити име рачунара. Да би се рачунар придружио workgroup –и: 1. улоговати се као администратор. 2. Start > Control Panel. Дупли клик на "System". 3. бирати "Network Identification" картицу, клик на "Properties" тастер. 4. у "Member of" секцији, одабрати "Workgroup" опцију и унети име workgroup –е којој рачунар треба да се придружи. Клик на "OK" тастер. Напомена: Име workgroup-е не може бити исто као име рачунара. Име workgroup-е треба да има 15* карактера или мање а сва слова су
105
* Код TCP/IP протокола име рачунара може бити 63 карактера дуго, али је сигурније 15 или мање у случају да рачунар треба да комуницира са другим без TCP/IP -а. Напомена: Ако је рачунар био члан домена пре него је придружен workgroup -и, биће раздружен од домена и рачунаров домен налог ће бити онемогућен (disabled). Рачунар треба рестартовати да би се придружио радној групи. Свака радна станица мора имати Local_user налог конфигурисан за појединца који ради на тој радној станици. Такође мора бити кофигурисан Local_user налог (account) за сваког корисника који има потребу да приступа ресурсима на том рачунару. Да би се додао Local_user налог на радној станици: 1. 2. 3. 4.
улоговати се као администратор. десни клик на "MyComputer" бирати "Management" у менију. у левом панелу "Computer Management" прозора, проширити "Local Users and Groups". 5. десни клик на "Users" фолдер и бирати "New User..." у менију. 6. у "New User" дијалогу унети User name и Password за налог.
Да би се приступило ресурсима на некој радној станици преко мреже, не само да на тој радној станици мора бити отворен налог за корисника који приступа, већ тај ресурс мора бити означен као дељив (shared). Корисник може изабрати да дели сваки ресурс за који има овлашћење да га дели. Администратор има права да дели сваки ресурс. Да би се делио фолдер на радној станици: 1. 2. 3. 4. 5. 6.
улоговати се као администратор. десни клик на фолдер који треба делити. бирати "Sharing..." у менију. у Properties дијалогу, бирати "Sharing" картицу. укључити "Share this folder" опцију. бирати "Security" картицу. 106
Увод у рачунарске мреже
7. додати "Everyone" групу и подесити права приступа за ту групу. 8. клик на "OK" тастер. Постоји неколико метода за кориснике да лоцирају дељиве ресурсе. За брзи приступ, корисник може мапирати мрежни drive (диск) на који се често конектује. Овим се додељује диск слово за дељени фолдер правећи од њега привидни локални ресурс. Дељени ресурси се такође могу лоцирати претраживањем мреже (browsing the network). Да би се приступило дељеном фолдеру на другом рачунару: 1. дупли клик на My Network Places. 2. дупли клик на име рачунара у коме је лоциран дељени фолдер. 3. дупли клик на дељени фолдер да би се отворио. Сврха рачунарске мреже је дељење ресурса. Важан део дељења је заштита од приступа неауторизованих корисника. Комбинацијом конфигурације Local_user налога и resource sharing -а, захтевана безбедност може бити достигнута са peer-to-peer мрежном конфигурацијом. Мале и средње организације не треба да плаћају скупе лиценце нити да држе врхунске експерте, што захтева администрирање Windows сервера.
Увод у рачунарске мреже
1.21 DNS
Шта се догађа у тренутку када се кликне на web адресу у претраживачу? Како се рачунар конектује на Web сајт који је захтеван? Део тих догађања одређује Internet’s Domain Name Service (DNS). Слично као што сваки телефон има јединствен број, сваки Web сајт или „domain“ на Internet-у има јединствену Internet Protocol (IP) адресу. Како људи имају проблема са памћењем 12 цифара, web сајтови се идентификују именима као што је нпр www.sitename.com уместо одговарајуће IP адресе. DNS је база података имена домена и њихових одговарајућих IP адреса. У почетку, сваки рачунар на Internet-у је имао листу свих имена домена и њихове IP адресе. Но то је убрзо постало незграпно. Сада базу података имена домена и транслацију име домена - IP адреса изводе рачунари постављени као DNS сервери. Сваки DNS сервер има податке само о доменима које он опслужује. Када рачунар направи захтев ка свом DNS-у, могуће је да DNS сервер нема податке којима би задовољио захтев. Посебни „root name“ (root-корен, name-име) сервери држе листу DNS сервера за top-level домене, као што су .com, .org, .edu итд. Нпр, top-level DNS за .com има листу DNS сервера за имена домена која завршавају са „.com“. Ако DNS сервер нема податке да одговори на захтев, он прави захтев ка root-name серверу. Овај сервер ће вратити адресу DNS сервера где податак може бити нађен. Свако име домена на Internet-у се мора наћи у листи на минимум 2 DNS сервера. То је стога што се може десити да један DNS сервер није у погону. DNS такође изводи транслацију IP адресе у име домена. Ово чини могућим за сервере да воде дневник приступа и за администраторе да изводе извесне административне и безбедносне задатке. Комуникационе информације преко Internet-а се разбијају у пакете од стране Transmission Control Protocol (TCP). TCP прикачује IP адресу захтеваног домена сваком пакету тако да они могу бити рутирани ка домену. TCP такође прикачује IP адресу рачунара који је направио захтев, пакетима тако да одговори могу бити рутирани назад. Значи web адреса се преводи помоћу Domain Name Service –а у IP адресу. Тиме се само иницира пренос. А да би се он и одиграо на сцену ступају рутери.
107
108
Увод у рачунарске мреже
Увод у рачунарске мреже
2.1 Инсталација мреже
II
Већина мрежних административних послова је понављајућа и досадна активност. Али пројектовање и инсталирање нове мреже је сасвим супротан задатак. Инсталација нове мреже може се поделити у три фазе: пројектовање, имплементација и отклањање проблема (troubleshooting). Прва и најважнија фаза у процесу инсталисања нове мреже је фаза пројектовања (design phase). У наставку је дата графичка компарација количине времена и новаца потрошених на добру (good) и лошу (poor) инсталацију мреже.
2.1.1 Трошкови нове мреже
Слика 72
Пракса
109
Најважније разматрање у фази пројектовања је сврха, тј намена мреже. Задатак мрежног пројектанта је да транслира пословне захтеве у одговарајући хардвер и софтвер. Без обзира колико је пројекат нове мреже фантастичан, ако не прати пословне потребе, он је чист губитак и времена и новца.
Осим ако је буџет нелимитиран, пројектант мора доказати менаџерима организације да ће реализација тог пројекта обезбедити користан поврат инвестиције (return on investment ROI). У случају рачунарске мреже, ROI може бити мерен преко повећања продуктивности запослених или преко побољшања услуга крајњим корисницима. Трошак за нову мрежу може се поделити у три категорије као што је приказано у наставку.
110
Увод у рачунарске мреже
I.
� � � � II.
Нови хардвер и софтвер. Унапређење постојеће мреже да задовољи захтеве интеграције. Инсталација. Тренинг (обука) корисника. Амбијентална опрема као што су клима уређаји и одстрањивачи влаге. Лиценце за оперативни систем и апликациони софтвер.
Фиксни , непознати. � �
III.
тражити хардверско, софтверско или управљачко (firmware) унапређење (updates) да би се интегрисала са новом мрежом?
Фиксни , познати � �
Увод у рачунарске мреже
Ако је постојећа мрежа баш застарела, захтеваће велики upgrading. Нпр интеграција нове 100 MHz мреже у постојећу 10 MHz мрежу може направити непредвиђено уско грло. Треба ли постојећој мрежи треба протокол update? Нпр да ли треба прећи са IPX/SPX на TCP/IP? Ове ствари треба завршити пре интеграције нове мреже. Треба користити само brand name компоненте за нову мрежу (од проверених произвођача). Компонента од непознатог произвођача може бити јефтинија, али да ли ће тај произвођач бити на тржишту за нпр годину дана, ако затреба резервни део или техничка подршка?
Тестирање и troubleshooting. Трошкови могућег нефункционисања постојеће мреже током процеса интеграције.
2.1.3 Пројектна чек листа
Текући. � � �
Додатна подршка која треба персоналу након интеграције нове мреже. Комуникациони трошкови. Да ли ће трошкови комуникације са удаљеним деловима WAN-а порасти? Да ли ће порасти трошкови због даљинског dial-in приступа? Трошкови пораста потрошње електричне енергије.
2.1.2 Пројектна разматрања Треба избегавати избор најновије технологије (leading edge technology). Нова технологија није у потпуности доказана у пракси и може имати грешке (bugs) или може бити екстремно тешко извршити интеграцију постојеће опреме. Може се десити да нова обећавајућа технологија не наиђе добар пријем па се брзо угаси, остављајући власнике без компатибилности и подршке. Ако баш мора да се иде на нову технологију, боље је испробати пилот пројекат. Ако нова мрежа треба да се интегрише у постојећу, да ли постоје проблеми компатибилности? Многе постојеће мреже имају проблем перформанси или повремене падове (failures). Ови проблеми се морају узети у обзир код пројектовања нове мреже. Хоће ли постојећа мрежа
111
Мрежа (Network) �
Који оперативни систем ће се користити
�
Колико ће бити радних станица
�
Где ће корисници бити лоцирани
�
Колико је потребно сервера
�
Да ли ће требати нови штампачи или модеми
�
Да ли је потребно мрежу разбити у сегменте или подмреже? Боље је касније уштедети време и новац, планирајући сада неизбежна мрежна проширења која ће пратити раст компаније
Објекти (Facilities) �
Размотрити план зграде и спратова ради утврђивања тачне локације где ће бити смештена нова опрема. Постојећи планови каблирања могу бити нетачни.
112
Увод у рачунарске мреже
�
Поставити мрежну опрему у закључану просторију да би се избегла крађа.
�
Проценити температуру и влажност окружења у коме ће бити опрема. Да ли су ови параметри у оквиру толеранције спецификоване за опрему?
�
Хоће ли опрема бити лоцирана у просторима у којима је доста прашине, прљавштине, уља или масноће као што су производни погони. Можда је потребно купити индустријску (industrial grade) опрему. Направити услове за заштиту опреме и осигурати често превентивно одржавање.
�
�
Хоће ли опрема или каблови бити лоцирани у близини електричне опреме која може узроковати струјне ударе, пренапоне или EMI (електромагнетну интерференцију). Опрема велике снаге као што су велики електрични мотори или опрема за грејање може изазвати струјне ударе или пренапоне. Високонапонски уређаји као што је флуоресцентно светло или микроталасне пећи могу генерисати EMI. Користити заштитне уређаје преко којих се добија напајање из мреже (нпр НФ филтре) или Uninterruptible Power Supply (UPS) за заштиту од напонских скокова (spikes) и струјних удара. У околини са јаким EMI -јем, користити Shielded Twisted Pair (STP), COAX или fiber optic кабл, а не стандардни Unshielded Twisted Pair (UTP). Проверити снагу електричне инсталације да би се проверила могућност напајања нове опреме.
Операције (Operations)
Увод у рачунарске мреже
разрешени пре него што се нова мрежа интегрише. У супротном може се направити безбедносна рупа током имплементације. �
Конвенција именовања (Naming Conventions). Осмислити конзистентна имена за мрежне ресурсе. Ако је шема именовања за постојећу мрежу неадекватна, успоставити нову конвенцију именовања на постојећој мрежи пре имплементације нове мреже.
Примена (Implementation) Ова фаза је заправо инсталација хардвера, софтвера и конфигурација NIC -ova и рутера. Планове направити за минимално време нерада постојећег система (system downtime). Може ли се интеграција извести преко викенда, празника или одмора? Може ли се интеграција извршавати постепено у фазама? Утврдити да се може контактирати произвођач опреме за техничку асистенцију током интеграције критичне опреме. Посетити произвођачев Web сајт због могућих last minute напомена и упозорења (у последњи час). Имплементациона чек листа: �
Инсталирати хардвер.
�
Покренути оперативни систем.
�
Конфигурисати протоколе.
�
Извршити IP адресирање и IP конфигурацију.
�
Заштита података. Направити план backup-овања. Наменити неку безбеднију локацију за одлагање backup медија.
�
�
Толеранција грешке. Колико дуго мрежа може бити ван погона пре него што изазове поремећаје у раду компаније? Да ли је брзи опоравак од критичне важности? Који ниво RAID-а је потребан?
Поставити налоге и лозинке. Некад је од користи поставити посебан налог за потребе тестирања.
�
Поставити print spooling (редове за штампу) и приступ штампачима.
Безбедност. Хоће ли бити потребан user_level или password_level ниво безбедности? Поставити политику лозинки (password policies). Безбедносни проблеми морају бити
�
Конфигурисати модеме и факс апликације.
�
Мапирати дељене директоријуме.
�
Инсталирати и конфигурисати апликациони софтвер.
�
113
114
Увод у рачунарске мреже
Део имплементације нове мреже је вођење документације. Направити или ажурирати план зграде и каблирања. Направити или ажурирати мрежне оперативне процедуре и водиче. Након имплементације нове мреже или интеграције у постојећу важно је надгледати перформансе мреже да би се осигурало да се није појавило неко ново непредвиђено уско грло. Надгледати ред штампе да се осигура да није ни превише мали ни превише валики.
Увод у рачунарске мреже
2.2 Одржавање мреже Backup (резервна копија) Врло је важно направити backup процедуру за мрежу. Та процедура треба да дефинише временски распоред и тип backup-а који ће креирати. Сваки backup диск или трака треба да буду јасно означени и уведени у дневник. Датотеке података треба да буду чуване чешће од програма. Обично само сервери бивају backup-овани. Подаци на радним станицама су чешће занемарени. Кориснике треба обучити да важне податке пребацују у дељени фолдер на серверу. Најпростији backup је копирање изабраних фајлова на медијум за backup. Копирање не поставља archive атрибут фајла. За регуларне планове backup-а постоје три типа backup-а: 1. Full backup (коплетни). Овим се backup-ују сви фајлови без обзира да ли су мењани или не. Атрибут archive се поставља за сваки фајл. 2. Incremental backup (инкрементални). Овим се backup-ују само фајлови мењани од последњег комплетног или инкременталног backup-а. Атрибут archive се поставља за сваки фајл који је backup-ван. 3. Differential backup (диференцијални). Као и претходни с том разликом што се не поставља атрибут archive. Медијуми за Backup Мала количина података се може backup-овати на floppy diskettes. CDW дискови су популарни као медијуми за backup за кућне кориснике или мале фирме. CD-W може меморисати до 700MB података. Најпопуларнији backup медијум је магнетна трака. Постоје три општа типа магнетних трака: � � �
115
Digital Audio Tape (DAT) има капацитет од 1 до 12GB. Digital Linear tape (DLT) има капацитет од 10 до 35GB. Quarter-Inch Cartridge (QIC) од 40MB до 25GB. 116
Увод у рачунарске мреже
Након снимања, backup медијум треба да се одложи на сигурно место. Најбоље место је отпорно и на пожар. Заштита од вируса (Virus Protection) Рачунарски вируси су програми креирани од социопатских програмера са намером да изазову штету на рачунару. Неки су само узрок мањих узнемиравања, као што је "ambulance" вирус, који приказује мали ауто хитне помоћи који пролази дуж дна монитора. Нажалост, већина вируса је деструктивна. Неки бришу податке са диска, или чак покушавају да форматирају диск, изазивајући губитак програма и подата. Много је различитих врста вируса. "Boot sector" вируси нападају master boot record (MBR) на диску, који је неопходан за старт рачунара. "Trojan horse" је програм који се представља као користан или интересантан, као нпр игра. Он опрезно оштећује или брише фајлове док је покренут. Да ли сте икад креирали макро радећи са word процесором тако што сте снимали притиске тастера? Ако примите word процесор документ прикачен на email, он може садржавати макро који је направљен да буде деструктиван. Више од 8.000 вируса је идентификовано до сада. Чак и фабрички запечаћен комерцијални софтвер је понекад био заражен вирусом. Постоји више добрих anti-virus програма на тржишту. Ови програми врше инспекцију критичног boot сектора на диску сваки пут када се рачунар стартује, али поред тога треба да се врши инспекција, тј комплетно скенирање (virus scan) сваки пут када се деси неки од следећих догађаја:
Увод у рачунарске мреже
Anti-virus Software Када први пут инсталирате програм за проверу вируса, он ће забележити информацију о свим важним системским фајловима. Ово се зове "inoculation" (калемљење). Када програм проверава вирусе, он ће упоредити системске фајлове са овим забележеним информацијама. Ако се ради update оперативног система, нпр са Windows 95 на Windows 98, програм ће подићи упозорење да се дешава измена системских фајлова. Како је ово очекивано, програму треба командовати да поново уради inoculate. Слика 73 Међу популарнијим аnti-virus програмима на тржишту су Norton Antivirus by Symantec и VirusScan by McAfee. Аntivirus програм тражи системске фајлове који су измењени и скенира их упоређујући измене са дигиталним потписима познатих вируса. Међутим, и до 200 нових вируса се открива сваког месеца, па је потребно стално вршити update програма. Данас сви програми за борбу против вируса имају могућност аутоматског update-а ако је рачунар конектован на Internet. Нпр Norton Antivirus LiveUpdate је бесплатан за прву годину. Ажурирање се може радити и download-ом virus signature update-а, који се онда може дистрибуирати радним станицама.
Исправке (закрпе) и занављања (Patches and Updates) 1.
2. 3. 4.
ако посудите диск од пријатеља, донесете диск кући из школе или канцеларије и убаците га у свој рачунар. Прво га скенирајте. логујете се на мрежу или download-ујете фајл са Internetа. примите e-mail са attachment-ом и отворите га. редовно планирано време за одржавање рачунара је стигло.
117
Позивом техничке подршке, произвођач може иденти-фиковати проблем код свог производа и развити софтверску закрпу (исправку, patch) да исправи грешку. Обично је patch доступан свакоме да га download-ује са произвођачевог Web сајта. Због тога треба бити информисан о појави таквих исправки. Пре аплицирања patch-а мора се прочитати напомена која иде уз исправку. Patch је обично развијен да омогући производу да ради са другим специфичним софтвером или хардверским уређајем. Ако производ ради исправно на мрежи на којој се не користе хардверски уређаји или софтвер за који је patch креиран, тада patch не мора ни 118
Увод у рачунарске мреже
бити аплициран. Али ако каснији patch треба да буде аплициран, прво се треба уверити у то да ли он захтева претходни patch да буде урађен. Треба стартовати са применом patch-а на лимитираном броју рачунара. Пре примене извршити backup сваког система који може бити поремећен ако има проблема са patch-ом. Ако је patch okay, применити га и на остале системе да сви имају исту ревизију производа. Нове верзије (Upgrades) Не мора се куповати свака нова верзија (release) коју произвођач пусти на тржиште. Ако нова верзија доноси нову функционалност која излази у сусрет потребама компаније, тада треба размотрити upgrade. Пуно пута се та активност мора урадити јер произвођач више не пружа подршку за стару верзију. Слично patch-евима, upgrade урадити лимитирано. Пре тога урадити backup. Ако је све у реду применити промене и на све остале системе. Flash Upgrades Flash upgrade је процес измене BIOS-а система. Обично се изводи са дискетама на којима је бинарни фајл са новим садржајем. Активност је критична јер у случају да се процес прекине рецимо због неисправности дискете, неће бити могуће стартовати рачунар. Треба негде сачувати и претходну верзију “за сваки случај”. Надгледање система (System Monitor) Редовно треба надгледати мрежу ради осигурања да она функционише ефикасно. Simple Network Management Protocol (SNMP) омогућава употребу agent програма за надгледање параметара на мрежним уређајима као што су hub-ови, bridg-еви и router-и. Могу се подесити прагови за параметре који се мониторишу. Када параметар достигне тај праг, agent шаље поруку рачунару који је изабран да буде SNMP network management console (мрежна конзола за управљање).
119
Увод у рачунарске мреже
2.3 Систем управљања променама у мрежи
Најдосаднији али и један од најважнијих задатака мрежног администратора је документација мреже. Ово Вас може спасти енормног утрошка времена и новца. Време које се потроши за документацију док се иде од станице до станице ће се вишеструко исплатити у будућности. Врло је тешко радити troubleshoot мреже док, и ако трагате за информацијама које су неопходне за схватање на који начин би требала да ради. Правилно документована мрежа треба да садржи следеће: � � � �
план спрата зграде и дијаграм каблирања конфигурације опреме инсталиране апликације лиценце, гаранције и информације о сервисним уговорима
Треба одржавати документациону базу података којој се може приступити преко мреже од стране мрежних техничара. Документација треба да постоји у обе форме: електронској и папирној (hard copy form). Ако је инсталација мреже у току, тражити да инсталатери мреже укључе цену документовања свог посла у крајњи износ. Спратни план треба да документује локацију сваког делића опреме. План каблирања се састоји од нацрта, описа ожичавања. Треба развити конзистентан систем обележавања бројевима ради идентификације опреме и каблова. Сви каблови треба да буду обележени (labeled) а њихова локација забележена у у спратном плану. Configuration Management (документовање конфигурација) Configuration Management представља одржавање записа о стању опреме и конфигурацији. Стање опреме је праћење које мрежне компоненте раде а које не раде. Нека опрема може бити послата на сервисирање. Друга пак може бити сервисирана без ношења али чека резервне делове.
120
Увод у рачунарске мреже
Увод у рачунарске мреже
Конфигурација укључује бележење типова мрежних адаптер картица, подешење ресурса као што је нпр IRQ I/O DMA, MAC и IP адресе, мрежни протоколи и редослед повезивања, кориснички налози на серверу, групе, профили и лозинке. Са таквом документацијом конфигурације опреме, она се може брзо оспособити за рад са минималним утрошком времена, у случају да дође до пада.
Конфигурациона табела мрежне компоненте
Change control (документовање и контрола измена)
Документација би требало да укључи све стандардне мрежне процедуре као што су backup рутине и дневници свих мрежних проблема. Дневници омогућавају да се утврди да ли проблем има историју и да се препознају трендови.
Change control означава чување забелешки о свакој измени направљеној на мрежи. Измене укључују инсталацију или замену мрежног адаптера, инсталацију или уклањање софтверских апликација и примену софтверских update-ова или service pac –ова. У већим мрежним окружењима постоји група која је задужена за измене. Онај ко жели неку измену прво попуњава формулар са захтевом (Change Request Form) који ће оценити група. Ту се наводи разлог за измену, датум и време када измена треба да се направи те који делови мреже ће бити искључени и колико времена.
� � � �
Произвођач, модел, серијски број BIOS firmware верзија Мрежна IP адреса Конфигурација
Но без обзира колико се јако трудили током времена документација постаје непрецизна и некомплетна. Стога једном годишње треба спровести audit (инвентар) читаве мреже.
На овај начин се спречава прављење измена у лету, успут него се прво разматрају консеквенце могуће акције. Са ваљаном документацијом и планирањем, може се ствар вратити назад ако нешто пође лоше. Осим тога на овај начин се читаво IT одељење упознаје са тим шта се догађа. Радна станица / Сервер конфигурациона табела � � � � � � � � � � � �
Серијски број Процесор BIOS тип и датум Сетовање ресурса као што су IRQ, I/O адресе, DMA RAM тип и капацитет Hard диск тип, капацитет и сетовање Остали меморијски уређаји Оперативни систем, верзија и patch ниво Апликације, локалне и мрежне Тип мрежног адаптера и IP адреса Мрежни протоколи и редослед повезивања Серверски налози корисника, групе, профили и лозинке
121
122
Увод у рачунарске мреже
2.4 Отклањање проблема у мрежи Када примите позив за техничку подршку, потребно је одмах увести проблем у дневник. Након што проблем буде решен, треба документовати решење. Често систем доделе приоритета који користе техничари за подршку је такав да се први приоритет даје ономе ко највише и најгласније запомаже. Сви корисници мисле да је њихов проблем највећи. Стога се мора развити систем који проблемима даје приоритете по важности и дефинише методе за решавање проблема. Да би се проблемима доделио приоритет потребно је проценити важност проблема и какав утицај има на мрежу. Проблем који спречава корисника да уопште ради је важнији од оног који кориснику привремено прави застоје. Проблем који постоји код дељеног ресурса на мрежи је важнији него проблем само једног корисника. Организација обично има два нивоа техничке подршке. Први ниво су мање искусни техничари који се баве свим примљеним позивима. Ако је могуће они ће покушати да реше проблем телефонски. Ако не могу тако, онда ће посетити проблематично место. Ако проблем не могу да реше техничари првог нивоа, проследиће га другом нивоу. Техничари другог нивоа имају више знања и искуства. Проблеми радне станице Највише позива за подршку долази због грешака које праве корисници. Први корак у решавању проблема је да се утврди да ли је проблем изазван корисничком гешком или је системски проблем. Да ли је можда корисник поновио грешку? Улоговати се на исту радну станицу и видети да ли може да се описани проблем поново изазове. Улоговати се на другу еквивалентну радну станицу да се утврди да ли је проблем лимитиран само на проблематичну радну станицу или је присутан код свих радних станица.
Увод у рачунарске мреже
задатак. Не преузимајте на себе да кориснику доделите већа права додавајући га другој групи или му дајући статус администратора. Теже је решити проблеме који се не понављају. Ако је проблем привремен, упутите корисника да када се проблем други пут деси, запише тачан редослед догађаја који су се одиграли баш пред појаву проблема. Корисник би требало да забележи било коју поруку грешке која се појави. Пре него што уложите пуно времена у тражење решења, прелистајте дневнике са забележеним проблемима и решењима. Могуће је да тај проблем има своју историју. Многи проблеми имају бројне могуће узроке. Да би се проблем решио, увек прво проверити најпростије могуће разлоге. Пробајте решења почевши од најлакших. Ако је систем радио исправно након првобитног setup-а и конфигурисања, треба поставити питање: "шта је мењано "? Када се праве измене, радити само једну измену у датом моменту. Често измена која се направи у настојању да се проблем отклони резултује појавом другог проблема. Ако измена не реши проблем, вратити конфигурацију назад у стање у ком је била и пробати другу промену. Увек бележити сваки покушај решења и резултате те измене. Ове информације су потребне ако треба проследити проблем другом техничару или ако треба контактирати произвођача. Ако мрежа користи Windows оперативни систем, треба тражити од корисника да проба са рестартом. Често ова проста радња решава проблеме. Инсталирање нових верзија Windows апликација може направити проблеме. .DLL фајлови су дељени између Windows програма. Може се десити да буду замењени (overwritten) старијим или некомпатибилним фајловима са истим именом. Проблеми настали због вируса су незгодни за решавање јер се могу исказати и као хардверски и као софтверски. Ако је корисник недавно отварао e-mail attachment (прилог), download-овао неки фајл са Internetа или учитао неки нови програм на радну станицу или сервер, треба претпоставити вирус. Мрежни проблеми
Често, за оно за шта корисник мисли да је системска грешка буде резултат чињенице да корисник нема додељена права да обавља
123
Проблеми немогућности приступа мрежним ресурсима, e-mail –у или Internet-у су обично проблеми мрежне конекције. Проблеми кабла и 124
Увод у рачунарске мреже
Увод у рачунарске мреже
конектора су уобичајени. Други по учесталости су проблеми физичког слоја. Увек прво преконтролисати физичке конекције. Један начин за тест кабла је да се радна станица замени другом за коју се зна да је добра. Ако сада не постоји проблем, онда је проблем у радној станици, могуће у њеном NIC-у. Мрежни уређаји као што су hub-ови, bridg-еви и NIC-ови обично имају мале светлосне индикаторе који показују да конекција ради. Ако светла нема или ако га константно има, то може бити знак да нешто није у реду са конекцијом. Мрежни проблеми могу бити изазвани изменама направљеним у мрежној конфигурацији. Мрежа није конфигурисана прописно да види нови рутер или нову IP адресну конфигурацију. Ако проблем није локални за радну станицу или периферни уређај, биће потребно отклонити мрежни проблем (trouble shoot the network). Следећи алати се обично користе за те намене: �
�
�
�
�
Network Performance Monitors Windows NT -ов Performance Monitor пружа могућност мониторинга системских перформанси у real-time -у и идентификује уска грла у употреби CPU-а, употреби меморије или активностима I/O дискова. System Logs ако се сумња на мрежну грешку, може се проверити системски дневник. Не креирају се сви дневници подразумевано. Могуће је да треба конфигурисати систем да креира специфичне дневнике који су потребни. Windows NT поседује алат Event Viewer који омогућава преглед дневничких фајлова. Event Viewer омогућава избор типа догађаја за приказ. Могу се изабрати догађаји из посебног мрежног сегмента, мрежног уређаја или радне станице за одређени временски период. Crossover cable. ово је мрежни кабл са уврнутим предајним и пријемним жицама. Користи се за директну везу два рачунара по peer-to-peer правилима (без hub-а). Hardware Loop-Back. ово је конектор са предајним пиновима ожиченим директно на пријемне. Користи се са дијагностичким utility-ем за тестирање предајних и пријемних функција локалног уређаја. TCP/IP Utilities TCP/IP скуп протокола пружа бројне utilitie – који се могу користити код troubleshooting –а мреже: 125
• • • • • • •
SNMP PING NETSTAT NBTSTAT TRACERT IPCONFIG WINIPCCFG
Базе знања Многи снабдевачи дају базу знања која даје детаљне информације о њиховим производима. Microsoft има базу знања звану TechNet која поседује све врсте информација за Microsoft производе и документује познате проблеме са тим производима. Већина информација је доступна бесплатно online, а може се наручити месечни CD са више података. Произвођачи као што су Compaq и Intel су се удружили да пруже техничке информације о својим производима у Technical Support Alliance Network (TSANet). Web сајт је: www.tsanet.org. Телефонска техничка подршка Пре позива: 1. проучити све доступне информације 2. припремити детаљан запис сваког покушаног решења и резултате 3. све идентификације, серијске бројеве, лиценце и сервисне уговоре.
126
Увод у рачунарске мреже
2.4 Даљинско повезивање У традиционалном LAN-у, сви рачунари су повезани међусобно путем кабла. Они који хоће да раде код куће или им треба приступ компанијским подацима са удаљеног места, треба да приступе LAN-у. Удаљени систем може приступити LAN-у користећи Public Switched Telephone Network (PSTN). PSTN је регуларна телефонска линија, такође позната као Plain Old Telephone Service (POTS). Удаљени корисник са dial-up умрежењем бира телефонски број да успостави конекцију. Сервер на LAN-у има модем и софтвер за даљински приступ који ослушкује позиве, проверава корисника и омогућава приступ мрежи. Са изнајмљеном телефонском линијом, нема потребе да се бира телефонски број, јер је то стална ожичена (hard-wired) веза између две локације. Телефонска мрежа је пројектована давно пре рачунара да преноси глас. Звук гласа се конвертује у аналогни електрични сигнал. Рачунарске мреже раде са дигиталним сигналима. Modem (MODulate DEModulate) се користи за модулацију аналогног сигнала на такав начин да он носи дигиталну информацију. На пријемном крају аналогни сигнал је демодулисан и враћен на дигитални који користи рачунар. Када је модем инсталиран у рачунару, неки од ресурса као што су IRQ и I/O адресе морају бити конфигурисани. Када се користи екстерни модем конфигурише се серијски COM порт на који је модем прикачен. Интерни модем има on-board COM порт који треба конфигурисати. Пре појаве Plug and Play -а, џампери су се користили за конфигурацију. Са Plug and Play, све што треба да се уради је да се модем постави у одговарајући слот и стартује рачунар. Plug and Play оперативни системи ће детектовати нови хардвер и конфигурисати модем аутоматски. SLIP и PPP Пре World Wide Web -а, приступ Internet-у се обављао dialing-ом у Unix сервер на коме је постојао налог (shell account). Софтвер за емулацију терминала је омогућавао рачунару да функционише као глупи (неинтелигентни) терминал на удаљеном серверу. Сервер је радио сво процесирање и слао освежене слике монитора (screen updates) назад рачунару. Serial Line Internet Protocol (SLIP) се користи за конекцију рачунара на TCP/IP мрежу употребљавајући асинхрону везу као што је телефонска линија. SLIP врши учауривање (encapsulates) TCP/IP протокола за пренос преко модема. Рачунар је конфигурисан са IP 127
Увод у рачунарске мреже
адресом као регуларни Internet host који може бити конектован на друге рачунаре на Internet-у. Ово допушта извршавање мрежних апликација на рачунару. Једина разлика је да је SLIP конекција преко телефонске линије много спорија него директна конекција на Ethernet мрежу. Даљинска повезивост Са SLIP-ом мануелно се морају унети многи параметри. Предност Point to Point Protocol (PPP) је да он аутоматски преговара око конфигурационих параметара на старту сваке конекције. Док SLIP може учаурити само TCP/IP, PPP је multi-protocol транспортни метод који може такође учаурити TCP/IP али и IPX, NetBEUI и AppleTalk протоколе. PPP може оперисати са било којим DTE/DCE интерфејсом и може оперисати у оба мода: асинхроном и синхроном. PPP има три компоненте. Заснован је на High-Level Data Link Control (HDLC) структури оквира (frame structure), Link Control Protocol (LCP) који успоставља, конфигурише, одржава и завршава конекцију и Network Control Protocol (NCP) који успоставља и конфигурише неколико различитих протокола мрежног слоја. SLIP и PPP су по OSI моделу протоколи слоја везе података (Data Link layer protocols). Virtual Private Network (VPN) (привидна приватна мрежа) Са способношћу Internet-а да прави мале трошкове, многе компаније су имплементирале Virtual Private Network (VPN) која користи Internet као комуникационо превозно средство. Point-to-Point Tunneling Protocol (PPTP) је мрежни протокол који подржава multi-protocol VPN-ове. PPTP употребљава Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP) шифрирајуће алгоритме ради обезбеђења сигурног, лозинкама заштићеног приступа кроз тунел. Овим је омогућена удаљеним корисницима сигурна конекција и приступ корпоративној мрежи преко Internet-а. И Windows NT и Windows 98 имају могућност додавања PPTP -а.
128
Увод у рачунарске мреже
Увод у рачунарске мреже
III
3.1 Безбедност мреже
Безбедност мреже почиње од физичке сигурности. Мрежне компоненте као што су сервери, hub-ови и router-и треба да су лоцирани у осигураној просторији са опремом. Део физичког обезбеђења је и заштита кабловске инсталације од оштећења и електронског прислушкивања. Каблове треба проводити унутар зидова или по таваници а не да леже унаоколо по подовима. Тежи део је заштита радних станица због тога што су оне раштркане по згради. Једини начин заштите ове опреме је лимитирање приступа у зграду и постављање чувара или рецепционера на сваки улаз у зграду.
Модели безбедности Постоје два основна безбедносна модела: share-level security (на нивоу дељења) и user-level security (на нивоу корисника). Први начин захтева лозинку за приступ мрежном ресурсу. Могу се поставити две лозинке. Једна пружа пун read/write приступ а друга само read-only приступ. Други начин дозвољава приступ заснован на специфичним корисничким сигурносним налозима и групама којима корисник припада. Неке групе могу имати пуни приступ ресурсу. Друге групе могу имати read-only приступ истом ресурсу. Корисник може бити члан више група. Преко логујућих безбедносних догађаја може се креирати бележник, а затим се то може проучити да се утврди да ли је систем под нападом од неауторизованог извора. Лозинке (Passwords)
Безбедност 129
Безбедност се може повећати употребом добрих процедура за лозинке. Прва компонента те процедуре је да се захтева од корисника да креирају сигурне лозинке. Захтевати неки минимум броја карактера за лозинку. Већи број карактера даје већу безбедност. Такође употреба бројева заједно са словима повећава безбедност. Корисник не треба да
130
Увод у рачунарске мреже
има лозинку коју је лако погодити или се може наћи у речнику. Исфорсирати политику компаније која не дозвољава дељење лозинке. Сигурност је боља ако се лозинке мењају често. Конфигурисати систем тако да лозинке истичу периодично. Корисник се мора упозорити да промени лозинку пре истека. У супротном корисник не може више ући у систем.
Увод у рачунарске мреже
софтвер или комбинација. Без обзира што се firewall може користити за контролу саобраћаја између делова Intranet-а или између делова мрежа које припадају различитим компанијама, firewall-ови су обично употребљени за контролу саобраћаја између приватне мреже и Internetа. Ниједан одговоран мрежни администратор неће конектовати своју мрежу на Internet без постављеног firewall-а. �
Такође треба конфигурисати систем да закључа налог после извесног броја неуспелих логовања. Ово обесхрабрује хакере. Такође треба преименовати администраторски налог, у Unix-у, то је root account. Шифровање (Encryption) Шифровање користи тајни алгоритам назван кључ да промени податке тако да буду нечитљиви. Такви подаци се онда могу безбедно преносити преко јавних комуникационих линија без бриге због евентуалног прислушкивања. На пријемном крају тајни дешифрирајући кључ се користи да врати податке у оригинални облик да би били читљиви. Public-key шифровање користи два кључа, приватни (private) и јавни (public). За слање података користи се копија јавног кључа особе којој треба послати податке. Дешифровати се могу такви подаци само употребом пријемног приватног кључа. Firewalls Firewall је хардвер и/или софтвер који поставља сигурносну баријеру између дотичне мреже и екстерних мрежа (најчешће Internet-а). Пакет филтрирајући firewall испитује сваки пакет да утврди да ли се може пустити да пролази кроз мрежу. Сервер се може конфигурисати као proxy да креира firewall. Када радна станица жели комуникацију са Internet-ом она прво мора послати захтев proxy серверу. Сва комуникација између интерне мреже и Internet-а мора проћи кроз proxy сервер. Како Firewall ради ? Firewall пружа сигурност контролишући приступ између посматране мреже и несигурне мреже (untrasted). Он може допустити или блокирати саобраћај из или у посматрану мрежу. То може бити хардверски уређај, 131
�
једна од користи firewall-а је да омогућује једну тачку администрације (single point of administration) за уређење безбедности мрежног саобраћаја firewall је добар за држање уљеза изван мреже, али корисник унутар мреже може с намером download-овати податке који садрже вирус, а firewall не може пружити заштиту од (свих) вируса.
Постоје четири типа firewall -ова. I. II. III. IV.
Packet-filter Circuit-layer Application-layer Stateful Inspection
Proxy Server Proxy сервер је host који омогућава да више рачунара повезаних у LAN могу да приступе спољашњој мрежи као што је Internet. Proxy сервер показује само своју сопствену IP адресу спољној мрежи, те стога делује као proxy (заступник) за рачунаре на LAN-у. Процес промене индивидуалне IP адресе рачунара са LAN-а на једну IP адресу зове се Network Address Translation (NAT). Због тога што Proxy сервер скрива индивидуалне IP адресе са LAN-а, он изводи неке функције као и firewall, али proxy сервер не блокира приступ мрежи; firewall блокира приступ и може омогућити proxy функцију извршавајући NAT. Неки други мрежни уређаји као што су router-и, реализују firewall функционалност јер имају packet-filtering способност.
132
Увод у рачунарске мреже
I. Packet-Filter Firewall (пакетни заштитни зид) Прва развијена firewall технологија је била packet-filter. Она анализира мрежни саобраћај на транспортном слоју OSI модела. Сваки IP пакет се испитује да се види има ли поклапања са правилом које дефинише који подаци могу пролазити мрежом. Правила су конфигурисана од стране мрежног администратора. Када се конфигурише филтрирање, подразумевано је да све буде блокирано, па се стога мора донети одлука шта је дозвољено да прође кроз firewall. Правила су заснована на информацији која се налази у заглављу пакета. � � � � � � �
изворишна IP адреса одредишна IP адреса тип транспортног слоја (TCP или UDP) изворишни порт транспортног слоја одредишни порт транспорног слоја физички мрежни интерфејс кроз који пакет стиже физички мрежни интерфејс кроз којипакет одлази
Packet-filter firewall -ови често ре-адресирају пакете тако да се чини да одлазни саобраћај потиче од другог host-а, а не из оригиналног. Тај процес се назива "network address translation" (NAT). NAT скрива шему адресирања приватне мреже од непроверених мрежа. II. Circuit-Level Firewall (конекциони заштитни зид) Circuit-Level firewall потврђује TCP и UDP сесије пре отварања конекције или кола (круга) кроз firewall. Он проверава заглавље информације у сваком пакету према правилима да утврди да ли предајни host има дозволу да шаље податке а пријемни рачунар да прима податке. Ако је конекција дозвољена, сесија се успоставља. Firewall одржава табелу валидних конекција и омогућава подацима да прођу, само када се сесионе информације поклапају са неким од уноса у табелу. У табели, се типично чувају следеће информације о сесији: � � �
Јединствени сесиони ID Стање иницијализације, успостављања или затварања конекције Изворишна IP адреса 133
Увод у рачунарске мреже
� � � �
Одредишна IP адреса Секвенциона информација Физички мрежни интерфејс преко којег пакет стиже Физички мрежни интерфејс преко којег пакет одлази
Када је сесија готова, конекција се затвара и дати унос у табелу се брише. Овај firewall може извршити проверу с циљем да утврди да ли је мрежни пакет био "spoofed" (обмана, превара)(да ли је фалсификован или је лажни). Такође може извршавати NAT ради скривања шеме адресирања интерне мреже. III. Application-Layer Firewall (апликациони заштитни зид) Овај firewall изводи сигурносне провере на пакетима у слоју апликација. Може потврдити сигурносне објекте који се појављују само код података апликационог слоја, као што су лозинке. IV. Stateful Inspection Firewall (заштитни зид потпуне провере стања) Firewall може надгледати угрожавајуће активности, као што је систематско сондирање (истраживање) адреса са LAN-а, и креирати филтрирајуће правило у току рада ради блокирања будућих сондирања из угрожавајућег извора. Он такође може водити дневник таквих сумњивих напада, а неки могу чак послати упозорење о нападу систем администратору. Креирање DMZ Корпорација може имати LAN и Web сајт. Мрежни администратор треба да конфигурише ниво сигурности који дозвољава непознатим hostовима са Internet-а да приступају Web сајту а да конфигурише много виши ниво сигурности да спречи могућност да се са Internet-а приступи приватном корпоративном LAN-у. Firewall се може искористити да обезбеди два различита нивоа сигурности. Простор између нижег нивоа сигурности и вишег нивоа се означава као DMZ, од фразе Demilitarized Zone (демилитаризована зона). 134
Увод у рачунарске мреже
Увод у рачунарске мреже
Компромис у избору типа Firewall-а
Како раде програми за разбијање лозинки
Када се бира тип firewall-а, мора се правити компромис између сигурности и перформанси. Packet-Filter firewall оперише на транспортном слоју и пружа највеће перформансе, али и најмању сигурност. Application Layer firewall пружа највећу сигурност, али због тога што изводи сигурносне провере пакета на високом нивоу скупа протокола, пружа најниже перформансе.
Хакери који покушавају да упадну у мрежу ће користити password cracking програм. Програм се извршава континуирано на једном или више рачунара. У унапред дефинисаним интервалима покушаће да изврши logon у мрежу користећи следећи username и password по редоследу из свог речника. Након што се пре-дефинисани број неуспешних покушаја догоди, чекаће неко пре-дефинисано време пре него што покуша опет. Такав програм није преагресиван па његова активност није лако уочљива. Никада нећете сазнати за активности хакера, осим ако пажљиво анализирате дневнике на серверу. Хакер ће наставити да извршава password cracking програм годинама. Они имају много стрпљења јер, на крају крајева, само седе и гледају нпр TV док password cracking програм покушава да се пробије у компанијску мрежу. А када се коначно то деси, хакер може продати персоналне информације о компанијским корисницима (муштеријама) за стотине хиљада долара (пример за САД).
3.1.1 Имплементирање политике сигурних лозинки Ако је мрежа небезбедна, противници могу прибавити информације о томе где компанија набавља ресурсе, украсти развојну и истраживачку документацију, проучити маркетиншке планове и друге осетљиве информације што може уништити компанијску такмичарску предност. То пак може довести до тога да компанија смањи број запослених – другим речима губите посао. Ако је мрежа небезбедна, крадљивци могу искористити бројеве кредитних картица корисника услуга ваше компаније (у САД још и бројеве социјалног осигурања и тиме украсти идентитете особа уништавајући им животе). Но неће само они патити. Када се извор сигурносног цурења открије водећи до ваше компаније, резултат ће бити суђење за немар. А када добијете репутацију некомпетентног у области мрежне сигурности, покушајте наћи посао мрежног администратора у некој другој компанији. Постојање сигурне политике лозинки је линија фронта мрежне сигурности. Каква корист од firewall-а и ant-virus заштите ако хакери могу лагано да се улогују и имају слободан пут у мрежу? Политика сигурних лозинки захтева следеће кораке: A. B. C. D.
Захтев корисницима да креирају сигурне лозинке Конфигурација система за безбедност преко лозинки Онемогућавање подразумеваног администратор налога Креирање писане политике лозинки (Written password security policy) E. Континуирано унапређење политике лозинки
135
А. Захтев корисницима да креирају сигурне лозинке Задатак мрежног администратора је да натера кориснике да креирају лозинке које су такве, да траже од password cracking програма дуго време да би их открили. У том циљу, лозинке треба креирати тако да се не налазе на почетку речника password cracking програма. Ако неки од корисника мисли да је слатко узети име кућног љубимца за лозинку, искуства показују да се нпр реч "scooter" налази близу почетка cracker речника. Мрежна сигурност врло је могуће, неће трајати ни недељу дана. Стога захтевати од корисника да креирају лозинке придржавајући се следећих правила: � � � � � �
Не користити лична имена, имена љубимаца, имена улица или имена активности, догађаја, места или ствари Не користити речи из речника Нека лозинка буде дуга, што дужа то боља Користити комбинацију слова и бројева Користити специјалне знаке, као доња црта или неки други ако их систем допушта Користити комбинацију великих и малих слова (за case sensitive системе).
136
Увод у рачунарске мреже
В. Конфигурација система за безбедност преко лозинки Хакерски password cracking програм може бити “превеслан” помоћу следећих системских конфигурација: �
�
�
Закључати кориснички налог након извесног броја неуспешних logon покушаја. Наравно, корисник може доћи ујутро мамуран и забрљати лозинку два или три пута, али више од тога је вероватно рад хакера. Конфигурисати систем да закључа кориснички налог након неразумног броја покушаја logonа Конфигурисати временски интервал у ком ће бити закључан налог ако не успе пријављивање. Ако корисник разуме да након погрешног куцања своје лозинке x пута, мора чекати 30 минута пре следећег покушаја, не би требао бити превише изнервиран. Што је дужи тај интервал, већа је мука за хакере. Нажалост предуго време је проблем за легитимног корисника. Конфигурисати систем да лозинке истичу периодично. Замислите ситуацију да password cracking програм покуша милионе лозинки из свог речника и сваким даном је све ближи – а онда се лозинке промене. Чешћа промена – већа сигурност. Требало би лозинке мењати максимално на 60 дана.
C. Искључити подразумевани администраторски налог Након инсталације, многи оперативни системи и апликације имају уграђен подразумевани налог. Свако зна да је подразумевани администраторски налог на Windows-у "Administrator". Свако зна да је подразумевани администратор за SQL сервер "sa" и да не захтева лозинку. Треба извести проверу свог софтвера и хардвера (router-и, switch-еви, итд) на мрежи и осигурати да не користи подразумевани налог.
Увод у рачунарске мреже
не откривајте своју лозинку НИКОМЕ – нити пријатељу с посла (који може бити отпуштен па искористити вашу лозинку) – нити сервисном техничару (хакер се може лажно представити као сервисер). Ако је неопходно провереном сервисеру дати лозинку, одмах након сервиса променити лозинку. не дозволити никоме да гледа док се log-ујете, нити гледајте преко нечијих рамена док ради то исто. не остављајте рачунар без надзора док сте улоговани (logged on). Log off > идите на кафу > log on. не остављајте папирне или дигиталне медије који садрже осетљиве податке да леже около. Не можете бити сигурни да неће наићи спољни посетилац или неко од упослених има лоше намере. не бацајте папир или дигитални медијум у јавне контејнере. "Dumpster diving" (роњење у ђубрету) је уобичајен начин за лопове да прибаве осетљиве информације. E. Континуирано унапређење политике лозинки Многи корисници мрзе политику лозинки. Имају тенденцију да креирају лозинке које су занимљиве и лако памтљиве, и да их никад не мењају. Такође воле да буду кооперативни и пријатељски постављени према колегама и спољним лицима, па и да деле лозинке. Често не разумеју вредност компанијских информација и не воле да троше време на опрезност у том смислу да их не остављају около или прописно бацају (уништавају). Дужност је мрежног администратора да континуирано комуницира са запосленима и промовише политику сигурних лозинки. Користити компанијске новине или састанке за понављање политике лозинки. Потенцирати разлоге ЗАШТО је та политика неопходна.
D. Креирање писане политике лозинки Треба написати правила политике сигурних лозинки. Поред већ наведених досада, укључити и следећа правила:
137
138
Увод у рачунарске мреже
3.2 Шифровање података
Шифровање представља прављење садржаја документа тајним, применом кодовања тих података. Key encryption (шифровање кључем) користи секвенцу битова (звану кључ) у алгоритму који се изводи над подацима документа. После тога документ се може читати само употребом одговарајућег кључа за дешифровање и реверзијом алгоритма. Безбедност је остварена тиме што само планирани пријемник документа има тражени кључ. шифровање се користи као последње средство одбране против уљеза. Иако се пробије кроз све остале нивое сигурности, подаци ће остати заштићени ако су шифровани.
Увод у рачунарске мреже
Данас се користе напреднији алгоритми шифровања. AES (Advanced Encryption Standard) користи мултипле 128, 160, 192 или 256 битне кључеве за шифровање документа. Са RSA шифрационим стандардом (названом по изумитељима Ronald Rivest, Adi Shamir и Leonard Adleman) кључ се креира избором два велика проста броја и множећи их потом. RC4 је стандард који користи мултипле кључеве дуге 2048 бита за шифровање документа. Private Key Encryption (шифровање приватним кључем) Два су типа шифровања: приватним кључем и јавни кључем (private key and public key). Код приватног кључа користи се један кључ за који знају и предајник и пријемник. Овај начин се још зове и симетрично шифровање (symmetric) јер се исти кључ користи за оба процеса – и шифровање и дешифровање. Public Key Encryption (шифровање јавним кључем)
Ако је шифровани документ валидан, он обезбеђује следеће: � � �
Документ је послан од утврђене стране Није измењен у току преноса Може бити прегледан само од стране онога коме је и упућен.
Хакер може да покуша да чита такав документ поновљеним покушајима, правећи све могуће комбинације бита за кључ. Ово се означава као brute force attack. Што је више бита коришћено за кључ теже је његово откривање. Нпр, 16 битни кључ може имати једну од 2^16 могућих вредности. 128 битни кључ може имати једну од 2^128 = 3,4*10^38 могућих вредности. Очито је јасно да треба много више времена за crack документа са 128 битним кључем. Алгоритми за шифровање DES (Data Encryption Standard) је алгоритам за шифровање развијен од IBM –а 1970-тих. DES користи 56 битни кључ. Данас моћни рачунари могу crack-овати DES кључ за пар дана. 3DES (Triple DES) пружа већу сигурност коришћењем три различита 56 битна кључа за шифровање документа.
139
Проблем код приватног кључа је да онај који шаље мора на неки начин делити свој кључ са оним ко прима. Кључ се може послати посебном трансмисијом (не са документом) али је и даље рањив. Шифровање јавним кључем користи два кључа. Један назван приватни може само дешифровати документ. Он је познат само предвиђеном пријемнику документа. Никад није дељен нити је ишао преко Internet-а. Други кључ зван јавни, може само да шифрује документе. Такав кључ се дистрибуира особама са којима се жели комуникација. Често се и објављује, па се може прибавити са public key server-а, јавно доступног host-а који садржи листу јавних кључева. Комбинација јавног кључа и приватног кључа зове се key pair (пар кључева). За сигурно слање користи се пријемников јавни кључ за шифровање документа. Само пријемников приватни кључ може дешифровати такав документ. Због тога што захтева два различита кључа, оваква заштита се зове asymmetric encryption (асиметрично шифровање). Digital Certificate (дигитални сертификат) Шифровање јавним кључем се обично користи са дигиталним сертификатом (digital Certificates). Такав сертификат садржи идентификационе информације појединаца или организација, укључујући њихове јавне кључеве, као и дигиталне потписе од certification authority (CA). CA потврђује да је име пошаљиоца повезано 140
Увод у рачунарске мреже
са јавним кључем у документу. Сертификат служи да потврди пошаљиочеву ауторизацију и име.
Увод у рачунарске мреже
тка мултипле кључеве у дужини 2048 бита у ток података. После појаве IEEE 802.11i стандарда, Wi-Fi Alliance је објавила WPA2 који је компатибилан и са 802.11i и са WPA стандардом.
3.3 Безбедност бежичне мреже По подразумеваној опцији, многе бежичне мреже су конфигурисане као мреже отворене конекције (open connections). Ово значи да свако ко је у домету може да се конектује. Чак иако је прописно конфигурисана, и даље је мање сигурна од жичане мреже, јер се не може физички обезбедити трансмисиони медијум (ваздушни простор). Ово их чини много лакшим за хакере са пакетним прислушкивачима, који седећи на нпр паркингу могу провалити у мрежу. Ове мреже користе IEEE 802.11 стандард. Први 802.11 стандард, креиран 1997., подржавао је максимални пропусни опсег од само 2 Mbps. Јула 1999 IEEE је обзнанио 802.11b стандард, који подржава 11 Mbps. У исто време IEEE је проширио 802.11 стандард да подржи 54 Mbps, и назвао га 802.11a. Но пошто је 802.11b јефтинији од 802.11a, 802.11b постаје много више популаран. Како 802.11a и 802.11b користе другачије фреквенције, нису компатибилни. 2002. је развијен 802.11g стандард. 802.11g подржава 54 Mbps, и компатибилан је уназад са 802.11b. То значи да 802.11g и 802.11b бежични производи могу комуницирати, али на нижој 11 Mbps брзини. WEP (Wired Equivalent Privacy) је сигурносни метод који је део 802.11 стандарда. WEP користи тајни мрежни кључ који је дељен између мобилних станица (бежични notebook рачунари) и приступне тачке (access point). Мрежни кључ се користи за шифровање пакета пре трансмитовања, а провера интегритета осигурава да пакети нису модификовани током преноса. WEP користи дељени статички кључ шифрирања који је дељен између свих мобилних станица и приступних тачака и који је осетљивији и лакши за откривање од онога у сигурносном методу који користи случајно генерисан кључ за једнократну употребу. У одговору на WEP-ову малу сигурност, IEEE објављује 802.11i бежични сигурносни протокол. 802.11i користи EAP (Extensible Authentication Protocol). Са 802.11i мобилна станица поставља захтев приступној тачки. Приступна тачка ради као proxy између удаљеног сервера коме се приступа и мобилне станице. 802.11i аутентикациони протокол укључује вишеструке захтеве између мобилне станице и удаљеног сервера у циљу да један другога ауторизују (овере) (authenticate). Они након тога комуницирају користећи AES (Advanced Encryption Standard). Пре него је IEEE комплетирао 802.11i стандард, Wi-Fi Alliance, не профитна организација посвећена осигурању интероперабилности и сигурности бежичних уређаја, објавила је WPA (Wi-Fi Protected Access). WPA користи RC4 шифрирање, технику која 141
142
Увод у рачунарске мреже
Увод у рачунарске мреже
IV
4.1 Бежично умрежавање PC-а Зора бежичне ренесансе. Време је за бежично! За сада, топ бежични стандард је 802.11g – најновија, најбржа и накмоћнија 802.11 радио технологија која пружа пропусност од 125 Mbps унутар 2.4 GHz опсега. Захваљујући компатибилности уназад, старије и спорије 802.11b радио картице се могу повезати директно са 802.11g приступним тачкама и обрнуто али на 11Mbps или спорије, зависно од домета.. Преглед 802.11 бежичних стандарда 1997 је обзнањен први WLAN стандард назван 802.11 (IEEE). Како је подржавао 2Mbps – што је преспоро за данашње примене – није се дуго задржала производња 802.11 бежичних производа. Следећа бежична технологија је била 802.11b, која подржава 11Mbps, а следећа након ње 802.11g, која подржава 125 Mbps и пренос на 5 GHz подручју. Но да ли је 802.11g најбољи избор за кућну или малу компанијску мрежу? Ево кратког описа три главна 802.11 стандарда: 1. 802.11b - подржава 11MBps, што је упоредиво са брзином традиционалног Ethernet-а. 802.11b користи исти 2.4GHz опсег радио сигнала као оригинални 802.11 стандард. Због нерегулисаности тог опсега, 802.11b уређаји могу доћи у ситуацију интерференције са другим уређајима који раде у том опсегу, као што су микроталасне пећнице или бежични телефони. Но ако таквих уређаја нема у близини (домету) мешања се могу избећи. Уређаји по 802.11b стандарду су јефтинији али и релативно спори и подржавају мање истовремених корисника.
Прилог 143
2. 802.11a (не препоручљиво за кућне мреже) - IEEE је креирао 802.11a у исто време кад и 802.11b. 802.11a подржава 54 Mbps и сигнале у регулисаном 5 GHz опсегу. Ова виша фреквенција ограничава домет 802.11a у поређењу са 802.11b, те због више цене користи се углавном у пословном сектору. Следећи проблем са 802.11a је потешкоћа за пролаз преносних сигнала на 5 GHz кроз зидове и друге препреке. Како раде на различитим фреквенцијама 802.11a и 802.11b уређаји нису компатибилни. 144
Увод у рачунарске мреже
3. 802.11g - подржава 125 Mbps, користи 2.4 GHz фреквенцију и компатибилан је са 802.11b. 802.11g подржава више истовремених корисника и најбољи фреквентни опсег. Мане су му виша цена и могуће сигналне интерференције. 1997 1999
802.11 802.11a
2MBps 54Mbps
1999 2002
802.11b 802.11g
11Mbps 125Mbps
Напуштен У регулисаном 5 GHz опсегу. Pro: брз приступ. Con: ограничен домет У 2.4 GHz опсегу У 2.4Ghz опсегу и компатибилан са 802.11b, што значи да 802.11g приступне тачке раде са 802.11b бежичним мрежним адаптерима и супротно. Pro: бржи приступ и компатибилност. Con: виша цена од 802.11b.
Увод у рачунарске мреже
USB адаптера или PCI картица. Цена картица је од око $30 до више од $300. За пословне примене, предности бежичне технологије су драматичне. Бежична инфраструктура знатно олакшава адаптацију канцеларијског простора како се мења структура фирме, постављање бежичног LAN-а тј WLAN –а је релативно јефтино итд. Но ако би смо набрајали предности таксативно, оне би биле: �
Редукција трошкова инсталације – јефтиније је инсталирати приступну тачку него каблирати просторије за Ethernet (нпр не морају се бушити зидови).
�
Флексибилност - ако фирма брзо (честом) реорганизацијом простора бежични приступ обезбеђује врло коме је мреже ван функције те каблирање.
�
Олакшани приступ информацијама и повећање продуктивности – приступ информацијама свакоме од запослених из било које просторне тачке. Искуства показују да је већина канцеларијског особља показала значајан раст продуктивности у ситуацијама када је жична замењена бежичном мрежом.
расте и постоји потреба за па и мрежне конфигурације, кратко време транзиције, у уштеду трошкова за ново
Зашто изабрати бежично умрежавање? Ево неких предности бежичног умрежавања: � � � � � �
брзина (11 - 125Mbps) поузданост велики домет (1500 метара у отвореној околини, 70 до 120 метара у околини са препрекама) једноставно интегрисање у постојећу жичану Ethernet мрежу дословно сви 802.11g бежични мрежни производи раде једни са другима без обзира на произвођача или модел Ethernet брзине БЕЗ каблова.
Приступне тачке варирају у погледу цена од око $50.00 до $1500 (податак узети условно јер се цене често мењају). Имају интегрисане Ethernet конекторе у случају потребе конектовања на постојећу жичнуEthernet мрежу или router-е, или пак на DSL или кабловски модем. Такође имају тачкасто усмерену антену (omni-directional antenna) за пријем података пренетих преко бежичног примопредајника. Интегрисање PC и Apple рачунара у исту мрежу је такође могуће са 802.11g стандардом. Већина бежичних мрежних адаптера који се користе су картице у PCMCIA форми. Но на тржишту постоји и понуда 145
Већина људи мисли да је кућно умрежавање или умрежавање мале фирме стресно, са много каблова, конекција и других изазова. Стварност је другачија. Већина људи већ користи Microsoft Windows, а умрежавање је уграђено у тај производ још од Windows 3.11. Уведено у Windows 98, "Internet Connection Sharing" (дељење интернет конекције) представља стандардни део оперативног система, омогућавајући једном рачунару да дели везу са Internet-ом са свим рачунарима у мрежи. Према томе, ако користите Windows, можете делити фајлове, штампаче и друге ресурсе у мрежи без много муке. У наставку су наведена три једноставна корака која омогућавају и почетнику да постави бежичну мрежу. Постављање бежичне мреже 1. планирање система – пре зарањања у бежични свет, упознати са стварним стањем ствари. Направити потпуну анализу мрежних потреба,
146
Увод у рачунарске мреже
тога шта треба да се постигне и тога шта се очекује да буде разумни поврат инвестиције. Проценити мрежне потребе; утврдити колико радних станица треба повезати и где их је најкорисније поставити. Такође утврдити инвентар upgrade -а који се морају извршити на постојећим рачунарима и одлучити коју опрему је потребно купити за постављање бежичне мреже
Увод у рачунарске мреже
се елиминишу проблеми узурпације мрежних ресурса као што је нпр приступ Internet-у. Интерни бежични адаптер рачунари могу такође бити везани у бежичну мрежу коришћењем интерне PCI адаптерске картице. Картицу треба уметнути у празан слот, а затим рестартовати рачунар, чиме ће се аутоматски нови уређај детектовати (зависно од произвођача можда ће се захтевати одговарајући driver – убацити добијени CD ROM Стони
Wireless Access Point (бежична приступна тачка)
Слика 76
Слика 74
Ово је "контролер" бежичне мреже. Постоје два типа приступних тачака – хардверска приступна тачка и интегрисана приступна тачка. Први тип се користи као екстензија постојеће жичне мреже. Интегрисана приступна тачка још обезбеђује могућности router-а и повезана је на конекцију велике брзине (нпр: DSL или кабловски модем).
да би систем пронашао driver).
USB бежични адаптер Приступне тачке генерално могу опслуживати најмање 50 корисника, па је ретко прекорачење овог лимита. Оно што треба имати на уму је да брзина бежичне мреже (интерно) нема везе са брзином приступа Internet-у преко дељене конекције. Што више корисника приступа Internet-у истовремено, брзина се смањује са становишта појединачног корисника. Брзина бежичне мреже зависи од локације (ближе или даље од приступне тачке), па је стога важно одабрати најбољу позицију за приступну тачку. PCMCIA бежични адаптер Слика 75
по правилу се користи за лаптоп рачунаре. PCMCIA картица се
просто утакне у одговарајући слот, и након конфигурације помоћу софтвера који дође са картицом, извршиће конекцију на било коју детектовану мрежу. Ако је на приступној тачки конфигурисана нека безбедност онда ће конективност зависити од тих поставки. Овако
147
Слика 77
Ефектно решење за стоне рачунаре које омогућава конективност на бежичну мрежу без инсталације иједног адаптера и отварања рачунара. Такође екстерни USB уређај има бољи пријем од интерног адаптера (може се померати уз помоћ продужног кабла).
"жично" и "бежично" заједно
Мрежа се може градити укључујући интегрисане приступне тачке, за обе жичне и бежичне комуникације. Ако постоји могућност каблирања, трошак је мањи по рачунару (Ethernet NIC је јефтинији а каблирање мањих растојања није скупо) па се добије поуздана жична мрежа. 148
Увод у рачунарске мреже
Постоји доста доступних mixed-mode уређаја или "Gateway" -а.
Овај уређај омогућава Internet конекцију велике брзине (преко WAN порта) , до три жична уређаја (са Ethernet портовима) и до 253 уређаја преко бежичне приступне тачке уграђене у јединицу. Овим је омогућено постојање стандардне жичне мреже за повезивање стоних рачунара али и истовремено могућност да се рачунари са тог дела мреже повежу са “roaming“ преносним рачунарима и другим уређајима који се не могу везати кабловски.
Увод у рачунарске мреже
3. имплементирати сигурносне мере за заштиту интегритета бежичне мреже – решења за ове проблеме укључују Media Access Control (MAC), WEP шифровање и традиционалне VPN (Virtual Private Network) контроле сигурности. Кратак опис ових метода:
Слика 78
� � �
MAC - Media Access Control спречава мрежни приступ неауторизованом уређају методом доделе свакој мрежној картици јединственог идентификационог броја. WEP шифровање – софтверски алгоритам који шифрује одлазне податке и дешифрује долазне, одржавајући њихов интегритет док су на путу. традиционална VPN (Virtual Private Network) контрола безбедности – дозвољава корисницима изван мреже да добију приступ мрежи. VPN шифрује податке пре трансмисије, обезбеђујући сигурност података иако се деси пресретање.
2. постављање система – када постоји план који дефинише потребе опреме, конфигурацију мреже и циљеве које треба дотићи , следећи корак је постављање мреже. Пре тога треба добро упознати начин функционисања опреме која се уграђује. Бежична LAN опрема се састоји од бежичних клијената: notebook рачунари, штампачи или ручни уређаји који могу комуницирати преко WLAN - и приступних тачака, које су тачке прихватања бежичних радио сигнала и конектовања. Да би се мрежа формирала треба предузети следеће корке: � �
� �
�
Утврдити колико људи ће користити мрежу; на основу овога одредити број потребних приступних тачака. Изабрати централну локацију за LAN конекцију. Ако је могуће, требало би да буде у отвореној околини ради максимизације домета. Зидови, каблови, цеви итд у околини смањују домет. Конфигурисати бежичну да ради са постојећом жичном (ако је има). Тестирати инсталацију пре пуштања у рад. Са link тест софтвером може се утврдити проценат успешног слања података, колико времена прође до пријема реакције одредишног рачунара, каква је снага сигнала преноса итд. Успоставити протокол за управљање мрежом. 149
150
Увод у рачунарске мреже
Увод у рачунарске мреже
4.2 Креирање кућне Wi-Fi мреже
�
Ethernet кабл
корак 1 – пре почетка креирање кућне Wi-Fi мреже је занимљив викенд пројект који се може обавити са мало стрпљења и одговарајућег алата. Препоручљиво је поседовати следећу опрему: �
Слика 81
�
бежични Router
оловку и папир за записивање текућег мрежног подешења, као што је нпр IP и MAC адреса
Слика 82
Слика 79
�
бежичне адаптере и/или бежично оспосољен рачунар
� � �
Слика 80
�
Брзу Internet везу (типично кабловски или DSL модем)
151
IP адресу додељену рачунару од ISP-а ако се користи статичка IP адреса Ако се користи DSL, username и password код ISP-а MAC адресе за све бежичне мрежне адаптере
Језгро сваке Wi-Fi мреже је бежични router или gateway. За наредни пример користи се D-Link DI-624 AirPlus Xtreme G 802.11g router. Airplus Xtreme G DI-624 допушта трансфер до 108Mbps на 2.4GHz фреквенцији и нуди побољшану сигурност за заштиту комуникација. За сваки рачунар који ће се конектовати потребан је адаптер. У примеру се користе два D-Link AirPlus Xtreme G 802.11g бежична адаптера: DWL-G650 PC Card adapter за Windows 2000 notebook и DWL-G520 PCI adapter за секундарни стони рачунар под Windows XP Home Edition. Ова два адаптера укључују конфигурациони алат којим се откривају доступне бежишне мреже и креирају и меморишу детаљни конекциони профили за мреже којима се најчешће приступа. Примарни 152
Увод у рачунарске мреже
PC је конектован на router преко Ethernet кабла и ради под Windows XP Professional. корак 2 – припрема за инсталацију пре почетка инсталације, потребно је прибавити неке есенцијалне информације да би се router коректно подесио. Оне се могу прибавити директно из рачунара. � � Слика 83 �
дупли-клик на Network Connections икону унутар control panel-а десни-клик на икону Слика 84 Ethernet адаптера (локалне мреже) бирати Properties > Internet
Увод у рачунарске мреже
Корак 3 – инсталирање бежичног Router-а пре инсталирања, искључити PC и модем, затим откачити Ethernet кабл од PC-а и прикључити га у router-ов WAN порт тако да Ethernet кабл повеже модем са router-ом. Потом развући други Ethernet кабл између PC Ethernet порта и једног од router-ових Ethernet портова. Слика 85 Укључити модем и сачекати да се конектује. Потом укључити router а затим и PC. Када се рачунар “подигне”, покренути претраживач и пробати отварање неколико Web сајтова ради теста Internet конекције. Ако је све у реду прећи на корак 5. корак 4 – конфигурисање Router-а
Protocol (TCP/IP) > Properties. ако је "Use the following IP address" одабрано, то значи коришћење статичке IP адресе. Записати IP адресу, subnet mask и default gateway. Затим кликнути на опцију "Obtain an IP address automatically." Клик на OK за примену подешења и клик OK поново за затварање дијалога. Ако је конекција DSL, вероватно ће бити потребни username и password захтевани од ISP-а. Можда ће бити потребно деинсталирати PPPoE конекциони софтвер који је тражен од ISP-а. Треба ли или не потражити у router документацији. Сада је добро време да се прикупе MAC адресе свих бежичних мрежних адаптера који ће бити инсталирани. MAC адреса треба да је одштампана на Wi-Fi PC Card или PCI adapter -у. Слика 84
153
употребити PC повезан на router и покренути претраживач. У адресно поље (URL), унети router-configuration IP адресу која се налази у документацији. За D-Link KL624, IP адреса је 192.168.0.1. Биће потребно такође унети configuration-utility ID (обично admin) и подразумевану лозинку. DSL корисници ће вероватно морати одабрати PPOoE тип конекције. Следећа ствар која ће бити потребна је унос информација сакупљених у кораку 1 на начин како то тражи router. Нпр Слика 86 записана IP адреса у кораку 1 ће бити потребна да се постави статичка адреса коју ће имати сада router. Оставити за сада друга подешавања као што је нпр encryption (шифровање) и SSID на 154
Увод у рачунарске мреже
њиховим подразумеваним опцијама, изаћи из router-овог конфигурационог програма и проверити Internet конекцију. Ако још увек не може да се оствари приступ Web сајтовима, проверити router документацију за troubleshooting и позвати произвођача за техничку подршку, ако је потребно. корак 5 – инсталирање бежичних адаптера за D-Link PC Card и PCI адаптере, мора се инсталирати софтвер са CDа пре инсталирања бежичних адаптера (ови адаптери ће се бежично конектовати на router). Затим искључити рачунар, физички инсталирати адаптер и укључити рачунар. Након подизања Windows-а појавиће се Found New Hardware wizard и почеће инсталација driver-а. Бирати "Install the software automatically" и кликнути на "Next." Ако се појави порука која упозорава да driver није прошао Windows logo тестирање, кликнути на "Continue Anyway." Ово урадити на сваком стоном рачунару који треба да буде у мрежи. Слика 87
Увод у рачунарске мреже
Networking икону (у облику два рачунарска монитора) у system trayу у доњем десном углу слике. Када се Wireless Network Connection дијалог појави, кликнути на "Advanced" дугме и бирати "Wireless Networks" картицу (tab). Искључити "use Windows to configure my wireless network settings" опцију и кликнути на "OK" ради прихватања измене. Коначно рестартовати рачунар да би се конекција успоставила. Ако бежични системи неће да се конектују на Internet, покушати са disabling-ом Windows XP-овог wireless connection utility-а. Ако се Слика 88 користи оперативни систем који није Windows XP, прос ти рестарт може бити све што је потребно да би Wi-Fi адаптер радио коректно након инсталације driver-а. Међутим, ако се то не деси, треба предузети још неке кораке. корак 7 – постављање лозинке Ради осигурања Wi-Fi мреже, покренути конфигурацију бежичног router-а, а онда пронаћи опцију која допушта промену подразумеване лозинке. Код DI624, опција је лоцирана унутар Tools стране. Применити измену, а онда прећи на следеће подешавање (корак). Tools страна код DI-624's конфигурационог алата пружа могућност промене лозинке router-а.
напомена: за notebook са уграђеном Wi-FI подршком не треба уграђивати адаптер.
корак 6 – конфигурисање рачунара за “Wireless“
у овој фази, ако није могуће конектовати рачунаре на Internet потребно је одрадити још пар корака пре него се комплетира читава операција. Ако се користи Windows XP систем покушати са disabling-ом (онемогућавањем) Windows wireless-configuration механизма за успостављање конекције. Овај корак је такође неопходан ако се жели коришћење скупа разних алата. Да би се то урадило, кликнути на XP 155
Слика 89 156
Увод у рачунарске мреже
корак 8 – подешавање Service Set Identifier (SSID)-а ради повећања сигурности потребно је променити име мреже. Ово се обично назива Service Set Identifier (SSID). За DI-624, SSID подешење се добије кликом на Wireless дугме. Променити подразумевани SSID у жељени садржај. При томе избегавати да унети садржај буде једноставан за “проваљивање”. Применити измене, али још не напуштати програм. Напомена: router можда допушта disable-овање DID broadcasting-а. Ово ће онемогућити да се мрежа види у “комшилуку”.
Увод у рачунарске мреже
Tip: већина 802.11g router-а долази конфигурисанба да ради са 802.11g и 802.11b клијентима. Ако је сва опрема 802.11g, изабрати 802.11g-only mode за убрзање перформанси. корак 9 – конфигурисање , други део Да би конекције прорадиле потребно је променити SSID унутар конфигурационог алата за сваки бежични адаптер, да се поклопи са оним на router-у. Такође се мора укључити исти тип шифровања и унети идентична pass phrase. Сада је систем подешен.
Укључити шифровање (Enable Encryption) Ако router и остали адаптери подржавају, коритити Wi-Fi Protected Access (WPA) шифровање са pre-shared кључем. Овим се обезбеђује више него адекватна безбедност. Ако хардвер не подржава WPA, омогућити Wired Equivalent Privacy (WEP) шифровање. Већина router-а допушта креирање WEP или WPA кључева уносом усвојене фразе. Обично се фраза уноси два пута ради верификације. Применити измене и остати у програму. Tip: смислити фразу што тежу за откривање (са великим и малим словима и бројевима). За додатну сигурност изабрати WPA шифровање преко WEP-а.
Слика 91
Дељење датотека и штампача у Wi-Fi мрежи Да би се постигла дељивост бирати (Windows XP) Control Panel > Network Connections и кликнути на "Set up a home or small office network." На питање који конекциони метод, одговорити "This computer connects to the Internet through another computer on my network or through a residential gateway."
Филтрирање MAC адреса Као завршна безбедносна заштита, може се увести ограничење приступа мрежи само адаптерима са Слика 90 одређеним MAC адресама. Да би се ово могло употребити, мора се укључити одговарајућа опција у routerовом конфигурационом програму. Потражити filtering дугме или опцију менија. Потом унети MAC адресе забележене у кораку 2. Применити измене и изаћи из програма.
157
Сем ако су сви рачунари под Windows XP -ом, бирати "Create a network setup disk" када се појави та опција. То ће креирати дискету којом се подешавања могу извршити и на non-XP рачунарима. Сада одрадити исту активност и на осталим рачунарима. На non-XP рачунарима, са дискете покренути netsetup.exe. Приликом конфигурисања сваког рачунара, употребити различита имена. Име workgroup-е мора бити исто.
158
Увод у рачунарске мреже
Увод у рачунарске мреже
Network Setup wizard аутоматски укључује дељивост сваког штампача који је био прикључен на PC током setup-а, али да би се неки од штампача користио са другог рачунара потребно је претходно инсталирати одговарајући driver.
4.3 Пројектовање мрежног каблирања
Такође сваки рачунар подешен Network Setup wizard –ом треба да има најмање један дељени фолдер - SharedDocs. За приступ дељеним фолдерима код Windows XP-а, бирати Start >| My Network Places. Ради безбедности не треба претеривати са бројем дељених фолдера.
Код мале меже са само неколико радних станица код које се не очекује раст, може се проћи са било каквом кабловском инсталацијом, али инсталација озбиљне рачунарске мреже захтева план. Без њега мрежа ће бити склона честим отказима и биће тешка за проширење. Када се пројектује мрежа, важно је осигурати да кабловски систем може обезбедити раст и веће брзине које доносе нове технологије. Структуирани кабловски систем је заснован на главним, кичменим, вертикалним кабловима који преносе сигнале између спратова и хоризонталним кабловима који преносе сигнале до радних простора.
Индустријски стандарди Званични стандард за мрежно каблирање је TIA/EIA-568-A Commercial Building Telecommunications Cabling Standard. TIA (Telecommunications Industry Association) и EIA (Electronic Industries Association) су чланови ANSI (American Standards Institute). пре TIA/EIA стандарда сваки произвођач је креирао своје некомпатибилне каблове и конекторе. Кабловски систем одређен у TIA/EIA-568 стандарду је заснован на топологији звезде. Он одређује да каблови који услужују радни простор на спрату треба да завршавају у осигураном кабловском ормарићу који садржи hub-ове за радни простор. Сваки спрат треба да има осигурану просторију (собу) са опремом (equipment room) у којој су мрежни switchеви који повезују спратне хоризонталне каблове са backbone (вертикалним) кабловским системом.
159
160
Увод у рачунарске мреже
Увод у рачунарске мреже
Хоризонтално каблирање се изводи UTP кабловима категорије 5. Такав кабл садржи четири парице са преносном карактеристиком која подржава 100 MHz и способан је да подржи 100 Mbps пренос Ethernet података у 100Base-T мрежи. Кабловски сегмент може имати максималну дужину 100 метара (328 feet-а).
Слика 93
Вертикално (Backbone) каблирање, може се извести са више multimode fiber optic каблова где сваки од њих подржава 2 GHz у 100Base-FX мрежи. Максимална дужина сегмента је 2 км или више. Трасирање каблова Мада постоји искушење да се каблови полажу кроз постојеће канале у зидовима у које су положени енергетски AC каблови, то је грешка, јер UTP не пружа заштиту од електромагнетних сметњи (EMI). EMI може успорити мрежу због потребе за ретрансмисијом оштећених пакета података. Такође може довести до тога да мрежа буде склона честим падовима.
Слика 92
Мрежне каблове треба провлачити кроз њихове сопствене одвојене канале и то тако да се избегава близина било каквих машина велике снаге. Ако кабл баш мора да прође кроз такву средину, треба користити STP кабл, коаксијални или фибер оптички кабл за ту деоницу. Конекциона разводна табла (плоча)
Свака зграда треба да има осигурану главну просторију са опремом која се повезује на основне (вертикалне) backbone каблове зграде, а садржи примарну мрежну опрему, нпр. router-е, gateway-е и телекомуникациону опрему, те обезбеђује локацију за повезивање на нпр универзитетску или јавну мрежу.
161
Уређаји, као што су радне станице и штампачи конектовани су на мрежну кабловску инфраструктуру преко зидних прикључака (wall jacks). Кабловски сегмент повезује тај прикључак са разводном таблом (patch panеl) у кабловском разводном ормарићу (wiring closet) 162
Слика 94
Увод у рачунарске мреже
или у просторији са опремом (equipment room). Мрежна опрема као што су hub-ови у просторији са опремом се преко својих портова повезују са разводном плочом, тј кратким разводним (спојним) каблом (patch cable) се одређени мрежни уређај (од кога је веза дошла до разводне плоче) повезује са одређеним портом на hub-у.
Увод у рачунарске мреже
4.4 Логички и физички планови мрежа
Преуређењем ових спојних каблова на разводној плочи омогућена је флексибилност конфигурисања и олакшан troubleshooting мреже. Важно је употребљавати јасне ознаке и кохерентну шему означавања ради идентификације портова мрежне опреме и мрежних уређаја на прикључцима разводне табле. Сваки сегмент мрежног кабла треба такође да има ознаку на оба краја – зидном прикључку и разводном ормару. Још једном, добар мрежни пројекат обезбеђује: � Раст (проширење) � Веће брзине нових технологија � Поштовање индустријских стандарда.
Слика 95
Логички (или функционални) планови део су документације коју ћете правити и најчешће користити. Служе као организациони дијаграм мреже – јасно приказују који је уређај (или сервер) задужен за најбитније функције. Логички планови такође показују међусобну 163
164
Увод у рачунарске мреже
Увод у рачунарске мреже
функционалну зависност уређаја. У њима нису много важни детаљи – треба да вам прикажу међусобну повезаност уређаја и односе између њих. Логички планови вам могу помоћи да спознате најважније односе у мрежи (на пример, зашто одељење А не може да комуницира са сервером, а одељење Б може). У логички план не морате унети сваки PC рачунар и штампач, али се у њему мора приказати сваки уређај од којег мрежа зависи (на пример сервери и усмеривачи). Уколико је потребно, у плану се могу представити и уређаји попут хабова (разводника) и свитцх-ева (скретница). Разводници и скретнице се обично представљају истим симболом, али постоје такве мреже (рецимо, скретница повезује две потпуно различите области мреже) где сваки од ових уређаја треба приказати засебно. Ако радите на великој и сложеној мрежи, план нацртајте на више листова папира – немојте све стрпати на један лист. Уобичајено је да на једној страници нацртате грубу шему велике мреже, а да је затим развијете и на следећим страницама детаљно прикажете сваку област мреже. На пример, на грубој шеми се правоугаоницима могу означити све главне области мреже које ће касније бити приказане на детаљним плановима. Физички планови мрежа Физички планови се односе на физичку реализацију мреже – како је решено међусобно повезивање. Обично су физички планови много детаљнији од логичких, па су зато добро организовани и повезани: на једној страни се приказује мања целина, односно део мреже. Неке мање мреже (обично с мање од 50 рачунара) могу се представити физичким планом на једној страници. Веће мреже намећу правило да се на једној страници плана приказује део мреже на једном спрату зграде. За већину великих мрежа, оваква подела је одговарајућа, јер је на физичком плану приказан сваки појединачни кабл који повезује PC рачунар, штампач, скретницу или разводник – али такав план заузима пуно места на папиру.
165
Слика 96
При изради плана једноставнијих мрежа, згодно је набавити архитектонски план спрата и у њега уписати инфраструктуру мреже – каблове, рачунаре и мрежне уређаје. Када је мрежа сложена може постати неопходна додатна документација – физички планови сегмената мреже. У општем случају, правите што детаљнији физички план. Немојте заборављати да ажурирате своје планове непосредно после измена начињених у мрежи. Нека то постане правило при сарадњи са саветником, даваоцем мрежних услуга и особљем за одржавање PC рачунара – поготово када сами додајете или мењате ствари (јер тада нема саветника или спољног сарадника који ће то урадити уместо вас). Не заборавите да на својим плановима наведете датум израде. Како мрежа буде напредовала и ширила се, десиће вам се да имате више планова једне исте области. Ако на сваком плану имате датум, лакше ћете утврдити који је од њих најновији и најтачнији.
166
Увод у рачунарске мреже
Физички сегмент мреже често представља група разводника који су повезани без усмеривача или скретнице. Разводници који су повезани посредством скретнице или усмеривача, сматрају се засебним физичким сегментима мреже, а за велике сегменте морају се правити засебни физички планови.
Увод у рачунарске мреже
проблем, техничар може изгубити силно време (и живце) узалудно покушавајући да усмеривач пронађе помоћу старе ИП адресе која је записана на уређају. Овај мали детаљ чини разлику између кратког прекида од 10 минута и недопустивог прекида од 2 сата.
Избегавајте коришћење боја у плановима. Оне могу помоћи при представљању детаља, али се губе приликом фотокопирања и слања факс порука. За истицање важних замисли, у физичким плановима је боље користити разнолике симболе. Означавање и детаљи
Наравно, план није довољан ако у стварности не можете препознати уређаје који су представљени на плану. Кад се возите колима и читате аутокарту, не бисте знали где се налазите да нема знакова поред пута. Исто важи и за рачунарске мреже. Дешавало се да особље није могло поново да укључи усмеривач, јер нису знали где се усмеривач налази нити како изгледа. Добар техничар зна да је јако важно јасно и кратко означити сваки уређај. Неодговарајуће и нетачно означавање може знатно продужити прекид рада мреже (чак и када постоји тачна и детаљна документација). Ако уочите да каблови и уређаји у вашој мрежи нису означени, а не можете обавезати извођаче радова да их означе, морате у ходу означити уређаје и каблове. На пример, сваки пут када налетите на кабл или уређај који нема ознаку, не пропустите прилику да га означите (на одговарајући начин). Означавање вас ослобађа притиска да све морате држати у глави. Такође, омогућава да више особа рутински одржава, надограђује и решава проблеме без вашег непосредног присуства и надзора. У већини случајева, сасвим су довољне масивне пластичне налепнице које се не могу поцепати нити упрљати од прашине. На крају, ознаке морате усагласити с докумен-тацијом, чак и када се мрежа често мења. За то треба мало додатног труда, али се штеде сати изгубљеног времена и збрке. Претпоставимо да сте усмеривач означили ИП адресом, али је она касније промењена. Ако се појави 167
168
Увод у рачунарске мреже
4.5 AppleTalk
Увод у рачунарске мреже
(internetwork). Сваки од ових концепата биће детаљније разјашњен касније.
4.5.1 Увод AppleTalk, скуп протокола развијен од Apple Computer –a раних 80 –тих, је смишљен за потребе Macintosh рачунара. Сврха му је да омогући дељивост ресурса, као што су фајлови и штампачи, између већег броја корисника. Уређаји који обезбеђују ове ресурсе зову се сервери, а уређаји који користе ове ресурсе (као што је Mc рачунар) зову се клијенти. Дакле, AppleTalk је била једна од раних имплементација дистрибуираног клијент/сервер мрежног система. Унутар ове теме упознаћемо се са сажетком АТ мрежне архитектуре. АТ је пројектован са транспарентним мрежним интерфејсом – што значи, да садејство клијент рачунара и мрежних сервера захтева мало уплитање корисника. Шта више, текуће операције АТ протокола су невидљиве за крајњег корисника, који види само разултате операција. Постоје две верзије АТ-а : фаза 1 и фаза 2. Фаза 1, што је уствари прва АТ спецификација, је развијена раних 80тих стриктно за употребу у локалним радним групама (workgroups). Фаза 1 стога има два кључна ограничења: прво, мрежни сегмент може максимално садржавати 135 хостова и 135 сервера и друго, подршка постоји само за не прошириве мреже. (nonextended networks). Прецизније о проширивим и непроширивим мрежама нешто касније. Фаза 2, је друга проширена АТ имплементација и намењена је за употребу у великим мрежама. Осим што превазилази ограничења фазе 1 доноси и бројна друга побољшања. Значи дозвољена је било каква комбинација од 253 хоста или сервера на једном АТ мрежном сегменту и постоји подршка и за прошириве и непрошириве мреже.
4.5.2 AppleTalk мрежне компоненте АТ мреже су уређене хијерархијски. Четири основне компоненте формирају базу АТ мреже: sockets, nodes, networks, and zones (прикључци, чворови, мреже и зоне). Следећа слика илуструје хијерархијску организацију ових компонената у АТ интер-мрежи 169
170
Увод у рачунарске мреже
Sockets (прикључци)
Увод у рачунарске мреже
процеса који се извршава у уређају. Сваки чвор у АТ мрежи припада једној мрежи и одеђеној зони.
АТ socket је јединствена адресабилна локација унутар АТ чвора. То је логичка тачка на којој АТ софтверски процеси вишег слоја и протокол мрежног слоја (Datagram Delivery Protocol, DDP), сарађују. Ови процеси вишег нивоа су познати као socket клијенти. Ти клијенти поседују један или више socket-a, које користе да шаљу или примају датаграме. Socket-и могу бити додељени статички или динамички. Статички додељени су резервисани за употребу од стране извесних протокола или других процеса. Динамички додељени се додељују од стране DDPa socket клијенту по захтеву. АТ чвор може садржати до 254 различитих socket бројева. Следећа слика илуструје везе између socket-a у АТ чвору и DDP-a на мрежном слоју.
Чворови (nodes) AT чвор је уређај који је повезан на АТ мрежу. Тај уређај може бити Macintosh рачунар, штампач, IBM PC, router, или неки други слични уређај. Унутар сваког АТ чвора постоје бројни софтверски процеси названи socket-и. Њихова улога је идентификација софтверског 171
Мреже АТ мрежа се састоји од једног логичког кабла и скупа прикључених чворова. Логички кабл представља један физички кабл или више физичких каблова повезаних путем bridge-ва (мостова) или router-a (усмеривача). АТ мреже могу бити прошириве или непрошириве. Непроширива - то је физички мрежни сегмент којем је додељен само један мрежни број, који може бити између 1 и 1024. Мрежа 100 и мрежа 562 например су исправни мрежни бројеви у непроширивој мрежи. Сваки број чвора у оваквој мрежи мора бити јединствен, а један непрошириви мрежни сегмент не може имати више од једне АТ зоне конфигурисане над њим. (Зона је логичка група чворова или мрежа) На следећој слици илустрована је оваква мрежа, која је потиснута од новијег стандарда – extended мрежа.
Проширива – то је физички мрежни сегмент којем може бити додељено више мрежних бројева. Оваква конфигурација је позната као опсег кабла (cable range). АТ кабловски опсези могу назначити један мрежни број или више узастопних мрежних бројева. Мрежни кабловски опсег 33 и 3-6 например су оба валидна у оваквим мрежама. Као и у другим протоколима (нпр TCP/IP и IPX) свака комбинација мрежног броја и броја чвора мора бити јединствена (адреса мора бити јединствена због идентификације). Прошириве мреже могу имати више АТ зона 172
Увод у рачунарске мреже
конфигурисаних на једном мрежном сегменту, а чворови могу припадати било којој зони повезаној са проширивом мрежом. На следећој слици је илустрована оваква мрежа.
Увод у рачунарске мреже
4.5.3 AppleTalk физички и слој везе података Као и код других популарних скупова протокола као што су TCP/IP или IPX, АТ архитектура користи правила приступа медијуму, који се заснивају на протоколима ниског нивоа као што су Ethernet, Token Ring и FDDI па тако постоје четири главне имплементације приступа медијуму унутар АТ скупа протокола: EtherTalk, LocalTalk, TokenTalk и FDDITalk. Ове имплементације слоја везе података изводе транслацију адреса и друге функције које омогућавају АТ протоколима да комуницирају преко индустријски-стандардних интерфејса, који укључују IEEE 802.3 (EtherTalk), Token Ring/IEEE 802.5 (ТokenTalk) и FDDI (FDDITalk). Као додатак АТ имплементира свој сопствени мрежни интерфејс, познат као LocalTalk. Следећа слика илуструје успоредбу АТ-а и OSI-ja.
Зоне АТ зона је логичка група чворова или мрежа, која је дефинисана када је мрежни администратор конфигурисао мрежу. Чворови или мреже не морају бити физички суседни да би припадали истој зони. Следећа слика илуструје АТ интер-мрежу (internetwork) компоновану од три не континуалне зоне.
4.5.4 Мрежне адресе АТ користи адресе за идентификацију и лоцирање уређаја на мрежи слично као и остали протоколи. Ове адресе које се додељују динамички састављене су од три елемента: 1. броја мреже (16-битна вредност) 2. број чвора (8-битна вредност) 3. број socket-a (8-битна вредност) 173
174
Увод у рачунарске мреже
Увод у рачунарске мреже
Адресе су уобичајено записане преко децималних вредности одвојених тачком. На пример 10.1.50 значи мрежа 10, чвор 1, socket 50.
У наставку погледајмо још неколико илустрација које описују АТ протокол.
175
176
Увод у рачунарске мреже
4.6 Linux и LAN У наставку погледајмо пример постављања локалне мреже на Linux (Debian GNU/Linux) платформи. Слично је и за друге дистрибуције.
4.6.1 Постављање локалне мреже у Linux-у Унутар ове теме погледаћемо процес постављања local-area network (LAN) који укључује Linux Samba сервер, преко кога је омогућено да Microsoft Windows и UNIX системи приступају дељеним датотекама и штампачима host-ованим од стране Linux система. Објашњено је како администрирати једноставни LAN те како инсталирати, конфигурисати и администрирати Samba сервере и клијенте. Интегрисање Linux система са постојећим LAN-ом није компликованије од самог постављања LANa; видећемо и како се конектовати на постојећу мрежу. У наставку ће бити објашњено како користити Linux backup and recovery алате тако да клијенти могу креирати и користити backup-ове меморисане на серверу. Једна од јачих страна Linux-а су његове снажне и робусне мрежне могућности. Такође добро је што је све око Linux мрежног постављања отворено и комплетно конфигурабилно. Ништа није скривено од корисника. Изазов је добити максимум из ових могућности. Основни мрежни принципи се не разликују много између Windows-а и Linux-а. Кренућемо са прегледом умрежавања, а затим са више детаља везаних за Linux умрежавање. Након тога ћемо погледати, како се прави dialup Internet конекција и постављају Wide Area Network (WAN) сервиси. Највећи број рачунара данас рукује мрежним саобраћајем као што пошта рукује пошиљкама. Замислите, на пример, кораке који се предузимају око слања и примања писма. Онај ко носи писмо мора знати где да га убаци и где да преузме пошту. Даље, ваша кућа мора имати неку врсту препознатљивог interface-а; ми то зовемо поштанско сандуче. Надаље иако поштар може знати Ваш комшилук врло добро, достављање пошиљки у друге делове града ће захтевати друге поштаре. Пошиљке су прослеђене до ових других поштара кроз gateway; то је у нашем примеру поштанска станица. Дакле читав поштански систем се може замислити као једна велика мрежа; лакше је разумети овај систем ако се он узме као хијерархијски, тј као хијерархија subnetwork-а (или subnet-а): поштански систем је издељен 177
Увод у рачунарске мреже
на државе, државе на регије (zip code), регије садрже неки број улица, a свака улица садржи јединствене адресе. Рачунарске мреже пресликавају овај модел. Хајде да упратимо један email од Вас до Вашег сарадника. Порука се саставља и потом иде клик на Send. Рачунар прослеђује поруку мрежном интерфејсу. Овај интерфејс може бити модем преко кога се повезујете са ISP-ом или то може бити Ethernet картица преко које се рачунар везује на LAN. Како год, на другој страни интерфејса је gateway уређај. Gateway (мрежни пролаз) зна како се гледа да би се прочитала адреса примаоца email поруке и интерпретира поруку преко термина мрежа и подмрежа (subnets). Користећи ову информацију, Ваш gateway прослеђује поруку до других gateway-ева док порука не достигне gateway за одредишни уређај. Тај gateway доставља поруку преко препознатљивог интерфејса (као што је модем или Ethernet картица) до примаочевог сандучета (inbox). Пратећи ову причу, лако се види које делове умрежавања треба конфигурисати на Linux систему. Треба знати адресу уређаја који се конфигурише. Као што су име града Бијељина и поштански код 76300 два различита имена за исту локацију, можете имати обоје, име звано hostname и број зван IP number, који служе као адреса за Ваш рачунар (уређај). Да би се извршио превод између ове две нотације треба познавати адресу Domain Name Server-а. Ово је машина која упоређује IP бројеве са hostname-овима. Такође треба знати адресу gateway машине кроз коју ће мрежни саобраћај бити усмерен (routed). Коначно, биће потребно поставити интерфејс за умрежавање, а Ви ћете морати подесити (одредити) route (пут) од тог интерфејса до gateway-а. Иако ово на први поглед делује компликовано, заправо није, а олакшавајућа околност је та да Linux долази са алатима који помажу да се аутоматизује мрежно конфигурисање.
4.6.2 Мрежна администрација Debian GNU/Linux инсталациони програм омогућава да одредите мрежну конфигурацију која ће се користити након првог reboot-а. Ако се 178
Увод у рачунарске мреже
промени конфигурација мреже, може се у крајњој линији реинсталирати Linux. Међутим, можете сачувати себе много непријатности учењем како Linux уређује своју мрежну конфигурацију. Као што ће се видети у наставку, употребом текст едитора за ревизију неких датотека, можете изменити системску мрежну конфигурацију без потребе да се иде кроз болну реинсталацију Linux-а. 4.6.2.1 Конфигурација мрежног хардвера Ако се промени мрежна адаптер картица другачијим моделом, мора се покренути modconf програм, који допушта да се одреди driver који управља картицом. Да би се ово урадило, једноставно се улоговати као root а онда укуцати команду: modconf 4.6.2.2 Основне хост информације
Увод у рачунарске мреже
nameserver xxx.xxx.xxx.xxx где је xxx.xxx.xxx.xxx мрежна адреса (IP број) name server-а; на пример, 192.168.1.1. Могу се укључити до три такве линије; када рачунар треба да утврди мрежну адресу, покушаће да контактира name server одређен првом линијом. Ако је он недоступан, покушаће контакт са друго наведеним итд. 4.6.2.4 Routing и Gateways Ако је рачунар део LAN-a који има везу са Internet-ом, у општем случају он не шаље пакете података директно ка Internet host-у. Уместо тога, он шаље пакете података ка одређеном рачунару – званом gateway – на LAN-u. Gateway прослеђује пакете података ка Internet-у у име (корист) корисниковог рачунара. Такође он изводи и супротно, прослеђује податке од Internet-а ка корисниковом рачунару.
Када се инсталира Linux, корисник одређује hostname за свој систем. Ако је потребно променити hostname придружен рачунару, може се едитовати фајл /etc/hostname коришћењем неког текст едитора. Због тога што фајл – као и остали конфигурациони фајлови – има рестрикције у приступу, морате радњу извршити као root.
Напомена: Ако се рачунар конектује на Internet преко PPP, PPP систем успоставља мрежну конфигурацију динамички. Видећемо то касније.
Формат /etc/hostname фајла је прост. Садржи само једну линију, која чува hostname рачунара; нпр debian. Не додавати domain name (на пример не debian.ora.com).
#! /bin/sh inconfig lo 127.0.0.1 route add -net 127.0.0.0 IPADDR=192.168.1.10 NETMASK=255.255.255.0 BROADCAST=192.168.1.255 GATEWAY=192.168.1.1 ifconfig eth0 ${IPADDR} netmask ${NETMASK} broadcast ${BROADCAST} route add default qw ${GATEWAY} metric 1
4.6.2.3 Спецификација сервера имена Приликом инсталације Linux-а, могуће је да је корисник спецификовао један или више nameserver-а. Рачунар приступа nameserver-у када има потребу да утврди мрежну адресу која коренсподира hostname-у. Ако се мрежна конфигурација мења, можда је потребно спецификовати нови nameserver или server-е. Тај податак треба да обезбеди ISP (Internet Service Provider) дајући исправну IP адресу или адресе. Мрежне адресе name server-а су спецификоване у фајлу /etc/resolv.conf, који се може едитовати. Формат је једноставан, да би се одредио name server, уписати линију следеће форме:
179
Информације које описују LAN су садржане у фајлу /etc/init.d/network, који се може едитовати. Ево једног типичног /etc/init.d/network фајла:
Линије на које треба обратити пажњу су линије од 4-те до 8-ме, које имају следећи формат:
variable=ipnumber
180
Увод у рачунарске мреже
Овиме се повезују имена, дата варијаблама, са мрежним адресама, датим преко ipnumber-а. Те варијабле се потом позивају следећим линијама, које су команде које конфигуришу мрежу. Промена мрежне конфигурације се према томе своди на придруживање исправног IP броја са одговарајућом варијаблом. Значи треба едитовати /etc/init.d/network фајл. Следећа табела описује сваку варијаблу. Мрежни администратор треба кориснику да достави потребне податке.
Network Configuration Variables Варијабла
Значење
IPADDR
Спецификација мрежне адресе рачунара.
NETMASK
Одређује мрежну адресу мреже, тако што указује који бити 32-битне мрежне адресе корисниковог рачунара припадају мрежи а који припадају рачунари. Многе LAN су тзв Class C мреже, које захтевају netmask у облику 255.255.255.0.
BROADCAST Одређује адресу која се користи за слање поруке сваком уређају на LAN-у. Често се може утврдити broadcast адреса LAN-а из адресе рачунара: једноставно заменити задњу компоненту те адресе са 255. GATEWAY
Одређује мрежну адресу gateway-а коју рачунар користи.
Увод у рачунарске мреже
Mеђутим, осим ако рачунар није члан софистициранog LAN-a, није вероватно да је NIS сервер присутан. Стога, већина рачунара може слати упит DNS серверу, а у случају грешке (не добијања одговора), читати /etc/hosts фајл или обрнутим редоследом. Друга опција је боља, јер читање /etc/hosts фајла је брже. /etc/host.conf/ фајл одређује која од ове три операције ће се извести, тачније редослед извођења. Фајл се може едитовати а типично изгледа овако: order hosts,bind multi on Оrder линија одређује да рачунар треба прво да консултује /etc/hosts фајл а онда да пита DNS сервер, означен као bind због Berkeley Internet Name Daemon, раног DNS сервера. Мulti линија одређује да ће рачунар покушати да лоцира сва могућа имена за host када чита /etc/hosts фајл. Осим ако је тај фајл превелики (стотине или хиљаде линија), требало би да буде укључена ова опција. 4.6.2.6 Уобичајене опције мрежне конфигурације Фајл хостова /etc/hosts, допушта рачунару да утврди мрежни адресни број који одговара hostname-у, без упита DNS сервера. По страни то што је такав начин бржи од питања DNS сервера, /etc/hosts фајл је увек доступан. Улази у фајл имају два дела:
4.6.2.5 Путања тражења hostname-a Linux рачунар може користити неку од три методе за утврђивање IP адресе која одговара hostname-у. Рачунар може: • • •
Упутити упит DNS серверу Читати садржај фајла /etc/hosts, познат као hosts file Упутити упит ка NIS (Network Information System) серверу
• •
IP адресу hostname, или листу hostname-ова одвојених размакницом
Подразумевано, hosts фајл садржи један улаз који повезује hostname localhost са IP адресом 127.0.0.1. Није потребно да се било шта друго уписује у /etc/hosts фајл. Међутим, већина систем администратора укључује најмање још једну линију, која повезује local hostname са његовом мрежном адресом. Типично: 127.0.0.1
181
localhost 182
Увод у рачунарске мреже
192.168.1.10 debian.mccarty.org debian Треба запазити да друга линија даје обадвоје: пуни hostname састављен од hostname-а и domain name (назив домена) као и сам hostname.
Увод у рачунарске мреже
Према http://www.samba.org/pub/samba/survey/ssstats.html, чак и Bank of America користи Samba у конфигурацији која укључује око 15000 клијената, а Hewlett-Packard у конфигурацији која укључује око 7000 клијената. 4.6.3.1 Инсталација samba сервера
/etc/networks фајл, познат као networks фајл (фајл мрежа), изводи функцију сличну оној коју изводи hosts фајл; као што hosts фајл повезује hostnames са мрежним адресама, networks фајл повезује networks' names (имена мрежа) са мрежним адресама. Подразумевано, networks фајл садржи једну линију којом се повезује мрежна адреса LAN-a са именом localnet: localnet 192.168.1.0 Генерално, није потребно да корисник додаје друге улазе у networks фајл. Међутим, радећи то, може се приступати често кориштеним мрежама преко имена чак иако је DNS сервер недоступан.
4.6.3 Samba Доступно још од верзије 3.11 Microsoft Windows-а, дељење штампача и фајлова су две од најкориштенијих особина Windows-а.
Samba укључује smbd програм, који се извршава као daemon, неколико utility програма, man (упутство) стране и друге документе, као и конфигурациони фајл: /etc/smb.conf. 4.6.3.2 Конфигурисање sambe /etc/smb.conf фајл допушта спецификацију бројних опција које контролишу Samba извршавање. Инсталациони script за Samba-у генерише једноставан /etc/sbm.conf. Корисник може едитовати /etc/sbm.conf фајл да би задовољио посебне захтеве. Међутим, Samba укључује алат назван swat који омогућава преглед и измену опција коришћењем Web browser-а, што је лакши начин од коришћења текст едитора; swat алат верификује вредности параметара које се уносе и пружа online help. За приступ swat-у, усмерити browser на порт 901 у рачунару. На пример, може се користити URL http://localhost:901/. Web browser ће питати за userid и password; треба унети податке за root корисника. Следећа слика приказује swat главни мени, којем је приступљено коришћењем рачунареве IP адресе уместо hostname-а.
Да би омогућио ове погодности, Microsoft Windows користи механизам познат као SMB (Server Message Block). Овај механизам се назива још и NetBIOS или LanManager. Захваљујући Andrew Tridgell -у и другима, Linux системи пружају подршку за SMB преко пакета познатог као Samba. Као и SMB, Samba дозвољава: • • • •
дељење штампача и фајлова између Microsoft Windows, OS/2, Netware и Unix система успостављање једноставног nameserver-а за идентификацију система на LAN -у backup PC фајлова на Linux систем и њихов restore администрирање корисника и лозинки
183
184
Увод у рачунарске мреже
Увод у рачунарске мреже
Samba главни мени
4.6.3.2.1 конфигурисање глобалних варијабли Следећа слика приказује Global Variables страницу а табела описује најважније опције. Додатним опцијама се приступа кроз Advanced View. За измену опције, бирати или уписати жељену вредност. Након измена, кликнути на Commit Changes, да би се измене стварно и десиле. Samba глобалне варијабле
За конфигурисање Samba сервера, бира се један од симулираних дугмића tool bar-а: • • • • • •
Globals - конфигурација глобалних Samba варијабли (опција) Shares - конфигурација фајл дељивости Printers - конфигурација дељивости штампача Status - преглед статуса Samba сервера View - преглед smb.conf фајла Password – додавање и брисање корисника и промена лозинке
Такође, кроз овај мени се приступа на погодан начин документацији. 185
Samba глобалне варијабле Група опција
Опција
Опис
Base
workgroup
The workgroup name displayed when the server is queried by a client. 186
Увод у рачунарске мреже
Увод у рачунарске мреже
Samba глобалне варијабле Група опција
Base (cont.)
Security
Опција
Опис
netbios name
The name by which the server is known to the NetBIOS nameserver.
server string
The text string displayed to describe the server.
interfaces
The IP address of the interface or the IP addresses of the interfaces through which Samba should listen. Each IP address is followed by a forward slash and a number that specifies the number of bits that pertain to the network portion of the IP address (usually 24). If this option is not set, Samba attempts to locate and automatically configure a primary interface.
security
Samba глобалне варијабле Група опција
Specifies how Samba authenticates requests for access to shared resources. The default value, user, is helpful when the Samba server and its clients have many common userids. The value share can be useful when few common userids exist. The value system lets another SMB server perform authentication on behalf of the server. You should generally use the default value; see the Samba documentation for details.
encrypt passwords
Specifies whether Samba will negotiate encrypted passwords, which are expected by Windows NT 4.0 SP3 and Windows 98.
update encrypted
Allows automatic updating of an encrypted password when a user logs on using a nonencrypted password. This option is useful when migrating to encrypted passwords and should otherwise be set off.
map to guest
Specifies Samba's action when a user attempts to log on using an invalid password. The Bad User option is generally appropriate.
guest
The Linux account used to provide services for
187
Опција
Опис
account
guest корисници.
hosts allow Листа host-ова који могу приступити серверу. Ако ништа није наведено свима је дозвољен приступ.
Logging
Tuning
Printing
Logon
hosts deny
Листа host-ова који не могу приступити серверу.
log level
integer који одређује ниво детаља log порука. Мала вредност (као нпр 0) одређује да је само неколико порука записано у log.
log file
Одређује име Samba log фајла.
max log size
TМаксимална величина log фајла у kilobytes (kb). Када се та величина пређе, Samba започиње нови log фајл. Нулта вредност допушта величину без ограничења.
read prediction
Да ли ће Samba покушати pre-read података из фајлова, у циљу повећања брзине трансфера података. Ово је искључено у Samba 2.0.
socket options
Одређује TCP перформансе.
printcap name
Одређује име printcap фајла који користи сервер.
printing
Како да Samba интерпретира информације о статусу штампача. Генерално, SYSV је одговарајући избор за Linux систем.
опције
које
могу
повећати
logon script Путања BAT фајла који је download-ован са сервера и који се извршава када се корисник logује на Samba-у. domain logons
Да ли ће Samba опслуживати Windows 9x domain logons за његову workgroup-у. Напомена: Samba засада не може сервисирати Windows NT domain logons, који захтева Primary Domain Controller (PDC).
188
Увод у рачунарске мреже
Samba глобалне варијабле Група опција
Опција
Browse
os level
WINS
Locking
Увод у рачунарске мреже
урадити је коришћење hosts allow опције за рестрикцију приступа Samba серверу.
Опис 4.6.3.2.2 кофигурисање параметара дељивости датотека Одређује ниво на коме Samba предлаже себе за избор browser-a. Већи број чини да ће Samba бити изабрана као browser. Вредност 65 ће узроковати да клијенти дају предност Samba-и у односу на Windows NT сервер.
preferred master
Да ли је NetBIOS name server први избор browser-а за своју workgroup-у.
local master
Да ли ћр NetBIOS name server бити local master browser у подмрежи.
domain master
Одређује начин слагања browse листа дуж WANа. Може се чудно понашати када workgroup укључује Windows NT Primary Domain Controller (PDC).
Следећа слика приказује страну за подешавање Share параметара. Samba фајл share параметри
wins server IP адреса WINS сервера код којег NetBIOS nameserver треба да се региструје, ако га има. wins support
Да ли NetBIOS nameserver делује као WINS сервер. Корисно ако мрежа има неколико подмрежа. Ову опцију не треба дирати за ситуацију више рачунара на једној мрежи.
strict locking
Да ли ће сервер аутоматски закључати фајлове и проверавати закључаност када се приступа фајловима. Ово може успорити перформансе.
Уобичајени корисник у највећем броју случајева треба да дефинише само workgroup и netbios name. Ако рачунар има више од једног мрежног адаптера, требаће да се поставе варијабле интерфејса.
Нови share се креира уносом имена и кликом на Create Share. Брисање share-а, се постиже бирањем из падајуће листе и кликом на Delete Share. За рад са постојећим share-ом, бирати га, a онда кликнути на Choose Share. Када се то уради појави се страница са следеће слике. Овде се виде и мењају бројне опције. Табела описује те опције. Додатним опцијама се приступа преко Advanced View. Ни овде не треба мењати скоро (или у целини) ништа. Кандидати за измену су евентуално comment, path, read only и create mask опције.
Упозорење: Ако је рачунар закачен на кабловски модем или други интерфејс који га чини доступним другим мрежним корисницима, требало би размотрити одређивање сигурносних опција којима ће се спречити приступ неауторизованим корисницима. Оно што се може 189
190
Увод у рачунарске мреже
Увод у рачунарске мреже
Samba фајл share параметри
Samba Фајл Share Опције Група опција
Опција
Опис
Security
guest account
Linux налог који се користи за услуге guest кориснику.
read only
Да ли је приступ read-only.
create mask Подразумевани mode додељен ново креираном фајлу унутар дељеног директоријума. guest ok
Да ли је guest приступ одобрен.
hosts allow
Листа host-ова који могу приступити а ако се ништа не наведе сви могу.
hosts deny
Ко не може приступити.
Browse
browseable
Да ли је фајл share видљив у листи shareова.
Locking
strict locking Аутоматско закључавање.
Miscellaneous available volume
Да ли је share укључен или не. volume label-а враћена за share.
4.6.3.2.3 конфигурисање параметара дељивости штампача Слично као за фајл share. Ова страна се може користити за креирање новог printer share-а, брисање printer share-а, или модификовање постојећег.
Samba Фајл Share Опције Група опција
Опција
Опис
Base
comment
Приказ података када је фајл испитиван од стране клијента.
path
Путања (директоријум или фајл) који је дељен од сервера.
191
share
192
Увод у рачунарске мреже
Увод у рачунарске мреже
Samba printer параметри Samba Print Share опције Група опција
Опција
Опис
Base
comment
Појава описа када корисник тражи дељени штампач.
path
print spooling директоријум.
guest account
Linux налог за guest-а.
guest ok
Може ли приступити guest.
hosts allow
Листа host-ова који могу приступити, ако се ништа не наведе сви могу.
hosts deny
Ко не може.
Printing
print ok
Да ли је штампа дозвољена.
Printing (cont.)
Printing
"BSD" је добар избор.
Security
Ако се селектује штампач из падајуће листе и кликне на Choose Printer, појавиће се садржај као на слици. Додатне опције се постављају кликом на Advanced View. Ни овде се опције не дирају сем можда comment, path, read only и create mask опција. Samba printer параметри
printer name Одређивање имена добар избор. Browse
Browseable
Miscellaneous Available
штампача;
Да ли је printer share видљив. Да ли је printer share доступан.
4.6.3.3 преглед статуса samba сервера Страница показује: • • • •
193
status сервер daemon-а (smbd и nmbd) и верзија Samba-е активне конекције активни фајл и printer share-ови отворени фајлови
194
"lp" је
Увод у рачунарске мреже
Употребом контрола на страници може се refresh-овати садржај, поставити ауто refresh интервал, стартовати или стопирати daemon или kill-овати активна конекција.
Увод у рачунарске мреже
која се појави када се кликне на View. Подразумевано, приказане су само основне опције; кликом на Full View приказује се све. Samba /etc/smb.conf фајл
Samba status страница
4.6.3.4 преглед конфигурације samba сервера View button на swat tool bar –у омогућава да се види Samba server главни конфигурациони фајл, /etc/smb.conf. Слика показује страницу 195
4.6.3.5 уређивање корисника и лозинки На следећој слици приказана је Password страница.
196
Увод у рачунарске мреже
Увод у рачунарске мреже
SMB. Ово је лакше него logging на удаљени host и употреба његовог алата за измену password-а.
password страница
4.6.3.6 troubleshooting samba Да би се неки проблеми избегли треба backup-овати /etc/smb.conf фајл. cp /etc/smb.conf /etc/smb.conf.SAVE Тиме се можемо вратити на исправну копију. cp /etc/smb.conf.SAVE /etc/smb.conf Затим рестартовати систем.
4.6.4 Samba клијент конфигурација и коришћење Када се Samba сервер постави и почне да ради, може му се прићи преко Microsoft Windows-а, Linux-а и других оперативних система.
4.6.4.1 Microsoft Windows клијент Server Password Management, омогућава: • • • •
Креирање новог userid Брисање userid-а Измена password-а везаног за userid Укључење или искључење userid-а
Client/Server Password Management, омогућава измену password-а придруженог userid-у на удаљеном систему који извршава Samba или
197
Microsoft Windows 3.11, 9x и NT имају уграђену подршку за SMB протокол, па могу лако приступити Samba server-у. Под Microsoft Windows 9x и NT може се приступити Samba ресурсима коришћењем Windows Explorer-а. Наравно треба се Log-овати користећи userid који је ауторизован за приступ Samba ресурсима. Затим кликнути на Network Neighborhood где би трребало да буде видљиво подстабло које одговара Samba серверу. Експанзијом подстабла, видеће се фајл и printer share-ови који су доступни. Лако се могу drag and drop фајлови ка
198
Увод у рачунарске мреже
и од share-ованог директоријума, под претпоставком да userid има одговарајућа овлашћења. Да би се користио дељени штампач, клик на Start Settings Printers а онда дупли клик на Add Printer; пратити wizard за setup процес. Просто изабрати Network Printer опцију а онда указати на жељени штампач. Ако је конфигурација штампача изведена без опције за browse-овање, он се не види па се мора укуцати његово име - два backslash-а, затим име Samba сервера, затим један backslash па тек онда име дељеног штампача. На пример \\SERVER\lp. Фајл који је дељив се може мапирати словом драјва на следећи начин: Tools Map Network Drive мени Windows Explorer-а. Изабрати слободно слово и укуцати име дељивог фајла у облику нпр. \\SERVER\db. 4.6.4.2 Други клијенти SMB клијент је могућ за Linux као и за IBM OS/2 и Mac OS. 4.6.4.3 Linux клијент Samba пакет укључује једноставан SMB клијент. За демонстрацију рада, log-вати се као userid који има Samba ауторизацију и покренути команду:
Увод у рачунарске мреже
smbclient -L service -U userid где је service одредница имена SMB host-а а userid одређује userid који ће се користити. Име SMB host-а треба да буде записано између два backslash-а пре и једног после имена. Ако SMB сервер прихвати захтев, клијент приказује посебан prompt: smb: dir> где је dir текући радни директоријум на SMB серверу. За download фајла са сервера, командовати: get file где је file име фајла. За upload фајла на сервер командовати: put file
smbclient -L localhost
где је file име фајла. Да би се излистао директоријум:
Треба да се види листа дељених ресурса који се могу browse-овати на серверу. За испитивање другог SMB сервера, покренути команду:
dir За улаз у поддиректоријум:
smbclient -L server где је server име SMB сервера. Уместо логовања може се и овако:
cd dir где је dir име поддиректоријума. Повратак назад:
smbclient -L server -U userid
cd ..
To actually access resources via SMB, use the following command form: 199
200
Увод у рачунарске мреже
За излаз из SMB клијента командовати exit. Помоћ за одређену команду се добије:
Увод у рачунарске мреже
Литература
help command: где је command команда за коју се помоћ тражи.
За додатне садржаје из материје рачунарских мрежа могу се између осталих користити и следеће књиге:
Ivan Volosukје написао X11 интерфејс за smbclient http://www.rt.mipt.ru/frtk/ivan/. 1. Andrew S. Tanenbaum Computer Networks, Fourth Edition (Prentice Hall) 2. Joe Habraken Absolute Beginner's Guide to Networking, third edition (Que) 3. Stephen J. Bigelow Bigelow's Troubleshooting, Maintaining & Repairing Networks (Osborne)
201
202
View more...
Comments
