visoka Škola strukovnih studija za

VISOKA ŠKOLA STRUKOVNIH STUDIJA ZA

INFORMACIONE I KOMUNIKACIONE TEHNOLOGIJE

PROJEKTOVANA RAĈUNARSKA MREŢA BOLNICE SA

CISCO UREĐAJIMA

Mentor: Kandidat:

Mr Nikola Slavković Danijela Stanoevski 153/15

Beograd, Septembar 2018.

VISOKA ŠKOLA STRUKOVNIH STUDIJA ZA

INFORMACIONE I KOMUNIKACIONE TEHNOLOGIJE

Internet tehnologije

Predmet: Projektovanje računarskih mreža

Tema: Projektovana računarska mreža bolnice sa CISCO ureĎajima

Mentor: Kandidat:

Mr Nikola Slavković Danijela Stanoevski 153/15

Beograd, Septembar 2018.

Sadrţaj

1. Uvod..............................................................................................................................................1

1.1 Uvod u projekat, opis i realizacija...........................................................................................2

1. 2 Tehniĉko rešenje sloţene mreţe..............................................................................................2

2.Projektni zadatak.........................................................................................................................4

2.1 Zahtevi i organizacija................................................................................................................4

2.2 Arhitektura mreţe..................................................................................................................5-7

3. Kabliranje mreţnog sistema.......................................................................................................7

3.1 Strukturno kabliranje............................................................................................................7-8

3.2 Tipovi kablova u raĉunarskim mreţama i koji su korišćeni za ovaj projekat...............8-11

3.3 Sistemi strukturnog kabliranja.............................................................................................11

4. Topologija mreţe…………………………………………………………………………..12-14

4.1 Prikaz topologije mreţnih ureĊaja u projektu………………………………………...12-14

4.2 Mreţna oprema..................................................................................................................15-16

4.3 Fiziĉko povezivanje ureĊaja - Zgrada 1...........................................................................17-19

4.4 Fiziĉko povezivanje ureĊaja - Zgrada 2...........................................................................19-20

5. Mreţni ureĊaji...........................................................................................................................20

5.1 OSI model – Podsetnik.......................................................................................................21-25

5.2 Layer 2 sviĉ...............................................................................................................................25

5.3 Ruter i rutiranje.......................................................................................................................26

5.4 Multilayer Switching..........................................................................................................26-28

6. Beţiĉne Wi-Fi mreţe…………………………………………………………………………..29

6.1 Wi-Fi, Wireless-Fidelity……………………………………………………………….....29-30

6.2 Naĉini rada beţiĉnih mreţa……………………………………………………………...30-31

6.3 Sigurnost Wi-Fi mreţa…………………………………………………………………...31-32

6.4 Konfiguracija Wi-Fi mreţe u projektu…………………………………………………32-33

7. Osnove VLAN i trunking…………………………………………………………………33-34

7.1 Definisanje i znaĉaj VLAN-ova u raĉunarskoj mreţi………………………………….33-34

7.2 Tipovi VLAN-ova…………………………………………………………………………....35

7.3 Pregled VLAN protokola i dizajna………………………………………………………...36

7.3.1 Konfiguracija trunk sa 802.1Q…………………………………………………….....36-37

7.3.2 Podešavanje trunk linka………………………………………………………………37-38

7.3.3 ISL standard……………………………………………………………………………....39

7.4 Kreiranje VLAN-ova……………………………………………………………………..40-43

7.5 Pridruţivanje portova VLAN-ovima…………………………………………………....43-44

8. VLAN Trunking Protocol -VTP……………………………………………………………...45

8.1 Osnove funkcionisanja VTP-a………………………………………………………………45

8.2 VTP komponente…………………………………………………………………………….46

8.3 VTP Advertisements i VTP upozorenja………………………………………………...46-47

8.4 VTP Reţimi rada………………………………………………………………………….....47

8.5 VTP konfiguracija………………………………………………………………………..48-49

8.6 VTP orezivanje………………………………………………………………………………49

9. Spanning Tree Protocol - STP…………………………………………………………….50-51

9.1 Mreţne petlje i osnova STP-a……………………………………………………………50-51

9.2 Naĉin rada STP protokola - STA algoritam…………………………………………....52-53

9.3 Vrste STP protokola………………………………………………………………………....54

9.4 STP stanja na portovima………………………………………………………………...54-55

9.5 Konfiguracija STP protokola……………………………………………………………55-57

9.6 Prednosti i nedostaci STP-a……………………………………………………………...57-58

9.7 Ĉeste layer 2 pretnje i kako ih ublaţiti……………………………………………………..58

10. Agregiranje veza - EtherChannel………………………………………………………59-60

10.1 Osnove EtherChannel tehnologije i njene prednosti………………………………....59-60

10.2 Port Aggregation Protocol (PAgP)…………………………………………………….60-61

10.3 Link Aggregation Control Protocol (LACP)……………………………………….....62-63

10.4 Konfiguracija EtherChannel…………………………………………………………...63-66

10.5 Provera EtherChannel-a………………………………………………………………..67-68

11. Layer 3 Redudancy………………………………………………………………………69-70

12. Hot Standby Router Protocol (HSRP)………………………………………………….70-71

12.1 Uvod u HSRP protokol i zašto je implementiran u ovom projektu………………….70-71

12.2 HSRP Priority i Preemption……………………………………………………………….71

12.3 HSRP stanja………………………………………………………………………………..72

12.4 HSRP komande…………………………………………………………………………72-73

12.5 Verifikacija HSRP……………………………………………………………………....73-75

13. Dinamiĉko rutiranje……………………………………………………………………...76-77

13.1 Osnove protokola rutiranja………………………………………………………….....76-77

13.2 Kriterijumi protokola za rutiranje………………………………………………….....77-79

14. Enhanced Interior Gateway Routing Protocol (EIGRP)………………………………….80

14.1 Osnovne karakteristike EIGRP protokola………………………………………………..80

14.2 EIGRP protokol - zavisni moduli………………………………………………………….81

14.3 RTP Reliable Transport Protocol…………………………………………………………81

14.4 Tipovi EIGRP paketa………………………………………………………………………82

14.5 Uspostava EIGRP susedstva i tabela topologije………………………………………….82

14.6 EIGRP kompozitna metrika……………………………………………………………….83

14.7 DUAL algoritam……………………………………………………………………………83

14.8 Pojmovi Feasible Successor, Feasibility Condition i Reported Distance……………84-85

14.9 Konfiguracija EIGRP protokola……………………………………………………….85-87

14.10 Proveravanje EIGRP protokola rutiranja u projektu……………………………....87-91

15. ObezbeĊivanje mreţe bolnice…………………………………………………………….....91

15.1 Implementacija bezbednosnih karakteristika na sviĉu…………………………………..92

15.2 ObezbeĊivanje porta……………………………………………………………………92-94

15.3 Bezbednosna karakteristika - DHCP snooping…………………………………………..95

15.4 ARP napad - Dinamiĉka ARP inspekcija……………………………………………..96-97

16. Pristupne liste - Access Control Lists…………………………………………………...98-99

16.1 Uvod u pristupne liste…………………………………………………………………..98-99

16.2 Konfigurisanje pristupnih listi…………………………………………………………...100

16.3 Pregled i provera konfigurisanih access listi na ASA ureĊaju…………………….101-102

17. ASA ureĊaj……………………………………………………………………………..103-104

17.1 Zaštita sistema privatne bolnice……………………………………………………..103-104

17.2 Pregled i konfiguracija ASA ureĊaja……………………………………………….105-107

17.3 NAT (Network Address Translation)…………………………………………………....108

17.3.1 Uvod u NAT …………………………………………………………………………....108

17.3.2 Bitni termini -NAT ………………………………………………………………..108-109

17.3.3 Konfiguracija NAT-a……………………………………………………………...109-110

18. Konfiguracija CUCM rutera…………………………………………………………........110

18.1 CISCO Unified Communications…………………………………………………...........110

18.2 CISCO UC komponente rešenja…………………………………………………….110-111

18.3 Zahtevi telefonske komunikacije…………………………………………………………111

18.4 Prikaz running konfiguracije CUCM rutera………………………………………112-117

19. Korišćenje Cisco Discovery Protocola - CDP………………………………………..117-119

20. Zakljuĉak……………………………………………………………………………....120-121

21. Literatura...............................................................................................................................122

1

1. UVOD

Kraj XX i početak XXI veka obeležila je velika ekspanzija informacionih tehnologija

zahvaljujući kojoj su računari postali neizostavni deo svakodnevnog života, kako sa poslovnog tako

i sa privatnog aspekta. Počeci umrežavanja vezuju se za prve telegrafske i telefonske linije kojima

su se prenosile informacije do udaljenih lokacija. Dostupnost i fleksibilnost tehnologija današnjih

savremenih računarskih mreža omogućava da se sa bilo koje tačke na planeti može povezati na

mrežu i doći do željenih informacija. U poreĎenju sa nekadašnjom cenom korišćenja servisa mreža,

cena eksploatisanja današnjih mreža je sve niža. Računarske mreže su danas nezamenjivi deo

poslovne infrastrukture kako malih, tako i velikih organizacija. Poznavanje tehnologije i korišćenje

mreža nije samo stvar opšte kulture. Kako su računari postali neophodni u svakodnevnom

poslovanju, firme današnjice imaju sve veći broj radnih stanica (najčešće personalnih računara).

Skoro svaka kompanija ili organizacija ima bar jedan računar za svakog zaposlenog. Veliki broj

računara je doveo do znatnog porasta u potrebi za računarskim mrežama u srednjim i velikim

preduzećima. Mogućnost brze razmene velikih količina podataka izmeĎu mrežnih klijenata,

zajednički mrežni resursi (serveri, internet...) i VoIP telefonija, samo su nekolicina čestih razloga za

uvoĎenje računarske mreže. Administraciju mreže čine njeno održavanje, nadgledanje i

unapreĎivanje kako bi ona bila dugotrajna i efikasna, te na taj način zadovoljavala najviše IT

standarde. Zaštitu sistema i bezbednost podataka čine sva hardverska i softverska rešenja

neophodna da spreče i otklone potencijalne pretnje po sigurnost i bezbednost sistema. Ovaj

dokument opisuje preporučeni način projektovanja mreže privatne bolnice, i uključuje opis

topologije, protokola rutiranja, načina podešavanja i druge stvari vezane za

projektovanje veoma dostupne i pouzdane mreže bolnice. Korišćeni su Cisco ureĎaji i Cisco

patentirani protokoli naspram standardnih gde god je to bilo moguće. Mreža je projektovana prema

CISCO hijerarhijskom Model-u sa ugraĎenom redundantnošću u svakom delu radi postizanja velike

dostupnosti. Veoma je skalabilna i lako je ugraditi i dodati nove funkcionalnosti (VoIP, bežičnu

mrežu i sl), kao i nove korisnike.

2

1.1 UVOD U PROJEKAT, OPIS I REALIZACIJA

Opis privatne bolnice i njena opremljenost

Privatna bolnica MaryGroup nalazi se na Novom Beogradu u objektu koji je uraĎen prema

najsavremenijim svetskim standardima za zdravstvene ustanove i koji se prostire se na 4500 m2, to

je prva i glavna zgrada bolnice. Druga zgrada nalazi se nedaleko od opšte bolnice i prostire se na

1800 m2. Tim čini oko od 400 stalno zaposlenih radnika koji uz doktore konsultante i gostujuće

doktore iz inostranstva predstavljaju tim od preko 550 doktora koji su na raspolaganju pacijentima.

Sa više od 50 postelja, Opšta bolnica MaryGroup je najveća privatna bolnica u Srbiji. Sve sobe i

apartmani su klimatizovane i poseduju sopstvena kupatila. U svakoj od soba se nalazi TV

prijemnik, bežična internet konekcija i telefon. Ishrana je restoranska, uz saglasnost nadležnog

lekara i odgovarajuću preporuku nutricioniste pacijentima se pruža mogućnost odabira menija.

U okviru Opšte bolnice MaryGroup nalazi se savremena laboratorija, Dijagnostičko odelenje sa

najsavremenijom opremom, Poliklinika sa Dnevnom bolnicom, Hirurgija sa najzastupljenijim

hirurškim granama. Misija bolnice “MaryGroup”, sekundarne zdravstvene ustanove, je da postavi

standarde kroz profesionalizam, stručnost i empatiju kao odgovor na potrebe pacijenata i stalni

napredak i kreativnost u procesu dijagnostike, lečenja i nege.

1.2 TEHNIĈKO REŠENJE SLOŢENE MREŢE

Model hijerarhijske računarske mreže

Projektni zadatak privatne bolnice uraĎen je po cisco hijerarhijskom modelu. Hijerarhija u

mrežnom dizajnu ima dosta prednosti, pomaže nam da shvatimo gde stvari pripadaju, kako se

meĎusobno uklapaju i koja funkcija se gde obavlja. Hijerarhija unosi poredak i razumljivost u inače

kompleksne modele. Kada se pravilno koristi, čini mrežu predvidljivijom. Velike mreže mogu da

budu izuzetno komplikovane, sa vise protokola, detaljnim konfiguracijama i različitim

tehnologijama. Hijerarhija u ovom projektu je uraĎena jer nam pomaže da sažmemo kompleksan

skup detalja u razunljiv model. Cisco hijerarhijski model omogućava nam da dizajniramo,

implementiramo i održavamo skalabilno, pouzdano i finansijski pristupačno mrežno okruženje.

Cisco definiše tri sloja hijerarhije i oni su implementirani u ovom projektu. Na slici 1.2 je prototip

hijerarhijske računarske mreže. Projekat je uraĎen u simulatoru PacketTracer verzije 7.1.1.

3

Slika 1.2 Model hijerarhijske računarske mreže

Hijerarhijski LAN dizajn sadrži sledeća tri sloja, kao što je prikazano na slici:

1. Sloj jezgra (core layer): Na vrhu hijerarhije. Omogućava povezivanje izmeĎu slojeva

distribucije za velika LAN okruženja. UreĎaji jezgra treba da obezbede velike količine

saobraćaja, brz prenos podataka izmeĎu distribucionih ureĎaja, visoku pouzdanost i

redudantnost. Ako na sloju jezgra doĎe do greške, to će uticati na svakog pojedinačnog

korisnika. Prema tome tolerancija greške na ovom sloju ne postoji. S obzirom da sloj jezgra

“ima posla” sa velikim saobraćajem podataka, treba strogo voditi računa o brzini i

kašnjenju.

2. Sloj distribucije (distribution layer): Distribucioni sloj je mesto odakle se uspešno upravlja

računarskom mrežom. ObezbeĎuje rutiranje, filtriranje i pristup WAN-u. Kada sloj

distribucije odredi najbolju putanju, prosleĎuje zahtev sloju jezgra Postavljanje polise na

pristupnim ureĎajima bi povećalo složenost i troškove tih ureĎaja i usporilo bi njihov rad, i

bilo bi veoma teško upravljati velikim brojem ureĎaja. A postavljanje polise na sloju jezgra

bi usporilo ureĎaje čija je osnovna namena brzo usmeravanje mrežnog saobraćaja.

Zbog toga na sloju distribucije su korišćeni layer3 svičevi. Oni se koriste kao posrednici koji

usmeravaju saobraćaj izmeĎu VLAN mreža i pomoću kojih se primenjuju ograničenja

4

(polise) koje se odnose na mrežni saobraćaj, npr. odabir putanja, prevoĎenja adresa i

firewall, QoS, ACL, redistribucija izmeĎu protokola rutiranja uključujući statičko rutiranje,

definisanje emisionih i grupnih domena.

3. Sloj pristupa (access layer): Kontroliše pristup korisnika i radnih grupa resursima

umreženog okruženja. Pristupni ureĎaji su svičevi 2. sloja i biraju se prema potrebnom

broju portova. Pristupni ureĎaji se koriste za povezivanje krajnnjih korisnika sistema u

računarsku mrežu i za dodeljivanje virtualnih LAN mreža (VLAN).Funkcije koje obavlja

sloj pristupa su kontinuirana (sa sloja distribucije) kontrola pristupa, kreiranje zasebnih

kolizionih domena, spajanje radnih grupa u sloju distribucije. Statičko rutiranje (umesto

protokola dinamičkog rutiranja) se takoĎe koristi na pristupnom sloju.

2. PROJEKTNI ZADATAK

2.1 Zahtevi i organizacija

Svi ureĎaji korišćeni u datom mrežnom rešenju su visoko kompatibalni sa visokim zahtevima

mreže i predstavljalju poslednju generaciju Cisco mrežnih ureĎaja. Polazna tačka ovog projekta je

nalaženje i obezbeĎivanje osnovnih problema u mreži kao što su: gde postaviti redundantne ureĎaje,

kako uklopiti bežične ureĎaje (access point), gde ugraditi internet pristup i kako ga kontrolisati, gde

dozvoliti udaljeni pristup , kao što je VPN. Za ovaj projekat predviĎen je odgovarajući sistem za

nadzor i upravljanje mrežom NMS (Network Management System). Sistem treba da omogući

nadzor i upravljanje nad sledećim grupama ureĎaja – mrežni ureĎaji (L2 i L3 svičevi, ruteri), serveri

i drugi ureĎaji koji imaju mogućnost nadgledanja. Sistem za nadzor i upravljanje mrežom

treba da podržava servis za prijem, čuvanje i pretraživanje sistemskih poruka (Syslog- servis

za logovanje sistemskih poruka). Kako bi poruke od mrežnih ureĎaja bile svrstane u pravilnom

redosledu, na centralnom ureĎaju potrebno je da svi mrežni ureĎaji imaju sinhronizovano

vreme. Za sinhronizaciju vremena na mrežnim ureĎajima korišćeni su NTP serveri (NTP-

Network Time Protocol).

Najvažniji zahtevi koji se moraju ispoštovati su:

Sistem mora da podrži veliki promet saobraćaja.

Potrebno je da postoji više VLAN-ova radi razdvajanja organizacionih jedinica

Mora da postoji odreĎena redudansa - obavezno na core sloju

5

Treba da ima mogućnost kvalitetne komunikacije izmeĎu organizacionih jedinica

koristeći IP telefoniju

Bezbednost je od apsolutne važnosti kako bi se minimizirale zloupotrebe mrežnog

sistema, potrebno je da budu postavljeni ASA ureĎaji, primarni i sekundarni

Layer3 switching tehnologija sa podrškom za QoS i security servise i mogućnost

filtriranja saobraćaja na osnovu Layer3 ureĎaja

Organizacija privatne bolnice je uraĎena po svetskim standardima, svrha je omogućiti pouzdanu i

dostupnu mrežu. Bezbednost podataka je od velikog značaja za pacijente. Bolnica ima i svoj web

sajt, preko kojeg klijenti imaju mogućnost da pregledaju raznorazne informacije, prijavljuju se

putem svojih naloga na kojima se nalaze podaci o njihovim pregledima, zdravstvenom stanju,

terapiji i slično. Sistem baza podataka je neizostavni deo informacionog sistema, čuva sve

informacije koje se obraĎuju i obezbeĎuje pristup tim informacijama. Baza treba da sadrži podatke

o bolnici, lekarima, pacijentima i pregledima pacijenata te bolnice. Postoje baze podataka za

praćenje pacijenata u bolnici, tako da uvek može da se dobije podatak kada je odreĎeni pacijent

primljen u bolnicu, koje lekove pije, koji doktor ga leči, na kom je odeljenju i slično. Ukoliko se

desi nekad da doĎe do zagušenja saobraćaja primarne zgrade opšte bolnice, potrebno je da bude

omogućeno preusmeravanje dela saobraćaja sa glavne centrale na filijalu sve dok ne proĎe

zagušenje. Web aplikacija koja se host-uje i održava u sklopu glavne zgrade tj. opšte bolnice, mora

da ima svoju redudansu, odnosno, ako doĎe do pada glavnog servera na kome se ona nalazi

potrebno je klijenta preusmeriti na backup server koji preuzima ulogu primarne lokacije aplikacije.

Isti princip se primenjuje i za DNS server koji takoĎe stoji i održava se u sklopu glavne bolnice i za

ovaj server postoji redudansa koja postaje aktivna ukoliko doĎe do pada glavnog servera. TakoĎe

uspostavljanje odreĎenog nivoa bezbednosti u računarskoj mreži je postalo primarni aspekt

razmatranja prilikom implementacije i upravljanjem mrežom. Sigurnost mreže je postala važnija

nego ikad, ali i mnogo kompleksnija. Preduzeća i dalje treba da se brane od pretnji, štite dragocene

podatke i resurse , i sprovode neophodne kontrole za poštovanje propisa, ali i linija izmeĎu onoga

što je unutra i šta je van. U kasnijim poglavljima je detaljno opisano kako je realizovana bezbednost

mreže unutar privatne bolnice, koje bezbednosne mere su korišćene, protokoli, kao i ASA ureĎaji.

2.2 Arhitektura mreže

U glavnoj zgradi (Building1) je implementirano komunikaciono čvorište, odnosno server sala.

Serveri spadaju u najvažnije komponente poslovne mreže. Serveri su više fizički obezbeĎeni od

6

radnih stanica, i moraju da budu zaštićeni od skokova i padova napona ili prekida u napajanju.

Server sala se sastoji od aplikacionih, web, mail, file, AD i drugih servera koje koriste različiti

korisnici. Ukoliko se nekima pristupa preko interneta, to su serveri koji su smešteni u DMZ zoni i

za njih se primenjuju posebne vrste ograničenja i zaštite. Serveri se dele na interne i na servise koji

će biti dostupni sa internetu. Na primer DNS, DHCP i CUCM su interni servisi i oni se ne stavljaju

u DMZ zonu, a WEB server, EMAIL server su spoljašnji servisi i oni idu u DMZ zonu. Serveri su

povezani preko distribucionog sloja na mrežu, jer se tako najlakše omogućava skalabilnost.

Projektom je predviĎeno da izlaz na internet ide preko firewalla i internet rutera. Firewall i internet

ruter se ne povezuju direktno nego se za to koristi DMZ svič pa preko njega ide link i na njega

dolazi internet veza. Radi veće dostupnosti (high availabilty) preporučljivo je svaki server

povezati duplom vezom sa mrežom (dual-homing). Server sala napravljena je u prizemlju

objekta kako ne bi bila prevelika dužina kablova (Floor0). O tome mora da se vodi računa iz razloga

što je Ethernet dužina do 100m, multimodna optika oko 200m, a singl modna 3km, a to sve dodatno

poskupljuje opremu. U obe zgrade na svakom spratu se nalazi po jedan 48-portni access svič. To su

(layer2) svičevi na koje su povezani razni krajnji ureĎaji kao što su računari, stampači, laptop-ovi,

tableti, VoIP telefoni, sigurnosne kamere. Svi access svičevi povezani su na distributivne (Layer3)

svičeve bakrom, odnosno UTP kablom. Distributivni svičevi povezani su redudantno na core

svičeve koji su takoĎe layer3 ureĎaji.Veza izmeĎu njih mora da bude na 3. nivou. U drugoj zgradi

nema potrebe za dodatnim core svičevima već je samo provučena optika izmeĎu druge i prve

zgrade. Veza izmeĎu sloja jezgra tj. core svičeva i distribucionog sloja tj. distribucionih svičeva

implementirana je kao EtherChannel. EtherChannel je Ciscov pojam za tehnologiju koja

omogućava udruživanje do osam fizičkih Ethernet veza u jednu logičku vezu. Prednost ove veze

je što EtherChannel obezbeĎuje punu dupleksnu propusnost do 800 Mb/s (Fast EtherChannel) ili 8

Gb/s (Gigabit EtherChannel) izmeĎu jednog i drugog sviča. O tome će se kasnije detaljno govoriti.

Cisco nudi široku paletu proizvoda i rešenja kojima se reguliše i bezbednost informacija na

mreži. Uredjaji se razlikuju po hardveru. TakoĎe se razlikuju u brzini procesora,

propusnoj moći, količini RAM-a, broju dozvoljenih konekcija, maksimalnom broju

interfejsa, podršci za failover, mogućnosti za hw IPS.

U ovom projektu implementirani su redudantno ASA ureĎaji serije 5508 koji su projektovani

da obezbede usluge zaštite visokih performansi, kao što su:

Više fizičkih interface-a

Funkcionalnost IEEE 802.1Q protokola za formiranje VLAN interfejsa kao

i podrška za kreiranje 250 virtuelnih interfejsa (VLAN - ova)

7

Max 2,000,000 simultanih sesija i max 150,000 konekcija u sekundi

Ima inicijalnu podršku za 2 SSL VPN korisnika, sa mogućnošću nadogradnje max

10 000

Ima podršku za implementaciju VPN mreža baziranih na IPSec i

L2TP/PPTP, kao i podršku za DES/3DES/AES algoritme enkripcije

Protok 3DES/AES kriptovanog saobraćaja od 1Gbps

Max 10 000 istovremenih site-to-site i remote access VPN sesija

Podržana NAT, Network Address translacija.

Podržana PAT, Port Address translacija.

Podrška za statičko i RIPv2 IP rutiranje izmeĎu interfejsa firewall-a.

Podrška za ruting protokole.

Nadgledanje ureĎaja korišćenjem SNMP i syslog protokola

Podržane AAA funkcije i RADIUS protokol, uz mogućnost autentifikacije prolaza

kroz uredjaj

Filtriranje saobraćaja na aplikativnom nivou za najčešće korišćene Internet

servise (FTP, HTTP, SMTP, DNS, SQLNet, H.323, MGCP, SIP)

3. KABLIRANJE MREŢNOG SISTEMA

3.1. Uvod u strukturno kabliranje

Svojevremno sa pojavom lokalnih računarskih mreža (LAN-ova) nisu postojala nikakva

pravila na osnovu kojih bi se vršilo postavljanje mrežnih kablova (kabliranje) u okviru neke zgrade,

objekta ili izmeĎu njih. Mrežni kablovi su postavljani po svojevoljnom nahoĎenju i proceni

pojedinca obično voĎenih idejom najlakše, najjednostavnije i najkraće putanje. Ovakav način

kabliranja u početku je bio prihvatljiv za sve. MeĎutim, nasumice i bez plana postavljeni kablovi sa

početkom rasta lokalnih računarskih mreža, tj. sa porastom broja računara u lokalnim mrežama,

počinju da predstavljaju problem kako za administratore tih lokalnih mreža tako i za sam razvoj te

mreže. Naime, u haotičnoj i neplanski uraĎenoj mreži vrlo je teško definisati lokaciju kvara i

otkloniti ga u što je moguće kraćem vremenskom roku. Po uraĎenim statistikama oko 80% svih

‟‟padova‟‟ lokalne računarske mreže uzroci su neispravnosti u kablovskom sistemu. Situacija se

dodatno pogoršala uvoĎenjem u primenu novih mrežnih tehnologija, koje funkcionišu na različite

načine i sa različitim kablovima, i sa povećanjem brzina lokalnog mrežnog saobraćaja.

8

Mrežni kablovi su jedan od tri najvažnija činioca u procesu umrežavanja i kao takvi su odgovorni za

prenos električnog ili svetlosnog impulsa od izvora do odredišta, odnosno od predajnika do

prijemnika. Da bi bilo koja mreža funkcionisala bez ometanja mrežni kablovi moraju biti odreĎenog

tipa i kvaliteta. Nije svejedno koji kabl se postavlja i gde. Računarske mreže današnjice rade sa

velikim brzinama prenosa električnih impulsa i omogućavaju brzu razmenu informacija i podataka

ali su istovremeno podložni različitim spoljnim uticajima kao što su vremenske prilike,

elektromagnetna zračenja, fizička dejstva, itd. i koji u velikoj meri mogu uticati na kvalitet i brzinu

prenosa signala kroz kablove. Svi tipovi mrežnih kablova imaju neke zajedničke strukturne osobine,

odnosno zajedničko im je da svi imaju: spoljni omotač, unutrašnji omotač, zaštitni omotač i bakarni

provodnik ili provodnike. Kada su u pitanju optički kablovi oni se razlikuju po svojoj strukturi od

kablova sa bakarnim provodnicima.

Telekomunikaciona infrastruktura u poslovnim objektima vremenom je postala veoma

kompleksna. Nekada se sastojala samo od telefonskih kablova. Danas imamo:

Telefonsku instalaciju

Instalaciju računarske mreže

Instalacija za distribuciju TV slike

Sistem video nadzora

Protiv požarni sistem

Protiv provalni sistem

Sistem kontrole ulaska/izlaska

Polazne pretpostavke su da sistem kabliranja mora da podržava različite servise. Izbor servisa samo

na osnovu povezivanja na odgovarajuću aktivnu opremu. Upotrebni vek kablova je 10 godina.

Generalno kablovi za računarske mreže dele se na tri kategorije:

Twisted pair cables (ili parični kablovi)

Coaxial cables (ili koaksijalni kablovi)

Fiber-optic cables (ili optički kablovi)

3.2 Tipovi kablova u računarskim mrežama i koji su korišćeni za ovaj projekat

Access svičevi u obe zgrade povezani su na distributivne uz pomoć bakra, tj. UTP kabla. UTP

(Unshielded Twisted Pair) mrežni kablovi su fleksibilni (lako savitljivi) i poseduju manji nivo

zaštite na elektromagnetna zračenja. Parični provodnici se sastoje od više tankih bakarnih niti

9

meĎusobno isprepletanih sa ciljem dobijanja odgovarajuće fleksibilnosti celokupnog kabla. Može se

desiti da pri upotrebi ovog tipa kablova doĎe do problema sa tzv. preslušavanjem, tj. da se različiti

signali detektuju u kablu zbog njegove slabe zaštite od elektromagnetnih zračenja (slično

situacijama kada se mešaju signali na stabilnim telefonskim linijama). Za konekciju sa računarima i

mrežnom opremom koriste standardni priključak tip RJ45 (eng. Register Jack). Zbog svoje

fleksibilnosti su pogodni za korišćenje u radnom okruženju korisnika. Dužina ove vrste mrežnog

kabla ne bi trebalo da prelazi 5 do 6 metara. Proizvode se u različitim bojama: bela, žuta, plava,

crvena, itd.

TakoĎe postoje i STP (Shielded Twisted Pair) mrežni kablovi koji su manje fleksibilni od UTP

kablova, ali poseduju veći nivo zaštite od elektromagnetnih zračenja. Parični provodnici se sastoje

od jednog bakarnog provodnika ponaosob i dodatne elektromagnetne zaštite oko svakog para

provodnika. Namenjeni su za postavljanje fiksne mrežne infrastrukture kao što je kabliranje kroz

zidove objekta, provlačenje kroz kablovske kanalice, trajno vezivanje za patch panele i mrežne

ureĎaje (Hub, Switch), postavljanje trasa u spoljnom okruženju (ukopavanjem u zemlju, vazduhom,

itd.). Poseduju jači spoljni omotač otporniji na spoljne uslove (temperaturu, vlagu, habanje, itd.). Za

konekciju sa mrežnom opremom i ureĎajima koristi standardni priključak tip RJ45. Zbog svoje

umanjene fleksibilnosti nije pogodan za česta savijanja i prelamanja jer može doći do prekida

bakarnih provodnika u kablu. Maksimalna dužina kabla je 100 metara. Proizvode se u više boja ali

je najčešće u beloj boji.

FTP (Foil Screened Twisted Pair) mrežni kablovi su najsličniji UTP mrežnim kablovima s‟tim što

poseduju dodatni zaštitni aluminijumski omotač kao zaštitu od elektromagnetnih zračenja i visokog

nivoa šuma. Najčešće se koriste u proizvodnim pogonima i postrojenjima gde bi visok nivo šuma

pravio smetnje (interference). Postoji više podgrupa ovih kablova.

Pošto nije bilo potrebe da i u drugoj zgradi stavljamo core svičeve, idealno rešenje koje je izvedeno

je to da su ti distributivni svičevi povezani optikom na core svičeve glavne zgrade opšte bolnice.

Najveće prednosti optičkih kablova su brzina, male dimenzije, prenos velike količine podataka, ne

osetljivost na električne smetnje. Najveći nedostatak je cena. Optički kablovi se koriste u vrlo

širokom dijapazonu brzina i udaljenosti koju mogu ostvariti. Udaljenosti mogu biti od nekoliko

stotina metara do nekoliko stotina kilometara bez pojačanja signala što najviše zavisi od izvora

svetla koje se koristi i od strukture optičkog vlakna. Strukturno, optičko vlakno se sastoji od dva

koncentrična sloja materijala (staklo, silikon, itd.), unutrašnjeg koje se naziva jezgro i spoljašnjeg

koje se naziva omotač. Unutrašnji sloj ima veći indeks prelamanja od spoljašnjeg sloja zbog čega i

dolazi do refleksije svetlosnog signala, odnosno svetlosni signal se odbija ka centru jezgra. Putanje

10

pod kojim svetlosni signali ulaze u optički provodnik se nazivaju modovi pa se i optički kablovi

generalno dele na dve klase: Single-mode (SMF) optički kabl i Multi-mode (MMF) optički kabl. Ti

modovi su podeljeni na nivoe pa u skladu sa tim mod najnižeg nivoa ima najkraću putanju dok mod

najvišeg nivoa ima najdužu putanju. Single-mode optički kablovi su dizajnirani za prenos samo

jednog optičkog signala, velikim brzinama, na velike udaljenosti. Ovaj tip optičkih kablova sadrži

po jedno optičko vlakno najmanjeg poprečnog preseka što omogućava vrlo niske gubitke i velike

brzine prenosa podataka. Oprema za single-mode optičke kablove je mnogo skuplja od opreme za

multi-mode optičke kablove jer se kao svetlosni izvori koriste laseri ali sam singl-mode kabl je

obično jeftiniji od multi-mode kabla. Najčešće se koriste za meĎusobno povezivanje mreža na

velikim rastojanjima, povezivanje mreža u okviru jednog grada, gradova, država ili kontinenata.

Multi-mode optički kablovi su dizajnirani za prenos više istovremenih optičkih signala, različito

modulisanih, ali za razliku od Single-mode kablova ne mogu premostiti veće udaljenosti,

maksimalno do 2 kilometra. Namenjeni su umrežavanju na nivou zgrada, naselja, itd. Generalno, sa

ovom vrstom optičkih kablova se postižu manje brzine prenosa podataka ali koje su i dalje iste ili

brže od tehnologija koje za prenos informacija koriste električne impulse kroz bakarne provodnike.

Brzine prenosa ostvarene kroz ovaj tip kabla se kreću od 10MB/s do 10GB/s na rastojanjima do 600

metara. Klasifikacija je uraĎena na osnovu njihovih karakteristika po meĎunarodnom standardu i to:

OM1 i OM2 standardi podržavaju brzine (u Ethernet tehnologiji) od 10 MB/s do 1 GB/s dok OM3

standard je namenjen brzinama do 10 GB/s. Primena ovih kablova i tehnologije je jeftinija od

Single-mode tehnologije jer u svom radu kao izvor svetlosti uglavnom koriste specijalne LED diode

koje su mnogostruko jeftinije od laserske tehnologije. Naime, jedan od ograničavajućih faktora

brzine prenosa signala kada je u pitanju Multi-mode tehnologija je i to što se u svom radu oslanjaju

na LED diode jer po svojoj prirodi rada one ne mogu postići veću brzinu paljenja i gašenja. Za

dostizanje brzina od 10 Gb/s kao izvor svetlosti se mora koristiti laser. Na slici su dati primeri

Single-mode i Multi-mode optičkih kablova:

Slika 3.2: Primer Single-mode i Multi-mode optičkih kablova

11

Realnu suštinsku prednost strukturnog kabliranja predstavlja upotreba jedinstvenog

kablovskog sistema za sve instalacije kojima se prenose bilo kakve informacije u odreĎenom

frekventnom opsegu. Taj sistem obuhvata prenos audio-video signala, komandnih (upravljačkih)

signala i brz prenos podataka. Koncept strukturnog kabliranja treba da omogući da se posle

instalacije kablova cela mreža prekonfiguriše na drugačiji način u zavisnosti od potreba korisnika

ali bez ikakve intervencije na samim kablovima duži vremenski period, oko 20 godina. Taj cilj je

ostvaren korišćenjem razdelnika, odnosno namenskih aktivnih ureĎaja odreĎene tehnologije

(Switch-vi, telefonske centrale, itd.). Neke od glavnih prednosti strukturnog kabliranja bile bi:

fleksibilnost sistema, jednostavna i efikasna administracija mreže, skalabilnost (lako proširivanje

mreže u skladu sa potrebama), nezavisnost od tipa aktivnih ureĎaja računarske i telefonske mreže,

priključenje opreme koja nema odgovarajuće konektore korišćenjem adaptera, smanjenje troškova

održavanja nakon instalacije sistema (nema dodatnih ulaganja sredstava).

3.3 Sistemi strukturnog kabliranja

Sistemi strukturnog kabliranja se realizuju na 3 nivoa:

Horizontalno kabliranje

Vertikalno kabliranje

Kabliranje kampusa

Horizontalno kabliranje ili kabliranje spratova u datom projektu se odnosi na deo kablovskog

sistema izmeĎu spratnog razdelnika i zidne utičnice. Konceptom strukturnog kabliranja je odreĎeno

da se na delu sistema izmeĎu spratnog razdelnika i zidne utičnice koriste (postave/instaliraju)

bakarni parični kablovi kategorije 5e ili 6 (Cat5e ili Cat6) ili optički Multi-mode kablovi pri čemu

maksimalna dužina bakarnih kablova ne sme da preĎe 90 metara dužine. U slučaju da se koriste

optički kablovi sistem nosi naziv FTTD (Fiber To The Desk). Standardi predviĎaju upotrebu dve

vrste Multi-mode optičkih kablova i to kablove sa jezgrom. Horizontalno kabliranje obuhvata

najveći broj kablova u celom kablovskom sistemu pa samim tim zahteva i najveći utrošak vremena

za instalaciju. Vertikalno kabliranje se odnosi na deo kablovskog sistema koji povezuje spratne

razdelnike sa razdelnikom zgrade (objekta). Najjednostavnije ga je predstaviti kao kičmu mreže

izmeĎu spratova objekta koji se umrežava pa nosi i naziv kičma zgrade. Po standardima pri

vertikalnom kabliranju za prenos podataka i video signala se koriste Multi-mode optički kablovi

dok za prenos alarmnih, upravljačkih i govornih signala se koriste bakarni parični provodnici

kategorija Cat5e i Cat6. Dužina kablova za vertikalno kabliranje ne bi trebalo da preĎe 500 metara

dužine po standardima. Vertikalno kabliranje u slučaju topologije ovakvog tipa, ima relativno

12

prosto rešenje koje opslužuje potrebe zahteva. Ovde je adekvatno koristiti multimodno optično

vlakno. Ovaj način kabliranja je vrlo sličan vertikalnom kabliranju jer se za prenos podataka i video

signala koriste Multi-mode optički kablovi dok za prenos alarmnih, upravljačkih i govornih signala

se koriste bakarni parični provodnici kategorija Cat5e i Cat6. Dužina kablova za kabliranje ne sme

preći 1500 metara.

3.4 Uzemljenje

Svi rek ormani moraju da budu uzemljeni. Preko rek ormana i patch panela, svi kablovi za zaštitom

(screened) moraju da budu uzemljeni. Razlika potencijala uzemljenja izmeĎu bilo koje dve tačke u

zgradi ne sme da preĎe 1V r.m.s.

4. TOPOLOGIJA MREŢE

4.1 Prikaz topologije mrežnih ureĎaja u projektu

Topologija predstavlja fizički izgled ili oblik mreže. U čvorovima mreže nalaze se radne

stanice, koje su meĎu sobom povezane komunikacionim putevima. Mrežna topologija se odnosi

kako na fizički raspored računara, tako i na način na koji su oni logički povezani. Fizički raspored

računara zovemo fizička topologija, a način na koji su oni povezani logička topologija. Da bi mreža

uspešno radila, potrebno je pažljivo isplanirati mrežnu topologiju. Za svakog administratora jako je

bitan dijagram topologije koji predstavlja vizualnu mapu računarske mreže i na kojoj je dat pregled

13

kako su ureĎaji u mreži povezani. Nekada su računari komunicirali slanjem poruka zajedničkim

komunikacionim kablom ili preko haba i mreže su imale topologiju magistrale. Danas se obično

koriste svičevi, pa mreže imaju topologiju zvezde koja podrazumeva da se sva komunikacija odvija

preko nekog centralnog čvora (obično sviča ili rutera). U projektu su svi krajnji ureĎaji povezani na

access svič i to je topologija zvezde. Topologija zvezde prisutna je i kod bežičnih mreža (kakvu

možda imate kod kuće), gde je više računara povezano sa centralnom pristupnom tačkom (engl.

acces point) i sva se komunikacija odvija preko te pristupne tačke.

4.1.1: Prikaz topologije u Zgradi1 – opšta bolnica, 0.sprat

Način komunikacije u takvim bežičnim mrežama opisan je standardom Wireless (WiFi,

1EEE802.11). Kod topologije prstena računari su kružno povezani i podaci od jednog do drugog

računara putuju preko računara koji se nalaze izmeĎu njih. Na slici 4.1 prikazana je topologija

ureĎaja, kako su oni fizički povezani.

U obe zgrade na svakom spratu rasporeĎena su različita odeljenja sa kojima raspolaže bolnica.

Na nultom spratu prve zgrade kao što vidite nalaze se razni krajnji ureĎaji, računari, stampači, svi

su povezani sa access svičem i taj link je trunk kako bi na primer mogle da se razmenjuju

informacije o vlan-ovima. TakoĎe tu je u access point koji obezbeĎuje bežičnu mrežu i na njega su

povezani laptop-ovi, smart telefoni i tableti, njemu se promeni samo SSID i telefonu ili tabletu, i oni

se tako prikače i time je obezbeĎen odličan signal, isto tako je postavljeno i na ostalim spratovima

zgrade. Postoji i mogućnost kvalitetne komunikacije uz pomoć IP telefona koji se nalaze na svakom

spratu. Postavljeni su distributivni i core svičevi (layer 3 svičevi) koji obezbeĎuju rutiranje uz

pomoć ip adresa. Zbog ograničenja dužine kablova na ovom spratu napravljena je i dmz zona sa

svim potrebnim serverima koji su tu da opslužuju korisnike. Serveri koji se nalaze na nultom spratu

i koji su neophodni za rad u mreži su:

AD server(AD, DHCP, i DNS)

Proxy server

CUCM server

WEB server

Mail server

FTP server

14

4.1.2 Prikaz DHCP servisa

IP adrese servera

AD server (AD, DHCP, DNS) 10.0.32.11

Proxy server 10.0.32.12

CUCM server 10.0.33.11

WEB server 172.16.0.11

Mail server 172.16.0.12

FTP server 172.16.0.13

TakoĎe radi bezbednosti i zaštite postavljeni su i ASA ureĎaji serije 5508. Postoji primarni i

sekundarni. Cisco ASA može osigurati nadzor prometa koji uključuje i pregled mreže i

sadržaja, čime se zaustavljaju i potencijalne pretnje (kao što su crvi, zlonamerni programi,

itd.) i time se štite svi važni protokoli, servisi, krajnji korisnici kao i lokalna mreža uopšteno.

15

4.2 Mrežna oprema

Izbor i nabavka računarske i mrežne opreme, projektovanje mrežne infrastrukture,

konfigurisanje i održavanje mreže, kao i hardverska, softverska i korisnička podrška samo su neki

od zadataka koji se danas postavljaju pred administratore IT infrastrukture. Savremena mrežna

oprema omogućava lako žično i bežično povezivanje, efikasno upravljanje opterećenjem radi

povećanja brzine prenosa podataka, kao i optimizaciju za specifične namene, poput prenosa govora

i video signala u realnom vremenu, čak i u slučaju snimaka HD kvaliteta. U tabelama 4.2.x

prikazana je mrežna oprema koja je korišćena za potrebe ovog projekta.

Tabela 4.2.1 Zgrada1- Access svičevi

Lokacija Naziv Model Cena

0. sprat accsw10-1 WS-C2960X-48FPS-L 2,136.00 €




Tabela 4.2.2 Zgrada1 – Distribution Svičevi


0. sprat DSW1F0B1 WS-C3650-24TS 2,461.16 €


4.2.3 Zgrada 2 – Access svičevi




16

4.2.4 Zgrada 2 – Distribution Svičevi




4.2.5 Core svičevi


1. zgrada - 0. sprat CoreSW1 WS-C3850-24T 3,368.79 €

1. zgrada - 0. sprat CoreSW2 WS-C3850-24T 3,368.79 €

4.2.6 ASA FIREWALL


1. zgrada - 0. sprat frwint-pri ASA5508-X 1,130.57 €

1. zgrada - 0. sprat frwint-sec ASA5508-X 1,130.57 €

4.2.7 DMZ svič


1. zgrada – 0. sprat dmzsw WS-C2960X-24TS-LL 613.31 €

4.2.8 Internet ruter


1. zgrada – 0. sprat intrt ISR4331/K9 1,038.04 €

17

4.2.9 Access Point


1. zgrada – 0. sprat accap10-1 AIR-AP1832I-E-K9 614.68 €






4.3 Fizičko povezivanje ureĎaja - Zgrada 1.

Sledeće tabele pokazuju kako su ureĎaji fizički povezani u mreži i koji portovi su iskorišćeni,

kako bi kasnije moglo lakše da se pristupi mreži i proširi ako bude bilo potrebe.

4.3.1 Distributivni svič - DSW1F0B1

Port Opis Udaljeni uređaj Port Etherchannel

Gigabit1/0/1 ka_accsw10-1 accsw10-1 Gigabit0/23




Gigabit1/0/19 ka_ CoreSW1 CoreSW1 Gigabit1/0/1 11




Gigabit1/0/23 ka_ DSW2F0B1 DSW2F0B1 Gigabit1/023 1


4.3.2 Distributivni svič - DSW2F0B1








18





4.3.3 Access svič accsw10-1

Port Opis Udaljeni uređaj Port

FastEthernet0/23 ka_ DSW1F0B1 DSW1F0B1 Gigabit0/1














4.3.7 Core Svič - CoreSW1


Gigabit1/0/1 ka_ DSW1F0B1 DSW1F0B1 Gigabit1/0/19 11








Gigabit1/0/11 ka_AD_serveru

19

Gigabit1/0/12 ka_CUCM

Giagabit1/0/13 ka_Proxy_serveru

Gigabit1/0/21 ka_dmzsw dmzsw Gigabit0/23



4.3.8 Core Svič CoreSW2










Gigabit1/0/11 ka_AD_serveru

Gigabit1/0/12 ka_CUCM

Gigabit1/0/13 ka_Proxy_serveru

Gigabit1/0/21 ka_dmzsw dmzsw Gigabit0/24



Ovde je prikazana glavna veza izmeĎu access, distributivnih i core svičeva prve glavne zgrade, kao

i logički interfejsi za portchannel. U kasnijim poglavljima prikazaće se i kako su fizički povezani

ureĎaji u DMZ zoni, kao i bezbednosni ASA ureĎaji. TakoĎe portovi koji su povezani preko access

svičeva na krajnje ureĎaje su napisani isključivo u projektu koji je uraĎen u PacketTraceru.

4.4 Fizičko povezivanje ureĎaja - Zgrada 2.

U sledećim tabelama biće prikazana fizička topologija, tj. kako su ureĎaji povezani i koji portovi su

iskorišćeni u drugoj zgradi.

4.4.1 Distributivni svič DSW1F0B2




Gigabit1/0/19 ka_ CoreSW1 CoreSW1 Gigabit1/0/5

20




Gigabit1/0/23 ka_ DSW2F0B2 DSW2F0B2 Gigabit1/023


4.4.2 Distributivni svič DSW2F0B2










4.4.3 Access swič accsw20-1




4.4.4 Access swič accsw21-1




5. MREŢNI UREĐAJI

Mrežni ureĎaji su sastavni deo svake mreže optimizijući njene perfomanse i omogućavajući

maksimalno korišćenje njenih resursa. To su elektronski ureĎaji koji zauzimaju centralno mesto i

bez kojih se ne može zamisliti rad bilo koje mreže. Postoji više vrsta mrežnih ureĎaja čija podela je

na osnovu njihove uloge u radu mreže i njihovih tehničkih mogućnosti.

21

Tipovi mreţnih ureĊaja:

Mrežni pristupni ureĎaji (Network Access Devices)

- Svičevi (Switches)

- Bežični AP (wireless access points)

UreĎaji koji povezuju različite mreže (Internetworking Devices)

- Ruteri (routers)

Sigurnosni ureĎaji (Security Devices)

– Firewalls

Poslednjih nekoliko decenija, svedoci smo rapidnog razvoja IT tehnologija. Ovaj segment

tehnološkog prostora napredovao je toliko da je realno nemoguće da jedan IT profesionalac isprati

sve inovacije na polju hardvera i softvera. Konstantni razvoj mrežnih tehnologija i ureĎaja

omogućio nam je uživanje u svakodnevnim aktivnostima na internetu, pristup filmovima, video i

audio sadržajima, muzici, internet pozivima i brojne druge pogodnosti. UreĎaji i protokoli koji sve

ovo omogućuju, za prosečne korisnike nisu transparentni, ali za profesionalce iz oblasti računarskih

mreža predstavljaju svakodnevni izazov. Kada govorimo o mrežnim ureĎajima svič (eng. switch) i

ruter (eng. router) su nezaobilazne teme. Ova dva ureĎaja predstavljaju srž svake računarske mreže i

arhitektura savremene mreže je gotovo nezamisliva bez njihove upotrebe. Kontinualno

unapreĎivanje performansi ovih ureĎaja donelo je pregršt novih mogućnosti i inovacija na polju

računarskih mreža. Stalni razvoj uzrokovao je i da svičevi postepeno poprime osobine rutera i

zamene rutere u nekim segmentima. Postepeno je ovakvom tipu sviča dodeljen naziv kojeg bi smo

preveli kao “višenivoovski” svič (eng. multiLayer switch). Tako je nastao MultiLayer Switching (u

daljem tekstu MLS) kao novi koncept u mrežnim tehnologijama.

5.1 OSI model - Podsetnik

Pre bilo kakve priče o MLS-u korisno je podsetiti se OSI referentnog modela, a zatim i

klasičnog svičing-a. OSI referentni model predstavlja arhitekturni standard u mrežnim sistemima.

Ovaj slojeviti model objašnjava način komunikacije izmeĎu mrežnih ureĎaja i definiše protokole za

svaki sloj. OSI model se sastoji od 7 nezavisnih ali meĎusobno povezanih slojeva (layers)

kroz koji moraju da proĎu podaci na svom putu od izvorišta do odredišta.

22

Sedam slojeva OSI modela mogu se razvrstati u dve kategorije: viši, i niži sloj. Viši slojevi,

od petog do sedmog, bave se stvarima bitnim za aplikacije. Ovi slojevi su uglavnom realizovani u

softveru. Niži slojevi, od 1 do 4, bave se prenosom informacija kroz mrežu. Mogu se realizovati u

hardveru, softveru i/ili firmveru, odnosno, sistemskom softveru u čipovima.

Slika 5.1 OSI referentni model

Sloj aplikacije (Application layer) OSI modela predstavlja tačku gde korisnici uistinu komuniciraju

sa računarom, pruža korisnički interfejs. Ovaj sloj ulazi u “igru” samo kada je očigledno da će

uskoro biti potreban pristup mreži. Uzmimo slučaj Internet Explorera (IE). Možemo da

deinstaliramo svaki trag mrežnih komponenti iz sistema, kao što su TCP/IP1, mrežna kartica, itd; ali

i dalje ćemo moći da koristimo IE za prikazivanje za prikazivanje lokalnog HTML2 dokumenta –

bez problema. Ipak stvari će definitivno postati mnogo haotičnije ako pokušamo da uradimo nešto

poput prikazivanja HTML dokumenta koji mora da se preuzme korišćenjem HTTP-a3, ili da

preuzmemo datoteku uz pomoć FTP-a4. To se dešava zato što će IE, odgovoriti na zahteve kao što

su ovi, pokušavajući da pristupi sloju aplikacije. Zapravo, sloj aplikacije se ponaša kao interfejs

izmeĎu izmeĎu stvarnog aplikacionog programa - koji uopšte nije deo slojevite strukture – i

sledećeg sloja ispod, pružajući načine da aplikacija pošalje informacije naniže kroz stek protokola.

1 TCP/IP skup protokola - Transmission Control Protocol / Internet Protocol

2 HTML - HyperText Markup Language: HTML predstavlja jezik za označavanje hiperteksta i hipermedija

(teksta, slike, zvuka, videa i drugih meĎusobno povezanih objekatapomoću linkova) meĎusobno povezanih objekata

pomoću linkova 3 HTTP - HyperText Transfer Protocol: protokol namenjen prenosu informacija na webu

4 FTP - File Transfer Protocol – služi za prenošenje fajlova

23

Drugim rečima, IE se ne nalazi unutar sloja aplikacije, već komunicira sa protokolima sloja

aplikacije kada je potrebno da “posluje” sa udaljenim resursima. Sloj aplikacije je takoĎe zadužen

za identifikovanje i uspostavljanje dostupnosti namenjenog komunikacionog partnera i za

odreĎivanje da li postoji dovoljno resursa za željenu komunikaciju. Glavni primeri su prenosi

datoteka i elektronske pošte, kao i aktiviranje daljinskog pristupa, aktivnosti upravljanja mrežom,

procesi klijent/server i lokacija informacija.

Sloj prezentacije (Presentation Layer) je dobio ime po svojoj nameni: prezentuje podatke sloju

aplikacije i zadužen je za prevoĎenje podataka i kodno formatiranje, vrši obradu kao što je

šifrovanje. Uspešna tehnika prenosa podataka je prebaciti podatke u standardni format pre njihovog

prenosa. Računari su konfigurisani da primaju ove generički formatirane podatke i da zatim

konvertuju podatke nazad u njihov osnovni format da bi ih pročitali (na primer, EBCDIC5 u

ASCII6). ObezbeĎujući usluge prevoĎenja, sloj prezentacije osigurava da će podatke prenete sa

sloja aplikacije jednog sistema moći da pročita sloj aplikacije drugog sistema. Za ovaj sloj su vezani

zadaci kao što su komprimovanje podataka, dekomprimovanje, šifrovanje i opisivanje. Neki

standardi sloja prezentacije su takoĎe uključeni u multimedijalne operacije, koji služe za

usmeravanje prezentacije grafike i slika.

Sloj sesije (Session Layer) je zadužen za pripremanje, upravljanje, a zatim i prekidanje sesija

izmeĎu entiteta sloja prezentacije. Ovaj sloj, takoĎe obezbeĎuje kontrolu dijaloga izmeĎu ureĎaja ili

čvorova. Sloj sesije kordinira komunikaciju izmeĎu sistema i služi da organizuje njihovu

komunikaciju, tako što nudi tri različita režima: simpleks, poludupleks i punidupleks. Evo nekih

primera protokola i interfejsa sloja sesija (po Cisco uslovima):

Network File System NFS (mrežni sistem datoteka) Ovaj system je razvio Sun

Microsystem i koristi se sa TCP/IP i Unix radnim stanicama kako bi se omogućio

transparentni pristup udaljenim resursima.

Structured Query Language, SQL (strukturiran jezik za upite) Ovaj jezik je razvio IBM

da bi ponudio korisnicima jednostavniji način za definisanje njihovih zahteva za

informacijama, kako na lokalnim, tako i na udaljenim sistemima.

Remote Procedure Call, RPC (daljinsko pozivanje procedura) Klijentsko/serverski alat za

preusmeravanje koji se koristi za različita uslužna okruženja. Procedure ovog protokola se

kreiraju na klijentima, a izvršavaju na serverima.

5EBCDIC- Extended Binary Coded Decimal Interchange Code

6ASCII - American Standard Code for Information Interchange

24

AppleTalk Session Protocol, ASP (AppleTalk protokol sesije) Još jedan mehanizam

klijent/server koji uspostavlja i održava sesije izmeĎu AppleTalk klijentskih i serverskih

računara.

Transportni sloj (Transport Layer) segmentira i ponovo sakuplja podatke u tok podataka. Servisi

smešteni na transportnom sloju segmentiraju i ponovo sakupljaju podatke iz aplikacija gornjih

slojeva i sjedinjuju ih u isti tok podataka. Ovi servisi nude usluge transporta podataka od kraja do

kraja i mogu da uspostave logičku konekciju izmeĎu matičnog računara koji šalje podatke i

matičnog računara koji prima podatke u umreženom okruženju. Najpoznatiji protokoli transportnog

sloja su TCP koji pruža pouzdan servis, a UDP ne. Transportni sloj je zadužen za obezbeĎivanje

mehanizama za multipleksiranje aplikacija gornjih slojeva, uspostavljanje sesija i prekidanje

virtuelnih krugova. Prеuzima odgovornost za pouzdanost prenosa podataka i njihovu celovitost.

Sloj mreže (Network Layer) upravlja adresiranjem ureĎaja, prati lokaciju ureĎaja u mreži i odreĎuje

najbolji način za premeštanje podataka, što znači da sloj mreže mora da transportuje saobraćaj

izmeĎu ureĎaja koji nisu lokalno spojeni. Ruteri (ureĎaji 3. sloja) se odreĎuju na sloju mreže i

pružaju servise rutiranja unutar umreženog okruženja. Jedna od osnovnih funkcija mrežnog sloja

jeste dodeljivanje i evidentiranje logičkih adresa, koje identifikuju mrežne čvorove. Uobičajeno je

preslikavanje logičkih mrežnih adresa u ogovarajuće hardverske adrese. Zbog toga, mrežne adrese

ne identifikuje računar, već neki njegov hardverski interfejs. Ovaj sloj je takoĎe odgovoran za

utvrĎivanje putanje za prenos paketa kroz mrežu.

Sloj povezivanja podataka (Data Link Layer) omogućava fizičko prenošenje podataka i upravlja

obaveštavanjem o greškama, topologijom mreže i kontrolom toka. To znači da sloj povezivanje

podataka osigurava da će poruke biti isporučene odgovarajućem ureĎaju u lokalnoj mreži

korišćenjem hardverskih adresa i prevodi poruke iz sloja mreže u bitove radi prenosa na fizički sloj.

Sloj povezivanja podataka oblikuje poruku u deliće, gde se svaki od njih naziva okvir podataka

(data frame) i dodaje prilagoĎeno zaglavlje koje sadrži hardversko odredište i izvornu adresu.

IEEE Ethernet sloj povezivanja podataka ima dva podsloja:

1. Media Access Control, MAC (kontrola pristupa mediju) Definiše kako se paketi smeštaju na

medij. Konkurentski pristup mediju je pristup “prvi došao/prvi uslužen”, gde svi dele isti

propusni opseg. Ovde se definiše fizičko adresiranje, kao i logička topologija.

2. Logical Link Control, LLC (kontrola logičke veze) Zadužen je za identifikovanje protokola

sloja mreže, a zatim za njiovo enkapsuliranje. LLC zaglavlje govori sloju povezivanja

25

podataka šta da radi sa paketom kada dobije okvir, tj. frejm. LLC takoĎe omogućava

kontrolu toka i sekvenciranje kontrolnih bitova.

Fizički sloj (Physical Layer) Obavlja dve stvari: šalje bitove i prima bitove. Bitovi dolaze samo

u vrednostima 1 ili 0 – Morzeov kod sa numeričkim vrednostima. Ovaj sloj definiše (električne

i optičke) osobine mreže. Kroz fizički medijum - bilo da je u pitanju koksijalni kabl, bakarna

parica, vazduh ili optičko vlakno - prenose se informacije. TakoĎe ovaj sloj je mesto gde se

identifikuje interfejs izmeĎu terminalske opreme (Data Terminal Equipment, DTE) i opreme za

prenos podataka (Data Communication Equipment, DCE).

5.2 Layer 2 svič

Klasičan svičing obavlja se na nivou L2. Za prosleĎivanje paketa koristi se fizička tj.

MAC adresa. Gotovo svi današnji svičevi se lako instaliraju i sposobni su da samostalno nauče i

mapiraju MAC adrese mrežnih ureĎaja na odgovarajući fizički port odnosno interfejs. Broj

interfejsa zavisi od modela i karakteristika sviča. Učenje se odvija korišćenjem specijalnih

tabela koje su zbog brzine najčešće hardverski implementirane (Application Specific Integrated

Circuits ili skraćeno ASIC). Ove tabele se sreću pod nazivom CAM odnosno MAC tabele

(Cisco koristi CAM terminologiju). Kako bi se ostvarili svi zahtevi mrežne infrastrukture

potrebno je koristiti više tipova svičeva koji će, svako na svoj način uticati na pravilan rad i

funkcionisanje topološkog sistema. Ovi svičevi koji rade na layer 2 nivou su u projektu

postavljeni kao access svičevi, serije 2960 sa 48 portova i nalaze se na svakom spratu u prvoj

glavnoj, kao i drugoj zgradi privatne bolnice, oni su u client modu i povezani su redudantno na

distributivne svičeve i uz pomoć njih primaju različite informacije koje su neophnodne za rad i

organizaciju mreže. Kada paket stigne na odreĎeni port, posmatra se izvorna i odredišna fizička

(MAC) adresa. Izvorna adresa se koristi za učenje o ureĎajima na mreži, dok se odredišna

koristi za prosleĎivanje paketa. U tabeli se unosi zapis koji sadrži izvornu fizičku adresu i broj

porta na koji je pristigao paket sa izvornom adresom. Odredišna adresa se koristi za odreĎivanje

porta na koji treba proslediti paket. U tabeli se zatim vrši pretraga koja adresa kom portu

odgovara. Ako se pronaĎe mapiranje paket se prosleĎuje na odgovarajući port. Na ovaj način

svičevi prosleĎuju saobraćaj samo na odgovarajući port, za razliku od hub ureĎaja koji

prosleĎuju na svim portovima osim na port sa kog je stigao paket. Jedini slučaj kada će svič

proslediti paket na sve portove je kada proces učenja nije završen, drugim rečima kada svič

nema apsolutno nikakvu informaciju o odredišnoj adresi. Što se tiče tehnika za prosleĎivanje

26

paketa, u svičevima mogu da se naĎu dve najpoznatije: Cut-Through i Store-and-Forward. Kod

prve tehnike, zbog brzine, paket se prosleĎuje odmah nakon analiziranja odredišne adrese, dok

se kod druge paket analizira u celini i prosleĎuje jedino ako nema grešaka.

5.3 Ruter i rutiranje

Kao što svičevi marljivo rade na nivou L2 tako su ruteri zaduženi za saobraćaj na višim

nivoima, posebno na nivou L3. Najčešći protokoli u komunikaciji na L3 nivou su IPv4, IPv6, IPX i

IPSec. Naravno danas je najzastupljeniji IPv4 protokol sa svojim adresama dužine 32 bita. Zbog

nedostatka IP adresa, pitanje trenutka je kada će IPv6 sa svojim IP adresama od 64 bita postati

svakodnevnica. Glavna funkcija rutera je rutiranje paketa izmeĎu mreža. Ruteri za to koriste tabele

za rutiranje i jedan ili kombinaciju više protokola za rutiranje. O načinu rutiranja i protokolima za

rutiranje koji su korišćeni u ovom projektu će se govoriti kasnije. Za razliku od svičeva gde su

MAC tabele implementirane hardverski, kod rutera, tabele za rutiranje su implementirane

softverski. Ruteri održavaju tabele za rutiranje. Postoji kriterijum za izbor najbolje putanje (metrika

putanje). Kad ruter primi paket na jednom interfejsu, na osnovu sadržaja svoje tabele za rutiranje

odreĎuje interfejs po kojem prosleĎuju paket. Sam proces analiziranja IP adresa, provera paketa i

rutiranje zahteva znatno duži vremenski period u odnosu na svičeve gde se prosleĎivanje paketa

odvija skoro neprimetno. Zato je ruterima, iako imaju mnogo prednosti, glavna mana – vreme

potrebno za procesiranje paketa. Danas, razvojem novih tehnologija ovo postaje realan problem.

5.4 Multilayer Switching

Do pre nekoliko godina, postojala je jasna granica izmeĎu svičeva i rutera. Svičevi su radili na

nivou L2, analizirali MAC adresu i nisu imali pojma šta je to IP adresa. Nasuprot njima ruteri su

radili i još uvek rade na višim nivoima, analiziraju IP adresu i koriste protokole za rutiranje kako bi

uspešno dopremili paket na željenu IP adresu u mrežnom svetu. MeĎutim, sa razvojem novih

tehnologija raste i potreba za bržom propagacijom paketa izmeĎu mreža. Trenutna implementacija

rutera i standardi ne omogućavaju potrebne performanse. Potrebna je znatno brža komunikacija

koja se može porediti sa brzinom rada svič ureĎaja. Iz ovog razloga, zadnjih godina, veliki broj

proizvoĎača briše granicu izmeĎu svičeva i rutera. Tako je svetlost dana ugledao novi ureĎaj nazvan

multinivoovski svič (eng. multilayer switch), a samim tim roĎen je i novi koncept multilayer

switching ( u daljem tekstu MLS). MLS predstavlja koncept u kome je objedinjen klasičan svičing i

27

rutiranje. Svič sa ovom karakteristikom radi kao običan (L2) svič, ali ima mogućnosti da u

zavisnosti od podešavanja radi i na višim nivoima, najčešće na nivou L3 za potrebe rutiranja paketa.

Prednost ovog koncepta je što se zadržava brzina žice, jer su tabele za rutiranje najčešće hardverski

implementirane. Zato se ovi svičevi ugraĎuju u mrežama gde je potrebna brza propagacija paketa.

Slično ruterima i ovde se koriste osnovni protokoli za rutiranje tipa: RIP, RIPv2, OSPF, EIGRP i

ostali. Ovi layer 3 svičevi implementirani su u projektu kao distributivni i core svičevi radi

obezbeĎivanja rutiranja, QoS, ACL i sl. Tehnike za implementaciju MLS koncepta su od

proizvoĎača do proizvoĎača, uglavnom slične. U daljem tekstu data je uprošćena ilustracija kako to

radi gigant u proizvodnji mrežne opreme na svetu, kompanija Cisco.

Da bi MLS bio moguć neophodne su sledeće komponente:

MultiLayer Switching – Switching Engine (skraćeno - MLS-SE) je svič koji podržava MLS.

Neophodna je kartica koja predstavlja deo hardvera u sviču koji obavlja forwarding paketa,

održava keš tabelu i komunicira sa MLS ruterom. Ovu karticu Cisco naziva NetFlow

Feature Card (u daljem tekstu NFFC).

MultiLayer Switching – Route Processor (MLS-RP) je eksterni ruter ili ugraĎeni modul u

sviču koji ima funkciju rutera. MLS-RP služi da rutira pakete korišćenjem standardnih

protokola (RIP, RIPv2, OSPF, EIGRP itd.), primeni pravila ACL-a (Access Controll List –

kontrola pristupa) i još neke dodatne funkcionalnosti. Generalno, varijanta ugraĎenog

modula koji glumi funkciju rutera je bolje rešenje. Ovom varijantom se dobija na brzini, jer

nema prosleĎivanja paketa do eksternog rutera, nego se sve završava u sviču. MeĎutim,

dobitak na ovoj brzini je mali. Za ogromno povećanje brzine je zaslužna NFFC i MLS

proces o kome će biti vise reči kasnije.

MultiLayer Switching Protocol (MLSP) je MLS protokol kojeg izvršava MLS-RP. Ovaj

protokol se koristi u komunikaciji izmeĎu MLS-RP i MLS-SE, tačnije izmeĎu MLS-RP i

NFFC, jer NFFC pripada MLS-SE.

Prednosti i Nedostaci Multilayer Switching-a

Za MLS se može reći da ima mnogo prednosti, a malo mana. Neke od najbitnijih su:

Brzina – ovo je najveća, ujedno i najbitnija prednost pa čak i razlog zbog kojeg MLS

postoji. Brzina je postignuta hardverskom implementacijom svih bitnijih funkcija. NFFC

igra glavnu ulogu u ovome.

28

Transparentnost – krajnji ureĎaji ne zahtevaju nikakvu konfiguraciju. Mrežna struktura se ne

menja. Dodanta pogodnost je što MLS koristi DHCP.

Manja investicija – ako već postojeći svič podržava MLS, mogu se ugraditi kartice (na

primer NFFC) koje omogućavaju MLS, kao i MLS-RP u obliku modula. Druga varijanta je

ugradnja eksternog rutera. Generalno gledano, više se isplate od rutera.

Podržani standardi – podržani su standardni protokoli za rutiranje tipa, EIGRP, OSPF i RIP.

Ovo omogućava da se MLS lako instalira u mreži izmeĎu različitih provajdera.

Brza konvergencija – u slučaju promene mrežne topologije ili greške kod ruta, hardverski se

veoma brzo ispravljaju nevalidni zapisi u keš tabeli

Lako se koristi – automatski konfiguriše MLS keš. TakoĎe, plug-and-play dizajn eliminiše

potrebu za učenjem novih tehnologija od strane korisnika

ACL – omogućava dozvolu i zabranu saobraćaja izmeĎu hostova na različitim podmrežama.

Iz razloga što MLS u toku rada posmatra i portove, liste mogu biti konfigurisane

korišćenjem IP adresa i portova.

Ostali ureĎaji koji su implementirani u ovom projektu biće detaljno objašnjeni i opisaće se njihov

značaj u računarskim mrežama. Na slici 5.4 prikazan je layer 3 svič serije 3650 koji je korišćen za

potrebe ovog projekta na distributivnom sloju i nalazi se u obe zgrade.

Slika 5.4 Cisco Catalyst 3650 Series

29

6. BEŢIĈNE Wi-Fi MREŢE

U današnje doba svaki prosečan korisnik susreo se barem jednom sa nekim od ureĎaja koji koristi

bežičnu tehnologiju. U svakodnevnici svi se služimo pametnim telefonima kojima se putem

Wi-Fi-ja spajamo na internet bilo da se spajamo na kućnu mrežu ili na javno dostupne besplatne

mreže. Svaki objekat je nemoguće zamisliti danas bez pristupa wi-fi mreži. Zbog toga u ovom

projektu privatne bolnice u obe zgrade postoje pristupne tačke na koje mogu da se povezuju

zaposleni, a takoĎe i pacijenti te bolnice. Za potrebe ovog projekta u privatnoj bolnici korišćen je

Ciscov model - AIR-AP1832I-E-K9. Bežična tehnologija omogućava nam mobilnost i

jednostavnost korišćenja, ali pri tome većina korisnika ne razmišlja o sigurnosti. U većini

slučajeva korisnici su nedovoljno informisani o potencijalnim opasnostima koje donosi

spajanje na Internet pogotovo ako pristupaju važnim podacima, bankovnim računima, svom e-

mailu ili ostalim sadržajima za koje je bitno da ostanu izvorno sačuvani i skriveni od trećih

osoba. Danas pitanje sigurnosti je jedan od prioriteta za svakog korisnika Interneta. Bežična

komunikacija je zbog svojih karakteristika posebno izložena napadima zbog načina na koji se

podaci prenose pri čemu se otvara mogućnost presretanja informacija koje se razmjenjuju.

6.1 Wi-Fi - Wireless-Fidelity

Wi-Fi tehnologija se koristi u bezičnim LAN mrežama i u tom slučaju iste se nazivaju i WLAN

(Wireless Local Area Network), ali u poslednje vreme se sve više nudi i bežični

pristup WAN mreži - internetu. Bežične mreže postoje od 90-ih godina, dok je 802.11a protokol

nastao 1999. godine. Brzine koje je pružao taj standard su 54Mbps koristeći radio talase frekvencije

5GHz. Ali WiFi standard se konstantno razvija i usavršava. Nakon prvog standarda predstavljeni su

još i 802.11b, 802.11g, 802.11g, 802.11n standardi. Današnji 802.11ac ruteri mogu da razmene

podatke brzinom od 1.3Gbps na frekvenciji od 5GHz, a 450Mbps na frekvenciji od 2.4GHz. Postoji

više standarda koji se istovremeno razvijaju kada je WiFi u pitanju. Prvi je 802.11ac koji je dobio

sertifikat i zvanično je priznat sredinom 2013. godine, a drugi je 802.11ax standard koji donosi još

veće brzine prenosa podataka. Nakon drugog talasa 802.11ac stiže nam 802.11ax. Cilj ovog novijeg

standarda je da učetvorostruči brzinu prenosa podataka bežičnim putem svakom od klijenata. Wi-Fi

mreže rade uz pomoć veoma jednostavne radio tehnologije, jedina razlika je to što se radio signali

pretvaraju u nule i jedinice.

30

Wireless router - On zapravo omogućava pristup internetu ili mreži bez upotrebe kablova,

po principu prenosa podataka radio talasima pri opsegu frekvencija 2.4GHz i 5 GHz.

Access point (AP) - UreĎaj koji služi za meĎusobno povezivanje klijenata i predstavlja

centralni deo jedne manje WLAN mreže. Može se koristiti i za spajanje wireless klijenata sa

LAN-om ili izlazom na internet.

Wireless antene - Jedan od najbitnijih segmenata Wifi sistema je svakako antena od čijih

karakteristika zavisi i kvalitet signala na predaji/prijemu. Njena najbitnija karakteristika

svakako jeste dobitak (gain) kao i njena rezonantna frekvencija. Postoje više tipova antena u

zavisnosti od konstrukcije kao i načinu

emitovanja signala.

Wi-Fi radiji šalju signale na frekvencijama 2.4

GHz (802.11b i 802.11g standardi) i 5 GHz (802.11a),

gde se koriste mnogo naprednije tehnike kodiranja kao

što su OFDM (orthogonal frequency-division

multiplexing) i CCK (Complementary Code Keying)

pomoću kojih se ostvaruju mnogo veće brzine prenosa podataka samo uz pomoć radio talasa. Sva

radio tehnologija se nalazi u Wi-Fi karticama koje ugraĎujemo u računar, i to je praktično sve što

treba za bežićno umrežavanje. Zbog toga se bežićno umrežavanje smatra jednim od

najjednostavnijih trenutno u ponudi, a dodatni razlog je što uklanja potrebu za kablovima i ostalim

mrežnim ureĎajima.

6.2 Načini rada bežičnih mreža

Standardni 802.11 standard predviĎa dva osnovna načina ostvarivanja veze: AdHoc i

infrastrukturni (infrastructure) mod.

1. Ad-hoc (peer to peer) mod- WLAN klijentski mrežni adapter komunicira direktno sa drugim

WLAN mrežnim adapterom. Koristeći ovaj način rada administrator omogućava Peer-to-

Peer komunikaciju. Da bismo dosegli do Interneta ili do druge mreže, moramo da

konfigurišemo jedan od hostova da bude ruter koji je konektovan na mrežu.

2. Infrasrtucture mode: Klijentski mrežni adapteri komuniciraju samo sa specijalinim radio

mostovima (Radio Bridges) koji se nazivaju Wireless Access Points (WAPs) koji su

direktno konektovani na bežičnu mrežu. Kada kreiramo konfederaciju izmeĎu klijenta i

31

WAP-a, mi konfigurišemo klijenta da koristi Service Set Identifier (SSID) Wireless Access

Point-a, tako je i podešeno u projektu PacketTracer-a da svaki AP ima konfigurisan SSID, a

isto tako i ureĎaj kako bi mogli da prihvataju signal od tačno namenjenog AccessPoint-a.

6.3 Sigurnost WI-FI mreža

Popularizacija Wi-Fi mreža je dovela do stvaranja sasvim nove generacije sigurnosnih

problema. Rešenje je naĎeno u enkripciji podataka. Na bežičnu mrežu se može bilo ko spojiti ako

ima WI FI karticu i neku vrstu antene. Samim time je mnogo teža kontrola i nadgledanje korisnika.

Prva generacija enkripcije WEP -pokazala se kao vrlo lakim za probijanje šifre, WEP algoritam je

pun mana. Novije generacije WPA i WPA2 - smatraju dosta sigurnim uz odgovarajuću šifru. Tipovi

zaštite koji se danas koriste kako bismo se zaštitili od raznih napada spolja i koji su preko potrebni

za objekat kao što je bolnica, kako ne bi “iscurele” neke važne i poverljive informacije o

pacijentima, ispod su navededeni:

MAC filtriranje - najjednostavniji oblik zaštite, radi na temelju liste dopuštenih/zabranjenih

MAC adresa, tj hardverskih adresa. Ovo može biti korisno, ali ga je lako zaobići jer većina

mrežnih adaptera ima mogućnost (privremenog) menjanja MAC- adrese. Može dobro

poslužiti kao dodatan tip zaštite -uz neki oblik enkripcije i autorizacije

IP filtriranje - takoĎe dodatni oblik zaštite, upadač koji se ipak spoji na AP bi trebao svom

ureĎaju namestiti neku od dopuštenih IP adresa, što može dodatno smanjiti rizik

WEP enkripcija - skraćenica za “Wired Equivalency Privacy”, originalni standard za

wireless enkripciju, prevaziĎen jer je pronaĎena učinkovita metoda za razbijanje iste.

TakoĎe postoje brojni programi otvorenog koda koji uključuju ovu funkcionalnost -

Aircrack-ng, Weplab, WEPCrack i Airsnort. WEP koristi 128 i 256-bitne ključeve, i

uglavnom je bolji od nikakve zaštite, ali može predstavljati dodatnu opasnost jer može

davati lažan osećaj sigurnosti, a upravo zbog široko poznatog sigurnosnog propusta može

predstavljati pogodnu metu za manje sigurne crackere.

WPA, WPA2 - skraćenica za “Wi-Fi Protected Access” (Wi-Fi zaštićeni pristup). Razvijeni

kao zamena za WEP. Koriste EAP autorizaciju preko Radius servera uz metodu deljenog

ključa (Pre-Shared Key-PSK). Kod WPA, podaci su standardno kriptovani RC4

enkripcijskim protokolom, a kao sigurnosni algoritam mogu koristiti TKIP. Kod WPA2,

standardno su kriptirani sa AES enkripcijskim protokolom a kao sigurnosni algoritam

koriste CCMP.

32

TKIP - ili “Temporal Key Integrity Protocol”, je sigurnosni protokol korišćen u

WPA/WPA2, namenjen da zameni nesigurni WEP bez da korisnici moraju menjati opremu,

bilo preko nadogradnje drivera bilo firmware-a. Svaki mrežni paket ima vlastiti enkripcijski

ključ

AES - ili “Advanced Encryption Standard”, je kriptujuća tehnologija koju je kao standard

donela vlada SAD-a

CCMP - ili “Counter mode with Cipher block chaining Message authentication

codeProtocol”, koristi AES kao enkripciju, služi za osiguravanje poverljivosti i integriteta

podataka, kao i za izbegavanje nekih sigurnosnih napada

IEEE 802.1X - standard za autentifikaciju ureĎaja priključenih na mrežu, koja i ne mora biti

bežična. Klijent (u ovoj terminologiji supplicant ili peer) se spaja na autentikator (u slučaju

bežičnih mreža, na AP-u) koji zahteva autorizaciju isključivo u obliku EAP paketa (drugi

mrežni promet nije dopušten) da bi peer dobio pristup ostatku mreže. Autentikator

proverava korisnikovo ovlašćenje na autorizacijskom Remote Authentication Dial In User

Service (RADIUS) serveru, koji može biti na AP-u ili se nalaziti na nekom drugom

mrežnom ureĎaju. Virtualni (ili fizički kod nešto reĎeg Ethernet korišćenja) LAN port biva

autorizovan za promet prema ostatku mreže. Osim ugraĎenih u ureĎaje, najkorišćeniji

programski paket za ovu primenu je verovatno FreeRADIUS -radi pune podrške za standard

i slobodnog koda.

6.4 Konfiguracija WI-FI mreže

6.4.1 Management IP adrese access point

Tabela 6.4.1 Management IP adrese za svaki AccessPoint

Zgrada 1

accap10-1 10.0.140.105 VLAN 140

accap11-1 10.0.140.115 VLAN 140

accap12-1 10.0.140.125 VLAN 140

accap13-1 10.0.140.135 VLAN 140

accap14-1 10.0.140.145 VLAN 140

Zgrada 2

accap20-1 10.0.240.105 VLAN 240

accap21-1 10.0.240.115 VLAN 240

33

6.4.2 SSID - Naziv wireless mreže

Kao dodatak WEP ključu, Service Set Identifier (SSID) treba da bude podešen na bežičnoj tački

pristupa (Access Point). SSID identifikuje ime bežične mreže; ovaj iznos se emituje preko tačke

pristupa u formi čistog teksta i može se dobiti korišćenjem prostog analizatora protokola u

sekundama. Neke bežične tačke pristupa imaju mogućnost da zabrane emitovanje SSID, i samim

time čine da maliciozni korisnici ne mogu lako da se konektuju.

SSID wireless_lan

AES PSK l0z1nkawlan

Zgrada 1

SSID mapiran u VLAN 130

Podešavanje porta na access sviču

interface fastethernet0/14

switchport mode trunk

switchport nonegotiate

switchport trunk allowed vlan 120,130

description Access_point

Zgrada 2

SSID mapiran u VLAN 230

Podešavanje porta na access sviču




switchport trunk allowed vlan 220,230

description Access_point

7. OSNOVE - VLAN I TRUNKING

7.1 Definicija i značaj VLAN-ova u računarskoj mreži

Performanse mreže su važan faktor u produktivnosti organizacije. Jedna od tehnologija koja

se koristi za poboljšanje performansi mreže je odvajanje velikih područja na manje delove.

Projektovanjem, ruteri će blokirati prenos saobraćaja na interfejsu. MeĎutim, ruteri obično imaju

ograničen broj LAN interfejsa. Primarna uloga rutera je prebacivanje informacija izmeĎu mreža, a

34

ne obezbeĎivanje mrežnog pristupa krajnjim ureĎajima. VLAN7-ovi se koriste da se velika mreža

podeli na više logičnih celina. Direktna korist toga je smanjenje neusmerenog (broadcast)

saobraćaja u svakoj celini. Virtuelna lokalna mreža (VLAN) se kreira na Layer 2 sviču kako bi se

smanjila veličina domena emitovanja. VLAN-ovi se često uključuju u dizajn mreže radi

fleksibilnosti. VLAN-ovi se pre svega koriste u lokalnim mrežama. Radi lakšeg rukovanja

korisnicima, svi su podeljeni u VLAN-ove. Korisnici su povezani preko Layer 2 switch-eva koji

spadaju u pristupni deo mreže (access layer). Svaki korinik je priključen preko jednog porta i tako

dobija namenski deo opsega. Korisnici se priključuju FastEthernet vezom. Jedan od načina da se

identifikuju lokalne mreže je da se kaže da svi ureĎaji u istom LAN-u imaju zajedničku layer 3 IP

adresu i da se svi nalaze u istom layer 2 broadcast domain-u.

VLAN-ovi pružaju segmentaciju i omogućavaju da se oformi grupa uredjaja u LAN-u, što pruža

administrator mogućnost da segmentira mreže na osnovu faktora kao što su funkcija, projektni tim

itd. Grupa ureĎaja u VLAN-u komunicira kao da je svaki ureĎaj povezan istim kablom. VLAN-ovi

se zasnivaju na logičkim vezama, umesto na fizičkim vezama, pa se svaki VLAN posmatra kao

posebna logička mreža.

Slika 7.1 Primer definisanja VLAN grupa

7 Virtual Local Area Network

35

Bilo koji switch port se može pridodati nekom VLAN-u. Unicast, broadcast i multicast paketi

su prosleĎeni i preplavljeni samo na krajnje ureĎaje u tom VLAN-u. Paketi koji su namenjeni

ureĎajima koji ne pripadaju tom VLAN-u se moraju proslediti kroz ureĎaje koji podržavaju

rutiranje. Neke od prednosti VLAN-ova su:

Bolje performanse

Bezbednost

Smanjenje troškova

Smanjenje veličine broadcast domain-a

Poboljšana efikasnost IT osoblja

Jednostavnije upravljanje projektima i aplikacijama

7.2 Tipovi VLAN-ova

Različiti tipovi vlan-ova su definisani po njihovoj specifičnoj funkciji kao što su:

Data VLAN koji se obično koristi da razdvoji mrežu u grupe korisnika ili ureĎaja

Default VLAN u kome se po uključivanju sviča nalaze svi portovi. Svi portovi koji su u

default VLAN-u su deo istog broadcast domena što omogućava ureĎajima da komuniciraju

sa drugim ureĎajima koji su na tim portovima. Default vlan na switch-u je VLAN1 - VLAN

1 se ne može preimenovati ili izbrisati

Native VLAN - U praksi je dobra odluka da se promeni u neki drugi specificni VLAN.

Native VLAN služi kao zajednički identifikator na suprotnim stranama trunk veze.

Management VLAN je bilo koji VLAN koji je konfigurisan da pristupi mogućnostima

upravljanja switch-a. VLAN 1 je management VLAN po defoltu.Da bi se napravio

management VLAN, na virtuelnom interfejsu switcha (SVI) od tog VLAN-a se dodeljuje IP

adresa i subnet maska koji pružaju switch-u da bude pristupačan preko HTTP, Telnet, SSH

ili SNMP-a. Običaj u praksi je da se management VLAN ne ostavlja kao VLAN1.

36

Slika 7.2 Tipovi VLAN-ova

7.3 Pregled Vlan Potokola i Dizajna

7.3.1 Konfiguracija Trunk-a sa 802.1Q

Najčešći protokol koji se danas koristi u konfiguraciji VLAN-ova je IEEE 802.1Q (Institute of

Electrical and Electronics Engineers). IEEE 802.1Q standard koji definiše metodu

multipleksiranja prometa različitih VLAN-ova u mrežama gde je implementirana oprema

različitih proizvoĎača. U trenutku pojave 802.1Q standarda postojeći protokoli kao Cisco ISL

(Inter-Switch Link) i 3Com VLT (Virtual LAN Trunk) su podržavali mreže istog proizvoĎača i nisu

radili u mrežama koje su sačinjavali ureĎaji različitih proizvoĎača. ISL i 802.1Q označavaju

promet eksplicitnom metodom, sam frame je tagovan s VLAN informacijama. ISL koristi

eksterni proces označavanja, koji ne menja postojeći ethernet frame, dok 802.1Q koristi polje koje

se ubacuje unutar framea i tako ga menja. EEE 802.1Q standard je nadogradnja na standard

IEEE 802.1. IEEE 802.1Q ili skraćenog naziva dot1q. Standard se obično veže za enkapsulacijski

protokol koji dozvoljava kreiranje VLANova u Ethernet mrežama i rutiranje izmeĎu VLAN mreža

pomoću ureĎaja Layer3 sviča ili rutera. Trunk portovi su veze izmeĎu switch-eva koji podržavaju

37

prenos saobraćaja izmeĎu više VLAN-ova. Za konekciju izmeĎu dva sviča koji sadrže portove koji

su povezani na iste VLAN-ove, ti portovi se konfigurišu kao trunk portovi. Trunk portovi uključuju

dodatne informacije koje se nazivaju ,,tag,, i predstavljaju 4 bajta koji se ubacuju u header frame-a i

uz pomoć njih se može identifikovati kom VLAN-u koji frame pripada. Kritična informacija koju

tag koristi da asocira kojim vlan-ovima koji frame pripada je VLAN ID. Trunk-ovi mogu

automatski pregovarati izmeĎu 2 switch-a ili izmeĎu switch-a i ureĎaja koji podržava trunking.

Automatsko pregovaranje može da odredi da li će port da bude access port ili trunk port, ovo nije

preporučeno jer napadač može da pregovara sa switch-em o trunk port-u i da dobije pristup bilo

kojem VLAN-u tako što ce da ,,tag-uje,, saobraćaj. Konfiguracija access svičevi: accsw10-1,

accsw11-1, accsw12-1, accsw13-1. Ista ova konfiguracija je uraĎena i u drugoj zgradi.

7.3.2 Podešavanje sabirne veze (Trunk Link)

Portovi mogu postati sabirni ili statičkom dodelom ili dinamičkim pregovaranjem

koriščenjem Dynamic Trunking Protocol (DTP). Port sviča može biti u jednom od sledećih DTP

stanja:

Access port je pristupni i pripada jednom VLANu

Trunk port pregovara o sabirnoj vezi sa portom na drugoj strani

Non-negotiate port je deo sabirne veze i ne pregovara sa drugom stranom otome

Dynamic Desirable - pregovara sa drugom stranom. Postaje sabirna veze ako je druga strana

podešena na trunk, dynamic desirable, ili dynamic auto mode.

Dynamic Auto - pasivno čeka da ga kontaktira druga strana. Postaje sabirna veze ako je

druga strana podešena na trunk ili dynamic desirable mode.

Podešavanje porta u interface configuration mode:

switch(config-if)# switchport mode {dynamic {auto | desirable} | trunk}

U dynamic mode, DTP pregovara da li je sabirna veza i način enkapsulacije. Ako se koristi

sabirna veza, mora se naznačiti vrsta enkapsulacije:

switch(config-if)#switchport trunk encapsulation {isl | dot1q | negotiate}

38

Tabela 7.3.2 Konfiguracija trunk moda na access svičevima – Zgrada 1


switchport trunk encapsulation dot1q



description ka_DSW1F0B1


switchport trunk encapsulation dot1q




Na slici 7.2.2 UraĎena je komanda show interface trunk na access sviču. Kako bismo videli koji

interfejsi su podešeni kao trunk veza kako bi mogli da primaju informacije od svičeva koji su VTP

serveri.

39

Slika 7.2.2 Access svič – konfiguracija trunk veze i VLAN-ovi koji su pridruženi portu

7.3.3 ISL standard

Inter - Switch Link (ISL) – veza meĎu svičevima. ISL je Cisco standard, i radi samo na Cisco

opremi, a omogućava označavanje i opisuje format frame-a za point-to-point linkove izmeĎu

ureĎaja, obično svičeva. ISL dozvoljava implementaciju izmeĎu svičeva, rutera, NIC (Network

Interface Cards) koji koriste krajnji ureĎaji kao serveri. Da bi ISL fukncionisao svaki ureĎaj na

takvom linku mora biti ISL kofiguriran. Svaki ureĎaj koji ne podržava ISL standard zaključiće da je

došlo do greške unutar frame-a, a odgovarajuća radnja je uništavanje takvog frame-a. ISL radi na

drugom sloju OSI modela enkapsulirajući (priprema) frame-ove sa novim zaglavljem i novim ISL

CRCom (cyclic redundancy check). Zbog specifične enkapsulacije gde ISL obuhvata frame, gde je

originalni frame sačuvan unutar samog ISL formata čini ga nezavisnim o Data-link protokolu. Svaki

frame pripremljen ISL standardom dobija 26B zaglavlje i 4B CRC pre slanja. Zaglavlje definiše

10b identifikaciju što omogućava identifikovanje 1024 VLANa (210=1024), dok broj podržanih

VLANova definše hardware/software samog ISL ureĎaja. ISL omogućava korisnicima da lakše i

brže pristupaju serverima bez potrebe da idu kroz ruter svaki put kada treba da komuniciraju sa

40

nekim resursom. Ova tehnologija, takoĎe može da se koristi za istraživanja i odreĎene analizatore

mreže, a administratori mogu da je koriste za istovremeno postavljanje severa datoteka u više

VLAN mreža. ISL VLAN informacije se dodaju frame-u samo ako se taj frame prosleĎuje sa porta

gde je konfigurisana trunk veza. Cisco je kreirao ISL i taj protokol je vlasnički, što znači da se

koristi samo na CISCO ureĎajima. Ako želimo neki nevlasnički VLAN protokol, onda se

upotrebljava IEEE 802.1Q verziju.

7.4 Kreiranje VLAN-ova

U kompaniji može da postoji i na stotine korisnika kao i što je u ovom projektu, radi

bezbednosti a i radi organizacije mi te korisnike smo podelili u grupe korisnika u pojedinačnim

podmrežama koje su povezane sa pojedinačnim VLAN-ovima. Kada se VLAN napravi, njemu se

dodele portovi sa sviča po izboru, može se dodeliti jedan port ili svi portovi sa sviča. Posle dodele

portova na VLAN, bilo koji ureĎaj koji je povezan na taj specifični port je deo tog VLAN-a. U

tabeli 7.4.1 su prikazana odeljenja koja se nalaze u prvoj zgradi opšte bolnice MaryGroup koja su

napravljena kao posebni vlan-ovi, njihov mrežni opseg kao i korisne adrese. A u tabeli 7.4.2 su

prikazana odeljenja druge zgrade. Naravno mora postojati poseban Voice vlan za IP telefone, kao i

WLAN za AccessPoint ureĎaje. Da bi ureĎaji komunicirali izmeĎu sebe u VLAN-u, moraju da

imaju zajedničku mrežnu adresu. U većini slucajeva u jednom VLAN-u može postojati veći broj

ureĎaja koji moraju imati konfigurisanu istu adresu mreže ili pomreže. Ručno konfigurisanje adrese

mreže svakog ureĎaja u tom VLAN-u može biti naporno sa velikim verovatnoćama za nastanak

greške, iz tog razloga se koristi DHCP (Dynamic Host Configuration Protocol) koji dinamički

dodeli adrese iz nekog opsega adresa za tu specifičnu podmrežu. Na slici 7.4 prikazan je primer

komande show vlan brief - koja je uraĎena na access svičevima prve zgrade.

41

Slika 7.4 Prikaz komande show vlan brief na access svičevima

42

Tabela 7.4.1 Organzacione jedinice – VLAN-ovi, Zgrada1

VLAN

ID

Opis Mreţni opseg Prva korisna IP

adresa

Poslednja

korisna IP

adresa

101 Administratori 10.0.101.0/24 10.0.101.1 10.0.101.254

102 MedicinaRada 10.0.102.0/24 10.0.102.1 10.0.102.254

103 HR 10.0.103.0/24 10.0.103.1 10.0.103.254

104 Racunovodstvo 10.0.104.0/24 10.0.104.1 10.0.104.254

105 Prijemno 10.0.105.0/24 10.0.105.1 10.0.105.254

106 IntegrativnaMedicina 10.0.106.0/24 10.0.106.1 10.0.106.254

107 Laboratorija 10.0.106.0/24 10.0.107.1 10.0.107.254

108 Dijagnostika 10.0.108.0/24 10.0.108.1 10.0.108.254

109 MentalnoZdravlje 10.0.109.0/24 10.0.109.1 10.0.109.254

110 Savetovaliste 10.0.110.0/24 10.0.110.1 10.0.110.254

111 Neurologija 10.0.111.0/24 10.0.111.1 10.0.111.254

112 SportskaMedicina 10.0.112.0/24 10.0.112.1 10.0.112.254

113 Ortopedija 10.0.113.0/24 10.0.113.1 10.0.113.254

114 FizikalnaMedicina 10.0.114.0/24 10.0.114.1 10.0.114.254

120 Voice 10.0.120.0/24 10.0.120.1 10.0.120.254

130 WLAN 10.0.130.0/24 10.0.130.1 10.0.130.254

140 Management 10.0.140.0/24 10.0.140.1 10.0.140.254

150 veza distibution svičevi 10.0.254.244/30 10.0.254.245 10.0.254.246

Tabela 7.4.2 Organzacione jedinice – VLAN-ovi, Zgrada 2

VLAN ID Opis Mreţni opseg Prva korisna IP

adresa

Poslednja korisna

IP adresa

201 UhoGrloNos 10.0.201.0/24 10.0.201.1 10.0.201.254

202 Dermatologija 10.0.202.0/24 10.0.202.1 10.0.202.254

203 Oftalmologija 10.0.203.0/24 10.0.203.1 10.0.203.254

204 InternaMedicina 10.0.204.0/24 10.0.204.1 10.0.204.254

205 Pedijatrija 10.0.205.0/24 10.0.205.1 10.0.205.254

206 Hirurgija 10.0.206.0/24 10.0.206.1 10.0.206.254

207 Prijemno 10.0.207.0/24 10.0.207.1 10.0.207.254

220 Voice 10.0.220.0/24 10.0.220.1 10.0.220.254

230 WLAN 10.0.230.0/24 10.0.230.1 10.0.230.254

240 Management 10.0.240.0/24 10.0.240.1 10.0.240.254

250 veza_distribution 10.0.254.248/30 10.0.254.249 10.0.254.250

43

Tabela 7.4.3 Organizacione jedinice – Core deo


adresa

Poslednja korisna

IP adresa

31 ASA_inside 10.0.31.0/24 10.0.31.1 10.0.31.254

32 Infrastrukturni_serveri 10.0.32.0/24 10.0.32.1 10.0.32.254

33 CUCM 10.0.33.0/24 10.0.33.1 10.0.33.254

35 Veza_core_svičevi 10.0.254.252/30 10.0.254.253 10.0.254.254

39 Management 10.0.39.0/24 10.0.39.1 10.0.39.254

Tabela 7.4.4 Organizacione jedinice DMZ deo


adresa

Poslednja korisna

IP adresa

401 ASA_outside 212.200.200.0/28 212.200.200.1 212.200.200.14

402 ASA_dmz 172.16.0.0/24 172.16.0.1 172.16.0.254

3345 ISP 212.200.135.0/30 212.200.135.1 212.200.135.2

7.5 Pridruživanje portova VLAN-ovima

Prilikom statičkog dodeljivanja portova VLAN, prvo se port proglasi pristupnim , a zatim dodeli

VLAN-u. Na fotografijama 7.5.1 i 7.5.2 može da se vidi primer kako se podešava na pristupnom

sloju svaki interfejs i kako mu se dodeljuju neophodni vlan-ovi, kao na primer Voice VLAN koji je

pridružen na svakom sviču kako bi bila omogućena odlična komunikacija putem IP telefona u

svakom odeljenju bolnice MaryGroup. Dati su primeri access svičeva iz obe zgrade. I svi ostali su

na taj način konfigurisani.

44

Slika 7.5.1 Primer konfiguracije access sviča u zgradi 1

Slika 7.5.1 Primer konfiguracije access sviča u zgradi 2

45

8. VLAN TRUNKING PROTOCOL – VTP

8.1 Osnove funkcionisanja VTP-a

Cisco je kreirao i ovaj protokol, ali ovog puta nije vlasnički. Kako se broj svičeva povećava u

malim ili srednjim računarskim mrežama, posao koji treba obaviti kako bi se upravljalo VLAN-

ovima i trunk-ovima postaje sve obimniji. Osnovni cilj Vlan Trunkig Protocola, VTP (VLAN

protokol sabirnog prenosa) je da upravlja svim konfigurisanim VLAN mrežama u umreženom

okruženju i da održava konzistenciju u mreži. VTP omogućava administratoru da dodaje , uklanja i

menja nazive VLAN mreža - informacije koje se, zatim propagiraju svim ostalim svičevima u

mreži.

Evo liste osobina koje VTP može da ponudi:

Konzistentna VLAN konfiguracija na svim svičevima u mreži

VLAN sabirni prenos preko mešovitih mreža, na primer od Etherneta do ATM LANE, ili

čak FDDI

Precizno praćenje i nadgledanje VLAN mreža

Dinamičko izveštavanje o dodatim VLAN mrežama svim svičevima u VTP domenu

Dodavanje VLAN mreža metodom “utakni i koristi” (Plag-and-Play)

Veoma dobro, ali da bi VTP mogao da upravlja našim VLAN mrežama u umreženom okruženju,

moramo da kreiramo VTP server. U projektu su svi distributivni svičevi konfigurisani kao VTP

server. Kao što znamo u obe zgrade imamo po dva distributivna sviča iz razloga da ako se desi neko

zagušenje ili problem na prvom, da drugi može normalno da nastavi sa radom i to je neophodna

stvar u svakoj mreži. Svi serveri koji dele VLAN informacije moraju da koriste i isti naziv domena.,

a svič istovremeno može da bude samo u jednom domenu. VTP informacije se šalju izmeĎu svičeva

preko porta koji je konfigurisan kao trunk. VLAN trunking protocol (VTP) omogućava mrežnom

administratoru da upravlja VLAN-ovima na sviču koji je konfigurisan kao VTP server. VTP server

distribuira i sinhronizuje VLAN informacije preko trunk portova ka svičevima u mreži koji takoĎe

imaju uključen VTP. Na ovaj način se minimizuju problemi koji mogu nastati pri pogrešnoj

konfiguraciji i neslaganjima u konfiguraciji.

46

8.2 VTP komponente

Tabela 8.2 VTP komponente

VTP Komponente Opis VTP Domain -Sastoji se od jednog ili više meĎusobno povezanih svičeva

-Svi svičevi u domenu dele informacije o konfiguraciji VLAN-ova

putem VTP advertisements-a.

-Svičevi u različitim domenima ne razmenjuju VTP poruke meĎusobno.

-Ruter ili L3 svič definiše granicu domena.

VTP Advertisements -Svaki svič u VTP domenu šalje periodične global configuration poruke

sa svakog trunk porta ka rezervisanoj multicast adresi.

-Susedni svičevi dobijaju te poruke i ažuriraju njihovu VTP i VLAN

konfiguraciju u skladu sa informacijama koje dobiju.

VTP Modes -Svič može biti konfigurisan kao VTP server, klient ili kao transparentni

svič.

VTP Password -Svičevi u VTP domenu mogu biti zaštićeni šifrom.

Napomena: VTP samo saznaje o VLAN-ima za koji se nalaze u normalnom opsegu (VLAN ID-ovi

1 do 1005). Postoji i prošireni opseg (VLAN ID-ovi veći od 1005) ali njih ne podržava ni verzija 1 ,

ni 2, nego tek verzija 3 VTP protokola.

8.3 VTP Advertisements i VTP upozorenja

VTP može poslati jedan od tri vrste oglasa:

Summary advertisements – Ovi oglasi obaveštavaju susedne svičeve o imenu VTP

domena i revizionom broju konfiguracije.

Advertisement request – Ovi oglasi su odgovor na summary oglasnu poruku u slučaju da ta

poruka sadrži veći revizioni broj konfiguracije od onog koji je trenutno prisutan na sviču

koji prima poruku.

Subset advertisements – Ove poruke sadrže informacije o VLAN-ovima i sadrže promene

koje su nastale.

VTP upozorenja

Neki mrežni administratori izbegavaju VTP zato što potencijalno može da oglasi pogrešne

informacije o VLAN-ovima u postojećem domenu. Revizioni broj konfiguracije se koristi kada se

odreĎuje da li svič treba da zadrži postojeću VLAN bazu podataka, ili je promeni u skladu sa

ažuriranim informacijama poslatim od strane sviča iz istog domena i sa istom šifrom. Moguće je u

potpunosti obrisati postojeću VLAN konfiguraciju u VTP domenu dodavanjem sviča koji ima

47

uključen VTP, ako se na tom sviču nalazi u potpunosti druga VLAN konfiguracija koja ima veći

revizioni broj od onog koji se trenutno nalazi na VTP serveru. Taj svič može biti i klijent i server.

Ovako nešto je jako teško ispraviti, stoga, preporučuje se da kada se u mrežu dodaje novi svič, on

ima defaultnu VTP konfiguraciju.

8.4 VTP režimi rada

Postoje tri različita režima rada u VTP domenu:

1. Serverski – Ovo je podrazumevani režim za sve Catalyst svičeve. Nama je potreban bar

jedan server u VTP domenu da propagira VTP informacije kroz domen. Svič mora da bude

u serverskom režimu da bi mogao da kreira, dodaje ili briše VLAN mreže u VTP domenu.

Promena VTP informacija, takoĎe mora da se obavlja u serverskom režimu, a svaka

promena izvršena na sviču u serverskom režimu će biti oglašena u čitavom VTP domenu.

2. Klijentski – U klijentskom režimu svičevi primaju informacije od VTP servera i takoĎe ,

šalju i primaju ažuriranja. MeĎutim svičevi koji su u ovom režimu , a tačnije u ovom

projektu to su access svičevi, oni ne mogu da vrše nikakve izmene. Isto tako, ni jedan od

portova na klijentskom sviču ne može da se doda u novu VLAN mrežu pre nego što VTP

server obavesti klijentski svič o novoj VLAN mreži. VLAN informacije poslate sa VTP

servera se ne čuvaju u NVRAM memoriji. To znači da će VLAN informacije biti izbrisane

ako se svič resetuje ili ponovo učita. Savet je da ako želimo da nam neki svič postane server,

prvo ga uvedemo u klijentski režim da on pokupi sve VLAN informacije, a zatim

promenimo režim u serverski mod – tako je mnogo jednostavnije.

3. Transparentni – Svičevi u transparentnom režimu ne učestvuju u VTP domenu, ali i dalje

prosleĎuju VTP oglašavanja kroz svaku konfigurisanu trunk vezu. Ovi svičevi ne mogu da

dodaju i brišu VLAN mreže, zato što imaju sopstvenu bazu podataka koju ne dele sa ostalim

svičevima. Uprkos tome što je snimljena u NVRAM-u, VLAN baza podataka u

transparetnom režimu se, zapravo smatra značajnom samo lokalno. Svrha transparentnog

režima je da omogući udaljenim svičevima da prime VLAN bazu podataka od sviča

konfigurisanog kao VTP server kroz svič koji ne učestvuje u istim VLAN dodelama.

48

8.5 VTP konfiguracija

Zgrada 1 distributivni sviĉevi

vtp mode server

vtp domain zgrada1

vtp version 2

vtp password l0z1nk@1 : cisco1

Zgrada 1 access sviĉevi

vtp mode client

vtp domain zgrada1

vtp password l0z1nk@ : cisco1

Zgrada 2 distributivni sviĉevi

vtp mode server

vtp domain zgrada2

vtp version 2


Zgrada 2 access sviĉevi

vtp mode client

vtp domain zgrada2


Core sviĉevi

vtp mode server

vtp domain coremreza

vtp version 2

vtp password l0z1nk@mreza : core123

DMZ sviĉ

vtp mode transparent

vtp domain dmzmreza

vtp version 2

Na slici 8.5.1 uraĎena je komanda: show vtp je status na distributivnom sviču kako bismo videli

bitne informacije VTP protokola, kao što je ime domena, mod u kom se nalazi svič i koliko VLAN-

ova imamo.

49

8.5.1 Konfiguracija VTP servera na distributivnom sviču

8.6 VTP orezivanje

VTP nudi način uštede propusnog opsega kroz konfigurisanje ovog protokola da smanji

količinu opštih, višesmernih, i jednosmernih paketa. To se naziva orezivanje (pruning). VTP

orezivanje šalje opšte poruke samo sabirnim vezama koje neizostavno moraju da imaju informacije.

Evo primera: Ako svič A nema ni jedan port konfigurisan za VLAN 5, a opšta poruka se šalje kroz

VLAN 5, onda opšta poruka neće prolaziti sabirnom (trunk) vezom do sviča A. Po standardnom

podešavanju, VTP orezivanje je deaktivirano na svim svičevima. Kada aktiviramo orezivanje na

VTP serveru, aktivirali smo ga za čitav domen. Po standardnom podešavanju, VLAN mreže od 2 do

1005 su kvalifikovane za orezivanje, ali VLAN 1 se nikada ne orezuje zato što je to administrativna

VLAN mreža.

50

9. SPANNING TREE PROTOCOL

9.1 Mrežne petlje i osnove STP-A

Kako bi mrežna infrastruktura bila što pouzdanija, u njen dizajn se uključuju dodatne

veze i ureĎaji. Redudantnost mreže omogućava da mreža radi i u slučaju otkaza pojedinih

veza u njoj. Redudantnost ima i lošu stranu, jer se u slučaju više konekcija izmeĎu

svičeva mogu pojaviti problemi u radu mreže. Može doći do dodatnog opterećenja

mreže i usporenja saobraćaja zbog slanja više kopija istog frejma. Može se desiti da kada svič

dobije isti frejm na različitim prenosnim portovima, doĎe do zabune u tabeli sa MAC

(eng. Media Access Control) adresama i do njenog neprestanog ažuriranja. Ova pojava je

poznata kao nestabilnost (eng. Thrashing) MAC tabele. Može doći i do pojave višestrukih petlji i

emisionih oluja, kada dolazi do beskonačnog kruženja poruka kroz mrežu. Petlja na

drugom sloju može za posledicu da ima slededa tri problema:

MAC database instability –Nestabilnost zapisa u MAC tabeli je uzrokovana kopijama istih

frejmova koji su primljeni na različitim portovima sviča

Broadcast storms –Bez nekog načina da se izbegnu petlje, svičevi mogu da počnu da šalju

brodkaste bez prestanka. Ova situacija se obično zove brodkast oluja

Multiple frame transmission –Može se desiti da više kopija unikast frejma doĎe na

odredišnu adresu. Mnogo protokola očekuje da dobije samo jednu kopiju frejma. Više kopija

jednog istog frejma može da rezultuje u greškama koje se kasnije ne mogu ispraviti.

Razvijen je protokol koji rešava pomenute probleme, to je STP (eng. Spanning Tree Protocol).

Bez Spanning Tree Protocol-a (STP) je teško, odnosno nemoguće, zamisliti kvalitetnu

lokalnu mrežu. To jest moguće je napraviti mrežu bez redudantnih veza, ali pitanje koliko je ta

mreža pouzdana. Spanning Tree Protocol (STP) je mrežni protokol koji nam osigurava da ne

nastane petlja u lokalnoj mreži. Da bi imali kvalitetnu mrežu potrebno je osigurati redudantne

veze izmeĎu mrežnih ureĎaja, tako da u slučaju ako jedna veza "pukne" promet može nastaviti

putovati drugom. Kada postoji više veza izmeĎu istih ureĎaja potrebno je blokirati pojedine veze da

bi osigurali loop-free mrežu. Tu nastupa STP. STP na osnovu prioriteta svakog sviča ili

MAC adrese odlučuje, prvo koji će svič biti root bridge,a zatim koji će port biti blokiran. Ovaj

protokol budno nadgleda mrežu da bi pronašao sve veze, osiguravajući da se neće pojaviti petlja

tako što isključuje svaku redudantnu vezu. STP koristi spanning tree algoritam (STA) da prvo kreira

bazu podataka topologije, a zatim pretraži mrežu i uništi redudantne veze.

51

Zadaci koje obavlja spanning tree algoritam:

Izbor root bridža

Računanje najkraće putanje do root bridža

Izbor sviča najbližeg root bridžu za svaki LAN segment (designated switch)

Selekcija root porta na svakom sviču

Selekcija designated portova- blokiranje ostalih portova svičeva na segment

Slika 9.1.1 Prikaz komande show spanning-tree, vidi se samo delić konfiguracije, za primer je

uzet distributivni svič druge zgrade

52

9.2 Način rada STP protokola- STA algoritam

Prvo što STA algoritam uradi je da odredi koji svič će biti na vrhu stabla (eng. Root

Bridge). Kada se odredi, ovaj svič postaje centralna tačka i u odnosu na njega se donose sve dalje

odluke. Rut bridž će biti onaj koji ima najmanju vrednost bridž ID (eng. Bridge ID). Bridž ID je

deo BPDU 8poruke, dug je 8 bajtova i sadrži prioritet sviča i njegovu MAC adresu. Kao osnovni

svič se bira onaj sa najmanjim konfiguracionim prioritetom, a ukoliko postoji više

svičeva koji imaju isti prioritet, onda se bira onaj sa najmanjom MAC adresom. Po

standardnom podešavanju, na svim Cisco svičevima prioritet je postavljen na 32.768. Često je

potrebno ručno konfigurisati rut svič u mreži, jer za rut svič treba postaviti onaj koji je ključni u

mreži i time uticati na brzinu kojom će STP vršiti konvergenciju. Bridž ID se

može promeniti tako što se izmeni prioritet. Snižavanjem prioriteta svič će postati rut bridž. Svi

portovi na rut bridžu se stavljaju u stanje prosleĎivanja. Svaki BPDU sadrži BID (Bridge ID) koji

identifikuje svič koji šalje BPDU. Na slici 9.2.1 prikazano je kako se konfiguriše Bridge ID.

Slika 9.2.1 Konfiguracija Bridge ID na sviču

8 Bridge Protocol Data Unit (BPDU) je vrsta frejma koju meĎusobno razmenjuju STP svičevi

53

Podrazumevano, BPDU poruke se razmenjuju svake dve sekunde čime se

omogućava da svičevi prate promene u mreži i reaguju na njih. BID sadrži vrednost prioriteta,

MAC adresu sviča koji šalje poruku i opciono prošireni system ID. Najniža BID vrednost se

odreĎuje kombinacijom ove 3 vrednosti. Dok STA odreĎuje najbolje putanje do root bridge-a, za

sve svič portove u brodkast domenu nema prosleĎivanja saobraćaja kroz mrežu. STA uzima u obzir

path cost i port cost kada odreĎuje koji port će blokirati i taj zbir vrednosti port cost-ova odreĎuje

najbolji path cost do root bridge-a. Ako postoji više od jedne putanje, STA bira putanju sa manjim

path costom. Kada STA odredi koje putanje su najbolje za svaki svič, onda počinje da dodeljuje

uloge portovima. Uloge portova opisuju njihovu odnos u mreži sa root bridge-om i da li im je

dozvoljeno da prosleĎuju saobraćaj. Kako sam STP ne poseduje nikakve metode zaštite,

proizvoĎači mrežne opreme morali su sami dodati neke sigurnosne mehanizme za obranu od napada

na STP. BPDU odbrana (eng. BPDU guard) je sigurnosna funkcionalnost koja će, ako je

aktivirana, kada dobije BPDU paket, ugasiti interfejs te poslati alarm.

Slika 9.2.2 Primer gde se vidi da je omogućen BPDU guard na interfejsu, prilikom listanja show

running konfiguracije

54

9.3 Vrste STP protokola

Postoji nekoliko varijanti STP protokola:

PVST+ (eng. Per VLAN Spanning Tree) protokol koji je razvio Cisco

RSTP (eng. Rapid Spanning Tree Protocol) standardizovan kao IEEE802.1w.

Ovaj protokol omogućava znatno bržu konvergenciju posle promene topologije mreže. Za

razliku od STP protokola kome je za konvergenciju potrebno od 30 do 50 sekundi

RSTP je potrebno do 6 sekundi. Svaki svič generiše Hello BPDU (eng. Bridge

Protocol Data Unit) poruke, a kada na nekom portu izostane ta poruka, smatra se da je

veza prekinuta.

MSTP (eng. Multiple Spanning Tree Protocol) je standardizovan kao IEEE

802.1s. Primenom MSTP administrator grupiše VLAN mreže i za svaku

grupu se definiše po jedna STP instanca, što omogućava ravnomerniju raspodelu

saobraćaja

9.4 STP stanja na portovima

Portovi na bridge-u ili sviču koji koriste STP mogu da vrše prenos kroz 5 različitih stanja:

1. Blokiranje (Blocking) - Blokirani port ne prosleĎuje frejmove; samo osluškuje BPDU

poruke. Svrha stanja blokiranja je da spreči upotrebu putanja sa petljom. Svi portovi su,po

standardnom podešavanju, u blokiranom stanju kada se svič uključi

2. Osluškivanje(Listening) –Ovo je prvo tranziciono stanje nakon stanja blokiranja. Port

osluškuje BPDU poruke da bi se uverio da u mreži nema petlji pre nego što prosledi

frejmove podataka. Port u stanju osluškivanja se priprema da prosledi frejmove podataka

bez popunjavanja tabele MAC adresa

3. Učenje(Learning) – Port sviča osluškuje BPDU poruke i uči sve putanje u komutiranoj

mreži. Port u stanju učenja popunjava tabelu MAC adresa, ali ne prosleĎuje frejmove

podataka. Traje 15 sekundi

4. Prosleđivanje(Forwarding) – Port šalje i prima sve frejmove podataka. Ako je port još uvek

namenski ili osnovni port na kraju stanja učenja, ulazi u ovo stanje

55

5. Neaktivnost(Disabled) – Port u stanju neaktivnosti(administrativno deaktiviran) ne

učestvuje u prosleĎivanju frejmova. Port u stanju neaktivnosti je praktično neoperativan

Prvo se biraju rut portovi (RP). Svaki svič, koji nije rut, mora imati tačno jedan rut

port i to će biti onaj koji ima najmanju cenu putanje (eng. path cost) do rut bridža. Cena

putanje je zbir vrednosti cena svih linkova na putanji do rut bridža. Cena porta se računa

prema propusnom opsegu. Svaki RP se stavlja u stanje prosleĎivanja. Dalje, odreĎuju se namenski

(eng. designated) portovi (DP) na svakom segmentu, to je port koji oglašava najmanju cenu do rut

bridža. Ovim portovima je dopušteno prosleĎivanje. Svi preostali portovi će biti blokirani

portovi (BP) i stavljaju se u stanje blokiranja. U Spanning-Tree mreži postoji jedan rut bridž, po

jedan rut port za svaki svič koji nije rut i po jedan namenski port za svaki segment. Portovi se

kreću kroz sledeća stanja: inicijalizacija – blokiranje, blokiranje – osluškivanje (ili

neaktivnost), osluškivanje – učenje (ili neaktivnost), učenje – prosleĎivanje (ili neaktivnost),

prosleĎivanje – neaktivnost, neaktivnost – blokiranje . Portovi su najčešće u stanju

blokiranja ili u stanju prosleĎivanja. Ukoliko u mreži doĎe do promena zbog otkaza, ili iz

nekog drugog razloga, portovi na svičevima će biti u stanju osluškivanja i učenja dok se ne

odrede najbolje putanje do rut bridža. Za STP rekalkulaciju i konvergenciju iz stanja

blokiranja u stanje prosleĎivanja obično je potrebno 50 sekundi. Vreme za detekciju

gubitka BPDU i prelaska iz stanja blokiranja u stanje osluškivanja (maximum-aging time) – 20

sekundi, kašnjenje prosleĎivanja (forward delay) pri prelasku iz stanja osluškivanja u stanje

učenja – 15 sekundi i pri prelasku iz stanja učenja u stanje prosleĎivanja – 15 sekundi.

9.5 Konfiguracija Spanning Tree protokola Distributivni sviĉ DSW1F0B1

spanning-tree mode rapid-pvst

spanning-tree portfast default

spanning-tree bpduguard enable (konfiguriše se na interfejsu)

spanning-tree vlan 100-199 priority 0

Distributivni sviĉ DSW2F0B1



56

spanning-tree bpduguard enable












Core sviĉ CoreSW1





Core sviĉ CoreSW2





DMZ sviĉ




spanning-tree vlan 401,402,3345 priority 0

Da bismo potvrdili prioritet bridge-a na sviču, koristimo komandu show spanning-tree. Na slici

9.5.1, prioritet sviča je podešen na 32769. Kao primer uzet je layer 3 svič iz druge zgrade.

57

Slika 9.5.1 Delić prikaza komande show spanning-tree na distributivnom sviču druge zgrade

9.6 Prednosti i nedostaci STP-a

Protokol STP je kreirao logičku topologiju stabla i na taj način sprečio pojavu petlji u

mreži i omogućio da mreža funkcioniše. Topologija stabla se kreira blokiranjem odreĎenih

portova, što znači da postoje neaktivne veze. Te veze služe kao rezerva i mogu se aktivirati u

slučaju da doĎe do otkaza ili promene topologije mreže i to samo ukoliko se STP

rekalkulacijom portovi koji su na tim vezama označe kao rut ili namenski. Znači, postoje pasivni

elementi u mreži koji možda nikada neće biti aktivirani. Sa stanovišta iskorišćenosti mreže,

bilo bi dobro da su svi resursi mreže aktivni. Aktiviranjem svih resursa mreže (linkova) izvršiće

58

se raspodela saobraćaja (eng. load balancing). Ukoliko doĎe do otkaza, redudantne veze će

nastaviti da vrše svoju funkciju i cela mreža će i dalje funkcionisati. Standard definiše

jednu STP instancu za celu mrežu. STP protokol ne uzima u obzir VLAN mreže, pa

je logička topologija koju pravi STP jedinstvena za sve kreirane VLAN mreže. Pošto se

koristi samo jedna STP instanca, to se samo za nju na svake 2 sekunde šalju BPDU poruke, bez

obzira koliko ima VLAN mreža, što omogućava optimalno korišćenje procesora.

9.7 Česte Layer 2 Pretnje i kako ih ublažiti

Najbolji postupci za obezbeĎivanje switch-eva:

Iskoristiti neiskorišćeni VLAN kao native VLAN za sve trunk-ove

Native vlan koji je iskorišćen kao trunk bi trebalo da se koristi samo za trunk, a ne i za

access port

Izbegavati korišćenje native VLAN 1 , jer je on po defoltu native

Konfigurisati access portove da korisnici ne bi koristili opciju pregovaraju trunk i iskluce

opciju za DTP (Dynamic Trunking Protocol)

Ograničiti broj MAC adresa za koje može da sazna neki port, korišćenjem port security

Korišćenjem BPDU Guard I Root Guard možemo da zaštitimo STP od manipulacije

korisnika ili nepoznatih ureĎaja

Isklučiti CDP (Cisco Discovery Protocol) na portovima koji gledaju na nepoznate ili

nepouzdane mreže

CDP radi na layer 2 i može da doprinese informacije napadačima koji bi te informacije

iskoristili za loše svrhe

Na novom sviču, isključiti sve portove i zadati ih na VLAN koji se ne koristi ni za šta drugo

Onda uključiti portove i dodeliti ih odreĎenim VLAN-ovima po potrebi

59

10. AGREGIRANJE VEZA - ETHER CHANNEL

10.1 Osnove EtherChannel tehnologije i njene prednosti

Savremenim računarskim mrežama nikad dosta propusnog opsega. Cisco je osmislio način za

skaliranje propusnog opsega veze tako što omogućava agregiranje, odnosno grupisanje, paralelnih

veza i tu tehnologiju nazvao EtherChannel. Od 2 do8 veza tipa FastEthernet(FE), Gigabit Ethernet

(GE) ili 10-Gigabit Ethernet (10GE) se grupišu u jednu logičku vezu, odn. FastEthernetChannel

(FEC), Gigabit EthernetChannel (GEC) ili 10-GigabitEthernetChannel (10GEC). Postavljanjem IP

adrese na Port Channel interface pravi se EtherChannel trećeg sloja. Samo grupisanje interface-a

pravi Layer 2 EtherChannel, i logički interface je automatski napravljen. U projektu EtherChannel

se koristi na linkovima izmeĎu core svičeva odnosno L3 svičeva, kao i na linkovima koji povezuju

core i sloj distribucije. Interfejsi izmeĎu ovih svičeva su postavljeni u Etherchannel mod rada čime

se obezbeĎuje ravnopravna raspodela saobraćaja u mreži i čime se povećava propusni opseg izmeĎu

svičeva. Etherchannel interfejsi rade u trunk modu kako bi komunikacija izmeĎu različitih VLAN-

ova bila moguća. Ono što je bitno za EtherChannel je da budu u istom duplexu, da imaju istu

brzinu, moraju da budu u trunk mode-u kao što je napomenuto, moraju da rutiraju za sve virtuelne

interfejse. Zadamo channel grup, ip adresu, i ako pukne jedan link, ostali će da nastave da rade po

velikoj brzini. Kada je konfigurisan EtherChannel, dobijeni virtualni interfejs se naziva port

channel. Fizički interfejsi se zajedno povezuju u port channel interfejs. EtherChannel tehnologija

ima mnoge prednosti:

Većina konfiguracije može se izvršiti na EtherChannel interfejsu umesto na svakom

pojedinačnom portu, čime se obezbeĎuje konzistentnost konfiguracije u svim vezama

Balansiranje opterećenja (Load Balancing) odvija se izmeĎu veza koje su deo istog

EtherChannel-a. U zavisnosti od hardverske platforme, može se implementirati jedna ili

više metoda za balansiranja opterećenja saobraćaja.

EtherChannel stvara agregaciju koja se smatra jednom logičkom vezom. Kada postoji više

paketa izmeĎu dva sviča, STP može blokirati jedan od paketa da spreči petlje u mreži. Kada

STP blokira jednu od redundantnih veza, blokira ceo EtherChannel. Ovo blokira sve portove

koji pripadaju toj EtherChannel liniji. Kada postoji samo jedna veza EtherChannel, sve

fizičke veze u EtherChannel-u su aktivne jer STP vidi samo jednu (logičku) vezu.

EtherChannel obezbeĎuje redundantnost jer se globalna veza vidi kao jedna logička veza.

Osim toga, gubitak jedne fizičke veze unutar kanala ne stvara promenu topologije, stoga se

ne zahteva ponovno izračunavanje spanning-tree protokola. Pod pretpostavkom da postoji

60

najmanje jedna fizička veza; EtherChannel ostaje funkcionalan, čak i ako se njegova ukupna

propusnost smanjuje zbog izgubljene veze unutar EtherChannel-a.

Na slici 10.1.1 prikazano je grupisanje više fizičkih portova u jednu ili više logičkih

EtherChannel linkova.

Slika 10.1.1 EtherChannel tehnologija

10.2 Port Aggregation Protocol PAgP

PAgp je Cisvov vlasnički protocol, što znači da se može konfigurisati samo na cisco

ureĎajima. Kada je EtherChannel veza konfigurisana koristeći PAgP, paketi se šalju izmeĎu

portova sa mogućnošću EtherChannel-a, da pregovaraju o formiranju kanala. Kada PAgP

identifikuje uparene Ethernet veze, on grupiše veze u EtherChannel. EtherChannel se zatim dodaje

na stablo koje se prostire kao jedan port. Kada je omogućen, PAgP takoĎe upravlja EtherChannel-

om. PAgP paketi se šalju svakih 30 sekundi. on proverava konzistentnost konfiguracije i upravlja

linkovima koji su dodati u mrežu i kvarovima izmeĎu dva sviča. Omogućava da kada se kreira

EtherChannel, svi portovi imaju istu vrstu konfiguracije. U EtherChannel-u, obavezno je da svi

61

portovi imaju istu brzinu, dupleks, i VLAN informacije. Svaka modifikacija porta nakon kreiranja

kanala takoĎe menja sve ostale channel portove.

Na slici 10.2.1 prikazani su režimi PAgP protokola.

Slika 10.2.1 Režimi PAgP protokola

Ciscov patentirani Port Aggregation Protocol (PAgP) dinamički pregovara formiranjem kanala.

Postoje 3 PAgP režima kao što možemo da vidimo na slici:

1. On (ukljuĉeno) - Bezuslovni kanal, port je deo grupe bez korišćenja PAgP

pregovaranja. Interfejsi konfigurisani u on modu ne razmjenjuju PAgP pakete.

2. Auto - Pasivno osluškivanje i čekanje na poziv za pregovaranje. Ovaj PAgP režim postavlja

interfejs u pasivno stanje pregovaranja u kojem interfejs odgovara na PAgP pakete koje

primi, ali ne pokreće pregovore o PAgP-u.

3. Desirable – Aktivno pregovaranje sa drugom stranom veze. Kanal se formira ako je druga

strana podešena na Auto ili Desirable.

Režimi moraju biti kompatibilni na svakoj strani. Ako se jedna strana konfiguriše da bude u auto

režimu, ona se nalazi u pasivnom stanju, čeka poziv od druge strane za pregovaranje. Ako je i druga

62

strana podešena na auto režim, pregovori se nikada ne počinju i EtherChannel se ne formira. Ako su

svi režimi onemogućeni koristeći komandu no, ili ako ni jedan režim nije konfigurisan, onda je

EtherChannel onemogućen.

10.3 Link Aggregation Control Protocol – LACP

Standrdna nevlasnička verzija koja radi istu stvar je Link Aggregation Control Protocol(LACP).

LACP je deo IEEE specifikacije (802.3ad) koji omogućava povezivanje nekoliko fizičkih portova

kako bi formirali jedan logički kanal. Ovim protokolom se povećava raspoloživost sistema, jer se

omogućava da se više klijenata poveže maksimalnom brzinom mreže. U protivnom, svi klijenti bi

delili brzinu jednog linka. On izvodi funkciju sličnu PAgP-u sa Cisco EtherChannel-om. Pošto je

LACP IEEE standard, može se koristiti za olakšanje EtherChannel u multivendorskim okruženjima.

Na Cisco ureĎajima podržani su oba protokola. LACP je prvobitno bio definisan kao IEEE

802.3ad. MeĎutim, LACP je sada definisan u novijem IEEE 802.1AX standardu za lokalne i

metropolitan mreže. LACP pruža iste pogodnosti pregovaranja, kao i PAgP. LACP pomaže u

stvaranju EtherChannel veze, otkrivanjem konfiguracije svake strane i obezbeĎivanjem

kompatibilnosti tako da se link EtherChannel može omogućiti kada je potrebno. Na slici 10.3.1 su

prikazani režimi za LACP.

Slika 10.3.1 Režimi LACP

63

I ovde postoje 3 LACP režima kao što možemo da vidimo na slici:

1. ON - Ovaj režim primorava interfejs da se kanališe bez LACP-a. Interfejsi konfigurisani u

on modu ne razmjenjuju LACP pakete.

2. LACP active - Ovaj LACP mod postavlja port u aktivno stanje pregovaranja. U ovom

stanju, port pokreće pregovore sa drugim portovima slanjem LACP paketa

3. LACP passive - Ovaj LACP mod postavlja port u pasivno stanje pregovaranja. U ovom

stanju, port odgovara na LACP pakete koje primi, ali ne pokreće LACP pregovore o

paketima.

Kao i kod PAgP, režimi moraju biti kompatibilni sa obe strane za povezivanje EtherChannel

veze. Režim ON se ponavlja, jer bezuslovno stvara EtherChannel konfiguraciju bez dinamičkih

pregovora PAgP ili LACP. LACP dozvoljava osam aktivnih veza, kao i osam rezervnih veza.

Standby veza će postati aktivna, ako jedna od trenutnih aktivnih veza ne uspe.

10.4 Konfiguracija EtherChannel

Kao što je napomenuto, u projektu je implementirana EtherChannel veza izmeĎu distributivnih i

core svičeva u bolnici. To nam omogućava da 8 različitih kablova može da bude kao jedan kabl ,

zbog dosta većeg protoka. U nastavku je prikazana konfiguracija koja je uraĎena na svičevima.

Tabela 10.4.1 Konfiguracija distributivnih svičeva

Opis IP adresni blok Etherchannel

distributivni

Etherchannel core

Veza DSW1F0B1 – CoreSW1 10.0.254.0/30 11 11


Veza DSW1F0B2– CoreSW1 10.0.254.8/30 11 21






Sledeće dve tabele 10.4.2 i 10.4.3 pokazuju konfiguraciju distributivnih svičeva.

64

Tabele 10.4.2 Konfiguracija distributivnih svičeva u zgradi 1.

DSW1F0B1

interface range g1/0/23-24

channel-group 1 mode active

description ka_dissw12

interface port-channel1




interface ran gi1/0/19-20

no switchport


interface port-channel 11

ip address 10.0.254.2 255.255.255.252

description veza_DSW1F0B1-CoreSW1


no switchport



ip address 10.0.254.18 255.255.255.252

description veza_ DSW1F0B1-CoreSW2

delay 20

DSW2F0B1

interface ran g1/0/23-24


description ka_dissw11






no switchport



ip address 10.0.254.6 255.255.255.252



no switchport



ip address 10.0.254.22 255.255.255.252


65

Tabele 10.4.3 Konfiguracija distributivnih svičeva u zgradi 2.

DSW1F0B2









no switchport



ip address 10.0.254.10 255.255.255.252



no switchport



ip address 10.0.254.26 255.255.255.252


delay 20

DSW2F0B2








interface loopback 0

ip address 10.0.255.22 255.255.255.255


no switchport



ip address 10.0.254.14 255.255.255.252



no switchport



ip address 10.0.254.30 255.255.255.252


delay 20

66

Tabele 10.4.4 Konfiguracija core svičeva

CoreSW1



description ka_CoreSW2





interface gi1/0/21



switchport trunk allowed vlan 39

description ka_dmzsw

interface range gi1/0/1-2

no switchport



ip address 10.0.254.1 255.255.255.252

description veza_CoreSW1_DSW1F0B1


no switchport



ip address 10.0.254.5 255.255.255.252



no switchport



ip address 10.0.254.9 255.255.255.252



no switchport



ip address 10.0.254.13 255.255.255.252


CoreSW2







description ka_ CoreSW1

interface gi1/0/21



switchport trunk allowed vlan 39

description ka_dmzsw


no switchport



ip address 10.0.254.17 255.255.255.252


delay 20


no switchport



ip address 10.0.254.21 255.255.255.252


delay 20


no switchport



ip address 10.0.254.25 255.255.255.252


delay 20


no switchport



ip address 10.0.254.29 255.255.255.252


delay 20

67

10.5 Provera EtherChannel-a

Nakon što smo iskonfigurisali EtherChannel na layer 3 svičevima, i u jednoj i u drugoj zgradi, red

bi bio da i proverimo tu konfiguraciju da li je sve uspešno konfigurisano kako treba. Postoji

nekoliko komandi za proveru EtherChannel tehnologije. Kao primer uneta je komanda na Core

sviču – CoreSW1.Ova komanda prikazuje opšti status interfejsa na kom je konfigurisan port

channel.

Na slici 10.5.1 prikazan je rezultat komande show interfaces port-channel 11

68

Kada na istom ureĎaju konfigurišemo nekoliko interfejsa kao port channel, onda koristimo

komandu show etherchannel summary da jednostavno prikaže jednu liniju informacija po kanalu

porta. Na slici 10.5.2 vidimo da Core svič ima 5 EtherChannel grupa konfigurisanih i da se koristi

LACP protocol.

Slika 10.5.2 Primer komande show etherchannel summary

69

11. LAYER 3 REDUDANCY

Jedan od načina sprečavanja jedne tačke neuspeha na default gateway je implementacija virtuelnog

rutera. Da bi sproveli ovu vrstu redundantnosti rutera ili Layer 3 svičeva, više rutera je

konfigurisano da rade zajedno, kako bi predstavljali iluziju jednog rutera tj.layer 3 sviča računarima

na LAN-u, kao što je prikazano na slici. Deljenjem IP adrese i MAC adrese, dva ili više rutera

mogu delovati kao jedan virtualni ruter.

Slika 11.1 Redudansa na 3.sloju

IPv4 adresa virtuelnog rutera je konfigurisana kao default gateway (podrazumevani mrežni prolaz)

za radne stanice na odreĎenom IPv4 segmentu. Kada se frejmovi šalju sa računara na default

gateway, računari tada koriste ARP za rešavanje MAC adrese koja je povezana sa IPv4 adresom

default gateway-a. ARP je jedan od bitnijih protokola za uspešno i nesmetano funkcionisanje

mreže. Kao što je rečeno- služi za saznavanje MAC adrese na osnovu IP adrese. U složenoj

računarskoj mreži, dovoljno je paket poslati do najbližeg rutera ili default gateway-a . Oni su

odgovorni za dalju isporuku paketa. Protokol redudanse obezbeĎuje mehanizam za odreĎivanje

koji layer 3 ureĎaj treba da preuzme aktivnu ulogu u prosleĎivanju saobraćaja, a koji da ostane u

stanju pripravnosti.

70

Postavljanjem podrazumevanog mrežnog prolaza (gateway), on postaje jedinstveno mesto

otkaza (single point of failure). Ukoliko gateway prestane da radi, paketi se ne mogu isporučiti

dalje od lokalne podmreže. Ne postoji način da se dinamički dobije adresa rezervnog mrežnog

prolaza.

Proxy Address Resolution Protocol je jedan od načina da krajnji korisnici dinamički pronaĎu

mrežne prolaze (gateways), ali nije preporučljiv za mreže od kojih se zahteva velika dostupnost

(highly-available environment). Sa Proxy ARP:

Računari upućuju ARP zahteve u vezi svih odredišta, čak i za udaljeni pristup (remote).

Ruteri šalju svoje MAC adrese kao odgovor.

Problem: Spor oporavak od otkaza jer je potrebno minut da ARP zahtev zastari

Umesto da računari sami biraju novi gateway, Layer 3 redundancy protocol dozvoljava da 2 ili više

rutera dele MAC adresu. Ako primarni ruter prstane da radi, rezervni ruter počinje da obaraĎuje

saobraćaj upućen na tu MAC adresu. Ovaj odeljak se odnosi na rutere, ali i Layer 3 svičevi mogu

primeniti Layer 3 redundancy.

12. HOT STANDBY ROUTER PROTOCOL (HSRP)

12.1 Uvod u HSRP protocol i zašto je implementiran u ovom projektu

Hot Standby Router Protocol (HSRP) je protokol koji je Cisco dizajnirao sa ciljem da se

stvori redudansa default gateway-a bez dodatne konfiguracije na krajnjim ureĎajima. Ruteri koji su

konfigurisani sa HSRP-om prezentuju se kao jedan virtuelni default gateway ureĎajima u mreži

(kao što je prikazano na slici 12.1). Aktivni ruter će delovati kao default gateway za krajnje ureĎaje.

Drugi ruter će postati standby ruter odnosno ruter u stanju pripravnosti. Ako se desi da aktivni ruter

padne, standby ruter automatski preuzima ulogu aktivnog rutera - Preuzeće ulogu default gateway-a

za krajnje ureĎaje. Adresa default gateway-a je virtualna IP i MAC adresa koju dele oba HSRP

rutera. Ono što je bitno je da ovo ne zahteva nikakve izmene u konfiguraciji na krajnjim ureĎajima.

Jedan od rutera se bira za primarni ili aktivni HSRP ruter, drugi ruter se bira za HSRP ruter u stanju

pripravnsoti (standby), a ostali su u stanju osluškivanja. Ruteri u pravilnim vremenskim razmacima

razmenjuju HSRP poruke tako da znaju za postojanje drugih rutera i da li aktivan ruter radi.

Prilikom otkaza aktivnog rutera, ruter u stanju pripravnosti počinje da odgovara na poruke poslate

na IP i MAC adresu virtualnog rutera. Čitav proces se odvija neprimetno za krajnje korisnike i oni

nastavljaju da rade bez prekida.

71

Slika 12.1 Topologija HSRP protokola

Uloga aktivnog i standby rutera se odreĎuje tokom HSRP election procesa.Po default-u ruter sa

numerički najvećom IP adresom se bira za aktivni ruter. Moguće je dodatnim podešavanjima uticati

na to koji će ruter postati aktivni ruter.Uvek je bolje da znamo kako će se mreža ponašati, da bismo

mogli da predupremo eventualne probleme, ili da brzo i efikasno identifikujemo nastali kvar.

12.2 HSRP Priority i Preemption

HSRP prioritet se koristi kako bi odredili aktivni ruter. Ruter sa najvećim HSRP prioritetom

postaje aktivni ruter. Podrazumevani HSRP prioritet je 100. Ako su prioriteti dva rutera jednaki,

ruter sa numerički najvećom IPv4 adresom se bira za aktivni ruter. Kako bi konfigurisali ruter da

bude aktivni ruter koristimo komandu standby priority. Raspon HSRP prioriteta može biti od 0 do

255.

HSRP Preemption - po default-u, nakon što ruter postane aktivni ruter, on će aktivan ostati čak i

ako se priključi novi ruter sa većim HSRP prioritetom u mrežu. Da bi ponovo pokrenuli proces

biranja HSRP aktivnog rutera potrebno je da unesemo standby preempt komandu. Ova komanda

omogućava ruteru da ponovo pokrene proces izbora aktivnog rutera. Ako je ova komanda uključena

i ruter sa većim HSRP prioritetom se priključi na mrežu, on će preuzeti ulogu aktivnog rutera.

72

12.3 HSRP stanja

Postoje 6 HSRP stanja koja se odvijaju na layer 3 ureĎaju, to su:

1. Initial - U ovo stanje se ulazi tokom konfiguracione promene ili kada interfejs prvi put

postane dostupan.

2. Learn - Ruter nije odredio virtualnu IP adresu i nije još uvek video hello poruku od aktivnog

rutera. U ovom stanju ruter čeka da eventualno dobije poruku od aktivnog rutera.

3. Listen - Ruter zna virtualnu IP adresu, ali nije još uvek aktivan ni standby ruter. Čeka hello

poruke od tih rutera.

4. Speak - Ruter šalje periodične hello poruke i aktivno učestvuje u odabiru aktivnog i/ili

standby rutera.

5. Standby - Ruter je kandidat da postane naredni aktivni ruter i šalje periodične hello poruke.

6. Active - Ruter trenutno prosleĎuje pakete koji su poslati na grupnu virtualnu MAC adresu.

Šalje periodične hello poruke.

Aktivni i standby HSRP ruteri šalju hello pakete na HSRP grupnu multikast adresu svake 3

sekunde, po default-u. Standby ruter će postati aktivan ako ne dobije hello poruku od aktivnog

rutera u intervalu od 10 sekundi. Moguće je ove intervale smanjiti, kako bi se ubrzao proces

prebacivanja na novi aktivni ruter, meĎutim, kako bi se izbeglo preopterećivanje CPU potrošnje i

nepotrebne promene standby stanja, preporuka je da se hello tajmer ne postavlja na manje od 1

sekunde ili hold tajmer na manje od 4 sekunde.

12.4 HSRP komande

Podešavanje HSRP počinje zadavanjem standby group-number ip virtual-IP-address

komande u interface configuration režimu. Ruteri u istoj HSRP grupi moraju pripadati istoj

podmreži, VLANu. Komanda se zadaje na interface-u koji povezuje tu podmrežu ili VLAN.

HSRP se može dodatno podesiti sa opcijama: Priority, Preempt, Timers, i

InterfaceTracking

1. Router(config-if)# standby version 2 - Konfiguriše HSRP da koristi verziju 2. HSRP verzija

1 je podešena po default-u.

2. Router(config-if)# standby [group-number] ip-address - Konfiguriše HSRP virtualnu IP

adresu koju će koristiti data grupa. Ako grupa nije konfigurisana, virtualna IP adresa će biti

dodeljena grupi 0.

73

3. Router(config-if)# standby [group-number] priority [priority-value] - Konfiguriše željeni

aktivni ruter sa prioritetom većim od defaultnog prioriteta 100. Raspon je od 0 do 255. Ako

prioritet nije konfigurisan, ili je jednak, ruter sa numerički većom IP adresom ima prioritet.

4. Router(config-if)# standby [group-number] preempt - Konfiguriše ruter da ponovo pokrene

HSRP proces izbora aktivnog rutera.

12.5 HSRP Verifikacija

Prva i osnovna verifikacija koju koristimo uvek da vidimo trenutnu celu konfiguraciju koja je

konfigurisana je show running-config. Ona nam pokazuje i deo gde smo HSRP protokol

konfigurisali, na kojim tačno VLAN-ovima, koje IPv4 adrese su korišćene, a takoĎe u runing

konfiguraciji na svakom VLAN- u konfigurisane su i IP helper adrese koje lakše pomažu ureĎajima

da pronaĎu DHCP, čak i ako se ne nalaze direktno u mreži. Mi iz prve zgrade gde se nalazi opšta

bolnica možemo da pošaljemo ip helper u drugu zgradu gde nije, i da prikupimo tu adresu koja nam

treba. Na slici 12.5.2 kao primer uzet je distributivni svič 1 u prvoj zgradi opšte bolnice, i vidi se

delić konfiguracije HSRP protokola. Postoje i druge komande uz pomoć kojih možemo da vidimo

rad HSRP protokola. Da bi verifikovali da je HSRP konfigurisan ispravno, koristimo komandu

show standby. Na slici 12.5.3 prikazan je primer komande koji je uraĎen na distributivnom layer 3

sviču. TakoĎe možemo koristiti i komandu show standby brief. Na slici ispod 12.5.1 uraĎena je ta

komanda.

Slika 12.5.1 Prikaz rezultata komande show standby brief

74

Slika 12.5.2 Prikaz running konfiguracije gde možemo videti da je konfigurisan HSRP

75

Slika 12.5.3 prikzan je deo rezultata komande show standby

76

13. DINAMIĈKO RUTIRANJE

13.1 Osnove protokola rutiranja

Jedno od osnovnih zaduženja mrežnog sloja, odnosno ureĎaja i protokola koji na njemu

funkcionišu, jeste odreĎivanje rute kojom će podaci putovati do konačnog odredišta. Unutar jedne

mreže za isporuku paketa podataka odredišnoj adresi zaduženi su protokoli sloja veze. Pakete

iz jedne mreže u drugu preusmeravaju ruteri - ureĎaji koji imaju ulogu mrežnih prolaza.

Podrazumevana uloga rutera jeste povezivanje dve ili više računarskih mreža kroz preusmeravanje

paketa podataka. Proces u kome ruteri preusmeravaju pakete ka posrednim mrežama ili konačnom

odredištu naziva se rutiranje. Tabela rutiranja čini osnovu rada rutera i samog procesa rutiranja. U

tabeli rutiranja nalaze se informacije na osnovu kojih ruter odreĎuje kuda treba poslati odreĎeni

paket. Osnovna informacija koju nosi svaki od zapisa u tabeli rutiranja jeste do koje se odredišne

mreže može doći prosleĎivanjem paketa odreĎenom mrežnom prolazu. Metrika rute odreĎuje

prioritet rute u odnosu na ostale definisane rute kojima se može doći do odredišta. Njena vrednost

se može zadati statički – od strane administratora, a može se i dinamički izračunati - korišćenjem

različitih parametara komunikacionih kanala: broj skokova - broj rutera koji posreduju u

komunikaciji, propusna moć, opterećenost, kašnjenje, i sl. Dinamičko odreĎivanje metrike

rute vrše protokoli za dinamičko rutiranje, a administrator može da zada formule u koje će se

uključiti pomenuti parametri, u zavisnosti od konkretne situacije. Formiranje ispravne tabele

rutiranja jedan je od glavnih zadataka koduspostavljanja rutiranja u računarskim mrežama.

Zapisi tabele rutiranja sedodaju na tri osnovna načina:

1. Direktnim povezivanjem rutera sa odreĎenom računarskom mrežom,

2. Statičkim dodavanjem ruta od strane administratora

3. Dinamičkim utvrĎivanjem mogućih ruta korišćenjem protokola za dinamičko

rutiranje

Statičko rutiranje podrazumeva ručni unos zapisa tabele rutiranja od strane administratora mreže.

Ovakav pristup je efikasan kod manjih i jednostavnijih računarskih mreža gde nema potrebe

za velikim brojem ruta i njihovim čestim izmenama. TakoĎe, statički unete rute je teško zaobići što

ih čini pogodnim i sa bezbednosnog aspekta. Sa druge strane, statičko definisanje tabele

rutiranja je neefikasno kod složenih računarskih mreža koje imaju veliki broj mogućih ruta i kod

kojih se rute (ili njihova metrika) često menjaju.

77

Dinamičko rutiranje podrazumeva korišćenje odgovarajućih protokola. Postoji više različitih

protokola za dinamičko rutiranje, ali je njihova osnovna uloga zajednička: razmena informacija

izmeĎu rutera u cilju formiranja tabela rutiranja na osnovu kojih će se podaci izmeĎu različitih

mreža prosleĎivati korišćenjem optimalnih ruta. Za korišćenje dinamičkog rutiranja od

administratora se očekuje da na ruterima uključi odreĎeni protokol za dinamičko rutiranje i zada

parametre njegovog korišćenja. U skladu sa tim, vreme potrebno za podešavanje rutiranja u

složenijim mrežama, korišćenjem dinamičkih protokola, može biti daleko kraće u odnosu na

statički unos ruta, ali se od administratora zahteva viši nivo znanja. Protokol rutiranja je jedna

od prvih stvari na koju se pomisli kad se razmišlja o postavljanju računarske mreže.

Protokoli rutiranja ne služe za rutiranje poruka, već služe da ruteri nauče kako izgleda topologija

mreže i kako da naprave putanje bez petlji. Zadatak rutera je da prosledi paket od izvorišta do

odredišne adrese uz što manje zadržavanja i odbacivanja paketa. Protokol rutiranja mu mnogo

pomaže u tome. U ovom projektu implementiran je EIGRP 9(unapreĎeni interni protokol rutiranja

mrežnog prolaza). On je uraĎen zbog mnogo prednosti koje poseduje o kojima ću malo kasnije

govoriti, opisaću kako radi, sa posebnim fokusom na njegov jedinstveni način otkrivanja,

odabiranja i oglašavanja ruta. Stariji protokoli za rutiranje (RIP10

, IGRP11

) su spori jer periodično

šalju kompletne kopije svoje baze i zauzimaju značajan deo propusnog opsega. Savremeni protokoli

za rutiranje šalju ažurirane podatke samo kad se stanje promeni, dok pozdravne poruke

(hello messagges) šalju često i pomoću njih se brzo može uočiti promena stanja u mreži.

13.2 Kriterijumi protokola za rutiranje

Postoji više kriterijuma za klasifikaciju protokola za rutiranje. Stariji protokoli za rutiranje razvijani

su u periodu kada su još uvek bile u upotrebi klase mrežnih adresa. Sa tog aspekta se protokoli za

rutiranje dele na one koji su zasnovani na klasama i one koji podržavaju podmrežavanje. Danas se

u praksi sve reĎe može sresti primena protokola za rutiranje koji svoj rad zasnivaju na klasama

mrežnih adresa, a kao primer za njih mogu se uzeti prva verzija RIP protokola, EGP12

protokol i

starije verzije BGP13

protokola. Protokoli zasnovani na klasama u okviru poruka

razmenjuju samo adresu mreže, odnosno ne razmenjuju mrežnu masku. Mrežnu masku

primalac izračunava na osnovu klase u koju adresa mreže spada.

9 Enhanced Interior Gateway Routing Protocol (EIGRP)

10 Routing Information Protocol (RIP)

11 Interior Gateway Routing Protocol (IGRP)

12 Exterior Gateway Protocol EGP (EGP)

13 Border Gateway Protocol (BGP)

78

Protokoli koji podržavaju podmrežavanje u porukama pored adrese mreže šalju i mrežnu masku. U

tu grupu spadaju druga verzija RIP protokola, OSPF, IS-IS i drugi. Sa aspekta veličine i tipa mreže

za koju su namenjeni protokoli za rutiranje dele se na interne - Interior Gateway Protocol - i

eksterne - Exterior Gateway Protocol. S obzirom na veličinu Internet mreže utvrĎivanje njene

kompletne topologije bi bilo nemoguće, čak i putem korišćenja protokola za rutiranje. Iz tog razloga

je ova mreža podeljena na autonomne sisteme. Autonomni sistem (engl.Autonomus System)

predstavlja skup mreža koje koriste javne adrese Internet protokola, a čije je administriranje

povereno jednoj organizaciji. Svaki autonomni sistem je od strane organizacije IANA14

označen

jedinstvenim brojem. U interne protokole za rutiranje spadaju RIP, OSPF, IS-IS i više drugih. Za

potrebe rutiranja izmeĎu autonomnih sistema ranije je korišćen EGP koji je kasnije zamenjen

trenutno aktuelnim BGP protokolom. Jedna od najvažnijih kategorizacija protokola za rutiranje

odnosi se na tip informacija koje oni razmenjuju, odnosno na koji način odreĎuju moguće rute. U

okviru ove kategorizacije protokoli za rutiranje dele se na protokole koji koriste vektore udaljenosti

(engl. distance vector) i koji koriste stanje veza (engl. link state). Protokoli bazirani na vektorima

udaljenosti komuniciraju samo sa susednim ruterima, odnosno ruterima koji se nalaze u istim

mrežama.U skladu sa tim, ovi protokoli obezbeĎuju informaciju koji ruter je prvi sledeći posrednik

u putanji do konačnog odredišta, ali ne i strukturu cele mreže i rute. Metriku ovih protokola

najčešće čini broj skokova, odnosno broj rutera koji će posredovati u isporuci paketa u odredišnu

mrežu. Kao predstavnik ove grupe protokola mogu se uzeti protokoli RIP i EIGRP.

Protokoli koji koriste vektore udaljenosti obično razmenjuju manje količine podataka (za potrebe

konvergencije) od protokola koji koriste stanje veza.Ovi protokoli šalju čitavu tabelu rutiranja

direktno svojim povezanim susedima. Nasuprot protokolima zasnovanim na vektorima udaljenosti,

postoje protokoli koji koriste stanje veza. Oni se još nazivaju i protokolima baziranim na SPF

algoritmu, kao i protokolima sa distribuiranim bazama. Karakteristika ovih protokola je da svaki

ruter održava bazu podataka koja opisuje celu topologiju autonomnog sistema kome ruter pripada.

Ova baza se naziva bazom stanja veza(engl. link-state database) i identična je kod svih rutera u

autonomnom sistemu. Na osnovu baze stanja veza svaki ruter odreĎuje optimalne putanje izmeĎu

sebe i ostalih delova autonomnog sistema. Kod protokola stanje veze (link state), takoĎe zvanim

protokoli najkraće putanje-prvo (shortest-path-first) , svaki ruter kreira 3 zasebne tabele. Jedna od

ovih tabela beleži informacije o direktno povezanim susedima, jedna odreĎuje topologiju čitave

mreže, a jedna se koristi kao tabela rutiranja. OSPF je protokol rutiranja koji je u potpunosti

protokol stanja veze.

14

Internet Assigned Numbers Authority

79

U praksi se često javlja razumevanje da razlika izmeĎu protokola za rutiranje koji koriste

vektore udaljenosti i onih koji koriste stanje veza, leži u vrsti podataka koji se koriste za

odreĎivanje metrike, odnosno da protokoli koji koriste vektore udaljenosti za izračunavanje metrike

koriste isključivo broj skokova, dok protokoli koji koriste stanje veza koriste propusnu moć i

zauzeće komunikacionih kanala. Takvo razumevanje je pogrešno jer osnovnu razliku čini to da li

korišćenjem odreĎenog protokola ruter formira kompletnu topologiju mreže u kojoj se nalazi ili

samo dolazi do informacije do kojih sve mreža može doći preko svojih susednih rutera. Na primer,

EIGRP protokol za rutiranje zasnovan je na vektorima udaljenosti a za izračunavanje metrike koristi

propusnu moć komunikacionih kanala, njihovo zauzeće, kašnjenje i pouzdanost. Kada su u pitanju

protokoli za dinamičko rutiranje, konvergencija označava usklaĎenost informacija svih rutera

u mreži, odnosno posedovanje svih potrebnih informacija na osnovu kojih su formirane

ispravne tabele rutiranja na svim ruterima. U konvergentnim mrežama nema grešaka u

rutiranju kao što su beskonačne petlje, gubitak paketa i slično. Protokol za dinamičko rutiranje

može se smatrati ispravnim ukoliko se njime u razumnom vremenskom roku (nakon

uključivanja svih rutera) može postići stanje konvergencije. Nakon postizanja, stanje konvergencije

ostaje aktivno dok se god ne desi neka izmena u topologiji. Nastanak izmene u topologiji je okidač

za razmenu novih informacija protokolima za dinamičko rutiranje i ponovno postizanje stanja

konvergencije. Što je vreme za postizanje konvergencije po uključivanju svih rutera, ili

nastanku izmene u topologiji kraće, to se protokol za dinamičko rutiranje može smatrati

optimalnijim po tom pitanju. Treći tip protokola su hibridni protokoli, koji imaju karakteristike

oba prethodna protokola. Hibridni protokoli (hybrid) koriste aspekte vektora udaljenosti i stanja

veze. Ruteri koji koriste hibridni protokol šalju informacije samo kada postoji promena (kao

kod link state protokola), ali samo susednim ruterima (kao kod distance vector protokola). Na

slici 13.2.1 prikazani su tipovi protokola za rutiranje.

Slika 13.2.1 Tipovi protokola za rutiranje

80

14. EIGRP (Enhanced Interior Gateway Routing Protocol)

14.1 Osnovne karakteristike EIGRP protokola

EIGRP (Enhanced Interior Gateway Routing Protocol) je jedan od dinamičkih protokola

rutiranja koji omogućava dobru skalabilnost kao i izuzetno brzu konvergenciju mreže. EIGRP

spada u grupu distance-vector protokola, meĎutim brzina konvergencije koju EIGRP omogućava

ravnopravna je sa brzinama konvergencije link-state protokola rutiranja, pa čak u nekim

slučajevima EIGRP postiže veću brzinu konvergencije mreže. EIGRP protokol troši veoma

malo mrežnih resurasa s obzirom na to da se u stabilnoj mreži šalju samo hello paketi. Ostala

oglašavanja propagiraju se samo u slučaju promene u mreži (pad ili dodavanje linka). EIGRP koristi

DUAL (Diffusing Update Algorithm) za proračun najkraćeg puta do destinacije unutar mreže.

EIGRP je incijalno pušten u rad 1992. godine kao protokol u vlasništvu kompanije Cisco, što je

značilo da je EIGRP bilo moguće koristiti isključivo na ureĎajima kompanije Cisco. 2013. godine

kompanija Cisco je omogućila da i drugi vendori mogu da koriste EIGRP protokol, meĎutim neka

napredna svojstva EIGRP protokola ostala su u vlasništvu kompanije Cisco. EIGRP je poboljšana

verzija IGRP-a. EIGRP se često smatra hibridnim protokolom jer oglašava svoje rute kao distance-

vector protokoli, i stvara odnose sa susedima kao link-state protokoli. Tehnologija konvergencije se

zasniva na istraživanju sprovedenom na MeĎunarodnom SRI (International Stanford Research

Institute). Diffusing Update Algoritam (Dual) je algoritam koji se koristi za dobijanje „loop-free“

rute u svakom trenutku tokom računanja rute. To omogućuje svim ruterima uključenim u

topologiju, sinhronizaciju promena u isto vreme. Ruteri koji nisu pretrpeli nikakve promene nisu

uključeni u ponovno izračunavanje ruta. Za razliku od RIP protokola EIGRP ne šalje periodična

oglašavanja i zapisi u tabeli rutiranja ne zastarevaju. Termin parcijalna oglašavanja se odnosi na to

da oglašavanje sadrži samo informacije o promenama u topologiji poput dodavanja novog ili pada

postojećeg linka. Termin ograničena oglašavanja se odnosi na činjenicu da se oglašavanja šalju

samo onim ruterima na koje promena u topologiji utiče. Ovime se minimizuje potreban propusni

opseg neophodan za slanje EIGRP oglašavanja. EIGRP podržava jednako i nejednako

rasporeĎivanje opterećenja (equal cost load balancing and unequal cost load balancing), čime

omogućava administratorima mreže da bolje organizuju distribuciju saobraćaja kroz mrežu. Postoji

mogućnost da se konfiguriše autentifikacija u okviru EIGRP protokola. Autentifikacijom se

postiže da ruteri prihvataju samo informacije o rutiranju od rutera na kojima je podešena ista

šifra za autentifikaciju.

81

14.2 EIGRP protokolno-zavisni moduli ( Protocol-Dependant Modules)

EIGRP može da obavlja rutiranje za različite protokole (npr. IPv4 i IPv6) koristeći protokolno-

zavisne module ( Protocol-Dependant Modules-PDMs). Protokolno-zavisni moduli su zaduženi

za izvršavanje specifičnih zahteva za svaki protokol mrežnog sloja, uključujući:

Održavanje tabele susedstva i tabele topologije na ruterima koji pripadaju odreĎenom

protokolu (IPv4, IPv6)

Kreiranje i prevoĎenje paketa specifičnih za odreĎeni protokol za DUAL

Povezivanje DUAL algoritma sa tabelom rutiranja odreĎenog protokola

Izračunavanje metrike i prosleĎivanje ovih informacija DUAL algoritmu

Implementacija filter i pristupnih (access) listi

Redistribucija ruta naučenih od drugih protokola rutiranja.

Kada ruter otkrije novog suseda, u tabelu suseda zapisuju se IP adresa suseda i

interfejs posmatranog rutera preko kojeg se povezuje sa susedom. Za svaki protokolno-zavisni

modul (npr. IPv4) postoji posebna tabela susedstva. EIGRP održava i tabelu topologije koja sadrži

sve destinacije oglašavane od strane susednih rutera. TakoĎe, za svaki protokolno-zavisni

modul posoji posebna tabela topologije

14.3 RTP - Reliable Transport Protocol

EIGRP koristi sopstveni protokol, koji se zove Reliable Transport Protocol (RTP), i služi za

upravljanje komunikacijom poruka izmeĎu EIGRP rutera. Na ovaj način, pouzdanost je

ključna prednost ovog protokola. Cisco je dizajnirao mehanizam koji ima mogućnost da preko

multicast i unicast isporuke brzo dostavlja update, i prati prijem podataka. Ruteri prate sve

informacije koje se šalju, označavajući redni broj za svaki paket. S ovom tehnikom, moguće je

otkriti dolazak starih, viška ili out-of-order podataka. Ovo je vrlo važno, zato što je EIGRP

kategorisan kao stabilan protokol. To zavisi od njegove sposobnosti za sinhronizaciju ruting baze

podataka na početku procesa slanja podataka i dalje održava konzistentnost baze podataka

tokom vremena, tako što će obaveštavati samo o promenama kada se dese. EIGRP nije vezan za

odreĎeni protokol mrežnog sloja, pa zbog svog dizajna nije mogao da koristi UDP ili TCP protokol.

Ovo omogućava EIGRP-u da se koristi i za protokole van TCP/IP steka. RTP protokol omogućava i

pouzdan i nepouzdan prenos EIGRP paketa. Za pouzdan prenos RTP zahteva da pošiljalac

poruke dobije potvrdu prijema od primaoca, dok se za nepouzdan prenos ne koristi ovakva

82

potvrda. Za multikast prenos EIGRP paketa za IPv4 koristi se rezervisana multikast adresa

224.0.0.10.

14.4 Tipovi EIGRP Paketa

EIGRP koristi pet različitih tipova paketa (tipova poruka). EIGRP poruke se šalju pomoću

RTP protokola i to tako da prenos može biti pouzdan ili nepouzdan i tako da prenos može biti ka

jednoj destinaciji (unikast prenos) ili ka grupi destinacija (multikast prenos).

1. Hello paketi - Koriste se za otkrivanje suseda i održavanje EIGRP susedstva. Hello paketi

koriste nepouzdanu dostavu i multikast prenos (na većini tipova mreža).

2. Update paketi - Koriste se za propagaciju informacija o rutiranju EIGRP susedima. Update

paketi koriste pouzdanu dostavu, a prenos Update paketa može biti bilo unikast bilo

multikast. Sadrže ruting informacije o odredištu.

3. Acknowledgment paketi - Koriste se za potvrdu prijema EIGRP poruke koja koristi

pouzdanu dostavu. Acknowledgment paketi koriste nepouzdanu dostavu i unikast prenos.

4. Query paketi - EIGRP šalje query pakete da pronaĎe feasible successor rute ka odredištu.

Koriste se za upit o rutama od suseda. Query paketi koriste pouzdanu dostavu, a prenos

može biti bilo unikast bilo multikast.

5. Reply paketi - Koriste se kao odgovor na EIGRP Query pakete. Reply paketi koriste

pouzdanu dostavu i unikast prenos.

14.5 Uspostava EIGRP susedstva i tabela topologije

Da bi razmena EIGRP Update paketa bila moguća neophodno je da EIGRP ruter otkrije

svoje susede. EIGRP susedi su direktno konektovani ruteri koji takoĎe imaju uspostavljen

EIGRP. EIGRP koristi Hello pakete za uspostavu i održavanje EIGRP susedstva. Da bi dva EIGRP

rutera mogli da postanu EIGRP susedi neophodno je da se odreĎeni parametri poklapaju na

ta dva rutera (npr. oba rutera moraju koristiti iste parametre metrike, takoĎe moraju biti

konfigurisani pomoću istog broja autonomnog sistema). Kada EIGRP ruter primi Hello paket kroz

odreĎeni interfejs, tada se odgovarajući susedni ruter dodaje u tabelu EIGRP susedstva posmatranog

rutera. EIGRP oglašavanja sadrže mreže koje su dostupne ruteru koji šalje oglašavanje.

Ruteri koji prime oglašavanje dodaju zapise o ovim mrežama u svoje EIGRP tabele

topologije. Tabela topologije sadrži zapise o svakoj destinaciji o kojoj ruter nauči od direktno

konektovanih EIGRP suseda. Kada ruter primi EIGRP oglašavanje, on dodaje informacije o

83

rutiranju u svoju EIGRP tabelu topologije i odgovara EIGRP acknowledgment paketom da bi

potvrdio prijem oglašavanja.

14.6 EIGRP kompozitna metrika

Po difoltu, EIGRP koristi sledeće parametre za svoju kompozitnu metriku za proračun najbolje

putanje do odreĎene mreže:

Propusni opseg–najmanji propusni opseg od svih izlaznih interfejsa duž putanje od izvornog

rutera do odredišnog.

Kašnjenje - kumulativno kašnjenje svih interfejsa na putanji

Sledeći parametri mogu biti korišćeni, mada nije preporučljivo, jer uglavnom dovode do

čestih ponovnih proračunavanja tabele topologije:

Pouzdanost - Predstavlja najlošiju pouzdanost izmeĎu izvorišta i odredišta.

Opterećenje - Predstavlja najveće opterećenje nekom linku izmeĎu izvorišta i odredišta

bazirano na osnovu brzine slanja paketa i podešenog propusnog opsega interfejsa.

14.7 DUAL algoritam

EIGRP koristi DUAL algoritam kako bi postigao konvergenciju mreže. Konvergencija je

važna da bi se izbegle petlje u mreži. Petlje mogu biti katastrofalne po funkcionisanje mreže.

EIGRP koristi i druge tehnike pomoću kojih se sprečavaju petlje (korišćenje hold-down tajmera,

kao i korišćenje tehike split-horizon), meĎutim DUAL algoritam je glavni adut EIGRP protokola u

borbi protiv petlji. DUAL omogućava svim ruterima pogoĎenim promenom topologije da se

sinhronizuju istovremeno. Ruteri koji nisu pogoĎeni promenom topologije nisu uključeni u

ponovno proračunavanje pomoću DUAL algoritma. Ovime se postiže brža konvergencija u

odnosu na druge distance vector protokole. Proces odlučivanja za sve proračune ruta omogućava

deo DUAL algoritma koji se naziva DUAL Finite State Machine(FSM). FSM je konačni automat

koji predstavlja komponentu DUAL algoritma. DUAL FSM mašina vodi računa o svim

rutama, koristi EIGRP metriku da bi odabrala efikasne putanje bez petlji, identifikuje rute sa

najmanjom cenom putanje koje će biti umetnute u tabelu rutiranja. Ponovno proračunavanje

DUAL algoritma može biti procesorski zahtevno, zato EIGRP izbegava ovo proračunavanje

kada god je to moguće. U tu svrhu čuva se lista rezervnih (backup) ruta za koje je DUAL već

prethodno utvrdio da nemaju petlje. Ukoliko primarna ruta (nalazi se u tabeli rutiranja) otkaže,

najbolje rezervna ruta će iz tabele topologije momentalno biti dodata u tabelu rutiranja.

84

14.8 Pojmovi Feasible Successor, Feasibility Condition i Reported Distance

DUAL može da konvergira veoma brzo nakon promene topologije zahvaljujući tome što

može da koristi rezervne putanje do odreĎenih mreža bez pokretanja novog DUAL

proračuna. Ove rezervne putanje nazivaju se Feasible Successors(FSs). FS je EIGRP sused koji ima

rezervnu rutu bez petlji rutiranja ka istoj mreži kao i ruter koji se naziva naslednik (successor-ruter

koji zapravo predstavlja sledeći korak na putanji (next hop) ) pri čemu ta rezervna putanja

zadovoljava uslov koji se naziva Feasibility Condition(FC). Da bih objasnila pojam Feasibility

Condition(FC), moram prvenstveno objasniti pojmove Feasible Distance(FD) i Reported Distance

(RD).

Feasible Distance(FD): Moguća udaljenost - Ovo je najbolja metrika duž svih putanja do udaljene

mreže, uključujući metriku do suseda koji je oglasio tu udaljenu mrežu. Ovo je ruta koju ćemo

pronaći u tabeli rutiranja zato što se smatra najboljom putanjom. Metrika moguće udaljenosti je

metrika o kojoj je izvestio sused (naziva se prijavljena udaljenost), plus metrika do suseda koji je

izvestio o ruti.

Reported Distance(RD): Prijavljena udaljenost -Ovo je metrika udaljene mreže o kojoj je izvestio

sused. To je takoĎe, metrika susedove tabele rutiranja i ista je kao broj iza kose crte u tabeli

topologije. Posmatrani ruter uporeĎuje svoju metriku ka posmatranoj ruti (FD) sa metrikom

EIGRP suseda ka toj ruti (RD). Ukoliko je RD < FD, tada je zadovoljen uslov Feasibility

Condition(FC). Ukoliko je zadovoljen ovaj uslov, tada je putanja koju susedni ruter ima ka

odreĎenoj destinaciji bez petlji.

Feasible successor (FS): Mogući naslednik - Mogući naslednik je putanja čija je prijavljena

udaljenost manja od moguće udaljenosti i smatra se rezervnom rutom. EIGRP će čuvati do šest

mogućih naslednika u tabeli topologije. Samo onaj naslednik sa najboljom metriko se smešta u

tabelu rutiranja. Komanda show ip eigrp topology će prikazati sve EIGRP moguće nasledne rute

koje su poznate ruteru.

Successor -Naslednik - Nasledna ruta je najbolja ruta do udaljene mreže. Naslednu rutu koristi

EIGRP za prosleĎivanje saobraćaja do odredišta i smeštena je u tabeli rutiranja. Rezerva ove rute je

mogući naslednik (FS) smešten u tabeli topologije.

Tabela suseda(Neighbor table) - Svaki ruter čuva informacije o svojim susedima. Kada se upozna

novi sused, adresa i interfejs suseda se beleže i ova informacija se čuva u tabeli suseda smeštenoj u

RAM-u. Za svaki modul zavisan od protokola postoji po jedna tabela suseda. Za uparivanje potvrda

85

o prijemu sa paketima ažuriranja se koriste brojevi sekvenci. Broj poslednje primljene sekvence od

suseda se beleži, tako da mogu da se detektuju paketi koji su van redosleda.

Tabela topologije (Topology table) - Tabela topologije se popunjava modulima zavisnim od

protokola i ponaša se u skladu sa alforitmom difuznog ažuriranja (DUAL). Ova tabela sadrži sva

odredišta koja su oglasili susedni ruteri, uključujići svaku odredišnu adresu i listu suseda koji su

oglasili odredište. Za svakog suseda se beleži oglašena metrika koja dolazi jedino iz susedove

tabele rutiranja. Ako je sused oglasio ovo odrešte, mora da koristi tu rutu za prosleĎivanje paketa.

Nakon ovog detaljnog analiziranja EIGRP protokola, biće jednostavnije da se sad prikaže

konfiguracija EIGRP protokola na L3 ureĎajima u projektu, a isto tako i da se razume svaka provera

EIGRP rutiranja.

14. 9 Konfiguracija EIGRP protokola

Distribution sviĉevi

DSW1F0B1

router eigrp 1

network 10.0.0.0

no auto-summary

passive-interface default

no passive interface vlan 150

no passive interface port-channel 11


eigrp stub

DSW2F0B1

router eigrp 1

network 10.0.0.0

no auto-summary





eigrp stub

DSW1F0B2

router eigrp 1

network 10.0.0.0

no auto-summary




86


eigrp stub

DSW2F0B2

router eigrp 1

network 10.0.0.0

no auto-summary





eigrp stub

Core sviĉevi

CoreSW1

ip access list standard ACL_DEFAULT

permit 0.0.0.0

route-map RM_DEFAULT

match ip address ACL_DEFAULT

router eigrp 1

network 10.0.0.0

no auto-summary







redistribute static 1000000 1 255 1 1500 route-map RM_DEFAULT

ip route 0.0.0.0 0.0.0.0 10.0.31.5 name DEFAULT

CoreSW2

ip access list standard ACL_DEFAULT

permit 0.0.0.0

route-map RM_DEFAULT

match ip address ACL_DEFAULT

router eigrp 1

network 10.0.0.0

no auto-summary



87





redistribute static 1000000 1 255 1 1500 route-map RM_DEFAULT

ip route 0.0.0.0 0.0.0.0 10.0.31.5 name DEFAULT

14.10 Proveravanje EIGRP protokola rutiranja u projektu

Slika 14.10.1 prikazuje prikaz komandu show ip route koja prikazuje čitavu tabelu rutiranja na

layer 3 sviču koji je uzet kao primer.

88

Slika 14.10.2 Prikaz komande show ip route na distributivnom sviču

Možemo da vidimo na slici 14.10.2 da na EIGRP rute ukazuje slovo D (DUAL), a da

administrativna udaljenost svih ruta iznosi 90, to predstavlja interne EIGRP rute, a takoĎe imamo i

default rutu koja je eksterna i njena administrativna udaljenost iznosi 170.

Sada ćemo da pogledamo sta nam se prikazuje u tabeli suseda uz pomoć komande show ip eigrp

neighbors.

Slika 14.10.3 Prikaz komande show ip eigrp neighbors na distributivnom sviču

89

Slika 14.10.4 Prikaz komande show ip eigrp neighbors na core sviču

Informacije koje su nam u ovom izlazu analiziramo na sledeći način:

Polje H ukazuje na redosled kojim je sused otkriven

Vreme zadržavanja (hold) ukazuje koliko dugo će ovaj ureĎaj čekati da Hello paket stigne

do odreĎenog suseda

Vreme ispravnog rada (Uptime) ukazuje koliko dugo je sused već uspostavljen

Polje SRTT je tajmer mirnog povratnog putovanja (smooth round- trip timer) - Ukazuje na

vreme potrebno za povratno putovanje paketa, od ovog ureĎaja do njegovog suseda i nazad.

Polje Retransmition Time Out, RTO (tajmout ponovnog prenosa), to je vreme tokom kojeg

će EIGRP čekati pre nego što susedu ponovo pošalje paket it reda čekanja na ponovni

proces

Vrednost Q ukazuje da li u redu čekanja postoji neka zaostala poruka - velike vrednosti

ukazuju na problem

Polje Seq ukazuje na sekvencioni broj poslednjeg ažuriranja dobijenog od suseda- koristi se

za održavanje sinhronizacije i izbegavanje dupliranja ili obrade poruka van redosleda.

Sada ćemo da vidimo šta se sve nalazi u tabeli topologije datog ureĎaja koristeći komandu show ip

eigrp topology.

91

Slika 14.10.5 Prikaz cele komande show ip eigrp topology na distributivnom sviču

Treba da obratimo pažnju na nekoliko bitnih stvari koje nam pokazuje ova komanda show ip eigrp

topology. Ispred svake rute nalazi se slovo P. To znači da je ruta u pasivnom stanju, što je dobro.

Rute u aktivnom stanju ukazuju da je ruter izgubio svoju putanju do ove mreže i da traži zamenu.

Svaki unos ukazuje i na moguću udaljenost (FD) do svake udaljene mreže, plus suseda na sledećem

skoku kroz koji će paketi putovati do ove destinacije (ove termine sam malo pre pominjala kako bi

bio jasniji prikaz ove komande). Prvi broj ukazuje na moguću udaljenost, a drugi na oglašenu

udaljenost do udaljene mreže.

15. OBEZBEĐIVANJE MREŢE BOLNICE

Na pomen obezbeĎivanja mreže, najčešće se pomisli na korišćenje firewall-a i sprečavanje napada

na trećem sloju i iznad. Svi se trude da zaštite mrežu od upada spolja, ostavljajući unutrašnje

ureĎaje uglavnom nezaštićenje. Problem je što se nedozvoljeni ureĎaji mogu lako prikačiti na mrežu

i njihov upad može proći potpuno nezapaženo. UreĎaji-uljezi mogu biti postavljeni zlonamerno ili

od strane zaposlenog koji želi više switch portova ili bežični domet i sl. Najćešće se radi o bežičnim

ruterima ili razvodnicima (hub) i pristupnim svičevima.

Postoje četiri vrste napada na komutiranu mrežu:

Napadi zasnovini na MAC adresi, kao što je plavljenje MAC adresama (MACaddress

flooding)

92

Napadi zasanovani na VLANu, kao što je VLAN preskakanje (VLAN hopping) i napadi na

ureĎaje u istom VLANu

Napadi obmane (Spoofing attacks), kao što je DHCP spoofing, MAC spoofing, Address

Resolution Protocol (ARP) spoofing i napadi na Spanning Tree

Napadi na switch, kao što je izmena Cisco Discovery Protocol (CDP) poruka, Telnet

napadi i Secure Shell (SSH) napadi

15.1 Implementacija bezbednosnih karakteristika na sviču

Kod poplave MAC adresa, napadač teži da popuni switch-ov Content Addressable Memory

(CAM) tabelu sa neispravnim MAC adresama. U situaciji kada svič ne zna koja MAC adresa se

nalazi na kojem portu, podrazumevano počinje da šalje sve frejmove na sve portove. Negativne

posledice ovoga su stvaranje većeg saobraćaja nego što je potrebno. Pošto se sav saobraćaj šalje na

svaki port, napadač ima priliku da prisluškuje saobraćaj koji inače ne bi mogao da vidi i to sa

svakog portu. Pošto napad prestane, zapisi u CAM tebeli zastare i popune se ispravnim MAC

adresama i sve se nastavi da radi uobičajeno. Ovo se izvodi radi prikljupanja tuĎeg saobraćaja ili

kao deo Denial of service (DoS) napada. ObezbeĎivanju porta i autentikacija na portu mogu

daumanje MAC napade.

15.2 ObezbeĎivanje Porta

Port security opcija nam pomaže da kontrolišemo koliko će MAC adresa naučiti jedan switch port.

Neki tipičan korisnik koristi samo jednu MAC adresu uz izuzetke postojanja virtuelne mašine koja

možda koristi drugačiju MAC adresu ili postojanja nekog IP telefona koji u sebi ima switch koji se

takoĎe računa kao dodatna MAC adresa. Da bismo sprečili korisnika da poveže veliki broj ureĎaja

na switch koji je povezan na access port korisnika, koristimo port security da bismo ograničili broj

MAC adresa. Port security takoĎe sprečava klijente da iskoriste sve resurse DHCP servera slanjem

hiljade dhcp zahteva sa različitih mac adresa. Ovaj napad se zove DHCP spoofing i koristi se u loše

svrhe da se namerno potroše sve adrese iz DHCP pool-a generisanjem dovoljno DHCP zahteva.

Port security opcija će po defoltu da isključi port ako doĎe de bilo kakvog prekršaja. Zaštitom port-

a, port security odbija sve frejmove od novih MAC adresa ako preĎu zadatu granicu. Restrict opcija

radi isto kao i protect (zaštita) ali kao dodatak pravi syslog poruke.

Port Security Violation Modes:

Protect - Zaštititi: Kada broj zaštićenih MAC adresa dostigne ograničenje koje je

dozvoljeno na portu, paketi sa nepoznatim izvornim adresama se odbacuju, sve dok se ne

93

ukloni dovoljan broj zaštićenih MAC adresa ili se poveća broj maksimalno dozvoljenih

adresa

Restrict - Ograničiti: Odbacuje sve pakete od nesigurnih hostova. U ovom režimu postoji

obaveštenje da je došlo do kršenja bezbednosti

Shutdown - Isključivanje: U ovom podrazumevanom režimu, kršenje bezbednosti porta

uzrokuje da se interfejs odmah isključi. Interfejs se postavlja u err-disabled stanje.

switchport port-security violation { protect | restrict | shutdown }

Slika 15.2.1 Konfiguracija Port Security na sviču

Sada ćemo da vidimo primer prikaza komande show port-security interface f0/2.

94

Slika 15.2.2 Prikaz komande show port-security interface f0/2

Ovo je dato samo kao primer gde može da se vidi da je na sviču implementirana zaštita porta, i da je

omogućen mod za isključivanje porta ukoliko se prihvati nevalidna MAC adresa. Vezivanje porta

za jednu MAC adresu pruža veliku sigurnost, ali je gotovo nemoguće ručno uneti sve te adrese u

velikoj mreži. Za to postoji opcija Sticky learning i ona je ovde konfigurisana. Prvu dinamički

naučenu adresu pretvara u „lepljivu“ tj. smešta je podešavanja sviča. Ovu opciju je zgodno

iskoristiti za podešavanje switch-eva na kojim se priključeni svi zaposleni. Port Security je samo

jedna od zaštita ,a postoje razne mogućnosti kako možemo povećati bezbednost naše mreže:

Isključiti neiskorišćene servise i portove

Koristiti jake lozinke i često ih menjati

Kontrolisati fizički pristup ureĎajima

Izbegavati korišćenje HTTP web sajtova, umesto toga koristiti sigurniji HTTPS

Praviti rezervne kopije i redovno testirati

Šifrovati osetljive podatke i zaštiti ih snažnom lozinkom

Ažurirati redovno IOS softver

Koristiti firewalls

95

15.3 Bezbednosna karakteristika - DHCP SNOOPING

Dhcp snooping je bezbednosna karakteristika koja služi kao štit izmeĎu nepoverljivih ureĎaja i

poverljivih DHCP servera. Funkcija DHCP snooping-a vrši sledeće aktivnosti:

Validira DHCP poruke primljene od nepoverljivih izvora i filtrira ih kao nevažeće poruke

Ograničava brzinu prometa od poverljivih i nepoverljivih izvora

Pravi i održava DHCP bazu podataka za snooping, koja sadrži informacije o nepoverljivim

hostovima sa uzetim (ili drugim rečima zakupljenim) IP adresama

Koristi DHCP bazu podataka za snooping da bi potvrdio naknadne zahteve od nepoverljivih

hostova

DHCP Spoofing Attack je vrsta napada gde napadač osluškuje DHCP zahteve klijenata i odgovara

im lažnim DHCP odgovorom pre nego što autorizovani DHCP odgovor doĎe od klijenta. Samo

portovi koji su povezani na autorizovan DHCP server su poverljivi i mogu slati sve vrste DHCP

poruka. Lažni DHCP odgovor često daje svoju IP adresu kao klijent default gateway, sav saobraćaj

poslat od klijenta će proći kroz računar napadača, napadač postaje „man in the middle”. DHCP

snooping se implementira sledećim koracima:

Definisati i konfigurisati DHCP server

Uključiti DHCP snooping na barem jednom VLAN-u jer je po defoltu isključen na svim

vlan-ovima

Osigurati da je DHCP server povezan preko poverljivog interfejsa jer po defoltu su svi

interfejsi nepoverljivi

Konfigurasati DHCP bazu podataka za snooping. Ovo osigurava bazu podataka da se stavke

vraćaju nakon restartovanja ili prelaska

Uključiti DHCP snooping na globalnom nivou. DHCP snooping svojstvo nije aktivno dok se

ne uradi ovaj korak

96

Slika 15.3.1 Primer konfiguracije DHCP SNOOPING-a na sviču

15.4 ARP napad -Dinamička ARP inspekcija

DAI (Dynamic ARP Inspection) - Kao kontramere za ARP napade se uvodi dinamička ARP

inspekcija. Napadač „truje‟ ARP tabelu , sav saobraćaj ide kroz napadača, posle toga ispravlja ARP

tabelu ispravnim vrednostima i tok saobraćaja se vraća u normalu. Radi mere opreznosti potrebno je

konfigurisati nekoliko stvari:

DHCP snooping mora biti konfigurisan i tabela generisana

DAI se konfiguriše po VLAN-u

Podešavanje poverljivog (trust) interface kao kod DHCP snooping

97

Slika 15.4.1 Primer konfiguracije ARP inspekcje na sviču

Ovo su neke mere zaštite koje se preporučuju svakom administratoru da primeni u svojoj

računarskoj mreži kako bi osigurao mrežu od raznih vrta napada koje u današnje vreme se sve češće

dešavaju.

98

16. PRISTUPNE LISTE - Access Control Lists (ACLs)

16.1 Uvod u pristupne liste

ACLs su liste uslova koje se koriste za testiranje saobraćaja u mreži. Ove liste govore ruteru

koje tipove paketa da primi, a koje da odbije. Ruter donosi zaključke na osnovu konfigurisane i

postavljene ACL liste i informacija iz zaglavlja paketa. Najčešća i najjednostavnije upotreba je za

filtriranje neželjenih paketa kao deo bezbednosne polise. Mogu se koristiti i za kategorizovanje

paketa u redu čekanja ili za QoS usluge, kontrolisanje koja vrsta saobraćaja sme da koristi ISDN

vezu, kontrolisanje koje mreže će dinamički protokoli rutiranja oglašavati itd. Filtriranje paketa se

odvija na 3. sloju OSI (Open System Interconnection) modela, odnosno na Internet sloju TCP/IP

modela. Ruter vrši filtriranje paketa i time kontroliše pristup mreži tako što analizira dolazeće i

odlazeće pakete. Ruter izvlači odreĎene informacije iz zaglavlja paketa i na osnovu odreĎenih

kriterijuma ih propušta, odnosno odbacuje. Odluka o dozvoli, odnosno zabrani saobraćaja može biti

zasnovana na osnovu izvorišnih i odredišnih IP adresa, TCP/UDP izvorišnih i odredišnih portova i

protokola paketa. U formiranju kriterijuma na osnovu kojih se saobraćaj odbacuje ili propušta, uvek

se definišu prvo pojedinačni uslovi, zatim se formulišu opštiji uslovi. Jako je bitan redosled uslova

koji se definišu unutar pristupnih lista. TakoĎe je važno znati da se za svaki protokol, svaki

interfejs na ureĎaju i svaki smer saobraćaja, definiše zasebna pristupna lista. Pravila koja važe za

sve ACL:

Paket se uporeĎuje sa svakom linijom liste počevši od prve, pa sledećim redom.

Paket se uporeĎuje dok se ne pronaĎe pravilo u koje se uklapa. Tada se izvrši to pravilo i ne

uporeĎuje se sa ostatkom liste.

Na kraju svake liste se nalazi podrazumevano odbijanje (excplicit deny). Ako paket ne

ispunjava uslov bilo koje od linija pristupne liste, on se odbacuje

Pristupne liste nemaju nikakvog efekta dok se ne primene na interfejs. Saobraćaj na interfejsu ima

dva smera, dolazni i odlazni. Posebne pristupne liste se mogu primeniti za oba.

Dolazne pristupne liste (inbound) – Paketi dolaznog saobraćaja se filtriraju kroz pristupnu

listu pre nego što se proslede na odlazni interfejs. Svaki paket koji je odbijen neće biti

rutiran zato što se odbacuje pre nego što proces rutiranja započne.

Odlazne pristupne liste (outbound) – Paketi se proslede na odlazni interfejs i filtriraju kroz

pristupnu listu pre nego što se smeste u red čekanja za slanje.

99

Postoje dva tipa pristupnih listi: standardne pristupne liste i proširene pristupne liste.

1. Standardne (standard) pristupne liste - Koriste samo izvorišnu IP adresu kao uslov

testiranja. One dozvoljavaju ili odbijaju čitav komplet protokola jer ne prave

razliku izmeĎu vrsta saobraćaja, kao što je www, Telnet, UDP i sl. Postavljaju se najbliže

moguće odredišnom računaru (tj. portu rutera). Najveća mana prilikom primene standardnih

pristupnih lista je što se neželjeni paketi rutiraju i koriste propusni opseg, da bi bili

odbačeni tek na odredišnom kraju mreže. Standardne pristupne liste se označavaju

brojevima 1-99 i 1300-1999. Standardna lista može biti veoma korisna za dozvoljavanje

Telnet pristupa ruteru. Umesto mučne primene proširene liste pristupa na svakom portu

rutera, dovoljno je odrediti spisak adresa koje imaju dozvolu za pristup i primeniti ih

direktno na VTY linije.

2. Proširene pristupne liste su daleko fleksibilnije od standardnih pristupnih listi.

Konfigurisanjem proširenih pristupnih listi, vrši se kontrola saobraćaja i odbacivanje,

odnosno propuštanje paketa, ne samo na osnovu odredišne i izvorišne IP adrese, već i na

osnovu protokola TCP/UDP izvorišnog ili odredišnog porta. Zato su u ovom projektu one

implementirane. Na primer, konfigurisanjem jedne proširene pristupne liste, moguće je

istovremeno dozvoliti e-mail saobraćaj od unapred definisanih izvorišnih do odredišnih IP

adresa, zabraniti prenos fajlova i zabraniti web pretraživanje. Drugim rečima, za jednu

pristupnu listu je moguće definisati više uslova, kriterijuma na osnovu kojih se vrši kontrola

saobraćaja. Važno je da svaki uslov unutar jedne pristupne liste ima isti identifikacioni broj

liste. Po pravilu, formirana proširena lista se uvek postavlja što bliže izvorištu na odreĎenom

interfejsu rutera. Označavaju se brojevima od 100 do 199 i od 2000 do 2699.

Imenovane liste - Pripadaju ili standardnim ili proširenim pristupnim listama i nisu nova vrsta listi.

Dopuštaju nam da koristimo nazive za kreiranje i preimenovanje, kako standardnih tako i proširenih

pristupnih lista. Recimo da smo došli u neku postojeću mrežu i gledamo pristupne liste

konfigurisane na mrežnom ureĎaju. Pretpostavimo da smo pronašli listu 177 (što je proširena

pristupna lista) dugačku 33 linije. To može da izazove neka osnovna pitanja kao što su - Čemu ta

lista služi? Zašto se baš tu nalazi? Umesto toga, zar ne bi pristupna lista pod nazivom, recimo, LAN

finansija bila mnogo očiglednija od liste pod nazivom 177? Prilikom listanja running konfiguracije

na ASA ureĎaju možemo da vidimo pristupne liste i na kojim interfejsima su pristupne liste

postavljene.

100

16.2 Konfigurisanje pristupnih listi

Slika 16.2.1 Konfigurisanje neimenovanih i imenovanih pristupnih listi

Slika 16.2.2 Primena pristupne liste i primeri imenovanih listi

101

16.3 Pregled i provera konfigurisanih ACLs na ASA ureĎaju

Slika 16.3.1 Prikaz komande show running-config na ASA ureĎaju na kom su konfigurisane

ACLs.

102

Zatim sledeća komanda nam prikazuje samo pristupne liste i njihove parametre na ASA ureĎaju uz

pomoć glavne komande show access-list.

Slika 16.1.2 Prikaz komande show access-list

103

17. ASA UREĐAJI

17.1 Zaštita sistema privatne bolnice

U današnje vreme kada je Internet potreban i važan resurs u svim organizacijama, veoma je

bitno posvetiti odreĎenu pažnju sigurnosti informacionih sistema. Pri tome firewall-ovi imaju veliku

ulogu, jer štite organizacije od brojnih zlonamernih korisnika Interneta. Oni su prva prepreka koju

napadač mora proći kako bi dospeo do željenog cilja, zaštićenog računara. Firewall je sigurnosni

element koji je smešten izmeĎu lokalne mreže i javne mreže (Interneta), koji je dizajniran kako bi

zaštitio poverljive, korporativne i korisničke podatke od neautorizovanih korisnika. Nije nužno da

svi korisnici u LAN-u imaju jednaka prava pristupa Internet mreži. Postavljanjem firewall ureĎaja

izmeĎu dva ili više mrežnih segmenata mogu se kontrolisati i prava pristupa pojedinih korisnika

pojedinim delovima mreže. U takvom slučaju firewall je dizajniran da dopušta pristup valjanim

zahtevima, blokira sve ostale. Firewall ujedno predstavlja idealno rešenje za kreiranje virtualne

privatne mreže jer stvarajući virtualni tunel kroz koji putuju kriptovani podaci, omogućuje sigurnu

razmenu osetljivih podataka meĎu dislociranim korisnicima. Firewall je servis koji se tipično sastoji

od firewall ureĎaja i policy-a (pravilnik o zaštiti), koji omogućuje korisniku filtriranje odreĎenih

tipova mrežnog prometa sa ciljem da poveća sigurnost i pruži odreĎeni nivo zaštite od provale.

Osnova rada firewall-a je u ispitivanju IP paketa koji putuju izmeĎu klijenta i servera, čime se

ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smera. Firewall je

odgovoran za više važnih stvari unutar informacionog sistema:

Mora da implementira politiku sigurnosti. Ako odreĎeno svojstvo nije dozvoljeno, firewall

mora da onemogući rad u tom smislu.

Firewall treba da beleži sumnjive dogaĎaje.

Firewall treba da upozori administratora na pokušaje proboja i kompromitovanja politike

sigurnosti

U nekim slučajevima firewall može da obezbedi statistiku korišćenja

Jedan od najpouzdanijih firewall ureĎaja koji se koristi u informacionim sistemima svake ozbiljnije

ustanove predstavlja zaštitni zid kompanije Cisco, odnosno ASA ureĎaj. Kao što je već ranije

napomenuto u zgradi opšte bolnice postavljeni su redudantno ASA ureĎaji koji su tu da obezbede

saobraćaj koji će se rutirati na internetu, da pruže zaštitu podataka bolnice zbog raznih napada koje

se dešavaju. Iz tog razloga na prizemlju prve zgrade nalaze se oba ASA ureĎaja, koja su povezana

sa DMZ zonom. Korišćeni modeli su iz 5508 serije: ASA5508-X i imenovani su kao frwint-pri i

104

frwint-sec. Njihov aktivni način odbrane od pretnji pomaže u sprečavanju širenja napada na celu

korporativnu mrežu, pomažući kompaniji da zaštiti razne segmente mreže. Cisco ASA 5508 je

projektovan da obezbedi bezbednosne usluge visokih performansi u okruženju širokopojasnih

mreža nove generacije. Može da funkcioniše kao hardverski VPN klijent, omogućujući

pojednostavljeno upravljanje. One poboljšavaju zaštitu aplikacionih protokola kao što su web, e-

mail, protokol za prenos glasa putem Interneta (VoIP), instant messaging, prenos datoteka i mrežni

protokol kompanije Microsoft. Zahvaljujući podršci ureĎaja Cisco ASA za Cisco NAC 15

rešenja,

nad korisnicima i ureĎajima koji pristupaju mreži putem IPsec i SSL VPN primenjuje se

sveobuhvatna procena sigurnosnih pretnji koje oni mogu da unesu u mrežu. Ova procena obuhvata

potvrdu postojanja odgovarajućih ažuriranja bezbednosnog softvera i operativnog sistema pre

davanja prava pristupa.

Slika 17.1Cisco ASA 5508-X

15

Network Admission Control (NAC)

105

17.2 Pregled konfiguracije ASA ureĎaja

Slika 17.2.1 Prikaz komande show ip address na ASA ureĎaju

Slika 17.2.2 Opis polja prilikom ove zadate komande na cisco ASA ureĎaju

106

Izlistavanje running konfiguracije na ASA ureĊaju

ciscoasa#show running-config

: Saved

:

ASA Version 8.4(2)

!

hostname ciscoasa

names

!

interface Ethernet0/0

switchport access vlan 2

!



!



!



!


!


!


!


!

interface Vlan1

no nameif

no security-level

no ip address

shutdown

!

interface Vlan2

no nameif

no security-level

ip address dhcp

shutdown

!

interface Vlan31

nameif inside

security-level 100

ip address 10.0.31.5 255.255.255.0

!

interface Vlan401

nameif outside

security-level 0

107

ip address 212.200.200.5 255.255.255.240

!

interface Vlan402

no forward interface Vlan31

nameif dmz

security-level 50

ip address 172.16.0.1 255.255.255.0

!

object network FTP_server

host 172.16.0.13

object network LAN_mreza

subnet 10.0.0.0 255.255.0.0

object network Mail_server

host 172.16.0.12

object network WEB_server

host 172.16.0.11

!

route inside 10.0.0.0 255.255.0.0 10.0.31.1 1

route outside 0.0.0.0 0.0.0.0 212.200.200.1 1

!

access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq www

access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq 443

access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.12 eq smtp

access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq 20

access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq ftp

access-list ACL_OUTSIDE extended permit icmp any any

access-list ACL_INSIDE extended permit tcp host 10.0.32.12 any

access-list ACL_INSIDE extended permit ip host 10.0.32.11 any

access-list ACL_INSIDE extended permit ip 10.0.0.0 255.255.0.0 172.16.0.0 255.255.255.0

access-list ACL_INSIDE extended permit icmp any any

access-list test extended permit ip any any

!

!

access-group ACL_OUTSIDE in interface outside

access-group ACL_INSIDE in interface inside


nat (dmz,outside) static 212.200.200.113


nat (inside,outside) dynamic interface





!

!

!

!

!

!

!

telnet timeout 5

108

ssh timeout 5

!

dhcpd auto_config outside

!

dhcpd enable

17.3 NAT - ( Network Address Translation)

17.3.1 Uvod u NAT

NAT (Network Address Translation) je servis koji omogućava organizacijama da reše

problem nedostatka dovoljno javnih IP adresa kako bi saobraćaj imao potpunu konverzaciju sa

internetom i eksternim mrežama. NAT funkcioniše tako što izvorne privatne IP adrese pretvara u

odreĎene javne IP adrese (koje se zadaju konfiguracijom) i tako modifikovane pakete šalje na

internet. U povratku saobraćaja, paketi su opet modifikovani. PAT (Port Address Translation) je

oblik NATa koji dozvoljava da replikaciju više broja privatnih adresa bude preslikan u manji opseg

javnih. Ovo se postiže uz pomoć TCP/UDP protokola i otvaranja vise TCP/UDP portova radi

prepoznavanje konekcija. Potrebno je definisati dva tipa NAT zone : outside i inside. Inside zona je

okrenuta lokalnoj mreži, outside zona je okrenuta ka eksternoj mreži/internetu. Access-listom se

definiše koji saobraćaj treba biti preveden. NAT se po pravilu konfiguriše na graničnom ureĎaju

preko koga je privatna lokalna mreža povezana sa Internetom (firewall ili ruter), u projektu NAT je

konfigurisan na ASA ureĎaju kao što se može videti iz prethodne running konfiguracije, da bi

ureĎaji u nekoj privatnoj lokalnoj mreži mogli da komuniciraju sa ureĎajima koji su u udaljenim

mrežama, zbog toga su privatne adrese prvo translirane u odgovarajuće javne adrese. Na ovaj način

je moguće da na stotine ureĎaja unutar neke privatne lokalne mreže mogu da dele jednu ili nekoliko

javnih IPv4 adresa za komunikaciju sa udaljenim mrežama.

17.3.2 Bitni termini - NAT

Inside network - svi ureĎaji unutar privatne lokalne mreže koji su dodeljene privatne IPv4

adrese

Outside network - sve spoljne mreže

Postoje 4 tipa adresa unutar NAT-a:

1. Inside local address -privatna IPv4 adresa dodeljena ureĎaju unutar lokalne mreže

2. Inside global address - javna IPv4 adresa dobijena translacijom privatne IPv4 adrese ureĎaja

u NAT procesu na ruteru

109

3. Outside local address - javna adresa udaljenog ureĎaja koju lokalni ureĎaj navodi u

zaglavlju IP paketa pre NAT translacije na ruteru

4. Outside global address - javna adresa udaljenog ureĎaja koja se nalazi u zaglavlju IP paketa

nakon NAT translacije na ruteru

Statički NAT se sastoji od mapiranja privatne IP adrese na javnu IP adresu jedan na jedan. To znači

da možemo da mapiramo IP adresu u lokalnoj mreži na IP adresu koju želimo da učinimo javnom.

Ova vrsta NAT-a je posebno korisna ako imamo server u LAN-u koji želimo da bude pristupačan

izvan mreže od strane javnih korisnika. Da bi javni korisnici bili u mogućnosti da pristupe serveru

treba kreirati NAT pravilo da bismo mapirali adresu servera na javnu adresu. Na ovaj način, samo

će javna adresa postati javna informacija, a privatna informacija ostaje privatna i van dometa

zlonamernih osoba.

Sa druge strane dinamički NAT obezbeĎuje LAN tako što maskira internu konfiguraciju mreže i

tako otežava autsajderima da prate šablone upotrebe. Isto tako omogućava upotrebu lažnih IP adresa

na Internetu unutar lokalne mreže. On se ponaša kao firewall izmeĎu interne mreže i javne

(spoljašnje) mreže. To znači da računarski deo spoljašnje mreže ne može da se poveže na naš

računar osim ako mi ne iniciramo kontakt.

Port Address Translation (PAT) to je tip NAT-a, vrši mapiranje više privatnih IPv4 adresa u

jednu ili nekoliko javnih IPv4 adresa. PAT u postupku translacije koristi dva podatka: broj izvornog

porta ureĎaja iz inside lokalne mreže koji šalje podatke i njegova inside lokalna IPv4 adresa. PAT je

poznat i pod pojmom NAT overload. Koristeći broj porta, PAT usmerava dolazne pakete ka

ureĎajima unutar inside lokalne mreže. PAT utvrĎuje svojim postupkom da li dolazni paketi

predstavljaju odgovor na zahtev koji je prethodno ureĎaj iz inside lokalne mreže uputio nekom u

javnoj mreži -obezbeĎuje se odreeĎeni nivo sigurnosti.

17.3.3 Konfiguracija NAT-a

NAT

WEB server 172.16.0.11 212.200.200.111

Mail server 172.16.0.12 212.200.200.112

FTP server 172.16.0.13 212.200.200.113

110


host 172.16.0.11



host 172.16.0.12



host 172.16.0.13



subnet 10.0.0.0 255.255.0.0

object network NAT_LAN_mreza

host 212.200.200.254

nat (inside,outside) after-auto source dynamic LAN_mreza pat-pool NAT_LAN_mreza

18. KONFIGURACIJA CUCM RUTERA

18.1 CISCO Unified Communications

CISCO Unified Communications (UC – Objedinjene komunikacije) je platforma zasnovana

na IP komunikacionim sistemima koja integriše audio, video, podatke i mobilne proizvode i

aplikacije. Omogućava efikasnije, sigurnije komunikacije i može transformisati način na koji

komuniciramo. UC predstavlja revolucionarnu promenu tehnologije komunikacija koja može da se

poredi sa izumom telegrafa. UC uklanja geografske barijere efektivne komunikacije kroz upotrebu

audia, videa i integraciju podataka. Informacije su duže vreme bile na dohvat ruke, ali UC

omogućava razmenu tih informacija radi stvaranja znanja i vrednosti.

18.2 CISCO UC komponente rešenja

CISCO UC strategija obuhvata govor, video i transport podataka u okviru jedinstvene mrežne

infrastrukture. CISCO UC oprema je sposobna da upravlja sa sva tri tipa saobraćaja i da se povezuje

svim mrežnim protokolima koji su u okviru standarda. CISCO IP Komunikacija predstavlja novi

način isporučivanja UC funkcionalnosti korporativnim klijentima. Komponente standardnih slojeva

su:

111

Infrastrukturni sloj - Infrastruktura se sastoji od rutera, svičeva i gejtveja. Infrastrukturni

sloj nosi podatke, audio i video izmeĎu svih mrežnih ureĎaja i aplikacija. Ovi slojevi takoĎe

omogućavaju visoku dostupnost, upravljanje, kvalitet servisa (QoS) i mrežnu sigurnost.

Sloj za kontrolu poziva- Sloj za kontrolu poziva omogućava procesiranje poziva, kontrolu

ureĎaja i administraciju plana pozivanja i karakteristika. Kontrola poziva može da se

sprovede kroz CUCM, CUCM Exspress ili CUCM Business (CMBE) rešenja.

Aplikativni sloj - Aplikacije su samostalne u odnosu na funkcionalnosti kontrole poziva i

fizičke infrastrukture za procesiranje govora. Aplikacije, uključujući i one koje su navedene

ovde, integrisane su preko IP-a, što omogućava da se aplikacije nalaze bilo gde na mreži.

Interfejsi standardnih protokola uključujući Telephony Application Programming Interface

(TAPI), Java Telephony Application Programing Inteface (JTAPI), Simple Object Access

Protocol (SOAP), K.SIG, H.323, Media Gateway Control Protocol (MGCP) i Session

Initiation Protocol (SIP) su na raspolaganju za podršku nezavisnih aplikacija.

“Endpoints” sloj - Sloj terminalnih ureĎaja korisniku donosi aplikacije, bilo da je krajnji

ureĎaj CISCO IP telefon, lični računar koji koristi softverski telefon ili komunikacioni

klijent ili video terminal. CISCO UC obezbeĎuje multi protokolnu podršku za Skinny

Control Protocol (SCCP), H.323, MGCP i SIP.

18.3 Zahtevi Telefonske komunikacije

Mora se zadovoljiti potreba telefonske komunikacije korisnika, u čemu nam pomaže CUCM ruter.

Jedini ruter 2118 u Packet traceru koji moze da podrzi konfiguraciju telefona – telephony service.

Ima mogućnost da se konfiguriše kao telefonska centrala IP telefonima, tačnije kao komunikacioni

menadžer. IP telefoni mogu biti korisni kada je potrebno prebaciti poziv klijenta na drugo odeljenje.

Ovaj uređaj ima sledeće funkcionalnosti unutar mrežnog sistema:

Registrovanje novih telefonskih korisnika

Dodeljivanje telefonskog broja, telefonske linije

Mogućnost povezivanja telefona sa različitih lokacija.

112

18.4 Prikaz running konfiguracije CUCM rutera

CUCM# show running-config

Building configuration...

Current configuration : 3394 bytes

!

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname CUCM

!

!

!

!

ip dhcp excluded-address 10.0.120.1 10.0.120.99

ip dhcp excluded-address 10.0.220.1 10.0.220.99

!

ip dhcp pool VoiceZgrada1

network 10.0.120.0 255.255.255.0

default-router 10.0.120.1

option 150 ip 10.0.33.11

ip dhcp pool VoiceZgrada2

network 10.0.220.0 255.255.255.0

default-router 10.0.220.1

option 150 ip 10.0.33.11

!

!

!

ip cef

no ipv6 cef

!

!

!

!

!

!

!

!

!

!

no ip domain-lookup

!

!

spanning-tree mode pvst

!

!

!

!

113

!

!

interface FastEthernet0/0

ip address 10.0.33.11 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

no ip address

duplex auto

speed auto

shutdown

!

interface Vlan1

no ip address

shutdown

!

router rip

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.0.33.1

!

ip flow-export version 9

!

!

!

no cdp run

!

!

!

!

!

telephony-service

max-ephones 40

max-dn 40

ip source-address 10.0.33.1 port 2000

auto assign 1 to 22

auto assign 1 to 40

!

ephone-dn 1

number 1001

!

ephone-dn 2

number 1002

!

ephone-dn 3

number 1003

!

ephone-dn 4

number 1004

!

114

ephone-dn 5

number 1005

!

ephone-dn 6

number 1006

!

ephone-dn 7

number 1007

!

ephone-dn 8

number 1008

!

ephone-dn 9

number 1009

!

ephone-dn 10

number 1010

!

ephone-dn 11

number 1011

!

ephone-dn 12

number 1012

!

ephone-dn 13

number 1013

!

ephone-dn 14

number 1014

!

ephone-dn 15

number 1015

!

ephone-dn 16

number 1016

!

ephone-dn 17

number 1017

!

ephone-dn 18

number 1018

!

ephone-dn 19

number 1019

!

ephone 1

device-security-mode none

mac-address 0003.E4E1.6760

type 7960

button 1:1

!

115

ephone 2


mac-address 000D.BD20.564A

type 7960

button 1:2

!

ephone 3


mac-address 000B.BE0D.3340

type 7960

button 1:3

!

ephone 4


mac-address 0005.5E93.44E6

type 7960

button 1:4

!

ephone 5


mac-address 0060.5C86.67A5

type 7960

button 1:5

!

ephone 6


mac-address 00D0.D38D.C4AA

type 7960

button 1:6

!

ephone 7


mac-address 0000.0C70.1567

type 7960

button 1:7

!

ephone 8


mac-address 0001.C7D8.AB19

type 7960

button 1:8

!

ephone 9


mac-address 00D0.BCD7.0C21

type 7960

button 1:9

!

ephone 10


mac-address 0030.A382.6596

116

type 7960

button 1:10

!

ephone 11


mac-address 00E0.A346.1290

type 7960

button 1:11

!

ephone 12


mac-address 00E0.B03E.73CD

type 7960

button 1:12

!

ephone 13


mac-address 0060.4769.D93A

type 7960

button 1:13

!

ephone 14


mac-address 0001.C74D.E000

type 7960

button 1:14

!

ephone 15


mac-address 0005.5E2B.82BD

type 7960

button 1:15

!

ephone 16


mac-address 00D0.5875.0EC6

type 7960

button 1:16

!

ephone 17


mac-address 0002.1718.A418

type 7960

button 1:17

!

ephone 18


mac-address 0001.9664.1EC8

type 7960

button 1:18

!

117

ephone 19


mac-address 0002.16C4.D0D0

type 7960

button 1:19

!

ephone 20


mac-address 0002.16C6.8CEE

!

line con 0

!

line aux 0

!

line vty 0 4

login

!

!

!

end

19. KORIŠĆENJE CISCO DISCOVERY PROTOCOLA - CDP

Cisco Discovery protocol (CDP) je vlasnički protocol koji je Cisco dizajnirao kao pomoć

administratorima pri sakupljanju informacija kako o lokalnim, tako i o udaljenim ureĎajima.

Korišćenjem CDP protokola možemo da sakupimo informacije o hardveru i protokolima susednih

ureĎaja, što je veoma korisno znati radi rešavanja nekog problema i dokumentovanja mreže. Mrežni

ureĎaji periodično oglašavaju njihove informacije u multicast adresi na mreži, što je čini dostupnoj

bilo kom ureĎaju ili aplikaciji koji odluče da slušaju i da je prikupe. U informacije mogu da spadnu

tip ureĎaja, verzije hardvera i softvera, VLAN-ovi kao i IP adrese. CDP je podrazumevano

omogućen. Ponekad iz sigurnosnnih razloga je poželjno onemogućiti CDP protokol na mrežnom

ureĎaju, jer postoji mogućnost da napadač može da prikupi dragocen uvid u raspored mreže kao što

su IP adrese, verzije IOS-a i vrste ureĎaja. Komanda show cdp daje informacije o dva globalna

parametra koja mogu da se konfigurišu na cisco ureĎajima:

1. CDP tajmer pokazuje koliko često se CDP paketi prenose svim aktivnim interfejsima

2. CDP vreme zadrţavanja (holdtime) je vreme za koje će ureĎaj zadržati pakete primljene

od susednih ureĎaja

Da bi se onemogućio CDP protokol na odreĎenom interfejsu, upisuje se komanda no cdp enable u

konfiguracionom modu interfejsa. Ovom komandom CDP je i dalje omogućen na ureĎaju, ali se

više neće oglašavati na tom interfejsu. Da bi se ponovo omogućio cdp protokol na tom interfejsu

118

upisuje se komanda cdp enable. Sledeći izlaz pokazuje komandu show cdp neighors upotrebljenu

na core sviču.

Slika 19.1 Prikaz komande na layer 3 sviču - show cdp neighbor

Kao što vidimo, ova komanda nam prikazuje važne informacije o direktno povezanim ureĎajima.

Objašnjenje polja komande show cdp neighbor:

Device ID - Naziv direktno povezanog ureĎaja

Local Interface - Port ili interfejs na kojem primamo CDP paket

Holdtime - Vreme za koje će layer 3 ureĎaj zadržati informaciju pre nego što je odbaci, ako ne

primi više ni jedan paket

Capability - Sposobnost suseda - da li se radi o ruteru ili sviču, kodovi sposobnosti su navedeni na

vrhu izlaza komande

Platform - Vrsta Cisco ureĎaja. Ovde vidimo da su nam i distributivni i core svičevi serije 3650, a

dmz svič je layer2 svič i on nam je 2960

Port ID - Port ili interfejs susednog ureĎaja na kojem se vrši višesmerno odašiljanje CDP paketa

119

Postoji još jedna komanda koja prikazuje informacije o susedima show cdp neighbors details, ova

komanda prikazuje detaljne informacije o svakom ureĎaju koji je povezan direktno sa ureĎajem na

koje izvršavamo komandu. Pogledaćemo primer izlaza ove komande.

Slika 19.2 Prikaz - deo komande show cdp neighbor detail na core sviču

Ovde vidimo da su nam dati nazivi i IP adrese svih direktno povezanih ureĎaja, ova komanda

prikazuje i IOS verziju susednog ureĎaja.

120

20. ZAKLJUĈAK

Projekat obraĎen u ovom diplomskom radu objašnjava osnovne uslove za projektovanje računarske

mreže jedne privatne bolnice i kvalitetne i skalabilne zahteve za siguran rad mreže. Zbog ugraĎene

redudantnosti veza, rutera i svićeva, mreža je veoma dostupna (high-availability) i otporna na

otkaze (fault-tolerant), ali i izuzetno skupa za sprovoĎenje. Bitno je pravilno postaviti ureĎaje

po slojevima, ne bi li kasnija nadogradnja bila laka. Svi ureĎaji korišćeni u datom mrežnom

rešenju su visoko kompatibalni sa visokim zahtevima mreže. UreĎaji korišćeni u mrežnom rešenju

pružaju visok stepen pouzdanosti, sigurnosti skalabilnosti mreže i podržavaju sve tražene

funkcionalnosti.

Korišćeni su Cisco ureĎaji i Cisco patentirani protokoli naspram standardnih gde god je to bilo

moguće. Na početku je opisana topologija projekta, mrežna infrastruktura - prikazivajući fizičko

povezivanje ureĎaja i koji kablovi su najbolji izbor za datu projektovanu mrežu. Protokoli za

uspostavljanje komunikacije u mreži su standardizovani i opšte prihvaćeni. EIGRP koji je

implementiran kao protokol za razmenu ruting informacija zbog njegove prednosti kompozitne

metrike što omogućava izbor bolje putanje s jedne strane i zbog brzine rada s druge strane, i zbog

njegove pouzdanosti sa veoma kratkim vremenom konvergencije. Na drugom mrežnom nivou OSI

modela implementiran je opšte prihvaćen 802.1Q standard. Interfejsi izmeĎu svičeva su postavljeni

u Etherchannel mod rada čime se obezbeĎuje ravnoprana raspodela saobraćaja u mreži i čime se

povećava propusni opseg izmeĎu svičeva. Etherchannel interfejsi rade u trunk modu kako bi

komunikacija izmeĎu različitih VLAN-ova bila moguća. TakoĎe konfigurisan je Hot Standby

Router Protocol (HSRP) protokol sa ciljem da se stvori redudansa default gateway-a bez dodatne

konfiguracije na krajnjim ureĎajima i obezbedi sigurnost uvek dostupne mreže, ako aktivni ruter

otkaže, standby router će automatski preuzeti ulogu aktivnog rutera.Protokol za prevenciju petlji u

mreži je opisan Spanning Tree Protocol. Obzirom da je u datom projektu tražen visok stepen

bezbednosti i zaštite implementiran je veliki broj zaštitnih mehanizama u mreži. Izabrani modeli

Cisco ureĎaja podržavaju sve zahtevane protokole za bezbednost i veoma ih efikasno procesiraju.

Postavljeni su redudantno ASA ureĎaji koji su zaduženi da održe bezbednost podataka koji se

rutiraju na internetu i sačuvaju mrežu od raznih upada spolja. Za kontrolu pristupa korišćene su

Acces-liste koje pružaju statičku zaštitu mreži. Za potrebe bezbednosti na L2 nivou implementiran

je veliki broj neophodnih mehanizama.Ovime se obezbeĎuje siguran rad u LAN mreži kao i

sigurnost LAN protokola.

121

U datom mrežnom rešenju neophodno je praćenje, beleženje i menadžment svih relevantnih

dogaĎaja. Protokoli koji će vršiti te funkcije su SNMP, NTP i drugi. SNMP je standardizovan

protokol koji se koristi za menadžment i upravljanje mrežnim elementima, kojim se manipuliše

preko centralizovanog servera na kome je instaliran SNMP menadžer softver. Projekat kompletno

integriše razmenu data i voice saobraćaja. Implementirana unificirana Cisco arhitektura koja

predstavlja realizaciju kompletnog voice rešenja. Korisnici mreže će glasovno komunicirati uz

pomoć Cisco IP telefona poslednje generacije. UreĎaji koji kontrolišu uspostavu poziva i praćenje

kontrole rada protokola za voice komunikaciju su centralno integrisani. Sve funkcije i potrebe za

jedno ovakvo kvalitetno rešenje su podržane od strane Cisco ureĎaja. Predstavljeno mrežno rešenje

i mrežni dizajn napisan je po najsavremenijim standardima u svetu komunikacionih tehnologija.

Ovo je šema mreže kojoj treba težiti jer je izuzetno skalabilna i lako se njom upravlja zbog cisco

hijerarhijskog modela i ostalih prednosti cisco tehnologija.

122

LITERATURA

[1] Zeb Hallock, John Johnston, Fernando Macias, Roland Saville, Srinivas Tenneti, Mike Jessup,

Suyog Deshpande, Tim Szigeti: “Cisco Unified Access (UA) and Bring Your Own Device (BYOD)

CVD”, August 28, 2014

[2] Brent D. Stewart, Clare Gough: “CCNP BSCI Official Exam Certification Guide, Fourth

Edition”, 2008

[3] David_Hucaby: “CCNP_SWITCH_642-813_Official_Certification_Guide”, 2010

[4] Omar Santos, John Stuppi: “CCNA Security 210-260 Official Cert Guide” , 2015

[5] Jay Cedrone, Steve Gyurindak, Zeb Hallock, John Strika, Srinivas Tenneti: “Unified Access

Design Guide”, 2011

[6] Todd Lammle: “CCNA Cisco Certified Network Associate: Ispit 640-801”, 2005

[7] https://www.netacad.com/

[8] http://www.omnisecu.com/

https://www.netacad.com/

http://www.omnisecu.com/

visoka Škola strukovnih studija za

Documents