visoka Škola strukovnih studija za
TRANSCRIPT
VISOKA ŠKOLA STRUKOVNIH STUDIJA ZA
INFORMACIONE I KOMUNIKACIONE TEHNOLOGIJE
PROJEKTOVANA RAĈUNARSKA MREŢA BOLNICE SA
CISCO UREĐAJIMA
Mentor: Kandidat:
Mr Nikola Slavković Danijela Stanoevski 153/15
Beograd, Septembar 2018.
VISOKA ŠKOLA STRUKOVNIH STUDIJA ZA
INFORMACIONE I KOMUNIKACIONE TEHNOLOGIJE
Internet tehnologije
Predmet: Projektovanje računarskih mreža
Tema: Projektovana računarska mreža bolnice sa CISCO ureĎajima
Mentor: Kandidat:
Mr Nikola Slavković Danijela Stanoevski 153/15
Beograd, Septembar 2018.
Sadrţaj
1. Uvod..............................................................................................................................................1
1.1 Uvod u projekat, opis i realizacija...........................................................................................2
1. 2 Tehniĉko rešenje sloţene mreţe..............................................................................................2
2.Projektni zadatak.........................................................................................................................4
2.1 Zahtevi i organizacija................................................................................................................4
2.2 Arhitektura mreţe..................................................................................................................5-7
3. Kabliranje mreţnog sistema.......................................................................................................7
3.1 Strukturno kabliranje............................................................................................................7-8
3.2 Tipovi kablova u raĉunarskim mreţama i koji su korišćeni za ovaj projekat...............8-11
3.3 Sistemi strukturnog kabliranja.............................................................................................11
4. Topologija mreţe…………………………………………………………………………..12-14
4.1 Prikaz topologije mreţnih ureĊaja u projektu………………………………………...12-14
4.2 Mreţna oprema..................................................................................................................15-16
4.3 Fiziĉko povezivanje ureĊaja - Zgrada 1...........................................................................17-19
4.4 Fiziĉko povezivanje ureĊaja - Zgrada 2...........................................................................19-20
5. Mreţni ureĊaji...........................................................................................................................20
5.1 OSI model – Podsetnik.......................................................................................................21-25
5.2 Layer 2 sviĉ...............................................................................................................................25
5.3 Ruter i rutiranje.......................................................................................................................26
5.4 Multilayer Switching..........................................................................................................26-28
6. Beţiĉne Wi-Fi mreţe…………………………………………………………………………..29
6.1 Wi-Fi, Wireless-Fidelity……………………………………………………………….....29-30
6.2 Naĉini rada beţiĉnih mreţa……………………………………………………………...30-31
6.3 Sigurnost Wi-Fi mreţa…………………………………………………………………...31-32
6.4 Konfiguracija Wi-Fi mreţe u projektu…………………………………………………32-33
7. Osnove VLAN i trunking…………………………………………………………………33-34
7.1 Definisanje i znaĉaj VLAN-ova u raĉunarskoj mreţi………………………………….33-34
7.2 Tipovi VLAN-ova…………………………………………………………………………....35
7.3 Pregled VLAN protokola i dizajna………………………………………………………...36
7.3.1 Konfiguracija trunk sa 802.1Q…………………………………………………….....36-37
7.3.2 Podešavanje trunk linka………………………………………………………………37-38
7.3.3 ISL standard……………………………………………………………………………....39
7.4 Kreiranje VLAN-ova……………………………………………………………………..40-43
7.5 Pridruţivanje portova VLAN-ovima…………………………………………………....43-44
8. VLAN Trunking Protocol -VTP……………………………………………………………...45
8.1 Osnove funkcionisanja VTP-a………………………………………………………………45
8.2 VTP komponente…………………………………………………………………………….46
8.3 VTP Advertisements i VTP upozorenja………………………………………………...46-47
8.4 VTP Reţimi rada………………………………………………………………………….....47
8.5 VTP konfiguracija………………………………………………………………………..48-49
8.6 VTP orezivanje………………………………………………………………………………49
9. Spanning Tree Protocol - STP…………………………………………………………….50-51
9.1 Mreţne petlje i osnova STP-a……………………………………………………………50-51
9.2 Naĉin rada STP protokola - STA algoritam…………………………………………....52-53
9.3 Vrste STP protokola………………………………………………………………………....54
9.4 STP stanja na portovima………………………………………………………………...54-55
9.5 Konfiguracija STP protokola……………………………………………………………55-57
9.6 Prednosti i nedostaci STP-a……………………………………………………………...57-58
9.7 Ĉeste layer 2 pretnje i kako ih ublaţiti……………………………………………………..58
10. Agregiranje veza - EtherChannel………………………………………………………59-60
10.1 Osnove EtherChannel tehnologije i njene prednosti………………………………....59-60
10.2 Port Aggregation Protocol (PAgP)…………………………………………………….60-61
10.3 Link Aggregation Control Protocol (LACP)……………………………………….....62-63
10.4 Konfiguracija EtherChannel…………………………………………………………...63-66
10.5 Provera EtherChannel-a………………………………………………………………..67-68
11. Layer 3 Redudancy………………………………………………………………………69-70
12. Hot Standby Router Protocol (HSRP)………………………………………………….70-71
12.1 Uvod u HSRP protokol i zašto je implementiran u ovom projektu………………….70-71
12.2 HSRP Priority i Preemption……………………………………………………………….71
12.3 HSRP stanja………………………………………………………………………………..72
12.4 HSRP komande…………………………………………………………………………72-73
12.5 Verifikacija HSRP……………………………………………………………………....73-75
13. Dinamiĉko rutiranje……………………………………………………………………...76-77
13.1 Osnove protokola rutiranja………………………………………………………….....76-77
13.2 Kriterijumi protokola za rutiranje………………………………………………….....77-79
14. Enhanced Interior Gateway Routing Protocol (EIGRP)………………………………….80
14.1 Osnovne karakteristike EIGRP protokola………………………………………………..80
14.2 EIGRP protokol - zavisni moduli………………………………………………………….81
14.3 RTP Reliable Transport Protocol…………………………………………………………81
14.4 Tipovi EIGRP paketa………………………………………………………………………82
14.5 Uspostava EIGRP susedstva i tabela topologije………………………………………….82
14.6 EIGRP kompozitna metrika……………………………………………………………….83
14.7 DUAL algoritam……………………………………………………………………………83
14.8 Pojmovi Feasible Successor, Feasibility Condition i Reported Distance……………84-85
14.9 Konfiguracija EIGRP protokola……………………………………………………….85-87
14.10 Proveravanje EIGRP protokola rutiranja u projektu……………………………....87-91
15. ObezbeĊivanje mreţe bolnice…………………………………………………………….....91
15.1 Implementacija bezbednosnih karakteristika na sviĉu…………………………………..92
15.2 ObezbeĊivanje porta……………………………………………………………………92-94
15.3 Bezbednosna karakteristika - DHCP snooping…………………………………………..95
15.4 ARP napad - Dinamiĉka ARP inspekcija……………………………………………..96-97
16. Pristupne liste - Access Control Lists…………………………………………………...98-99
16.1 Uvod u pristupne liste…………………………………………………………………..98-99
16.2 Konfigurisanje pristupnih listi…………………………………………………………...100
16.3 Pregled i provera konfigurisanih access listi na ASA ureĊaju…………………….101-102
17. ASA ureĊaj……………………………………………………………………………..103-104
17.1 Zaštita sistema privatne bolnice……………………………………………………..103-104
17.2 Pregled i konfiguracija ASA ureĊaja……………………………………………….105-107
17.3 NAT (Network Address Translation)…………………………………………………....108
17.3.1 Uvod u NAT …………………………………………………………………………....108
17.3.2 Bitni termini -NAT ………………………………………………………………..108-109
17.3.3 Konfiguracija NAT-a……………………………………………………………...109-110
18. Konfiguracija CUCM rutera…………………………………………………………........110
18.1 CISCO Unified Communications…………………………………………………...........110
18.2 CISCO UC komponente rešenja…………………………………………………….110-111
18.3 Zahtevi telefonske komunikacije…………………………………………………………111
18.4 Prikaz running konfiguracije CUCM rutera………………………………………112-117
19. Korišćenje Cisco Discovery Protocola - CDP………………………………………..117-119
20. Zakljuĉak……………………………………………………………………………....120-121
21. Literatura...............................................................................................................................122
1
1. UVOD
Kraj XX i početak XXI veka obeležila je velika ekspanzija informacionih tehnologija
zahvaljujući kojoj su računari postali neizostavni deo svakodnevnog života, kako sa poslovnog tako
i sa privatnog aspekta. Počeci umrežavanja vezuju se za prve telegrafske i telefonske linije kojima
su se prenosile informacije do udaljenih lokacija. Dostupnost i fleksibilnost tehnologija današnjih
savremenih računarskih mreža omogućava da se sa bilo koje tačke na planeti može povezati na
mrežu i doći do željenih informacija. U poreĎenju sa nekadašnjom cenom korišćenja servisa mreža,
cena eksploatisanja današnjih mreža je sve niža. Računarske mreže su danas nezamenjivi deo
poslovne infrastrukture kako malih, tako i velikih organizacija. Poznavanje tehnologije i korišćenje
mreža nije samo stvar opšte kulture. Kako su računari postali neophodni u svakodnevnom
poslovanju, firme današnjice imaju sve veći broj radnih stanica (najčešće personalnih računara).
Skoro svaka kompanija ili organizacija ima bar jedan računar za svakog zaposlenog. Veliki broj
računara je doveo do znatnog porasta u potrebi za računarskim mrežama u srednjim i velikim
preduzećima. Mogućnost brze razmene velikih količina podataka izmeĎu mrežnih klijenata,
zajednički mrežni resursi (serveri, internet...) i VoIP telefonija, samo su nekolicina čestih razloga za
uvoĎenje računarske mreže. Administraciju mreže čine njeno održavanje, nadgledanje i
unapreĎivanje kako bi ona bila dugotrajna i efikasna, te na taj način zadovoljavala najviše IT
standarde. Zaštitu sistema i bezbednost podataka čine sva hardverska i softverska rešenja
neophodna da spreče i otklone potencijalne pretnje po sigurnost i bezbednost sistema. Ovaj
dokument opisuje preporučeni način projektovanja mreže privatne bolnice, i uključuje opis
topologije, protokola rutiranja, načina podešavanja i druge stvari vezane za
projektovanje veoma dostupne i pouzdane mreže bolnice. Korišćeni su Cisco ureĎaji i Cisco
patentirani protokoli naspram standardnih gde god je to bilo moguće. Mreža je projektovana prema
CISCO hijerarhijskom Model-u sa ugraĎenom redundantnošću u svakom delu radi postizanja velike
dostupnosti. Veoma je skalabilna i lako je ugraditi i dodati nove funkcionalnosti (VoIP, bežičnu
mrežu i sl), kao i nove korisnike.
2
1.1 UVOD U PROJEKAT, OPIS I REALIZACIJA
Opis privatne bolnice i njena opremljenost
Privatna bolnica MaryGroup nalazi se na Novom Beogradu u objektu koji je uraĎen prema
najsavremenijim svetskim standardima za zdravstvene ustanove i koji se prostire se na 4500 m2, to
je prva i glavna zgrada bolnice. Druga zgrada nalazi se nedaleko od opšte bolnice i prostire se na
1800 m2. Tim čini oko od 400 stalno zaposlenih radnika koji uz doktore konsultante i gostujuće
doktore iz inostranstva predstavljaju tim od preko 550 doktora koji su na raspolaganju pacijentima.
Sa više od 50 postelja, Opšta bolnica MaryGroup je najveća privatna bolnica u Srbiji. Sve sobe i
apartmani su klimatizovane i poseduju sopstvena kupatila. U svakoj od soba se nalazi TV
prijemnik, bežična internet konekcija i telefon. Ishrana je restoranska, uz saglasnost nadležnog
lekara i odgovarajuću preporuku nutricioniste pacijentima se pruža mogućnost odabira menija.
U okviru Opšte bolnice MaryGroup nalazi se savremena laboratorija, Dijagnostičko odelenje sa
najsavremenijom opremom, Poliklinika sa Dnevnom bolnicom, Hirurgija sa najzastupljenijim
hirurškim granama. Misija bolnice “MaryGroup”, sekundarne zdravstvene ustanove, je da postavi
standarde kroz profesionalizam, stručnost i empatiju kao odgovor na potrebe pacijenata i stalni
napredak i kreativnost u procesu dijagnostike, lečenja i nege.
1.2 TEHNIĈKO REŠENJE SLOŢENE MREŢE
Model hijerarhijske računarske mreže
Projektni zadatak privatne bolnice uraĎen je po cisco hijerarhijskom modelu. Hijerarhija u
mrežnom dizajnu ima dosta prednosti, pomaže nam da shvatimo gde stvari pripadaju, kako se
meĎusobno uklapaju i koja funkcija se gde obavlja. Hijerarhija unosi poredak i razumljivost u inače
kompleksne modele. Kada se pravilno koristi, čini mrežu predvidljivijom. Velike mreže mogu da
budu izuzetno komplikovane, sa vise protokola, detaljnim konfiguracijama i različitim
tehnologijama. Hijerarhija u ovom projektu je uraĎena jer nam pomaže da sažmemo kompleksan
skup detalja u razunljiv model. Cisco hijerarhijski model omogućava nam da dizajniramo,
implementiramo i održavamo skalabilno, pouzdano i finansijski pristupačno mrežno okruženje.
Cisco definiše tri sloja hijerarhije i oni su implementirani u ovom projektu. Na slici 1.2 je prototip
hijerarhijske računarske mreže. Projekat je uraĎen u simulatoru PacketTracer verzije 7.1.1.
3
Slika 1.2 Model hijerarhijske računarske mreže
Hijerarhijski LAN dizajn sadrži sledeća tri sloja, kao što je prikazano na slici:
1. Sloj jezgra (core layer): Na vrhu hijerarhije. Omogućava povezivanje izmeĎu slojeva
distribucije za velika LAN okruženja. UreĎaji jezgra treba da obezbede velike količine
saobraćaja, brz prenos podataka izmeĎu distribucionih ureĎaja, visoku pouzdanost i
redudantnost. Ako na sloju jezgra doĎe do greške, to će uticati na svakog pojedinačnog
korisnika. Prema tome tolerancija greške na ovom sloju ne postoji. S obzirom da sloj jezgra
“ima posla” sa velikim saobraćajem podataka, treba strogo voditi računa o brzini i
kašnjenju.
2. Sloj distribucije (distribution layer): Distribucioni sloj je mesto odakle se uspešno upravlja
računarskom mrežom. ObezbeĎuje rutiranje, filtriranje i pristup WAN-u. Kada sloj
distribucije odredi najbolju putanju, prosleĎuje zahtev sloju jezgra Postavljanje polise na
pristupnim ureĎajima bi povećalo složenost i troškove tih ureĎaja i usporilo bi njihov rad, i
bilo bi veoma teško upravljati velikim brojem ureĎaja. A postavljanje polise na sloju jezgra
bi usporilo ureĎaje čija je osnovna namena brzo usmeravanje mrežnog saobraćaja.
Zbog toga na sloju distribucije su korišćeni layer3 svičevi. Oni se koriste kao posrednici koji
usmeravaju saobraćaj izmeĎu VLAN mreža i pomoću kojih se primenjuju ograničenja
4
(polise) koje se odnose na mrežni saobraćaj, npr. odabir putanja, prevoĎenja adresa i
firewall, QoS, ACL, redistribucija izmeĎu protokola rutiranja uključujući statičko rutiranje,
definisanje emisionih i grupnih domena.
3. Sloj pristupa (access layer): Kontroliše pristup korisnika i radnih grupa resursima
umreženog okruženja. Pristupni ureĎaji su svičevi 2. sloja i biraju se prema potrebnom
broju portova. Pristupni ureĎaji se koriste za povezivanje krajnnjih korisnika sistema u
računarsku mrežu i za dodeljivanje virtualnih LAN mreža (VLAN).Funkcije koje obavlja
sloj pristupa su kontinuirana (sa sloja distribucije) kontrola pristupa, kreiranje zasebnih
kolizionih domena, spajanje radnih grupa u sloju distribucije. Statičko rutiranje (umesto
protokola dinamičkog rutiranja) se takoĎe koristi na pristupnom sloju.
2. PROJEKTNI ZADATAK
2.1 Zahtevi i organizacija
Svi ureĎaji korišćeni u datom mrežnom rešenju su visoko kompatibalni sa visokim zahtevima
mreže i predstavljalju poslednju generaciju Cisco mrežnih ureĎaja. Polazna tačka ovog projekta je
nalaženje i obezbeĎivanje osnovnih problema u mreži kao što su: gde postaviti redundantne ureĎaje,
kako uklopiti bežične ureĎaje (access point), gde ugraditi internet pristup i kako ga kontrolisati, gde
dozvoliti udaljeni pristup , kao što je VPN. Za ovaj projekat predviĎen je odgovarajući sistem za
nadzor i upravljanje mrežom NMS (Network Management System). Sistem treba da omogući
nadzor i upravljanje nad sledećim grupama ureĎaja – mrežni ureĎaji (L2 i L3 svičevi, ruteri), serveri
i drugi ureĎaji koji imaju mogućnost nadgledanja. Sistem za nadzor i upravljanje mrežom
treba da podržava servis za prijem, čuvanje i pretraživanje sistemskih poruka (Syslog- servis
za logovanje sistemskih poruka). Kako bi poruke od mrežnih ureĎaja bile svrstane u pravilnom
redosledu, na centralnom ureĎaju potrebno je da svi mrežni ureĎaji imaju sinhronizovano
vreme. Za sinhronizaciju vremena na mrežnim ureĎajima korišćeni su NTP serveri (NTP-
Network Time Protocol).
Najvažniji zahtevi koji se moraju ispoštovati su:
Sistem mora da podrži veliki promet saobraćaja.
Potrebno je da postoji više VLAN-ova radi razdvajanja organizacionih jedinica
Mora da postoji odreĎena redudansa - obavezno na core sloju
5
Treba da ima mogućnost kvalitetne komunikacije izmeĎu organizacionih jedinica
koristeći IP telefoniju
Bezbednost je od apsolutne važnosti kako bi se minimizirale zloupotrebe mrežnog
sistema, potrebno je da budu postavljeni ASA ureĎaji, primarni i sekundarni
Layer3 switching tehnologija sa podrškom za QoS i security servise i mogućnost
filtriranja saobraćaja na osnovu Layer3 ureĎaja
Organizacija privatne bolnice je uraĎena po svetskim standardima, svrha je omogućiti pouzdanu i
dostupnu mrežu. Bezbednost podataka je od velikog značaja za pacijente. Bolnica ima i svoj web
sajt, preko kojeg klijenti imaju mogućnost da pregledaju raznorazne informacije, prijavljuju se
putem svojih naloga na kojima se nalaze podaci o njihovim pregledima, zdravstvenom stanju,
terapiji i slično. Sistem baza podataka je neizostavni deo informacionog sistema, čuva sve
informacije koje se obraĎuju i obezbeĎuje pristup tim informacijama. Baza treba da sadrži podatke
o bolnici, lekarima, pacijentima i pregledima pacijenata te bolnice. Postoje baze podataka za
praćenje pacijenata u bolnici, tako da uvek može da se dobije podatak kada je odreĎeni pacijent
primljen u bolnicu, koje lekove pije, koji doktor ga leči, na kom je odeljenju i slično. Ukoliko se
desi nekad da doĎe do zagušenja saobraćaja primarne zgrade opšte bolnice, potrebno je da bude
omogućeno preusmeravanje dela saobraćaja sa glavne centrale na filijalu sve dok ne proĎe
zagušenje. Web aplikacija koja se host-uje i održava u sklopu glavne zgrade tj. opšte bolnice, mora
da ima svoju redudansu, odnosno, ako doĎe do pada glavnog servera na kome se ona nalazi
potrebno je klijenta preusmeriti na backup server koji preuzima ulogu primarne lokacije aplikacije.
Isti princip se primenjuje i za DNS server koji takoĎe stoji i održava se u sklopu glavne bolnice i za
ovaj server postoji redudansa koja postaje aktivna ukoliko doĎe do pada glavnog servera. TakoĎe
uspostavljanje odreĎenog nivoa bezbednosti u računarskoj mreži je postalo primarni aspekt
razmatranja prilikom implementacije i upravljanjem mrežom. Sigurnost mreže je postala važnija
nego ikad, ali i mnogo kompleksnija. Preduzeća i dalje treba da se brane od pretnji, štite dragocene
podatke i resurse , i sprovode neophodne kontrole za poštovanje propisa, ali i linija izmeĎu onoga
što je unutra i šta je van. U kasnijim poglavljima je detaljno opisano kako je realizovana bezbednost
mreže unutar privatne bolnice, koje bezbednosne mere su korišćene, protokoli, kao i ASA ureĎaji.
2.2 Arhitektura mreže
U glavnoj zgradi (Building1) je implementirano komunikaciono čvorište, odnosno server sala.
Serveri spadaju u najvažnije komponente poslovne mreže. Serveri su više fizički obezbeĎeni od
6
radnih stanica, i moraju da budu zaštićeni od skokova i padova napona ili prekida u napajanju.
Server sala se sastoji od aplikacionih, web, mail, file, AD i drugih servera koje koriste različiti
korisnici. Ukoliko se nekima pristupa preko interneta, to su serveri koji su smešteni u DMZ zoni i
za njih se primenjuju posebne vrste ograničenja i zaštite. Serveri se dele na interne i na servise koji
će biti dostupni sa internetu. Na primer DNS, DHCP i CUCM su interni servisi i oni se ne stavljaju
u DMZ zonu, a WEB server, EMAIL server su spoljašnji servisi i oni idu u DMZ zonu. Serveri su
povezani preko distribucionog sloja na mrežu, jer se tako najlakše omogućava skalabilnost.
Projektom je predviĎeno da izlaz na internet ide preko firewalla i internet rutera. Firewall i internet
ruter se ne povezuju direktno nego se za to koristi DMZ svič pa preko njega ide link i na njega
dolazi internet veza. Radi veće dostupnosti (high availabilty) preporučljivo je svaki server
povezati duplom vezom sa mrežom (dual-homing). Server sala napravljena je u prizemlju
objekta kako ne bi bila prevelika dužina kablova (Floor0). O tome mora da se vodi računa iz razloga
što je Ethernet dužina do 100m, multimodna optika oko 200m, a singl modna 3km, a to sve dodatno
poskupljuje opremu. U obe zgrade na svakom spratu se nalazi po jedan 48-portni access svič. To su
(layer2) svičevi na koje su povezani razni krajnji ureĎaji kao što su računari, stampači, laptop-ovi,
tableti, VoIP telefoni, sigurnosne kamere. Svi access svičevi povezani su na distributivne (Layer3)
svičeve bakrom, odnosno UTP kablom. Distributivni svičevi povezani su redudantno na core
svičeve koji su takoĎe layer3 ureĎaji.Veza izmeĎu njih mora da bude na 3. nivou. U drugoj zgradi
nema potrebe za dodatnim core svičevima već je samo provučena optika izmeĎu druge i prve
zgrade. Veza izmeĎu sloja jezgra tj. core svičeva i distribucionog sloja tj. distribucionih svičeva
implementirana je kao EtherChannel. EtherChannel je Ciscov pojam za tehnologiju koja
omogućava udruživanje do osam fizičkih Ethernet veza u jednu logičku vezu. Prednost ove veze
je što EtherChannel obezbeĎuje punu dupleksnu propusnost do 800 Mb/s (Fast EtherChannel) ili 8
Gb/s (Gigabit EtherChannel) izmeĎu jednog i drugog sviča. O tome će se kasnije detaljno govoriti.
Cisco nudi široku paletu proizvoda i rešenja kojima se reguliše i bezbednost informacija na
mreži. Uredjaji se razlikuju po hardveru. TakoĎe se razlikuju u brzini procesora,
propusnoj moći, količini RAM-a, broju dozvoljenih konekcija, maksimalnom broju
interfejsa, podršci za failover, mogućnosti za hw IPS.
U ovom projektu implementirani su redudantno ASA ureĎaji serije 5508 koji su projektovani
da obezbede usluge zaštite visokih performansi, kao što su:
Više fizičkih interface-a
Funkcionalnost IEEE 802.1Q protokola za formiranje VLAN interfejsa kao
i podrška za kreiranje 250 virtuelnih interfejsa (VLAN - ova)
7
Max 2,000,000 simultanih sesija i max 150,000 konekcija u sekundi
Ima inicijalnu podršku za 2 SSL VPN korisnika, sa mogućnošću nadogradnje max
10 000
Ima podršku za implementaciju VPN mreža baziranih na IPSec i
L2TP/PPTP, kao i podršku za DES/3DES/AES algoritme enkripcije
Protok 3DES/AES kriptovanog saobraćaja od 1Gbps
Max 10 000 istovremenih site-to-site i remote access VPN sesija
Podržana NAT, Network Address translacija.
Podržana PAT, Port Address translacija.
Podrška za statičko i RIPv2 IP rutiranje izmeĎu interfejsa firewall-a.
Podrška za ruting protokole.
Nadgledanje ureĎaja korišćenjem SNMP i syslog protokola
Podržane AAA funkcije i RADIUS protokol, uz mogućnost autentifikacije prolaza
kroz uredjaj
Filtriranje saobraćaja na aplikativnom nivou za najčešće korišćene Internet
servise (FTP, HTTP, SMTP, DNS, SQLNet, H.323, MGCP, SIP)
3. KABLIRANJE MREŢNOG SISTEMA
3.1. Uvod u strukturno kabliranje
Svojevremno sa pojavom lokalnih računarskih mreža (LAN-ova) nisu postojala nikakva
pravila na osnovu kojih bi se vršilo postavljanje mrežnih kablova (kabliranje) u okviru neke zgrade,
objekta ili izmeĎu njih. Mrežni kablovi su postavljani po svojevoljnom nahoĎenju i proceni
pojedinca obično voĎenih idejom najlakše, najjednostavnije i najkraće putanje. Ovakav način
kabliranja u početku je bio prihvatljiv za sve. MeĎutim, nasumice i bez plana postavljeni kablovi sa
početkom rasta lokalnih računarskih mreža, tj. sa porastom broja računara u lokalnim mrežama,
počinju da predstavljaju problem kako za administratore tih lokalnih mreža tako i za sam razvoj te
mreže. Naime, u haotičnoj i neplanski uraĎenoj mreži vrlo je teško definisati lokaciju kvara i
otkloniti ga u što je moguće kraćem vremenskom roku. Po uraĎenim statistikama oko 80% svih
‟‟padova‟‟ lokalne računarske mreže uzroci su neispravnosti u kablovskom sistemu. Situacija se
dodatno pogoršala uvoĎenjem u primenu novih mrežnih tehnologija, koje funkcionišu na različite
načine i sa različitim kablovima, i sa povećanjem brzina lokalnog mrežnog saobraćaja.
8
Mrežni kablovi su jedan od tri najvažnija činioca u procesu umrežavanja i kao takvi su odgovorni za
prenos električnog ili svetlosnog impulsa od izvora do odredišta, odnosno od predajnika do
prijemnika. Da bi bilo koja mreža funkcionisala bez ometanja mrežni kablovi moraju biti odreĎenog
tipa i kvaliteta. Nije svejedno koji kabl se postavlja i gde. Računarske mreže današnjice rade sa
velikim brzinama prenosa električnih impulsa i omogućavaju brzu razmenu informacija i podataka
ali su istovremeno podložni različitim spoljnim uticajima kao što su vremenske prilike,
elektromagnetna zračenja, fizička dejstva, itd. i koji u velikoj meri mogu uticati na kvalitet i brzinu
prenosa signala kroz kablove. Svi tipovi mrežnih kablova imaju neke zajedničke strukturne osobine,
odnosno zajedničko im je da svi imaju: spoljni omotač, unutrašnji omotač, zaštitni omotač i bakarni
provodnik ili provodnike. Kada su u pitanju optički kablovi oni se razlikuju po svojoj strukturi od
kablova sa bakarnim provodnicima.
Telekomunikaciona infrastruktura u poslovnim objektima vremenom je postala veoma
kompleksna. Nekada se sastojala samo od telefonskih kablova. Danas imamo:
Telefonsku instalaciju
Instalaciju računarske mreže
Instalacija za distribuciju TV slike
Sistem video nadzora
Protiv požarni sistem
Protiv provalni sistem
Sistem kontrole ulaska/izlaska
Polazne pretpostavke su da sistem kabliranja mora da podržava različite servise. Izbor servisa samo
na osnovu povezivanja na odgovarajuću aktivnu opremu. Upotrebni vek kablova je 10 godina.
Generalno kablovi za računarske mreže dele se na tri kategorije:
Twisted pair cables (ili parični kablovi)
Coaxial cables (ili koaksijalni kablovi)
Fiber-optic cables (ili optički kablovi)
3.2 Tipovi kablova u računarskim mrežama i koji su korišćeni za ovaj projekat
Access svičevi u obe zgrade povezani su na distributivne uz pomoć bakra, tj. UTP kabla. UTP
(Unshielded Twisted Pair) mrežni kablovi su fleksibilni (lako savitljivi) i poseduju manji nivo
zaštite na elektromagnetna zračenja. Parični provodnici se sastoje od više tankih bakarnih niti
9
meĎusobno isprepletanih sa ciljem dobijanja odgovarajuće fleksibilnosti celokupnog kabla. Može se
desiti da pri upotrebi ovog tipa kablova doĎe do problema sa tzv. preslušavanjem, tj. da se različiti
signali detektuju u kablu zbog njegove slabe zaštite od elektromagnetnih zračenja (slično
situacijama kada se mešaju signali na stabilnim telefonskim linijama). Za konekciju sa računarima i
mrežnom opremom koriste standardni priključak tip RJ45 (eng. Register Jack). Zbog svoje
fleksibilnosti su pogodni za korišćenje u radnom okruženju korisnika. Dužina ove vrste mrežnog
kabla ne bi trebalo da prelazi 5 do 6 metara. Proizvode se u različitim bojama: bela, žuta, plava,
crvena, itd.
TakoĎe postoje i STP (Shielded Twisted Pair) mrežni kablovi koji su manje fleksibilni od UTP
kablova, ali poseduju veći nivo zaštite od elektromagnetnih zračenja. Parični provodnici se sastoje
od jednog bakarnog provodnika ponaosob i dodatne elektromagnetne zaštite oko svakog para
provodnika. Namenjeni su za postavljanje fiksne mrežne infrastrukture kao što je kabliranje kroz
zidove objekta, provlačenje kroz kablovske kanalice, trajno vezivanje za patch panele i mrežne
ureĎaje (Hub, Switch), postavljanje trasa u spoljnom okruženju (ukopavanjem u zemlju, vazduhom,
itd.). Poseduju jači spoljni omotač otporniji na spoljne uslove (temperaturu, vlagu, habanje, itd.). Za
konekciju sa mrežnom opremom i ureĎajima koristi standardni priključak tip RJ45. Zbog svoje
umanjene fleksibilnosti nije pogodan za česta savijanja i prelamanja jer može doći do prekida
bakarnih provodnika u kablu. Maksimalna dužina kabla je 100 metara. Proizvode se u više boja ali
je najčešće u beloj boji.
FTP (Foil Screened Twisted Pair) mrežni kablovi su najsličniji UTP mrežnim kablovima s‟tim što
poseduju dodatni zaštitni aluminijumski omotač kao zaštitu od elektromagnetnih zračenja i visokog
nivoa šuma. Najčešće se koriste u proizvodnim pogonima i postrojenjima gde bi visok nivo šuma
pravio smetnje (interference). Postoji više podgrupa ovih kablova.
Pošto nije bilo potrebe da i u drugoj zgradi stavljamo core svičeve, idealno rešenje koje je izvedeno
je to da su ti distributivni svičevi povezani optikom na core svičeve glavne zgrade opšte bolnice.
Najveće prednosti optičkih kablova su brzina, male dimenzije, prenos velike količine podataka, ne
osetljivost na električne smetnje. Najveći nedostatak je cena. Optički kablovi se koriste u vrlo
širokom dijapazonu brzina i udaljenosti koju mogu ostvariti. Udaljenosti mogu biti od nekoliko
stotina metara do nekoliko stotina kilometara bez pojačanja signala što najviše zavisi od izvora
svetla koje se koristi i od strukture optičkog vlakna. Strukturno, optičko vlakno se sastoji od dva
koncentrična sloja materijala (staklo, silikon, itd.), unutrašnjeg koje se naziva jezgro i spoljašnjeg
koje se naziva omotač. Unutrašnji sloj ima veći indeks prelamanja od spoljašnjeg sloja zbog čega i
dolazi do refleksije svetlosnog signala, odnosno svetlosni signal se odbija ka centru jezgra. Putanje
10
pod kojim svetlosni signali ulaze u optički provodnik se nazivaju modovi pa se i optički kablovi
generalno dele na dve klase: Single-mode (SMF) optički kabl i Multi-mode (MMF) optički kabl. Ti
modovi su podeljeni na nivoe pa u skladu sa tim mod najnižeg nivoa ima najkraću putanju dok mod
najvišeg nivoa ima najdužu putanju. Single-mode optički kablovi su dizajnirani za prenos samo
jednog optičkog signala, velikim brzinama, na velike udaljenosti. Ovaj tip optičkih kablova sadrži
po jedno optičko vlakno najmanjeg poprečnog preseka što omogućava vrlo niske gubitke i velike
brzine prenosa podataka. Oprema za single-mode optičke kablove je mnogo skuplja od opreme za
multi-mode optičke kablove jer se kao svetlosni izvori koriste laseri ali sam singl-mode kabl je
obično jeftiniji od multi-mode kabla. Najčešće se koriste za meĎusobno povezivanje mreža na
velikim rastojanjima, povezivanje mreža u okviru jednog grada, gradova, država ili kontinenata.
Multi-mode optički kablovi su dizajnirani za prenos više istovremenih optičkih signala, različito
modulisanih, ali za razliku od Single-mode kablova ne mogu premostiti veće udaljenosti,
maksimalno do 2 kilometra. Namenjeni su umrežavanju na nivou zgrada, naselja, itd. Generalno, sa
ovom vrstom optičkih kablova se postižu manje brzine prenosa podataka ali koje su i dalje iste ili
brže od tehnologija koje za prenos informacija koriste električne impulse kroz bakarne provodnike.
Brzine prenosa ostvarene kroz ovaj tip kabla se kreću od 10MB/s do 10GB/s na rastojanjima do 600
metara. Klasifikacija je uraĎena na osnovu njihovih karakteristika po meĎunarodnom standardu i to:
OM1 i OM2 standardi podržavaju brzine (u Ethernet tehnologiji) od 10 MB/s do 1 GB/s dok OM3
standard je namenjen brzinama do 10 GB/s. Primena ovih kablova i tehnologije je jeftinija od
Single-mode tehnologije jer u svom radu kao izvor svetlosti uglavnom koriste specijalne LED diode
koje su mnogostruko jeftinije od laserske tehnologije. Naime, jedan od ograničavajućih faktora
brzine prenosa signala kada je u pitanju Multi-mode tehnologija je i to što se u svom radu oslanjaju
na LED diode jer po svojoj prirodi rada one ne mogu postići veću brzinu paljenja i gašenja. Za
dostizanje brzina od 10 Gb/s kao izvor svetlosti se mora koristiti laser. Na slici su dati primeri
Single-mode i Multi-mode optičkih kablova:
Slika 3.2: Primer Single-mode i Multi-mode optičkih kablova
11
Realnu suštinsku prednost strukturnog kabliranja predstavlja upotreba jedinstvenog
kablovskog sistema za sve instalacije kojima se prenose bilo kakve informacije u odreĎenom
frekventnom opsegu. Taj sistem obuhvata prenos audio-video signala, komandnih (upravljačkih)
signala i brz prenos podataka. Koncept strukturnog kabliranja treba da omogući da se posle
instalacije kablova cela mreža prekonfiguriše na drugačiji način u zavisnosti od potreba korisnika
ali bez ikakve intervencije na samim kablovima duži vremenski period, oko 20 godina. Taj cilj je
ostvaren korišćenjem razdelnika, odnosno namenskih aktivnih ureĎaja odreĎene tehnologije
(Switch-vi, telefonske centrale, itd.). Neke od glavnih prednosti strukturnog kabliranja bile bi:
fleksibilnost sistema, jednostavna i efikasna administracija mreže, skalabilnost (lako proširivanje
mreže u skladu sa potrebama), nezavisnost od tipa aktivnih ureĎaja računarske i telefonske mreže,
priključenje opreme koja nema odgovarajuće konektore korišćenjem adaptera, smanjenje troškova
održavanja nakon instalacije sistema (nema dodatnih ulaganja sredstava).
3.3 Sistemi strukturnog kabliranja
Sistemi strukturnog kabliranja se realizuju na 3 nivoa:
Horizontalno kabliranje
Vertikalno kabliranje
Kabliranje kampusa
Horizontalno kabliranje ili kabliranje spratova u datom projektu se odnosi na deo kablovskog
sistema izmeĎu spratnog razdelnika i zidne utičnice. Konceptom strukturnog kabliranja je odreĎeno
da se na delu sistema izmeĎu spratnog razdelnika i zidne utičnice koriste (postave/instaliraju)
bakarni parični kablovi kategorije 5e ili 6 (Cat5e ili Cat6) ili optički Multi-mode kablovi pri čemu
maksimalna dužina bakarnih kablova ne sme da preĎe 90 metara dužine. U slučaju da se koriste
optički kablovi sistem nosi naziv FTTD (Fiber To The Desk). Standardi predviĎaju upotrebu dve
vrste Multi-mode optičkih kablova i to kablove sa jezgrom. Horizontalno kabliranje obuhvata
najveći broj kablova u celom kablovskom sistemu pa samim tim zahteva i najveći utrošak vremena
za instalaciju. Vertikalno kabliranje se odnosi na deo kablovskog sistema koji povezuje spratne
razdelnike sa razdelnikom zgrade (objekta). Najjednostavnije ga je predstaviti kao kičmu mreže
izmeĎu spratova objekta koji se umrežava pa nosi i naziv kičma zgrade. Po standardima pri
vertikalnom kabliranju za prenos podataka i video signala se koriste Multi-mode optički kablovi
dok za prenos alarmnih, upravljačkih i govornih signala se koriste bakarni parični provodnici
kategorija Cat5e i Cat6. Dužina kablova za vertikalno kabliranje ne bi trebalo da preĎe 500 metara
dužine po standardima. Vertikalno kabliranje u slučaju topologije ovakvog tipa, ima relativno
12
prosto rešenje koje opslužuje potrebe zahteva. Ovde je adekvatno koristiti multimodno optično
vlakno. Ovaj način kabliranja je vrlo sličan vertikalnom kabliranju jer se za prenos podataka i video
signala koriste Multi-mode optički kablovi dok za prenos alarmnih, upravljačkih i govornih signala
se koriste bakarni parični provodnici kategorija Cat5e i Cat6. Dužina kablova za kabliranje ne sme
preći 1500 metara.
3.4 Uzemljenje
Svi rek ormani moraju da budu uzemljeni. Preko rek ormana i patch panela, svi kablovi za zaštitom
(screened) moraju da budu uzemljeni. Razlika potencijala uzemljenja izmeĎu bilo koje dve tačke u
zgradi ne sme da preĎe 1V r.m.s.
4. TOPOLOGIJA MREŢE
4.1 Prikaz topologije mrežnih ureĎaja u projektu
Topologija predstavlja fizički izgled ili oblik mreže. U čvorovima mreže nalaze se radne
stanice, koje su meĎu sobom povezane komunikacionim putevima. Mrežna topologija se odnosi
kako na fizički raspored računara, tako i na način na koji su oni logički povezani. Fizički raspored
računara zovemo fizička topologija, a način na koji su oni povezani logička topologija. Da bi mreža
uspešno radila, potrebno je pažljivo isplanirati mrežnu topologiju. Za svakog administratora jako je
bitan dijagram topologije koji predstavlja vizualnu mapu računarske mreže i na kojoj je dat pregled
13
kako su ureĎaji u mreži povezani. Nekada su računari komunicirali slanjem poruka zajedničkim
komunikacionim kablom ili preko haba i mreže su imale topologiju magistrale. Danas se obično
koriste svičevi, pa mreže imaju topologiju zvezde koja podrazumeva da se sva komunikacija odvija
preko nekog centralnog čvora (obično sviča ili rutera). U projektu su svi krajnji ureĎaji povezani na
access svič i to je topologija zvezde. Topologija zvezde prisutna je i kod bežičnih mreža (kakvu
možda imate kod kuće), gde je više računara povezano sa centralnom pristupnom tačkom (engl.
acces point) i sva se komunikacija odvija preko te pristupne tačke.
4.1.1: Prikaz topologije u Zgradi1 – opšta bolnica, 0.sprat
Način komunikacije u takvim bežičnim mrežama opisan je standardom Wireless (WiFi,
1EEE802.11). Kod topologije prstena računari su kružno povezani i podaci od jednog do drugog
računara putuju preko računara koji se nalaze izmeĎu njih. Na slici 4.1 prikazana je topologija
ureĎaja, kako su oni fizički povezani.
U obe zgrade na svakom spratu rasporeĎena su različita odeljenja sa kojima raspolaže bolnica.
Na nultom spratu prve zgrade kao što vidite nalaze se razni krajnji ureĎaji, računari, stampači, svi
su povezani sa access svičem i taj link je trunk kako bi na primer mogle da se razmenjuju
informacije o vlan-ovima. TakoĎe tu je u access point koji obezbeĎuje bežičnu mrežu i na njega su
povezani laptop-ovi, smart telefoni i tableti, njemu se promeni samo SSID i telefonu ili tabletu, i oni
se tako prikače i time je obezbeĎen odličan signal, isto tako je postavljeno i na ostalim spratovima
zgrade. Postoji i mogućnost kvalitetne komunikacije uz pomoć IP telefona koji se nalaze na svakom
spratu. Postavljeni su distributivni i core svičevi (layer 3 svičevi) koji obezbeĎuju rutiranje uz
pomoć ip adresa. Zbog ograničenja dužine kablova na ovom spratu napravljena je i dmz zona sa
svim potrebnim serverima koji su tu da opslužuju korisnike. Serveri koji se nalaze na nultom spratu
i koji su neophodni za rad u mreži su:
AD server(AD, DHCP, i DNS)
Proxy server
CUCM server
WEB server
Mail server
FTP server
14
4.1.2 Prikaz DHCP servisa
IP adrese servera
AD server (AD, DHCP, DNS) 10.0.32.11
Proxy server 10.0.32.12
CUCM server 10.0.33.11
WEB server 172.16.0.11
Mail server 172.16.0.12
FTP server 172.16.0.13
TakoĎe radi bezbednosti i zaštite postavljeni su i ASA ureĎaji serije 5508. Postoji primarni i
sekundarni. Cisco ASA može osigurati nadzor prometa koji uključuje i pregled mreže i
sadržaja, čime se zaustavljaju i potencijalne pretnje (kao što su crvi, zlonamerni programi,
itd.) i time se štite svi važni protokoli, servisi, krajnji korisnici kao i lokalna mreža uopšteno.
15
4.2 Mrežna oprema
Izbor i nabavka računarske i mrežne opreme, projektovanje mrežne infrastrukture,
konfigurisanje i održavanje mreže, kao i hardverska, softverska i korisnička podrška samo su neki
od zadataka koji se danas postavljaju pred administratore IT infrastrukture. Savremena mrežna
oprema omogućava lako žično i bežično povezivanje, efikasno upravljanje opterećenjem radi
povećanja brzine prenosa podataka, kao i optimizaciju za specifične namene, poput prenosa govora
i video signala u realnom vremenu, čak i u slučaju snimaka HD kvaliteta. U tabelama 4.2.x
prikazana je mrežna oprema koja je korišćena za potrebe ovog projekta.
Tabela 4.2.1 Zgrada1- Access svičevi
Lokacija Naziv Model Cena
0. sprat accsw10-1 WS-C2960X-48FPS-L 2,136.00 €
1. sprat accsw11-1 WS-C2960X-48FPS-L 2,136.00 €
2. sprat accsw12-1 WS-C2960X-48FPS-L 2,136.00 €
3. sprat accsw13-1 WS-C2960X-48FPS-L 2,136.00 €
Tabela 4.2.2 Zgrada1 – Distribution Svičevi
Lokacija Naziv Model Cena
0. sprat DSW1F0B1 WS-C3650-24TS 2,461.16 €
1. sprat DSW2F0B1 WS-C3650-24TS 2,461.16 €
4.2.3 Zgrada 2 – Access svičevi
Lokacija Naziv Model Cena
0. sprat accsw20-1 WS-C2960X-48FPS-L 2,136.00 €
1. sprat accsw21-1 WS-C2960X-48FPS-L 2,136.00 €
16
4.2.4 Zgrada 2 – Distribution Svičevi
Lokacija Naziv Model Cena
0. sprat DSW1F0B2 WS-C3650-24TS 2,461.16 €
1. sprat DSW2F0B2 WS-C3650-24TS 2,461.16 €
4.2.5 Core svičevi
Lokacija Naziv Model Cena
1. zgrada - 0. sprat CoreSW1 WS-C3850-24T 3,368.79 €
1. zgrada - 0. sprat CoreSW2 WS-C3850-24T 3,368.79 €
4.2.6 ASA FIREWALL
Lokacija Naziv Model Cena
1. zgrada - 0. sprat frwint-pri ASA5508-X 1,130.57 €
1. zgrada - 0. sprat frwint-sec ASA5508-X 1,130.57 €
4.2.7 DMZ svič
Lokacija Naziv Model Cena
1. zgrada – 0. sprat dmzsw WS-C2960X-24TS-LL 613.31 €
4.2.8 Internet ruter
Lokacija Naziv Model Cena
1. zgrada – 0. sprat intrt ISR4331/K9 1,038.04 €
17
4.2.9 Access Point
Lokacija Naziv Model Cena
1. zgrada – 0. sprat accap10-1 AIR-AP1832I-E-K9 614.68 €
1. zgrada – 1. sprat accap11-1 AIR-AP1832I-E-K9 614.68 €
1. zgrada – 2. sprat accap12-1 AIR-AP1832I-E-K9 614.68 €
1. zgrada – 3. sprat accap13-1 AIR-AP1832I-E-K9 614.68 €
2. zgrada – 0. sprat accap20-1 AIR-AP1832I-E-K9 614.68 €
2. zgrada – 1. sprat accap21-1 AIR-AP1832I-E-K9 614.68 €
4.3 Fizičko povezivanje ureĎaja - Zgrada 1.
Sledeće tabele pokazuju kako su ureĎaji fizički povezani u mreži i koji portovi su iskorišćeni,
kako bi kasnije moglo lakše da se pristupi mreži i proširi ako bude bilo potrebe.
4.3.1 Distributivni svič - DSW1F0B1
Port Opis Udaljeni uređaj Port Etherchannel
Gigabit1/0/1 ka_accsw10-1 accsw10-1 Gigabit0/23
Gigabit1/0/2 ka_accsw11-1 accsw11-1 Gigabit0/23
Gigabit1/0/3 ka_accsw12-1 accsw12-1 Gigabit0/23
Gigabit1/0/4 ka_accsw13-1 accsw13-1 Gigabit0/23
Gigabit1/0/19 ka_ CoreSW1 CoreSW1 Gigabit1/0/1 11
Gigabit1/0/20 ka_ CoreSW1 CoreSW1 Gigabit1/0/2 11
Gigabit1/0/21 ka_ CoreSW2 CoreSW2 Gigabit1/0/1 12
Gigabit1/0/22 ka_ CoreSW2 CoreSW2 Gigabit1/0/2 12
Gigabit1/0/23 ka_ DSW2F0B1 DSW2F0B1 Gigabit1/023 1
Gigabit1/0/24 ka_ DSW2F0B1 DSW2F0B1 Gigabit1/024 1
4.3.2 Distributivni svič - DSW2F0B1
Port Opis Udaljeni uređaj Port Etherchannel
Gigabit1/0/1 ka_accsw10-1 accsw10-1 Gigabit0/24
Gigabit1/0/2 ka_accsw11-1 accsw11-1 Gigabit0/24
Gigabit1/0/3 ka_accsw12-1 accsw12-1 Gigabit0/24
Gigabit1/0/4 ka_accsw13-1 accsw13-1 Gigabit0/24
Gigabit1/0/19 ka_ CoreSW1 CoreSW1 Gigabit1/0/3 11
Gigabit1/0/20 ka_ CoreSW1 CoreSW1 Gigabit1/0/4 11
18
Gigabit1/0/21 ka_ CoreSW2 CoreSW2 Gigabit1/0/3 12
Gigabit1/0/22 ka_ CoreSW2 CoreSW2 Gigabit1/0/4 12
Gigabit1/0/23 ka_ DSW1F0B1 DSW1F0B1 Gigabit1/023 1
Gigabit1/0/24 ka_ DSW1F0B1 DSW1F0B1 Gigabit1/024 1
4.3.3 Access svič accsw10-1
Port Opis Udaljeni uređaj Port
FastEthernet0/23 ka_ DSW1F0B1 DSW1F0B1 Gigabit0/1
FastEthernet0/24 ka_ DSW2F0B1 DSW2F0B1 Gigabit0/1
4.3.4 Access svič accsw11-1
Port Opis Udaljeni uređaj Port
FastEthernet0/23 ka_ DSW1F0B1 DSW1F0B1 Gigabit0/2
FastEthernet0/24 ka_ DSW2F0B1 DSW2F0B1 Gigabit0/2
4.3.5 Access svič accsw12-1
Port Opis Udaljeni uređaj Port
FastEthernet0/23 ka_ DSW1F0B1 DSW1F0B1 Gigabit0/3
FastEthernet0/24 ka_ DSW2F0B1 DSW2F0B1 Gigabit0/3
4.3.6 Access svič accsw13-1
Port Opis Udaljeni uređaj Port
FastEthernet0/23 ka_ DSW1F0B1 DSW1F0B1 Gigabit0/4
FastEthernet0/24 ka_ DSW2F0B1 DSW2F0B1 Gigabit0/4
4.3.7 Core Svič - CoreSW1
Port Opis Udaljeni uređaj Port Etherchannel
Gigabit1/0/1 ka_ DSW1F0B1 DSW1F0B1 Gigabit1/0/19 11
Gigabit1/0/2 ka_ DSW1F0B1 DSW1F0B1 Gigabit1/0/20 11
Gigabit1/0/3 ka_ DSW2F0B1 DSW2F0B1 Gigabit1/0/19 12
Gigabit1/0/4 ka_ DSW2F0B1 DSW2F0B1 Gigabit1/0/20 12
Gigabit1/0/5 ka_ DSW1F0B2 DSW1F0B2 Gigabit1/0/19 21
Gigabit1/0/6 ka_ DSW1F0B2 DSW1F0B2 Gigabit1/0/20 21
Gigabit1/0/7 ka_ DSW2F0B2 DSW2F0B2 Gigabit1/0/19 22
Gigabit1/0/8 ka_ DSW2F0B2 DSW2F0B2 Gigabit1/0/20 22
Gigabit1/0/11 ka_AD_serveru
19
Gigabit1/0/12 ka_CUCM
Giagabit1/0/13 ka_Proxy_serveru
Gigabit1/0/21 ka_dmzsw dmzsw Gigabit0/23
Gigabit1/0/23 ka_ CoreSW2 CoreSW2 Gigabit1/0/23 1
Gigabit1/0/24 ka_ CoreSW2 CoreSW2 Gigabit1/0/24 1
4.3.8 Core Svič CoreSW2
Port Opis Udaljeni uređaj Port Etherchannel
Gigabit1/0/1 ka_ DSW1F0B1 DSW1F0B1 Gigabit1/0/21 11
Gigabit1/0/2 ka_ DSW1F0B1 DSW1F0B1 Gigabit1/0/22 11
Gigabit1/0/3 ka_ DSW2F0B1 DSW2F0B1 Gigabit1/0/21 12
Gigabit1/0/4 ka_ DSW2F0B1 DSW2F0B1 Gigabit1/0/22 12
Gigabit1/0/5 ka_ DSW1F0B2 DSW1F0B2 Gigabit1/0/21 21
Gigabit1/0/6 ka_ DSW1F0B2 DSW1F0B2 Gigabit1/0/22 21
Gigabit1/0/7 ka_ DSW2F0B2 DSW2F0B2 Gigabit1/0/21 22
Gigabit1/0/8 ka_ DSW2F0B2 DSW2F0B2 Gigabit1/0/22 22
Gigabit1/0/11 ka_AD_serveru
Gigabit1/0/12 ka_CUCM
Gigabit1/0/13 ka_Proxy_serveru
Gigabit1/0/21 ka_dmzsw dmzsw Gigabit0/24
Gigabit1/0/23 ka_ CoreSW1 CoreSW1 Gigabit1/0/23 1
Gigabit1/0/24 ka_ CoreSW1 CoreSW1 Gigabit1/0/24 1
Ovde je prikazana glavna veza izmeĎu access, distributivnih i core svičeva prve glavne zgrade, kao
i logički interfejsi za portchannel. U kasnijim poglavljima prikazaće se i kako su fizički povezani
ureĎaji u DMZ zoni, kao i bezbednosni ASA ureĎaji. TakoĎe portovi koji su povezani preko access
svičeva na krajnje ureĎaje su napisani isključivo u projektu koji je uraĎen u PacketTraceru.
4.4 Fizičko povezivanje ureĎaja - Zgrada 2.
U sledećim tabelama biće prikazana fizička topologija, tj. kako su ureĎaji povezani i koji portovi su
iskorišćeni u drugoj zgradi.
4.4.1 Distributivni svič DSW1F0B2
Port Opis Udaljeni uređaj Port
Gigabit1/0/1 ka_accsw20-1 accsw20-1 Gigabit0/23
Gigabit1/0/2 ka_accsw21-1 accsw21-1 Gigabit0/23
Gigabit1/0/19 ka_ CoreSW1 CoreSW1 Gigabit1/0/5
20
Gigabit1/0/20 ka_ CoreSW1 CoreSW1 Gigabit1/0/6
Gigabit1/0/21 ka_ CoreSW2 CoreSW2 Gigabit1/0/5
Gigabit1/0/22 ka_ CoreSW2 CoreSW2 Gigabit1/0/6
Gigabit1/0/23 ka_ DSW2F0B2 DSW2F0B2 Gigabit1/023
Gigabit1/0/24 ka_ DSW2F0B2 DSW2F0B2 Gigabit1/024
4.4.2 Distributivni svič DSW2F0B2
Port Opis Udaljeni uređaj Port
Gigabit1/0/1 ka_accsw20-1 accsw20-1 Gigabit0/24
Gigabit1/0/2 ka_accsw21-1 accsw21-1 Gigabit0/24
Gigabit1/0/19 ka_ CoreSW1 CoreSW1 Gigabit1/0/7
Gigabit1/0/20 ka_ CoreSW1 CoreSW1 Gigabit1/0/8
Gigabit1/0/21 ka_ CoreSW2 CoreSW2 Gigabit1/0/7
Gigabit1/0/22 ka_ CoreSW2 CoreSW2 Gigabit1/0/8
Gigabit1/0/23 ka_ DSW1F0B2 DSW1F0B2 Gigabit1/023
Gigabit1/0/24 ka_ DSW1F0B2 DSW1F0B2 Gigabit1/024
4.4.3 Access swič accsw20-1
Port Opis Udaljeni uređaj Port
FastEthernet0/23 ka_ DSW1F0B2 DSW1F0B2 Gigabit0/1
FastEthernet0/24 ka_ DSW2F0B2 DSW2F0B2 Gigabit0/1
4.4.4 Access swič accsw21-1
Port Opis Udaljeni uređaj Port
FastEthernet0/23 ka_ DSW1F0B2 DSW1F0B2 Gigabit0/2
FastEthernet0/24 ka_ DSW2F0B2 DSW2F0B2 Gigabit0/2
5. MREŢNI UREĐAJI
Mrežni ureĎaji su sastavni deo svake mreže optimizijući njene perfomanse i omogućavajući
maksimalno korišćenje njenih resursa. To su elektronski ureĎaji koji zauzimaju centralno mesto i
bez kojih se ne može zamisliti rad bilo koje mreže. Postoji više vrsta mrežnih ureĎaja čija podela je
na osnovu njihove uloge u radu mreže i njihovih tehničkih mogućnosti.
21
Tipovi mreţnih ureĊaja:
Mrežni pristupni ureĎaji (Network Access Devices)
- Svičevi (Switches)
- Bežični AP (wireless access points)
UreĎaji koji povezuju različite mreže (Internetworking Devices)
- Ruteri (routers)
Sigurnosni ureĎaji (Security Devices)
– Firewalls
Poslednjih nekoliko decenija, svedoci smo rapidnog razvoja IT tehnologija. Ovaj segment
tehnološkog prostora napredovao je toliko da je realno nemoguće da jedan IT profesionalac isprati
sve inovacije na polju hardvera i softvera. Konstantni razvoj mrežnih tehnologija i ureĎaja
omogućio nam je uživanje u svakodnevnim aktivnostima na internetu, pristup filmovima, video i
audio sadržajima, muzici, internet pozivima i brojne druge pogodnosti. UreĎaji i protokoli koji sve
ovo omogućuju, za prosečne korisnike nisu transparentni, ali za profesionalce iz oblasti računarskih
mreža predstavljaju svakodnevni izazov. Kada govorimo o mrežnim ureĎajima svič (eng. switch) i
ruter (eng. router) su nezaobilazne teme. Ova dva ureĎaja predstavljaju srž svake računarske mreže i
arhitektura savremene mreže je gotovo nezamisliva bez njihove upotrebe. Kontinualno
unapreĎivanje performansi ovih ureĎaja donelo je pregršt novih mogućnosti i inovacija na polju
računarskih mreža. Stalni razvoj uzrokovao je i da svičevi postepeno poprime osobine rutera i
zamene rutere u nekim segmentima. Postepeno je ovakvom tipu sviča dodeljen naziv kojeg bi smo
preveli kao “višenivoovski” svič (eng. multiLayer switch). Tako je nastao MultiLayer Switching (u
daljem tekstu MLS) kao novi koncept u mrežnim tehnologijama.
5.1 OSI model - Podsetnik
Pre bilo kakve priče o MLS-u korisno je podsetiti se OSI referentnog modela, a zatim i
klasičnog svičing-a. OSI referentni model predstavlja arhitekturni standard u mrežnim sistemima.
Ovaj slojeviti model objašnjava način komunikacije izmeĎu mrežnih ureĎaja i definiše protokole za
svaki sloj. OSI model se sastoji od 7 nezavisnih ali meĎusobno povezanih slojeva (layers)
kroz koji moraju da proĎu podaci na svom putu od izvorišta do odredišta.
22
Sedam slojeva OSI modela mogu se razvrstati u dve kategorije: viši, i niži sloj. Viši slojevi,
od petog do sedmog, bave se stvarima bitnim za aplikacije. Ovi slojevi su uglavnom realizovani u
softveru. Niži slojevi, od 1 do 4, bave se prenosom informacija kroz mrežu. Mogu se realizovati u
hardveru, softveru i/ili firmveru, odnosno, sistemskom softveru u čipovima.
Slika 5.1 OSI referentni model
Sloj aplikacije (Application layer) OSI modela predstavlja tačku gde korisnici uistinu komuniciraju
sa računarom, pruža korisnički interfejs. Ovaj sloj ulazi u “igru” samo kada je očigledno da će
uskoro biti potreban pristup mreži. Uzmimo slučaj Internet Explorera (IE). Možemo da
deinstaliramo svaki trag mrežnih komponenti iz sistema, kao što su TCP/IP1, mrežna kartica, itd; ali
i dalje ćemo moći da koristimo IE za prikazivanje za prikazivanje lokalnog HTML2 dokumenta –
bez problema. Ipak stvari će definitivno postati mnogo haotičnije ako pokušamo da uradimo nešto
poput prikazivanja HTML dokumenta koji mora da se preuzme korišćenjem HTTP-a3, ili da
preuzmemo datoteku uz pomoć FTP-a4. To se dešava zato što će IE, odgovoriti na zahteve kao što
su ovi, pokušavajući da pristupi sloju aplikacije. Zapravo, sloj aplikacije se ponaša kao interfejs
izmeĎu izmeĎu stvarnog aplikacionog programa - koji uopšte nije deo slojevite strukture – i
sledećeg sloja ispod, pružajući načine da aplikacija pošalje informacije naniže kroz stek protokola.
1 TCP/IP skup protokola - Transmission Control Protocol / Internet Protocol
2 HTML - HyperText Markup Language: HTML predstavlja jezik za označavanje hiperteksta i hipermedija
(teksta, slike, zvuka, videa i drugih meĎusobno povezanih objekatapomoću linkova) meĎusobno povezanih objekata
pomoću linkova 3 HTTP - HyperText Transfer Protocol: protokol namenjen prenosu informacija na webu
4 FTP - File Transfer Protocol – služi za prenošenje fajlova
23
Drugim rečima, IE se ne nalazi unutar sloja aplikacije, već komunicira sa protokolima sloja
aplikacije kada je potrebno da “posluje” sa udaljenim resursima. Sloj aplikacije je takoĎe zadužen
za identifikovanje i uspostavljanje dostupnosti namenjenog komunikacionog partnera i za
odreĎivanje da li postoji dovoljno resursa za željenu komunikaciju. Glavni primeri su prenosi
datoteka i elektronske pošte, kao i aktiviranje daljinskog pristupa, aktivnosti upravljanja mrežom,
procesi klijent/server i lokacija informacija.
Sloj prezentacije (Presentation Layer) je dobio ime po svojoj nameni: prezentuje podatke sloju
aplikacije i zadužen je za prevoĎenje podataka i kodno formatiranje, vrši obradu kao što je
šifrovanje. Uspešna tehnika prenosa podataka je prebaciti podatke u standardni format pre njihovog
prenosa. Računari su konfigurisani da primaju ove generički formatirane podatke i da zatim
konvertuju podatke nazad u njihov osnovni format da bi ih pročitali (na primer, EBCDIC5 u
ASCII6). ObezbeĎujući usluge prevoĎenja, sloj prezentacije osigurava da će podatke prenete sa
sloja aplikacije jednog sistema moći da pročita sloj aplikacije drugog sistema. Za ovaj sloj su vezani
zadaci kao što su komprimovanje podataka, dekomprimovanje, šifrovanje i opisivanje. Neki
standardi sloja prezentacije su takoĎe uključeni u multimedijalne operacije, koji služe za
usmeravanje prezentacije grafike i slika.
Sloj sesije (Session Layer) je zadužen za pripremanje, upravljanje, a zatim i prekidanje sesija
izmeĎu entiteta sloja prezentacije. Ovaj sloj, takoĎe obezbeĎuje kontrolu dijaloga izmeĎu ureĎaja ili
čvorova. Sloj sesije kordinira komunikaciju izmeĎu sistema i služi da organizuje njihovu
komunikaciju, tako što nudi tri različita režima: simpleks, poludupleks i punidupleks. Evo nekih
primera protokola i interfejsa sloja sesija (po Cisco uslovima):
Network File System NFS (mrežni sistem datoteka) Ovaj system je razvio Sun
Microsystem i koristi se sa TCP/IP i Unix radnim stanicama kako bi se omogućio
transparentni pristup udaljenim resursima.
Structured Query Language, SQL (strukturiran jezik za upite) Ovaj jezik je razvio IBM
da bi ponudio korisnicima jednostavniji način za definisanje njihovih zahteva za
informacijama, kako na lokalnim, tako i na udaljenim sistemima.
Remote Procedure Call, RPC (daljinsko pozivanje procedura) Klijentsko/serverski alat za
preusmeravanje koji se koristi za različita uslužna okruženja. Procedure ovog protokola se
kreiraju na klijentima, a izvršavaju na serverima.
5EBCDIC- Extended Binary Coded Decimal Interchange Code
6ASCII - American Standard Code for Information Interchange
24
AppleTalk Session Protocol, ASP (AppleTalk protokol sesije) Još jedan mehanizam
klijent/server koji uspostavlja i održava sesije izmeĎu AppleTalk klijentskih i serverskih
računara.
Transportni sloj (Transport Layer) segmentira i ponovo sakuplja podatke u tok podataka. Servisi
smešteni na transportnom sloju segmentiraju i ponovo sakupljaju podatke iz aplikacija gornjih
slojeva i sjedinjuju ih u isti tok podataka. Ovi servisi nude usluge transporta podataka od kraja do
kraja i mogu da uspostave logičku konekciju izmeĎu matičnog računara koji šalje podatke i
matičnog računara koji prima podatke u umreženom okruženju. Najpoznatiji protokoli transportnog
sloja su TCP koji pruža pouzdan servis, a UDP ne. Transportni sloj je zadužen za obezbeĎivanje
mehanizama za multipleksiranje aplikacija gornjih slojeva, uspostavljanje sesija i prekidanje
virtuelnih krugova. Prеuzima odgovornost za pouzdanost prenosa podataka i njihovu celovitost.
Sloj mreže (Network Layer) upravlja adresiranjem ureĎaja, prati lokaciju ureĎaja u mreži i odreĎuje
najbolji način za premeštanje podataka, što znači da sloj mreže mora da transportuje saobraćaj
izmeĎu ureĎaja koji nisu lokalno spojeni. Ruteri (ureĎaji 3. sloja) se odreĎuju na sloju mreže i
pružaju servise rutiranja unutar umreženog okruženja. Jedna od osnovnih funkcija mrežnog sloja
jeste dodeljivanje i evidentiranje logičkih adresa, koje identifikuju mrežne čvorove. Uobičajeno je
preslikavanje logičkih mrežnih adresa u ogovarajuće hardverske adrese. Zbog toga, mrežne adrese
ne identifikuje računar, već neki njegov hardverski interfejs. Ovaj sloj je takoĎe odgovoran za
utvrĎivanje putanje za prenos paketa kroz mrežu.
Sloj povezivanja podataka (Data Link Layer) omogućava fizičko prenošenje podataka i upravlja
obaveštavanjem o greškama, topologijom mreže i kontrolom toka. To znači da sloj povezivanje
podataka osigurava da će poruke biti isporučene odgovarajućem ureĎaju u lokalnoj mreži
korišćenjem hardverskih adresa i prevodi poruke iz sloja mreže u bitove radi prenosa na fizički sloj.
Sloj povezivanja podataka oblikuje poruku u deliće, gde se svaki od njih naziva okvir podataka
(data frame) i dodaje prilagoĎeno zaglavlje koje sadrži hardversko odredište i izvornu adresu.
IEEE Ethernet sloj povezivanja podataka ima dva podsloja:
1. Media Access Control, MAC (kontrola pristupa mediju) Definiše kako se paketi smeštaju na
medij. Konkurentski pristup mediju je pristup “prvi došao/prvi uslužen”, gde svi dele isti
propusni opseg. Ovde se definiše fizičko adresiranje, kao i logička topologija.
2. Logical Link Control, LLC (kontrola logičke veze) Zadužen je za identifikovanje protokola
sloja mreže, a zatim za njiovo enkapsuliranje. LLC zaglavlje govori sloju povezivanja
25
podataka šta da radi sa paketom kada dobije okvir, tj. frejm. LLC takoĎe omogućava
kontrolu toka i sekvenciranje kontrolnih bitova.
Fizički sloj (Physical Layer) Obavlja dve stvari: šalje bitove i prima bitove. Bitovi dolaze samo
u vrednostima 1 ili 0 – Morzeov kod sa numeričkim vrednostima. Ovaj sloj definiše (električne
i optičke) osobine mreže. Kroz fizički medijum - bilo da je u pitanju koksijalni kabl, bakarna
parica, vazduh ili optičko vlakno - prenose se informacije. TakoĎe ovaj sloj je mesto gde se
identifikuje interfejs izmeĎu terminalske opreme (Data Terminal Equipment, DTE) i opreme za
prenos podataka (Data Communication Equipment, DCE).
5.2 Layer 2 svič
Klasičan svičing obavlja se na nivou L2. Za prosleĎivanje paketa koristi se fizička tj.
MAC adresa. Gotovo svi današnji svičevi se lako instaliraju i sposobni su da samostalno nauče i
mapiraju MAC adrese mrežnih ureĎaja na odgovarajući fizički port odnosno interfejs. Broj
interfejsa zavisi od modela i karakteristika sviča. Učenje se odvija korišćenjem specijalnih
tabela koje su zbog brzine najčešće hardverski implementirane (Application Specific Integrated
Circuits ili skraćeno ASIC). Ove tabele se sreću pod nazivom CAM odnosno MAC tabele
(Cisco koristi CAM terminologiju). Kako bi se ostvarili svi zahtevi mrežne infrastrukture
potrebno je koristiti više tipova svičeva koji će, svako na svoj način uticati na pravilan rad i
funkcionisanje topološkog sistema. Ovi svičevi koji rade na layer 2 nivou su u projektu
postavljeni kao access svičevi, serije 2960 sa 48 portova i nalaze se na svakom spratu u prvoj
glavnoj, kao i drugoj zgradi privatne bolnice, oni su u client modu i povezani su redudantno na
distributivne svičeve i uz pomoć njih primaju različite informacije koje su neophnodne za rad i
organizaciju mreže. Kada paket stigne na odreĎeni port, posmatra se izvorna i odredišna fizička
(MAC) adresa. Izvorna adresa se koristi za učenje o ureĎajima na mreži, dok se odredišna
koristi za prosleĎivanje paketa. U tabeli se unosi zapis koji sadrži izvornu fizičku adresu i broj
porta na koji je pristigao paket sa izvornom adresom. Odredišna adresa se koristi za odreĎivanje
porta na koji treba proslediti paket. U tabeli se zatim vrši pretraga koja adresa kom portu
odgovara. Ako se pronaĎe mapiranje paket se prosleĎuje na odgovarajući port. Na ovaj način
svičevi prosleĎuju saobraćaj samo na odgovarajući port, za razliku od hub ureĎaja koji
prosleĎuju na svim portovima osim na port sa kog je stigao paket. Jedini slučaj kada će svič
proslediti paket na sve portove je kada proces učenja nije završen, drugim rečima kada svič
nema apsolutno nikakvu informaciju o odredišnoj adresi. Što se tiče tehnika za prosleĎivanje
26
paketa, u svičevima mogu da se naĎu dve najpoznatije: Cut-Through i Store-and-Forward. Kod
prve tehnike, zbog brzine, paket se prosleĎuje odmah nakon analiziranja odredišne adrese, dok
se kod druge paket analizira u celini i prosleĎuje jedino ako nema grešaka.
5.3 Ruter i rutiranje
Kao što svičevi marljivo rade na nivou L2 tako su ruteri zaduženi za saobraćaj na višim
nivoima, posebno na nivou L3. Najčešći protokoli u komunikaciji na L3 nivou su IPv4, IPv6, IPX i
IPSec. Naravno danas je najzastupljeniji IPv4 protokol sa svojim adresama dužine 32 bita. Zbog
nedostatka IP adresa, pitanje trenutka je kada će IPv6 sa svojim IP adresama od 64 bita postati
svakodnevnica. Glavna funkcija rutera je rutiranje paketa izmeĎu mreža. Ruteri za to koriste tabele
za rutiranje i jedan ili kombinaciju više protokola za rutiranje. O načinu rutiranja i protokolima za
rutiranje koji su korišćeni u ovom projektu će se govoriti kasnije. Za razliku od svičeva gde su
MAC tabele implementirane hardverski, kod rutera, tabele za rutiranje su implementirane
softverski. Ruteri održavaju tabele za rutiranje. Postoji kriterijum za izbor najbolje putanje (metrika
putanje). Kad ruter primi paket na jednom interfejsu, na osnovu sadržaja svoje tabele za rutiranje
odreĎuje interfejs po kojem prosleĎuju paket. Sam proces analiziranja IP adresa, provera paketa i
rutiranje zahteva znatno duži vremenski period u odnosu na svičeve gde se prosleĎivanje paketa
odvija skoro neprimetno. Zato je ruterima, iako imaju mnogo prednosti, glavna mana – vreme
potrebno za procesiranje paketa. Danas, razvojem novih tehnologija ovo postaje realan problem.
5.4 Multilayer Switching
Do pre nekoliko godina, postojala je jasna granica izmeĎu svičeva i rutera. Svičevi su radili na
nivou L2, analizirali MAC adresu i nisu imali pojma šta je to IP adresa. Nasuprot njima ruteri su
radili i još uvek rade na višim nivoima, analiziraju IP adresu i koriste protokole za rutiranje kako bi
uspešno dopremili paket na željenu IP adresu u mrežnom svetu. MeĎutim, sa razvojem novih
tehnologija raste i potreba za bržom propagacijom paketa izmeĎu mreža. Trenutna implementacija
rutera i standardi ne omogućavaju potrebne performanse. Potrebna je znatno brža komunikacija
koja se može porediti sa brzinom rada svič ureĎaja. Iz ovog razloga, zadnjih godina, veliki broj
proizvoĎača briše granicu izmeĎu svičeva i rutera. Tako je svetlost dana ugledao novi ureĎaj nazvan
multinivoovski svič (eng. multilayer switch), a samim tim roĎen je i novi koncept multilayer
switching ( u daljem tekstu MLS). MLS predstavlja koncept u kome je objedinjen klasičan svičing i
27
rutiranje. Svič sa ovom karakteristikom radi kao običan (L2) svič, ali ima mogućnosti da u
zavisnosti od podešavanja radi i na višim nivoima, najčešće na nivou L3 za potrebe rutiranja paketa.
Prednost ovog koncepta je što se zadržava brzina žice, jer su tabele za rutiranje najčešće hardverski
implementirane. Zato se ovi svičevi ugraĎuju u mrežama gde je potrebna brza propagacija paketa.
Slično ruterima i ovde se koriste osnovni protokoli za rutiranje tipa: RIP, RIPv2, OSPF, EIGRP i
ostali. Ovi layer 3 svičevi implementirani su u projektu kao distributivni i core svičevi radi
obezbeĎivanja rutiranja, QoS, ACL i sl. Tehnike za implementaciju MLS koncepta su od
proizvoĎača do proizvoĎača, uglavnom slične. U daljem tekstu data je uprošćena ilustracija kako to
radi gigant u proizvodnji mrežne opreme na svetu, kompanija Cisco.
Da bi MLS bio moguć neophodne su sledeće komponente:
MultiLayer Switching – Switching Engine (skraćeno - MLS-SE) je svič koji podržava MLS.
Neophodna je kartica koja predstavlja deo hardvera u sviču koji obavlja forwarding paketa,
održava keš tabelu i komunicira sa MLS ruterom. Ovu karticu Cisco naziva NetFlow
Feature Card (u daljem tekstu NFFC).
MultiLayer Switching – Route Processor (MLS-RP) je eksterni ruter ili ugraĎeni modul u
sviču koji ima funkciju rutera. MLS-RP služi da rutira pakete korišćenjem standardnih
protokola (RIP, RIPv2, OSPF, EIGRP itd.), primeni pravila ACL-a (Access Controll List –
kontrola pristupa) i još neke dodatne funkcionalnosti. Generalno, varijanta ugraĎenog
modula koji glumi funkciju rutera je bolje rešenje. Ovom varijantom se dobija na brzini, jer
nema prosleĎivanja paketa do eksternog rutera, nego se sve završava u sviču. MeĎutim,
dobitak na ovoj brzini je mali. Za ogromno povećanje brzine je zaslužna NFFC i MLS
proces o kome će biti vise reči kasnije.
MultiLayer Switching Protocol (MLSP) je MLS protokol kojeg izvršava MLS-RP. Ovaj
protokol se koristi u komunikaciji izmeĎu MLS-RP i MLS-SE, tačnije izmeĎu MLS-RP i
NFFC, jer NFFC pripada MLS-SE.
Prednosti i Nedostaci Multilayer Switching-a
Za MLS se može reći da ima mnogo prednosti, a malo mana. Neke od najbitnijih su:
Brzina – ovo je najveća, ujedno i najbitnija prednost pa čak i razlog zbog kojeg MLS
postoji. Brzina je postignuta hardverskom implementacijom svih bitnijih funkcija. NFFC
igra glavnu ulogu u ovome.
28
Transparentnost – krajnji ureĎaji ne zahtevaju nikakvu konfiguraciju. Mrežna struktura se ne
menja. Dodanta pogodnost je što MLS koristi DHCP.
Manja investicija – ako već postojeći svič podržava MLS, mogu se ugraditi kartice (na
primer NFFC) koje omogućavaju MLS, kao i MLS-RP u obliku modula. Druga varijanta je
ugradnja eksternog rutera. Generalno gledano, više se isplate od rutera.
Podržani standardi – podržani su standardni protokoli za rutiranje tipa, EIGRP, OSPF i RIP.
Ovo omogućava da se MLS lako instalira u mreži izmeĎu različitih provajdera.
Brza konvergencija – u slučaju promene mrežne topologije ili greške kod ruta, hardverski se
veoma brzo ispravljaju nevalidni zapisi u keš tabeli
Lako se koristi – automatski konfiguriše MLS keš. TakoĎe, plug-and-play dizajn eliminiše
potrebu za učenjem novih tehnologija od strane korisnika
ACL – omogućava dozvolu i zabranu saobraćaja izmeĎu hostova na različitim podmrežama.
Iz razloga što MLS u toku rada posmatra i portove, liste mogu biti konfigurisane
korišćenjem IP adresa i portova.
Ostali ureĎaji koji su implementirani u ovom projektu biće detaljno objašnjeni i opisaće se njihov
značaj u računarskim mrežama. Na slici 5.4 prikazan je layer 3 svič serije 3650 koji je korišćen za
potrebe ovog projekta na distributivnom sloju i nalazi se u obe zgrade.
Slika 5.4 Cisco Catalyst 3650 Series
29
6. BEŢIĈNE Wi-Fi MREŢE
U današnje doba svaki prosečan korisnik susreo se barem jednom sa nekim od ureĎaja koji koristi
bežičnu tehnologiju. U svakodnevnici svi se služimo pametnim telefonima kojima se putem
Wi-Fi-ja spajamo na internet bilo da se spajamo na kućnu mrežu ili na javno dostupne besplatne
mreže. Svaki objekat je nemoguće zamisliti danas bez pristupa wi-fi mreži. Zbog toga u ovom
projektu privatne bolnice u obe zgrade postoje pristupne tačke na koje mogu da se povezuju
zaposleni, a takoĎe i pacijenti te bolnice. Za potrebe ovog projekta u privatnoj bolnici korišćen je
Ciscov model - AIR-AP1832I-E-K9. Bežična tehnologija omogućava nam mobilnost i
jednostavnost korišćenja, ali pri tome većina korisnika ne razmišlja o sigurnosti. U većini
slučajeva korisnici su nedovoljno informisani o potencijalnim opasnostima koje donosi
spajanje na Internet pogotovo ako pristupaju važnim podacima, bankovnim računima, svom e-
mailu ili ostalim sadržajima za koje je bitno da ostanu izvorno sačuvani i skriveni od trećih
osoba. Danas pitanje sigurnosti je jedan od prioriteta za svakog korisnika Interneta. Bežična
komunikacija je zbog svojih karakteristika posebno izložena napadima zbog načina na koji se
podaci prenose pri čemu se otvara mogućnost presretanja informacija koje se razmjenjuju.
6.1 Wi-Fi - Wireless-Fidelity
Wi-Fi tehnologija se koristi u bezičnim LAN mrežama i u tom slučaju iste se nazivaju i WLAN
(Wireless Local Area Network), ali u poslednje vreme se sve više nudi i bežični
pristup WAN mreži - internetu. Bežične mreže postoje od 90-ih godina, dok je 802.11a protokol
nastao 1999. godine. Brzine koje je pružao taj standard su 54Mbps koristeći radio talase frekvencije
5GHz. Ali WiFi standard se konstantno razvija i usavršava. Nakon prvog standarda predstavljeni su
još i 802.11b, 802.11g, 802.11g, 802.11n standardi. Današnji 802.11ac ruteri mogu da razmene
podatke brzinom od 1.3Gbps na frekvenciji od 5GHz, a 450Mbps na frekvenciji od 2.4GHz. Postoji
više standarda koji se istovremeno razvijaju kada je WiFi u pitanju. Prvi je 802.11ac koji je dobio
sertifikat i zvanično je priznat sredinom 2013. godine, a drugi je 802.11ax standard koji donosi još
veće brzine prenosa podataka. Nakon drugog talasa 802.11ac stiže nam 802.11ax. Cilj ovog novijeg
standarda je da učetvorostruči brzinu prenosa podataka bežičnim putem svakom od klijenata. Wi-Fi
mreže rade uz pomoć veoma jednostavne radio tehnologije, jedina razlika je to što se radio signali
pretvaraju u nule i jedinice.
30
Wireless router - On zapravo omogućava pristup internetu ili mreži bez upotrebe kablova,
po principu prenosa podataka radio talasima pri opsegu frekvencija 2.4GHz i 5 GHz.
Access point (AP) - UreĎaj koji služi za meĎusobno povezivanje klijenata i predstavlja
centralni deo jedne manje WLAN mreže. Može se koristiti i za spajanje wireless klijenata sa
LAN-om ili izlazom na internet.
Wireless antene - Jedan od najbitnijih segmenata Wifi sistema je svakako antena od čijih
karakteristika zavisi i kvalitet signala na predaji/prijemu. Njena najbitnija karakteristika
svakako jeste dobitak (gain) kao i njena rezonantna frekvencija. Postoje više tipova antena u
zavisnosti od konstrukcije kao i načinu
emitovanja signala.
Wi-Fi radiji šalju signale na frekvencijama 2.4
GHz (802.11b i 802.11g standardi) i 5 GHz (802.11a),
gde se koriste mnogo naprednije tehnike kodiranja kao
što su OFDM (orthogonal frequency-division
multiplexing) i CCK (Complementary Code Keying)
pomoću kojih se ostvaruju mnogo veće brzine prenosa podataka samo uz pomoć radio talasa. Sva
radio tehnologija se nalazi u Wi-Fi karticama koje ugraĎujemo u računar, i to je praktično sve što
treba za bežićno umrežavanje. Zbog toga se bežićno umrežavanje smatra jednim od
najjednostavnijih trenutno u ponudi, a dodatni razlog je što uklanja potrebu za kablovima i ostalim
mrežnim ureĎajima.
6.2 Načini rada bežičnih mreža
Standardni 802.11 standard predviĎa dva osnovna načina ostvarivanja veze: AdHoc i
infrastrukturni (infrastructure) mod.
1. Ad-hoc (peer to peer) mod- WLAN klijentski mrežni adapter komunicira direktno sa drugim
WLAN mrežnim adapterom. Koristeći ovaj način rada administrator omogućava Peer-to-
Peer komunikaciju. Da bismo dosegli do Interneta ili do druge mreže, moramo da
konfigurišemo jedan od hostova da bude ruter koji je konektovan na mrežu.
2. Infrasrtucture mode: Klijentski mrežni adapteri komuniciraju samo sa specijalinim radio
mostovima (Radio Bridges) koji se nazivaju Wireless Access Points (WAPs) koji su
direktno konektovani na bežičnu mrežu. Kada kreiramo konfederaciju izmeĎu klijenta i
31
WAP-a, mi konfigurišemo klijenta da koristi Service Set Identifier (SSID) Wireless Access
Point-a, tako je i podešeno u projektu PacketTracer-a da svaki AP ima konfigurisan SSID, a
isto tako i ureĎaj kako bi mogli da prihvataju signal od tačno namenjenog AccessPoint-a.
6.3 Sigurnost WI-FI mreža
Popularizacija Wi-Fi mreža je dovela do stvaranja sasvim nove generacije sigurnosnih
problema. Rešenje je naĎeno u enkripciji podataka. Na bežičnu mrežu se može bilo ko spojiti ako
ima WI FI karticu i neku vrstu antene. Samim time je mnogo teža kontrola i nadgledanje korisnika.
Prva generacija enkripcije WEP -pokazala se kao vrlo lakim za probijanje šifre, WEP algoritam je
pun mana. Novije generacije WPA i WPA2 - smatraju dosta sigurnim uz odgovarajuću šifru. Tipovi
zaštite koji se danas koriste kako bismo se zaštitili od raznih napada spolja i koji su preko potrebni
za objekat kao što je bolnica, kako ne bi “iscurele” neke važne i poverljive informacije o
pacijentima, ispod su navededeni:
MAC filtriranje - najjednostavniji oblik zaštite, radi na temelju liste dopuštenih/zabranjenih
MAC adresa, tj hardverskih adresa. Ovo može biti korisno, ali ga je lako zaobići jer većina
mrežnih adaptera ima mogućnost (privremenog) menjanja MAC- adrese. Može dobro
poslužiti kao dodatan tip zaštite -uz neki oblik enkripcije i autorizacije
IP filtriranje - takoĎe dodatni oblik zaštite, upadač koji se ipak spoji na AP bi trebao svom
ureĎaju namestiti neku od dopuštenih IP adresa, što može dodatno smanjiti rizik
WEP enkripcija - skraćenica za “Wired Equivalency Privacy”, originalni standard za
wireless enkripciju, prevaziĎen jer je pronaĎena učinkovita metoda za razbijanje iste.
TakoĎe postoje brojni programi otvorenog koda koji uključuju ovu funkcionalnost -
Aircrack-ng, Weplab, WEPCrack i Airsnort. WEP koristi 128 i 256-bitne ključeve, i
uglavnom je bolji od nikakve zaštite, ali može predstavljati dodatnu opasnost jer može
davati lažan osećaj sigurnosti, a upravo zbog široko poznatog sigurnosnog propusta može
predstavljati pogodnu metu za manje sigurne crackere.
WPA, WPA2 - skraćenica za “Wi-Fi Protected Access” (Wi-Fi zaštićeni pristup). Razvijeni
kao zamena za WEP. Koriste EAP autorizaciju preko Radius servera uz metodu deljenog
ključa (Pre-Shared Key-PSK). Kod WPA, podaci su standardno kriptovani RC4
enkripcijskim protokolom, a kao sigurnosni algoritam mogu koristiti TKIP. Kod WPA2,
standardno su kriptirani sa AES enkripcijskim protokolom a kao sigurnosni algoritam
koriste CCMP.
32
TKIP - ili “Temporal Key Integrity Protocol”, je sigurnosni protokol korišćen u
WPA/WPA2, namenjen da zameni nesigurni WEP bez da korisnici moraju menjati opremu,
bilo preko nadogradnje drivera bilo firmware-a. Svaki mrežni paket ima vlastiti enkripcijski
ključ
AES - ili “Advanced Encryption Standard”, je kriptujuća tehnologija koju je kao standard
donela vlada SAD-a
CCMP - ili “Counter mode with Cipher block chaining Message authentication
codeProtocol”, koristi AES kao enkripciju, služi za osiguravanje poverljivosti i integriteta
podataka, kao i za izbegavanje nekih sigurnosnih napada
IEEE 802.1X - standard za autentifikaciju ureĎaja priključenih na mrežu, koja i ne mora biti
bežična. Klijent (u ovoj terminologiji supplicant ili peer) se spaja na autentikator (u slučaju
bežičnih mreža, na AP-u) koji zahteva autorizaciju isključivo u obliku EAP paketa (drugi
mrežni promet nije dopušten) da bi peer dobio pristup ostatku mreže. Autentikator
proverava korisnikovo ovlašćenje na autorizacijskom Remote Authentication Dial In User
Service (RADIUS) serveru, koji može biti na AP-u ili se nalaziti na nekom drugom
mrežnom ureĎaju. Virtualni (ili fizički kod nešto reĎeg Ethernet korišćenja) LAN port biva
autorizovan za promet prema ostatku mreže. Osim ugraĎenih u ureĎaje, najkorišćeniji
programski paket za ovu primenu je verovatno FreeRADIUS -radi pune podrške za standard
i slobodnog koda.
6.4 Konfiguracija WI-FI mreže
6.4.1 Management IP adrese access point
Tabela 6.4.1 Management IP adrese za svaki AccessPoint
Zgrada 1
accap10-1 10.0.140.105 VLAN 140
accap11-1 10.0.140.115 VLAN 140
accap12-1 10.0.140.125 VLAN 140
accap13-1 10.0.140.135 VLAN 140
accap14-1 10.0.140.145 VLAN 140
Zgrada 2
accap20-1 10.0.240.105 VLAN 240
accap21-1 10.0.240.115 VLAN 240
33
6.4.2 SSID - Naziv wireless mreže
Kao dodatak WEP ključu, Service Set Identifier (SSID) treba da bude podešen na bežičnoj tački
pristupa (Access Point). SSID identifikuje ime bežične mreže; ovaj iznos se emituje preko tačke
pristupa u formi čistog teksta i može se dobiti korišćenjem prostog analizatora protokola u
sekundama. Neke bežične tačke pristupa imaju mogućnost da zabrane emitovanje SSID, i samim
time čine da maliciozni korisnici ne mogu lako da se konektuju.
SSID wireless_lan
AES PSK l0z1nkawlan
Zgrada 1
SSID mapiran u VLAN 130
Podešavanje porta na access sviču
interface fastethernet0/14
switchport mode trunk
switchport nonegotiate
switchport trunk allowed vlan 120,130
description Access_point
Zgrada 2
SSID mapiran u VLAN 230
Podešavanje porta na access sviču
interface fastethernet0/17
switchport mode trunk
switchport nonegotiate
switchport trunk allowed vlan 220,230
description Access_point
7. OSNOVE - VLAN I TRUNKING
7.1 Definicija i značaj VLAN-ova u računarskoj mreži
Performanse mreže su važan faktor u produktivnosti organizacije. Jedna od tehnologija koja
se koristi za poboljšanje performansi mreže je odvajanje velikih područja na manje delove.
Projektovanjem, ruteri će blokirati prenos saobraćaja na interfejsu. MeĎutim, ruteri obično imaju
ograničen broj LAN interfejsa. Primarna uloga rutera je prebacivanje informacija izmeĎu mreža, a
34
ne obezbeĎivanje mrežnog pristupa krajnjim ureĎajima. VLAN7-ovi se koriste da se velika mreža
podeli na više logičnih celina. Direktna korist toga je smanjenje neusmerenog (broadcast)
saobraćaja u svakoj celini. Virtuelna lokalna mreža (VLAN) se kreira na Layer 2 sviču kako bi se
smanjila veličina domena emitovanja. VLAN-ovi se često uključuju u dizajn mreže radi
fleksibilnosti. VLAN-ovi se pre svega koriste u lokalnim mrežama. Radi lakšeg rukovanja
korisnicima, svi su podeljeni u VLAN-ove. Korisnici su povezani preko Layer 2 switch-eva koji
spadaju u pristupni deo mreže (access layer). Svaki korinik je priključen preko jednog porta i tako
dobija namenski deo opsega. Korisnici se priključuju FastEthernet vezom. Jedan od načina da se
identifikuju lokalne mreže je da se kaže da svi ureĎaji u istom LAN-u imaju zajedničku layer 3 IP
adresu i da se svi nalaze u istom layer 2 broadcast domain-u.
VLAN-ovi pružaju segmentaciju i omogućavaju da se oformi grupa uredjaja u LAN-u, što pruža
administrator mogućnost da segmentira mreže na osnovu faktora kao što su funkcija, projektni tim
itd. Grupa ureĎaja u VLAN-u komunicira kao da je svaki ureĎaj povezan istim kablom. VLAN-ovi
se zasnivaju na logičkim vezama, umesto na fizičkim vezama, pa se svaki VLAN posmatra kao
posebna logička mreža.
Slika 7.1 Primer definisanja VLAN grupa
7 Virtual Local Area Network
35
Bilo koji switch port se može pridodati nekom VLAN-u. Unicast, broadcast i multicast paketi
su prosleĎeni i preplavljeni samo na krajnje ureĎaje u tom VLAN-u. Paketi koji su namenjeni
ureĎajima koji ne pripadaju tom VLAN-u se moraju proslediti kroz ureĎaje koji podržavaju
rutiranje. Neke od prednosti VLAN-ova su:
Bolje performanse
Bezbednost
Smanjenje troškova
Smanjenje veličine broadcast domain-a
Poboljšana efikasnost IT osoblja
Jednostavnije upravljanje projektima i aplikacijama
7.2 Tipovi VLAN-ova
Različiti tipovi vlan-ova su definisani po njihovoj specifičnoj funkciji kao što su:
Data VLAN koji se obično koristi da razdvoji mrežu u grupe korisnika ili ureĎaja
Default VLAN u kome se po uključivanju sviča nalaze svi portovi. Svi portovi koji su u
default VLAN-u su deo istog broadcast domena što omogućava ureĎajima da komuniciraju
sa drugim ureĎajima koji su na tim portovima. Default vlan na switch-u je VLAN1 - VLAN
1 se ne može preimenovati ili izbrisati
Native VLAN - U praksi je dobra odluka da se promeni u neki drugi specificni VLAN.
Native VLAN služi kao zajednički identifikator na suprotnim stranama trunk veze.
Management VLAN je bilo koji VLAN koji je konfigurisan da pristupi mogućnostima
upravljanja switch-a. VLAN 1 je management VLAN po defoltu.Da bi se napravio
management VLAN, na virtuelnom interfejsu switcha (SVI) od tog VLAN-a se dodeljuje IP
adresa i subnet maska koji pružaju switch-u da bude pristupačan preko HTTP, Telnet, SSH
ili SNMP-a. Običaj u praksi je da se management VLAN ne ostavlja kao VLAN1.
36
Slika 7.2 Tipovi VLAN-ova
7.3 Pregled Vlan Potokola i Dizajna
7.3.1 Konfiguracija Trunk-a sa 802.1Q
Najčešći protokol koji se danas koristi u konfiguraciji VLAN-ova je IEEE 802.1Q (Institute of
Electrical and Electronics Engineers). IEEE 802.1Q standard koji definiše metodu
multipleksiranja prometa različitih VLAN-ova u mrežama gde je implementirana oprema
različitih proizvoĎača. U trenutku pojave 802.1Q standarda postojeći protokoli kao Cisco ISL
(Inter-Switch Link) i 3Com VLT (Virtual LAN Trunk) su podržavali mreže istog proizvoĎača i nisu
radili u mrežama koje su sačinjavali ureĎaji različitih proizvoĎača. ISL i 802.1Q označavaju
promet eksplicitnom metodom, sam frame je tagovan s VLAN informacijama. ISL koristi
eksterni proces označavanja, koji ne menja postojeći ethernet frame, dok 802.1Q koristi polje koje
se ubacuje unutar framea i tako ga menja. EEE 802.1Q standard je nadogradnja na standard
IEEE 802.1. IEEE 802.1Q ili skraćenog naziva dot1q. Standard se obično veže za enkapsulacijski
protokol koji dozvoljava kreiranje VLANova u Ethernet mrežama i rutiranje izmeĎu VLAN mreža
pomoću ureĎaja Layer3 sviča ili rutera. Trunk portovi su veze izmeĎu switch-eva koji podržavaju
37
prenos saobraćaja izmeĎu više VLAN-ova. Za konekciju izmeĎu dva sviča koji sadrže portove koji
su povezani na iste VLAN-ove, ti portovi se konfigurišu kao trunk portovi. Trunk portovi uključuju
dodatne informacije koje se nazivaju ,,tag,, i predstavljaju 4 bajta koji se ubacuju u header frame-a i
uz pomoć njih se može identifikovati kom VLAN-u koji frame pripada. Kritična informacija koju
tag koristi da asocira kojim vlan-ovima koji frame pripada je VLAN ID. Trunk-ovi mogu
automatski pregovarati izmeĎu 2 switch-a ili izmeĎu switch-a i ureĎaja koji podržava trunking.
Automatsko pregovaranje može da odredi da li će port da bude access port ili trunk port, ovo nije
preporučeno jer napadač može da pregovara sa switch-em o trunk port-u i da dobije pristup bilo
kojem VLAN-u tako što ce da ,,tag-uje,, saobraćaj. Konfiguracija access svičevi: accsw10-1,
accsw11-1, accsw12-1, accsw13-1. Ista ova konfiguracija je uraĎena i u drugoj zgradi.
7.3.2 Podešavanje sabirne veze (Trunk Link)
Portovi mogu postati sabirni ili statičkom dodelom ili dinamičkim pregovaranjem
koriščenjem Dynamic Trunking Protocol (DTP). Port sviča može biti u jednom od sledećih DTP
stanja:
Access port je pristupni i pripada jednom VLANu
Trunk port pregovara o sabirnoj vezi sa portom na drugoj strani
Non-negotiate port je deo sabirne veze i ne pregovara sa drugom stranom otome
Dynamic Desirable - pregovara sa drugom stranom. Postaje sabirna veze ako je druga strana
podešena na trunk, dynamic desirable, ili dynamic auto mode.
Dynamic Auto - pasivno čeka da ga kontaktira druga strana. Postaje sabirna veze ako je
druga strana podešena na trunk ili dynamic desirable mode.
Podešavanje porta u interface configuration mode:
switch(config-if)# switchport mode {dynamic {auto | desirable} | trunk}
U dynamic mode, DTP pregovara da li je sabirna veza i način enkapsulacije. Ako se koristi
sabirna veza, mora se naznačiti vrsta enkapsulacije:
switch(config-if)#switchport trunk encapsulation {isl | dot1q | negotiate}
38
Tabela 7.3.2 Konfiguracija trunk moda na access svičevima – Zgrada 1
interface fastethernet0/23
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
description ka_DSW1F0B1
interface fastethernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
description ka_DSW2F0B1
Na slici 7.2.2 UraĎena je komanda show interface trunk na access sviču. Kako bismo videli koji
interfejsi su podešeni kao trunk veza kako bi mogli da primaju informacije od svičeva koji su VTP
serveri.
39
Slika 7.2.2 Access svič – konfiguracija trunk veze i VLAN-ovi koji su pridruženi portu
7.3.3 ISL standard
Inter - Switch Link (ISL) – veza meĎu svičevima. ISL je Cisco standard, i radi samo na Cisco
opremi, a omogućava označavanje i opisuje format frame-a za point-to-point linkove izmeĎu
ureĎaja, obično svičeva. ISL dozvoljava implementaciju izmeĎu svičeva, rutera, NIC (Network
Interface Cards) koji koriste krajnji ureĎaji kao serveri. Da bi ISL fukncionisao svaki ureĎaj na
takvom linku mora biti ISL kofiguriran. Svaki ureĎaj koji ne podržava ISL standard zaključiće da je
došlo do greške unutar frame-a, a odgovarajuća radnja je uništavanje takvog frame-a. ISL radi na
drugom sloju OSI modela enkapsulirajući (priprema) frame-ove sa novim zaglavljem i novim ISL
CRCom (cyclic redundancy check). Zbog specifične enkapsulacije gde ISL obuhvata frame, gde je
originalni frame sačuvan unutar samog ISL formata čini ga nezavisnim o Data-link protokolu. Svaki
frame pripremljen ISL standardom dobija 26B zaglavlje i 4B CRC pre slanja. Zaglavlje definiše
10b identifikaciju što omogućava identifikovanje 1024 VLANa (210=1024), dok broj podržanih
VLANova definše hardware/software samog ISL ureĎaja. ISL omogućava korisnicima da lakše i
brže pristupaju serverima bez potrebe da idu kroz ruter svaki put kada treba da komuniciraju sa
40
nekim resursom. Ova tehnologija, takoĎe može da se koristi za istraživanja i odreĎene analizatore
mreže, a administratori mogu da je koriste za istovremeno postavljanje severa datoteka u više
VLAN mreža. ISL VLAN informacije se dodaju frame-u samo ako se taj frame prosleĎuje sa porta
gde je konfigurisana trunk veza. Cisco je kreirao ISL i taj protokol je vlasnički, što znači da se
koristi samo na CISCO ureĎajima. Ako želimo neki nevlasnički VLAN protokol, onda se
upotrebljava IEEE 802.1Q verziju.
7.4 Kreiranje VLAN-ova
U kompaniji može da postoji i na stotine korisnika kao i što je u ovom projektu, radi
bezbednosti a i radi organizacije mi te korisnike smo podelili u grupe korisnika u pojedinačnim
podmrežama koje su povezane sa pojedinačnim VLAN-ovima. Kada se VLAN napravi, njemu se
dodele portovi sa sviča po izboru, može se dodeliti jedan port ili svi portovi sa sviča. Posle dodele
portova na VLAN, bilo koji ureĎaj koji je povezan na taj specifični port je deo tog VLAN-a. U
tabeli 7.4.1 su prikazana odeljenja koja se nalaze u prvoj zgradi opšte bolnice MaryGroup koja su
napravljena kao posebni vlan-ovi, njihov mrežni opseg kao i korisne adrese. A u tabeli 7.4.2 su
prikazana odeljenja druge zgrade. Naravno mora postojati poseban Voice vlan za IP telefone, kao i
WLAN za AccessPoint ureĎaje. Da bi ureĎaji komunicirali izmeĎu sebe u VLAN-u, moraju da
imaju zajedničku mrežnu adresu. U većini slucajeva u jednom VLAN-u može postojati veći broj
ureĎaja koji moraju imati konfigurisanu istu adresu mreže ili pomreže. Ručno konfigurisanje adrese
mreže svakog ureĎaja u tom VLAN-u može biti naporno sa velikim verovatnoćama za nastanak
greške, iz tog razloga se koristi DHCP (Dynamic Host Configuration Protocol) koji dinamički
dodeli adrese iz nekog opsega adresa za tu specifičnu podmrežu. Na slici 7.4 prikazan je primer
komande show vlan brief - koja je uraĎena na access svičevima prve zgrade.
41
Slika 7.4 Prikaz komande show vlan brief na access svičevima
42
Tabela 7.4.1 Organzacione jedinice – VLAN-ovi, Zgrada1
VLAN
ID
Opis Mreţni opseg Prva korisna IP
adresa
Poslednja
korisna IP
adresa
101 Administratori 10.0.101.0/24 10.0.101.1 10.0.101.254
102 MedicinaRada 10.0.102.0/24 10.0.102.1 10.0.102.254
103 HR 10.0.103.0/24 10.0.103.1 10.0.103.254
104 Racunovodstvo 10.0.104.0/24 10.0.104.1 10.0.104.254
105 Prijemno 10.0.105.0/24 10.0.105.1 10.0.105.254
106 IntegrativnaMedicina 10.0.106.0/24 10.0.106.1 10.0.106.254
107 Laboratorija 10.0.106.0/24 10.0.107.1 10.0.107.254
108 Dijagnostika 10.0.108.0/24 10.0.108.1 10.0.108.254
109 MentalnoZdravlje 10.0.109.0/24 10.0.109.1 10.0.109.254
110 Savetovaliste 10.0.110.0/24 10.0.110.1 10.0.110.254
111 Neurologija 10.0.111.0/24 10.0.111.1 10.0.111.254
112 SportskaMedicina 10.0.112.0/24 10.0.112.1 10.0.112.254
113 Ortopedija 10.0.113.0/24 10.0.113.1 10.0.113.254
114 FizikalnaMedicina 10.0.114.0/24 10.0.114.1 10.0.114.254
120 Voice 10.0.120.0/24 10.0.120.1 10.0.120.254
130 WLAN 10.0.130.0/24 10.0.130.1 10.0.130.254
140 Management 10.0.140.0/24 10.0.140.1 10.0.140.254
150 veza distibution svičevi 10.0.254.244/30 10.0.254.245 10.0.254.246
Tabela 7.4.2 Organzacione jedinice – VLAN-ovi, Zgrada 2
VLAN ID Opis Mreţni opseg Prva korisna IP
adresa
Poslednja korisna
IP adresa
201 UhoGrloNos 10.0.201.0/24 10.0.201.1 10.0.201.254
202 Dermatologija 10.0.202.0/24 10.0.202.1 10.0.202.254
203 Oftalmologija 10.0.203.0/24 10.0.203.1 10.0.203.254
204 InternaMedicina 10.0.204.0/24 10.0.204.1 10.0.204.254
205 Pedijatrija 10.0.205.0/24 10.0.205.1 10.0.205.254
206 Hirurgija 10.0.206.0/24 10.0.206.1 10.0.206.254
207 Prijemno 10.0.207.0/24 10.0.207.1 10.0.207.254
220 Voice 10.0.220.0/24 10.0.220.1 10.0.220.254
230 WLAN 10.0.230.0/24 10.0.230.1 10.0.230.254
240 Management 10.0.240.0/24 10.0.240.1 10.0.240.254
250 veza_distribution 10.0.254.248/30 10.0.254.249 10.0.254.250
43
Tabela 7.4.3 Organizacione jedinice – Core deo
VLAN ID Opis Mreţni opseg Prva korisna IP
adresa
Poslednja korisna
IP adresa
31 ASA_inside 10.0.31.0/24 10.0.31.1 10.0.31.254
32 Infrastrukturni_serveri 10.0.32.0/24 10.0.32.1 10.0.32.254
33 CUCM 10.0.33.0/24 10.0.33.1 10.0.33.254
35 Veza_core_svičevi 10.0.254.252/30 10.0.254.253 10.0.254.254
39 Management 10.0.39.0/24 10.0.39.1 10.0.39.254
Tabela 7.4.4 Organizacione jedinice DMZ deo
VLAN ID Opis Mreţni opseg Prva korisna IP
adresa
Poslednja korisna
IP adresa
401 ASA_outside 212.200.200.0/28 212.200.200.1 212.200.200.14
402 ASA_dmz 172.16.0.0/24 172.16.0.1 172.16.0.254
3345 ISP 212.200.135.0/30 212.200.135.1 212.200.135.2
7.5 Pridruživanje portova VLAN-ovima
Prilikom statičkog dodeljivanja portova VLAN, prvo se port proglasi pristupnim , a zatim dodeli
VLAN-u. Na fotografijama 7.5.1 i 7.5.2 može da se vidi primer kako se podešava na pristupnom
sloju svaki interfejs i kako mu se dodeljuju neophodni vlan-ovi, kao na primer Voice VLAN koji je
pridružen na svakom sviču kako bi bila omogućena odlična komunikacija putem IP telefona u
svakom odeljenju bolnice MaryGroup. Dati su primeri access svičeva iz obe zgrade. I svi ostali su
na taj način konfigurisani.
44
Slika 7.5.1 Primer konfiguracije access sviča u zgradi 1
Slika 7.5.1 Primer konfiguracije access sviča u zgradi 2
45
8. VLAN TRUNKING PROTOCOL – VTP
8.1 Osnove funkcionisanja VTP-a
Cisco je kreirao i ovaj protokol, ali ovog puta nije vlasnički. Kako se broj svičeva povećava u
malim ili srednjim računarskim mrežama, posao koji treba obaviti kako bi se upravljalo VLAN-
ovima i trunk-ovima postaje sve obimniji. Osnovni cilj Vlan Trunkig Protocola, VTP (VLAN
protokol sabirnog prenosa) je da upravlja svim konfigurisanim VLAN mrežama u umreženom
okruženju i da održava konzistenciju u mreži. VTP omogućava administratoru da dodaje , uklanja i
menja nazive VLAN mreža - informacije koje se, zatim propagiraju svim ostalim svičevima u
mreži.
Evo liste osobina koje VTP može da ponudi:
Konzistentna VLAN konfiguracija na svim svičevima u mreži
VLAN sabirni prenos preko mešovitih mreža, na primer od Etherneta do ATM LANE, ili
čak FDDI
Precizno praćenje i nadgledanje VLAN mreža
Dinamičko izveštavanje o dodatim VLAN mrežama svim svičevima u VTP domenu
Dodavanje VLAN mreža metodom “utakni i koristi” (Plag-and-Play)
Veoma dobro, ali da bi VTP mogao da upravlja našim VLAN mrežama u umreženom okruženju,
moramo da kreiramo VTP server. U projektu su svi distributivni svičevi konfigurisani kao VTP
server. Kao što znamo u obe zgrade imamo po dva distributivna sviča iz razloga da ako se desi neko
zagušenje ili problem na prvom, da drugi može normalno da nastavi sa radom i to je neophodna
stvar u svakoj mreži. Svi serveri koji dele VLAN informacije moraju da koriste i isti naziv domena.,
a svič istovremeno može da bude samo u jednom domenu. VTP informacije se šalju izmeĎu svičeva
preko porta koji je konfigurisan kao trunk. VLAN trunking protocol (VTP) omogućava mrežnom
administratoru da upravlja VLAN-ovima na sviču koji je konfigurisan kao VTP server. VTP server
distribuira i sinhronizuje VLAN informacije preko trunk portova ka svičevima u mreži koji takoĎe
imaju uključen VTP. Na ovaj način se minimizuju problemi koji mogu nastati pri pogrešnoj
konfiguraciji i neslaganjima u konfiguraciji.
46
8.2 VTP komponente
Tabela 8.2 VTP komponente
VTP Komponente Opis VTP Domain -Sastoji se od jednog ili više meĎusobno povezanih svičeva
-Svi svičevi u domenu dele informacije o konfiguraciji VLAN-ova
putem VTP advertisements-a.
-Svičevi u različitim domenima ne razmenjuju VTP poruke meĎusobno.
-Ruter ili L3 svič definiše granicu domena.
VTP Advertisements -Svaki svič u VTP domenu šalje periodične global configuration poruke
sa svakog trunk porta ka rezervisanoj multicast adresi.
-Susedni svičevi dobijaju te poruke i ažuriraju njihovu VTP i VLAN
konfiguraciju u skladu sa informacijama koje dobiju.
VTP Modes -Svič može biti konfigurisan kao VTP server, klient ili kao transparentni
svič.
VTP Password -Svičevi u VTP domenu mogu biti zaštićeni šifrom.
Napomena: VTP samo saznaje o VLAN-ima za koji se nalaze u normalnom opsegu (VLAN ID-ovi
1 do 1005). Postoji i prošireni opseg (VLAN ID-ovi veći od 1005) ali njih ne podržava ni verzija 1 ,
ni 2, nego tek verzija 3 VTP protokola.
8.3 VTP Advertisements i VTP upozorenja
VTP može poslati jedan od tri vrste oglasa:
Summary advertisements – Ovi oglasi obaveštavaju susedne svičeve o imenu VTP
domena i revizionom broju konfiguracije.
Advertisement request – Ovi oglasi su odgovor na summary oglasnu poruku u slučaju da ta
poruka sadrži veći revizioni broj konfiguracije od onog koji je trenutno prisutan na sviču
koji prima poruku.
Subset advertisements – Ove poruke sadrže informacije o VLAN-ovima i sadrže promene
koje su nastale.
VTP upozorenja
Neki mrežni administratori izbegavaju VTP zato što potencijalno može da oglasi pogrešne
informacije o VLAN-ovima u postojećem domenu. Revizioni broj konfiguracije se koristi kada se
odreĎuje da li svič treba da zadrži postojeću VLAN bazu podataka, ili je promeni u skladu sa
ažuriranim informacijama poslatim od strane sviča iz istog domena i sa istom šifrom. Moguće je u
potpunosti obrisati postojeću VLAN konfiguraciju u VTP domenu dodavanjem sviča koji ima
47
uključen VTP, ako se na tom sviču nalazi u potpunosti druga VLAN konfiguracija koja ima veći
revizioni broj od onog koji se trenutno nalazi na VTP serveru. Taj svič može biti i klijent i server.
Ovako nešto je jako teško ispraviti, stoga, preporučuje se da kada se u mrežu dodaje novi svič, on
ima defaultnu VTP konfiguraciju.
8.4 VTP režimi rada
Postoje tri različita režima rada u VTP domenu:
1. Serverski – Ovo je podrazumevani režim za sve Catalyst svičeve. Nama je potreban bar
jedan server u VTP domenu da propagira VTP informacije kroz domen. Svič mora da bude
u serverskom režimu da bi mogao da kreira, dodaje ili briše VLAN mreže u VTP domenu.
Promena VTP informacija, takoĎe mora da se obavlja u serverskom režimu, a svaka
promena izvršena na sviču u serverskom režimu će biti oglašena u čitavom VTP domenu.
2. Klijentski – U klijentskom režimu svičevi primaju informacije od VTP servera i takoĎe ,
šalju i primaju ažuriranja. MeĎutim svičevi koji su u ovom režimu , a tačnije u ovom
projektu to su access svičevi, oni ne mogu da vrše nikakve izmene. Isto tako, ni jedan od
portova na klijentskom sviču ne može da se doda u novu VLAN mrežu pre nego što VTP
server obavesti klijentski svič o novoj VLAN mreži. VLAN informacije poslate sa VTP
servera se ne čuvaju u NVRAM memoriji. To znači da će VLAN informacije biti izbrisane
ako se svič resetuje ili ponovo učita. Savet je da ako želimo da nam neki svič postane server,
prvo ga uvedemo u klijentski režim da on pokupi sve VLAN informacije, a zatim
promenimo režim u serverski mod – tako je mnogo jednostavnije.
3. Transparentni – Svičevi u transparentnom režimu ne učestvuju u VTP domenu, ali i dalje
prosleĎuju VTP oglašavanja kroz svaku konfigurisanu trunk vezu. Ovi svičevi ne mogu da
dodaju i brišu VLAN mreže, zato što imaju sopstvenu bazu podataka koju ne dele sa ostalim
svičevima. Uprkos tome što je snimljena u NVRAM-u, VLAN baza podataka u
transparetnom režimu se, zapravo smatra značajnom samo lokalno. Svrha transparentnog
režima je da omogući udaljenim svičevima da prime VLAN bazu podataka od sviča
konfigurisanog kao VTP server kroz svič koji ne učestvuje u istim VLAN dodelama.
48
8.5 VTP konfiguracija
Zgrada 1 distributivni sviĉevi
vtp mode server
vtp domain zgrada1
vtp version 2
vtp password l0z1nk@1 : cisco1
Zgrada 1 access sviĉevi
vtp mode client
vtp domain zgrada1
vtp password l0z1nk@ : cisco1
Zgrada 2 distributivni sviĉevi
vtp mode server
vtp domain zgrada2
vtp version 2
vtp password l0z1nk@2 : cisco2
Zgrada 2 access sviĉevi
vtp mode client
vtp domain zgrada2
vtp password l0z1nk@2 : cisco2
Core sviĉevi
vtp mode server
vtp domain coremreza
vtp version 2
vtp password l0z1nk@mreza : core123
DMZ sviĉ
vtp mode transparent
vtp domain dmzmreza
vtp version 2
Na slici 8.5.1 uraĎena je komanda: show vtp je status na distributivnom sviču kako bismo videli
bitne informacije VTP protokola, kao što je ime domena, mod u kom se nalazi svič i koliko VLAN-
ova imamo.
49
8.5.1 Konfiguracija VTP servera na distributivnom sviču
8.6 VTP orezivanje
VTP nudi način uštede propusnog opsega kroz konfigurisanje ovog protokola da smanji
količinu opštih, višesmernih, i jednosmernih paketa. To se naziva orezivanje (pruning). VTP
orezivanje šalje opšte poruke samo sabirnim vezama koje neizostavno moraju da imaju informacije.
Evo primera: Ako svič A nema ni jedan port konfigurisan za VLAN 5, a opšta poruka se šalje kroz
VLAN 5, onda opšta poruka neće prolaziti sabirnom (trunk) vezom do sviča A. Po standardnom
podešavanju, VTP orezivanje je deaktivirano na svim svičevima. Kada aktiviramo orezivanje na
VTP serveru, aktivirali smo ga za čitav domen. Po standardnom podešavanju, VLAN mreže od 2 do
1005 su kvalifikovane za orezivanje, ali VLAN 1 se nikada ne orezuje zato što je to administrativna
VLAN mreža.
50
9. SPANNING TREE PROTOCOL
9.1 Mrežne petlje i osnove STP-A
Kako bi mrežna infrastruktura bila što pouzdanija, u njen dizajn se uključuju dodatne
veze i ureĎaji. Redudantnost mreže omogućava da mreža radi i u slučaju otkaza pojedinih
veza u njoj. Redudantnost ima i lošu stranu, jer se u slučaju više konekcija izmeĎu
svičeva mogu pojaviti problemi u radu mreže. Može doći do dodatnog opterećenja
mreže i usporenja saobraćaja zbog slanja više kopija istog frejma. Može se desiti da kada svič
dobije isti frejm na različitim prenosnim portovima, doĎe do zabune u tabeli sa MAC
(eng. Media Access Control) adresama i do njenog neprestanog ažuriranja. Ova pojava je
poznata kao nestabilnost (eng. Thrashing) MAC tabele. Može doći i do pojave višestrukih petlji i
emisionih oluja, kada dolazi do beskonačnog kruženja poruka kroz mrežu. Petlja na
drugom sloju može za posledicu da ima slededa tri problema:
MAC database instability –Nestabilnost zapisa u MAC tabeli je uzrokovana kopijama istih
frejmova koji su primljeni na različitim portovima sviča
Broadcast storms –Bez nekog načina da se izbegnu petlje, svičevi mogu da počnu da šalju
brodkaste bez prestanka. Ova situacija se obično zove brodkast oluja
Multiple frame transmission –Može se desiti da više kopija unikast frejma doĎe na
odredišnu adresu. Mnogo protokola očekuje da dobije samo jednu kopiju frejma. Više kopija
jednog istog frejma može da rezultuje u greškama koje se kasnije ne mogu ispraviti.
Razvijen je protokol koji rešava pomenute probleme, to je STP (eng. Spanning Tree Protocol).
Bez Spanning Tree Protocol-a (STP) je teško, odnosno nemoguće, zamisliti kvalitetnu
lokalnu mrežu. To jest moguće je napraviti mrežu bez redudantnih veza, ali pitanje koliko je ta
mreža pouzdana. Spanning Tree Protocol (STP) je mrežni protokol koji nam osigurava da ne
nastane petlja u lokalnoj mreži. Da bi imali kvalitetnu mrežu potrebno je osigurati redudantne
veze izmeĎu mrežnih ureĎaja, tako da u slučaju ako jedna veza "pukne" promet može nastaviti
putovati drugom. Kada postoji više veza izmeĎu istih ureĎaja potrebno je blokirati pojedine veze da
bi osigurali loop-free mrežu. Tu nastupa STP. STP na osnovu prioriteta svakog sviča ili
MAC adrese odlučuje, prvo koji će svič biti root bridge,a zatim koji će port biti blokiran. Ovaj
protokol budno nadgleda mrežu da bi pronašao sve veze, osiguravajući da se neće pojaviti petlja
tako što isključuje svaku redudantnu vezu. STP koristi spanning tree algoritam (STA) da prvo kreira
bazu podataka topologije, a zatim pretraži mrežu i uništi redudantne veze.
51
Zadaci koje obavlja spanning tree algoritam:
Izbor root bridža
Računanje najkraće putanje do root bridža
Izbor sviča najbližeg root bridžu za svaki LAN segment (designated switch)
Selekcija root porta na svakom sviču
Selekcija designated portova- blokiranje ostalih portova svičeva na segment
Slika 9.1.1 Prikaz komande show spanning-tree, vidi se samo delić konfiguracije, za primer je
uzet distributivni svič druge zgrade
52
9.2 Način rada STP protokola- STA algoritam
Prvo što STA algoritam uradi je da odredi koji svič će biti na vrhu stabla (eng. Root
Bridge). Kada se odredi, ovaj svič postaje centralna tačka i u odnosu na njega se donose sve dalje
odluke. Rut bridž će biti onaj koji ima najmanju vrednost bridž ID (eng. Bridge ID). Bridž ID je
deo BPDU 8poruke, dug je 8 bajtova i sadrži prioritet sviča i njegovu MAC adresu. Kao osnovni
svič se bira onaj sa najmanjim konfiguracionim prioritetom, a ukoliko postoji više
svičeva koji imaju isti prioritet, onda se bira onaj sa najmanjom MAC adresom. Po
standardnom podešavanju, na svim Cisco svičevima prioritet je postavljen na 32.768. Često je
potrebno ručno konfigurisati rut svič u mreži, jer za rut svič treba postaviti onaj koji je ključni u
mreži i time uticati na brzinu kojom će STP vršiti konvergenciju. Bridž ID se
može promeniti tako što se izmeni prioritet. Snižavanjem prioriteta svič će postati rut bridž. Svi
portovi na rut bridžu se stavljaju u stanje prosleĎivanja. Svaki BPDU sadrži BID (Bridge ID) koji
identifikuje svič koji šalje BPDU. Na slici 9.2.1 prikazano je kako se konfiguriše Bridge ID.
Slika 9.2.1 Konfiguracija Bridge ID na sviču
8 Bridge Protocol Data Unit (BPDU) je vrsta frejma koju meĎusobno razmenjuju STP svičevi
53
Podrazumevano, BPDU poruke se razmenjuju svake dve sekunde čime se
omogućava da svičevi prate promene u mreži i reaguju na njih. BID sadrži vrednost prioriteta,
MAC adresu sviča koji šalje poruku i opciono prošireni system ID. Najniža BID vrednost se
odreĎuje kombinacijom ove 3 vrednosti. Dok STA odreĎuje najbolje putanje do root bridge-a, za
sve svič portove u brodkast domenu nema prosleĎivanja saobraćaja kroz mrežu. STA uzima u obzir
path cost i port cost kada odreĎuje koji port će blokirati i taj zbir vrednosti port cost-ova odreĎuje
najbolji path cost do root bridge-a. Ako postoji više od jedne putanje, STA bira putanju sa manjim
path costom. Kada STA odredi koje putanje su najbolje za svaki svič, onda počinje da dodeljuje
uloge portovima. Uloge portova opisuju njihovu odnos u mreži sa root bridge-om i da li im je
dozvoljeno da prosleĎuju saobraćaj. Kako sam STP ne poseduje nikakve metode zaštite,
proizvoĎači mrežne opreme morali su sami dodati neke sigurnosne mehanizme za obranu od napada
na STP. BPDU odbrana (eng. BPDU guard) je sigurnosna funkcionalnost koja će, ako je
aktivirana, kada dobije BPDU paket, ugasiti interfejs te poslati alarm.
Slika 9.2.2 Primer gde se vidi da je omogućen BPDU guard na interfejsu, prilikom listanja show
running konfiguracije
54
9.3 Vrste STP protokola
Postoji nekoliko varijanti STP protokola:
PVST+ (eng. Per VLAN Spanning Tree) protokol koji je razvio Cisco
RSTP (eng. Rapid Spanning Tree Protocol) standardizovan kao IEEE802.1w.
Ovaj protokol omogućava znatno bržu konvergenciju posle promene topologije mreže. Za
razliku od STP protokola kome je za konvergenciju potrebno od 30 do 50 sekundi
RSTP je potrebno do 6 sekundi. Svaki svič generiše Hello BPDU (eng. Bridge
Protocol Data Unit) poruke, a kada na nekom portu izostane ta poruka, smatra se da je
veza prekinuta.
MSTP (eng. Multiple Spanning Tree Protocol) je standardizovan kao IEEE
802.1s. Primenom MSTP administrator grupiše VLAN mreže i za svaku
grupu se definiše po jedna STP instanca, što omogućava ravnomerniju raspodelu
saobraćaja
9.4 STP stanja na portovima
Portovi na bridge-u ili sviču koji koriste STP mogu da vrše prenos kroz 5 različitih stanja:
1. Blokiranje (Blocking) - Blokirani port ne prosleĎuje frejmove; samo osluškuje BPDU
poruke. Svrha stanja blokiranja je da spreči upotrebu putanja sa petljom. Svi portovi su,po
standardnom podešavanju, u blokiranom stanju kada se svič uključi
2. Osluškivanje(Listening) –Ovo je prvo tranziciono stanje nakon stanja blokiranja. Port
osluškuje BPDU poruke da bi se uverio da u mreži nema petlji pre nego što prosledi
frejmove podataka. Port u stanju osluškivanja se priprema da prosledi frejmove podataka
bez popunjavanja tabele MAC adresa
3. Učenje(Learning) – Port sviča osluškuje BPDU poruke i uči sve putanje u komutiranoj
mreži. Port u stanju učenja popunjava tabelu MAC adresa, ali ne prosleĎuje frejmove
podataka. Traje 15 sekundi
4. Prosleđivanje(Forwarding) – Port šalje i prima sve frejmove podataka. Ako je port još uvek
namenski ili osnovni port na kraju stanja učenja, ulazi u ovo stanje
55
5. Neaktivnost(Disabled) – Port u stanju neaktivnosti(administrativno deaktiviran) ne
učestvuje u prosleĎivanju frejmova. Port u stanju neaktivnosti je praktično neoperativan
Prvo se biraju rut portovi (RP). Svaki svič, koji nije rut, mora imati tačno jedan rut
port i to će biti onaj koji ima najmanju cenu putanje (eng. path cost) do rut bridža. Cena
putanje je zbir vrednosti cena svih linkova na putanji do rut bridža. Cena porta se računa
prema propusnom opsegu. Svaki RP se stavlja u stanje prosleĎivanja. Dalje, odreĎuju se namenski
(eng. designated) portovi (DP) na svakom segmentu, to je port koji oglašava najmanju cenu do rut
bridža. Ovim portovima je dopušteno prosleĎivanje. Svi preostali portovi će biti blokirani
portovi (BP) i stavljaju se u stanje blokiranja. U Spanning-Tree mreži postoji jedan rut bridž, po
jedan rut port za svaki svič koji nije rut i po jedan namenski port za svaki segment. Portovi se
kreću kroz sledeća stanja: inicijalizacija – blokiranje, blokiranje – osluškivanje (ili
neaktivnost), osluškivanje – učenje (ili neaktivnost), učenje – prosleĎivanje (ili neaktivnost),
prosleĎivanje – neaktivnost, neaktivnost – blokiranje . Portovi su najčešće u stanju
blokiranja ili u stanju prosleĎivanja. Ukoliko u mreži doĎe do promena zbog otkaza, ili iz
nekog drugog razloga, portovi na svičevima će biti u stanju osluškivanja i učenja dok se ne
odrede najbolje putanje do rut bridža. Za STP rekalkulaciju i konvergenciju iz stanja
blokiranja u stanje prosleĎivanja obično je potrebno 50 sekundi. Vreme za detekciju
gubitka BPDU i prelaska iz stanja blokiranja u stanje osluškivanja (maximum-aging time) – 20
sekundi, kašnjenje prosleĎivanja (forward delay) pri prelasku iz stanja osluškivanja u stanje
učenja – 15 sekundi i pri prelasku iz stanja učenja u stanje prosleĎivanja – 15 sekundi.
9.5 Konfiguracija Spanning Tree protokola Distributivni sviĉ DSW1F0B1
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard enable (konfiguriše se na interfejsu)
spanning-tree vlan 100-199 priority 0
Distributivni sviĉ DSW2F0B1
spanning-tree mode rapid-pvst
spanning-tree portfast default
56
spanning-tree bpduguard enable
spanning-tree vlan 100-199 priority 4096
Distributivni sviĉ DSW1F0B2
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard enable
spanning-tree vlan 200-299 priority 0
Distributivni sviĉ DSW2F0B2
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard enable
spanning-tree vlan 200-299 priority 4096
Core sviĉ CoreSW1
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard enable
spanning-tree vlan 31-39 priority 0
Core sviĉ CoreSW2
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard enable
spanning-tree vlan 31-39 priority 4096
DMZ sviĉ
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard enable
spanning-tree vlan 401,402,3345 priority 0
Da bismo potvrdili prioritet bridge-a na sviču, koristimo komandu show spanning-tree. Na slici
9.5.1, prioritet sviča je podešen na 32769. Kao primer uzet je layer 3 svič iz druge zgrade.
57
Slika 9.5.1 Delić prikaza komande show spanning-tree na distributivnom sviču druge zgrade
9.6 Prednosti i nedostaci STP-a
Protokol STP je kreirao logičku topologiju stabla i na taj način sprečio pojavu petlji u
mreži i omogućio da mreža funkcioniše. Topologija stabla se kreira blokiranjem odreĎenih
portova, što znači da postoje neaktivne veze. Te veze služe kao rezerva i mogu se aktivirati u
slučaju da doĎe do otkaza ili promene topologije mreže i to samo ukoliko se STP
rekalkulacijom portovi koji su na tim vezama označe kao rut ili namenski. Znači, postoje pasivni
elementi u mreži koji možda nikada neće biti aktivirani. Sa stanovišta iskorišćenosti mreže,
bilo bi dobro da su svi resursi mreže aktivni. Aktiviranjem svih resursa mreže (linkova) izvršiće
58
se raspodela saobraćaja (eng. load balancing). Ukoliko doĎe do otkaza, redudantne veze će
nastaviti da vrše svoju funkciju i cela mreža će i dalje funkcionisati. Standard definiše
jednu STP instancu za celu mrežu. STP protokol ne uzima u obzir VLAN mreže, pa
je logička topologija koju pravi STP jedinstvena za sve kreirane VLAN mreže. Pošto se
koristi samo jedna STP instanca, to se samo za nju na svake 2 sekunde šalju BPDU poruke, bez
obzira koliko ima VLAN mreža, što omogućava optimalno korišćenje procesora.
9.7 Česte Layer 2 Pretnje i kako ih ublažiti
Najbolji postupci za obezbeĎivanje switch-eva:
Iskoristiti neiskorišćeni VLAN kao native VLAN za sve trunk-ove
Native vlan koji je iskorišćen kao trunk bi trebalo da se koristi samo za trunk, a ne i za
access port
Izbegavati korišćenje native VLAN 1 , jer je on po defoltu native
Konfigurisati access portove da korisnici ne bi koristili opciju pregovaraju trunk i iskluce
opciju za DTP (Dynamic Trunking Protocol)
Ograničiti broj MAC adresa za koje može da sazna neki port, korišćenjem port security
Korišćenjem BPDU Guard I Root Guard možemo da zaštitimo STP od manipulacije
korisnika ili nepoznatih ureĎaja
Isklučiti CDP (Cisco Discovery Protocol) na portovima koji gledaju na nepoznate ili
nepouzdane mreže
CDP radi na layer 2 i može da doprinese informacije napadačima koji bi te informacije
iskoristili za loše svrhe
Na novom sviču, isključiti sve portove i zadati ih na VLAN koji se ne koristi ni za šta drugo
Onda uključiti portove i dodeliti ih odreĎenim VLAN-ovima po potrebi
59
10. AGREGIRANJE VEZA - ETHER CHANNEL
10.1 Osnove EtherChannel tehnologije i njene prednosti
Savremenim računarskim mrežama nikad dosta propusnog opsega. Cisco je osmislio način za
skaliranje propusnog opsega veze tako što omogućava agregiranje, odnosno grupisanje, paralelnih
veza i tu tehnologiju nazvao EtherChannel. Od 2 do8 veza tipa FastEthernet(FE), Gigabit Ethernet
(GE) ili 10-Gigabit Ethernet (10GE) se grupišu u jednu logičku vezu, odn. FastEthernetChannel
(FEC), Gigabit EthernetChannel (GEC) ili 10-GigabitEthernetChannel (10GEC). Postavljanjem IP
adrese na Port Channel interface pravi se EtherChannel trećeg sloja. Samo grupisanje interface-a
pravi Layer 2 EtherChannel, i logički interface je automatski napravljen. U projektu EtherChannel
se koristi na linkovima izmeĎu core svičeva odnosno L3 svičeva, kao i na linkovima koji povezuju
core i sloj distribucije. Interfejsi izmeĎu ovih svičeva su postavljeni u Etherchannel mod rada čime
se obezbeĎuje ravnopravna raspodela saobraćaja u mreži i čime se povećava propusni opseg izmeĎu
svičeva. Etherchannel interfejsi rade u trunk modu kako bi komunikacija izmeĎu različitih VLAN-
ova bila moguća. Ono što je bitno za EtherChannel je da budu u istom duplexu, da imaju istu
brzinu, moraju da budu u trunk mode-u kao što je napomenuto, moraju da rutiraju za sve virtuelne
interfejse. Zadamo channel grup, ip adresu, i ako pukne jedan link, ostali će da nastave da rade po
velikoj brzini. Kada je konfigurisan EtherChannel, dobijeni virtualni interfejs se naziva port
channel. Fizički interfejsi se zajedno povezuju u port channel interfejs. EtherChannel tehnologija
ima mnoge prednosti:
Većina konfiguracije može se izvršiti na EtherChannel interfejsu umesto na svakom
pojedinačnom portu, čime se obezbeĎuje konzistentnost konfiguracije u svim vezama
Balansiranje opterećenja (Load Balancing) odvija se izmeĎu veza koje su deo istog
EtherChannel-a. U zavisnosti od hardverske platforme, može se implementirati jedna ili
više metoda za balansiranja opterećenja saobraćaja.
EtherChannel stvara agregaciju koja se smatra jednom logičkom vezom. Kada postoji više
paketa izmeĎu dva sviča, STP može blokirati jedan od paketa da spreči petlje u mreži. Kada
STP blokira jednu od redundantnih veza, blokira ceo EtherChannel. Ovo blokira sve portove
koji pripadaju toj EtherChannel liniji. Kada postoji samo jedna veza EtherChannel, sve
fizičke veze u EtherChannel-u su aktivne jer STP vidi samo jednu (logičku) vezu.
EtherChannel obezbeĎuje redundantnost jer se globalna veza vidi kao jedna logička veza.
Osim toga, gubitak jedne fizičke veze unutar kanala ne stvara promenu topologije, stoga se
ne zahteva ponovno izračunavanje spanning-tree protokola. Pod pretpostavkom da postoji
60
najmanje jedna fizička veza; EtherChannel ostaje funkcionalan, čak i ako se njegova ukupna
propusnost smanjuje zbog izgubljene veze unutar EtherChannel-a.
Na slici 10.1.1 prikazano je grupisanje više fizičkih portova u jednu ili više logičkih
EtherChannel linkova.
Slika 10.1.1 EtherChannel tehnologija
10.2 Port Aggregation Protocol PAgP
PAgp je Cisvov vlasnički protocol, što znači da se može konfigurisati samo na cisco
ureĎajima. Kada je EtherChannel veza konfigurisana koristeći PAgP, paketi se šalju izmeĎu
portova sa mogućnošću EtherChannel-a, da pregovaraju o formiranju kanala. Kada PAgP
identifikuje uparene Ethernet veze, on grupiše veze u EtherChannel. EtherChannel se zatim dodaje
na stablo koje se prostire kao jedan port. Kada je omogućen, PAgP takoĎe upravlja EtherChannel-
om. PAgP paketi se šalju svakih 30 sekundi. on proverava konzistentnost konfiguracije i upravlja
linkovima koji su dodati u mrežu i kvarovima izmeĎu dva sviča. Omogućava da kada se kreira
EtherChannel, svi portovi imaju istu vrstu konfiguracije. U EtherChannel-u, obavezno je da svi
61
portovi imaju istu brzinu, dupleks, i VLAN informacije. Svaka modifikacija porta nakon kreiranja
kanala takoĎe menja sve ostale channel portove.
Na slici 10.2.1 prikazani su režimi PAgP protokola.
Slika 10.2.1 Režimi PAgP protokola
Ciscov patentirani Port Aggregation Protocol (PAgP) dinamički pregovara formiranjem kanala.
Postoje 3 PAgP režima kao što možemo da vidimo na slici:
1. On (ukljuĉeno) - Bezuslovni kanal, port je deo grupe bez korišćenja PAgP
pregovaranja. Interfejsi konfigurisani u on modu ne razmjenjuju PAgP pakete.
2. Auto - Pasivno osluškivanje i čekanje na poziv za pregovaranje. Ovaj PAgP režim postavlja
interfejs u pasivno stanje pregovaranja u kojem interfejs odgovara na PAgP pakete koje
primi, ali ne pokreće pregovore o PAgP-u.
3. Desirable – Aktivno pregovaranje sa drugom stranom veze. Kanal se formira ako je druga
strana podešena na Auto ili Desirable.
Režimi moraju biti kompatibilni na svakoj strani. Ako se jedna strana konfiguriše da bude u auto
režimu, ona se nalazi u pasivnom stanju, čeka poziv od druge strane za pregovaranje. Ako je i druga
62
strana podešena na auto režim, pregovori se nikada ne počinju i EtherChannel se ne formira. Ako su
svi režimi onemogućeni koristeći komandu no, ili ako ni jedan režim nije konfigurisan, onda je
EtherChannel onemogućen.
10.3 Link Aggregation Control Protocol – LACP
Standrdna nevlasnička verzija koja radi istu stvar je Link Aggregation Control Protocol(LACP).
LACP je deo IEEE specifikacije (802.3ad) koji omogućava povezivanje nekoliko fizičkih portova
kako bi formirali jedan logički kanal. Ovim protokolom se povećava raspoloživost sistema, jer se
omogućava da se više klijenata poveže maksimalnom brzinom mreže. U protivnom, svi klijenti bi
delili brzinu jednog linka. On izvodi funkciju sličnu PAgP-u sa Cisco EtherChannel-om. Pošto je
LACP IEEE standard, može se koristiti za olakšanje EtherChannel u multivendorskim okruženjima.
Na Cisco ureĎajima podržani su oba protokola. LACP je prvobitno bio definisan kao IEEE
802.3ad. MeĎutim, LACP je sada definisan u novijem IEEE 802.1AX standardu za lokalne i
metropolitan mreže. LACP pruža iste pogodnosti pregovaranja, kao i PAgP. LACP pomaže u
stvaranju EtherChannel veze, otkrivanjem konfiguracije svake strane i obezbeĎivanjem
kompatibilnosti tako da se link EtherChannel može omogućiti kada je potrebno. Na slici 10.3.1 su
prikazani režimi za LACP.
Slika 10.3.1 Režimi LACP
63
I ovde postoje 3 LACP režima kao što možemo da vidimo na slici:
1. ON - Ovaj režim primorava interfejs da se kanališe bez LACP-a. Interfejsi konfigurisani u
on modu ne razmjenjuju LACP pakete.
2. LACP active - Ovaj LACP mod postavlja port u aktivno stanje pregovaranja. U ovom
stanju, port pokreće pregovore sa drugim portovima slanjem LACP paketa
3. LACP passive - Ovaj LACP mod postavlja port u pasivno stanje pregovaranja. U ovom
stanju, port odgovara na LACP pakete koje primi, ali ne pokreće LACP pregovore o
paketima.
Kao i kod PAgP, režimi moraju biti kompatibilni sa obe strane za povezivanje EtherChannel
veze. Režim ON se ponavlja, jer bezuslovno stvara EtherChannel konfiguraciju bez dinamičkih
pregovora PAgP ili LACP. LACP dozvoljava osam aktivnih veza, kao i osam rezervnih veza.
Standby veza će postati aktivna, ako jedna od trenutnih aktivnih veza ne uspe.
10.4 Konfiguracija EtherChannel
Kao što je napomenuto, u projektu je implementirana EtherChannel veza izmeĎu distributivnih i
core svičeva u bolnici. To nam omogućava da 8 različitih kablova može da bude kao jedan kabl ,
zbog dosta većeg protoka. U nastavku je prikazana konfiguracija koja je uraĎena na svičevima.
Tabela 10.4.1 Konfiguracija distributivnih svičeva
Opis IP adresni blok Etherchannel
distributivni
Etherchannel core
Veza DSW1F0B1 – CoreSW1 10.0.254.0/30 11 11
Veza DSW2F0B1 – CoreSW1 10.0.254.4/30 11 12
Veza DSW1F0B2– CoreSW1 10.0.254.8/30 11 21
Veza DSW2F0B2– CoreSW1 10.0.254.12/30 11 22
Veza DSW1F0B1 – CoreSW2 10.0.254.16/30 12 11
Veza DSW2F0B1 – CoreSW2 10.0.254.20/30 12 12
Veza DSW1F0B2– CoreSW2 10.0.254.24/30 12 21
Veza DSW2F0B2– CoreSW2 10.0.254.28/30 12 22
Sledeće dve tabele 10.4.2 i 10.4.3 pokazuju konfiguraciju distributivnih svičeva.
64
Tabele 10.4.2 Konfiguracija distributivnih svičeva u zgradi 1.
DSW1F0B1
interface range g1/0/23-24
channel-group 1 mode active
description ka_dissw12
interface port-channel1
switchport mode trunk
switchport nonegotiate
description ka_DSW2F0B1
interface ran gi1/0/19-20
no switchport
channel-group 11 mode active
interface port-channel 11
ip address 10.0.254.2 255.255.255.252
description veza_DSW1F0B1-CoreSW1
interface ran gi1/0/21-22
no switchport
channel-group 12 mode active
interface port-channel 12
ip address 10.0.254.18 255.255.255.252
description veza_ DSW1F0B1-CoreSW2
delay 20
DSW2F0B1
interface ran g1/0/23-24
channel-group 1 mode active
description ka_dissw11
interface port-channel1
switchport mode trunk
switchport nonegotiate
description ka_DSW1F0B1
interface ran gi1/0/19-20
no switchport
channel-group 11 mode active
interface port-channel 11
ip address 10.0.254.6 255.255.255.252
description veza_DSW2F0B1-CoreSW1
interface ran gi1/0/21-22
no switchport
channel-group 12 mode active
interface port-channel 12
ip address 10.0.254.22 255.255.255.252
description veza_ DSW2F0B1-CoreSW2
65
Tabele 10.4.3 Konfiguracija distributivnih svičeva u zgradi 2.
DSW1F0B2
interface ran g1/0/23-24
channel-group 1 mode active
description ka_DSW2F0B2
interface port-channel1
switchport mode trunk
switchport nonegotiate
description ka_DSW2F0B2
interface ran gi1/0/19-20
no switchport
channel-group 11 mode active
interface port-channel 11
ip address 10.0.254.10 255.255.255.252
description veza_DSW1F0B2-CoreSW1
interface ran gi1/0/21-22
no switchport
channel-group 12 mode active
interface port-channel 12
ip address 10.0.254.26 255.255.255.252
description veza_DSW1F0B2-CoreSW2
delay 20
DSW2F0B2
interface ran g1/0/23-24
channel-group 1 mode active
description ka_DSW1F0B2
interface port-channel1
switchport mode trunk
switchport nonegotiate
description ka_DSW1F0B2
interface loopback 0
ip address 10.0.255.22 255.255.255.255
interface ran gi1/0/19-20
no switchport
channel-group 11 mode active
interface port-channel 11
ip address 10.0.254.14 255.255.255.252
description veza_ DSW2F0B2-CoreSW1
interface ran gi1/0/21-22
no switchport
channel-group 12 mode active
interface port-channel 12
ip address 10.0.254.30 255.255.255.252
description veza_DSW2F0B2-CoreSW2
delay 20
66
Tabele 10.4.4 Konfiguracija core svičeva
CoreSW1
interface ran g1/0/23-24
channel-group 1 mode active
description ka_CoreSW2
interface port-channel1
switchport mode trunk
switchport nonegotiate
description ka_CoreSW2
interface gi1/0/21
switchport mode trunk
switchport nonegotiate
switchport trunk allowed vlan 39
description ka_dmzsw
interface range gi1/0/1-2
no switchport
channel-group 11 mode active
interface port-channel 11
ip address 10.0.254.1 255.255.255.252
description veza_CoreSW1_DSW1F0B1
interface range gi1/0/3-4
no switchport
channel-group 12 mode active
interface port-channel 12
ip address 10.0.254.5 255.255.255.252
description veza_CoreSW1_DSW2F0B1
interface range gi1/0/5-6
no switchport
channel-group 21 mode active
interface port-channel 21
ip address 10.0.254.9 255.255.255.252
description veza_CoreSW1_DSW1F0B2
interface range gi1/0/7-8
no switchport
channel-group 22 mode active
interface port-channel 22
ip address 10.0.254.13 255.255.255.252
description veza_CoreSW1_DSW2F0B2
CoreSW2
interface ran g1/0/23-24
channel-group 1 mode active
description ka_CoreSW1
interface port-channel1
switchport mode trunk
switchport nonegotiate
description ka_ CoreSW1
interface gi1/0/21
switchport mode trunk
switchport nonegotiate
switchport trunk allowed vlan 39
description ka_dmzsw
interface range gi1/0/1-2
no switchport
channel-group 11 mode active
interface port-channel 11
ip address 10.0.254.17 255.255.255.252
description veza_CoreSW2_DSW1F0B1
delay 20
interface range gi1/0/3-4
no switchport
channel-group 12 mode active
interface port-channel 12
ip address 10.0.254.21 255.255.255.252
description veza_CoreSW2_DSW2F0B1
delay 20
interface range gi1/0/5-6
no switchport
channel-group 21 mode active
interface port-channel 21
ip address 10.0.254.25 255.255.255.252
description veza_CoreSW2_DSW1F0B2
delay 20
interface range gi1/0/7-8
no switchport
channel-group 22 mode active
interface port-channel 22
ip address 10.0.254.29 255.255.255.252
description veza_CoreSW2_DSW2F0B2
delay 20
67
10.5 Provera EtherChannel-a
Nakon što smo iskonfigurisali EtherChannel na layer 3 svičevima, i u jednoj i u drugoj zgradi, red
bi bio da i proverimo tu konfiguraciju da li je sve uspešno konfigurisano kako treba. Postoji
nekoliko komandi za proveru EtherChannel tehnologije. Kao primer uneta je komanda na Core
sviču – CoreSW1.Ova komanda prikazuje opšti status interfejsa na kom je konfigurisan port
channel.
Na slici 10.5.1 prikazan je rezultat komande show interfaces port-channel 11
68
Kada na istom ureĎaju konfigurišemo nekoliko interfejsa kao port channel, onda koristimo
komandu show etherchannel summary da jednostavno prikaže jednu liniju informacija po kanalu
porta. Na slici 10.5.2 vidimo da Core svič ima 5 EtherChannel grupa konfigurisanih i da se koristi
LACP protocol.
Slika 10.5.2 Primer komande show etherchannel summary
69
11. LAYER 3 REDUDANCY
Jedan od načina sprečavanja jedne tačke neuspeha na default gateway je implementacija virtuelnog
rutera. Da bi sproveli ovu vrstu redundantnosti rutera ili Layer 3 svičeva, više rutera je
konfigurisano da rade zajedno, kako bi predstavljali iluziju jednog rutera tj.layer 3 sviča računarima
na LAN-u, kao što je prikazano na slici. Deljenjem IP adrese i MAC adrese, dva ili više rutera
mogu delovati kao jedan virtualni ruter.
Slika 11.1 Redudansa na 3.sloju
IPv4 adresa virtuelnog rutera je konfigurisana kao default gateway (podrazumevani mrežni prolaz)
za radne stanice na odreĎenom IPv4 segmentu. Kada se frejmovi šalju sa računara na default
gateway, računari tada koriste ARP za rešavanje MAC adrese koja je povezana sa IPv4 adresom
default gateway-a. ARP je jedan od bitnijih protokola za uspešno i nesmetano funkcionisanje
mreže. Kao što je rečeno- služi za saznavanje MAC adrese na osnovu IP adrese. U složenoj
računarskoj mreži, dovoljno je paket poslati do najbližeg rutera ili default gateway-a . Oni su
odgovorni za dalju isporuku paketa. Protokol redudanse obezbeĎuje mehanizam za odreĎivanje
koji layer 3 ureĎaj treba da preuzme aktivnu ulogu u prosleĎivanju saobraćaja, a koji da ostane u
stanju pripravnosti.
70
Postavljanjem podrazumevanog mrežnog prolaza (gateway), on postaje jedinstveno mesto
otkaza (single point of failure). Ukoliko gateway prestane da radi, paketi se ne mogu isporučiti
dalje od lokalne podmreže. Ne postoji način da se dinamički dobije adresa rezervnog mrežnog
prolaza.
Proxy Address Resolution Protocol je jedan od načina da krajnji korisnici dinamički pronaĎu
mrežne prolaze (gateways), ali nije preporučljiv za mreže od kojih se zahteva velika dostupnost
(highly-available environment). Sa Proxy ARP:
Računari upućuju ARP zahteve u vezi svih odredišta, čak i za udaljeni pristup (remote).
Ruteri šalju svoje MAC adrese kao odgovor.
Problem: Spor oporavak od otkaza jer je potrebno minut da ARP zahtev zastari
Umesto da računari sami biraju novi gateway, Layer 3 redundancy protocol dozvoljava da 2 ili više
rutera dele MAC adresu. Ako primarni ruter prstane da radi, rezervni ruter počinje da obaraĎuje
saobraćaj upućen na tu MAC adresu. Ovaj odeljak se odnosi na rutere, ali i Layer 3 svičevi mogu
primeniti Layer 3 redundancy.
12. HOT STANDBY ROUTER PROTOCOL (HSRP)
12.1 Uvod u HSRP protocol i zašto je implementiran u ovom projektu
Hot Standby Router Protocol (HSRP) je protokol koji je Cisco dizajnirao sa ciljem da se
stvori redudansa default gateway-a bez dodatne konfiguracije na krajnjim ureĎajima. Ruteri koji su
konfigurisani sa HSRP-om prezentuju se kao jedan virtuelni default gateway ureĎajima u mreži
(kao što je prikazano na slici 12.1). Aktivni ruter će delovati kao default gateway za krajnje ureĎaje.
Drugi ruter će postati standby ruter odnosno ruter u stanju pripravnosti. Ako se desi da aktivni ruter
padne, standby ruter automatski preuzima ulogu aktivnog rutera - Preuzeće ulogu default gateway-a
za krajnje ureĎaje. Adresa default gateway-a je virtualna IP i MAC adresa koju dele oba HSRP
rutera. Ono što je bitno je da ovo ne zahteva nikakve izmene u konfiguraciji na krajnjim ureĎajima.
Jedan od rutera se bira za primarni ili aktivni HSRP ruter, drugi ruter se bira za HSRP ruter u stanju
pripravnsoti (standby), a ostali su u stanju osluškivanja. Ruteri u pravilnim vremenskim razmacima
razmenjuju HSRP poruke tako da znaju za postojanje drugih rutera i da li aktivan ruter radi.
Prilikom otkaza aktivnog rutera, ruter u stanju pripravnosti počinje da odgovara na poruke poslate
na IP i MAC adresu virtualnog rutera. Čitav proces se odvija neprimetno za krajnje korisnike i oni
nastavljaju da rade bez prekida.
71
Slika 12.1 Topologija HSRP protokola
Uloga aktivnog i standby rutera se odreĎuje tokom HSRP election procesa.Po default-u ruter sa
numerički najvećom IP adresom se bira za aktivni ruter. Moguće je dodatnim podešavanjima uticati
na to koji će ruter postati aktivni ruter.Uvek je bolje da znamo kako će se mreža ponašati, da bismo
mogli da predupremo eventualne probleme, ili da brzo i efikasno identifikujemo nastali kvar.
12.2 HSRP Priority i Preemption
HSRP prioritet se koristi kako bi odredili aktivni ruter. Ruter sa najvećim HSRP prioritetom
postaje aktivni ruter. Podrazumevani HSRP prioritet je 100. Ako su prioriteti dva rutera jednaki,
ruter sa numerički najvećom IPv4 adresom se bira za aktivni ruter. Kako bi konfigurisali ruter da
bude aktivni ruter koristimo komandu standby priority. Raspon HSRP prioriteta može biti od 0 do
255.
HSRP Preemption - po default-u, nakon što ruter postane aktivni ruter, on će aktivan ostati čak i
ako se priključi novi ruter sa većim HSRP prioritetom u mrežu. Da bi ponovo pokrenuli proces
biranja HSRP aktivnog rutera potrebno je da unesemo standby preempt komandu. Ova komanda
omogućava ruteru da ponovo pokrene proces izbora aktivnog rutera. Ako je ova komanda uključena
i ruter sa većim HSRP prioritetom se priključi na mrežu, on će preuzeti ulogu aktivnog rutera.
72
12.3 HSRP stanja
Postoje 6 HSRP stanja koja se odvijaju na layer 3 ureĎaju, to su:
1. Initial - U ovo stanje se ulazi tokom konfiguracione promene ili kada interfejs prvi put
postane dostupan.
2. Learn - Ruter nije odredio virtualnu IP adresu i nije još uvek video hello poruku od aktivnog
rutera. U ovom stanju ruter čeka da eventualno dobije poruku od aktivnog rutera.
3. Listen - Ruter zna virtualnu IP adresu, ali nije još uvek aktivan ni standby ruter. Čeka hello
poruke od tih rutera.
4. Speak - Ruter šalje periodične hello poruke i aktivno učestvuje u odabiru aktivnog i/ili
standby rutera.
5. Standby - Ruter je kandidat da postane naredni aktivni ruter i šalje periodične hello poruke.
6. Active - Ruter trenutno prosleĎuje pakete koji su poslati na grupnu virtualnu MAC adresu.
Šalje periodične hello poruke.
Aktivni i standby HSRP ruteri šalju hello pakete na HSRP grupnu multikast adresu svake 3
sekunde, po default-u. Standby ruter će postati aktivan ako ne dobije hello poruku od aktivnog
rutera u intervalu od 10 sekundi. Moguće je ove intervale smanjiti, kako bi se ubrzao proces
prebacivanja na novi aktivni ruter, meĎutim, kako bi se izbeglo preopterećivanje CPU potrošnje i
nepotrebne promene standby stanja, preporuka je da se hello tajmer ne postavlja na manje od 1
sekunde ili hold tajmer na manje od 4 sekunde.
12.4 HSRP komande
Podešavanje HSRP počinje zadavanjem standby group-number ip virtual-IP-address
komande u interface configuration režimu. Ruteri u istoj HSRP grupi moraju pripadati istoj
podmreži, VLANu. Komanda se zadaje na interface-u koji povezuje tu podmrežu ili VLAN.
HSRP se može dodatno podesiti sa opcijama: Priority, Preempt, Timers, i
InterfaceTracking
1. Router(config-if)# standby version 2 - Konfiguriše HSRP da koristi verziju 2. HSRP verzija
1 je podešena po default-u.
2. Router(config-if)# standby [group-number] ip-address - Konfiguriše HSRP virtualnu IP
adresu koju će koristiti data grupa. Ako grupa nije konfigurisana, virtualna IP adresa će biti
dodeljena grupi 0.
73
3. Router(config-if)# standby [group-number] priority [priority-value] - Konfiguriše željeni
aktivni ruter sa prioritetom većim od defaultnog prioriteta 100. Raspon je od 0 do 255. Ako
prioritet nije konfigurisan, ili je jednak, ruter sa numerički većom IP adresom ima prioritet.
4. Router(config-if)# standby [group-number] preempt - Konfiguriše ruter da ponovo pokrene
HSRP proces izbora aktivnog rutera.
12.5 HSRP Verifikacija
Prva i osnovna verifikacija koju koristimo uvek da vidimo trenutnu celu konfiguraciju koja je
konfigurisana je show running-config. Ona nam pokazuje i deo gde smo HSRP protokol
konfigurisali, na kojim tačno VLAN-ovima, koje IPv4 adrese su korišćene, a takoĎe u runing
konfiguraciji na svakom VLAN- u konfigurisane su i IP helper adrese koje lakše pomažu ureĎajima
da pronaĎu DHCP, čak i ako se ne nalaze direktno u mreži. Mi iz prve zgrade gde se nalazi opšta
bolnica možemo da pošaljemo ip helper u drugu zgradu gde nije, i da prikupimo tu adresu koja nam
treba. Na slici 12.5.2 kao primer uzet je distributivni svič 1 u prvoj zgradi opšte bolnice, i vidi se
delić konfiguracije HSRP protokola. Postoje i druge komande uz pomoć kojih možemo da vidimo
rad HSRP protokola. Da bi verifikovali da je HSRP konfigurisan ispravno, koristimo komandu
show standby. Na slici 12.5.3 prikazan je primer komande koji je uraĎen na distributivnom layer 3
sviču. TakoĎe možemo koristiti i komandu show standby brief. Na slici ispod 12.5.1 uraĎena je ta
komanda.
Slika 12.5.1 Prikaz rezultata komande show standby brief
74
Slika 12.5.2 Prikaz running konfiguracije gde možemo videti da je konfigurisan HSRP
75
Slika 12.5.3 prikzan je deo rezultata komande show standby
76
13. DINAMIĈKO RUTIRANJE
13.1 Osnove protokola rutiranja
Jedno od osnovnih zaduženja mrežnog sloja, odnosno ureĎaja i protokola koji na njemu
funkcionišu, jeste odreĎivanje rute kojom će podaci putovati do konačnog odredišta. Unutar jedne
mreže za isporuku paketa podataka odredišnoj adresi zaduženi su protokoli sloja veze. Pakete
iz jedne mreže u drugu preusmeravaju ruteri - ureĎaji koji imaju ulogu mrežnih prolaza.
Podrazumevana uloga rutera jeste povezivanje dve ili više računarskih mreža kroz preusmeravanje
paketa podataka. Proces u kome ruteri preusmeravaju pakete ka posrednim mrežama ili konačnom
odredištu naziva se rutiranje. Tabela rutiranja čini osnovu rada rutera i samog procesa rutiranja. U
tabeli rutiranja nalaze se informacije na osnovu kojih ruter odreĎuje kuda treba poslati odreĎeni
paket. Osnovna informacija koju nosi svaki od zapisa u tabeli rutiranja jeste do koje se odredišne
mreže može doći prosleĎivanjem paketa odreĎenom mrežnom prolazu. Metrika rute odreĎuje
prioritet rute u odnosu na ostale definisane rute kojima se može doći do odredišta. Njena vrednost
se može zadati statički – od strane administratora, a može se i dinamički izračunati - korišćenjem
različitih parametara komunikacionih kanala: broj skokova - broj rutera koji posreduju u
komunikaciji, propusna moć, opterećenost, kašnjenje, i sl. Dinamičko odreĎivanje metrike
rute vrše protokoli za dinamičko rutiranje, a administrator može da zada formule u koje će se
uključiti pomenuti parametri, u zavisnosti od konkretne situacije. Formiranje ispravne tabele
rutiranja jedan je od glavnih zadataka koduspostavljanja rutiranja u računarskim mrežama.
Zapisi tabele rutiranja sedodaju na tri osnovna načina:
1. Direktnim povezivanjem rutera sa odreĎenom računarskom mrežom,
2. Statičkim dodavanjem ruta od strane administratora
3. Dinamičkim utvrĎivanjem mogućih ruta korišćenjem protokola za dinamičko
rutiranje
Statičko rutiranje podrazumeva ručni unos zapisa tabele rutiranja od strane administratora mreže.
Ovakav pristup je efikasan kod manjih i jednostavnijih računarskih mreža gde nema potrebe
za velikim brojem ruta i njihovim čestim izmenama. TakoĎe, statički unete rute je teško zaobići što
ih čini pogodnim i sa bezbednosnog aspekta. Sa druge strane, statičko definisanje tabele
rutiranja je neefikasno kod složenih računarskih mreža koje imaju veliki broj mogućih ruta i kod
kojih se rute (ili njihova metrika) često menjaju.
77
Dinamičko rutiranje podrazumeva korišćenje odgovarajućih protokola. Postoji više različitih
protokola za dinamičko rutiranje, ali je njihova osnovna uloga zajednička: razmena informacija
izmeĎu rutera u cilju formiranja tabela rutiranja na osnovu kojih će se podaci izmeĎu različitih
mreža prosleĎivati korišćenjem optimalnih ruta. Za korišćenje dinamičkog rutiranja od
administratora se očekuje da na ruterima uključi odreĎeni protokol za dinamičko rutiranje i zada
parametre njegovog korišćenja. U skladu sa tim, vreme potrebno za podešavanje rutiranja u
složenijim mrežama, korišćenjem dinamičkih protokola, može biti daleko kraće u odnosu na
statički unos ruta, ali se od administratora zahteva viši nivo znanja. Protokol rutiranja je jedna
od prvih stvari na koju se pomisli kad se razmišlja o postavljanju računarske mreže.
Protokoli rutiranja ne služe za rutiranje poruka, već služe da ruteri nauče kako izgleda topologija
mreže i kako da naprave putanje bez petlji. Zadatak rutera je da prosledi paket od izvorišta do
odredišne adrese uz što manje zadržavanja i odbacivanja paketa. Protokol rutiranja mu mnogo
pomaže u tome. U ovom projektu implementiran je EIGRP 9(unapreĎeni interni protokol rutiranja
mrežnog prolaza). On je uraĎen zbog mnogo prednosti koje poseduje o kojima ću malo kasnije
govoriti, opisaću kako radi, sa posebnim fokusom na njegov jedinstveni način otkrivanja,
odabiranja i oglašavanja ruta. Stariji protokoli za rutiranje (RIP10
, IGRP11
) su spori jer periodično
šalju kompletne kopije svoje baze i zauzimaju značajan deo propusnog opsega. Savremeni protokoli
za rutiranje šalju ažurirane podatke samo kad se stanje promeni, dok pozdravne poruke
(hello messagges) šalju često i pomoću njih se brzo može uočiti promena stanja u mreži.
13.2 Kriterijumi protokola za rutiranje
Postoji više kriterijuma za klasifikaciju protokola za rutiranje. Stariji protokoli za rutiranje razvijani
su u periodu kada su još uvek bile u upotrebi klase mrežnih adresa. Sa tog aspekta se protokoli za
rutiranje dele na one koji su zasnovani na klasama i one koji podržavaju podmrežavanje. Danas se
u praksi sve reĎe može sresti primena protokola za rutiranje koji svoj rad zasnivaju na klasama
mrežnih adresa, a kao primer za njih mogu se uzeti prva verzija RIP protokola, EGP12
protokol i
starije verzije BGP13
protokola. Protokoli zasnovani na klasama u okviru poruka
razmenjuju samo adresu mreže, odnosno ne razmenjuju mrežnu masku. Mrežnu masku
primalac izračunava na osnovu klase u koju adresa mreže spada.
9 Enhanced Interior Gateway Routing Protocol (EIGRP)
10 Routing Information Protocol (RIP)
11 Interior Gateway Routing Protocol (IGRP)
12 Exterior Gateway Protocol EGP (EGP)
13 Border Gateway Protocol (BGP)
78
Protokoli koji podržavaju podmrežavanje u porukama pored adrese mreže šalju i mrežnu masku. U
tu grupu spadaju druga verzija RIP protokola, OSPF, IS-IS i drugi. Sa aspekta veličine i tipa mreže
za koju su namenjeni protokoli za rutiranje dele se na interne - Interior Gateway Protocol - i
eksterne - Exterior Gateway Protocol. S obzirom na veličinu Internet mreže utvrĎivanje njene
kompletne topologije bi bilo nemoguće, čak i putem korišćenja protokola za rutiranje. Iz tog razloga
je ova mreža podeljena na autonomne sisteme. Autonomni sistem (engl.Autonomus System)
predstavlja skup mreža koje koriste javne adrese Internet protokola, a čije je administriranje
povereno jednoj organizaciji. Svaki autonomni sistem je od strane organizacije IANA14
označen
jedinstvenim brojem. U interne protokole za rutiranje spadaju RIP, OSPF, IS-IS i više drugih. Za
potrebe rutiranja izmeĎu autonomnih sistema ranije je korišćen EGP koji je kasnije zamenjen
trenutno aktuelnim BGP protokolom. Jedna od najvažnijih kategorizacija protokola za rutiranje
odnosi se na tip informacija koje oni razmenjuju, odnosno na koji način odreĎuju moguće rute. U
okviru ove kategorizacije protokoli za rutiranje dele se na protokole koji koriste vektore udaljenosti
(engl. distance vector) i koji koriste stanje veza (engl. link state). Protokoli bazirani na vektorima
udaljenosti komuniciraju samo sa susednim ruterima, odnosno ruterima koji se nalaze u istim
mrežama.U skladu sa tim, ovi protokoli obezbeĎuju informaciju koji ruter je prvi sledeći posrednik
u putanji do konačnog odredišta, ali ne i strukturu cele mreže i rute. Metriku ovih protokola
najčešće čini broj skokova, odnosno broj rutera koji će posredovati u isporuci paketa u odredišnu
mrežu. Kao predstavnik ove grupe protokola mogu se uzeti protokoli RIP i EIGRP.
Protokoli koji koriste vektore udaljenosti obično razmenjuju manje količine podataka (za potrebe
konvergencije) od protokola koji koriste stanje veza.Ovi protokoli šalju čitavu tabelu rutiranja
direktno svojim povezanim susedima. Nasuprot protokolima zasnovanim na vektorima udaljenosti,
postoje protokoli koji koriste stanje veza. Oni se još nazivaju i protokolima baziranim na SPF
algoritmu, kao i protokolima sa distribuiranim bazama. Karakteristika ovih protokola je da svaki
ruter održava bazu podataka koja opisuje celu topologiju autonomnog sistema kome ruter pripada.
Ova baza se naziva bazom stanja veza(engl. link-state database) i identična je kod svih rutera u
autonomnom sistemu. Na osnovu baze stanja veza svaki ruter odreĎuje optimalne putanje izmeĎu
sebe i ostalih delova autonomnog sistema. Kod protokola stanje veze (link state), takoĎe zvanim
protokoli najkraće putanje-prvo (shortest-path-first) , svaki ruter kreira 3 zasebne tabele. Jedna od
ovih tabela beleži informacije o direktno povezanim susedima, jedna odreĎuje topologiju čitave
mreže, a jedna se koristi kao tabela rutiranja. OSPF je protokol rutiranja koji je u potpunosti
protokol stanja veze.
14
Internet Assigned Numbers Authority
79
U praksi se često javlja razumevanje da razlika izmeĎu protokola za rutiranje koji koriste
vektore udaljenosti i onih koji koriste stanje veza, leži u vrsti podataka koji se koriste za
odreĎivanje metrike, odnosno da protokoli koji koriste vektore udaljenosti za izračunavanje metrike
koriste isključivo broj skokova, dok protokoli koji koriste stanje veza koriste propusnu moć i
zauzeće komunikacionih kanala. Takvo razumevanje je pogrešno jer osnovnu razliku čini to da li
korišćenjem odreĎenog protokola ruter formira kompletnu topologiju mreže u kojoj se nalazi ili
samo dolazi do informacije do kojih sve mreža može doći preko svojih susednih rutera. Na primer,
EIGRP protokol za rutiranje zasnovan je na vektorima udaljenosti a za izračunavanje metrike koristi
propusnu moć komunikacionih kanala, njihovo zauzeće, kašnjenje i pouzdanost. Kada su u pitanju
protokoli za dinamičko rutiranje, konvergencija označava usklaĎenost informacija svih rutera
u mreži, odnosno posedovanje svih potrebnih informacija na osnovu kojih su formirane
ispravne tabele rutiranja na svim ruterima. U konvergentnim mrežama nema grešaka u
rutiranju kao što su beskonačne petlje, gubitak paketa i slično. Protokol za dinamičko rutiranje
može se smatrati ispravnim ukoliko se njime u razumnom vremenskom roku (nakon
uključivanja svih rutera) može postići stanje konvergencije. Nakon postizanja, stanje konvergencije
ostaje aktivno dok se god ne desi neka izmena u topologiji. Nastanak izmene u topologiji je okidač
za razmenu novih informacija protokolima za dinamičko rutiranje i ponovno postizanje stanja
konvergencije. Što je vreme za postizanje konvergencije po uključivanju svih rutera, ili
nastanku izmene u topologiji kraće, to se protokol za dinamičko rutiranje može smatrati
optimalnijim po tom pitanju. Treći tip protokola su hibridni protokoli, koji imaju karakteristike
oba prethodna protokola. Hibridni protokoli (hybrid) koriste aspekte vektora udaljenosti i stanja
veze. Ruteri koji koriste hibridni protokol šalju informacije samo kada postoji promena (kao
kod link state protokola), ali samo susednim ruterima (kao kod distance vector protokola). Na
slici 13.2.1 prikazani su tipovi protokola za rutiranje.
Slika 13.2.1 Tipovi protokola za rutiranje
80
14. EIGRP (Enhanced Interior Gateway Routing Protocol)
14.1 Osnovne karakteristike EIGRP protokola
EIGRP (Enhanced Interior Gateway Routing Protocol) je jedan od dinamičkih protokola
rutiranja koji omogućava dobru skalabilnost kao i izuzetno brzu konvergenciju mreže. EIGRP
spada u grupu distance-vector protokola, meĎutim brzina konvergencije koju EIGRP omogućava
ravnopravna je sa brzinama konvergencije link-state protokola rutiranja, pa čak u nekim
slučajevima EIGRP postiže veću brzinu konvergencije mreže. EIGRP protokol troši veoma
malo mrežnih resurasa s obzirom na to da se u stabilnoj mreži šalju samo hello paketi. Ostala
oglašavanja propagiraju se samo u slučaju promene u mreži (pad ili dodavanje linka). EIGRP koristi
DUAL (Diffusing Update Algorithm) za proračun najkraćeg puta do destinacije unutar mreže.
EIGRP je incijalno pušten u rad 1992. godine kao protokol u vlasništvu kompanije Cisco, što je
značilo da je EIGRP bilo moguće koristiti isključivo na ureĎajima kompanije Cisco. 2013. godine
kompanija Cisco je omogućila da i drugi vendori mogu da koriste EIGRP protokol, meĎutim neka
napredna svojstva EIGRP protokola ostala su u vlasništvu kompanije Cisco. EIGRP je poboljšana
verzija IGRP-a. EIGRP se često smatra hibridnim protokolom jer oglašava svoje rute kao distance-
vector protokoli, i stvara odnose sa susedima kao link-state protokoli. Tehnologija konvergencije se
zasniva na istraživanju sprovedenom na MeĎunarodnom SRI (International Stanford Research
Institute). Diffusing Update Algoritam (Dual) je algoritam koji se koristi za dobijanje „loop-free“
rute u svakom trenutku tokom računanja rute. To omogućuje svim ruterima uključenim u
topologiju, sinhronizaciju promena u isto vreme. Ruteri koji nisu pretrpeli nikakve promene nisu
uključeni u ponovno izračunavanje ruta. Za razliku od RIP protokola EIGRP ne šalje periodična
oglašavanja i zapisi u tabeli rutiranja ne zastarevaju. Termin parcijalna oglašavanja se odnosi na to
da oglašavanje sadrži samo informacije o promenama u topologiji poput dodavanja novog ili pada
postojećeg linka. Termin ograničena oglašavanja se odnosi na činjenicu da se oglašavanja šalju
samo onim ruterima na koje promena u topologiji utiče. Ovime se minimizuje potreban propusni
opseg neophodan za slanje EIGRP oglašavanja. EIGRP podržava jednako i nejednako
rasporeĎivanje opterećenja (equal cost load balancing and unequal cost load balancing), čime
omogućava administratorima mreže da bolje organizuju distribuciju saobraćaja kroz mrežu. Postoji
mogućnost da se konfiguriše autentifikacija u okviru EIGRP protokola. Autentifikacijom se
postiže da ruteri prihvataju samo informacije o rutiranju od rutera na kojima je podešena ista
šifra za autentifikaciju.
81
14.2 EIGRP protokolno-zavisni moduli ( Protocol-Dependant Modules)
EIGRP može da obavlja rutiranje za različite protokole (npr. IPv4 i IPv6) koristeći protokolno-
zavisne module ( Protocol-Dependant Modules-PDMs). Protokolno-zavisni moduli su zaduženi
za izvršavanje specifičnih zahteva za svaki protokol mrežnog sloja, uključujući:
Održavanje tabele susedstva i tabele topologije na ruterima koji pripadaju odreĎenom
protokolu (IPv4, IPv6)
Kreiranje i prevoĎenje paketa specifičnih za odreĎeni protokol za DUAL
Povezivanje DUAL algoritma sa tabelom rutiranja odreĎenog protokola
Izračunavanje metrike i prosleĎivanje ovih informacija DUAL algoritmu
Implementacija filter i pristupnih (access) listi
Redistribucija ruta naučenih od drugih protokola rutiranja.
Kada ruter otkrije novog suseda, u tabelu suseda zapisuju se IP adresa suseda i
interfejs posmatranog rutera preko kojeg se povezuje sa susedom. Za svaki protokolno-zavisni
modul (npr. IPv4) postoji posebna tabela susedstva. EIGRP održava i tabelu topologije koja sadrži
sve destinacije oglašavane od strane susednih rutera. TakoĎe, za svaki protokolno-zavisni
modul posoji posebna tabela topologije
14.3 RTP - Reliable Transport Protocol
EIGRP koristi sopstveni protokol, koji se zove Reliable Transport Protocol (RTP), i služi za
upravljanje komunikacijom poruka izmeĎu EIGRP rutera. Na ovaj način, pouzdanost je
ključna prednost ovog protokola. Cisco je dizajnirao mehanizam koji ima mogućnost da preko
multicast i unicast isporuke brzo dostavlja update, i prati prijem podataka. Ruteri prate sve
informacije koje se šalju, označavajući redni broj za svaki paket. S ovom tehnikom, moguće je
otkriti dolazak starih, viška ili out-of-order podataka. Ovo je vrlo važno, zato što je EIGRP
kategorisan kao stabilan protokol. To zavisi od njegove sposobnosti za sinhronizaciju ruting baze
podataka na početku procesa slanja podataka i dalje održava konzistentnost baze podataka
tokom vremena, tako što će obaveštavati samo o promenama kada se dese. EIGRP nije vezan za
odreĎeni protokol mrežnog sloja, pa zbog svog dizajna nije mogao da koristi UDP ili TCP protokol.
Ovo omogućava EIGRP-u da se koristi i za protokole van TCP/IP steka. RTP protokol omogućava i
pouzdan i nepouzdan prenos EIGRP paketa. Za pouzdan prenos RTP zahteva da pošiljalac
poruke dobije potvrdu prijema od primaoca, dok se za nepouzdan prenos ne koristi ovakva
82
potvrda. Za multikast prenos EIGRP paketa za IPv4 koristi se rezervisana multikast adresa
224.0.0.10.
14.4 Tipovi EIGRP Paketa
EIGRP koristi pet različitih tipova paketa (tipova poruka). EIGRP poruke se šalju pomoću
RTP protokola i to tako da prenos može biti pouzdan ili nepouzdan i tako da prenos može biti ka
jednoj destinaciji (unikast prenos) ili ka grupi destinacija (multikast prenos).
1. Hello paketi - Koriste se za otkrivanje suseda i održavanje EIGRP susedstva. Hello paketi
koriste nepouzdanu dostavu i multikast prenos (na većini tipova mreža).
2. Update paketi - Koriste se za propagaciju informacija o rutiranju EIGRP susedima. Update
paketi koriste pouzdanu dostavu, a prenos Update paketa može biti bilo unikast bilo
multikast. Sadrže ruting informacije o odredištu.
3. Acknowledgment paketi - Koriste se za potvrdu prijema EIGRP poruke koja koristi
pouzdanu dostavu. Acknowledgment paketi koriste nepouzdanu dostavu i unikast prenos.
4. Query paketi - EIGRP šalje query pakete da pronaĎe feasible successor rute ka odredištu.
Koriste se za upit o rutama od suseda. Query paketi koriste pouzdanu dostavu, a prenos
može biti bilo unikast bilo multikast.
5. Reply paketi - Koriste se kao odgovor na EIGRP Query pakete. Reply paketi koriste
pouzdanu dostavu i unikast prenos.
14.5 Uspostava EIGRP susedstva i tabela topologije
Da bi razmena EIGRP Update paketa bila moguća neophodno je da EIGRP ruter otkrije
svoje susede. EIGRP susedi su direktno konektovani ruteri koji takoĎe imaju uspostavljen
EIGRP. EIGRP koristi Hello pakete za uspostavu i održavanje EIGRP susedstva. Da bi dva EIGRP
rutera mogli da postanu EIGRP susedi neophodno je da se odreĎeni parametri poklapaju na
ta dva rutera (npr. oba rutera moraju koristiti iste parametre metrike, takoĎe moraju biti
konfigurisani pomoću istog broja autonomnog sistema). Kada EIGRP ruter primi Hello paket kroz
odreĎeni interfejs, tada se odgovarajući susedni ruter dodaje u tabelu EIGRP susedstva posmatranog
rutera. EIGRP oglašavanja sadrže mreže koje su dostupne ruteru koji šalje oglašavanje.
Ruteri koji prime oglašavanje dodaju zapise o ovim mrežama u svoje EIGRP tabele
topologije. Tabela topologije sadrži zapise o svakoj destinaciji o kojoj ruter nauči od direktno
konektovanih EIGRP suseda. Kada ruter primi EIGRP oglašavanje, on dodaje informacije o
83
rutiranju u svoju EIGRP tabelu topologije i odgovara EIGRP acknowledgment paketom da bi
potvrdio prijem oglašavanja.
14.6 EIGRP kompozitna metrika
Po difoltu, EIGRP koristi sledeće parametre za svoju kompozitnu metriku za proračun najbolje
putanje do odreĎene mreže:
Propusni opseg–najmanji propusni opseg od svih izlaznih interfejsa duž putanje od izvornog
rutera do odredišnog.
Kašnjenje - kumulativno kašnjenje svih interfejsa na putanji
Sledeći parametri mogu biti korišćeni, mada nije preporučljivo, jer uglavnom dovode do
čestih ponovnih proračunavanja tabele topologije:
Pouzdanost - Predstavlja najlošiju pouzdanost izmeĎu izvorišta i odredišta.
Opterećenje - Predstavlja najveće opterećenje nekom linku izmeĎu izvorišta i odredišta
bazirano na osnovu brzine slanja paketa i podešenog propusnog opsega interfejsa.
14.7 DUAL algoritam
EIGRP koristi DUAL algoritam kako bi postigao konvergenciju mreže. Konvergencija je
važna da bi se izbegle petlje u mreži. Petlje mogu biti katastrofalne po funkcionisanje mreže.
EIGRP koristi i druge tehnike pomoću kojih se sprečavaju petlje (korišćenje hold-down tajmera,
kao i korišćenje tehike split-horizon), meĎutim DUAL algoritam je glavni adut EIGRP protokola u
borbi protiv petlji. DUAL omogućava svim ruterima pogoĎenim promenom topologije da se
sinhronizuju istovremeno. Ruteri koji nisu pogoĎeni promenom topologije nisu uključeni u
ponovno proračunavanje pomoću DUAL algoritma. Ovime se postiže brža konvergencija u
odnosu na druge distance vector protokole. Proces odlučivanja za sve proračune ruta omogućava
deo DUAL algoritma koji se naziva DUAL Finite State Machine(FSM). FSM je konačni automat
koji predstavlja komponentu DUAL algoritma. DUAL FSM mašina vodi računa o svim
rutama, koristi EIGRP metriku da bi odabrala efikasne putanje bez petlji, identifikuje rute sa
najmanjom cenom putanje koje će biti umetnute u tabelu rutiranja. Ponovno proračunavanje
DUAL algoritma može biti procesorski zahtevno, zato EIGRP izbegava ovo proračunavanje
kada god je to moguće. U tu svrhu čuva se lista rezervnih (backup) ruta za koje je DUAL već
prethodno utvrdio da nemaju petlje. Ukoliko primarna ruta (nalazi se u tabeli rutiranja) otkaže,
najbolje rezervna ruta će iz tabele topologije momentalno biti dodata u tabelu rutiranja.
84
14.8 Pojmovi Feasible Successor, Feasibility Condition i Reported Distance
DUAL može da konvergira veoma brzo nakon promene topologije zahvaljujući tome što
može da koristi rezervne putanje do odreĎenih mreža bez pokretanja novog DUAL
proračuna. Ove rezervne putanje nazivaju se Feasible Successors(FSs). FS je EIGRP sused koji ima
rezervnu rutu bez petlji rutiranja ka istoj mreži kao i ruter koji se naziva naslednik (successor-ruter
koji zapravo predstavlja sledeći korak na putanji (next hop) ) pri čemu ta rezervna putanja
zadovoljava uslov koji se naziva Feasibility Condition(FC). Da bih objasnila pojam Feasibility
Condition(FC), moram prvenstveno objasniti pojmove Feasible Distance(FD) i Reported Distance
(RD).
Feasible Distance(FD): Moguća udaljenost - Ovo je najbolja metrika duž svih putanja do udaljene
mreže, uključujući metriku do suseda koji je oglasio tu udaljenu mrežu. Ovo je ruta koju ćemo
pronaći u tabeli rutiranja zato što se smatra najboljom putanjom. Metrika moguće udaljenosti je
metrika o kojoj je izvestio sused (naziva se prijavljena udaljenost), plus metrika do suseda koji je
izvestio o ruti.
Reported Distance(RD): Prijavljena udaljenost -Ovo je metrika udaljene mreže o kojoj je izvestio
sused. To je takoĎe, metrika susedove tabele rutiranja i ista je kao broj iza kose crte u tabeli
topologije. Posmatrani ruter uporeĎuje svoju metriku ka posmatranoj ruti (FD) sa metrikom
EIGRP suseda ka toj ruti (RD). Ukoliko je RD < FD, tada je zadovoljen uslov Feasibility
Condition(FC). Ukoliko je zadovoljen ovaj uslov, tada je putanja koju susedni ruter ima ka
odreĎenoj destinaciji bez petlji.
Feasible successor (FS): Mogući naslednik - Mogući naslednik je putanja čija je prijavljena
udaljenost manja od moguće udaljenosti i smatra se rezervnom rutom. EIGRP će čuvati do šest
mogućih naslednika u tabeli topologije. Samo onaj naslednik sa najboljom metriko se smešta u
tabelu rutiranja. Komanda show ip eigrp topology će prikazati sve EIGRP moguće nasledne rute
koje su poznate ruteru.
Successor -Naslednik - Nasledna ruta je najbolja ruta do udaljene mreže. Naslednu rutu koristi
EIGRP za prosleĎivanje saobraćaja do odredišta i smeštena je u tabeli rutiranja. Rezerva ove rute je
mogući naslednik (FS) smešten u tabeli topologije.
Tabela suseda(Neighbor table) - Svaki ruter čuva informacije o svojim susedima. Kada se upozna
novi sused, adresa i interfejs suseda se beleže i ova informacija se čuva u tabeli suseda smeštenoj u
RAM-u. Za svaki modul zavisan od protokola postoji po jedna tabela suseda. Za uparivanje potvrda
85
o prijemu sa paketima ažuriranja se koriste brojevi sekvenci. Broj poslednje primljene sekvence od
suseda se beleži, tako da mogu da se detektuju paketi koji su van redosleda.
Tabela topologije (Topology table) - Tabela topologije se popunjava modulima zavisnim od
protokola i ponaša se u skladu sa alforitmom difuznog ažuriranja (DUAL). Ova tabela sadrži sva
odredišta koja su oglasili susedni ruteri, uključujići svaku odredišnu adresu i listu suseda koji su
oglasili odredište. Za svakog suseda se beleži oglašena metrika koja dolazi jedino iz susedove
tabele rutiranja. Ako je sused oglasio ovo odrešte, mora da koristi tu rutu za prosleĎivanje paketa.
Nakon ovog detaljnog analiziranja EIGRP protokola, biće jednostavnije da se sad prikaže
konfiguracija EIGRP protokola na L3 ureĎajima u projektu, a isto tako i da se razume svaka provera
EIGRP rutiranja.
14. 9 Konfiguracija EIGRP protokola
Distribution sviĉevi
DSW1F0B1
router eigrp 1
network 10.0.0.0
no auto-summary
passive-interface default
no passive interface vlan 150
no passive interface port-channel 11
no passive interface port-channel 12
eigrp stub
DSW2F0B1
router eigrp 1
network 10.0.0.0
no auto-summary
passive-interface default
no passive interface vlan 150
no passive interface port-channel 11
no passive interface port-channel 12
eigrp stub
DSW1F0B2
router eigrp 1
network 10.0.0.0
no auto-summary
passive-interface default
no passive interface vlan 250
no passive interface port-channel 11
86
no passive interface port-channel 12
eigrp stub
DSW2F0B2
router eigrp 1
network 10.0.0.0
no auto-summary
passive-interface default
no passive interface vlan 250
no passive interface port-channel 11
no passive interface port-channel 12
eigrp stub
Core sviĉevi
CoreSW1
ip access list standard ACL_DEFAULT
permit 0.0.0.0
route-map RM_DEFAULT
match ip address ACL_DEFAULT
router eigrp 1
network 10.0.0.0
no auto-summary
passive-interface default
no passive interface vlan 35
no passive interface port-channel 11
no passive interface port-channel 12
no passive interface port-channel 21
no passive interface port-channel 22
redistribute static 1000000 1 255 1 1500 route-map RM_DEFAULT
ip route 0.0.0.0 0.0.0.0 10.0.31.5 name DEFAULT
CoreSW2
ip access list standard ACL_DEFAULT
permit 0.0.0.0
route-map RM_DEFAULT
match ip address ACL_DEFAULT
router eigrp 1
network 10.0.0.0
no auto-summary
passive-interface default
no passive interface vlan 35
87
no passive interface port-channel 11
no passive interface port-channel 12
no passive interface port-channel 21
no passive interface port-channel 22
redistribute static 1000000 1 255 1 1500 route-map RM_DEFAULT
ip route 0.0.0.0 0.0.0.0 10.0.31.5 name DEFAULT
14.10 Proveravanje EIGRP protokola rutiranja u projektu
Slika 14.10.1 prikazuje prikaz komandu show ip route koja prikazuje čitavu tabelu rutiranja na
layer 3 sviču koji je uzet kao primer.
88
Slika 14.10.2 Prikaz komande show ip route na distributivnom sviču
Možemo da vidimo na slici 14.10.2 da na EIGRP rute ukazuje slovo D (DUAL), a da
administrativna udaljenost svih ruta iznosi 90, to predstavlja interne EIGRP rute, a takoĎe imamo i
default rutu koja je eksterna i njena administrativna udaljenost iznosi 170.
Sada ćemo da pogledamo sta nam se prikazuje u tabeli suseda uz pomoć komande show ip eigrp
neighbors.
Slika 14.10.3 Prikaz komande show ip eigrp neighbors na distributivnom sviču
89
Slika 14.10.4 Prikaz komande show ip eigrp neighbors na core sviču
Informacije koje su nam u ovom izlazu analiziramo na sledeći način:
Polje H ukazuje na redosled kojim je sused otkriven
Vreme zadržavanja (hold) ukazuje koliko dugo će ovaj ureĎaj čekati da Hello paket stigne
do odreĎenog suseda
Vreme ispravnog rada (Uptime) ukazuje koliko dugo je sused već uspostavljen
Polje SRTT je tajmer mirnog povratnog putovanja (smooth round- trip timer) - Ukazuje na
vreme potrebno za povratno putovanje paketa, od ovog ureĎaja do njegovog suseda i nazad.
Polje Retransmition Time Out, RTO (tajmout ponovnog prenosa), to je vreme tokom kojeg
će EIGRP čekati pre nego što susedu ponovo pošalje paket it reda čekanja na ponovni
proces
Vrednost Q ukazuje da li u redu čekanja postoji neka zaostala poruka - velike vrednosti
ukazuju na problem
Polje Seq ukazuje na sekvencioni broj poslednjeg ažuriranja dobijenog od suseda- koristi se
za održavanje sinhronizacije i izbegavanje dupliranja ili obrade poruka van redosleda.
Sada ćemo da vidimo šta se sve nalazi u tabeli topologije datog ureĎaja koristeći komandu show ip
eigrp topology.
90
91
Slika 14.10.5 Prikaz cele komande show ip eigrp topology na distributivnom sviču
Treba da obratimo pažnju na nekoliko bitnih stvari koje nam pokazuje ova komanda show ip eigrp
topology. Ispred svake rute nalazi se slovo P. To znači da je ruta u pasivnom stanju, što je dobro.
Rute u aktivnom stanju ukazuju da je ruter izgubio svoju putanju do ove mreže i da traži zamenu.
Svaki unos ukazuje i na moguću udaljenost (FD) do svake udaljene mreže, plus suseda na sledećem
skoku kroz koji će paketi putovati do ove destinacije (ove termine sam malo pre pominjala kako bi
bio jasniji prikaz ove komande). Prvi broj ukazuje na moguću udaljenost, a drugi na oglašenu
udaljenost do udaljene mreže.
15. OBEZBEĐIVANJE MREŢE BOLNICE
Na pomen obezbeĎivanja mreže, najčešće se pomisli na korišćenje firewall-a i sprečavanje napada
na trećem sloju i iznad. Svi se trude da zaštite mrežu od upada spolja, ostavljajući unutrašnje
ureĎaje uglavnom nezaštićenje. Problem je što se nedozvoljeni ureĎaji mogu lako prikačiti na mrežu
i njihov upad može proći potpuno nezapaženo. UreĎaji-uljezi mogu biti postavljeni zlonamerno ili
od strane zaposlenog koji želi više switch portova ili bežični domet i sl. Najćešće se radi o bežičnim
ruterima ili razvodnicima (hub) i pristupnim svičevima.
Postoje četiri vrste napada na komutiranu mrežu:
Napadi zasnovini na MAC adresi, kao što je plavljenje MAC adresama (MACaddress
flooding)
92
Napadi zasanovani na VLANu, kao što je VLAN preskakanje (VLAN hopping) i napadi na
ureĎaje u istom VLANu
Napadi obmane (Spoofing attacks), kao što je DHCP spoofing, MAC spoofing, Address
Resolution Protocol (ARP) spoofing i napadi na Spanning Tree
Napadi na switch, kao što je izmena Cisco Discovery Protocol (CDP) poruka, Telnet
napadi i Secure Shell (SSH) napadi
15.1 Implementacija bezbednosnih karakteristika na sviču
Kod poplave MAC adresa, napadač teži da popuni switch-ov Content Addressable Memory
(CAM) tabelu sa neispravnim MAC adresama. U situaciji kada svič ne zna koja MAC adresa se
nalazi na kojem portu, podrazumevano počinje da šalje sve frejmove na sve portove. Negativne
posledice ovoga su stvaranje većeg saobraćaja nego što je potrebno. Pošto se sav saobraćaj šalje na
svaki port, napadač ima priliku da prisluškuje saobraćaj koji inače ne bi mogao da vidi i to sa
svakog portu. Pošto napad prestane, zapisi u CAM tebeli zastare i popune se ispravnim MAC
adresama i sve se nastavi da radi uobičajeno. Ovo se izvodi radi prikljupanja tuĎeg saobraćaja ili
kao deo Denial of service (DoS) napada. ObezbeĎivanju porta i autentikacija na portu mogu
daumanje MAC napade.
15.2 ObezbeĎivanje Porta
Port security opcija nam pomaže da kontrolišemo koliko će MAC adresa naučiti jedan switch port.
Neki tipičan korisnik koristi samo jednu MAC adresu uz izuzetke postojanja virtuelne mašine koja
možda koristi drugačiju MAC adresu ili postojanja nekog IP telefona koji u sebi ima switch koji se
takoĎe računa kao dodatna MAC adresa. Da bismo sprečili korisnika da poveže veliki broj ureĎaja
na switch koji je povezan na access port korisnika, koristimo port security da bismo ograničili broj
MAC adresa. Port security takoĎe sprečava klijente da iskoriste sve resurse DHCP servera slanjem
hiljade dhcp zahteva sa različitih mac adresa. Ovaj napad se zove DHCP spoofing i koristi se u loše
svrhe da se namerno potroše sve adrese iz DHCP pool-a generisanjem dovoljno DHCP zahteva.
Port security opcija će po defoltu da isključi port ako doĎe de bilo kakvog prekršaja. Zaštitom port-
a, port security odbija sve frejmove od novih MAC adresa ako preĎu zadatu granicu. Restrict opcija
radi isto kao i protect (zaštita) ali kao dodatak pravi syslog poruke.
Port Security Violation Modes:
Protect - Zaštititi: Kada broj zaštićenih MAC adresa dostigne ograničenje koje je
dozvoljeno na portu, paketi sa nepoznatim izvornim adresama se odbacuju, sve dok se ne
93
ukloni dovoljan broj zaštićenih MAC adresa ili se poveća broj maksimalno dozvoljenih
adresa
Restrict - Ograničiti: Odbacuje sve pakete od nesigurnih hostova. U ovom režimu postoji
obaveštenje da je došlo do kršenja bezbednosti
Shutdown - Isključivanje: U ovom podrazumevanom režimu, kršenje bezbednosti porta
uzrokuje da se interfejs odmah isključi. Interfejs se postavlja u err-disabled stanje.
switchport port-security violation { protect | restrict | shutdown }
Slika 15.2.1 Konfiguracija Port Security na sviču
Sada ćemo da vidimo primer prikaza komande show port-security interface f0/2.
94
Slika 15.2.2 Prikaz komande show port-security interface f0/2
Ovo je dato samo kao primer gde može da se vidi da je na sviču implementirana zaštita porta, i da je
omogućen mod za isključivanje porta ukoliko se prihvati nevalidna MAC adresa. Vezivanje porta
za jednu MAC adresu pruža veliku sigurnost, ali je gotovo nemoguće ručno uneti sve te adrese u
velikoj mreži. Za to postoji opcija Sticky learning i ona je ovde konfigurisana. Prvu dinamički
naučenu adresu pretvara u „lepljivu“ tj. smešta je podešavanja sviča. Ovu opciju je zgodno
iskoristiti za podešavanje switch-eva na kojim se priključeni svi zaposleni. Port Security je samo
jedna od zaštita ,a postoje razne mogućnosti kako možemo povećati bezbednost naše mreže:
Isključiti neiskorišćene servise i portove
Koristiti jake lozinke i često ih menjati
Kontrolisati fizički pristup ureĎajima
Izbegavati korišćenje HTTP web sajtova, umesto toga koristiti sigurniji HTTPS
Praviti rezervne kopije i redovno testirati
Šifrovati osetljive podatke i zaštiti ih snažnom lozinkom
Ažurirati redovno IOS softver
Koristiti firewalls
95
15.3 Bezbednosna karakteristika - DHCP SNOOPING
Dhcp snooping je bezbednosna karakteristika koja služi kao štit izmeĎu nepoverljivih ureĎaja i
poverljivih DHCP servera. Funkcija DHCP snooping-a vrši sledeće aktivnosti:
Validira DHCP poruke primljene od nepoverljivih izvora i filtrira ih kao nevažeće poruke
Ograničava brzinu prometa od poverljivih i nepoverljivih izvora
Pravi i održava DHCP bazu podataka za snooping, koja sadrži informacije o nepoverljivim
hostovima sa uzetim (ili drugim rečima zakupljenim) IP adresama
Koristi DHCP bazu podataka za snooping da bi potvrdio naknadne zahteve od nepoverljivih
hostova
DHCP Spoofing Attack je vrsta napada gde napadač osluškuje DHCP zahteve klijenata i odgovara
im lažnim DHCP odgovorom pre nego što autorizovani DHCP odgovor doĎe od klijenta. Samo
portovi koji su povezani na autorizovan DHCP server su poverljivi i mogu slati sve vrste DHCP
poruka. Lažni DHCP odgovor često daje svoju IP adresu kao klijent default gateway, sav saobraćaj
poslat od klijenta će proći kroz računar napadača, napadač postaje „man in the middle”. DHCP
snooping se implementira sledećim koracima:
Definisati i konfigurisati DHCP server
Uključiti DHCP snooping na barem jednom VLAN-u jer je po defoltu isključen na svim
vlan-ovima
Osigurati da je DHCP server povezan preko poverljivog interfejsa jer po defoltu su svi
interfejsi nepoverljivi
Konfigurasati DHCP bazu podataka za snooping. Ovo osigurava bazu podataka da se stavke
vraćaju nakon restartovanja ili prelaska
Uključiti DHCP snooping na globalnom nivou. DHCP snooping svojstvo nije aktivno dok se
ne uradi ovaj korak
96
Slika 15.3.1 Primer konfiguracije DHCP SNOOPING-a na sviču
15.4 ARP napad -Dinamička ARP inspekcija
DAI (Dynamic ARP Inspection) - Kao kontramere za ARP napade se uvodi dinamička ARP
inspekcija. Napadač „truje‟ ARP tabelu , sav saobraćaj ide kroz napadača, posle toga ispravlja ARP
tabelu ispravnim vrednostima i tok saobraćaja se vraća u normalu. Radi mere opreznosti potrebno je
konfigurisati nekoliko stvari:
DHCP snooping mora biti konfigurisan i tabela generisana
DAI se konfiguriše po VLAN-u
Podešavanje poverljivog (trust) interface kao kod DHCP snooping
97
Slika 15.4.1 Primer konfiguracije ARP inspekcje na sviču
Ovo su neke mere zaštite koje se preporučuju svakom administratoru da primeni u svojoj
računarskoj mreži kako bi osigurao mrežu od raznih vrta napada koje u današnje vreme se sve češće
dešavaju.
98
16. PRISTUPNE LISTE - Access Control Lists (ACLs)
16.1 Uvod u pristupne liste
ACLs su liste uslova koje se koriste za testiranje saobraćaja u mreži. Ove liste govore ruteru
koje tipove paketa da primi, a koje da odbije. Ruter donosi zaključke na osnovu konfigurisane i
postavljene ACL liste i informacija iz zaglavlja paketa. Najčešća i najjednostavnije upotreba je za
filtriranje neželjenih paketa kao deo bezbednosne polise. Mogu se koristiti i za kategorizovanje
paketa u redu čekanja ili za QoS usluge, kontrolisanje koja vrsta saobraćaja sme da koristi ISDN
vezu, kontrolisanje koje mreže će dinamički protokoli rutiranja oglašavati itd. Filtriranje paketa se
odvija na 3. sloju OSI (Open System Interconnection) modela, odnosno na Internet sloju TCP/IP
modela. Ruter vrši filtriranje paketa i time kontroliše pristup mreži tako što analizira dolazeće i
odlazeće pakete. Ruter izvlači odreĎene informacije iz zaglavlja paketa i na osnovu odreĎenih
kriterijuma ih propušta, odnosno odbacuje. Odluka o dozvoli, odnosno zabrani saobraćaja može biti
zasnovana na osnovu izvorišnih i odredišnih IP adresa, TCP/UDP izvorišnih i odredišnih portova i
protokola paketa. U formiranju kriterijuma na osnovu kojih se saobraćaj odbacuje ili propušta, uvek
se definišu prvo pojedinačni uslovi, zatim se formulišu opštiji uslovi. Jako je bitan redosled uslova
koji se definišu unutar pristupnih lista. TakoĎe je važno znati da se za svaki protokol, svaki
interfejs na ureĎaju i svaki smer saobraćaja, definiše zasebna pristupna lista. Pravila koja važe za
sve ACL:
Paket se uporeĎuje sa svakom linijom liste počevši od prve, pa sledećim redom.
Paket se uporeĎuje dok se ne pronaĎe pravilo u koje se uklapa. Tada se izvrši to pravilo i ne
uporeĎuje se sa ostatkom liste.
Na kraju svake liste se nalazi podrazumevano odbijanje (excplicit deny). Ako paket ne
ispunjava uslov bilo koje od linija pristupne liste, on se odbacuje
Pristupne liste nemaju nikakvog efekta dok se ne primene na interfejs. Saobraćaj na interfejsu ima
dva smera, dolazni i odlazni. Posebne pristupne liste se mogu primeniti za oba.
Dolazne pristupne liste (inbound) – Paketi dolaznog saobraćaja se filtriraju kroz pristupnu
listu pre nego što se proslede na odlazni interfejs. Svaki paket koji je odbijen neće biti
rutiran zato što se odbacuje pre nego što proces rutiranja započne.
Odlazne pristupne liste (outbound) – Paketi se proslede na odlazni interfejs i filtriraju kroz
pristupnu listu pre nego što se smeste u red čekanja za slanje.
99
Postoje dva tipa pristupnih listi: standardne pristupne liste i proširene pristupne liste.
1. Standardne (standard) pristupne liste - Koriste samo izvorišnu IP adresu kao uslov
testiranja. One dozvoljavaju ili odbijaju čitav komplet protokola jer ne prave
razliku izmeĎu vrsta saobraćaja, kao što je www, Telnet, UDP i sl. Postavljaju se najbliže
moguće odredišnom računaru (tj. portu rutera). Najveća mana prilikom primene standardnih
pristupnih lista je što se neželjeni paketi rutiraju i koriste propusni opseg, da bi bili
odbačeni tek na odredišnom kraju mreže. Standardne pristupne liste se označavaju
brojevima 1-99 i 1300-1999. Standardna lista može biti veoma korisna za dozvoljavanje
Telnet pristupa ruteru. Umesto mučne primene proširene liste pristupa na svakom portu
rutera, dovoljno je odrediti spisak adresa koje imaju dozvolu za pristup i primeniti ih
direktno na VTY linije.
2. Proširene pristupne liste su daleko fleksibilnije od standardnih pristupnih listi.
Konfigurisanjem proširenih pristupnih listi, vrši se kontrola saobraćaja i odbacivanje,
odnosno propuštanje paketa, ne samo na osnovu odredišne i izvorišne IP adrese, već i na
osnovu protokola TCP/UDP izvorišnog ili odredišnog porta. Zato su u ovom projektu one
implementirane. Na primer, konfigurisanjem jedne proširene pristupne liste, moguće je
istovremeno dozvoliti e-mail saobraćaj od unapred definisanih izvorišnih do odredišnih IP
adresa, zabraniti prenos fajlova i zabraniti web pretraživanje. Drugim rečima, za jednu
pristupnu listu je moguće definisati više uslova, kriterijuma na osnovu kojih se vrši kontrola
saobraćaja. Važno je da svaki uslov unutar jedne pristupne liste ima isti identifikacioni broj
liste. Po pravilu, formirana proširena lista se uvek postavlja što bliže izvorištu na odreĎenom
interfejsu rutera. Označavaju se brojevima od 100 do 199 i od 2000 do 2699.
Imenovane liste - Pripadaju ili standardnim ili proširenim pristupnim listama i nisu nova vrsta listi.
Dopuštaju nam da koristimo nazive za kreiranje i preimenovanje, kako standardnih tako i proširenih
pristupnih lista. Recimo da smo došli u neku postojeću mrežu i gledamo pristupne liste
konfigurisane na mrežnom ureĎaju. Pretpostavimo da smo pronašli listu 177 (što je proširena
pristupna lista) dugačku 33 linije. To može da izazove neka osnovna pitanja kao što su - Čemu ta
lista služi? Zašto se baš tu nalazi? Umesto toga, zar ne bi pristupna lista pod nazivom, recimo, LAN
finansija bila mnogo očiglednija od liste pod nazivom 177? Prilikom listanja running konfiguracije
na ASA ureĎaju možemo da vidimo pristupne liste i na kojim interfejsima su pristupne liste
postavljene.
100
16.2 Konfigurisanje pristupnih listi
Slika 16.2.1 Konfigurisanje neimenovanih i imenovanih pristupnih listi
Slika 16.2.2 Primena pristupne liste i primeri imenovanih listi
101
16.3 Pregled i provera konfigurisanih ACLs na ASA ureĎaju
Slika 16.3.1 Prikaz komande show running-config na ASA ureĎaju na kom su konfigurisane
ACLs.
102
Zatim sledeća komanda nam prikazuje samo pristupne liste i njihove parametre na ASA ureĎaju uz
pomoć glavne komande show access-list.
Slika 16.1.2 Prikaz komande show access-list
103
17. ASA UREĐAJI
17.1 Zaštita sistema privatne bolnice
U današnje vreme kada je Internet potreban i važan resurs u svim organizacijama, veoma je
bitno posvetiti odreĎenu pažnju sigurnosti informacionih sistema. Pri tome firewall-ovi imaju veliku
ulogu, jer štite organizacije od brojnih zlonamernih korisnika Interneta. Oni su prva prepreka koju
napadač mora proći kako bi dospeo do željenog cilja, zaštićenog računara. Firewall je sigurnosni
element koji je smešten izmeĎu lokalne mreže i javne mreže (Interneta), koji je dizajniran kako bi
zaštitio poverljive, korporativne i korisničke podatke od neautorizovanih korisnika. Nije nužno da
svi korisnici u LAN-u imaju jednaka prava pristupa Internet mreži. Postavljanjem firewall ureĎaja
izmeĎu dva ili više mrežnih segmenata mogu se kontrolisati i prava pristupa pojedinih korisnika
pojedinim delovima mreže. U takvom slučaju firewall je dizajniran da dopušta pristup valjanim
zahtevima, blokira sve ostale. Firewall ujedno predstavlja idealno rešenje za kreiranje virtualne
privatne mreže jer stvarajući virtualni tunel kroz koji putuju kriptovani podaci, omogućuje sigurnu
razmenu osetljivih podataka meĎu dislociranim korisnicima. Firewall je servis koji se tipično sastoji
od firewall ureĎaja i policy-a (pravilnik o zaštiti), koji omogućuje korisniku filtriranje odreĎenih
tipova mrežnog prometa sa ciljem da poveća sigurnost i pruži odreĎeni nivo zaštite od provale.
Osnova rada firewall-a je u ispitivanju IP paketa koji putuju izmeĎu klijenta i servera, čime se
ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smera. Firewall je
odgovoran za više važnih stvari unutar informacionog sistema:
Mora da implementira politiku sigurnosti. Ako odreĎeno svojstvo nije dozvoljeno, firewall
mora da onemogući rad u tom smislu.
Firewall treba da beleži sumnjive dogaĎaje.
Firewall treba da upozori administratora na pokušaje proboja i kompromitovanja politike
sigurnosti
U nekim slučajevima firewall može da obezbedi statistiku korišćenja
Jedan od najpouzdanijih firewall ureĎaja koji se koristi u informacionim sistemima svake ozbiljnije
ustanove predstavlja zaštitni zid kompanije Cisco, odnosno ASA ureĎaj. Kao što je već ranije
napomenuto u zgradi opšte bolnice postavljeni su redudantno ASA ureĎaji koji su tu da obezbede
saobraćaj koji će se rutirati na internetu, da pruže zaštitu podataka bolnice zbog raznih napada koje
se dešavaju. Iz tog razloga na prizemlju prve zgrade nalaze se oba ASA ureĎaja, koja su povezana
sa DMZ zonom. Korišćeni modeli su iz 5508 serije: ASA5508-X i imenovani su kao frwint-pri i
104
frwint-sec. Njihov aktivni način odbrane od pretnji pomaže u sprečavanju širenja napada na celu
korporativnu mrežu, pomažući kompaniji da zaštiti razne segmente mreže. Cisco ASA 5508 je
projektovan da obezbedi bezbednosne usluge visokih performansi u okruženju širokopojasnih
mreža nove generacije. Može da funkcioniše kao hardverski VPN klijent, omogućujući
pojednostavljeno upravljanje. One poboljšavaju zaštitu aplikacionih protokola kao što su web, e-
mail, protokol za prenos glasa putem Interneta (VoIP), instant messaging, prenos datoteka i mrežni
protokol kompanije Microsoft. Zahvaljujući podršci ureĎaja Cisco ASA za Cisco NAC 15
rešenja,
nad korisnicima i ureĎajima koji pristupaju mreži putem IPsec i SSL VPN primenjuje se
sveobuhvatna procena sigurnosnih pretnji koje oni mogu da unesu u mrežu. Ova procena obuhvata
potvrdu postojanja odgovarajućih ažuriranja bezbednosnog softvera i operativnog sistema pre
davanja prava pristupa.
Slika 17.1Cisco ASA 5508-X
15
Network Admission Control (NAC)
105
17.2 Pregled konfiguracije ASA ureĎaja
Slika 17.2.1 Prikaz komande show ip address na ASA ureĎaju
Slika 17.2.2 Opis polja prilikom ove zadate komande na cisco ASA ureĎaju
106
Izlistavanje running konfiguracije na ASA ureĊaju
ciscoasa#show running-config
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 31
!
interface Ethernet0/2
switchport access vlan 401
!
interface Ethernet0/3
switchport access vlan 402
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
no nameif
no security-level
no ip address
shutdown
!
interface Vlan2
no nameif
no security-level
ip address dhcp
shutdown
!
interface Vlan31
nameif inside
security-level 100
ip address 10.0.31.5 255.255.255.0
!
interface Vlan401
nameif outside
security-level 0
107
ip address 212.200.200.5 255.255.255.240
!
interface Vlan402
no forward interface Vlan31
nameif dmz
security-level 50
ip address 172.16.0.1 255.255.255.0
!
object network FTP_server
host 172.16.0.13
object network LAN_mreza
subnet 10.0.0.0 255.255.0.0
object network Mail_server
host 172.16.0.12
object network WEB_server
host 172.16.0.11
!
route inside 10.0.0.0 255.255.0.0 10.0.31.1 1
route outside 0.0.0.0 0.0.0.0 212.200.200.1 1
!
access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq www
access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq 443
access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.12 eq smtp
access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq 20
access-list ACL_OUTSIDE extended permit tcp any host 172.16.0.11 eq ftp
access-list ACL_OUTSIDE extended permit icmp any any
access-list ACL_INSIDE extended permit tcp host 10.0.32.12 any
access-list ACL_INSIDE extended permit ip host 10.0.32.11 any
access-list ACL_INSIDE extended permit ip 10.0.0.0 255.255.0.0 172.16.0.0 255.255.255.0
access-list ACL_INSIDE extended permit icmp any any
access-list test extended permit ip any any
!
!
access-group ACL_OUTSIDE in interface outside
access-group ACL_INSIDE in interface inside
object network FTP_server
nat (dmz,outside) static 212.200.200.113
object network LAN_mreza
nat (inside,outside) dynamic interface
object network Mail_server
nat (dmz,outside) static 212.200.200.112
object network WEB_server
nat (dmz,outside) static 212.200.200.111
!
!
!
!
!
!
!
telnet timeout 5
108
ssh timeout 5
!
dhcpd auto_config outside
!
dhcpd enable
17.3 NAT - ( Network Address Translation)
17.3.1 Uvod u NAT
NAT (Network Address Translation) je servis koji omogućava organizacijama da reše
problem nedostatka dovoljno javnih IP adresa kako bi saobraćaj imao potpunu konverzaciju sa
internetom i eksternim mrežama. NAT funkcioniše tako što izvorne privatne IP adrese pretvara u
odreĎene javne IP adrese (koje se zadaju konfiguracijom) i tako modifikovane pakete šalje na
internet. U povratku saobraćaja, paketi su opet modifikovani. PAT (Port Address Translation) je
oblik NATa koji dozvoljava da replikaciju više broja privatnih adresa bude preslikan u manji opseg
javnih. Ovo se postiže uz pomoć TCP/UDP protokola i otvaranja vise TCP/UDP portova radi
prepoznavanje konekcija. Potrebno je definisati dva tipa NAT zone : outside i inside. Inside zona je
okrenuta lokalnoj mreži, outside zona je okrenuta ka eksternoj mreži/internetu. Access-listom se
definiše koji saobraćaj treba biti preveden. NAT se po pravilu konfiguriše na graničnom ureĎaju
preko koga je privatna lokalna mreža povezana sa Internetom (firewall ili ruter), u projektu NAT je
konfigurisan na ASA ureĎaju kao što se može videti iz prethodne running konfiguracije, da bi
ureĎaji u nekoj privatnoj lokalnoj mreži mogli da komuniciraju sa ureĎajima koji su u udaljenim
mrežama, zbog toga su privatne adrese prvo translirane u odgovarajuće javne adrese. Na ovaj način
je moguće da na stotine ureĎaja unutar neke privatne lokalne mreže mogu da dele jednu ili nekoliko
javnih IPv4 adresa za komunikaciju sa udaljenim mrežama.
17.3.2 Bitni termini - NAT
Inside network - svi ureĎaji unutar privatne lokalne mreže koji su dodeljene privatne IPv4
adrese
Outside network - sve spoljne mreže
Postoje 4 tipa adresa unutar NAT-a:
1. Inside local address -privatna IPv4 adresa dodeljena ureĎaju unutar lokalne mreže
2. Inside global address - javna IPv4 adresa dobijena translacijom privatne IPv4 adrese ureĎaja
u NAT procesu na ruteru
109
3. Outside local address - javna adresa udaljenog ureĎaja koju lokalni ureĎaj navodi u
zaglavlju IP paketa pre NAT translacije na ruteru
4. Outside global address - javna adresa udaljenog ureĎaja koja se nalazi u zaglavlju IP paketa
nakon NAT translacije na ruteru
Statički NAT se sastoji od mapiranja privatne IP adrese na javnu IP adresu jedan na jedan. To znači
da možemo da mapiramo IP adresu u lokalnoj mreži na IP adresu koju želimo da učinimo javnom.
Ova vrsta NAT-a je posebno korisna ako imamo server u LAN-u koji želimo da bude pristupačan
izvan mreže od strane javnih korisnika. Da bi javni korisnici bili u mogućnosti da pristupe serveru
treba kreirati NAT pravilo da bismo mapirali adresu servera na javnu adresu. Na ovaj način, samo
će javna adresa postati javna informacija, a privatna informacija ostaje privatna i van dometa
zlonamernih osoba.
Sa druge strane dinamički NAT obezbeĎuje LAN tako što maskira internu konfiguraciju mreže i
tako otežava autsajderima da prate šablone upotrebe. Isto tako omogućava upotrebu lažnih IP adresa
na Internetu unutar lokalne mreže. On se ponaša kao firewall izmeĎu interne mreže i javne
(spoljašnje) mreže. To znači da računarski deo spoljašnje mreže ne može da se poveže na naš
računar osim ako mi ne iniciramo kontakt.
Port Address Translation (PAT) to je tip NAT-a, vrši mapiranje više privatnih IPv4 adresa u
jednu ili nekoliko javnih IPv4 adresa. PAT u postupku translacije koristi dva podatka: broj izvornog
porta ureĎaja iz inside lokalne mreže koji šalje podatke i njegova inside lokalna IPv4 adresa. PAT je
poznat i pod pojmom NAT overload. Koristeći broj porta, PAT usmerava dolazne pakete ka
ureĎajima unutar inside lokalne mreže. PAT utvrĎuje svojim postupkom da li dolazni paketi
predstavljaju odgovor na zahtev koji je prethodno ureĎaj iz inside lokalne mreže uputio nekom u
javnoj mreži -obezbeĎuje se odreeĎeni nivo sigurnosti.
17.3.3 Konfiguracija NAT-a
NAT
WEB server 172.16.0.11 212.200.200.111
Mail server 172.16.0.12 212.200.200.112
FTP server 172.16.0.13 212.200.200.113
110
object network WEB_server
host 172.16.0.11
nat (dmz,outside) static 212.200.200.111
object network Mail_server
host 172.16.0.12
nat (dmz,outside) static 212.200.200.112
object network FTP_server
host 172.16.0.13
nat (dmz,outside) static 212.200.200.113
object network LAN_mreza
subnet 10.0.0.0 255.255.0.0
object network NAT_LAN_mreza
host 212.200.200.254
nat (inside,outside) after-auto source dynamic LAN_mreza pat-pool NAT_LAN_mreza
18. KONFIGURACIJA CUCM RUTERA
18.1 CISCO Unified Communications
CISCO Unified Communications (UC – Objedinjene komunikacije) je platforma zasnovana
na IP komunikacionim sistemima koja integriše audio, video, podatke i mobilne proizvode i
aplikacije. Omogućava efikasnije, sigurnije komunikacije i može transformisati način na koji
komuniciramo. UC predstavlja revolucionarnu promenu tehnologije komunikacija koja može da se
poredi sa izumom telegrafa. UC uklanja geografske barijere efektivne komunikacije kroz upotrebu
audia, videa i integraciju podataka. Informacije su duže vreme bile na dohvat ruke, ali UC
omogućava razmenu tih informacija radi stvaranja znanja i vrednosti.
18.2 CISCO UC komponente rešenja
CISCO UC strategija obuhvata govor, video i transport podataka u okviru jedinstvene mrežne
infrastrukture. CISCO UC oprema je sposobna da upravlja sa sva tri tipa saobraćaja i da se povezuje
svim mrežnim protokolima koji su u okviru standarda. CISCO IP Komunikacija predstavlja novi
način isporučivanja UC funkcionalnosti korporativnim klijentima. Komponente standardnih slojeva
su:
111
Infrastrukturni sloj - Infrastruktura se sastoji od rutera, svičeva i gejtveja. Infrastrukturni
sloj nosi podatke, audio i video izmeĎu svih mrežnih ureĎaja i aplikacija. Ovi slojevi takoĎe
omogućavaju visoku dostupnost, upravljanje, kvalitet servisa (QoS) i mrežnu sigurnost.
Sloj za kontrolu poziva- Sloj za kontrolu poziva omogućava procesiranje poziva, kontrolu
ureĎaja i administraciju plana pozivanja i karakteristika. Kontrola poziva može da se
sprovede kroz CUCM, CUCM Exspress ili CUCM Business (CMBE) rešenja.
Aplikativni sloj - Aplikacije su samostalne u odnosu na funkcionalnosti kontrole poziva i
fizičke infrastrukture za procesiranje govora. Aplikacije, uključujući i one koje su navedene
ovde, integrisane su preko IP-a, što omogućava da se aplikacije nalaze bilo gde na mreži.
Interfejsi standardnih protokola uključujući Telephony Application Programming Interface
(TAPI), Java Telephony Application Programing Inteface (JTAPI), Simple Object Access
Protocol (SOAP), K.SIG, H.323, Media Gateway Control Protocol (MGCP) i Session
Initiation Protocol (SIP) su na raspolaganju za podršku nezavisnih aplikacija.
“Endpoints” sloj - Sloj terminalnih ureĎaja korisniku donosi aplikacije, bilo da je krajnji
ureĎaj CISCO IP telefon, lični računar koji koristi softverski telefon ili komunikacioni
klijent ili video terminal. CISCO UC obezbeĎuje multi protokolnu podršku za Skinny
Control Protocol (SCCP), H.323, MGCP i SIP.
18.3 Zahtevi Telefonske komunikacije
Mora se zadovoljiti potreba telefonske komunikacije korisnika, u čemu nam pomaže CUCM ruter.
Jedini ruter 2118 u Packet traceru koji moze da podrzi konfiguraciju telefona – telephony service.
Ima mogućnost da se konfiguriše kao telefonska centrala IP telefonima, tačnije kao komunikacioni
menadžer. IP telefoni mogu biti korisni kada je potrebno prebaciti poziv klijenta na drugo odeljenje.
Ovaj uređaj ima sledeće funkcionalnosti unutar mrežnog sistema:
Registrovanje novih telefonskih korisnika
Dodeljivanje telefonskog broja, telefonske linije
Mogućnost povezivanja telefona sa različitih lokacija.
112
18.4 Prikaz running konfiguracije CUCM rutera
CUCM# show running-config
Building configuration...
Current configuration : 3394 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname CUCM
!
!
!
!
ip dhcp excluded-address 10.0.120.1 10.0.120.99
ip dhcp excluded-address 10.0.220.1 10.0.220.99
!
ip dhcp pool VoiceZgrada1
network 10.0.120.0 255.255.255.0
default-router 10.0.120.1
option 150 ip 10.0.33.11
ip dhcp pool VoiceZgrada2
network 10.0.220.0 255.255.255.0
default-router 10.0.220.1
option 150 ip 10.0.33.11
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
!
!
!
!
113
!
!
interface FastEthernet0/0
ip address 10.0.33.11 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
router rip
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.33.1
!
ip flow-export version 9
!
!
!
no cdp run
!
!
!
!
!
telephony-service
max-ephones 40
max-dn 40
ip source-address 10.0.33.1 port 2000
auto assign 1 to 22
auto assign 1 to 40
!
ephone-dn 1
number 1001
!
ephone-dn 2
number 1002
!
ephone-dn 3
number 1003
!
ephone-dn 4
number 1004
!
114
ephone-dn 5
number 1005
!
ephone-dn 6
number 1006
!
ephone-dn 7
number 1007
!
ephone-dn 8
number 1008
!
ephone-dn 9
number 1009
!
ephone-dn 10
number 1010
!
ephone-dn 11
number 1011
!
ephone-dn 12
number 1012
!
ephone-dn 13
number 1013
!
ephone-dn 14
number 1014
!
ephone-dn 15
number 1015
!
ephone-dn 16
number 1016
!
ephone-dn 17
number 1017
!
ephone-dn 18
number 1018
!
ephone-dn 19
number 1019
!
ephone 1
device-security-mode none
mac-address 0003.E4E1.6760
type 7960
button 1:1
!
115
ephone 2
device-security-mode none
mac-address 000D.BD20.564A
type 7960
button 1:2
!
ephone 3
device-security-mode none
mac-address 000B.BE0D.3340
type 7960
button 1:3
!
ephone 4
device-security-mode none
mac-address 0005.5E93.44E6
type 7960
button 1:4
!
ephone 5
device-security-mode none
mac-address 0060.5C86.67A5
type 7960
button 1:5
!
ephone 6
device-security-mode none
mac-address 00D0.D38D.C4AA
type 7960
button 1:6
!
ephone 7
device-security-mode none
mac-address 0000.0C70.1567
type 7960
button 1:7
!
ephone 8
device-security-mode none
mac-address 0001.C7D8.AB19
type 7960
button 1:8
!
ephone 9
device-security-mode none
mac-address 00D0.BCD7.0C21
type 7960
button 1:9
!
ephone 10
device-security-mode none
mac-address 0030.A382.6596
116
type 7960
button 1:10
!
ephone 11
device-security-mode none
mac-address 00E0.A346.1290
type 7960
button 1:11
!
ephone 12
device-security-mode none
mac-address 00E0.B03E.73CD
type 7960
button 1:12
!
ephone 13
device-security-mode none
mac-address 0060.4769.D93A
type 7960
button 1:13
!
ephone 14
device-security-mode none
mac-address 0001.C74D.E000
type 7960
button 1:14
!
ephone 15
device-security-mode none
mac-address 0005.5E2B.82BD
type 7960
button 1:15
!
ephone 16
device-security-mode none
mac-address 00D0.5875.0EC6
type 7960
button 1:16
!
ephone 17
device-security-mode none
mac-address 0002.1718.A418
type 7960
button 1:17
!
ephone 18
device-security-mode none
mac-address 0001.9664.1EC8
type 7960
button 1:18
!
117
ephone 19
device-security-mode none
mac-address 0002.16C4.D0D0
type 7960
button 1:19
!
ephone 20
device-security-mode none
mac-address 0002.16C6.8CEE
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
19. KORIŠĆENJE CISCO DISCOVERY PROTOCOLA - CDP
Cisco Discovery protocol (CDP) je vlasnički protocol koji je Cisco dizajnirao kao pomoć
administratorima pri sakupljanju informacija kako o lokalnim, tako i o udaljenim ureĎajima.
Korišćenjem CDP protokola možemo da sakupimo informacije o hardveru i protokolima susednih
ureĎaja, što je veoma korisno znati radi rešavanja nekog problema i dokumentovanja mreže. Mrežni
ureĎaji periodično oglašavaju njihove informacije u multicast adresi na mreži, što je čini dostupnoj
bilo kom ureĎaju ili aplikaciji koji odluče da slušaju i da je prikupe. U informacije mogu da spadnu
tip ureĎaja, verzije hardvera i softvera, VLAN-ovi kao i IP adrese. CDP je podrazumevano
omogućen. Ponekad iz sigurnosnnih razloga je poželjno onemogućiti CDP protokol na mrežnom
ureĎaju, jer postoji mogućnost da napadač može da prikupi dragocen uvid u raspored mreže kao što
su IP adrese, verzije IOS-a i vrste ureĎaja. Komanda show cdp daje informacije o dva globalna
parametra koja mogu da se konfigurišu na cisco ureĎajima:
1. CDP tajmer pokazuje koliko često se CDP paketi prenose svim aktivnim interfejsima
2. CDP vreme zadrţavanja (holdtime) je vreme za koje će ureĎaj zadržati pakete primljene
od susednih ureĎaja
Da bi se onemogućio CDP protokol na odreĎenom interfejsu, upisuje se komanda no cdp enable u
konfiguracionom modu interfejsa. Ovom komandom CDP je i dalje omogućen na ureĎaju, ali se
više neće oglašavati na tom interfejsu. Da bi se ponovo omogućio cdp protokol na tom interfejsu
118
upisuje se komanda cdp enable. Sledeći izlaz pokazuje komandu show cdp neighors upotrebljenu
na core sviču.
Slika 19.1 Prikaz komande na layer 3 sviču - show cdp neighbor
Kao što vidimo, ova komanda nam prikazuje važne informacije o direktno povezanim ureĎajima.
Objašnjenje polja komande show cdp neighbor:
Device ID - Naziv direktno povezanog ureĎaja
Local Interface - Port ili interfejs na kojem primamo CDP paket
Holdtime - Vreme za koje će layer 3 ureĎaj zadržati informaciju pre nego što je odbaci, ako ne
primi više ni jedan paket
Capability - Sposobnost suseda - da li se radi o ruteru ili sviču, kodovi sposobnosti su navedeni na
vrhu izlaza komande
Platform - Vrsta Cisco ureĎaja. Ovde vidimo da su nam i distributivni i core svičevi serije 3650, a
dmz svič je layer2 svič i on nam je 2960
Port ID - Port ili interfejs susednog ureĎaja na kojem se vrši višesmerno odašiljanje CDP paketa
119
Postoji još jedna komanda koja prikazuje informacije o susedima show cdp neighbors details, ova
komanda prikazuje detaljne informacije o svakom ureĎaju koji je povezan direktno sa ureĎajem na
koje izvršavamo komandu. Pogledaćemo primer izlaza ove komande.
Slika 19.2 Prikaz - deo komande show cdp neighbor detail na core sviču
Ovde vidimo da su nam dati nazivi i IP adrese svih direktno povezanih ureĎaja, ova komanda
prikazuje i IOS verziju susednog ureĎaja.
120
20. ZAKLJUĈAK
Projekat obraĎen u ovom diplomskom radu objašnjava osnovne uslove za projektovanje računarske
mreže jedne privatne bolnice i kvalitetne i skalabilne zahteve za siguran rad mreže. Zbog ugraĎene
redudantnosti veza, rutera i svićeva, mreža je veoma dostupna (high-availability) i otporna na
otkaze (fault-tolerant), ali i izuzetno skupa za sprovoĎenje. Bitno je pravilno postaviti ureĎaje
po slojevima, ne bi li kasnija nadogradnja bila laka. Svi ureĎaji korišćeni u datom mrežnom
rešenju su visoko kompatibalni sa visokim zahtevima mreže. UreĎaji korišćeni u mrežnom rešenju
pružaju visok stepen pouzdanosti, sigurnosti skalabilnosti mreže i podržavaju sve tražene
funkcionalnosti.
Korišćeni su Cisco ureĎaji i Cisco patentirani protokoli naspram standardnih gde god je to bilo
moguće. Na početku je opisana topologija projekta, mrežna infrastruktura - prikazivajući fizičko
povezivanje ureĎaja i koji kablovi su najbolji izbor za datu projektovanu mrežu. Protokoli za
uspostavljanje komunikacije u mreži su standardizovani i opšte prihvaćeni. EIGRP koji je
implementiran kao protokol za razmenu ruting informacija zbog njegove prednosti kompozitne
metrike što omogućava izbor bolje putanje s jedne strane i zbog brzine rada s druge strane, i zbog
njegove pouzdanosti sa veoma kratkim vremenom konvergencije. Na drugom mrežnom nivou OSI
modela implementiran je opšte prihvaćen 802.1Q standard. Interfejsi izmeĎu svičeva su postavljeni
u Etherchannel mod rada čime se obezbeĎuje ravnoprana raspodela saobraćaja u mreži i čime se
povećava propusni opseg izmeĎu svičeva. Etherchannel interfejsi rade u trunk modu kako bi
komunikacija izmeĎu različitih VLAN-ova bila moguća. TakoĎe konfigurisan je Hot Standby
Router Protocol (HSRP) protokol sa ciljem da se stvori redudansa default gateway-a bez dodatne
konfiguracije na krajnjim ureĎajima i obezbedi sigurnost uvek dostupne mreže, ako aktivni ruter
otkaže, standby router će automatski preuzeti ulogu aktivnog rutera.Protokol za prevenciju petlji u
mreži je opisan Spanning Tree Protocol. Obzirom da je u datom projektu tražen visok stepen
bezbednosti i zaštite implementiran je veliki broj zaštitnih mehanizama u mreži. Izabrani modeli
Cisco ureĎaja podržavaju sve zahtevane protokole za bezbednost i veoma ih efikasno procesiraju.
Postavljeni su redudantno ASA ureĎaji koji su zaduženi da održe bezbednost podataka koji se
rutiraju na internetu i sačuvaju mrežu od raznih upada spolja. Za kontrolu pristupa korišćene su
Acces-liste koje pružaju statičku zaštitu mreži. Za potrebe bezbednosti na L2 nivou implementiran
je veliki broj neophodnih mehanizama.Ovime se obezbeĎuje siguran rad u LAN mreži kao i
sigurnost LAN protokola.
121
U datom mrežnom rešenju neophodno je praćenje, beleženje i menadžment svih relevantnih
dogaĎaja. Protokoli koji će vršiti te funkcije su SNMP, NTP i drugi. SNMP je standardizovan
protokol koji se koristi za menadžment i upravljanje mrežnim elementima, kojim se manipuliše
preko centralizovanog servera na kome je instaliran SNMP menadžer softver. Projekat kompletno
integriše razmenu data i voice saobraćaja. Implementirana unificirana Cisco arhitektura koja
predstavlja realizaciju kompletnog voice rešenja. Korisnici mreže će glasovno komunicirati uz
pomoć Cisco IP telefona poslednje generacije. UreĎaji koji kontrolišu uspostavu poziva i praćenje
kontrole rada protokola za voice komunikaciju su centralno integrisani. Sve funkcije i potrebe za
jedno ovakvo kvalitetno rešenje su podržane od strane Cisco ureĎaja. Predstavljeno mrežno rešenje
i mrežni dizajn napisan je po najsavremenijim standardima u svetu komunikacionih tehnologija.
Ovo je šema mreže kojoj treba težiti jer je izuzetno skalabilna i lako se njom upravlja zbog cisco
hijerarhijskog modela i ostalih prednosti cisco tehnologija.
122
LITERATURA
[1] Zeb Hallock, John Johnston, Fernando Macias, Roland Saville, Srinivas Tenneti, Mike Jessup,
Suyog Deshpande, Tim Szigeti: “Cisco Unified Access (UA) and Bring Your Own Device (BYOD)
CVD”, August 28, 2014
[2] Brent D. Stewart, Clare Gough: “CCNP BSCI Official Exam Certification Guide, Fourth
Edition”, 2008
[3] David_Hucaby: “CCNP_SWITCH_642-813_Official_Certification_Guide”, 2010
[4] Omar Santos, John Stuppi: “CCNA Security 210-260 Official Cert Guide” , 2015
[5] Jay Cedrone, Steve Gyurindak, Zeb Hallock, John Strika, Srinivas Tenneti: “Unified Access
Design Guide”, 2011
[6] Todd Lammle: “CCNA Cisco Certified Network Associate: Ispit 640-801”, 2005
[7] https://www.netacad.com/
[8] http://www.omnisecu.com/