Diplomski rad RRAS

Lovrenco Vladislavi

1. Uvod i povijest Microsoft je oduvijek bio ambiciozna kompanija, te je pokuavao proiriti svoje proizvode na sve ira trita. Trite raunalnih mrea je bilo vrlo bitno trite, te je Microsoft elio stati rame uz rame sa poznatim proizvoaima mrene opreme kao npr. Cisco, 3Com ili Bay Networks. Proboj na to trite je napravio izradom programskog usmjerivaa. Prvi takav proizvod bio je Multi-Protocol Router 1.0 sadran u NT 3.51 i NT 4.0 platformi. MPR v1 je pruao veoma ogranienu usmjerivaku funkcionalnost: RIP v1, RIP v2, i statiko usmjeravanje bile su jedine opcije. Ipak, mnoge organizacije su iskoristile ovu ogranienu funkcionalnost da bi segmentirale male mree i izbjegle kupovinu skupih sklopovskih usmjerivaa. Koristei spomenutu funkcionalnost, bilo je mogue spojiti Windows NT na dvije odvojene podmree i komunikacija je bila osigurana. Bilo koja mrena kartica koja je radila pod NT-jem mogla je biti iskoritena za usmjeravanje tako da je proirivanje sustava bilo vrlo jeftino. Oba tada popularna protokola TCP/IP i IPX/SPX bila su potpuno podrana. MPR v1 patio je od mnogih problema, ukljuujui loe performanse, nekompatibilnost sa standardnim RIP usmjerivaima i ogranien broj mogunosti. Najvei prigovori upuivani su nedostatku IP filtriranja, nedostatku robusnijeg usmjerivakog protokola OSPF, te tekom upravljanju. Naime, u GUI suelju je bilo dostupno veoma malo opcija, tako da se upravljanje trebalo izvoditi koristei naredbeni redak koji je bio tei za koritenje nego kod klasinih sklopovskih usmjerivaa. Kako bi otklonio ove nedostatke Microsoft je predstavio Routing nad Remote Access Service kao besplatni dodatak Windowsima NT 4.0. Osim osobina koje je imao prethodnik, novi servis je bio robusniji te je dodao podrku za OSPF. Da bi ostali proizvoai programske podrke mogli koristiti ovaj servis, Microsoft je razvio i objavio API (Aplication programming interface). API je takoer omoguio proizvoaima poput Cisco-a i 3Coma da razvijaju upravljake programe za usmjerivake protokole koje su sami razvili ili dopunili. Na ovaj nain Windows NT posluiteljima osigurali su kompatibilnost sa sklopovljem vodeih proizvoaa mrene opreme. Jo neke nove osobine koje su dodane bile su Virtual Private Networking uz koritenje PPTP protokola i Dial-on-Demand Routing (DDR). Cijeli ovaj paket bio je besplatan i dostupan svima na Microsoftovoj Internet stranici. Razvoj RRAS servisa je nastavljen je nastavljen dalje, te je u operativnom sustavu Windows 2000 Server postao dostupan, ne kao dodatak, ve kao dio operativnog sustava. U Windows Server 2003 OS-u RRAS servis takoer dolazi kao dio operativnog sustava te se podrazumijevano instalira sa samim operativnim sustavom u neaktivnom stanju. Ovaj servis je softverski usmjeriva i nudi mogunost usmjeravanja kako za male lokalne (LAN) mree, tako i za mree irokog dosega (WAN). RRAS donosi mnoge korisne osobine i radi sa irokom lepezom sklopovlja i stotinama mrenih adaptera. Podrava standardne usmjerivake protokole RIP i OSPF, unicast i multicast usmjeravanje, demand-dial usmjeravanje, prevoenje mrenih adresa (NAT), virtualne privatne mree (VPN) itd. Kako je RRAS servis integriran u sam OS bitno je naglasiti da on koristi ostale servise ovog posluiteljskog sustava kao npr. korisnike raune i kreirane politike. Upravljanje je dostupno bilo kroz Graphical User Interface (GUI) RRAS konzole te kroz naredbeni redak, gdje postoji mnotvo naredbi za nadziranje i upravljanje mreom.

Diplomski rad RRAS

Lovrenco Vladislavi

2. Routing and Remote Access Setup Wizard (RRAS arobnjak)

Konfiguracije posluitelja za udaljeni pristup Kada se pokerene RRAS Setup Wizard on nam predlae izbor solucija za udaljeni pristup. Ukoliko niti jedna od ponuenih mogunosti ne odgovara korisniku, mogua je naknadna konfiguracija postavki nakon to arobnjak zavri sa radom ili je mogue odabiranje tzv. Custom nain konfiguracije, gdje se sve postavke ureuju runo. Uobiajena RRAS rjeenja obuhvaaju dial-up veze, VPN veze, NAT i sigurne veze izmeu dvaju privatnih mrea. Udaljeni pristup dial-up vezom.

slika xx

Ukoliko odaberemo opciju Remote access (dial-up), posluitelj na kojemu se izvodi RRAS servis biti e konfiguriran tako da dozvoli udaljenim klijentima spajanje na privatnu mreu. Spajanje e se odvijati koritenjem modemske veze. Mogue je koritenje banke modema (vidljivo na slici) ili sam posluitelj moe imati na sebi instaliran odreeni broj modema. Da bi se konfigurirao ovakav tip posluitelja koristei arobnjak, potrebno je kliknuti na Remote Access, odabrati Dial-up check-box i slijediti korake. Nakon to arobnjak zavri sa radom, mogu se konfigurirati dodatne opcije. Primjerice, mogue je odabrati nain kako e posluitelj odgovoriti na dolazei poziv, na koji e nain posluitelj provjeriti koji udaljeni klijenti imaju pravo pristupa privatnoj mrei, da li posluitelj usmjerava mreni promet izmeu udaljenih klijenata i privatne mree i slino.

Diplomski rad RRAS

Lovrenco Vladislavi

Udaljeni pristup VPN vezom

Ukoliko odaberemo opciju Remote access (VPN), posluitelj na kojemu se izvodi RRAS servis bit e konfiguriran na nain da e dozvoljavati udaljenim klijentima pristup privatnoj mrei preko javne mree-Interneta. Da bi se posluitelj arobnjakom konfigurirao na ovaj nain potrebno je kliknuti na Remote Access, odabrati check-box VPN i slijediti korake. Nakon to arobnjak zavri sa radom, mogu se konfigurirati dodatne opcije. Na primjer, konfiguriramo kako e posluitelj provjeravati koji VPN klijenti imaju pravo spajanja na privatnu mreu, ili hoe li posluitelj usmjeravati mreni promet izmeu VPN klijenata i privatne mree. Network address translation (NAT)

Ukoliko odaberemo ovu opciju , posluitelj na kojemu se izvodi RRAS e biti konfiguriran za dijeljenje Internet veze meu ostalim raunalima na privatnoj mrei. Ujedno e vriti prevoenje prometa izmeu svoje javne IP adrese i privatne mree. Vie o ovome u odjeljku NAT. Da bismo konfigurirali ovaj nain rada posluitelja, potrebno je kliknuti na opciju NAT i slijediti korake. Nakon to arobnjak zavri sa radom, mogue je konfigurirati dodatne opcije kao npr.: konfiguracija paket filtara (vie u odjeljku firewall), odluivanje koji servisi su dostupni na javnom suelju i slino.

Diplomski rad RRAS

Lovrenco Vladislavi

VPN i NAT

Kada se odabere opcija VPN and NAT, posluitelj je konfiguriran za osiguravanje NAT servisa na privatnim mreama ali i za prihvat VPN veza. Raunala na Internetu na ovaj nain nisu u mogunosti odrediti IP adrese raunala koja se nalaze na privatnoj mrei. Ipak, VPN klijenti e biti u mogunosti komunicirati sa raunalima na privatnoj mrei kao da su fiziki prisutni na toj mrei. Da bismo arobnjakom konfigurirali ovaj tip posluitelja, potrebno je kliknuti na VPN and NAT opciju te slijediti korake. Sigurna veza izmeu dviju privatnih mrea

Ukoliko odaberemo ovu opciju, dva posluitelja na kojima se izvodi RRAS servis biti e konfigurirana za povezivanje dvije privatne mree kroz javnu mreu-Internet. Sigurnost podataka u ovom sluaju je od primarne vanosti, zbog toga e se koristiti protokoli za tuneliranje i enkripciju privatnih podataka. Treba istaknuti da RRAS arobnjaka treba u ovom sluaju pokrenuti na oba posluitelja. Veza izmeu ovih dvaju posluitelja moe biti stalna (engl. Persistent, always on) ili na zahtjev(engl. On demand, demand-dial). Da bismo konfigurirali ovaj tip veze arobnjakom, potrebno je kliknuti na Secure connection between two private networks i slijediti korake. Nakon to arobnjak zavri sa radom, mogue je na svakom posluitelju ponaosob odabrati dodatne opcije. Primjerice, mogue je konfigurirati

Diplomski rad RRAS

Lovrenco Vladislavi

koje usmjerivake protokole svaki posluitelj prihvaa, te kako svaki posluitelj usmjerava promet izmeu dvije mree. Nakon to arobnjak zavri sa radom, a u ovisnosti o odabranoj opciji prikae se RRAS konzola (na slijedeoj slici) kroz koju je mogue vriti daljnju konfiguraciju svih postavki.

3. Routing (Usmjeravanje) Usmjeravanje na Internetu Primarna uloga usmjeravanje kod paketnih mrea je osiguravanje dostupnosti od izvorita do odredita toka podataka, dok je sekundarna uloga optimalno iskoritavanje resursa mree i kvaliteta usluge. Usmjerivai ostvaruju te funkcije. Prvobitno su usmjerivai unutar Interneta bili organizirani hijerarhijski, to je bilo naslijeeno od ranije ARPANET arhitekture. Postojao je centralni sustav, jezgra mree, kroz ije su usmjerivae (core gateways) prolazile informacije o usmjeravanju meu svim mreama Interneta. Rastom Interneta, naglo je rasla koliina usmjerivakih informacija koje je jezgra trebala obraditi, te je to postao glavni nedostatak hijerarhijskog modela. Novi model usmjeravanja zasniva se na ravnopravnim autonomnim sustavima. Svaki autonomni sustav sastoji se od grupe mrea koje su pod istom administrativnom upravom. Takav koncept donio je podijelio je usmjerivae na:

Vanjske - koji obavljaju usmjeravanje i razmjenu informacija o usmjeravanju izmeu razliitih autonomnih sustava.

Unutarnje - koji usmjeravaju pakete unutar autonomnih sustava. Okosnica (backbone) povezuje vanjske usmjerivae i predstavlja najviu razinu usmjeravanja. Paketi IP protokola isporuuju se optimalnim putem do usmjerivaa preko kojega je dostupna osnovna podmrea odredita. Osnovna podmrea ili autonomni sustav, raspolae sa jednom ili vie adresnih klasa a karakterizira je vlastita administracija adresa. Dijeli se na podmree sa fiksnom (klase) ili varijabilnom (adresna maska) mrenom adresom. Ostvaruje se jednostavnom do srednje sloenom mreom unutranjih usmjerivaa na koje su povezane podmree. IP paketi se usmjeravaju optimalnim putem do usmjerivaa preko kojega je dostupna podmrea odredita. Podmrea (subnetwork) je dio koji obuhvaa jednu zonu prostiranja lokalne mree, a ija je mrena IP adresa odreena klasom ili mrenom maskom. Podmrea je s osnovnom podmreom (autonomnim sustavom) povezana najee sa samo jednim usmjerivaem , koji za raunala podmree predstavlja osnovni usmjeriva (podrazumijevani poveznik, default gateway). Pakete koji dolaze na podmreu osnovni usmjeriva pakira u okvire sa MAC (Media Access Control) adresom odredita i prosljeuje ih lokalnom mreom. Pakete koji idu van iz podmree, izvorite pakira u okvire sa MAC adresom osnovnog usmjerivaa, koji e ih proslijediti dale kroz autonomni sustav. Pakete

Diplomski rad RRAS

Lovrenco Vladislavi

kojima je izvorite i odredite na istoj podmrei (unutar granica zone prostiranja), izvorite pakira u okvire sa MAC adresom odredita i alje ih direktno odreditu. U sva tri sluaja, pripadnost paketa podmrei odreuje se na osnovu mrenog dijela IP adrese, a pretvorba IP adrese odredita ili usmjerivaa u MAC adresu obavlja se koritenjem ARP protokola. Na slijedeoj slici vidimo primjer kada usmjeriva prima paket sa svojom MAC adresom, a IP adresa se odnosi na drugu podmreu. U tom sluaju on zamjenjuje MAC adresu sa MAC adresom odredinog raunala i prosljeuje paket na odgovarajue mreno suelje.

Usmjerivaki protokoli Protokole usmjeravanja razlikujemo na osnovi nekoliko karakteristika. Najprije, potrebe koje je dizajner odreenog protokola elio pokriti, odreuju budui rad tog protokola. Nadalje, postoji vie vrsta usmjerivakih protokola. Svaki od njih ima razliit utjecaj na mrene i usmjernike resurse. Takoer, usmjerivaki protokoli koriste razliite vrste metrike za izraunavanje optimalnih staza. Pa ipak, slijedeim osobinama tee svi protokoli usmjeravanja:

Optimalnost - sposobnost protokola da odabere najbolju stazu. Najbolja staza ovisi o razliitim vrstama metrike i teine metrike u odnosu na alternativnu.

Jednostavnost - Usmjerivaki protokoli se dizajniraju da budu to jednostavniji. Moraju osigurati to veu efikasnost, a istovremeno biti to jednostavnije softverski rijeeni i zahtijevati to manje fizike resurse raunala.

Robusnost - Usmjerivaki protokoli moraju biti robusni. Drugim rijeima, moraju zadrati sve svoje pozitivne osobine bez obzira na nepredviene okolnosti kao problemi sa sklopovljem, preoptereenja i sl. Usmjerivai su obino locirani na kljunim mjestima na mrei tako da svaka nepravilnost u radu moe prouzroiti velike probleme. Najbolji usmjerivaki protokoli su oni koji su se dokazali pouzdanima kroz dugogodinje koritenje u razliitim uvjetima.

Brza konvergencija - Konvergencija je izuzetno vana osobina usmjerivakih protokola. To je proces meusobnog dogovaranja usmjerivaa o najoptimalnijim stazama na mrei. Kada neki dogaaj na mrei prouzroi nedostupnost odreenog usmjerivaa, ostali usmjerivai razmjenjuju poruke kojima auriraju stanja svojih usmjerivakih tablica da bi se izbjeglo slanje paketa na neispravan usmjeriva.

Fleksibilnost - Osobina koja govori da protokoli moraju brzo i pravovremeno reagirati na razliite dogaaje na mrei. Primjerice ako odreeni mreni segment postane nedostupan, mnogi usmjerivaki protokoli, nakon to saznaju za ovaj problem, preusmjeriti e promet preko nekog drugog segmenta. Ovakve odluke se donose na osnovu propusnosti mree, kanjenja, memorijskog kapaciteta usmjerivaa i slinih varijabli. to je vie ovih osobina ugraeno u protokol, on je fleksibilniji.

Tipovi usmjerivakih protokola Usmjerivaki protokoli se dijele na slijedeih nekoliko tipova:

Statiki ili dinamiki - Statike protokole teko da i moemo nazvati protokolima. Statike tablice usmjeravanja kreira mreni administrator prije samog poetka

Diplomski rad RRAS

Lovrenco Vladislavi

usmjeravanja. One se ne mijenjaju ukoliko ih sam administrator ne promijeni. Zbog toga se i nazivaju statikima. Algoritmi koji koriste statike staze rade dobro u okrujima gdje je mreni promet predvidljiv i gdje su mree relativno jednostavnog dizajna. Obzirom da statiki algoritmi ne reagiraju na promjene u strukturi i funkcionalnosti mree, smatraju se nepodobnima za dananje velike mree. Dinamiki protokoli se u realnom vremenu prilagoavaju promjenama u strukturi i funkcionalnosti mree. Ovo se dogaa tako da protokoli analiziraju obavijesti odaslane sa drugih usmjerivaa, te ukoliko se na mrei dogodila promjena, preraunavaju staze i alju obavijesti o auriranim stazama dalje na mreu. Veina dananjih protokola su dinamiki.

Jednosmjerni ili viesmjeni (Single-Path or Multipath) - Neki sofisticirani usmjerivaki protokoli podravaju viesmjerne staze do odredita. Ovi protokoli podravaju multipleksiranje prometa preko nekoliko razliitih staza istovremeno. Prednost nad jednosmjernima je oigledna: vea propusnost i pouzdanost

Jednakovrijedni ili hijerarhijski (Flat or Hierarchical) - Postoje usmjerivaki protokoli koji rade na istoj razini, dok drugi koriste hijerarhijski usmjerivaki sustav. U flat sustavima svi usmjerivai su jednakovrijedni, dok u hijerarhijskim sustavima neki usmjerivai tvore tzv. Usmjerivaku okosnicu (routing backbone). Usmjerivaki sustavi esto tvore logike grupe vorova zvane domene(domains), autonomne sustave (autonomous systems) ili podruja (areas). U hijerarhijskim sustavima, neki usmjerivai u odreenoj domeni mogu komunicirati samo sa usmjerivaima koji se nalaze unutar te domene, dok drugi, koji se nalaze na viem hijerarhijskom nivou, komuniciraju sa usmjerivaima istog nivoa u drugim domenama. U velikim mreama ova hijerarhija se multiplicira, dijelei mreu na vie zona. Usmjerivai sa najviim hijerarhijskim nivoom nazivaju se backbone routers. Najvea prednost hijerarhijskih sustava je u tome to oponaaju organizaciju velikih korporacija. Naime, logino je da se veina prometa na mrei odvija unutar pojedine domene (workgroup), tako da unutarnji (intradomain) usmjerivai moraju znati informacije samo o usmjerivaima unutar njihove domene to bitno pojednostavljuje protokole koje oni koriste i ne generira veliku koliinu usmjerivakih obavijesti na mrei.

Host-Intelligent or Router Intelligent - Neki usmjerivaki protokoli pretpostavljaju da e izvorini vor odrediti cijelu stazu kojom paket mora proi do odredita. Ovo se esto naziva Source routing. U ovakvim sustavima, usmjerivai se ponaaju po principu uskladiti i proslijedi (store and forward), neaktivno prosljeujui pakete na osnovi naputka koje je dalo host (izvorino) raunalo. Naprotiv, postoje protokoli koji pretpostavljaju da izvorino raunalo ne zna nita o stazama, te oni sami odreuju putanju paketa vodei se vlastitim tablicama i izraunima. Razlika izmeu ovih dvaju naina usmjeravanja je slijedea: Host inteligentni sustavi u pravilu odabiru bolje staze jer otkrivaju sve dostupne staze prije no to je paket poslan na mreu. Ova akcija otkrivanja zahtjeva generiranje dodatnog prometa na mrei pri otkrivanju staza te znaajan utroak vremena, to kod drugog tipa usmjeravanja nije sluaj.

Unutarnji i Vanjski (Intradomain or Interdomain) - Neki protokoli rade samo unutar domena, dok drugi rade meu domenama. Priroda ovih protokola je u sutini razliita zbog same namjene, stoga vrijedi pravilo da optimalan unutarnji usmjerivaki protokol nije nuno i optimalan vanjski protokol. Unutarnji usmjerivaki protokoli obavljaju funkcije usmjeravanja u autonomnim sustavima i zovu se Interior Gateway Protocols (IGP). Vanjski protokoli obavljaju funkcije usmjeravanja izmeu tih autonomnih sustava i povezuju ih sa Internetom. Slubeno ih nazivamo Exterior Gateway Protocols (EGP).

Diplomski rad RRAS

Lovrenco Vladislavi

Link State or Distance Vector - Link State protokoli (poznati kao Shortest Path First) alju poplavu informacija o stazama svim voritima u mrei. Svaki usmjeriva alje samo dio tablice usmjeravanja koji opsuje stanje njegovih linkova sa susjedima. Distance Vector algoritmi (poznati kao Bellman-Ford algoritmi) alju cijelu ili dio svoje tablice usmjeravanja samo svojim susjedima. U sutini, Link State protokoli alju manje obavijesti svuda, dok Distance Vector algoritmi alju vee obavijesti susjednim usmjerivaima. Poto imaju bru konvergenciju, Link State protokoli su otporniji na tzv. usmjerivake petlje(rooting loops). Ipak, Link State protokoli zahtijevaju vie procesorske snage i memorijskih resursa od Distance Vector protokola, tako da mogu biti mnogo skuplji za implementaciju i odravanje. Bez obzira na razliitosti obje vrste protokola su se pokazali veoma pouzdanima u razliitim okolnostima, a WS2003 podrava rad sa obje vrste protokola.

Usmjerivaki protokoli u Windows Server 2003

Routing Information Protocol (RIP) RIP je usmjerivaki protokol originalno dizajnitan za Xerox PARC Universal Protocol (prvo ime GWINFO) i koriten u Xerox Network Systems (XNS) skupu protokola. RIP je povezan sa UNIX i TCP/IP protokolon 1982 kada se je BSD verzija UNIX-a poela isporuivati sa implementiranim RIP protokolom. RIP, koji je jo uvijek veoma popularan usmjerivaki protokol, je formalno definiranu XNS publikaciji Internet Transport Protocols (1981) i u dokumentu RFC 1058 iz 1988. godine. RIP su prihvatili i prilagodili svojim potrebama mnogi proizviai osobnih raunala, te ga iskoristili u svojim proizvodima.. Primjerice, Appletalk usmjerivaki protokol- Routing Table Maintenance Protocol (RTMP) je modificirana verzija RIP protokola. RIP je takoer bi baza za usmjerivake protokole razliitih proizvaaa kao npr: Novell, 3Com, Ungermann-Bass i Banyan. Svi oni su radili manje modifikacije RIP protokola kako bi posluio njihovim potrebama. Ovo je danas najei protokol usmjeravanja za autonomne sustave to ne znai da je i najbolji. To je Distance Vector protokol, to znai da procjenjuje najbolji put do odredita pomou usmjerivake tablice koja sadri udaljenost u skokovima (hops) i vektor (smijer) do odredita. ---slika k Na slici su prikazana dvije lokacije(site-a) neke kompanije sa dvije linije izmeu kojih su usmjerivai. Korisnik na radnoj stanici A se eli povezati sa resursom koji se nalazi na posluitelju A. Kada usmjeriva A primi prvi paket sa radne stanice A i shvati da njegovo odredite nije na lokalnoj mrei, on pregledava svoju tablicu usmjeravanja da bi utvrdio moe li pronai putanju kojom bi podaci stigli na odredite. U koliko postoji vie staza, kao to je ovdje sluaj, usmjeriva donosi odluku koju e putanju upotrijebiti. Pojednostavljena tablica usmjeravanja izgledala bi ovako: Odredite: Slijedei_skok Metrika Posluitelj_A Usmjeriva_D 1 Posluitelj_A Usmjeriva_B 2 Usmjeriva A ima dvije putanje kojima moe isporuiti paket. Prava tablica usmjeravanja ne sadri stvarna imena posluitelja ve se koriste mrene adrese. U tablici nisu navedeni svi usmjerivai kroz koje paket mora proi na putu do odredita, ve se prikazuje samo slijedei usmjeriva i ukupan broj skokova. Rane verzije RIP-a donosile su jednostavnu odluku samo na osnovu metrike koja se maziva broj skokova. U ovom sluaju, RIP bi odluio poslati paket usmjerivau D, poto ta staza pokazuje da paket treba do odredita proi kroz samo jedan usmjeriva. Kada bi usmjerio paket na usmjeriva be, on bi morao napraviti jo dva skoka. Broj skokova ne moe biti beskonaan. Kod RIP usmjeravanja, maksimalan broj skokova koji se uzima u obzir je 15. Ako je odredite udaljeno od usmjerivaa vie od 15 skokova, smatra

Diplomski rad RRAS

Lovrenco Vladislavi

se da je odredite nedostupno i usmjeriva nee ni pokuati isporuku paketa. U tom sluaju usmjeriva alje izvoritu paketa poruku ICMP Destination Unreachable. Inae, jedan od problema sa RIP usmjeravanjem je taj to ono nikad ne uzima u obzir propusni opseg puta. U gornjem primjeru putanja od usmjerivaa A do usmjerivaa C se moe sastojati od T1 veza, velike brzine, a veza izmeu usmjerivaa A do usmjerivaa D moe biti ISDN veza, RIP podatke alje ovom drugom vezom jer je manji broj skokova. Jo jedan problem RIP protokola je u tome to ne uravnoteava optereenje. Ako veliki broj korisnika pokuava pristupiti udaljenom resursu, RIP nee upotrijebiti obje dostupne putanje i podijeliti promet, ve e opet koristiti samo vezu sa najmanjim brojem skokova. Za ovo postoji rjeenje, jer se u veini implementacija RIP-a broj skokova moe konfigurirati. Metrikom se manipulira tako da se na broj vezi broj skokova postavi tako da bude manji nego na sporoj. Iako u stvarnosti postoji vei broj vorita, RIP to ne vidi ve alje pakete prema metrici koja je manja. Auriranje usmjerivaa RIP usmjerivai povremeno razmjenjuju podatke pomou UDP protokola na portu 520, tako da svaki usmjeriva moe odravati aurnu tablicu usmjeravanja. U ranim verzijama RIP protokola usmjeriva bi difuzno odailjao cijelu svoju tablicu usmjeravanja. Novije verzije omoguavaju slanje samo izmjena u tablici ili odgovaranje na zahtjeve usmjeravanja drugih usmjerivaa. (Ovo se zove izazvani RIP).

4 okteta

Naredba Verzija Mora biti nula

Identifikator klase adresa Mora biti nula

IP adresa Mora biti nula Mora biti nula

Metrika Format RIP poruke za verziju 1 prikazan je na slici. Za prvu verziju protokola, najvea RIP poruka koja se moe poslati u UDP datagrami je 504 okteta. Kada se ovome doda 8 okteta UDP zaglavlja, maksimalni datagram iznosi 512 okteta. Dio koji se nalazi nakon prva 4 okteta moe se ponoviti da 25 puta, u zavisnosti od broja staza koje se alju u istoj poruci. Polja sa oznakom Mora biti nula mogu sadravati samo nula bitove. Prvo polje, Naredba, moe sadravati neku od slijedeih vrijednosti koje oznaavaju svrhu poruke: 1 Request- Ova poruka zahtjeva da primatelj poruke poalje poiljatelju poruke cijelu tablicu usmjeravanja ili njen dio. 2 Response- Ova poruka predstavlja odgovor na zahtjev i sadri cijelu tablicu usmjeravanja poiljatelja ili njen dio. Osim toga, ova poruka se moe slati kao poruka auriranja koja se ne odnosi na niti jedan konkretan zahtjev. 3 Traceon i 4 Traceoff ovo su zastarjele naredbe i treba ih ignorirati. 5 Vrijednost koja je rezervirana za Sun Microsystems za vlastite potrebe. Neke implementacije RIP-a je ignoriraju, neke ne ignoriraju. Polje verzije oznaava verziju RIP protokola. Kod verzije 1 to polje sadrava vrijednost 1. Polje Identifikator klase adresa definirano je u preporuci RFC 1058, ali je definiran samo jedan tip adrese (IP adrese) i vrijedost ovog polja bi trebala biti 2. Polje IP adresa ima etiri okteta i koristi se za mrenu adresu raunala. U veini Request poruka ovo polje sadri podrazumijevanu putanju 0.0.0.0. Poslijednje polje se koristi za broj skokova, odnosno metriku putanje. U tom polju vrijednost moe biti od 1 do 16. Vrijednost 16 znai da je

RIP zaglavlje 4 okteta RIP poruka

Diplomski rad RRAS

Lovrenco Vladislavi

odredite nedostupno. Obzirom da je prva verzija RIP-a dizajnirana prije CIDR-a (Classless Inter-Domain Routing) i prije uvoenja koncepta podmree, u preporuci ne postoji polje podmree. Zbog toga, usmjeriva mora odrediti identifikaciju mree na osnovu prva tri bita IP adrese, kojima se oznaava kojoj klasi (A,B ili C) mrena adresa pripada. Na taj nain odreuje odgovarajuu masku podmree za tu klasu. Ako adresa ne spada ni u jednu od tih klasa, usmjeriva e upotrijebiti masku podmree pridruenu suelju preko kojeg je primio poruku i primijeniti je na adresu da bi utvrdio da li je to mrena adresa. Ako se ta maska podmree ne uklopi i ne dobije se mrena adresa, primjenjuje se maska od samih jedinica (255.255.255.255), a za adresu se smatra da predstavlja adresu raunala a ne mrenu adresu. Promet poruka koji generiraju RIP usmjerivai moe biti znaajan u velikoj mrei. RIP usmjerivai airiraju tablice usmjeravanja svakih 30 sekundi zahtijevajui informacije od susjednih usmjerivaa. Oni takoer oglaavaju svoje postojanje svakih 180 sekundi. Ako se neki usmjeriva ne oglasi u tom intervalu, ostali usmjerivai smatraju da je on otkazao i mijenjaju svoje tablice usmjeravanja. ----------uskladiti u tekstu Razlog zbog ega ova vrsta poruke ima mnogo redundantnih polja koja kao vrijednost podrazumijevaju nule je taj to su projektanti prve verzije RIP-a predvidjeli budue unaprjeivanje protokola, to se je vremenom i obistinilo kroz RIP verziju 2. U preporuci RFC 1058, pravila za RIP usmjeravanje zahtijevaju da sve poruke sa brojem verzije nula treba odbaciti. Ako je broj verzije 1, poruku treba odbaciti ako bilo koje polje oznaeno sa mora biti nula sadri neku drugu vrijednost. Ako polje sadri vrijednost veu od 1, poruka se ne odbacuje. Na ovaj nain, RIP verzija 1 moe suraivati sa RIP verzijom 2. Verzija 1 ovog protokola moe ignorirati polja mora biti nula kada dobije poruku od usmjerivaa koji radi sa RIP v2, ad da ipak iz paketa prikupi informacije potrebne za auriranje tablice usmjeravanja. Ovo ipak ne osigurava potpunu kompatibilnost unatrag. Ako se u istoj mrei mijeaju usmjerivai koji rade sa RIP v1 i RIP v2, treba izbjegavati koritenje maski podmree varijabilne duljine jer RIP v1 ne bi razumio polje sa IP adresom. RIP v2 Mada su drugi protokoli, kao to je OSPF razvijeni poslije prvobitne verzije RIP-a i sadre vie funkcija, naknadno je razvijena druga verzija ovog protokola. Razlog tome je to to je RIP instaliran na mnogo mjesta, a i to to se lako instalira i konfigurira. Nadalje, za male mree nisu potrebni sloeniji usmjerivaki protokoli ve su osobine RIP-a dostatne. Verzija 2 koristi izmijenjen format poruke to se vidi iz slijedee slike

4 okteta

Naredba Verzija Mora biti nula

Identifikator klase adresa Oznaka putanje

IP adresa Maska podmree Slijedei skok

Metrika Kao to se vidi iz slike, poruka je iste duljine, ali su neka od redundantnih polja iskoritena i ovoj verziji. Polje Oznaka putanje (route tag) je administrativno polje koje se koristi da bi se oznaile odreene putanje. To polje je uvedeno u preporuci RFC 1723 da bi usmjerivai koji podravaju vie protokola mogli razlikovati RIP putanje (staze) i putanje uvezene iz drugih usmjerivakih protokola. Polje Maska podmree se koristi za implicitno uvanje maske podmree pridruene polju IP adrese da usmjeriva ne bi morao sam odreivati adresu mree

RIP zaglavlje 4 okteta RIP poruka

Diplomski rad RRAS

Lovrenco Vladislavi

ili raunala. Primjenom maske dobit e rezultat. Polje Slijedei skok se koristi za IP adresu za slanje paketa na odredite objavljeno ovom porukom usmjeravanja. Ako ovo polje ne sadri 0.0.0.0, ta adresa mora biti dostupna na logikoj podmrei iz koje potie objava usmjeravanja. Nedostaci RIP-a RIP je dobar usmjerivaki protokol za male mree, ali se nedovoljno dobro proiruje. Rano je posto vrlo popularan jer se isporuivao uz Berkley verziju UNIX-a u obliku daemona routed. Glavni nedostaci su mu: -Difuzno emitirane poruke, koje se koriste za auriranje tablica usmjeravanja mogu utroiti znaajan dio propusnog opsega mree. -Ne postoji opa metoda koja bi sprijeila pojavu usmjerivakih petlji. -Kod veih mrea, 15 skokova nije dovoljno da bi se odredilo da li je odredite dostupno. -Poruke auriranja se polako ire mreom, skok po skok (spora konvergencija) tako da nekonzistentnost tablica usmjeravanja moe dovesti do toga da usmjeriva poalje na putanju koja vie ne postoji. Open Shortest Path First (OSPF) Open shortest path first je usmjerivaki protokol razvijen za potrebe mrea baziranih na Internet Protokolu (IP). Razvila ga je IGP (Interior Gateway protocol) radna grupa inenjera zvana Internet Engineering Task Force (IETF). Ova radna grupa je formirana 1988 sa ciljem dizajniranja unutarnjeg usmjerivakog protokola baziranog na shortest path first (SPF) algoritmu. Razvijeni protokol je predvien za koritenje na Internetu, u velikim meunarodnim znanstvenim i poslovnim mreama te vladinim mreama. OSPF je primarno razvijen jer ve postojei RIP v1 nije mogao kvalitetno opsluivati velike heterogene meumree. OSPF je proiziao iz slijedeih nekoliko istraivanja:

Bolt, Beranek i Newman-ov (BBN) SPF algoritam razvijen 1978 za ARPANET Istraivanje Dr. Perlmana o rasprostiranju informacija pri usmjeravanju BBN istraivanje o usmjerivanju u zonama (area routing) Rana verzija OSI Intermediate system-to-Intermediate system usmjerivakog

protokola Kao to mu akronim kae, OSPF ima dvije primarne karakteristike. Prva je ta to je otvoren (open) za svih tj. Public domain. OSPF specifikacija je objavljena u RFC 1247 dok je druga verzija OSPF protokila definirana je u preporuci RFC 2328 . Druga bitna karakteristika je ta da je baziran na SPF algoritmu kojeg se ponekad zove i Dijkstra algoritam. OSPF je link state protokol, to znai da se ravna prema stanju veze. OSPF usmjerivai odravaju tablicu usmjeravanja u memoriji, kao i RIP usmjerivai, ali umjesto da difuzno emitiraju cijelu tablicu usmjeravanja svakih 30 sekundi oni razmjenjuju informacije o stanju veza svakih 30 minuta. U tome vremenu se eventualne promjene razmjenjuju vrlo kratkim Link State Advertisment (LSA) porukama. OSPF ne pati od ogranienja 15 skokova koje koristi RIP. Izmeu krajnjih vorova moe biti postavljeno onoliko usmjerivaa koliko zahtjeva topologija mree. Jo jedna razlika izmeu RIP-a i OSPF-a je u tome to su tvorci OSPF-a odmah predvidjeli koritenje maski podmree. Mada OSPF radi efikasnije, u velikoj mrei e razmjena informacija meu velikim brojem usmjerivaa troiti znaajan dio propusnog opsega. Zbog toga, OSPF sadri koncept podruja ili zona (engl. area) koji se koristi za dijeljenje mree na logike cjeline. Usmjerivai iz jednog podruja (obino je rije o zemljopisnoj podjeli- zgrade, kampusi sveuilita itd.) razmjenjuju LSA poruke o informacijama usmjeravanja unutar tog podruja. Svaki usmjeriva odrava bazu podataka stanja veza (Link State Database LSDB) u kojoj uva informacije koje prima iz LSA poruka susjednih usmjerivaa. Vremenom tako svaki usmjeriva ima u sutini LSDB bazu identinu bazama ostalih usmjerivaa sa kojima komunicira. Svaki usmjeriva ima identifikaciju, 32 bitni decimalni broj, jedinstven u autonomnoj mrei. Taj broj se koristi za identifikaciju LSA u LSDB. Njega treba razlikovati od IP adresa usmjerivaevih suelja, jer je to jednostavno,

Diplomski rad RRAS

Lovrenco Vladislavi

jedan broj koji slui da bi drugi usmjerivai prepoznali taj usmjeriva. Meutim, veina implementacija OSPF-a e za ovu vrijednost uzeti najveu ili najmanju IP adresu suelja usmjerivaa. Obzirom da su IP adrese jedinstvene unutar autonomne mree, identifikacije usmjerivaa e takoer biti jedinstvene. Usmjeriva koji se koristi za povezivanje autonomnih podruja sa okosnicom (engl. backbone ) drugih usmjerivaa naziva se graninim usmjerivaem (engl. border router) Zahvaljujui tome to se hijerarhija usmjeravanja gradi po ovom modelu, nije potrebno da svaki usmjeriva odrava glomaznu bazu podataka sa putanjama za sva mogua odredita. Umjesto toga, granini usmjeriva oglaava raspon adresa koje postoje u njegovom podruju, a ne svaku pojedinanu adresu. Drugi granini usmjerivai uvaju te informacije, i zato prilikom odluivanja trebaju obraditi samo jedan dio adrese, a ne cijelu adresu. Granini usmjerivai uvaju ovaj vii nivo informacija usmjeravanja kao i informacije o stazama u svom podruju. Na slijedeoj slici prikazana je mrea sa etiri glavna podruja od kojih svako sadri usmjerivae koji odravaju LSDB baze o tom podruju. Ti usmjerivai meusobno razmjenjuju informacije i tako ostaju aurni. Svako podruje ima granini usmjeriva koji spada u podruje, ali i u podruje okosnice. Ti granini usmjerivai razmjenjuju informacije svojih posebnih podruja sa drugim graninim usmjerivaima iz podruja okosnice. ---------slika OSPF zone. -k Nedostatak OSPF-a je dodatno administrativno optereenje. Osim toga, moe se dogoditi da usmjerivai slabijih performansi ne mogu obraditi koliinu informacija koju obrauje granini usmjeriva. OSPF izraunava najbolju putanju koristei Dijkstra algoritam, koji slui za izradu stabla najkraih putova (Shortest Path Tree, SPF teree) za svaki usmjeriva. To stablo sadri informacije koje vae samo sa aspekta odreenog usmjerivaa, tj. Svaki usmjeriva gradi vlastito stablo u ijoj se osnovi on sam, a grane su drugi usmjerivai koji sainjavaju mreu. Prema tome, svaki OSPF usmjeriva ima drugaije stablo od ostalih usmjerivaa u mrei. Na osnovu tog stabla usmjeriva gradi usmjerivaku tablicu koja se koristi samo za traenje koje se obavlja prilikom odabira suelja na koje treba poslati paket.

DHCP relay agent Dynamic Host Configuration Protocol relay agent je usmjerivaki protokol koji omoguava klijentima dobijanje IP adrese od DHCP posluitelja na udaljenoj podmrei. Preporuka RFC 1542 Clasification and Extension for Bootstart Protocol, definira podrku za DHCP relay agenta. Ovog agenta danas podravaju gotovo svi usmjerivai. Funkcija relay agenta omoguava podravanje klijenata u nekoj drugoj podmrei, koritenjem jednog BOOTP (Bootstrap, BOOT protokol) ili DHCP posluitelja. Obzirom da BOOTP i DHCP koriste skoro isti format okvira i iste UDP portove, veina BOOTP relay agenata e izvravati upite DHCP klijenata. Ovu informaciju je korisno znati ukoliko kombiniramo usmjerivake osobine WS2003 i neke hardverske usmjerivae na istoj mrei. DHCP klijenti emitiraju broadcast pakete DHCPDiscover koje DHCP posluitelj prima i odgovara klijentu. Obzirom da usmjerivai blokiraju broadcast poruke, DHCP klijent i posluitelj moraju biti smjeteni na istoj fizikoj podmrei. Postoji dva naina za izbjegavanje ovog ogranienja. Prvo, ako je usmjeriva koji odvaja DHCP posluitelj i klijente RFC 1542 kompatibilan, usmjeriva moe biti konfiguriran za BOOTP prosljeivanje. Na taj nain usmjeriva prosljeuje DHCP broadcast pakete i obavjetava DHCP posluitelj o podmrei sa koje potiu DHCP zahtjevi. Drugi nain je konfiguracija DHCP relay agenta na podmrei koja sadri udaljene klijente. DHCP relay agent presree DHCPDiscover pakete i prosljeuje ih udaljenom DHCP posluitelju. Iako se DHCP relay agent konfigurira kroz RRAS servis, posluitelj na kojem se ovaj proces izvrava ne mora nuno biti konfiguriran kao usmjeriva izmeu dvaju mrea. Na

Diplomski rad RRAS

Lovrenco Vladislavi

slijedeoj slici vidimo primjer mree sa instaliranim DHCP relay agentima i hardverskim usmjerivaima od kojih su neki RDC 1542 kompatibilni -----slika 9-35 Network topology with DHCP relay agent

IGMP multicasting protocol Treba napisati neto o ovom protokolu Naini usmjeravanja

Unicast usmjeravanje Unicast usmjeravanje, prosljeivanje prometa na specifinu odredinu adresu, je odreeno znanjem gdje promet moe biti isporuen na mrei. Prilikom svakog skoka na putu od izvorita do odredita donosi se usmjerivaka odluka. Usmjerivake tablice Pri odluivanju usmjeriva se vodi podacima koji se nalaze u usmjerivakim tablicama. Usmjerivaka tablica je lista unosa koji se nazivaju staze ili putanje (routes), u kojima se nalaze informacije gdje se nalaze odreeni dijelovi mree. Usmjerivaka tablica ne pripada ekskluzivno usmjerivau. Ostala raunala na mrei takoer mogu imati usmjerivaku tablicu koja se koristi za odreivanje optimalne staze. Tipovi unosa u usmjerivakoj tablici Svaki unos u usmjerivakoj tablici se smatra stazom i jednog je od slijedeih tipova:

Network route- ovaj tip staze pokazuje smjer do posebne odredine mree(posebni mreni ID). U IP tablicama usmjeravanja, Network staze su odreene bilo kojim mrenom maskom od 0.0.0.0 do 255.255.255.255

Host route pokazuje stazu do posebnog odredinog raunala ili do broadcast adrese(mreni ID ili ID vora). U IP tablicama usmjeravanja Host staze su odreene mrenom maskom 255.255.255.255.

Default route-Tablice usmjeravanja sadre samo jednu podrazumijevanu stazu. Ova staza slui usmjerivau za prosljeivanje svih paketa ija se odredina adresa ne poklapa sa niti jednom adresom u tablici usmjeravanja. U IP tablicama usmjeravanja podrazumijevana staza je odreena adresom 0.0.0.0 i mrenom maskom 0.0.0.0

Struktura usmjerivake tablice

IP usmjerivaka tablica sadri informacije u slijedeim stupcima:

Destination Odredite predstavlja odredino raunalo, adresa podmree, adresa mree ili podrazumjevana staza.

Network mask - Mrena maska se koristi u sprezi sa adresom odredita da bi se odredilo u kojim sluajevima e se staza koristiti. Maska 255.255.255.255 znai da e samo adresa koja tono odgovara adresi u polju Destination koristiti ovu stazu. Maska

Diplomski rad RRAS

Lovrenco Vladislavi

0.0.0.0 znai da bilo koja adresa odredita moe koristiti ovu stazu. Kada se maska napie u binarnom obliku 1 znai da se odgovarajui bit IP adrese mora podudarati dok 0 znai da se bit ne mora podudarati. Na primjer, odredite 172.16.8.0 ima mrenu masku 255.255.248.0. Ova mrena maska znai da prva dva okteta moraju tono odgovarati, prvih pet bitova slijedeeg okteta se takoer mora podudarati (248=11111000), te da zadnji oktet nije bitan. Trei oktet adrese 172.16.8.0 (8 u ovom sluaju) u binarnom obliku izgleda 00001000. Bez mijenjanja prvih pet bitova (podebljano) moe se dostii broj 15-binarno 00001111. Stoga, staza sa odreditem 172.16.8.0 i maskom 255.255.248.0 odgovara svim paketima namijenjenim za 172.16.8.0 do 172.16.15.255

Gateway Stupac Gateway (Poveznik) pokazuje IP adresu slijedeeg usmjerivaa na koji paket treba biti poslan. Na LAN vezi kao Ethernet ili token ring, poveznik mora biti izravno dostupan sa ovog usmjerivaa koristei suelje naznaeno u Interface stupcu. Kod LAN veze, oboje i poveznik i suelje odreuju kako e usmjernik prosljeivati promet. Kod demand-dial suelja, adresu u stupcu Gateway nije mogue konfigurirati. Na vezi od tokr do toke (point to point), suelje odreuje na koji nain e usmjeriva proslijeivati promet.

Interface Stupac Interface (suelje) pokazuje na LAN ili demand-dial suelje koje e biti koriteno da bi se dosegao slijedei usmjeriva.

Metric Stupac Metric (metrika) indicira najbolju moguu stazu koja se moe koristiti da di se doseglo odredite. Obino se metrika izraava u skokovima (hops), odnosno brojem usmjerivaa koje paket treba proi prije no to stigne do odredita. Ukoliko vie staza vodi do istog odredita, prednost ima ona staza sa manjom metrikom, odnosno manjim brojem skokova.

Protocol Protokol pokazuje nain na koji je usmjeriva usvojio stazu. Ukoliko je u ovom stupcu izlistano RIP, OSPF ili neto tree razliito od Local, znai da usmjeriva prima staze koristei usmjerivake protokole.

Usmjerivake konfiguracije Usmjerivae je mogue koristiti u mnogim topologijama i vrstama mrea. Kada se posluitelj na kojemu se izvodi Routing nad Remote Access konfigurira na mrei potrebno je odabrati:

Protokole koji e biti usmjeravani usmjerivaem, primjerice IP ili AppleTalk Usmjerivake protokole koji e usmjeravati gore navedene protokole, primjerice RIP

ili OSPF LAN ili WAN fiziki medij (mrene kartice, modemi itd.)

Prevoenje mrenih adresa (Network address translation-NAT) Za radnu stanicu na LAN-u moe se koristiti gotovo svaki adresni opseg. Meutim, dokument RFC 1597, Dodjela adresa za privatni Internet, odreuje opsege adresa koji su rezervirani za privatne mree. Kada raunala u lokalnoj mrei komuniciraju meusobno, oni koriste svoje stvarne adrese. Proxi posluitelj ima adresu koja spada u ovaj opseg tako da moe komunicitati sa raunalima na LAN-u, ali ima i javnu adresu koja mu omoguava komunikaciju sa raunalima na Internetu. Ove opsege IP adresa RFC rezervira iskljuivo za privatne mree i ne mogu se koristiti na Internetu. Ti opsezi su:

10.0.0.0 10.255.255.255 172.16.0.0. 172.31.255.255 192.168.0.0 192.168.255.255

Koritenje ovih adresa za raunala u privatnoj mrei postie se nekoliko stvari: -Dovoljno je da radna organizacija od svog ISP-a kupi mali adresni opseg koji e se koristiti na vatrozidu (engl. Firewall) ili usmjerivaima koji povezuju LAN sa Internetom.

Diplomski rad RRAS

Lovrenco Vladislavi

-Unutar LAN-a se moe koristiti veliki adresni prostor, a da od ISP-a nije poterebno traiti veliki opseg adresa. -Nat se moe koristiti za odreivanje vektora adresa, tj. granini usmjeriva je predstavljen kao Web-servis na Internetu koristei samo jednu adresu, a optereenje dolaznih zahtjeva je uravnoteeno kroz nekoliko posluitelj unutar firme (iza graninog usmjerivaa). NAT je inae definiran u preporuci RFC 1631.Sa NAT komponentom WS2003 RRAS servisa, IP paketi koji se razmjenjuju izmeu lokalne mree i Interneta bivaju usmjeravani i readresirani. NAT servis koji je ugraen u usmjeriva modificira informacije zaglavlja IP datagrama prije nego ih poalje na odredite. Raunalo na kojem je Konfiguriran NAT moe raditi kao NAT posluitelj, pojednostavljeni DHCP posluitelj, DNS proxy, i Windows Internet Name Service (WINS) proxy.

NAT se moe konfigurirati kroz demand-dial suelje ili koritenjem stalne veze. Demand dial-suelje uspostavlja vezu jedino kad to klijenti zatrae. Stalna veze moe biti realizirana kao DSL ili T1 veza ili dial-up veza konfigurirana tako da automatski bira ukoliko se prekine veza. Na WS2003 postoji jo jedan servis koji osigurava spajanje internih klijenata na Internet koritenjem jedne javne adrese, a zove se Internet connection sharing (ICS). Osnovane razlike izmeu ova dva servisa prikazane su u slijedeoj tablici: Internet Connection Sharing Network address translation Konfiguracija kroz jedan chack box Runa konfiguracija Jedna javna IP adresa Jedna ili vie javnih IP adresa Fiksan razpon adresa za unutarnje klijente (192.168.0.0 - 192.168.0.24)

Konfigurablni raspon adresa za unutarnje klijente

Jedno interno suelje spojeno na jednu logiku podmreu

Jedno ili vie internih suelja spojeno na jednu logiku podmreu

Instalira se koritenjem Network And Dial-Up Connections izbornika

Instalira se koritenjem Routing and Remote Access konzole

Microsoft Windows 98 SE ili kasniji Internet connection Firewall

Windows 2000 Server ili Windows Server 2003 Basic Firewall

-tablica---- Neke od osobina NAT servisa u WS2003 su: NAT zahtjeva vanjska (javna) i unutarnja (privatna) suelja dodana NAT protokolu u RRAS konzoli. Uobiajeno je da se unutarnje suelje kreira podrazumijevano(default), dok se vanjska suelja kreiraju runo. Kada su oba suelja uspjeno kreirana, potrebno je provjeriti da su je javno suelje (pod imenom Remote router) i privatno suelje definirano kao takvo u NAT/Basic firewall voru RRAS konzole. NAT zahtjeva dodanu podrazumijevanu statiku stazu (default static route) dodanu u RRAS konzoli. Za ovu statiku stazu odredite i mrena maska trebali bi biti 0.0.0.0, gatewey ne bi trebao biti konfiguriran (none), a suelje bi trebalo biti definirano kao javno, spojeno sa Internetom. Nat zahtjeva ispravno konfiguriran DHCP servis za unutarnje klijente. Ako na

Diplomski rad RRAS

Lovrenco Vladislavi

mrei nema DHCP posluitelja, potrebno je omoguiti DHCO allocator na Address Assignment izborniku unutar izbornika NAT/Basic Firewall. Za koritenje NAT-a u sprezi sa DNS servisom, DNS posluitelj mora biti konfiguriran na NAT raunalu ili specificiran kroz DNS proxy u NAT servisu. Za ovaj drugi sluaj potrebno je omoguiti DNS proxy opciju na izborniku Name Resolution unutar vora NAT/Basic Firewall. Vatrozid (Firewall) Vaan aspekt svakog segmenta raunalstva predstavlja sigurnost. Prilikom usmjeravanja, pogotovo ako se odvija kroz javnu mreu, velika je opasnost od zlouporabe, mijenjanja podataka, zaraze razliitim vrstama virusa i trojanskih konja te hackerskih napada. Vatrozidi su najuestalija mjera zatite na mreama dananjice. Vatrozid moe biti jedan ureaj, primjerice usmjeriva ili raunalo, ili moe biti podmrea sastavljena od vie raunala usmjerivaa i sl. (Ovakve podmree se nazivaju Demilitarizirane zone -DMZ). Vatrozide moemo podijeliti na:Packet Filter, Statefull Inspection i Proxy. U WS2003 OS-u se koristi vatrozid zasnovan na filtriranju paketa. Filtriranje paketa osigurava najosnovnije vatrozidne funkcije. Usmjerivai za filtriranje paketa bili su prva vrsta vatrozida koja je napravljena kako bi se mreu sauvalo od napadaa. Kako radi vatrozid u WS2003 Filtar paketa ispituje svaki mreni paket koji prolazi kroz njega, onda ga prosljeuje dalje ili ga odbacuje, u skladu sa skupom pravila koje postavlja administrator vatrozida. Paket filteri filtriraju promet prema sadraju informacija u zaglavlju TCP/IP paketa. Filter paketa moe biti konfiguriran tako da blokira promet filtriranjem :

IP adresa Izvorine i odredine adrese. Mogu se navesti pojedinane adrese ili raspon adresa.

Protokola- Kao to su UDP ili TCP Brojeva portova - brojevi portova se koriste za identifikaciju veza izmeu aplikacija,

primjerice FTP ili Telnet. Smjera- filtriranje se izvodi na osnovu smjera paketa, bilo da dolazi sa Interneta ili

drugog segmenta mree, bilo da odlazi sa matinog segmenta. Kod WS2003, kada je Basic Firewall (vatrozid) omoguen na vanjskom suelju RRAS konzole, to suelje blokira sav promet pri ulasku na mreu. Meutim, dostupan je nain konfiguracije kako bi se blokirao sav promet izvana, osim prometa namijenjenog, primjerice, Web posluitelju koji se nalazi iza vatrozida (na slijedeoj slici). Vatrozid WS2003 je zasnovan na iznimkama. Konfiguracijom se moe postii da paket filtri ine slijedee:

Proputaju sav promet osim paketa zabranjenih filtrom Odbacuju sav promet osim paketa doputenih filtrom

U ovom operativnom sustavu paket filtri se pojavljuju kao ulazni filtri i izlazni filtri. Ulazni filtri (Input filters) zabranjuju promet koji dolazi na suelje sa mree. Izlazni filtri (Output filters) zabranjuju promet koji se alje sa suelja na mreu. Na slijedeoj slici vidimo primjer Ulaznog filtra koji zabranjuje sve pakete osim onih namijenjenih IP adresi 207.46.22.1.

Diplomski rad RRAS

Lovrenco Vladislavi

Paket filtri se konfiguriraju koristei RRAS konzolu i izbornik IP routing. U tom izborniku se odabere General ili NAT/Basic Firewall izbornik. NAT/basic Firewall izbornik omoguuje kreiranje paket filtara samo za vanjska suelja, dok se na voru General mogu kreirati filtri za vanjska i unutarnja suelja. Paket filtri se takoer mogu koristiti prilikom odreivanja politike pristupa za udaljenog korisnika (Kroz RAS posluitelj). Definiranjem paket filtara, te njihovom spregom sa pristupnom politikom mogue je odreivanje razliitih nivoa pristupa i ovlasti za udaljene korisnike. Osnovni vatrozid u WS2003 nije potrebno koristiti ukoliko na mrei ve postoje softverski ili hardverski vatrozidni mehanizmi.

Podeavanje statiki usmjeravane IP meumree Statiki usmjeravana IP meumrea ne koristi usmjerivake protokole kao RIP i OSPF da bi ostvarila usmjeravanje podataka meu usmjerivaima. Sve informacije o usmjeracanju su pohranjene u statike usmjerivake tablice na svakom pojedinom usmjerivau. Administrator mree se mora pobrinuti da svaki usmjeriva ima odgovarajue staze u svojoj tablici usmjeravanja, kako bi promet nesmetano tekao sa kraja na kraj mree. Statiki usmjeravano okruje Statiko usmjeravanje je najbolje rjeenje za manje, jednosmjerne (single-path) statike IP meumree kao npr:

Manja meumrea je definirana sa 2 do 10 mrea Jednosmjerna znai da postoji samo jedan put kojim paketi putuju sa kraja na kraj

meumree Statika znai da je topologija mree konzistentna, dakle, ne mijenja se vremenom

Kandidati za ovakav tip mree su manje poslovne jedinice, kune poslovne jedinice te ogranci i podrunice velikih kompanija. Nedostaci statikog usmjeravanja su:

Slaba otpornost na pogreke Ukoliko se neki od usmjerivaa pokvari, ostali usmjerivai ne mogu dijagnosticirati taj problem i meusobno se obavijestiti o tome. Ipak, u manjim poduzeima je broj usmjerivaa mali pa je taj problem lako otkloniti

Znaajno administriranje Ukoliko se dodaje nova podmrea potrebno je runo dodati staze u svaku pojedinu usmjerivaku tablicu. Ukoliko se dodaje novi usmjeriva, takoer ga je potrebno runo konfigurirati.

Razmatranja prilikom dizajniranja statikog usmjeravanja Da bi se sprijeili problemi potrebno se razmotriti slijedee stavke prije implementacije Konfiguracija perifernog usmjerivaa Da bi se pojednostavila konfiguracija potrebno je konfigurirati periferni usmjeriva tako da njegove podrazumijevane staze ukazuju na susjedne usmjerivae. Periferni usmjeriva je prikljuen na vie mrea, od kojih samo jedna ima susjedni usmjeriva.

Diplomski rad RRAS

Lovrenco Vladislavi

Podrazumijevane staze i usmjerivake petlje Nije preporuljivo konfigurirati dva susjedna usmjerivaa na nain da njihove podrazumijevane staze upuuju jednog na drugog. Podrazumijevanom stazom, kako je ve reeno, prosljeuje se sav promet ije odredite se ne nalazi na toj mrei. Ukoliko su usmjerivai konfigurirani kako je reeno, usmjerivai mogu prouzroiti petlje. Demand-dial okruje Preko demand-dial veza, statiko usmjeravanja se moe implementirati na dva naina:

Default route (podrazumijevana staza) Mogue je konfigurirati podrazumijevanu stazu na udaljenom usmjerivau u podrunici neke kompanije koja koristi demand-dial suelje. Prednost podrazumijevane staze je ta to nju samo jednom treba dodati u usmjerivaku tablicu. Nedostatak ovog naina je u tome to bilo koji promet, pa i onaj sa odreditem koje nije mogue dosei (unreachable destination), koji se ne nalazi na mrei podrunice uzrokuje reakciju usmjerivaa u smislu pozivanja kompanije i uspostave demand-dial veze.

Auto-static routes Auto-statike staze se automatski dodaju u usmjerivaku tablicu usmjerivaa podrunice, nakon to ih je isti preko demand-dial suelja zatraio od usmjerivaa iz kompanije. Auto-statiko auriranje tablica se vri koritenjem RIP protokola. Prednost ovog naina je u tome to promet sa nedostinim odreditem ne otvara dial-up vezu, a nedostatak se ogledava u tome sto je staze potrebno povremeno aurirati da bi se reflektirala svaka promjena na glavnoj mrei.

Sigurnost pri statikom usmjeravanju Sigurnost pri statikom usmjeravanju je potrebno provesti kroz:

Implementaciju fizike sigurnosti, tako da korisnici ne mogu pristupiti posluitelju (postavljanje raunala u za to predviene prostorije i ormare)

Pripisati administratorska prava samo osobama koji e nadzirati i administrirati RRAS servis

Postavljanje statikog usmjeravanja Kada se odabere ovan nain usmjeravanja na mrei, potrebno je ispotovati slijedee korake:

Skicirati topologiju meumree sa odvojenim mreama i pozicijama posluitelja-usmjerivaa i klijenata.

Svakoj IP mrei dodijeliti jedinstvenu IP mrenu daresu kao identifikaciju (network ID)

Dodijeliti IP adrese svakom suelju usmjerivaa. Uobiajena je praksa dodijeliti prve IP adrese odreene mree usmjerivau. Primjerice ukoliko je adresa mree 198.168.100.0 sa mrenom maskom 255.255.255.0, suelje usmjerivaa imalo bi adresu 192.168.100.1

Za periferne usmjerivae, potrebno je konfigurirati podrazumijevanu stazu na suelju koje ima susjedni usmjeriva. Inae, koritenje podrazumijevanih staza na perifernim usmjerivaima je opcionalno.

Za svaki neperiferni usmjeriva potrebno je sastaviti listu staza koja treba biti runo dodana usmjerivakoj tablici tog usmjerivaa. Dodavanje se moe ostvariti u naredbenom retku (route add naredba) ili koritenjem RRAS konzole.

Kada je konfiguracija i postavljanje mree zavreno, potrebno je testirati staze koritenjem alata za ispitivanje mree.

Podeavanje RIP usmjeravanja na mrei RIP usmjeravana mree koristi RIP protokol za dinamiko komuniciranje meu usmjerivaima. RIP okruje automatski dodaje i brie staze u tablicama usmjeravanja, obzirom na mijenjanje topologije mree.

Diplomski rad RRAS

Lovrenco Vladislavi

RIP usmjeravano okruje RIP okruje je najbolje implementirati na manje ili srednje velikim, viesmjernim, dinamikim meumreama.

Manje ili srednje meumree broje 10 do 50 mrea Viesmjerne (multipath) znai da postoji vie putova od izvorita do odredita. Dinamike su one mree kojima se topologija i dostupost mijenja s vremena na

vrijeme. Ovakve tipove mrea nalazimo u poduzeima srednje veliine te u velikim podrunim slubama matinih firmi. Razmatranja prilikom dizajniranja RIP baziranog usmjeravanja Slijedee stavke je potrebno razmotriti prije dizajniranja RIP usmjeravanja: Ograniavanje mree na 14 usmjerivaa Maksimalni dijametar za RIP mree je 15 usmjerivaa. Posluitelj sa RRAS servisom pridjeljuje svim unose u tablici usmjeravanja koji ne pripadaju RIP protokolu fiksni broj skokova (hop) koji iznosi 2. Statike staze se ne smatraju RIP stazama tako da i one imaju 2 kao broj skokova. Kada posluitelj na kojem se izvodi RRAS servis koji se ponaa kao RIP usmjeriva oglaava mree na koje je izravno prikljuen, on ih oglaava sa brojem skokova 2, iako su fiziki udaljene samo jedan usmjeriva (broj skokova 1). Stoga, RIP bazirana mrea na kojoj se koristi RRAS usmjeravanje ima maksimalni dijametar od 14 usmjerivaa. Mijeana RIP v1 i RIP v2 okruja Da bi se ostvarila maksimalna felksibilnost, potrebno je koristiti RIP v2 za RIP baziranu meumreu. Ukoliko na mrei postoje usmjerivai koji ne podravaju RIP v2, koristi se mijeano okruje ovih dviju verzija protokola. Treba imati na umu da RIP v1 ne podrava classless interdomain routing (CIDR) ni variable-length subnet masks (VLSM) implementacije. Ukoliko postoji podrka za CIDR i VLSM na jednom dijelu mree, ali ne i na drugom, mogu se pojaviti problemi pri usmjeravanju. Ukoliko se mrea kreira koristei RIP v1 i RIP v2, potrebno je konfigurirati suelje na posluitelju sa RRAS servisom. On treba oglaavati koristei RIP v1 i RIP v2 broadcast, te prihvaati RIP v1 i RIP v2 obavijesti. RIP v2 autentifikacija Ukoliko se koristi RIP v2 jednostavna autentifikacija lozinkom, potrebno je konfigurirati sva RIP v2 suelja na mrei tako da koriste iste lozinke. Moe se koristiti ista lozinka za sve podmree ili se ta lozinka moe razlikovati op podmree do podmree. RIP v2 preko demand-dial veza Ukoliko se RIP v2 koristi za osiguravanje auto statikih auriranja preko demand-dial veza, tada je potrebno konfigurirati svako demand-dial suelje tako da koristi RIP v2 multicast objave, te da prihvaa iste. Ukoliko se to ne konfigurira, na zahtjev koji upuuje usmjeriva iz podrunice nee biti upuen odgovor. Silent RIP hosts Silent RIP host proces (na raunalu koje nije usmjeriva) prima RIP obavijesti, ali sam ne objavljuje. Primljene obavijesti to raunalo koristi za kreiranje vlastite usmjerivake tablice. Silent RIP host proces se obino koristi u UNIX okruju. Ukoliko on postoji na mrei, potrebno je utvrditi koju verziju RIP protokola podrava, te koristiti tu verziju. RIP sigurnost Osim mjera sigurnosti koje su navedene pri statikom usmjeravanju, kod RIP usmjeravanja potrebno je obratiti pozornost na:

RIP v2 autentifikaciju Peer security (sigurnost vora) Route filters Neigbors

Diplomski rad RRAS

Lovrenco Vladislavi

RIP v2 autentifikacija Da bi se sprijeilo auriranje staza u usmjerivakim tablicama od strane neautoriziranih usmjerivaa potrebno je konfigurirati RIP v2 suelja da koriste autentifikaciju lozinkom. Primljene RIP obavijesti koje se ne podudaraju sa konfiguriranom lozinkom automatski se odbacuju. Ipak, lozike se alju kao obian tekst, tako da svaki zlonamjerni korisnik sa network sniffer alatima, kao npr Microsoft Network Monitor, moe presresti RIP v2 obavijest i vidjeti lozinku. Peer security Mogue je na svakom RIP usmjerivau konfigurirati listu povjerljivih usmjerivaa (po IP adresi) sa koje e taj usmjeriva prihvaati obavijesti. Podrazumijevana postavka je prihvaaju obavijesti sa svih izvora. Kada se lista povjerljivih usmjerivaa konfigurira, usmjeriva odbacuje obavijesti primljene od svih ostalih usmjerivaa. Route Filters Na svakom RIP suelju mogue je konfigurirati filtre koji osiguravaju da usmjeriva prima obavijesti koje se tiu samo njegove podmree. Primjerice, ukoliko je adresa podmree 10.0.0.0 filter staze se moe koristiti na nain da odbaci sve oglase o stazama osim onih koji su predvieni za mreni ID 10.0.0.0. Neighbors Podrazumijevana postavka je da RIP (v1 i v2) oglaava svoje obavijesti broadcast ili multicast nainom. Da bi sprijeio RIP promet prema vorovima koji nisu susjedni, RRAS posluitelj koji radi kao RIP usmjeriva moe slati obavijesti unicast nainom. Na ovaj nain obavijesti primaju samo susjedni usmjerivai kojima su obavijesti namijenjene. Postavljanje RIP usmjeravanja na mrei Dok je RIP v1 vrlo jednostavna za konfiguraciju i postavljanje, RIP v2 sa svojim dodatnim osobinama zahtjeva vie konfiguracije i testiranja. Da bi eventualni problemi i izolacija istih protekla to lake, preporuljivo je posao podijeliti u dvije etape

Postaviti osnovne RIP funkcije i provjeriti ih u radu Dodavati napredne funkcije pojedinano, te za svaku obaviti testiranje i verifikaciju.

Postavljanje RIP-a Kako bi se RIP uspjeno postavio treba proi slijedee korake:

Skicirati topologiju IP meumree sa odvojenim mreama i pozicijama posluitelja-usmjerivaa i mrenih klijenata

Svakoj IP mrei dodijeliti jedinstvenu IP mrenu adresu kao identifikaciju (network ID)

Dodijeliti IP adrese svakom suelju usmjerivaa. Za svako suelje usmjerivaa odrediti da li e suelje biti konfigurirano za RIP v1 ili

RIP v2. Ukoliko je suelje konfigurirano sa RIP v2 protokolom, potrebno je odrediti da li e se obavijesti slati broadcast ili multicast nainom.

Koristei RRAS konzolu, dodati RIP usmjerivaki protokol i konfigurirati odgovarajua suelja na svakom pojedinom RRAS posluitelju

Nakon to je konfiguracija zavrena potrebno je ostaviti nekoliko minuta da usmjerivai meusobno auriraju usmjerivake tablice, te nakon toga testirati mreu.

Testiranje mree provodi se na slijedei nain: Da bi se provjerilo da li RRAS posluitelj prima RIP obavijesti sa svih susjednih

usmjerivaa, potrebno je pregledati njegove RIP susjede. Ta informacija se nalazi unutar RRAS konzole, desni klik na RIP i odabiranje Show Neighbors.

Za svaki RIP usmjeriva, potrebno je pregledati usmjerivaku tablicu i provjeriti da li su sve staze koje je usmjeriva trebao primiti obavijestima prisutne kao unosi u tablici. IP tablicu pregledavamo bilo iz naredbenog retka, bilo iz RRAS konzole

Diplomski rad RRAS

Lovrenco Vladislavi

Takoer, potrebno je koristiti alate koji su dostupni u operativnom sustavu WS2003 za testiranje spojnih putova na mrei.

Na slijedeoj slici vidimo primjer primjene RIP usmjeravanja na uredskoj mrei srednje veliine:

Podeavanje OSPF usmjeravanja na mrei Mrea sa OSPF usmjeravanjem koristi OSP protokol za dinamiku komunikaciju meu usmjerivaima. OSPF okruje automatski dodaje i brie staze u tablicama usmjeravanja, obzirom na promjene u topologije mree OSPF usmjeravano okruje RIP okruje je najbolje implementirati na velikim i vrlo velikim, viesmjernim, dinamikim meumreama.

Velike i vrlo velike meumree sadre vie od 50 mrea Viesmjerne (multipath) znai da postoji vie putova kojim paketi mogu putovati od

izvorita do odredita. Dinamike su one mree kojima se topologija i dostupnost odreenih djelova mree

mijenja s vremena na vrijeme u ovisnosti o dodavanju nove opreme i pronlema sa opremom.

Kandidati za ove tipove mrea mogu biti sveuilini kampusi ili velike meunarodne kompanije. Razmatranja prilikom dizajniranja OSPF baziranog usmjeravanja Prilikom dizajniranja OSPF usmjeravane mree potrebno je prouiti slijedee stvari:

Diplomski rad RRAS

Lovrenco Vladislavi

OSPF dizajn Postoje tri nivoa OSPF dizajana:

Dizajn autonomnih sustava (Autonomous system design) Dizajn Podruja (Area design) Dizajn mree (Network design)

Dizajn autonomnih sustava (Autonomous system design) Prilikom dizajniranja autonomnog sustava potrebno je napraviti slijedee korake:

Podijeliti OSPF autonomni sustav na podruja Ukoliko je mogue, potrebno je podijeliti prostor IP adresa po slijedeoj hijerarhiji:

mrea/podruje/podmrea/raunalo Potrebno je kao podruje okosnice (backbone area) napraviti mreu velike propusnosti Kreirati stub area kad god je mogue Izbjegavati virtualne linkove kad god je mogue

Dizajn Podruja (Area design) Prilikom dizajniranja podruja potrebno je napraviti slijedee korake:

Osigurati da se sva podruja predstavljaju mrenim ID-om (IP adresom) koja mogu biti izraena malim brojem sumarnih staza.

Osigurati da viestruki granini usmjerivai (multiple area border routers, ABR) za isto podruje sumariziraju iste staze

Osigurati da nema propusta (back door) izmeu podruja i da sav interni promet podruja prolazi okosnicom.

Broj mrea u podruju ne smije prelaziti 100 Dizajn mree (Network design) Prilikom dizajna svake mree potrebno je napraviti slijedee:

Dodijeliti prioritete usmjerivaima na nain da se najmanje optereeni usmjerivai odrede kao priuvni (backup) usmjerivai

Metriku podesiti tako da odraava propusnost, kanjenje i pouzdanost Dodijeliti lozinke

Koritenje virtualnih linkova OSPF usmjeravana meumrea je podijeljena u podruja. Sva podruja su meusobno povezana podrujem okosnice. Usmjeriva koji povezuje odreeno podruje sa podrujem okosnice naziva se granini usmjeriva podruja (area backbone router (ABR)). U normalnim okolnostima, ABR-ovi imaju fiziku vezu na podruje okosnice. U sluajevima kada nije mogue da ABR fiziki bude spojen na podruje okosnice, koristi se virtualni link za spajanje ABR-a sa okosnicom. Virtualni link je logika veza od toke do toke (point-to-point) izmeu ABR-a u samom podruju i ABR-a koji je fiziki spojen na podruje okosnice. Vanjske staze i ASBR-ovi (external routes and ASBRs ) Set OSPF usmjerivaa u organizaciji definira OSPF autonomni sustav (AS). Podrazumijevano, samo OSPF staze odgovaraju izravno prikljuenim mreama i rasprostiru se unutar autonomnog sustava. Vanjska staza (external route) je bilo koja staza koja ne pripada autonomnom sustavu. Vanjske staze mogu dolaziti sa razliitih izvora:

Drugih usmjerivakih protokola kao RIP v1 i RIP v2 Statikih staza Staze dodane od strane Simple Network Management Protocol (SNMP) protokola

Vanjske staze se rasprostiru kroz OSPF AS preko jednog ili vie graninih usmjerivaa autonomnog sustava (autonomous system boundary router, ASBR). ASBR oglaava vanjske staze unutar OSPF AS-a. Filteri vanjskih staza (external route filters)

Diplomski rad RRAS

Lovrenco Vladislavi

Podrazumijevano, OSPF usmjerivai koji se ponaaju jao ASBR, importiraju i oglaavaju sve vanjske staze. Mogua je potreba filtriranja vanjskih staza kako bi se sprijeilo da ASBR-ovi ne oglaavaju nevaee staze. Vanjske staze mogu biti filtrirane na ASBR-u po:

Vanjskom izvoritu staze (external route source) ASBR se moe kofigurirati da zanemari staze sa odreenih vanjskih izvora kao npr. protokola RIP v2

Individualnoj stazi (individual route) ASBR se moe konfigurirati tako da odbaci odreene staze konfigurirajui ureeni par {Odredite,Mrena maska}

OSPF na RAS posluitelju Ukoliko se konfigurira posluitelj sa RRAS servisom koji koristi OSPF usmjeravanje kao RAS posluitelj, a statiki raspon IP adresa je na odvojenoj podmrei, da bi usmjeriva pravilno oglaavao staze koje predstavljaju sve udaljene klijente potrebno je:

Omoguiti posluitelj na kojemu se izvodi RRAS servis kao ASBR Konfigurirati OSPF filtre staza na nain Accept listed routes, i zarim dodati staze

koje se odnose na raspon statikih IP adresa. OSPF na odgovarajuem (answering) demand-dial usmjerivau Ukoliko se konfigurira posluitelj sa RRAS servisom koji koristi OSPF usmjeravanje kao odgovarajui posluitelj na jednosmjerno iniciranoj vezi, da bi se pravilno oglaavalo mrene segmente pozivajuih usmjerivaa potrebno je:

Postaviti odgovarajui usmjeriva kao ASBR Ukoliko je odgovarajui usmjeriva konfiguriran sa statikim rasponom IP adresa

koje se odnose na odvojenu podmreu, potrebno je dodati staze koje odgovaraju statikim stazama na korisnike raune koji se koriste prilikom pozivanja usmjerivaa.

OSPF sigurnost Sigurnost kod OSPF protokola ostvaruje se kroz:

Autentifikaciju Filtre vanjskih staza na ASBR-ovima

Autentifikacija Podrazumijevano, OSPF suelja na RRAS posluitelju su konfigurirana tako da alju jednostavnu lozinku 12345678 i svojim Hello porukama. Lozinka sprjeava korupciju OSPF podataka od strane neautoriziranog OSPF usmjerivaa na mrei. Lozinka se alje u tekstualnom obliku to ukljuuje prije navedene probleme. Razumljivo je da se podrazumijevana lozinka moe i mora promijeniti. Filtre vanjskih staza na ASBR-ovima Da bi se sprijeila propagacija nevaljanih staza u OSPF autonomni sustav sa vanjskih izvora kao RIP ili statike staze, potrebno je konfigurirati filtre na ASBR-ovima. Filtri se mogu konfigurirati na nain da svaka staza koja se poklapa sa listom konfiguriranih bide odbaena ili da se staza koja se ne poklapa odbaci, u ovisnosti o potrebi. Postavljanje OSPF-a Postavljanje OSPF zahtjeva paljivo planiranje i konfiguraciju na tri nivoa:

Autonomnog sustava (autonomous system) Podruja (area) Mree (network)

Planiranje autonomnog sustava Prilikom planiranja AS-a potrebno je:

Podijeliti OSPF AS u podruje koja lako mogu biti sumarizirana koritenjem sumarnih staza (summary routes)

Predvidjeti podruje okosnice Dodijeliti identifikaciju odredita (area ID)

Diplomski rad RRAS

Lovrenco Vladislavi

Identificirati virtualne linkove Identificirati ABR-ove Identificirati stub areas Identificirati ASBR-ove

Planiranje svakog podruja Za svaki pojedini usmjeriva potrebno je:

Dodati podruja na koja je usmjeriva prikljuen Ako podruje spada u stub area, omoguiti ga kao takovo Ako je odreeni usmjeriva ABR, opcionalno konfigurirati raspone koji sumariziraju

IP mree unutar podruja Ako je odreeni usmjeriva ABR koji koristi virtualni link, potrebno je dodati

virtualno suelje Ako je odreeni usmjeriva ASBR, potrebno je omoguiti ASBR i konfigurirati

opcionalne filtre vanjskih staza Planiranje svake mree Za svaku IP adresu svakog suelja usmjerivaa koji koristi OSPF potrebno je:

Dodati suelje OSPF usmjerivakom protokolu Omoguiti OSPF na tom suelju Konfigurirati suelje za odgovarajui ID podruja Konfigurirati suelje za odgovarajui prioritet usmjerivaa Konfigurirati suelje za odgovarajuu metriku Konfigurirati suelje za odgovarajuu lozinku Konfigurirati suelje za odgovarajui tip mree Ukoliko je suelje Frame Relay, X.25 ili ATM potrebno je konfigurirati nonbroadcast

multiple access (NBMA) susjede Testiranje OSPF Testiranje OSPF mree je izuzetno vano zbog same kompleksnosti i provodi se slijedeim koracima:

Da bi se provjerilo da li RRAS posluitelj prima OSPF obavijesti sa ostalih usmjerivaa, potrebno je pregledati njegove OSPF susjede.

Za svaki usmjeriva, potrebno je pregledati IP usmjerivaku tablicu i provjeriti da li su sve staze koje je usmjeriva trebao primiti obavijestima prisutne.

potrebno je koristiti alate koji su dostupni u operativnom sustavu WS2003 za testiranje spojnih putova na mrei.

Na slijedeoj slici vidimo primjer OSPF bazirane korporativne mree.

Diplomski rad RRAS

Lovrenco Vladislavi

Demand-dial usmjeravanje Dok je sam koncept demand-dial usmjeravanja relativno jednostavan, njegova konfiguracija je dosta zahtjevna i kompleksna. Kompleksnost se ogledava u slijedeem:

Adresiranju krajnjih toaka veze Veza se ostvaruje preko javnih mrea, kao primjerice analogne telefonske veze (PSTN). Krajnje toke veze moraju biti identificirane telefonskim brojem ili nekim drugim nainom identifikacije.

Autentifikacija i autorizacija pozivatelja Svatko tko poziva RRAS posluitelj mora biti autentificiran i autoriziran. Autentifikacija je bazirana na setu akreditiva pozivatelja i provjerava se tijekom uspostave veze. Prava na koja se pozivatelj poziva moraju se podudarati sa pravima dodijeljenim tom korisnikom raunu. Autorizacija se odobrava na osnovi dial-in dozvola korisnikog rauna i na osnovi RAS politike.

Razlika izmeu udaljenih klijenata i usmjerivaa Oba servisa, usmjeravanje (routing) i udaljeni pristup (remote access) zajedno egzistiraju na RRAS posluitelju. I udaljeni klijenti i usmjerivai pozivaju isti telefonski broj. Posluitelj na kojemu se izvodi RRAS servis mora biti u stanju razlikovati udaljenog klijenta od usmjerivaa koji poziva. Da bi ih razlikovao, korisniko ime u sklopu autentifikacijskih akreditiva koja alje pozivajui usmjeriva mora tono odgovarati imenu na demand-dial suelju usmjerivaa koji odgovara na poziv. Ukoliko je suprotno, dolazei se poziv smatra obinim zahtjevom za udaljeni pristup.

Konfiguracija krajnjih toaka veze Oba kraja veze moraju biti konfigurirana, ak ako je samo jedan kraj taj koji inicira vezu. Konfiguriranje jednog kraja veze znai da se paketi uspjeno usmjeravaju samo u jednom smjeru. Normalna komunikacija zahtjeva da paketi putuju u oba smjera.

Konfiguracija statikih staza (smjerova) Po pravilu ne bi trebalo koristiti dinamike usmjerivake protokole preko povremenih dial-up veza na zahtjev. Stoga se

Diplomski rad RRAS

Lovrenco Vladislavi

staze dodaju u usmjerivake tablice kao statike staze. Ovo se izvrava runo ili koritenjem auto-statikog auriranja.

Na slijedeoj slici vidimo primjer ovog tipa usmjeravanja:

Konfiguracija demand-dial usmjeravanja

Razmatranja prilikom dizajniranja demand-dial usmjeravanja Kako bi se zaobili mogui problemi potrebno se prilikom dizajniranja ovakvog tips usmjeravanja voditi rauna o slijedeim stvarima: Veze na zahtjev ili stalne veze (On-demand or persistent connections) Potrebno je odluiti da li e se veza izmeu usmjerivaa ostvarivati na zahtjev ili e biti stalna.

Veze na zahtjev se koriste u sluajevima kada ekonomski faktori ne opravdavaju koritenje stalnih veza. Sa vezama na zahtjev, veza se uspostavlja kada promet treba biti proslijeen a prekida se kada se veza ne koristi. Nain i vrijeme neaktivnosti nakon kojeg se veza prekida je mogue konfigurirati. Prekidanje veze pozivajueg usmjerivaa se konfigurira u izborniku Options, na svojstvima demand-dial suelja.

Stalne veze na zahtjev koriste dial-up vezu ali mogu biti otvorene 24 sata bez da se to odraava na telefonski raun. Primjer ovakve veze je flat-rate ISDN.

Jednosmjerno ili obosmjerno inicirane veze Potrebno je odluiti da li e veze biti inicirana od samo jednog usmjerivaa ili od oba usmjerivaa prema potrebi.

Sa jednosmjerno iniciranim vezama, jedan usmjeriva je uvije pozivajui a drugi je uvijek odgovarajui. Odgovarajui usmjeriva prihvaa vezu, dok je pozivajui inicira. Jednosmjerne veze odgovaraju topologiji zvjezdita, gdje primjerice, usmjeriva u podrunici uvijek poziva usmjeriva u sredinjici. Jednosmjerno inicirane veze zahtijevaju slijedee:

o Odgovarajui usmjeriva je konfiguriran kao LAN i demand-dial usmjeriva o Na odgovarajuem usmjerivau postoji korisniki raun koji odgovara

akreditacijskom zahtjevu pozivajueg usmjerivaa o Demand-dial suelje je konfigurirano na usmjerivau koji odgovara

Sa obosmjerno iniciranim vezama, usmjeriva moe biti pozivajui ili odgovarajui, u ovisnosti sa koje strane se inicira veza.Obje strane moraju biti konfigurirane tako da mogu inicirati i odgovoriti na vezu. Obosmjerna veza se koristi kada promet sa bilo kojeg usmjerivaa moe inicirati demand-dial vezu. Obosmjerno inicirane demand-dial veze zahtijevaju slijedee:

o Oba usmjerivaa konfigurirana su kao LAN i demand-dial usmjeriva o Na oba usmjerivaa postoje korisniki rauni koji odgovara akreditacijskom

zahtjevu pozivajueg usmjerivaa o Demand-dial suelje je potpuno konfigurirano na oba usmjerivaa

Diplomski rad RRAS

Lovrenco Vladislavi

Restrikcija inicijacije veze na zahtjev Da bi se pozivajui usmjeriva sprijeio u ostvarivanju nepotrebnih veza na zahtjev, potrebno ga je ograniiti na dva naina:

Demand-dial filtriranjem koristi se da bi se konfigurirao tip IP prometa koji nema prava ostvariti vezu ili da bi se odredilo koji tip IP prometa smije ostvarivati vezu na zahtjev.

Dial-out hours (vrijeme za vezu) Koristi se za odreivanje konkretnog vremena tijekom dana u kojemu pozivajui usmjeriva smije ostvariti vezu na zahtjev

Filtri IP paketa i demand-dial filtri Demaand-dial filtri se primjenjuju prije nego to se uspostavi dial-up veza. Filtri IP paketa se primjenjuju nakon to je veza uspostavljena. Da bi se sprijeilo ostvarivanje demand-dial veze za prijenos prometa koji je odbaen od strane IP paket filtara potrebno je:

Ukoliko je podeen set vanjskih paket filtara sa opcijom Recieve all packets exept those that meet criteria listed below, potrebno je konfigurirati isti set filtara kao demand-dial filtre sa opcijom Initiate connection postavljenom kao For all traffic except.

Ukoliko je podeen set vanjskih paket filtara sa opcijom Drop all packets exept those that meet criteria listed below, potrebno je konfigurirati isti set filtara kao demand-dial filtre sa opcijom Initiate connection postavljenom kao Only for the following traffic

Usmjeravanje Oba usmjerivaa na demand-dial vezi moraju imati pripadne staze unesene u svoje usmjerivake tablice da bi se promet nesmetano prosljeivao demand-dial vezom. Takoer, staze na usmjerivaima unutar intraneta svakog od demand-dial usmjerivaa moraju biti prisutne i ispravno konfigurirane. Staze se mogu aurirati statiki i dinamiki. Statiko usmjeravanje je predvieno prilikom veza na zahtjev. Dinamiko usmjeravanje se koristi za stalne veze na prospojenoj liniji. Kreiranje politike udaljenog pristupa za demand-dial veze Koritenjem RAS politike, mogue je kreirati politiku koja zahtjeva da odreena demand-dial veza koristi tono specificiranu metodu autentifikacije ili razinu enkripcije. Mogue je, primjerice, kreirati raun korisnike grupe i nazvati ga Demand-dial usmjerivai. lanovi te korisnike grupe biti e korisniki rauni koje koriste pozivajui usmjerivai prilikom ostvarivanja demand-dial veze. Tada je mogue kreirati politiku sa jednim uvjetom: Windows-Group je konfiguriran kao Demand-dial Routers. Korisniki rauni za demand-dial veze Kada se kreiraju korisniki rauni koristei Demand-dial interface wizard, dozvola za udaljeni pristup je podrazumijevano konfigurirana kao Allow access, iako je prilikom kreiranja rauna u Windows server 2003 domeni za novokreirane raune podrazumijevana postavka Control access through Remote Access Policy. Ovo ponaanje moe prouzroiti nejasnoe ukoliko se koristi Access-by-policy administrativni model. U ovom administrativnom modelu, dozvola za udaljeni pristup za sve korisnike raune je postavljena kao Control access through Remote Access Policy, i dozvola za udaljeni pristup svake individualne politike je postavljena u Grant remote access permission ili Deny remote acces permission. Kada je korisniki raun kreiran, on je kreiran sa podrazumijevanim postavkama lozinke i postavkama politike koje odgovaraju domeni na kojoj je kreiran. Potrebno je provjeriti da li korisniki rauni koriteni od strane pozivajuih usmjerivaa imaju slijedee postavke na izborniku General unutar svojstava korisnikog rauna.

User must change password at next logon Ukoliko je ovaj check-box odabran, potrebno je runo promijeniti ovu postavku. Rauni stvoreni koritenjem Demand-Dial Interface Wizarda ovu postavku automatski otklanjaju. Ukoliko se ova postavka

Diplomski rad RRAS

Lovrenco Vladislavi

ne promijeni, demand-dial usmjeriva se ne moe spojiti koristei ovaj raun. Kada pozivajui usmjeriva poalje svoje akreditive, od njega se zahtjeva promjena lozinke. Kako ovo nije proces u kojemu uestvuje korisnik, pozivajui usmjeriva ne moe izvriti promjenu lozinke, te zaustavlja pokuaj uspostave veze.

Password never expires Ovaj check-box treba biti odabran. Poto proces uspostave demand-dial veze nije interaktivan, kada se od pozivajueg usmjerivaa zatrai promjena lozinke on zaustavlja proces uspostave veze.

Sigurnost pri demand-dial usmjeravanju Sigurnost pri demand-dial usmjeravanju je manja briga nego prilikom router-to-router VPN veze zbog toga to podaci putuju prospojenim telefonskim kanalom a ne javnom mreom kakva je primjerice Internet. Ipak, podaci se mogu presresti na svom putu kroz infrastrukturu telefonske kompanije stoga ih je potrebno osigurati koritenjem:

Stroge autentifikacije Potrebno je koristiti najstrou autentifikacijsku shemu koritenjem EAP-TLS sa certifikatima. Mogue je takoer koristiti MS-CHAP v2 autentifikaciju sa snanim lozinkama.

Enkripcije podataka Kod enkripcije potrebno je koristiti jedno od navedenih dvoje: o Link encryption Enkripcija veze kriptira podatke izmeu davaju

usmjerivaa. Koristi se 128 bitna Microsoft Point-to-Point(MPPE) enkripcija. 40-bitna MPPE enkripcija se koristi kada se eli postii kompatibilnost sa starijim verzijama Microsoftovih operativnih sustava. MPPE se koristi u sprezi sa MS-CHAP ili EAP-TLA autentifikacijom.

o End-to-end encryption Enkripcija s kraja na kraj se koristi za kriptiranje podataka od izvorita do odredita. Obino se koristi IPSec protokol.

Da bi enkripcija bila zahtjevana, potrebno je promijeniti No encryption opciju i odabrati odgovarajue enkripcijske postavke u izborniku Encryption.

VPN veze od usmjerivaa do usmjerivaa (router-to-router VPN) Ovaj tip veze ukljuuje slijedee komponente:

VPN klijenti U ovom sluaju, VPN klijent je usmjeriva koji inicira VPN vezu, tj. pozivajui usmjeriva. Za VPN veze od usmjerivaa do usmjerivaa, mogue je konfigurirati posluitelje pod operativnim sustavima Windows 2000 Server, Windows Server 2003 te Windows NT Server 4.0 sa RRAS servisom.

VPN posluitelji VPN posluitelj je usmjeriva koji prihvaa vezu od pozivajueg usmjerivaa, tzv. odgovarajui usmjeriva. Gore navedeni operativni sustavi mogu biti VPN posluitelji.

LAN protokoli i protokoli za udaljeni pristup LAN protokoli se koriste za prijenos podataka, dok se RAS protokoli koriste za ostvarivanje veze i osiguravaju uokvirivanje podataka LAN protokola. RRAS podrava usmjeravanje paketa TCP/IP LAN protokola koritenjem PPP protokola za udaljeni pristup preko VPN usmjeriva-usmjeriva veze.

Protokoli tuneliranja koriste ih VPN klijenti i VPN posluitelji za ostvarivanje i upravljanje tunelom i tuneliranje podataka. RRAS ukljuuje podrku za PPP i L2TP. Windows NT Server sa RRAS ukljuuje sam PPTP podrku.

WAN opcije VPN posluitelji su obino prikljueni na Internet koritenjem stalne WAN veze kao T1 ili Frame Relay. VPN klijenti su spojeni na Internet bilo stalnim vezama ili koritenjem prospojenih veza.

Demand-dial suelja VPN klijent (pozivajui usmjeriva) mora imati demand-dial suelje konfigurirano za:

o Ime raunala ili IP adresa suelja VPN posluitelja na Internetu o PPTP port ili L2TP port (u ovisnosti o vrsti veze)

Diplomski rad RRAS

Lovrenco Vladislavi

o Akreditaciju korisnikog rauna (korisniko ime, domenu, lozinku) o Za L2TP/IPSec vezu, vaei certifikat

VPN posluitelj (odgovarajui usmjeriva) mora imati demand-dial suelje sa istim imenom kao korisniki raun kojeg koristi VPN klijent (pozivajui usmjeriva), da bi dolazea veza bila prepoznata i prihvaena kao demand-dial veza.

Korisniki rauni Korisniki rauni moraju biti kreirani za pozivajui usmjeriva. Raun moe biti kreiran automatski, pokretanjem RRAS setup wizarda. Ovaj raun mora imati dial-in dozvole dodijeljene bilo kroz dial-in svojstva ili kroz RAS politiku.

Statike staze ili usmjerivaki protokoli Kako bi svaki od usmjerivaa ispravno proslijeivao promet preko VPN veze od usmjerivaa do usmjerivaa, svaki od njih mora imati odgovarajue staze u svojim tablicama usmjeravanja. Staze se dodaju u usmjerivake tablice kao statike staze ili koritenjem dinamikih usmjerivakih protokola.

Sigurnosne opcije Poto je RRAS servis sastavni dio operativnog sustava, mogue je koristiti razliite vidove sigurnosti, od sigurnosti domene, enkripcije podataka, RADIUS-a, pametnih kartica itd.

Slijedea slika pokazuje komponente router-to-router VPN veze:

Konfiguracija router-to-router VPN usmjeravanja

Razmatranja prilikom dizajniranja router-to-router VPN usmjeravanja Prilikom implementiranja ovakvog tipa usmjeravanja potrebno je voditi rauna o slijedeim stvarima:

PPTP ili L2TP bazirane veze Instaliranje certifikata (samo kod L2TP veza) Veze na zahtjev ili stalne veze Ograniavanje inicijacije veze na zahtjev Jednosmjerno ili obosmjerno inicirane veze Konfiguracija vatrozidnih filtara paketa Usmjeravanje Jedan skok (single hop) preko VPN veze Kreiranje RAS politike za R2R VPN veze.

PPTP ili L2TP bazirane veze Windows Server 2003 podrava PPTP i L2TP bazirane veze. Kada se odabire izmeu ova dva tipa veza potrebno je u obzir uzeti da PPTP veze mogu biti koritene za ostvarivanje R2R VPN veza za usmjerivae pod Windows NT 4.0 Server sa RRAS servisom, W2000S, WS2003, dok Windows NT Server ne podrava L2TP. O razlici e biti vie govora u drugom odjeljku. Instaliranje certifikata Za koritenje autentifikacije certifikatima kod L2TP/IPSec R2R VPN baziranih veza potrebno je instalirati raunalne certifikate, poznate kao raunalne certifikate.

Diplomski rad RRAS

Lovrenco Vladislavi

Veze na zahtjev ili stalne veze Potrebno je odluiti da li e veze biti jednog od slijedea dva tipa:

Veze na zahtjev Zahtijevaju da odgovarajui usmjeriva bude stalno prikljuen na Internet. Pozivajui usmjeriva se spaja na Internet koritenjem dial-up veze. Potrebno je konfigurirati samo jedno demand-dial suelje na odgovarajuem usmjerivau. Potrebno je konfigurirati dva demand-dial suelja na pozivajuem usmjerivau, jedno za spajanje na lokalni ISP, a drugo za R2R VPN vezu. Demand-dial R2R VPN veze takoer zahtijevaju dodatnu host stazu u IP usmjerivakoj tablici pozivajueg usmjerivaa.

Stalne veze zahtijevaju da oba usmjerivaa budu stalno prikljuena na Internet koritenjem neke WAN veze. Potrebno je konfigurirati samo jedno demand-dial suelje po usmjerivau. Stalne veze se iniciraju i aktivne su 24 sata na dan.

Ograniavanje inicijacije veze na zahtjev Kao i prije, da bi se pozivajui usmjeriva sprijeio u ostvarivanju nepotrebnih veza na zahtjev, potrebno ga je ograniiti na dva naina:

Demand-dial filtriranjem koristi se da bi se konfigurirao tip IP prometa koji nema prava ostvariti vezu ili da bi se odredilo koji tip IP prometa smije ostvarivati vezu na zahtjev.

Dial-out hours (vrijeme za vezu) Koristi se za odreivanje konkretnog vremena tijekom dana u kojemu pozivajui usmjeriva smije ostvariti vezu na zahtjev

Jednosmjerno ili obosmjerno inicirane veze Potrebno je odluiti da li e veze biti inicirana od samo jednog usmjerivaa ili od oba usmjerivaa prema potrebi.

Sa jednosmjerno iniciranim vezama, jedan usmjeriva je uvije VPN klijent a drugi je VPN posluitelj.

Sa obosmjerno iniciranim vezama, usmjeriva moe biti VPN klijent ili VPN posluitelj, u ovisnosti sa koje strane je iniciran poziv.

Konfiguracija vatrozidnih filtara paketa Ukoliko na mrei postoji vatrozid potrebno ga je konfigurirati na naina da proputa VPN promet izmeu VPN usmjerivaa i usmjerivaa na Internetu. Usmjeravanje Oba usmjerivaa na R2R VPN vezi moraju imati pripadne staze unesene u svoje usmjerivake tablice da bi se promet nesmetano prosljeivao VPN vezom. Staze se mogu aurirati statiki i dinamiki. Statiko usmjeravanje je predvieno prilikom veza na zahtjev. Dinamiko usmjeravanje se koristi za stalne veze na prospojenoj liniji. Za razliku od demand-dial usmjeravanja koje koristi izravne veze, ne moe se koristiti podrazumijevanu IP stazu za sumiranje svih staza u sredinjici (centralnoj mrei). Obzirom da je usmjeriva ogranka izravno prikljuen na Internet, podrazumijevana staza mora biti koritena za sumiranje svih staza na Internetu i konfigurirana tako da koristi suelje koje povezuje usmjeriva sa Internetom. Jedan skok (single hop) preko VPN veze U svrhe dizajniranja usmjerivake infrastrukture, R2R VPN veza se smatra kao samo jedan skok bez obzira koliko je usmjerivaa potrebno proi do odredita. Kreiranje RAS politike za R2R VPN veze. Koritenjem RAS politike, mogue je kreirati politiku koja zahtjeva da odreena demand-dial veza koristi tono specificiranu metodu autentifikacije ili razinu enkripcije. Vie o tome bit e pisano kasnije.

Diplomski rad RRAS

Lovrenco Vladislavi

2. Remote Access (Udaljeni pristup) Protokoli za udaljeni pristup

Point to Point protocol (PPP) PPP predstavlja nain za enkapsuliranje paketa iz drugih protokola i njihov prijenos serijskom ili nekom drugom (od vora do vora) vezom. Za razliku od SLIP protokola koji nije podran (kao posluiteljski proces) u WS2003, PPP osigurava irok spektar karakteristika koje unaprjeuju jednostavan postupak kojim se samo alju paketi fizikom vezom. PPP je dokumentiran u preporuci RFC 1662, Point-to-point Protocol (PPP). Karakteristine funkcije koje PPP nudi su: -HDLC (High-Level Data Link Control) PPP se moe koristiti ne samo za IP, ve i za irok spektar drugih protokola. PPP svoj format okvira zasniva na High-Level Dana Link Control protokolu, koji predstavlja standardnu metodu koja se koristi kod veza od vora do vora. -LCP (Link Control Protocol)- Ovo je protokol sa mogunou proirenja koji se koristi za uspostavljanje, konfiguriranje i testiranje podatkovnih veza. Obje strane veze pregovaraju o parametrima druge strane koji e se koristiti u vezi, npr. Veliina paketa. -NCP (Network Control Protocol) NCP doputa razliite konfiguracijske opcije, u zavisnosti od vrste protokola kojim se paketi prenose du PPP veze. NCP za posebne sesije mrenih protokola doputa pregovaranje i podeavanje nakon uspostavljanja veze. tovie PPP doputa multipleksiranje nekoliko razliitih protokola na istoj vezi. PPP ugovara vezu sa udaljenim raunalom, testira je, uspostavlja razliite protokole veze, a zatim alje podatke sa jednog raunala na drugo. Budui da se PPP koristi na mreama sa prospajanjem kanala, a ne na mreama sa komutacijom paketa, smatra se da paketi stiu na odredite istim redoslijedom kako se alju. PPP doputa slanje paketa vie protokola du iste veze, multipleksiranjem razliitih protokola. Takoer podrava i full-duplex komunikaciju (obosmjernu) na istoj vezi. Na slijedeoj slici vidimo izgled PPP okvira. Indikator 1 oktet

Adresa 1 oktet

Kontrola 1 oktet

Protokol 2 okteta

Sadraj Varijabilan

(FCS) Frame check Sequence 2-4 okteta

Slika---- Point to Point Tunneling Protocol (PPTP) PPTP je detaljno opisan u preporuci RFC 2637, Point-to-Point Tunneling Protocol (PPTP). PPTP poveava mogunosti PPP-a. Dok PPP komunicira vezama sa prospajanjem kanala, PPTP ostvaruje tunel kroz mreu sa prospajanjem paketa, primjerice Internet. Ideja je u sutini slina. PPTP enkapsulira paket nekog protokola, a zatim se PPTP paket usmjerava kroz mreu. Krajnje toke koje koriste PPTP vezu ne moraju znati da se nalaze na suprotnim krajevima velike mree sa prospajanjem paketa, ve izgleda kao da se oba kraja nalaze na istoj mrei. Jo jedna razlika izmeu protokola PPP i PPTP je to to PPTP dozvoljava ifriranje korisnog dijela paketa, tako da su datagrami IP protokola (ili nekog drugog protokola) prilikom prijenosa zatieni. Ukoliko kuni korisnik eli pristupiti udaljenom posluitelju u svojoj radnoj organizaciji prices uspostave PPTP veze tee na slijedei nain. Najprije Korisnik uspostavlja modemsku vezu sa svojim ISP-om preko javne telefonske mree (PSTN). Kada je veza sa Internetom uspostavljena zapoinje drugi krug ugovaranja, kako bi se uspostavio PPTP tunel preko PPP veze. Krajnje toke PPP veze su kuni korisnik i ISP. Krajnje toke PPTP veze su raunalo korisnika i RAS posluitelj u radnoj organizaciji koji je p