PRENOVA OMREŽJA Z ZAGOTAVLJANJEM POLNE … · oblikovanja, ekonomije, komunikologije in podjetništva. Ponudbo krepijo in izboljšujejo vsako leto. Uporabniki so prva in zadnja kontrolna

Diplomsko delo univerzitetnega študijaSmer organizacija in management informacijskih

PRENOVA OMREŽJA Z ZAGOTAVLJANJEM POLNE

FUNKCIONALNOSTI ISO/OSI SLOJEV Mentor: red. prof. dr. Vladislav Rajkovi

Diplomsko delo univerzitetnega študijaSmer organizacija in management informacijskih

sistemov

PRENOVA OMREŽJA Z ZAGOTAVLJANJEM POLNE

FUNKCIONALNOSTI ISO/OSI SLOJEV

Mentor: red. prof. dr. Vladislav Rajkovič Kandidat: Žiga Ko

Kranj, september 2010

Diplomsko delo univerzitetnega študija Smer organizacija in management informacijskih

ZAGOTAVLJANJEM POLNE FUNKCIONALNOSTI ISO/OSI SLOJEV

Kandidat: Žiga Kočevar

ZAHVALA Zahvaljujem se mentorju prof. dr. Vladislavu Rajkoviču za mentorstvo in strokovne nasvete pri diplomski nalogi. Zahvaljujem se podjetju Status d.o.o., ki mi je omogočilo izdelavo diplomske naloge. Hvala moji družini, ki me je podpirala med študijem.

POVZETEK Diplomsko delo obravnava predlog prenove komunikacijskega omrežja v podjetju Status d.o.o.. V nalogi so opisane osnove računalniških omrežij, posnetek obstoječega stanja in predlog rešitve, ki bi najbolj ustrezala organizaciji. Predlog prenove računalniškega omrežja obravnava zamenjavo aktivne omrežne opreme na centralni in oddaljeni lokaciji s komunikacijsko opremo proizvajalca Cisco. Uporabili smo centralno stikalo, dostopovna stikala in usmerjevalnik, ki opravlja tudi funkcijo požarne pregrade. Na oddaljeni lokaciji se predvideva namestitev usmerjevalnika in stikala. Oddaljeno lokacijo smo z glavno lokacijo povezali preko OpenVPN omrežja. Rezultat predloga prenove omrežja je stabilno, varno in zanesljivo komunikacijsko omrežje, ki zagotavlja podporo vsem procesom, ki tečejo v podjetju. KLJUČNE BESEDE

• računalniško omrežje • komunikacijske naprave • Cisco • stikalo • usmerjevalnik

ABSTRACT The thesis deals with the proposal for reengineering of the communications network for Status d.o.o. company. In my thesis I have described the basics of computer networks, described the current status and the proposed solutions that would best suit the organization. The proposal for the replacement of the computer network treats the replacement of the active network equipment at a central and at a remote location with the communications equipment by the manufacturer Cisco. We used a central switch, access switches and a router, which also acts as a firewall. We proposed to install a router and an access switch at a remote location. We connected the remote location with the main location via the OpenVPN network. The result of the reengineering is a stable, secure and reliable communications network that provides support to all processes running in the organization.

KEYWORDS

• Computer network • Communications equipment • Cisco • Router • Switch

KAZALO 1 Uvod ................................................................................................................. 1

2 Metodologija ...................................................................................................... 2

2.1 Definicija problema ..................................................................................... 2

2.2 Definicija ciljev ........................................................................................... 2

2.3 Predvideni rezultati ..................................................................................... 2

2.4 Predlagane metode dela in orodja .............................................................. 2

2.5 Omejitve in predpostavke ........................................................................... 4

3 Predstavitev podjetja ......................................................................................... 5

3.1 Informacijska tehnologija v Status d.o.o. .................................................... 5

4 Računalniška omrežja ....................................................................................... 6

4.1 Osnovni gradniki računalniških omrežij ...................................................... 6

4.1.1 Vozlišče .............................................................................................. 6

4.1.2 Ponavljalnik ......................................................................................... 6

4.1.3 Razdelilnik........................................................................................... 7

4.1.4 Stikalo ................................................................................................. 7

4.1.5 Most .................................................................................................... 8

4.1.6 Usmerjevalnik ..................................................................................... 8

4.1.7 Privzeti prehod .................................................................................... 9

4.1.8 Prenosni kanal .................................................................................... 9

4.2 Prenosni mediji ........................................................................................ 10

4.2.1 Parica ................................................................................................ 10

4.2.2 Koaksialni kabel ................................................................................ 10

4.2.3 Optično vlakno .................................................................................. 11

4.2.4 Brezžične zveze ................................................................................ 12

4.3 Delitev računalniških omrežij .................................................................... 12

4.3.1 Delitev glede na velikost.................................................................... 12

4.3.2 Topologija omrežja ............................................................................ 13

4.4 ISO/OSI referenčni model ........................................................................ 16

4.4.1 Fizični sloj ......................................................................................... 16

4.4.2 Povezovalni sloj ................................................................................ 17

4.4.3 Omrežni sloj ...................................................................................... 17

4.4.4 Transportni sloj ................................................................................. 18

4.4.5 Sejni sloj ........................................................................................... 19

4.4.6 Predstavitveni sloj ............................................................................. 19

4.4.7 Aplikacijski sloj .................................................................................. 20

4.5 TCP/IP referenčni model .......................................................................... 21

4.5.1 Vmesniški sloj ................................................................................... 22

4.5.2 Medmrežni sloj .................................................................................. 22

4.5.3 Transportni sloj ................................................................................. 22

4.5.4 Aplikacijski sloj .................................................................................. 22

5 Opis obstoječega stanja pred prenovo ............................................................ 23

6 Prenova računalniškega omrežja .................................................................... 25

6.1 Predlog rešitve ......................................................................................... 25

6.2 Konfiguracija glavnega stikala .................................................................. 27

6.3 Konfiguracija glavnega usmerjevalnika .................................................... 30

6.3.1 Zgradba in lastnosti usmerjevalnika .................................................. 30

6.3.2 Usmerjanje mrežnega prometa ......................................................... 31

6.3.3 Osnovna konfiguracija usmerjevalnika .............................................. 34

6.3.4 Požarni zid ........................................................................................ 36

6.3.5 Konfiguracija NAT ............................................................................. 37

6.3.6 VPN povezava .................................................................................. 38

7 Zaključek ......................................................................................................... 40

LITERATURA ......................................................................................................... 41

KAZALO SLIK ........................................................................................................ 42

KAZALO TABEL ..................................................................................................... 42

KRATICE IN AKRONIMI......................................................................................... 43

Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko delo univerzitetnega študija

Žiga Kočevar: Prenova omrežja z zagotavljanjem polne funkcionalnosti ISO/OSI slojev Stran 1

1 Uvod Vloga informacijske tehnologije se v današnjih malih in srednje velikih podjetjih spreminja. Ker postajajo organizacije in tekmeci vse bolj globalni, vzdržujejo stike s partnerji, dobavitelji in strankami prek omrežne tehnologije. Informacijska tehnologija predstavlja nepogrešljivo hrbtenico podjetja, saj zagotavlja zanesljivo izvajanje poslovnih procesov. Današnje poslovne strategije se vse bolj opirajo na informacijsko tehnologijo, razlogov za to pa je več. Temeljni poslovni procesi večinoma temeljijo na IT sistemih in so vse bolj pomemben dejavnik razlikovanja na konkurenčnem trgu. Pri tem je ena izmed nalog informacijske tehnologije stroškovno učinkovita podpora glavnim poslovnim procesom. Slaba prepustnost, izpad ali celo vdor v omrežje lahko resno ohromijo poslovanje podjetja in ogrozijo njegovo finančno stabilnost. Da bi ostala konkurenčna in se razvijala naprej, morajo podjetja uvajati tehnologijo in omrežne rešitve. Vsaka investicija v omrežje za podjetje predstavlja velik strošek, zato jo je treba upravičiti. Večina organizacij je seznanjena s prenovo omrežij. To je disciplina, ki pomaga zagotoviti, da omrežja ostanejo prilagojena potrebam svojih uporabnikov, kar pomaga povečati produktivnost in prihraniti stroške. Prenova zajema celotno planiranje, analizo, načrtovanje in izvajanje sprememb v sistemu. Zagotoviti moramo, da je računalniško omrežje v celoti izkoriščeno in enostavno za upravljanje. Šele ko bodo podjetja znala oceniti prednosti, ki jih informacijska infrastruktura prinaša v ustvarjanje vrednosti in spremenila videnje, da je to naložba in ne strošek, bo slednja postala konkurenčna prednost in platforma za nove poslovne priložnosti. Strategija razvoja IT infrastrukture mora odsevati poslovno strategijo podjetja, zato jo je treba ves čas obnavljati, njene prednosti pa dokazovati s stalnimi izboljšavami poslovnih rezultatov.



2 Metodologija 2.1 Definicija problema V podjetju Status d.o.o. želimo narediti analizo obstoječega računalniškega omrežja in ga po potrebi tudi nadgraditi oz. prenoviti. Nemogoče je doseči popolno delovanje celotnega računalniškega sistema, z zanesljivo, stabilno in odzivno infrastrukturo pa se tem procentom lahko približamo. 2.2 Definicija ciljev Pripraviti želimo predlog posodobitve računalniškega omrežja, saj so se od vzpostavitve omrežja pa do danes pojavile nove tehnologije, ki omogočajo nove storitve, hitrejši prenos podatkov in boljši nadzor nad sistemom.

Cilji naloge so:

• Spoznati osnove računalniških komunikacij • Skupaj z naročnikom oblikovati predlog prenove obstoječega omrežja • Upravljati komunikacijsko opremo proizvajalca Cisco preko linijskega vnosa

ukazov 2.3 Predvideni rezultati V podjetju Status d.o.o. si želimo najti optimalne karakteristike računalniškega omrežja, saj se zavedamo, da komunikacijsko omrežje predstavlja enega od temeljev v celotni IT infrastrukturi. Rezultat prenove bo prinesel zanesljivo, varno, odzivno in obvladljivo komunikacijsko omrežje, ki bo zagotavljalo nemoteno delo in potek vseh procesov v podjetju. 2.4 Predlagane metode dela in orodja Za izvedbo predloga rešitve bomo uporabili preizkusno različico orodja Boson NetSim Network Simulator, ki nam omogoča načrtovanje in konfiguracijo omrežja z različnimi produkti proizvajalca Cisco. Z enostavnim vmesnikom najprej izberemo naprave, ki jih želimo imeti v našem omrežju. Nato naredimo še povezave med napravami in s tem imamo postavljeno virtualno omrežje.



Slika 1: Načrtovanje omrežja s programsko opremo Boson NetSim

Nato se preselimo v okolje za konfiguracijo naprav. Tukaj se srečamo z operacijskim sistemom za medmrežje Cisco IOS (ang. Cisco Internetwork Operating System). Gre za prvo programsko opremo z infrastrukturo omrežja, ki omogoča brezhibno integracijo tehnoloških novosti, ključnih poslovnih storitev in podpore za strojno opremo. Ukaze vnašamo v konzolo in s tem konfiguriramo stikalo oz. usmerjevalnik.

Slika 2: Konfiguracija naprav z linijskim vnosom ukazov



2.5 Omejitve in predpostavke Omejitve se pojavljajo pri višini investicije, saj podjetje v tem trenutku ni pripravljeno vlagati v informacijsko tehnologijo. Cena investicije ni ravno nizka za malo podjetje, je pa nujna za izboljšanje delovanja omrežja. Predpostavljamo, da bo prenovljeno omrežje zagotavljalo polno funkcionalnost ISO/OSI slojev in bo imelo veliko možnosti za nadgradnjo tudi v prihodnosti.



3 Predstavitev podjetja Podjetje Status d.o.o. je bilo ustanovljeno leta 1995 po 15-letnih izkušnjah v samostojnem podjetništvu. Gre za sodobno podjetje, ki ustvarja in proizvaja inovativne kuhinjske in gospodinjske pripomočke. V podjetju načrtujejo in izvajajo ves življenjski cikel njihovih izdelkov – od njihovega načrtovanja, oblikovanja in izdelave do tržnega komuniciranja, prodaje in servisnega centra uporabnikom izdelkov. Podjetje ima sedež v Metliki, kjer je zaposlenih 35 ljudi. Poleg Metlike imajo tudi predstavništvo v hrvaškem Karlovcu, ki pokriva prodajo izdelkov za trg Hrvaške in Srbije. Združujejo znanja s področij strojništva, tehnologije, zagotavljanja kakovosti, oblikovanja, ekonomije, komunikologije in podjetništva. Ponudbo krepijo in izboljšujejo vsako leto. Uporabniki so prva in zadnja kontrolna točka, izdelke poskušajo prilagoditi njihovim željam in potrebam. Trudijo se, da so izdelki kvalitetni, učinkoviti in enostavni za uporabo. Izdelke prodajajo po vsem svetu. Največ, kar 90% izdelkov prodajo v EU, kjer so glavni trgi Nemčija, Italija, Francija in Velika Britanija. Ostalo prodajo drugod po svetu, predvsem v ZDA in na Japonsko. (Vir: http://www.status.si/) 3.1 Informacijska tehnologija v Status d.o.o.

• 20 osebnih računalnikov • 1 strežnik (Windows Server 2003) • 4 stikala • 1 usmerjevalnik • 1 modem • 16 telefonskih priključkov (9 ISDN, 7 analognih) • 8 tiskalnikov • 1 brezprekinitveni napajalnik (UPS) • Operacijski sistem Windows XP Professional • Aplikacije (Microsoft Office 2003, Autodesk Inventor, Adobe Creative Suite 4,

Poslovni informacijski sistem 4.0)



4 Računalniška omrežja Računalniško omrežje je skupina med seboj povezanih računalnikov, ki si delijo informacije in opremo. Ti računalniki so lahko v isti sobi, isti stavbi, na različnih koncih mesta ali sveta. Računalnike povežemo v omrežje z namenom deljenja skupnih virov (podatkovnih ali procesorskih), poenotenjem dela, zniževanjem cene vzdrževanja in popravil, centralnega nadzora in administracije poslovnih aktivnosti ter poglobljenega sodelovanja med ponudniki in uporabniki. Gre za povezavo računalniške tehnologije (strojna oprema, operacijski sistemi, programi) in komunikacijske opreme (prenos-transport podatkov). 4.1 Osnovni gradniki računalniških omrežij Osnovni gradniki ožičenih omrežij so vozlišče, ponavljalnik, razdelilnik, stikalo, most, usmerjevalnik, privzeti prehod in prenosni kanal. 4.1.1 Vozlišče Vozlišče (vozel) je naprava, ki v omrežju opravlja komunikacijske naloge. Vozlišče je lahko končno ali vmesno. Končno vozlišče običajno predstavlja kar sam računalnik, s katerim se povezujemo v omrežje. V njem informacija nastaja in/ali se koristi (senzor, aktuator, daljinska postaja, nadzorna postaja,…) Vmesno vozlišče je stičišče dveh ali več povezav in praviloma nima priključenih računalnikov. Je posrednik informacije, saj opravlja različne naloge, kot je usmerjanje paketov ali povezovanje različnih omrežij. 4.1.2 Ponavljalnik Ponavljalnik povezuje dve identični omrežji in prenaša podatke po obeh omrežjih. Naloga ponavljalnika je, da signal, ki ga sprejme na enem vmesniku, ojači in obnovi ter preusmeri na preostale vmesnike. Pri tem pride do majhnih zakasnitev, zato je število ponavljalnikov v omrežju omejeno. Ponavljalnike uporabljamo v primerih, ko se pojavijo potrebe po povečanju števila delovnih postaj oziroma fizične razsežnosti omrežja. Glede na različne prenosne medije je namreč omejeno maksimalno število postaj, ki jih lahko povežemo med seboj in dolžina prenosnega medija, ki te postaje povezuje. Za ponavljalnik je značilno, da ne preverja vsebine paketa, ampak signal le ojači in obnovi, zato ga uvrščamo med naprave, ki delujejo na fizični plasti referenčnega modela ISO/OSI. Med seboj se ločijo po številu segmentov, ki jih povezujejo in tipu konektorjev, ki so vezani na prenosni medij. Delovne postaje, ki so povezane med seboj s prenosnim medijem in na tej povezavi ne vsebujejo nobene naprave za medomrežno povezovanje, tvorijo svoj segment omrežja. Zaradi številnih slabosti in pomanjkljivosti se ponavljalniki vse manj uporabljajo. Ker je njihovo število v omrežju omejeno, niso primerni za gradnjo večjih omrežij. (Vir: http://en.wikipedia.org/wiki/Repeater)



4.1.3 Razdelilnik Omrežje, ki ga sestavljata le dve napravi, je dokaj preprosto postaviti. Če imata napravi vsaka svojo ethernet vtičnico, ju preprosto povežemo s prekrižanim (crosswired ali crossover) kablom. Ta se od običajnega ethernet kabla razlikuje po tem, da ima kontakte na eni izmed vtičnic obrnjene. Z njim lahko dve napravi povežemo, ne da bi posegli po razdelilniku. Ko je naprav več, ne gre brez namenske posebne opreme. Običajni razdelilniki imajo kar nekaj slabosti: naenkrat podpirajo samo prenos v eno smer, tako da lahko omrežna naprava podatke pošilja ali pa prejema, ne more pa početi obojega hkrati. Ena izmed omrežnih naprav pošlje podatek razdelilniku, ta pa ga pošlje vsem drugim napravam v omrežju. Naprava, ki ji je podatek namenjen, nato podatke sprejme. Ko je v omrežju večje število naprav, je omrežje z razdelilniki precej obremenjeno, saj lahko v danem trenutku podatke oddaja le ena naprava v omrežju, vse druge pa jih sprejemajo. Ker so podatki načeloma namenjeni le eni izmed naprav v omrežju, gre za precejšno izgubo časa. (Vir: http://wiki.fmf.uni-lj.si/wiki/Razdelilnik)

4.1.4 Stikalo Stikalo operira na drugi (podatkovno-povezovalni) plasti modela ISO/OSI in lahko usmerja promet glede na strojni naslovov (MAC), zato pravimo, da izvaja fizično usmerjanje. Naprednejša L3 (Layer 3) stikala lahko izvajajo tudi logično usmerjanje naslovov IP in tako prevzemajo nekatere funkcije usmerjevalnikov. V primerjavi z navadnimi razdelilniki imajo stikala dve pomembni prednosti: naprava, priklopljena na stikalo, lahko hkrati pošilja in prejema podatke, ob tem pa stikalo poskrbi tudi za to, da je podatek, ki ga ena naprava pošilja, poslan samo tisti napravi v omrežju, kateri je podatek namenjen. Povezave do drugih naprav so proste, zato se po njih lahko prenašajo drugi podatki. Zaradi omenjenih lastnosti so stikala precej bolj primerna za povezovanje omrežnih naprav, razlike pa so še posebej opazne, ko presežemo okvire povprečnega domačega omrežja in je število naprav v omrežju večje. Vsaka posamezna naprava lahko s takim načinom priklopa izkoristi celotno pasovno širino, ki ji je na voljo. Medtem pa si pri priklopu z razdelilnikom vse naprave v omrežju delijo pasovno širino. Ker so stikala postala cenovno ugodna in pri opravljanju svojih funkcij ne ovirajo omrežnega prometa, se običajni razdelilniki počasi poslavljajo, tudi iz manjših omrežij. (Vir: http://en.wikipedia.org/wiki/Network_switch)

Slika 3: Primer stikala



4.1.5 Most Most oziroma premoščevalnik medsebojno povezuje omrežja. Če je lokalno omrežje povezano z mostom, lokalno omrežje zapustijo podatki, ki so namenjeni v drugo lokalno omrežje. Je novejšega izvora kot ponavljalnik, a je bolj zahtevna naprava, ki podatke ojača in pošlje na ustrezen vmesnik. Podatke pred tem najprej shrani v medpomnilnik, jih preveri in če ni napak, podatke pošlje naprej na ustrezen vmesnik (enega ali več premoščevalnikov), odvisno od ciljnega naslova. Most je počasnejši od ponavljalnika in deluje na drugi plasti modela OSI. Za tovrstne naprave je značilno, da število naprav v omrežju ni omejeno, z njimi lahko delno povečamo prepustnost omrežja, omogočajo tudi povezavo različnih LAN omrežij med seboj (Ethernet, Token Ring). Most sprejme vse pakete iz vseh segmentov, na katerih se nahaja s svojimi vmesniki. Za vsak vmesnik ima vpisane MAC naslove postaj, ki se nahajajo na istem segmentu kot pripadajoči vmesnik. Most pregleda vsak paket. Odloča se po naslednjih kriterijih:

• Če se ponorni naslov ne ujema s ponornimi naslovi v tabeli vmesnika, ki je paket sprejel, pogleda v tabelo ostalih vmesnikov in pošlje paket na tisti vmesnik, katerega naslov se nahaja v tabeli ali pošlje paket na vse vmesnike, če se ponorni naslov ne nahaja v nobeni izmed tabel vmesnikov.

• Če prepozna, da je ponorni naslov vpisan v tabeli za vmesnik, ki je sprejel ta

paket, pomeni, da se naslovljena postaja nahaja na istem segmentu, zato paket zavrže.

Poznamo lokalne premoščevalnike (local bridge), ki med seboj povezujejo segmente lokalnega omrežja in oddaljene premoščevalnike (remote bridge), ki med seboj povezujejo oddaljena lokalna omrežja. Ti premoščevalniki so počasni, zato jih zamenjujejo preklopna stikala in usmerjevalniki. (Vir: http://en.wikipedia.org/wiki/Network_bridge)

4.1.6 Usmerjevalnik Usmerjevalnik je naprava, ki povezuje dve ali več različnih omrežij. Njegove funkcije so omejevanje prometa, prenašanje prometa na manjša omrežja in izbira najustreznejše poti za potovanje podatkovnih paketov do njihovega cilja. S tem zmanjšujejo promet v omrežju. Usmerjevalniki operirajo z mrežnimi naslovi, ki so definirani na tretjem sloju referenčnega modela OSI. Zato pravimo, da je usmerjevalnik naprava, ki deluje na tretjem (mrežnem) sloju OSI modela. Usmerjevalniki lahko delujejo kot požarni zid (ang. firewall). Požarni zid je pregrada, ki nezaželenim podatkovnim paketom preprečuje vstop v določene dele mreže ali izstop iz njih. Požarni zid je torej ločnica med internetom in lokalnim omrežjem, ki preprečuje same vdore v lokalno omrežje. Dostop do interneta in iz njega je mogoč le preko računalniškega požarnega zidu. Zato je tipična uporaba usmerjevalnika na



mestu, kjer se krajevna mreža priključuje na internet. Z vpisom v sezname dostopa določimo, kateri zunanji in notranji računalniki so dostopni in kateri protokoli so dovoljeni. (Vir: http://en.wikipedia.org/wiki/Router)

Slika 4: Primer usmerjevalnika

4.1.7 Privzeti prehod Prehod je skupek strojne in programske opreme, potrebne za komunikacijo dveh tehnološko različnih omrežij, ki zagotavlja pretvorbo protokolov iz ene omrežne arhitekture v drugo. Naloga prehoda je, da različnim računalniškim sistemom, ki med seboj niso neposredno združljivi, dajejo občutek, kot da komunicirajo z enakim sistemom na drugi strani. Prehod pogosto uporabljamo kot vhodno-izhodno točko pri povezovanju krajevnega omrežja z globalnim. Pri tem pretvornik poskrbi, da bodo v lokalno omrežje vstopali le paketi, namenjeni temu omrežju in obratno – izstopajo pa samo paketi, namenjeni računalniku ali napravi zunaj tega omrežja. Ves lokalni omrežni promet ostaja znotraj krajevnega omrežja. V veliko primerih ima naprava IP prehod identičen svojemu. Če je IP naslov 10.10.25.0, potem je IP naslov prehoda navadno 10.1.25.1. (Vir: http://en.wikipedia.org/wiki/Default_gateway)

4.1.8 Prenosni kanal Prenosni kanal predstavlja fizično ali logično povezavo med dvema vozliščema. Fizično je to lahko bakrena parica, optični kabel, zrak, logično pa npr. eden izmed multipleksiranih kanalov na eni fizični povezavi. Glavne lastnosti, po katerih ločimo kanale, so:

• Način komunikacije: popolno dvosmeren (ang. Full duplex), polovično dvosmeren (ang. Half duplex), enosmeren (ang. simplex).



• Način prenosa: zaporedni (serijski) kanal, po katerem pošiljamo bit za bitom in vzporedni (paralelni) kanal, ki omogoča prenos več bitov hkrati (8, 16, 32,...).

• Način sinhronizacije: asinhroni ali sinhroni kanal. • Tehnologija prenosa: dvotočkovni, skupinski kanal.

4.2 Prenosni mediji Prenosni medij v fizični plasti je lahko prepleteni par bakrenih žic, optični kabel, koaksialni kabel, mikrovalovi ali radijski valovi. Fizični nivo vključuje tudi oddajnike, sprejemnike, konektorje, ponavljalnike. 4.2.1 Parica Sukana parica (ang. Twisted pair) je sestavljena iz dveh ali več prepletenih bakrenih žic, ki so izolirane in med seboj prepletene. Poznamo več različic sukanih paric, najpogostejše med njimi so: neoklopljena parica (ang. Unshielded twisted pair - UTD), s folijo oviti prepleteni kabli (ang. Foiled twisted pair - FTP) in oklopljena parica (ang. Shielded twisted pair - STP). Več prepletenih parnih žic je pogosto med seboj prepletenih v kabel. Število paric v kablu je različno. V računalniških omrežjih se večinoma uporabljajo kabli s štirimi paricami. Hitrost prenosa po sukani parici je odvisna od razdalje. Po njih se lahko prenašajo tako digitalni, kot tudi analogni signali. Zaradi nizke cene so zelo priljubljen medij, še zlasti v lokalnih omrežjih. (Vir: http://en.wikipedia.org/wiki/Twisted_pair)

Slika 5: Parica

4.2.2 Koaksialni kabel Koaksialni kabel sestavlja vodnik, obdan s plastjo izolacije, kovinskim pletenim plaščem in z zunanjim zaščitnim plaščem. Koaksialni kabel uporabljamo za prenos signala na razdaljah do 15 kilometrov. Omogoča hitrosti do 50 Mb/s, ki so zelo primerne za gradnjo lokalnih računalniških in televizijskih mrež. Prednosti koaksialnega kabla so majhna občutljivost na elektromagnetne vplive od zunaj, majhno sevanje navzven ter enostavno širjenje mreže brez motenja tekočega delovanja. To se lahko sprevrže tudi v pomanjkljivost, ker omogoča vdor v mrežo.



Slabost je višja cena kot pri UTP kablih, zato se ga le redko uporablja. Srečujemo ga predvsem v starejših omrežjih. (Vir: http://en.wikipedia.org/wiki/Coaxial_cable)

Slika 6: Koaksialni kabel

4.2.3 Optično vlakno Optična vlakna so dielektrične strukture, ki omogočajo vodenje svetlobe na velike razdalje z majhnimi izgubami. Vlakna se med seboj razlikujejo po premeru jedra in seveda njihovi sestavi. Tista z manjšim jedrom se imenujejo enorodovna vlakna, večji premer jedra pa imajo mnogorodovna vlakna. V enorodovnem vlaknu se širi svetloba le na en način, v obliki enega snopa, t.i. rodu. Pri mnogorodovnem vlaknu se pa širi na več načinov v več rodovih, kar lahko povzroči problem medrodovne disperzije. Disperzija se pojavlja tudi v enorodovnem vlaknu, a v drugačni obliki. Optično vlakno deluje na principu popolnega odboja svetlobnih žarkov. Da bi dobili optični kabel, uporabimo isto vrsto stekla po vsej dolžini kabla za jedro, okoli stekla pa je odbojna prevleka, ki pogojuje lom svetlobe. Podatki potujejo po optičnem vlaknu s približno hitrostjo svetlobe v vakuumu (300.000 km/s). (Vir: http://en.wikipedia.org/wiki/Optical_fiber)

Slika 7: Optični kabel



4.2.4 Brezžične zveze Brezžični prenosi ne potrebujejo fizične povezave, ker signali potujejo po zraku oziroma skozi prostor. Najpogostejše brezžične povezave v obe smeri potekajo s pomočjo satelitov, mikrovalovnih zvez ali mobilnih telefonov. Mikrovalovni prenosi so se od vseh štirih načinov pojavili najprej. Obratujejo z mikrovalovnimi frekvencami. Uporabljajo se lahko le na relativno majhnih razdaljah. Dodaten problem povzroča občutljivost na atmosferske motnje. Satelitski prenos omogočajo geostacionarni sateliti 36.000 kilometrov visoko. S teh višin lahko pokrivajo sateliti velik del zemeljske površine. Komunikacijska sposobnost satelitov je zelo velika in znaša 40.000 istočasnih telefonskih linij ali 200 televizijskih kanalov. Problem pri satelitskih komunikacijah je omejeno število satelitov. Število je omejeno zaradi tega, ker bi se sicer satelitski signali med seboj mešali in bi prišlo do motenj v obliki presluha. 4.3 Delitev računalniških omrežij Omrežja lahko delimo po več kriterijih. Za ločevanje je pomembna tehnologija prenosa, velikost omrežja in topologija. V splošnem jih razčlenimo na krajevna (LAN) in prostrana (WAN) omrežja. 4.3.1 Delitev glede na velikost Omrežje delimo glede na velikost v grobem na tri dele, ki jih prikazuje spodnja tabela:

Razdalja Povezava Velikost omrežja Tehnologija

0,1 m Osnovna plošča

Ni omrežje v pravem

pomenu besede

Multiprocesor, več procesorjev na kartici

1 m Računalnik Multiračunalnik, več procesorjev v omari

10 m Soba

LAN

Ethernet, RS-232, FDDI 100 m Stavba Več segmentov Etherneta,

FDDI, RS-232 1 km Okoliš Klicni modem, ISDN, FDDI

10 km Mesto MAN

DQDB, klicni modem, hitri Ethernet, FDDI

100 km Država

WAN

Klicni modem, medomrežno povezovanje

1000 km Kontinent Satelitsko povezana omrežja 10000

km Planet Internet

Tabela 1: Delitev omrežij glede na velikost



Lokalno omrežje Lokalno omrežje LAN (Local Area Network) je omrežje, ki povezujejo različne računalniške enote v omejenem prostoru, na primer doma, v šoli, v podjetju. Lokalno omrežje je osnovni gradnik vsakega računalniškega omrežja. Lokalno omrežje lahko sega od enostavnega (dva računalnika, ki sta povezana preko medija) do kompleksnega (na stotine povezanih računalnikov in perifernih enot). Značilnost lokalnih omrežij je v tem, da so to zasebna omrežja, ki se nahajajo znotraj neke stavbe ali območja na razdalji nekaj kilometrov. Običajno imajo enotno administracijo. V lokalnih omrežij je malo napak pri prenosu podatkov. Hitrosti, ki jih dosegajo, so od 10 do 1000 Mb/s. Značilna tehnologija sloni na skupnem prenosnem kanalu v obliki vodila z decentralizirano kontrolo dostopa do kanala. To tehnologijo je v prakso prenesel »Ethernet«, ki ga je danes že v veliki večini zamenjal desetkrat hitrejši »Fast Ethernet«.

Mestno omrežje Mestno omrežje (ang. MAN - Metropolitan Area Network) je omrežje, ki ima vse lastnosti lokalnih omrežij, pokriva pa tudi širše območje (npr. velikost mesta). Najboljši primer mestnega omrežja je omrežje kabelske televizije, ki je na razpolago v mnogih mestih. Ta sistem je zrasel iz skromnih skupnih anten, ki so se uporabljale za sprejem slabih televizijskih signalov. V takšnem sistemu se je na vrhu hriba nahajala antena, ki je nato signal peljala do posameznih gospodinjstev. To so bili običajno na hitro narejeni in lokalno načrtovani sistemi. Ko so se začeli nekateri ukvarjati s tem poslom, so se omrežja razširila na celotna mesta. Naslednji korak so bili posebni programi, ki so bili emitirani v določenem kabelskem sistemu. Običajno so bili kanali specializirani, npr. za šport, politiko, kuhanje, aerobiko in podobno. Do leta 1990 so se uporabljali samo za TV signale. Ko je Internet privabil širše množice, so operaterji kabelske televizije pričeli z izdelavo sprememb v omrežju, ki je omogočala dvosmerni promet. Neuporabljen spekter so uporabili za povezavo z internetom. V tem trenutku so se distribucijski TV sistemi začeli spreminjati v mestna omrežja. Prostrano omrežje WAN - Wide Area Network povezuje med seboj različna krajevna omrežja in bolj oddaljene računalnike v eno samo. Prostrana omrežja nimajo geografskih omejitev. Poveže lahko tudi računalnike ali druge naprave v določeni pokrajini, v državi ali celo na nasprotnih straneh sveta. WAN je običajno sestavljen iz več med seboj povezanih LAN. Danes je najbolj poznano prostrano omrežje Internet. Največji problem prostranih omrežij je pravilno iskanje najbolj učinkovitih poti do naslovnika ali usmerjanje. 4.3.2 Topologija omrežja Po definiciji topologijo omrežij opredeljujejo vozlišča in povezave med njimi. Povezave med glavnimi vozlišči omrežja imenujemo hrbtenica omrežja. Med



vozlišča običajno ne štejemo končnih računalnikov (čeprav ga lahko smatramo kot končno vozlišče), ki jih ločimo od vozlišč predvsem po tem, da vozlišča ne generirajo uporabniškega prometa, ampak ga samo posredujejo. Topologija vodila Topologija vodila omogoča povezavo različnih operacijskih sistemov. Vse delovne postaje, med katere štejemo terminale, osebne računalnike, računalnike, grafične postaje, vozlišča, so povezane z enotnim vodnikom. Tako prenos podatkov poteka podobno kot po vodilu. Vse enote na vodilu lahko zaznavajo vse signale hkrati. Omrežje s topologijo vodila je ethernet. Tovrstna topologija je ena najbolj razširjenih v svetu lokalnih omrežij.

Slika 8: Topologija vodila

Topologija zvezde Topologija ima le eno vozlišče, na katero so priključeni vsi računalniki. Je zelo enostavna, zato pa zelo ranljiva. Število priključkov na vozlišče je omejeno s številom priključnih mest na aktivni opremi.

Slika 9: Zvezdna topologija

Topologija obroča Več vozlišč nanizamo drugo za drugo v obroč. Topologija obroča je bolj trdoživo od zvezdne topologije, saj so ob izpadu vozlišča prizadeti le lokalni uporabniki. Ob izpadu dveh vozlišč lahko omrežje razpade na dva dela. Pogosto srečamo omrežja, kjer obročasta topologija povezuje lokalna zvezdna omrežja.

Univerza v Mariboru - Fakulteta za organizacijske vede

Žiga Kočevar: Prenova omrežja z zagotavljanjem polne funkcionalnosti ISO/OSI slojev

Slabost topologije je, da je dizvora in ponora. Primer topologije obro

Topologija drevesa Drevesno topologijo si lahko predstavljamo kot vesrečamo le redko, navadno v omrežjih lokalnega dostoterminalov, ki so med seboj povezani

Zankasta topologija V tej topologiji je vsako vozelo zanesljivo. Število povezav naraškompleksna in draga.

Fakulteta za organizacijske vede Diplomsko delo univerzitetnega študija


Slabost topologije je, da je dolžina poti med dvema točkama zelo odvisna od mesta izvora in ponora. Primer topologije obroča je sistem Token-Ring.

Slika 10: Topologija obroča

Drevesno topologijo si lahko predstavljamo kot večnivojsko zvezdo. V praksi jo amo le redko, navadno v omrežjih lokalnega dostopa (povezuje množico

med seboj povezani s koncentratorji).

Slika 11: Drevesna topologija

V tej topologiji je vsako vozlišče direktno povezano z vsakim drugim vozlišzelo zanesljivo. Število povezav narašča s kvadratom števila, zato je topologija

Slika 12: Zankasta topologija

univerzitetnega študija

Stran 15

kama zelo odvisna od mesta

zvezdo. V praksi jo pa (povezuje množico

e direktno povezano z vsakim drugim vozliščem. Je a s kvadratom števila, zato je topologija

Univerza v Mariboru - Fakulteta za organizacijske vede


4.4 ISO/OSI referen ISO/OSI referenčni model (ang. International Standards Organization Open System Interconnection Reference model) je referen1977, razvit pa leta 1981. Namenjen je združevanju sistemov oz. komunikacij med sistemi, ki so odprti in tako medsebojno združljivi. Razvit je bil z namenom medsebojne povezave med sistandardi. Osi model sestavljaizločili posamezen dejavnik, ki je pomemben za koNajprej so imeli namen oblikovati en sam standardni protokol, ki bi se uporabljal po celem svetu za vse račvzrokov uporaba protokola omejena. V praksi ga niso širše sprejelNjegov pomen je predvsem v tem,dejavnike. Lahko služi kot referenin obnašanje ostalih protokolov. (Vir: http://en.wikipedia.org/wiki/OSI_model

4.4.1 Fizični sloj Fizični sloj je prva in najnižja plast ISO/OSI modela raOdgovoren je za pošiljanje bitov iz enega rafizičnem nivoju ne zanimatočke A do točke B z uporabo optipovezujejo naprave. Tu skrbijo za vzpostavitev, vzdr

Fakulteta za organizacijske vede Diplomsko delo univerzitetnega študija


ISO/OSI referenčni model

ni model (ang. International Standards Organization Open System Interconnection Reference model) je referenčni model, ki je bil predlagan že leta 1977, razvit pa leta 1981. Namenjen je združevanju sistemov oz. komunikacij med

in tako medsebojno združljivi. Razvit je bil z namenom medsebojne povezave med sistemi, ki imajo različno opremo

sestavlja sedem slojev. Vsak sloj predstavlja poskus, da bi ili posamezen dejavnik, ki je pomemben za komunikacijo med ra

Najprej so imeli namen oblikovati en sam standardni protokol, ki bi se uporabljal po celem svetu za vse računalniške komunikacije, vendar je bila zaradi razlivzrokov uporaba protokola omejena. V praksi ga niso širše sprejelNjegov pomen je predvsem v tem, da je celovit in upošteva vse pomembne

ahko služi kot referenčni model, s katerim lahko primerjamo sposobnosti in obnašanje ostalih protokolov.

http://en.wikipedia.org/wiki/OSI_model)

Slika 13: ISO/OSI referenčni model

ni sloj je prva in najnižja plast ISO/OSI modela računalniških omrežij. za pošiljanje bitov iz enega računalnika na drugega. Komponente na

nem nivoju ne zanima, kaj pomenijo biti; njihova naloga je izkljuke B z uporabo optičnih, električnih ali brezžičnih tehnologij, ki

so definirane mehanske in električne lastnosti ter skrbijo za vzpostavitev, vzdrževanje in prekinitev zvez. Fizična plast definira nivo

univerzitetnega študija

Stran 16

ni model (ang. International Standards Organization Open System ni model, ki je bil predlagan že leta

1977, razvit pa leta 1981. Namenjen je združevanju sistemov oz. komunikacij med in tako medsebojno združljivi. Razvit je bil z namenom

no opremo pod enotnimi predstavlja poskus, da bi

munikacijo med računalniki. Najprej so imeli namen oblikovati en sam standardni protokol, ki bi se uporabljal po

unalniške komunikacije, vendar je bila zaradi različnih vzrokov uporaba protokola omejena. V praksi ga niso širše sprejeli in uporabljali.

da je celovit in upošteva vse pomembne ni model, s katerim lahko primerjamo sposobnosti

čunalniških omrežij. unalnika na drugega. Komponente na

, kaj pomenijo biti; njihova naloga je izključno prenos iz čnih tehnologij, ki

ne lastnosti ter funkcije, ki na plast definira nivo



signala, hitrost prenosa, maksimalno možno razdaljo med uporabnikoma, mehanske lastnosti konektorjev in podobno. Fizična plast je verjetno ena najbolj zapletenih plasti v celotni arhitekturi, saj imamo na trgu ogromno število tehnologij, ki imajo različne značilnosti. Najpogostejše naprave, ki operirajo na fizičnem nivoju so modem, mrežna kartica, ponavljalnik, razdelilnik. (Vir: http://en.wikipedia.org/wiki/Physical_Layer) 4.4.2 Povezovalni sloj Povezovalni sloj je odgovoren za tok podatkov skozi posamezno fizično povezavo iz ene naprave na drugo. Sprejema pakete iz omrežnega nivoja in združuje informacije v podatkovne enote, ki se imenujejo okvir (ang. frame). Ti okvirji so nato predstavljeni fizičnemu nivoju, ki poskrbi za prenos. Povezovalni sloj doda podatkom kontrolno informacijo, kot je tip okvirja. Skrbi tudi za odkrivanje in popravljanje napak, kontrolo pretoka podatkov ter razvrščanje okvirjev v pravilna zaporedja. Povezovalni model je razdeljen na 2 podplasti:

• MAC (Media Control Access) nadzoruje dostop podatkov do fizične plasti. MAC plast omogoča, da si več uporabnikov deli skupni prenosni medij, tem uporabnikom pa definira enoličen MAC naslov. Naslov MAC je naslov računalnika, definiran na nivoju strojne opreme. V omrežjih ethernet je to njegov naslov v krajevni mreži. Ko se računalnik poveže v omrežje internet, se naslovu MAC priredi naslov IP. Naslovi MAC so 48 bitni (00-11-6b-1b-46-c6).

• LLC (Logical Link Control) je definiran v IEEE 802.2 standardu . LLC plast je neodvisna od prenosnega medija in topologije, kar pomeni, da je skupna vsem pristopnim metodam. Osnovna naloga je vzpostavitev, vzdrževanje in prekinitev logične povezave med vozlišči lokalnega omrežja. Zaradi tega vsebuje funkcije za pravilno interpretacijo naslovnih in kontrolnih polj ter okvirjev in funkcije za obdelavo nepravilno sprejetih okvirjev.

Protokoli, ki so pogosto uporabljeni v povezovalnem sloju, so:

• SLIP (Serial Line Internet Protocol) je protokol, ki se uporablja za serijsko povezavo dveh točk. Je starejša različica internetnega protokola, v veliki meri ga ja nadomestil PPP protokol.

• PPP (Point-to-Point Protocol) je protokol, ki omogoča komunikacijo med usmerjevalniki, ki so lahko od različnih proizvajalcev, uporablja pa se lahko tudi za povezovanje uporabnikov z lokalnimi omrežji preko komunikacijskih strežnikov.

(Vir: http://en.wikipedia.org/wiki/Data_Link_Layer) 4.4.3 Omrežni sloj Omrežni sloj je tretji sloj v ISO/OSI modelu računalniških omrežij. Skrbi za usmerjanje in prenos podatkov po omrežju. Paketom pomaga pri usmerjanju na tiste destinacije, kamor so namenjeni. Usmerjanje je možno na osnovi izvornega in



ciljnega naslova, ki se nahajata v glavi paketka. Usmerjanje poteka po različnih kanalih, odvisno od razmer v omrežju. Za usmerjanje so odgovorni usmerjevalni algoritmi, ki jih izvajajo usmerjevalniki. Omrežni sloj skrbi za preprečevanje in odpravljanje zasičenosti omrežja. Ukvarja se tudi z naslavljanjem računalnikov. Tipični protokoli v omrežnem sloju:

• Internetni protokol (IP) - Računalnik ima v omrežju unikaten IP naslov, katerega tvori 32-bitno število, ki je za boljši pregled zapisano s štirimi osembitnimi vrednostmi v desetiški obliki, npr. 88.129.63.18.

• Address Resolution Protocol (ARP) je eden izmed osnovnih protokolov v mrežni plasti. Odgovoren je za preslikavo internetnega naslova (IP) v pripadajoči MAC naslov (Media Access Control). Vsa omrežna strojna oprema ima unikaten naslov MAC, zato imajo vsi omrežni gradniki dva identifikacijska naslova: IP in MAC.

• Reverse Address Resolution Protocol (RARP) opravlja nasprotno nalogo kot protokol ARP, saj naslove MAC povezuje z naslovi IP. V zadnjem času RARP vse pogosteje zamenjujeta BOOTP (Bootstrap Protocol) in novejši DHCP (Dynamic Host Configuration Protocol).

• Internet Control Message Protocol (ICMP) se uporablja za pošiljanje

kontrolnih sporočil in sporočil stanja v internetnem omrežju. Pakete ICMP razlikujemo po tipu sporočila, ki ga nosijo, to je lahko zahteva, odgovor na zahtevo, statusna informacija ali vrsta napake. Ti paketi ne vsebujejo izvornih in ciljnih vrat, ampak le sporočila, ki imajo številčne oznake.

(Vir: http://en.wikipedia.org/wiki/Network_Layer) 4.4.4 Transportni sloj Transportna ali prenosna plast je vmesnik med aplikacijsko in omrežno plastjo. Opravlja izvedbo prenosa podatkov med računalniškimi sistemi. Sprejema zahteve aplikacijske plasti in jih izvršuje s pomočjo omrežnega sloja in je tako vmesnik med informacijskim sistemom in omrežjem. Sejni plasti zagotavlja storitve popolnega transportnega kanala. Prenosni sloj zagotavlja transparentnost prenosa, odpravljanje napak, kontrolo pretoka ipd. Med najbolj znane implementacije transportne plasti spadata protokola TCP in UDP. Tukaj poteka povezavno orientirana komunikacija. Transportna plast zagotavlja, da paketi prispejo v končno točko v istem vrstnem redu kot so bili poslani. S pomočjo sistemov in algoritmov za iskanje in odpravljanje napak transportni sloj zagotavlja, da so prispeli paketi konsistentni. Ker so tehnološki viri omejeni, mora prenosna plast skrbeti za regulirano pošiljanje paketov in s tem preprečiti preobremenjevanje postaj s prometom. V kolikor kontrola pretoka ni efektivna, je potrebno nastalo situacijo (zasičenje) odpraviti, zato je ena izmed nalog transportnega sloja tudi ta, da poskrbi za razrešitev zasičenja postaj.



• Transmision Control Protocol (TCP) je povezovalno orientiran protokol, ki ga uporabljajo aplikacije v paketnih računalniških omrežjih, ki potrebujejo zanesljiv prenos in pravilen vrstni red dostave.

• User Datagram Protocol (UDP) je ne-povezovalni protokol za prenašanje

paketov. To pomeni, da odjemalec in strežnik ne vzpostavljata povezave, ampak strežnik pošilja pakete odjemalcu in ne preverja, če je odjemalec pakete dobil. Je nezanesljiv protokol, ki temelji na dostavi z najboljšim namenom. Ne omogoča popravljanja napak. Uporabljajo ga aplikacije, ki so časovno zahtevne, kot so audio in video aplikacije.

(Vir: http://en.wikipedia.org/wiki/Transport_Layer) 4.4.5 Sejni sloj Plast seje je odgovorna za storitve, ki podpirajo logično povezovanje oddaljenih procesov. Seja je dialog med dvema sodelujočima aplikacijama ali procesoma na obeh straneh komunikacijske zveze. Priključitev na oddaljeni računalnik in pošiljanje podatkov za tiskanje na njegovem tiskalniku bi potrebovalo storitve sejnega sloja. Sejni sloj določa način, organizacijo in sinhronizacijo povezave med dvema računalnikoma. Komunikacija je lahko popolno dvosmerna, polovično dvosmerna ali enosmerna (ang. full-duplex, half-duplex, simplex). Protokoli, ki so uporabljeni v tem sloju so naslednji:

• Layer 2 Tunneling Protocol (L2TP) - V računalniških omrežjih se protokol za tuneliranje uporablja pri podpori za navidezna zasebna omrežja (VPN). Protokol ne omogoča nobenega šifriranja sam po sebi, ampak uporablja »IpSec« (avtentikacija in enkripcija vsakega IP paketa), da preide v tunel za zagotavljanje zasebnosti.

• Zone Information Protocol (ZIP) – Je AppleTalk protokol, ki skrbi za razmerja

med omrežnimi številkami in številkami con.

• Network File System (NFS) – To je protokol, ki omogoča dostop do podatkov preko omrežja.

(Vir: http://en.wikipedia.org/wiki/Session_Layer) 4.4.6 Predstavitveni sloj Predstavitvena plast skrbi za pretvorbo podatkov v obliko, ki jo lahko razume računalniško okolje na sprejemni strani in s tem podatke ustrezno predstavi. Predstavitvena plast vsebuje storitve, kot so stiskanje in raztezanje podatkov, pretvorba posameznih kontrolnih znakov, ki so posledica različnih tipkovnic, šifriranje in dešifriranje podatkov. V tem sloju srečamo naslednje protokole:

• JPEG ali JPG (Joint Photographic Experts Group) je rastrski slikovni format. Definiran je v YCbCr barvnem prostoru. V nasprotju z GIF-formatom, ki



uporablja brezizgubno kompresijo, JPEG-format (lahko) uporablja izgubno kompresijo, kar pomeni da s kompresijo določene informacije v sliki izgubimo. Če s stopnjo kompresije ne pretiravamo, razlika med originalno in kompresirano sliko ni opazna. JPEG-format bitno sliko najprej pretvori v frekvenčni prostor s pomočjo kosinusove transformacije (DCT II). Sama kompresija slike je lahko narejena na več načinov: z rezanjem višje-frekvenčnih komponent, z zmanjševanjem barvnih komponent (downsampling), s kodiranjem po metodi ponavljajočih vrednosti (Run Length Encoding) in s kodiranjem po Huffmanu.

• HTTP (HyperText Transfer Protocol) je glavna metoda za prenos informacij

na spletu. Protokol je prvotno namenjen objavljanju in prejemanju HTML strani. Razvoj HTTP so koordinirali WWW konzorcij in delovne skupine za medmrežni inženiring. Rezultat je bila publikacija serije RFCjev, predvsem RFC 2616, ki definira HTTP/1.1, torej različico, ki se uporablja danes v svetu.

• HTTPS (HyperText Transfer Protocol Secure) je zavarovana različica HTTP.

Uporablja SSL in TLS, da zakodira in s tem zaščiti promet pred vmesnimi opazovalci. Ta komunikacijski protokol navadno uporablja priklop številka 443. SSL, ki je bil narejen za HTTP, omogoča zavarovanje tudi kadar prihaja informacija za kodiranje samo s strani strežnika.

• MPEG (Motion Picture Expert Group) je standardni format za zgoščevanje

gibajočega videa. (Vir: http://en.wikipedia.org/wiki/Presentation_Layer)

4.4.7 Aplikacijski sloj Aplikacijski sloj je vmesnik med uporabnikom in komunikacijskim omrežjem. Določa protokole, ki omogočajo elektronsko pošto, izdelavo predstavitvenih strani, prenašanje datotek in podobno. Skladno z razvojem OSI modela so se razvijale tudi aplikacije OSI. Tipični protokoli, uporabljeni v tem sloju, so:

• File Transfer Protocol (FTP) oz. protokol za prenos datotek je programski standard za prenos datotek med računalniki z različnimi operacijskimi sistemi. FTP je 8-bitni protokol vrste strežnik-odjemalec, ki lahko prenaša datoteke brez dodatne obdelave, kot sta npr. MIME ali uuencode. FTP ima po drugi strani zelo dolgo latenco – čas med oddajo zahtevka za prenos in dejanskim začetkom prenašanja podatkov je lahko precejšen. Potreben je tudi prijavni postopek

• Trivial File Transfer Protocol (TFTP) je okrnjena verzija FTP-ja. Ne podpira

avtentifikacije ter dostopa do map.

• Simple Mail Transfer Protocol (SMTP) je preprost protokol za prenos elektronske pošte, ki je standard za prenos elektronske pošte na Internetu. S temi protokoli prenašamo elektronsko pošto med različnimi sistemi,



povezanimi s TCP/IP. To so samo protokoli, ki so namenjeni za prenose elektronske pošte, medtem ko potrebujemo za sestavo pošte druge programe, ki jim pravimo uporabniški agenti (user agents). SMTP struktura je osnovana na modelu povezave kot rezultat zahteve uporabnika elektronske pošte. SMTP vzpostavi obojestranski prenosni kanal sprejemniku, ki je lahko končni ali vmesni.

• DNS je kratica za Domain Name System - sistem za domenska imena. Je

informacijska storitev, namenjena pretvarjanju domenskih imen strežnikov v internetne naslove (IP številke). Kadarkoli uporabimo WWW ali elektronsko pošto, uporabimo DNS, ne da bi se tega zavedali. Če se hočemo povezati z nekim računalnikom, moramo poznati njegov IP naslov. Ker pa si lažje zapomnimo besede kot številke, so vpeljali DNS ali Domain Name Server. DNS strežnik si lahko predstavljamo kot bazo, ki imena računalnikov pretvarja v IP številke.

(Vir: http://en.wikipedia.org/wiki/Application_Layer) 4.5 TCP/IP referenčni model V uporabi so številne skupine protokolov, ki delujejo podobno kot OSI referenčni model ali kak njegov del. Naštejmo nekatere: IBM SNA (System Network Architecture), Novell IPX/SPX, Appletalk, DECNET in podobni. V zadnjih nekaj letih se je močno razširila uporaba TCP/IP. Ta je tesno povezan z Internetom. TCP/IP omogoča komunikacije na vseh nivojih, od majhnih krajevnih mrež do velikih širokih omrežij. Omogoča cenovno ugodno rešitev, saj je že vključen ali pa ga je možno vključiti v večino modernih operacijskih sistemov. Primerjava med OSI in TCP/IP modelom je dokaj zapletena. Oba imata svoje prednosti in pomanjkljivosti. TCP/IP je cenen in prilagodljiv, vendar pa ni dovolj sistematičen. OSI je sicer sistematičen, vendar je drag in ne nudi dovolj storitev na aplikacijski plasti. (Gradišar, Resinovič, 2000, str. 326)

Slika 14: TCP/IP referenčni model



4.5.1 Vmesniški sloj Ta sloj je precej ohlapen glede priporočil. Ne zahteva ničesar drugega kot to, da je računalnike nekako potrebno priključiti na omrežje, tako da bodo lahko prejemali in pošiljali IP pakete. 4.5.2 Medmrežni sloj Je najpomembnejša plast celotne TCP/IP arhitekture. Računalnikom je potrebno omogočiti, da pošiljajo pakete na katerokoli točko v omrežju. Paketi potujejo neodvisno eden od drugega, lahko po različnih poteh, kar lahko povzroči zamešani vrstni red paketov, kar urejajo višje plasti. Sloj določa format paketov in protokol IP (Internet protokol). Glavna naloga plasti je torej usmerjanje paketov proti cilju in preprečevanje zasičenja omrežja. Po funkcionalnosti je plast podobna OSI omrežnemu sloju. 4.5.3 Transportni sloj Plast omogoča podobno kot OSI transportna plast komunikacijo med procesoma na obeh končnih računalnikih, na izvornem in ponornem. Za to se uporabljata dva protokola, TCP in UDP. 4.5.4 Aplikacijski sloj TCP/IP model nima sejne in predstavitvene plasti, ker sta se izkazali za nepotrebni. Aplikacijska plast tako leži nad transportno in vsebuje vse visokonivojske protokole. Nekateri od najpomembnejših protokolov v tej plasti so TELNET, FTP, SMTP, DNS, NNTP, HTTP in SNMP.



5 Opis obstoječega stanja pred prenovo Podjetje je organizirano tako, da ima sedež v Metliki in partnersko podjetje v Karlovcu na Hrvaškem. V podjetju obstaja omrežje, ki je bilo zgrajeno pred približno sedmimi leti. Do danes še ni bilo nadgrajeno ali prenovljeno. Omrežje sestavlja komunikacijska oprema, ki je dotrajana in neustrezna. Večina komponent je cenenih proizvajalcev, ki ne zagotavljajo polne funkcionalnosti. Računalnike na glavni lokaciji povezuje eno 24 vratno stikalo proizvajalca Linksys, eno 8 vratno stikalo proizvajalca Jaht in dve 8 vratni stikali proizvajalca Level One. Dostop do interneta zagotavlja usmerjevalnik preko ponudnika internetnih storitev ADSL (ang. Asymmetric Digital Subscriber Line) z osnovno hitrostjo 2M/384 kbit/s. Komunikacijske naprave in računalniki v omrežju so povezani med seboj s kabli Cat 5e (mehki komunikacijski kabel).

Internet

Usmerjevalnik Planet

ADSL

Strežnik

Uporabniki

Stikala

Slika 15: Shema računalniškega omrežja na centralni lokaciji

Omrežje na oddaljeni lokaciji je sestavljeno iz enostavnega usmerjevalnika in 8 vratnega stikala. Internetno povezava zagotavlja ponudnik internetnih storitev, hitrost priključka pa je osnovna. Komunikacijske naprave in računalniki v omrežju so povezani med seboj s kabli Cat 5e (mehki komunikacijski kabel).



Slika 16: Shema računalniškega omrežja na oddaljeni lokaciji

S tehnologom sva ugotovila, da je omrežje zastarelo in izredno počasno. S tem je onemogočena izmenjava informacij v realnem času, kar otežuje delo zaposlenih. Omrežje je sestavljeno iz komponent različnih proizvajalcev, ki so dotrajane in neustrezne za potrebe manjših podjetij. Prav tako sedanje omrežje ne omogoča domenske prijave v omrežje, kar zelo otežuje administracijo računalnikov. Omrežje je nujno potrebno prenove, saj je moten delovni proces, s tem pa je zmanjšana učinkovitost zaposlenih pri delu. Najbolj nujna nadgradnja hitrosti dostopa do internetnega ponudnika, saj so sedanje hitrosti bolj primerne za domača omrežja.



6 Prenova računalniškega omrežja Prenova omrežja mora ustrezati vsem ciljem podjetja, tako organizacijskih kot tehničnim. Pri tem mora upoštevati dane omejitve in načrtovan razvoj podjetja v prihodnje. S prenovo omrežja želimo doseči stabilno, obvladljivo, prilagodljivo in varno omrežje, ki bo imelo tudi veliko možnosti za nadgradnjo v prihodnje. V predlogu zamenjave mrežne opreme smo uporabili omrežno opremo proizvajalca Cisco, katero odlikuje preprostost uporabe, visoka vzdržljivost, visoka razpoložljivost in ogromno možnosti za nadgradnjo. Prikazali bomo konfiguracijo glavnega stikala in usmerjevalnika na centralni lokaciji. Konfiguracijo smo izvedli s pomočjo programske opreme Boson NetSim.

6.1 Predlog rešitve V predlogu prenove komunikacijskega omrežja smo predvideli zamenjavo celotne komunikacijske opreme na glavni lokaciji v Metliki in na oddaljeni lokaciji v Karlovcu. Prenova zajema zamenjavo stikal in usmerjevalnikov z novo komunikacijsko opremo proizvajalca Cisco, ki je zelo zmogljiva in primerna za mala podjetja. Predlagali smo zamenjavo tehnologije dostopa do interneta iz sedanjega ADSL na optični vod, saj sedanje hitrosti ne omogočajo normalnega dela zaposlenih. Predvideva se zamenjava sedanjega 24 vratnega stikala z novim stikalom Cisco WS-C2960-24TC-L, ki podpira tehnologijo navideznih lokalnih omrežij. V skladišču in v pisarni službe za kakovost bosta nameščeni stikali Cisco WS-CE520-8PC-UC. Vsa dostopovna stikala so tipa PoE (ang. Power over Ethernet), saj se v podjetju dogovarjajo za morebiten prehod na IP telefonijo v bližnji prihodnosti, ta funkcionalnost pa omogoča napajanje telefona preko etherneta. Za dostop do interneta smo izbrali usmerjevalnik Cisco 2811, ki poleg funkcionalnosti usmerjanja mrežnega prometa služi tudi kot požarna pregrada (ang. Firewall).

Internet

Uporabniki

Stikalo WS-C2960-24TC-LUsmerjevalnik Cisco 2811

Stikalo WS-CE520-8PC-UC

Stikalo WS-CE520-8PC-UC

Slika 17: Shema prenove LAN na centralni lokaciji



Na oddaljeni lokaciji je predvidena namestitev enostavnega stikala Cisco WS-CE520-8PC-UC, saj se tudi tukaj predvideva prehod na IP telefonijo. Tukaj se predvideva tudi namestitev usmerjevalnika Cisco 871, ki omogoča vzpostavitve desetih VPN povezav in 20 uporabnikov internetnih storitev.

Slika 18: Shema prenove LAN na oddaljeni lokaciji

Oddaljena lokacija v Karlovcu bo dostopala do interneta preko glavne lokacije. Z glavno se bo povezala preko OpenVPN, ki je elegantna rešitev težav z varnim medomrežnim povezovanjem skozi najrazličnejša IP omrežja. Nadzor dostopa se izvaja na podlagi certifikatov odjemalcev in strežnikov, za kriptiranje prometa pa standardi, ki so tipični za SSL in TLS povezave.

Slika 19: Shema WAN omrežja



6.2 Konfiguracija glavnega stikala Kot glavno stikalo smo izbrali Cisco WS-C2960-24TC-L, katerega namestitev za potrebe podjetja bomo prikazali v naslednjih korakih. Za izbris začetne konfiguracije stikala uporabimo ukaz »erase startup-config«, ki ga vnesemo v privilegiranem načinu. Ta ukaz izbriše vsebino, ki je shranjena v NVRAM-u stikala. Ko vpišemo ukaz »reload« v privilegiranem načinu, se stikalo ponovno naloži in preide v način za nastavljanje.

Nato z ukazom »configure terminal« vstopimo v konfiguracijski način, kjer nastavimo osnovne lastnosti stikala. Z ukazom »hostname« nastavimo ime stikala, ukaz »username« in »password« določita uporabnika in geslo, z ukazom »enable secret« pa nastavimo kriptirano geslo za dostop do privilegiranega načina.

»Line vty« ukaz uporabimo, da nastavimo geslo za dostop do stikala preko Telneta v uporabniškem načinu. Geslo nastavimo na liniji navideznega vmesnika.



Zelo pomembna je tudi enkripcija gesel, saj omogoča veliko večjo varnost. Da bi zakodirali gesla, uporabimo ukaz »service password-encryption«.

Z ukazom »show running-config« preverimo, ali so naša gesla kodirana. Zgoraj lahko vidimo, da je temu res tako. Da bi nastavili IP naslov stikala, uporabimo ukaz »ip address« v konfiguracijskem načinu na navideznem vmesniku VLAN1.

V našem primeru smo nastavili IP naslov 192.168.11.20 in 24-bitno masko 255.255.255.0. Ne smemo pozabiti na ukaz »no shutdown«, s katerim aktiviramo izbrani vmesnik. Protokol vpetega drevesa (ang. Spanning Tree Protocol) je protokol, katerega naloga je, da najde vse povezave v omrežju in hkrati onemogoči podvajanje oz. redundanco. Ukaz »spanning-tree mode pvst« določa, da uporabljamo protokol vpetega drevesa posameznega navideznega omrežja (ang. Per Vlan Spanning Tree). Ukaz »spanning-tree loopguard default« ima funkcijo preprečevanja nastajanja namenskih vrat v primeru napake enosmerne povezave.



Z ukazom »spanning-tree portfast bfdufilter« omogočimo funkcionalnost hitrih vrat. Ta ukaz uporabimo, kadar so na vrata priključeni strežniki in delovne postaje.

V vmesniškem načinu smo vnesli še ukaza »spanning-tree portfast« in »spanning-tree bpduguard enable«. Ukaz »spanning-tree portfast« uporabimo zaradi boljše odzivnosti na vratih, kamor so priklopljeni strežniki. Kadar uporabljamo ta ukaz, moramo biti zelo previdni, saj lahko nehote naredimo zanke, ki nam lahko izredno upočasnijo pretok informacij znotraj omrežja, prav tako pa težko odkrijemo vzrok problema.

Če smo že omogočili »Portfast« funkcijo na stikalu, je pametno omogočiti tudi »BPDUGuard« (ang. Bridge Protocol Data Unit – BPDU Guard). Ukaz »spanning-tree bpduguard enable« poskrbi, da vrata preidejo v stanje napake oz. v onemogočeno stanje, če po nesreči priključimo na tako nastavljena vrata kakšno dodatno stikalo ali usmerjevalnik.

Vsakič, ko končamo s trenutno konfiguracijo stikala (ang. running config), je potrebno konfiguracijo shraniti v NVRAM stikala, saj bodo v nasprotnem primeru nastavitve izgubljene.



Shranjevanje trenutne v začetno konfiguracijo (ang. startup config) nam omogoča ukaz »copy running-config startup config«.

6.3 Konfiguracija glavnega usmerjevalnika 6.3.1 Zgradba in lastnosti usmerjevalnika Komponente tipičnega usmerjevalnika Cisco so sledeče:

• DRAM (Dynamic RAM) je pomnilniški modul tipa RAM, v katerem se nahaja usmerjevalna tabela, trenutna konfiguracija usmerjevalnika, tabela »ARP – cache«, predpomnilnik »buffer« za datagrame ter skupne čakalne vrste.

• NVRAM – NonVolatile RAM je bralno pisalni pomnilniški modul tipa ROM, na

kateremu je shranjena začetna konfiguracijo usmerjevalnika.

• Flash je bralno pisalni pomnilniški modul tipa ROM, na kateremu je shranjen operacijski sistem (ang. image) usmerjevalnika.

• ROM je bralni pomnilniški modul na katerem je shranjen »bootstrap«

program, program za diagnosticiranje sistema (ang. POST - Power-On Self Test).

• Vmesniki (Ethernet, serijski, ATM, itd) se lahko nahajajo na matični plošči ali

na ločenem modulu.

• Vmesniki za upravljanje: console, auxiliary. Možno je, da so posamezne komponente realizirane na skupnih modulih. To je odvisno od posamezne implementacije usmerjevalnika. Za usmerjevalnik smo izbrali Cisco 2811, ki poleg funkcije usmerjanja nudi tudi požarno pregrado. Podobno kot stikalo se izbrani usmerjevalnik konfigurira z linijskim vnosom ukazov (ang. Command Line Interface). Ob prvi prijavi v konzolo se nam pokaže naslednje sporočilo: Router>



Sporočilo pove, da je usmerjevalnik pripravljen na sprejem nadaljnjih ukazov. Na sliki so opisani osnovni koraki, ki se izvedejo ob zagonu usmerjevalnika.

Slika 20: Osnovni koraki ob zagonu usmerjevalnika

Zaradi varnostnih razlogov operacijski sistem usmerjevalnika omogoča več nivojev dostopa do konfiguracijskih ukazov. Na spodnji sliki so prikazani nivoji »mode« dostopa do upravljavskih ukazov.

Slika 21: Nivoji dostopa do upravljavskih ukazov

6.3.2 Usmerjanje mrežnega prometa Usmerjanje je proces odločanja, v okviru katerega se v omrežjih IP med vozlišči omrežja (usmerjevalniki) izmenjujejo informacije o dosegljivosti podomrežij. Na osnovi teh informaciji usmerjevalniki posredujejo prejete datagrame na ustrezne izhodne vmesnike.

Slika 22: Usmerjevalni proces

Za izvajanje usmerjanja in posredovanja v usmerjevalniku potrebujemo:



• naslov ponorne naprave (destination IP), • možne poti do ponorne naprave, • katera od možnih poti je najboljša (optimalna), • možnost ažuriranja podatkov o poteh.

Usmerjevalnik hrani informacije o dosegljivih poteh/omrežjih v svoji usmerjevalni tabeli. V njej se nahajata dve vrsti vnosov:

• Za omrežja, ki so dosegljiva neposredno – neposreden priklop na usmerjevalnik (možna je lokalna dostava datagramov).

• Za oddaljena omrežja (dosegljiva so prek drugih usmerjevalnikov). Vnešena so lahko ročno ali z uporabo usmerjevalnega protokola.

Vnosi so lahko statični ali dinamični. Pri statičnih vnosih administrator ročno vnese poti v usmerjevalno tabelo, zato mora ob vsaki spremembi omrežne topologije tabelo »ročno« obnoviti. Usmerjevalnik, ki poganja usmerjevalni protokol, samodejno ugotavlja nove poti in spremembe starih poti v topologiji omrežja. Pravila, po katerih se izmenjujejo in vodijo informacije o vnosih v usmerjevalnih tabelah, nam določajo usmerjevalni protokoli. Na usmerjevalniku je lahko hkrati aktivnih več usmerjevalnih protokolov. Primeri usmerjevalnih protokolov:

• RIP (Routing Information Protocol), • OSPF (Open Shortest Path First), • IS-IS (Intermediate System – Intermediate System), • BGP (Border Gateway Protocol).

Obstaja več načinov kategorizacije usmerjevalnih protokolov. Eden izmed njih je delitev na distance vector (DV) in link-state (LS) protokole. Osnovne značilnosti kategorij so podane v naslednji tabeli.



Distance vector protokoli Link-state protokoli RIPv1, RIPv2, IGRP OSPF, IS-IS, EIGRP

• Sosedom pošilja celotno usmerjevalno tabelo.

• Pošiljanja so pogosta (privzeto na 30s).

• Število korakov (hop-ov) je edini parameter za izbiro poti.

• Počasna konvergenca vseh usmerjevalnikov v primeru sprememb.

• Možnost usmerjevalnih zank.

• Potrebuje dokaj veliko pasovne širine.

• Preprosta nastavitev in uporaba.

• Pošilja samo podatke o spremembah. • Količina podatkov, ki se redno pošiljajo,

je majhna. • Algoritem računa najkrajšo pot

upoštevaje več parametrov, kot so pasovna širina povezave, zakasnitve, obremenjenost.

• Hitra konvergenca v primeru sprememb. • Potrebuje manj pasovne širine. • Mehanizem za preprečevanje zank. • Zahteva več pomnilnika in več

procesorskih zmogljivosti • Kompleksna nastavitev.

Tabela 2: Primerjava distance vector in link-state protokolov

V primeru, da usmerjevalnik poganja dva ali več usmerjevalnih protokolov, obstaja parameter, ki »ocenjuje« usmerjevalni protokol. Parameter se imenuje administrativna razdalja (angl. administrative distance - AD). Manjša vrednost pomeni prednost pri izbiri. Protokol RIP ima AD=120, dokler ima OSPF AD=110. Administrativna razdalja je podatek, ki je podan v zapisih usmerjevalne tabele. Protokol RIP Usmerjevalni protokol RIP uvrščamo v družino »distance vector« protokolov. Usmerjevalniki, ki poganjajo protokol RIP, periodično sprejemajo usmerjevalne tabele le od svojih neposrednih sosedov. Usmerjevalni procesi na osnovi izmenjanih zapisov izračunajo optimalne poti do oddaljenih omrežij. Teh poti je lahko več, naloga usmerjevalnega procesa pa je, da izbere optimalno. Ta informacija se vnese v usmerjevalno tabelo. Protokol OSPF Protokol OSPF se uvršča v skupino »link state« usmerjevalnih protokolov. Usmerjevalniki, ki poganjajo protokol OSPF, posredujejo informacije o spremembah v stanju povezav vsem sosednjim usmerjevalnikom. Pripadnost posamezni omrežni soseščini OSPF je določena s parametrom »področje« (angl. area). Usmerjevalniki znotraj področja sprejemajo oglase o spremembah v stanjih povezav (ang. Link State Advertisments - LSA) ter jih posredujejo neposredno povezanim sosedom. V stanju konvergence je na vseh usmerjevalnikih vsebovana identična tabela aktivnih omrežnih povezav, na podlagi katere se izračunajo (algoritem Shortest Path First - SPF) optimalne poti do ciljnih omrežij, ki se zapišejo v usmerjevalno tabelo.



6.3.3 Osnovna konfiguracija usmerjevalnika Da bi vstopili v privilegiran način, podobno kot pri stikalu uporabimo ukaz »enable«. Usmerjevalnik vsebuje tovarniške nastavitve, katere izbrišemo z ukazom »erase startup-config«. Ta ukaz izbriše vsebino, ki je shranjena v NVRAM-u usmerjevalnika. Ko vpišemo ukaz »reload« v privilegiranem načinu, se usmerjevalnik ponovno naloži in preide v način za nastavljanje.

Z ukazom »hostname« nastavimo ime usmerjevalnika, ukaz »username« in »password« določita uporabnika in geslo, z ukazom »enable secret« pa nastavimo kriptirano geslo za dostop do privilegiranega načina. Za kriptiranje vseh gesel uporabimo ukaz »service password-encryption«.

V nadaljevanju smo določali varnostne nastavitve na usmerjevalniku. Ukaz »aaa new model« omogoča AAA (ang. authentication, authorization, accounting) omrežne varnostne nastavitve. Ukaz »aaa authentication login admins local« določa način za preverjanje pristnosti ob prijavi. Ukaz »aaa authorization network Status local« omogoča omejitev storitev, ki so na voljo samo uporabnikom Statusovega omrežja.



V nadaljevanju smo omogočili prijavljanje administratorja preko telnet seje z uporabniškimi imeni in gesli, nastavljenimi nekaj korakov nazaj. Ukaze smo vnašali na liniji navideznega vmesnika (vty 0 4). Vneseni ukazi so »authorization network Status«, »login authorization admins« in »transport input all«.

Vmesnik FastEthernet 0/0 bomo uporabili za dostop do interneta. Z ukazom »description External Interface« smo naredili opis vmesnika – zunanji vmesnik. Z ukazom »ip address 193.189.160.11 255.255.255.224« smo vmesniku nastavili IP naslov.

Podobno konfiguriramo tudi vmesnik FastEthernet 0/1, kateri bo služil za povezavo v OpenVpn omrežje. Z ukazom »no ip unreachables« smo onemogočili pošiljanje nedostavljenih ICMP sporočil. Z ukazom »no ip redirects« smo izklopili preusmeritev ICMP paketov. Ukaz »ip route-cache flow« poskrbi za vklop NetFlow mrežnega protokola na celotnem vmesniku. Ukaza »speed auto« in »duplex auto« omogočata, da se hitrost in način delovanja nastavljata samodejno glede na potrebe priključene naprave.



Podobno kot pri stikalu je potrebno trenutno konfiguracijo usmerjevalnika shraniti v NVRAM, saj bodo v nasprotnem primeru nastavitve izgubljene. Podobno kot pri nastavitvi stikala uporabimo ukaz »copy running-config startup config«.

6.3.4 Požarni zid Usmerjevalnik Cisco 2811 opravlja tudi pomembno funkcijo požarne pregrade. Požarni zíd (ang. firewall) je verjetno najpogostejši varnostni izdelek s področja omrežne varnosti. Potrebuje ga že skoraj vsaka naprava, povezana v internet. Požarni zidovi so namenjeni ločevanju dveh odsekov omrežij, pogosto enemu odseku zaupamo, drugemu pa ne. Bistvo požarnega zidu je v zagotavljanju varnosti med dvema omrežjema. Požarni zid glede na določena pravila dovoli ali zavrne tok podatkov preko njega. Poznamo strojne in programske požarne zidove. Prednost programskih požarnih zidov je običajno v enostavnejši uporabi, predvsem pa je razlika v ceni. Za domačo uporabo obstajajo brezplačni požarni zidovi, strojni so običajno precej dražji. Prednost strojnega je pogosto v hitrosti, saj so normalno strojne rešitve precej hitrejše in tako omogočajo večjo prepustnost. Med naprednejše funkcije požarnega zidu spadajo:

• preslikava (zasebnih) omrežnih naslovov (angl. oznaka NAT), ki omogoča skupno rabo internetne povezave

• demilitarizirana cona (angl. oznaka DMZ), ki omogoča ločen priklop bolj izpostavljenih naprav

• kontekstno odvisni nadzor dostopa, ki na podlagi protokolov dinamično dovoli dostop do storitev



• nudijo kriptirane tunelske povezave in tako omogočajo navidezna privatna omrežja (ang. Virtual private network)

Končno se uveljavlja tudi spoznanje, da končna točka povezave v internet ni samo požarni zid, ampak tudi vsi računalniki, ki so za njim skriti. V večjih podjetjih hitro naraste možnost vdora in kraje informacij, saj je priključkov za dostop do omrežja velika. Zato obstajajo omejitve omrežnega priključka na strojni naslov omrežne kartice, kar pa vseeno ni dovolj, saj je mogoče strojni naslov omrežne kartice dokaj enostavno ponarediti. Zaradi tega so razvili standard 802.1x, ki omogoča dinamični vklop in izklop omrežnega priključka. Še večjo nevarnost za varnost omrežja predstavlja brezžična dostopna točka, saj je medij prenosa podatkov tu zrak.Vsak, ki ima prenosnik, »prisluškuje« pogovoru med posameznimi brezžičnimi napravami, kar še bolj otežuje zagotavljanje varnosti omrežja. (Vir: http://sl.wikipedia.org/wiki/Požarni_zid) 6.3.5 Konfiguracija NAT NAT (Network Address Translation) je protokol, ki omogoča, da vsi računalniki, ki se v neko omrežje povezujejo prek usmerjevalnika, v tem omrežju uporabljajo enak IP naslov. Pri povezovanju v internet nam ponudnik dostopa načeloma dodeli le eno številko IP, ki jo privzame usmerjevalnik, ta pa potem skrbi za prenos podatkov od posameznih računalnikov v omrežju oziroma do njih. Večina usmerjevalnikov podpira standardno prevajanje NAT, pri katerem se naslovi IP vseh računalnikov v omrežju prevedejo v eno samo številko IP. Naprednejši usmerjevalniki omogočajo prevajanje vhodnih povezav na več različnih naslovov IP, kar imenujemo Multi-NAT, tako da imamo v omrežju lahko postavljenih več spletnih strežnikov, vsak pa ima, gledano iz zunanjega omrežja, lastno številko IP. (Vir: http://en.wikipedia.org/wiki/Network_address_translation)

Slika 23: Pretvarjanje omrežnih naslovov

Zunanji vmesnik FastEthernet smo določili z ukazom »ip nat outside« v vmesniškem načinu. Vmesnik FastEthernet 0/1 pa smo določili kot notranji vmesnik in sicer z ukazom »ip nat inside«.



6.3.6 VPN povezava Virtual Private Network (VPN) je tehnologija, ki omogoča vzpostavitev navideznega zasebnega omrežja. Na podlagi javnega omrežja, kot je internet, vzpostavi zavarovano povezavo med oddaljeno lokacijo in lokalnim omrežjem organizacije. Na ta način spremeni javno omrežje v zasebno, kar uporabniku omogoča enako povezljivost in storitve, kot v lokalnem omrežju organizacije. Internet omogoča cenovno ugoden prenos informacij, izziv pa je celostno in nujno zagotavljanje varnosti. Učinkovita izraba VPN povezav bistveno zmanjša stroške komunikacij med lokacijami, saj jih lahko uporabimo za prenos različnih tipov prometa, kot je prenos podatkov, govora in slike. VPN povezave so univerzalne in podpirajo vse komunikacijske protokole, ki so nujni, da delujemo kot del privatnega omrežja. Za posamezne, ozke namene, so že na voljo tudi drugačne rešitve (npr. sinhronizacija pošte), vendar se nobena od njih ne more meriti z zmogljivim VPN sistemom po univerzalnosti njegove rabe. Z uporabo VPN povezav lahko dostopamo do vseh internih aplikacij in datotek, pregledujemo dogajanje v povezavi, imamo možnost razširitve na IP telefonijo in druge načine komuniciranja v zaprtih skupinah, vezanih na lokalno infrastrukturo. Povezave lahko vzpostavimo prek javnih omrežij (internet, MPLS, 3G/APN, UMTS) in jih ustrezno zaščitimo z uporabo naprednih enkripcijskih postopkov ter standardov. Z uporabo teh tehnologij se lahko zelo približamo stopnji varnosti, ki jih dosegajo klasične povezave, z znatno hitrejšim prenosom podatkov, bistveno večjim nadzorom in možnim zagotavljanjem redundance ob morebitnem izpadu povezave. Centralno upravljanje celotnega sistema z enega mesta izboljša varnost, mogoč je stalen dostop do informacij v podjetju, poleg tega pa je potrebnih manj človeških virov.



OpenVPN Za povezavo lokacije v Metliki in Karlovcu v našem primeru smo predvideli namestitev programske opreme OpenVPN.

OpenVPN je prosta in odprtokodna programska oprema, ki omogoča implementacijo navideznih privatnih omrežij. Uporablja SSL/TLS varnost za enkripcijo, sposoben je pošiljati IP pakete skozi požarnimi zidove in NAT-e. Ponuja več načinov za preverjanje pristnosti med napravami, prijavljenimi v omrežje. Obstaja avtentikacija z uporabo tajnega ključa, certifikatov ali z uporabniškim imenom in geslom. Uporaba ključa je najenostavnejša, s certifikati pa dobimo robustno rešitev. OpenVPN lahko uporablja tako UDP kot TCP protokol za prenos podatkov po omrežju. Prav tako podpira uporabo večine Proxy serverjev. (Vir: http://en.wikipedia.org/wiki/OpenVPN) Iz uradne spletne strani najprej prenesemo odjemalca in ga namestimo s privzetimi nastavitvami. Nato administrator omrežja ustvari certifikat za vsakega uporabnika, kateri se želi povezati v omrežje preko varnega tunela. Te certifikate namestimo v podmapo, kjer je nameščen OpenVPN. S pomočjo certifikata uporabnik iz Karlovca pokaže svojo iden

Documents

PRENOVA OMREŽJA Z ZAGOTAVLJANJEM POLNE … · oblikovanja, ekonomije, komunikologije in podjetništva. Ponudbo krepijo in izboljšujejo vsako leto. Uporabniki so prva in zadnja kontrolna