Diplomski rad RRAS. Lovrenco Vladislavić

Transcription

1 1. Uvod i povijest Microsoft je oduvijek bio ambiciozna kompanija, te je pokušavao proširiti svoje proizvode na sve šira tržišta. Tržište računalnih mreža je bilo vrlo bitno tržište, te je Microsoft želio stati rame uz rame sa poznatim proizvođačima mrežne opreme kao npr. Cisco, 3Com ili Bay Networks. Proboj na to tržište je napravio izradom programskog usmjerivača. Prvi takav proizvod bio je Multi-Protocol Router 1.0 sadržan u NT 3.51 i NT 4.0 platformi. MPR v1 je pružao veoma ograničenu usmjerivačku funkcionalnost: RIP v1, RIP v2, i statičko usmjeravanje bile su jedine opcije. Ipak, mnoge organizacije su iskoristile ovu ograničenu funkcionalnost da bi segmentirale male mreže i izbjegle kupovinu skupih sklopovskih usmjerivača. Koristeći spomenutu funkcionalnost, bilo je moguće spojiti Windows NT na dvije odvojene podmreže i komunikacija je bila osigurana. Bilo koja mrežna kartica koja je radila pod NT-jem mogla je biti iskorištena za usmjeravanje tako da je proširivanje sustava bilo vrlo jeftino. Oba tada popularna protokola TCP/IP i IPX/SPX bila su potpuno podržana. MPR v1 patio je od mnogih problema, uključujući loše performanse, nekompatibilnost sa standardnim RIP usmjerivačima i ograničen broj mogućnosti. Najveći prigovori upućivani su nedostatku IP filtriranja, nedostatku robusnijeg usmjerivačkog protokola OSPF, te teškom upravljanju. Naime, u GUI sučelju je bilo dostupno veoma malo opcija, tako da se upravljanje trebalo izvoditi koristeći naredbeni redak koji je bio teži za korištenje nego kod klasičnih sklopovskih usmjerivača. Kako bi otklonio ove nedostatke Microsoft je predstavio Routing nad Remote Access Service kao besplatni dodatak Windowsima NT 4.0. Osim osobina koje je imao prethodnik, novi servis je bio robusniji te je dodao podršku za OSPF. Da bi ostali proizvođači programske podrške mogli koristiti ovaj servis, Microsoft je razvio i objavio API (Aplication programming interface). API je također omogućio proizvođačima poput Cisco-a i 3Coma da razvijaju upravljačke programe za usmjerivačke protokole koje su sami razvili ili dopunili. Na ovaj način Windows NT poslužiteljima osigurali su kompatibilnost sa sklopovljem vodećih proizvođača mrežne opreme. Još neke nove osobine koje su dodane bile su Virtual Private Networking uz korištenje PPTP protokola i Dial-on-Demand Routing (DDR). Cijeli ovaj paket bio je besplatan i dostupan svima na Microsoftovoj Internet stranici. Razvoj RRAS servisa je nastavljen je nastavljen dalje, te je u operativnom sustavu Windows 2000 Server postao dostupan, ne kao dodatak, već kao dio operativnog sustava. U Windows Server 2003 OS-u RRAS servis također dolazi kao dio operativnog sustava te se podrazumijevano instalira sa samim operativnim sustavom u neaktivnom stanju. Ovaj servis je softverski usmjerivač i nudi mogućnost usmjeravanja kako za male lokalne (LAN) mreže, tako i za mreže širokog dosega (WAN). RRAS donosi mnoge korisne osobine i radi sa širokom lepezom sklopovlja i stotinama mrežnih adaptera. Podržava standardne usmjerivačke protokole RIP i OSPF, unicast i multicast usmjeravanje, demand-dial usmjeravanje, prevođenje mrežnih adresa (NAT), virtualne privatne mreže (VPN) itd. Kako je RRAS servis integriran u sam OS bitno je naglasiti da on koristi ostale servise ovog poslužiteljskog sustava kao npr. korisničke račune i kreirane politike. Upravljanje je dostupno bilo kroz Graphical User Interface (GUI) RRAS konzole te kroz naredbeni redak, gdje postoji mnoštvo naredbi za nadziranje i upravljanje mrežom.

2 2. Routing and Remote Access Setup Wizard (RRAS čarobnjak) Konfiguracije poslužitelja za udaljeni pristup Kada se pokerene RRAS Setup Wizard on nam predlaže izbor solucija za udaljeni pristup. Ukoliko niti jedna od ponuđenih mogućnosti ne odgovara korisniku, moguća je naknadna konfiguracija postavki nakon što čarobnjak završi sa radom ili je moguće odabiranje tzv. Custom način konfiguracije, gdje se sve postavke uređuju ručno. Uobičajena RRAS rješenja obuhvaćaju dial-up veze, VPN veze, NAT i sigurne veze između dvaju privatnih mreža. Udaljeni pristup dial-up vezom. slika xx Ukoliko odaberemo opciju Remote access (dial-up), poslužitelj na kojemu se izvodi RRAS servis biti će konfiguriran tako da dozvoli udaljenim klijentima spajanje na privatnu mrežu. Spajanje će se odvijati korištenjem modemske veze. Moguće je korištenje banke modema (vidljivo na slici) ili sam poslužitelj može imati na sebi instaliran određeni broj modema. Da bi se konfigurirao ovakav tip poslužitelja koristeći čarobnjak, potrebno je kliknuti na Remote Access, odabrati Dial-up check-box i slijediti korake. Nakon što čarobnjak završi sa radom, mogu se konfigurirati dodatne opcije. Primjerice, moguće je odabrati način kako će poslužitelj odgovoriti na dolazeći poziv, na koji će način poslužitelj provjeriti koji udaljeni klijenti imaju pravo pristupa privatnoj mreži, da li poslužitelj usmjerava mrežni promet između udaljenih klijenata i privatne mreže i slično.

3 Udaljeni pristup VPN vezom Ukoliko odaberemo opciju Remote access (VPN), poslužitelj na kojemu se izvodi RRAS servis bit će konfiguriran na način da će dozvoljavati udaljenim klijentima pristup privatnoj mreži preko javne mreže-interneta. Da bi se poslužitelj čarobnjakom konfigurirao na ovaj način potrebno je kliknuti na Remote Access, odabrati check-box VPN i slijediti korake. Nakon što čarobnjak završi sa radom, mogu se konfigurirati dodatne opcije. Na primjer, konfiguriramo kako će poslužitelj provjeravati koji VPN klijenti imaju pravo spajanja na privatnu mrežu, ili hoće li poslužitelj usmjeravati mrežni promet između VPN klijenata i privatne mreže. Network address translation (NAT) Ukoliko odaberemo ovu opciju, poslužitelj na kojemu se izvodi RRAS će biti konfiguriran za dijeljenje Internet veze među ostalim računalima na privatnoj mreži. Ujedno će vršiti prevođenje prometa između svoje javne IP adrese i privatne mreže. Više o ovome u odjeljku NAT. Da bismo konfigurirali ovaj način rada poslužitelja, potrebno je kliknuti na opciju NAT i slijediti korake. Nakon što čarobnjak završi sa radom, moguće je konfigurirati dodatne opcije kao npr.: konfiguracija paket filtara (više u odjeljku firewall), odlučivanje koji servisi su dostupni na javnom sučelju i slično.

4 VPN i NAT Kada se odabere opcija VPN and NAT, poslužitelj je konfiguriran za osiguravanje NAT servisa na privatnim mrežama ali i za prihvat VPN veza. Računala na Internetu na ovaj način nisu u mogućnosti odrediti IP adrese računala koja se nalaze na privatnoj mreži. Ipak, VPN klijenti će biti u mogućnosti komunicirati sa računalima na privatnoj mreži kao da su fizički prisutni na toj mreži. Da bismo čarobnjakom konfigurirali ovaj tip poslužitelja, potrebno je kliknuti na VPN and NAT opciju te slijediti korake. Sigurna veza između dviju privatnih mreža Ukoliko odaberemo ovu opciju, dva poslužitelja na kojima se izvodi RRAS servis biti će konfigurirana za povezivanje dvije privatne mreže kroz javnu mrežu-internet. Sigurnost podataka u ovom slučaju je od primarne važnosti, zbog toga će se koristiti protokoli za tuneliranje i enkripciju privatnih podataka. Treba istaknuti da RRAS čarobnjaka treba u ovom slučaju pokrenuti na oba poslužitelja. Veza između ovih dvaju poslužitelja može biti stalna (engl. Persistent, always on) ili na zahtjev(engl. On demand, demand-dial). Da bismo konfigurirali ovaj tip veze čarobnjakom, potrebno je kliknuti na Secure connection between two private networks i slijediti korake. Nakon što čarobnjak završi sa radom, moguće je na svakom poslužitelju ponaosob odabrati dodatne opcije. Primjerice, moguće je konfigurirati

5 koje usmjerivačke protokole svaki poslužitelj prihvaća, te kako svaki poslužitelj usmjerava promet između dvije mreže. Nakon što čarobnjak završi sa radom, a u ovisnosti o odabranoj opciji prikaže se RRAS konzola (na slijedećoj slici) kroz koju je moguće vršiti daljnju konfiguraciju svih postavki. 3. Routing (Usmjeravanje) Usmjeravanje na Internetu Primarna uloga usmjeravanje kod paketnih mreža je osiguravanje dostupnosti od izvorišta do odredišta toka podataka, dok je sekundarna uloga optimalno iskorištavanje resursa mreže i kvaliteta usluge. Usmjerivači ostvaruju te funkcije. Prvobitno su usmjerivači unutar Interneta bili organizirani hijerarhijski, što je bilo naslijeđeno od ranije ARPANET arhitekture. Postojao je centralni sustav, jezgra mreže, kroz čije su usmjerivače (core gateways) prolazile informacije o usmjeravanju među svim mrežama Interneta. Rastom Interneta, naglo je rasla količina usmjerivačkih informacija koje je jezgra trebala obraditi, te je to postao glavni nedostatak hijerarhijskog modela. Novi model usmjeravanja zasniva se na ravnopravnim autonomnim sustavima. Svaki autonomni sustav sastoji se od grupe mreža koje su pod istom administrativnom upravom. Takav koncept donio je podijelio je usmjerivače na: Vanjske - koji obavljaju usmjeravanje i razmjenu informacija o usmjeravanju između različitih autonomnih sustava. Unutarnje - koji usmjeravaju pakete unutar autonomnih sustava. Okosnica (backbone) povezuje vanjske usmjerivače i predstavlja najvišu razinu usmjeravanja. Paketi IP protokola isporučuju se optimalnim putem do usmjerivača preko kojega je dostupna osnovna podmreža odredišta. Osnovna podmreža ili autonomni sustav, raspolaže sa jednom ili više adresnih klasa a karakterizira je vlastita administracija adresa. Dijeli se na podmreže sa fiksnom (klase) ili varijabilnom (adresna maska) mrežnom adresom. Ostvaruje se jednostavnom do srednje složenom mrežom unutrašnjih usmjerivača na koje su povezane podmreže. IP paketi se usmjeravaju optimalnim putem do usmjerivača preko kojega je dostupna podmreža odredišta. Podmreža (subnetwork) je dio koji obuhvaća jednu zonu prostiranja lokalne mreže, a čija je mrežna IP adresa određena klasom ili mrežnom maskom. Podmreža je s osnovnom podmrežom (autonomnim sustavom) povezana najčešće sa samo jednim usmjerivačem, koji za računala podmreže predstavlja osnovni usmjerivač (podrazumijevani poveznik, default gateway). Pakete koji dolaze na podmrežu osnovni usmjerivač pakira u okvire sa MAC (Media Access Control) adresom odredišta i prosljeđuje ih lokalnom mrežom. Pakete koji idu van iz podmreže, izvorište pakira u okvire sa MAC adresom osnovnog usmjerivača, koji će ih proslijediti dale kroz autonomni sustav. Pakete

6 kojima je izvorište i odredište na istoj podmreži (unutar granica zone prostiranja), izvorište pakira u okvire sa MAC adresom odredišta i šalje ih direktno odredištu. U sva tri slučaja, pripadnost paketa podmreži određuje se na osnovu mrežnog dijela IP adrese, a pretvorba IP adrese odredišta ili usmjerivača u MAC adresu obavlja se korištenjem ARP protokola. Na slijedećoj slici vidimo primjer kada usmjerivač prima paket sa svojom MAC adresom, a IP adresa se odnosi na drugu podmrežu. U tom slučaju on zamjenjuje MAC adresu sa MAC adresom odredišnog računala i prosljeđuje paket na odgovarajuće mrežno sučelje. Usmjerivački protokoli Protokole usmjeravanja razlikujemo na osnovi nekoliko karakteristika. Najprije, potrebe koje je dizajner određenog protokola želio pokriti, određuju budući rad tog protokola. Nadalje, postoji više vrsta usmjerivačkih protokola. Svaki od njih ima različit utjecaj na mrežne i usmjerničke resurse. Također, usmjerivački protokoli koriste različite vrste metrike za izračunavanje optimalnih staza. Pa ipak, slijedećim osobinama teže svi protokoli usmjeravanja: Optimalnost - sposobnost protokola da odabere najbolju «stazu». Najbolja staza ovisi o različitim vrstama metrike i «težine» metrike u odnosu na alternativnu. Jednostavnost - Usmjerivački protokoli se dizajniraju da budu što jednostavniji. Moraju osigurati što veću efikasnost, a istovremeno biti što jednostavnije softverski riješeni i zahtijevati što manje fizičke resurse računala. Robusnost - Usmjerivački protokoli moraju biti robusni. Drugim riječima, moraju zadržati sve svoje pozitivne osobine bez obzira na nepredviđene okolnosti kao problemi sa sklopovljem, preopterećenja i sl. Usmjerivači su obično locirani na ključnim mjestima na mreži tako da svaka nepravilnost u radu može prouzročiti velike probleme. Najbolji usmjerivački protokoli su oni koji su se dokazali pouzdanima kroz dugogodišnje korištenje u različitim uvjetima. Brza konvergencija - Konvergencija je izuzetno važna osobina usmjerivačkih protokola. To je proces međusobnog dogovaranja usmjerivača o najoptimalnijim stazama na mreži. Kada neki događaj na mreži prouzroči nedostupnost određenog usmjerivača, ostali usmjerivači razmjenjuju poruke kojima ažuriraju stanja svojih usmjerivačkih tablica da bi se izbjeglo slanje paketa na neispravan usmjerivač. Fleksibilnost - Osobina koja govori da protokoli moraju brzo i pravovremeno reagirati na različite događaje na mreži. Primjerice ako određeni mrežni segment postane nedostupan, mnogi usmjerivački protokoli, nakon što saznaju za ovaj problem, preusmjeriti će promet preko nekog drugog segmenta. Ovakve odluke se donose na osnovu propusnosti mreže, kašnjenja, memorijskog kapaciteta usmjerivača i sličnih varijabli. Što je više ovih osobina ugrađeno u protokol, on je fleksibilniji. Tipovi usmjerivačkih protokola Usmjerivački protokoli se dijele na slijedećih nekoliko tipova: Statički ili dinamički - Statičke protokole teško da i možemo nazvati protokolima. Statičke tablice usmjeravanja kreira mrežni administrator prije samog početka

7 usmjeravanja. One se ne mijenjaju ukoliko ih sam administrator ne promijeni. Zbog toga se i nazivaju statičkima. Algoritmi koji koriste statičke staze rade dobro u okružjima gdje je mrežni promet predvidljiv i gdje su mreže relativno jednostavnog dizajna. Obzirom da statički algoritmi ne reagiraju na promjene u strukturi i funkcionalnosti mreže, smatraju se nepodobnima za današnje velike mreže. Dinamički protokoli se u realnom vremenu prilagođavaju promjenama u strukturi i funkcionalnosti mreže. Ovo se događa tako da protokoli analiziraju obavijesti odaslane sa drugih usmjerivača, te ukoliko se na mreži dogodila promjena, preračunavaju staze i šalju obavijesti o ažuriranim stazama dalje na mrežu. Većina današnjih protokola su dinamički. Jednosmjerni ili višesmjeni (Single-Path or Multipath) - Neki sofisticirani usmjerivački protokoli podržavaju višesmjerne staze do odredišta. Ovi protokoli podržavaju multipleksiranje prometa preko nekoliko različitih staza istovremeno. Prednost nad jednosmjernima je očigledna: veća propusnost i pouzdanost Jednakovrijedni ili hijerarhijski (Flat or Hierarchical) - Postoje usmjerivački protokoli koji rade na istoj razini, dok drugi koriste hijerarhijski usmjerivački sustav. U flat sustavima svi usmjerivači su jednakovrijedni, dok u hijerarhijskim sustavima neki usmjerivači tvore tzv. Usmjerivačku okosnicu (routing backbone). Usmjerivački sustavi često tvore logičke grupe čvorova zvane domene(domains), autonomne sustave (autonomous systems) ili područja (areas). U hijerarhijskim sustavima, neki usmjerivači u određenoj domeni mogu komunicirati samo sa usmjerivačima koji se nalaze unutar te domene, dok drugi, koji se nalaze na višem hijerarhijskom nivou, komuniciraju sa usmjerivačima istog nivoa u drugim domenama. U velikim mrežama ova hijerarhija se multiplicira, dijeleći mrežu na više zona. Usmjerivači sa najvišim hijerarhijskim nivoom nazivaju se backbone routers. Najveća prednost hijerarhijskih sustava je u tome što oponašaju organizaciju velikih korporacija. Naime, logično je da se većina prometa na mreži odvija unutar pojedine domene (workgroup), tako da unutarnji (intradomain) usmjerivači moraju znati informacije samo o usmjerivačima unutar njihove domene što bitno pojednostavljuje protokole koje oni koriste i ne generira veliku količinu usmjerivačkih obavijesti na mreži. Host-Intelligent or Router Intelligent - Neki usmjerivački protokoli pretpostavljaju da će izvorišni čvor odrediti cijelu stazu kojom paket mora proći do odredišta. Ovo se često naziva Source routing. U ovakvim sustavima, usmjerivači se ponašaju po principu «uskladišti i proslijedi» (store and forward), neaktivno prosljeđujući pakete na osnovi naputka koje je dalo host (izvorišno) računalo. Naprotiv, postoje protokoli koji pretpostavljaju da izvorišno računalo ne zna ništa o stazama, te oni sami određuju putanju paketa vodeći se vlastitim tablicama i izračunima. Razlika između ovih dvaju načina usmjeravanja je slijedeća: Host inteligentni sustavi u pravilu odabiru bolje staze jer otkrivaju sve dostupne staze prije no što je paket poslan na mrežu. Ova akcija otkrivanja zahtjeva generiranje dodatnog prometa na mreži pri otkrivanju staza te značajan utrošak vremena, što kod drugog tipa usmjeravanja nije slučaj. Unutarnji i Vanjski (Intradomain or Interdomain) - Neki protokoli rade samo unutar domena, dok drugi rade među domenama. Priroda ovih protokola je u suštini različita zbog same namjene, stoga vrijedi pravilo da optimalan unutarnji usmjerivački protokol nije nužno i optimalan vanjski protokol. Unutarnji usmjerivački protokoli obavljaju funkcije usmjeravanja u autonomnim sustavima i zovu se Interior Gateway Protocols (IGP). Vanjski protokoli obavljaju funkcije usmjeravanja između tih autonomnih sustava i povezuju ih sa Internetom. Službeno ih nazivamo Exterior Gateway Protocols (EGP).

8 Link State or Distance Vector - Link State protokoli (poznati kao Shortest Path First) šalju «poplavu» informacija o stazama svim čvorištima u mreži. Svaki usmjerivač šalje samo dio tablice usmjeravanja koji opsuje stanje njegovih linkova sa susjedima. Distance Vector algoritmi (poznati kao Bellman-Ford algoritmi) šalju cijelu ili dio svoje tablice usmjeravanja samo svojim susjedima. U suštini, Link State protokoli šalju manje obavijesti svuda, dok Distance Vector algoritmi šalju veće obavijesti susjednim usmjerivačima. Pošto imaju bržu konvergenciju, Link State protokoli su otporniji na tzv. usmjerivačke petlje(rooting loops). Ipak, Link State protokoli zahtijevaju više procesorske snage i memorijskih resursa od Distance Vector protokola, tako da mogu biti mnogo skuplji za implementaciju i održavanje. Bez obzira na različitosti obje vrste protokola su se pokazali veoma pouzdanima u različitim okolnostima, a WS2003 podržava rad sa obje vrste protokola. Usmjerivački protokoli u Windows Server 2003 Routing Information Protocol (RIP) RIP je usmjerivački protokol originalno dizajnitan za Xerox PARC Universal Protocol (prvo ime GWINFO) i korišten u Xerox Network Systems (XNS) skupu protokola. RIP je povezan sa UNIX i TCP/IP protokolon 1982 kada se je BSD verzija UNIX-a počela isporučivati sa implementiranim RIP protokolom. RIP, koji je još uvijek veoma popularan usmjerivački protokol, je formalno definiranu XNS publikaciji Internet Transport Protocols (1981) i u dokumentu RFC 1058 iz godine. RIP su prihvatili i prilagodili svojim potrebama mnogi proizviđači osobnih računala, te ga iskoristili u svojim proizvodima.. Primjerice, Appletalk usmjerivački protokol- Routing Table Maintenance Protocol (RTMP) je modificirana verzija RIP protokola. RIP je također bi baza za usmjerivačke protokole različitih proizvađača kao npr: Novell, 3Com, Ungermann-Bass i Banyan. Svi oni su radili manje modifikacije RIP protokola kako bi poslužio njihovim potrebama. Ovo je danas najčešći protokol usmjeravanja za autonomne sustave što ne znači da je i najbolji. To je Distance Vector protokol, što znači da procjenjuje najbolji put do odredišta pomoću usmjerivačke tablice koja sadrži udaljenost u skokovima (hops) i vektor (smijer) do odredišta. ---slika k Na slici su prikazana dvije lokacije(site-a) neke kompanije sa dvije linije između kojih su usmjerivači. Korisnik na radnoj stanici A se želi povezati sa resursom koji se nalazi na poslužitelju A. Kada usmjerivač A primi prvi paket sa radne stanice A i shvati da njegovo odredište nije na lokalnoj mreži, on pregledava svoju tablicu usmjeravanja da bi utvrdio može li pronaći putanju kojom bi podaci stigli na odredište. U koliko postoji više staza, kao što je ovdje slučaj, usmjerivač donosi odluku koju će putanju upotrijebiti. Pojednostavljena tablica usmjeravanja izgledala bi ovako: Odredište: Slijedeći_skok Metrika Poslužitelj_A Usmjerivač_D 1 Poslužitelj_A Usmjerivač_B 2 Usmjerivač A ima dvije putanje kojima može isporučiti paket. Prava tablica usmjeravanja ne sadrži stvarna imena poslužitelja već se koriste mrežne adrese. U tablici nisu navedeni svi usmjerivači kroz koje paket mora proći na putu do odredišta, već se prikazuje samo slijedeći usmjerivač i ukupan broj skokova. Rane verzije RIP-a donosile su jednostavnu odluku samo na osnovu metrike koja se maziva broj skokova. U ovom slučaju, RIP bi odlučio poslati paket usmjerivaču D, pošto ta staza pokazuje da paket treba do odredišta proći kroz samo jedan usmjerivač. Kada bi usmjerio paket na usmjerivač be, on bi morao napraviti još dva skoka. Broj skokova ne može biti beskonačan. Kod RIP usmjeravanja, maksimalan broj skokova koji se uzima u obzir je 15. Ako je odredište udaljeno od usmjerivača više od 15 skokova, smatra

9 se da je odredište nedostupno i usmjerivač neće ni pokušati isporuku paketa. U tom slučaju usmjerivač šalje izvorištu paketa poruku ICMP Destination Unreachable. Inače, jedan od problema sa RIP usmjeravanjem je taj što ono nikad ne uzima u obzir propusni opseg puta. U gornjem primjeru putanja od usmjerivača A do usmjerivača C se može sastojati od T1 veza, velike brzine, a veza između usmjerivača A do usmjerivača D može biti ISDN veza, RIP podatke šalje ovom drugom vezom jer je manji broj skokova. Još jedan problem RIP protokola je u tome što ne uravnotežava opterećenje. Ako veliki broj korisnika pokušava pristupiti udaljenom resursu, RIP neće upotrijebiti obje dostupne putanje i podijeliti promet, već će opet koristiti samo vezu sa najmanjim brojem skokova. Za ovo postoji rješenje, jer se u većini implementacija RIP-a broj skokova može konfigurirati. Metrikom se manipulira tako da se na bržoj vezi broj skokova postavi tako da bude manji nego na sporoj. Iako u stvarnosti postoji veći broj čvorišta, RIP to ne «vidi» već šalje pakete prema metrici koja je manja. Ažuriranje usmjerivača RIP usmjerivači povremeno razmjenjuju podatke pomoću UDP protokola na portu 520, tako da svaki usmjerivač može održavati ažurnu tablicu usmjeravanja. U ranim verzijama RIP protokola usmjerivač bi difuzno odašiljao cijelu svoju tablicu usmjeravanja. Novije verzije omogućavaju slanje samo izmjena u tablici ili odgovaranje na zahtjeve usmjeravanja drugih usmjerivača. (Ovo se zove izazvani RIP). 4 okteta Naredba Verzija Identifikator klase adresa IP adresa Mora biti nula Mora biti nula Metrika Mora biti nula Mora biti nula RIP zaglavlje 4 okteta RIP poruka Format RIP poruke za verziju 1 prikazan je na slici. Za prvu verziju protokola, najveća RIP poruka koja se može poslati u UDP datagrami je 504 okteta. Kada se ovome doda 8 okteta UDP zaglavlja, maksimalni datagram iznosi 512 okteta. Dio koji se nalazi nakon prva 4 okteta može se ponoviti da 25 puta, u zavisnosti od broja staza koje se šalju u istoj poruci. Polja sa oznakom «Mora biti nula» mogu sadržavati samo nula bitove. Prvo polje, Naredba, može sadržavati neku od slijedećih vrijednosti koje označavaju svrhu poruke: 1 Request- Ova poruka zahtjeva da primatelj poruke pošalje pošiljatelju poruke cijelu tablicu usmjeravanja ili njen dio. 2 Response- Ova poruka predstavlja odgovor na zahtjev i sadrži cijelu tablicu usmjeravanja pošiljatelja ili njen dio. Osim toga, ova poruka se može slati kao poruka ažuriranja koja se ne odnosi na niti jedan konkretan zahtjev. 3 Traceon i 4 Traceoff ovo su zastarjele naredbe i treba ih ignorirati. 5 Vrijednost koja je rezervirana za Sun Microsystems za vlastite potrebe. Neke implementacije RIP-a je ignoriraju, neke ne ignoriraju. Polje verzije označava verziju RIP protokola. Kod verzije 1 to polje sadržava vrijednost 1. Polje Identifikator klase adresa definirano je u preporuci RFC 1058, ali je definiran samo jedan tip adrese (IP adrese) i vrijedost ovog polja bi trebala biti 2. Polje IP adresa ima četiri okteta i koristi se za mrežnu adresu računala. U većini Request poruka ovo polje sadrži podrazumijevanu putanju Poslijednje polje se koristi za broj skokova, odnosno metriku putanje. U tom polju vrijednost može biti od 1 do 16. Vrijednost 16 znači da je

10 odredište nedostupno. Obzirom da je prva verzija RIP-a dizajnirana prije CIDR-a (Classless Inter-Domain Routing) i prije uvođenja koncepta podmreže, u preporuci ne postoji polje podmreže. Zbog toga, usmjerivač mora odrediti identifikaciju mreže na osnovu prva tri bita IP adrese, kojima se označava kojoj klasi (A,B ili C) mrežna adresa pripada. Na taj način određuje odgovarajuću masku podmreže za tu klasu. Ako adresa ne spada ni u jednu od tih klasa, usmjerivač će upotrijebiti masku podmreže pridruženu sučelju špreko kojeg je primio poruku i primijeniti je na adresu da bi utvrdio da li je to mrežna adresa. Ako se ta maska podmreže ne uklopi i ne dobije se mrežna adresa, primjenjuje se maska od samih jedinica ( ), a za adresu se smatra da predstavlja adresu računala a ne mrežnu adresu. Promet poruka koji generiraju RIP usmjerivači može biti značajan u velikoj mreži. RIP usmjerivači ažiriraju tablice usmjeravanja svakih 30 sekundi zahtijevajući informacije od susjednih usmjerivača. Oni također oglašavaju svoje postojanje svakih 180 sekundi. Ako se neki usmjerivač ne oglasi u tom intervalu, ostali usmjerivači smatraju da je on otkazao i mijenjaju svoje tablice usmjeravanja uskladiti u tekstu Razlog zbog čega ova vrsta poruke ima mnogo redundantnih polja koja kao vrijednost podrazumijevaju nule je taj što su projektanti prve verzije RIP-a predvidjeli buduće unaprjeđivanje protokola, što se je vremenom i obistinilo kroz RIP verziju 2. U preporuci RFC 1058, pravila za RIP usmjeravanje zahtijevaju da sve poruke sa brojem verzije nula treba odbaciti. Ako je broj verzije 1, poruku treba odbaciti ako bilo koje polje označeno sa «mora biti nula» sadrži neku drugu vrijednost. Ako polje sadrži vrijednost veću od 1, poruka se ne odbacuje. Na ovaj način, RIP verzija 1 može surađivati sa RIP verzijom 2. Verzija 1 ovog protokola može ignorirati polja «mora biti nula» kada dobije poruku od usmjerivača koji radi sa RIP v2, ad da ipak iz paketa prikupi informacije potrebne za ažuriranje tablice usmjeravanja. Ovo ipak ne osigurava potpunu kompatibilnost unatrag. Ako se u istoj mreži miješaju usmjerivači koji rade sa RIP v1 i RIP v2, treba izbjegavati korištenje maski podmreže varijabilne duljine jer RIP v1 ne bi razumio polje sa IP adresom. RIP v2 Mada su drugi protokoli, kao što je OSPF razvijeni poslije prvobitne verzije RIP-a i sadrže više funkcija, naknadno je razvijena druga verzija ovog protokola. Razlog tome je to što je RIP instaliran na mnogo mjesta, a i to što se lako instalira i konfigurira. Nadalje, za male mreže nisu potrebni složeniji usmjerivački protokoli već su osobine RIP-a dostatne. Verzija 2 koristi izmijenjen format poruke što se vidi iz slijedeće slike 4 okteta Naredba Verzija Identifikator klase adresa IP adresa Maska podmreže Slijedeći skok Metrika Mora biti nula Oznaka putanje RIP zaglavlje 4 okteta RIP poruka Kao što se vidi iz slike, poruka je iste duljine, ali su neka od redundantnih polja iskorištena i ovoj verziji. Polje Oznaka putanje (route tag) je administrativno polje koje se koristi da bi se označile određene putanje. To polje je uvedeno u preporuci RFC 1723 da bi usmjerivači koji podržavaju više protokola mogli razlikovati RIP putanje (staze) i putanje uvezene iz drugih usmjerivačkih protokola. Polje Maska podmreže se koristi za implicitno čuvanje maske podmreže pridružene polju IP adrese da usmjerivač ne bi morao sam određivati adresu mreže

11 ili računala. Primjenom maske dobit će rezultat. Polje Slijedeći skok se koristi za IP adresu za slanje paketa na odredište objavljeno ovom porukom usmjeravanja. Ako ovo polje ne sadrži , ta adresa mora biti dostupna na logičkoj podmreži iz koje potiče objava usmjeravanja. Nedostaci RIP-a RIP je dobar usmjerivački protokol za male mreže, ali se nedovoljno dobro proširuje. Rano je posto vrlo popularan jer se isporučivao uz Berkley verziju UNIX-a u obliku daemona routed. Glavni nedostaci su mu: -Difuzno emitirane poruke, koje se koriste za ažuriranje tablica usmjeravanja mogu utrošiti značajan dio propusnog opsega mreže. -Ne postoji opća metoda koja bi spriječila pojavu usmjerivačkih petlji. -Kod većih mreža, 15 skokova nije dovoljno da bi se odredilo da li je odredište dostupno. -Poruke ažuriranja se polako šire mrežom, skok po skok (spora konvergencija) tako da nekonzistentnost tablica usmjeravanja može dovesti do toga da usmjerivač pošalje na putanju koja više ne postoji. Open Shortest Path First (OSPF) Open shortest path first je usmjerivački protokol razvijen za potrebe mreža baziranih na Internet Protokolu (IP). Razvila ga je IGP (Interior Gateway protocol) radna grupa inženjera zvana Internet Engineering Task Force (IETF). Ova radna grupa je formirana 1988 sa ciljem dizajniranja unutarnjeg usmjerivačkog protokola baziranog na shortest path first (SPF) algoritmu. Razvijeni protokol je predviđen za korištenje na Internetu, u velikim međunarodnim znanstvenim i poslovnim mrežama te vladinim mrežama. OSPF je primarno razvijen jer već postojeći RIP v1 nije mogao kvalitetno opsluživati velike heterogene međumreže. OSPF je proizišao iz slijedećih nekoliko istraživanja: Bolt, Beranek i Newman-ov (BBN) SPF algoritam razvijen 1978 za ARPANET Istraživanje Dr. Perlmana o rasprostiranju informacija pri usmjeravanju BBN istraživanje o usmjerivanju u zonama (area routing) Rana verzija OSI Intermediate system-to-intermediate system usmjerivačkog protokola Kao što mu akronim kaže, OSPF ima dvije primarne karakteristike. Prva je ta što je otvoren (open) za svih tj. Public domain. OSPF specifikacija je objavljena u RFC 1247 dok je druga verzija OSPF protokila definirana je u preporuci RFC Druga bitna karakteristika je ta da je baziran na SPF algoritmu kojeg se ponekad zove i Dijkstra algoritam. OSPF je link state protokol, što znači da se ravna prema stanju veze. OSPF usmjerivači održavaju tablicu usmjeravanja u memoriji, kao i RIP usmjerivači, ali umjesto da difuzno emitiraju cijelu tablicu usmjeravanja svakih 30 sekundi oni razmjenjuju informacije o stanju veza svakih 30 minuta. U tome vremenu se eventualne promjene razmjenjuju vrlo kratkim Link State Advertisment (LSA) porukama. OSPF ne pati od ograničenja 15 skokova koje koristi RIP. Između krajnjih čvorova može biti postavljeno onoliko usmjerivača koliko zahtjeva topologija mreže. Još jedna razlika između RIP-a i OSPF-a je u tome što su tvorci OSPF-a odmah predvidjeli korištenje maski podmreže. Mada OSPF radi efikasnije, u velikoj mreži će razmjena informacija među velikim brojem usmjerivača trošiti značajan dio propusnog opsega. Zbog toga, OSPF sadrži koncept područja ili zona (engl. area) koji se koristi za dijeljenje mreže na logičke cjeline. Usmjerivači iz jednog područja (obično je riječ o zemljopisnoj podjeli- zgrade, kampusi sveučilišta itd.) razmjenjuju LSA poruke o informacijama usmjeravanja unutar tog područja. Svaki usmjerivač održava bazu podataka stanja veza (Link State Database LSDB) u kojoj čuva informacije koje prima iz LSA poruka susjednih usmjerivača. Vremenom tako svaki usmjerivač ima u suštini LSDB bazu identičnu bazama ostalih usmjerivača sa kojima komunicira. Svaki usmjerivač ima identifikaciju, 32 bitni decimalni broj, jedinstven u autonomnoj mreži. Taj broj se koristi za identifikaciju LSA u LSDB. Njega treba razlikovati od IP adresa usmjerivačevih sučelja, jer je to jednostavno,

12 jedan broj koji služi da bi drugi usmjerivači prepoznali taj usmjerivač. Međutim, većina implementacija OSPF-a će za ovu vrijednost uzeti najveću ili najmanju IP adresu sučelja usmjerivača. Obzirom da su IP adrese jedinstvene unutar autonomne mreže, identifikacije usmjerivača će također biti jedinstvene. Usmjerivač koji se koristi za povezivanje autonomnih područja sa okosnicom (engl. backbone ) drugih usmjerivača naziva se graničnim usmjerivačem (engl. border router) Zahvaljujući tome što se hijerarhija usmjeravanja gradi po ovom modelu, nije potrebno da svaki usmjerivač održava glomaznu bazu podataka sa putanjama za sva moguća odredišta. Umjesto toga, granični usmjerivač oglašava raspon adresa koje postoje u njegovom području, a ne svaku pojedinačnu adresu. Drugi granični usmjerivači čuvaju te informacije, i zato prilikom odlučivanja trebaju obraditi samo jedan dio adrese, a ne cijelu adresu. Granični usmjerivači čuvaju ovaj viši nivo informacija usmjeravanja kao i informacije o stazama u svom području. Na slijedećoj slici prikazana je mreža sa četiri glavna područja od kojih svako sadrži usmjerivače koji održavaju LSDB baze o tom području. Ti usmjerivači međusobno razmjenjuju informacije i tako ostaju ažurni. Svako područje ima granični usmjerivač koji spada u područje, ali i u područje okosnice. Ti granični usmjerivači razmjenjuju informacije svojih posebnih područja sa drugim graničnim usmjerivačima iz područja okosnice slika OSPF zone. -k Nedostatak OSPF-a je dodatno administrativno opterećenje. Osim toga, može se dogoditi da usmjerivači slabijih performansi ne mogu obraditi količinu informacija koju obrađuje granični usmjerivač. OSPF izračunava najbolju putanju koristeći Dijkstra algoritam, koji služi za izradu stabla najkraćih putova (Shortest Path Tree, SPF teree) za svaki usmjerivač. To stablo sadrži informacije koje važe samo sa aspekta određenog usmjerivača, tj. Svaki usmjerivač gradi vlastito stablo u čijoj se osnovi on sam, a grane su drugi usmjerivači koji sačinjavaju mrežu. Prema tome, svaki OSPF usmjerivač ima drugačije stablo od ostalih usmjerivača u mreži. Na osnovu tog stabla usmjerivač gradi usmjerivačku tablicu koja se koristi samo za traženje koje se obavlja prilikom odabira sučelja na koje treba poslati paket. DHCP relay agent Dynamic Host Configuration Protocol relay agent je usmjerivački protokol koji omogućava klijentima dobijanje IP adrese od DHCP poslužitelja na udaljenoj podmreži. Preporuka RFC 1542 «Clasification and Extension for Bootstart Protocol», definira podršku za DHCP relay agenta. Ovog agenta danas podržavaju gotovo svi usmjerivači. Funkcija relay agenta omogućava podržavanje klijenata u nekoj drugoj podmreži, korištenjem jednog BOOTP (Bootstrap, BOOT protokol) ili DHCP poslužitelja. Obzirom da BOOTP i DHCP koriste skoro isti format okvira i iste UDP portove, većina BOOTP relay agenata će izvršavati upite DHCP klijenata. Ovu informaciju je korisno znati ukoliko kombiniramo usmjerivačke osobine WS2003 i neke hardverske usmjerivače na istoj mreži. DHCP klijenti emitiraju broadcast pakete DHCPDiscover koje DHCP poslužitelj prima i odgovara klijentu. Obzirom da usmjerivači blokiraju broadcast poruke, DHCP klijent i poslužitelj moraju biti smješteni na istoj fizičkoj podmreži. Postoji dva načina za izbjegavanje ovog ograničenja. Prvo, ako je usmjerivač koji odvaja DHCP poslužitelj i klijente RFC 1542 kompatibilan, usmjerivač može biti konfiguriran za BOOTP prosljeđivanje. Na taj način usmjerivač prosljeđuje DHCP broadcast pakete i obavještava DHCP poslužitelj o podmreži sa koje potiču DHCP zahtjevi. Drugi način je konfiguracija DHCP relay agenta na podmreži koja sadrži udaljene klijente. DHCP relay agent presreće DHCPDiscover pakete i prosljeđuje ih udaljenom DHCP poslužitelju. Iako se DHCP relay agent konfigurira kroz RRAS servis, poslužitelj na kojem se ovaj proces izvršava ne mora nužno biti konfiguriran kao usmjerivač između dvaju mreža. Na

13 slijedećoj slici vidimo primjer mreže sa instaliranim DHCP relay agentima i hardverskim usmjerivačima od kojih su neki RDC 1542 kompatibilni -----slika 9-35 Network topology with DHCP relay agent IGMP multicasting protocol Treba napisati nešto o ovom protokolu Načini usmjeravanja Unicast usmjeravanje Unicast usmjeravanje, prosljeđivanje prometa na specifičnu odredišnu adresu, je određeno znanjem gdje promet može biti isporučen na mreži. Prilikom svakog skoka na putu od izvorišta do odredišta donosi se usmjerivačka odluka. Usmjerivačke tablice Pri odlučivanju usmjerivač se vodi podacima koji se nalaze u usmjerivačkim tablicama. Usmjerivačka tablica je lista unosa koji se nazivaju staze ili putanje (routes), u kojima se nalaze informacije gdje se nalaze određeni dijelovi mreže. Usmjerivačka tablica ne pripada ekskluzivno usmjerivaču. Ostala računala na mreži također mogu imati usmjerivačku tablicu koja se koristi za određivanje optimalne staze. Tipovi unosa u usmjerivačkoj tablici Svaki unos u usmjerivačkoj tablici se smatra stazom i jednog je od slijedećih tipova: Network route- ovaj tip staze pokazuje smjer do posebne odredišne mreže(posebni mrežni ID). U IP tablicama usmjeravanja, Network staze su određene bilo kojim mrežnom maskom od do Host route pokazuje stazu do posebnog odredišnog računala ili do broadcast adrese(mrežni ID ili ID čvora). U IP tablicama usmjeravanja Host staze su određene mrežnom maskom Default route-tablice usmjeravanja sadrže samo jednu podrazumijevanu stazu. Ova staza služi usmjerivaču za prosljeđivanje svih paketa čija se odredišna adresa ne poklapa sa niti jednom adresom u tablici usmjeravanja. U IP tablicama usmjeravanja podrazumijevana staza je određena adresom i mrežnom maskom Struktura usmjerivačke tablice IP usmjerivačka tablica sadrži informacije u slijedećim stupcima: Destination Odredište predstavlja odredišno računalo, adresa podmreže, adresa mreže ili podrazumjevana staza. Network mask - Mrežna maska se koristi u sprezi sa adresom odredišta da bi se odredilo u kojim slučajevima će se staza koristiti. Maska znači da će samo adresa koja točno odgovara adresi u polju Destination koristiti ovu stazu. Maska

14 znači da bilo koja adresa odredišta može koristiti ovu stazu. Kada se maska napiše u binarnom obliku 1 znači da se odgovarajući bit IP adrese mora podudarati dok 0 znači da se bit ne mora podudarati. Na primjer, odredište ima mrežnu masku Ova mrežna maska znači da prva dva okteta moraju točno odgovarati, prvih pet bitova slijedećeg okteta se također mora podudarati (248= ), te da zadnji oktet nije bitan. Treći oktet adrese (8 u ovom slučaju) u binarnom obliku izgleda Bez mijenjanja prvih pet bitova (podebljano) može se dostići broj 15-binarno Stoga, staza sa odredištem i maskom odgovara svim paketima namijenjenim za do Gateway Stupac Gateway (Poveznik) pokazuje IP adresu slijedećeg usmjerivača na koji paket treba biti poslan. Na LAN vezi kao Ethernet ili token ring, poveznik mora biti izravno dostupan sa ovog usmjerivača koristeći sučelje naznačeno u Interface stupcu. Kod LAN veze, oboje i poveznik i sučelje određuju kako će usmjernik prosljeđivati promet. Kod demand-dial sučelja, adresu u stupcu Gateway nije moguće konfigurirati. Na vezi od točkr do točke (point to point), sučelje određuje na koji način će usmjerivač proslijeđivati promet. Interface Stupac Interface (sučelje) pokazuje na LAN ili demand-dial sučelje koje će biti korišteno da bi se dosegao slijedeći usmjerivač. Metric Stupac Metric (metrika) indicira najbolju moguću stazu koja se može koristiti da di se doseglo odredište. Obično se metrika izražava u skokovima (hops), odnosno brojem usmjerivača koje paket treba proći prije no što stigne do odredišta. Ukoliko više staza vodi do istog odredišta, prednost ima ona staza sa manjom metrikom, odnosno manjim brojem skokova. Protocol Protokol pokazuje način na koji je usmjerivač usvojio stazu. Ukoliko je u ovom stupcu izlistano RIP, OSPF ili nešto treće različito od Local, znači da usmjerivač prima staze koristeći usmjerivačke protokole. Usmjerivačke konfiguracije Usmjerivače je moguće koristiti u mnogim topologijama i vrstama mreža. Kada se poslužitelj na kojemu se izvodi Routing nad Remote Access konfigurira na mreži potrebno je odabrati: Protokole koji će biti usmjeravani usmjerivačem, primjerice IP ili AppleTalk Usmjerivačke protokole koji će usmjeravati gore navedene protokole, primjerice RIP ili OSPF LAN ili WAN fizički medij (mrežne kartice, modemi itd.) Prevođenje mrežnih adresa (Network address translation-nat) Za radnu stanicu na LAN-u može se koristiti gotovo svaki adresni opseg. Međutim, dokument RFC 1597, «Dodjela adresa za privatni Internet», određuje opsege adresa koji su rezervirani za privatne mreže. Kada računala u lokalnoj mreži komuniciraju međusobno, oni koriste svoje stvarne adrese. Proxi poslužitelj ima adresu koja spada u ovaj opseg tako da može komunicitati sa računalima na LAN-u, ali ima i javnu adresu koja mu omogućava komunikaciju sa računalima na Internetu. Ove opsege IP adresa RFC rezervira isključivo za privatne mreže i ne mogu se koristiti na Internetu. Ti opsezi su: Korištenje ovih adresa za računala u privatnoj mreži postiže se nekoliko stvari: -Dovoljno je da radna organizacija od svog ISP-a kupi mali adresni opseg koji će se koristiti na vatrozidu (engl. Firewall) ili usmjerivačima koji povezuju LAN sa Internetom.

15 -Unutar LAN-a se može koristiti veliki adresni prostor, a da od ISP-a nije poterebno tražiti veliki opseg adresa. -Nat se može koristiti za određivanje vektora adresa, tj. granični usmjerivač je predstavljen kao Web-servis na Internetu koristeći samo jednu adresu, a opterećenje dolaznih zahtjeva je uravnoteženo kroz nekoliko poslužitelj unutar firme (iza graničnog usmjerivača). NAT je inače definiran u preporuci RFC 1631.Sa NAT komponentom WS2003 RRAS servisa, IP paketi koji se razmjenjuju između lokalne mreže i Interneta bivaju usmjeravani i readresirani. NAT servis koji je ugrađen u usmjerivač modificira informacije zaglavlja IP datagrama prije nego ih pošalje na odredište. Računalo na kojem je Konfiguriran NAT može raditi kao NAT poslužitelj, pojednostavljeni DHCP poslužitelj, DNS proxy, i Windows Internet Name Service (WINS) proxy. NAT se može konfigurirati kroz demand-dial sučelje ili korištenjem stalne veze. Demand dial-sučelje uspostavlja vezu jedino kad to klijenti zatraže. Stalna veze može biti realizirana kao DSL ili T1 veza ili dial-up veza konfigurirana tako da automatski bira ukoliko se prekine veza. Na WS2003 postoji još jedan servis koji osigurava spajanje internih klijenata na Internet korištenjem jedne javne adrese, a zove se Internet connection sharing (ICS). Osnovane razlike između ova dva servisa prikazane su u slijedećoj tablici: Internet Connection Sharing Network address translation Konfiguracija kroz jedan chack box Ručna konfiguracija Jedna javna IP adresa Jedna ili više javnih IP adresa Fiksan razpon adresa za unutarnje klijente Konfigurablni raspon adresa za unutarnje ( ) klijente Jedno interno sučelje spojeno na jednu Jedno ili više internih sučelja spojeno na logičku podmrežu jednu logičku podmrežu Instalira se korištenjem Network And Dial- Instalira se korištenjem Routing and Remote Up Connections izbornika Access konzole Microsoft Windows 98 SE ili kasniji Internet Windows 2000 Server ili Windows Server connection Firewall 2003 Basic Firewall -tablica---- Neke od osobina NAT servisa u WS2003 su: NAT zahtjeva vanjska (javna) i unutarnja (privatna) sučelja dodana NAT protokolu u RRAS konzoli. Uobičajeno je da se unutarnje sučelje kreira podrazumijevano(default), dok se vanjska sučelja kreiraju ručno. Kada su oba sučelja uspješno kreirana, potrebno je provjeriti da su je javno sučelje (pod imenom Remote router) i privatno sučelje definirano kao takvo u NAT/Basic firewall čvoru RRAS konzole. NAT zahtjeva dodanu podrazumijevanu statičku stazu (default static route) dodanu u RRAS konzoli. Za ovu statičku stazu odredište i mrežna maska trebali bi biti , gatewey ne bi trebao biti konfiguriran (none), a sučelje bi trebalo biti definirano kao javno, spojeno sa Internetom. Nat zahtjeva ispravno konfiguriran DHCP servis za unutarnje klijente. Ako na

16 mreži nema DHCP poslužitelja, potrebno je omogućiti DHCO allocator na Address Assignment izborniku unutar izbornika NAT/Basic Firewall. Za korištenje NAT-a u sprezi sa DNS servisom, DNS poslužitelj mora biti konfiguriran na NAT računalu ili specificiran kroz DNS proxy u NAT servisu. Za ovaj drugi slučaj potrebno je omogućiti DNS proxy opciju na izborniku Name Resolution unutar čvora NAT/Basic Firewall. Vatrozid (Firewall) Važan aspekt svakog segmenta računalstva predstavlja sigurnost. Prilikom usmjeravanja, pogotovo ako se odvija kroz javnu mrežu, velika je opasnost od zlouporabe, mijenjanja podataka, zaraze različitim vrstama virusa i trojanskih konja te hackerskih napada. Vatrozidi su najučestalija mjera zaštite na mrežama današnjice. Vatrozid može biti jedan uređaj, primjerice usmjerivač ili računalo, ili može biti podmreža sastavljena od više računala usmjerivača i sl. (Ovakve podmreže se nazivaju Demilitarizirane zone -DMZ). Vatrozide možemo podijeliti na:packet Filter, Statefull Inspection i Proxy. U WS2003 OS-u se koristi vatrozid zasnovan na filtriranju paketa. Filtriranje paketa osigurava najosnovnije vatrozidne funkcije. Usmjerivači za filtriranje paketa bili su prva vrsta vatrozida koja je napravljena kako bi se mrežu sačuvalo od napadača. Kako radi vatrozid u WS2003 Filtar paketa ispituje svaki mrežni paket koji prolazi kroz njega, onda ga prosljeđuje dalje ili ga odbacuje, u skladu sa skupom pravila koje postavlja administrator vatrozida. Paket filteri filtriraju promet prema sadržaju informacija u zaglavlju TCP/IP paketa. Filter paketa može biti konfiguriran tako da blokira promet filtriranjem : IP adresa Izvorišne i odredišne adrese. Mogu se navesti pojedinačne adrese ili raspon adresa. Protokola- Kao što su UDP ili TCP Brojeva portova - brojevi portova se koriste za identifikaciju veza između aplikacija, primjerice FTP ili Telnet. Smjera- filtriranje se izvodi na osnovu smjera paketa, bilo da dolazi sa Interneta ili drugog segmenta mreže, bilo da odlazi sa matičnog segmenta. Kod WS2003, kada je Basic Firewall (vatrozid) omogućen na vanjskom sučelju RRAS konzole, to sučelje blokira sav promet pri ulasku na mrežu. Međutim, dostupan je način konfiguracije kako bi se blokirao sav promet izvana, osim prometa namijenjenog, primjerice, Web poslužitelju koji se nalazi iza vatrozida (na slijedećoj slici). Vatrozid WS2003 je zasnovan na iznimkama. Konfiguracijom se može postići da paket filtri čine slijedeće: Propuštaju sav promet osim paketa zabranjenih filtrom Odbacuju sav promet osim paketa dopuštenih filtrom U ovom operativnom sustavu paket filtri se pojavljuju kao ulazni filtri i izlazni filtri. Ulazni filtri (Input filters) zabranjuju promet koji dolazi na sučelje sa mreže. Izlazni filtri (Output filters) zabranjuju promet koji se šalje sa sučelja na mrežu. Na slijedećoj slici vidimo primjer Ulaznog filtra koji zabranjuje sve pakete osim onih namijenjenih IP adresi

17 Paket filtri se konfiguriraju koristeći RRAS konzolu i izbornik IP routing. U tom izborniku se odabere General ili NAT/Basic Firewall izbornik. NAT/basic Firewall izbornik omogućuje kreiranje paket filtara samo za vanjska sučelja, dok se na čvoru General mogu kreirati filtri za vanjska i unutarnja sučelja. Paket filtri se također mogu koristiti prilikom određivanja politike pristupa za udaljenog korisnika (Kroz RAS poslužitelj). Definiranjem paket filtara, te njihovom spregom sa pristupnom politikom moguće je određivanje različitih nivoa pristupa i ovlasti za udaljene korisnike. Osnovni vatrozid u WS2003 nije potrebno koristiti ukoliko na mreži već postoje softverski ili hardverski vatrozidni mehanizmi. Podešavanje statički usmjeravane IP međumreže Statički usmjeravana IP međumreža ne koristi usmjerivačke protokole kao RIP i OSPF da bi ostvarila usmjeravanje podataka među usmjerivačima. Sve informacije o usmjeracanju su pohranjene u statičke usmjerivačke tablice na svakom pojedinom usmjerivaču. Administrator mreže se mora pobrinuti da svaki usmjerivač ima odgovarajuće staze u svojoj tablici usmjeravanja, kako bi promet nesmetano tekao sa kraja na kraj mreže. Statički usmjeravano okružje Statičko usmjeravanje je najbolje rješenje za manje, jednosmjerne (single-path) statičke IP međumreže kao npr: Manja međumreža je definirana sa 2 do 10 mreža Jednosmjerna znači da postoji samo jedan put kojim paketi putuju sa kraja na kraj međumreže Statička znači da je topologija mreže konzistentna, dakle, ne mijenja se vremenom Kandidati za ovakav tip mreže su manje poslovne jedinice, kućne poslovne jedinice te ogranci i podružnice velikih kompanija. Nedostaci statičkog usmjeravanja su: Slaba otpornost na pogreške Ukoliko se neki od usmjerivača pokvari, ostali usmjerivači ne mogu dijagnosticirati taj problem i međusobno se obavijestiti o tome. Ipak, u manjim poduzećima je broj usmjerivača mali pa je taj problem lako otkloniti Značajno administriranje Ukoliko se dodaje nova podmreža potrebno je ručno dodati staze u svaku pojedinu usmjerivačku tablicu. Ukoliko se dodaje novi usmjerivač, također ga je potrebno ručno konfigurirati. Razmatranja prilikom dizajniranja statičkog usmjeravanja Da bi se spriječili problemi potrebno se razmotriti slijedeće stavke prije implementacije Konfiguracija perifernog usmjerivača Da bi se pojednostavila konfiguracija potrebno je konfigurirati periferni usmjerivač tako da njegove podrazumijevane staze ukazuju na susjedne usmjerivače. Periferni usmjerivač je priključen na više mreža, od kojih samo jedna ima susjedni usmjerivač.

18 Podrazumijevane staze i usmjerivačke petlje Nije preporučljivo konfigurirati dva susjedna usmjerivača na način da njihove podrazumijevane staze upućuju jednog na drugog. Podrazumijevanom stazom, kako je već rečeno, prosljeđuje se sav promet čije odredište se ne nalazi na toj mreži. Ukoliko su usmjerivači konfigurirani kako je rečeno, usmjerivači mogu prouzročiti petlje. Demand-dial okružje Preko demand-dial veza, statičko usmjeravanja se može implementirati na dva načina: Default route (podrazumijevana staza) Moguće je konfigurirati podrazumijevanu stazu na udaljenom usmjerivaču u podružnici neke kompanije koja koristi demanddial sučelje. Prednost podrazumijevane staze je ta što nju samo jednom treba dodati u usmjerivačku tablicu. Nedostatak ovog načina je u tome što bilo koji promet, pa i onaj sa odredištem koje nije moguće doseći (unreachable destination), koji se ne nalazi na mreži podružnice uzrokuje reakciju usmjerivača u smislu pozivanja kompanije i uspostave demand-dial veze. Auto-static routes Auto-statičke staze se automatski dodaju u usmjerivačku tablicu usmjerivača podružnice, nakon što ih je isti preko demand-dial sučelja zatražio od usmjerivača iz kompanije. Auto-statičko ažuriranje tablica se vrši korištenjem RIP protokola. Prednost ovog načina je u tome što promet sa nedostižnim odredištem ne otvara dial-up vezu, a nedostatak se ogledava u tome sto je staze potrebno povremeno ažurirati da bi se reflektirala svaka promjena na glavnoj mreži. Sigurnost pri statičkom usmjeravanju Sigurnost pri statičkom usmjeravanju je potrebno provesti kroz: Implementaciju fizičke sigurnosti, tako da korisnici ne mogu pristupiti poslužitelju (postavljanje računala u za to predviđene prostorije i ormare) Pripisati administratorska prava samo osobama koji će nadzirati i administrirati RRAS servis Postavljanje statičkog usmjeravanja Kada se odabere ovan način usmjeravanja na mreži, potrebno je ispoštovati slijedeće korake: Skicirati topologiju međumreže sa odvojenim mrežama i pozicijama poslužiteljausmjerivača i klijenata. Svakoj IP mreži dodijeliti jedinstvenu IP mrežnu daresu kao identifikaciju (network ID) Dodijeliti IP adrese svakom sučelju usmjerivača. Uobičajena je praksa dodijeliti prve IP adrese određene mreže usmjerivaču. Primjerice ukoliko je adresa mreže sa mrežnom maskom , sučelje usmjerivača imalo bi adresu Za periferne usmjerivače, potrebno je konfigurirati podrazumijevanu stazu na sučelju koje ima susjedni usmjerivač. Inače, korištenje podrazumijevanih staza na perifernim usmjerivačima je opcionalno. Za svaki neperiferni usmjerivač potrebno je sastaviti listu staza koja treba biti ručno dodana usmjerivačkoj tablici tog usmjerivača. Dodavanje se može ostvariti u naredbenom retku (route add naredba) ili korištenjem RRAS konzole. Kada je konfiguracija i postavljanje mreže završeno, potrebno je testirati staze korištenjem alata za ispitivanje mreže. Podešavanje RIP usmjeravanja na mreži RIP usmjeravana mreže koristi RIP protokol za dinamičko komuniciranje među usmjerivačima. RIP okružje automatski dodaje i briše staze u tablicama usmjeravanja, obzirom na mijenjanje topologije mreže.

19 RIP usmjeravano okružje RIP okružje je najbolje implementirati na manje ili srednje velikim, višesmjernim, dinamičkim međumrežama. Manje ili srednje međumreže broje 10 do 50 mreža Višesmjerne (multipath) znači da postoji više putova od izvorišta do odredišta. Dinamičke su one mreže kojima se topologija i dostupost mijenja s vremena na vrijeme. Ovakve tipove mreža nalazimo u poduzećima srednje veličine te u velikim područnim službama matičnih firmi. Razmatranja prilikom dizajniranja RIP baziranog usmjeravanja Slijedeće stavke je potrebno razmotriti prije dizajniranja RIP usmjeravanja: Ograničavanje mreže na 14 usmjerivača Maksimalni dijametar za RIP mreže je 15 usmjerivača. Poslužitelj sa RRAS servisom pridjeljuje svim unose u tablici usmjeravanja koji ne pripadaju RIP protokolu fiksni broj skokova (hop) koji iznosi 2. Statičke staze se ne smatraju RIP stazama tako da i one imaju 2 kao broj skokova. Kada poslužitelj na kojem se izvodi RRAS servis koji se ponaša kao RIP usmjerivač oglašava mreže na koje je izravno priključen, on ih oglašava sa brojem skokova 2, iako su fizički udaljene samo jedan usmjerivač (broj skokova 1). Stoga, RIP bazirana mreža na kojoj se koristi RRAS usmjeravanje ima maksimalni dijametar od 14 usmjerivača. Miješana RIP v1 i RIP v2 okružja Da bi se ostvarila maksimalna felksibilnost, potrebno je koristiti RIP v2 za RIP baziranu međumrežu. Ukoliko na mreži postoje usmjerivači koji ne podržavaju RIP v2, koristi se miješano okružje ovih dviju verzija protokola. Treba imati na umu da RIP v1 ne podržava classless interdomain routing (CIDR) ni variable-length subnet masks (VLSM) implementacije. Ukoliko postoji podrška za CIDR i VLSM na jednom dijelu mreže, ali ne i na drugom, mogu se pojaviti problemi pri usmjeravanju. Ukoliko se mreža kreira koristeći RIP v1 i RIP v2, potrebno je konfigurirati sučelje na poslužitelju sa RRAS servisom. On treba oglašavati koristeći RIP v1 i RIP v2 broadcast, te prihvaćati RIP v1 i RIP v2 obavijesti. RIP v2 autentifikacija Ukoliko se koristi RIP v2 jednostavna autentifikacija lozinkom, potrebno je konfigurirati sva RIP v2 sučelja na mreži tako da koriste iste lozinke. Može se koristiti ista lozinka za sve podmreže ili se ta lozinka može razlikovati op podmreže do podmreže. RIP v2 preko demand-dial veza Ukoliko se RIP v2 koristi za osiguravanje auto statičkih ažuriranja preko demand-dial veza, tada je potrebno konfigurirati svako demand-dial sučelje tako da koristi RIP v2 multicast objave, te da prihvaća iste. Ukoliko se to ne konfigurira, na zahtjev koji upućuje usmjerivač iz podružnice neće biti upućen odgovor. Silent RIP hosts Silent RIP host proces (na računalu koje nije usmjerivač) prima RIP obavijesti, ali sam ne objavljuje. Primljene obavijesti to računalo koristi za kreiranje vlastite usmjerivačke tablice. Silent RIP host proces se obično koristi u UNIX okružju. Ukoliko on postoji na mreži, potrebno je utvrditi koju verziju RIP protokola podržava, te koristiti tu verziju. RIP sigurnost Osim mjera sigurnosti koje su navedene pri statičkom usmjeravanju, kod RIP usmjeravanja potrebno je obratiti pozornost na: RIP v2 autentifikaciju Peer security (sigurnost čvora) Route filters Neigbors

20 RIP v2 autentifikacija Da bi se spriječilo ažuriranje staza u usmjerivačkim tablicama od strane neautoriziranih usmjerivača potrebno je konfigurirati RIP v2 sučelja da koriste autentifikaciju lozinkom. Primljene RIP obavijesti koje se ne podudaraju sa konfiguriranom lozinkom automatski se odbacuju. Ipak, lozike se šalju kao običan tekst, tako da svaki zlonamjerni korisnik sa network sniffer alatima, kao npr Microsoft Network Monitor, može presresti RIP v2 obavijest i vidjeti lozinku. Peer security Moguće je na svakom RIP usmjerivaču konfigurirati listu povjerljivih usmjerivača (po IP adresi) sa koje će taj usmjerivač prihvaćati obavijesti. Podrazumijevana postavka je prihvaćaju obavijesti sa svih izvora. Kada se lista povjerljivih usmjerivača konfigurira, usmjerivač odbacuje obavijesti primljene od svih ostalih usmjerivača. Route Filters Na svakom RIP sučelju moguće je konfigurirati filtre koji osiguravaju da usmjerivač prima obavijesti koje se tiču samo njegove podmreže. Primjerice, ukoliko je adresa podmreže filter staze se može koristiti na način da odbaci sve oglase o stazama osim onih koji su predviđeni za mrežni ID Neighbors Podrazumijevana postavka je da RIP (v1 i v2) oglašava svoje obavijesti broadcast ili multicast načinom. Da bi spriječio RIP promet prema čvorovima koji nisu susjedni, RRAS poslužitelj koji radi kao RIP usmjerivač može slati obavijesti unicast načinom. Na ovaj način obavijesti primaju samo susjedni usmjerivači kojima su obavijesti namijenjene. Postavljanje RIP usmjeravanja na mreži Dok je RIP v1 vrlo jednostavna za konfiguraciju i postavljanje, RIP v2 sa svojim dodatnim osobinama zahtjeva više konfiguracije i testiranja. Da bi eventualni problemi i izolacija istih protekla što lakše, preporučljivo je posao podijeliti u dvije etape Postaviti osnovne RIP funkcije i provjeriti ih u radu Dodavati napredne funkcije pojedinačno, te za svaku obaviti testiranje i verifikaciju. Postavljanje RIP-a Kako bi se RIP uspješno postavio treba proći slijedeće korake: Skicirati topologiju IP međumreže sa odvojenim mrežama i pozicijama poslužiteljausmjerivača i mrežnih klijenata Svakoj IP mreži dodijeliti jedinstvenu IP mrežnu adresu kao identifikaciju (network ID) Dodijeliti IP adrese svakom sučelju usmjerivača. Za svako sučelje usmjerivača odrediti da li će sučelje biti konfigurirano za RIP v1 ili RIP v2. Ukoliko je sučelje konfigurirano sa RIP v2 protokolom, potrebno je odrediti da li će se obavijesti slati broadcast ili multicast načinom. Koristeći RRAS konzolu, dodati RIP usmjerivački protokol i konfigurirati odgovarajuća sučelja na svakom pojedinom RRAS poslužitelju Nakon što je konfiguracija završena potrebno je ostaviti nekoliko minuta da usmjerivači međusobno ažuriraju usmjerivačke tablice, te nakon toga testirati mrežu. Testiranje mreže provodi se na slijedeći način: Da bi se provjerilo da li RRAS poslužitelj prima RIP obavijesti sa svih susjednih usmjerivača, potrebno je pregledati njegove RIP susjede. Ta informacija se nalazi unutar RRAS konzole, desni klik na RIP i odabiranje Show Neighbors. Za svaki RIP usmjerivač, potrebno je pregledati usmjerivačku tablicu i provjeriti da li su sve staze koje je usmjerivač trebao primiti obavijestima prisutne kao unosi u tablici. IP tablicu pregledavamo bilo iz naredbenog retka, bilo iz RRAS konzole

21 Također, potrebno je koristiti alate koji su dostupni u operativnom sustavu WS2003 za testiranje spojnih putova na mreži. Na slijedećoj slici vidimo primjer primjene RIP usmjeravanja na uredskoj mreži srednje veličine: Podešavanje OSPF usmjeravanja na mreži Mreža sa OSPF usmjeravanjem koristi OSP protokol za dinamičku komunikaciju među usmjerivačima. OSPF okružje automatski dodaje i briše staze u tablicama usmjeravanja, obzirom na promjene u topologije mreže OSPF usmjeravano okružje RIP okružje je najbolje implementirati na velikim i vrlo velikim, višesmjernim, dinamičkim međumrežama. Velike i vrlo velike međumreže sadrže više od 50 mreža Višesmjerne (multipath) znači da postoji više putova kojim paketi mogu putovati od izvorišta do odredišta. Dinamičke su one mreže kojima se topologija i dostupnost određenih djelova mreže mijenja s vremena na vrijeme u ovisnosti o dodavanju nove opreme i pronlema sa opremom. Kandidati za ove tipove mreža mogu biti sveučilišni kampusi ili velike međunarodne kompanije. Razmatranja prilikom dizajniranja OSPF baziranog usmjeravanja Prilikom dizajniranja OSPF usmjeravane mreže potrebno je proučiti slijedeće stvari:

22 OSPF dizajn Postoje tri nivoa OSPF dizajana: Dizajn autonomnih sustava (Autonomous system design) Dizajn Područja (Area design) Dizajn mreže (Network design) Dizajn autonomnih sustava (Autonomous system design) Prilikom dizajniranja autonomnog sustava potrebno je napraviti slijedeće korake: Podijeliti OSPF autonomni sustav na područja Ukoliko je moguće, potrebno je podijeliti prostor IP adresa po slijedećoj hijerarhiji: mreža/područje/podmreža/računalo Potrebno je kao područje okosnice (backbone area) napraviti mrežu velike propusnosti Kreirati stub area kad god je moguće Izbjegavati virtualne linkove kad god je moguće Dizajn Područja (Area design) Prilikom dizajniranja područja potrebno je napraviti slijedeće korake: Osigurati da se sva područja predstavljaju mrežnim ID-om (IP adresom) koja mogu biti izražena malim brojem sumarnih staza. Osigurati da višestruki granični usmjerivači (multiple area border routers, ABR) za isto područje sumariziraju iste staze Osigurati da nema propusta (back door) između područja i da sav interni promet područja prolazi okosnicom. Broj mreža u području ne smije prelaziti 100 Dizajn mreže (Network design) Prilikom dizajna svake mreže potrebno je napraviti slijedeće: Dodijeliti prioritete usmjerivačima na način da se najmanje opterećeni usmjerivači odrede kao pričuvni (backup) usmjerivači Metriku podesiti tako da odražava propusnost, kašnjenje i pouzdanost Dodijeliti lozinke Korištenje virtualnih linkova OSPF usmjeravana međumreža je podijeljena u područja. Sva područja su međusobno povezana područjem okosnice. Usmjerivač koji povezuje određeno područje sa područjem okosnice naziva se granični usmjerivač područja (area backbone router (ABR)). U normalnim okolnostima, ABR-ovi imaju fizičku vezu na područje okosnice. U slučajevima kada nije moguće da ABR fizički bude spojen na područje okosnice, koristi se virtualni link za spajanje ABR-a sa okosnicom. Virtualni link je logička veza od točke do točke (point-to-point) između ABR-a u samom području i ABR-a koji je fizički spojen na područje okosnice. Vanjske staze i ASBR-ovi (external routes and ASBRs ) Set OSPF usmjerivača u organizaciji definira OSPF autonomni sustav (AS). Podrazumijevano, samo OSPF staze odgovaraju izravno priključenim mrežama i rasprostiru se unutar autonomnog sustava. Vanjska staza (external route) je bilo koja staza koja ne pripada autonomnom sustavu. Vanjske staze mogu dolaziti sa različitih izvora: Drugih usmjerivačkih protokola kao RIP v1 i RIP v2 Statičkih staza Staze dodane od strane Simple Network Management Protocol (SNMP) protokola Vanjske staze se rasprostiru kroz OSPF AS preko jednog ili više graničnih usmjerivača autonomnog sustava (autonomous system boundary router, ASBR). ASBR oglašava vanjske staze unutar OSPF AS-a. Filteri vanjskih staza (external route filters)

23 Podrazumijevano, OSPF usmjerivači koji se ponašaju jao ASBR, importiraju i oglašavaju sve vanjske staze. Moguća je potreba filtriranja vanjskih staza kako bi se spriječilo da ASBR-ovi ne oglašavaju nevažeće staze. Vanjske staze mogu biti filtrirane na ASBR-u po: Vanjskom izvorištu staze (external route source) ASBR se može kofigurirati da zanemari staze sa određenih vanjskih izvora kao npr. protokola RIP v2 Individualnoj stazi (individual route) ASBR se može konfigurirati tako da odbaci određene staze konfigurirajući uređeni par {Odredište,Mrežna maska} OSPF na RAS poslužitelju Ukoliko se konfigurira poslužitelj sa RRAS servisom koji koristi OSPF usmjeravanje kao RAS poslužitelj, a statički raspon IP adresa je na odvojenoj podmreži, da bi usmjerivač pravilno oglašavao staze koje predstavljaju sve udaljene klijente potrebno je: Omogućiti poslužitelj na kojemu se izvodi RRAS servis kao ASBR Konfigurirati OSPF filtre staza na način Accept listed routes, i zarim dodati staze koje se odnose na raspon statičkih IP adresa. OSPF na odgovarajućem (answering) demand-dial usmjerivaču Ukoliko se konfigurira poslužitelj sa RRAS servisom koji koristi OSPF usmjeravanje kao odgovarajući poslužitelj na jednosmjerno iniciranoj vezi, da bi se pravilno oglašavalo mrežne segmente pozivajućih usmjerivača potrebno je: Postaviti odgovarajući usmjerivač kao ASBR Ukoliko je odgovarajući usmjerivač konfiguriran sa statičkim rasponom IP adresa koje se odnose na odvojenu podmrežu, potrebno je dodati staze koje odgovaraju statičkim stazama na korisničke račune koji se koriste prilikom pozivanja usmjerivača. OSPF sigurnost Sigurnost kod OSPF protokola ostvaruje se kroz: Autentifikaciju Filtre vanjskih staza na ASBR-ovima Autentifikacija Podrazumijevano, OSPF sučelja na RRAS poslužitelju su konfigurirana tako da šalju jednostavnu lozinku « » i svojim Hello porukama. Lozinka sprječava korupciju OSPF podataka od strane neautoriziranog OSPF usmjerivača na mreži. Lozinka se šalje u tekstualnom obliku što uključuje prije navedene probleme. Razumljivo je da se podrazumijevana lozinka može i mora promijeniti. Filtre vanjskih staza na ASBR-ovima Da bi se spriječila propagacija nevaljanih staza u OSPF autonomni sustav sa vanjskih izvora kao RIP ili statičke staze, potrebno je konfigurirati filtre na ASBR-ovima. Filtri se mogu konfigurirati na način da svaka staza koja se poklapa sa listom konfiguriranih bide odbačena ili da se staza koja se ne poklapa odbaci, u ovisnosti o potrebi. Postavljanje OSPF-a Postavljanje OSPF zahtjeva pažljivo planiranje i konfiguraciju na tri nivoa: Autonomnog sustava (autonomous system) Područja (area) Mreže (network) Planiranje autonomnog sustava Prilikom planiranja AS-a potrebno je: Podijeliti OSPF AS u područje koja lako mogu biti sumarizirana korištenjem sumarnih staza (summary routes) Predvidjeti područje okosnice Dodijeliti identifikaciju odredišta (area ID)

24 Identificirati virtualne linkove Identificirati ABR-ove Identificirati stub areas Identificirati ASBR-ove Planiranje svakog područja Za svaki pojedini usmjerivač potrebno je: Dodati područja na koja je usmjerivač priključen Ako područje spada u stub area, omogućiti ga kao takovo Ako je određeni usmjerivač ABR, opcionalno konfigurirati raspone koji sumariziraju IP mreže unutar područja Ako je određeni usmjerivač ABR koji koristi virtualni link, potrebno je dodati virtualno sučelje Ako je određeni usmjerivač ASBR, potrebno je omogućiti ASBR i konfigurirati opcionalne filtre vanjskih staza Planiranje svake mreže Za svaku IP adresu svakog sučelja usmjerivača koji koristi OSPF potrebno je: Dodati sučelje OSPF usmjerivačkom protokolu Omogućiti OSPF na tom sučelju Konfigurirati sučelje za odgovarajući ID područja Konfigurirati sučelje za odgovarajući prioritet usmjerivača Konfigurirati sučelje za odgovarajuću metriku Konfigurirati sučelje za odgovarajuću lozinku Konfigurirati sučelje za odgovarajući tip mreže Ukoliko je sučelje Frame Relay, X.25 ili ATM potrebno je konfigurirati nonbroadcast multiple access (NBMA) susjede Testiranje OSPF Testiranje OSPF mreže je izuzetno važno zbog same kompleksnosti i provodi se slijedećim koracima: Da bi se provjerilo da li RRAS poslužitelj prima OSPF obavijesti sa ostalih usmjerivača, potrebno je pregledati njegove OSPF susjede. Za svaki usmjerivač, potrebno je pregledati IP usmjerivačku tablicu i provjeriti da li su sve staze koje je usmjerivač trebao primiti obavijestima prisutne. potrebno je koristiti alate koji su dostupni u operativnom sustavu WS2003 za testiranje spojnih putova na mreži. Na slijedećoj slici vidimo primjer OSPF bazirane korporativne mreže.

25 Demand-dial usmjeravanje Dok je sam koncept demand-dial usmjeravanja relativno jednostavan, njegova konfiguracija je dosta zahtjevna i kompleksna. Kompleksnost se ogledava u slijedećem: Adresiranju krajnjih točaka veze Veza se ostvaruje preko javnih mreža, kao primjerice analogne telefonske veze (PSTN). Krajnje točke veze moraju biti identificirane telefonskim brojem ili nekim drugim načinom identifikacije. Autentifikacija i autorizacija pozivatelja Svatko tko poziva RRAS poslužitelj mora biti autentificiran i autoriziran. Autentifikacija je bazirana na setu akreditiva pozivatelja i provjerava se tijekom uspostave veze. Prava na koja se pozivatelj poziva moraju se podudarati sa pravima dodijeljenim tom korisničkom računu. Autorizacija se odobrava na osnovi dial-in dozvola korisničkog računa i na osnovi RAS politike. Razlika između udaljenih klijenata i usmjerivača Oba servisa, usmjeravanje (routing) i udaljeni pristup (remote access) zajedno egzistiraju na RRAS poslužitelju. I udaljeni klijenti i usmjerivači pozivaju isti telefonski broj. Poslužitelj na kojemu se izvodi RRAS servis mora biti u stanju razlikovati udaljenog klijenta od usmjerivača koji poziva. Da bi ih razlikovao, korisničko ime u sklopu autentifikacijskih akreditiva koja šalje pozivajući usmjerivač mora točno odgovarati imenu na demand-dial sučelju usmjerivača koji odgovara na poziv. Ukoliko je suprotno, dolazeći se poziv smatra običnim zahtjevom za udaljeni pristup. Konfiguracija krajnjih točaka veze Oba kraja veze moraju biti konfigurirana, čak ako je samo jedan kraj taj koji inicira vezu. Konfiguriranje jednog kraja veze znači da se paketi uspješno usmjeravaju samo u jednom smjeru. Normalna komunikacija zahtjeva da paketi putuju u oba smjera. Konfiguracija statičkih staza (smjerova) Po pravilu ne bi trebalo koristiti dinamičke usmjerivačke protokole preko povremenih dial-up veza na zahtjev. Stoga se

26 staze dodaju u usmjerivačke tablice kao statičke staze. Ovo se izvršava ručno ili korištenjem auto-statičkog ažuriranja. Na slijedećoj slici vidimo primjer ovog tipa usmjeravanja: Konfiguracija demand-dial usmjeravanja Razmatranja prilikom dizajniranja demand-dial usmjeravanja Kako bi se zaobišli mogući problemi potrebno se prilikom dizajniranja ovakvog tips usmjeravanja voditi računa o slijedećim stvarima: Veze na zahtjev ili stalne veze (On-demand or persistent connections) Potrebno je odlučiti da li će se veza između usmjerivača ostvarivati na zahtjev ili će biti stalna. Veze na zahtjev se koriste u slučajevima kada ekonomski faktori ne opravdavaju korištenje stalnih veza. Sa vezama na zahtjev, veza se uspostavlja kada promet treba biti proslijeđen a prekida se kada se veza ne koristi. Način i vrijeme neaktivnosti nakon kojeg se veza prekida je moguće konfigurirati. Prekidanje veze pozivajućeg usmjerivača se konfigurira u izborniku Options, na svojstvima demand-dial sučelja. Stalne veze na zahtjev koriste dial-up vezu ali mogu biti otvorene 24 sata bez da se to odražava na telefonski račun. Primjer ovakve veze je flat-rate ISDN. Jednosmjerno ili obosmjerno inicirane veze Potrebno je odlučiti da li će veze biti inicirana od samo jednog usmjerivača ili od oba usmjerivača prema potrebi. Sa jednosmjerno iniciranim vezama, jedan usmjerivač je uvije pozivajući a drugi je uvijek odgovarajući. Odgovarajući usmjerivač prihvaća vezu, dok je pozivajući inicira. Jednosmjerne veze odgovaraju topologiji zvjezdišta, gdje primjerice, usmjerivač u podružnici uvijek poziva usmjerivač u središnjici. Jednosmjerno inicirane veze zahtijevaju slijedeće: o Odgovarajući usmjerivač je konfiguriran kao LAN i demand-dial usmjerivač o Na odgovarajućem usmjerivaču postoji korisnički račun koji odgovara akreditacijskom zahtjevu pozivajućeg usmjerivača o Demand-dial sučelje je konfigurirano na usmjerivaču koji odgovara Sa obosmjerno iniciranim vezama, usmjerivač može biti pozivajući ili odgovarajući, u ovisnosti sa koje strane se inicira veza.obje strane moraju biti konfigurirane tako da mogu inicirati i odgovoriti na vezu. Obosmjerna veza se koristi kada promet sa bilo kojeg usmjerivača može inicirati demand-dial vezu. Obosmjerno inicirane demanddial veze zahtijevaju slijedeće: o Oba usmjerivača konfigurirana su kao LAN i demand-dial usmjerivač o Na oba usmjerivača postoje korisnički računi koji odgovara akreditacijskom zahtjevu pozivajućeg usmjerivača o Demand-dial sučelje je potpuno konfigurirano na oba usmjerivača

27 Restrikcija inicijacije veze na zahtjev Da bi se pozivajući usmjerivač spriječio u ostvarivanju nepotrebnih veza na zahtjev, potrebno ga je ograničiti na dva načina: Demand-dial filtriranjem koristi se da bi se konfigurirao tip IP prometa koji nema prava ostvariti vezu ili da bi se odredilo koji tip IP prometa smije ostvarivati vezu na zahtjev. Dial-out hours (vrijeme za vezu) Koristi se za određivanje konkretnog vremena tijekom dana u kojemu pozivajući usmjerivač smije ostvariti vezu na zahtjev Filtri IP paketa i demand-dial filtri Demaand-dial filtri se primjenjuju prije nego što se uspostavi dial-up veza. Filtri IP paketa se primjenjuju nakon što je veza uspostavljena. Da bi se spriječilo ostvarivanje demand-dial veze za prijenos prometa koji je odbačen od strane IP paket filtara potrebno je: Ukoliko je podešen set vanjskih paket filtara sa opcijom Recieve all packets exept those that meet criteria listed below, potrebno je konfigurirati isti set filtara kao demand-dial filtre sa opcijom Initiate connection postavljenom kao For all traffic except. Ukoliko je podešen set vanjskih paket filtara sa opcijom Drop all packets exept those that meet criteria listed below, potrebno je konfigurirati isti set filtara kao demanddial filtre sa opcijom Initiate connection postavljenom kao Only for the following traffic Usmjeravanje Oba usmjerivača na demand-dial vezi moraju imati pripadne staze unesene u svoje usmjerivačke tablice da bi se promet nesmetano prosljeđivao demand-dial vezom. Također, staze na usmjerivačima unutar intraneta svakog od demand-dial usmjerivača moraju biti prisutne i ispravno konfigurirane. Staze se mogu ažurirati statički i dinamički. Statičko usmjeravanje je predviđeno prilikom veza na zahtjev. Dinamičko usmjeravanje se koristi za stalne veze na prospojenoj liniji. Kreiranje politike udaljenog pristupa za demand-dial veze Korištenjem RAS politike, moguće je kreirati politiku koja zahtjeva da određena demand-dial veza koristi točno specificiranu metodu autentifikacije ili razinu enkripcije. Moguće je, primjerice, kreirati račun korisničke grupe i nazvati ga Demand-dial usmjerivači. Članovi te korisničke grupe biti će korisnički računi koje koriste pozivajući usmjerivači prilikom ostvarivanja demand-dial veze. Tada je moguće kreirati politiku sa jednim uvjetom: Windows-Group je konfiguriran kao Demand-dial Routers. Korisnički računi za demand-dial veze Kada se kreiraju korisnički računi koristeći Demand-dial interface wizard, dozvola za udaljeni pristup je podrazumijevano konfigurirana kao Allow access, iako je prilikom kreiranja računa u Windows server 2003 domeni za novokreirane račune podrazumijevana postavka Control access through Remote Access Policy. Ovo ponašanje može prouzročiti nejasnoće ukoliko se koristi Access-by-policy administrativni model. U ovom administrativnom modelu, dozvola za udaljeni pristup za sve korisničke račune je postavljena kao Control access through Remote Access Policy, i dozvola za udaljeni pristup svake individualne politike je postavljena u Grant remote access permission ili Deny remote acces permission. Kada je korisnički račun kreiran, on je kreiran sa podrazumijevanim postavkama lozinke i postavkama politike koje odgovaraju domeni na kojoj je kreiran. Potrebno je provjeriti da li korisnički računi korišteni od strane pozivajućih usmjerivača imaju slijedeće postavke na izborniku General unutar svojstava korisničkog računa. User must change password at next logon Ukoliko je ovaj check-box odabran, potrebno je ručno promijeniti ovu postavku. Računi stvoreni korištenjem Demand- Dial Interface Wizarda ovu postavku automatski otklanjaju. Ukoliko se ova postavka

28 ne promijeni, demand-dial usmjerivač se ne može spojiti koristeći ovaj račun. Kada pozivajući usmjerivač pošalje svoje akreditive, od njega se zahtjeva promjena lozinke. Kako ovo nije proces u kojemu učestvuje korisnik, pozivajući usmjerivač ne može izvršiti promjenu lozinke, te zaustavlja pokušaj uspostave veze. Password never expires Ovaj check-box treba biti odabran. Pošto proces uspostave demand-dial veze nije interaktivan, kada se od pozivajućeg usmjerivača zatraži promjena lozinke on zaustavlja proces uspostave veze. Sigurnost pri demand-dial usmjeravanju Sigurnost pri demand-dial usmjeravanju je manja briga nego prilikom router-to-router VPN veze zbog toga što podaci putuju prospojenim telefonskim kanalom a ne javnom mrežom kakva je primjerice Internet. Ipak, podaci se mogu presresti na svom putu kroz infrastrukturu telefonske kompanije stoga ih je potrebno osigurati korištenjem: Stroge autentifikacije Potrebno je koristiti najstrožu autentifikacijsku shemu korištenjem EAP-TLS sa certifikatima. Moguće je također koristiti MS-CHAP v2 autentifikaciju sa snažnim lozinkama. Enkripcije podataka Kod enkripcije potrebno je koristiti jedno od navedenih dvoje: o Link encryption Enkripcija veze kriptira podatke između davaju usmjerivača. Koristi se 128 bitna Microsoft Point-to-Point(MPPE) enkripcija. 40-bitna MPPE enkripcija se koristi kada se želi postići kompatibilnost sa starijim verzijama Microsoftovih operativnih sustava. MPPE se koristi u sprezi sa MS-CHAP ili EAP-TLA autentifikacijom. o End-to-end encryption Enkripcija s kraja na kraj se koristi za kriptiranje podataka od izvorišta do odredišta. Obično se koristi IPSec protokol. Da bi enkripcija bila zahtjevana, potrebno je promijeniti No encryption opciju i odabrati odgovarajuće enkripcijske postavke u izborniku Encryption. VPN veze od usmjerivača do usmjerivača (router-to-router VPN) Ovaj tip veze uključuje slijedeće komponente: VPN klijenti U ovom slučaju, VPN klijent je usmjerivač koji inicira VPN vezu, tj. pozivajući usmjerivač. Za VPN veze od usmjerivača do usmjerivača, moguće je konfigurirati poslužitelje pod operativnim sustavima Windows 2000 Server, Windows Server 2003 te Windows NT Server 4.0 sa RRAS servisom. VPN poslužitelji VPN poslužitelj je usmjerivač koji prihvaća vezu od pozivajućeg usmjerivača, tzv. odgovarajući usmjerivač. Gore navedeni operativni sustavi mogu biti VPN poslužitelji. LAN protokoli i protokoli za udaljeni pristup LAN protokoli se koriste za prijenos podataka, dok se RAS protokoli koriste za ostvarivanje veze i osiguravaju uokvirivanje podataka LAN protokola. RRAS podržava usmjeravanje paketa TCP/IP LAN protokola korištenjem PPP protokola za udaljeni pristup preko VPN usmjerivačusmjerivač veze. Protokoli tuneliranja koriste ih VPN klijenti i VPN poslužitelji za ostvarivanje i upravljanje tunelom i tuneliranje podataka. RRAS uključuje podršku za PPP i L2TP. Windows NT Server sa RRAS uključuje sam PPTP podršku. WAN opcije VPN poslužitelji su obično priključeni na Internet korištenjem stalne WAN veze kao T1 ili Frame Relay. VPN klijenti su spojeni na Internet bilo stalnim vezama ili korištenjem prospojenih veza. Demand-dial sučelja VPN klijent (pozivajući usmjerivač) mora imati demand-dial sučelje konfigurirano za: o Ime računala ili IP adresa sučelja VPN poslužitelja na Internetu o PPTP port ili L2TP port (u ovisnosti o vrsti veze)

29 o Akreditaciju korisničkog računa (korisničko ime, domenu, lozinku) o Za L2TP/IPSec vezu, važeći certifikat VPN poslužitelj (odgovarajući usmjerivač) mora imati demand-dial sučelje sa istim imenom kao korisnički račun kojeg koristi VPN klijent (pozivajući usmjerivač), da bi dolazeća veza bila prepoznata i prihvaćena kao demand-dial veza. Korisnički računi Korisnički računi moraju biti kreirani za pozivajući usmjerivač. Račun može biti kreiran automatski, pokretanjem RRAS setup wizarda. Ovaj račun mora imati dial-in dozvole dodijeljene bilo kroz dial-in svojstva ili kroz RAS politiku. Statičke staze ili usmjerivački protokoli Kako bi svaki od usmjerivača ispravno proslijeđivao promet preko VPN veze od usmjerivača do usmjerivača, svaki od njih mora imati odgovarajuće staze u svojim tablicama usmjeravanja. Staze se dodaju u usmjerivačke tablice kao statičke staze ili korištenjem dinamičkih usmjerivačkih protokola. Sigurnosne opcije Pošto je RRAS servis sastavni dio operativnog sustava, mogućče je koristiti različite vidove sigurnosti, od sigurnosti domene, enkripcije podataka, RADIUS-a, pametnih kartica itd. Slijedeća slika pokazuje komponente router-to-router VPN veze: Konfiguracija router-to-router VPN usmjeravanja Razmatranja prilikom dizajniranja router-to-router VPN usmjeravanja Prilikom implementiranja ovakvog tipa usmjeravanja potrebno je voditi računa o slijedećim stvarima: PPTP ili L2TP bazirane veze Instaliranje certifikata (samo kod L2TP veza) Veze na zahtjev ili stalne veze Ograničavanje inicijacije veze na zahtjev Jednosmjerno ili obosmjerno inicirane veze Konfiguracija vatrozidnih filtara paketa Usmjeravanje Jedan skok (single hop) preko VPN veze Kreiranje RAS politike za R2R VPN veze. PPTP ili L2TP bazirane veze Windows Server 2003 podržava PPTP i L2TP bazirane veze. Kada se odabire između ova dva tipa veza potrebno je u obzir uzeti da PPTP veze mogu biti korištene za ostvarivanje R2R VPN veza za usmjerivače pod Windows NT 4.0 Server sa RRAS servisom, W2000S, WS2003, dok Windows NT Server ne podržava L2TP. O razlici će biti više govora u drugom odjeljku. Instaliranje certifikata Za korištenje autentifikacije certifikatima kod L2TP/IPSec R2R VPN baziranih veza potrebno je instalirati računalne certifikate, poznate kao računalne certifikate.

30 Veze na zahtjev ili stalne veze Potrebno je odlučiti da li će veze biti jednog od slijedeća dva tipa: Veze na zahtjev Zahtijevaju da odgovarajući usmjerivač bude stalno priključen na Internet. Pozivajući usmjerivač se spaja na Internet korištenjem dial-up veze. Potrebno je konfigurirati samo jedno demand-dial sučelje na odgovarajućem usmjerivaču. Potrebno je konfigurirati dva demand-dial sučelja na pozivajućem usmjerivaču, jedno za spajanje na lokalni ISP, a drugo za R2R VPN vezu. Demand-dial R2R VPN veze također zahtijevaju dodatnu host stazu u IP usmjerivačkoj tablici pozivajućeg usmjerivača. Stalne veze zahtijevaju da oba usmjerivača budu stalno priključena na Internet korištenjem neke WAN veze. Potrebno je konfigurirati samo jedno demand-dial sučelje po usmjerivaču. Stalne veze se iniciraju i aktivne su 24 sata na dan. Ograničavanje inicijacije veze na zahtjev Kao i prije, da bi se pozivajući usmjerivač spriječio u ostvarivanju nepotrebnih veza na zahtjev, potrebno ga je ograničiti na dva načina: Demand-dial filtriranjem koristi se da bi se konfigurirao tip IP prometa koji nema prava ostvariti vezu ili da bi se odredilo koji tip IP prometa smije ostvarivati vezu na zahtjev. Dial-out hours (vrijeme za vezu) Koristi se za određivanje konkretnog vremena tijekom dana u kojemu pozivajući usmjerivač smije ostvariti vezu na zahtjev Jednosmjerno ili obosmjerno inicirane veze Potrebno je odlučiti da li će veze biti inicirana od samo jednog usmjerivača ili od oba usmjerivača prema potrebi. Sa jednosmjerno iniciranim vezama, jedan usmjerivač je uvije VPN klijent a drugi je VPN poslužitelj. Sa obosmjerno iniciranim vezama, usmjerivač može biti VPN klijent ili VPN poslužitelj, u ovisnosti sa koje strane je iniciran poziv. Konfiguracija vatrozidnih filtara paketa Ukoliko na mreži postoji vatrozid potrebno ga je konfigurirati na načina da propušta VPN promet između VPN usmjerivača i usmjerivača na Internetu. Usmjeravanje Oba usmjerivača na R2R VPN vezi moraju imati pripadne staze unesene u svoje usmjerivačke tablice da bi se promet nesmetano prosljeđivao VPN vezom. Staze se mogu ažurirati statički i dinamički. Statičko usmjeravanje je predviđeno prilikom veza na zahtjev. Dinamičko usmjeravanje se koristi za stalne veze na prospojenoj liniji. Za razliku od demand-dial usmjeravanja koje koristi izravne veze, ne može se koristiti podrazumijevanu IP stazu za sumiranje svih staza u središnjici (centralnoj mreži). Obzirom da je usmjerivač ogranka izravno priključen na Internet, podrazumijevana staza mora biti korištena za sumiranje svih staza na Internetu i konfigurirana tako da koristi sučelje koje povezuje usmjerivač sa Internetom. Jedan skok (single hop) preko VPN veze U svrhe dizajniranja usmjerivačke infrastrukture, R2R VPN veza se smatra kao samo jedan skok bez obzira koliko je usmjerivača potrebno proći do odredišta. Kreiranje RAS politike za R2R VPN veze. Korištenjem RAS politike, moguće je kreirati politiku koja zahtjeva da određena demand-dial veza koristi točno specificiranu metodu autentifikacije ili razinu enkripcije. Više o tome bit će pisano kasnije.

31 2. Remote Access (Udaljeni pristup) Protokoli za udaljeni pristup Point to Point protocol (PPP) PPP predstavlja način za enkapsuliranje paketa iz drugih protokola i njihov prijenos serijskom ili nekom drugom (od čvora do čvora) vezom. Za razliku od SLIP protokola koji nije podržan (kao poslužiteljski proces) u WS2003, PPP osigurava širok spektar karakteristika koje unaprjeđuju jednostavan postupak kojim se samo šalju paketi fizičkom vezom. PPP je dokumentiran u preporuci RFC 1662, «Point-to-point Protocol (PPP)». Karakteristične funkcije koje PPP nudi su: -HDLC (High-Level Data Link Control) PPP se može koristiti ne samo za IP, već i za širok spektar drugih protokola. PPP svoj format okvira zasniva na High-Level Dana Link Control protokolu, koji predstavlja standardnu metodu koja se koristi kod veza od čvora do čvora. -LCP (Link Control Protocol)- Ovo je protokol sa mogućnošću proširenja koji se koristi za uspostavljanje, konfiguriranje i testiranje podatkovnih veza. Obje strane veze pregovaraju o parametrima druge strane koji će se koristiti u vezi, npr. Veličina paketa. -NCP (Network Control Protocol) NCP dopušta različite konfiguracijske opcije, u zavisnosti od vrste protokola kojim se paketi prenose duž PPP veze. NCP za posebne sesije mrežnih protokola dopušta pregovaranje i podešavanje nakon uspostavljanja veze. Štoviše PPP dopušta multipleksiranje nekoliko različitih protokola na istoj vezi. PPP ugovara vezu sa udaljenim računalom, testira je, uspostavlja različite protokole veze, a zatim šalje podatke sa jednog računala na drugo. Budući da se PPP koristi na mrežama sa prospajanjem kanala, a ne na mrežama sa komutacijom paketa, smatra se da paketi stižu na odredište istim redoslijedom kako se šalju. PPP dopušta slanje paketa više protokola duž iste veze, multipleksiranjem različitih protokola. Također podržava i full-duplex komunikaciju (obosmjernu) na istoj vezi. Na slijedećoj slici vidimo izgled PPP okvira. Indikator 1 oktet Adresa 1 oktet Kontrola 1 oktet Protokol 2 okteta Sadržaj Varijabilan (FCS) Frame check Sequence 2-4 okteta Slika---- Point to Point Tunneling Protocol (PPTP) PPTP je detaljno opisan u preporuci RFC 2637, «Point-to-Point Tunneling Protocol (PPTP)». PPTP povećava mogućnosti PPP-a. Dok PPP komunicira vezama sa prospajanjem kanala, PPTP ostvaruje tunel kroz mrežu sa prospajanjem paketa, primjerice Internet. Ideja je u suštini slična. PPTP enkapsulira paket nekog protokola, a zatim se PPTP paket usmjerava kroz mrežu. Krajnje točke koje koriste PPTP vezu ne moraju znati da se nalaze na suprotnim krajevima velike mreže sa prospajanjem paketa, već izgleda kao da se oba kraja nalaze na istoj mreži. Još jedna razlika između protokola PPP i PPTP je to što PPTP dozvoljava šifriranje korisnog dijela paketa, tako da su datagrami IP protokola (ili nekog drugog protokola) prilikom prijenosa zaštićeni. Ukoliko kućni korisnik želi pristupiti udaljenom poslužitelju u svojoj radnoj organizaciji prices uspostave PPTP veze teče na slijedeći način. Najprije Korisnik uspostavlja modemsku vezu sa svojim ISP-om preko javne telefonske mreže (PSTN). Kada je veza sa Internetom uspostavljena započinje drugi krug ugovaranja, kako bi se uspostavio PPTP tunel preko PPP veze. Krajnje točke PPP veze su kućni korisnik i ISP. Krajnje točke PPTP veze su računalo korisnika i RAS poslužitelj u radnoj organizaciji koji je priključen na Internet (stalnom vezom). U krajnjoj točki RAS-a enkapsulirani PPTP paketi se raspakiraju kako bi se otkrio originalni paket IP protokola (ili nekog drugog

32 protokola), te se taj paket šalje dalje na LAN organizacije. Da bi se uspostavila PPTP sesija između klijenta i poslužitelja potrebna je TCP veza poznata kao PPTP control connection. Ova veza egzistira između IP adrese klijentskog računala i IP adrese PPTP poslužitelja, potrebna je za kreiranje i održevanje tunela a koristi TCP/IP port Layer Two Tunneling Protocol (L2TP) L2TP je poboljšanje protokola PPTP koje koristi tehnologiju protokola firme Cisco pod nazivom Layer 2 Forwarding. (proslijeđivanje u podatkovnom sloju). Kombinacija ova dva protokola dokumentirana je u preporuci RFC 2662, «Layer Two Tunneling Protocol (L2TP)». L2TP koristi UDP za slanje korisničkih paketa podataka, kao i za poruke o održavanju koje se koriste za upravljanje VPN vezom. Obzirom da je L2TP samo protokol tuneliranja, IPSec protokol se koristi za šifriranje koje štiti sadržaj podataka koji prolaze kroz tunel. Kako L2TP koristi UDP umjesto TCP paketa, sesija ne postoji. Umjesto toga, L2TP koristi redne brojeve za svaku poruku kako bi paketi točnim redoslijedom stigli na odredište. L2TP se oslanja na PPP protokol. L2TP enkapsulira PPP datagram direktnim priključivanjem L2TP zaglavlja ispred PPP zaglavlja. Kako L2TP koristi UDP, ispred svega dodaje se i UDP zaglavlje što se vidi sa slike. UDP zaglavlje L2TP Zaglavlje PPP Zaglavlje PPP Korisni podaci Slika Ako je cilj samo napraviti tunel, dovoljan je ovaj nivo enkapsulacije zato što će UDP paket napraviti najbolji pokušaj prijenosa paketa predajući ga IP protokolu. Međutim, kako je kod VPN veza potrebno ostvariti određenu razinu sigurnosti za korisne podatke koji se prenose u paketima, koristi se IPSec protokol. Na slijedećoj slici prikazan je datagram koji je enkapsuliran koristeći IPSec zaglavlje i kraj paketa. IPSec Zaglavlje UDP zaglavlje L2TP Zaglavlje PPP Zaglavlje Slika--- PPP Korisni podaci IPSec Završni zapis Oba protokola, PPTP i L2TP koriste PPP za prijenos podataka između sustava, međutim, PPTP je Microsoftova tehnologija, koristi PPP enkripciju i zahtjeva realizaciju kroz TCP/IP, dok je L2TP tehnologija zasnovana na Cisco algoritmu, koristi IPSec enkripciju i podržava ostale tehnologija kao npr. X.25 mreže. Načini udaljenog pristupa RAS poslužitelj kao dial-up mrežni poslužitelj RRAS servis omogućuje tradicionalni dial-up usaljeni pristup pokretnim korisnicima ili kućnim korisnicima. Oni koriste ovaj servis kako bi se sa udaljenih lokacija spojili na intranete svojih radnih organizacija. Oprema koja je instalirana na RAS poslužitelj je konfigurirana tako da odgovara na dolazeće zahtjeve za spajanjem od odaljenih klijenata. RAS poslužitelj odgovara na poziv, autentificira i autorizira pozivatelja i u ovisnosti od prava koje korisnik ima, omogućuje pristup mrežnim resursima iprijenos podataka. Na slijedećoj slici vidimo primjer udaljenog dial-up pristupa.

33 Dial-up networking Dial-up networking komponente Dial-up netvorking sačinjavaju slijedeće komponente: Dial-up networking poslužitelji- RRAS se može konfigurirati za pružanje dial-up pristupa na cijelu mrežu ili ograničiti pristup na dijeljene resurse RRAS poslužitelja Dial-up mrežni klijenti RAS klijenti koji rade pod: WS2003,Windows XP, Windows 2000, Windows NT sa RAS ili RRAS servisom, Windows ME, Windows 98, Windows 95, Mac OS se svi mogu priključiti na poslužitelj na kojemu se izvodi RRAS servis. LAN i protokoli za udaljeni pristup Aplikacije koriste LAN protokole za prijenos informacija. RAS protokoli se koriste za uspostavljenje veze i enkapsuliranje informacija LAN protokola na razini okvira. Te informacije se dalje šalju WAN linkovima. RRAS podržava mrežne protokole kao TCP/IP i AppleTalk koji omogućuju pristup Internetu, te UNIX, Mac OS i Novell NetWare resursima. RRAS podržava Protokole za udaljeni pristup kao primjerice PPP. WAN opcije- Klijenti mogu pristupati koristeći standardne telefonske linije i modem. Brže veze su dostupne koristeći ISDN. Udaljeni klijenti se na RAS poslužitelj također mogu spajati X.25 ili ATM vezom. Izravne veze su podržane kroz RS-232C null modem kabel, kroz paralelnu vezu ili infracrvenu vezu. Sigurnosne opcije-ws2003 osigurava sigurnost pri logiranju i pristupu domeni, osigurava enkripciju podataka, Remote Autentication Dial-In User Service (RADIUS), pametne kartice, RAS korisničke račune, RAS politike i callback za siguran pristup mreži za dial-up klijente. Na slijedećoj slici vidimo okvirni prikaz dial-up mrežnih komponenti

34 Dial-up mrežni klijenti Dial-up klijent koji se spaja na RRAS poslužitelj može biti bilo koji PPP klijent. Klijent mora imati instaliran modem, analognu telefonsku vezu ili neku drugu WAN vezu i programsku podršku za udaljeni pristup. PPP klijenti bazirani na Windows operativnim sustavima RAS poslužitelju mogu pristupiti windows bazirani PPP klijenti koji koriste TCP/IP. Windows bazirani klijenti ne mogu koristiti AppleTalk protokol. RAS podrška za Windows bazirane PPP klijente je prikazana u slijedećoj tablici. Dial-up mrežni klijent Microsoft Windows Server 2003 Windows 2000 Windows XP Windows NT verzija 4.0 Windows NT verzija 3.5x Windows ME, Windows 98 Windows 95 Podržane remote access PPP osobine Multilink, Bandwidth Allocation Protocol (BAP), Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP), Password Authentication Protocol (PAP), Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2), and Extensible Authentication Protocol (EAP) Multilink, MS-CHAP, CHAP, SPAP, PAP, and MS- CHAP v2 (Windows NT 4.0 Service Pack 4 i kasniji) MS-CHAP, CHAP, SPAP, PAP Multilink, MS-CHAP, CHAP, SPAP, PAP, and MS- CHAP v2 (Windows 98 Service Pack 1 i kasniji) MS-CHAP, CHAP, SPAP, PAP (sa Windows Dial-Up Networking 1.3 Performance & Security Upgrade for Windows 95 i kasniji) Nepodržane remote access PPP osobine BAP, EAP Multilink, BAP, MS-CHAP v2, EAP BAP, EAP MS-CHAP v2, Multilink, BAP, EAP Ostali PPP klijenti Ostali PPP klijentski software koji koristi TCP/IP ili AppleTalk može pristupati poslužitelju na kojem se izvodi RRAS servis. Nikakva posemna konfiguracija na strani poslužitelja u ovim slučajevima nije potrebna, osim što se je potrebno pobrinuti da RAS poslužitelj i PPP klijent budu konfigurirani za iste LAN i autentifikacijske protokole. Ovo je važno jer je na ovaj način ostavljen prostor za ostale proizvođače programske podrške. Dial-up mrežni poslužitelji Poslužitelj na kojemu se izvodi RRAS servis može biti konfiguriran tako da pruža pristup cijeloj mreži ili samo dijeljenim resursima na poslužitelju. Administratori konfiguriraju način pristupa, imaju pregled nad logiranim udaljenim korisnicima te mogu nadzirati promet koji generiraju udaljeni korisnici. Za dial-up mrežni pristup poslužitelj treba imati bar jedan modem ili višeportni adapter (banka modema) i analognu telefonsku liniju ili neku drugu WAN vezu. Ukoliko poslužitelj osigurava pristup ostalim dijelovima mreže potrebno je instalirati odvojeni mrežni adapter za mrežu na koju poslužitelj osigurava pristup. Poslužitelj na kojemu se izvodi RRAS je moguće konfigurirati čarobnjakom i ručno.

35 Postavljanje poslužitelja za dial-up udaljeni pristup. Prije no što se krene u postavljanje poslužitelja potrebno je razmotriti neke stvari vezano uz tu problematiku. Alokacija IP adresa Potrebno je ustvrditi da li će RAS poslužitelj koristiti DHCP ili rezervirane statičke adrese za osiguravanje adresa udaljenim klijentima koji se logiraju. Ukoliko se koriste statičke adrese, potrebno je utvrditi da li će raspon adresa koje će se koristiti pripadati podmreži IP mreže na koju se poslužitelj priključen ili će se koristiti odvojena podmreža za te adrese. Ukoliko statičke adrese pripadaju različitoj podmreži potrebno je osigurati da usmjerivači znaju za njih, tj. ta postoje staze u tablicama usmjeravanja do tih adresa, kako bi udaljeni klijenti po logiranju mogli razmjenjivati promet sa ostatkom mreže. Broj dolazećih priključnih točki (portova) Potrebno je odrediti maksimalni broj dial-up udaljenih klijenata koji mogu biti istovremeno spojeni. Prema tom broju, potrebno je pribaviti opremu kao npr. Banku modema i isti broj telefonskih ili ISDN linija. Nakon instalacija upravljačkih programa(drivera) za sklop kao banka modema, potrebno je provjeriti da li su svi portovi omogućeni na način da podržavaju udaljeni pristup u RRAS konzoli. Odluka o upravljačkom modelu RRAS servisa Prije postavljanja pristupnih (engl.dial-in) dozvola na korisničke račune i kreiranja politike za udaljeni pristup potrebno je odlučiti o RAS administrativnom modelu. U WS2003 OS-u postoje dva primarna modela za administriranje dozvola za udaljeni pristup: 1.Access by user 2.Access by policy in an Active Directory domain Kontroliranje pristupa ovim drugim načinom centralizira i olakšava mnoge administrativne zadatke. Kreiranje pristupne politike za dial-up udaljene korisnike Korištenjem opcija vezanih za pristupnu politiku moguće je kreirati specifičan niz pristupnih pravila koji zahtijevaju posebne autentifikacijske i enkripcijske metode. Primjerice, moguće je kreirati korisničku grupu Dial-up korisnici, čiji članovi su korisnički računi korisnika koji pristupaju poslužitelju za udaljeni pristup. Smještanjem svih korisnika u istu grupu i dodjeljivanjem određenih prava na nivou grupe postiže se značajna ušteda u vremenu i olakšava administriranje. Naime, nije potrebno za svakog novog udaljenog korisnika upisivati cijeli set pravila, već je dovoljno korisnika dodati grupi u kojoj ta pravila tj. Pristupna politika već postoje. Korištenje IAS (Internet Autentication Service) poslužitelja za centraliziranu autentifikaciju, autorizaciju i upravljanje računima Ukoliko na mreži postoji više poslužitelja za udaljeni pristup, potrebno je na svakom od njih postaviti pristupne politike. Kako bi se ovo multipliciranje izbjeglo, te iskoristile prednosti centralizirane pristupne politike, moguća je konfiguracija RAS poslužitelja kao Remote Autentication Dial-In User Service (RADIUS) klijenata. Ovi klijenti su povezani na RADIUS poslužitelj na kojem se izvodi IAS servis. Na ovaj način svi udaljeni klijenti bivaju autentificirani prosljeđivanjem, upita sa više RAS poslužitelja na jedan RADIUS poslužitelj. Korištenje Connection Managera Za višestruko postavljanje RAS poslužitelja na mreži moguće je korištenje Connection manager administrativnog kita. On osigurava prekonfigurirane vzeze na svim klijentima za udaljeni pristup u cijeloj korporativnoj mreži. Dial-up sigurnost pri udaljenom pristupu Sigurnost pri dial-up načinu pristupa potrebno je osigurati kroz Jaku autentifikaciju

36 Kriptiranje podataka Jaka autentifikacija Za autentifikaciju, potrebno je koristiti najstrožu moguću autentifikacijsku shemu. Najjača autentifikacija se ostvaruje korištenjem EAP-TLS sa pametnim karticama. Ukoliko se ne koriste pametne kartice, preporučeno je korištenje MS-CHAP v2 autentifikacije i upotreba jakog sustava lozinki na mreži. Enkripcija podataka Kod enkripcije moguće je koristiti link enkripciju veze (link encription) ili enkripciju s kraja na kraj (end-to-end encription) Enkripcija veze kriptira podatke samo na vezi između udaljenog klijenta i RAS poslužitelja, ili između dvaju RRAS poslužitelja. Za dial-up RAS veze potrebno je koristiti Microsoft Point-To-Point Encryption (MPPE) u sprezi sa MS-CHAP ili EAP- TLS autentifikacijom. Enkripcija s kraja na kraj kriptira podatke između izvorišnog računala (udaljenog klijenta) i krajnjeg odredišta (računala na lokalnoj mreži iza RAS poslužitelja. Nakon uspostave dial-up veze, moguće je korištenje IPSec protokola za kriptiranje podataka između udaljenog klijenta i odredišta Da bi se unutar RRAS konzole zahtijevalo enkripciju, potrebno je očistiti NO encription opciju i odabrati traženu vrstu enkripcije u izborniku Encription možda slika odabiranja enkripcije Postavljanje dial-up udaljenog pristupa Korištenje RAS poslužitelja kao korporativnog RAS poslužitelja Poslužitelj na kojemu se izvodi RRAS servis može se koristiti za osiguravanje dial-up pristupa korporativnoj mreži. Ukoliko se želi da RAS poslužitelj podržava višestruke dial-up mrežne TCP/IP bazirane veze potrebno je ispoštovati slijedeće korake: Konfigurirati vezu na intranet Konfigurirati veze sa dial-up mrežnim klijentima Konfigurirati ulazne (dial-in) portove Konfigurirati RAS poslužitelj Konfigurirati multicast podršku Konfigurirati RAS politiku Na slijedećoj slici vidimo elemente RRAS poslužitelja koji osigurava dial-up pristup na korporativni intranet. Konfiguracija veze na intranet Veza sa RRAS servisa na intranet je mrežni adapter instaliran na poslužitelju. Prije instaliranja istog potrebno je utvrditi da li je kompatibilan sa WS2003 OS-om. NA tom LAN adapteru potrebno je konfigurirati slijedeće TCP/IP postavke: IP adresu i masku podmreže dodijeljenu od strane mrežnog administratora Podrazumijevani poveznik (gateway) lokalnog usmjerivača IP adrese korporativnih DNS i WINS poslužitelja

37 Konfiguracija veze sa dial-up mrežnim klijentima Da bi se omogućile višestruke simultane veze za dial-up klijente potrebno je imati banke modema i dovoljan broj telefonskih linija. Potrebno je provjeriti da li su ti uređaji i njihivi upravljački programi kompatibilni sa WS2003 OS-om Konfiguracija ulaznih (dial-in) portova Svi ulazni portovi koji predstavljaju banku modema prikazani su kao odvojeni portovi unutar RRAS konzole. Potrebno je ponaosob konfigurirati svaki port za udaljeni dial-up pristup. Konfiguracija RAS poslužitelja Konfiguracija RAS poslužitelja se izvodi kroz RRAS konzolu. Da bi se većem broju udaljenih klijenata dozvolilo pristup na korporativni intranet potrebno je konfigurirati slijedeće postavke: General Provjeriti da li je odabrana opcija Remote access server (check-box) Security o Authentication Methods - Poslužitelj je podrazumijevano konfiguriran za prihvaćanje određenih autentifikacijskih metoda. Moguće je određivati koje će se metode prihvaćati kroz RAS politiku sa iznimkom CHAP protokola o Authentication Provider - Vjerodostojnost klijenata koji pristupaju mreži moguće je provjerito korištenjem Windows autentifikacije ili korištenjem RADIUS poslužitelja. Ukoliko je odabran RADIUS potrebno je naknadno konfigurirati postavke RADIUS poslužitelja o Accounting Provider Moguće je bilježenje dial-up mrežne aktivnosti za naknadnu analizu IP Potrebno je provjeriti da li su odabrane check-box opcije Enable IP routing i Allow IP-based remote access and demand-dial connections. Ukoliko se koristi DHCP poslužitelj za alociranje IP adresa za udaljene klijente potrebno je odabrati opciju Dynamic Host Configuration Protokol (DHCP). Ukoliko to nije slučaj potrebno je kliknuti na Static address pool i konfigurirati raspon IP adresa koje će se dodjeljivati udaljenim klijentima pri pristupu Konfiguracija multicast podrške Da bi se omogućila multicast podrška potrebno je izvršiti slijedeće radnje: Dodati IGMP Router and Proxy usmjerivački protokol Dodati unutarnje (Internal) sučelje IGMP usmjerivačkom protokolu i konfigurirati ga u IGMP usmjerivačkom modu Dodati sučelje koje predstavlja stalnu vezu na intranet IGMP usmjerivačkom protokolu i konfigurirati sučelje u IGMP proxy modu Konfiguracija RAS politike Ukoliko se odobrava pristup udaljenim klijentima u access-by-user administrativnom modelu potrebno je napraviti slijedeće: Za samostojeći (stand-alone) RAS poslužitelj koristi se Local Users and Groups opcija dial-in properties. Ovdje je potrebno odabrati Allow access za korisnike kojima će biti odobren pristup sa udaljenih lokacija. Za RAS poslužitelj u domeni Aktivnog imenika treba koristiti izbornike Active directory Users and Computers da bi se u dial-in opcijama odabiranje Allow access odabralo korisnike koji će moći pristupati sa udaljenih lokacija Ukoliko se odobrava pristup udaljenim klijentima na osnovu pripadnosti grupi (group membership) i na osnovu access-by-policy administrativnog modela treba napraviti slijedeće: Za samostojeći RAS poslužitelj koristiti Local users and groups izbornik i postaviti dial-in svojstva na Control access through Remote Access Policy za sve korisnike.

38 Za RAS polužitelj koji je član Windows 2000 mješovite domene treba koristiti Active directory Users and Computers i postaviti dial-in properties u Allow access za sve korisnike Za RAS polužitelj koji je član Windows 2000 ili Windows Server 2003 domene potrebno je koristiti Active directory Users and Computers i postaviti dial-in properties kao Control access through Remote Access Policy za sve korisnike Potrebno je kreirati grupu čiji će članovi moći ostvarivati dial-up veze sa RAS poslužiteljem. Primjerice grupa će biti nazvana Udaljeni_korisnici Treba dodati korisničke račune novostvorenoj grupi. Treba izbrisati podrazumijevane RAS politike. Potrebno je kreirati nove RAS politike sa slijedećim svojstvima: o Postaviti Policy name u Remote Access if member of RAS_Users (primjer). o Postaviti Windows-Groups atribut u RAS_Users (primjer). o Odaberati Grant remote access permission opciju. Vezano uz enkripciju, podrazumijevana postavka dozvoljava MPPE enkripciju kada je zahtijevana od strane udaljenog klijenta. Da bi se osigurala enkripcija za dial-up mrežne veze potrebno je modificirati enkripcijske postavke na izborniku Policy profile tako da se zahtjeva enkripcija. Za dial-up veze potrebno je očistiti No encriptio check-box i odabrati neku od slijedećih opcija u izborniku Encription: Basic - Ovu opciju je potrebno koristiti prilikom komunikacije sa dial-up klijentima koji koriste nižu razinu enkripcije. Ova opcija koristi MPPE i 40-bitni enkripcijski ključ Strong - Ova opcija se koristi prilikom komunikacije sa Windows Server 2003, Windows 2000, Windows Millennium Edition, i Windows 98 klijentima koji koriste srednju razinu enkripcije. Ova opcija koristi MPPE i 56-bitni enkripcijski ključ. Strongest Ova se opcija koristi prilikom komunikacije sa klijentima koji koriste najviši nivo enkripcije. Ova opcija koristi MPPE i 128-bitni enkripcijski ključ. RAS poslužitelj kao Virtual Private Networking (VPN) poslužitelj VPN veza emulira vezu s kraja na kraj (point-to-point). Da bi se mogao emulirati ovaj tip veze podaci se enkapsuliraju sa dodatnim IP zaglavljem koje osigurava podatke potrebne za usmjeravanje enkapsuliranog paketa kroz mrežu do VPN poslužitelja. Veza u kojoj su podaci enkapsulirani i putuju određenom stazom, te pristižu na odredište određenim redoslijedom naziva se tunel. Kod sigurnog VPN-a podaci se kriptiraju prije no što bivaju enkapsulirani. Tako kriptirane pakete je vrlo teško otvoriti bez poznavanja enkripcijskog ključa. Veza u kojoj su podaci kriptirani naziva se VPN veza. VPN veze se ostvaruju i njima se upravlja koristeći posebne protokole koji se nazivaju protokolima tuneliranja (tunneling protocols). VPN klijent i VPN poslužitelj moraju podržavati isti protokol tuneliranja da bi se ostvarila VPN veza. Poslužitelj na kojemu se izvodi RRAS servis je VPN poslužitelj za PPTP i L2TP protokole tuneliranja. Slijedeća slika prikazuje funkcionalnost VPN veze kod udaljenog pristupa.

39 Virtual private networking VPN komponente VPN sačinjavaju slijedeće komponente: VPN poslužitelji- Poslužitelj se može konfigurirati za pružanje pristupa na cijelu mrežu ili ograničiti pristup na dijeljene resurse VPN poslužitelja VPN klijenti VPN klijenti su individualni korisnici kojima VPN servis osigurava pristup na RAS poslužitelj ili usmjernik prema usmjerniku (router-to-router) VPN veze. VPN klijenti koji rade pod: WS2003, Windows XP, Windows 2000, Windows NT sa Ras ili RRAS servisom, Windows ME, Windows 98, Windows 95, Mac OS mogu ostvarivati udaljeni pristup koristeći VPN veze do VPN poslužitelja. Poslužitelji zasnovani na WS2003, Windows 2000 server, Windows NT sa RRAS servisom mogu ostvarivati router-to-router VPN veze. VPN klijent može biti bilo koji PPTP ili L2TP klijent koji koristi Internet Protocol Security (IPSec). LAN i protokoli za udaljeni pristup Aplikacije koriste LAN protokole za prijenos informacija. RAS protokoli se koriste za uspostavljenje veze i enkapsuliranje informacija LAN protokola na razini okvira. Te informacije se dalje šalju WAN linkovima. RRAS podržava mrežne protokole kao TCP/IP i AppleTalk koji omogućuju pristup Internetu, te UNIX, Mac OS i Novell NetWare resursima. RRAS podržava Protokole za udaljeni pristup kao primjerice PPP. Protokoli tuneliranja VPN klijenti koriste protokole tuneliranja za ostvarivanje sigurnih veza prema VPN poslužitelju koristeći PPTP ili L2TP protokole. WAN opcije- VPN poslužitelji su spojeni na javnu mrežu- Internet stalnim WAN vezama kao npr. T1, DSL ili Frame Relay. VPN klijenti su spojeni na Internet koristeći stalne veze ili dial-up veze kao npr. Analogne telefonske veze ili ISDN veze. Sigurnosne opcije-ws2003 osigurava sigurnost pri logiranju i pristupu domeni, osigurava enkripciju podataka, pametne kartice, filtriranje IP paketa i identifikaciju pozivatelja (caller ID). Slijedeća slika prikazuje VPN komponente i moguće konfiguracije koje od slučaja do slučaja mogu varirati.

40 VPN klijenti VPN klijenti koji se spajaju na Routing and Remote Access mogu biti računala pod Windows Server 2003, Windows XP, Windows 2000, Windows NT 4.0, Windows 95, Windows 98, il Windows Millennium Edition. Klijenti moraju biti u stanju slati TCP/IP pakete prema RAS poslužitelju preko jevne mreže tj. Interneta. Samim time, potreban je mrežni adapter, modem sa analognom telefonskom linijom ili neki drugi vid WAN veze na javnu mrežu. Protokoli tuneliranja za Microsoft VPN klijente Podrška za protokole tuneliranja u Microsoftovim VPN klijentima prikazana je u slijedećoj tablici: VPN klijent Podržani protokoli tuneliranja Windows Server 2003, Windows 2000, PPTP Windows XP L2TP Windows NT v4.0 PPTP L2TP Windows Millennium Edition PPTP L2TP Windows 98 Windows 95 sa Windows Dial-Up PPTP L2TP Networking 1.3 Performance & Security dogradnjom za Windows 95 Windows Millennium Edition, Windows 98, Windows NT 4.0 Workstation, i Windows 95 sa instaliranim Microsoft L2TP/IPSec VPN Client L2TP Nepodržani protokoli tuneliranja

41 Autentifikacija za Microsoft VPN klijente Podrška za autentifikacijske protokole kod Windows baziranih VPN klijenata prikazana je u slijedećoj tablici: VPN klijent Windows Server 2003, Windows XP, Windows 2000 Windows NT v4.0 Windows 98 Windows 95 Podržani RAS autentifikacijski protokoli MS-CHAP, CHAP, SPAP, PAP, MS-CHAP v2, EAP MS-CHAP, CHAP, SPAP, PAP, MS-CHAP v2 (sa Windows NT 4.0 Service Pack 4 i kasniji) MS-CHAP, CHAP, SPAP, PAP, MS-CHAP v2 (sa Windows 98 Service Pack 1 i kasniji) MS-CHAP, CHAP, SPAP, PAP, MS-CHAP v2 (sa Dial-Up Networking 1.4 nadogradnjom) Nepodržani autentifikacijski protokoli EAP EAP RAS Ostali VPN klijenti Ostali VPN klijenti koji koriste PPTP ili L2TP sa IPSec protokolom mogu pristupati poslužitelju na kojemu se izvodi RRAS servis. Ipak, ukoliko se želi ostvariti sigurna VPN veza potrebno je osigurati da klijenti podržavaju odgovarajući način enkripcije. Za PPTP, Microsoft Point-to-Point Encription (MPPE) mora biti podržan, a za L2TP, IPSec. VPN poslužitelji Da bi se konfigurirao VPN poslužitelj koristi se RRAS konzola. Ujedno se koristi za upravljanje kreiranim poslužiteljem, nadziranje spojenih korisnika i nadziranje prometa. Kako bi stalno bio dostupan, VPN poslužitelj obično ima stalnu vezu na Internet. Nestalna, prospojena veze je moguća ukoliko ISP podržava vezu na zahtjev (demand-dial). U tom slučaju veza se uspostavlja kada se generira promet koji treba otići prema poslužitelju. Ovakav tip konfiguracije nije uobičajen. Ukoliko VPN poslužitelj osigurava pristup na likalnu mrežu potrebno je instalirati i omogućiti zasebni mrežni adapter prema mreži na koju poslužitelj osigurava pristup. Na WS2003 moguće je kreirati do 1000 PPTP potova i 1000 L2TP portova. Ukoliko je priključen maksimalan broj klijenata daljnji zahtjevi za vezom se odbijaju dok se neki od portova ne oslobodi. VPN poslužitelj se konfigurira koristeći čarobnjak RRAS servisa, a nakon završetka rada čarobnjaka moguća je naknadna konfiguracija. Postavljanje VPN poslužitelja za udaljeni pristup. Da bi se problemi spriječili na vrijeme, potrebno se je osvrnuti na neke smjernice prilikom dizajniranja i implementiranja VPN poslužitelja Odabir između PPTP ili L2TP/IPSec baziranih veza WS2003 VPN poslužitelj, kao što se vidjelo iz tablice, podržava oba ova protokola PPTP i L2TP. Kada se odabire izmežu VPN solucija zasnovanih na ovim protokolima potrebno je u obzir uzeti slijedeće: PPTP se može koristiti sa većim broje Microsoftovih klijenata što se vidi iz gornje tablice. PPTP ne zahtjeva public key infrastructure (PKI) za osiguravanje certifikata. Prilikom korištenja enkripcije PPTP bazirane VPN veze osiguravaju povjerljivost podataka(data confidentiality), tj. pakete koje je presreo napadač na javnoj mreži ne može je interpretirati bez poznavanja enkripcijskog ključa. Ipak, PPTP bazirane VPN veze ne osiguravaju integritet podataka(data integrity), tj. dokaz da podaci nisu

42 izmijenjeni prilikom transporta, niti autentifikaciju porijekla podataka (data origin autentication), tj. dokaz da je podatke poslao autorizirani korisnik L2TP može biti korišten na klijentima koji rade pod Windows 2000 ili Windows XP operativnim sustavima. L2TP podržava certifikate i preshared ključeve (preshared keys) kao autentifikacijsku metodu IPSec protokola. Computer certificate autentcation, preporučena metoda autentifikacije, zahtjeva da PKI osigura certifikate za računalo koje je VPN poslužitelj, kao i za računalo koje je VPN klijent. Koristeći IPSec, L2TP/IPSec bazirane VPN veze osiguravaju povjerljivost podataka, integritet podataka i autentifikaciju porijekla podataka Instaliranje certifikata Kada se kreira L2TP/IPSec VPN za udaljeni pristup koristeći IPSec autentifikaciju certifikatima, potrebno je instalirati računalne certifikate poznate kao strojne certifikate (machine certificates) na VPN klijentskoj i poslužiteljskoj strani Konfiguracija vatrozida zasnovanog na filtriranju paketa Ukoliko mreža na kojoj se postavlja VPN poslužitelj za udaljeni pristup ima vatrozid, potrebno je konfigurirati filtre paketa kako bi dozvoljavali promet između VPN klijenata na Internetu i VPN poslužitelja na lokalnoj mreži. Kreiranje pristupne politike za VPN udaljene korisnike Korištenjem opcija vezanih za pristupnu politiku moguće je kreirati specifičan niz pristupnih pravila koji zahtijevaju posebne autentifikacijske metode i enkripcijske nivoe. Moguće je kreirati korisničku grupu u Aktivnom Imeniku nazvanu VPN korisnici, čiji članovi su korisnički računi korisnika koji VPN vezom pristupaju poslužitelju za udaljeni pristup. Korištenje IAS poslužitelja Ukoliko na mreži postoji nekoliko VPN poslužitelja, potrebno je na svakom od njih postaviti pristupne politike. Da bi se iskoristile prednosti centralizirane pristupne politike, moguća je konfiguracija VPN poslužitelja kao RADIUS klijenata. Ovi klijenti su povezani na RADIUS poslužitelj na kojem se izvodi IAS servis. Na ovaj način svi udaljeni klijenti bivaju autentificirani prosljeđivanjem upita sa više VPN poslužitelja na jedan RADIUS poslužitelj. Korištenje Connection Managera Za multipliciranje VPN poslužitelja na mreži moguće je korištenje Connection manager administrativnog kita. On osigurava prekonfigurirane VPN veze na svim klijentima za udaljeni pristup u cijeloj korporativnoj mreži. VPN sigurnost pri udaljenom pristupu Sigurnost pri VPN načinu udaljenog pristupa potrebno je osigurati kroz: L2TP veze Jaku autentifikaciju Enkripciju podataka PPTP ili L2TP/IPSec filtriranje Filtriranje paketa vatrozidom Višenamjenskim VPN poslužiteljima Sprječavanjem prometa usmjeravanog prema udaljenim klijenatima RAS Politiku (filtriranje paketa) L2TP veze L2TP/IPSec veze mogu koristiti slijedeće metode IPSec autenifikacije Računalni certifikati (a computer certificate) su preporučena metoda autentifikacije obzirom da pružaju visoku razinu autentifikacije i vrlo su teški za probijanje od strane napadača. Računalni certifikat zahtjeva PKI infrastrukturu implementiranu na klijentskoj i poslužiteljskoj strani Preshared ključ (a preshared key) je tekstualni string koji je konfiguriran na strani VPN klijenta i na strani VPN poslužitelja. Ovo je relarivno slaba autentifikacijska

43 metoda, stoga je njena upotreba preporučljiva samo u slučajevima kada se postavlja PKI infrastruktura (privremeno) ili kad je preshared ključ zahtjevan sa strane već postojećeg VPN poslužitelja na kojeg se priključuju VPN klijenti Jaka autentifikaciju Za autentifikaciju korisnika potrebno je koristiti najjaču moguću autentifikacijsku shemu za RAS VPN konfiguraciju. Najjača autentifikacijska shema obuhvaća korištenje EAP-TLS sa certifikatima. Enkripcija podataka Za enkripciju podataka koristi se link enkripcija veze (link encription) ili enkripciju s kraja na kraj (end-to-end encription) Enkripcija veze kriptira podatke samo na vezi između VPN klijenta i VPN poslužitelja. Za PPTP veze potrebno je koristiti Microsoft Point-To-Point Encryption (MPPE) sa MS-CHAP, MS-CHAPv2, ili EAP-TLS autentifikacijom. Za L2TP/IPSec veze, IPSec osigurava enkripciju na linku između VPN klijenta i VPN poslužitelja. Enkripcija s kraja na kraj kriptira podatke između izvorišnog računala (udaljenog klijenta) i krajnjeg odredišta (računala na lokalnoj mreži iza VPN poslužitelja). Nakon uspostave VPN veze, moguće je korištenje IPSec protokola za kriptiranje podataka od udaljenog računala do odredišta. Da bi se zahtijevala enkripcija, potrebno je dabrati traženu vrstu enkripcije u izborniku Encription RAS profila koji koriste udaljeni klijenti. Postavke enkripcije na VPN klijentskim računalima konfiguriraju se podešavajući osobine mrežne veze (network connection properties) PPTP ili L2TP/IPSec filtriranje Kako bi se osiguralo da VPN poslužitelj ne šalje i ne prima nikakav promet na svome sučelju prema Internetu, osim prometa koji pripada VPN vezama, potrebno je na tome sučelju konfigurirati PPTP i L2TP/IPSec ulazne i izlazne filtre. Obzirom da je IP usmjeravanje omogućeno na Internet sučelju VPN poslužitelja, ukoliko gore navedeni filtri nisu konfigurirani promet sa Interneta biva usmjeravan unutar lokalne mreže što može dovesti do primanja neželjenog i zlonamjernog prometa. Filtriranje paketa vatrozidom Uobičajena je praksa osigurati zaštitu intranet računala, primjerice, VPN poslužitelja, od pristupa sa javne mreže korištenjem vatrozida. Ukoliko na mreži postoji zaseban vatrozid, potrebno je konfigurirati njegov filtar paketa na način da propušta VPN promet od VPN klijenata prema poslužitelju i obrnuto. Višenamjenski VPN poslužitelji Obzirom na način kojim se usmjerivačke staze kreiraju na VPN udaljenim klijentima, moguće je da VPN klijent pošalje nekriptiran promet prema VPN poslužitelju unjesto da ga pošalje kroz kriptirani tunel VPN veze. Kada udaljeni VPN klijent uspostavi VPN vezu sa poslužiteljem, on kreira seriju staza ili putanja u svojoj IP usmjerivačkoj tablici: Podrazumijevanu stazu (default route) koja koristi VPN vezu novostvorena podrazumijevana staza za VPN vezu zamjenjuje postojeću podrazumijevanu stazu dok traje VPN veza. Nakon što je veza uspostavljena, sav promet koji se ne podudara sa adresama lokalne mreže ni sa javnom adresom VPN poslužitelja, šalje se u enriptiranom obliku preko VPN veze-tunela. Host stazu (host route) prema VPN poslužitelju koja koristi LAN vezu Host staza prema adresi VPN poslužitelja se kreira tako da VPN poslužitelj bude dostupan preko lokalne mreže. Ukoliko host staza nije prisutna, VPN promet prema VPN poslužitelju ne može biti poslan. Rezultat postojanja Host staze za VPN poslužitelj je taj da sav promet koji se šalje aplikacijama koje se izvode na VPN poslužitelju ne ide preko VPN veze, nego u nekriptiranoj

44 formi preko mreže između VPN klijenta i poslužitelja. Ukoliko su na VPN poslužitelju podešeni paket filtri na način da dozvoljavaju samo VPN promet, sav ostali promet koji ide prema VPN poslužitelju biti će odbačen. Odgovor na koji način VPN klijent zna koju adresu VPN poslužitelja treba koristiti da bi pristupio servisima koji se izvode na VPN poslužitelju leži u korištenju imena računala na mreži. Uobičajeno je da se korisnici i aplikacije koriste resursima mreže navodeći imena računala u upitima umjesto IP adresa. Na ime se referencira korištenjem DNS ili WINS poslužitelja. Kada se u procesu VPN veze koristi ime VPN poslužitelja, promet prema resursima VPN poslužitelja uvijek ide VPN kriptiranom vezom. Sprječavanje prometa usmjeravanog prema udaljenim klijenatima Kada udaljeni klijent uspješno ostvari VPN vezu, on kreira podrazumijevanu stazu, tako da sav promet koji odgovara toj stazi biva poslan preko VPN veze. Ukoliko druga računala prosljeđuju promet na VPN klijenta, smatrajući ga usmjerivačem, sav taj promet biva proslijeđen VPN vezom. Ovo je sigurnosni problem obzirom da ostala računala i ne moraju biti autorizirana za ostvarivanje VPN veze. Kako bi se spriječilo da VPN poslužitelj šalje neautentificirani promet preko VPN veze potrebno je konfigurirati IP paket filtre koji će omogućiti poslužitelju da odbaci sav promet preko VPN veze osim onoga koji se šalje ili potiče sa udaljenog klijenta RAS Politika (filtriranje paketa) Da bi se definirao specifični tip IP prometa dopušten za RAS VPN veze potrebno je konfigurirati IP paket filtre prema određenim profilima udaljenih korisnika. Sa ovim paket filtrima moguće je kofigurirati koji je promet dopušten od VPN klijenta prema poslužitelju (From client filters) i obrnuto (To client filers). RAS Politika se primjenjuje na sve udaljene klijente koji se podudaraju sa tako kreiranim profilom RAS politike. Postavljanje VPN udaljenog pristupa PPTP i L2TP/IPSec bazirani VPN udaljeni pristup Poslužitelj na kojemu se izvodi RRAS servis može se koristiti za osiguravanje VPN pristupa korporativnoj mreži za udaljene VPN klijente. Ukoliko se želi da VPN poslužitelj podržava višestruke PPTP i L2TP/IPSec bazirane veze potrebno je obaviti slijedeće radnje: Konfigurirati vezu na Internet Konfigurirati vezu na intranet Konfigurirati RAS poslužitelj kao korporativni intranet usmjerivač Konfigurirati VPN poslužitelj Instalirati certifikate (samo kod L2TP/IPSec veze) Konfigurirati vatrozidne paket filtre Konfigurirati RAS politiku Na slijedećoj slici su vidljivi elementi RAS poslužitelja koji osigurava PPTP ili L2TP/Ipsec bazirani udaljeni pristup korporativnom intranetu.

45 Konfiguracija veze na Internet Veza na Internet sa poslužitelja pod operativnim sustavom Windows server 2003 ostvaruje se kroz WAN adapter instaliran na poslužitelju. Tip veze obično je T1, Frame Relay, DSL ili neki drugi vid stalne veze. Potrebno je kontaktirati lokalnu telekomunikacijsku kompaniju, te s njom dogovoriti oblik veze i prepustiti joj fizičko kabliranje do lokalnog intraneta. Također je potrebno provjeriti kompatibilnost veze i opreme koja će se koristiti sa operativnim sustavom WS2003. Uz WAN adapter dobijaju se upravljački programi koji kad se instaliraju na poslužitelj predstavljaju WAN adapter kao bilo koji drugi mrežni adapter te dozvoljavaju konfiguraciju. Na WAN adapteru potrebno je konfigurirati slijedeće TCP/IP postavke: IP adresu i masku podmreže dodijeljenu od strane ISP-a Podrazumijevani poveznik (default gateway) usmjerivača ISP-a Obzirom da je navedeno kako se VPN klijenti referenciraju na VPN poslužitelj po imenu, češće nego po IP adresi, potrebno je zatražiti DNS registraciju inema VPN poslužitelja od strane ISP-a Konfiguracija veze na intranet Veza na intranet sa poslužitelja pod WS2003 OS-om se ostvaruje preko LAN adaptera koji je instaliran na poslužitelju. Ovdje je također potrebno provjeriti kompatibilnost sklopovlja sa operativnim sustavom. Na LAN adapteru potrebno je podesiti slijedeće postavke: IP adresu i masku podmreže dodijeljenu od strane mrežnog administratora DNS i WINS korporativne poslužitelje imena Konfiguracija RAS poslužitelja kao korporativnog intranet usmjerivača Kako bi RAS poslužitelj ispravno prosljeđivao promet na korporativni intranet, potrebno ga je konfigurirati kao usmjerivač, bilo korištenjem statičkih staza ili usmjerivačkih protokola. Na ovaj način sve lokacije intraneta postaju dostupne sa VPN poslužitelja za udaljeni pristup. Konfiguracija VPN poslužitelja VPN poslužitelj se konfigurira korištenjem RRAS čarobnjaka. Nakon što čarobnjak završi sa radom moguća je naknadna ručna konfiguracija. Slijedeće postavke se konfiguriraju korištenjem čarobnjaka: Osnovni vatrozid na vanjskom sučelju Način na koji VPN poslužitelj dodjeljuje adrese udaljenim klijentima. Dodtupno je automatsko dodjeljivanje korištenjem DHCP servisa ili dodjeljivanje iz unaprijed specificiranog raspona adresa. Prosljeđivanje autorizacijskih i autentifikacijskih poruka prema RADIUS poslužitelju. Ovdje VPN poslužitelj djeluje kao RADIUS klijent. Kada je čarobnjak pokrenut slijedeće RRAS postavke se automatski konfiguriraju: Mrežna sučelja PPTP i L2TP portovi (5 ili 128, broj ovisi o odabranim postavkama u čarobnjaku) Multicast podrška za IGMP protokol Instalacija DHCP Relay Agent komponente Instalacija certifikata (samo kod L2TP/IPSec veze) Da bi se ostvario L2TP/IPSec baziran udaljeni pristup korištenjem autentifikacije certifikatima, potrebno je instalirati računalne certifikate na VPN klijentima i VPN poslužiteljskim računalima. Konfiguracija vatrozidnih paket filtara Ukoliko se na mreži koristi vatrozid zasnovan na filtriranju paketa potrebno ga je konfigurirati na način da propušta promet između PPTP ili L2TP baziranih VPN klijenata i poslužitelja.

46 Konfiguracija RAS politike Ukoliko se odobrava pristup udaljenim klijentima u access-by-user administrativnom modelu potrebno je odabrati Allow access za korisnike kojima će ostvarivati VPN veze. Ukoliko se odobrava pristup udaljenim klijentima na osnovu access-by-policy administrativnog modela treba napraviti potrebne promjene u dozvolama za udaljeni pristup na korisničkim računima. Ukoliko je potrebno razlikovati diap-up udaljene korisnike od VPN udaljenih korisnika, potrebno je napraviti slijedeće: Kreirati grupu u Aktivnom Imeniku čiji članovi mogu ostvarivati udaljene VPN veze prema VPN poslužiteljima, npr. VPN_Korisnici. Dodati odgovarajuće korisničke račune u novostvorenu grupu u Aktivnom Imeniku Kreirati novi RAS politiku sa slijedećim svojstvima: o Postaviti Policy name u VPN Access if member of VPN_Korisnici (primjer) o Za uvjete, postaviti Windows-Groups uvjet u VPN_Korisnici, postaviti NAS- Port-Type uvjet u Virtual(VPN), i postaviti Tunnell-Type uvjet u L2TP ili PPTP (u ovisnosti koji se koristi). o Odabrati Grant remote access permission opciju o Pomaknuti podrazumijevanu RAS politiku iza novokreirane politike Podrazumijevana enkripcijska postavka kod PPTP bazirane veze je da enkripcija nije zahtijevana. Da bi se zahtijevala enkripcija potrebno je očistiti check-box No Encryption, te odabrati odgovarajući nivo zaštite. Dostupne opcije su: Basic - Ovu opciju je potrebno koristiti prilikom komunikacije sa starijim Microsoftovim dial-up klijentima koji koriste nižu razinu enkripcije. Ova opcija koristi MPPE i 40-bitni enkripcijski ključ Strong - Ova opcija se koristi prilikom komunikacije sa Windows Server 2003, Windows 2000, Windows Millennium Edition, i Windows 98 klijentima koji koriste srednju razinu enkripcije. Ova opcija koristi MPPE i 56-bitni enkripcijski ključ. Strongest Ova se opcija koristi prilikom komunikacije sa klijentima koji koriste najviši nivo enkripcije. Ova opcija koristi MPPE i 128-bitni enkripcijski ključ. Podrazumijevana enkripcijska postavka kod L2TP bazirane veze je također ta da enkripcija nije zahtijevana. Da bi se zahtijevala enkripcija potrebno je očistiti check-box No Encryption, te odabrati odgovarajući nivo zaštite. Dostupne opcije su: Basic - Ova opcija koristi 56-bitni Data Encryption Standard (DES) Strong - Ova opcija također koristi 56-bitni Data Encryption Standard (DES) Strongest Ova opcija koristi 168 bitnu triple DES (3DES) enkripcijsku zaštitu. Sigurnost pri udaljenom pristupu Analize sigurnosti mreže na Internetu su ukazale da su Virtualne privatne mreže danas najsigurnija tehnologija za prijenos svih vrsta podataka preko otvorene javne globalne mreže kao što je Internet. One emuliraju vezu od točke do točke tuneliranje podataka, sa enkapsulacijom i enkripcijom pomoću sigurnosnih protokola, čime ostvaruju privatnost, integritet i raspoloživost, što su osnovni elementi sigurnosti svake mreže. Ipak i ove mreže pokazuju ranjivost na neke standardne napade Internet okružja i generalno tretiranje ovih mreža sigurnima ne opstaje u današnjim uvjetima. WS2003 koristi više vrsta autentifikacijskih protokola: Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) Koristi se za autentificiranje udaljenih Windows baziranih klijentskih računala. MS-CHAP radi sa PPP, PPTP i L2TP mrežnim vezama. On koristi Challenge/Response (izazov/odgovor) mehanizam da bi spriječio slane lozinke tijekom procesa autentifikacije. MS-CHAP koristi Message Digest 4 (MD4) hashing algoritam i Data

47 Encryption Standard (DES) da bi generirao izazov i odgovor, te osigurava mehanizme za prijavljivanje greške na vezi i promjene korisničke lozinke Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2) Druga verzija MS-CHAP protokola donosi neka poboljšanja u odnosu na prethodnika. Poboljšanja se ogledaju u podršci za dvosmjernu autentifikaciju te u nekolicini promjena pri analizi kriptografskih ključeva. Što se autentifikacije tiče, MS-CHAP v2 je najsigurniji softversko orijentirani protokol. Radi sa PPP, PPTP i L2TP mrežnim vezama. Extensible Autentication Protocol (EAP) EAP je proširenje PPP protokola, koje podržava autentifikacijske metode koje nadmašuju obično prenošenje korisničkog imena i lozinke. EAP je razvijen kao odgovor na rastući zahtjev za metodama autentifikacije koje koriste druge vrste sigurnosnih mehanizama kao token kartice, pametne kartice, digitalne certifikate i slično. Challenge Handshake Autentication Protocol (CHAP) CHAP je široko prihvaćena autentifikacijska metoda, a radi na istom principu kao MS-CHAP. Ključna razlika je u tome što CHAP podržava udaljene klijente koji samo Microsoft bazirani. CHAP dozvoljava autentifikaciju bez da korisnik stvarno pošalje svoju lozinku mrežom, a pošto je industrijski standard, omogućuje operativnom sustavu Windows Server 2003 da se ponaša kao klijent bilo kojem PPP baziranom poslužitelju. Shiva Password Authentication Protocol (SPAP) SPAP je podržan iz jednostavnog razloga da bi se omogućilo Shiva baziranim udaljenim klijentima spajanje na Windows Server 2003 RAS poslužitelje i obrnuto. SPAP koristi koncept jednostavne kriptirane lozinke u kojem udaljeni klijent šalje kriptiranu lozinku RAS poslužitelju. Korištenjem algoritma dvosmjerne enkripcije, RAS poslužitelj dekriptira lozinku i koristi je u formatu običnog teksta da bi autentificirao udaljenog klijenta. Password Authentication Protocol (PAP) Koristi se samo ako je neophodno. PAP je jednostavan autentifikacijski protokol u kojem se korisničko ime i lozinka šalju RAS poslužitelju u nekriptiranom obliku, kao obični tekst, što omogućuje svakome tko prisluškuje mrežni promet krađu istih. PAP se obično koristi za ostvarivanje veze sa starijim Unix baziranim RAS poslužiteljima, koji ne podržđavaju nikakve dodatne autentifikacijske protokole. Neautentificirani pristup Korisnicima se dopušta logiranje bez provjere. Korištenje ispravnog autentifikacijskog protokola je važan dio planiranja strategije udaljenog pristupa mreži. Potrebno je naglasiti da jednom autentificirani korisnici imaju pristup resursima na mreži, a poznato je da to predstavlja opasnost ako je u pitanju zlonamjerni korisnik. U većini slučajeva, kao autentifikacijski protokol se odabire MS-CHAP v2. 5.Alati za provjeru TCP/IP usmjeravanja Sistem administratori, koji rade sa usmjeravanjem i udaljenim pristupom, često se nađu u poziciji da moraju ispitati stanje TCP/IP veze. Kada se ispituje TCP/IP potrebno je pregledati, testirati i konfigurirati TCP/IP postavke na sustavu. Iz tog razloga sa Windows Server 2003 dolazi cijeli niz alata za ove svrhe. U slijedećoj tablici vidimo popis često korištenih alata sa kratkim opisom. Naredba Opis arp Prikazuje Address Resolution Protocol (ARP) tablicu lokalnog sustava hostname Prikazuje ime lokalnog računala ipconfig Prikazuje TCP/IP konfiguraciju lokalnog sustava nbtstat Osigurava informacije o NetBIOS-u preko TCP/IP veza netstat Osigurava statističke informacije i status veze TCP/IP protokola pathping Alat za praćenje putanje paketa, kombinira osobine ping i tracert naredbi, ali

48 ping route tracert netsh prikazuje dodatne statističke informacije koje nijedna od spomenutih ne prikazuje Koristi se za testiranje veze između dvaju uređaja na mreži Prikazuje lokalnu usmjerivačku tablicu suatava, te omogućava modificiranje iste u smislu dodavanja i brisanja staza iz tablice Prati i prikazuje cijelu stazu između dvaju sustava Dopušta konfiguriranje mrežne konfiguracije računala, lokalno i udaljeno ping Od svih alata koji su prikazani u tablici, ping je možda najkorisniji alat, a u svakom slučaju najčešće korišten. Ping omogućuje testiranje veze između dvaju uređaja na mreži. Kada se naredba upotrijebi, generiraju se posebni paketi, koji se nazivaju «echo» paketi, te se šalju udaljenom računalu. Ukoliko udaljeno računalo može odgovoriti, ono vraća odgovor na svaki ovaj paket. Ping alat, na izvorišnom računalu, prima odgovor te prikazuje vrijeme u milisekundama koje je bilo potrebno za kružni put paketa (round trip). Ping naredba nije uvijek uspješna, te se u tim slučajevima koristi da bi se izoliralo neispravno računalo. Potrebno je naglasiti da Ping alat ne pokazuje što je problem, ali pomaže otkriti gdje se problem nalazi. Kada se ova naredba koristi za lociranje problema na mreži potrebno je provesti slijedeće radnje: Ping-ati adresu lokalne povratne petlje (local loopback). Local loopback je specijalna funkcija ugrađena u TCP/IP protokol koja omogućuje da bude testiran. Prilikom testa, koristi se bilo koja adresa u rasponu od , iako je najčešće korištena. Ukoliko je ping lokalne povratne petlje uspješan, to ukazuje da je TCP/IP protokol prisutan na sustavu i ispravno konfiguriran. U ovom slučaju ne testira se fizička veza sustava na mrežu, jer je loopback softverska funkcija. Ping-ati IP adresu računala kojega se testira Ping-ati IP adresu podrazumijevanog poveznika (default gateway). Kao šro testiranje povratne petlje ukazuje da je TCP/IP ispravan, ovaj test provjerava ispravnost fizičke veze Zadnji korak je ping-ati računalo na udaljenoj mreži. Na slijedećoj slici vidimo prikaz uspješne ping naredbe. tracert Kada je nemoguće pristupiti udaljenom računalu, alat koji može pomoći u lokaciji problema je Tracert naredba. Funkcija ove naredbe je u praćenju puta do odredišne IP adrese i bilježi rezultate. Povratna informacija ove naredbe je prikaz uspješnosti IP usmjerivača korištenih prilikom dostave paketa, te vrijeme koliko je proces trajao. Što se tiče rješavanja problema ovom naredbom, ona će kao svoj rezultat prikazati zadnji usmjerivač koji je uspješno proslijedio pakete. Ta informacija govori gdje je problem na mreži. U slijedećoj tablici prikazane su neke od opcija ove naredbe.

49 Opcija Opis -h Određuje maksimalan broj skokova (hops) korištenih od strane tracert paketa za dosezanje odredišta -w Specificira time-out interval za tracert pakete. Podrazumijevani interval je 4000 ms -4 Identificira trag kao Ipv4 trag -6 Identificira trag kao Ipv6 trag -d Tracert ne pokušava otkriti imena usmjerivača na putu do odredišta Na slijedećoj slici vidimo izlaz tracert naredbe pathping Pathping alat donosi sredinu između alata ping i tracert. Kao tracert, pathping se koristi se koristi za praćenje puta IP paketa prema odredištu, ali za razliku od tracert pathping šalje pakete svakom usmjerivaču pojedinačno, unutar određenog vremenskog perioda, te zatim izračunava rezultat na osnovu vremena vraćenih paketa. Pathping omogućava pronalaženje točne lokacije problema i prikaz gubitka paketa u postocima na svakom usmjerivaču. Kao i ostale naredme, patping ima mnoštvo opcija sa kojima se koristi. Ovdje ćemo prikazati samo neke. Opcija Opis -h Identificira maksimalni broj skokova prilikom potrage za odredištem -p Specificira vrijeme čekanja između pojedinih ping-ova -n Informira patthping da nije potrebno otkrivati imena pridružena IP adresama -w Specificira vrijeme čekanja na svaki odgovor (mjereno u milisekundama) Na slijedećoj slici vidimo pathping prikaz. route Naredba route je često korišten alat, dizajniran za prikazivanje i modificiranje unosa u lokalnoj usmjerivačkoj tablici. Kako je prikazano na slijedećoj slici korištenje naredbe route print će prikazati usmjerivačku tablicu lokalnog sustava.

50 Kao što pruža pasivan pogled na usmjerivačku tablicu, route naredbu je moguće koristiti za rješavanje problema u smislu dodavanja, modificiranja ili brisanja staza iz lokalne usmjerivačke tablice. Neke od opcija naredbe route prikazane su u slijedećoj tablici. Opcija Opis add Dodaje stazu u lokalnu usmjerivačku tablicu. Dodane staze su privremene ukoliko se ne upotrijebu p opcija koja ih čini trajnima. change Modificira postojeću stazu u lokalnoj usmjerivačkoj tablici delete Briše jednu ili više staza u tablici print Prikazuje trenutnu usmjerivačku tablicu sustava