UNIVERZITET U SARAJEVUELEKTROTEHNIKI FAKULTET U SARAJEVU

Adnan Hadiahmetovi

Faruk Zaimovi

Zerina Muminovi

Indira Hatibovi

PROJEKTNI ZADATAK

Raunarske mree

Sarajevo, juni 2014.

Sadraj Uvod......................................................................................................................................1

1. Mrena topologija...............................................................................................................2

2. Praktina realizacija...........................................................................................................4

Konfiguracije krajnjih korisnika.......................................................................................4

Konfiguracija wireless komunikacije u ICT sektoru.........................................................5

Konfiguracija CISCO switcha...........................................................................................8

Konfiguracija CISCO routera............................................................................................9

Konfiguracija NETGEAR routera...................................................................................10

Kreiranje servisa..............................................................................................................11

Kreiranje access listi za unutarnji saobraaj organizacije...............................................12

Kreiranje access listi za saobraaj izvana........................................................................13

Uvod

Mrenu topologiju, predstavljenu u prvom dijelu ispitnog projektnog zadatka, nije bilo mogue realizirati iz tehnikih razloga. Naime, sva potrebna oprema za realizaciju, naalost nije bila dostupna. Preciznije, jedan od navedenih Cisco router-a, nije bio na rapolaganju,a nije bio neki drugi, kojim bismo isti zamjenili. Stoga smo pristupili, modeliranju i relizaciji, daleko efikasnije i optimalnije mree, sa mnogo manje ureaja. Na ovaj nain smo rijeili postojei problem, ali na neki nain izbjegli i neke dodatne probleme, ukoliko bi neki od preostalih Cisco rutera ostao van funkcije. etiri Cisco router-a, predviena prvobitnom topologijom, zamjenili smo VLAN-ovim, to se u naem sluaju pokazalo, gotovo idealnim rijeenjem.. Nova mrena topologija, e biti detaljnije objanjena u nastavku.

1

1. Mrena topologija

S obzirom na zadate postavke, dva sektora organizacije, razvoj softvera, te testiranje softvera smjetena na jednoj lokaciji, zajedno sa odjelom za ICT podrku, a druga dva sektora, marketing i raunovodstvo, na drugoj lokaciji, pri emu izmeu ICT i ostalih dijelova organizacije nema fizikog kabliranja, dok unutar samo ICT odjela postoji fiziko kabliranje, mreni dijagram je zasnovan na sljedeem:

Slika 1.1 Mreni dijagram

U jednoj zgradi su smjeteni sektor za razvoj, testiranje softvera, te sektor za ICT

podrku, dok je u drugoj zgradi smjeten odjel za finansije, sa svojim sektorima za

raunovodstvo i marketing.

Prema novoj mrenoj topologiji, koristimo 5 VLAN-ova, po jedan za svaki sektor.

Za realizaciju VLAN-ova, koriten je jedan router i jedan switch.

Obzirom da je prema postavci do ICT odjela nemogue provui mrene kablove,

koristi se wireless za povezivanje centralnog rutera sa ovim odjelom. Za realizaciju

koristimo dva wireless routera, marke TP-Link.

Centralni router (cisco router) povezan je sa Netgear-om, i predstavlja svojevrsnu

DMZ zonu. Na Netgear-u, se postavljaju restrikcije za vansku mreu.

2

Restrikcije za dostupnost servisa unutar mree, postavljaju se na centralnom ruteru,

pomou access lista.

3

2. Praktina realizacija

Nakon to smo kreirali mrenu topologiju, dodijelili odgovarajue IP adrese svim mrenim

ureajima te napravili spisak potrebne opreme, neophodno je izvriti konfiguraciju samih

mrenih ureaja koji uestvuju u datoj mrenoj topologiji. Date konfiguracije e biti

prikazane kroz naredne sekcije rada.

Konfiguracije krajnjih korisnika

Da bi krajnji korisnici, lanovi sekcija kompanije (Razvoj, Testiranje, Marketing,

Raunovodstvo i ICT podrka) postali dijelom lokalne a kasnije i globalne Internet mree,

neophodno je podesiti parametre TCP/IP stacka protokola. Tanije, neophodno je podesiti

IP adresu mrene kartice raunara, njen gateway, subnet masku, te DNS servere. Ove

konfiguracije smo izvrili statiki, unosom datih parametara, a same vrijednosti parametara

za svaki od sektora je prikazan u sljedeoj tabeli.

Tabela 1 Konfiguracija krajnjih korisnika

Odjeljenje IP adresa/Subnet maska Defaultni gateway

Razvoj 192.168.1.2/24 192.168.1.1

Testiranje 192.168.2.2/24 192.168.2.1

Marketing 192.168.3.2/24 192.168.3.1

Raunovodstvo 192.168.4.2/24 192.168.4.1

ICT 192.168.5.2/24 192.168.5.1

4

Konfiguracija wireless komunikacije u ICT sektoru

Unutar odjela ICT postoji potreba za kreiranjem wireless komunikacije koja e povezivati

krajnje korisnike iz datog odjela sa ostatkom mree. Taj dio mrene topologije smo

realizovali pomou dva TP linka. Jedan od TP linkova smo postavili u radni mod Access

Pointa a drugi u Client Bridge mod. Kao efekat emo dobiti to da e krajnji korisnik iz ICT

odjela imati osjeaj kao da je direktno fiziki povezan sa ostatkom mree mada ne postoji

iana veza do ostatka mree. Na naredne tri slike je predstavljena konfiguracija TP linka u

Client Bridge modu. Sa prve slike se vidi da je neophodno podesiti nain rada Client

Bridge te da je potrebno postaviti adresu defaultnog gatewaya ureaja kao i SSID

identifikator koji e biti jednak za oba TP linka. Na drugoj slici se vidi da smo podesili IP

adresu interfejsa TP linka a na treoj slici je vidljivo kako iskljuujemo opciju Firewalla za

ureajima. Client Bridge TP linku je gateway adresa AP TP linka dok je gateway samog

AP TP linka adresa 192.168.5.1 koja predstavlja adresu koja se nalazi na interfejsu CISCO

routera i preko koje se onda uspostavlja komunikacija sa ostatkom mree.

Slika 2.1 Konfiguracija moda TP linka

5

Slika 2.2 Konfiguracija interfejsa TP linka

Slika 2.3 Konfiguracija firewalla TP linka

6

Konfiguracija TP linka u AP modu e biti prikazana na narednim slikama. Ovom routeru

e geteway biti taka 192.168.5.1 koja predstavlja gateway ICT odjela i predstavlja vezu sa

ostatkom organizacije. Takoer je neophodno postaviti isti SSID kao i kod TP linka u

Client Bridge modu kako bi mogla biti ostvarena komunikacija izmeu dva TP linka.

Adresa ovog routera je 192.168.5.6 to je ujedno i gateway TP linku u Client Bridge modu

ime se ostvaruje veza dijela mree korisnika ICT-a sa ostatkom organizacije. Opisana

konfiguracija je prikazana na sljedeim slikama.

Slika 2.4 Konfiguracija moda TP linka

7

Slika 2.5 Konfiguracija interfejsa TP linka

Konfiguracija CISCO switcha

Krajnji korisnici iz svih odjela se inim putem povezuju sa CISCO switchem. Dati switch

je konfigurisan na nain da pojedini odjeli nisu meusobno vidljivi i to je uraeno

mrenom segmentacijom kreiranjem VLAN-ova. Poto je switch ureaj drugog sloja, za

oekivati je da su svi vorovi koji su direktno spojeni u switch dijelom iste mree,

meutim to ne mora biti sluaj. Kreiranjem VLAN-ova se izoliraju odjeli te kao takvi

meusobno nosi direktno vidljivi bez mrenog ureaja koji radi na treem sloju.

Konfiguraciju smo kreirali na nain da smo svakom odjelu dodijeli zasebni VLAN te

kreirali jedan trunk port putem kojeg e sav saobraaj sa i ka VLAN mreama putovati. U

nastavku je prikana konfiguracija u CISCO OS-u.

vlan 500name Racunovodstvointerface fastEthernet 0/5switchport access vlan 500

no shut

8

interface fastEthernet 0/6switchport mode trunkno shut

Kod 1 Kreiranje VLAN-a, pridruivanje interfejsa VLAN-u te kreiranje trunk porta

Konfiguracija CISCO routera

Komunikacija izmeu samih odjela se omoguava na mrenom nivou pomou CISCO

routera. Izlaz iz CISCO switcha smo direktno vezali na FastEthernet port CISCO routera.

Na datom interfejsu CISCO routera je neophodno napraviti sub-interfejse zbog toga to ta

taka routera treba predstavljati gateway mrea svih odjela. Iz razloga to je to jedan

fiziki interfejs, mi formiramo 5 logikih interfejsa koji e se ponaati kao 5 fiziki

interfejs u mrei. Takoer je neophodno naglasiti routeru da saobraaj dolazi iz mrea u

kojima se nalaze VLAN-ovi tako to se ukljui odreeni tip enkapsulacije koji direktno

zavisi od VLAN oznake. Na taj nain se zaokruuje dio lokalne mree kompanije i

ostvaruje eljena komunikacija izmeu odjela. Da bi ostvarili povezanost za vanjskom

Internet mreom, potrebno je na drugi FastEthernet interfejs CISCO routera povezati

NETGEAR router preko kojeg e biti omoguen izlaz u vanjsku mreu. Tom interfejsu

dodjeljujemo IP adresu koja nije iz mrea odjela kompanije, npr.:192.168.0.10. Takoer je

neophodno na CISCO routeru podii routing protokol kako bi raunari iz pojedinih

odjela mogli komunicirati sa vanjskom mreom i obratno. U naem sluaju smo koristili

OSPF routing protokol uz koji smo definisali i defaultnu rutu koja nam govori da sav

saobraaj koji nije namjenjen za mree na koje je CISCO router direktno spojen bude

proslijeen ka NETGEAR routeru koji e dalje preuzeti brigu o datom saobraaju. U

narednim isjecima koda je prikazana konfiguracija CISCO routera.

interface fastEthernet 0/0.3encap dot1Q 300ip address 192.168.3.1 255.255.255.0

Kod 2 Konfiguracija jednog od sub-interfejsa

9

interface fastEthernet 0/1ip address 192.168.0.10 255.255.255.0

Kod 3 Konfiguracija interfejsa prema NETGEAR routeru

router ospf 1network 192.168.1.0 0.0.0.255 area 0network 192.168.2.0 0.0.0.255 area 0network 192.168.3.0 0.0.0.255 area 0network 192.168.4.0 0.0.0.255 area 0network 192.168.5.0 0.0.0.255 area 0default-information originateip route 0.0.0.0 0.0.0.0 192.168.0.1

Kod 4 Podizanje OSPF routing protokola i defaultne rute

Kreiranje servisa

Poto je u postavci samog projekta definisano da korisnici odjela trebaju imati servis

unutar svojih odjela, potrebno je kreirati servise. U tu svrhu smo koristili Netcat alat koji

simulira odreeni servis. Naime pomou ovog alata je mogue oslukivati saobraaj na

odreenom portu. To je analogno kao da smo kreirali pravi servis koji egzistira na

odreenom portu. Testiranje ispravnosti samog servisa je mogue pomou raunara iz

drugog odjela koji takoer treba imati Netcat alat na svom raunaru. Ukoliko je mogua

komunikacija tog raunara sa unaprijed definisanim portom raunara na kojem je podignut

servis, tada se dobije signalizacija da je komunikacija otvorena (open). Naredbe za

kreiranje servisa i testiranje istog su prikazane u nastavku kao i slike koje prikazuju

prethodno opisani scenarij.

nc lvp brojPorta npr.nc lvp 82

Kod 5 Kreiranje servisa

10

nc v IPadresaServera brojPorta npr.nc v 192.168.0.8 82

Kod 6 Testiranje servisa

Slika 2.6 Kreiranje servera

Slika 2.7 Signalizacija da je servis kontaktiran

11

Kreiranje access listi za unutarnji saobraaj

organizacije

Nakon to smo pojasnili kako se kreira servis na raunaru i kako se vri provjera

dostupnosti servira, definisati emo sve uspostavljene servise u mrei. U sljedeoj tabeli su

prikazani odjeli i njima pripadajui servisi pri emu postoje servisi koji su vidljivi

parovima odjela.

Tabela 2 Servisi i njima pripadajui odjeli

Odjel Servisi u izvornim odjelima (broj

porta)

Dostupni servisi iz drugih odjela

Razvoj MySQL (156), SVN (3690) Report Server (1092), Document

Server (7165), Document Server

(4142), DNS (53), Web (80), E-mail

(25)

Testiranje Application Server (5160), Report

Server (1092)

SVN (3690), Document Server

(7165), Document Server (4142),

DNS (53), Web (80), E-mail (25)

Marketing FTP (47), Document Server (7165) Document Server (4142), DNS (53),

Web (80), E-mail (25)

Raunovodst

vo

Application Server (2037), Document

Server (4142)

Document Server (7165), DNS (53),

Web (80), E-mail (25)

ICT E-mail (25), Web (80), DNS (53),

FTP(20,21)

Document Server (7165), Document

Server (4142)

Dostupnost pojedinih servisa unutar organizacije se ostvaruje pomou access lista. Pomou

njih se definie pravo pristupa odreenom servisu. Access liste smo instalirali na CISCO

routeru i na taj nain smo izvrili mapirali date servise iz Tabele 2 u nau mrenu

topologiju. Kod kojim se omoguava kreiranje access listi i samo pridruivanje interfejsa

access listama je prikazan u nastavku.

12

access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 3690 access-list 101 deny tcp any any

int fa 0/0.1ip access-group 101 out

Kod 7 Kreiranje access liste i pridruivanje interfejsa access listi

Kreiranje access listi za saobraaj izvana

U specifikaciji projekta postoji i zahtjev da se korisnicima koji dolaze sa Internet mree

omoguen pristup odreenim servisima (Web stranice, DNS i E-mail). To smo uinili na

nain da smo dodali raunar u lokalnu mreu NETGEAR routera na kojem smo podigli

servise pomou Netcat alata. Pristup tim servisima smo ograniili modifikacijom postavki

na NETGEAR routeru gdje smo podesili access liste, tj. pravila sa saobraaj koji dolazi sa

Interneta. Kreirali smo pravila da se omoguen pristup samo prethodno pobrojanim

servisima a da je zabranjen pristup svim drugim servisima. Podeavanje access listi na

netgear-u, prikazano je narednim slikama:

Slika 2.8 Dozvola za DNS servis sa korisnike izvan nae mree

13

Slika 2.9 Dozvola za HTTP servis za korisnike, izvan nae mree

Slika 2.10 Dozvola za SMTP (e-mail), za korisnike izvan nae mree

14

15

Uvod1. Mrena topologija2. Praktina realizacijaKonfiguracije krajnjih korisnikaKonfiguracija wireless komunikacije u ICT sektoruKonfiguracija CISCO switchaKonfiguracija CISCO routeraKreiranje servisaKreiranje access listi za unutarnji saobraaj organizacijeKreiranje access listi za saobraaj izvana