1.

Ilustrovati hierarhijski mreni model, opisati slojeve u hierarhiji i

njihove uloge. Navesti prednosti hierarhijskog dizajna mree. Koji su
parametri (principi) hierarhijskog dizajna?
Prilikom izgradnja
lokalnih mreza koje
zadovoljavaju potrebe
malih ili srednjih
preduzeca, plan ce biti
uspesniji ukoliko se
koristi hijerarhiski
model. Kod ovog
modela dizajna, lakse
je prosiriti i upravljati
mreom a problemi se
lakse otklanjaju tj resavaju se bre.
Hijerarhijski model podrazumeva podelu mreza u diskretne slojeve. Tipican
hijararhijski model razbijen je na tri sloja: Pristup (Access), Distribucija
(Distribution), Jezgro (Core).
Access nivo (Pristupni sloj) - spaja sa krajnjim uredjajima, kao sto su
stampaci, racunari, IP telefoni. Moze ukljucivati i rutere, sviceve, bridge-eve,
habove i wireless access point-e. Osnovna svrha sloja je da obezbedi sredsta
za povezivanje uredjaja na mrezu i kostrolise koji uredjaju mogu da
komuniciraju na mrezi. Imamo na sloju: Port Security, Vlan, faE/giE, PoE, QoS.
Distribution nivo (Distributivni sloj) kontrolise protok mreznog
saobracaja pomocu odredjene politike i izdvaja broadcast doman
obavljanjem funkcije rutiranja izmedju virtualenih vlan-ova definisanih u
access sloju. Switchevi na ovom sloju obicno imaju visoke performance kao i
visoku dostupnost kao i mogucnost da osigura visoku pouzdanos. Imamo na
sloju: L3 Switch, giE/10giE, rududantne komponente, Linko agregaciju, QoS,
Hight forward rate.
Core nivo je kritican za medjusobnu vezu izmedju uredjaja na
distributivnom sloju, tako da je ovaj sloj veoma vazan i bitno je da je uvek
dostupan. Ovaj sloj se takodje moze povezati i na internet. Osnovni agregati
core sloja su podaci sa svih ureaja iz distibutivnog sloja tako da mora biti u

stanju da prosledi velike kolicine podataka. Imamo na ovom sloju: L3, Very
Hight forward rate. giE/10giE, redundansu, agregaciju linka, QoS.
Prednosti korisnjena hijerarhiskog sloja: skalabilnost (lako proirenje),
redudantnost (core, distribution), performase (agregacija linkova izmeu
core i distribution), zastita (port security na access i polices na distribution,
na access portove je moguce konfigurisati sa razlicitim opcijama, tako da je
moguce kontolisati konekciju na mrezi), upravljivost (konzistentnost u
slojevima), odrzivost (dozvoljava sirednje mreze, bez da mreza postane
kompikovana).
Parametri: diameter mreze, agregacija propusnog opsega, redudantnost.
2. Navesti ta je potrebno alalizirati prilikom projektovanja mree i
opisati razloge.
Analiza saobracaja da bismo izabrali odgovarajuci switch za sloj u
hijerarhiji mrezi, moramo da imamo specifikacije sa ciljnim saobracajnim
tokovina, data servere, i servere za skladistenje podataka. Prilikom pravljanje
mreze u nekoj kompaniji potrebno je projektovati mrezu koja moze da
zadovolji sve vece zahteve tj mreza moze na pocetku sadrzati samo nekoliko
racuanara a kasnije se mogu dodati novi racunara, stampaci, server. Ovde je
pretnja povecanje mreznog saobracaja. Prilikom biranja swiceva potrebno je
odabrati takav da zadovolji potrebe u svim slojevima i da se prilagodi
zahtevima.
Analiza korisnicke zajednice - je process identifikacije razlicitih grupacije
korisnika i njihov uticaj na performance mreze. Nacin na koji su korisnici
grupisani utice na gustinu saoubracaja koja utice na izbor swieva. Obicno se
korisnici grupisu prema njihovom poslu jer oni zahtevaju slican pristup
resursima i aplikacijama. Svako odeljenje ima razlicit broj korisnika sa
razlicitim zahtevima za pristup podacima dostupnih kroz mrezu. Kada biramo
swiceve potrebno je odabrati takav switc da ima dovoljan broj portova da
zadovolji potrebe tog odeljenja i da bude dovoljno mocan da prima zahteve
sa svih uredjaja na tom spratu tj odeljenju. Uvek treba ostaviti odredjeni broj
praznih portova koji bi bili iskorisceni prilikom nadogradnje mreze.
Analiza skladistenja podataka i server sa podacima prilikom analize
mreze treba razmisliti gde postaviti uredjaje za skladistenje podataka, tako
da se moze utvrditi uticaj na mrezu. Podaci se mogu skladititi na serverima,

SANs, NAS, ili bilo koji druge komponente koje mogu cuvati podatke. Treba
voditi racuna o klijent-server saobracaju kao i server-server saobracaju.
Protok, agregacija linkova i cena za prosledjivanje switca, su vazni faktori
prilikom eleminacije uskih grla. Kod server-server potrebno da su to blie
jedan drugom, zbog visoke razmene podataka, kako ne bi zaguili ostatak
mree. U Data Centrima se stavljaju bolji switch-evi.
3. Nabrojati i objasniti ulogu raliitih tipova dijagrama (ema) i
ostalih neophodnih
elemenata koje treba da sadri projekat mree. Pobrojati podatke i
informacije o
mrei koje se mogu dobiti iz pojedinih elemenata projekta.
Logika reprezentacija predstavlja mreu podeljenu na hijerarhiski
model, odakle je lako videti koji switch ima koju funkciju u mrei.
Fizika reprezentacija daje uvid u fiziko smetanje ureaja u zgradi,
na kom su spratu, u kom reku i prostoriji su smeteni koji ureaji i
kako su meusobno povezani, gde prolaze kablovi.
4. Nabrojati i opisati karakteristike svieva. Za svaku od pobrojanih
karakteristika
navesti na kom nivou (kojim nivoima) hierarhijskog modela se
karakteristika
moe nai.
Konfiguracija switcheva prilikom odabira switca moramo odluciti izmedju
fiksne konfiguracili ili modularne konfiguracije, natuceni ili ne odlozivi.
Swicevi fiksne konfiguracije su svicevi kojima se ne mogu dodavati nove
funkcije ili opcije. Prilikom kupovine ovakvog switca vi kupujete odgovarajuce
karakteristike i opcije. Modularni switcevi nude vecu fleksibilnost. Oni
dolaze u ralicitim kucistima u zavisnosti od toga koliko je modula moguce
dodati. Kartice koje se stavljaju u modula najcesce sadrze portove.
Natuceni switchevi mogu biti modjusobno povezani backplane kablom koji
omogucava protok velikog propusnog opsega. Prilikom povezivanja vise
ovakvih switcheva oni rade kao jedan veliki switch. Ovi switchevi koriste
poseban port za interakciju. Ne odloivi Performase prilikom odabira switcha potrebno je da port podrzi odredjenu
gustinu, prosledjivanje cene i zahteve za objedivanje protoka na mrezi.
Gustina porta je broj portova dostupan na jednom switch. Fiksne
konfiguracije obicno imaju 48 porta. Visoke gustine portova obicno

omogucavaju bolje koriscenje snage i prostora. Modularni prekidaci mogu da

podrze veoma velike gustine portova.
Prosledjivanje cene definise mogucnost obrade jednog prekidaca prema
oceni koliko podataka moze da obradi u sekundi. Prosledjivanje cene vazno je
uzeti u obzir prilikom kupovine switcha. Ukoliko je ova k-ka suvise mala znaci
da swich ne moze fa primi punu zicnu brzinu preko svojih portova.
Zicna brzina prenosa podataka je brzina koju svaki port na swichu moze da
dostigne. Sreom na pristupnom slojuu switchevi obicno ne moraju da rade
punom brzinom jer su fizicki ograniceni uplinkovima na distributivnom sloju.
Ovo nam omogucava da koristimo manje skupe switcheva, manje
profesionalna na pristupnom sloju, vise profesionalne na distributivnom sloju
i na core sloju.
Link agregacija prilikom kupovine swicha potreba razomtriti i da li na
switch postoji dovoljan broj portova za podrsku propusne moci. Na primer
ukoliko nam se switc povezan sa ostatkom mreze na 1Gb/s, i ima 24 porta
koji imaju isto 1Gb/s, tj mozemo generisati 24Gb/s mrezni saobracaj sto znaci
da, onda dolazni podaci nece moci da dolaze brzinom od 1Gb/s vec 1/24Gb/s
na svakom uredjaju. Link agregacija nam pomaze pa smanimo ovaj problem
tako sto do 8 portova switcha mogu da budu povezani zajedno za prenos
podataka, pruzajuci do 8Gb/s protok podataka. Kod nekih switceva moguce je
ovako povezati i 10 portova.
PoE (Power over Ethernet) - omogucava switchi da isporuci snagu
(struju) do uredjaja preko postojeceg eternet kabla. Ovu funkciju mogu da
koriste IP telefoni i neke pristupne tacke. Potrebno je razmotriti da li kupovati
ovakav switch jer je znatno skuplji.
Layer 3 funkcija tipicni switchevi rade na drugom sloju osi modela. Layer
3 switchevi imaju napredne funkcije a cesto ih nazivaju i viseslojni switchevi.
Na access sliju: bezbednost, VLAN, FastEternet/GigabitEnthernet, PoE i link
agregacije.
Na distributivnom sloju: Layer 3, velike brzine prenosa, GE/10GE,
redudantne komponente, bezbednost.access liste, link agregacja
Na core sloju: Layer 3, veoma velike brzine, GE/10GE, redudantne
komponente, link agregacija.
5. Kolizioni domen i CSMA/CD algoritam. ta je full-, a ta halfduplex
komunikacija i ta se od ova dva moe javiti na BNC mrei (10base2
ethernet), a
ta na sviu i hub-u?

Kolizioni domen je deo mree gde se paketi mogu sudarati i praviti koliziju
kada su poslani preko deljenog medijuma, tj kada vise ureaja istovremeno
poalju paket, to je obino sluaj kod ranijih Ethernet-a.
CSMA/CD resava koliziju, u njegovom takmienju paketi mogu biti
odbaeni i ponovo poslati, to je izvor neefikasnosti mree. Samo jedan
ureaj moe posalti paket na mrei u jednom trenutku dok ostali sluaju
kanal kako bi izbegli koliziju, to znai da se totalni mreni bandwith deli
izmeu svih ureaja, a i sama kolizija degradira mreu jer non stop izaziva
retransmisiju sudarenih paketa. Kolioni domen je na layeru 1, nalaze se u hub
okruenju, i u Wi-Fi mreama, na koaksijalnom kablu (bus mrea). Na switchu
postoji mikrosegmentacija, jer kolizioni domen ine ureaj i port switch-a jer
je zapravo switch multi-interface hub.
Full Duplex je transmisija podataka u oba smera istovremeno na jednom
medijumu, tj da se ima bidirekciona linija. Telefon je primer, jer obe strane
mogu da priaju istovremeno.
Mnogo modemi umamju mogunost odabira izmeu ova dva moda rada. U
Full Duplex reimu nee se pojaviti podataka na ekranu dok ne bude primljen
i opet poslat na drugu stranu to omoguava validaciju. Ako se pojave dva
ista karaktera znai da je modem u half-u a trebao bi da bude u full-u. Moe
biti kostruisan od dva Simplex-a.
Half Duplex - Primer je toki-voko gde samo jedna strana moe da pria
istovremeno, onda radio. U konvencionalnom Ethernet-u, svi ureaji mogu da
alju ali samo jedan u jednom trenutku, pa zato regularni ne switchovan
Ethernet je half duplex, zbog toga half implementira CSMA/CD.
Simplex prenoenje paketa samo u jednom smeru, kao jednomserna ulica,
primer je slanje podataka od GPS satelita do ureaja, a ureaj ne alje nazad
nikakve informacije.
BNC i na HUB se javlja naravno half duplex! Na hub-u je prosena
efikasnost 50% do 60 %, a na full duplex-u 100 %.
6. Objasniti razlike kod forvardovanja frejmova tipa store-andforward, cut-trough,
fragment-free. Koje su prednosti i mane svakog od navedenih
metoda?
Store-and-forward kada switch primi okvir, on cuva podatke u baferu do
trenutka kada dobije ceo okvir. Tokom skladistenja on analizita okviri i dobija
informacije o odredistu i o ovom procesu vrsi i proveru gresaka u ramu.

Nakon provere ram se preusmerava na odg port ka svom odredistu. Kada se

otkrije greska ram se odbacuje.
Cut-trouh - kada switch primi podatke on odma deluje, iako podaci nisu
potpuni. On buferuje dovoljno podataka dok ucita MAC dresu, tako da moze
utvrditi na koji port treba da posalje podatke. Destinaciona MAC adresa se
nalazi u prvih 6 bajtova. Switch nalazi u svojoj tabeli tu MAC adresu i salje
paket na odredjeni port. Switch ne vrsi nikakvu proveru greske na ramu. Zato
sto ne ceka ceo ram i ne vrsi proveru ovaj metod je dosta brzi od store-andforward-a. Medjutim posto ne vrsi nikakvu proveru on prosredjuje i
korumpirane tj rameve sa greskom na mrezi. Ovi rmovi trose propusni opseg.
Postoje dve varijant:
Fast-forward switch - nudi najnizi nivo latencije. On odmah prosledjuje
paket nakom prijema odredisne adrese. Ukoliko prenese paket sa greskom,
mada se to retko desava, destinacioni mrezni adapter ce da odbaci paket.
Fragment-free switch - skladisti prvih 64 bajta okvira pre slanja. Razlog je
taj sto se vecina mreznih gresaka nalazi u prvih 64 bajta. On proverava prvih
64 bajtova kako bi se osigurao da se kolizija nije desila u prvih 64 bajta. Ovaj
metod je nesto izmedju Store-and-forward i Cut-trouh. On je kompromis
izmedju visoke latencije i visokog integriteta koje nudi store and forward, kao
i malim kasnjenjem koje nudi cut-trouth.
7. Simetrini i asimetrini svievi. Tipovi memorijskog baferovanja i
prednosti i mane razliitih tipova.
Simetricni switchevi omogucavaju komutaciju veza izmedju portova na
istom opsegu, tako da su naprimemer svi portovi 100MB/s ili 1000MB/s.
Memorisko baferovanje NIJE potrebno na ovim switchevima.
Asimetricni switchevi omogucava komutaciju izmedju portova na
razlicitom porpusnom opsegu, kao sto je kombinacija 10MB/s, 100MB/s i
1000MB/s. Asimetricni switchevi omogucava vecu propusnu moc i moze da
bude povezan na vecem portu na kome je server, da bi sprecio usko grlo.
Ovo omogucava ravnomernije saobracajne tokove gde vise klijenta
komuniciraju sa serverom u isto vreme. Memorisko baferovanje je potrebno
na ovim switchevima.
Simetricni switchevi imaju portove koji su istog opsega. Oni su optimizovani
za razumno opterecenje saobracaja. Vecina danasnjih switceva su
asimetricni jer nude vecu fleksibilnost.
Switchevi koriste memorijske bafere za skladistenje okvira pre slanja ili
ukoliko je port zauzet zbog zagusenja. Mem bafer je ugradjen u hardveru
switcha. Postoje dva tipa port-based i shared memory.

Port-based u ovom baferu ramovi se cuvaju u redovima koji su povezani

sa redosledom dolaza i odlaza ramova sa portova. Okvir se prenosi na
odredisni port tek kada su svi ramovi ispred njega uspesno poslati. Ukoliko
dodje do kasnjenja zbog zauzetog odredisnog porta, onda dolazi do kasnjenja
i svih ramova koji cekaju u redu cak i ako se oni mogu prenesti.
Shared memory buffering svi ramovi se skladiste u zajednickoj memoriji.
Okviri u baferu si dinamicni povezani na odredjeni port. Ovo omogucava da
se paket primi na jednom portu a zatim emituje na drugom portu bez
cekanja u redu. Broj bafera koji se moze skladistiti je ogranicen memorijom
bafera i nije ogranicen po portu. Ovo dozvoljava primanje vecih ramova.
8. Navesti i ukratko opisati sigurnosne napade: MAC address
flooding, DHCP spoofing, Brute force password attack i DoS attack.
MAC address flooding je uobicajeni napad. Na switch se nalzi MAC tabela
koja cuva poznate MAC adrese. Kada layer 2 switc primi frejm, on u svojoj
tabeli trazi odredisnu MAC adresu iz frejma. Kada frejm dodje na port, MAC
adrese se uce i upisuju u tabelu. Ako stavka postoji u toj tabeli, on
prosledjuje frej na port koji je za odredisnu MAC adrsu, dok ukoliko ne portoji
MAC adresa on salje frejm na sve portove na koji su povezani switchevi.
Tabela MAC adresa se preliva odnosno prepunjava i ovo se naziva MAC
address flooding.

DHCP spoofing jadan od nacina napada na mrezu jeste da se otme

odgovror koji je poslao DHCP server. DHCP spoofing uredjaj odgovara klijentu
DHCP reguest. Pravi server takodje moze odgovoriti ali ukoliko je soppfing
uredjaj na istom segment kao i klijent njegov odgovor moze da stigne pre
legitimnog DHCP server. Klijet salje pakete na spoofing DHCP zato sto misli
da je on gateway a spoofing uredjaj prosledjuje pakete po svojoj zeli.
Brute force password attack ovaj napad zapocinej tako sto se koristi
najcesnja lista lozinki i program pokusava da pristupi telnet sesiji koristeci
svaku rec iz recnika. U drugoj fazi, kreiraju se sekvencijalni karakter
kombinacije i pokusava da se pogodi lozinka.
DoS attack kod ovog napada napadac koristi propuste u telnetu koji radi
na switchu, i cini telnet nedostupnim. Ova vrsta napada je neprakticna jer
samo onemogucava administrator konfiguraciju switcha. Ranjivost Telneta

servisa koji omogucava napede je obicno se ispravljaju u novijim Cisco IOS

verzijama.

9. Nabrojati i opisati prednosti implementacije mree korienjem

virtualnih mrea.
Bezbednost grupe koje imaju osetljive podtke su odvojene od ostatka
mreze, smanjujuci sanse da se poverljive informacije povrede. Razlicite
glupe korisnika se odvajaju u razlicite VLAN-ove.
Smanjenje troskova usteda novca rezultat je manje potrebe za skupim
mreznim uredjajim prilikom nadogradnje i efikasnije koriscenje postojecih
propusnih opsega i uplinkova.
Bolje performase podela layer 2 mreze u vise logickih radnih grupa
smanjuje nepotreban sadrzaj na mrezi i povecava performance.
Ublazavanja emitivanja oluja podela mreze na VLANove smanjuje se
broj uredjaja koji mogu da budu zahvaceni pri emitovanju oluje.
Poboljsanja efikasnost IT osoblja VLAN omogucavaju lakse upravljanje
mrezom, jer korisnici sa slicnim zahtevima spadaju u osti VLAN. Kada zelimo
da dodamo novi switch, sve politike i procedure su vec definisane za
odredjeni VLAN samo im dodelimo nove portove.
Jednostavniji projekat ili alikacija za urpavljanje
10. Opisati nain identifikacije i karakteristike VLAN mrea. Koji
tipovi virtualnih mrea postoje u zavisnosti od identifikatora mree.
VLAN normalnog opsega koristi se u malim i srednjim mrezama.
Identifikacija VLAN 1-1005. 1002-1005 rezervisani za token ring.
Konfiguracije se cuvaju u okviru VLAN datoteke koja se zove vlan.dat koji se
nalazi u flash memoriji. VTP ukoji pomaze upravljanje VLAN konfiguracija
medju svicevima, moze uciti samo VLANove normalnog opsega.
VLAN prosirenog opsega omogucava servis provajderima da prosire
svoju mrezu na veci broj korisnika. Mogucnos prosirenja VLAN 1006-4094.
Podrzava manje VLAN karakteristika nego VLAN normalnog opsega. VTP ne
moze na uci VLAN prosirenog opsega.

11. Nabrojati i opisati tipove virtualnih mrea u zavisnosti od

njihove namene

Data VLAN VLAN koji je konfigurisan da prenosi samo saobracaj generisan

od strane korisnika. Postoje i voice saobracaj i saobracaj za upravljanje svica
ali oni nisu deo VLANa. Ovaj tip VLAN je uveden jer je preporucljivo odvojiti
voice i menagment saobracaj od korisnickog saobracaja.
Default VLAN je VLAN koji postoji prilikom pokretanja switca. Svi portovi
na switcu si inicijalno deo ovog VLANA, sto znaci da svaki uredjaji mogu
medjusobno da kominiciraju jer su deo istog broatcust domena. Ovaj VLAN je
nemoguce obrisati i preimenovati. Za Cisco sviceve to je VLAN 1.
Native VLAN je povezan 802.1q trunk portom. Trank port prosledjuje u
native VLAN saobracaj sa drugih VLANova ali isto tako i saobracaj koji ne
dolazi sa VLANova (netagovan). Za native VLAN se obicno koristi VLAN99.
Management VLAN - je bilo koji VLAN preko kog se moze konfigurisati
switch. VLAN1 moze de sluzi kao manegment VLAN ako nije naglazen
poseban VLAN za management VLAN. Management VLANu se dodeljuje IP
adresa i subnet maska. Konfiguracija se moze postici preko HTTP, Telneta,
SSH i li SNMP.
Voice VLAN lako je razumeti zasto je potreban poseban VLAN za prenos
voice over IP (VoIP). Zamislite hitan poziv i iznenada kvalitet prenosa opadne
toliko da niste razumeli sta je pozivalac hteo da kaze. VoIP saobracaj
zahteva:
siguran opseg za kvalitetan prenos
prioritet prenose veci nego za ostali mrezni saobracaj
sposobnost da bude rutiran do ostalih delova mreze
kasnjenje manje od 150 ms kroz mrezu
Za ispunjenje ovih zahteva, citava mreza treba da bude dizajnirana da
podrzava VoIP. Za VoIP saobracaj je dizajniran VLAN 150.
12. Nabrojati i opisati modove za pristup odreenog svi-porta
virtualnoj mrei
(membership modes).
Port moze biti konfigurisan da podrzava ove VLAN tipove:
Staricki VLAN portovi na switchu su rucno dodenjeni VLANu. Ovde se
portovi dodaju pomocu Ciscko CLI. Pogodna je karakteristika sto ukoliko zelite
da dodate port na vlan koji ne postoji on ce se automatski napraviti.

Dinamicni VLAN - ovaj mod se ne koristi mnogo. Ovde se portovi

kofigurusku pomocu posebnog server koji se zove VMPS. Ovde se portovi
dodeljuji VLANovima na osnovu MAC adrese uredjaja koji se povezuje na port.
Voice VLAN - port je konfigurisan da bude u glasovnom modu, tako da
moze da podrzi IP telefon povezan za njega. Pre nego sto se konfigurise
glasovni VLAN na portu, prvo treba da se konfigurise VLAN za glas i VLAN za
podatke.
13. Na proizvoljno izabranom primeru objasniti komunikaciju
raunara na istom VLAN-u, ako su raunari na fiziki razliitim
svievima (intra-VLAN).

Intra-VLAN Communication
PC1 hoe da komunicira sa PC4, obo je su u Vlan10. Korak1: PC1 u Vlan 10
alje ARP request frame (broadcast) switch-u S2. S2 i S1 alju ARP request
frame kroz sve svoje portove koji su na Vlan 10, i S3 na F0/11 na koji je PC4
koji je na Vlan10. Korak2: PC4 odgovara sa ARP replay (unicast) i switch-evi u
mrei prosleuju ovaj frame do PC1, koji sadi MAC adresu PC4. Korak3: PC1
sada zna dst MAC adr, tj adresu od PC4, i pravi unicast frame sa njom kao
destinaciom. Switchevi S2, S1 i S3 dostavljaju frame PC4.

14. Na proizvoljno izabranom primeru objasniti komunikaciju

raunara na razliitim
VLAN-ovima (inter-VLAN).

Inter-VLAN Communication
PC1 u Vlan10 eli da komunicra se PC5 u Vlan20. Korak1: PC1 elj ARP
request frame sa ciljem da sazna MAC adresu default gateway R1. Korak2:
R1 odgovara sa ARP replay sa interfejsa konfigurisanog na Vlan10. Korak3:
PC1 kreira Ethernet frame sa MAC adresom Default Gateway-a i alje se
frame od S2 ka S1. Korak4: R1 alje ARP request na Vlan20 da sazna MAC od
PC5. S1, S2 i S3 broadcas-uju ARP request na svim portovima koji su na
Vlan20. PC5 na Vlan20 prima ARP request od rutera R1. Korak5: PC5 na
Vlan20 alje ARP replay switch-u S3, koji zajedno sa S1 prosleuje ARP replay
frame ruteru R1 sa destinacionom MAC adresom kroz interfejsa F0/2 na R1.
Korak6: R1 alje frame primljen od PC1 kroy S1 i S3 do PC5 koji je na Vlan20.
15. ta je IEEE 802.1q trunk link i koje su prednosti i mane
povezivanja ureaja trunk-ovima?
Trunk link trunk je point-to-point veza izmedju dva mrezna uredjaja koji
nose vise od jednog VLAN-a. VLAN trunk omogucava da prosirimo VLANove
kroz celu mrezu. Cisco porzava IEEE 802.1q za konfiguraciju trunka na FA i G
interfejsima. Ukoliko ne koristimo trunkove onda izmedju dva switcha
moramo da stavimo onoliko linkova tj veza kojiko imamo imamo VLANova.
Ukoliko koristimo trunkove, vrsi se tzv tagovanje frejma tako da se zna kojem
VLANu je namenjen. VLAN trunk ne pripada ni jednom VLANu, on samo
predstavlja kanal za VLANove izmedju switcha i rutera. Moguci problemi sa
trankovanjem: 1) ne slaganje native VLAN-ova; 2) ne slaganje trunk moda;
VLANs i IP subnet-I; dozvoljeni VLANs na tanku.
Frejm 802.1q sadrzi i infomracije o tagovanju (2 bajta):
Tagavanje: 3 bita kosrisnika prioriteta: - po 802.1p standard koji ubrzava
prenos layer 2 ramova; 1 bit kanonicki oblik identifikacije; 12 bita VLAN
identifikacija, podrzava do 4096 VLANa

16. Na primeru pokazati prednosti uvoenja virtualnih mrea u

razvajanju fizike od logike topologije. Proizvoljno izabrati i
ilustrovati fiziku topologiju i dati jednu moguu implementaciju
logike topologije.
Logika reprezentacija omoguava lako uoavanje uloge svakog Switch-a u
mrei, to je mnogo tee videti mrenu hierarhiju po nivoima iz fizike eme
ili iz intalacije sama mree i zgradi.
Ovde se vide dva sprata zgrade, gde su resursi kao e-mail serveri i serveri
baza podataka smeteni na donjem spratu. Da bi ibli sigurni da svaki sprat
ima pistup mrei, acces nivo i distribution nivo su smeteni u rek orman koji
je na spatu iznad i koji je povezan sa svakim ureajem u mrei. Core nivo i
drugi deo distribution nivo nismo prikazali, ali se moe uvideti razlika izmeu
fizike i logike toplogije.
Prvo nacrtati naku zgradu kao na pismenom i po sobama poredjati
ove uredjaje i onda ide ova druga slika.

Vlan omoguava mrenom admin da kreira logike grupe ureaja koji e se

ponaati kao da su u nezavinism mreama a koristi e infrastruktrukturu
zajedno sa drugim Vlan-ovima. Kada kreirate Vlan moete ga imenovati kako

bi odmah dali naznaku za njeogvu namenu. Obino se koriste za geografsko

struktruiranje mree kako bi se podralo irenje mree.
U primeru, svi studencki komjuteri su fiziki na poslednjem spratu a logiki
su u istom Vlanu. Drugi Vlan je za fakultet, i ovi vlanovi omoguavaju
mrenom admin da implementira access i security pravila za svaki od grupa
korsinika.

Vlanovi su logiki podeljeni IP sabneti. Ureaji na istom Vlanu mora da

idemju IP adresu i Sabnet koji je konzistentan za dati Vlan. Iako su dva
komjutera fiziki povezni na isti switch to nikako ne znai da mogu da
komuniciraju. Ureaji na dve odvojene mree mogu da komuniciraju preko
Rutera (L3 ureaja). Vlanove ne moramo da koristimo ali imaju velike
prednsoti.

Na switchu treba da se podese vlanovi i da se portovi dodele odgovarajucim

vlanovima, a na pc-evima dase dodele odgovarajue IP adrese u zavisnosti
od vlana kome pripadaju.

17. ta je DTP? Tabelarno prikazati interakcije portova za sve

kombinacije modova u
kojima se portovi mogu nai.
DTP Dinamic Trunking Protocol je Ciskov protokol. Switchevi ostalih
proizvodjaca ne podrzavaju DTP. DTP upravlja trunk pregovorima samo

ukoliko je na drugom switchi port definisan u rezimu koji podrzava DTP. DTP
podrzava i ISL i 802.1q trankove.

18. Nabrojati i objasniti VTP modove u kojima se svi moe nai. ta

je VTP domen?
Switch moze da se nadje u jednom od tri modea:
VTP Server salje VLAN informacije drugim VTP-ukljucenim switchevima u
istom VTP domenu. VTP server skladisti informacije za citav domen u nvramu. Server moze da kreira, brise VLANove i preimenuje domen. Predstavlja
default mode za switcheve u ciscu. Oni kotrolisu auriranja pomocu
konfiguracionog broja revizije. Klijenti uporedjuju svoj broj revizije, i na taj
nacin znaju da trebaju da sinhronizuju svoje data baze.
VTP klijent klijent ima istu ulogu kao i server samo sto ne moze da se na
njemu kreiraju, menjaju i brisu VLAN mreze. VTP klijent samo skladisti
informacije za citav domen dok je svic ukljucen. Cuva informacije o
vlanovima u Vlan databazi, ne u nvramu, zbog toga Svic reset brise VLAN
informacije. Ali zato klijenti zahtevaju manje memorije od Servera. Klijenti se
cesce nalaze u vecim mrezama, jer je pre svega tako odrzavanje mreze dosta
lakse, ali je i dosta isplatljivije, jer oni zahtevaju dosta manje nvrama. Dobar
administrator mreze, treba da odluci i stavi par sviceva za servere koji imaju
veliki nvram, dok ostali klijent switchevi mogu da imaju manje nvrama. Po
defaultu svitchevi su konfigurisani na server mode, zato Morate konfigurisati
VTP klijent mod na svicu.
VTP Transparent transparent swicevi salju dalje VTP obavestenja ka
klijentima i serverima, i oni ne ucestuju u VTP-u (svoja podesavanja vlanova
cuvaju za sebe). Svi VLANovi koji su kreirani, preimenovani ili obrisani na
njemu su lokalni na samo tom switch. Vlan podesavanja u Transparnt modu
se cuvaju na nvramu, ali se ne dele sa drugima, sto znaci da kada se switch
rebutuje, nece se prebaciti u server mode.

VTP Domain se sastoji od jednog ili vise povezanih switcheva. Svi

switchevi u jednom domenu dele VLAN konfiguracione detalje koriscenjem
VTP obavestenja. Ruter ili Lejer 3 svic definise granice svakog domena.
19. Tipovi VTP poruka
Summary Advertisements - sadrzi VTP domen, trenutni broj revizije i
druge detalje o konfiguraciju VTP. Salju se na svaka 5 minuta sa VTP server ili
klijenta da informise susedne VTP omogucene switcheve o trenutnom broju
VTP revizije za njegov domen. Pocinje sa slanjem odmah nakon konfiguracije.
Subset Advertisements sadrzi VLAN informacije. Ove poruke se salju
kada se kreira ili brise VLAN, suspendovanje ili aktiviranje VLANa, promena
naziva VLAN, promena MTU o VLANu. Mozu da budi razmenjene vise ovakve
poruke kako bi se azurirale informacije o VLANu.
Request Advertisements kada je ovaj tip poruke poslat VTP server koji je
na istom domenu, on odgovara slanjem Summary Advertisements i Subset
Advertisements. Ovkava poruka se salje ako je VTP domen promenjen, switch
prima summary advertisement sa vecim konfiguracionim brojem revizije
nego sto je njegov, ukoliko je subset advertisement poruka izgubljena iz
nekog razloga, ukoliko je switch resetovan.
20. VTP Pruning povecava dostupnost mreze tako sto ogranicava poplavu
broadcast-a sa jednog Vlan-a kroz sve trank linkove. Bez VTP Pruninga svic
poplavljuje broadcast, multikast i unikast saobracajem preko svih trank
linkova u VTP domenu, cak iako primajuci svicevi mogu da ih odbace. VTp
Prunning doputa switch-evima da pregovaraju koji to Vlan-ovi su dodeljeni
swtich portovima na drugoj strani trunk linka, pa s tim odseca Vlan-ove koji
nisu dodeljeni nijednom portu na drugoj strani. Puning je pod default-u
iskljuen a potrebno ga je ukljuiti samo na VTP server switch-evima u datom
VTP domenu.

21. L2 petlje i problemi koje donosi redundansa na L2 OSI modela (2

problema). Kakav uticaj na mreu u celosti ima redundantna veza
izmeu dva susedna svia?
Redundansa je bita deo hijerarhiskog dizajna, zbog dostpunosti mree.
Ukoliko postoji vise putanja izmedju dva uredjaja na mrezi i STP je
onemogucen na tim switchevima, moze da dodje do L2 petlje, jer eternet
frejmovi nemaju TTL (time to live) kao IP paketi, sto znaci da ce da nastave
da odskacu od switcha do switca sve dok se neka veza fizicki ne prekine ili
dok se neki switch ne iskljuci. BradCast frejmovi se prosleduju na svim
portovima osim na onaj odakle su stigli, to omogucava da svi uredjaju u tom
domenu prime frejm. Ako postoji vise puteva da se frejm prosledi, dolazi do
beskonacne petlje. Petlje mnogo opterecuju CPU.
Jedan od problema je emitivanje oluja. Ovaj problem se javlja kada ima
toliko emitovanja okvira u L2 petlji da sa trosi sav propusni opseg. Samim tim
mreza postaje nedostupna za komunikaciju podataka. Emitivanje oluja je
neizbezno na mrezama sa petljama. Sto vise uredjaja salje emitivanje na
mrezi, sve vise i vise saobracaja biva uhvacen u petlju i dolazi do propasti
mreze. Jos jedan razlog koji dovodi do oluja, je sto se saobracaj emituje na
sve portove na switch i svi povezani uredjaji moraju da obrade signal koji
moze da se beskonacno ponavlja ukoliko imamo petlje. Znaci da ubrzo nakon
pravljenja petlje, mreza pada.
Drugi problem je duplikat Unicast frejma, koji ukoliko se dovede do m.
petlje moze da prouzrukujeda duplirani okviri stizu na odrediste.

Srecom switchevi su sposobni da otkriju petlje na mrezi. STP protocol

eliminise petlje.
Problemi u celoj mrezi:
Petlje u rek ormanu:
Petlje mogu da nastanu i kao rezultat vise puteva u mrezi. Naime kablove za
mrezu cesto ne vidimo (sakriveni su u ormanim, iza zidova, u plafonu itd.)
pa nekad moze slucajno da se duplira neki kabl (da se doda neka veza koja

vec postoji). Resenje je postojanje EtherChannel-a na svim switcjevma, koji

vise portova gleda kao jedan kanal. Takodje postoji mogucnost petlje ako
povezemo switcheve iz mreza koja su vec konektovane. Posledice ovde
greske su vece, jer zahvata vise switcheva.
Petlje u kancelarijama:
Korisnici mogu da dodaju neki dodatni mrezni uredjaj u svoju kancelariju.
Mrenim ormanima (wiring closets) moze da pristupi samo administrator, ali
posto su ovo uredjaji koji se nalaze u kancelarijama, moze doci do slucane
modjusobne konekcije izmedju dodath mreznih uredjaja. Primer je ako neko
doda 2 hub-a na isti switch i medjusobno ih poveze. dobija se petlja.
22. Navesti i objasniti uloge moguih tipova portova kod STP-a. Kroz
koja stanja prolaze portovi i koliko je potrebno da port pree u
stanje u kome moe da prosleuje korisniki saobraaj?
Uloge portova: Postoje cetiri razlicite uloge u kojima se portovi mogu naci
za vreme spaining tree protokola.
Root port postoji na ne-root bridgu i to je switch port sa najboljom
putanjom do root bridg-a. Ovaj port prosledjuje saobracaj ka root bridge.
Izvorisne MAC adrese frejmova primljenih na root port popunjavaju MAC
tabelu. Samo jedan port moze da bude root po bridge-u (switch-u).
Designated port - postoji na root i ne-root bridge. Za root bridge svi portovi
na svicu su designated. Za ne-root bridge designated port je port switcha koji
prima i prosledjuje frejmove ka root bridge kada je potrebno. Samo je jedan
designated port dozvoljen na segment. Ako imamo vise switcha na istom
segment, izborni process odredjuje designated switch i odredjeni port pocinje
prosledjivanje okvira za segment. Ovi portovi mogu da popunjavaju u MAC
tabelu.
Non-designated port je port na switch koji je blokiran, tako da ne
prosledjuje frejmove i ne ispunjava MAC tebelu sa izvorisnim adresama. Ovaj
port ne moze da bude root port niti designatet port. Ponekad se naziva
alternative port.
Disable port je port switcha koji je administrator ugasio. On ne sudeluje u
STPa procesu.

Stanja portova: Portovi mogu da se nadju u nekom od sledecih stanja:

Blokiranje Port je non-designated port i ne ucestvuje u prosledjivanju

frejmova. Port dobija BPDU okvir za utvrdjenje lokacije i rootID root-bridgeswitcha i sta svaki port na switchu treba da preuzme u zavrsnoj aktivnost
BPDU topologije. Potrebno vreme: 20sec.
Slusanje STP je odlucio da port ucestvuje u prosledjivanju frejmova prema
BDPU frejmovina koje je switch dobio do sada. U ovom trenutku, port ne
prima samo BDPU ramove, takodje salje svoje BDPU remove i informise
susedne switcheve da se port priprema da ucestvuje u prosledjivanju.
Potrebno vreme: 15sec.
Ucenje port se priprema za prosledjivanje frejmova i pocinje da popunjava
tabelu sa MAC adresama. Potrebno vreme: 15sec.
Prosledjivanje port se smatra delom aktivne topologije i prosledjuje
okvire ali takodje i salji i preima BPDU frejmove. Potrebno vreme: 20sec
(blokiranje) + 15sec (slusanje) + 15sec (ucenje). Svaki port pri paljenju
mora da prodje korz stanje blokiranja, slusanja, ucenja, pa tek onda moze da
prosledjuje.
Onemogicen portn ne ucestvuje u STPu i ne salje frejmove. Onemoguceno
stanje moze da postavi samo administrator.

23. Objasniti mehanizam izbora najboljeg puta do svia u korenu

STP stabla, sa
osvrtom na polja u BPDU paketu koja omoguavaju izbor?

BPDU frejm :

Svaki switch u broadcast domenu emituje inicijalno pretpostavku da je on

root bridge za STP, tako da BPDU frejmove koje je poslao sadre BPDU
lokalnog switcha kao root ID. BPDU okvir se salje na svake 2sec nakon sto
smo pokrenuli switch. Svaki switch vodi racuna o svom BID, root ID, i
troskove putanje do root-a.
Kada susedni switchevi prime BPDU okvir, oni uporedjuju root ID iz BPDU
rama sa lokalnim root ID. Ukoliko je root ID iz BPDU rama nizi od lokalnog
root ID, switch postavlja za svoj lokalni root ID - root ID iz BPDU frejma,
takodje aurira najboljeg kandidata za root brigde i cena putanje koja ukazuje
koliko je daleko taj potencijalni root bridge. Ukoliko je suprotno ram se
odbacuje.
Kada je root ID azuriran tako da moze da identifikuje root bridge, sve nove
BPDU ramove koje switch salje imace novi root ID i cenu putanje do root
switcha. Tako da su susetni switchevi mogli da vide najnii ID i svakom
trenutku. Root bridge selekcija se zavrava kada se svi switch-evi na
broadcast domenu usaglase ko ima namanji root ID. Nastavlja se slanej BPDU
frejmova na svaki 2s. Kada BPDU frejm prodje i susedne switcheve, putanja
troskova se menja tako da ukae kolika je cena puta dolaska do root switcha.
Posmatra se cena ali i prioritet portova. Svaki switch u STP koristi svoje
znanje da izabere najkraci put do root bridge. Svaki bridge je obaveten o
max age timer kojie po default-u 20 sekundi. Ako switch ne primi 10 vezanih
BPDU frejmova od svog suseda, switch e misliti da je logika putanja STP
pala I da BPDU informacije nisu validne, to pokree opet STP root bridge
selekciju.

24. Na proizvoljnom primeru objasniti proces izbora korena STP

stabla

1. Na pocetnu svaki switch vidi sebe kao root. Switch S2 salje BPDU na svim
portovima.

2. Kada S3 primi BDPU sa S2, on uporedjuje svoj root ID sa BDPU frejmom

koji je primio. Prioriteti su jednaki pa mora da ispita MAC adresu da odredi
koji deo MAC adrese ima manju vrednost. Posto S2 ima manju vrednost, S3
menja svoj root ID. U ovom trenutku S3 misli da je S2 root bridge.

3. Kada S1 poredi svoj root ID sa onim koji je primio u BPDU frejmu, on

identifikuje lokalni port ID kao nizu vrednst i odbacuje S2.

4. Kada S3 salje BPDU frejmoce, root ID je ustvari onaj koji sadrzi S2, tj koji je
S3 malopre primio od S2.

5. Kada S2 primi BPDU od S3, odbacuje frejm jer se root ID iz BPDU poklapa
sa lokalnim rootID. S2 i dalje misli da je root bridge.

6. S1 ima manji rootID od S3, on odbacuje frejm. S1 i dale misli da je root

breidge na mrezi.
7. Switch S1 salje svoje BPDU frejmove na sve portove.

8. Switch S3 prima BPDU frejmi i vidi da je root ID u frejmu manji od lokalnog

root ID. S3 menja svoje root ID i ustanovljva da je S1 root Bridge na mrezi.
On menja i cenu puta sa 19 na vrednos koju je primio u BPDU frejmu.

9. Switch S2 se ponasa potpuno isto kao i S3.

25. Navesti i objasniti sve korake pri konvergenciji STP algoritma i

na proizvoljnom primeru ilustrovati rad algoritma.
1. Izabir root bridge Svaki switch u broadcast domenu emituje inicijalno
pretpostavku da je on root bridge za STP, tako da BPDU frejmove koje je
poslao sadre BPDU lokalnog switcha kao root ID. BPDU okvir se salje na
svake 2sec nakon sto smo pokrenuli switch. Svaki switch vodi racuna o svom
BID, root ID, i troskove putanje do root-a.
Kada susedni switchevi prime BPDU okvir, oni uporedjuju root ID iz BPDU
rama sa lokalnim root ID. Ukoliko je root ID iz BPDU rama nizi od lokalnog
root ID, switch postavlja za svoj lokalni root ID - root ID iz BPDU frejma,
takodje aurira najboljeg kandidata za root brigde i cena putanje koja ukazuje
koliko je daleko taj potencijalni root bridge. Ukoliko je suprotno ram se
odbacuje.
Kada je root ID azuriran tako da moze da identifikuje root bridge, sve nove
BPDU ramove koje switch salje imace novi root ID i cenu putanje do root
switcha. Tako da su susetni switchevi mogli da vide najnii ID i svakom
trenutku. Root bridge selekcija se zavrava kada se svi switch-evi na
broadcast domenu usaglase ko ima namanji root ID. Nastavlja se slanej BPDU
frejmova na svaki 2s. Kada BPDU frejm prodje i susedne switcheve, putanja
troskova se menja tako da ukae kolika je cena puta dolaska do root switcha.
Posmatra se cena ali i prioritet portova. Svaki switch u STP koristi svoje
znanje da izabere najkraci put do root bridge. Svaki bridge je obaveten o
max age timer kojie po default-u 20 sekundi. Ako switch ne primi 10 vezanih
BPDU frejmova od svog suseda, switch e misliti da je logika putanja STP
pala I da BPDU informacije nisu validne, to pokree opet STP root bridge
selekciju.
2. Izabir root portova nakon odabira root bridge potrebno je na ostalim
switchevima izabrati root portove. Proces utvrdjivanja root porta prilikom
izbora root bridge u razmeni BPDU poruka. Prilikom dobijanja BPDU paketa,
switch pamti na svakom portu troskove putanje, i ukoliko je dobio troskove
putanje do root bridge manju nego ona koja mu je trenutna on taj port
postavlja na root port.

3. Odabir designated i non-designated portova izbor ovoh portova se

desava u isto vreme kada i izbor root bridge i root portova. Kao rezultat, ove
portove mozemo promeniti vise puta do izabira root bridge. Na root bridge su
svi portovi u stanju designated. Kada switch dobije BPDU frejm, on poredjuje
BID vrednost sa svojom root ID i ukoliko je njegova vrednost manja on taj
port stavlja na D, a ukoliko je veca on stavlja port u ND i zabranjuje slanje.

Primer:
1. S2 prosleuje BPDU frajmove koji sadre S2 bridge ID i zabeleen root ID,
koji kau da je S2 root, i alje van na sve portove.

2. S3 uporeuje primljeni root ID sa svojim i utvruje da S2 ima manji root ID,

pa update-uje svoj root ID sa pristiglim root ID od S2. S3 sada misli da je S2
root bridge. S3 update-uje path cost na 19 kroz F0/2.
Slika default:

3. S1 uporeuje root ID sa svojim i utvruje da on ima manji root ID, pa S1

zadrava svoj root ID kao validni root ID i ne poveava path cost ka root. S1
misli i dalje da je on root bridge.
(silka default)
4. S3 prosleuje BPDU frejmove kroz sve portove. BPDU frejm sadre
informaciju da je S2 root bridge.

5. S2 uporeuje primljen BPDU root ID sa svojim i utvruje da se poklapaju.

S2 nastavlja da misli da je root bridge na mrei. S2 ne update-uje path cost.
(slika default)
6. S1 uporeuje primljeni BPDU sa root ID sa svojim i utvruje da je nejog
manji, i nastavlja da misli da je on root bridge i ne vri update path cost-a.
(slika default)
7. S1 prosleuje BPDU frejm na sve portove koji sadri da je S1 root brodge.

8. S3 uporeuje primljen root ID sa svojim i utvruje da S1 ima manji root ID.

S3 sada zapisuje da je validan root ID, zapravo primljeni root ID od S1, ima
S3 smatra da je S1 root bridge. S3 aurira path cost na 19 na portu F0/1.
(slika default)
9. S2 uporeuje primljeni root ID sa svojim i utvruje da S1 ima manji root ID.
S2 updat-uje svoj root ID sa root ID od S1.
(slika default)
10. S2 sada misli da je S1 root bridge, S2 updat-uje svoj path cost na 19 na
portu Fa0/1.
(slika default)

26. Na datom primeru objasniti korake STP algoritma i odrediti

uloge svih portova
svih svieva u mrei nakon konvergencije mree.

STP algoritam odredjuje koje portovi na switch trebaju da budu ugaseni kako
bi se sprecile petlje. STP oznacava jedan switch kao root bridge i koristi ga
kao referentnu tacku za kalkulaciju svih pitanja. Na primeru root bridge je S1.

Kada se odredi root bridge, svaki switch izracunava najkrace rastojanje do

njega i koristi STP da odredi koje portove treba da blokira. Dok STP odredjuje
najbolje putanje do root bridge za sve destinacije u domenu emitovanja, na
mrezi je slanje zabranjeno. STP smatra da da na osnovu troskova puta neki
port treba da odblokira. Ukoliko postoji vise puta za odabir, STP vrsi odabir
puta sa najmanjim troskovina putanje.
Kada STP odredi koje putave ce da koristi, on podesava uloge portovima
switcha. Ove uloge opisuju odnos u mrezi do root bridge i da li im je
dozvoljeno da proslede saobracaj.
Root ports Switch port najblizi root bridge.
Designated porst Svi koji nisu root portovi i kojima nije zabranjeno da salju
podatke.
Non designated ports- svi portovi koji su u stanju blokiran kako bi se
sprecile petlje.

27. Navesti glavne razlike izmeu IEEE 802.1D (STP), 802.1D-2003

(PVST), 802.1D-2004 (RSTP) protokola.
PVST per vlan spanning tree, odrzava spanning tree instancu za svaki
konfigurisani VLAN u mrezi. Koristi Ciscov ISL trunking protocol koji
omogucava VLAN trunku da bude prosledjen nekim VLANovima a blokiran za
neke druge VLANove. Zato sto PVST tretira svaki VLAN kao posebnu mrezu,
on moze da vrsi balansiranje saobracaj na Layeru2 tako sto ce slanje za
jedan VLAN vrsiti na jednom trunku a za drugi VLAN na drugom tranku
izbegavajuci petlje.
Rapid STP uveden je 1982 kao evolucija STPa. Obezbedjuje brzu spanningtree konverziju nakon izmena u topologiji. Implementira STP ekstenziju
BackboneFast, uplinkFast and PortFast u javne standarde. Od 2004 godine
iEEE je ugradio RSTP u 802.1D.
Multiple STP (MSTP) Omoguava vie Vlan-ova da budu mapirani u istu
spanning-tree instancu, redukui tako broj instanci potrebnih da zadovolje
veliki broj Vlan-ova. MSTP je evolucija STP i RSTP. On je predstavljen u
802.1Qs i poboljan u 208.1Q u ediciji 1998. Godine. Standard 802.1Q 2003
sada ukljuuje MSTP. MSTP omoguava vie putanja za prosleivanje data
saobraaja i omoguava load balancing.

28. PVST+ - Razvijen je od strane Cisco da obezbedi podrsku za IEEE 802.1q

tranking. Obezbedjuje istu funkcionalnost kao PVST ukljucujuci Cisco
zasticene STP ekstenzije. Nije podrzan na ne-Cisco uredjajima. PVST+
ukljucuje PortFast unapredjenje zvano BPDU zastita i root zastita.
Konfiguracija PVST+
Step 1. Selektuje se koji switch e biti primarni a koji sekundarni bridge za svaki od
Vlan-ova.
Step 2. Konfigurie se switch da bude primarni za neki Vlan
S3(config)#spanning-tree vlan 10 root primary
Step 3. Konfigurie se switch da bude sekundarni za neki Vlan
S3(config)#spanning-tree vlan 10 root secondary

29. Prioritet STP portova Moze se konfigurisati sa spanning-tree portpriority. Vrednost je u opsegu od 0-240 sa inkrementima od 16. Vrednost
default prioriteta porta je 128. Manja vrednost prioriteta porta daje portu veci
prioritet.
S3(config)#panning-tree port-priority 112 // 0 - 240, in increments of 16.

30. Klasino i route-on-stick rutiranje. Objasniti na primeru.

Klasicno rutiranje koristi rutere sa visestrukim fizickim interfejsima. Svaki
interfejs treba da bude konektovan na odvojenoj mrezi i konfigurisan za drugi
sabnet. Razliciti vlanovi su na razlicitom portu rutera. Port switcha
konektovan na ruter je u access modu, a razliit statini Vlan je dodeljen
svakom od interfejsa i onda svaki od interfejsa rutera moe prihvatiti
saobraaj od Vlana dodeljenog portu swticha koji je povezan na taj interfejs i
saobraaj koji moe biti rutiran na Vlan-ove povezane na druge interfejse
rutera.

Route-on-stick rutiranje izmedju rutera i svica postoji jedna veze i preko

nje se vrsi prenos za sve vlanove. Subinterface su softverski virtuelni
interfejsi koji su dodeljeni nekom fizikom interfejsu, i svaki od njih je
podeen sa svojom IP adresom, Subnet maskom, i dodeljen odreenom
Vlan-u, dozvoljavajui da jedan fiziki interfejs bude deo vie logikih mrea.
Voema je korisni kada imamo inter-Vlan rutiranje na mrei sa vie Vlan-ova i
samo nekoliko fizikih interfejsa. Link sa kojim je povezan swtich i ruter mora
biti trunk. Koncept je isti kao tradicionalno rutiranja samo se moe koristiti
jedan kabal koje je trunk i koji prenosi vie vlanova do odgovarajueg broja
Sabinterfejsa.

R
(config)#interface fa0/0.10
R (config-subif)#encapsulation dot1Q
10
R (config-subif)#ip address 10.10.10.1
255.255.255.0
R (config-subif)#no shutdown
R (config-subif)#exit
R (config)#interface fa0/0.20

R (config-subif)#encapsulation dot1Q
20
R(config-subif)#ip address 10.10.20.1
255.255.255.0
R (config-subif)#no shutdown
R (config-subif)#exit
R (config)#interface fa0/0
R (config-if)#ip address 10.10.30.1
255.255.255.0 // za
telnet sa svih vlanova
R (config-if)#no shutdown
R (config-if)#exit
R (config-if)#interface fastethernet
0/1.99
R (config-subif)#encapsulation dot1q
99 native
R(config-subif)#ip address
172.17.99.1 255.255.255.0

31. Nacrtati proizvoljnu router-on-a-stick topologiju mree sa 802.1q

linkom izmeu rutera i svia, i korak po korak taksativno nabrojati
sve tipove paketa koje dva raunara na razliitim virtualnim
mreama razmene pri komunikaciji, poev od ARP zahteva.

PC1 na Vlan10 komunicira sa PC3 na Vlan30 kroz ruter R1 koristii jedan

njegov fiziki interfejs.
Korak1: PC1 salje unicast ARP Request za MAC adrsom na svoj default
gateway u ovom slucaju na podinterfjs R1. ARP Reques stize do S2 sa port
akoji je na VLAN10, on ga taguje i salje kroz trunk link do S1. S1 prima ARP
Request i salje ga to rutera R1 kroz trunk F0/5.
Korak2: R1 primama ARP request i ispituje VLAN tag i prepoznaje da je doo
sa VLAN 10. Posto je subinterfejs f0/1.10 konfigurisan za VLAN 10, ruter alje
ARP respond sa MAC adresom fizickog interfejsa. S1 I S2 prosleuju paket do
PC1.
Korak3: PC1 uzima MAC adresu koji je primio od R1 i salje Unicast frame do
S2, koji taguje unicast saobraaj da se zna da je iz Vlan10 i prosleuje unicas
frejm kroz trunk na S1. S1 prosleuje tagovan saobraaj na svoj trunk F0/5
ka interfejsu rutera R1.
Korak4: R1 prima Unicas frejm i u svojoj ruting tabeli nalazi gde treba da
poalje paket. Poto se alje na VLAN 30 on alje na podinterfejs F0/1.30. R1
salje novi ARP request sa MAC adresom za PC3. S1 i S2 prosleuju ovaj
frame. Kada PC3 primi ARP reques salje nazad ARP replay sa svojom MAC
adresom.
Korak5: Sada ruter R1 prima ARP reques i zavrsava frejm paket pre nego sto
ga posalje dalje. Kada ga zavrsi alje Unicast frejm na PC3 koristei
konfigurisani subinterface do S1, koji dalje prosleuje kroz svoj trunk do S2,
S2 sklanja Vlan tag sa unicast freme-a, i kroz F0/6 dostalja frame na PC3.

Korak6: PC3 salje Unicast frejm nazad do PC1, sada nije potrebno slati ARP
broadcast, jer se uredjaji znaju. Taj paket stize do R1. R1 prosledjuje paket
na svoj subinterfej .10 namenjen za Vlan10 i Unicas frejm sa PC3 stize do
PC1. Posle ovoga racunari mogu da komuniciraju.
32. Nabrojati beine standarde PAN, LAN, MAN i WAN mrea i
ukratko nabrojati osnovne karakteristike svakog standara.
Kljune Razlike su u geografskoj oblasti koji opsluuju.

Wireless standardi
PAN:
Standard Bluethoot 802.15.3,
Brzina <1Mbps
Range mali
Aplikativnost Pear2Pear & Device2Device
Najbolje znani wireless PAN je Bluetooth, a iani PAN je USB. PAN je takoe
wireless headset, beini tampa ili smartphone povezan sa raunarom ili
access point-om koji rua usluge tipa PAN.
LAN:
Standard 802.11
Brzina 11-54 Mbps
Range srednji
Aplikativnost Enterprise Networks
Koriste se obino za lokalni office ili kunu mreu, baziran na Ethernet-u.
Obino 802.11 mada novi ruteri mogu da koristie b/g/n, IEEE 802.11b i g
radei na 2.4 Ghz dok n radi u 2.4 i 5 Ghz omoguavajui manju interferencu
i bolje performanse.
802.11b - maximum throughput of 11 Mbps, use the 2.4 GHz band
802.11g - theoretical throughput of 54 Mbps, use the 2.4 GHz & uses OFDM

MAN:
Standard 802.11, 802.16, 802.20

Brzina 10-100 Mbps

Range srednji-Dug
Aplikativnost Last Mile Access
Koristi se za konektovanje izmeu lokacije mahom u gradu, koristei
mikrotalase preko antena.
WAN:
Standard GSM,CDMA, Sateliti
Brzina 10 Kbps -2 Mbps
Range Dug
Aplikativnost Mobilni uredjaji
Koristi se za konektovanje vie zgrada, kampusa, satelicki poveznih
kancelarija u razliitim dravama. Najpopularnija WAN mrea je internet.
Wireless WAN koristi mikrotalase ili IR transisiju, ili satelite.
33. Hronologija razvoja i varijante standarda IEEE 802.11. Navrojati
karakteristike i naglasiti novine koje je svaka specifikacija uvela.
Hronologija razvoja i varijante standarda IEEE 802.11

802.11 u svom prvom izdanju je predviao 1 2 Mb/s u 2.4 Ghz opsegu a u

to vreme iani Lan je radio na 10 Mb/s. Bezicni lan je stalno poboljsavan sa
izdavanjem IEEE 802.11a, 802.11b, 802.11g i na kraju 802.11n. Kao primer

802.11 i g mogu da podre do 54 Mb/s, dok 802.11b podrava najvie 11

Mb/s. Data rates raziitih standarda je pod uticajem tehnika modulacija,
DSSS i OFDM, gde OFDM ima bri data rate a DSSS je prostiji i jeftiniji za
implementaciju.
802.11a - je usvoje od strane OFDM modulacijeske tehnike i koristi 5GHz.
Ovi ureaji imaju manje sanse da dozive smetnje nego uredjaji koji rade na
2.4GHz, takodje vece frekvencije omogucavaju koriscenje manjih antena.
Medjutim ovi uredjaji poseduju i manje nedotatke. Vece frekvencije radio
talasa lakse absorbuju prepreke kao sto su zidovi. Druga mana je ta sto
uredjai koji rade na visokom frekvencijama imaju manji domet nego one na
manjim. Neke zemlje ne dozvoljavaju upotrebu frekvencije od 5GHz.
802.11b i 802.11g 802.11b specificne stope podataka 1, 2, 5.5, 11 Mb/s
na frekvenciji od 2.4GHz koristeci DSSS. 802.11g postoze vece brzine
prenosa podataka na toj frekveciji koristeci OFDM modulacijsku tehniku. Ovo
dve varijente su medjusobno kompatibilne jer OFDM podrzava sve brzine
prenosa podataka kao i DSSS i plus 6, 9, 12, 18, 24, 48, 54Mb/s. Uredjaji koji
koriste 2.4Ghz imaju bolji domet nego oni koji koriste 5GHz. Takoje, uredjaji
na ovoj frekvenicji nisu tako lako ometljivi kao na 5Ghz. Najveci problem je
taj sto 2.4Ghz koriste i mnogi drugu uredjaji pa moze doi do smetnji.
802.11n je novi standard koji je uveden sa ciljem da unapredi WLAN.
802.11n koristi vise radija i antena na krajnjim tackama, i svaka emituje
signale na istoj frekvencijiza za uspostavljanje visestruke veze. Visestruki
ulaz/izlaz (MIMO) tehnologija deli visoki data-rate strim u vise nizih strimova i
emituje ih istovremeno preko dostupnih antenna. Ovo omoguava da brzina
podataka teorecki moze da dostigne 248Mb/s koristei dva strima.
34. Problem skrivenog noda. CSMA/CA algoritam.
Problem skrivenog noda nastaje kada imamo dva uredjaja koji se
konektuju na pristupnu tacku ali na suprotnim stanama domasaja pristupne
tacke. Ukoliko mu se pristupna tacka na maksimalnom dometu on nece biti u
stanju da detektuje drugi uredjaj. Ni jedan od ova dva uredjaja ne moze da
oseti drugi uredjai i oni mogu da zapocnu prenos istovremeno.
Ovaj problem se resave pomocu CSMA/CA koji omogucava pregovore izmedju
klijenata i pristupne tacke. Ukoliko je on uklucen pristupna tacka izdvoji
medijum na zahtev klijeta onoliko dugo koliko je potrebno za prenos.

Carrier Sense Multipla Access with Colision Avoidance(CSMA/CA)

uredjaj u WLANu kada naidje na medijum koji je zauzet on ceka da medijum
bude slobodan pre nego sto on zapocne slanje. Posto svi uredjai moraju to da
urade, funkcija koordinacije pristupau medijumu se distribuira. Kada access
point prima podatke od klijenta, on salje potvrdu klijentu da su podaci
uspesno primljeni. Ovo potvrda cuva klijenta od pretpostavke da je nastala
koalzizija i sprecava ga da reemituje podatke.
35. Unutranja struktura tipinog beinog rutera. Ilustrovati nain
povezivanja dva i vie beina rutera na hierarhijsku lokalnu mreu
tako da se svi klijenti bez obzira na to na koji su beini ruter
povezani nalaze na istom VLAN-u.
Bezicni ruter:
Bezicni ruteri vrse ulogu access pointa, eternet switcha i rutera. Npr, obicno
wireless ruteri sadrze bezicne access point, koja obavlja tipicne funkcije
pristupne tacke, zatim imamo 4 porta, 10/100Mbs koji omogucava konekciju
zicnim uredjajima, i na kraju ruter koji sluzi da omoguci komunikaciju uredjaja
koji su konektovani na bezicni ruter. Ako se zeli nain povezivanja dva i
vie beina rutera na hierarhijsku lokalnu mreu tako da se svi klijenti bez
obzira
na to na koji su beini ruter povezani nalaze na istom VLAN-u, onda se
bezicni ruteri povezuju preko portova swicheva unutar njih, a ne preko
portova rutera.

36. Ilustrovati spektar kanala 802.11 standarda. Objasniti i

obrazloiti postupak pri izboru kanala pri postavljanju novog access
point-a.

Kanali 802.11 standarda:

Opseg od 2.4Ghz je podeljen na 11 kanala u Severnoj Americi i na 13 kanala
u Evropi. Podeljeni su na po 5 MHz i ukupni bandwitch kanala od 22MHz.
Poto svaki sledei kanal poinje nakon 5 MHz od centra frekvencije tekueg
kanala, znai da imamo preklapanje izmeu susednih kanala. Prilikom izbora
kanala za WLAN koji koriste vise pristupnih tacaka trebalo bi da se kanali ne
prekplapaju. Ukoliko postoje tri susedne tacke koristimo kanalae 1, 6, 11.
Ukoliko postoje dve bilo koja dva kanala koja se ne preklapaju, tipa 5 i 10.
Vecina pristupnih tacako moze sama da izabere kanal na osnovu susednih
kanala koji su u upotrebi a neki ak stalno motre na raspored pa dinamiki
menjaju svoja podeavanja kao adekvatan odgovor na promenu okruenja.
37. IEEE 802.11 topologije
Ad hoc mreze bezicne mreze mogu funkcionisati bez pristupnih tacaka.
Ukoliko su dva uredjaja konfigurisana da rade u ad hoc modu oni parametre
podesavaju izmedju sebe. 802.11 definie ad hoc mree kao nezavisne BSS
(IBSS). Ovaj nain povezivanja nazivaju jo i Umetnos umreavanja bez
mree. Ad hoc mree se obino prave bacanjem malih ureaja sa senzorima
iz aviona po odreenom geografskom podruju, gde svaki od tih senzora ima
wireless komunikaciju i odreeni stepen intelgiencije za obradu signala i
prosleivanje podataka. Koriste se u vojnim svrhama kako bi se dobilo vie
podataka o stanju na terenu, kretanju neprijateljam eksplozija... Za detekciju
Hemiskih, Biolokih, Radiolokih, Nuklearnih napada i materija. Kao i za
detektovanje promena u avionu, umi, okeanu... nadgledanje saobraaja,
parkinga... Mree se obino sastoje od 10 do ak 100 hiljada vorova.
Potrebno je da malo troe bateriju ili da se samo napajaju, takoe treba da
budu automacki podesive, jer manuelno podeavanje pogotu na
neprijateljskoj teritoriji nije izvodljivo, tako da vor mora da ima mogunost
da se automacki povremeno rekonfigurie. Obino se korite za merenje,

procene i detekcije nekih parametara pa stoga mora da bude omogueno

pristupanje nekom od vorova ili nekoj grupi vorova.

Basic Service Sets pristupne tacke pruzaju infrastrukturu i dodaju servise

i poboljsavaju opseg za klijente. Pristupna tacka u infrastrukturnom modu,
upravlja bezinim parameterima i topologija je BSS. Pokrivena area I za IBSS I
za BSS je basic service area BSA microcell to je podruje pokriveno radio
frekvencijom access point-a, koje se moe proiriti dodavanjem istog.

Extended Service Sets - kada jedan BSS ne moze da obezbedi dovoljni

pokrivenost, jedan ili vise BSS moze da se pridruze preko zajednickog
sisterma u prosirenju skupa usluga, to je ESS. Kod ESS jedan BSS ce se
razikovati od ostalih BSS, to je BSS indentifikator (BSSID).

38. Objasniti proceduru prijave klijenta na access-point, poev od

beacon-a do asocijacije klijenta na AP.
Client and Access Point Association
Beacons frejmovi koje koristi WLAN mreza da obavesti o svom prisustvu.
Probes frejmovi koje koriste WLAN klijenti da nadju svoje mreze

Pristupne tacke emituju beacn i klijenti koji zele da pristupe WLAN mogu da
vide koje pristupne tacke su dostupne u tom podrucju. Pristupne tacke mogu
da emituju beacon periodicno. Pristupne tacke emituje beacon koji sadrzi
SSID, opsege koje podrza i implementiranu zastiti (WPA2). Klijenti osluskuju
beacon i odlucuje na koju pristupnu tacku ce da se konektuju.
Ispitivanje- Kada klijen odluci na koju pristupnu tacku hoce da se konektuje
on salje Probe signal, koji sadrzi ime mreze i brzinu koju klujent podrzava.
Ukoliko klijent zeli da otkrije dostupne WLAN mreze moze da posalje signal
bez SSID i sve pristupne tacke ce odgovoriti.
Autentifikacija ukoliko nam je mreza otvorena, klijent samo posalje
zahtev za autentifikaciju a pristupna tacka mu odgovori sa yes. Drugi nacin,
ukoliko je na mrezi postavljen kljuc. U ovom slucaju klujent salje
auteftikacioni zahtev pristupnoj tacki.Pristupna tacka zatim salje challenge
tekst klijentu, koji enkriptuje poruku koristeci javni kljuc, i vraca sifrovan
tekst nazad. Pristupna tacka zatim desifruje dobijeni enkriptovan tekst sa
nejgovim kljuem i ukoliko se slaze sa poslatim challenge tekstom, znai da
klijent I access point dele isti klju, klijen prelazi u sledeci korak, ukoliko se
ne slazu klijent se odbacuje. ak iako bi javni (deljeni) klju trebalo da budu
implemenitrani I u klijentu I u acc. Point-u ne koristi se ak I nije preporuljivo
zbog hakera.
Asocijacija ova faza zavrsava bezbedosne i opcije brzine, i uspostavlja
vezu izmedju WLAN klijenta i pristupne tacke. Klijent salje svoju MAC adresu,
BSSID tj MAC adresu pristupne tacke i ESS identifikator. Pristupna tacka
obavestava klijenta da je uspesno konektova, ili nije, i ukoliko je konektovan
salje mu i asocijacioni identifikator AID to je zapravo port switch-a. Process
asocijacije dozvoljava infrastrukturi switch-a da prati frame-ove odreene za
WLAN klijenta I takoe mogu biti prosleeni.

39. Na proizvoljnom primeru objasniti priblinu metodu za

odreivanje lokacija access point-a koji ine ESS topologiju.
Planiranje wireless mreze: Planiranej WLAN je vrlo bitno jer on moe da
varira od realtivno prostih instalacija do veoma kompleksnog I isprepletanog
dizajna stoga mora da postoji dobro dokumentovan plan pre same
implementacije. Treba se voditi rauna o broju korisnika koji zavisi od
geografske pokriventosti da se koristie ne preklapajui kanali za vie access

pointa u ESS. Prilikom postavljanja pristupne tacke potrebno je obratiti

paznju na: poziciju iznad prepreka, ukoliko je moguce vertikalno to blize
plafonu i u centru oblasti, postaviti tacke gde se ocekuju korisnice.
Mapa:
Kda planiramo lokaciju access point-a, ne moemo ba jednostavno da
nacrtamo krug na planu poto uvek imamo prepreke, ometanja sa neke
strane. Postoje mesta gde ne moemo da stavimo acc. point zbog raznih
problema I trebamo gledati da ga postavimo tamo gde e korisnika biti
najvie.

Zatim treba izracunati kolika je pokrivenost jedne pristupne tacke. Posto je

pokrivenost kruznog oblika potrebno rasporediti tacke tako da pokriju celu
povrsinu.
Trebamo utvrditi dimenzije prostora za pokrivanje i onda odrediti poluprenik
(radius) naeg wireless-a, I pozicionirati ih tako da u najboljem sluaju radius
pokrivanja susednog access point-a prolazi kroz centar tekueg access pointa.
Onda uvrdimo dimenzije pokrivenosti koji na access point ima, moramo kao
to rekosmo da izraunamo R tj radius (poluprenik) a Z je stranica kvadrata
koji treba da pokrije na access point a on je tangenta koja predstavlja
hipotenuzu jednkorkakog pravouglog trougla, koji se naravno rauna kao Z =
koren iz (2Rna 2), to znai da je R = koren iz (Zna 2 / 2). Z je minimalno
raspojanje izmeu dve presene take krunice opsega dva susedna BSA.

40. Objasniti Man-in-the-middle i DoS napade.

Man-in-the-middle napadac izabere metu tj host koju zeli da napadne, i
pozicionira se logiki izmedju pristupne tacke i hosta. Ukoliko se radi o LAN
mrezi napadac mora da je u mogucnost da se fizicki zakaci na mrezu. Ukoliko
se radi o WLAN napadac moze da pristupi preko radio talasa. Radio signal iz
access point-a moe da uje svako u BSS sa potrebnom opremom, kao to je
laptop sa NIC. Pristupne tacke se ponasaju kao eternet hub, svaki NIC u BSS
cuje sav saobracaj. Ureaj odbacuje bilo koji saobracaj koji nije adresiran na
njega. Napadaci mogu modifikovati NIC svog laptopa, tako da prihvara sav
saobracaj. Sa ovom modifikacijom napada moe izvesti Man In The Middle
napad koristei laptop NIC kao access point. Da bi izvrio napad, haker

odabere stanicu kao menu i koristi softver za snifovanje paketa da bi pration

komunikaciju klijenta i AccP. Ovaj softver moze da kopira korisnicko ime,
password, klijent i server IP adresu gde je sve u clear text-u izmeu stanice
i AccP. Ako bi napda ugrozio access point, on moe potencialno da ugrozi i
sve korsinike na tom BSS, jer on moe da prati celokupni saobraaj na tom
BSS i nauditi bilo kom korisniku koji je na njega konektovan. Borba protiv
ovakvog napada je u sofisticiranoj infrastrukturi mree i nadgledanju ureaja
koji su zakaeni na mreu, stoga moramo izviti autentifikaciju svih ureaja
koji su u redu. Imamo softvere koji prate mreu i im uoe neka ne
svakidanja deavanja i neuobianosti alarmiraju administratora.
DoS Uskracivanje suluga posto 802.11b i g uredjaji koriste 2.4Ghz a tu
frekvenciju koriste i vecina drugih proizvoda, napadaci mogu da kreiraju buku
na svim kanalima na toj frekvenciji. Napada prebaci svoj NIC u access point,
tako da korsiti svoj PC kao AccP i moe da poplavi BSS sa clear-to-send (CTS)
poruka to e onemoguiti CSMA/CA na mrei, pa e AccP plaviti BSS sa
identinim saobraajem izazivajui konstante kolizije.
Drugi Dos napad je da alje niz disassociate komandi to dovodi do tkoga na
se svi korisnici (stations) diskonektuju sa BSS. Kada se prekine veza, stanica
odmah pokusava sa asocijacijom sto stvara nalet saobracaja. Napadac salje
jos disassociate komandi i ciklus se ponavlja.

41. Nabrojati i ukratko opisati beine Security Protokole: open

access, WEP, WPA i WPA2. Koji tipovi enkripcije su dostupni za WPA?

Bezicni protokoli:
WEP, WPA i WPA2 su security protokoli zasnovani na algoritmima za kripciju
podataka radi zatite beicne komunikacije.
Imamo dva tipa autentifikacije sa 802.11 standardnom, sa otvorenim i
deljenim WEP kljuem, dok kod otvorene autntifikacije zapravo nema
autentifikacije, klijent je zahteva i AccPo mu doputa.

Wired Equivalent Privacy

WEP protokol je slab, staticki, i lako se razbija, nije skalabilan i u pozadini

koristi RC4 algoritam.
Najrasprostranjeniji algoritam na svetu, postoji dugo gidna, backwards
compatibility i pojavio se prvi i preao put od 64bit-ne ekripcije, preko
128bit-ne koja se i danas najvie koristi od 256bit-ne. Godine 2005. FBI je
javno demostrirao krekovanje WEP ifre u minutu uz pomo besplatnog
softvera sa ciljem da povea svesnost slabosti WEP algoritma. Penzionisan
2004te godine od strane Wi-Fi Alijanse.
Wi-Fi Protected Access
WPA je standardizovan, jaci, korisnicki orijentisan i dostupni su TKIP i AES
algoritmi za enkripciju.
Najprostoji je WPA-PSK (Pre-Shared Key) koji koristi 256-bit kljueve. Najvee unapreenej
je message integrity checks koji treba da utvrdi da li je napada uhvation komunikaciju izmeu
AccP I klijenta I Temporal Key Integrity Protocol (TKIP). TKIP koristi per-packet system kljua

koji radikalno poveava nivo bezbednosti u odnosu na fiksni klju korien u WEP sistemu.
TKIP je kasnije prevazien sa Advanced Encryption Standard (AES).

Wi-Fi Protected Access II

WPA2 je protokol sa dinamickim kljucem, predstavlja Wi-Fi implementaciju
802.11i koristi TKIP i AES.
Glavna poboljanje je obavezno korienej AES algoritma i uvod u CCMP
(Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) kao zamena
za TKIP koji je jo uvek ouvan u WPA2 kao rezervni system I za interoperabilnost sa WPA.
ak I ovaj prtokol ima svoju manu koja je velika rupa u WPA titu napada vector kroz Wi-Fi
Protected Setup (WPS)m iako je potrebno 2 do 14 asova sa modernim rauanrom da se WPS
iskljui.

Zakljuak, zatite od najbolje:

1.

WPA2 + AES

2.

WPA + AES

3.

WPA + TKIP/AES (TKIP is there as a fallback method)

4.

WPA + TKIP

5.

WEP

6.

Open Network (no security at all)

Idealno je da se iskljui Wi-Fi Protected Setup (WPS) i podesi ruter na WP2 + AES.
WPS - slui za beino povezivanje rutera sa ureajem koji podrava WPS. Uzmimo na
primer telefon koji podrava WPS. Sa telefona "poalje zahtev" za WPS, na ruteru pritisne
WPS taster i telefon se povee sa ruterom. Nema kucanja passworda niti bilo ta slino.
Ukoliko ne eli da kuca password za mreu, koristi WPS (korisno recimo kada doe neki
gost pa hoe da se zakai na mreu, a ti ne eli da mu otkrije password), inae koristi
password i to je to. Znai, samo je pristup jednostavniji.

42. Nabrojati i objasniti korake pri autentifikaciji na beinu mreu

preko AAA server (RADIUS).
Kos mrea koji imaju strikni security potrebno je da se izvri autentifikacija ili
logovanje da bi klijent dobio privilegija kako bi vrio komunikaciju. Ovaj log in
process je voen EAP-om, koji je freamwork za autentifikaciju mrenog
pristupa, IEEE ga je napravio.
Koraci pri autentifikaciji na beinu mreu:

Korak1: 802.11 access point kreira virtualni port za svakog WLAN klijeta.
Korak2: access point blokira sav saobracaj koji nije za 802.1x
Korak3: 802.1x frejm koji nosi EAP autentfikaciju se prenosi preko access
pointa do server koji je zaduzen za autentifikaciju. To je (Authentication utvrivanje identiteta, Authorization - provjera ovlatenja, and
Accounting - Evidentiranje aktivnosti) AAA server koji radi sa RADIUS
protokolom. Taj server bavlja Autentifikaciju, Autorizaciju i povezivanje.
Korak4: ako je EAP autentifikacija uspesna AAA server salje EAP success
poruku access pointu koji dozvoljava saobraaj od WLAN klijenta kroz
virtuelni port
Korak5: pre otvaranja viruelnog porta, link se enkriptuje izmedju access
pointa i WLAN klijnta da ne bi dozvolio upad drugog klijenta na vec otvoreni
port.
Najbolje je korsiti sve metode zatite, kao to je filtriranje po MAC adresi,
iskljuivanje broadcast-a SSID-a i port-based kontrolni mreni pristup WPA2.