Razvoj racunarskim mreza je poceo odprilike kada i razvoj UNIX operativnog sistema - pocetkom sedamdesetih godina. Cilj umrezavanja komunikacione opereme jeste formiranje jednog virtualnog radnog okruzenja unutar koga bi uredjaji razlicitih proizvodjaca delili svoje resurse (procesnu snagu, skupe periferije kao sto su stampaci, ploteri, diskovi i slicno). Pri tome, takvo okruzenje treba da je transparentno tako da korisnih sto manje primecuje njegovo postojanje uz, naravno, puno koriscenje pogodnosti koje ono pruza. Kao primer, na slici 7 je prikazana jedna racunarska mreza sa relativno jednostavnom arhitekturom.
Slika 7: Primer racunarske mreze
Ova racunarska mreza povezuje tri racunara oznacenih kao host A, host B i host C. Za svaki od njih je povezana neka periferija, za host A je vezan ploter, za host C stampac dok je za host B vezano dva terminala. Svaki racunar moze biti sa ili bez konzole koja, naravno, moze biti i graficka sto je u novije vreme sve cesci slucaj. Odgovarajucim interfejsima oni su povezani u jedinstveno mrezno okruzenje.
Pokazimo sada ukratko sta ovakva struktura moze ponuditi kao prednost u odnosu na stanje kada racunari nisu povezani. Tri vrste servisa je vrlo lako ostvariti u ovakvom okruzenju i to: virtualne terminalske sesije, transfer fajlova kao i razmenu elektronske poste. Ova tri servisa imaju poseban znacaj u razvoju racunarskih mreza jer su prve mreze projektovane upravo sa ciljem njihovog obezbedjivanja.
Pretpostavimo da neki od korisnika radi na jednom od terminala vezanih za racunar host B. Bez mreznog okruzenja, on je ogranicen na koriscenje resursa samo pomenutog racunara. U mreznom okruzenju korisnik je u stanju da se prijavi i radi na bilo kom sistemu u mrezi, recimo na racunaru host C, bez obzira sto je njegov terminal vezan za racunar host B. Pri tome, terminal korisnika postaje virtualni terminal racunara host C. Naravno, virtualnu terminalsku sesiju je moguce ostvariti i sa konzola racunara. Krace receno, prostorni polozaj radnih mesta postaje nebitan.
Za racunare u mrezi je odomacen izraz host. Prvi host na koji se korisnik loginuje da bi radio u mrezi se naziva lokalnim hostom dok host sa kojim je ostvarena virtualna terminalska sesija, ili pruza neku drugu mreznu uslugu, predstavlja remote host.
Ovaj servis obezbedjuje prenos podataka sa jednog racunara u mrezi na drugi. Pri tome se kao fizicki medijum koristi mreza a ne neki od prenosnih magnetnih medijuma (trake, diskete, diskovi), sto je uobicajeno u okruzenju bez mreze. Ovo znacajno smanjuje probleme prenosa podataka narocito izmedju racunara razlicitih proizvodjaca kada su formati zapisa na magnetne medijume nekompatibilni, sto je uobicajeni slucaj.
O razmeni elektronske poste je vec bilo reci ranije. Ovde cemo samo istaci dodatne mogucnosti koje mrezno okruzenje omogucava. Jedan racunar koji nije vezan u mrezu moze obezbediti samo komunikaciju izmedju njegovih korisnika dok je u mreznom okruzenju takva komunikacija moguca i sa korisnicima drugih racunara u mrezi.
U sva tri slucaja, kao posebnu prednost, treba istaci cinjenicu da savremena komunikaciona oprema omogucuje povezivanje racunara sa vrlo udaljenih lokacija. Dakle, u mreznom okruzenju je moguce organizovati terminalske sesije, prenos podataka i razmenu elektronske poste izmedju racunara koji su medjusobno udaljeni vise stotina (pa i hiljada) kilometara.
Naravno, pomenuti servisi nisu sve sto danasnje savremene racunarske mreze nude. Sa vremenom se povecavala procesna moc siroko raspolozivih racunara, propusni kapacitet komunikacionih medijuma je takodje rastao pa su samim tim rasle i zelje korisnika a proizvodjaci mreznog softvera i opreme su se trudili da tim zeljama udovolje. Tako su nastali servisi koji se mogu svrstati u nekoliko sledecih klasa: deljenje resursa, organizacija diskless radnih stanica, distribuirane baze podataka, distribuirana obrada podataka i graficke mrezne aplikacije.
Za normalan rad na racunaru postoji potreba za nizom perifernih jedinica kao sto su stampaci, ploteri, diskovi, jedinice trake i tako dalje, a cija cena nije zanemarljiva. Zato je neekonomicno resenje koje svakom racunaru dodeljuje po jedan skup ovih periferija narocito ako se ima u vidu da koriscenje pojedinih periferija ovog tipa nije intenzivno. Mrezno okruzenje omogucuje deljenje ovakvih resursa sto znacajno smanjuje potrebne investicije a ujedno ne umanjuje komoditet rada u odnosu na slucaj kada je svaki racunar opremljen potrebnim perifernim jedinicama. Ako se vratimo na mrezu sa slike 7, ovo znaci da je stampanje ili crtanje na ploteru moguce sprovesti sa bilo kog racunara ove mreze a ne samo sa onih za koje su ove jedinice fizicki vezane. Za jedinice koje su mrezno raspolozive obicno se koriste termini: mrezni stampac, mrezni ploter, mrezna traka, i slicno.
Ovde je posebno interesantan servis koji omogucuje deljenje fajl sistema, to jest diskova. Ovaj servis obezbedjuje da se deo fajl sistema jednog racunara vidi kao deo lokalnog fajl sistema drugog racunara u mrezi. Na primer, deo diska racunara host A sa slike 7 je moguce vezati kao deo lokalnog fajl sistema racunara host B i da u tretmanu, gledano sa korisnicke strane na racunaru host B, izmedju ova dva dela fajl sistema ne postoji nikakva razlika. Slicno kao i ranije, disk koji je mrezno raspoloziv se naziva mreznim a racunari koji nude svoje resurse serverima.
Da bi jedan racunar bio operativan on mora, po ukljucenju, da obavi boot proceduru koja je deo procedure startovanja sistema. U okviru boot faze, operativni sistem koji se obicno nalazi na disku se ucitava u radnu memoriju i startuje se njegovo izvrsavanje. Naizgled, racunar mora da poseduje disk da bi uopste mogao da funkcionise. Medjutim, situacija nije takva. U mreznom okruzenju, ucitavanje operativnog sistema se moze obaviti sa nekog od mreznih diskova sto znaci da jedan sistem moze funkcionisati i bez posedovanja disk jedinica. Ovakvi racunari se nazivaju diskless iz ociglednih razloga. Funkcionisanje sistema nakon boot faze takodje zahteva postojanje fajl sistema. Fajl sistem diskless racunara se takodje organizuje kao deo nekog mreznog diska.
Imajuci u vidu da cena disk jedinica na trzistu opada, napori da se postigne usteda na ovaj nacin prestaju da budu od znacaja tako da se diskless radne stanice sve redje srecu u upotrebi.
Mrezno okruzenje je omogucilo i radikalnu promenu u organizovanju baza podataka razlicitih tipova. Vrlo je cest slucaj da su podaci od interesa uglavnom znacajni za odredjeni prostor i da se povremeno pojavljuje potreba za pretrazivanjem baza vezanih za druge prostorne oblasi. Ovakvi problemi se resavaju tako sto se baza distribuira na vise racunara od kojih svaki cuva podatke lokalnog karaktera i postaje server za to podrucje. Svi serveri se vezuju u racunarsku mrezu i obicno su fizicki locirani u oblast koju predstavljaju. Pretrazivanje i upiti koji se odnose na podatke vezane za lokalno podrucje stizu i zavrsavaju se na lokalnom serveru dok se oni drugi, koji su redji, obavljaju razmenom podataka izmedju servera razlicitih oblasti. Na ovaj nacin je pre svega postignuta decentralizacija azuriranja baza sto znacajno doprinosi valjanosti podataka koji se nalaze u njoj. Ovo je narocito znacajno ako se radi o velikim bazama podataka kao sto su, na primer, baze na nivou cele zemlje.
Postoji citav niz prakticnih problema koji zahtevaju intenzivna izracunavanja pa je njihovo resavanje samim tim vrlo sporo. Jedan od nacina ubrzanja resavanja ovakvih problema jeste paralelizacija, to jest njihovo resavanje uz pomoc viseprocesorskih sistema. Viseprocesorski sistemi jesu raspolozivi na trzistu ali je njihova cena jos uvek visoka. Kompromisno resenje se moze postici angazovanjem vise racunara koji su povezani u mrezu. Ideja se sastoji u tretiranju pojedinih racunara kao procesora jedne jedinstvene virutalne paralelne masine. Problem od interesa se izdeli na manje poslove koji se mogu odvijati paralelno i svaki od njih se dodeli jednom racunaru dok se mreza koristi kao medijum za razmenu podataka izmedju racunara, odnosno, virtualnih procesora.
Aplikacije ovog tipa se mogu posmatrati i kao generalizacija virtualnih terminalskih sesija. Kako je napomenuto, racunari u mrezi obicno poseduju graficke konzole ili su na njih vezani graficki terminali. Mrezno okruzenje moze obezbediti da graficka konzola ili terminal jednog racunara postane virtualni graficki terminal bilo kog racunara u mrezi tako da se rezultati grafickog oblika prikazuju na terminalu korisnika bez obzira sto aplikacija koja prikazuje te rezultate radi na fizicki udaljenom racunaru.
Da bi racunarska oprema razlicitih proizvodjaca mogla biti povezana u jedinstveno mrezno okruzenje bilo je neophodno izvrsiti standardizaciju procedura, to jest protokola po kojima ce se komunikacija odvijati. Godine 1977. ISO je zapoceo rad na standardima ovog tipa a kao rezultat takve aktivnosti nastalo je stotinak protokola koji bi trebali biti medjunarodno prihvaceni. Skup ovih protokola cine OSI (Open System Interconnection) referentni model. Istovremeno, DOD (Department of Defence) u SAD razvija skup standarda, poznatih kao TCP/IP model, i na njima zasniva svoju racunarsku mrezu. Kasnije je, u malo izmenjenoj formi, ovaj model prihvacen kao IEEE standard. Inace, skracenice TCP i IP poticu od Transport Control Protocol i Internet Protocol, respektivno.
I u jednom i u drugom modelu, proces kominiciranja je, sa stanovista bilo kog komunikacionog uredjaja, posmatran kao slojevita struktura poslova koji se sekvencijalno odvijaju redosledom koji zavisi od smera protoka informacija, kako je to prikazano na slici 8. S obzirom da se podposlovi procesa kominiciranja odvijaju sekvencijalno, razmena podataka, to jest interna komunikacija je moguca samo ismedju susednih slojeva. Standardizacija se svodi na propisivanje skupa protokola za svaki sloj modela koji moraju biti ispostovani od strane svih proizvodjaca mrezne opreme.
Slika 8: Odnos OSI i TCP/IP modela
Da bi ovo pojasnili, slikom 9 cemo ilustrovati nacin komuniciranja dva racunara u mrezi (host A i host B) po TCP/IP modelu. Pretpostavimo da postoji potreba da host A posalje paket podataka do racunara host B. Paket podataka se prvo predaje aplikacionom nivou hosta A. Primeljeni paket se na ovom nivou dogradjuje dodatnim podacima (oznaceni sa AH na slici 9) koji ce posluziti istom nivou hosta B, recimo, da detektuje kom procesu su ti podaci namenjeni. Novonastali paket se dalje predaje sledecem, to jest transportnom nivou. Formiranje paketa se nadalje nastavlja po istom principu sve do fizickog nivoa. Paket koji datalink nivo predaje fizickom nivou, pored polaznih podataka, sadrzi i sve relevantne podatke potrebne da se komunikacija sa hostom B ostvari. Takvi su na primer podaci o procesu hosta A koji salje podatke, adresa hosta A, adresa ciljnog, to jest hosta B kao i podaci o procesu hosta B kome je paket upucen. Ovako formirani paket se na fizickom nivou konvertuje u elektricni signal koji se fizickim medijumom prenosi do racunara host B. Na prijemnoj strani, proces prenosa podataka je obrnut tako da aplikacioni nivo hosta B predaje ciljnom procesu originalni paket.
Napomenimo i to da se fizicki nivo realizuje hardverski, to jest mreznim interfejsima, dok se ostali slojevi modela realizuju softverski, cine mrezni softver racunara, a vecina njih je ugradjeno u sam kernel operativnog sistema.
Slika 9: Komunikacija dva racunara kroz mrezu
TCP/IP se, kako se sa slike 8 vidi, razlikuje od OSI modela. U gruboj aproksimaciji se moze reci da se ova dva modela poklapaju do transportnog nivoa. Standardizacija iznad ovog nivoa u TCP/IP modelu je prepustena timovima koji razvijaju mrezne aplikacije, dok to nije slucaj sa OSI modelom. U literaturi se cesto nailazi na dilemu da li je TCP/IP po OSI modelu ili ne? Moze se reci da izvesne aplikacije koje se oslanjaju na TCP/IP podlezu OSI modelu. Jedna takva aplikacija jeste NFS (Network File System), koja u sustini predstavlja standard za organizaciju mreznih diskova. Kako se sa slike 8 moze uociti, struktura NFS-a je nastala deljenjem aplikacionog nivoa TCP/IP modela na tri sloja koji se izvrsno uklapaju u vise slojeve OSI modela.
Koliko je autoru ovog teksta poznato, za sada ne postoji ni jedan sistem koji u potpunosti postuje OSI model. Paketske mreze zasnovane na x.25 protokolu, medju kojima je i nas YUPAK, su realizovane po OSI modelu ali do transportnog nivoa. S druge strane, TCP/IP model je jako popularan, pre svega zato sto je prihvacen i koriscen u najvecoj svetskoj mrezi racunara Internet ali i zbog postojanja brojnih aplikacija sa ovim modelom u osnovi. Iz tih razloga OSI vise predstavlja pomoc u razvoju buducih standarda nego li standard pogodan za implementaciju.
Za obicnog korisnika mreze nije neophodno detaljno poznavanje njene hardverske strukture. Zato ce ovo poglavlje, kao i prethodna, biti vise preglednog karaktera i imace za cilj razjasnjenje osnovnih pojmova i definisanje pravila kojih bi se korisnici trebali pridrzavati.
Mreze lokalnog tipa imaju vrlo jednostavnu strukturu i koriste mali broj razlicite hardverske opreme. Pre svega, ove mreze se odlikuju time da povezuju racunare sa uzeg prostornog podrucja. Takve su na primer mreze u okviru jedne zgrade. Poznate su pod imenom LAN (Local Area Networks) a na slici 10 je prikazana jednostavna mreza ovog tipa.
Slika 10: Jednostavna LAN mreza
U nasoj okolini se najcesce srecu mreze koje koriste Ethernet kao protokol fizickog nivoa a slika 10 upravo predstavlja jednu takvu mrezu. To su mreze sa takozvanom BUS topologijom, kao prenosni medijum koriste koaksijalni kabl karakteristicne impedanse 50 Ohm-a a brzina prenosa podataka je 10MB/s. Da bi mreza ispravno radila koaksijalni kabl mora biti terminiran na oba kraja terminatorima cija je otpornost jednaka karakteristicnoj imedansi kabla. Prikljucci za racunare su izvedeni prekidanjem kabla i umetanjem T konektora.
Za funkcionisanje mreze je od izuzetnog znacaja da konfiguracija, sto se kablovanja tice, izgleda bas onako kao na slici 10. Dakle, neovlasceni korisnici mreze ne smeju otvarati kabl ni u kom slucaju jer ce to prouzrokovati zastoj u radu mreznih aplikacija ostalih hostova u mrezi.
Zbog elektricnih specifikacija, maksimalna duzina segmenta koaksijalnog kabla u mrezi je ogranicena na 160m. Ako duzina kabla potrebnog za formiranje mreze prelazi maksimalnu dozoljenu vrednost, takva mreza se deli na dva ili vise segmenata cija je duzina manja od maksimalne a medjusobno se povezuju bridg-vima ili repeater-ima. Dakle, bridge i repeater predstavljaju komunikacionu opremu koja povezuje dva segmenta iste mreze, kako je to ilustrovano na slici 11. U odnosu na repeater, bridge predstavlja inteligentniji uredjaj sa sposobnoscu filtriranja saobracaja.
Slika 11: Povezivanje dva segmenta iste mreze
Na slican nacin, dve razlicite mreze se povezuju u jedinstvenu celinu upotrebom router-a. Za slucaj da su mreze zasnovane na razlicitim protokolima (recimo TCP/IP i x.25) onda se uredjaji koji ih povezuju nazivaju gateway.
Slika 12: Dve mreze vezane router-om
Za razliku od lokalnih mreza, WAN (Wide Area Networks) povezuju racunare sa sireg prostornog podrucja. Obicno se sastoje od vise podmreza tipa LAN koje su integrisane u jedinstvenu celinu. Takve su, na primer, mreze na nivou gradova ili nacionalne racunarske mreze. S obzirom da rastojanje izmedju pojedinih podmreza moze biti znacajno veliko, mreze tipa WAN za vezu sa udaljenim racunarima obicno koriste javne komunikacione linje (PTT, x.25, ISDN). Na slici 13 je prikazan primer jedne ovakve mreze. Lokalne mreze su i ovde povezane routerima.
Slika 13: WAN
Veze izmedju lokalnih mreza sa slike 13 su izvedene routerima i pripadaju klasi statickih. Ovakve veze se koriste, kako je napomenuto, za povezivanje vise lokalnih mreza cija velicina nije zanemarljiva i gde je protok informacija izmedju njih veliki. Cesto se pojavljuje potreba da jedno malo mrezno okruzenje, ili cak usamljeni host, bude povremeno povezan za vecu mrezu tipa WAN. U ovakvim slucajevima je puno ekonomicnije koristiti dinamicke veze koje se formiraju po potrebi, na zahtev jedne ili druge strane, i u tu svrhu koriste modemske komunikacije. Jedan primer ovakvog povezivanja je prikazan na slici 14.
Slika 14: Funkcija access servera
Obicno je uspostavljanje dinamicke veze inicirano udaljenim hostom. Pre svega, udaljeni host uspostavlja modemsku vezu sa zeljenom mrezom cime se formira virtualni fizicki medijum za komunikaciju. Na ulaz mreze nalazi se access server, uredjaj cija je funkcija slicna routerima u WAN mrezi. Izmedju access servera i udaljenog hosta se uspostavlja kanal sa SLIP (Serial Line Internet Protocol) ili PPP (Point to Point Protocol) protokolima kao nosecim i preko ovog kanala se nadalje odvija kompletna TCP/IP komunikacija. Naravno, protok informacija je dvosmeran i pri tome su na raspolaganju svi mrezni servisi kao da je udaljeni host fizicki prisutan u mrezi. Po zavrsenom poslu, prekid dinamicke veze se obavlja na zahtev jedne ili druge strane.
Svaki racunar u mrezi ima jedinstvenu IP adresu. Adresa racunara se sastoji od cetiri broja od 0 do 255 sto znaci da je adresa duzine 4x8=32 bita. Uobicajeno je da se adrese hostova prikazuju u takozvanoj dot notaciji, kao na primer:
160.99.1.1
Treba napomenuti da se adrese hostovima ne mogu dodeljivati proizvoljno vec se moraju usaglasiti sa odgovarajucim institucijama Internet organizacije. Administrativna sluzba Internet-a obicno dodeljuje samo adrese mreza koje imaju isti oblik kao i adrese hostova ali su manje duzine. Lokalnim administratorima je ostavljena sloboda da ovakvu adresu dalje dele ne podmreze i u okviru podmreza dodeljuju adrese hostovima. Na primer, mreza Univerziteta u Nisu ima IP adresu 160.99, jedna od podmreza Elektronskog fakulteta je, na primer, 160.99.12 a 160.99.12.1 je adresa jednog hosta u ovoj podmrezi. Dakle, adrese hostova Univerziteta u Nisu imaju sledeci oblik:
160.99.n.m
gde je n broj podmreze a m broj hosta.
Medjutim, gledano sa korisnicke strane, puno je jednostavnije adresiranje hostova pomocu njihovih imena. Puno ime racunara (hostname) ima oblik:
ime.poddomen.domen
Na primer, domen mreze Univerziteta u nisu je ni.ac.yu dok elfak predstavlja poddomen Elektronskog fakulteta. Dakle, puno ime jednog racunara u mrezi Elektronskog fakulteta izgleda: venus.elfak.ni.ac.yu. Ovako formirano ime je jedinstveno u razmerama Interneta i jednoznacno odredjuje ovaj racunar.
Veza sa drugim racunarom u mrezi se ostvaruje navodjenjem njegove IP adrese ili punog imena. Pri tome je u drugom slucaju dovoljno navesti samo ime hosta (bez poddomena i domena) ako se lokalni i remote host nalaze u istom poddomenu. Pretostavimo da korisnik radi na racunaru venus.elfak.ni.ac.yu i da zeli uspostaviti virtualnu terminalsku sesiju sa racunarom melmack.elfak.ni.ac.yu. Dovoljno je pri startovanju sesije kao referencu na remote host navesti samo ime melmack jer se i melmack i venus nalaze u istom poddomenu. Medjutim, veza sa racunarom ban.junis.ni.ac.yu se uspostavlja navodjenjem imena hosta i imena poddomena, odnosno ban.junis jer se racunari venus i ban nalaze u istom domenu (ni.ac.yu) ali u razlicitim poddomenima.
Oba nacina adresiranja racunara u mrezi (IP adresa i puno ime) su ravnopravna. Konverzija imena u IP adrese je automatski obezbedjeno takodje jednim od mreznih servisa (DNS - Domain Name Servers) koji u sustini predstavlja distribuiranu bazu imena i adresa hostova.
TELNET(1) |
telnet host
Komanda telnet koristi se za uspostavljanje virtualne
terminalske sesije sa drugim racunarom u mrezi. Parametar u
pozivu ove komande host moze biti ime ili IP adresa
ciljnog hosta. Nakon uspostavljanja veze sa remote hostom,
pojavljuje se standardni login prompt i od korisnika se ocekuje
da prodje uobicajenu proceduru logovanja. Telnet sesija se
zavrsava odjavljivanjem sa remote hosta takodje na standardni
nacin (logout komandom ili sa
Escape karakterom (
primer:
venus 1% hostname venus venus 2% telnet ban.junis Traying 160.99.1.1... Connected to ban.junis.ni.ac.yu Escape character is '^]' IRIX 5.3 (ban.junis.ni.ac.yu) ban login: user_name passwd: ******* ban 1% logout Connection closed by foreign host. venus 3%
% telnet afrodita.rcub.bg % telnet 160.99.1.72 % telnet zmaj.eecs.wsu.edu
RLOGIN(1) |
rlogin -l login_name host
Ovo je jos jedan nacin startovanja virtualne terminalske sesije.
primeri:
% rlogin ban.junis % rlogin melmack % rlogin afrodita.rcub.bg.ac.yu % rlogin afrodita.rcub.bg % rlogin zmaj.eecs.wsu.edu
FTP(1) |
ftp host
FTP (File Transfer Protocol) sluzi za prenos fajlova sa jednog racunara u mrezi na drugi. Kao i do sada, host predstavlja adresu ili ime udaljenog hosta sa koga (ili na koji) se zeli transfer fajlova.
Po uspostavljanju veze sa udaljenim hostom, od korisnika se zahteva da obavi login proceduru koja je vrlo slicna standardnoj pri uspostavljanju terminalske sesije. Dakle, korisnik navidu login ime i password koji odgovaraju remote hostu. Ukoliko je procedura identifikacije uspesno obavljena, ftp ulazi u interaktivni mod i korisnik moze poceti sa radom. U suprotnom se preporucuje izlazak iz programa i ponavljanje procedure.
U sledecoj tabeli su date najznacajnije interaktivne komande programa ftp.
pwd | Daje potpuni put tekuceg direktorijuma na remote hostu. |
!command | Izvrsava komandu command u lokalnom shell-u.
Na primer: !ls lista sadrzaj tekuceg direktorijuma a !pwd ispisuje tekuci direktorijum na lokalnom hostu. |
ls,dir | prikazuju sadrzaj tekuceg direktorijuma na remote hostu. |
cd path | Menja tekuci direktorijum na remote hostu. |
lcd dir | Promena tekuceg direktorijuma na lokalnom hostu. Bez argumenata ispisuje tekuci direktorijum na lokalnom hostu. |
ascii, bin | Postoje dva rezima prenosa fajlova, zavisno od njihovog tipa. Tekstualni fajlovi se prenose u ascii a binarni u bin rezimu. Tekstualni fajlovi se mogu prenositi i u bin modu, medjutim prenos binarnih fajlova u ascii modu dovodi do ostecenja sadrzaja tako da o ovome treba voditi racuna. |
put file_name | Transfer fajla file_name sa lokalnog na remote host. |
get file_name | Transfer fajla file_name sa remote na lokalni host. |
mget file_name | Slicno kao i get samo sto file_name u ovom slucaju moze da sadrzi univerzalne znake (*, ?, []). |
mput file_name | Slicno kao i put samo sto file_name moze da sadrzi univerzalne znake. |
quit | Prekid ftp sesije. |
primer:
% ftp venus.elfak.ni.ac.yu Connected to venus.elfak.ni.ac.yu. Name (venus:srle): dejan 331 Password required for dejan. Password: **** 230 User dejan loged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls ftp> ascii ftp> put paper.txt ftp> get config.txt ftp> bin ftp> mget *.Z ftp> quit %
U vecini racunarskih mreza velikih ustanova obicno postoji po jedan javni ftp server (anonymous ftp) na kome se nalaze podaci dostupni korisnicima bez obzira da li oni poseduju racun na serveru ili ne. Kod pristupa ovakvim serverima korisnik kao login ime navodi ftp ili anonymous a kao password bilo sta, obicno e-mail adresu.
primer:
% ftp ftp.elfak.ni.ac.yu Name (venus:srle): ftp Password: srle@elfak.ni.ac.yu
FINGER(1) |
finger [user[@host]]
Komandom finger se dobijaju podaci o korisniku user na hostu host. Ti podaci obuhvataju njegovo login ime, puno ime, HOME direktorijum, shell koji koristi i slicno. Ako se host parametar ne zada, podrazumeva se da se radi o korisniku na lokalnom hostu. Ako se izostavi user, finger daje spisak korisnika koji su trenutno logovani na racunaru host.
primeri:
% finger Daje spisak prijavljenih korisnika na lokalnom hostu. Slicno kao who ili w. % finger srle Daje podatke o korisniku srle na lokalnom hostu. % finger @ban.junis.ni.ac.yu Daje spisak logovanih korisnika na hostu ban.junis.ni.ac.yu. %finger srle@ban.junis.ni.ac.yu Daje podatke o korisniku srle na hostu ban.junis.ni.ac.yu.
PING(1) |
ping host
Komanda ping moze biti od koristi pri proveri veze ka
nekom hostu. Parametar host moze biti ime ili IP adresa
hosta ka kome se veza zeli proveriti. Ova komanda konstantno
salje pakete specificiranom hostu i ako je veza u redu, pomenuti
host vraca pakete iste sadrzine lokalnom hostu. Na korsnickom
terminalu se ispisuju informacije o vracenim paketima. Komanda se
prekida sa
O koriscenju elekronske poste je vec bilo reci u poglavlju Komuniciranje sa drugim korisnicima. Medjutim, mail je tamo vidjen kao jedan od mogucih nacina za komunikaciju sa drugim korisnicima istog sistema. Ovde ce on biti posmatran kao mrezni servis i bice detaljnije opisan s ciljem njegovog efikasnijeg koriscenja.
Elektronska posta predstavlja brz i pouzdan nacin za razmenu podataka izmdeju korisnika koji mogu biti udaljeni i hiljadama kilometara. Svaki korisnik maila poseduje svoju e-mail adresu i korisnicki racun na bar jednom sistemu u mrezi. E-mail adresa se sastoji od imena korisnika (obicno skraceno) i imena domena medjusobno razdvojenih znakom '@':
name@domain.
Obicno je name login ime korisnika dok je domain puno ime hosta na kome korisnik poseduje racun. Na primer, srle@venus.elfak.ni.ac.yu je e-mail adresa korisnika srle koji ima racun na hostu venus.elfak.ni.ac.yu. Medjutim, e-mail adresa se moze skratiti izbacivanjem imena hostova cime se dobija adresa koja se lakse pamti. Tako su valjane i sledece e-mail adrese:
srle@elfak.ni.ac.yu
srle@ni.ac.yu
i u konkretnom slucaju, poruke poslate na ove adrese stizu na isti host venus.elfak.ni.ac.yu. Takodje, ime u e-mail adresi ne mora da bude login ime korisnika nekog hosta. To moze biti alias ili mailing lista. Na primer, ac-admin@fon.fon.bg.ac.yu nije e-mail adresa korisnika ac-admin na hostu fon.fon.bg.ac.yu vec je to mailing lista administratora akademske mreze Jugoslavije. Poruke poslate na ovu adresu se dalje usmeravaju na 50-tak adresa sirom zemlje.
Koriscenje skracenih e-mail adresa, aliasa ili mailing lista zavise od umeca sistem administratora i konfiguracije mail sistema. Kako adrese sa login imenom i punim imenom hosta funkcionisu bez prevelikih intervencija, mozda je njihovo koriscenje pouzdanije.
Ako se u e-mail adresi kao domen usvoje puna imena hostova, moguca su skracivanja domena po istim principima koji vaze za imena hostova prikazanih u odeljku Adrese i imena hostova u mrezi. Ilustrujmo to konkretnim primerom. Neka korisnik sa hosta venus.elfak.ni.ac.yu zeli poslati elektronsku postu na sledece adrese:
srle@venus.elfak.ni.ac.yu
srle@europa.elfak.ni.ac.yu
srle@ban.junis.ni.ac.yu
srle@afrodita.rcub.bg.ac.yu
Ove e-mail adrese sa pomenutog hosta se mogu skratiti redom:
srle
srle@europa
srle@ban.junis
srle@afrodita.rcub.bg
Princip je jednostavan. Domeni i poddomeni koji su zajednicki u imenu lokalnog i ciljnog hosta se mogu izostaviti. Medjutim, skracivanje e-mail adresa nije neophodno. Adrese sa punim imenom hostova takodje funkcionisu besprekorno.
Dva programa ce nadalje biti objasnjenja, mail i elm. I jedan i drugi predstavljaju korisnicki interfejs ka mail sistemu, to jest sluze sa slanje, prijem i citanje elektronske poste. Program mail je standardni deo UNIX operativnog sistema dok se elm opciono instalira a njegovo postojanje na hostu opet zavisi od sistem administratora. Bez obzira na to, smatramo da je pozeljno da se ovde i on spomene jer je rad sa njim puno komforniji u odnosu na mail program.
MAIL(1) |
Sintaksa poziva programa mail ima dva svoja osnovna oblika. Prvi sluzi za citanje pristigle poste. Nakon login procedure, ako korisnik ima pristiglu postu, od sistema dobija obavestenje o tome sledecim tekstom:
You have mail
Citanje poste se obavlja programom mail koji se u tu svrhu poziva na sledeci nacin:
mail [-f mbox_file]
gde je opcioni parametar apsolutni ili relativni put do mail-box ili folder fajla. Ovi fajlovi sluze za cuvanje pristigle poste. Za svakog korisnika, na sistemskom delu diska (obicno na /usr/mail direktorijumu) postoji fajl sa istim imenom kao i login ime. Ovaj fajl sluzi za smestanje novopristigle poste i ako se mail programu ne zada alternativni mail-box kao takav koristi se ovaj fajl.
Ovako pozvani mail program ulazi u interaktivan mod i onda su na raspolaganju sledece komande:
h | Listanje poruka. |
? |
Citanje naredne poruke. |
? n |
Citanje n-te poruke. |
? d |
Brisanje tekuce poruke. |
? d n m |
Brisanje poruka sa rednim brojem od n do m. |
? s n file |
Snimi poruku n u file. |
? r |
Odgovor (reply) na tekucu poruku. |
? q |
Izlazak iz programa. |
? x |
Izlazak iz programa bez menjanja mail-box fajla. Izbrisane poruke nece biti izbrisane iz ovog fajla. |
Drugi nacin pozivanja programa mail se koristi pri slanju poruka i ima sledeci oblik:
mail [-s subject] name(s)
Parametar subject je opcioni i predstavlja kratak tekst
koji ce se na prijemnoj strani pojaviti pri listanju pristiglih
poruka (komanda h u interaktvnom modu mail-a, na
primer). Drugi parametar, name(s) predstavlja listu od
jedne ili vise e-mail adresa na koje se poruka zeli uputiti.
Nakon ovakvog startovanja programa, ako subject nije zadat
u samom pozivu, mail zahteva od korisnika da ukuca kratak subject
a iza toga tekst poruke. Poruka se zavrsava sa
primer:
% mail hani@europa Subject: poziv na osvezenje Za pola sata pravim pauzu. Da li si raspolozan da odemo na jedan sok. Pozdrav, Srdjan . Cc: caki@lucid.junis % mail -s "poziv na osvezenje" hani
Opisani nacin slanja poruka se ne praktikuje cesto jer su mogucnosti korekcije teksta poruke vrlo male i ogranicene su samo na tekuci red. Zato se on obicno koristi za slanje kracih poruka. Slanje duzih poruka programom mail koristi mehanizam redirekcije. Nekim editorom teksta (VI na primer) formira se fajl sa tekstom poruke. Tekst poruke se unosi u editoru sto znaci da su mogucnosti korekcije gresaka prosirene. Nakon toga se mail salje na sledeci nacin:
mail [-s subject] name(s) < file_name
gde je file_name ime fajla gde je smestena unapred pripremljena poruka.
primer:
% vi paper.tex ..... % mail -s "rad za ICNN" li@eecs.wsu.edu
Svakom korisniku mail sistema je ostavljena mogucnost da formira listu alias adresa osoba sa kojima najcesce komunicira. Prilagodjavanje mail programa potrebama korisnika obavlja se fajlom .mailrc na HOME direktorijumu. Na primer, fajl .mailrc moze isgledati:
set indentprefix="> " set ask set metoo alias sima sima@tomahawk.me.gu.edu.au alias prijatelji zoran@microcom.co.nz tanja@mtcook.co.nz dejan@ibm.com ...
Kod korisnika sa ovakvim .mailrc fajlom slanje poste komandama
% mail sima i % mail sima@tomahawk.me.gu.edu.au
je ekvivalentno jer je sima alias adrese sima@tomahawk.me.gu.edu.au. Takodje je interesantno uociti da prijatelji predstavlja mailing listu, to jest poruka poslata na ovu adresu:
% mail prijatelji
se u stvari distribuira na vise adresa: zoran@microcom.co.nz, tanja@mtcook.co.nz i dejan@ibm.com.
ELM(1) |
Za razliku od programa mail koji, kako se moze primetiti, predstavlja linijski orijentisan interfejs ka mail sistemu, elm je ekranski orijentisan i vodjen menijima sto znaci da ga je puno jednostavnije koristiti. Sto se raspolozivih funkcija tice, elm objedinjuje u jednu celinu uglavnom sve sto vise razlicitih mail programa nude.
Sintaksa poziva elm programa je skoro identicna sintaksi mail programa:
elm [-f mbox_file] elm [-s subject] name(s)
Prvi nacin se koristi kako za prijem i citanje nove poste tako i za slanje dok je drugi nacin, u stvari, nacin za poluinteraktivno koriscenje ovog programa.
Razmotrimo prvo najjednostavniji i najcesce korisceni nacin pozivanja elm-a, poziv bez ijednog parammetra. Nakon startovanja programa ekran terminala dobija izgled vrlo slican sledecem:
Mail box is '/usr/mail/srle' with 6 messages [Elm 2.4 PL24] -> N 1 Mar 22 Tanja Radenkovic (49) Ima li te? N 2 Mar 22 Srdjan Mitrovic (84) Re: poziv na osvezenje NU 3 Mar 22 Zoran Radenkovic (100) software O 4 Mar 21 Caslav Mijuskovic (194) rad za konferenciju 5 Mar 20 Dejan Glozic (10) Stizem kuci D 6 Mar 19 Zeljko Mrcarica (23) Jesi li dobio CD? You can use any of the following commands by pressing the first character; d)elete or u)ndelite mail, m)ail a message, r)eply or f)orward mail, q)uit To read a message, press |
U prvoj liniji se ispisuje tekuci mail-box fajl (u konkretnom slucaju je koriscen sistemski jer drugi nije zadat u pozivu programa), koliko poruka sadrzi i verziju elm programa. Iza toga sledi spisak poruka koje se nalaze u mail-box fajlu. Prvo polje koje se u ovom spisku pojavljuje za svaku poruku jeste status poruke i sastoji se od dva slova. Prvo slovo moze biti:
Naredno slovo oznacava permanentni status i moze biti:
Iza statusa poruke sledi njen redni broj koji se moze kasnije koristiti za brzo referenciranje na nju. Iza toga slede: datum prijema poruke, ime posiljaoca, njena duzina u linijama i subject.
Iza spiska poruka slede: kratko uputstvo najcesce koriscenih komandi na ovom nivou, prompt Command: i kurzor. Na mestu kurzora se ocekuje unosenje komande koja odredjuje dalje akcije programa.
Znaci '->' ukazuju na tekucu poruku koja se moze menjati komandama 'j' i 'k', slicno kao u vi editoru, ili strelicama. Zavisno od konfiguracije elm-a, tekuca poruka moze biti prikazana inverznim tekstom, sto je cesci slucaj od ovog prikazanog u prethodnom primeru.
Na ovom nivou je moguce uraditi uglavnom sve poslove potrebne za prijem, citanje i slanje poste i to na sledeci nacin:
Sve komande koje su raspolozive na ovom nivou nisu prikazane na ekranu (zbog nedostatka prostora) pa se njihovo objasnjenje moze dobiti komandom ?. Medju njima, najznacajnije su sledece:
Iz recenog se jasno mogu uociti prednosti ovog programa a posebno bi istakli sledece: Kompletna konfiguracija, to jest prilagodjenje elm-a potrebama korisnika, kao i azuriranje alias liste se obavlja iz samog programa. Nove i odgovori na pristigle poruke se pripremaju u tekst editoru sto daje vise slobode u korekciji. Sam program vodi racuna da se pristigle poruke smestaju u mail-box fajlove sa imenima korespondenata tako da je evidencija o prepisci sa odredjenom osobom preglednija.
elm se moze koristiti i u poluinteraktivnom modu ako se zadaju argumenti u komandnoj liniji kao sto je napomenuto na pocetku ovog poglavlja. Ako se u samom pozivu programa zada adresa primaoca, na primer:
elm li@eecs.wsu.edu
od korisnika se kasnije zahteva da unese subject, nakon cega se poziva tekst editor da bi se poruka pripremila. Zapisivanje editovanog fajla je ekvivalentno slanju poruke nakon cega se zavrsava rad elm-a. Slicno kao kod mail programa, i ovde se subject moze zadati iz komandne linije i, naravno, moguce je slanje fajlova redirekcijom, kako je to ilustrovano sledecim primerima:
% elm li@eecs.wsu.edu
Kroz sistem elektronske poste je moguce slati samo tekstualne podatke a ne i binarne. Ako bi se mailom slali binarni podaci, oni bi na prijemu bili osteceni. Razmena binarnih podataka uz pomoc elektronske poste je ipak moguca ali uz upotrebu programa za kodiranje i dekodiranje. Ova dva koraka je moguce obaviti komandama uuencode i uudecode. Sledeci primer ilustruje slanje i prijem binarnih podataka elektronskom postom:
% uuencode arhiva.zip arhiva.zip > arhiva.uu % mail -s "Zip fajl uuencodovan" li@eecs.wsu.edu
Na prijemnoj strani, ovakav mail se prvo snimi u fajl pod nekim imenom, recimo stiglo.uu a onda se on dekoduje:
% ls stiglo.uu % uudecode stiglo.uu % ls stiglo.uu arhiva.zip % rm stiglo.uu
Velicina poruka u elektronskoj posti je obicno ogranicena. U nasim uslovima sve poruke su ogranicene na oko 30KB. Zato je velike poruke pogodno pripremiti kao jedan fajl. Pre slanja ovaj fajl treba podeliti na vise manjih i poslati ih na odredisnu adresu kao zasebne poruke. Na prijemu obaviti obrnutu proceduru. Sve mailove koji su deo jedne vece poruke treba snimiti kao fajlove pod razlicitim imenima. Nekim tekst editorom izbrisati iz ovih fajlova zaglavlja koja dodaju mail programi i spojiti ih u jedan fajl. Podela i spajanje fajlova se vrsi komandama split i cat.
primer:
% ls arhiva.uu % split -b 30k arhiva.uu % ls arhiva.uu xaa xab xac % elm -s "uuencoded arhiva.zip, part 1/3" li@eecs.wsu.eduarhiva.uu % uudecode arhiva.uu
NFS (Network File System) je mrezni servis koji omogucava kreiranje i koriscenje mreznih diskova. Njegovo koriscenje je vrlo jednostavno jer je servis potpuno transparentan za korisnika a mrezni disk se ponasa apsolutno isto kao i delovi lokalnog fajl sistema.
Koriscenje ovog mreznog servisa cemo ilustrovati na par konkretnih primera. Posmatrajmo dva hosta u mrezi host A i host B. Neka je stablo lokalnih fajl sistema ovih hostova kao na slici 15 pri cemu su, jednostavnosti radi, prikazani samo direktorijumi bez fajlova. Neka je direktorijum /pub na hostu B eksportovan, to jest definisan kao deo diska koji ostali hostovi u mrezi mogu koristiti kao mrezni. Na hostu B se nalazi direktorijum /mnt koji treba du bude prazan. Administrator hosta B onda ima mogucnost da deo fajl sistema hosta A, ispod direktorijuma /pub preslika kao deo fajl sistema hosta B pod direktorijumom /mnt, recimo komandom oblika:
# mount hostA:/pub /mnt
Slika 15: Stanje pre montiranja mreznog dela diska
Fajl sistem hosta B se menja i dobija oblik kao na slici 16. Ocigledno je da su svi poddirektorijumi direktorijuma /pub na hostu A postali poddirektorijumi direktorijuma /mnt na hostu B. Put do direktorijuma corel, na primer, na hostu A glasi /pub/win/corel dok je put do istog direktorijuma na hostu B /mnt/win/corel. Pri ovome treba imati u vidu da se direktorijumi i fajlovi ispod /mnt direktorijuma hosta B ipak fiziki nalaze na hostu A.
Slika 16: Stanje posle montiranja mreznog dela diska
Rad sa ovako definisanim mreznim diskom je identican kao da je on deo lokalnog fajl sistema. Tako na primer:
% cp /bin/fm.cfg /mnt/files/abc.cfg kopira fajl fm.cfg sa lokalnog diska na mrezni, a % ls /mnt/win/corel lista zadrzaj direktorijuma /mnt/win/corel koji je deo mreznog diska.
NFS se uglavnom primenjuje iz sledecih razloga:
U prethodnim primerima je podrazumevano da i host A i host B koriste UNIX operativni sistem. Medjutim, to nije ogranicavajuci faktor. Mrezni disk se moze konfigurisati i izmedju racunara sa razlicitim operativnim sistemima. Na slici 17 je prikazana situacija kada host B koristi DOS. Slicno kao u prethodnom primeru, deo diska ispod direktorijuma /pub hosta A je montiran na host B i vidi se kao E: particija. Particija E se tretira kao DOS fajl sistem bez obzira sto je ona fizicki locirana na UNIX hostu tako da je mogu koristiti sve DOS aplikacije. Kopiranje fajlova i listanje sadrzaja ove particije, na primer, obavlja se standardnim DOS komandama:
C:\> copy autoexec.bat e:\win\corel C:\> dir e:\win\corel /w
Slika 17: NFS izmedju UNIX i DOS racunara
NFS se i pod DOS-om koristi iz istih razloga kao izmedju dva UNIX racunara: zboj povecanja kapaciteta lokalnog fajl sistema kao i deljenja fajlova izmedju vise racunara u mrezi.
Obezbedjivanje sigurnosti podataka na racunaru podrazumeva sprecavanje njihovog neovlascenog citanja i menjanja. Ovo je izuzetno znacajan zadatak koji u mreznom okruzenju postaje jos znacajniji. Na sigurnost podataka uticu svi subjekti pocev od korinika do administratora sistema i mreze tako da je integracija njihovih napora da se sigurnost drzi na visokom nivou jako pozeljna.
Hijerarhijski, sigurnost podataka kao i intervencije za njeno poboljsanje se mogu posmatrati na tri nivoa:
Za sigurnost korisnickog racuna je u najvecoj meri odgovoran sam korisnik sistema. Zadatak na ovom nivou se svodi na sprecavanje koriscenja racuna kao i citanje i menjanje sadrzaja korisnickih fajlova od strane neovlascenih osoba. Da bi se ovo sprecilo, korisnik mora postovati nekokliko opstih pravila:
Umesto ovoga koristiti:
Za sigurnost sistema je pre svega zaduzen administrator ali ona zavisi i od sigurnosti korisnickih racuna. Dakle, pored pravila koja su preporucena za osiguranje korisnickih racuna, sistem administratori treba da vode racuna i o sledecem:
Obicni korisnici ne smeju imati pravo pisanja u ove fajlove a za neke ni pravo citanja.
Odrzavanje sigurnosti podataka u mreznom okruzenju jeste kompleksan problem a za njegovo resavanje je zaduzen administrator mreze. S obzirom da mrezu cini veci broj racunara i da svaki od njih predstavlja potencijalnu rupu u sigurnosti, to je verovatnoca neovlascenog pristupa podacima u mrezi povecana. Pristup racunarima u mrezi je, kako smo videli, moguc i sa vrlo velikih rastojanja sto znaci da kontrola fizickog pristupa racunarima u ovom slucaju nije dovoljna. Sve ovo pokazuje da se zastita od neovlascenih pristupa mreznom okruzenju mora uraditi sa posebnom paznjom.
Da bi jedno mrezno okruzenje bilo dobro zasticeno svi racunari u mrezi kao i korisnicki racuni na njima moraju biti obezbedjeni. Posebno treba naglasiti da je stepen zasticenosti jedne mreze jednak sigurnosti najlosije zasticenog racunara u njoj s obzirom da neovlasceni pristup jednom racunara dozvoljava istovremeno i pristup podacima koji se razmenjuju kroz mrezu. Dakle, svi hostovi u mrezi moraju biti jednako dobro sticeni. Ne postoje bitni i manje bitni hostovi.
Kako je vec receno u poglavlju Mrezni hardver, racunari u mrezi medjusobno razmenjuju podatke koristeci jedan ili vise fizickih medijuma kao sto su na primer koaksijalni kablovi, serijski kablovi i slicno. Pri tome, podaci se obicno prenose bez kriptovanja ili kodovanja. Postoje uredjaji (protokol analajzeri) koji su u stanju da prisluskuju ovakve medijume i da na svojim monitorima prikazuju podatke koji se krecu kroz njih. Mada se ovakvi uredjaji koriste za otkrivanje gresaka u toku razvoja mreze, ocigledno mogu biti i zloupotrebljeni. Takodje postoje softverski alati koji se instaliraju na standardnim racunarima i sluze za snimanje saobracaja na mrezi. Sve ovo predstavlja jos jednu dodatnu opasnost od neovlascenog pristupa podacima. Dakle, pored standardnih procedura za zastitu korisnickih racuna i sistema, neophodno je uloziti i dodatne napore da bi mrezno okruzenje bilo zasticeno. Nadalje ce biti prikazno nekoliko preporuka za povecanje sigurnosti mreze i racunara koji je cine.
Problem prisluskivanja prenosnih medijuma se moze resiti fizickim obezbedjenjem mreznih instalacija. Medjutim, ovo je tesko izvodljivo narocito u mrezama tipa WAN gde su korisceni i javni komunikacioni kanali. U svakom slucaju, bar kablove lokalne mreze treba obezbediti od neovlascenog pristupa.
Problem snimanja saobracaja na mrezi softverima koji se instaliraju na racunarima se resava zastitom racunara a narocito racuna super korisnika na njima.
Imajuci u vidu da postoji opasnost od snimanja saobracaja na mrezi, treba izbegavati login na vrlo udaljene hostove a narocito ne na racun super korisnika jer je tajnost passworda ugrozena.
Poruke poverljive sadrzine obavezno kriptovati pre slanja elektronskom postom. Softverski paket PGP (Pretty Good Privacy) je zadovoljavajuce resenje jer mu je pouzdanost vrlo bliska vojnim standardima. Takodje, preporucuje se i kriptovanje fajlova koji sadrze poverljive podatke.
Postoji jos jedan izvor opasnosti po sigurnost mreze a to su aktivnosti na protokolima nizeg nivoa (recimo na mreznom, odnosno IP nivou). Pored toga sto je tesko otkriti ovakve nedozvoljene aktivnosti tesko je i boriti se protiv njih. Administratorima mreza se preporucuje povremeno snimanje i analiziranje saobracaja. Cinjenica je da se pri tome dobija pregrst informacija koje je tesko obraditi bez pomoci specijalizovanih softverskih alata. Na zalost, takvi alati nisu javno raspolozivi pa bi jedan od zadataka administratora mreze bio i razvoj jednog takvog alata za potrebe konkretnog okruzenja.
Fire Wall se u novije vreme pojavljuje kao jedan od efikasnijih nacina zastite racunarskih mreza na nivou protokola. Treba odmah naglasiti da Fire Wall nije ni hardver ni softver ciji je zadatak sticenje mreze vec i jedno i drugo a najvise filozofija u pristupu resavanja ovog problema. Jedna od mogucih konfiguracija zastite mreza Fire Wall-om je prikazana na slici 18.
Slika 18: Fire Wall
Lokalna racunarska mreza se ovde tretira kao unutrasnji svet i od spoljasnjeg sveta je izolovana Fire Wall-om. Najkrace receno, Fire Wall predstavlja inteligentni filter protoka informacija izmedju unutrasnjeg i spoljasnjeg sveta. Njegov zadatak je da otkrije pakete koji su deo pokusaja nedozvoljenih aktivnosti i da spreci njihov prolaz do lokalne mreze. U konkretnom slucaju, Fire Wall je realizovan od tri uredjaja (dva racunara i jednog routera) koji su usko specijalizovani za ovu namenu. Mrezni softver svakog od njih je namerno napravljen nestandardno. Host B je direktno izlozen spoljnjem svetu, prihvata standardne pakete i konvertuje ih u nestandardne. Host A prihvata nestandardne pakete sa hosta B, vraca ih u okvire standarda i emituje u lokalno mrezno okruzenje. Slicno se odvija prenos paketa iz lokalne mreze ka spoljnjem svetu. Softver routera je takodje nestandardan i projektovan tako da propusta samo nestandardne pakete. Gledano spolja, umesto lokalne mreze, vidi se samo host B. Mrezne aplikacije tipa finger nisu dozvoljene tako da se spolja ne moze dobiti informacija o strukturi lokalne mreze kao ni o korisnickim racunima sto uveliko smanjuje verovatnocu njihovog razbijanja. Koriscenje nestandardnog mreznog softvera u Fire Wall-u ima svojih prednosti. U ovakvim okolnostima, sigurnost lokalne mreze ne zavisi od sigurnosti hosta B koji je direktno izlozen spoljnjem svetu i predstavlja potencijalnu metu napada.
Problem konfiguracije Fire Wall-a nimalo nije jednostavan. Kako on predstavlja filtar saobracaja to se konfiguracija svodi na definisanje pravila na osnovu kojih se donosi odluka koji paketi mogu da prodju Fire Wall a koji ne. Na raspolaganju obicno stoje mogucnosti definisanja pravila za protokole na svim nivoima. Na primer, na mreznom (IP) nivou je moguce dozvoliti da lokalna mreza moze razmenjivati podatke samo sa jednom mrezom ili (sto je jos rigoroznije) sa jednim hostom iz spoljnjeg sveta.