Académique Documents
Professionnel Documents
Culture Documents
Section
Administration rseau
Administration rseau
Introduction
De la ncessit du rseau ! 90% des services linux sont bass sur le rseau Vous vivez dans un monde interconnect !!! Les bases du rseau
Pile TCP/IP
Couche 4 : transport (gestion des connexions) Couche 3 : rseau (routage) Couches 1-2 : physique, liaison (transfert entre 2 machines relis par une voie physique)
Ethernet , ATM,
TCP
UDP
IP
ICMP
ARP Ethernet
RARP
RIPE (www.ripe.net) soccupe des adresses europennes AfriNIC (www.afrinic.net) soccupe des adresses africaines APNIC (www.apnic.net) soccupe des adresses asiatiques et pacifiques ARIN (www.arin.net) soccupe des adresses de lAmrique du nord LACNIC (lacnic.net/en/index.html) soccupe des adresses de lAmrique latine et des Carabes
26/09/2005 Legond-Aubry Fabrice
7 bits
24 bits
0 network
14 bits
host
16 bits
network
21 bits
host
8 bits
network
28 bits
host
host
28 bits
host
9
9
Nombres de rseaux par classe Classe A : 126 (27-2) rseaux possibles de 16 777 214 (224-2) machines Les bases du rseau Classe B : 16 382 (214-2) rseaux possibles de 65 534 (216-2) machines Classe C : 2 097 150 (221-2) rseaux possibles de 254 (28-2) machines Classe D : adresses de diffusion (multicast) Classe E : adresses rserves pour des usages futurs
10 10
Rseaux non routables Ce sont des rseaux qui ne seront jamais attribus une entit Les bases du rseau Ils ne sont pas routable sur internet Ils sont rservs un usage priv / interne :
1 rseau de classe A : 10.0.0.0 15 rseaux de classe B : 172.16.0.0 - 172.31.0.0 255 rseaux de classe C : 192.168.0.0 - 192.168.255.0
11 11
Ladresse de diffusion (broadcast) tout le sous-rseau : Tous les bits dadresse host 1
Exemple: 193.22.143.255
Le masque de sous rseau: Tous les bits dadresse host 0, tous les bits dadresse rseau 1
Exemple: 255.255.255.0
26/09/2005 Legond-Aubry Fabrice
12 12
Exemples
132.227.64.15
Classe B (10)
Partie machine
Partie rseau
Sans doute 50% des adresses distribues ne servent pas! Agrgation des classes C gonflement des tables de routages
Autres solutions ?
Les rseaux brls avec translation d'adresse (NAT) ? CIDR (Classless Inter-Domain Routing)
26/09/2005 Legond-Aubry Fabrice
14 14
La base du rseau
network
21 bits
host
11 bits
network
host
15 15
16 16
17 17
Dfinit o envoyer tous les paquets qui ne sont pas destins au rseau local
switch switch
Internet
Router
legond@hebe > netstat -r Kernel IP routing table Destination Gateway 132.227.64.0 * 127.0.0.0 * default castor
Flags U U UG
MSS 0 0 0
Window 0 0 0
irtt 0 0 0
Ligne 1 : L'accs au rseau local (ethernet) de l'hte Ligne 2 : La boucle locale (loopback) pour les messages qui ne sortent pas du site Ligne 3 : L'accs un routeur par dfaut qui permet de passer sur l'internet
26/09/2005 Legond-Aubry Fabrice
18 18
Adresse machine
Adresse broadcast
Masque rseau
19 19
Lien couche liaison (ethernet) / rseau (IP) Liaison entre la couche rseau (@IP) et la couche liaison ethernet (@MAC)
Utilisation des protocoles ARP et RARP Ds quune machine a besoin de savoir quelle @MAC correspond une @IP, elle diffuse une demande de correspondance sur le rseau physique
root@scylla > tcpdump -f -i eth0 arp or rarp 01:52:55.652713 arp who-has eros tell scylla 01:52:55.652910 arp reply eros is-at 00:c0:4f:89:d0:6c
20 20
Lien couche liaison (ethernet) / rseau (IP) Gestion du cache des couples @IP/@MAC Routage IP et couche liaison
arp affiche et manipule les informations de la table
root@scylla > arp -a morphee (132.227.64.42) at 00:30:13:3D:2B:65 [ether] on eth0 castor (132.227.64.15) at 00:10:0D:3D:C4:00 [ether] on eth0
21 21
Lien couche liaison (ethernet) / rseau (IP) Gestion du cache des couples @IP/@MAC Routage IP et couche liaison
arping permet denvoyer des requtes arp/rarp
root@scylla > arping diane ARPING 132.227.64.48 from 132.227.64.30 eth0 Unicast reply from 132.227.64.48 [00:11:95:22:03:30] Unicast reply from 132.227.64.48 [00:11:95:22:03:30]
0.674ms 0.653ms
22 22
23 23
Paquets TCP
missions en mode connect Transmissions point--point exclusivement avec qualit de transmission
Il faut savoir configurer vos routeurs pour ne pas diffuser tous les paquets de broadcast!
26/09/2005 Legond-Aubry Fabrice
24 24
On dsigne un processus par un numro de port Il existe des ports officiels associs un type particulier de service Il existe des ports libres qui peuvent tre associs des applications utilisateur La liste officiel des correspondances ports/service
Fichier /etc/services Sur le web : http://www.iana.org/assignments/port-numbers Sur les sites de scurit pour les ports suspects (iss.net, neophasis)
26/09/2005 Legond-Aubry Fabrice
25 25
Les ports
Les ports 1 1023 sont privilgis : ils ne peuvent tre ouverts quavec les droits root . Les ports 1024 65535 sont non privilgis (ou phmres) et peuvent tre ouvert par tous les utilisateurs.
Un processus peut ouvrir plusieurs ports Un ports ne peut tre contrl que par un processus Contenu du fichier /etc/services :
... ftp-data ftp-data ftp ssh telnet ...
Pour la scurit et le contrle daccs Contrle daccs aux services rseaux par /etc/hosts.allow et /etc/hosts.deny
26/09/2005 Legond-Aubry Fabrice
26 26
Les bases du rseau Configuration rseau Routage IP et couche liaison Couche Transport : TCP/UDP
Configuration rseau
Outils rseau DHCP DNS
27 27
Une machine, plusieurs prises rseaux Une machine peut avoir plusieurs cartes rseaux Un maximum de 64 cartes par machines Configuration rseau Pourquoi faire ?
Routeurs, Firewalls Transferts entre rseaux Agrgation de liens, rpartition de charge, tolrance aux fautes
28 28
Le nom des cartes rseaux Linux supporte jusqu 256 adresses virtuelles
XXXNN:VV
Configuration rseau
Type de rseau
Ethernet (eth) Myrinet Loopback (lo)
Numro de carte
0 1 2
Exemples (Ethernet): eth0 eth1 eth0:1 device = /dev/eth0 device = /dev/eth1 device = /dev/eth0
29 29
Configuration rseau
/etc/rpc (correspondance nom de procdure/n de procdure) /etc/networks (correspondance nom de rseau/n de rseau) /etc/protocols (correspondance nom de protocole/n de protocole) /etc/ethers (correspondance IP/n Ethernet)
Le fichier /etc/resolv.conf permet de dfinir comment lier une IP et un nom de machine (par fichier ou par DNS)
30 30
Mandrake /etc/sysconfig/networkscripts/ifcfg-eth0
Configuration rseau
DEVICE=eth0 BOOTPROTO=static IPADDR=132.227.64.30 NETMASK=255.255.255.0 NETWORK=132.227.64.0 BROADCAST=132.227.64.255 ONBOOT=yes
Gentoo /etc/conf.d/net
iface_eth0="132.227.64.31 broadcast 132.227.64.255 netmask 255.255.255.0" gateway="eth0/132.227.64.15"
26/09/2005 Legond-Aubry Fabrice
31 31
Configuration rseau
La configuration de la carte se fait par ifconfig ou ethtool Laffichage et la manipulation de la table de routage IP se fait par la commande route Lensemble du contrle TCP/IP peut se faire par la commande ip
26/09/2005 Legond-Aubry Fabrice
32 32
Les bases du rseau Routage IP et couche liaison Outils rseau Couche Transport : TCP/UDP Configuration rseau
Outils rseau
DHCP DNS
33 33
Outils rseau
netstat r affiche la table de routage host nom permet dobtenir lIP ou le nom de la machine resolveip ip permet dobtenir lip dune machine (ou dune IP) telnet machine port permet douvrir sur une connexion sur un service dune machine distante clockdiff permet dobtenir le dcalage temporel entre deux machines
34 34
Savoir quel(s) processus sont en contact avec les ports 1 1024 de ares.lip6.fr
lsof i @ares.lip6.fr:1-1024
35 35
Informations sur le rseau : dig/nslookup Interroger un dns pour obtenir un nom de machine ou une ip : nslookup dig est identique nslookup mais il offre plus doptions Outils rseau
legond:@eos > nslookup www.lemonde.Fr Server: 132.227.64.13 Address: 132.227.64.13#53 Non-authoritative answer: www.lemonde.Fr canonical name = www.lemonde.fr.d4p.net. www.lemonde.fr.d4p.net canonical name = a245.g.akamai.net. Name: a245.g.akamai.net Address: 193.50.203.46 Name: a245.g.akamai.net Address: 193.50.203.53
36 36
Informations sur le rseau traceroute , traceroute6 , tracepath et tracepath6 permettent de voir le chemin jusqu une machine Outils rseau
legond@scylla > tracepath www.lemonde.fr 1: scylla (132.227.64.30) 1: castor (132.227.64.15) 2: r-jusren.reseau.jussieu.fr (134.157.254.126) 3: gw-rap.rap.prd.fr (195.221.127.181) 4: jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 5: nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 6: 193.50.203.53 (193.50.203.53) Resume: pmtu 1500 hops 6 back 6 0.258ms pmtu 1500 1.519ms 1.557ms asymm 4 2.292ms 2.541ms 2.364ms 3.787ms reached
legond@scylla > traceroute www.lemonde.fr traceroute to a245.g.akamai.net (193.50.203.53), 30 hops max, 38 byte packets 1 castor (132.227.64.15) 1.334 ms 1.211 ms 1.387 ms 2 r-jusren.reseau.jussieu.fr (134.157.254.126) 0.821 ms 1.305 ms 0.614 ms 3 gw-rap.rap.prd.fr (195.221.127.181) 1.760 ms 1.672 ms 1.545 ms 4 jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 1.343 ms 0.790 ms 1.184 ms 5 nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 1.617 ms 1.605 ms 1.479 ms 6 193.50.203.53 (193.50.203.53) 1.911 ms 1.921 ms 0.893 ms
37 37
Analyser le rseau
Commandes SunOS : etherfind, snoop tcpdump permet la capture et le filtre des communications entre les machines et/ou les services
Capturer toutes les communications provenant de zeus
Outils rseau
tcpdump
38 38
La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DHCP Configuration rseau Outils rseau
DHCP
DNS
39 39
DHCP
40 40
Utilit du DHCP
Permet une gestion centralise des adresses IP Utilise les @ MAC du ct du serveur Le serveur peut assigner des @IP fixe en fonction de ladresse MAC du client Le serveur peut assigner des @IP dynamiques temporaires Une mme adresse peut tre utilise pour dsigner plusieurs machines au cours du temps Il nest pas ncessaire davoir autant dadresses que dabonns si tous les abonns ne se connectent pas en mme temps Permet de changer facilement la configuration rseau dune machine Permet linstallation ou le dmarrage de machine par le rseau (BOOTP) Permet la gestion des machines sdentaires et mobiles DHCP souvent considr comme une faille de scurit Configuration automatique sur des clients inconnus
26/09/2005 Legond-Aubry Fabrice
DHCP
41 41
Le protocole DHCP
RFC 951 (Bootp) , 1542, 2131 (dhcp), 2132 Les requtes et les messages DHCP
DHCPDISCOVER: envoy par le client pour localiser les serveurs DHCP disponibles DHCPOFFER: rponse du serveur un paquet DHCPDISCOVER, qui contient les premiers paramtres (en particulier ladresse IP du serveur)
DHCP
DHCPREQUEST: contient les requtes diverses du client (ex: prolongation dun bail) DHCPACK: rponse du serveur qui contient des paramtres et l'adresse IP du client DHCPNAK: rponse du serveur pour signaler au client un refus DHCPDECLINE: le client annonce au serveur que l'adresse est dj utilise DHCPRELEASE: le client libre son adresse IP DHCPINFORM: le client demande des paramtres locaux, il a dj son adresse IP
26/09/2005 Legond-Aubry Fabrice
42 42
Le protocole DHCP
DHCP
Le serveur rpond simplement par un DHCPACK avec l'adresse IP pour confirmation de l'attribution
Il y a vrification, par le serveur, de lIP qui va tre attribue en utilisant le protocole ICMP Echo Request En cas de duplication , le serveur envoie DHCPDECLINE, et on recommence
26/09/2005 Legond-Aubry Fabrice
43 43
DHCP: Complment
DHCP
DHCP est un protocole assez bas niveau. Toute adresse IP dlivre par un serveur DHCP a une dure de vie appele bail . A la moiti de la dure du bail, un client doit renouveler son bail. Le client peut en faire la demande en envoyant un DHCPREQUEST. Le serveur vrifie la prsence du client la fin du bail en envoyant un DHCPNACK. En cas de non rponse ladresse est libre pour r-utilisation
26/09/2005 Legond-Aubry Fabrice
44 44
DHCP
} }
45 45
Redondance DHCP
Si vous choisissez DHCP comme service dattribution dIP pour toutes vos machines, il devient critique !! Le DHCP nest pas fait pour les serveurs Si vous dployez une solution base totalement sur DHCP, en cas de crash plus de rseau
DHCP
Relai DHCP entre des sous-rseaux : dhcrelay Redondance possible pour plus de sret. On ajoute au fichier /etc/dhcpd.conf :
failover peer "eros" { primary; #THIS PRIMARY DHCP SERVER (132.227.64.25=eros.lip6.fr) address 132.227.64.25; port 520; # port dcoute pour lchange dinformations entre serveurs #PEER SLAVE DHCP SERVER (132.227.64.26=no dns entry) peer address 132.227.64.26; peer port 519; # port dcoute pour lchange dinformations entre serveurs #nombre de secondes avant que lautre hte ne prenne le relai load-balance-max-seconds 3; }
26/09/2005 Legond-Aubry Fabrice
46 46
La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DNS Configuration rseau Outils rseau DHCP
DNS
26/09/2005 Legond-Aubry Fabrice
47 47
Historique
Les usagers prfrent utiliser les noms logiques ! Exemples :
Adresse courrier (legond@src.lip6.fr) plutt quune adresse IP (legond@[132.227.64.100]) Nom de site web (http://www.hardware.fr) plutt quune URL IP (http://83.243.20.80)
DNS
Besoin dun ensemble de mcanismes de cration, dadministration, de mise en relation pour des noms logiques, des adresses, des attributs.
Au dbut de l'Internet, les noms taient dfinis localement sur chaque hte dans un fichier (/etc/hosts en UNIX). Mise jour de /etc/hosts par ftp la nuit automatiquement ou manuellement partir dune version rfrence pour suivre lvolution du rseau Internet
26/09/2005 Legond-Aubry Fabrice
48 48
Historique
Nombre de machines
100000000 90000000 80000000 70000000 60000000 50000000 40000000 30000000 20000000 10000000 0
19931 19932 19941 19942 19951 19952 19961 19962 19971 19972 19981 19982 19991 19992 20001 20002 20011 20012
DNS
Annes
49 49
DNS
Un des protocole de base de linternet . Fonctions principales: CEST UN ANNUAIRE DE MACHINES DNS permet dassocier un nom humain une adresse IP et vice-versa Spcificits du protocole DNS Le DNS offre un identifiant textuel unique ! Accessible au moyen dun espace de nommage hirarchique unifi De mme quil existe une adresse rseau et une adresse machine, il existe des noms de domaines et des noms de machines
26/09/2005 Legond-Aubry Fabrice
50 50
edu php
net fnac
com fnac
fr lip6
us edf
DNS
Sous-domaines
227 64
Feuille Valeur
100 src.lip6.fr
www
www
www
eos
src
132.227.64.100
Module AAS Administration Rseau LEGOND Fabrice 51 51
www.lip6.fr
Hte Domaine Domaine racine
www.infop6.jussieu.fr
Hte Sous-Domaine Domaine Domaine racine
DNS
Aux niveaux intermdiaires: Des noms de domaines (qui sont des sous-domaines). Au niveau des feuilles: Des sous-domaines composs dhtes ou dfinissant des services.
26/09/2005 Legond-Aubry Fabrice
52 52
Domaines DNS
Des domaines connus :
.com : Organismes commerciaux (Verisign) .net : Prestataires rseaux (Verisign) .org : Autres organisations (Verisign) .info : Orgs dinformation (Afilias Limited) . Code pays : entreprises et services dun pays (avec le nouveau .eu) .edu : Institutions dducation US .gov : Organisations gouvernementales US
DNS
..
26/09/2005 Legond-Aubry Fabrice
53 53
DNS
Lorganisation grant un domaine peut dlguer la gestion dun sous-domaine. Pour crer un sous-domaine, il faut donc avoir lautorisation de lorganisme grant le domaine pre. IMPORTANT: lorganisation DNS est diffrente de la topologie IP sous jacente !
26/09/2005 Legond-Aubry Fabrice
54 54
DNS
55 55
Dsignation et recherches
FQDN : Fully Qualified Domain Name
Construit en suivant le chemin de la racine aux feuilles On spare les intermdiaires par des . Ex: www.java.sun.com, www.infop6.jussieu.fr
DNS
Nom non-fqdn : ce sont des noms relatifs qui sont recherchs dans le domaine courant
Ex: www, www.ufr-info-p6
La recherche :
se fait par dfaut dans le domaine auquel appartient le serveur est tendu au domaine . en cas dchec peut tre force partir du rpertoire racine en ajoutant un . la fin de la chane cherche
26/09/2005 Legond-Aubry Fabrice
56 56
Modes de recherche
Un indicateur dans la requte dcrit la faon de la traiter : itrative ou rcursive. Sur chaque machine existe une liste de 13 serveurs racines (fichier /var/named/named.ca) Mode itratif On interroge successivement les serveurs
tique.infop6.jussieu.fr> nslookup eos.lip6.fr Server: 134.157.116.123 Address: 134.157.116.123#53 Non-authoritative answer: Name: eos.lip6.fr Address: 132.227.64.45
DNS
fr
lip6
Client (tique)
26/09/2005 Legond-Aubry Fabrice
DNS
Client (tique)
26/09/2005 Legond-Aubry Fabrice
Type de requte
A: demande dune adresse de machine CNAME: demande le nom rel (canonique) pour un alias. PTR: le nom de machine de ladresse IP MX: les serveurs de mail (envoie) NS: le(s) serveur(s) DNS gestionnaire(s) du domaine
DNS
SOA: des informations sur le domaine ( start-of-authority ) HINFO: demande le CPU et lOS du serveur (optionnel et dangereux) TXT: informations textuelles sur le domaine Autres informations: MINFO, UINFO, WKS,ANY, AXFR, MB, MD, MF, NULL
26/09/2005 Legond-Aubry Fabrice
59 59
dig [@server] [options dig] [nom] [type] [classe] [options requte] (trs verbeux, voir les options)
legond@tique.infop6.jussieu.fr> dig www.efrei.Fr +short efrei.opixido.com. 62.4.72.6
DNS
legond@tique.infop6.jussieu.fr> dig -x 62.4.72.6 +short 62.4.72.6.not.updated.above.net. legond@tique.infop6.jussieu.fr> dig efrei.Fr a +short 194.2.204.17 legond@tique.infop6.jussieu.fr> dig efrei.Fr ns ;; ANSWER SECTION: efrei.fr. 86377 IN NS cerbere.efrei.fr. efrei.fr. 86377 IN NS turner.efrei.fr. ;; ADDITIONAL SECTION: cerbere.efrei.fr. 86377 IN A 194.2.204.4
26/09/2005 Legond-Aubry Fabrice
60 60
DNS
61 61
Outils DNS: whois Obtenir des informations sur les propritaires et les gestionnaires dun domaine Online: www.ripe.net, www.arin.net, www.afrin.net whois a de nombreuses options et des nombreuses possibilits. Lire le manuel ! DNS Whois sur une @IP donne des informations sur le propritaire de la classe dIP! (lhbergeur) Whois sur un domaine donne des informations sur le propritaire du domaine ! Essayez whois liberation.fr et whois 80.15.238.13
26/09/2005 Legond-Aubry Fabrice
62 62
DNS
63 63
DNS
Rpartition de charge grce au DNS : le DNS peut renvoyer plusieurs IP diffrentes pour un mme nom !
64 64
DNS
Le temps de rsidence dans le cache est un paramtre important. La non fiabilit des rponses peut poser des problmes:
Pour atteindre certains serveurs Pour la scurit
26/09/2005 Legond-Aubry Fabrice
65 65
DNS
66 66
DNS
Configuration du service: /etc/named.conf (intgre maintenant /etc/named.boot ) Informations sur les zones administres dans le rpertoire /var/named/ Vrification des configurations: dnswalk
67 67
/etc/named.conf
Scurit:
Gestion des clefs pour lauthentifications des pairs:
Section key domaine_name pour dfinir sa clef Section trusted-keys pour dfinir les pairs de confiance !
DNS
Section logging permet de dfinir les traces Section options pour dfinir les options du serveur Sections zone nom pour chaque zone que gre le serveur
Contient essentiellement le nom des fichiers de zone Le type de la zone (master, slave, stub [NS slave]) Comment se fait la MAJ
26/09/2005 Legond-Aubry Fabrice
68 68
DNS
69 69
DNS
SOA dns1.example.com. hostmaster.example.com. ( 2001062501 ; n de srie (doit tre incrment aprs chaque MAJ du fichier) 21600 ; Dlai de MAJ esclave (ici 6 heures) 3600 ; Dlai entre chaque essai de synchro du serveur esclave (ici 1h) 604800 ; Dlai partir duquel un serveur esclave arrte de rpondre 86400 ) ; doublon avec $TTL NS NS PTR PTR PTR PTR dns1.example.com. dns2.example.com. server1.example.com. ; 10.0.1.5 server2.example.com. ; dns1.example.com. dns2.example.com. server1
IN IN 5 7 2 3 IN IN IN IN
70 70