AAS 2 NetAdmin

Administration et Architectures des Systmes
Fabrice Legond-Aubry Fabrice.Legond-Aubry@u-paris10.fr
26/09/2005 Fabrice Legond-Aubry
LEGOND Fabrice Module AAS Administration Rseau
Section
Administration rseau
Administration rseau
Les ressources WEB

!! Adresses web: ! www.ietf.org (Request For Comments - RFC) ! www.iana.org, www.ripe.org (IP) ! deptinfo.cnam.fr (cours rseaux) ! www.linux-france.org/article/index.html (intro) ! www.linux-france.org/prj/inetdoc (doc architecture rseau) ! www.developpez.com (programmation & rseau) !! Livres: ! R. Stevens, Unix network programming , Prentice Hall, 1990 ! J-M. Rifflet et J-B. Yuns, Unix : programmation et communication , Dunod ! A. S. Tannenbaum, Computer Networks , Prentice Hall. ! W.R. Stevens, TCIP/IP Illustrated, The protocols , Addison Wesley ! L. Toutain, Rseaux locaux et Internet , Herms
Introduction
Section : Administration rseau
Les bases du rseau

Les bases du rseau Couche liaison et Routage IP Couche Transport : TCP/UDP Configuration rseau Outils rseau DHCP DNS
De la ncessit du rseau ! !! 90% des services linux sont bass sur le rseau !! Vous vivez dans un monde interconnect !!!
!! Revoir vos cours de rseau !!!!

Les bases du rseau !! Toute machine Linux a au moins un rseau: le rseau virtuel local loopback !! Une machine peut tre connecte plusieurs rseaux !! Il faut connatre les notions de rseaux pour
! Dfinir larchitecture dun parc de machines ! Les interactions entres machines ! Dployer, configurer, SECURISER un service
Pile TCP/IP
Couche 5-7 : application Couche 4 : transport (gestion des connexions) Couche 3 : rseau (routage) Couches 1-2 : physique, liaison (transfert entre 2 machines relis par une voie physique)
Services linux TCP/UDP (dsignation dun processus) IP (dsignation dune machine)
Les bases du rseau
Ethernet , ATM,
Relations entre les diffrents protocoles
Les bases du rseau
Couche transport IGMP Couche rseau Couche liaison
TCP
UDP
IP
ICMP
ARP Ethernet
RARP
Gestionnaires des adresses IP !! Attribution par des organismes spciaux :

! IANA (www.iana.org et www.icann.org) centralise les affectations
Les bases du rseau
! RIPE (www.ripe.net) soccupe des adresses europennes ! AfriNIC (www.afrinic.net) soccupe des adresses africaines ! APNIC (www.apnic.net) soccupe des adresses asiatiques et pacifiques ! ARIN (www.arin.net) soccupe des adresses de lAmrique du nord ! LACNIC (lacnic.net/en/index.html) soccupe des adresses de lAmrique latine et des Carabes
Notion de classe dadresses IPv4

!! Permet le routage et lacheminement des donnes sur lensemble de linternet !! IP permet de dsigner une machine !! Notion de classes dadresses (besoin de connatre le binaire !!!)
Les bases du rseau
7 bits
24 bits
Classe A Classe B Classe C Classe D Classe E

0 network
14 bits
host
16 bits
10 110 1110 1111
network
21 bits
host
8 bits
network
28 bits
host
host
28 bits
host
9
9
Nombres de rseaux par classe !! Classe A : 126 (27-2) rseaux possibles de 16 777 214 (224-2) machines Les bases du rseau !! Classe B : 16 382 (214-2) rseaux possibles de 65 534 (216-2) machines !! Classe C : 2 097 150 (221-2) rseaux possibles de 254 (28-2) machines !! Classe D : adresses de diffusion (multicast) !! Classe E : adresses rserves pour des usages futurs
10 10
Rseaux non routables !! Ce sont des rseaux qui ne seront jamais attribus une entit !! Ils ne sont pas routable sur internet Les bases du rseau !! Ils sont rservs un usage priv / interne :
! 1 rseau de classe A : 10.0.0.0 ! 15 rseaux de classe B : 172.16.0.0 - 172.31.0.0 ! 255 rseaux de classe C : 192.168.0.0 - 192.168.255.0
!! Aucun datagramme IP venant de lextrieur ne doit porter ces adresses.
11 11
Les informations rseaux !! Une machine ayant lIP : 193.22.143.52

!!Adresse de classe C (193 commence par 110 en binaire) !!24 bits pour le rseau (network @) !!8 bits pour la machine (host @)
Les bases du rseau
!! Adresses particulires pour les rseaux de classes A,B,C

! Ladresse rseau : Tous les bits dadresse host 0
!!Exemple: 192.22.143.0
! Ladresse de diffusion (broadcast) tout le sous-rseau : Tous les bits dadresse host 1
!!Exemple: 193.22.143.255
! Le masque de sous rseau: Tous les bits dadresse host 0, tous les bits dadresse rseau 1
!!Exemple: 255.255.255.0
12 12
Masque de rseau !! Le masque de rseau

! Permet de sparer la partie rseau de la partie machine. ! Possibilit de crer des sous-rseaux
Les bases du rseau
!! Exemples
132.227.64.15
Classe B (10)
!!
Rseau LIP6, notations :

! ! !
Masque: 255.255.0.0 @ rseau: 132.227.0.0 @ diffusion: 132.227.255.255
Partie machine
!!
Partie rseau
Sous-rseau SRC, notations :

! ! !
Masque: 255.255.255.0 @ rseau: 132.227.64.0 @ diffusion: 132.227.64.255

13 13
Saturation de l'espace d'adressage IPv4 !! Pourquoi?

!!Trop d'adresses distribues par rapport au besoins (inutilisation) !!Pas de redistribution de la classe E, et des classes A? !!Sans doute 50% des adresses distribues ne servent pas!
Les bases du rseau
!!Agrgation des classes C ! gonflement des tables de routages
!! IPv6 : un espace d 'adressage beaucoup plus grand

!!128 bits soit 16 octets au lieu de 32 bits soit 4 octets !!A priori 3,9 * 1018 adresses par mtre carr de surface terrestre !!Si l'on utilise trs mal les adresses disponibles (comme dans le tlphone) ! 1500 adresses par mtre carr
!! Autres solutions ?
!!Les rseaux brls avec translation d'adresse (NAT) ? !!CIDR (Classless Inter-Domain Routing)
14 14
CIDR une solution en attendant IPv6

!! Abandon de la notion de classe !! On dfinit les rseaux suivant les besoins !! Notation CIDR: adresse/prfixe (RFC: 1517, 1518, 1519, 1520) !! Pour construire un rseau de 2000 machines
! Il faut 8 rseaux de classe C (/24) de 254 machines soit 2036 machines ! Il faut 1 rseau de classe B (/16) de 65534 machines ! Il faut 1 rseau CIDR /21 qui permet de dclarer 2046 machines (2^11-2)
La base du rseau
!! On agrge ainsi les rseaux pour une mme entreprise

! Par exemple, on peut agrger 2 rseaux de classes C (/24) en un rseau /23
!! A la place de 3 classes, on utilise un prfixe :

prfixe bits 32-prfixe bits
Classe prfixe Classe /21

network
21 bits
host
11 bits
network
host
15 15
Les bases du rseau Routage IP et couche liaison
Routage IP et couche liaison

Couche Transport : TCP/UDP Configuration rseau Outils rseau DHCP DNS
16 16
Algorithmes de routage IP !! Routage sur un routeur (algorithme)

! Recherche d'une destination correspondant celle vise.
! Recherche d'une entre rseau o se trouverait le site vis (le plus proche). ! Recherche d'une entre de type dfaut.
!! Algorithmes de routage IP: OSPF, RIPv2, !! Routage partir dune machine

! Si le site atteindre est connect directement au site courant (par une liaison point point ou en rseau local) ! le message est envoy directement. ! Sinon l'hte dispose d'un routeur par dfaut qui il envoie tous les datagrammes qu'il ne peut acheminer.
17 17
Exemple: routage IP sur une machine

!! Gateway: la route par dfaut (default route) ! Dfinit o envoyer tous les paquets qui ne sont pas destins au rseau local
switch switch
Internet
Router
legond@hebe > netstat -r! Kernel IP routing table! Destination Gateway 132.227.64.0 * 127.0.0.0 * default castor
Genmask 255.255.255.0 255.0.0.0 0.0.0.0
Flags U U UG
MSS 0 0 0
Window 0 0 0
irtt 0 0 0
Iface! eth0! lo! eth0!
!! Ligne 1 : L'accs au rseau local (ethernet) de l'hte !! Ligne 2 : La boucle locale (loopback) pour les messages qui ne sortent pas du site !! Ligne 3 : L'accs un routeur par dfaut qui permet de passer sur l'internet
18 18
Un exemple de configuration rseau

legond@morphee > ifconfig -a! eth0 Link encap:Ethernet HWaddr 00:30:13:3D:2B:65! inet addr:132.227.64.42 Bcast:132.227.64.255 Mask:255.255.255.0! inet6 addr: fe80::230:13ff:fe3d:2b65/64 Scope:Link! UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1! RX packets:3953229 errors:0 dropped:0 overruns:0 frame:0! TX packets:2616429 errors:0 dropped:0 overruns:0 carrier:0! collisions:0 txqueuelen:1000! RX bytes:2991794751 (2853.1 Mb) TX bytes:2551152611 (2432.9 Mb)! Base address:0x2000 Memory:e8100000-e8120000! lo Link encap:Local Loopback! inet addr:127.0.0.1 Mask:255.0.0.0! inet6 addr: ::1/128 Scope:Host! UP LOOPBACK RUNNING MTU:16436 Metric:1! RX packets:56199 errors:0 dropped:0 overruns:0 frame:0! TX packets:56199 errors:0 dropped:0 overruns:0 carrier:0! collisions:0 txqueuelen:0! RX bytes:118600424 (113.1 Mb) TX bytes:118600424 (113.1 Mb)!
Type couche liaison
Adresse machine
Adresse broadcast
Adresse Couche liaison (@MAC)
Masque rseau
19 19
Lien couche liaison (ethernet) / rseau (IP) !! Liaison entre la couche rseau (@IP) et la couche liaison ethernet (@MAC) Routage IP et couche liaison
! Utilisation des protocoles ARP et RARP ! Ds quune machine a besoin de savoir quelle @MAC correspond une @IP, elle diffuse une demande de correspondance sur le rseau physique
root@scylla > tcpdump -f -i eth0 arp or rarp! 01:52:55.652713 arp who-has eros tell scylla! 01:52:55.652910 arp reply eros is-at 00:c0:4f:89:d0:6c!
! Le rsultat est mise en cache, jusqu la dtection dune erreur
20 20
Lien couche liaison (ethernet) / rseau (IP) !! Gestion du cache des couples @IP/@MAC
! arp affiche et manipule les informations de la table
root@scylla > arp -a! morphee (132.227.64.42) at 00:30:13:3D:2B:65 [ether] on eth0! castor (132.227.64.15) at 00:10:0D:3D:C4:00 [ether] on eth0!
!! Fixer des couples @IP/@MAC

! Pour viter des attaques ! arp s @ip @mac ! arp f nom_de_fichier pour une liste de couples
21 21
Lien couche liaison (ethernet) / rseau (IP) !! Gestion du cache des couples @IP/@MAC
! arping permet denvoyer des requtes arp/rarp
root@scylla > arping diane ! ARPING 132.227.64.48 from 132.227.64.30 eth0! Unicast reply from 132.227.64.48 [00:11:95:22:03:30] Unicast reply from 132.227.64.48 [00:11:95:22:03:30]
0.674ms! 0.653ms!
! arping permet de dtecter deux machines ayant la mme ip

root@scylla > arping -D ares! ARPING 132.227.64.31 from 0.0.0.0 eth0! Unicast reply from 132.227.64.31 [00:0F:B5:47:10:59] for !132.227.64.31 [00:0F:B5:47:10:59] 0.639ms! Sent 1 probes (1 broadcast(s))! Received 1 response(s)!
22 22
Couche Transport : TCP/UDP
La base du rseau Couche liaison et Routage IP

Configuration rseau Outils rseau DHCP DNS
24 24
Type de paquets principaux circulant sur IP

!! Paquets UDP
! missions en mode non connect ! Permet la transmission point--point et la diffusion (broadcast)
!! Paquets TCP
! missions en mode connect ! Transmissions point--point exclusivement avec qualit de transmission
!! Paquets de gestion du rseau ICMP/IGMP !! Adresse de diffusion :

! Utilis pour envoyer des paquets sur tout le rseau local
Il faut savoir configurer vos routeurs pour ne pas diffuser tous les paquets de broadcast!
25 25
Utilit de la couche transport

!! TCP et UDP permettent la discussion entre des services (des processus)
!! TCP/UDP permet de dsigner un processus sur une machine !! On dsigne un processus par un numro de port !! Il existe des ports officiels associs un type particulier de service !! Il existe des ports libres qui peuvent tre associs des applications utilisateur !! La liste officiel des correspondances ports/service
! Fichier /etc/services ! Sur le web : http://www.iana.org/assignments/port-numbers ! Sur les sites de scurit pour les ports suspects (iss.net, neophasis)
26 26
Les ports
!! Les ports 1 1023 sont privilgis : ils ne peuvent tre ouverts quavec les droits root .
!! Les ports 1024 65535 sont non privilgis (ou phmres) et peuvent tre ouvert par tous les utilisateurs. !! Un processus peut ouvrir plusieurs ports !! Un ports ne peut tre contrl que par un processus !! Contenu du fichier /etc/services :
...! ftp-data ftp-data ftp ssh telnet ...! 20/tcp! 20/udp! 21/tcp 22/tcp 23/tcp!
! !
!# File Transfert Protocol ! !# SSH Remote Login Protocol!
!! Pour la scurit et le contrle daccs ! Contrle daccs aux services rseaux par /etc/hosts.allow et /etc/ hosts.deny
27 27
Les bases du rseau Configuration rseau Routage IP et couche liaison Couche Transport : TCP/UDP
Configuration rseau
Outils rseau DHCP DNS
28 28
Une machine, plusieurs prises rseaux !! Une machine peut avoir plusieurs cartes rseaux !! Un maximum de 64 cartes par machines !! Pourquoi faire ? Configuration rseau
! Routeurs, Firewalls ! Transferts entre rseaux ! Agrgation de liens, rpartition de charge, tolrance aux fautes
!! On peut donner plusieurs IP une mme carte rseau

! IP Virtuelles ! Exemple: Serveur Web avec HTTPS ! Exemple: Serveur Web avec des sites virtuels
29 29
Le nom des cartes rseaux !! Linux supporte jusqu 256 adresses virtuelles
XXXNN:VV
Configuration rseau
Type de rseau"
Ethernet (eth)" Myrinet " Loopback (lo)"
Numro de carte"
0" 1" 2"
Numro de carte virtuelle" (optionnel)"

0" 1" 2"
Exemples (Ethernet):" "eth0 " "eth1 " "eth0:1 eth0" "device = /dev/eth0" "device = /dev/eth1" " "device = /dev/
30 30
Fichiers de configuration rseaux

!! Fichiers de correspondance sur la machine
! /etc/hosts (correspondance IP/nom dhte au boot seulement)
!!127.0.0.1 localhost !!137.194.160.21 horla
Configuration rseau
! /etc/rpc (correspondance nom de procdure/n de procdure) ! /etc/networks (correspondance nom de rseau/n de rseau) ! /etc/protocols (correspondance nom de protocole/n de protocole) ! /etc/ethers (correspondance IP/n Ethernet)
! Le fichier /etc/resolv.conf permet de dfinir comment lier une IP et un nom de machine (par fichier ou par DNS)
!! Configuration dpend du systme :

! Mandrake : fichier /etc/sysconfig/network-scripts/ifcfg-eth0 ! Gentoo : fichier /etc/conf.d/net !
31 31
Contenu des fichiers configurations
!!Mandrake /etc/sysconfig/networkscripts/ifcfg-eth0
Configuration rseau
DEVICE=eth0! BOOTPROTO=static! IPADDR=132.227.64.30! NETMASK=255.255.255.0! NETWORK=132.227.64.0! BROADCAST=132.227.64.255! ONBOOT=yes!
!!Gentoo /etc/conf.d/net
iface_eth0="132.227.64.31 broadcast 132.227.64.255 netmask 255.255.255.0"! gateway="eth0/132.227.64.15"!
32 32
Outils de configuration rseaux !! Scripts de dmarrage / arrt du rseau :

! Sur Mandrake : fichier /etc/init.d/network ! Sur Gentoo : fichier /etc/init.d/net.eth0 ! Il configure automatiquement les routes
Configuration rseau
!! La configuration de la carte se fait par ifconfig ou ethtool !! Laffichage et la manipulation de la table de routage IP se fait par la commande route !! Lensemble du contrle TCP/IP peut se faire par la commande ip
33 33
Les bases du rseau Routage IP et couche liaison Outils rseau Couche Transport : TCP/UDP Configuration rseau
Outils rseau
DHCP DNS
34 34
Diagnostiques rseaux : ping, netstat, telnet

!! La commande ping nom permet de savoir si une machine est vivante. Une version parallle nomme fping existe. !! La commande netstat permet de savoir lensemble des ports ouverts
root@scylla > netstat -ln! Active Internet connections (only servers)! Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:32768 0.0.0.0:* tcp 0 0 127.0.0.1:994 0.0.0.0:* ......!
State ! LISTEN ! LISTEN !
Outils rseau
!! netstat r affiche la table de routage !! host nom permet dobtenir lIP ou le nom de la machine !! resolveip ip permet dobtenir lip dune machine (ou dune IP) !! telnet machine port permet douvrir sur une connexion sur un service dune machine distante !! clockdiff permet dobtenir le dcalage temporel entre deux machines
! tickets Kerberos ! clockskew lors de compilations sur NFS

35 35
Diagnostiques rseaux : lsof

!! Une source dinformation importante !!!! !! Obtenir la liste des fichiers ouverts par le processus 1200
! lsof -p 1200
!! Obtenir la liste des ports ouverts par le processus 1200

! lsof -p 1200 -i 4 a
!! Savoir quel(s) processus sont en contact avec les ports 1 1024 de ares.lip6.fr
! lsof i @ares.lip6.fr:1-1024
!! Savoir quel(s) processus ont ouvert le fichier ~/foobar

! lsof ~/foobar
!! Savoir quels sont les fichiers ouverts par lutilisateur apache

! lsof u apache
36 36
Informations sur le rseau : dig/nslookup !! Interroger un dns pour obtenir un nom de machine ou une ip : nslookup !! dig est identique nslookup mais il offre plus doptions Outils rseau
legond:@eos > nslookup www.lemonde.Fr! Server: 132.227.64.13! Address: 132.227.64.13#53 ! Non-authoritative answer:! www.lemonde.Fr canonical name = www.lemonde.fr.d4p.net.! www.lemonde.fr.d4p.net canonical name = a245.g.akamai.net.! Name: a245.g.akamai.net! Address: 193.50.203.46! Name: a245.g.akamai.net! Address: 193.50.203.53!
37 37
Informations sur le rseau !! traceroute , traceroute6 , tracepath et tracepath6 permettent de voir le chemin jusqu une machine
legond@scylla > tracepath www.lemonde.fr! 1: scylla (132.227.64.30) 1: castor (132.227.64.15) 2: r-jusren.reseau.jussieu.fr (134.157.254.126) 3: gw-rap.rap.prd.fr (195.221.127.181) 4: jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 5: nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 6: 193.50.203.53 (193.50.203.53) Resume: pmtu 1500 hops 6 back 6 ! 0.258ms 1.519ms 1.557ms asymm 4 2.541ms 2.364ms 3.787ms pmtu 1500! ! ! 2.292ms ! ! ! reached!
Outils rseau
legond@scylla > traceroute www.lemonde.fr! traceroute to a245.g.akamai.net (193.50.203.53), 30 hops max, 38 byte packets! 1 castor (132.227.64.15) 1.334 ms 1.211 ms 1.387 ms! 2 r-jusren.reseau.jussieu.fr (134.157.254.126) 0.821 ms 1.305 ms 0.614 ms! 3 gw-rap.rap.prd.fr (195.221.127.181) 1.760 ms 1.672 ms 1.545 ms! 4 jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 1.343 ms 0.790 ms 1.184 ms ! 5 nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 1.617 ms 1.605 ms 1.479 ms! 6 193.50.203.53 (193.50.203.53) 1.911 ms 1.921 ms 0.893 ms!
38 38
Analyser le rseau
!! Commandes SunOS : etherfind, snoop !! tcpdump permet la capture et le filtre des communications entre les machines et/ou les services
! Capturer toutes les communications provenant de zeus
!! tcpdump
src host zeus udp and port 67
Outils rseau
! Capturer tous les paquets provenant du serveur DHCP

!! tcpdump
! Capturer les paquets de gestion du rseau (ICMP)

!! tcpdump
icmp
!! ethereal permet la capture et lanalyse du trafic rseau.

! Des exemples ? RTFM !! ! Trs complexe, Trs puissant
39 39
La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DHCP Configuration rseau Outils rseau
DHCP
DNS
40 40
Rle du service DHCP

!! Le service DHCP (Dynamic Host Configuration Protocol) !! Il utilise le port 67 (serveur) et 68 (client) !! Le nom de machine et lIP sont fournit par le service DHCP
! Utilise les adresses ethernet (MAC) des cartes rseaux ! La machine diffuse sa demande (car le serveur est inconnu)
!! En cas de timeout de la requte

! Comportement 1: Une adresse par dfaut est prise par la machine ! Comportement 2 : Le rseau ne dmarre pas
DHCP
!! Les informations suivantes sont aussi envoyes par le serveur DHCP :

! Masque de rseau (Netmask) ! Adresse de rseau (network adresse) ! Adresse de diffusion (Broadcast address) ! Adresse de la passerelle de sortie (Gateway) ! Adresse des serveurs de noms (DNS Servers) ! Nom du domaine dauthentification NIS (NIS domain) !
41 41
Utilit du DHCP
!! Permet une gestion centralise des adresses IP ! Utilise les @ MAC du ct du serveur ! Le serveur peut assigner des @IP fixe en fonction de ladresse MAC du client ! Le serveur peut assigner des @IP dynamiques temporaires ! Une mme adresse peut tre utilise pour dsigner plusieurs machines au cours du temps
DHCP
! Il nest pas ncessaire davoir autant dadresses que dabonns si tous les abonns ne se connectent pas en mme temps !! Permet de changer facilement la configuration rseau dune machine !! Permet linstallation ou le dmarrage de machine par le rseau (BOOTP) !! Permet la gestion des machines sdentaires et mobiles !! DHCP souvent considr comme une faille de scurit ! Configuration automatique sur des clients inconnus
42 42
Le protocole DHCP
!! RFC 951 (Bootp) , 1542, 2131 (dhcp), 2132 !! Les requtes et les messages DHCP
! DHCPDISCOVER: envoy par le client pour localiser les serveurs DHCP disponibles ! DHCPOFFER: rponse du serveur un paquet DHCPDISCOVER, qui contient les premiers paramtres (en particulier ladresse IP du serveur) ! DHCPREQUEST: contient les requtes diverses du client (ex: prolongation dun bail)
DHCP
! DHCPACK: rponse du serveur qui contient des paramtres et l'adresse IP du client ! DHCPNAK: rponse du serveur pour signaler au client un refus ! DHCPDECLINE: le client annonce au serveur que l'adresse est dj utilise ! DHCPRELEASE: le client libre son adresse IP ! DHCPINFORM: le client demande des paramtres locaux, il a dj son adresse IP
43 43
Le protocole DHCP
! Le premier paquet mis par le client est un paquet de type DHCPDISCOVER.

! Il est envoy tout le monde (broadcast, 255.255.255.255) ! Il contient ladresse IP 0.0.0.0. On utilise ladresse de liaison (@MAC)
DHCP
! Le serveur rpond par un paquet DHCPOFFER avec son IP

! Soit en utilisant ladresse MAC de celui qui a mis le paquet ! Soit en rpondant tout le monde (broadcast, 255.255.255.255)
! Le client fait un DHCPREQUEST pour obtenir son IP

! Utilisation de lIP contenue dans le premier DHCPOFFER reu ! Envoyer tout le monde pour avertir tous les serveur DHCP
! Le serveur rpond simplement par un DHCPACK avec l'adresse IP pour confirmation de l'attribution
! Il y a vrification, par le serveur, de lIP qui va tre attribue en utilisant le protocole ICMP Echo Request ! En cas de duplication , le serveur envoie DHCPDECLINE, et on recommence
44 44
DHCP: Complment
!! DHCP est un protocole assez bas niveau.
DHCP
!! Toute adresse IP dlivre par un serveur DHCP a une dure de vie appele bail . !! A la moiti de la dure du bail, un client doit renouveler son bail. ! Le client peut en faire la demande en envoyant un DHCPREQUEST. !! Le serveur vrifie la prsence du client la fin du bail en envoyant un DHCPNACK. ! En cas de non rponse ladresse est libre pour r-utilisation
45 45
Configuration du serveur ISC DHCPd

!! Configuration par le fichier /etc/dhcpd.conf
#options globales #options globales deny unknown-clients; # interdire les clients inconnus deny unknown-clients; # interdire les clients inconnus deny client-updates; #interdit les demande de mise jour mise par les clients deny client-updates; les demande de mise jour mise par les clients deny bootp; #interdire #interdit le protocole bootp deny bootp; #interdire le protocole bootp #Configuration des options pour un sous-rseau spcifique (ici le 132.227.64.0/24) #Configuration des options pour un sous-rseau spcifique (ici le 132.227.64.0/24) subnet 132.227.64.0 netmask 255.255.255.0 { subnet 132.227.64.0 netmask 255.255.255.0 { authoritative; # le serveur fait autorit sur le sous-rseau authoritative; # le serveur fait surde le sortie sous-rseau option routers 132.227.64.15; # laautorit passerelle pour accder internet option routers 132.227.64.15; # la passerelle de sortie pour accder internet option subnet-mask 255.255.255.0; # masque pour le sous-rseau local option subnet-mask 255.255.255.0; # masque pour le sous-rseau local option domain-name "lip6.fr"; #domaine de ce sous-rseau (devrait appartenir au DNS) option domain-name "lip6.fr"; #domaine de ce sous-rseau (devrait appartenir au DNS) option domain-name-servers 132.227.64.13, 132.227.60.30, 132.227.60.2; # les DNS option domain-name-servers 132.227.64.13, 132.227.60.30, 132.227.60.2; # les DNS
DHCP
allow bootp; #autorise le protocole bootp sur ce sous-rseau (annule la directive locale) allow bootp; #autorise le protocole bootp sur ce sous-rseau (annule la directive locale) allow booting; # autorise le boot par le rseau (boot pxe) allow booting; # autorise le boot par le rseau (boot pxe) deny unknown-clients; #interdire les clients inconnus (doublon avec loption globale) deny unknown-clients; #interdire les clients inconnus (doublon avec loption globale) default-lease-time 21600; # temps du bail par dfaut (en secondes) default-lease-time 21600; # temps du bail du parbail dfaut secondes) max-lease-time 43200; # temps maximum (en (en secondes) max-lease-time 43200; # temps maximum du bail (en secondes) range 132.227.64.240 132.227.64.250; # IP rserv au pool DHCP range 132.227.64.240 132.227.64.250; # IP rserv au pool DHCP # dclare une machine SANS lui attribuer une IP fixe # dclare une machine SANS lui attribuer une IP fixe host PORTABLE_DENIS { host PORTABLE_DENIS { 00:04:75:96:9D:F8; hardware ethernet hardware ethernet 00:04:75:96:9D:F8; } } # dclare une machine en lui attribuer une IP fixe et un nom # dclare une machine en lui attribuer une IP fixe et un nom host PORTABLE_MANU { host PORTABLE_MANU { 00:04:75:96:AA:CD; hardware ethernet hardware ethernet 00:04:75:96:AA:CD; fixed-address 132.227.64.2; fixed-address 132.227.64.2; option host-name pmanu"; option host-name pmanu"; } }
46 46
Redondance DHCP
!! Si vous choisissez DHCP comme service dattribution dIP pour toutes vos machines, il devient critique !! !! Le DHCP nest pas fait pour les serveurs !! Si vous dployez une solution base totalement sur DHCP, en cas de crash ! plus de rseau !! Relai DHCP entre des sous-rseaux : dhcrelay !! Redondance possible pour plus de sret. On ajoute au fichier / etc/dhcpd.conf :
failover peer "eros" { primary; #THIS PRIMARY DHCP SERVER (132.227.64.25=eros.lip6.fr) address 132.227.64.25; port 520; # port dcoute pour lchange dinformations entre serveurs #PEER SLAVE DHCP SERVER (132.227.64.26=no dns entry) peer address 132.227.64.26; peer port 519; # port dcoute pour lchange dinformations entre serveurs #nombre de secondes avant que lautre hte ne prenne le relai load-balance-max-seconds 3; }
DHCP
47 47
La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DNS Configuration rseau Outils rseau DHCP
DNS
48 48
Historique
!! Les usagers prfrent utiliser les noms logiques ! !! Exemples :
! Adresse courrier (legond@src.lip6.fr) plutt quune adresse IP (legond@[132.227.64.100]) ! Nom de site web (http://www.hardware.fr) plutt quune URL IP (http://83.243.20.80)
DNS
!! ! Besoin dun ensemble de mcanismes de cration, dadministration, de mise en relation pour des noms logiques, des adresses, des attributs. !! Au dbut de l'Internet, les noms taient dfinis localement sur chaque hte dans un fichier (/etc/hosts en UNIX). !! Mise jour de /etc/hosts par ftp la nuit automatiquement ou manuellement partir dune version rfrence pour suivre lvolution du rseau Internet
49 49
Historique
! Problme : Le nombre de machines rfrencs a explos !
DNS
50 50
Rle du service DNS

!! 1984 : Cration dun service dannuaire distribu (base de donnes distribue dinformations) !! DNS = Domain Name Service ! Service le plus important et le plus utilis dInternet. ! Tout le rseau (quasiment) repose sur ce service contrl par les USA ! RFC de base: 1034, 1035 ! Nombreuses RFC (voir www.dns.net/dnsrd/rfc) !! Un des protocole de base de linternet . Fonctions principales:
DNS
! CEST UN ANNUAIRE DE MACHINES ! DNS permet dassocier un nom humain une adresse IP et vice-versa !! Spcificits du protocole DNS ! Le DNS offre un identifiant textuel unique ! ! Accessible au moyen dun espace de nommage hirarchique unifi ! De mme quil existe une adresse rseau et une adresse machine, il existe des noms de domaines et des noms de machines
51 51
Structure hirarchique du DNS

Zone racine Domaines racines Sous-domaines racines
"! arpa in-addr 132 gov cmu math edu php net fnac com fnac fr lip6 us edf
DNS
Sous-domaines
227 64
Feuille Valeur
100 src.lip6.fr
www
www
www
eos
src
132.227.64.100
LEGOND Fabrice Module AAS Administration Rseau 52 52
Structure hirarchique du DNS

! Exemples :
www.lip6.fr!
Hte" Domaine! Domaine racine"
www.infop6.jussieu.fr!
Hte" Sous-Domaine! Domaine! Domaine racine"
DNS
! Au niveau le plus haut: Plusieurs centaines de noms de domaines.

!!com : Noms gnriques de domaines. !!fr : Noms gographiques de domaines. !!arpa : Correspondance adresses IP vers noms.
! Aux niveaux intermdiaires: Des noms de domaines (qui sont des sous-domaines). ! Au niveau des feuilles: Des sous-domaines composs dhtes ou dfinissant des services.
53 53
Top Level Domains (TLD) DNS

!! Des domaines connus :
! .com : Organismes commerciaux (Verisign) ! .net : Prestataires rseaux (Verisign) ! .org : Autres organisations (Verisign) ! .info : Orgs dinformation (Afilias Limited) ! . Code pays : entreprises et services dun pays (avec le nouveau .eu) ! .edu : Institutions dducation US ! .gov : Organisations gouvernementales US
!! Des domaines exotiques :
DNS
! .aero : Industries aronautiques (SITA) ! .biz : Affaires (NeuLevel, Inc). ! .coop : Associations cooperative (Dot Cooperation LLC). ! .museum : Muses (Museum Domain Management Association). ! .name : Individus (Global Name Registry). ! .mil : Arme US ! .int : Organisations internationales
!! ..
54 54
Gestion des DNS !! Dsignation dans larborescence

! Les feuilles dsignent une machine (eos, scylla) ! La machine peut porter le nom dun service (ftp, dns, ) ! Les nuds intermdiaires sont composs dun ensemble de ressources
DNS
! Lorganisation grant un domaine peut dlguer la gestion dun sous-domaine. ! Pour crer un sous-domaine, il faut donc avoir lautorisation de lorganisme grant le domaine pre. ! IMPORTANT: lorganisation DNS est diffrente de la topologie IP sous jacente !
55 55
Gestion des DNS

!! En plus de la d-corrlation IP / nom de domaine, il y a dcorrlation entre les units dadministration des domaines (zone) et les domaines !! Un domaine est :
! un ensemble de noms qui ont un mme suffixe ! un dcoupage syntaxique de lespace de nommage Internet
!! Une zone est :
DNS
! une unit dadministration (tous les membres dune zone sont servis par un mme serveur) ! une zone regroupe un ensemble de domaines voisins qui ne se recouvrent pas. ! un dcoupage administratif dfinissant la porte daction des serveurs de noms (suivant les dlgations internes de gestions) ! Ex: lip6.fr, src.lip6.fr
56 56
Dsignation et recherches
!! FQDN : Fully Qualified Domain Name
! Construit en suivant le chemin de la racine aux feuilles ! On spare les intermdiaires par des . ! Ex: www.java.sun.com, www.infop6.jussieu.fr
!! Nom non-fqdn : ce sont des noms relatifs qui sont recherchs dans le domaine courant
DNS
! Ex: www, www.ufr-info-p6
!! La recherche :
! se fait par dfaut dans le domaine auquel appartient le serveur ! est tendu au domaine . en cas dchec ! peut tre force partir du rpertoire racine en ajoutant un . la fin de la chane cherche
57 57
Modes de recherche
!! Un indicateur dans la requte dcrit la faon de la traiter : itrative ou rcursive. !! Sur chaque machine existe une liste de 13 serveurs racines (fichier /var/ named/named.ca) !! Mode itratif ! On interroge successivement les serveurs
tique.infop6.jussieu.fr> nslookup eos.lip6.fr Server: 134.157.116.123 Address: 134.157.116.123#53 Non-authoritative answer: Name: eos.lip6.fr Address: 132.227.64.45
DNS
"!
fr
lip6
Client (tique)
Serveur DNS du domaine (papillon)

Modes de recherche !! Mode rcursif

! Chaque serveur visit prend linitiative dinterroger le serveur suivant pour obtenir pour lui mme la rponse la question pose ! La rponse revient en visitant tous les sites ! On note la rsolution effectue dans les caches de tous les serveurs visits
"! fr lip6
DNS
Client (tique)
Serveur DNS du domaine (papillon)

Type de requte
!! A: demande dune adresse de machine !! CNAME: demande le nom rel (canonique) pour un alias. !! PTR: le nom de machine de ladresse IP !! MX: les serveurs de mail (envoie) !! NS: le(s) serveur(s) DNS gestionnaire(s) du domaine
DNS
!! SOA: des informations sur le domaine ( start-of-authority ) !! HINFO: demande le CPU et lOS du serveur (optionnel et dangereux) !! TXT: informations textuelles sur le domaine !! Autres informations: MINFO, UINFO, WKS,ANY, AXFR, MB, MD, MF, NULL
60 60
Outils DNS: dig
!! dig [@server] [options dig] [nom] [type] [classe] [options requte] (trs verbeux, voir les options)
legond@tique.infop6.jussieu.fr> dig www.efrei.Fr +short efrei.opixido.com. 62.4.72.6 legond@tique.infop6.jussieu.fr> dig -x 62.4.72.6 +short 62.4.72.6.not.updated.above.net. legond@tique.infop6.jussieu.fr> dig efrei.Fr a +short 194.2.204.17 legond@tique.infop6.jussieu.fr> dig efrei.Fr ns ;; ANSWER SECTION: efrei.fr. 86377 IN NS cerbere.efrei.fr. efrei.fr. 86377 IN NS turner.efrei.fr. ;; ADDITIONAL SECTION: cerbere.efrei.fr. 86377 IN A 194.2.204.4
DNS
61 61
Outils DNS: nslookup

!! nslookup [-option ...] [host-to-find | -[server]]
!!Peut tre lanc comme un shell !!Peut tre lanc en ligne de commande
legond@tique.infop6.jussieu.fr> nslookup www.epita.fr Non-authoritative answer: Name: www.epita.fr Address: 163.5.254.17 legond@tique.infop6.jussieu.fr> nslookup -query=ns epita.fr Non-authoritative answer: epita.fr mail exchanger = 65 smtp-relay.epita.fr. epita.fr mail exchanger = 40 smtp1.epita.fr. epita.fr mail exchanger = 40 smtp2.epita.fr. legond@tique.infop6.jussieu.fr> nslookup >set type=soa Non-authoritative answer: epita.fr origin = ns1.epi.net mail addr = postmaster.epita.fr serial = 2005072002 refresh = 21600 retry = 3600 expire = 604800 minimum = 86400
DNS
62 62
Outils DNS: whois !! Obtenir des informations sur les propritaires et les gestionnaires dun domaine !! Online: www.ripe.net, www.arin.net, www.afrin.net !! whois a de nombreuses options et des nombreuses possibilits. Lire le manuel ! DNS !! Whois sur une @IP donne des informations sur le propritaire de la classe dIP! (lhbergeur) !! Whois sur un domaine donne des informations sur le propritaire du domaine ! !! Essayez whois liberation.fr et whois 80.15.238.13
63 63
Outils DNS: whois

tique.infop6.jussieu.fr> whois epita.fr domain: epita.fr address: Ecole Pour l'Informatique et les Techniques Avancees address: 14-16, rue Voltaire address: 94270 Le Kremlin-Bictre address: FR admin-c: NS1297-FRNIC tech-c: JB371-FRNIC zone-c: NFC1-FRNIC nserver: ns1.epi.net nserver: ns2.epi.net nserver: joe.hittite.isp.9tel.net mnt-by: FR-NIC-MNT mnt-lower: FR-NIC-MNT changed: nic@nic.fr 20050124 source: FRNIC person: address: address: address: address: . Nicolas Sadirac Ecole Pour l'Informatique et les Techniques Avancees 106-112, boulevard de l'Hopital 75013 Paris FR
DNS
64 64
Les performances: Rpartition et Distribution

!! Un serveur centralis ne pourrait pas supporter les requtes !! Une des meilleurs russite en terme de rpartition de charge !! Pour rappel : Sur chaque machine (serveur et cliente) existe une liste de 13 serveurs racines (fichier /var/named/named.ca) !! La majorit des requtes sont locales (sur un sous-rseau et/ou sous-domaine)
DNS
! On utilises ses propres serveurs ! On allge les autres serveurs !
!! Rpartition de charge grce au DNS : le DNS peut renvoyer plusieurs IP diffrentes pour un mme nom !
65 65
Les Performance: cache DNS

!! Gestion dun cache local et entre serveurs
! Prise en compte dun dlai de premption des donnes (information expire du SOA) ! Raccourci les dlais de rponse et conomise la bande passante ! Dlai de prise en compte dune modification dune entre DNS ! Cohrence faible ! dlai de MAJ (~3 jours)
!! Lors d'une rponse:
DNS
! Si elle vient du cache, elle est non fiable ( non authoritative ) ! Si elle vient d'un serveur dit authoritative , elle est fiable.
!! Le temps de rsidence dans le cache est un paramtre important. !! La non fiabilit des rponses peut poser des problmes:
! Pour atteindre certains serveurs ! Pour la scurit
66 66
DNS: Sret de fonctionnement

!! DNS est un service critique !
! Obligation davoir au moins deux serveurs DNS ! 2 machines physiques diffrentes doivent assurer le DNS ! Problme de synchronisation entre serveurs
!! Mise en place dun protocole de cohrence

! Synchronisation entre serveur ! Le secondaire (esclave) se synchronise sur le primaire (matre)
!! Les DNS secondaires font des transferts de zone:
DNS
! Lors de leur lancement ! A intervalle rgulier pour se synchroniser
!! Si le DNS primaire est non accessible

! On dmarre avec une copie locale des zones ! On se synchronise ds le retour du serveur primaire
!! Le numro de srie indique la date des changements !! ATTENTION A LA SECURITE !!!

67 67
Configuration DNS (serveur ISC Bind) !! Les fichiers de configuration sont

! Configuration des clients /etc/resolv.conf
!!search lip6.fr #domaine(s) de recherches !!domain lip6.fr #domaine local !!order local,bind #ordre de rsolution: local (/etc/hosts) puis dns !!nameserver 132.227.64.13 !!nameserver 132.227.60.30 !!nameserver 132.227.60.2
DNS
! Configuration du service: /etc/named.conf (intgre maintenant /etc/named.boot ) ! Informations sur les zones administres dans le rpertoire /var/named/ ! Vrification des configurations: dnswalk
68 68
/etc/named.conf
!! Scurit:
! Gestion des clefs pour lauthentifications des pairs:
!!Section key domaine_name pour dfinir sa clef !!Section trusted-keys pour dfinir les pairs de confiance !
! Section controls permet le contrle daccs au serveur ! Utilisation des ACL pour le contrle daccs
DNS
!! Section logging permet de dfinir les traces !! Section options pour dfinir les options du serveur !! Sections zone nom pour chaque zone que gre le serveur
! Contient essentiellement le nom des fichiers de zone ! Le type de la zone (master, slave, stub [NS slave]) ! Comment se fait la MAJ
69 69
ISC BIND: Les fichiers de zone
! Association noms vers IP

$ORIGIN example.com ; origine du fichier (base ajoute toutes les entres) $TTL 86400 ; Valeur de la dure de validit des informations de la zone (ici 1 jour) ; dbut de la description de la zone (entre SOA) ; nom_zone (@=valeur de $ORIGIN) IN SOA nom-serveur-fqdn. email-responsable. ( @ IN SOA dns1.example.com. hostmaster.example.com. ( 2001062501 ; n de srie (doit tre incrment aprs chaque MAJ du fichier) 21600 ; Dlai aprs lequel le serveur esclave doit se mettre jour (ici 6 heures) 3600 ; Dlai entre chaque essai de synchro du serveur esclave (ici 1h) 604800 ; Dlai partir duquel un serveur esclave arrte de rpondre 86400 ) ; doublon avec $TTL ;Entres DNS de la zone (machines et sous-domaines) IN NS dns1.example.com. ; les serveurs de noms (champs NS) IN NS dns2.example.com. IN MX 10 mail.example.com. ; les serveurs de mails 10 et 20 sont des priorits IN MX 20 mail2.example.com. IN A 10.0.1.5 ; entre par dfaut du domaine (ex: ping example.com) server1 IN A 10.0.1.5 ; dclaration de la machine server1 sur le domaine server2 IN A 10.0.1.7 ; dclaration de la machine server2 sur le domaine dns1 IN A 10.0.1.2 ; dclaration de la machine dns1 sur le domaine dns2 IN A 10.0.1.3 ; dclaration de la machine dns2 sur le domaine ftp IN CNAME server1 ; dclaration dun alias (ftp=server1) mail IN CNAME server1 ; dclaration dun alias (mail=server1) mail2 IN CNAME server2 ; dclaration dun alias (mail2=server2) www IN CNAME server2 ; dclaration dun alias (www=server2, pas lhte par dfaut)
DNS
70 70
ISC BIND: Les fichiers de zone
! Association IPs vers noms (reverse)

$ORIGIN 1.0.10.in-addr.arpa ; origine du fichier (base ajoute toutes les entres) $TTL 86400 ; Valeur de la dure de validit des informations de la zone (ici 1 jour) ; dbut de la description de la zone (entre SOA) @ IN
; nom_zone (@=valeur de $ORIGIN) IN SOA nom-serveur-fqdn. email-responsable.
DNS
SOA dns1.example.com. hostmaster.example.com. ( 2001062501 ; n de srie (doit tre incrment aprs chaque MAJ du fichier) 21600 ; Dlai de MAJ esclave (ici 6 heures) 3600 ; Dlai entre chaque essai de synchro du serveur esclave (ici 1h) 604800 ; Dlai partir duquel un serveur esclave arrte de rpondre 86400 ) ; doublon avec $TTL NS NS PTR PTR PTR PTR dns1.example.com. dns2.example.com. server1.example.com. ; 10.0.1.5 ! server1 server2.example.com. ; dns1.example.com. dns2.example.com.
IN IN 5 7 2 3 IN IN IN IN
71 71

AAS 2 NetAdmin

Transféré par

Informations du document

Description :

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

AAS 2 NetAdmin

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Administration et Architectures des Systmes

Fabrice Legond-Aubry Fabrice.Legond-Aubry@u-paris10.fr

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Les ressources WEB

LEGOND Fabrice Module AAS Administration Rseau

Section : Administration rseau

Les bases du rseau

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

!! Revoir vos cours de rseau !!!!

LEGOND Fabrice Module AAS Administration Rseau

Services linux TCP/UDP (dsignation dun processus) IP (dsignation dune machine)

Les bases du rseau

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Relations entre les diffrents protocoles

Les bases du rseau

Couche transport IGMP Couche rseau Couche liaison

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Gestionnaires des adresses IP !! Attribution par des organismes spciaux :

Les bases du rseau

LEGOND Fabrice Module AAS Administration Rseau

Notion de classe dadresses IPv4

Les bases du rseau

Classe A Classe B Classe C Classe D Classe E

10 110 1110 1111

LEGOND Fabrice Module AAS Administration Rseau

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

!! Aucun datagramme IP venant de lextrieur ne doit porter ces adresses.

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Les informations rseaux !! Une machine ayant lIP : 193.22.143.52

Les bases du rseau

!! Adresses particulires pour les rseaux de classes A,B,C

LEGOND Fabrice Module AAS Administration Rseau

Masque de rseau !! Le masque de rseau

Les bases du rseau

Rseau LIP6, notations :

Masque: 255.255.0.0 @ rseau: 132.227.0.0 @ diffusion: 132.227.255.255

Sous-rseau SRC, notations :

Masque: 255.255.255.0 @ rseau: 132.227.64.0 @ diffusion: 132.227.64.255

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Saturation de l'espace d'adressage IPv4 !! Pourquoi?

Les bases du rseau

!!Agrgation des classes C ! gonflement des tables de routages

!! IPv6 : un espace d 'adressage beaucoup plus grand

LEGOND Fabrice Module AAS Administration Rseau

CIDR une solution en attendant IPv6

!! On agrge ainsi les rseaux pour une mme entreprise

!! A la place de 3 classes, on utilise un prfixe :

Classe prfixe Classe /21

LEGOND Fabrice Module AAS Administration Rseau

Section : Administration rseau

Les bases du rseau Routage IP et couche liaison

Routage IP et couche liaison