Académique Documents
Professionnel Documents
Culture Documents
Administration Reseau PDF
Administration Reseau PDF
V : Bibliographie
V Bibliographie
68 / 69
Administration rseau. V : Bibliographie
III Applications
IV Troubleshooting et scurit
67 / 69
Administration rseau. V : Bibliographie
I Protocole TCP/IP
II Configuration
66 / 69
Administration rseau. V : Bibliographie
V Bibliographie
[4] Conseil de Scurit sur lAdministration de Machines Unix sur un Rseau TCP/IP
Jean-Luc ARCHIMBAUD (ftp anonyme sur ftp.urec.fr).
65 / 69
Administration rseau. IV : Troubleshooting et scurit
rassemble les services Internet (Telnet, ftp, mail,...) pour tout le rseau quelle protge. Ceci ncessite de
crer des comptes ddis ces services, ces comptes sont accessibles par un certain nombre de personnes
du rseau. Dans le cas de secteur trs sensibles, cest une possibilit de trier les personnes de confiances
qui peuvent accder ces services qui ont tout lintrt dInternet.
Le crontrle de routage
Les firewalls ont lavantage dtre trs srs, mais le dsavantage pour des secteurs moins
sensibles la question de la scurit de limiter considrablement laccs au rseau Internet. Une solution
logicielle consiste en lutilisation dun avantage du protocol IP. Un site peut tre isol de tout le rseau en
ne dsignant dans sa table de routage quun seul site de sortie. Donc aucun autre site que celui dsign ne
connatra le rseau ainsi protg. Toute fois ceci ncessite que toutes les machines du site soient
configures de la mme manire.
Le contrle daccs
Limiter la table de routage est une solution mais elle ne convient pas une utilisation rgulire du
rseau. Cest pourquoi le contrle daccs peut tre une bonne alternative. Le contrledaccs consiste en
un fichier qui est consult par les machines et les routeurs, laccs est accord uniquement lorsque le mot
de passe est bon. Le daemon TCPD permet de faire ce contrle chaque demande daccs un server (ftp,
rlogin, Telnet,...) Il suffit de spcifier le path de chaque daemon comme tant celui de TCPD dans le fichier
/etc/inetd.conf.
IV-2.6 Conclusion
La scurit rseau rejoind dans de nombreux cas la scurit du systme. On rappellera que la
scurit rseau tient tout dabord ltablissement dune politique et se poursuit par une surveillance
rgulire des fichiers de configuration.
64 / 69
Administration rseau. IV : Troubleshooting et scurit
NFS
Le systme de gestion montage darborescences de fichiers travers le rseau conu par SUN se
rfre un fichier de configuration /etc/export Chaque systme peut prciser les machines auxquelles il
permets de parcourir son arborescence. Il est donc conseill de ne donner ces droits qu des machines de
confiance. Dautre part, il est aussi important de se protger contre les fichiers excutables SUID ou SGID
qui pourraient sy trouver.
Les terminaux
Les terminaux sont souvent nombreux autour dune machine. les fichiers /etc/ttys ou /etc/tttab
contiennent la liste des crans en prcisant si le root peut se logger directement. En supprimant "secure"
de toutes les lignes, ladministrateur devra donc se logger dabord sous son nom avant de passer root par
la commande su.
Les applications systat, tftp, link sont dsactiver en les supprimant du fichier /etc/inetd.conf.
Les commandes rx peuvent propager la brche dans tout le rseau local. Si le niveau de confidentialit est
lev, alors il est conseill de dsactiver ces services.
Les fichiers privs par dfaut sont un moyen de se prserver contre les intrusions. On a vu la
commande umask qui permet de prciser la protection par dfaut des fichiers et des rpertoires crs.
Le cryptage
Le cryptage est une solution la confidentialit des donnes. Deux programmes de cryptage sont
disponibles avec le systme UNIX : "des" et "crypt". "Des" est un un programme propre UNIX dont
lalgorithme a t conu dans les annes 70. "Crypt" est un programme dont lalgotithme est celui de la
machine Enigma, il nest donc pas trs fiable car le mcanisme de dcryptage est connu de tous.
Les firewalls
Face ces nombreuses menaces, il peut sembler ncessaire disoler les rseaux locaux du rseau
internationnal. Une solution efficace est la machine "firewalls". Cest une machine qui est place la
place dun routeur IP qui spare deux rseaux ou le rseau local de Internet. On distingue donc les
firewalls internes et les firewalls externes. La machine firewall a la fonction de serveur de noms et
63 / 69
Administration rseau. IV : Troubleshooting et scurit
Les commandes rx
Unix permet aux utilisateurs dexcuter des commandes sur des machines distantes lorsque les
fichiers hosts.equiv et .rhosts contiennent les coordonnes des machines et des utilisateurs de confiance.
Dans ce cas, les utilisateurs de confiance nont pas besoin de prciser un mot de passe.
/etc/hosts.equiv doit contenir le nom des machines ou des groupes de machines qui peuvent
accder aux services rx sur la machine.
.rhosts est un fichier qui se trouve dans la racine de chaque compte qui contient les comptes qui
peuvent entrer sans mot de passe.
Le cas particulier de rexec est quelle demande le mot de passe pour quune commande soit excute
localement et elle renvoie le rsultat du test. Ceci peut tre une indication de base pour un programme
recherchant un mot de passe. Il est donc vivement conseill de supprimer rexec du fichier /etc/inetd.conf.
Finger
Cette commande renvoie des informations stockes dans des fichiers rservs lutilisateur. Ces
informations telles que le nom, ladresse, le numro de tlphone, ... Ces indications peuvent tre trs
utiles pour un programme de dcriptage de mots de passe. Dans des cas sensibles, il est conseill de
dsactiver fingerd, le serveur rpondant la demande finger.
Les applications permettant de transfrer du courier lectronique sont nombreuses. Sendmail est
la plus rpendue. Elle fait rfrence un fichier dalias : /usr/lib/aliases. Dans sa configuration par dfaut,
sendmail peut drouler des commandes ou ouvrir des shells chez le destinataire sans prciser le mot de
passe. Trois commandes sont dangereuses: debug, wiz et kill, il faut donc vrifier quelles ne sont pas
valides par une session Telnet sur localhost smtp. si ces commandes sont valides alors il faut changer de
version de sendmail. Vrifier que des alias decode faisant rfrence uudecode ne sont pas dans le fichier
aliases.
Vrifier que quil ny a pas de mot de passe pour un ventuel magicien dans le fichier sendmail.cf :
62 / 69
Administration rseau. IV : Troubleshooting et scurit
IV-2.4 Applications
UUCP et UUX
Ce programme est le premier utilitaire qui fut disponible sous UNIX pour que des machines
distantes puissent communiquer. UUCP est Unix to Unix copy et UUX est Unix to Unix eXecute.
Soulignons que en Cshell ! est une commande permettant de rappeler la dernire commande excute, il
faut donc prciser le caractre par \!.
Uux permet dexcuter une commande sur une machine distante en lui prcisant le fichier quelle doit
prendre en entre.
uux -system!commande<inputfile
Les ordres et ladresse du fichier dentre sont tout dabord stocks dans un Spooler en attendant dtre
effectivement executs sur la machine.
Le programme uucico (Unix to Unix Copy in copy out) est charg de relever le login du uucp et de le
comparer celui du compte uucp de la machine distante qui se trouve dans /etc/passwd. Le fichier
excutable uucp est SUID uucp (nom de lutilisateur particulier) ceci limite laccs au compte uucp et aux
fichiers world writable ou world readable.
Dans la version 2, il existe des fichiers de configuration, on en retiendra trois : USERFILE, l.cmds et l.sys.
L.sys : contient les coordonnes des machines et des personnes qui peuvent accder au service
uucp dune machine distante.
L.cmds : contient le PATH local au compte uucp ce qui permet de limiter les excutables
accessibles, suivit des applications qui peuvent avoir accs aux services de uucp, on inclut
souvent rmail, rnews, lpr, who, finger ...
USERFILE : spcifie les rpertoires qui peuvent tre ouverts par uucp, si la machine distante doit
rappeler son identit et quels fichiers peuvent tre transfrs.
Prcautions : ces fichiers sont a protger pour que personne puisse les lire part le root. Le compte uucp
doit contenir le moins de rpertoires possibles, il faut donner un login par machine distante et limiter les
commandes utilisables.
61 / 69
Administration rseau. IV : Troubleshooting et scurit
Pour avoir une vue correcte de la vulnrabilit des fichiers, il est important de rappeler comment
un fichier est reprsente dans le systme UNIX. Un fichier est stock sur disque avec un certain nombres
dinformations gres par UNIX : lemplacement sur le disque, le type, le taille, ctime, mtime, atime,
owner, group. La commande ls permet daccder ces informations.
- : plain file
d : directory
c : device (printer tty,...)
b : lock device (disk, tape,...)
l : link (BSD)
s : socket (BSD)
= : FIFO (Sys V)
r : read
w : write
x : execute
s : set mode
Chmod et Umask sont des commandes UNIX permettant de spcifier ou de modifier le mode des
fichiers. Umask est la commande qui prcise le mode par dfaut lors de la cration dun fichier ou dun
rpertoire. Ceci est spcifi dans le fichier .login ou .profile ou .cshrc. On soulignera que cette commande
sexcute comme cd sous le shell courant. Umask fait un & avec le masque o tous les bits sont un.
SUID et SGID
Lintrt dUNIX est que tout a une reprsentation de fichier. On a pu remarquer que certain
fichiers peuvent tre excutables et donc provoquer la naissance dun process fils du shell qui a ouvert le
fichier excutable. On peut donc imaginer que des commandes (donc des fichiers excutables) aient plus
de privilges que les utilisateurs normaux, ils sont SUID ou SGID. Cest le cas de "passwd" qui a le droit
de modifier le le fichier /etc/passwd. Tout fichier peut devenir SUID ou SGID. Ces fichiers sont
reprsents par le masque du type : -rwsr-s-r-t.
La dernire lettre signifie que le fichier est "sticky", aprs sont excution, il ne sera pas enlev de
la zone mmoire qui lui est affect ce qui permet dy accder trs rapidement. Les premires versions
dUNIX permettaient de faire une copie du shell avec le privilge SUID au nom du root, cette brche a t
rapidement colmate et on ne peut plus faire de copie SUID de shell si lon est pas dj root. Il est donc
important pour ladministrateur de connatre tous les fichiers SUID prsents.
Lors du montage des fichiers distants, il est aussi important quaucun fichier ne soit excutables SUID ou
SGID en BSD, la commande est :
60 / 69
Administration rseau. IV : Troubleshooting et scurit
nombre de fichiers. Ils peuvent ainsi travailler en commun sur ceux-ci sans se soucier des droits daccs.
La correspondance entre le numro de GID, le mot de passe du groupe et les utilisateurs appartenant ce
groupe est prcise dans le fichier /etc/group.
install:*:63:cassagne,eudes,laforgue,richier,jean,nicollin,lenne,martinet,
santana,challier,delaunay,rouverol
wheel:*:0:cassagne,waille,laforgue,richier,root,eudes,martinet,challier,de
launay,jean
Le compte UUCP, est un compte li un programme que nous dtaillerons plus tard du point de
vue de la scurit.
Chaque dmon est un utilisateur particulier, il possde un UID. Les dmons sont des programmes
lancs au moment du boot, ils sont souvent des serveurs.
La commande su est celle qui permet de devenir super-user. Elle demande une validation de
mot de passe. UNIX system V nadmet quun mot de passe pour devenir superuser, ceci oblige donc une
circulation dun mot de passe sensible ce qui peut compromettre la scurit du rseau. UNIX BSD
propose chaque root de devenir superuser en utilisant son propre mot de passe. SU rend compte de toute
tentative de login errone dans le fichier /usr/adm/messages ce qui permet ladministrateur dtre averti
de toute tentative dintrusion.
La protection passe par une surveillance, les administrateurs doivent scruter les fichiers cls et les
fichiers relevant les erreurs comme celui vu prcdement, ou les fichiers o toutes le actions ont t
enregistres comme /etc/wtmp.
On comprend lutilit des comptes de dmonstration ou les comptes usage publique. Toutefois
ceux-ci reprsentent une brche dans la scurit dun systme. Une solution consiste imposer une
configuration restrictive. Un interperteur shell restrictif permet de rduire le nombre de commandes
accessibles par ces comptes et une sortie automatique du shell lors de tentatives illicites. Le fichier .profile
de ce compte permet de le configurer en prcisant les terminaux qui permettent de dutiliser ce compte, le
shell restrictif, linterdiction des ports. Cette solution est toutefois fragile car un utilisateur dj logg
sous un autre compte pourra y accder avec un shell normal.
59 / 69
Administration rseau. IV : Troubleshooting et scurit
Tout compte doit comporter un password mis part quelques uns qui sont alors trs
restrcifs dans leur utilisation.
Un mot de passe ne doit tre en aucun cas inspir des informations disponibles par la
commande vue prcdement.
Un mot de passe ne doit pas tre tir dun dictionnaire surtout de la langue anglaise.
Choisir une phrase de huit mot ou plus (Unix ne crypt que huit lettres du mot de passe mais
il est possible den taper plus).
Insrer des caractres spciaux et des majuscules.
Des outils existent comme "npasswd" ou "passwd+" qui permettent de vrifier la validit dun mot de
passe.
Npasswd : ce programme permet lutilisateur de choisir son mot de passe mais il doit respecter
certains critres tests par le programme. Il limine les rptitions de caractres, les caractres impropres,
les mots en minuscules, les mots en majuscules, tous les mots se rapportant aux informations comtenues
dans les fichiers lus par "finger" et les mots appartenant un dictionnaire. "Passwd+" propose un jeu de
tests plus important et peut tre configur par un langage assez complet.
Les mots de passe doivent tre changs rgulirement, Une procdure de surveillance des mots
de passe est tablir. En voici une : copier le fichier /etc/passwd sur une bande, 30 jours plus tard,
comparer le fichier courant avec celui sauv, avertir les utilisateurs quils doivent changer leur mot de
passe dans les trente jours, vrifier 21 jours aprs, prvoir un deuxime avertissement, au terme de la
priode des 60 jours, faire une dernire vrification et supprimer les comptes rebelles. (L utilisateur
pourra toujours retrouver son compte sur une bande de backup.) Cette mthode limine rapidement les
comptes dormants, les plus compromettants pour la scurit dune machine.
Les utilisateurs ont accs la machine si ils ont un numros de 16 bit qui les identifie dans le
noyau. Ce numro est le User Identification (UID). La correspondance entre nom, le mot de passe et le
UID est prcise dans le fichier /etc/passwd.
denis:iORT/teYQQlko:15033:10510:Jean-Christophe Denis,,,:/h/isis/ensimag/
students/denis:/bin/tcsh
Il se peut que deux utilisateurs peuvent avoir le mme numro didentifcation, dans ce cas le
noyau les voit comme la mme personne. Ceci peut poser des problmes si un intrus veut se faire passer
pour quelquun. Les UID ont des valeurs rserves, les entiers entre 0 et 9 identifient des fonctions
systme, les utilisateurs sont identifis par des valeurs suprieures 20.
Les utilisateurs sont regroups, chaque groupe est identifi par un numro : le Group
Identification (GID). Lintrt de grouper les utilisateurs est de leur donner les mmes droits sur un certain
58 / 69
Administration rseau. IV : Troubleshooting et scurit
Chaque primitive est un filtre que lon peut combiner pour obtenir des filtres plus sophistiqus.
IV-1.9 Conclusion
IV-2 Scurit
It was not designed from the start to be secure. It was designed with the necessary
characteristics to make security serviceable.
Dennis Ritchie.
Les rseaux sont bass sur le principe de lautoroute, tout le monde y a accs et cest chacun de
se protger. Pour que tout soit clair, ladministrateur doit prvoir une politique de scurit prcisant les
droits daccs, les services rseau disponibles, les prcautions prendre, les procdures suivre
lorsquune faille a t dcele dans la protection du rseau et des mthodes de restauration de donnes. Le
rle de ladministrateur consiste aussi en la diffusion des information relatives au rseau par les "mailing
lists". Des informations intressantes sont diffuses rgulirement par le CERT et la DDN. Via les mails
list "CERT advisories" et "DDN security bulletin".
IV-2.1 Passwords
Les mots de passes sont la base de la scurit dune machine. Il est donc important de se
prserver contre les mauvaises mes qui cherchent ouvrir les portes du systme. Des indices importants
sur les utilisateurs sont accessibles par la commande finger, il est donc vivement recommand de suivre
des prcautions lmentaires.
57 / 69
Administration rseau. IV : Troubleshooting et scurit
Par rapport nslookup, dig a lavantage de pouvoir tre utilis pour convertir les adresses IP en noms et
inversement en spcifiant loption -x.
TCP/IP pause souvant des problmes dans sa configuration et les outils prsents jusqu
maintenant suffisent pour trouver une solution. Plus rarement, le protocol lui-mme peut tre en cause,
pour cela, il est ncessaire danalyser les paquets transmis dune machine lautre. Dans un
environnement UNIX, les analyseurs de protocoles les plus utiliss sont tcpdump (UNIX BSD) et
etherfind (Sun-OS).
Les analyseurs de protocoles proposent de filtrer les paquets spcifis par lutilisateur. Le
principe est de permettre aux paquets de remonter jusqu la plus haute couche du protocole pour quune
application puisse visualiser le contenu des paquets (entte et donnes).
56 / 69
Administration rseau. IV : Troubleshooting et scurit
Lorsque les 30 paquets se voient retourner des astrisques cest que les tables de routages ne sont
pas bien configures. Il sagit alors de contacter les responsables de la dernire machine qui a rpondu
pour rviser la configuration de leur routeur.
Les commandes "nslookup" et "dig" servent consulter ltat de la table du serveur de nom. Ce
dernier est en cause lorsque le message "unknown host" est retourn lors dune tentative de connexion.
Cette commande est trs utile lorsque ladministrateur veut vrifier que la machine distante est bien
configure.
~> nslookup
Default Server: imag.imag.fr
Address: 129.88.32.1
Non-authoritative answer:
princeton.edu nameserver = PRINCETON.EDU
princeton.edu nameserver = NS.CWRU.EDU
princeton.edu nameserver = NISC.JVNC.NET
55 / 69
Administration rseau. IV : Troubleshooting et scurit
Le dmon de routage en service sur toute machine en principe est en attente des informations de
mise jour envoyes par les autres machines du rseau local. Les paquets de message de mise jour sont
des RIP. Pour consulter ces messages, on utilise la commande "ripquery".
Ce sont les routes qui sont valides au moment ou la commande a t excute. Si elles diffrent de celles
contenues dans la configuration des tables de routage.
La commande "traceroute" dcrit la route emprunte par les UDP pour aller dune machine une
autre. Traceroute fonctionne en envoyant des paquets UDP avec une dure de vie incrmente de un a
chaque fois jusqu ce que la machine distante soit atteinte. Pour chaque paquet la machine recevant le
paquet dont la dure de vie est nulle retourne le temps quil a mis pour latteindre et son adresse la
machine mettrice
54 / 69
Administration rseau. IV : Troubleshooting et scurit
zss1: flags=51<UP,POINTOPOINT,RUNNING>
xpkt0: flags=51<UP,POINTOPOINT,RUNNING>
ip0: flags=0<>
std0: flags=0<>
osixpkt0: flags=0<>
hdlc0: flags=51<UP,POINTOPOINT,RUNNING>
snit_xpkt0: flags=41<UP,RUNNING>
lo0: flags=49<UP,LOOPBACK,RUNNING>
inet 127.0.0.1 netmask ff000000
Arp : cette commande est utile pour analyser les problmes dus la traduction des adresses IP. Trois
options sont utiles, -a donne toutes les entres, -d efface une entre de la table, -s ajoute une entre dans la
table. Les deux dernires options sont rserves au root. Arp est utiliser lorsquune mauvaise machine
rpond. Ce genre danomalies sont des lorsque deux machines ont la mme adresse IP.
~> /usr/etc/arp -a
floyd (129.88.32.32) at 8:0:20:a:e5:d7
celsius-251 (129.88.32.64) at 0:0:a7:0:7b:9b
esperanza-1 (129.88.32.65) at 0:0:a7:10:9f:62
farenheit-451 (129.88.32.33) at 0:0:a7:11:90:5
media (129.88.32.17) at 8:0:20:b:f9:2c
esperanza-3 (129.88.32.66) at 0:0:a7:10:a0:b1
alexandrie (129.88.32.34) at 0:0:a7:11:8f:e2
cap-ferret (129.88.32.18) at 0:0 ...
Les trois premiers octets de ladresse physique indique la marque des machines, par exemple 8:0:20
correspond un SUN. Les rfrences sont rpertories dans Assigned Numbers RFC.
Netstat : suivant les options utilises, netstat permet de de visualiser trois types dinformations, la
premire dlivre les sockets valides utiliss par les diffrents protocoles, la seconde est une des
nombreuses structures de donnes du rseau, la troisime sont des statistiques sur la transmission de
paquets.
~> netstat -i
Name Mtu Net/Dest Address Ipkts Ierrs Opkts Oerrs Collis Queue
le0 1500 imag-batb imag 8864760 6 8418838 2 258930 0
lo0 1536 loopback localhost 765048 0 765048 0 0 0
~>
Loption -i permet de visualiser linterface avec le rseau et les statistiques sur les paquets transmis. Si il
y a des paquets dans la rubrique queue cest que linterface est changer. Si les erreurs Ierrs et Oerrs ne
sont pas proches de zro, cela signifie que le rseau local est satur. Les collisions sont a prendre en
compte en rapport avec le nombre de paquets transmis et recus (ipkts+opkts) si ce pourcentage est lev
sur toute les machines de votre rseau local cest quun sous-rseau serait le bien venu.
53 / 69
Administration rseau. IV : Troubleshooting et scurit
Si le pourcentage de paquets perdus est lev et le temps de rponse est bas ou que les paquets
arrivent dans le dsordre alors il pourrait y avoir un problme matriel sur le mdium. Il ny a pas
dinquitude avoir car TCP/IP est conu pour rsoudre les erreurs. Mais si ces problmes concernent un
rseau local alors il faut faire un contrle du mdium, en effet sur un rseau local le temps de parcours doit
tre presque nul et il ne devrait pas y avoir de paquets perdus.
Les messages no answer et cannot connect permettent de conclure que le problme vient des
couches basses du protocol TCP/IP. Trois commandes UNIX permettent de tester la couche daccs au
rseau.
Ifconfig : sans options cette commande permet de vrifier la configuration et les paramtres de
dune interface rseau dune machine. Avec loption -a, elle renvoie les configurations de toutes les
interfaces dun systme.
En spcifiant une interface on obtient deux lignes, la premire contient le nom et les
caractristiques, la deuxime donne ladresse IP, le "subnet mask" et ladresse de diffusion.
~> /etc/ifconfig -a
le0: flags=63<UP,BROADCAST,NOTRAILERS,RUNNING>
inet 129.88.32.1 netmask ffffff00 broadcast 129.88.32.255
le1: flags=40<RUNNING>
zss0: flags=10<POINTOPOINT>
52 / 69
ifconfig : est utilis pour attribuer les adresses a un rseau et pour configurer les parametres de
linterface avec le rseau. Utilise sans options cette commande dlivre la configuration
courante de linterface du rseau dsign. Les paramtres utiles observer sont les
subnet mask, et les adresses IP.
arp : cette commande dlivre les correspondances entre rseaux internets, utilise sans options
elle donne ltat courant des tables de la machine donne.
netstat : donne de nombreuses informations sur les interfaces, les sockets et les tables de
routage.
ping : cette commande lance un programme qui utilise le protocol ICMP, utilise sans options
elle permet de savoir si une machine distante est accessible, avec loption -v (rserve aux
administrateurs) la commande affiche les packets ICMP quelle voit passer sur le rseau.
nslookup : lance des requtes aux Internet domain name server pour avoir la liste des
machines (hosts) connues sur le rseau. (Un programme similaire est disponoble sur le
rseau : dig.)
ripquery : affiche le contenu des packets RIP diffrs qui ont t envoys une machine
distante.
traceroute : affiche les diffrents rseaux traverss par les paquets entre deux machines
distantes.
etherfind : est un analyseur du protocol TCP/IP il permet dobserver le contenu des paquets ( les
enttes et les donns).
Ping est la commande qui permet de vrifier que la machine est accessible partir de votre
machine. Ceci permet de dterminer si on doit orienter la recherche vers le rseau lui-mme ou bien vers
les couches suprieures.
Si ping renvoie une rponse positive, les paquets peuvent traverser le rseau dans les deux sens et
le problme doit se situer dans les couches suprieures. Si, par contre les paquets natteignent pas la
machine distante, les couches basses du protocole de communication peuvent tre en cause.
La commande Ping peut tre excute partir dautres comptes ou dautres machines. Si Ping
choue uniquement partir de lutilisateur en question, vous pouvez orienter votre analyse sur la
configuration du systme utilisateur. Si Ping ne fonctionne partir daucun sites, alors les messages
derreur peuvent vous aider.
IV Troubleshooting et scurit
La mission de ladministrateur rseau peut tre divise en trois tches biens distinctes : la con-
figuration du rseau, la rsolution des problmes de fonctionnement (Troubleshooting) et la
scurit. Si la premire tche ncessite des connaissances dtailles des scripts dinstallation et
de configuration, la rsolution des disfonctionnements du rseau est confronte a des situa-
tions imprvues. La scurit du rseau est a mi-chemin entre les deux premires tches, la
scurit dun site se prvoit lors de linstallation des diffrents systmes sur le rseau et se por-
suit par une surveillance et une information rgulires des utilisateurs.
IV-1 Troubleshooting
Cette partie prsente les mthodes et les outils disponibles pour la rsolution des problmes du
rseau. Toutefois ceci ncessite davoir une vision claire du fonctionnement du rseau, ceci a t vu dans
les premiers chapitres. Nous allons tout dabord prsenter une approche mthodologique.
Les problmes rencontrs avec TCP/IP sont trs varis et ncessitent souvent des mthodes assez
diffrentes les unes des autres mais lanalyse conduisant la comprhension du problme est assez
systmatique. La difficult principale est de pouvoir visualiser ltat du rseau et des protocoles travers
de nombreuses couches logicielles.
Analyser le problme en dtail donne parfois une solution vidente. Mais dans des cas plus
compliqus il est ncessaire de recourir a des outils de diagnostique. Regardons ici les commandes que
UNIX fournit et quelques programmes disponibles par ftp anonyme.
50 / 69
Administration rseau. III : Applications
En effet, du fait de son fonctionnement, o les par librairies sont charges dynamiquement,
SunOS 4.x a besoin de quelques composants supplmentaires : "le multiloader", les librairies C partages,
et le fichier dev/zero. Ce qui ce fait par exemple par :
# cd /usr/ftp
# mkdir usr
# mkdir usr/lib
# cp /usr/lib/ld.so usr/lib
# cp /usr/lib/libc.so.* usr/lib
# chmod 555 usr/lib/libc.so.* usr/lib usr
# cd /usr/ftp
# mkdir dev
# cd dev
# mknod zero c 3 12
# cd ..
# chmod 555 dev
Maintenant, vous navez plus qu mettre en place les fichiers que vous voulez rendre accessible par FTP
anonyme dans le rpertoire /usr/ftp/pub (si vous voulez viter que vos fichiers ne disparaissent, assurez
vous quils nappartiennent pas ftp et que leurs droits daccs sont fixs 644).
Enfin, il faut tre conscient quun serveur FTP reprsente quand mme un risque potentiel pour la
scurit, de sorte quil est recommander de limiter le nombre de machine offrant un tel service dans un
mme rseau, et de surtout de bien vrifier que linstallation est correcte.
49 / 69
Administration rseau. III : Applications
# mkdir /usr/ftp
# cd /usr/ftp
# mkdir bin
# mkdir etc
# mkdir pub
# cp /bin/ls bin
# chmod 111 bin/ls
# cat > etc/group # attention : etc et non /etc !
anonymous:*:15:
^D
# cat > etc/passwd
ftp:*:15:15:acces au ftp anonyme:/usr/ftp:
^D
# chmod 444 etc/group etc/passwd
# cat etc/group >> /etc/group # attention : >> et non > !
# cat etc/passwd >> /etc/passwd
# chown ftp pub
# chmod 777 pub
# chmod 555 bin etc
# cd ..
# chown ftp ftp
# chmod 555 ftp
Cest tout pour tout ceux qui utilisent un systme diffrents du SunOS 4.x !
48 / 69
Administration rseau. III : Applications
Pour monter un rpertoire export par un serveur NFS il suffit (sous root) de faire un
Par exemple :
# mkdir nfsusers
# mount ensisun:/users nfsusers
Cependant, si lon veut que ces rpertoires soient monts chaque boot, il faut crer un fichier
/etc/fstab qui sera utilis par la commande mount -vat nfs dans un script de dmarrage pour remettre en
place tous les rpertoires requis.
Pour crer ce /etc/fstab, le plus simple est de monter les rpertoires la main en saidant
ventuellement de la commande showmount -e nom_de_serveur qui permet de lister les rpertoires
exports par un serveur NFS; puis, de gnrer le fichier par la commande :
ensuntx:/export/root/ensisun2 / nfs rw 0 0
ensuntx:/export/exec/sun4.sunos.4.1.2 /usr nfs ro 0 0
ensuntx:/export/exec/kvm/sun4c.sunos.4.1.2/usr/kvm nfs ro 0 0
47 / 69
Administration rseau. III : Applications
nfsd [nservers] Le dmon des serveurs NFS (le paramtre prcise le nombre de dmon dmarrer,
en gnral on met 8).
biod [nservers] Le dmon des clients NFS (nservers la mme signification).
rpc.lockd Le dmon de verrouillage de fichiers tourne sur les clients comme sur les serveurs.
rpc.statd Le dmon de contrle dtat, indispensable rpc.lockd (en particulier pour
rcuprer dun crash).
rpc.mountd Le dmon de mount (tourne du cot serveur) sont rle est de grer les demandes de
mount des clients.
On notera que dans ces scripts, on a test lexistences des fichiers ncessaire avant de dmarrer les
dmons.
Le fichier /etc/exports contient les informations dcrivant les rpertoires exporter, que la
commande exportfs -a utilise pour gnrer les informations ncessaires mountd dans le fichier /etc/
xtab .
La syntaxe de ce fichier est :
rpertoire [-option][,option]...
o option prcise les droits daccs2.
Les options de bases sont (pour plus dinformations faire man exports) :
ro "Read Only" tout client NFS peut lire mais aucun na le droit dcrire
dans le rpertoire.
rw [=machine][:machine]...
"Read Write" si un (ou plusieurs) nom de machine est prcis3, seul
les machines spcifies ont un accs en lecture / criture les autres ont
1. Ces programmes ne sont pas forcment dans /usr/etc/, et ne sont pas forcment prfixs par rpc. ...
consultez donc la documentation de vtre systme pour les dtails ...
2. Par dfaut, tout client est autoris monter les rpertoires pour des accs en lecture et en criture !
3. Dans ce fichier on peut utiliser des noms de groupe de machines (voir /etc/netgroup)
46 / 69
Administration rseau. III : Applications
On peut alors utiliser ces nom de groupes partout o des noms de machine ou des noms
dutilisateur sont requis, en particulier, dans les .rhosts ou le /etc/hosts.equiv il suffit de prcder le nom
de groupe dun caractre @ pour que le systme le comprennent comme un nom de groupe et en extrait
les noms dutilisateur ou les noms de machine suivant ce qui est requis
Vous avez pu noter que le nom de domaine t omis dans les exemples, cest en gnral le cas,
car on sort rarement du domaine dans ce genre de fichier. Une autre pratique courante est de sparer les
groupe de personnes et les groupes de machine pour simplifier ladministration; ce qui donne par
exemple :
admin (-, dupond, ) (-, durand, )
staff (-, smith, ) admin
enseignement (ensisun, -, ) (ensibull, -, )
machines enseignement (imag, -, )
NFS pour but de faire partager plusieurs machines leurs systmes de mmoires de masse.
Cest une application transparente pour lutilisateur, on peut trs bien travailler sans tre au courant de
lexistence de ce systme cependant je pense quil est intressant de savoir de quoi il retourne pour la
culture personnel.
Une rduction notable des besoin en espace disques : comme on peut avoir des stations de
travail sans disques qui travail sur les fichiers dune autre machine => on peut faire
en sorte que tout les fichier (en particulier tout le systme, les applications) sont en
un seul exemplaire.
Permet aux utilisateurs davoir le mme environnement,et dacceder aux mmes fichiers quelle
que soit le poste sur le quelle ils travaillent.
Simplifie les tche dadministration en centralisant les fichiers qui restent pourtant accessible
sur tout le rseau.
NFS est bas sur un systme client / serveur, le client utilise les fichiers du serveur comme sils
faisaient partie des disques locaux. Lorsque que lon sattache une arborescence dun disque dune autre
machine, on dit que lon monte un rpertoire (to mount a directory en anglais). Alors que rendre
accessible une arborescence aux autres machines se dit exporter un rpertoire.
Les dmons ncessaires faire tourner NFS sont lancs dans les scripts de dmarrage des
machines clientes et des machines serveurs :
45 / 69
Administration rseau. III : Applications
NIS besoin de connatre le nom du domaine pour maintenir sa base de donnes car elle rside
dans un sous rpertoire de /var/yp dont le nom drive du nom du domaine : si le nom du domaine est
cheops.imag.fr le rpertoire de la base NIS est /var/yp/cheops.imag.fr . Il faut donc lui indiquer ce nom de
domaine au dmarrage ce qui est fait par la commande domainname dans un des fichiers de boot.
NIS peut tre utilis comme alternative DNS pour un rseau ferm non connect Internet,
mais pour tout ceux qui utilisent Internet il faut DNS, cependant NIS apporte des informations qui ne sont
pas accessibles par DNS de sorte quil est courant dutiliser les deux1. Pour ce faire il est ncessaire de
faire une petite modification au fichier /var/yp/Makefile : il faut enlever le caractre # qui est au dbut de
la ligne B=-b et en mettre un devant B=.
Pour lancer le serveur et reconstruire les NIS maps il faut dabord excuter ypinit -m,
dmarrer le serveur par ypserv, et enfin, dmarrer le dmon de transfert des maps par ypxfrd 2 sur la
machine serveur principal. Quand aux machines clientes, elles se contentent de lancer ypbind.
Le fichier /etc/netgroup est un fichier qui nest utilis que par NIS et qui dfinit des groupes de
machines ou dutilisateur. Sa syntaxe est la suivante :
nom_du_groupe membre [membre] . . .
o membre est soit le nom dun autre groupe soit la dfinition dune entit suivant le format :
(nom_de_machine, nom_dutilisateur, nom_de_domaine)
o le nom de domaine est optionnel. Ce qui donne par exemple :
1. Il est recommand si lon utilise la fois NIS et DNS de leur spcifier le mme nom de domaine.
2. Retirez le # devant ypxfrd dans votre rc.local pour que le dmon dmarre automatiquement au boot.
44 / 69
Administration rseau. III : Applications
& x
Si cette technique permet sur des systmes qui ne sont pas trs stricts sur le plan de la scurit1,
de faire quelle bonne farces, nous vous conseillons de ne pas en abuser car vous pourriez en arriver a vous
mfier sans arrt, et a ne plus savoir distinguer le vrai du faux ... (sans parler des ennuis que vous pourriez
vous attirer si lon prend vos faux courriers au srieu !).
Le NIS est une base de donnes contenant des informations sur le rseau, elle assure une
distribution de linformation tout en gardant lavantage de la simplicit de mise jour des information
dun systme centralis. Les informations aux quelles NIS permet daccder, sont groupes dans des
sortes de tables distribues sur le rseau (appeles NIS maps), mais leur contenu est en fait tir de
quelques fichiers Unix centraliss (dont certains ont dj t dcrits dans ce document) :
1. Ce nest pas la peine dessayer de faire un faux courrier de bill-clinton@whitehouse.gov : leur dmon
sendmail est un peu plus scuris, et refusera de passer le courrier ...
43 / 69
Administration rseau. III : Applications
Quand il faut dterminer la route que doit prendre un courrier, cest encore sendmail qui est mis
contribution. Il sappui pour ce faire sur le fichier de configuration sendmail.cf. Ce dernier a trois
fonctions principales :
Dfinir lenvironnement de senmail.
Donner des rgles de r-criture des adresses dans une syntaxe approprie au programme qui
recevra le courrier.
Etablir les instructions a excuter pour faire parvenir le courrier en fonction de ladresse.
La syntaxe de ce fichier tant fort complexe, (cest un vritable langage) et trs rbarbative (chaque mot,
variable de ce langage nest constitu que dune seule lettre!); on se contentera dindiquer comment ce
procurer un fichier modle, ainsi que des guides qui vous aiderons a ladapter a vos besoins.
Le fichiers ftp.uu.net:mail/sendmail/sendmail-5.65.tar.Z contient tout ce dont vous aurez besoin pour
tablir votre sendmail.cf, en particulier, vous y trouverez :
tcpuucpproto.cf modle pour les systmes ayant un accs direct au rseaux TCP et UUCP.
tcpproto.cf modle pour les systmes nayant un accs direct quaux rseaux TCP.
uucpproto.cf modle pour les systmes nayant un accs direct quaux rseaux UUCP.
doc/07.sendmailop/ Sendmail Installation and Operation Guide ...
doc/16.sendmail/ Sendmail: An Internetwork Mail Router ...
En faisant un telnet sur le port 25 dune machine, on peu rentrer en communication directe avec sendmail
(le dmon) et de cette faon, lui faire croire quil a reu un courrier SMTP. Le point intressant tant que
lon peut spcifier soit mme le nom de la personne lorigine du courrier !!!
exemple :
ensisun~> whoami
dupond
ensisun~> telnet ensibull 25
Trying 192.33.174.35 ...
Connected to ensibull.
Escape character is ^].
220 ensibull.imag.fr Sendmail 5.61/5.17 ready at Sat, 26 Jun 93 10:19:47 GMT
help
214-Commands:
214- HELO MAIL RCPT DATA RSET
214- NOOP QUIT HELP VRFY EXPN
214-For more info use "HELP <topic>".
214-To report bugs in the implementation contact eric@Berkeley.ARPA
214-or eric@UCB-ARPA.ARPA.
214-For local information contact postmaster at this site.
214 End of HELP info
MAIL FROM : le_grand_duduche
250 le_grand_duduche... Sender ok
RCPT TO: dupond@ensisun
250 dupond@ensisun... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
42 / 69
Administration rseau. III : Applications
machine cest crash alors que des courriers taient en cours de traitement. Enfin on peu dmarrer le
dmon avec les options1 :
-qintervale => prcise la frquence la quelle on doit traiter la queue (1h => toute les
heures; 15m => tout les quarts dheure ...)
-bd => prcise que sendmail doit fonctionner comme un dmon, et doit
couter le port 25 pour rceptionner les courriers arrivant.
Les aliases que reconnat sendmail sont dfinis dans /etc/aliases avec le format :
alias:recipient[,recipient]... ou owner-aliasname:address
exemple :
##
# Aliases can have any mix of upper and lower case on the left-hand side,
# but the right-hand side should be proper case (usually lower)
#
# >>>>>>>>>> The program "newaliases" will need to be run after
# >> NOTE >> this file is updated for any changes to
# >>>>>>>>>> show through to sendmail.
#
# @(#)aliases 1.10 89/01/20 SMI
##
Il est noter que tout changement dans le fichier /etc/aliases ne sera pas pris en compte tant que lon aura
pas executer la commande newaliases pour que sendmail remette jours ses donnes .
41 / 69
Administration rseau. III : Applications
230- it was last modified on Tue Jun 8 08:30:26 1993 - 9 days ago
230 Guest login ok, access restrictions apply.
ftp> bin
200 Type set to I.
ftp> hash
Hash mark printing on (8192 bytes/hash mark).
ftp> get network/ftp.servers.Z |uncompress>tst
200 PORT command successful.
150 Opening BINARY mode data connection for ftp.servers.Z (47919 bytes).
#########################################################################
226 Transfer complete.
local: |uncompress>tst remote: ftp.servers.Z
47919 bytes received in 3.3 seconds (14 Kbytes/s)
ftp> bye
221 Goodbye.
Une discussion dtaille du courrier electronique pourait suffire faire lobjet dun livre entier, cest
pourquoi nous nous contenterons ici de ne donner quun descriptif assez bref.
Lorsque vous envoyez un courrier par la commande mail1, il se passe tout un enchainement doprations,
mais limportant est la commande sendmail qui est le centre nerveux du systme de courrier lectronique.
On peut distinguer trois tches de sendmail :
Le dmon sendmail, prend le courrier Internet qui arrive sur le port TCP 25 et le traite ...
Pour comprendre ce quil fait, regardons les lignes qui dmarrent sendmail en tant que dmon lors du
boot :
On voit dabord le classique test dexistence des fichiers ncessaires, puis la ligne rm qui est
charge dliminer tous les verrous qui auraient pu rester dans le rpertoire /var/spool/mqueue si la
1. Pour plus de renseignements lancer la comande mail puis demander laide en ligne en tapant help ...
(il y a trop de version trs differantes de mail)
40 / 69
Administration rseau. III : Applications
39 / 69
Administration rseau. III : Applications
telnet permet de se connecter a une machine distante quelle que soit son type, pour plus
dinformation utiliser le man.
ftp permet de transfrer des fichiers entre des machines, mme si ce sont des systmes
trs diffrents (sous FTP faire help).
Pour ce qui est de FTP quelques informations complmentaires sont tout de mme trs utiles
pour le dbutant. Tout dabord, il existe des serveurs FTP anonymes, cela signifie que sur de tels serveurs
il est possible de se connecter sous le nom dutilisateur anonymous en donnant sa propre adresse en guise
de password.
Le fait de donner votre adresse en tant que password nest pas une contrainte stricte : il suffit en
gnral de taper un caractre @ dans la ligne pour que le serveur soit satisfait, cependant nous vous
conseillons de mettre votre vritable adresse dans votre propre intrt : avoir accs au serveurs FTP
anonymes nest pas un droit, cest un privilge que lon vous accorde, et il est normal (et mme
souhaitable) que le responsable dun serveur anonyme soit au courant du public quil touche, de plus il
peut arriver que lon prenne un fichier dangereux (bug dsastreux, cheval de Troie, virus, ...) on ne peut
alors tre prvenu du problme qu condition davoir donner son adresse !
Ensuite, il faut connatre quelques piges dFTP :
Tout fichier qui nest pas un fichier texte, ne doit tre transfr quen mode binaire (par
exemple, un fichier *.ZIP pour les PC ou un *.hqx pour les MAC ...)
A linverse, tout fichier texte doit tre transfr en mode ASCII car les marques de fin de ligne,
de fin de fichier, et mme le jeux de caractre, sont diffrent dun constructeur lautre ... FTP
ralise la conversion pour vous !
Enfin, bien que lon puisse utiliser des pipes dans les commandes dFTP, il faut bien prendre
garde de ne pas mettre de blanc entre le pipe et la commande qui le suit pour que FTP puisse
linterprter correctement.
De plus, il nest pas inutile de savoir que lon peut se procurer sur le rseau des variantes dFTP
qui sont plus pratiques demploi (essayer sur ftp.inria.fr dans /system/user le fichier ncftp.tar.Z).
Quelques adresses :
pilot.njin.net => liste de serveurs anonymes : pub/ftp-list/ftp.list
ftp.inria.fr => Sources, X11, TeX, GNU, Games, ...
tsx-11.mit.edu => Linux (un Unix domaine public pour PC), GNUs, ...
nic.switch.ch => Programmes domaines public pour PC, archives, ...
Exemples :
imag{10} ftp pilot.njin.net
Connected to pilot.njin.net.
220 pilot.njin.net FTP server ready.
Name (pilot.njin.net:dupond): anonymous
331 Guest login ok, send e-mail address as password.
Password:
230 Guest login ok, access restrictions apply.
ftp> help
38 / 69
Administration rseau. III : Applications
Pour ladministrateur le fichier important est /etc/hosts.equiv; ce dernier est compos de zro ou
plusieurs lignes de la forme 1 :
[+|-][nom_de_machine] [nom_dutilisateur]
ensibull => Autorise toute personne ayant un compte sur ensibull et un sur ensisun sous le
mme nom dutilisateur, accder ensisun depuis ensibull sans password !
-ensibull dupond => Force lutilisateur dupond@ensibull donner son password lorsque quil tente
daccder ensisun depuis ensibull (utile quand dupond@ensibull et
dupond@ensisun ne sont pas la mme personne).
+ durand => Brche dans la scurit : Autorise toute personne ayant un compte sur une
machine distante sous le nom durand accder tous les comptes utilisateur
densisun sans password ! (le compte root except)
+ ensibull durand => ATTENTION : il y a un blanc entre + et ensibull (faute dinattention?) => Brche
dans la scurit : Autorise toute personne ayant un compte sur une machine
distante sous le nom ensibull ou le nom durand accder tous les comptes
densisun sans password ! (le compte root except)
Le .rhosts est un fichier utilisateur qui a la mme syntaxe que le fichier /etc/hosts.equiv mais qui
ne donne accs quau compte de lutilisateur qui la cre et plac dans la racine de sont rpertoire
utilisateur (le fichier .rhosts ne peut pas prendre le pas sur le fichier /etc/hosts.equiv).
Exemple :
ensisun{10} pwd
/users/durand
ensisun{11} cat > .rhosts
ensibull dupond
^D
ensisun{12} chmod go-w .rhosts
...
ensibull{10} whoami
dupond
ensibull{11} rlogin -l durand ensisun
Last login: Thu Jun 17 12:19:37 from imag
SunOS Release 4.1.2 (ENSIMAG_SNC) #2: Fri Nov 20 16:26:13 MET 1992
***********************************************************************
ensisun{10} ...
1. attention la position du blanc : si vous tapez un blanc entre le plus et le nom_de_machine, ce dernier
sera en fait interprt comme un nom dutilisateur ce qui est fort dangereu ...
37 / 69
Administration rseau. III : Applications
III Applications
Dans ce chapitre nous allons prsenter les applications les plus courantes que lon puisse trou-
ver au-dessus de TCP/IP. Nous voquerons leurs installations, leurs utilisations, leurs fichiers
de configurations (utilisateur ou systme) ainsi que certains trucs & astuces intressant.
Pour les systmes Unix, la famille des commandes r comprend toutes les commandes utiles
pour travailler partir dun serveur local sur un ou des serveurs distants; pourvu que les deux systmes
soient de type Unix (et que les deux machines puissent se joindre lune lautre!).
Ces commandes sont trs pratiques car elles permettent de passer dune machine lautre sans
avoir donner son mot de passe chaque fois ... !
Elles reprsentent aussi par consquent un danger considrable sur le plan de la scurit si lon ne
sait pas les matriser1.
Les trois commandes remotes qui nous intressent ncessitent la mise en place par loprateur
ou par lutilisateur de fichiers de configurations donnant des droits daccs, nominatifs ou par machine.
Ces commandes sont :
rlogin : remote login permet de se connecter sur une machine distante Unix.
rcp : remote copy permet de copier des fichiers dune machine Unix a une autre.
rsh : remote shell permet dexcuter une commande sur une machine distante.
1. le responsable systme est en mesure de dsactiver ces commandes en transformant les lignes corres-
pondantes du fichier /etc/inetd.conf en lignes de commentaires.
36 / 69
Administration rseau. II : Configuration
####################################################################
Received 6251 records.
> view temp
[imag.imag.fr]
imag.fr. server = imag.imag.fr
imag 129.88.32.1
imag.fr. server = hal.imag.fr
hal 129.88.32.24
imag.fr. server = layon.inria.fr
imag.fr. server = mirsa.inria.fr
imag.fr. server = archi.imag.fr
archi 147.171.129.1
imag.fr. 129.88.32.1
saint-eynard 129.88.38.27
notos 147.171.149.30
maceudes 129.88.32.49
lys 147.171.150.51
durga 129.88.32.24
oahu 129.88.100.64
lion 129.88.33.32
ensitty1 192.33.174.40
ensitty2 192.33.174.41
ensitty3 192.33.174.42
ensitty4 192.33.174.43
ensitty5 192.33.174.44
gimli 129.88.33.21
athena 129.88.40.3
knuth1 192.33.172.51
knuth2 192.33.172.52
mac_archi-10 147.171.129.230
knuth3 192.33.172.53
mac_archi-11 147.171.129.231
knuth4 192.33.172.54
meltemi 147.171.149.20
mac_archi-12 147.171.129.232
knuth5 192.33.172.55
aragorn 129.88.33.23
mac_archi-13 147.171.129.233
mare 129.88.100.18
mac_archi-15 147.171.129.235
mac_archi-16 147.171.129.236
mac_archi-17 147.171.129.237
mac_archi-20 147.171.129.240
mac_archi-18 147.171.129.238
mac_b2-1 129.88.59.2
devoluy 129.88.38.14
mac_archi-21 147.171.129.241
mac_archi-19 147.171.129.239
mac_b2-2 129.88.59.3
mac_archi-22 147.171.129.242
mac_b2-3 129.88.59.4
mac_archi-23 147.171.129.243
mac_b2-4 129.88.59.5
mac_archi-24 147.171.129.244
mac_b2-5 129.88.59.6
aramis-campus 129.88.31.254
... ( to be continued)
35 / 69
Administration rseau. II : Configuration
Ce fichier contient la plupart des informations sur le domaine. Ce fichier convertit les noms
en adresse IP. Cela correspond aux enregistrements A. Ce fichier, comme named.rev est
seulement cre pour les serveurs primaires. Les autres serveurs tirent ces informations des
serveurs primaires. Voici le contenu dun fichier exemple :
nslookup est un outil de debuggage fourni avec le BIND. Il permet de faire des requtes
directement un serveur de nom et de retrouver les informations connues du DNS. Cest trs utile pour
savoir si un serveur fonctionne correctement et est correctement configur.
% nslookup
Default Server: ensisun.imag.fr
Addresses: 192.33.174.34, 192.33.174.65
34 / 69
Administration rseau. II : Configuration
Ce fichier a la mme structure que named.local car son but est de traduire des adresses IP en
nom. Voici le contenu dun fichier exemple cherch Berkeley. :
;
; @(#)named.rev 1.1 (Berkeley) 86/02/05
;
Lentre SOA dfinit le domaine pour le fichier zone. On retrouve le mme SOA sur tous
les fichiers zone de ensisun.
Les entres PTR traduisent des adresses en nom. Dans notre cas, les enregistrements PTR
fournissent les noms de 0.0, 130.0, 129.2,... sur le rseau 128.66.
33 / 69
Administration rseau. II : Configuration
;
; Hints for root nameservers
;
. 99999999 IN NS c.nyser.net.
99999999 IN NS kava.nisc.sri.com.
99999999 IN NS ns.nasa.gov.
99999999 IN NS aos.brl.mil.
99999999 IN NS ns.nic.ddn.mil.
99999999 IN NS terp.umd.edu.
99999999 IN NS nic.nordu.net.
c.nyser.net. 99999999 IN A 192.33.4.12
kava.nisc.sri.com. 99999999 IN A 192.33.33.24
ns.nasa.gov. 99999999 IN A 192.52.195.10
99999999 IN A 128.102.16.10
aos.brl.mil. 99999999 IN A 192.5.25.82
ns.nic.ddn.mil. 99999999 IN A 192.112.36.4
terp.umd.edu. 99999999 IN A 128.8.10.90
nic.nordu.net. 99999999 IN A 192.36.148.17
99999999 est le ttl (time to live). ttl reprsente la dure en seconde pendant laquelle
linformation doit tre conserve dans le cache. La valeur 99999999 - la plus grande possible -
indique que le serveur root nest jamais enlev du cache.
Une liste de serveur root est disponible par ftp anonyme nic.ddn.mil dans le fichier netinfo/
root/root-servers.txt.
Si le rseau nest pas connect Internet, il est inutile dinitialiser le cache avec les serveurs
root ci-dessus, vu que vous ne pourrez pas les atteindre. Initialisez votre cache avec des entres
qui pointent sur le serveur de nom local.
Ce fichier est utilis pour convertir ladresse 127.0.0.1 (ladresse loopback) en le nom
localhost. Cest le fichier zone du domaine renvers 0.0.127.in-addr.arpa. Ce fichier est presque
chaque fois identique sur tous les serveurs. Voici le contenu du fichier mis disposition
ladresse de ftp ci-dessus :
;
; @(#)named.local 1.1 (Berkeley) 86/01/21
;
@ IN SOA ucbvax.Berkeley.EDU. kjd.ucbvax.Berkeley.EDU. (
1.2 ; Serial
3600 ; Refresh
300 ; Retry
3600000 ; Expire
14400 ) ; Minimum
IN NS ucbvax.Berkeley.EDU.
0 IN PTR loopback.ucbvax.Berkeley.EDU.
1 IN PTR localhost.
32 / 69
Administration rseau. II : Configuration
Lentre cache dit named de maintenir un cache aux rponses du serveur de noms et de
linitialiser avec le fichier root.cache . Ce nom est choisi par ladministrateur. Nous verrons son
contenu dans le paragraphe suivant. Lentre primary dfinit le serveur local comme serveur
primaire de son propre domaine en loopback. Ce domaine est un in-addr.arpa domaine qui donne
comme adresse la machine locale 127.0.0.1.
Voici le dbut du fichier qui dfinit imag comme serveur primaire sur le domaine imag.fr :
La deuxime entre dit que la machine imag est le serveur primaire pour le domaine imag.fr et
que les donnes pour ce domaine sont lire dans le fichier imag.fr.zone.
Pour une configuration de serveurs secondaires, les entres secondary nindiquent plus des
fichiers locaux mais des serveurs distants comme source dinformation sur les domaines. Les
entres secondaires donnent le nom du domaine, ladresse du serveur primaire pour de domaine
et ladresse le nom du fichier local ou linformation reue du serveur primaire doit tre stocke.
directory /var/spool/named
sortlist 129.88.0.0 147.171.0.0 130.190.0.0
secondary imag.fr 129.88.32.1 imag.fr.bk
secondary 88.129.in-addr.arpa 129.88.32.1 129.88.bk
cache . root.cache
forwarders 129.88.32.1
slave
Une entre dans chaque fichier named.boot indique quel est le fichier dinitialisation cache.
Chaque serveur ce fichier.
31 / 69
Administration rseau. II : Configuration
Si le systme local ne fait pas tourner named ou si le nom du domaine ne peut pas tre tir de
hostname, on doit utiliser le fichier resolv.conf. La configuration avec ce fichier a quelques
avantages sur la configuration par dfaut. La configuration est dfinie clairement et elle permet
de choisir un serveur de nom autre que celui par dfaut au cas ou ce dernier ne rponde plus. Ce
fichier a deux entres :
nameserver address : identifie le ou les serveuri(s) de nom par son adresse IP. Si cette entre
nexiste pas dans le fichier, le serveur de nom est suppos tre la machine locale. Sur une
machine configure resolver-only, le fichier resolv.conf contient des noms de serveurs mais qui
ne sont jamais la machine locale.
domain name : dfinit le nom du domaine par dfaut, par exemple imag.fr.
Alors que la configuration du resolver ncessite au plus un fichier, plusieurs fichiers sont
ncessaires pour configurer named.
Ce fichier indique les sources de linformation DNS. Ces sources sont soit des fichiers
locaux, soit des serveurs distants. Les entres de ce fichier sont les suivantes :
La faon dont on configure named.boot indique si on utilise le serveur comme primary server,
secondary server ou catching-only server.
30 / 69
Administration rseau. II : Configuration
catching-only : ce type de serveur ne gre pas de fichiers de donnes. Il determine les rponses
aux requtes partir dautres serveurs distants. Une fois quil connat la rponse, le serveur
conserve linformation pour dautres demandes futures de la mme information. Ce type de
serveur nest pas autoritaire, vu quil dpend dautres serveurs. Seul un fichier cache est
ncessaire pour conserver les informations temporairement. Ce type de configuration de serveur
est srement la plus rpandue et la plus simple mettre en place avec la configuration prcdente.
primary : le serveur de nom primaire est matre sur tout le domaine quil gre. Il connat les
informations concernant le domaine partir dun fichier local fait par ladministrateur rseau. Ce
fichier de zone contient les informations prcises sur le domaine ou le serveur est matre. La
configuration de ce serveur demande un ensemble de fichiers : le fichier de zone pour le domaine
(named.hosts) et le domaine lenvers (named.rev),le fichier boot(named.boot), le fichier cache
(named.ca) et le fichier de loopback (named.local).
secondary : un serveur secondaire transfre les informations dun serveur primaire chez lui. Le
fichier de zone est ainsi transfr et est stock dans un fichier local. Ce type de serveur a une
copie complte des informations du domaine; on le considre par consquent comme un serveur
matre.
La configuration dun serveur est une de celles ci-dessus mais peut aussi en regrouper plusieurs.
Cependant, tous les systmes doivent faire tourner un resolver. Commenons regarder la configuration
de la partie cliente du DNS.
Pour connatre le domaine par dfaut, le resolver utilise la configuration par dfaut. Il utilise
la machine locale comme serveur de nom par dfaut et tire le nom du domaine par dfaut de la
sortie de la commande hostname.
Pour que la configuration par dfaut fonctionne, il faut que la machine locale fasse tourner
named.
hostname est une commande UNIX qui permet de vrifier ou dinstaller le nom de la
machine. Seul, le root peut en faire linstallation. Par contre, tout le monde peut en faire la
vrification :
% hostname
ensisun.imag.fr
29 / 69
Administration rseau. II : Configuration
utilis sur certains sites. gated est un seul logiciel qui combine la fois RIP, Hello, BGP et EGP.
Les avantages de gated sont :
sur les systmes qui utilisent plus dun protocole de routage, gated combine les
informations des diffrents protocoles et en tire la meilleure route.
les routes apprises dun protocole intrieur peuvent tre annonces via un protocole
extrieur. Les informations entre systmes autonomes sadaptent aux changements de routes
intrieur.
gated simplifie la configuration. Tout tient dans un seul fichier : /etc/gated.conf.
Bien quil y ait beaucoup de protocoles existant, en choisir un est relativement facile. Pour
des rseaux locaux, RIP est le plus courant. OSPF nest pas encore largement disponible et Hello
na jamais t largement utilis.
Le service de nom DNS nest pas vraiment indispensable pour la communication entre machines.
Comme son nom lindique, cest un service dont le but est de rendre le rseau plus convivial. Le rseau
fonctionne trs bien avec les adresses IP mais lutilisateur prfre utiliser des noms.
II-4.1 BIND
Au sein dUNIX, DNS est implment par le BIND (Berkeley Internet Name Domain). Cest un
programme qui repose sur une architecture client/serveur. La partie client du BIND est appele le
resolver. Il gnre les demandes qui sont envoyes au serveur. Le serveur DNS rpond alors aux requtes
du resolver. La partie serveur du BIND est un dmon appel named. Ce chapitre couvre les trois
oprations faire sur le BIND :
configuration du resolver
configuration du serveur de nom named
construction des fichiers de donnes du serveur de nom, appels fichiers de zone
BIND peut tre configur de plusieurs manires. Ces diffrentes configurations sont :
resolver-only systems : sur les systmes UNIX, le resolver nest pas un client spar mais
plutt une librairie. Certains systmes utilisent seulement le resolver. Ils sont faciles configurer:
il suffit dinitialiser le fichier /etc/resolv.conf. Ce type de configuration nest quand mme pas trs
courant. Elle est utilise quand il y a une limitation technique qui empche de faire tourner le
serveur.
(Les trois autres configurations sont toutes pour le serveur named).
28 / 69
Administration rseau. II : Configuration
La plus grande longueur pour RIP est de 15. Au dessus de 15, RIP suppose que la
destination nest pas joignable. En supposant que la meilleure route est la plus courte, RIP ne
prend donc pas en compte les problmes de congestion.
Inclus dans UNIX, RIP tourne grce au routing daemon, routed. Le routing daemon
construit les tables de routages avec les informations de mise jour RIP. Les systmes configurs
pour traiter RIP changent priodiquement ou sur demande ces informations de mise jour.
Hello est un protocole qui utilise le dlais1 pour dcider de la meilleure route. Le dlais est
le temps que met un paquet pour aller de la source la destination et revenir ensuite la source.
Hello nest pas largement utilis. On le trouve peu en dehors de NSFNET.
Les protocoles de routage extrieur sont utiliss pour changer des informations entre
systme autonomes. Les informations de routage qui passent entre des systmes autonomes sont
appeles reachability information. Ces informations indiquent quels rseaux peuvent tre
atteints travers un systme autonome spcifique.
Exterior Gateway Protocol (EGP) est le plus utilis des protocoles extrieurs. Une
passerelle qui utilise EGP annonce quelle peut atteindre les rseaux qui font partie de son
systme autonome.
Contrairement aux protocoles intrieurs, EGP nessaie pas de choisir la meilleure route.
EGP met jour les informations de distance mais nvalue pas ces informations. Ces
informations de distance ne sont pas directement comparables parce que chaque systme
autonome utilise des critres diffrents pour valuer ces valeurs.
Une structure de routage qui dpend dun groupe de passerelles centralises ne peut pas
convenir un accroissement rapide de Internet. Cest une des raisons pour lesquelles Internet
tend vers une architecture distribue ou un processus de routage tourne sur chaque systme
autonome.
Une remarque importante se rappeler est que la plupart des systmes ne font pas tourner de
protocoles extrieurs. Ces protocoles ne sont utiles que pour des systmes autonomes qui
changent des informations avec dautres systmes autonomes. La plupart des machines
appartenant un systme autonome font tourner RIP. Seules les passerelles reliant deux systmes
autonomes font tourner un protocole extrieur.
EGP tourne soit comme processus spar (egpup), soit comme partie du Gateway Routing
Daemon (gated). Il est prfrable dutiliser gated. On utilise encore egpup car il est encore
27 / 69
Administration rseau. II : Configuration
Largument suivant est ladresse de la passerelle. Cette adresse doit tre celle dune passerelle
directement connecte au rseau.
Le dernier argument est la mesure de routage ( routing metric). Route utilise cette mesure pour dcider
sil sagit dune route travers une interface locale ou bien travers une passerelle externe. Si cette
mesure vaut 0, la route est suppose passer par une interface locale et le flag G nest pas mis en place. Si
cest suprieur 0, le flag G est mis en place car la route est suppose passer par une passerelle externe.
La table de routage statique densisun aprs avoir ajouter diffrentes routes est la suivante :
% netstat -nr
Routing tables
Destination Gateway Flags Refcnt Use Interface
127.0.0.1 127.0.0.1 UH 5 2017 lo0
192.33.174.160 192.33.174.33 UG 0 0 le0
192.33.174.128 192.33.174.33 UG 21 13874 le0
129.88.0.0 192.33.174.62 UG 17 438296 le0
default 192.33.174.62 UG 0 161657 le0
192.33.174.96 192.33.174.35 UG 4 3509 le0
192.33.174.64 192.33.174.65 U 52 1273321 ne0
192.33.174.32 192.33.174.34 U 133 887308 le0
152.77.0.0 192.33.174.62 UG 0 0 le0
192.33.175.0 192.33.174.36 UG 0 28450 le0
Pour comprendre les diffrentes destinations de la table de routage, il suffit de se reporter au fichier /etc/
networks :
129.88.0.0 est le rseau net-imag
192.33.175.0 est le rseau net-ensimag23
Les autres rseaux 192.33.174.xxx sont les sous-rseaux du rseau net-ensimag01. Ce sont les rseaux :
net-ensipc, net-ensuntx, net-ensibmtx, net-ensibultx,... Rapellons que ensisun est directement connect
sur net-ensuntx (192.33.174.64) et sur net_ensimag (192.33.174.32)
Tous les protocoles de routage assurent les mmes fonctions de base : ils dterminent la meilleure
route pour chaque destination et changent les informations de routages entre les diffrents systmes du
rseau. Par contre, leur manire de procder est diffrente.
Un protocole intrieur est utilis sur un rseau indpendant. Ces rseaux indpendants sont
aussi appels systme autonome en terminologie TCP/IP. Au sein dun systme autonome,
linformation de routage est change en utilisant un protocole intrieur.
Routing Information Protocole (RIP) est le plus utilis des protocoles intrieurs car il est
inclus dans UNIX. RIP slectionne la route dont la longueur est la plus faible comme tant la
meilleure route. La longueur dune route pour RIP est le nombre de passerelles que les donnes
doivent franchir pour atteindre leur destination. RIP suppose que la meilleure route est celle qui
utilise le moins de passerelles.
26 / 69
Administration rseau. II : Configuration
% ping -s ensibm
PING ensibm: 56 data bytes
64 bytes from ensibm (192.33.174.36): icmp_seq=0. time=3. ms
64 bytes from ensibm (192.33.174.36): icmp_seq=1. time=4. ms
64 bytes from ensibm (192.33.174.36): icmp_seq=2. time=4. ms
64 bytes from ensibm (192.33.174.36): icmp_seq=3. time=6. ms
^C
----ensibm PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 3/4/6
% ping -s ensibull
PING ensibull: 56 data bytes
64 bytes from ensibull (192.33.174.35): icmp_seq=0. time=4. ms
64 bytes from ensibull (192.33.174.35): icmp_seq=1. time=15. ms
64 bytes from ensibull (192.33.174.35): icmp_seq=2. time=81. ms
^C
----ensibull PING Statistics----
3 packets transmitted, 3 packets received, 0% packet loss
round-trip (ms) min/avg/max = 4/33/81
ping utilise le protocole ICMP pour forcer la machine destinatrice renvoyer un cho vers la machine
locale. Si les paquets circulent entre les deux machines, cela veut dire que le routage est bon.
Si on fait un ping sur une machine qui nest pas sur le rseau local, les rsultats sont diffrents.
% ping 26.40.0.17
sendto: Network is unreachable
Ici, le message sendto: Network is unreachable montre que ensisun avec sa table de routage
minimale ne sait pas envoyer des donnes au rseau ou se trouve la machine 26.40.0.17.
Ce test montre que la table de routage cre par ifconfig permet seulement la communication sur des
machines sur le rseau local.
Comme nous lavons vu, la table de routage minimale ne marche quavec les machines directement
connectes sur le rseau local. Grce la commande route, on rajoute des routes travers des passerelles
externes jusqu des machines distantes.
Le premier argument aprs route est soit add pour rajouter, soit del pour effacer une route.
Largument suivant 152.77.0.0 est ladresse destination qui est ladresse atteinte par cette route. Si le
mot-cl default est utilis, route cre une route par dfaut. La route par dfaut est utilise quand il ny a
pas de routes spcifiques une destination donne.
25 / 69
Administration rseau. II : Configuration
routage statique : un rseau avec un nombre limit de passerelles peut se configurer avec un
routage statique. Une table de routage statique est construite manuellement par ladministrateur
systme qui utilise la commande route. Ces tables sont utiliser seulement quand les routes ne
sont pas modifies, vu quelles ne sauto-adaptent pas aux changements de rseaux. Quand une
machine loigne ne peut tre atteinte quavec une seule route, le routage statique est la meilleure
solution.
routage dynamique : un rseau ou une mme destination peut tre atteinte par plusieurs routes
devrait utiliser le routage dynamique. Une table de routage est construite partir des
informations changes par les protocoles de routage. Ces protocoles de routage ont pour but de
mettre jour les tables de routage et de choisir quelle est la meilleure route vers une destination.
Les routes sont construites coup difconfig, dans un script crit par ladministrateur ou,
dynamiquement par les protocoles de routage.
Une fois la configuration de linterface ralise, la commande netstat -nr permet de connatre la table de
routage construite par ifconfig, . Imaginons ensisun sur un rseau local coup du monde.
% netstat -nr
Routing tables
Destination Gateway Flags Refcnt Use Interface
127.0.0.1 127.0.0.1 UH 5 2017 lo0
192.33.174.64 192.33.174.65 U 52 1273321 ne0
192.33.174.32 192.33.174.34 U 133 887308 le0
La plupart des routes sont des routes vers des rseaux et non pas des routes vers des machines.
Cest pour rduire la taille des tables. En effet une organisation peut avoir un seul rseau mais des
centaines de machines sur ce rseau. Une table de routage avec une route pour chaque machine aurait une
taille norme et est donc inconcevable.
La colonne refcnt donne le nombre courant dutilisateurs actifs par route. Les protocoles en
mode connect comptent pour une seule route durant la connexion alors que les protocoles en mode
dconnect obtiennent chaque fois une route pour les donnes envoyes vers la mme destination.
La colonne use indique le nombre de paquets envoys par route.
La colonne interface indique linterface utilise pour la route.
Pour vrifier la table de routage densisun et ainsi le bon fonctionnement du routage, on peut faire un ping
sur la machine ensibm ou ensibull.
24 / 69
Administration rseau. II : Configuration
Par consquent , PPP est plus robuste que SLIP mais il est aussi plus difficile implementer et
nest pas disponible aussi facilement que SLIP. Cependant, ses avantages en font le protocole de
ligne srie du futur.
Le choix ne doit pas porter sur le meilleur protocole dans labsolu mais plutt sur le
protocole le plus adapte une situation spcifique. Si vous avez un rseau tendu, vous utiliserez
plutt PPP.
PPP est prfre car cest un standard Internet. Il offre donc plus de compatibilit entre les
systmes. PPP est aussi plus robuste que SLIP. Ces caractristiques en font un bon protocole pour
la connexion de routeurs sur une ligne srie. Cependant, comme SLIP t le premier protocole
srie pour IP largement diffus, et comme il est simple implementer, SLIP est disponible sur
plus de matriels que PPP.
SLIP et PPP sont deux protocoles compltement diffrents et par consquent incompatibles.
Si votre serveur seulement SLIP, la machine distante ou vous vous connectez doit aussi avoir
SLIP. A cause de son installation plus ancienne, SLIP continuera tre largement utilis dans le
futur.
Donc, quel protocole utiliser ? Les deux ! PPP est le protocole du futur. Cependant il faut
continuer a utiliser SLIP car cest souvent le seul protocole srie utilisable sur certains types de
matriels.
Internet repose sur le principe du routage. Sans le routage, le trafic serait limit un seul cble
physique. Le routage permet votre machine datteindre une autre machine qui nest pas sur le mme
rseau local que le votre. La communication peut trs bien traverser une succession de rseaux
intermdiaires afin de stablir entre les deux machines.
En tant quadministrateur systme, on doit sassurer que le routage du systme est bien configur.
Cest le propos de ce chapitre.
routage minimal : sapplique aux rseaux compltement isols des autres rseaux. Une table
de routage minimale est construite par ifconfig une fois linterface rseau configure. Si votre
rseau na pas daccs dautres rseaux TCP/IP et si vous nutilisez pas de sous-rseaux, il se
peut que ce soit la seule table utilise.
23 / 69
Administration rseau. II : Configuration
TCP/IP traite une grande varit de rseaux physiques. Le support physique peut tre du cble
Ethernet comme dans notre rseau local, des fibres optiques (dans notre cas seulement entre les
batiments) ou bien des lignes tlphoniques comme dans les WAN1. Presque toutes les communications
se font via des interfaces sries. Une interface srie envoie les donnes en un flot de bits sur un simple
cble. Ce type dinterface correspond presque toutes les interfaces de communications. y compris
Ethernet, mais on emploie habituellement ce terme pour une interface connecte au rseau tlphonique
via un modem. Une ligne tlphonique est souvent appele une ligne srie.
Le premier protocole reseau sur ligne srie avoir t cre est le SLIP (Serial Line IP) . Ce
protocole permet aux machines isoles de se connecter au rseau tlphonique, via TCP/IP. SLIP
envoie les datagram travers une ligne srie comme une srie doctets et utilise des caractres
spciaux pour indiquer quand une srie doctets doit tre regroupe pour former un datagram.
SLIP dfinit deux caractres spciaux :
le caractre END : marque la fin dun datagram. Quand SLIP reoit un caractre END, il
sait quun datagram complet peut tre envoy IP.
le caractre ESC : permet de diffrencier les caractres de contrle.
Mais SLIP a quelques inconvnients :
SLIP nest pas un standard Internet.
SLIP ne dfinit pas dinformation de contrle qui pourraient contrler dynamiquement les
caractristiques de la connexion. Par consquent, SLIP doit supposer certaines
caractristiques. Donc, cause de cette limitation, SLIP est seulement utilise quand les
deux machines connaissent mutuellement leurs adresses.
SLIP ne corrige pas les effets du bruit des lignes tlphone. Le protocole ne fait pas de
correction derreurs ni de compression de donnes.
Pour beaucoup dapplications sur des machines isoles, ces problmes ne sont pas importants.
Cependant dans un environnement dynamique comme celui des WAN, ces problmes rendent le
protocole inadquat pour connecter les routeurs.
Pour rpondre cette faiblesse, PPP (Point to Point Protocole) a t dvelopp comme un
standard Internet. Cest un protocole a trois couches :
Data Link layer Protocol : assure un envoi fiable des donnes sur nimporte quel type de ligne
srie.
Link Control Protocol : fournit les informations de contrle sur la ligne srie. Cette couche est
utilise pour tablir la connexion, ngocier les paramtres de configuration, vrifier la
qualit de liaison et clore la connexion.
Network Control Protocol : Cette couche fournit les informations de configuration et de
contrle ncessaires LCP. PPP est destine a faire transiter les donnes pour une grande
varit de protocoles rseau. Cette couche permet PPP de faire cela.
22 / 69
Administration rseau. II : Configuration
La commande ifconfig est normallement excute au moment du boot par un fichier de startup.
Sur les systmes BSD UNIX, les commandes ifconfig sont normalement places dans les fichiers /etc/
rc.boot et /etc/rc.local. Le script de /etc/rc.boot est excut la procdure de startup alors que le rc.local
est excut la fin. Editez le fichier /etc/rc.boot pour lire les lignes suivantes :
On a utilis ifconfig pour installer ladresse IP de linterface, son masque de sous-rseau et son
adresse de diffusion. Ce sont certainement les fonctions les plus importantes de ifconfig mais il existe
dautres fonctions aussi qui sont :
ARP et trailer1 :
Loption trailer autorise lencapsulation des datagrammes IP, -trailer linhibe. La plupart
des systmes autorisent lencapsulation par dfaut.
Loption arp autorise le protocole ARP (Address Resolution Protocol), -arp linhibe. Ce
protocole traduit les adresses IP en adresses Ethernet. A de rares exceptions prs, ce protocole est
toujours autoris.
Metric :
le protocole de routage RIP (Routing Information Protocol) choisit une route en fonction de
son cot. Ce cot est dtermin par une mesure associe a la route. Plus ce nombre est petit, plus
le cot est faible. Quand il construit sa table de routage, RIP privilgie les routes de faibles cots.
Par dfaut, la mesure dune route entre une interface et un rseau qui lui est directement attach
est 0. Pour augmenter par exemple le cot dune interface a 3, afin que RIP privilgie les routes
de valeur 0,1 ou 2 on crit :
On utilise cette option seulement sil existe une autre route qui conduit la mme
destination et quon dsire lutiliser comme route principale.
21 / 69
Administration rseau. II : Configuration
o, la premire ligne indique le nom et les flags qui caractrisent linterface. Les flags sont dcrits par
un nombre dont les bits sont traduits en un ensemble de noms. Ainsi 63 correspond a :
UP : linterface est disponible.
BROADCAST : linterface traite le diffusion, i.e elle est connecte a un rseau qui traite la
diffusion comme Ethernet.
NOTRAILERS : linterface ne traite pas lencapsulation.
RUNNING : linterface est utilise
La seconde ligne affichant des informations attaches TCP/IP, i.e adresse IP, masque de sous-
rseau et adresse de diffusion.
20 / 69
Administration rseau. II : Configuration
Hostname : txsun01
IP adress : 192.33.174.70
Subnet mask : FF.FF.FF.E0
Default gateway : 192.33.174.65 (ensisun)
Broadcast address : 192.33.174.95
Domain Name : imag.fr
Primary Name Server : 192.33.74.34
Secondary Name Server : 0.0.0.0
Routing Protocol :
Une des forces du protocole TCP/IP est dtre indpendant du support physique. Cet avantage
augmente en fait la charge de travail de ladministrateur car il doit alors indiquer au protocole TCP/IP
quelles interfaces il utiliser et pour chaque interface, il doit donner ses caractristiques. Contrairement
aux adresses Ethernet qui sont implmentes en hard, ladministrateur systme attribue chaque interface
rseau une adresse IP, un masque de sous rseau et une adresse de diffusion.
Cette commande permet dinstaller ou de vrifier les attributs associs chaque interface.
Lexemple suivant est celui de la configuration de linterface le0 de ensisun et de sa vrification ensuite :
Ladministrateur rseau fournit les valeurs des adresses, du masque de sous-rseau et ladresse de
diffusion. Ces valeurs sont directement tires de la feuille de planning. Par contre, le nom de linterface ,
qui est le premier argument de chaque ligne de commande ifconfig, est tir de la documentation systme.
Il existe une commande, netstat, dont une des fonctions est dindiquer quelles sont les interfaces
disponibles sur le systme. La commande netstat -ain fournit en sortie les champs suivant pour chaque
interface :
Name : Nom de linterface. * indique que linterface nest pas disponible, i.e que
linterface nest pas UP.
Mtu : Maximum Transmission Unit montre la plus grande longueur de trame
transmise par linterface sans quil y ait de fragmentation.
19 / 69
Administration rseau. II : Configuration
Ladministrateur rseau dcide du type de routage utilis ainsi que du choix de la passerelle par
dfaut de chaque machine.
Les protocoles de routages EGP et BGP demandent que les passerelles aient un autonomous
systme number. Si votre rseau est connect un autre rseau qui utilise EGP ou BGP, il faut alors faire
la demande de ces numros auprs du NIC.
Les raisons pour lesquelles on divise un rseau en sous-rseau sont dordre topologique ou
dordre organisationnel.
limitation en distance : un rseau local sur Ethernet pais est limit en distance un
tronon de 500m. On peut relier les cbles grce des routeurs
IP pour augmenter la distance. A chaque cble est associe un
sous-rseau.
connexions de rseaux de supports diffrents : cela consiste par exemple, relier de
lEthernet avec du Token Ring en utilisant un routeur IP. On
dfinir alors deux sous-rseaux.
filtrage du trafic : les trames ne sortent du sous-rseau local que si elles sont
destines un autre sous-rseau. Ce dernier nest donc pas
encombr par des trames qui ne lui sont pas destines. Ce
filtrage est ralis dans les passerelles entre sous-rseaux.
Cest une adresse ou tous les bits de la partie adresse de la machine sont mis 1. Ladresse de
diffusion sur le rseau 192.33.174.0 est par exemple 192.33.174.255. Ladresse de diffusion est mise en
place en utilisant la commande ifconfig.
Apres avoir regroup les diffrentes informations ncessaires au rseau, ladministrateur rseau
distribue chaque administrateur systme de chaque machine les informations dont il dispose.
Ladministrateur systme des terminaux X connects ensisun recevra par exemple la feuille suivante
pour chaque terminal :
18 / 69
Administration rseau. II : Configuration
Un nom de domaine est obtenu comme pour ladresse IP aprs avoir fait une demande auprs du
NIC. Les demandes sont envoyer aux mmes adresses que celles du paragraphe prcdent. Mme si le
rseau nest pas connect Internet, il est quand mme conseill de faire appel au NIC. Il y a deux raisons
cela. La premire est celle donne au paragraphe prcdent : on ne connat pas lavenir et on voudra peut
tre un jour connecter le rseau Internet. La deuxime est plus immdiate : de nombreux rseaux non
connects Internet ont des passerelles e-mail jusqu Internet et quelques uns de ces rseaux permettent
des machines sur Internet de vous adresser du mail avec un nom de domaine du style Internet. Ainsi
UUNET et Bitnet offrent ce service.
Quand on demande un nom de domaine Internet, on devrait aussi demander un domaine in-
addr.arpa. Cest ce quon appelle le domaine renvers. Ce domaine convertit les adresses IP en nom. Cest
le processus normal de conversion lenvers ! Supposons que votre rseau est 128.66. Son nom de
domaine renvers est 66.128.in-addr.arpa.
Une fois le nom de domaine obtenu, ladministrateur est libre de choisir le nom de la machine
lintrieur de ce domaine. Il faut sassurer que le nom de la machine est unique a travers le domaine ou
sous-domaine, de la mme manire que ladresse IP est unique a travers le rseau ou sous-rseau.
Le choix dun nom de machine peut savrer dlicat. Voici quelques suggestions pour choisir :
utiliser des noms courts, facile peler et mmoriser.
utiliser des noms de thme, de personnages connus...
viter dutiliser des noms personnels, de projets ou venant du jargon technique.
Si des machines dun rseau communiquent avec des machines dun autre rseau, on a besoin de
passerelles entre ces rseaux. Une route travers des passerelles doit alors tre dfinie. Il y a deux
manires de le raliser :
table de routage statique : elle sont construites par ladministrateur systme. Leurs mises
jour sont faites manuellement. Elles sont utilises quand le
nombre de passerelles est limit.
table de routage dynamique : elles sont construites par les protocoles de routage. Les
protocoles changent des informations quils utilisent pour la
mise jour des tables. Elles sont utilises quand il y a beaucoup
de passerelles sur le rseau ou quand on peut atteindre la mme
destination en empruntant plusieurs chemins.
En gnral, les rseaux utilisent les deux types de table simultanment : les tables de routages
statiques sont plus appropries pour les machines tandis que les passerelles font appels aux protocoles de
routage et aux tables de routages dynamiques.
17 / 69
Administration rseau. II : Configuration
II Configuration
II-1 Dmarrage
default gateway address : si le systme communique avec des machines qui ne sont pas
sur le rseau local, une adresse de passerelle par dfaut est
ncessaire.
routing protocol : chaque machine doit connaitre le protocole de routage utilis sur
le rseau.
name server address : pour convertir les noms de machines en adresse IP, chaque
machine doit connatre les adresses des serveurs DNS.
domain name : une machine utilisant le service DNS doit connatre
correctement son nom de domaine.
subnet mask : pour que la communication soit propre, chaque machine dun
rseau doit utiliser le mme masque de sous-rseau.
broadcast address : pour viter les problmes de diffusion, les adresses de diffusion
de chaque machine sur un rseau doivent tre identiques.
Chaque interface doit avoir une adresse IP unique sur un rseau TCP/IP. Si la machine est
sur un rseau connect Internet, son adresse doit tre unique (sur tout le rseau Internet). Pour
un rseau non connect, cette adresse doit tre unique lchelle du rseau local. A cause de cela
les administrateurs de rseaux non connects Internet choisissent souvent des adresses sans
consulter le NIC ( Network Information Center). Cependant, cela nest pas recommand. Si a
lavenir le rseau local a besoin de se connecter Internet , ladministrateur naura pas besoin
dans ce cas de changer toutes les adresses et de reconfigurer chaque machine du rseau.
soit par courrier postal : envoyez votre demande au NIC ladresse suivante :
DDN Network Information Center
14200 Park Meadow Drive
Suite 200
Chantilly, VA 22021
Le NIC vous attribuera un numro de rseau gratuitement. Supposons par exemple que lon vous
a attribu le numro 128.66. Ladministrateur peut alors utiliser librement les deux derniers
octets pour adresser ses machines lexception de deux adresses rserves (tous les bits 0 et
tous les bits 1).
16 / 69
Administration rseau. I : Protocole TCP/IP
DNS est une base de donnes distribue qui permet de traduire les noms des sites connects
Internet en adresses IP. Dans le systme DNS, il ny a pas de base centrale, les informations sont
dissmines dans des milliers de serveurs de noms organiss hirarchiquement. En haut de la hirarchie
se trouve le root domain desservi par des root servers, juste en dessous on trouve les top level domains
qui reprsentent des rseaux de types gographiques ou organisationnels.
Nom du site
ISIS IMAG FR
Sun microsystems ont dvelopp leur propre base de donnes distribue NIS qui permet la
traduction des noms en adresses IP. Les diffrences avec DNS sont que NIS ne connat que le rseau local
et non pas Internet dans son ensemble. De plus, NIS fournit un plus grand nombre dinformations que
DNS.
15 / 69
Administration rseau. I : Protocole TCP/IP
Dans ce chapitre nous allons voquer comment on peut caractriser une machine par un nom la
place dune adresse numrique.
Comme on la vu prcdemment, chaque machine est adresse sur le rseau Internet par une
adresse numrique IP. Il est cependant plus facile dutiliser un nom pour dsigner une machine ou un
rseau plutt quun nombre de 32 bits. Ainsi, par exemple, on peut tout aussi bien faire :
ftp isis.imag.fr
ou :
ftp 129.88.32.1
Dans le premier cas, il est ncessaire de convertir le nom de la machine appele en une adresse
numrique. Pour cela, il existe deux mthodes, la plus ancienne utilise la host table et la deuxime est
base sur linterrogation dune base de donnes distribue Domain Name Service.
Cest la table qui sert la conversion des noms en des adresses IP. Cette table se trouve dans le
fichier /etc/hosts qui spcifie les adresses IP et les noms de machines correspondant.
cat /etc/hosts
# ENSIMAG
#:labo:ensimag # LIGNE NECESSAIRE POUR LA FACTURATION ET HOST2NAMED
# Adresse routeur entree site
#192.33.174.62 aramis-campus cisco-ensimag # Interface ensi-batd
R
# Batiment D 2eme etage
# 129.88.34.2 ensipc18 # PC HP QS16S D204 G.Veillon 4676 R
#
# Batiment D Enseignement ENSIMAG
##129.88.32.16 ensigata ensigw-a0 # PC BM60 gate vers adminis. R
##129.88.32.34 ensigate ensigw-e0 # PC BM60 Passerelle ENSIMAG R
192.33.174.33 ensigata ensigw-a0 # PC BM60 gate vers adminis. R
#192.33.174.34 ensigate ensigw-e0 # PC BM60 Passerelle ENSIMAG R
# ##SOUS-RESEAU GROS #############
192.33.174.34 ensisun # SUN SPARC 670 C
192.33.174.35 ensibull # BULL DPX2 MIPS R6000 C
192.33.174.36 ensibm # IBM RS6000 C
192.33.174.37 ensidpx1 # BULL DPX2000 C
192.33.174.38 ensidpx2 # BULL DPX2000 C
192.33.174.40 ensitty1 # Serv.Term. ANNEX R
192.33.174.41 ensitty2 # Serv.Term. ANNEX R
192.33.174.42 ensitty3 # Serv.Term. ANNEX R
192.33.174.43 ensitty4 # Serv.Term. ANNEX R
192.33.174.44 ensitty5 # Serv.Term. ANNEX R
14 / 69
Administration rseau. I : Protocole TCP/IP
13 / 69
I-2.5 Protocoles et Ports
cat /etc/protocols
#
# @(#)protocols 1.9 90/01/03 SMI
#
# Internet (IP) protocols
# This file is never consulted when the NIS are running
#
ip 0 IP # internet protocol, pseudo protocol number
icmp 1 ICMP # internet control message protocol
igmp 2 IGMP # internet group multicast protocol
ggp 3 GGP # gateway-gateway protocol
tcp 6 TCP # transmission control protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user datagram protocol
i-2.5c. Sockets
En plus des wellknown ports (voir page 12) facilitant la connecxion entre deux machines pour
des applications standards, il existe des numros de ports allous dynamiquement. Par exemple, lors dun
telnet, la connecxion, les machines source et destinataire vont schanger sur le port 23 les numros de
ports (allous dynamiquement) quils vont utiliser pendant la communication. Cest la combinaison
dune adresse IP et dun numro de port qui dfinie une socket.
Administration rseau. I : Protocole TCP/IP
Ladresse IP, telle quelle, nest pas utilisable par la couche physique pour envoyer des donnes
sur le mdium de transport. En effet, il existe autant de protocole dadressage que de types de rseaux
physiques.
Le protocole le plus utilis est l ARP (Address Resolution Protocol). Il permet la traduction des
adresses IP en adresses Ethernet. ARP se charge de construire une table de traduction, dynamiquement,
en interrogeant les autres machines relies sur le rseau ethernet. Pour avoir une ide du contenu de cette
table on utilise la commande arp -a.
/etc/arp -a
floyd (129.88.32.32) at 8:0:20:a:e5:d7
esperanza-1 (129.88.32.65) at 0:0:a7:10:9f:62
farenheit-451 (129.88.32.33) at 0:0:a7:11:90:5
esperanza-3 (129.88.32.66) at 0:0:a7:10:a0:b1
cap-ferret (129.88.32.18) at 0:0:a7:0:2f:1d
esperanza-2 (129.88.32.67) at 0:0:a7:10:a0:e
snoopy (129.88.32.68) at 0:0:a7:10:1d:b1
penduick (129.88.32.37) at 8:0:20:b:d4:4e
pastorius (129.88.32.21) at 0:0:a7:0:2f:1
romeo (129.88.32.22) at 0:0:a7:0:2f:2f
cheops (129.88.32.54) at 0:0:a7:0:28:6b
igei-test (129.88.32.39) at 0:0:a7:10:a0:60
sahara (129.88.32.55) at 8:0:38:42:10:ff
lgitty1 (129.88.32.56) at 0:80:2d:0:3:d3
sphinx (129.88.32.72) at 0:0:a7:12:3b:5e
durga (129.88.32.24) at 8:0:20:12:42:b1
chephren (129.88.32.57) at 0:0:a7:11:a3:da
brahma (129.88.32.41) at 8:0:20:c:77:3a
dingo (129.88.32.29) at 8:0:20:7:ac:98
callimaque (129.88.32.61) at 0:0:a7:11:c0:53
aramis-campus (129.88.32.254) at 0:0:c:0:9f:21
vigenere (129.88.32.15) at 8:0:11:1:62:d3
La traduction inverse est faite par le Reverse Address Resolution Protocol RARPA. Ce protocole
est utilis lors de la configuration TCP/IP des machines sans disque diskless. En effet, lors de la mise en
route, ces machines ne connaissent mme pas leur adresse IP. Elles ont seulement leur adresse Ethernet
qui est inscrite dans la ROM de la carte de communication. La machine diskless demande, donc, au
travers du rseau, que lon lui renvoie son adresse IP. Pour cela, certaines machines possdent un fichier
/etc/ethers , ditable manuellement, qui permet de dclarer les couples @Internet et @Ethernet. Par
exemple sur notre machine :
cat ethers
0:0:c0:6c:28:17 ANONYME
8:0:2b:15:d4:a7 LACAN
8:0:2b:15:d4:a1 MORENO
8:0:2b:15:98:77 PAVLOV
8:0:2b:15:d4:a0 PIAGET
0:0:c0:6c:28:17 SOPHY
aa:0:4:0:1:14 TIMB
11 / 69
Tableau 7 : Table de routage (netstat -nr)
Voici la table de routage de la machine Isis du rseau imag 129.88.32.1. Lorsque, de Isis, on
envoie un datagramme vers la machine Ensisun du rseau ensimag 192.33.174.34, la couche IP applique
le subnet mask 255.255.255.0 pour dterminer ladresse du sous rseau 192.33.174.0. Cette adresse
permet alors daller lire directement dans la table de routage ladresse du routeur 129.88.32.254 auquel on
doit envoyer les datagrammes.
Administration rseau. I : Protocole TCP/IP
Toute machine relie sur un rseau se charge daiguiller les paquets mettre en fonction de leur
destination :
Si le destinataire est sur le rseau local, le datagramme est directement envoy la machine
cible.
Si le destinataire est sur un rseau diffrent, les donnes sont envoyes au routeur du rseau
local.
La couche IP dtermine donc si ladresse de destination est sur le rseau local, auquel cas elle
applique le subnet mask afin de dterminer le sous-rseau puis elle interroge la table de routage pour
savoir qui envoyer les donnes. Si jamais la destination se situe sur un rseau loign, la table de routage
donne un routeur par dfaut de sortie du rseau local.
Cette table peut tre obtenu grce la commande netsat -nr (voir page 10), loption -r permet
davoir la table de routage, alors que loption -n donne les adresses IP sous leur forme numrique. La
commande netstat -nr donne pour rsultat un tableau avec les champs :
La premire ligne du tableau correspond la loopback route qui est utilise lorsque la machine
senvoie des datagrammes elle mme. On distingue aussi une ligne spciale avec le mot default qui
correspond (default gateway) la route utilise lorsque ladresse de destination nest pas sur le rseau
local.
9 / 69
I-2 Le transfert de donnes
I-2.1 Ladressage IP
Dans la couche IP, chaque datagramme est achemin vers une machine unique connecte sur un
rseau local. Ladresse IP de destination, mot 5 de lentte, permet de dfinir un couple (rseau;machine)
et un seul. Cette adresse est code sur 32 bits, o les trois premiers bits servent identifier la classe de
celle-ci. En effet, IP distingue 3 classes principales qui sont la Classe A, Classe B et Classe C.
Rseau Machines
Classe A 24 200 0 30
Bits 0
Classe B 129 88 32 1
Bits 1 0
Toutes les adresses disponibles ne sont pas utilisables. En effet, il existe certaines restrictions sur
des familles dadresses. Les deux adresses de classe A des rseaux 0 et 127 correspondent respectivement
au default route (utilis pour le routage IP) et loopback address (permet daccder sa machine comme
tout autre machine du rseau). De plus, quelle que soit la classe du rseau, les adresses machines 0 et 255
sont rserves. Ladresse machine 0 reprsente lensemble du rseau local, et dans lexemple ci-dessus
129.88.0.0 reprsente le rseau imag. Pour adresser un message lensemble des machines sur un rseau,
tous les bits du champ de ladresse machine doivent tre un. Ainsi, sur imag, ladresse 129.88.255.255
fait rfrence la totalit des machines (broadcast address).
Dans le cas dun routeur, par exemple entre les deux rseaux imag et ensimag, celui ci possdera
une adresse IP diffrente sur chacun des rseaux locaux auxquels il est connect.
Administration rseau. I : Protocole TCP/IP
0 4 8 12 16 20 24 28 31
Numro dacquittement
Donnes
Comme TCP fonctionne en mode connect, il tablit une connecxion logique, bout bout, entre
les deux intervenants. Au dpart, avant tout transfert de donnes, TCP demande louverture dune
connecxion la machine cible qui renvoie un acquittement signifiant son accord. De mme, lorsque
lensemble des donnes ont t changes, TCP demande la fermeture de la connecxion et un
acquittement de fermeture est alors envoy sur le rseau. Lors du transfert, chaque datagramme, un
acquittement de bonne rception est mis par le destinataire. Lapplication qui va rcuprer les donnes
provenant de la couche TCP est identifie grce au numro du port de destination (Destination Port) de
lentte.
Cette couche rassemble lensemble des applications qui utilisent TCP/IP pour changer des
donnes. On dnombre de plus en plus de services diffrents, les derniers comme WAIS ou WWW tant de
plus en plus performants et souples dutilisation. Les applications les plus courantes sont :
TELNET Network Terminal Protocol
FTP File Transfer Protocol
SMTP Simple Mail Transfer Protocol
DNS Domain Name Service
RIP Routing Information Protocol
NFS Network file system
Nous verrons une description plus complte de ces services dans la suite de cet ouvrage. Il faut
savoir que la majorit des applications fonctionnent au-dessus de TCP ou UDP, il existe toutefois des
services, comme Extension Gateway Protocol (EGP), qui utilisent directement la couche IP.
7 / 69
Administration rseau. I : Protocole TCP/IP
La couche transport fait le relais entre la couche IP et les applications utilisant les ressources du
rseau. On discerne deux protocoles diffrents :
- Transmission Control Protocol
TCP fonctionne en mode connect
Effectue la dtection et le contrle des erreurs
0 16 31
Source Port Destination Port
Longueur Checksum
Donnes
Le choix dutiliser UDP comme protocole de la couche transport est justifi par plusieurs bonnes
raisons. En effet, le fait dutiliser une entte de taille trs rduite procure un gain de place assez
considrable. De plus, avec UDP on vite lensemble des oprations de connecxion, dtection derreur et
dconnecxion, dans ce cas le gain de temps peu tre trs apprciable, surtout pour de petits transferts.
6 / 69
Administration rseau. I : Protocole TCP/IP
Le datagramme est lunit de base du transfert de donnes avec un protocole TCP/IP. Les
premiers 5 ou 6 mots de 32 bits sont lentte de ce datagramme. Cest elle qui donne lensemble des
informations ncessaires au transfert du paquet. En fait, le nombre de mots constituant lentte est
variable car on donne la longueur de celle-ci dans le champ IHL (Internet Header Length). La couche IP
fonctionne de telle manire que si ladresse de destination ne se situe pas sur le mme rseau local que
ladresse source, le datagramme est pass directement un routeur (gateway). Cest ce que lon appelle
laiguillage (routing) dun paquet. Cette action est ralise individuellement pour chaque paquet
transmettre.
i-1.5a. Le routing
On appelle routeur une machine connecte sur deux rseaux locaux diffrents qui se charge de
faire passer les donnes de lun lautre. Ainsi, dans un routeur IP, le datagramme ne remonte jamais au
del de la couche 2. Par exemple, si une machine A1 sur un rseau A veuille atteindre une machine B1 sur
un rseau diffrent, lutilisation dun routeur G est obligatoire.
ROUTEUR IP
Machine A1
Machine B1
Gateway G
Couche IP
Physique Physique
Token Ring Ethernet
Token ring
Ethernet
5 / 69
Administration rseau. I : Protocole TCP/IP
Tout comme dans le modle OSI, les donnes sont transfres verticalement dune couche un
autre en y rajoutant une entte (header). Cette entte permet de rajouter des informations identifiant le
type de donnes, le service demand, le destinataire, l adresse source etc...
Tableau 4 : Datagramme IP
BITS
0 4 8 12 16 20 24 28 31
Adresse source
Adresse destinataire
Options Padding
DONNEES
4 / 69
Administration rseau. I : Protocole TCP/IP
I-1.3 Architecture
Le modle de rfrence pour lchange de donnes informatiques est le modle OSI (Open
Systems Interconnect) adopt par l ISO (International Standards Organisation). Cette norme de
communication repose sur lempilement de 7 couches pouvant communiquer verticalement entre elles.
7 Couche Application
Applications utilisant le rseau
6 Couche Prsentation
Formate les donnes en fonction de lapplication
5 Couche Session
Rpartit les donnes suivant les applications
4 Couche Transport
Dtection et correcxion des erreurs
3 Couche Rseau
Soccupe de la connecxion sur le rseau
2 Couche Liaison
Transfert de donnes fiable sur le lien physique
1 Couche Physique
Dfinie les caractristiques physiques du mdia
Ce tableau reprsente lempilement des sept couches du modle OSI avec leurs noms et fonctions
respectives. En Comparaison avec ce modle, on peut ramener larchitecture de communication de
donnes utilisant TCP/IP un ensemble de quatre couches superposes.
1 Couche Application
Applications utilises sur le rseau
2 Couche Transport
Assure le transfert dun site un autre
3 Couche Internet
Dfinie les datagrammes et leur routage
4 Couche Physique
Ensemble de routines daccs au mdia
3 / 69
Administration rseau. I : Protocole TCP/IP
I Protocole TCP/IP
Cest en 1969 que lagence amricaine D.A.R.P.A. (Defense Advanced Research Projects
Agency) lana le projet de dvelopper un rseau exprimental, commutation de paquets : ARPANET.
Ce rseau eut tellement de succs que la majeure partie des organisations qui y taient rattaches
dbutrent lutiliser quotidiennement. Ainsi en 1972 on pouvait assister une dmonstration
dARPANET reliant 50 sites, utilisant 20 commutateurs, bas sur NCP, anctre de TCP. Cette mme
anne commena le dbut des spcifications du protocole TCP/IP pour ARPANET. Ds 1980, UNIX
BSD 4.1 inclut TCP/IP comme protocole standard de communication, mais ce nest quen 1983 que TCP
remplaa officiellement NCP pour ARPANET. En mme temps le nom d Internet passa dans le langage
courant pour dsigner la totalit du rseau ARPANET et MILNET du DDN (Defence Data Network).
En 1990 le terme de ARPANET fut abandonn et cda la place Internet qui reprsente de nos jours
lensemble des rseaux internationaux relis par le protocole TCP/IP. Le succs de ce rseau est tel que le
nombre de machines connectes connat actuellement une croissance exponentielle. Ainsi en 1981,
seulement 213 machines taient enregistres sur Internet, en 1989 on en dnombrait 80 000. En octobre
1990 le chiffre de 313 000 tait atteint et trois mois plus tard, en janvier 1991, le nombre de machines
alors connectes dpassait les 376 000. Un an plus tard, au mois de janvier 1992, ce nombre avait presque
doubl pour atteindre les 727 000 machines. En fait, au moment ou vous lirez ces lignes, plus de 1,5
millions de sites, dans plus de 45 pays, seront connects entre eux sur un seul rseau : INTERNET.
Un tel succs auprs de lensemble des constructeurs et des utilisateurs ne peut pas ntre quun
phnomne de mode d au progrs technologique de ces dernires annes. En fait, si le protocole de
communication de donnes TCP/IP a merg comme un standard pour plus de 90% des rseaux actuels
cest quil possde des atouts non ngligeables.
2 / 69
Administration rseau. :
1 / 69
Sp-Info ENSIMAG 1 juillet 1993
ADMINISTRATION RESEAU
Rapport de fin danne :
spciale informatique 1992-93
Franois Borderies,
Olivier Chatel,
Jean-christophe Denis,
Didier Reis.
Remerciements :