AAS 2 NetAdmin

Administration et Architectures des Systmes
Fabrice Legond-Aubry Fabrice.Legond-Aubry@u-paris10.fr
26/09/2005 Legond-Aubry Fabrice
Module AAS Administration Rseau LEGOND Fabrice
Section
Administration rseau
Administration rseau
Les ressources WEB

Adresses web: www.ietf.org (Request For Comments - RFC) www.iana.org, www.ripe.org (IP) deptinfo.cnam.fr (cours rseaux) www.linux-france.org/article/index.html (intro) www.linux-france.org/prj/inetdoc (doc architecture rseau) www.developpez.com (programmation & rseau) Livres: R. Stevens, Unix network programming , Prentice Hall, 1990 J-M. Rifflet et J-B. Yuns, Unix : programmation et communication , Dunod A. S. Tannenbaum, Computer Networks , Prentice Hall. W.R. Stevens, TCIP/IP Illustrated, The protocols , Addison Wesley L. Toutain, Rseaux locaux et Internet , Herms
Introduction
Section : Administration rseau
Les bases du rseau

Les bases du rseau Couche liaison et Routage IP Couche Transport : TCP/UDP Configuration rseau Outils rseau DHCP DNS
De la ncessit du rseau ! 90% des services linux sont bass sur le rseau Vous vivez dans un monde interconnect !!! Les bases du rseau
Revoir vos cours de rseau !!!!

Toute machine Linux a au moins un rseau: le rseau virtuel local loopback Une machine peut tre connecte plusieurs rseaux Il faut connatre les notions de rseaux pour
Dfinir larchitecture dun parc de machines Les interactions entres machines Dployer, configurer, SECURISER un service
Pile TCP/IP
Couche 5-7 : application
Services linux TCP/UDP (dsignation dun processus) IP (dsignation dune machine)
Les bases du rseau
Couche 4 : transport (gestion des connexions) Couche 3 : rseau (routage) Couches 1-2 : physique, liaison (transfert entre 2 machines relis par une voie physique)
Ethernet , ATM,
Relations entre les diffrents protocoles
Les bases du rseau
Couche transport IGMP Couche rseau Couche liaison
TCP
UDP
IP
ICMP
ARP Ethernet
RARP
Gestionnaires des adresses IP Attribution par des organismes spciaux :

IANA (www.iana.org et www.icann.org) centralise les affectations
Les bases du rseau
RIPE (www.ripe.net) soccupe des adresses europennes AfriNIC (www.afrinic.net) soccupe des adresses africaines APNIC (www.apnic.net) soccupe des adresses asiatiques et pacifiques ARIN (www.arin.net) soccupe des adresses de lAmrique du nord LACNIC (lacnic.net/en/index.html) soccupe des adresses de lAmrique latine et des Carabes
Notion de classe dadresses IPv4

Permet le routage et lacheminement des donnes sur lensemble de linternet IP permet de dsigner une machine Notion de classes dadresses (besoin de connatre le binaire !!!)
Les bases du rseau
7 bits
24 bits
Classe A Classe B Classe C Classe D Classe E

0 network
14 bits
host
16 bits
10 110 1110 1111
network
21 bits
host
8 bits
network
28 bits
host
host
28 bits
host
9
9
Nombres de rseaux par classe Classe A : 126 (27-2) rseaux possibles de 16 777 214 (224-2) machines Les bases du rseau Classe B : 16 382 (214-2) rseaux possibles de 65 534 (216-2) machines Classe C : 2 097 150 (221-2) rseaux possibles de 254 (28-2) machines Classe D : adresses de diffusion (multicast) Classe E : adresses rserves pour des usages futurs
10 10
Rseaux non routables Ce sont des rseaux qui ne seront jamais attribus une entit Les bases du rseau Ils ne sont pas routable sur internet Ils sont rservs un usage priv / interne :
1 rseau de classe A : 10.0.0.0 15 rseaux de classe B : 172.16.0.0 - 172.31.0.0 255 rseaux de classe C : 192.168.0.0 - 192.168.255.0
Aucun datagramme IP venant de lextrieur ne doit porter ces adresses.
11 11
Les informations rseaux Une machine ayant lIP : 193.22.143.52

Adresse de classe C (193 commence par 110 en binaire) 24 bits pour le rseau (network @)
Les bases du rseau
8 bits pour la machine (host @)
Adresses particulires pour les rseaux de classes A,B,C

Ladresse rseau : Tous les bits dadresse host 0
Exemple: 192.22.143.0
Ladresse de diffusion (broadcast) tout le sous-rseau : Tous les bits dadresse host 1
Exemple: 193.22.143.255
Le masque de sous rseau: Tous les bits dadresse host 0, tous les bits dadresse rseau 1
Exemple: 255.255.255.0
12 12
Masque de rseau Le masque de rseau

Permet de sparer la partie rseau de la partie machine. Possibilit de crer des sous-rseaux
Les bases du rseau
Exemples
132.227.64.15
Classe B (10)
Rseau LIP6, notations :

Masque: 255.255.0.0 @ rseau: 132.227.0.0 @ diffusion: 132.227.255.255
Partie machine
Partie rseau
Sous-rseau SRC, notations :

Masque: 255.255.255.0 @ rseau: 132.227.64.0 @ diffusion: 132.227.64.255

13 13
Saturation de l'espace d'adressage IPv4 Pourquoi?

Trop d'adresses distribues par rapport au besoins (inutilisation) Pas de redistribution de la classe E, et des classes A?
Les bases du rseau
Sans doute 50% des adresses distribues ne servent pas! Agrgation des classes C gonflement des tables de routages
IPv6 : un espace d 'adressage beaucoup plus grand

128 bits soit 16 octets au lieu de 32 bits soit 4 octets A priori 3,9 * 1018 adresses par mtre carr de surface terrestre Si l'on utilise trs mal les adresses disponibles (comme dans le tlphone) 1500 adresses par mtre carr
Autres solutions ?
Les rseaux brls avec translation d'adresse (NAT) ? CIDR (Classless Inter-Domain Routing)
14 14
CIDR une solution en attendant IPv6

Abandon de la notion de classe On dfinit les rseaux suivant les besoins Notation CIDR: adresse/prfixe (RFC: 1517, 1518, 1519, 1520) Pour construire un rseau de 2000 machines
Il faut 8 rseaux de classe C (/24) de 254 machines soit 2036 machines Il faut 1 rseau de classe B (/16) de 65534 machines Il faut 1 rseau CIDR /21 qui permet de dclarer 2046 machines (2^11-2)
La base du rseau
On agrge ainsi les rseaux pour une mme entreprise

Par exemple, on peut agrger 2 rseaux de classes C (/24) en un rseau /23
A la place de 3 classes, on utilise un prfixe :

prfixe bits 32-prfixe bits
Classe prfixe Classe /21

network
21 bits
host
11 bits
network
host
15 15
Routage IP et couche liaison
Les bases du rseau

Couche Transport : TCP/UDP Configuration rseau Outils rseau DHCP DNS
16 16
Algorithmes de routage IP Routage sur un routeur (algorithme) Routage IP et couche liaison

Recherche d'une destination correspondant celle vise. Recherche d'une entre rseau o se trouverait le site vis (le plus proche). Recherche d'une entre de type dfaut.
Algorithmes de routage IP: OSPF, RIPv2, Routage partir dune machine

Si le site atteindre est connect directement au site courant (par une liaison point point ou en rseau local) le message est envoy directement. Sinon l'hte dispose d'un routeur par dfaut qui il envoie tous les datagrammes qu'il ne peut acheminer.
17 17
Exemple: routage IP sur une machine

Gateway: la route par dfaut (default route)
Dfinit o envoyer tous les paquets qui ne sont pas destins au rseau local
switch switch
Internet
Router
legond@hebe > netstat -r Kernel IP routing table Destination Gateway 132.227.64.0 * 127.0.0.0 * default castor
Genmask 255.255.255.0 255.0.0.0 0.0.0.0
Flags U U UG
MSS 0 0 0
Window 0 0 0
irtt 0 0 0
Iface eth0 lo eth0
Ligne 1 : L'accs au rseau local (ethernet) de l'hte Ligne 2 : La boucle locale (loopback) pour les messages qui ne sortent pas du site Ligne 3 : L'accs un routeur par dfaut qui permet de passer sur l'internet
18 18
Un exemple de configuration rseau

legond@morphee > ifconfig -a eth0 Link encap:Ethernet HWaddr 00:30:13:3D:2B:65 inet addr:132.227.64.42 Bcast:132.227.64.255 Mask:255.255.255.0 inet6 addr: fe80::230:13ff:fe3d:2b65/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3953229 errors:0 dropped:0 overruns:0 frame:0 TX packets:2616429 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2991794751 (2853.1 Mb) TX bytes:2551152611 (2432.9 Mb) Base address:0x2000 Memory:e8100000-e8120000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:56199 errors:0 dropped:0 overruns:0 frame:0 TX packets:56199 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:118600424 (113.1 Mb) TX bytes:118600424 (113.1 Mb)
Type couche liaison
Adresse machine
Adresse broadcast
Adresse Couche liaison (@MAC)
Masque rseau
19 19
Lien couche liaison (ethernet) / rseau (IP) Liaison entre la couche rseau (@IP) et la couche liaison ethernet (@MAC)
Utilisation des protocoles ARP et RARP Ds quune machine a besoin de savoir quelle @MAC correspond une @IP, elle diffuse une demande de correspondance sur le rseau physique
root@scylla > tcpdump -f -i eth0 arp or rarp 01:52:55.652713 arp who-has eros tell scylla 01:52:55.652910 arp reply eros is-at 00:c0:4f:89:d0:6c
Le rsultat est mise en cache, jusqu la dtection dune erreur
20 20
Lien couche liaison (ethernet) / rseau (IP) Gestion du cache des couples @IP/@MAC Routage IP et couche liaison
arp affiche et manipule les informations de la table
root@scylla > arp -a morphee (132.227.64.42) at 00:30:13:3D:2B:65 [ether] on eth0 castor (132.227.64.15) at 00:10:0D:3D:C4:00 [ether] on eth0
Fixer des couples @IP/@MAC

Pour viter des attaques arp s @ip @mac arp f nom_de_fichier pour une liste de couples
21 21
Lien couche liaison (ethernet) / rseau (IP) Gestion du cache des couples @IP/@MAC Routage IP et couche liaison
arping permet denvoyer des requtes arp/rarp
root@scylla > arping diane ARPING 132.227.64.48 from 132.227.64.30 eth0 Unicast reply from 132.227.64.48 [00:11:95:22:03:30] Unicast reply from 132.227.64.48 [00:11:95:22:03:30]
0.674ms 0.653ms
arping permet de dtecter deux machines ayant la mme ip

root@scylla > arping -D ares ARPING 132.227.64.31 from 0.0.0.0 eth0 Unicast reply from 132.227.64.31 [00:0F:B5:47:10:59] for 132.227.64.31 [00:0F:B5:47:10:59] 0.639ms Sent 1 probes (1 broadcast(s)) Received 1 response(s)
22 22
La base du rseau Couche Transport : TCP/UDP Couche liaison et Routage IP
Couche Transport : TCP/UDP

Configuration rseau Outils rseau DHCP DNS
23 23
Type de paquets principaux circulant sur IP

Paquets UDP
missions en mode non connect Permet la transmission point--point et la diffusion (broadcast)
Paquets TCP
missions en mode connect Transmissions point--point exclusivement avec qualit de transmission
Paquets de gestion du rseau ICMP/IGMP Adresse de diffusion :

Utilis pour envoyer des paquets sur tout le rseau local
Il faut savoir configurer vos routeurs pour ne pas diffuser tous les paquets de broadcast!
24 24
Utilit de la couche transport

TCP et UDP permettent la discussion entre des services (des processus) TCP/UDP permet de dsigner un processus sur une machine
On dsigne un processus par un numro de port Il existe des ports officiels associs un type particulier de service Il existe des ports libres qui peuvent tre associs des applications utilisateur La liste officiel des correspondances ports/service
Fichier /etc/services Sur le web : http://www.iana.org/assignments/port-numbers Sur les sites de scurit pour les ports suspects (iss.net, neophasis)
25 25
Les ports
Les ports 1 1023 sont privilgis : ils ne peuvent tre ouverts quavec les droits root . Les ports 1024 65535 sont non privilgis (ou phmres) et peuvent tre ouvert par tous les utilisateurs.
Un processus peut ouvrir plusieurs ports Un ports ne peut tre contrl que par un processus Contenu du fichier /etc/services :
... ftp-data ftp-data ftp ssh telnet ...
20/tcp 20/udp 21/tcp 22/tcp 23/tcp
# File Transfert Protocol # SSH Remote Login Protocol
Pour la scurit et le contrle daccs Contrle daccs aux services rseaux par /etc/hosts.allow et /etc/hosts.deny
26 26
Les bases du rseau Configuration rseau Routage IP et couche liaison Couche Transport : TCP/UDP
Configuration rseau
Outils rseau DHCP DNS
27 27
Une machine, plusieurs prises rseaux Une machine peut avoir plusieurs cartes rseaux Un maximum de 64 cartes par machines Configuration rseau Pourquoi faire ?
Routeurs, Firewalls Transferts entre rseaux Agrgation de liens, rpartition de charge, tolrance aux fautes
On peut donner plusieurs IP une mme carte rseau

IP Virtuelles Exemple: Serveur Web avec HTTPS Exemple: Serveur Web avec des sites virtuels
28 28
Le nom des cartes rseaux Linux supporte jusqu 256 adresses virtuelles
XXXNN:VV
Configuration rseau
Type de rseau
Ethernet (eth) Myrinet Loopback (lo)
Numro de carte
0 1 2
Numro de carte virtuelle (optionnel)

0 1 2
Exemples (Ethernet): eth0 eth1 eth0:1 device = /dev/eth0 device = /dev/eth1 device = /dev/eth0
29 29
Fichiers de configuration rseaux

Fichiers de correspondance sur la machine
/etc/hosts (correspondance IP/nom dhte au boot seulement)
127.0.0.1 localhost 137.194.160.21 horla
Configuration rseau
/etc/rpc (correspondance nom de procdure/n de procdure) /etc/networks (correspondance nom de rseau/n de rseau) /etc/protocols (correspondance nom de protocole/n de protocole) /etc/ethers (correspondance IP/n Ethernet)
Le fichier /etc/resolv.conf permet de dfinir comment lier une IP et un nom de machine (par fichier ou par DNS)
Configuration dpend du systme :

Mandrake : fichier /etc/sysconfig/network-scripts/ifcfg-eth0 Gentoo : fichier /etc/conf.d/net
30 30
Contenu des fichiers configurations
Mandrake /etc/sysconfig/networkscripts/ifcfg-eth0
Configuration rseau
DEVICE=eth0 BOOTPROTO=static IPADDR=132.227.64.30 NETMASK=255.255.255.0 NETWORK=132.227.64.0 BROADCAST=132.227.64.255 ONBOOT=yes
Gentoo /etc/conf.d/net
iface_eth0="132.227.64.31 broadcast 132.227.64.255 netmask 255.255.255.0" gateway="eth0/132.227.64.15"
31 31
Outils de configuration rseaux Scripts de dmarrage / arrt du rseau :

Sur Mandrake : fichier /etc/init.d/network Sur Gentoo : fichier /etc/init.d/net.eth0 Il configure automatiquement les routes
Configuration rseau
La configuration de la carte se fait par ifconfig ou ethtool Laffichage et la manipulation de la table de routage IP se fait par la commande route Lensemble du contrle TCP/IP peut se faire par la commande ip
32 32
Les bases du rseau Routage IP et couche liaison Outils rseau Couche Transport : TCP/UDP Configuration rseau
Outils rseau
DHCP DNS
33 33
Diagnostiques rseaux : ping, netstat, telnet

La commande ping nom permet de savoir si une machine est vivante. Une version parallle nomme fping existe. La commande netstat permet de savoir lensemble des ports ouverts
root@scylla > netstat -ln Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address tcp 0 0 0.0.0.0:32768 tcp 0 0 127.0.0.1:994 ......
Outils rseau
Foreign Address 0.0.0.0:* 0.0.0.0:*
State LISTEN LISTEN
netstat r affiche la table de routage host nom permet dobtenir lIP ou le nom de la machine resolveip ip permet dobtenir lip dune machine (ou dune IP) telnet machine port permet douvrir sur une connexion sur un service dune machine distante clockdiff permet dobtenir le dcalage temporel entre deux machines
tickets Kerberos clockskew lors de compilations sur NFS

34 34
Diagnostiques rseaux : lsof

Une source dinformation importante !!!! Obtenir la liste des fichiers ouverts par le processus 1200
lsof -p 1200
Obtenir la liste des ports ouverts par le processus 1200

lsof -p 1200 -i 4 a
Savoir quel(s) processus sont en contact avec les ports 1 1024 de ares.lip6.fr
lsof i @ares.lip6.fr:1-1024
Savoir quel(s) processus ont ouvert le fichier ~/foobar

lsof ~/foobar
Savoir quels sont les fichiers ouverts par lutilisateur apache

lsof u apache
35 35
Informations sur le rseau : dig/nslookup Interroger un dns pour obtenir un nom de machine ou une ip : nslookup dig est identique nslookup mais il offre plus doptions Outils rseau
legond:@eos > nslookup www.lemonde.Fr Server: 132.227.64.13 Address: 132.227.64.13#53 Non-authoritative answer: www.lemonde.Fr canonical name = www.lemonde.fr.d4p.net. www.lemonde.fr.d4p.net canonical name = a245.g.akamai.net. Name: a245.g.akamai.net Address: 193.50.203.46 Name: a245.g.akamai.net Address: 193.50.203.53
36 36
Informations sur le rseau traceroute , traceroute6 , tracepath et tracepath6 permettent de voir le chemin jusqu une machine Outils rseau
legond@scylla > tracepath www.lemonde.fr 1: scylla (132.227.64.30) 1: castor (132.227.64.15) 2: r-jusren.reseau.jussieu.fr (134.157.254.126) 3: gw-rap.rap.prd.fr (195.221.127.181) 4: jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 5: nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 6: 193.50.203.53 (193.50.203.53) Resume: pmtu 1500 hops 6 back 6 0.258ms pmtu 1500 1.519ms 1.557ms asymm 4 2.292ms 2.541ms 2.364ms 3.787ms reached
legond@scylla > traceroute www.lemonde.fr traceroute to a245.g.akamai.net (193.50.203.53), 30 hops max, 38 byte packets 1 castor (132.227.64.15) 1.334 ms 1.211 ms 1.387 ms 2 r-jusren.reseau.jussieu.fr (134.157.254.126) 0.821 ms 1.305 ms 0.614 ms 3 gw-rap.rap.prd.fr (195.221.127.181) 1.760 ms 1.672 ms 1.545 ms 4 jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 1.343 ms 0.790 ms 1.184 ms 5 nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 1.617 ms 1.605 ms 1.479 ms 6 193.50.203.53 (193.50.203.53) 1.911 ms 1.921 ms 0.893 ms
37 37
Analyser le rseau
Commandes SunOS : etherfind, snoop tcpdump permet la capture et le filtre des communications entre les machines et/ou les services
Capturer toutes les communications provenant de zeus
Outils rseau
tcpdump
src host zeus udp and port 67 icmp
Capturer tous les paquets provenant du serveur DHCP

tcpdump
Capturer les paquets de gestion du rseau (ICMP)

tcpdump
ethereal permet la capture et lanalyse du trafic rseau.

Des exemples ? RTFM !! Trs complexe, Trs puissant
38 38
La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DHCP Configuration rseau Outils rseau
DHCP
DNS
39 39
Rle du service DHCP

Le service DHCP (Dynamic Host Configuration Protocol) Il utilise le port 67 (serveur) et 68 (client) Le nom de machine et lIP sont fournit par le service DHCP
Utilise les adresses ethernet (MAC) des cartes rseaux La machine diffuse sa demande (car le serveur est inconnu)
En cas de timeout de la requte

Comportement 1: Une adresse par dfaut est prise par la machine
DHCP
Comportement 2 : Le rseau ne dmarre pas
Les informations suivantes sont aussi envoyes par le serveur DHCP :

Masque de rseau (Netmask) Adresse de rseau (network adresse) Adresse de diffusion (Broadcast address) Adresse de la passerelle de sortie (Gateway) Adresse des serveurs de noms (DNS Servers) Nom du domaine dauthentification NIS (NIS domain)
40 40
Utilit du DHCP
Permet une gestion centralise des adresses IP Utilise les @ MAC du ct du serveur Le serveur peut assigner des @IP fixe en fonction de ladresse MAC du client Le serveur peut assigner des @IP dynamiques temporaires Une mme adresse peut tre utilise pour dsigner plusieurs machines au cours du temps Il nest pas ncessaire davoir autant dadresses que dabonns si tous les abonns ne se connectent pas en mme temps Permet de changer facilement la configuration rseau dune machine Permet linstallation ou le dmarrage de machine par le rseau (BOOTP) Permet la gestion des machines sdentaires et mobiles DHCP souvent considr comme une faille de scurit Configuration automatique sur des clients inconnus
DHCP
41 41
Le protocole DHCP
RFC 951 (Bootp) , 1542, 2131 (dhcp), 2132 Les requtes et les messages DHCP
DHCPDISCOVER: envoy par le client pour localiser les serveurs DHCP disponibles DHCPOFFER: rponse du serveur un paquet DHCPDISCOVER, qui contient les premiers paramtres (en particulier ladresse IP du serveur)
DHCP
DHCPREQUEST: contient les requtes diverses du client (ex: prolongation dun bail) DHCPACK: rponse du serveur qui contient des paramtres et l'adresse IP du client DHCPNAK: rponse du serveur pour signaler au client un refus DHCPDECLINE: le client annonce au serveur que l'adresse est dj utilise DHCPRELEASE: le client libre son adresse IP DHCPINFORM: le client demande des paramtres locaux, il a dj son adresse IP
42 42
Le protocole DHCP
Le premier paquet mis par le client est un paquet de type DHCPDISCOVER.

Il est envoy tout le monde (broadcast, 255.255.255.255) Il contient ladresse IP 0.0.0.0. On utilise ladresse de liaison (@MAC)
DHCP
Le serveur rpond par un paquet DHCPOFFER avec son IP

Soit en utilisant ladresse MAC de celui qui a mis le paquet Soit en rpondant tout le monde (broadcast, 255.255.255.255)
Le client fait un DHCPREQUEST pour obtenir son IP

Utilisation de lIP contenue dans le premier DHCPOFFER reu Envoyer tout le monde pour avertir tous les serveur DHCP
Le serveur rpond simplement par un DHCPACK avec l'adresse IP pour confirmation de l'attribution
Il y a vrification, par le serveur, de lIP qui va tre attribue en utilisant le protocole ICMP Echo Request En cas de duplication , le serveur envoie DHCPDECLINE, et on recommence
43 43
DHCP: Complment
DHCP
DHCP est un protocole assez bas niveau. Toute adresse IP dlivre par un serveur DHCP a une dure de vie appele bail . A la moiti de la dure du bail, un client doit renouveler son bail. Le client peut en faire la demande en envoyant un DHCPREQUEST. Le serveur vrifie la prsence du client la fin du bail en envoyant un DHCPNACK. En cas de non rponse ladresse est libre pour r-utilisation
44 44
Configuration du serveur ISC DHCPd

Configuration par le fichier /etc/dhcpd.conf
#options globales #options globales deny unknown-clients; # interdire les clients inconnus deny unknown-clients; # interdire les clients inconnus deny client-updates; #interdit les demande de mise jour mise par les clients deny client-updates; #interdit les demande de mise jour mise par les clients deny bootp; #interdire le protocole bootp deny bootp; #interdire le protocole bootp #Configuration des options pour un sous-rseau spcifique (ici le 132.227.64.0/24) #Configuration des options pour un sous-rseau spcifique (ici le 132.227.64.0/24) subnet 132.227.64.0 netmask 255.255.255.0 { subnet 132.227.64.0 netmask 255.255.255.0 { authoritative; # le serveur fait autorit sur le sous-rseau authoritative; # le serveur fait autorit sur le sous-rseau option routers 132.227.64.15; # la passerelle de sortie pour accder internet option routers 132.227.64.15; # la passerelle de sortie pour accder internet option subnet-mask 255.255.255.0; # masque pour le sous-rseau local option subnet-mask 255.255.255.0; # masque pour le sous-rseau local option domain-name "lip6.fr"; #domaine de ce sous-rseau (devrait appartenir au DNS) option domain-name "lip6.fr"; #domaine de ce sous-rseau (devrait appartenir au DNS) option domain-name-servers 132.227.64.13, 132.227.60.30, 132.227.60.2; # les DNS option domain-name-servers 132.227.64.13, 132.227.60.30, 132.227.60.2; # les DNS allow bootp; #autorise le protocole bootp sur ce sous-rseau (annule la directive locale) allow bootp; #autorise le protocole bootp sur ce sous-rseau (annule la directive locale) allow booting; # autorise le boot par le rseau (boot pxe) allow booting; # autorise le boot par le rseau (boot pxe) deny unknown-clients; #interdire les clients inconnus (doublon avec loption globale) deny unknown-clients; #interdire les clients inconnus (doublon avec loption globale) default-lease-time 21600; # temps du bail par dfaut (en secondes) default-lease-time 21600; # temps du bail par dfaut (en secondes) max-lease-time 43200; # temps maximum du bail (en secondes) max-lease-time 43200; # temps maximum du bail (en secondes) range 132.227.64.240 132.227.64.250; # IP rserv au pool DHCP range 132.227.64.240 132.227.64.250; # IP rserv au pool DHCP # dclare une machine SANS lui attribuer une IP fixe # dclare une machine SANS lui attribuer une IP fixe host PORTABLE_DENIS { host PORTABLE_DENIS { hardware ethernet 00:04:75:96:9D:F8; hardware ethernet 00:04:75:96:9D:F8; } } # dclare une machine en lui attribuer une IP fixe et un nom # dclare une machine en lui attribuer une IP fixe et un nom host PORTABLE_MANU { host PORTABLE_MANU { hardware ethernet 00:04:75:96:AA:CD; hardware ethernet 00:04:75:96:AA:CD; fixed-address 132.227.64.2; fixed-address 132.227.64.2; option host-name pmanu"; option host-name pmanu"; } }
DHCP
} }
45 45
Redondance DHCP
Si vous choisissez DHCP comme service dattribution dIP pour toutes vos machines, il devient critique !! Le DHCP nest pas fait pour les serveurs Si vous dployez une solution base totalement sur DHCP, en cas de crash plus de rseau
DHCP
Relai DHCP entre des sous-rseaux : dhcrelay Redondance possible pour plus de sret. On ajoute au fichier /etc/dhcpd.conf :
failover peer "eros" { primary; #THIS PRIMARY DHCP SERVER (132.227.64.25=eros.lip6.fr) address 132.227.64.25; port 520; # port dcoute pour lchange dinformations entre serveurs #PEER SLAVE DHCP SERVER (132.227.64.26=no dns entry) peer address 132.227.64.26; peer port 519; # port dcoute pour lchange dinformations entre serveurs #nombre de secondes avant que lautre hte ne prenne le relai load-balance-max-seconds 3; }
46 46
La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DNS Configuration rseau Outils rseau DHCP
DNS
47 47
Historique
Les usagers prfrent utiliser les noms logiques ! Exemples :
Adresse courrier (legond@src.lip6.fr) plutt quune adresse IP (legond@[132.227.64.100]) Nom de site web (http://www.hardware.fr) plutt quune URL IP (http://83.243.20.80)
DNS
Besoin dun ensemble de mcanismes de cration, dadministration, de mise en relation pour des noms logiques, des adresses, des attributs.
Au dbut de l'Internet, les noms taient dfinis localement sur chaque hte dans un fichier (/etc/hosts en UNIX). Mise jour de /etc/hosts par ftp la nuit automatiquement ou manuellement partir dune version rfrence pour suivre lvolution du rseau Internet
48 48
Historique
Problme : Le nombre de machines rfrencs a explos !

Evolution du nombre de machines
130000000 120000000 110000000
Nombre de machines
100000000 90000000 80000000 70000000 60000000 50000000 40000000 30000000 20000000 10000000 0
19931 19932 19941 19942 19951 19952 19961 19962 19971 19972 19981 19982 19991 19992 20001 20002 20011 20012
DNS
Annes
49 49
Rle du service DNS

1984 : Cration dun service dannuaire distribu (base de donnes distribue dinformations) DNS = Domain Name Service Service le plus important et le plus utilis dInternet. Tout le rseau (quasiment) repose sur ce service contrl par les USA RFC de base: 1034, 1035 Nombreuses RFC (voir www.dns.net/dnsrd/rfc)
DNS
Un des protocole de base de linternet . Fonctions principales: CEST UN ANNUAIRE DE MACHINES DNS permet dassocier un nom humain une adresse IP et vice-versa Spcificits du protocole DNS Le DNS offre un identifiant textuel unique ! Accessible au moyen dun espace de nommage hirarchique unifi De mme quil existe une adresse rseau et une adresse machine, il existe des noms de domaines et des noms de machines
50 50
Structure hirarchique du DNS

Zone racine Domaines racines Sous-domaines racines
arpa in-addr 132
gov cmu math
edu php
net fnac
com fnac
fr lip6
us edf
DNS
Sous-domaines
227 64
Feuille Valeur
100 src.lip6.fr
www
www
www
eos
src
132.227.64.100
Module AAS Administration Rseau LEGOND Fabrice 51 51
Structure hirarchique du DNS

Exemples :
www.lip6.fr
Hte Domaine Domaine racine
www.infop6.jussieu.fr
Hte Sous-Domaine Domaine Domaine racine
DNS
Au niveau le plus haut: Plusieurs centaines de noms de domaines.

com : Noms gnriques de domaines. fr : Noms gographiques de domaines. arpa : Correspondance adresses IP vers noms.
Aux niveaux intermdiaires: Des noms de domaines (qui sont des sous-domaines). Au niveau des feuilles: Des sous-domaines composs dhtes ou dfinissant des services.
52 52
Domaines DNS
Des domaines connus :
.com : Organismes commerciaux (Verisign) .net : Prestataires rseaux (Verisign) .org : Autres organisations (Verisign) .info : Orgs dinformation (Afilias Limited) . Code pays : entreprises et services dun pays (avec le nouveau .eu) .edu : Institutions dducation US .gov : Organisations gouvernementales US
DNS
Des domaines exotiques :

.aero : Industries aronautiques (SITA) .biz : Affaires (NeuLevel, Inc). .coop : Associations cooperative (Dot Cooperation LLC). .museum : Muses (Museum Domain Management Association). .name : Individus (Global Name Registry). .mil : Arme US .int : Organisations internationales
..
53 53
Gestion des DNS Dsignation dans larborescence

Les feuilles dsignent une machine (eos, scylla) La machine peut porter le nom dun service (ftp, dns, ) Les nuds intermdiaires sont composs dun ensemble de ressources
DNS
Lorganisation grant un domaine peut dlguer la gestion dun sous-domaine. Pour crer un sous-domaine, il faut donc avoir lautorisation de lorganisme grant le domaine pre. IMPORTANT: lorganisation DNS est diffrente de la topologie IP sous jacente !
54 54
Gestion des DNS

En plus de la d-corrlation IP / nom de domaine, il y a dcorrlation entre les units dadministration des domaines (zone) et les domaines Un domaine est :
un ensemble de noms qui ont un mme suffixe un dcoupage syntaxique de lespace de nommage Internet
DNS
Une zone est :

une unit dadministration (tous les membres dune zone sont servis par un mme serveur) une zone regroupe un ensemble de domaines voisins qui ne se recouvrent pas. un dcoupage administratif dfinissant la porte daction des serveurs de noms (suivant les dlgations internes de gestions) Ex: lip6.fr, src.lip6.fr
55 55
Dsignation et recherches
FQDN : Fully Qualified Domain Name
Construit en suivant le chemin de la racine aux feuilles On spare les intermdiaires par des . Ex: www.java.sun.com, www.infop6.jussieu.fr
DNS
Nom non-fqdn : ce sont des noms relatifs qui sont recherchs dans le domaine courant
Ex: www, www.ufr-info-p6
La recherche :
se fait par dfaut dans le domaine auquel appartient le serveur est tendu au domaine . en cas dchec peut tre force partir du rpertoire racine en ajoutant un . la fin de la chane cherche
56 56
Modes de recherche
Un indicateur dans la requte dcrit la faon de la traiter : itrative ou rcursive. Sur chaque machine existe une liste de 13 serveurs racines (fichier /var/named/named.ca) Mode itratif On interroge successivement les serveurs
tique.infop6.jussieu.fr> nslookup eos.lip6.fr Server: 134.157.116.123 Address: 134.157.116.123#53 Non-authoritative answer: Name: eos.lip6.fr Address: 132.227.64.45
DNS
fr
lip6
Client (tique)
Serveur DNS du domaine (papillon)

Modes de recherche Mode rcursif

Chaque serveur visit prend linitiative dinterroger le serveur suivant pour obtenir pour lui mme la rponse la question pose La rponse revient en visitant tous les sites On note la rsolution effectue dans les caches de tous les serveurs visits
fr lip6
DNS
Client (tique)
Serveur DNS du domaine (papillon)

Type de requte
A: demande dune adresse de machine CNAME: demande le nom rel (canonique) pour un alias. PTR: le nom de machine de ladresse IP MX: les serveurs de mail (envoie) NS: le(s) serveur(s) DNS gestionnaire(s) du domaine
DNS
SOA: des informations sur le domaine ( start-of-authority ) HINFO: demande le CPU et lOS du serveur (optionnel et dangereux) TXT: informations textuelles sur le domaine Autres informations: MINFO, UINFO, WKS,ANY, AXFR, MB, MD, MF, NULL
59 59
Outils DNS: dig
dig [@server] [options dig] [nom] [type] [classe] [options requte] (trs verbeux, voir les options)
legond@tique.infop6.jussieu.fr> dig www.efrei.Fr +short efrei.opixido.com. 62.4.72.6
DNS
legond@tique.infop6.jussieu.fr> dig -x 62.4.72.6 +short 62.4.72.6.not.updated.above.net. legond@tique.infop6.jussieu.fr> dig efrei.Fr a +short 194.2.204.17 legond@tique.infop6.jussieu.fr> dig efrei.Fr ns ;; ANSWER SECTION: efrei.fr. 86377 IN NS cerbere.efrei.fr. efrei.fr. 86377 IN NS turner.efrei.fr. ;; ADDITIONAL SECTION: cerbere.efrei.fr. 86377 IN A 194.2.204.4
60 60
Outils DNS: nslookup

nslookup [-option ...] [host-to-find | -[server]]
Peut tre lanc comme un shell Peut tre lanc en ligne de commande
legond@tique.infop6.jussieu.fr> nslookup www.epita.fr Non-authoritative answer: Name: www.epita.fr Address: 163.5.254.17 legond@tique.infop6.jussieu.fr> nslookup -query=ns epita.fr Non-authoritative answer: epita.fr mail exchanger = 65 smtp-relay.epita.fr. epita.fr mail exchanger = 40 smtp1.epita.fr. epita.fr mail exchanger = 40 smtp2.epita.fr. legond@tique.infop6.jussieu.fr> nslookup >set type=soa Non-authoritative answer: epita.fr origin = ns1.epi.net mail addr = postmaster.epita.fr serial = 2005072002 refresh = 21600 retry = 3600 expire = 604800 minimum = 86400
DNS
61 61
Outils DNS: whois Obtenir des informations sur les propritaires et les gestionnaires dun domaine Online: www.ripe.net, www.arin.net, www.afrin.net whois a de nombreuses options et des nombreuses possibilits. Lire le manuel ! DNS Whois sur une @IP donne des informations sur le propritaire de la classe dIP! (lhbergeur) Whois sur un domaine donne des informations sur le propritaire du domaine ! Essayez whois liberation.fr et whois 80.15.238.13
62 62
Outils DNS: whois

tique.infop6.jussieu.fr> whois epita.fr domain: epita.fr address: Ecole Pour l'Informatique et les Techniques Avancees address: 14-16, rue Voltaire address: 94270 Le Kremlin-Bictre address: FR admin-c: NS1297-FRNIC tech-c: JB371-FRNIC zone-c: NFC1-FRNIC nserver: ns1.epi.net nserver: ns2.epi.net nserver: joe.hittite.isp.9tel.net mnt-by: FR-NIC-MNT mnt-lower: FR-NIC-MNT changed: nic@nic.fr 20050124 source: FRNIC person: address: address: address: address: . Nicolas Sadirac Ecole Pour l'Informatique et les Techniques Avancees 106-112, boulevard de l'Hopital 75013 Paris FR
DNS
63 63
Les performances: Rpartition et Distribution

Un serveur centralis ne pourrait pas supporter les requtes Une des meilleurs russite en terme de rpartition de charge Pour rappel : Sur chaque machine (serveur et cliente) existe une liste de 13 serveurs racines (fichier /var/named/named.ca) La majorit des requtes sont locales (sur un sous-rseau et/ou sous-domaine)
On utilises ses propres serveurs On allge les autres serveurs !
DNS
Rpartition de charge grce au DNS : le DNS peut renvoyer plusieurs IP diffrentes pour un mme nom !
64 64
Les Performance: cache DNS

Gestion dun cache local et entre serveurs
Prise en compte dun dlai de premption des donnes (information expire du SOA) Raccourci les dlais de rponse et conomise la bande passante Dlai de prise en compte dune modification dune entre DNS Cohrence faible dlai de MAJ (~3 jours)
DNS
Lors d'une rponse:

Si elle vient du cache, elle est non fiable ( non authoritative ) Si elle vient d'un serveur dit authoritative , elle est fiable.
Le temps de rsidence dans le cache est un paramtre important. La non fiabilit des rponses peut poser des problmes:
Pour atteindre certains serveurs Pour la scurit
65 65
DNS: Sret de fonctionnement

DNS est un service critique !
Obligation davoir au moins deux serveurs DNS 2 machines physiques diffrentes doivent assurer le DNS Problme de synchronisation entre serveurs
Mise en place dun protocole de cohrence

Synchronisation entre serveur Le secondaire (esclave) se synchronise sur le primaire (matre)
DNS
Les DNS secondaires font des transferts de zone:

Lors de leur lancement A intervalle rgulier pour se synchroniser
Si le DNS primaire est non accessible

On dmarre avec une copie locale des zones On se synchronise ds le retour du serveur primaire
Le numro de srie indique la date des changements ATTENTION A LA SECURITE !!!

66 66
Configuration DNS (serveur ISC Bind) Les fichiers de configuration sont

Configuration des clients /etc/resolv.conf
search lip6.fr #domaine(s) de recherches domain lip6.fr #domaine local order local,bind #ordre de rsolution: local (/etc/hosts) puis dns nameserver 132.227.64.13 nameserver 132.227.60.30 nameserver 132.227.60.2
DNS
Configuration du service: /etc/named.conf (intgre maintenant /etc/named.boot ) Informations sur les zones administres dans le rpertoire /var/named/ Vrification des configurations: dnswalk
67 67
/etc/named.conf
Scurit:
Gestion des clefs pour lauthentifications des pairs:
Section key domaine_name pour dfinir sa clef Section trusted-keys pour dfinir les pairs de confiance !
Section controls permet le contrle daccs au serveur
DNS
Utilisation des ACL pour le contrle daccs
Section logging permet de dfinir les traces Section options pour dfinir les options du serveur Sections zone nom pour chaque zone que gre le serveur
Contient essentiellement le nom des fichiers de zone Le type de la zone (master, slave, stub [NS slave]) Comment se fait la MAJ
68 68
ISC BIND: Les fichiers de zone
Association noms vers IP

$ORIGIN example.com ; origine du fichier (base ajoute toutes les entres) $TTL 86400 ; Valeur de la dure de validit des informations de la zone (ici 1 jour) ; dbut de la description de la zone (entre SOA) ; nom_zone (@=valeur de $ORIGIN) IN SOA nom-serveur-fqdn. email-responsable. ( @ IN SOA dns1.example.com. hostmaster.example.com. ( 2001062501 ; n de srie (doit tre incrment aprs chaque MAJ du fichier) 21600 ; Dlai aprs lequel le serveur esclave doit se mettre jour (ici 6 heures) 3600 ; Dlai entre chaque essai de synchro du serveur esclave (ici 1h) 604800 ; Dlai partir duquel un serveur esclave arrte de rpondre 86400 ) ; doublon avec $TTL ;Entres DNS de la zone (machines et sous-domaines) IN NS dns1.example.com. ; les serveurs de noms (champs NS) IN NS dns2.example.com. IN MX 10 mail.example.com. ; les serveurs de mails 10 et 20 sont des priorits IN MX 20 mail2.example.com. IN A 10.0.1.5 ; entre par dfaut du domaine (ex: ping example.com) server1 IN A 10.0.1.5 ; dclaration de la machine server1 sur le domaine server2 IN A 10.0.1.7 ; dclaration de la machine server2 sur le domaine dns1 IN A 10.0.1.2 ; dclaration de la machine dns1 sur le domaine dns2 IN A 10.0.1.3 ; dclaration de la machine dns2 sur le domaine ftp IN CNAME server1 ; dclaration dun alias (ftp=server1) mail IN CNAME server1 ; dclaration dun alias (mail=server1) mail2 IN CNAME server2 ; dclaration dun alias (mail2=server2) www IN CNAME server2 ; dclaration dun alias (www=server2, pas lhte par dfaut)
DNS
69 69
ISC BIND: Les fichiers de zone
Association IPs vers noms (reverse)

$ORIGIN 1.0.10.in-addr.arpa ; origine du fichier (base ajoute toutes les entres) $TTL 86400 ; Valeur de la dure de validit des informations de la zone (ici 1 jour) ; dbut de la description de la zone (entre SOA) @ IN
; nom_zone (@=valeur de $ORIGIN) IN SOA nom-serveur-fqdn. email-responsable.
DNS
SOA dns1.example.com. hostmaster.example.com. ( 2001062501 ; n de srie (doit tre incrment aprs chaque MAJ du fichier) 21600 ; Dlai de MAJ esclave (ici 6 heures) 3600 ; Dlai entre chaque essai de synchro du serveur esclave (ici 1h) 604800 ; Dlai partir duquel un serveur esclave arrte de rpondre 86400 ) ; doublon avec $TTL NS NS PTR PTR PTR PTR dns1.example.com. dns2.example.com. server1.example.com. ; 10.0.1.5 server2.example.com. ; dns1.example.com. dns2.example.com. server1
IN IN 5 7 2 3 IN IN IN IN
70 70

AAS 2 NetAdmin

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

AAS 2 NetAdmin

Transféré par

Droits d'auteur :

Formats disponibles

Administration et Architectures des Systmes

Fabrice Legond-Aubry Fabrice.Legond-Aubry@u-paris10.fr

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

Les ressources WEB

Module AAS Administration Rseau LEGOND Fabrice

Section : Administration rseau

Les bases du rseau

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

Revoir vos cours de rseau !!!!

Module AAS Administration Rseau LEGOND Fabrice

Couche 5-7 : application

Services linux TCP/UDP (dsignation dun processus) IP (dsignation dune machine)

Les bases du rseau

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

Relations entre les diffrents protocoles

Les bases du rseau

Couche transport IGMP Couche rseau Couche liaison

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

Gestionnaires des adresses IP Attribution par des organismes spciaux :

Les bases du rseau

Module AAS Administration Rseau LEGOND Fabrice

Notion de classe dadresses IPv4

Les bases du rseau

Classe A Classe B Classe C Classe D Classe E

10 110 1110 1111

Module AAS Administration Rseau LEGOND Fabrice

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

Aucun datagramme IP venant de lextrieur ne doit porter ces adresses.

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

Les informations rseaux Une machine ayant lIP : 193.22.143.52

Les bases du rseau

8 bits pour la machine (host @)

Adresses particulires pour les rseaux de classes A,B,C

Module AAS Administration Rseau LEGOND Fabrice

Masque de rseau Le masque de rseau

Les bases du rseau

Rseau LIP6, notations :

Masque: 255.255.0.0 @ rseau: 132.227.0.0 @ diffusion: 132.227.255.255

Sous-rseau SRC, notations :

Masque: 255.255.255.0 @ rseau: 132.227.64.0 @ diffusion: 132.227.64.255

26/09/2005 Legond-Aubry Fabrice

Module AAS Administration Rseau LEGOND Fabrice

Saturation de l'espace d'adressage IPv4 Pourquoi?

Les bases du rseau

IPv6 : un espace d 'adressage beaucoup plus grand

Module AAS Administration Rseau LEGOND Fabrice

CIDR une solution en attendant IPv6

On agrge ainsi les rseaux pour une mme entreprise

A la place de 3 classes, on utilise un prfixe :

Classe prfixe Classe /21

Module AAS Administration Rseau LEGOND Fabrice

Section : Administration rseau

Routage IP et couche liaison

Les bases du rseau

Routage IP et couche liaison